Azure Virtual Desktop は、organizationを安全に保つための多くのセキュリティ機能を備えたマネージド仮想デスクトップ サービスです。 Azure Virtual Desktop のアーキテクチャは、ユーザーをデスクトップやアプリに接続するサービスを構成する多くのコンポーネントで構成されています。
Azure Virtual Desktop には、受信ネットワーク ポートを開く必要がない Reverse Connect など、多くの高度なセキュリティ機能が組み込まれています。これにより、リモート デスクトップにどこからでもアクセスできるリスクが軽減されます。 このサービスは、多要素認証や条件付きアクセスなど、Azure の他の多くのセキュリティ機能からもメリットがあります。 この記事では、デスクトップとアプリをorganizationのユーザーに提供するか、外部ユーザーに提供するかに関係なく、Azure Virtual Desktop のデプロイをセキュリティで保護するために管理者として実行できる手順について説明します。
共有セキュリティの責任
Azure Virtual Desktop の前に、リモート デスクトップ サービスなどのオンプレミス仮想化ソリューションでは、ゲートウェイ、ブローカー、Web アクセスなどのロールへのアクセス権をユーザーに付与する必要があります。 これらのロールは完全に冗長で、ピーク容量を処理できる必要がありました。 管理者は、Windows Server オペレーティング システムの一部としてこれらのロールをインストールし、パブリック接続にアクセスできる特定のポートでドメインに参加する必要がありました。 デプロイをセキュリティで保護するために、管理者はインフラストラクチャ内のすべてのものが常に維持され、最新の状態であることを確認する必要がありました。
ただし、ほとんどのクラウド サービスでは、Microsoft と顧客またはパートナーの間で セキュリティ責任のセットが共有 されています。 Azure Virtual Desktop の場合、ほとんどのコンポーネントは Microsoft が管理しますが、セッション ホストと一部のサポート サービスとコンポーネントはカスタマー マネージドまたはパートナー管理です。 Azure Virtual Desktop の Microsoft で管理されるコンポーネントの詳細については、「 Azure Virtual Desktop サービスのアーキテクチャと回復性」を参照してください。
一部のコンポーネントは環境用に既にセキュリティ保護されていますが、organizationまたは顧客のセキュリティ ニーズに合わせて他の領域を自分で構成する必要があります。 Azure Virtual Desktop デプロイのセキュリティを担当するコンポーネントを次に示します。
| コンポーネント | 責任 |
|---|---|
| ID | 顧客またはパートナー |
| ユーザー デバイス (モバイルと PC) | 顧客またはパートナー |
| アプリのセキュリティ | 顧客またはパートナー |
| セッション ホスト オペレーティング システム | 顧客またはパートナー |
| デプロイ構成 | 顧客またはパートナー |
| ネットワーク コントロール | 顧客またはパートナー |
| 仮想化コントロール プレーン | Microsoft |
| 物理ホスト | Microsoft |
| 物理ネットワーク | Microsoft |
| 物理データセンター | Microsoft |
セキュリティの境界
セキュリティ境界は、異なるレベルの信頼を持つセキュリティ ドメインのコードとデータを分離します。 たとえば、通常、カーネル モードとユーザー モードの間にはセキュリティ境界があります。 ほとんどの Microsoft のソフトウェアとサービスは、ネットワーク上のデバイス、仮想マシン (VM)、デバイス上のアプリケーションを分離するために、複数のセキュリティ境界に依存しています。 次の表に、Windows の各セキュリティ境界と、全体的なセキュリティのために実行する内容を示します。
| セキュリティ境界 | 説明 |
|---|---|
| ネットワーク境界 | 未承認のネットワーク エンドポイントは、顧客のデバイス上のコードとデータにアクセスしたり、改ざんしたりすることはできません。 |
| カーネル境界 | 管理以外のユーザー モード プロセスでは、カーネル コードとデータにアクセスしたり、改ざんしたりすることはできません。 Administrator-to-kernel はセキュリティ境界ではありません。 |
