AzureとWindows Virtual Desktopで新しいリスクに立ち向かおう

AzureとWindows Virtual Desktopで新しいリスクに立ち向かおう

Virtual Azure Community Days (2020/7/28)で登壇した時のスライドです。

4cc0672dbe913b6e8aa687a81b3e02ab?s=128

Takayuki Fuwa

July 28, 2020
Tweet

Transcript

  1. Azureと Windows Virtual Desktop で新しいリスクに 立ち向かおう 不破 崇行 Takayuki Fuwa

  2. Hello from Japan! • 名前 • 不破 崇行 • 住んでいるところ

    • 札幌市 • 仕事 • 昼:エコモット株式会社 • 夜:東雲研究所(フリーランス) • いずれもエンジニア • 好きなAzureのサービス • AppService / WVD • 資格 • AZ-900
  3. 今日お話したいこと • Windows Virtual Desktop (WVD)とは? • 実際のWVDセットアップ方法 • WVDの仕組み、活用方法と注意点

    • 事例紹介
  4. 今日、どうしても伝えたい事 • テクノロジーを駆使すれば、様々な外的要因リスクを低減出来る。 • 更に言えば、人命を守れる可能性を引き上げることが出来る。

  5. 本セッションでの発言内容に関する免責事項 • 本セッションでの発言内容は、あくまで個人の見解であり、所属組織を代表する 内容ではありません • セッション内容については可能な限り正確な情報をお伝えするべく準備してい ますが、内容についてトラブルが発生した場合は責任を負いかねます • 私は医療関係の専門家ではありません。そのため、COVID-19に関する情報 については内容を保障することが出来ません。

    • 専門家の方に助言を頂いている内容が一部にあります
  6. 新しいリスクに立ち向かう

  7. COVID-19とテレワーク • 新型コロナウイルス(COVID-19)感染拡大を受け、日本でも4月7日に 緊急事態宣言が発令され、不要不急の外出自粛が呼びかけられる • 北海道では、2月28日に独自の緊急事態宣言が発動 • 外出自粛とセットで、「テレワーク」が推奨されるようになり、導入が進む

  8. 北海道知事からの要請 • 地方自治体からの要請にも 「在宅勤務・テレワーク」が含まれ る • 「3密回避」と同じく社会的にも 意識されつつある http://www.pref.hokkaido.lg.jp/hf/kth/kak/kinkixyuuzitai0417new.pdf

  9. テレワークの導入 • COVID-19が日本でも感染拡大をする中、テレワーク制度導入は 待ったなし • 極めて限られた時間(1週間?)でテレワークを導入する必要があった • 「働き方改革」ではなく、「人命・安全確保」が重要

  10. 2019年8月時点でのテレワーク導入状況 • 2019年8月の調査では、テレワーク導入企業は「18.2%」 ϫʔΫϙʔτௐ΂IUUQTXXXXPSLQPSUDPKQ

  11. テレワークの導入方法 • テレワークを導入するにあたり、一般的な方法は次の通り • 業務PCのお持ち帰り • 私物PCをそのまま転用(私物PCに必要なアプリをインストール) • 仮想デスクトップの導入

  12. PC持ち帰り・私物PC転用の問題点 • 私物PC転用の問題点 • データの管理やエンドポイントセキュリティをコントロール出来ない • 大体の企業ではNGだし、むしろOKしているケースはレアケースと推測 • PC持ち帰りが出来ないケース •

    企業のセキュリティポリシーで「PC持ち出し禁止」としている • ISO-27001導入時に設定したという事例もある • 自宅のインターネット回線は使用を禁止している • 会社が用意したモバイル回線のみ許可する事例もある
  13. セキュリティポリシーを維持しつつ、 テレワークを導入するのは難しい • 既存のセキュリティポリシーを急に変更するのは困難を極める • 大企業では特に難しいと推測 • COVID-19の影響とはいえ、急なポリシー変更は「会社の信頼度」に大きく影響する ため、COVID-19以上の悪影響をもたらす可能性がある •

    ISMS取得済みの企業だと、審査にも響く • とはいえ、従業員の安全確保も企業として重要 • セキュリティポリシーを大きく変えずにテレワークを導入する必要がある
  14. そこで、仮想デスクトップ環境(VDI)の出番 • 私物PC(BYOD)を有効活用し、かつデータコントロールをしっかりしたい • 私物PCのスペックに左右されずに、均等に環境を配布したい • となると、「仮想デスクトップ環境」が選択肢となる。

  15. どうして仮想デスクトップ?

