Azure Virtual Desktop での透かし
透かしは、画面キャプチャ保護と共に、クライアント エンドポイントで機密情報がキャプチャされないようにするために役立ちます。 透かしを有効にすると、QR コードの透かしがリモート デスクトップの一部として表示されます。 QR コードにはリモート セッションの接続 ID またはデバイス ID が含まれており、管理者がセッションのトレースに使用できます。 透かしは、Microsoft Intune またはグループ ポリシーを使用してセッション ホストで構成され、Windows アプリまたはリモート デスクトップ クライアントによって適用されます。
有効にされた透かしがどのように表示されるかを示すスクリーンショットを次に示します。
重要
セッション ホストで透かしが有効にされると、透かしをサポートするクライアントだけがセッション ホストに接続できます。 サポートされていないクライアントから接続しようとすると、接続は失敗し、具体的ではないエラー メッセージが表示されます。
透かしはリモート デスクトップのみを対象にしています。 リモート アプリでは透かしは適用されず、接続は許可されます。
リモート デスクトップ接続アプリ (
mstsc.exe) を使用して、(Azure Virtual Desktop 経由ではなく) 直接セッション ホストに接続すると、透かしは適用されず、接続は許可されます。
前提条件
透かしを使用するには、次のものが必要です。
セッション ホストを使用した既存のホスト プール。
ホスト プール上の Desktop Virtualization Host Pool Contributor の組み込みロール ベースのアクセス制御 (RBAC) ロールが最小限割り当てられている Microsoft Entra ID アカウント。
透かしをサポートするクライアント。 次のクライアントが透かしをサポートしています。
リモート デスクトップ クライアント:
- Windows 10 以降での Windows デスクトップ、バージョン 1.2.3317 以降
- Web ブラウザー。
- macOS、バージョン 10.9.5 以降。
- iOS/iPadOS、バージョン 10.5.4 以降。
Windows アプリ:
- Windows
- macOS
- Web ブラウザー
自分の環境に合わせて構成された Azure Virtual Desktop Insights
Microsoft Intune を使用してセッション ホストを管理する場合は、以下が必要です。
ポリシーとプロファイル マネージャーの組み込み RBAC の役割が割り当てられた Microsoft Entra ID アカウント。
構成するデバイスを含むグループ。
Active Directory ドメインでグループ ポリシーを使用してセッション ホストを管理する場合は、以下が必要です。
Domain Admins セキュリティ グループのメンバーであるドメイン アカウント。
構成するセッション ホストを含むセキュリティ グループまたは組織単位 (OU)。
透かしを有効にする
お使いのシナリオに関連するタブを選択します。
Microsoft Intune を使用して透かしを有効にするには、次の操作を行ってください。
Microsoft Intune 管理センターにサインインします。
設定カタログ プロファイル型で、Windows 10 以降のデバイスの構成プロファイルを作成または編集します。
ピッカー設定で、[管理テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[Azure Virtual Desktop] の順に移動します。
[透かしを有効にする] チェックボックスをオンにし、設定ピッカーを閉じます。
重要
この設定には QR コード埋め込みコンテンツを指定するオプションが含まれていないため、[(非推奨) 透かしを有効にする] は選択しないでください。
管理テンプレート カテゴリを展開し、[透かしを有効にする] のスイッチを [有効にする] に切り替えます。
次のオプションを構成できます。
オプション 値 説明 QR コード ビットマップ倍率 1 - 10
(既定値: 4)各 QR コード ドットのサイズ (ピクセル単位)。 この値により、QR コードのドットあたりの正方形の数が決まります。 QR コードのビットマップの不透明度 100 から 9999 (既定値 = 2000) 透かしの透明度。100 は完全に透明です。 QR コードのビットマップの幅に対するグリッド ボックスの幅 (パーセント単位) 100 - 1000
(既定値: 320)QR コード間の距離をパーセント単位で指定します。 高さと組み合わせた場合、値が 100 だと QR コードは並んで表示され、画面全体が埋め尽くされます。 QR コードのビットマップの幅に対するグリッド ボックスの高さ (パーセント) 100 - 1000
(既定値: 180)QR コード間の距離をパーセント単位で指定します。 幅と組み合わせた場合、値が 100 だと QR コードは並んで表示され、画面全体が埋め尽くされます。 QR コード埋め込みコンテンツ 接続 ID (既定値)
Device IDQR コードで接続 IDとデバイス ID のどちらを使用するかを指定します。 個人用ホスト プールにあり、Microsoft Entra ID または Microsoft Entra ハイブリッド参加済みセッション ホストを含むデバイス ID のみを選択します。 ヒント
リモート セッションの読みやすさと QR コードのスキャンのしやすさのちょうどよいバランスを見つけるために、他のパラメーターの値を既定値のままにして、さまざまな透明度の値を試してみることをお勧めします。
[次へ] を選択します。
省略可能: [スコープ タグ] タブで、プロファイルをフィルター処理するスコープのタグを選択します。 スコープのタグの詳細については、分散 IT のためのロールベースのアクセス制御(RBAC) とスコープのタグの使用に関するページをご覧ください。
[割り当て] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[次へ] を選択します。
[確認 + 作成] タブで設定を確認し、[作成] を選択します。
設定を反映するために、Intune を使用したセッション ホストを同期します。
セッション情報を確認する
透かしを有効にしたら、Azure Virtual Desktop Insights を使用するか、Azure Monitor Log Analytics をクエリすることにより、QR コードからのセッション情報を確認できます。
Azure Virtual Desktop の分析情報
Azure Virtual Desktop Insights を使用して QR コードからのセッション情報を確認するには:
Web ブラウザーを開き、https://aka.ms/avdi に移動して Azure Virtual Desktop Insights を開きます。 プロンプトが表示されたら、Azure の資格情報を使用してサインインします。
関連するサブスクリプション、リソース グループ、ホスト プール、時間の範囲を選択して、[Connection Diagnostics] (接続の診断) タブを選択します。
[Success rate of (re)establishing a connection (% of connections)] (接続の (再) 確立の成功率 (成功した接続の割合)) セクションに、[First attempt] (最初の試行)、[Connection Id] (接続 ID)、[User] (ユーザー)、[Attempts] (試行回数) を示す、すべての接続のリストがあります。 このリスト内で QR コードからの接続 ID を探すか、Excel にエクスポートします。
Azure Monitor Log Analytics
Azure Monitor Log Analytics をクエリして QR コードからのセッション情報を探すには:
Azure ポータルにサインインします。
検索バーに、「Log Analytics workspaces」と入力して、一致するサービス エントリを選択します。
お使いの Azure Virtual Desktop に接続されている Log Analytics ワークスペースを選択して開きます。
[全般] で、[ログ] を選択します。
新しいクエリを開始し、次のクエリを実行して特定の接続 ID (Log Analytics では CorrelationId として示されています) のセッション情報を取得します。
<connection ID>を、QR コードからの一部またはすべての値に置き換えます。WVDConnections | where CorrelationId contains "<connection ID>"