| プロセス境界 | 未承認のユーザー モード プロセスは、別のプロセスのコードとデータにアクセスしたり、改ざんしたりすることはできません。 |
| AppContainer サンドボックスの境界 | AppContainer ベースのサンドボックス プロセスは、コンテナーの機能に基づいて、サンドボックスの外部にあるコードやデータにアクセスしたり、改ざんしたりすることはできません。 |
| ユーザー境界 | ユーザーが承認されないと、別のユーザーのコードやデータにアクセスしたり改ざんしたりすることはできません。 |
| セッション境界 | ユーザー セッションは、承認されていないと別のユーザー セッションにアクセスしたり改ざんしたりすることはできません。 |
| Web ブラウザーの境界 | 承認されていない Web サイトは、同じ配信元ポリシーに違反することも、Microsoft Edge Web ブラウザー サンドボックスのネイティブ コードやデータにアクセスしたり改ざんしたりすることもできません。 |
| 仮想マシンの境界 | 承認されていない Hyper-V ゲスト仮想マシンは、別のゲスト仮想マシンのコードとデータにアクセスしたり、改ざんしたりすることはできません。これには、Hyper-V 分離コンテナーが含まれます。 |
| 仮想セキュア モード (VSM) 境界 | VSM の信頼されたプロセスまたはエンクレーブの外部で実行されているコードは、信頼されたプロセス内のデータとコードにアクセスしたり、改ざんしたりすることはできません。 |
Azure Virtual Desktop シナリオに推奨されるセキュリティ境界
また、セキュリティ境界に関する特定の選択をケース バイ ケースで行う必要もあります。 たとえば、organizationのユーザーがアプリをインストールするためにローカル管理者特権を必要とする場合は、共有セッション ホストではなく個人用デスクトップを提供する必要があります。 これらのユーザーは、セッションまたは NTFS データアクセス許可のセキュリティ境界を越えたり、マルチセッション VM をシャットダウンしたり、サービスを中断したり、データの損失を引き起こす可能性があるため、ユーザーにローカル管理者特権を付与することはお勧めしません。
管理者特権を必要としないアプリを持つナレッジ ワーカーなど、同じorganizationのユーザーは、Windows 11 Enterpriseマルチセッションのようなマルチセッション セッション ホストの優れた候補です。 これらのセッション ホストは、複数のユーザーが 1 つの VM を共有できるため、organizationのコストを削減します。これは、1 人のユーザーあたりの VM のオーバーヘッド コストだけです。 FSLogix などのユーザー プロファイル管理製品を使用すると、サービスの中断に気付かなくても、ホスト プール内の任意の VM を割り当てることができます。 この機能を使用すると、ピーク時以外の時間帯に VM をシャットダウンするなどの操作を行うことで、コストを最適化することもできます。
状況に応じて、さまざまな組織のユーザーがデプロイに接続する必要がある場合は、Active Directory や Microsoft Entra ID などの ID サービス用の別のテナントを用意することをお勧めします。 また、Azure Virtual Desktop や VM などの Azure リソースをホストするために、それらのユーザーに別のサブスクリプションを用意することもお勧めします。
多くの場合、マルチセッションを使用することはコストを削減する許容される方法ですが、推奨するかどうかは、共有マルチセッション インスタンスへの同時アクセスを持つユーザー間の信頼レベルによって異なります。 通常、同じorganizationに属するユーザーは、十分で合意された信頼関係を持っています。 たとえば、共同作業を行い、互いの個人情報にアクセスできる部署やワークグループは、高い信頼レベルのorganizationです。
Windows では、セキュリティの境界と制御を使用して、ユーザー のプロセスとデータがセッション間で分離されるようにします。 ただし、Windows は、ユーザーが作業しているインスタンスへのアクセスを引き続き提供します。
マルチセッションデプロイは、organization内外のユーザーが他のユーザーの個人情報に不正にアクセスできないように、より多くのセキュリティ境界を追加するセキュリティの詳細な戦略の恩恵を受けます。 未承認のデータ アクセスは、未公開のセキュリティの脆弱性や、まだ修正プログラムが適用されていない既知の脆弱性など、システム管理者による構成プロセスでエラーが発生したために発生します。
