Azure Virtual Desktopがパブリックプレビューでcontext-based redirectionsをサポートするようになり、ユーザーID、デバイスコンプライアンス、ネットワーク条件に基づいてクリップボード、ドライブ、プリンター、USBリダイレクションの動作を動的にサーバー側で制御できるようになりました。このアップデートは、ハイブリッドおよびBYOD環境でのデータ持ち出し防止のアプローチを根本的に変えます—静的でホストプール全体のリダイレクションポリシーを、接続時に評価されるきめ細かくセッション対応の決定に置き換えます。

この機能が何をするか、どう機能するか、そしてなぜ今年最も重要なAVDセキュリティアップデートの一つであるかを以下に示します。


何が変わったか:静的から動的リダイレクション制御へ

これまで、Azure Virtual Desktopのリダイレクションポリシーには二値の制限がありました:所与のホストプールに接続するすべての人に一様に適用されていました。クリップボードのコピー&ペーストがブロックされた場合、コンプライアンス準拠の企業ラップトップと個人BYOD電話のすべてのユーザーのためにブロックされていました。代替案—管理対象デバイスと非管理対象デバイスで別々のホストプールを維持すること—は、多くの組織が実用的でない運用オーバーヘッドとユーザー管理の複雑さをもたらしました。

Context-based redirectionsは、セッションレベルで認証コンテキスト評価を導入することでこれを解決します。IT管理者は、各接続の信頼レベルに適応するリダイレクションポリシーを定義できるようになりました:

  • コンプライアンス準拠の管理対象企業デバイス—リダイレクションは通常通り許可
  • 非管理対象BYODまたは非準拠デバイス—リダイレクションは制限またはブロック
  • 異なるユーザーロール—契約社員やパートナーは正社員とは異なるリダイレクション動作を見る場合がある

ロジックは各接続試行でサーバー側で評価され、ポリシーエンジンとしてMicrosoft Entra Conditional Access認証コンテキストを使用します。

技術アーキテクチャ

この機能はシンプルな3層ワークフローで動作します:

  1. Conditional Access Authentication Context — 管理者がMicrosoft Entra IDでConditional Accessポリシーを作成し、「Require compliant device」や「Require managed device」などの認証コンテキストを定義します。このポリシーはユーザーグループに割り当てられ、認証コンテキストが満たされる条件を指定します。

  2. Host Pool RDP Property Binding — Azure Virtual Desktopホストプールプロパティで、管理者はDevice redirectionタブで個々のリダイレクション(クリップボード、ドライブ、プリンター、USB)を設定します。二値の有効/無効トグルの代わりに、管理者は**“Dynamically configure using authentication context”**を選択し、適切な認証コンテキストを選択します。

  3. Runtime Evaluation — ユーザーがホストプールに接続すると、Azure Virtual Desktopが認証コンテキストを評価します。デバイスがConditional Accessポリシーを満たす場合(例:Intune登録済み、コンプライアンス準拠、正常)、リダイレクションは許可されます。そうでない場合、リダイレクションは制限またはブロックされます。

結果:1つのホストプールで異なるリダイレクション動作を持つ2つの集団にサービスを提供し、クライアント側の設定は不要で、追加のセッションホスト管理も不要です。


エンタープライズITにとってなぜこれが重要か

妥協のないBYOD

BYODは常にAVDデプロイメントの緊張ポイントでした。組織は柔軟性とコスト削減のために個人デバイスをサポートしたかったですが、非管理対象デバイス上の制限のないリダイレクションからのデータ持ち出しリスクは受け入れられませんでした。標準的な解決策—すべてをブロック—は、より高い信頼にオプトインする方法を持たなかった管理対象デバイスユーザーのユーザー体験を低下させました。

Context-based redirectionsはこのトレードオフを排除します。組織は以下ができるようになりました:

  • 企業管理対象デバイス向けにクリップボードコピー&ペーストを許可しながらBYOD接続向けにブロック
  • コンプライアンス準拠のハードウェアを持つデスクワーカー向けにUSBリダイレクションを有効化しながら個人ラップトップ上のリモートワーカー向けに制限
  • コンプライアンス準拠のドメイン参加エンドポイントからのみドライブリダイレクションを許可しながら非管理対象の個人デバイスからはブロック

すべてが単一のホストプールと単一のセッションホストイメージのセットから。

Microsoft Zero Trust戦略との整合

この機能は、Zero Trustの原則「決して信頼せず、常に検証し、最小特権を強制する」の直接的な拡張です。以前のAVDセキュリティアップデート(2025年7月のデフォルトリダイレクションロックダウン、トークン保護GA)が静的強化に焦点を当てていたのに対し、context-based redirectionsは動的信頼評価を導入します。

また、以前は別々だったMicrosoftのセキュリティ投資の収束を表します:

セキュリティレイヤー以前のアプローチContext-Based Redirections付き
IDMicrosoft Entra Conditional Access(認証のみ)CAがセッション動作へ拡張
デバイスIntuneコンプライアンスポリシー(デバイス管理)コンプライアンス状態がリダイレクション能力をゲート
ネットワークConditional Access locationポリシー(どこから接続できるか?)ネットワーク信頼レベルが何ができるかに影響
セッション静的RDPプロパティ(すべてに一様)接続ごとの動的RDP評価

サポートと運用負担の削減

運用上の影響は過小評価すべきではありません。以前は管理対象デバイスと非管理対象デバイスを区分するために複数のホストプールを運用していた組織は、これで統合できます。ホストプールが減ることは:

