1.2K Views
December 14, 24
スライド概要
★全画面表示で ご覧ください。スライドの下部の Docswellツールバーの下に Qiita 記事へのリンクが隠れてしまっているので、リンク先が見やすくなります。
------
11/9 に開催された MCT SUMMIT JAPAN に登壇した時の資料を公開しました。軽めの自己紹介とともに、MCTへの歩み、7つの AVDに関する技術テーマには 私の Qiita 記事へのリンクも貼られています
このセッションでは、Azure Virtual Desktop (AVD) をどうセキュアに展開するかについて詳しく説明します。デモを交えながら、AVD のデプロイ方法や、FsLogix、AzureFirewall、Private Link、SSOの導入手法、テナント制限の設定など、具体的な技術や方法論を提供します。また、参加者からのリクエストに基づいてデモテーマを選定し、質問応答の時間も設けています。
Microsoft MVP for Security / Microsoft Certified Trainer
MCT SUMMIT JAPAN Azure Virtual Desktop を どうセキュアにするか? “独自の展開手法も紹介します” 2024年11月9日 野口 修司
本資料は 2024年11月9日 の MCT SUMMIT の登 壇時に使用したドキュメントであり、外部公開さ れているものです。 ご注意 各テーマは、外部リンクを参照いただくと 詳細な 解説記事を参照いただけます。 MCT SUMMIT JAPAN 2
あなたのことを教えてください MCT SUMMIT JAPAN 3
MCT SUMMIT JAPAN ※QRコードは、イベント開催時のみ有効です。 現在は利用できません。 4
1 デモ1 Azure Virtual Desktop のデプロイ Azure の素のイメージから1発展開 時間がかかるので、まず初めにやります 2 自己紹介と MCT キャリアについて 自己紹介と 私の MCT のキャリアを紹介します アジェンダ 3 AVD のテーマ紹介 本日、デモが可能なテーマを紹介します。 4 デモ2 紹介したテーマから 皆さんの意見を伺って デモを行います。 各デモごとに Q&A の時間も設けます。 MCT SUMMIT JAPAN 5
Azure Virtual Desktop と AZ-140 AZ-140 は、Azure Virtual Desktop (AVD) を 扱う(設計・構築・管理・運用) 公開情報: 知識を持っていることを証明する資格です。 公開情報:Microsoft Certified: Azure Virtual Desktop Specialty Microsoft Certified: Azure Virtual Desktop Specialty Microsoft 365 業務で使用するサイト Azure Azure Files Internet ユーザー プロファイル アプリ MCT SUMMIT JAPAN AVD Qiita 詳ス マ 記 細 事 タ 解 ) ー説 への は 道 こ ち (ら: 詳細解説はこちら:AVDマスターへの道(Qiita 記事) 6
デモ1:Azure Virtual Desktop の1発デプロイ 以下の [Deploy to Azure] のボタンを押すだけで、AVD をデプロイすることが可能です。 ★事前に、仮想ネットワークと ドメインコントローラーは必要 簡単 ・設定項目があらかじめ用意 ・必要な項目だけを可変 ・簡単にデプロイ セキュア ・パスワードがセキュア ・運用者に知らせる必要なし 一気通貫 ・素のイメージから展開 ・そのまま業務利用可 ※テンプレートから管理者パ スワードが漏洩する事はあり ません。 MCT SUMMIT JAPAN 7
デモ1:今回のデモにおける パラメータ 任意の名前 VM 台数 vCPU VM 1台当たりのセッション数 MCT SUMMIT JAPAN 8
自己紹介 MCT SUMMIT JAPAN 9
自己紹介 1982~ 趣味 / 仕事 / テクニカル 2003~2004 2019~ 2021~ 1982~2005 1989~ 2023~ 1997~ 1995~ 2009~2014 2005~ 2007~ MCT SUMMIT JAPAN 2008~ 2020~ 2005~2008 10
異色かもしれない、私の MCT キャリア 2019 年に MCT を取得することになった背景 知ったきっかけ なぜ取得したのか どうやって mstep のオンライン研修 を受講(竹島さん、国井さん) 弊社テクニカルサポート 業務のトレーナーとして 従事することになった CompTIA CTT+ 外部研修を活用した MCT取得者の 個人ブログをみて 特典が気になった MCT SUMMIT JAPAN 11
