Windows 365は、Azure上に配置されているWindows Desktopにインターネット経由で接続できるMicrosoftのVDIソリューションの1つです。
エンドユーザーにライセンスを割り当てることで、クラウドPCと呼ばれる仮想マシンがデプロイされ、各ユーザー専用のWindows 環境として利用することができます。
新しくデプロイされたすべてのクラウドPCにおいて、ポート3389の通信は既定でブロックするようになっているそうです。*1
そのため、クラウドPCに対するRDP接続は接続元問わず必ずブロックされてしまいます。
以前、Windows365環境を構築した際に、クラウドPCに対して管理者ユーザーでRDP接続を実施したいという要件があり、Intuneを用いてRDP接続を許可させるよう対応しました。
本記事では、その対処法を一部ご紹介します。
※Microsoftでは、潜在的なセキュリティリスクからクラウドPCを保護するために、ポート3389を閉じておくことが推奨されています。RDP接続が必要なケース以外では、既定のままポート3389は閉じておくことを推奨いたします。
Windows 365 クラウドPCとは
概要
冒頭でも記載しているように、クラウドPCとはライセンスの付与された個々のユーザーに割り当てられた、各ユーザー専用のWindows 環境を指します。
いわゆる仮想デスクトップサービスの一つであり、Windows PCのクラウド版というイメージです。
同じ仮想デスクトップサービスとしてAVD(Azure Virtual Desktop)がありますが、構築・導入・運用に関して複雑な点があるため利用のハードルが少し高いと言えます。
その点、Windows 365では、VMのOSイメージと利用するネットワーク、割り当てるユーザーを指定すれば自動でVDI環境が構築されることから、導入と運用がしやすくより手軽に始められるサービスとなります。
一方でデメリットとしては、ユーザーごとに月額料金が必要になる点が挙げられます。
AVDの使った分だけ料金が発生する従量課金制とは異なり、クラウドPCを利用するユーザーごとにライセンス料金として月額料金が発生します。
中長期的な利用においてはかなりのコストが発生するため、コスト面や運用面で他サービスとの検討は必要になります。
クラウドPCはMicrosoft IntuneなどのMDMソリューションを通じて管理されます。
AD DSで利用されるのGPOとよく似た方法でWindows設定を構成できるようになっており、今回のRDP接続許可についても、Intuneの構成オプションを利用して設定します。
TCP 3389のブロックルールについて
Windows 365では、クラウドPCデプロイ時にMicrosoftが推奨するセキュリティ設定が埋め込まれるとのことです。
そのセキュリティ設定の一つとして、クラウドPCにてポート3389を制限する受信規則ルールが既定で設定されます。
クラウドPCデプロイ後の既定の状態で、クラウドPCに対してRDP接続を試みようとすると、以下画面が表示されて失敗します。
こちらのブロックルールはクラウドPCのデプロイ時に設定されるものになるため、マスター作成時点での設定変更は不可となります。
そこで、デプロイ後のデバイスに対して、Intune経由でWindowsファイアウォールの設定変更を実施する必要があります。
その設定変更方法について、以下に記載します。
Intuneからの設定変更方法
今回は、クラウドPCに対してポート3389を開く必要がある場合の設定を、Windows 365 セキュリティベースラインを作成して対応する方法についてご紹介します。
Windows 365 セキュリティベースラインとは
セキュリティベースラインとは、デバイスとユーザーのセキュリティ保護において役立つIntuneの構成オプションになります。
Windows 365 セキュリティベースラインは、Windows 365関連のセキュリティ設定がまとまっているものになっています。
このベースラインにて、Windows ファイアウォール設定を調整して「パブリックプロファイルの既定の受信アクション」を「許可」に設定することで、RDP接続を許可することが可能となります。
実際のOS設定画面の以下項目となります。
※ポート範囲やプロトコルを限定して受信接続を許可する必要がある場合は、Intuneでカスタムファイアウォールを作成する方法にてRDP接続を許可することを推奨します。
セキュリティベースラインでの設定手順について、以下に記載します。
Windows 365 セキュリティベースラインの設定手順
Windows 365 セキュリティベースラインのプロファイルを作成します。
1. Intune管理センターにアクセスし、画面左ペインより[エンドポイントセキュリティ]>[セキュリティのベースライン]クリックし、[Windows 365 セキュリティ ベースライン]をクリックします。
2. プロファイル一覧画面にて、[+プロファイルの作成]をクリックします。
3. [プロファイルの作成]画面にて、[作成]をクリックします。
4. [基本情報]タブにて、プロファイル名を入力して[次へ]をクリックします。
5. [構成設定]タブにて、[ファイアウォール]項目の一覧を開きます。
6. [パブリック プロファイルの既定の受信アクション]項目の設定値を[許可]に設定して、[次へ]をクリックします。
7. [割り当て]タブにて、ポリシーの適用先を指定して[次へ]をクリックします。
以下画像は、対象のデバイスグループを指定した際の画面イメージとなります。
8. [レビューと作成]タブにて、設定内容を確認して[作成]をクリックします。
9. プロファイルの一覧に作成したものが表示されていることを確認します。
Windows 365 セキュリティベースラインの適用確認
セキュリティベースラインが対象のデバイスへの適用状態を確認します。
1. Windows 365 セキュリティベースラインのプロファイル一覧より、対象のプロファイル名を選択します。
2. [デバイスとユーザーのチェックイン状態]にて、適用状態とデバイス数が表示されます。[成功]と表示されている場合は、セキュリティベースラインが対象のデバイスに適用されていることが分かります。
※[エラー]状態の台数がある場合は、セキュリティベースラインが適用できていないため、エラー内容を確認してください。
まとめ
Azureネットワーク接続を利用してクラウドPCをデプロイした場合、自動でポート3389のブロックルールが追加されてしまう際の対処法について記載しました。
今回はIntuneのセキュリティベースラインを使用して、Windows Defender ファイアウォールの受信アクションを許可する方法をご紹介しましたが、展開する台数が1、2台程度の場合は手動でブロックルールを無効化して許可ルールを追加するという方法でも対処は可能です。
展開台数や環境の運用方法などにはよりますが、本記事の内容が少しでもお役に立てると嬉しいです。
*1:Azureネットワーク接続を利用してクラウドPCをデプロイした場合のみ
徐 一静(日本ビジネスシステムズ株式会社)
クラウドソリューション本部所属。主にAWSに関連する設計、構築を担当しています。Azureでも設計/構築経験ありです。 趣味はお笑いライブに行くことです。
担当記事一覧