MicrosoftがWindows 365およびAzure Virtual Desktop(AVD)向けに「コンテキストベースのリダイレクト(Context-based redirections)」のパブリックプレビューを開始した。デバイスの管理状態やコンプライアンス準拠状況といった文脈情報に基づき、クリップボードやUSBなどのデータパスを動的に制御できる新機能で、BYOD環境におけるデータ保護の粒度が大きく向上する。

コンテキストベースのリダイレクトとは

従来のWindows 365やAVDにおけるリダイレクト設定は「一律適用」が基本だった。組織全体でクリップボードのコピー&ペーストを許可するか禁止するか、という二択に近い状態である。

今回パブリックプレビューとなった機能は、Microsoft Entraの条件付きアクセス(Conditional Access)の認証コンテキスト(Authentication Context)と組み合わせることで、以下のシグナルに基づいてリダイレクト設定を動的に変更できる。

  • デバイスの管理状態(Intune管理済みかどうか)
  • コンプライアンスの準拠状況(ポリシー違反がないか)
  • ユーザーまたはグループのメンバーシップ
  • ネットワーク条件(企業ネットワーク内かどうかなど)

端的に言えば「信頼できるデバイスからのセッションには多くを許可し、管理外デバイスからのセッションには制限する」という、ゼロトラストの考え方に沿ったアダプティブ制御が実現する。

パブリックプレビューの対象リダイレクション

今回のパブリックプレビューでは以下4種類が制御対象となる。

リダイレクション 制御対象

クリップボード ローカルデバイスとリモートセッション間のコピー&ペースト

ドライブ・ストレージ ローカルの固定ディスク・リムーバブルストレージ・ネットワークドライブ

プリンター リモートセッションからローカルプリンターへの印刷

USB USBデバイスのリモートセッションへのリダイレクト

対応クライアントはWindows・Web・Android・iOS・macOS上のWindows Appと専用VMセッション。

設定の流れ

セットアップは3ステップで完結する。

  • Entra認証コンテキストの作成: Microsoft Entra管理センターで「認証コンテキスト」を定義する。信頼レベルの識別子となる
  • 条件付きアクセスポリシーの作成: 作成した認証コンテキストに対して条件付きアクセスポリシーを適用する(対象デバイスのコンプライアンス状態やグループ等を条件に設定)
  • Windows 365リモート接続エクスペリエンスポリシーの設定: Windows 365の設定カタログから、ターゲットリダイレクションに対して認証コンテキストを要求するよう構成する

注意: 既存ポリシーでリダイレクションを無効化している場合、「最も制限的な設定が優先される」原則により、コンテキストベースのリダイレクトが機能しない可能性がある。テスト前に既存ポリシーを「未構成」または「有効」に変更しておく必要がある。また、テスト用に専用のパイロットデバイスグループを作成してから試すことをMicrosoftは推奨している。

実務への影響

BYODポリシー再設計のチャンス

日本企業でも「スマートフォンはOK・個人PCはNG」「在宅勤務時は制限あり」といったBYOD運用の差別化ニーズは根強い。これまでは管理者が手動でグループを切り分けたり、利用シナリオごとに別ポリシーを作成する必要があった。コンテキストベースのリダイレクトにより、同じポリシーセットでもセッションの信頼レベルに応じて制御が自動的に変わるため、管理負荷を下げながらセキュリティ強度を上げることが可能になる。

ゼロトラスト移行の実践的ステップとして

「デバイスコンプライアンス × セッション信頼レベル × リソースアクセス制御」の組み合わせは、ゼロトラストアーキテクチャの中核をなす考え方だ。VDI環境(Windows 365/AVD)を持つ組織にとって、このパブリックプレビューへの参加は、ゼロトラスト実装を具体的に前進させる絶好の機会と捉えてよい。

筆者の見解

正直に言うと、セキュリティ系の細かいポリシー管理は筆者が得意とするジャンルではない。設定項目が増えるたびに「複雑化して誰かが必ずやらかす」と感じてしまうからだ。

ただ、今回のコンテキストベースのリダイレクトは技術的な発想として面白い。条件付きアクセスという組織にすでに定着している仕組みを拡張してVDIのリダイレクション制御に繋げる設計は、新たなレイヤーを無理やり追加するのではなく、既存のゼロトラスト投資を活かしている点で筋がよい。「禁止か許可か」の二択から脱却し、セッションの文脈に応じて動的に制御するアプローチは、現場のユーザー体験とセキュリティの両立という観点で大事な一歩だ。

一方で気になるのは、まだポリシー結果確認機能(RSOP: Resultant Set of Policy)が開発中という点だ。どのポリシーが実際に効いているかをその場で確認できない状態では、トラブル発生時の切り分けが辛い。「最も制限的な設定が勝つ」という動作原則は意図せず全部ブロックされる事故を招きやすく、RSopなしではデバッグに時間がかかる。パブリックプレビュー中にRSOPが実装されることを期待したいし、Microsoftにはここをきちんと仕上げてからGA(一般提供)に踏み切ってほしいところだ。Entraとの統合という設計方針は正しい。あとはその完成度が問われる。

出典: この記事は Adaptive data protection with context-based redirections in Windows 365, now in public preview の内容をもとに、筆者の見解を加えて独自に執筆したものです。