次の方法で共有

Windows Cloud IO Protection

重要

Windows Cloud IO Protection は、2025 年 11 月 25 日からプレビュー段階になります。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。

概要: Windows 365 クラウド PC の入力のセキュリティ保護

Windows 365クラウド PC は既にセッションを暗号化し、MFA などの ID ベースの認証方法を適用して、ハイジャックや中間者攻撃を防ぎます。 ただし、キー ロガーやスクリーン スクレイパーなどの Windows クラウド セッションを対象とするエンドポイント デバイス常駐の脅威は、機密データを引き続き侵害し、コンプライアンス リスクや財務上の損失につながる可能性があります。

Windows Cloud IO Protection は、マルウェアに対して脆弱な OS レイヤーをバイパスして、キーストロークをクラウド PC に安全にルーティングするカーネル レベルのドライバーとシステム レベルの暗号化によって、このギャップに対処します。 この機能がクラウド PC または仮想デスクトップ セッション ホストAzure有効になっている場合、厳密な信頼モデルが適用されます。

  • 接続できるのは、保護されたエンドポイント物理デバイスだけです。

  • エンドポイントを保護するには、 Windows Cloud IO Protect MSI がインストールされている必要があります。

MSI が見つからない場合、接続はブロックされ、エラー メッセージが表示されます。 これにより、Windows アプリと Cloud PC/Azure Virtual Desktop セッション ホスト間のセキュリティで保護されたチャネルが確保され、妥協のない入力保護が実現されます。

Windows Cloud Input Protect MSI をインストールする手順

前提条件:

  • エンドポイントは、Windows 11を使用した物理デバイス (仮想マシンはサポートされていません) である必要があります。 エンドポイント デバイスで TPM 2.0 を使用する必要がある

  • Windows Cloud IO Protect MSI をインストールするには、ユーザーにローカル 管理権限が必要です。

  1.  ユーザーが物理デバイス (Windows Cloud Input Protect MSI を使用しない) からWindows 365 クラウド PCまたは仮想デスクトップ セッション ホストAzure接続しようとすると、次のエラー メッセージが表示されます。

    ユーザーが Windows Cloud キーボード保護ドライバーをインストールせずに接続しようとした場合のエラー ボックスとメッセージを示すスクリーンショット。

  2. ユーザーは、2 種類の MSI インストーラーを選択して、Windows Cloud Input Protect msi をインストールできます。

  1. 次に示すように、msi インストール ウィザードの手順に従います

    ドライバー インストーラーのようこそ画面を示すスクリーンショット。

    ドライバー インストーラーのカスタム セットアップ画面を示すスクリーンショット。

    ドライバー インストーラーのインストールの進行状況画面を示すスクリーンショット。

    ドライバーのインストールが完了したことを示すスクリーンショット。

    Windows Appの前提条件

    この機能は、最新のWindows Appバージョンでのみ使用できます (バージョンは 2.0.704.0 以降である必要があります)。 Microsoft Market で利用可能な最新のバージョンに更新できます。

    バージョン画面Windows App示すスクリーンショット。

Cloud PC/Azure Virtual Desktop セッション ホストで Windows Cloud Input Protection を構成する

現在、この機能はグループ ポリシーを使用してのみ有効にすることができます。

注:

グループ ポリシー オブジェクトの手順は、ハイブリッド環境にのみ適用されます。 Entra 参加のお客様のサポートは近日中に提供される予定です。 現在では、以下に示すようにレジストリ キーを手動で追加することで、Entra 参加のお客様の機能を有効にすることができます。

  1. レジストリ エディター アプリを開く
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services] に移動します
  3. fWCIOKeyboardInputProtection という名前と値 1 を持つ新しい DWORD を作成します。

Windows Cloud Input Protection を構成する手順

Active Directory ドメインのグループ ポリシーを使用してセッション ホスト (Virtual Desktop と Windows 365 Azure) で Windows クラウド キーボード入力保護を有効にするには:

  1. 「Azure Virtual Desktop の管理テンプレートを使用する」の手順に従って、Azure Virtual Desktop の管理テンプレートをドメインで使用できるようにします。

  2. Active Directory ドメインの管理に使用するデバイスで、グループ ポリシー管理コンソールを開きます。

  3. 構成するリモート セッションを提供するコンピューターを対象とするポリシーを作成または編集します。

  4. [コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Azure Virtual Desktop に移動します。

    グループ ポリシー管理コンソールの [Virtual Desktop] セクション画面Azure示すスクリーンショット。

  5. ポリシー設定 [ キーボード入力保護を有効にする] を ダブルクリックして開きます。

  6. [有効] を選択します。 完了したら、[OK] を選択します

    グループ ポリシー管理コンソールでキーボード入力保護画面を有効にすることを示すスクリーンショット。

  7. リモート セッションを提供するコンピューターにポリシーが適用されたら、設定を有効にするために再起動します。

注:

この機能は、次の場合にサポートされています。

  • 最新の Microsoft でサポートされている Windows クライアント OS バージョンを使用した Windows Cloud PC/Azure Virtual Desktop セッション ホスト
  • サポートされているクライアント。 Windows 11サポートされているネイティブ クライアントを実行している物理デバイスで、Windows Cloud IO Protect msi がインストールされています。 
  • サポートされていないクライアント。  仮想エンドポイント デバイス (VM)、MAC OS、iOS、Android、Web、Windows クラウド以外の IO が有効な Windows デバイス (Windows 365 Link デバイスを含む)
  • Last updated on