Azureのデフォルトアウトバウンドアクセスが廃止へ——Azure Virtual Desktop利用者は要対応
Microsoftは2026年3月31日以降、新規作成されるAzure仮想ネットワーク(VNet)において、デフォルトアウトバウンドアクセス(Default Outbound Access / DOA) を無効化する重大なポリシー変更を実施する。この変更はAzure Virtual Desktop(AVD)を利用している組織に特に大きな影響を与えるため、早急な対応が求められている。
デフォルトアウトバウンドアクセスとは
これまでAzureでは、VNet内のリソースが明示的な設定なしにインターネットへのアウトバウンド通信を行える「デフォルトアウトバウンドアクセス」が暗黙的に提供されてきた。しかしMicrosoftはゼロトラストネットワーク(Zero Trust Network)の原則に基づき、この暗黙的な接続を廃止する方向へ舵を切った。
ゼロトラストとは「信頼しない、常に検証する」を基本原則とするセキュリティモデルで、クラウド環境では特に重要視されている。デフォルトで外部通信を許可するという従来の設計は、このモデルと相容れないものだった。
AVD利用者への具体的な影響
2026年3月31日以降に新規作成するVNetでは、DOAが自動的に無効となる。既存のVNetへの影響は現時点では対象外だが、新規環境の構築や既存環境のVNet再作成時には対応が必要になる。
Azure Virtual Desktopはセッションホスト(仮想デスクトップVM)がインターネットやMicrosoftのサービスエンドポイントへ接続する必要があるため、アウトバウンド接続が確保されていない場合、仮想デスクトップの起動や認証、更新処理が正常に動作しなくなるリスクがある。
推奨される代替接続方式
Microsoftは以下の明示的なアウトバウンド接続方式への移行を推奨している:
- NAT Gateway:シンプルかつスケーラブルなアウトバウンドNATソリューション。新規環境には最も推奨される選択肢
- Azure Firewall / NVA(ネットワーク仮想アプライアンス):トラフィックの制御・監視が必要なエンタープライズ環境に適合
- ロードバランサー(アウトバウンドルール付き):既存のロードバランサー構成と統合する場合に有効
今すぐ確認すべきこと
日本国内でAVD環境を運用・設計している担当者は、以下の点を確認することを強く推奨する:
- 現在利用中のVNetがDOAに依存していないか棚卸しを行う
- 今後新規構築するAVD環境では、設計段階からNAT GatewayやAzure Firewallを組み込む
- テスト環境で接続方式の切り替えを事前に検証する
この変更はセキュリティ強化の観点から歓迎すべき方向性だが、準備なく新規VNetを作成すると接続障害につながる可能性がある。期限の2026年3月31日まで時間的余裕は少なく、早急な対応計画の策定が望まれる。
元記事: Azure’s Default Outbound Access Changes: Guidance for Azure Virtual Desktop Customers