<pre data-enlighter-language="generic">style_prompt: | **Persona**: シニア・クラウドアーキテクト。 **Tone**: 権威的、厳密、技術的詳細を重視。 **Structure**: 構成指示に厳密に従い、ベストプラクティスを強調。 **Focus**: 最新のAzure/M365サービス名（Entra ID, Defender for Endpoint, AVD等）とセキュリティ設計（Well-Architected Framework）の適用。 </pre> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">AVD/W365における2026年1月パッチ起因の認証エラー耐障害性設計：Entra Kerberosとモダン認証によるハイブリッド依存性の排除</h1> <h2 class="wp-block-heading">【導入】</h2> <p>Windowsの認証プロトコル厳格化に対応し、Entra ID Joined VDI環境の認証信頼性と耐障害性を確保する。</p> <h2 class="wp-block-heading">【アーキテクチャ設計】</h2> <p>2026年1月以降の認証エラーシナリオは、Kerberosプロトコルのセキュリティ強化（例：PAC署名検証の厳格化、KDCの動作変更）が原因で、特にハイブリッド参加型のAVD環境で発生しやすいと予測されます。</p> <p>この課題に対処するため、オンプレミスActive Directory Domain Services (AD DS)への依存度を最小限に抑え、Entra IDを認証の主軸とする<strong>Entra ID Joined AVD/W365</strong>アーキテクチャを採用します。これにより、クライアントとVDIセッション間の認証フローから、将来的なWindowsパッチによる影響を受けやすいレガシーなハイブリッドKerberos接続パスを排除します。</p> <p>コアコンポーネントとして、Entra Kerberosを有効化し、Entra ID参加済みデバイスがドメインコントローラを介さずに、Entra IDから発行されたKerberosチケットを利用してオンプレミスリソースへのSSOを可能にします。</p> <h3 class="wp-block-heading">Mermaid図解</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph Client Access A["User Device(\"Entra ID Registered\")"] -->|1. Modern Auth/MFA| B("Entra ID") B -->|2. Conditional Access Policy| C{"Access Gate"} end subgraph AVD/W365 Session Host C --> D("AVD/W365 Host Pool - Entra ID Joined") D -->|3. SSO("Entra Kerberos TGT")| E["Virtual Desktop Session"] end subgraph Resource Access E -->|4. Kerberos Ticket Request| B B -->|5. Entra Kerberos Ticket (PAC-less)| F["On-Premises Resources"] E -->|6. Cloud Resource Access| G("Microsoft 365/SaaS") end style B fill:#f9f,stroke:#333 style D fill:#ccf,stroke:#333 %% 説明: %% 1 & 2: ユーザーはMFAとCAを適用したモダン認証でEntra IDに接続。 %% 3: VDIセッション開始。セッションホストはEntra IDのみに依存。 %% 4 & 5: VDIセッション内からオンプレミスリソースへアクセスする際、Entra IDが Kerberos チケットを発行（Entra Kerberos）。AD DSへの直接通信は不要。 </pre></div> <h2 class="wp-block-heading">【実装・デプロイ手順】</h2> <p>Entra ID JoinedのAVD Host Poolを作成し、Entra Kerberosを有効化するための設定手順を示します。既存のHybrid Joined環境から移行する場合は、新しいHost Poolを作成することを推奨します。</p> <h3 class="wp-block-heading">1. Entra ID Joined Host Poolの作成（Azure CLI）</h3> <p>以下のコマンドで、セッションホストをEntra IDに参加させるHost Poolを作成します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 変数設定 RESOURCE_GROUP="rg-avd-entra-001" HOST_POOL_NAME="hp-entra-id-prod" LOCATION="eastus" WORKSPACE_NAME="ws-avd-entra-prod" VNET_NAME="vnet-avd-001" SUBNET_NAME="snet-avd-hosts" GALLERY_IMAGE_ID="/subscriptions/{subId}/resourceGroups/{rg}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/{version}" # Host Pool作成（Entra ID参加設定を含む） az desktopvirtualization hostpool create \ --resource-group $RESOURCE_GROUP \ --name $HOST_POOL_NAME \ --location $LOCATION \ --host-pool-type "Pooled" \ --load-balancer-type "BreadthFirst" \ --registration-info expiration-time=$(date -u -d '+7 days' '+%Y-%m-%dT%H:%M:%SZ') \ --preferred-app-group-type "Desktop" \ --validation-environment false \ --vm-template { \ "domain-join-info": { \ "domain-join-type": "AzureADJoin" \ }, \ "os-disk-type": "StandardSSD_LRS", \ "image-offer": "windows-10-21h2-ent-multi-sess", \ "image-publisher": "MicrosoftWindowsDesktop", \ "image-sku": "m365", \ "image-version": "latest", \ "vm-size": "Standard_D4ds_v5", \ "disk-size-gb": 128, \ "vnet-name": $VNET_NAME, \ "subnet-name": $SUBNET_NAME, \ "session-hosts-count": 5 \ } </pre> </div> <h3 class="wp-block-heading">2. Entra Kerberosの構成（グループポリシー）</h3> <p>Entra KerberosによるオンプレミスSSOを有効化するためには、 Entra IDの構成（KDCオブジェクトの作成）に加え、VDIセッションホスト上で特定のポリシー設定が必要です。