今までは どうやって 活動していたのか? これで良いのか腑に落ちないまま MCT を継続 本来の MCT として活動している方々との差を認識しつつ・・・ 孤独な MCT MCT を増やした 懸念点 MCTの知り合いが居ない 運営ノウハウもない そのため、特典のみ活用 特MCT 典について 同僚に紹介して MCT取得 者を増やした 本来の MCT としての 活動になっていない のでは? ★ ★MCT特典について MCTサポートフォーラムだけ MCT サポート フ ォ ーラ ム が頼り MCTサポートフォーラム MCT SUMMIT JAPAN これで良いのか? 12
直近の活動 継続して MCT増員 コミュニティ活動 2023年7月から MCT条件変更 外部の講師資格での認定 ではなくなった MCT SUMMIT への登壇や Qiita への記事投稿を通じた コミュニティ活動 今後は・・ NTTデータグループ向け 研修へ、まずは サブ講師 として参加予定 新条件での MCT研修へ団体で参加 NTTデータグループ内での コミュニティ活動 ・コアメンバー ・Q&A に回答 ・イベント開催 その他の ISCP 承認済み指導スキル証明書プロバイダー 承認済み指導スキル証明書プロバイダー Instructional Skills Certificate Providers このコミュニティ活動が切っ掛けとなり、 弊社内の教育組織の人 (MCT)と繋がり、 今後の活動が見えてきました。 MCT SUMMIT JAPAN 13
デモ1:Azure Virtual Desktop の1発デプロイ さて、ここで 始めに デプロイ していた AVD がどうなっているのか、見てみましょう。 このタイミングで、 ユーザーグループを ワークスペースに割り当てます。 Qiita ユー 記 事 ザ ) ーグループの割り 当て( ユーザーグループの割り当て(Qiita 記事) MCT SUMMIT JAPAN 14
AVD への 接続方法 デモアカウントを 会場参加の 20名 に配布します。 その他の方は、私のデモ画面にて動作を確認ください。 iOS ブラウザ https://windows.cloud.microsoft/ Windows App Android Qiita ★ iPad 版 記 事 アプ ) リ 検証結果( ★iPad 版アプリ検証結果(Qiita記事) MCT SUMMIT JAPAN 15
AVD の テーマ紹介 本日、デモ可能なテーマを紹介します。 あとで、皆さんが見たいと思うデモをア ンケートさせていただきます。 希望の多かったテーマから順に、デモと Q&A を実施していきます。 MCT SUMMIT JAPAN 16
① デモ1の内容:イメージを全自動で日本語化 Azure 上のマスターイメージをもとに、オンデマンドで イメージを生成します。 OS のほかに、Office アプリ も日本語化します。 2 メ 細 自 ) ー 解 動 ジか 説 で ら 日 は 直 本 こ 接 ち 語 デ ら 化 : プす ロイ る し ( た 17 MCT SUMMIT JAPAN 記をのイ詳事全★詳細解説はこちら: Azure MarketPlace のイメージから直接デプロイした VM (AVD) を 全自動で日本語化する(Qiita 記事) Azure VM Qiita MarketPlace ★ (AVD)
① デモ1の内容:マウスのみで簡単デプロイ 今日のセッションの冒頭でお見せした仕組みです。 ARMテンプレートを使って実現しています。 MCT SUMMIT JAPAN AVD Qiita ★詳 を 記 事 ボタ 細 ) ン 解 1 説 発で はデ こ プ ちロ ら : イできるよう にする( ★詳細解説はこちら:AVD を ボタン1発でデプロイできるようにする(Qiita 記事) 18
① デモ1の内容:ARM テンプレート デプロイの課題解決 ARMテンプレートでデプロイする際の3つの課題が発生。これを解決します。 (1) パスワードの受け渡しの課題(パスワード丸見え) (3) VM名が重複する課題 Before (1) Qiita 詳事 記 細解 )説はこ ちら : ( After (1) 詳細解説はこちら:(Qiita 記事) (2) テンプレートのトークン日付の課題 Before(固定でタイムスタンプ) ※任意の名前に連番 ※AVD月日時分 に連番 After(現在日時の2時間後) MCT SUMMIT JAPAN (2)ン ARM AVD Qiita (3) 詳 テ を 記 細 事 プ 解 ) レ 説 ート は で こ デ ち プ ら ロ : イする際の3 つの課題を解決する( (2) (3) 詳細解説はこちら:AVD を ARMテンプレートでデプロイする際の3つの課題を解決する(Qiita 記事) 19
② FSLogix ユーザープロファイル AVD Multi Session を効果的に活用できる仕組みです。 RDP RDP user01.vhdx user02.vhdx user03.vhdx MCT SUMMIT JAPAN RDP Azure VM FSLogix Qiita (AVD) MarketPlace 詳機 の を に 記 イ 細 事 メ 能 解 ) ー さ 説 ジ せ か は る ら こ ( 直 ち 接 ら : デプロイした 詳細解説はこちら:Azure MarketPlace のイメージから直接デプロイしたVM (AVD) に FSLogix を機能させる(Qiita 記事)20
