トップ > Tech > Azure Virtual Desktopにおけるクリップボードリダイレクトの片方向制御

Azure Virtual Desktopにおけるクリップボードリダイレクトの片方向制御

Tech Azure AVD 仮想デスクトップ VDI デバイスリダイレクト クリップボードリダイレクト

Azure Virtual Desktop(以下AVD)にてクリップボードのリダイレクトを有効化すると、テキストやファイルなどのコンテンツをコピーアンドペーストでAVDと接続元端末間で転送することができます。

これまでクリップボードリダイレクトは転送方向による制御ができませんでしたが、2024年8月に片方向のクリップボードリダイレクトがMicrosoftより一般公開されました。

今回はクリップボードリダイレクトの片方向制御について、設定方法や注意事項をご紹介したいと思います。

※記載の内容は執筆時点の公開情報を元にしております。

AVDにおけるリダイレクト機能とは

AVDの実態はAzure上の仮想マシンのため、USBメモリやマイクなどの物理デバイスを直接AVDに接続することができません。

しかし、リダイレクト機能を有効化することで、接続元PCに接続した物理デバイスをAVDにリダイレクトし、利用することができます。

物理デバイスだけでなく、クリップボード*1やタイムゾーンといった接続元端末の機能や情報をリダイレクトすることもできます。

リダイレクト機能に関する設定は以下の5通りから設定できます。

  • Azureポータル上のホストプールの設定
  • Active Directory上のGPO*2設定
  • マスタ仮想マシン上のLGPO*3設定
  • Intune設定
  • レジストリ設定

クリップボードリダイレクトの片方向制御とは

クリップボードのリダイレクト機能は、AVDと接続元PC間でのコピーアンドペーストを制御する機能です。

他のリダイレクトと異なり、クリップボードではリダイレクトする方向が以下の2方向あります。

  1. 接続元PCでコピーしたコンテンツをAVDへペースト
  2. AVDでコピーしたコンテンツを接続元PCへペースト

これまでクリップボードのリダイレクト機能は、有効化した場合は2方向とも有効化、無効化した場合は2方向とも無効化されるという2方向まとめて制御される設定しかできませんでした。

しかし、AVD上で通常業務を実施されるお客様の中には、AVDから情報を持ち出すのはセキュリティの観点より禁止させたいが、接続元PCからAVDへの必要なファイルやテキストのコピーアンドペーストは便宜上許可させたい、というご意見をいただくことがありました。

そして2024年頭にプレビュー機能として公開され、同年8月に一般公開されました!*4

この機能の設定方法について、紹介していきます。

クリップボードリダイレクトの片方向制御の設定方法

実際にAVDでの設定方法について紹介していきます。

設定箇所は大きくわけて以下の2つです。2か所両方で設定が必要となります。

  • GPOまたはLGPO設定
  • ホストプールのRDPプロパティ設定

※ Intuneやレジストリでの設定も可能ですが、今回は割愛します。

今回はご意見をいただくことがあるとご紹介した、[(1)接続元PCからAVDは許可し、(2)AVDから接続元PCは拒否する]という設定の手順をご紹介します。

AVD環境の構成や作成するリソースについては、下記の記事を参照ください。

GPO設定

今回はGPOの設定方法をご紹介しますが、LGPOでも設定方法は同様となります。

GPOで設定するポリシーの名前は以下の2つです。

  • サーバーからクライアントへのクリップボード転送を制御する
  • クライアントからサーバーへのクリップボード転送を制御する

AVDで設定する場合は、クライアントは接続元PC、サーバーはAVDを意味します。

1.ドメインコントローラーにて[グループ ポリシーの管理]を起動します。

 

2.任意の名前でGPOを作成し、[編集]をクリックします。

3.[グループ ポリシー管理エディター]にて以下パスを開きます。

コンピューターの構成>ポリシー>管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>デバイスとリソースのリダイレクト

4.[サーバーからクライアントへのクリップボード転送を制御する]を[有効]にし、[サーバーからクライアントへのクリップボード転送を無効にする]を選択します。

※対象のポリシーが表示されない場合は、Active DirectoryにてWindows Updateを実施するか、最新のGPOの管理用テンプレートを配置してください。*5

5.[クライアントからサーバーへのクリップボード転送を制御する]が[未構成]であることを確認します。

※ こちらは既定値のため、確認手順となります。

GPOの設定手順は以上となります。

RDPプロパティ設定

ホストプールのRDPプロパティ設定は、ホストプール内のセッションホストに対し接続す際の接続に関するプロパティ設定です。

1. Azureポータルを開き、ホストプールのリソースページよりRDPプロパティを開き、[デバイスのリダイレクト]をクリックします。

2.[ローカルのデバイスとリソース]の[クリップボードのリダイレクト]にて、[ローカル コンピューターのクリップボードをリモート セッションで使用可能にする (既定)]が選択されていることを確認します。

※ こちらはホストプールデプロイ時の既定値のため、確認手順となります。

RDPプロパティの設定手順は以上となります。

設定時の注意事項

上記設定を実装する際に、GPO設定の手順で1点注意事項があります。

今回設定したポリシー2つは、[有効]を選択すると以下のオプションが表示されます。

  • サーバーからクライアントへのクリップボード転送を無効にする
  • プレーン テキストを許可する
  • プレーン テキストと画像を許可する
  • プレーン テキスト、画像、リッチ テキスト形式を許可する
  • プレーン テキスト、画像、リッチ テキスト形式、HTMLを許可する

この部分を見る限りでは、リダイレクトを有効化する際には[有効]を選択してオプションで[サーバーからクライアントへのクリップボード転送を無効にする]以外を選択するように見えますが、ここが注意点です。

「許可する」というオプションにはそれぞれ許可するコンテンツ媒体の記載がありますが、選択したオプションのコンテンツ媒体以外はリダイレクトされないという挙動になっています。

そして、このオプションの中には、普段業務で使う人が多いExcel やPowr PointなどのMicrosoft 365 アプリのファイルは含まれていません。

コンテンツ媒体を指定せずにクリップボードのリダイレクトを許可させたい場合は、ポリシーを[有効]ではなく[未構成]または[無効]を選択します。

実は各ポリシーのヘルプに明記してある内容ですが、見落としがちなので注意が必要です。

おわりに

今回は、クリップボードリダイレクトの片方向制御について紹介しました。

クリップボードは便利な面もありますが、セキュリティ観点ではすべて有効化とはできない環境も多い機能です。

セキュリティを高めながらもAVDを快適に利用するために、この機能を利用環境に合わせてぜひ活用してみてください。

ご覧いただきありがとうございました!

*1:コピーや切り取りを行ったテキスト・画像などのデータを一時的に記憶する機能

*2:グループポリシー。Active Directoryにて設定。

*3:ローカルグループポリシー。AVDのイメージ元となるマスターイメージの仮想マシンにて設定。

*4:対象OSはWindows11,Windows Server 2022になります。詳細はMicrosoftのドキュメントをご確認ください。Azure Virtual Desktop でクリップボードの転送方向を構成する | Microsoft Learn

*5:Active DirectoryでのWindows Updateや設定変更が難しい場合は、LGPOでの設定をお勧めします。

執筆担当者プロフィール
山﨑 日南子

山﨑 日南子(日本ビジネスシステムズ株式会社)

ハイブリッドクラウド部門に所属。主にAzure(IaaS)製品、VDIソリューション(Azure Virtual Desktop)の設計、構築に携わっています。

担当記事一覧