VDIのアクセス元端末をどのようにすべきかについてはけっこう悩むところではないかと思います。

たとえばアクセス元端末としてBYODを許可するか、協力会社の端末からのアクセスを許可するかどうかといった点です。

もしこれを許可しない（アクセス元端末は支給PCとする）のであれば、正直VDIを利用するメリットってなんだろうという感じになります。もしそうするのであれば、普通にFATPCを配布してしまえば良いわけですし。

ちなみにMicrosoftのドキュメント「Azure Virtual Desktop のデプロイにゼロ トラスト原則を適用する」における接続元端末の記載として、

エンドポイントは、ユーザーが Azure Virtual Desktop 環境とセッション ホスト仮想マシンにアクセスする際に使用されるデバイスです。 エンドポイント統合の概要の手順を使用し、Microsoft Defender for Endpoint と Microsoft Endpoint Manager を使用して、エンドポイントがセキュリティとコンプライアンスの要件に準拠していることを確認します。

という記載があります。接続元端末だからといって、対策不要という記載にはなっていないわけですね。

接続元端末には、MDEやIntuneはインストールさせてもらい、さらに準拠状態を定義した上で、準拠していなければVDIにはアクセスさせないというのがMicrosoft社としての推奨というところでしょうか。

これに加えて、キーロガー対策や画面キャプチャ対策、さらにBYODの場合、もしなにかあれば端末回収するぞという規約を結ばせるのも良いかもしれません。

また、Citrixのドキュメントとしては「Tech Paper: Citrix VDA Operating System Hardening Guide」というドキュメントがあります。このページでは、より詳細なカスタマイズ項目が記載されており、Citrix Optiizerを利用して不要なサービスの停止やタスクスケジューラのオフといったことも書かれています。

そういえば先日、こんな記事を見ました。

Windowsをクラウドで提供する「クラウドPC」につながる「Windows 365 Boot」正式リリース - ITmedia NEWS

接続元端末をシンクライアントとして利用できる「Windows 365 Boot」という機能がリリースされたようです。端末にデータを残したくないという要件がある場合には、良い選択肢かもしれません。