  • イメージ管理オーバーヘッドの削減
  • より少ないアプリケーショングループを通じた簡素化されたアプリケーション割り当て
  • より低い監視とアラートの複雑さ
  • BYODユーザーのより速いオンボーディング

組織がすべきこと

1. 現在のリダイレクション戦略をレビュー

既存のリダイレクションポリシーを監査します。セキュリティ上の理由でリダイレクションを無効化したホストプールを特定し、context-based制御がコンプライアンス準拠デバイス向けに再有効化を許可するかを評価します。これは企業とBYODユーザーの混合集団にサービスを提供するホストプールに特に関連します。

2. ライセンスが整っていることを確認

Context-based redirectionsはConditional Access認証コンテキストを必要とし、これはMicrosoft Entra ID P1またはP2で利用可能です。テナントライセンスが実装予定のポリシーをサポートすることを確認します。

3. 認証コンテキストアーキテクチャを計画

機能を有効にする前に認証コンテキストを設計します。典型的な構造には以下が含まれます:

  • “AVD-CompliantDevice”—Intune登録とコンプライアンスを要求
  • “AVD-ManagedDevice”—ハイブリッドAD参加またはEntra参加を要求
  • “AVD-TrustedLocation”—企業ネットワークまたは信頼されたIP範囲を要求

各コンテキストは特定のリダイレクション許容範囲にマッピングされます。ポリシーの蔓延を避けるためコンテキストの数を管理可能に保ちます。

4. 最初にバリデーションホストプールで実装

本番ロールアウトの前にバリデーションまたはパイロット環境で機能をテストします。各リダイレクションタイプについてコンプライアンス準拠デバイスと非準拠デバイスの両方から動作を検証します。Microsoftドキュメントはクリップボード、ドライブ、プリンター、USBテストをカバーする詳細な検証ガイダンスを提供します。

5. ユーザーにコミュニケート

BYODユーザーは企業デバイスユーザーとは異なる機能を経験します—クリップボード制限、ファイル転送の制限、プリンター可用性の違い。プロアクティブなコミュニケーションが混乱とサポートチケットを防ぎます。各デバイスタイプが何ができ何ができないかを示すシンプルなマトリックスを公開することを検討してください。

6. 監視と反復

Azure Virtual Desktop Insightsを使用して接続パターンとリダイレクション動作を監視します。以下に注目します:

  • 欠落したリダイレクションに関連するサポートチケット
  • シャドーITの回避策(ユーザーがサードパーティツールを利用)
  • 追加のコンプライアンスパスまたは例外処理のリクエスト

変わっていないこと

  • 既存のRDPプロパティ設定はそのまま維持—context-based redirectionsはリダイレクションタイプごとにオプトインです
  • 2025年7月のデフォルトリダイレクションロックダウン(新しいホストプール向けにデフォルトでリダイレクションを無効化したもの)は変更なし—これは代替ではなく補完的な機能です
  • クライアント側のリダイレクション強制(Group PolicyとIntune設定カタログ)は引き続き独立して機能し、サーバー側制御をオーバーライドまたは補完できます
  • 非Windowsクライアント—Context-based redirectionsはWindows、Web、Android、iOS、macOSのWindows Appクライアント全体でサポートされます
  • US Government向けAVD—政府クラウドでのこの機能の可用性タイムラインはまだ発表されていません
  • コスト—この機能に追加のAzure Virtual Desktopコストはありません(標準ライセンスとConditional Access P1/P2ライセンスが適用)

より大きな絵

Context-based redirectionsはAzure Virtual Desktopのセキュリティストーリーの成熟点を表します。プラットフォームはセキュリティの旅の中で3つのフェーズを経て進化してきました:

**フェーズ1 — ベースライン強化(2024–2025):**デフォルトリダイレクションロックダウン(2025年7月)、強制TLS 1.2+、トークン保護GA、RDP Shortpathセキュリティ改善。これらは一様に適用される広範で静的なセキュリティ制御でした。

**フェーズ2 — Conditional Access収束(2025–2026):**AVD接続向けのMicrosoft Entraサインイン頻度、ブラウザー内Windows App向けのMAMサポート、そして今回のcontext-based redirections。MicrosoftのIDとセキュリティインフラストラクチャはリモートデスクトップセッションレイヤーへとますます拡張しています。

**フェーズ3 — 適応型セキュリティ(予想):**軌跡は真に適応型セッションセキュリティ—ユーザー行動の異常検出、リスクスコア、脅威インテリジェンスフィードに基づいてリアルタイムで調整されるポリシー—を指しています。Context-based redirectionsはこの進化の基盤です。

AVDを主要なワークフォースプラットフォームとして評価する組織にとって、このアップデートは長年の懸念に対処します:「管理対象デバイスの体験を低下させずにBYODアクセスをどうセキュアに処理するか?」その答えがパブリックプレビューで利用可能になりました。


Azure Virtual Desktopの変更をナビゲートするサポートが必要ですか? Big Hat Groupは組織がAVD環境を設計、デプロイ、管理するのを支援します—リダイレクション戦略、Conditional Accessポリシーアーキテクチャ、BYODセキュリティ計画を含みます。お問い合わせて、context-based redirectionsがAVDセキュリティ体制をどう強化できるかを評価してください。

Big Hat GroupはAzure Virtual Desktop、モダンエンドポイント管理、Microsoft 365デプロイメントを専門とするMicrosoftパートナーです。