異なる企業または競合する企業で働くユーザーに、同じマルチセッション環境へのアクセスを許可することはお勧めしません。 これらのシナリオには、ネットワーク、カーネル、プロセス、ユーザー、セッションなど、攻撃または悪用される可能性があるいくつかのセキュリティ境界があります。 1 つのセキュリティの脆弱性により、未承認のデータと資格情報の盗難、個人情報の漏洩、ID の盗難、その他の問題が発生する可能性があります。 仮想化環境プロバイダーは、可能な限り、複数の強力なセキュリティ境界と追加の安全機能を備えた適切に設計されたシステムを提供する責任を負います。
これらの潜在的な脅威を減らすには、フォールトプルーフ構成、パッチ管理設計プロセス、および通常のパッチデプロイスケジュールが必要です。 多層防御の原則に従い、環境を分離しておくことをお勧めします。
次の表は、各シナリオに関する推奨事項をまとめたものです。
| 信頼レベルのシナリオ | 推奨されるソリューション |
|---|---|
| 標準特権を持つ 1 つのorganizationのユーザー | Windows Enterprise マルチセッション オペレーティング システム (OS) を使用します。 |
| ユーザーには管理者権限が必要です | 個人用ホスト プールを使用し、各ユーザーに独自のセッション ホストを割り当てます。 |
| 接続しているさまざまな組織のユーザー | Azure テナントと Azure サブスクリプションを分離する |
Azure セキュリティのベスト プラクティス
Azure Virtual Desktop は、Azure の下のサービスです。 Azure Virtual Desktop デプロイの安全性を最大限に高めるために、周囲の Azure インフラストラクチャと管理プレーンもセキュリティで保護する必要があります。 インフラストラクチャをセキュリティで保護するには、Azure Virtual Desktop が大規模な Azure エコシステムにどのように適合するかを検討してください。 Azure エコシステムの詳細については、「 Azure セキュリティのベスト プラクティスとパターン」を参照してください。
今日の脅威の状況では、セキュリティ アプローチを念頭に置いた設計が必要です。 理想的には、データとネットワークが侵害されたり攻撃されたりしないように、コンピューター ネットワーク全体に階層化された一連のセキュリティ メカニズムとコントロールを構築する必要があります。 この種類のセキュリティ設計は、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ機関 (CISA) が多層防御を呼び出すものです。
次のセクションでは、Azure Virtual Desktop デプロイをセキュリティで保護するための推奨事項について説明します。
Cloud のMicrosoft Defenderを有効にする
クラウドの強化されたセキュリティ機能のMicrosoft Defenderを有効にして、次のことを行うことをお勧めします。
- 脆弱性を管理します。
- PCI セキュリティ標準評議会のような一般的なフレームワークへのコンプライアンスを評価します。
- 環境の全体的なセキュリティを強化します。
詳細については、「 強化されたセキュリティ機能を有効にする」を参照してください。
セキュリティ スコアを向上させる
セキュリティ スコアは、全体的なセキュリティを改善するための推奨事項とベスト プラクティスのアドバイスを提供します。 これらの推奨事項は、最も重要なものを選ぶのに役立つ優先順位が付けられます。また、[クイック修正] オプションを使用すると、潜在的な脆弱性に迅速に対処できます。 これらの推奨事項は、時間の経過と同時に更新され、環境のセキュリティを維持するための最適な方法を最新の状態に保ちます。 詳細については、「Microsoft Defender for Cloud でのセキュリティ スコアの向上」を参照してください。
多要素認証が必要
Azure Virtual Desktop のすべてのユーザーと管理者に多要素認証を要求すると、デプロイ全体のセキュリティが向上します。 詳細については、「Azure Virtual Desktop の多要素認証Microsoft Entra有効にする」を参照してください。
条件付きアクセスの有効化
条件付きアクセスを有効にすると、ユーザーに Azure Virtual Desktop 環境へのアクセスを許可する前にリスクを管理できます。 アクセス権を付与するユーザーを決定するときは、ユーザーのユーザー、サインイン方法、使用しているデバイスも検討することをお勧めします。
監査ログの収集