② FSLogix ユーザープロファイル AVD Multi Session を効果的に活用できる仕組みです。 RDP RDP user01.vhdx user02.vhdx user03.vhdx MCT SUMMIT JAPAN RDP Azure VM FSLogix Qiita (AVD) MarketPlace 詳機 の を に 記 イ 細 事 メ 能 解 ) ー さ 説 ジ せ か は る ら こ ( 直 ち 接 ら : デプロイした 詳細解説はこちら:Azure MarketPlace のイメージから直接デプロイしたVM (AVD) に FSLogix を機能させる(Qiita 記事)21
③ SSO でサインイン AVD 接続時に発生する認証を回避します。 MCT SUMMIT JAPAN AVD (A SSO Qiita DS) ★D セ で を 記 ッ サ 詳 事 シ イ 細 ) ョ ン ン 解 イ ホ 説 ン ス さ は ト せ こ た ち い ら ( : ★詳細解説はこちら:AVD セッションホスト (AD DS) を SSO でサインインさせたい(Qiita 記事) 22
③ SSO でサインイン AVD 接続時に発生する認証を回避します。 MCT SUMMIT JAPAN AVD (A SSO Qiita DS) ★D セ で を 記 ッ サ 詳 事 シ イ 細 ) ョ ン ン 解 イ ホ 説 ン ス さ は ト せ こ た ち い ら ( : ★詳細解説はこちら:AVD セッションホスト (AD DS) を SSO でサインインさせたい(Qiita 記事) 23
④ テナント制限v2 クラウドサービスは、URL によるフィルタリングだけではセキュリティ対策ができません。 そんな時に、テナント制限 で対策できます。 Microsoft v2 Qiita Entra 詳ナ テ で 記 細 事 外 ン 解 部 ) ト 説 制ナ テ 限 は ン こ ト ち へ ら の : アク セスをブロッ ク する( 詳細解説はこちら:Microsoft Entra テナント制限v2 で 外部テナントへのアクセスをブロックする(Qiita 記事) MCT SUMMIT JAPAN Microsoft v2 WDAC Qiita ★リ エ で ポ 記 ン 詳 事 シ ド 細 ) ー ポ 解 で イ 制 説 ント 御 は の し こ フ ち て ァ ら み イ : ア た テ ウ ( ナ ォ ン ー ト ル 制 保 限 護を ★詳細解説はこちら:テナント制限v2 で Microsoftエンドポイントのファイアウォール保護を WDACポリシーで制御してみた(Qiita 記事) 24
④ テナント制限v2 URL Qiita 詳 フ 記 ィ 細 事 ル解 ) タを 説組 は み こ 合 ちら わ : た テナ ア ン ク ト セ 制 ス制 限御 、条 (件付きアク セス、 詳細解説はこちら:テナント制限、条件付きアクセス、URLフィルタ を組み合わた アクセス制御(Qiita 記事) クラウドサービスは、URL によるフィルタリングだけではセキュリティ対策ができません。 そんな時に、テナント制限 で対策できます。 Microsoft v2 Qiita Entra 詳ナ テ で 記 細 事 外 ン 解 部 ) ト 説 制ナ テ 限 は ン こ ト ち へ ら の : アク セスをブロッ ク する( 詳細解説はこちら:Microsoft Entra テナント制限v2 で 外部テナントへのアクセスをブロックする(Qiita 記事) MCT SUMMIT JAPAN Microsoft v2 WDAC Qiita ★リ エ で ポ 記 ン 詳 事 シ ド 細 ) ー ポ 解 で イ 制 説 ント 御 は の し こ フ ち て ァ ら み イ : ア た テ ウ ( ナ ォ ン ー ト ル 制 保 限 護を ★詳細解説はこちら:テナント制限v2 で Microsoftエンドポイントのファイアウォール保護を WDACポリシーで制御してみた(Qiita 記事) 25
⑤ プライベートエンドポイント経由で 閉域接続 AVD への既定のアクセスは、インターネット経由 です。 プライベートエンドポイント を利用し、かつ インターネットからのアクセスを制限できます。 Internet RDP Connection (TCP) RDP Closed Network Connection (TCP) (Express Route or VPN) プライベートエンドポイントを有効化 インターネットからのアクセスをブロック MCT SUMMIT JAPAN AVD Qiita 詳事 を 記 細 プラ 解 ) イ 説 ベー はト こ エ ち ン ら ド :ポイント経由で閉域接続する( 詳細解説はこちら:AVD を プライベートエンドポイント経由で 閉域接続する(Qiita 記事) 26
