LoginSignup
3
0
@Mikiteee(Miki Watanabe)inMicrosoft

Windows 365 in Microsoft Ignite 2023 - IT管理者の方に嬉しいセキュリティ関連のアップデート検証編

Last updated at Posted at 2023-12-17

マイクロソフトの渡部です☺

2023年 11月14日-17日にMicrosoft Ignite 2023が、2023年 12月13日にはMicrosoft Ignite Osakaが現地会場&オンラインで開催されました。

Windows 365 関連でも様々なアップデートが取り上げられていましたが、
本記事では特にクラウドPCを企業での利用を想定する上で
IT管理者の方に嬉しいセキュリティ関連のアップデートを中心に取り上げながら
使い方を検証していきたいと思います。

①透かし/Watermarking
②クラウドPCのSSO

Ignite Update① クラウドPCに透かしを 概要

データ流出の抑止力となる機能が一般提供開始となりました!

【概要】
クラウドPCに透かしを入れる機能が一般提供開始となりました。
撮影され流出した画像から流出元を特定することが可能です。
image.png

企業が最も気にするセキュリティリスクの一つ <<情報漏洩>>
PCのログをいくら取っても、クラウドPCでスクショを禁止していても、
結局手元のモバイルのカメラで画面を撮られてしまえば、情報は撮影者の手元に残ってしまいますよね。

この機能をクラウドPCに対して適用することで、
デバイスID, 日時 情報が付与されたQRコードを常時クラウドPC側に表示することができます。
image.png
仮に撮影者がクラウドPCの画面をモバイル等で撮影し、その画像が流出したとしても、
QRコードから情報を読み取ることで、IT管理者は誰のクラウドPCが撮影されたのかを特定することが可能です。

Microsoft Intune > デバイス > すべてのデバイス > QRコードより特定したデバイスIDを検索することで、デバイスに紐づいたユーザーを特定
image.png

ちなみに・・・
これまでは、"スクリーンショット 保護機能"を適用することが可能でした。
これをクラウドPCに適用すると、物理PC上でのスクリーンショットを実行すると接続画面が黒塗りとなり、物理PC上からクラウドPCの情報は保存できませんでした。
image.png
が、これでは物理PC以外の別の端末から画面を撮ってしまうことへの防止策にはなりえませんでした。

Ignite Update① クラウドPCに透かしを 設定手順

あらかじめ本ポリシーを適用したいユーザーを含めたグループをMicrosoft Intuneから作成しておくことを推奨します。
グループの作成手順

それでは、この透かしを適用していく手順をご紹介します。

Microsoft Intune > デバイス > 構成プロファイル > 作成 > 新しいポリシー
image.png

下記を選んで作成
image.png

構成設定 のところで
+設定の追加 > "Watermarking"と入力して検索 > "Enable Watermarking"にチェック
image.png

QRコード埋め込みコンテンツは "Device ID" を選択 
※現時点ではデフォルトから変更する必要があります。
image.png

その他、上記設定では以下項目を変更可能です。
image.png

このポリシーの割り当て先(グループ)を選択したのち、作成をクリックしてポリシーを適用します。
image.png

デバイスへ適用されるまでコーヒーでも飲みながら待ちましょう☕

デバイスの適用状況はIntuneから確認可能です
Microsoft Intune > デバイス > デバイスの構成プロファイル > 該当のプロファイルを選択 > レポートの表示
image.png

Ignite Update② クラウドPCにシングルサインオン 概要

クラウドPCへパスワードレスで入るためのアップデート、シングルサインオンの機能が一般提供開始となりました!

【概要】
従来、クラウドPCにサインインする場合は二度のサインインを聞かれておりました。

① Windows 365 Entra(アプリにサインインするため)
② Windows Sign in(Windowsにサインインするため)

シングルサインオンの一般提供開始により一回目のEntra への認証だけでクラウドPCへのシングルサインオンが可能です。
Entra の認証には物理デバイスのWindows Hello等と組み合わせたパスワードレス認証も可能なので、シングルサインオンが一般提供開始したことで、IDとパスワードをユーザーに配布することなく、クラウドPCへのユーザーサインオンが可能になりました。

※現時点では、BootはSSO未対応です

Ignite Update② クラウドPCにシングルサインオン 設定手順

あらかじめ本プロビジョニングを適用したいユーザーを含めたグループをMicrosoft Intuneから作成しておくことを推奨します。
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/groups-add