監査ログ収集を有効にすると、Azure Virtual Desktop に関連するユーザーと管理者のアクティビティを表示できます。 キー監査ログの例を次に示します。
Azure Monitor による使用状況の監視
Azure Monitor を使用して、Azure Virtual Desktop サービスの使用状況と可用性を 監視します。 サービスに影響を与えるイベントが発生するたびに通知を受け取るために、Azure Virtual Desktop サービスのサービス 正常性アラート を作成することを検討してください。
セッション ホストを暗号化する
未承認のアクセスから保存されたデータを保護するために、 マネージド ディスク暗号化オプション を使用してセッション ホストを暗号化します。
セッション ホストのセキュリティに関するベスト プラクティス
セッション ホストは、Azure サブスクリプションと仮想ネットワーク内で実行される仮想マシンです。 Azure Virtual Desktop デプロイの全体的なセキュリティは、セッション ホストに設定したセキュリティ制御によって異なります。 このセクションでは、セッション ホストをセキュリティで保護するためのベスト プラクティスについて説明します。
エンドポイント保護の有効化
既知の悪意のあるソフトウェアからデプロイを保護するには、すべてのセッション ホストでエンドポイント保護を有効にすることをお勧めします。 Windows Defender ウイルス対策またはサード パーティ製プログラムを使用できます。 詳細については、「VDI 環境での Windows Defender ウイルス対策の展開ガイド」を参照してください。
FSLogix などのプロファイル ソリューションや、仮想ハード ディスク ファイルをマウントするその他のソリューションの場合は、これらのファイル拡張子を除外することをお勧めします。 FSLogix の除外の詳細については、「 ウイルス対策ファイルとフォルダーの除外を構成する」を参照してください。
エンドポイント検出および応答製品をインストールする
高度な検出と応答の機能を提供するには、エンドポイント検出と応答 (EDR) 製品をインストールすることをお勧めします。 Microsoft Defender for Cloud が有効になっているサーバー オペレーティング システムの場合、EDR 製品をインストールすると、Microsoft Defender for Endpointがデプロイされます。 クライアント オペレーティング システムの場合は、Microsoft Defender for Endpointまたはサード パーティ製品をこれらのエンドポイントに展開できます。
脅威および脆弱性管理の評価の有効化
オペレーティング システムとアプリケーションに存在するソフトウェアの脆弱性を特定することは、環境のセキュリティを維持するために重要です。 Microsoft Defender for Cloud は、Microsoft Defender for Endpointの脅威と脆弱性の管理 ソリューションを通じて問題の特定に役立ちます。 必要に応じてサードパーティ製品を使用することもできますが、クラウドとMicrosoft Defender for EndpointにMicrosoft Defenderを使用することをお勧めします。
環境内のソフトウェアの脆弱性にパッチを適用する
脆弱性を特定したら、修正プログラムを適用する必要があります。 これは、実行中のオペレーティング システム、その中にデプロイされるアプリケーション、および新しいマシンを作成するイメージを含む仮想環境にも適用されます。 ベンダーのパッチ通知通信に従い、タイムリーにパッチを適用します。 新しくデプロイされたマシンが可能な限り安全になるように、ベース イメージに毎月パッチを適用することをお勧めします。
最大非アクティブ時間および切断ポリシーの確立
非アクティブ時にユーザーをサインアウトすると、リソースが保持され、承認されていないユーザーによるアクセスが防止されます。 タイムアウトでは、ユーザーの生産性とリソース使用量のバランスを取るようにお勧めします。 ステートレス アプリケーションと対話するユーザーの場合は、マシンをオフにしてリソースを保持する、より積極的なポリシーを検討してください。 ユーザーがアイドル状態 (シミュレーションや CAD レンダリングなど) の場合に実行され続ける実行時間の長いアプリケーションを切断すると、ユーザーの作業が中断され、コンピューターの再起動が必要になることがあります。
アイドル セッションの画面ロックを設定する
アイドル時にマシンの画面をロックするように Azure Virtual Desktop を構成し、ロックを解除するために認証を要求することで、不要なシステム アクセスを防ぐことができます。