  16. そもそも「仮想デスクトップ」(VDI)とは • 正確には、「仮想デスクトップ基盤」 • シンクライアント(シンクラ)と同じ意味) • デスクトップ環境をサーバに集約し、クライアントはPCからリモートデスクトップ (RDPなど)接続を行う 利用者(PC・タブレット・スマートフォン) インターネット

    ホストOS(Windows)
  17. 仮想デスクトップの歴史 • ホストサーバへリモート接続するという概念はメインフレーム全盛期の頃から既 にあった • X端末を起源と考えることもできる • 1960年代〜1980年代 • 2006年、「Sun

    Ray 2」発売 • サンマイクロシステムズ • Wiiより少し小さいぐらいのサイズで、消費電力は4W程度 • ICカード・Fericaカード認証対応
  18. 仮想デスクトップのメリット üリソースを効率よく集約出来る • ホストマシンに対して集中的に投資することで、コストを最適化出来る • 逆にクライアント端末に対するコストを低く抑えることが出来る ü包括的にセキュリティ施策を行える • ホストマシンに対する接続をファイヤウォールなどで確実に制御出来れば良い •

    OSのパッチ当てについても包括対応出来る üBYOD(私物)クライアント端末を受け入れしやすい • BYOD端末からRDP接続(必要に応じてVPN経由)させることで、データ保護を確実に 行うことが出来る。
  19. 仮想デスクトップのデメリット • ホストマシンのリソース管理が結構手間 • 仮想基盤(VMwareなど)上のWindowsマシンの管理が必要 • ユーザーが増えてくると、ロードバランサやトラフィック管理もキツい • ユーザー数(社員数)が一気に増えた場合のホスト増設作業がキツい •

    Windowsのライセンス管理 • Officeのライセンス管理はMicrosoft365(旧Office365)で制御出来るから そこまで難しくない
  20. Windows Virtual Desktop とは?

  21. Windows Virtual Desktopとは • 仮想デスクトップ環境をMicrosoft Azure上に用意することが出来るサービス • DaaS(Desktop as a

    Service) • Windows / Mac / Linux / iOS / Android対応 • Windows10とWindows7を起動することが出来る • Windows7については、無料で延長セキュリティ更新プログラムを利用できる
  22. WVDの便利なところ • ゲートウェイ、ロードバランサ、仮想ネットワークなどを自分で用意する必要が 無い • 全てAzure上に構築することが出来る • Microsoft 365ライセンスがあればWindowsライセンスの追加購入が不要 •

    ライセンス数について気にする必要が無い • 必要なMicrosoft365ライセンスは後述 • マルチセッションに対応しているため、最低1台のWindows10のVMをAzure 上に起動するだけでOK • 利用者の数だけVMを用意しなくてよい
  23. 必要なMicrosoft365ライセンス • 2020年7月28日時点の情報です https://azure.microsoft.com/ja-jp/pricing/details/virtual-desktop/

  24. WVD v1とv2の違い • 2020年5月、WVD v2がリリースされ、リソース管理がARMになった • 従来はPowershellを手動実行したりと構築手順が煩雑だったが、かなり楽に なった • 今回は「v2」でお話を進めていきます

  25. WVDのセットアップ

  26. WVDの構築に必要なもの (全部Azure上で完結させる場合) • Azure Active Directory(AAD) • AAD(Azure上で使用する)とAD(オンプレ)とは仕様が異なるので注意 • AAD

    Domain Services • ドメイン参加やグループポリシー適用に使用する • AD DSとコンセプトは大体同じ • WVDのユーザ認証はAAD・ADを使用する
  27. WVDの構築に必要なもの (オンプレ上のADを使用する場合) • AAD と Active Directory(AD) • Active Directory