それでは、このシングルサインオンを適用していく手順をご紹介します。

★新規プロビジョニングをする場合
プロビジョニングポリシー作成時に、シングルサインオンにチェックマークを入れてください。
image.png

それクラウドPCのプロビジョニングに関しては以下のブログやMicrosoft Learnをご参照ください
Windows 365 をプロビジョニング Enterprise【Entra Join+Microsoft Hosted Network】編
Windows 365 をプロビジョニング Frontline【Entra Join+Microsoft Hosted Network】編

また、ハイブリッドMicrosoft Entra 参加でのシングルサインオンも可能です。
この場合、VNetの準備や、Kerberos Service Object をAD側で構成する必要があります。
Microsoft Entra ID を使用してオンプレミスのリソースへのパスワードレス セキュリティ キー サインインを有効にする

その際、上記、構成が完了しましたら、接続のチェックのため、改めて
デバイス>Windows 365>Azureネットワーク接続>該当のネットワークを選択し、接続チェックの再試行を実行。シングルサインオン構成 が”成功”となっていることを確かめの上、プロビジョニングを実行いただくことをお勧めします。
image.png

★すでにプロビジョニングをして作成済みのクラウドPCに、シングルサインオンだけ適用したい場合

Microsoft Intune > デバイス > Windows 365 > プロビジョニングポリシー > 該当ポリシーを選択 > 現在の構成を適用する から以下項目にチェックを入れて適用。
image.png

Windows 365 関連項目アップデート総編

Windows 365もかなりのアップデートがありましたので簡単に抜粋します。
★マークこちらを中心に今回は検証しました。

【Windows App (Public Preview)】
新しいUIのアプリがプレビューでリリースしました!
Windows 365 と Azure Virtual Desktop、DevBox、そしてWindows Serverなど、Remote Desktop接続するにしてもツールが乱立してましたが、これがついに統合されます
こちらは Windows Device、macOS、iOS、ブラウザからの利用がサポートされています
https://learn.microsoft.com/ja-jp/windows-app/overview
image.png

【Windows 365 GPU Support (Paid Preview)】
クラウドPCでもGPUインスタンスが選択できるようになります
image.png

【16vCPU Offering】
2vCPU/ 4vCPU / 8vCPU に加えて 16vcpu SKU が加わりました。
より強力なリソースが必要なニーズにもこたえられるようになります。

【AI Capability(Private Preview)】
AIが自動であなたに最適なクラウドPCを提案します。
Intune からのダッシュボードでそれぞれのクラウドPCが Right Size | Undersize | Oversize | Underutilized (使われてない) を判断し、それぞれのクラウドPCに対するベストなアクションを提案します。

【透かし】★
クラウドPCに透かしを入れる機能が一般提供開始となりました。
撮影され流出した画像から流出元を特定することが可能です(抑止効果!)

Azure Virtual Desktopでは先行してPreviewになってましたが、クラウドPCと合わせてGA になりました。

【シングルサインオン & パスワードレス認証】★
シングルサインオン(SSO) とパスワードレス認証のサポートが、サードパーティIDPのサポートとともにGAしました。生体認証と組み合わせることでPasswordlessの実装も可能です。

【Windows 365 Customer Managed Keys(Public Preview)】
組織が独自の暗号化キーを使用して Windows 365 クラウド PC ディスクを暗号化することを可能になります。

Windows 365に関連するその他のアップデート

【Copilot in Windows(Preview)】
PCの設定の変更から、ウィンドウの整理まで、Copilot in Windows に自然言語で実行が可能となります。時間を節約し、効率を高めます。
image.png
image.png

【Security Copilot in Intune(Private Preview)】
自然言語ベースで、Microsoft IntuneでPCやモバイルに配布するポリシーを、入力して作成していったり、
image.png
ポリシーの説明を求めたりすることが可能になります。
image.png

【Microsoft Entra ID Credential Retention Time - 15 mins(Private Preview)】
Microsoft Entra IDの資格情報の保持時間が、最小1時間までだったのが15分まで選択可能になります。

まとめ

いかがでしたでしょうか。

Microsoft Ignite 2023で発表されたWindows 365関連のアップデートのうち、
IT管理者の方に嬉しいセキュリティ関連のアップデートを中心に取り上げながら
設定方法をご紹介させていただきました。

是非お試しください。

リンク集

Microsoft Ignite -Microsoft 全ソリューションに関する年に一度のテクニカル カンファレンス
https://ignite.microsoft.com/en-US/home

透かし
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/watermarking

シングルサインオン
https://learn.microsoft.com/ja-jp/windows-365/enterprise/identity-authentication#single-sign-on-sso

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0