カメラ、マイク、ストレージ、クリップボードなどのローカル リソースを Azure Virtual Desktop、Windows 365、Microsoft Dev Box からリモート セッションにリダイレクトするかどうかを管理できます。 これを行う前に、ローカル デバイスのセキュリティ コンプライアンスを要求することが、ローカル デバイスのリダイレクト設定を管理するための前提条件です。 詳細については、「 Microsoft Intune と Microsoft Entra 条件付きアクセスに対するローカル クライアント デバイスのセキュリティ コンプライアンスを要求する」を参照してください。
大まかに言えば、 Intune アプリ構成ポリシーを使用して、クライアント デバイス上の Windows アプリのリダイレクト設定を管理します。 これらのポリシーは、ローカル クライアント デバイスのセキュリティ コンプライアンスを必要とする場合に既に構成されている Intune アプリ保護ポリシー と 条件付きアクセス ポリシー と共に機能します。 フィルターを使用して、特定の条件に基づいてユーザーとデバイスをターゲットにすることができます。
ローカル デバイスのセキュリティ コンプライアンスを要求する場合と組み合わせると、次のシナリオを実現できます。
指定した条件に基づいて、より詳細なレベルでリダイレクト設定を適用します。 たとえば、ユーザーが参加しているセキュリティ グループ、使用しているデバイスのオペレーティング システム、またはユーザーが会社のデバイスと個人のデバイスの両方を使用してリモート セッションにアクセスするかどうかに応じて、異なる設定が必要な場合があります。
ホスト プールまたはセッション ホストで、正しく構成されていないリダイレクトに対する保護の追加レイヤーを提供します。
WINDOWS アプリとリモート デスクトップ アプリに追加のセキュリティ設定を適用します。たとえば、PIN の要求、サード パーティ製キーボードのブロック、クライアント デバイス上の他のアプリ間での切り取り、コピー、貼り付けの操作を制限します。
クライアント デバイスのリダイレクト設定が、Azure Virtual Desktop のホスト プールの RDP プロパティとセッション ホスト、または Windows 365 のクラウド PC と競合する場合、2 つのうちのより制限の厳しい設定が有効になります。 たとえば、セッション ホストがドライブのリダイレクトを禁止し、クライアント デバイスがドライブのリダイレクトを許可している場合、ドライブのリダイレクトは許可されません。 セッション ホストとクライアント デバイスのリダイレクト設定が両方とも同じ場合、リダイレクト動作は一貫します。
重要
クライアント デバイスでリダイレクト設定を構成することは、要件に基づいてホスト プールとセッション ホストを正しく構成する代わりにはなりません。 Microsoft Intune を使用して Windows App とリモート デスクトップ アプリを構成することは、より高いレベルのセキュリティを必要とするワークロードには適していない場合があります。
セキュリティ要件が高いワークロードについては、引き続きホスト プールまたはセッション ホストでリダイレクトを設定する必要があります。この場合、ホスト プールのすべてのユーザーのリダイレクト構成が同じになります。 データ損失防止 (DLP) ソリューションをお勧めします。また、可能な限りセッション ホストでリダイレクトを無効にして、データ損失の機会を最小限に抑える必要があります。
シナリオ例
次に示すのは、グループ内のユーザーが Windows 企業デバイスから接続するときにドライブ リダイレクトを許可されているが、iOS/iPadOS または Android 企業デバイスではドライブ リダイレクトが許可されないシナリオの例です。
フィルターとポリシーに指定する値は要件によって異なります。そのため、組織に最適なものを決定する必要があります。
このシナリオを実現するには、次のようにします。
セッション ホストとホスト プールの設定、クラウド PC、または開発ボックスが、ドライブのリダイレクトを許可するように構成されていることを確認します。
次の 2 つのフィルターを作成します。
- 1 つは、管理対象の iOS/iPadOS デバイス用のマネージド アプリ用です。
- 管理対象の Android デバイス用の管理アプリを 1 つ。
iOS/iPadOS に 1 つと Android に 1 つの 2 つのアプリ保護ポリシーを作成します。
3 つのアプリ構成ポリシーを作成します。
- iOS/iPadOS:
- 登録済みのユーザー アカウントとデバイス ID を識別する 1 つの管理対象デバイス ポリシー。
- ドライブ リダイレクトが無効になっている 1 つの管理対象アプリ ポリシー。 手順 2 で作成した iOS/iPadOS のフィルターを割り当てます。
- Android: ドライブ リダイレクトが無効になっている Android デバイス用の管理対象アプリ用です。 手順 2 で作成した Android のフィルターを割り当てます。
- iOS/iPadOS:
前提条件
Intune と条件付きアクセスを使用してローカル クライアント デバイスでリダイレクト設定を構成するには、次のものが必要です。
「 Microsoft Intune と Microsoft Entra 条件付きアクセスでローカル クライアント デバイスのセキュリティコンプライアンスを要求する」の手順を完了するには、 この記事のすべての前提条件は、この記事にも適用されます。
