Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WVD運用に欠かせない5つのポイント

531 views

Published on

これが私のおすすめリモート開発事例 by MS MVP - MSTechNight #12
2020/08/17

Published in: Technology
  • Be the first to comment

  • Be the first to like this

WVD運用に欠かせない5つのポイント

  1. 1. WVD運用に 欠かせない 5つのポイント これが私のおすすめリモート開発事例 by MS MVP - MSTechNight #12 2020-08-17 / Tsukasa Kato
  2. 2. Profile • Tsukasa Kato / 加藤 司 • 日本ビジネスシステムズ株式会社 シニアエキスパート • Microsoft MVP for Microsoft Azure • https://tsukatoh.hatenablog.com/ • https://www.slideshare.net/tsukasakatou9
  3. 3. • WVDおさらい • 運用に必要な5つのポイント 今日お話しすること
  4. 4. WVD
  5. 5. • Microsoft Azureで提供されるマネージドな仮想デスクトッ プサービス • マネージドサービスでSBCとVDIが提供される • Windows 10 マルチセッションが利用できる • サードパーティ製品との連携により、より高度な管理も可能 • Citrix Cloud • VMware Horizon Cloud Windows Virtual Desktop
  6. 6. Windows Virtual Desktop概要 Windows Virtual Desktop https://azure.microsoft.com/ja-jp/services/virtual-desktop/#featured
  7. 7. 構成例(クラウドのみ) 既存システム Azure Firewall Session Hosts Azure AD Azure AD DS VM Image WVD Services Profiles Security Center Log
  8. 8. 構成例(オンプレミス連携) 既存システム Azure Firewall Session Hosts ExpressRoute Azure AD Azure AD DS AD AADC VM Image WVD Services Profiles Security Center Log
  9. 9. 運用に必要な5つのポイント
  10. 10. 運用に必要な5つのポイント セキュリティ ログ クライアント構成 アクセス制御
  11. 11. 運用に必要な5つのポイント セキュリティ ログ クライアント構成 アクセス制御
  12. 12. セキュリティ
  13. 13. • WVDのInbound/Outbound通信制御 • 脅威保護 セキュリティ
  14. 14. • WVDで配信されるVMは基本的にパブリックIPアドレスを構 成しない形で作成される。 • 外部からのアクセスはGatewayを通じて認証し、接続・配 信される仕組みとなっている。 • セキュアなネットワークからのアクセスは以下の通信を許可 する必要がある。 • Azure ADへの認証 (M365 Commonの認証部分) https://docs.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address- ranges?view=o365-worldwide • WVDへの通信 https://docs.microsoft.com/en-us/azure/virtual-desktop/safe-url-list 外部からWVDへのアクセス (Inbound制御)
  15. 15. • WVD内部からの通信はAzure VNetからインターネットアク セスされるように構成されている。 • インターネットアクセスを制限したい場合は必要に応じて フィルタリングを追加する必要がある。 • Azureのサービスで実現する場合はAzure Firewallでネット ワークルールやアプリケーションルールを構成して制御する。 • Azure Firewallの処理順はネットワークルール→アプリケー ションルールの順で処理される。 • サードパーティー製のセキュリティアプライアンスの導入も 検討。 WVD内部からの通信 (Outbound制御)
  16. 16. 通信制御の検討 Network Security Group Azure Firewall 3rd party appliance
  17. 17. WVD内部からの通信 (Outbound制御) Azure Firewall AzureFirewallSubnet Session Hosts Internet Web Access Diagnostics BrokerGateway Spoke VNET Hub VNET WVD Services NSG + Azure Firewall
  18. 18. WVD内部からの通信制御(例) • Office365への通信を許可(Teams含む) • 設定値は公式のO365 IPアドレス一覧より取得 Application rule collection Network rule collection Office365URL及びIPアドレス範囲 https://docs.microsoft.com/ja-jp/office365/enterprise/urls-and-ip-address-ranges
  19. 19. 脅威保護 • Azure Security Centerを有効化する • Endpoint Protection(Windows Defender等)を有効にする • 修正プログラムの適用
  20. 20. 運用に必要な5つのポイント セキュリティ ログ クライアント構成 アクセス制御
  21. 21. ログ
  22. 22. • 診断設定を有効にすることでLogAnalyticsにてログの収集・ 確認ができる。 • 収集できるログはホストプール、アプリケーショングループ、 ワークスペースそれぞれ以下のものを対象とできる。 ログ ホストプール アプリケーショングループ ワークスペース Checkpoint Error Management Connection HostRegistration Checkpoint Error Management Checkpoint Error Management Feed 以下はConnectionログのサンプル
  23. 23. • LogAnalyticsで収集したログをAzure Monitorで確認する Azure Monitor
  24. 24. • Azure Monitorに構成する場合は、以下のテンプレートを利 用する • https://github.com/wvdcommunity/AzureMonitor • 適用は「WVD-ARM-monitoring-workbook.json」の中身 をコピーしてAzure Monitor側に貼り付けるだけ。 Azure Monitor
  25. 25. • クラウドネイティブなSIEM(Security Information and Event Management) • 組み込みの AI を使用しているため、企業全体の大量のデー タの迅速な分析が可能 • セッションホストのログだけではなく、管理プレーンや Azure AD、Log Analyticsのアドオンとして有効化すること でWVDの様々なログが収集できる Azure Sentinel Azure Sentinel https://azure.microsoft.com/ja-jp/services/azure-sentinel/
  26. 26. 運用に必要な5つのポイント セキュリティ ログ クライアント構成 アクセス制御
  27. 27. クライアント