階層化された管理者アクセスを確立する
仮想デスクトップへの管理者アクセス権をユーザーに付与しないことをお勧めします。 ソフトウェア パッケージが必要な場合は、Microsoft Intuneなどの構成管理ユーティリティを使用して使用できるようにすることをお勧めします。 マルチセッション環境では、ユーザーにソフトウェアを直接インストールしないことをお勧めします。
どのユーザーがどのリソースにアクセスするかを検討します。
セッション ホストは、既存のデスクトップ展開の拡張機能と考えてください。 ネットワーク のセグメント化やフィルター処理など、環境内の他のデスクトップと同じ方法でネットワーク リソースへのアクセスを制御することをお勧めします。 既定では、セッション ホストはインターネット上の任意のリソースに接続できます。 Azure Firewall、ネットワーク仮想アプライアンス、プロキシの使用など、トラフィックを制限する方法はいくつかあります。 トラフィックを制限する必要がある場合は、Azure Virtual Desktop が正常に動作するように適切なルールを追加してください。
Microsoft 365 アプリのセキュリティを管理する
セッション ホストをセキュリティで保護するだけでなく、その内部で実行されているアプリケーションもセキュリティで保護することが重要です。 Microsoft 365 アプリは、セッション ホストに展開される最も一般的なアプリケーションの一部です。 Microsoft 365 展開のセキュリティを強化するには、セキュリティ ポリシー アドバイザーを使用してMicrosoft 365 Apps for enterpriseすることをお勧めします。 このツールは、セキュリティを強化するためにデプロイに適用できるポリシーを識別します。 セキュリティ ポリシー アドバイザーは、セキュリティと生産性への影響に基づいてポリシーを推奨します。
ユーザー プロファイルのセキュリティ
ユーザー プロファイルには機密情報を含めることができます。 特に 、FSLogix プロファイル コンテナー を使用して SMB 共有の仮想ハード ディスク ファイルにユーザー プロファイルを格納する場合は、ユーザー プロファイルへのアクセス権を持つユーザーとそのアクセス方法を制限する必要があります。 SMB 共有のプロバイダーのセキュリティに関する推奨事項に従う必要があります。 たとえば、Azure Filesを使用してこれらの仮想ハード ディスク ファイルを格納する場合は、プライベート エンドポイントを使用して、Azure 仮想ネットワーク内でのみアクセスできるようにします。
セッション ホストのその他のセキュリティに関するヒント
オペレーティング システムの機能を制限することで、セッション ホストのセキュリティを強化できます。 実行できる操作を次に示します。
リモート デスクトップ セッションでドライブ、プリンター、USB デバイスをユーザーのローカル デバイスにリダイレクトすることで、デバイスのリダイレクトを制御します。 これらの機能を無効にする必要があるかどうかは、セキュリティ要件とチェックを評価することをお勧めします。
ローカル ドライブとリモート ドライブのマッピングを非表示にして、Windows エクスプローラー アクセスを制限します。 これにより、ユーザーがシステム構成とユーザーに関する不要な情報を検出できなくなります。
環境内のセッション ホストへの直接 RDP アクセスは避けてください。 管理またはトラブルシューティングのために直接 RDP アクセスが必要な場合は、 Just-In-Time アクセスを有効にして、セッション ホスト上の潜在的な攻撃対象を制限します。
ローカルおよびリモート ファイル システムにアクセスするときに、ユーザーに制限付きアクセス許可を付与します。 アクセス許可を制限するには、ローカル ファイル システムとリモート ファイル システムでアクセス制御リストを最小限の権限で使用するようにします。 これにより、ユーザーは必要なものにのみアクセスでき、重要なリソースを変更または削除することはできません。
セッション ホストで不要なソフトウェアが実行されないようにします。 RemoteApp はセキュリティ機能ではなく、アプリケーション グループに発行されたアプリケーションを超えてアプリケーションを起動することはできません。 許可するアプリケーションのみをセッション ホスト上で実行できるようにするには、App Control や AppLocker などの Windows 機能 の Application Control を使用できます。