⑤ プライベートエンドポイント経由で 閉域接続 AVD への既定のアクセスは、インターネット経由 です。 プライベートエンドポイント を利用し、かつ インターネットからのアクセスを制限できます。 Internet RDP Connection (TCP) RDP Closed Network Connection (TCP) (Express Route or VPN) プライベートエンドポイントを有効化 インターネットからのアクセスをブロック MCT SUMMIT JAPAN AVD Qiita 詳事 を 記 細 プラ 解 ) イ 説 ベー はト こ エ ち ン ら ド :ポイント経由で閉域接続する( 詳細解説はこちら:AVD を プライベートエンドポイント経由で 閉域接続する(Qiita 記事) 27
⑥ RDP Shortpath Session Host への接続時に コントロールプレーン を経由しない。 UDP プロトコルによって、効率よくパケットを転送する。 Workspace MCT SUMMIT JAPAN RDP(TCP) AVD RDP Qiita Shortpath ★構 の を 記 詳 事成 細 )す 解る 説 ( はこ ちら: ★詳細解説はこちら:AVD の RDP Shortpath を構成する(Qiita 記事) 28
⑥ RDP Shortpath Session Host への接続時に コントロールプレーン を経由しない。 UDP プロトコルによって、効率よくパケットを転送する。 Workspace RDP Connection (UDP) MCT SUMMIT JAPAN AVD RDP Qiita Shortpath ★構 の を 記 詳 事成 細 )す 解る 説 ( はこ ちら: ★詳細解説はこちら:AVD の RDP Shortpath を構成する(Qiita 記事) 29
⑦ Azure Firewall と 組みあわせる Azure Firewall 導入前は、不適切なサイトへのアクセスが可能 Azure Firewall 導入によって、アクセスを制御可能となり、ログ記録も可 業務で使用するサイト Microsoft 365 業務に不適切なサイト Azure Files 詳細解説はこちら(Qiita 記事) Azure ★疑 を 起似 動Firewall 的 &に 停起 止動 :&停止するには? ★起動&停止:Azure Firewall を疑似的に 起動&停止 するには? Azure AVD Firewall ★構 と を ちゃ 築 ん : と組みあわせてみた ★構築:AVD と Azure Firewall を ちゃんと組みあわせてみた 既定の Internet アクセス MCT SUMMIT JAPAN 30
⑦ Azure Firewall と 組みあわせる Azure Firewall 導入前は、不適切なサイトへのアクセスが可能 Azure Firewall 導入によって、アクセスを制御可能となり、ログ記録も可 業務で使用するサイト Microsoft 365 業務に不適切なサイト Azure Files (Private Endpoint) 詳細解説はこちら(Qiita 記事) Azure ★疑 を 起似 動Firewall 的 &に 停起 止動 :&停止するには? ★起動&停止:Azure Firewall を疑似的に 起動&停止 するには? Azure AVD Firewall ★構 と を ちゃ 築 ん : と組みあわせてみた ★構築:AVD と Azure Firewall を ちゃんと組みあわせてみた 既定の Internet アクセス RDP Shortpath MCT SUMMIT JAPAN Log Analytics 31
どのデモを見たいでしょうか? 時間の許す限り アンケートとデモを繰り返します。 MCT SUMMIT JAPAN 32
ライブ当日は、 ④ → ③ の順に投票いただき、 この2つのテーマをデモしま した MCT SUMMIT JAPAN ※QRコードは、イベント開催時のみ有効です。 現在は利用できません。 33
ご清聴いただき、 ありがとうございました MCT SUMMIT JAPAN 34
さいごに 最後に 本セミナーに参加いただいた 感想を お聞かせいただきたいと思います。 MCT SUMMIT JAPAN 35
皆さんの感想をお聞かせください MCT SUMMIT JAPAN 36
MCT SUMMIT JAPAN ※QRコードは、イベント開催時のみ有効です。 現在は利用できません。 37
Room 2 Azure Virtual Desktop を どうセキュアにするか? “独自の展開手法も紹介します” ※QRコードは、イベント開催時のみ有効です。 現在は利用できません。 本日のセッションは終了しました。 ありがとうございました。 MCT SUMMIT JAPAN 38