HONDA LABO

本田研究室

Windows365等のVDIの利用について(BYOD含む)

Windows365というMS純正のDaaSがあります。

https://windows365.microsoft.com/

 

利用するには、Windows 365のライセンスをポチポチっとして、ADユーザーに紐付けるだけなので利用までがすごくラクです(展開にはけっこう時間がかかりました)

 

Windows365には、BusinessとEnterpriseの2種類のプランがあり、さらにそれぞれにVDIのスペックによって複数のプランがあります。Businsessにはいくつか制限があり、実質、Enterpriseでないと使い物にならない企業も多そうなのでその点は注意が必要そうです。

例として、Businessには以下のような制限があります。

  • AD参加ができない

  • VNet接続ができない

  • マスター管理ができない

https://www.softbank.jp/biz/future_stride/entry/techblog/alibaba-cloud/20210824/

 

Windows365に限った話ではありませんが、VDIを利用する際、接続元端末には、

  • 業務端末 →  VDI(CloudPC)
  • BYOD → VDI(CloudPC)

のパターンがあると思います。

VDI接続用のクライアントソフトウェアや、Web会議の最適化モジュールなどは、接続元端末が業務端末の場合、インストールは企業側の担当になります。クローニングでも良いと思いますが、Azure AD参加させて、Intuneなどで配布するのがいまどきかもしれません。ゼロタッチデプロイができたらベストだと思います。

BYODの場合には、ユーザーに自分でインストールしてもらう(手順書を用意するかバッチファイルを用意するのが良さそう)か、こちらもAzure AD登録をしてもらって、Intuneで配布するのも良いかもしれません。

もちろん、配布方式はIntuneにこだわらなくてもよいと思います。お使いのMDMなどがあればそれを利用するのも良いと思います。

 

ちなみにAzure AD参加と登録の違いはこちらが参考になります。

Azure AD 登録 と Azure AD 参加 の違い | Japan Azure Identity Support Blog (jpazureid.github.io)

 

VDIへのログインの際には、最低限、接続元端末がウイルスチェック済み、OSのパッチ適用済みであることも見たいところです。これらは、Azure ADの条件付きアクセスで見ることができると思います。

可能であれば、キーロガー対策やスクリーンショットの防止、画面転送のみとしたいところですが、Windows365では現時点ではそのような機能はないようです。Citrixの場合だと、App Protectionや、ICA Proxyといった機能があります。

 

VDIへのログインは、

業務端末 →  VDI(CloudPC) の場合は、認証なしでいきたいところかと思います。すでに業務端末にログインしているから、認証しなくても良いでしょ、という考え方です。

BYOD →  VDI(CloudPC) の場合は、VDIへのログインの際に認証する必要があります。BYOD端末へのログインは個人のアカウントでのログインになりますが、VDIへのログインは企業アカウントでのログインになるからです。VDI側で、Azure ADのID 保護(Identity Protection)は可能であれば有効にしておきたいところです。

 

最近はFAT回帰のような流れもあると思いますが、端末の紛失時やBYOD対応のセキュリティ確保(端末にデータを保存させない)、ソフトウェア・ハードウェアのアップデートコストを考えるとVDIはとても良い選択だと思います。VDIを利用する際の戦略としては、以下のような感じでしょうか。

 

①クライアントPC(接続元端末について)

  • BYODを可とする。

  • 端末側の性能はそこまでいらない。VDI側の性能が重要。

  • アップデートをしやすくするためLTSCで調達。機能更新をしなくて済む。

  • Azure ADに参加させてIntuneで管理。もしくはBYOD。

  • 最近はWeb会議は必須だと思うので、最適化モジュールは必須。シンクラ、ゼロクラはキツい気がする(最適化モジュールが対応していなそう)

 

②セキュリティ:

  • デバイスではなく、クラウド上にデータがある。囲い込みができていて守りやすい。

  • 紛失時は、VDIへのアクセス権を無効化。紛失してから現時点までにVDIへのアクセスがないことを確認。

  • VDI間の水平攻撃を防止するため、ホストファイアウォールを設定する。

 

③ハードウェアアップデート(企業で端末を用意する場合):

  • 減価償却やレンタル期間が終了したものから入替。

  • 端末には、接続用のクライアントソフトウェアや最適化モジュール等を入れるだけなのでキッティングがラク。企業で用意する場合、ゼロタッチデプロイの仕組みをうまく作れれば、ユーザーに新しい端末を渡すだけで良さそう。

  • 端末は同スペック同一モデルのものを用意すればよい。高リソースが必要なユーザーには高リソースのVDIを割り当てる。端末に高リソースは不要。

 

④ソフトウェアアップデート

  • VDIのマスターの再展開によるアップデート。次回ログオフ時などの設定が可。(フルクローンの場合は、PCと同様の運用が必要)

 

最近は、FAT端末にデータを残さない方式(OneDriveへリダイレクト等)もあると思いますが、全データを残さないのは難しいのでは?と思っているところです。

https://www.yrl.com/fwp/overview/passagedrive/index.html

 

古い資料もまざっていますが、この辺りは以下の資料も役に立つと思います。

https://www.kantei.go.jp/jp/singi/it2/cio/hosakan/wg_report/byod.pdf

https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/