信頼できる起動
信頼された起動は、ルートキット、ブート キット、カーネルレベルのマルウェアなどの攻撃ベクトルを使用して、スタックの最下位の脅威などの永続的な攻撃手法から保護することを目的とした強化されたセキュリティ機能を備えた Azure VM です。 これにより、検証済みのブート ローダー、OS カーネル、ドライバーを使用した VM の安全なデプロイが可能になり、VM 内のキー、証明書、シークレットも保護されます。 信頼された起動の詳細については、「 Azure 仮想マシンの信頼された起動」を参照してください。
Azure portalを使用してセッション ホストを追加すると、既定のセキュリティの種類は [信頼された仮想マシン] になります。 これにより、VM がWindows 11の必須要件を満たすことができます。 これらの要件の詳細については、「 仮想マシンのサポート」を参照してください。
Azure コンフィデンシャル コンピューティング仮想マシン
Azure Confidential Computing 仮想マシンに対する Azure Virtual Desktop のサポートにより、ユーザーの仮想デスクトップがメモリ内で暗号化され、使用中に保護され、ハードウェアの信頼ルートによってサポートされます。
Azure Virtual Desktop を使用して機密仮想マシンをデプロイすると、ユーザーは、ハードウェア ベースの分離を使用するセッション ホスト上の Microsoft 365 やその他のアプリケーションにアクセスできます。これにより、他の仮想マシン、ハイパーバイザー、ホスト OS からの分離が強化されます。 メモリ暗号化キーは、ソフトウェアから読み取ることができない CPU 内の専用のセキュリティで保護されたプロセッサによって生成され、保護されます。 使用可能な VM サイズなど、詳細については、 Azure コンフィデンシャル コンピューティングの概要に関するページを参照してください。
次のオペレーティング システムは、アクティブなサポートされているバージョンの場合、Azure Virtual Desktop 上の機密仮想マシンを持つセッション ホストとして使用するためにサポートされています。 サポート日については、「 Microsoft ライフサイクル ポリシー」を参照してください。
- Windows 11 Enterprise
- Windows 11 Enterprise multi-session
- Windows 10 Enterprise
- Windows 10 Enterprise マルチセッション
- Windows Server 2022
- Windows Server 2019
Azure Virtual Desktop をデプロイするか、セッション ホストをホスト プールに追加するときに、機密仮想マシンを使用してセッション ホストを作成できます。
オペレーティング システム ディスクの暗号化
オペレーティング システム ディスクの暗号化は、ディスク暗号化キーを機密コンピューティング VM のトラステッド プラットフォーム モジュール (TPM) にバインドする追加の暗号化レイヤーです。 この暗号化により、ディスク コンテンツに VM のみがアクセスできるようになります。 整合性監視を使用すると、定義されたベースラインで構成証明が失敗したために VM が起動しなかった場合に、暗号化構成証明と VM ブートの整合性の検証とアラートの監視が可能になります。 整合性の監視の詳細については、「クラウド統合のMicrosoft Defender」を参照してください。 ホスト プールを作成したり、セッション ホストを ホスト プール に追加したりするときに、機密 VM を使用して セッション ホストを作成するときに、機密コンピューティング暗号化を有効にすることができます。
セキュア ブート
セキュア ブートは、マルウェア ベースのルートキットとブート キットからファームウェアを保護するプラットフォーム ファームウェアがサポートするモードです。 このモードでは、署名されたオペレーティング システムとドライバーのみを起動できます。
リモート構成証明を使用してブートの整合性を監視する
リモート構成証明は、VM の正常性をチェックする優れた方法です。 リモート構成証明は、測定されたブート レコードが存在し、本物であり、仮想トラステッド プラットフォーム モジュール (vTPM) から発生していることを確認します。 正常性チェックとして、プラットフォームが正しく起動したことを確実に暗号化できます。
vTPM
