WVD のための AzureAD 条件付きアクセス と ハイブリッドAzureAD参加

WVD SessionHostへの接続を行うには、”AzureAD”と”ActiveDirectory”の2つの認証を通る必要があります。ですが、さらにセキュリティを強化したい場合には、”AzureAD 条件付きアクセス”を利用することで対応が可能です。

今回は、WVDで利用しそうな”条件付きアクセス”機能に絞って見ていきたいと思います。

【セキュリティ強化ポイント】

①多要素認証で”アカウント認証“を強化したい
②サインインのリスクで”アカウント認証“をさらに強化したい
③IPアドレス指定で”接続できる場所“を限定したい
④ハイブリッドAzureAD参加で”接続できるデバイス“を限定したい
※Intune 準拠済みデバイスで”接続できるデバイス“を限定したい

WVDクライアントのみ許可、ブラウザのみ許可などの制限はできません。


①多要素認証で”アカウント認証“を強化したい

AzureADを選択ー[セキュリティ]ー[条件付きアクセス]ー[新しいポリシー]

“WVD_Users”は自身で作成グループ

WVD non-ARM (WVDv1)の場合
Windows Virtual Desktop=Broker認証用
Windows Virtual Desktop Client=Gateway認証用

WVD ARM (WVDv2)の場合
Windows Virtual Desktop(9cdead84-a844-4324-93f2-b2e6bb768d07)を選択

[多要素認証を要求する]を選択

セッションの有効時間を1時間に変更 ※利用環境に合わせてください

ポリシーの有効化ー[オン]を選択





②サインインのリスクで”アカウント認証“をさらに強化したい

サインインのリスクとは、下記のようなリスクから保護します。※AzureAD P2が必要

・匿名IPアドレスからの接続
・時間的に移動不可能な場所からの接続
・ボットサーバーとの通信が確認されたIPアドレスからの接続
・過去のサインイン履歴を考慮した不審な場所からの接続
・悪意のあるIPアドレスからの接続


③IPアドレス指定で”接続できる場所“を限定したい

先ずは、接続を許可するIPアドレスを登録します。

先ずは、すべての場所を選択

対象外として、接続を許可するIPアドレスを選択

[アクセスのブロック]を選択


④ハイブリッドAzureAD参加で”接続できるデバイス“を限定したい

先ずは、ハイブリッドAzureAD参加 を構成します。

カスタムドメインの登録

ADにて実施ー[Active Directory ドメインと信頼関係]

UPNサフィックスを追加

ユーザーアカウントにて、UPNサフィックスを変更

PowerShellにて実施 ※全ユーザーアカウントに対して、UPNサフィックスを変更

$LocalUsers = Get-ADUser -Filter {UserPrincipalName -like ‘*wvd.com‘} -Properties userPrincipalName -ResultSetSize $null

$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“wvd.com“,”taushiga.onmicrosoft.com“); $_ | Set-ADUser -UserPrincipalName $newUpn}





AzureAD Connectにて、ハイブリッドAzureAD参加の設定を実施

デフォルトでは、[OU=Computers]が同期されます。
同期対象デバイスから、”SessionHost”が除外されるようにOUを構成してください。

AzureADー[デバイス]にて登録が確認できます。

ハイブリッドAzureAD参加済みデバイスからの確認方法 ※dsregcmd /status

※参考

これにて、ハイブリッドAzureAD参加 設定が完了しました。





[ハイブリッドAzureAD参加済みデバイスが必要]を選択

接続してみましょう

個人用デバイスなどから接続すると、下記のように接続が拒否されます。