    Domain Controller(AD DC) • Azure AD Connect • オンプレADとAADを連携することが出来る https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/whatis-azure-ad- connect
  28. WVD環境の構築

  29. WVD環境の構築

  30. 環境構築 • ホストプール • ホスト用VMを束ねる仕組み • 場所 • 実際にVMが構築されるリージョン ではない

    • ホストプールの種類 • 「プール」にすると、可用性セットも 作られる • 「個人」にすると、ユーザー個別に VMを割り当てることができる
  31. 環境構築 • 仮想マシンの場所 • これが実際にVMが構築される リージョン • イメージ • Windows10

    • MS365搭載済みの物も選べる • 仮想ネットワーク • AAD/Domain Controllerを参照 できるサブネットを選ぶ • パブリックIPは「いいえ」にする • ここでポート開放しなくても Workspaceがコネクティビティを 保障してくれる
  32. • 参加するドメイン • Domain Controllerで設定した ドメイン • 組織単位のパス • 要するにOUの設定

    • 各AADの運用状況を考慮して 設定 • ADドメイン参加UPN • ホストVMをAADに参加させるため のユーザーアカウント • 専用で作ること • 「Domain Admins」は不要
  33. 環境構築 • 「ワークスペース」は複数のWVD 環境やRemoteAppを束ねる ことが可能

  34. 環境構築 • あとは「作成」を押すだけ

  35. よくあるトラブル • joindomain(AAD参加)が出来ない

  36. joindomainがうまくいかない場合 • 仮想ネットワークのDNS設定を確認する • Domain ControllerのプライベートIPを DNSサーバとして設定する • Domain Controllerで設定したドメイン名

    を正しくリゾルブ出来ず、AADまで 通信出来ない
  37. 実際につないでみる

  38. 構築したWVD環境への接続方法は2つ • Microsoft Remote Desktop(ネイティブアプリ)からRDP • Webブラウザ上で画面操作

  39. WVD環境へ接続(ブラウザ編) • Webブラウザで下記URLへアクセスする • https://rdweb.wvd.microsoft.com/arm/webclient

  40. WVD環境へ接続(ブラウザ編)

  41. WVD環境へ接続(ブラウザ編)

  42. WVD環境へ接続(ブラウザ編)

  43. WVD環境へ接続(ネイティブアプリ編) • Windows版、Mac版のアプリをダウンロード・インストールする • 本セッションではMac版を使用しています

  44. WVD環境へ接続(ネイティブアプリ編) • WorkSpaceのURLは • https://rdweb.wvd.microsoft.com/api/arm/feeddiscovery

  45. None
  46. None
  47. デバイスはどうする? • 私物PCでも対応可能 • 会社のセキュリティポリシーは別 • Stick PCを配布するケースもあり

  48. これからの時代、 どう対応していく? 個人的な見解が多く含まれています。

  49. COVID-19流行「前」には戻れない? • コロナ渦の影響で、感染症や危機管理に対する意識は大きく変わったのは ほぼ間違いない • 今までのような生活様式は出来なくなる?

  50. 「新時代」の到来 • 「アフターコロナ」ではなく、「新時代」と私は捉えています • 「テレワークという選択肢が増えた」というのも、新時代の到来なのでは?

  51. 臨機応変に対応出来ることが重要 • COVID-19については感染収束の目処が経たない上、第2波、第3波と今後 続くことが予想される • 「感染爆発」を引き起こす可能性もあれば、そのまま収束する可能性もある • つまり、先の予想を立てにくい • そのため、臨機応変に対応できる備えが重要

    • 必要に応じてWVDでテレワーク環境を即構築・配布できるように訓練を積む • BCPにも絡む
  52. テクノロジーで人命確保をしよう • テレワークにまつわる技術は、通勤させないことで感染リスクを低減させる事が 出来る • ゼロではないが、ゼロに近づけることが出来る • 「働き方改革」や「環境の平等性」という意識よりも、「人命の確保」が重要 • 既存のテクノロジーを有効活用することで、安全保障を目指す

  53. 質問などなど