2026年4月18日~24日 Windows 365 Community Weekly Newsletter まとめ
2026年4月24日の Windows 365 Community Weekly Newsletter について、読んでいきます。 元記事はこちら
今回のトピックは 5 つでした。
- DaaS 環境のセキュリティ強化:アイデンティティの保護
- Azure Virtual Desktop 向け RDP Multipath の冗長 TCP サポートがパブリックプレビューに
- Imprivata が Windows 365 Cloud PC の VDI サポートに対応
- Windows 365 Frontline 共有モードがより多くのリージョンに対応
- Windows 365 Cloud PC のリモート接続エクスペリエンスの設定方法
1. DaaS 環境のセキュリティ強化:アイデンティティの保護
記事の背景
最近、攻撃者が昇格された権限を持つアカウントに不正アクセスし、数千台ものデバイスにワイプ (wipe) コマンドを送信するという事件がありました。この事件では、管理プラットフォーム自体は正常に動作しており、「侵害されたアカウントから送られた正規のコマンドを実行した」という点が問題でした。
この事件をきっかけに、「Microsoft が提供するどんな防御手段があるか」を探る連載記事の第 1 弾を公開しました。今回はアイデンティティ(ID)の保護にフォーカスしています。
パスキーとは
パスキーは、従来のユーザー名・パスワードの組み合わせに代わる、よりセキュアでユーザーフレンドリーな認証方式です。パスワードの代わりに公開鍵・秘密鍵のペアを使用し、秘密鍵はデバイスの TPM モジュールに保存されます。
パスキーには大きく 2 種類あります。
- デバイスバインド型パスキー:1 台のデバイスにのみ存在し、コピー・移動ができないためセキュリティが高い(例:FIDO2 セキュリティキー)
- 同期型パスキー:クラウドサービス経由で複数デバイスで使える(例:iCloud Keychain)
Windows Hello for Business の PIN や生体認証、Microsoft Authenticator アプリ、FIDO2 セキュリティキーなどがパスキーの代表例です。パスキーがフィッシング耐性があるとされる理由は、「盗むものがない」から。ユーザー名もパスワードも存在せず、攻撃者が盗用できる情報がそもそもないわけですね。
Microsoft Entra 管理センターの「認証方法」→「ポリシー」からパスキー(FIDO2)を有効化できます。
条件付きアクセスとトークン保護
条件付きアクセス(Conditional Access)は、管理ポータルへのアクセスを多層的に制限する仕組みです。具体的には以下のような制御が可能です。
- 特定のネットワークからのみ管理ポータルにアクセスできるようにする
- マネージドデバイスからのみアクセスを許可する
- 認証強度(パスキーや MFA)を要求する
また「トークン保護」という機能もあります。サインイン後に発行される認証トークンがマルウェアに盗まれることを防ぐ仕組みで、デバイスを Entra に登録することでトークンをデバイスに紐付けます。これにより、たとえトークンが流出しても他のデバイスから悪用されません。
RBAC とカスタムロールについて
RBAC(ロールベースアクセス制御)は、権限をロールとしてまとめてユーザーに付与する仕組みです。管理タスクに必要最小限のロールのみを使うのが原則です。
PIM を使ったジャストインタイムアクセスについて
PIM(Privileged Identity Management)は「必要なときだけ必要な権限を付与する」という考え方を実現するツールです。通常、管理者ロールは常時割り当てられていますが、PIM を使うと「申請→承認→期限付きで有効化→自動失効」というフローにできます。
承認フローも柔軟で、自動承認(申請したら即承認)と委任承認(別の管理者がレビューして承認・拒否)を選択できます。高権限なロール(Global Admin など)には委任承認を設定するのがよさそうです。
詳細は以下の記事で解説されていますので興味があれば見てみてください。
Securing the DaaS platform: protecting the identities
2. Azure Virtual Desktop 向け RDP Multipath の冗長 TCP サポートがパブリックプレビューに
AVD において、RDP Multipath で TCP がサポートされました。(パブリックプレビュー) 詳細は以下の2026年4月24日 AVD Community Newsletter まとめ内でまとめています。
3. Imprivata が Windows 365 Cloud PC の VDI サポートに対応
Imprivata とは
Imprivata は医療・製造業などの現場で広く使われている認証ソリューションです。最大の特徴は「バッジタップ(IC カードや近距離無線)でデスクトップにサインイン」できる点で、特に忙しい医療現場などで重宝されています。
OneSign 26.1 での対応内容
これまで Imprivata OneSign のこの機能はオンプレミスの VDI 環境のみサポートされており、Windows 365 や Azure Virtual Desktop は公式にサポートされていませんでした。しかし OneSign 26.1 のリリースにより、Windows デバイスから Windows 365 Cloud PC への接続がサポート されました。
Imprivata Virtual Desktop Access now supports access to Windows 365 Cloud PCs on Windows devices.
これにより、オンプレミスの複雑なインフラ管理を減らしつつ、クラウドへのワークロード移行が可能になります。医療機関や製造業がクラウド PC へ移行する際の大きなハードルの一つが解消されたと言えそうです。
なお、リリースノートには EAM Analytics 利用者は 26.1 への更新を待つよう注意書きがあります。
詳細は以下の記事で解説されていますので興味があれば見てみてください。
What's New in Imprivata Enterprise Access Management 26.1
4. Windows 365 Frontline 共有モードがより多くのリージョンに対応
Windows 365 Frontline 共有モードとは
Windows 365 Frontline には 2 つのモードがあります。
- 専用モード(Dedicated):特定のユーザーが使い続けるクラウド PC。ライセンスは同時利用数ベース
- 共有モード(Shared):Entra グループに割り当てられ、複数ユーザーが交代で使えるクラウド PC
共有モードはマルチセッションではなく、同時に 1 ユーザーしか接続できません。サインアウトするとユーザープロファイルのデータが削除される非永続的なデスクトップ体験です。これは、在庫確認が必要な小売スタッフ、一時的なアクセスが必要な外部委託者、オンボーディング研修中の新入社員などのシナリオに最適です。
今回の展開リージョン
今回、以下のリージョンで Windows 365 Frontline 共有モードが利用可能になりました。
- ニュージーランド 北部
- メキシコ 中部
- ポーランド 中部
- スウェーデン 中部
なお、日本ではすでに 東日本 と 西日本 リージョンで利用可能です。
詳細は以下の記事で解説されていますので興味があれば見てみてください。
Windows 365 Frontline in shared mode expands to New Zealand North, Mexico Central, and Europe
5. Windows 365 Cloud PC のリモート接続エクスペリエンスの設定方法
Remote Connection Experience とは
Remote Connection Experience は、Windows 365 Cloud PC へのリモートセッションをより安全・安定させるための設定です。現在パブリックプレビュー中で、Microsoft Intune から設定できます。
主な機能は Windows Cloud I/O Protection(入力保護) です。これを有効にすると、ローカルデバイスのキーボード・ペン入力がリモートセッションに入力されなくなり、セッション内で生成された入力のみが受け付けられます。マルウェアがローカルのキーストロークを読み取ろうとしても、入力がセッション内で暗号化されているため、情報を盗まれる心配が少なくなります。
注意:この設定を有効にすると、専用の .MSI がインストールされていないローカルデバイスからは Cloud PC に接続できなくなります。
設定方法など詳細は以下の記事で解説されていますので興味があれば見てみてください。
How to Create Remote Connection Experience Settings for Windows 365 Cloud PCs
('ω')ノ