  28. 28. クライアント Client Platform/Version WVD専用クライアント Windows 7 / 10 macOS 10.12以降 iOS 13.0 以降(iPhone、iPad、iPod touch) Android 4.1 以降, Chrome OS 53以降 ブラウザ Microsoft Edge Windows Internet Explorer Windows Apple Safari macOS Mozilla Firefox Windows, macOS, Linux (Ver 55 以上) Google Chrome Windows, macOS, Linux, Chrome OS
  29. 29. • 専用クライアントの配布が難しい場合、Webクライアントの 利用も検討する。 • Microsoft TeamsをWVD上で利用する場合、デスクトップ クライアントのみサポートされているため、利用方法により 選択する必要がある。 クライアントの選択
  30. 30. • 不特定多数のクライアントからのアクセスを制御する。 • Microsoft Intuneを使い、企業に登録されポリシーに準拠し たデバイスからのみアクセスを制御する。(要ライセンス) アクセス元クライアントの制御 Microsoft Intune https://www.microsoft.com/ja-jp/microsoft-365/enterprise-mobility-security/microsoft-intune
  31. 31. 運用に必要な5つのポイント セキュリティ ログ クライアント構成 アクセス制御
  32. 32. 構成
  33. 33. • WVD Session Host等のリソース構成 • Session Hostに利用するVM構成 構成
  34. 34. • ARMテンプレートを利用した管理が可能。 • Infrastructure as Code (IaC) の観点から全構成ARMテン プレート化しておくことが望ましい。 • 特にSession Hostはイメージの差し替えで再作成すること があるので簡単に実行できるようにしておく。 Session Host等のリソース構成
  35. 35. • Session Host ARMテンプレート(例) セッションホストのARM構成 "resources": [ { "type": "Microsoft.DesktopVirtualization/hostpools", "apiVersion": "2019-12-10-preview", "name": "[parameters('hostpools_name')]", "location": "eastus", "properties": { "description": "Created through the WVD extension", "hostPoolType": "Pooled", "maxSessionLimit": 5, "loadBalancerType": "BreadthFirst", "validationEnvironment": false, "registrationInfo": { "registrationTokenOperation": "None" }, "vmTemplate": "[parameters(‘vmTemplate_name’)]", "preferredAppGroupType": "Desktop" } } ]
  36. 36. • アプリケーショングループ ARMテンプレート(例) アプリケーショングループのARM構成 "resources": [ { "type": "Microsoft.DesktopVirtualization/applicationgroups", "apiVersion":"2019-12-10-preview", "name": "[parameters('applicationgroups_DAG_name')]", "location":"eastus", "kind": "Desktop", "properties": { "hostPoolArmPath":"[parameters('hostpools_externalid')]", "description": "Desktop Application Group created through the Hostpool Wizard", "friendlyName":"[parameters('applicationgroups_name')]", "applicationGroupType":"Desktop" } } ]
  37. 37. • ワークスペース ARMテンプレート(例) ワークスペースのARM構成 "resources": [ { "type": "Microsoft.DesktopVirtualization/workspaces", "apiVersion":"2019-12-10-preview", "name": "[parameters('workspaces_name')]", "location":"eastus", "properties": { "applicationGroupReferences":[ "[parameters('applicationgroups_DAG_externalid')]" ] } } ]
  38. 38. • 適用するポリシー例 • 非アクティブユーザーの自動サインアウト • アイドルセッションの画面ロック • ドライブ、プリンター、USBデバイス等のローカルデバイスリダ イレクトの制御 • RDPセッションの禁止 (直接の管理にはJust-In-TimeアクセスやBastionの使用) • App Lockerによる不要ソフトウェア実行制限 • 企業におけるグループポリシー適用ルールをどこまで適用するか Session Hostに利用するVM構成
  39. 39. • インストールするアプリケーション • Office 365 ProPlusをインストールするか • Teamsは利用するか • その他の業務アプリケーションはインストールするか • Remote Appは利用するか • Remote Appを利用する場合は、「誰に」「どのアプリケーション」を配布 するか Session Hostに利用するVM構成
  40. 40. 運用に必要な5つのポイント セキュリティ ログ クライアント構成 アクセス制御
  41. 41. アクセス制御
  42. 42. • 多要素認証(Multi-Factor Authentication)を有効にする • 条件付きアクセスを有効にする (Azure AD P1以上) アクセス制御 Intuneの準拠デバイス のみアクセス可能と できる
  43. 43. • WVD VMからの通信制御は必要 • ログの管理はAzure Monitorで • クライアントは専用デスクトップがおすすめ • 構成管理はARMテンプレートで • MFA利用をご検討ください まとめ
  44. 44. • WVD Security Best Practices • https://docs.microsoft.com/ja-jp/azure/virtual-desktop/security-guide • Protect WVD with Azure Firewall • https://docs.microsoft.com/ja-jp/azure/firewall/protect-windows- virtual-desktop • Azure Security CenterによるWVD環境の保護 • https://azure.microsoft.com/ja-jp/blog/protecting-windows-virtual- desktop-environments-with-azure-security-center/ • WVD用にMFAを有効にする • https://docs.microsoft.com/ja-jp/azure/virtual-desktop/set-up-mfa 参考
  45. 45. ご清聴ありがとうございました

×