アプリ保護ポリシーと条件付きアクセス ポリシーを構成するための Intune の前提条件は他にもあります。 詳細については、以下を参照してください。
iOS/iPadOS マネージド デバイス用のアプリ構成ポリシーを作成する
管理対象の iOS/iPadOS デバイスの場合は、Windows アプリ用の 管理対象デバイス用のアプリ構成ポリシー を作成する必要があります。 この手順は Android では必要ありません。
重要
iOS/iPadOS の場合、デバイス管理の種類を Intune マネージド デバイスに適用するには、追加のアプリ構成設定が必要です。 詳細については、「 デバイス管理の種類」を参照してください。
Intune の 9 月 (2409) サービス リリース以降、 IntuneMAMUPN、 IntuneMAMOID、および IntuneMAMDeviceID アプリの構成値は、Windows アプリを含む特定のアプリの Intune 登録済み iOS/iPadOS デバイス上のマネージド アプリケーションに自動的に送信されます。
管理対象デバイスのアプリ構成ポリシーを作成して適用するには、「管理対象 iOS/iPadOS デバイス用のアプリ構成ポリシーを追加する 」の手順に従い、次の設定を使用します。
対象アプリの [基本] タブで、一覧から [Windows App Mobile] を選択します。 この一覧 に表示するには、App Store から Intune にアプリを追加 する必要があります。
[ 設定] タブの [ 構成設定の形式 ] ドロップダウン リストで、[ 構成デザイナーの使用] を選択し、次の設定を次のように正確に入力します。
構成キー 値の種類 設定値 IntuneMAMUPN糸 {{userprincipalname}}IntuneMAMOID糸 {{userid}}IntuneMAMDeviceID糸 {{deviceID}}[ 割り当て ] タブで、ポリシーを適用するユーザーを含むセキュリティ グループにポリシーを割り当てます。 ポリシーを有効にするには、ユーザーのグループにポリシーを適用する必要があります。 グループごとに、必要に応じてフィルターを選択して、アプリ構成ポリシーの対象をより明確にできます。
マネージド アプリのアプリ構成ポリシーを作成する
アプリ 構成ポリシー の機能がプラットフォーム間で時間の経過と同時に変化する可能性があるため、iOS/iPadOS および Android 用の管理対象アプリ用に個別のアプリ構成ポリシーを作成することをお勧めします。
デバイスのリダイレクト要件がユーザーのグループ間で異なる場合は、必要に応じて追加のアプリ構成ポリシーを作成します。 たとえば、Finance ユーザーのドライブ リダイレクトをブロックし、Marketing ユーザーのドライブとクリップボードのリダイレクトをブロックします。
管理対象アプリのアプリ構成ポリシーを作成して適用するには、 Intune App SDK 管理対象アプリのアプリ構成ポリシー の手順に従い、次の設定を使用します。
[ 基本 ] タブで、[ パブリック アプリの選択] を選択し、[ Windows アプリ] を検索して選択し、[選択] を 選択します。 Android の場合のみ、Windows アプリがまだ表示されない場合は、代わりに 「リモート デスクトップ」 と入力します。 これは、Intune の展開のタイミングが原因です。 どちらのアプリも同じパッケージ ID
com.microsoft.rdc.androidxを使用するため、Intune コンソールに表示されるアプリ名に関係なく、アプリ構成ポリシーが両方のアプリに適用されます。[ 設定] タブで[ 全般構成設定]を展開し、次のように正確に構成する各リダイレクト設定の名前と値のペアを入力します。 これらの値は、サポートされている RDP プロパティに記載 されている RDP プロパティに対応していますが、構文は異なります。
名前 説明 価値 audiocapturemodeオーディオ入力のリダイレクトが有効かどうかを示します。 0: ローカル デバイスからのオーディオ キャプチャが無効です。
1: ローカル デバイスからのオーディオのキャプチャと、リモート セッション内のオーディオ アプリケーションへのリダイレクトが有効です。camerastoredirectカメラのリダイレクトを有効にするかどうかを指定します。 0カメラのリダイレクトが無効です。
1: カメラのリダイレクトが有効になっているdrivestoredirectディスク ドライブのリダイレクトを有効にするかどうかを指定します。 0ディスク ドライブのリダイレクトが無効です。
1ディスク ドライブのリダイレクトが有効です。redirectclipboardクリップボードのリダイレクトを有効にするかどうかを決定します。 0: リモート セッションで、ローカル デバイスでのクリップボードのリダイレクトが無効です。
1: リモート セッションで、ローカル デバイスでのクリップボードのリダイレクトが有効です。設定の外観の例を次に示します。
[ 割り当て ] タブで、ポリシーを適用するユーザーを含むセキュリティ グループにポリシーを割り当てます。 ポリシーを有効にするには、ユーザーのグループにポリシーを適用する必要があります。 グループごとに、必要に応じてフィルターを選択して、アプリ構成ポリシーの対象をより明確にできます。
構成を確認する
Windows アプリのデバイス リダイレクトを管理するように Intune と条件付きアクセスを構成したら、リモート セッションに接続してリダイレクト構成が期待どおりに動作することを確認します。 構成したポリシーに応じて、各プラットフォームのマネージド デバイスとアンマネージド デバイスの両方から確認する必要があります。