インフラ技術&サービスでお客様のビジネスを
バックアップします。

  • contact
  • menu
03-5946-840003-5946-8400平日 10:00 - 18:00
ENGLISH
close

Azure Managed Service Column <Azure運用コラム>

専用線でAVD(Azure Virtual Desktop)に接続できるか?AVDへのセキュアな接続方法について

Category: 実践編

2022.08.18

AVD への安全な接続方法について解説

近年、クラウド環境でパソコンのデスクトップを利用できる DaaS(サービスとしてのデスクトップ)型サービスや、VDI( Virtual Desktop Infrastructure )サービスの導入が一般的になってきました。

Microsoft 社が提供する VDI サービスである AVD( Azure Virtual Desktop )を利用することで場所やデバイスを問わないリモートワークに最適な環境を構築することができます。しかし AVD は専用線による閉域網での利用ができません。そのことで利用者にとっては以下の課題が存在します。

  • どのように接続を安定させるか?
  • どのようにセキュリティを確保するか?

これらの課題を解決するために最適な設計と接続方法、オプションの組み合わせを選択する必要があります。本記事ではこのような AVD の課題を解決し、有効的な活用方法について解説します。

Azure Virtual Desktop について相談する

1. AVD( Azure Virtual Desktop )とは

AVD とは、Azure 環境から提供される VDI サービスです。リリース当初は WVD( Windows Virtual Desktop )という名称でリリースされましたが、2021 年 6 月に AVD へと名称が変更されました。近年、 AVD の利用が増えていますが、特徴として以下の点が挙げられます。

AVD の特徴

特徴 1 . マルチセッションによるコスト削減

AVD はマルチセッション接続に対応しています。通常 VDI サービスを利用する場合、仮想マシンを利用者ごとに割り当てる必要があります。しかし AVD のようにマルチセッション接続対応の場合、1 台の仮想マシンで複数の利用者が共同で利用することができ、仮想デスクトップ環境を集約できるのでコストの削減が可能です。

特徴 2 .情報漏洩対策

AVD は仮想デスクトップ基盤にデータが保管されます。物理的なクライアント端末には一切のデータが保存されません。そのため、クライアント端末からの情報漏洩や、意図的な情報流出といったセキュリティインシデントのリスクを低減することができます。

特徴 3 . 柔軟な設計と従量課金

導入にあたって初期費用が不要です。また仮想マシンの台数と利用時間による従量課金であるため、企業規模や事業形態に合った柔軟性のあるサイジングが可能です。

このように AVD は Azure 環境におけるメリットを活かすことで安全且つ効率的な利用を実現する事ができます。

2. AVD の課題について

AVD は場所やデバイスを問わないリモートワークの普及に伴い利用が広がりました。その反面、課題として以下のようなリスクを考慮する必要があります。

課題 1 . AVD への接続安定性の確保

AVD はマルチセッション接続に対応しています。そのことで様々な場所から複数のデバイスが接続できます。しかし利用者のトラフィックが集中し、輻輳によるアクセスの遅延が生じやすい環境と言えるでしょう。このような状況を回避し、如何にして接続の負荷を下げ、通信を安定させるかが課題です。

課題 2 . AVD への接続経路上における安全性の確保

AVD へのアクセスは原則インターネット回線(公衆網)経由が前提となります。その為、接続経路上、データの盗取、漏洩といったセキュリティリスクに常にさらされることになります。仮想マシンへの接続における機密性、接続先の真正性を担保する必要があります。

課題 3 . AVD への不正侵入防止

AVD へのアクセス認証において、一般的な ID とパスワード認証だけでなく、条件付きアクセス多要素認証等を用いて不正なアクセスを防止する必要があります。

これらの課題に対応するために、Azure オプション機能である「 RDP Shortpath 」、サードパーティベンダーによる閉域環境サービス「 Citrix Cloud for AVD 」、Azure AD を活用した認証機能のオプションとして「条件付きアクセス」などで対応する事が可能です。

3. AVD の課題に対する対応策

ここまで解説した AVD の課題に対し、対応策について紹介します。

対応策 1 . RDP Shortpath

AVD によって提供される仮想デスクトップへの接続は、通常 RDP(リモートデスクトッププロトコル)という接続方法を用います。この時、コントロールプレーンというアーキテクチャを経由して接続を管理しています。

AVD が提供する RDP Shortpath 機能は、クライアントと Azure 上の仮想マシンとの間にコントロールプレーンを経由しない直接的な接続を確立します。コントロールプレーンを経由しないことで、通常の RDP 接続よりも、接続負荷を軽減することができ、結果的に利用者の使用できる帯域幅が増加します。

