More Related Content Similar to WVD運用に欠かせない5つのポイント (20) More from Tsukasa Kato (20) WVD運用に欠かせない5つのポイント2. Profile
• Tsukasa Kato / 加藤 司
• 日本ビジネスシステムズ株式会社
シニアエキスパート
• Microsoft MVP for Microsoft Azure
• https://tsukatoh.hatenablog.com/
• https://www.slideshare.net/tsukasakatou9
15. • WVD内部からの通信はAzure VNetからインターネットアク
セスされるように構成されている。
• インターネットアクセスを制限したい場合は必要に応じて
フィルタリングを追加する必要がある。
• Azureのサービスで実現する場合はAzure Firewallでネット
ワークルールやアプリケーションルールを構成して制御する。
• Azure Firewallの処理順はネットワークルール→アプリケー
ションルールの順で処理される。
• サードパーティー製のセキュリティアプライアンスの導入も
検討。
WVD内部からの通信 (Outbound制御)
25. • クラウドネイティブなSIEM(Security Information and
Event Management)
• 組み込みの AI を使用しているため、企業全体の大量のデー
タの迅速な分析が可能
• セッションホストのログだけではなく、管理プレーンや
Azure AD、Log Analyticsのアドオンとして有効化すること
でWVDの様々なログが収集できる
Azure Sentinel
Azure Sentinel
https://azure.microsoft.com/ja-jp/services/azure-sentinel/
28. クライアント
Client Platform/Version
WVD専用クライアント Windows 7 / 10
macOS 10.12以降
iOS 13.0 以降(iPhone、iPad、iPod
touch)
Android 4.1 以降, Chrome OS 53以降
ブラウザ Microsoft Edge Windows
Internet
Explorer
Windows
Apple Safari macOS
Mozilla Firefox Windows, macOS, Linux (Ver 55 以上)
Google Chrome Windows, macOS, Linux, Chrome OS
30. • 不特定多数のクライアントからのアクセスを制御する。
• Microsoft Intuneを使い、企業に登録されポリシーに準拠し
たデバイスからのみアクセスを制御する。(要ライセンス)
アクセス元クライアントの制御
Microsoft Intune
https://www.microsoft.com/ja-jp/microsoft-365/enterprise-mobility-security/microsoft-intune
35. • Session Host ARMテンプレート(例)
セッションホストのARM構成
"resources": [
{
"type": "Microsoft.DesktopVirtualization/hostpools",
"apiVersion": "2019-12-10-preview",
"name": "[parameters('hostpools_name')]",
"location": "eastus",
"properties": {
"description": "Created through the WVD extension",
"hostPoolType": "Pooled",
"maxSessionLimit": 5,
"loadBalancerType": "BreadthFirst",
"validationEnvironment": false,
"registrationInfo": {
"registrationTokenOperation": "None"
},
"vmTemplate": "[parameters(‘vmTemplate_name’)]",
"preferredAppGroupType": "Desktop"
}
}
]
36. • アプリケーショングループ ARMテンプレート(例)
アプリケーショングループのARM構成
"resources": [
{
"type": "Microsoft.DesktopVirtualization/applicationgroups",
"apiVersion":"2019-12-10-preview",
"name": "[parameters('applicationgroups_DAG_name')]",
"location":"eastus",
"kind": "Desktop",
"properties": {
"hostPoolArmPath":"[parameters('hostpools_externalid')]",
"description": "Desktop Application Group created through the Hostpool Wizard",
"friendlyName":"[parameters('applicationgroups_name')]",
"applicationGroupType":"Desktop"
}
}
]
37. • ワークスペース ARMテンプレート(例)
ワークスペースのARM構成
"resources": [
{
"type": "Microsoft.DesktopVirtualization/workspaces",
"apiVersion":"2019-12-10-preview",
"name": "[parameters('workspaces_name')]",
"location":"eastus",
"properties": {
"applicationGroupReferences":[
"[parameters('applicationgroups_DAG_externalid')]"
]
}
}
]
38. • 適用するポリシー例
• 非アクティブユーザーの自動サインアウト
• アイドルセッションの画面ロック
• ドライブ、プリンター、USBデバイス等のローカルデバイスリダ
イレクトの制御
• RDPセッションの禁止
(直接の管理にはJust-In-TimeアクセスやBastionの使用)
• App Lockerによる不要ソフトウェア実行制限
• 企業におけるグループポリシー適用ルールをどこまで適用するか
Session Hostに利用するVM構成
39. • インストールするアプリケーション
• Office 365 ProPlusをインストールするか
• Teamsは利用するか
• その他の業務アプリケーションはインストールするか
• Remote Appは利用するか
• Remote Appを利用する場合は、「誰に」「どのアプリケーション」を配布
するか
Session Hostに利用するVM構成
43. • WVD VMからの通信制御は必要
• ログの管理はAzure Monitorで
• クライアントは専用デスクトップがおすすめ
• 構成管理はARMテンプレートで
• MFA利用をご検討ください
まとめ
44. • WVD Security Best Practices
• https://docs.microsoft.com/ja-jp/azure/virtual-desktop/security-guide
• Protect WVD with Azure Firewall
• https://docs.microsoft.com/ja-jp/azure/firewall/protect-windows-
virtual-desktop
• Azure Security CenterによるWVD環境の保護
• https://azure.microsoft.com/ja-jp/blog/protecting-windows-virtual-
desktop-environments-with-azure-security-center/
• WVD用にMFAを有効にする
• https://docs.microsoft.com/ja-jp/azure/virtual-desktop/set-up-mfa
参考