vTPM は、VM ごとの TPM の仮想インスタンスを持つハードウェアトラステッド プラットフォーム モジュール (TPM) の仮想化バージョンです。vTPM では、VM のブート チェーン全体 (UEFI、OS、システム、ドライバー) の整合性測定を実行することで、リモート構成証明を有効にします。
vTPM を有効にして、VM でリモート構成証明を使用することをお勧めします。 vTPM を有効にすると、Azure Disk Encryption で BitLocker 機能を有効にすることもできます。これにより、保存データを保護するためのフル ボリューム暗号化が提供されます。 vTPM を使用するすべての機能では、シークレットが特定の VM にバインドされます。 プールされたシナリオでユーザーが Azure Virtual Desktop サービスに接続すると、ユーザーはホスト プール内の任意の VM にリダイレクトできます。 機能の設計方法によっては、これが影響を与える可能性があります。
注:
BitLocker を使用して、FSLogix プロファイル データを格納している特定のディスクを暗号化しないでください。
仮想化ベースのセキュリティ
仮想化ベースのセキュリティ (VBS) では、ハイパーバイザーを使用して、OS にアクセスできないセキュリティで保護されたメモリ領域を作成および分離します。 Hypervisor-Protected Code Integrity (HVCI) と Windows Defender Credential Guard はどちらも VBS を使用して、脆弱性からの保護を強化します。
コードの整合性を Hypervisor-Protected する
HVCI は、VBS を使用して、悪意のあるコードや検証されていないコードの挿入と実行から Windows カーネル モード プロセスを保護する強力なシステム軽減策です。
Windows Defender Credential Guard
Windows Defender Credential Guard を有効にします。 Windows Defender Credential Guard では、VBS を使用してシークレットを分離して保護し、特権システム ソフトウェアのみがアクセスできるようにします。 これにより、これらのシークレットや資格情報の盗難攻撃 (Pass-the-Hash 攻撃など) への不正アクセスが防止されます。 詳細については、「 Credential Guard の概要」を参照してください。
Windows Defender Application Control
Windows Defender アプリケーションコントロールを有効にします。 Windows Defender アプリケーションコントロールは、マルウェアやその他の信頼されていないソフトウェアからデバイスを保護するように設計されています。 承認されたコード (既知) のみを実行できるようにすることで、悪意のあるコードの実行を防ぎます。 詳細については、「 Windows のアプリケーション制御」を参照してください。
注:
Windows Defender Access Controlを使用する場合は、デバイス レベルでのみポリシーをターゲットにすることをお勧めします。 個々のユーザーにポリシーをターゲットにすることはできますが、ポリシーが適用されると、デバイス上のすべてのユーザーに均等に影響します。
Windows Update
Windows Updateからの更新を使用して、セッション ホストを最新の状態に保ちます。 Windows Updateは、デバイスを最新の状態に保つ安全な方法を提供します。 エンドツーエンドの保護により、プロトコル交換の操作を防ぎ、更新プログラムに承認済みのコンテンツのみが含まれるようにします。 Windows Updatesに適切にアクセスするには、保護されている環境の一部のファイアウォールとプロキシ規則を更新する必要がある場合があります。 詳細については、「Windows Update のセキュリティ」を参照してください。
リモート デスクトップ クライアントと他の OS プラットフォーム上の更新プログラム
他の OS プラットフォームで Azure Virtual Desktop サービスにアクセスするために使用できるリモート デスクトップ クライアントのソフトウェア更新プログラムは、それぞれのプラットフォームのセキュリティ ポリシーに従ってセキュリティ保護されます。 すべてのクライアント更新プログラムは、プラットフォームによって直接配信されます。 詳細については、各アプリの各ストア ページを参照してください。
次の手順
- 多要素認証を設定する方法について説明します。
- Azure Virtual Desktop デプロイゼロ トラスト原則を適用します。