また RDP Shortpath は接続のセキュリティも担保されます。証明書を使用して、クライアントと仮想マシン間で TLS( Transport Layer Security )というセキュリティ強度の高い接続方法を使用します。

このように RDP Shortpath を活用することで仮想ホストへのトラフィック集中、アクセス遅延を回避し、安全な接続で安定した通信を行うことが可能です。

対応策 2 . Citrix Cloud for AVD

先述したとおり、AVD は仮想マシンへの接続を管理するコントロールプレーンと、実際の仮想デスクトップが稼働する Azure 上のワークロード部分の2つのアーキテクチャに分けられます。このうちコントロールプレーンの部分を Citrix Cloud に置き換えることで、より安全な環境で AVD を利用することができます。

通常 AVD へのアクセスはインターネット回線経由で、専用線を直接引き込むことはできません。Citrix Cloud with AVD は「 StoreFront 」という Web サーバを Azure 内に構築することで、Microsoft の専用線サービスであるExpressRouteを引き込み、閉域網環境を構築することができます。
利用者の増減に応じた仮想マシンの電源オン・オフ、各種パッチの適用、Citrix 社独自の通信仕様で負荷の低い効率的な通信を実現します。

このように Citrix Cloud for AVD を利用することで接続経路上のセキュリティを確保し、安全な通信を実現することが可能です。

また Citrix 社以外にも VMware 社が提供する VMware Horizon Cloud Service も Azure 環境で利用できるサービスの一つです。VMware の高度なスケーリング機能を活用した環境構築が可能です。

いずれも、本記事でご紹介する課題解決の一助となる機能を有しています。詳しくは公式サイトをご確認ください。

対応策 3 . 条件付きアクセス機能

AVD が場所やデバイスを問わずアクセス可能という利便性がある反面、ID をより厳密に認証し危険なアクセスをブロックする必要があります。Azure AD の条件付きアクセス機能では、承認された場所、承認された端末、承認されたOSなど、認証の条件を細かく設定することが可能です。多要素認証としてパスワード以外に認証要素を追加する事も可能です。

AVD では標準的に Azure AD が実装されており、シングルサインオンや多要素認証機能は提供が可能ですが、条件付きアクセスを利用するためには、Azure AD の Premium プラン( P1、P2 )のライセンスが必要です。

対応策 4 . Microsoft Sentinel( Azure Sentinel )

このように、AVD と他サービスやオプションを組み合わせることで、最適なセキュリティ対策を講じることができます。AVD も含め、これらのコンポーネントを包括的にモニタリングできるサービスとして、Microsoft Sentinel の利用を推奨します。Azure AD 認証ログ、AVD への接続ログ、イベントなど、ありとあらゆる情報を集約し、分析することができるサービスです。

AVD の導入規模にもよりますが、テレワークやリモートワークは場所やデバイスを問わずアクセスできる環境であることが大前提です。その為、様々なリスクを早急に検知・検出する機能は大変重要と言えるでしょう。

4. まとめ

本記事では、AVD についての課題、そして課題を解決する為の方法として、「 RDP Shortpath 」、「 Citrix Cloud with AVD 」、「条件付きアクセス機能」、「 Microsoft Sentinel 」について紹介しました。AVD はリモートワークが普及した現代において欠かせない DaaS、VDI サービスです。しかし近年の急な普及に伴い、利用状況によってはまだまだ課題も存在しています。今後、アップデートも行われながらサービス品質は向上するでしょう。

しかし組織規模、運用ポリシー、セキュリティ要件に応じて、AVD をどのように利用するかをしっかりとイメージし状況に見合った設計を行うことが重要です。是 非専門家の支援を受けながら、導入のご検討をお勧めいたします。まずはお気軽にご相談ください。

Azure Virtual Desktop について相談する

AVD 導入設計サービス

AVD 導入設計サービス

お客様の現状の業務内容を把握し、AVD の導入計画を策定。独自アプリケーションやサードパーティ製アプリケーションとのシングルサインオン、条件付きアクセスポリシーの導入計画を策定します。

詳しくはこちら
Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード

  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

    ダウンロード
Azure導入個別相談会(無料)

Tag: AVD Azure Virtual Desktop Azureセキュリティ Azureネットワーク 仮想デスクトップ 専用線

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

03-5946-840503-5946-8405平日 10:00 - 18:00
03-5946-840503-5946-8405平日 10:00 - 18:00
single.php