マイクロソフトの渡部です☺
お客様からよく聞かれる質問の一つに、クラウドPCのIPアドレスについてがあります。
ご質問をいただく背景としては、
- "クラウドPCを条件付きアクセスの条件対象にしたい。どうやって識別する?"
- "特定のクラウドPCだけ会社のネットワークに通信許可をしたいがどうしたらいい"
このあたりです。
Window 365 クラウドPCのローカルIPは指定できるのでしょうか?
以前に、Windows 365を展開する ネットワークはどちらを選ぶ?で、クラウドPCが通信するネットワークの種類は2つから選ぶことができる旨を解説しましたが、それぞれの種類によって回答していきたいと思います。
(そもそも)クラウドPCとIPアドレスについて
クラウドPCは展開時にローカルIPアドレスが振られます
ローカルIPをもとにアクセス制限を実装することができます。
また、Entra ID 条件付きアクセスの条件でもローカルIPを対象にすることが可能です。
Entra IDはIPアドレスでクラウドPCを特定する以外にも、
"クラウドPC" 全体を対象にしたり、
"Microsoft Intuneに登録されているこのデバイス" というのも条件対象にできます
Azure ネットワーク接続 を選んだ場合
IPアドレスの指定はできませんが、Azure VNetのサブネットは指定できます。
クラウドPCは、展開時に、ネットワーク選択としてAzure のVNetを選択できます。
vNetの中のサブネットでIPアドレスのレンジを指定でき、
クラウドPC展開時には、原則としてサブネットのIPアドレスレンジの上からクラウドPCに割り当てられていきます。
一度割り当てられたローカルIPアドレスは、原則、再起動やシャットダウンでは解放されません。
再プロビジョニングを行うと、ローカルIPアドレスは解放されます。
したがって、
- "クラウドPCを条件付きアクセスの条件対象にしたい。どうやって識別する?
➡クラウドPCに振られたIPアドレスで識別してください。
また、
- "特定のクラウドPCだけ会社のネットワークに通信許可をしたいがどうしたらいい"
➡制御したい単位ごとに、サブネットとプロビジョニングポリシーをそれぞれ準備し、展開することで、"このIPアドレスのレンジは通信許可する" という条件を設定できるでしょう
Microsoft ホスト型ネットワーク を選んだ場合
IPアドレスの指定はできません。
Microsoft ホスト型ネットワークは、AzureのVNetでネットワークを設計する必要がない一方で、
ユーザーが直接ネットワークに対して設定ができないネットワークタイプになります。
クラウドPC展開時にローカルIPアドレスは振られますが、ある程度規則性が見受けられたとしても、原則ランダムな値となります。(管理者がクラウド PC に割り当てられた IP アドレス範囲やアドレス空間を制御する方法はありません。)
したがって、
- "クラウドPCを条件付きアクセスの条件対象にしたい。どうやって識別する?
➡クラウドPCに振られたIPアドレスで識別してください。ただし、IPアドレスを判定する方法は、一度クラウドPCに入っていただき、"ipconfig"からIPアドレスを調べる必要があります
また、
- "特定のクラウドPCだけ会社のネットワークに通信許可をしたいがどうしたらいい"
➡上記で判定したIPアドレスを指定して、"このIPアドレスは通信許可する" という条件を設定できるでしょう