</p> <p>Entra Kerberosをサポートする最小バージョンのWindowsイメージを使用し、以下のレジストリ設定を適用するグループポリシーまたはIntune設定プロファイルを作成します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># PowerShell (Intune OMA-URIまたはカスタムポリシーとして適用推奨) # 1. クラウドKerberosチケットの要求を許可 # HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\CredSSP\EnableKerberosCloudTrust Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\CredSSP" -Name "EnableKerberosCloudTrust" -Value 1 -Type DWORD -Force # 2. Entra Kerberosの展開（必要に応じて、特定のWeb/SaaSアクセスにEntra IDトークンを利用させる場合） # HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD\NGC\KerberosClient\CloudKDCPreferred # Entra Kerberosを優先的に使用する設定（認証エラー後のフォールバック回避策として特に重要） Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD\NGC\KerberosClient" -Name "CloudKDCPreferred" -Value 1 -Type DWORD -Force </pre> </div> <p><em>注：Entra Kerberosを利用するユーザーには、Entra ID内でオンプレミスリソースへのアクセスを許可する証明書が必要です。</em></p> <h2 class="wp-block-heading">【アイデンティティとセキュリティ】</h2> <p>認証エラーの根本解決に加え、最新のセキュリティ要件に基づきゼロトラスト原則を適用します。</p> <h3 class="wp-block-heading">1. 認証ポリシー：条件付きアクセス (Conditional Access)</h3> <p>AVD/W365アクセスに対して、以下のCAポリシーを設計し、デバイスおよびユーザーの信頼性を検証します。</p> <figure class="wp-block-table"><table> <thead> <tr> <th style="text-align:left;">設定項目</th> <th style="text-align:left;">ポリシー内容</th> <th style="text-align:left;">目的</th> </tr> </thead> <tbody> <tr> <td style="text-align:left;"><strong>ユーザー</strong></td> <td style="text-align:left;">全外部/内部ユーザー（ブレイクグラスアカウントを除く）</td> <td style="text-align:left;">包括的な適用</td> </tr> <tr> <td style="text-align:left;"><strong>クラウドアプリ</strong></td> <td style="text-align:left;">Azure Virtual Desktop (または Windows 365)</td> <td style="text-align:left;">ターゲット指定</td> </tr> <tr> <td style="text-align:left;"><strong>条件</strong></td> <td style="text-align:left;">デバイスの状態: Entra ID Joined or Hybrid Entra ID Joined (Managed)</td> <td style="text-align:left;">未管理デバイスからのアクセスを禁止</td> </tr> <tr> <td style="text-align:left;"><strong>アクセス制御</strong></td> <td style="text-align:left;">1. 多要素認証 (MFA) の要求</td> <td style="text-align:left;">認証情報の侵害防御</td> </tr> <tr> <td style="text-align:left;"></td> <td style="text-align:left;">2. [オプション] Intuneによる準拠済みデバイスの要求</td> <td style="text-align:left;">OSパッチレベルとセキュリティ構成の担保</td> </tr> </tbody> </table></figure> <h3 class="wp-block-heading">2. デバイスセキュリティ：Defender for Endpoint (MDE) 統合</h3> <p>AVD/W365セッションホストには、統合されたMDEソリューションを導入します。Entra ID Joined環境では、MDEによるデバイス登録とセキュリティポリシー適用が容易です。</p> <ul class="wp-block-list"> <li><p><strong>セキュリティ境界:</strong> MDEの「セキュリティ設定管理 (Security Settings Management)」を利用し、VDIホストのファイアウォール、ASR (Attack Surface Reduction) ルールをIntune経由で管理します。これにより、パッチ適用後のOS設定変更による認証関連の予期せぬポートブロックを防ぎます。</p></li> <li><p><strong>権限設計 (RBAC):</strong> VDI管理タスクは「Desktop Virtualization Contributor」に限定し、セキュリティ監視担当者には「Security Reader」ロールをEntra IDに割り当てます。</p></li> </ul> <h2 class="wp-block-heading">【運用・コスト最適化】</h2> <h3 class="wp-block-heading">1. 可観測性：Log Analyticsによる認証イベント監視</h3> <p>予期せぬ認証エラーの再発防止のため、Entra IDサインインログとAVD診断設定をAzure Log Analyticsワークスペースにルーティングします。</p> <figure class="wp-block-table"><table> <thead> <tr> <th style="text-align:left;">ログソース</th> <th style="text-align:left;">収集対象</th> <th style="text-align:left;">監視・分析ポイント</th> </tr> </thead> <tbody> <tr> <td style="text-align:left;"><strong>Entra ID</strong></td> <td style="text-align:left;">Sign-in logs, Audit logs</td> <td style="text-align:left;">失敗した認証要求の「理由コード」（特にEntra Kerberos関連のエラーコード）を監視。</td> </tr> <tr> <td style="text-align:left;"><strong>AVD Diagnostics</strong></td> <td style="text-align:left;">Connection, Management</td> <td style="text-align:left;">接続失敗の原因（セッションホスト到達不能、認証情報無効）を迅速に特定。</td> </tr> <tr> <td style="text-align:left;"><strong>VDI OS (Event Log)</strong></td> <td style="text-align:left;">Security/System Events</td> <td style="text-align:left;">Kerberosエラー（イベントID 14, 16など）をカスタムログとして収集し、パッチ適用後の挙動を追跡。</td> </tr> </tbody> </table></figure> <h3 class="wp-block-heading">2. コスト最適化：高性能SKUと予約インスタンス</h3> <p>AVD/W365環境におけるコストの大部分はComputeに起因します。</p> <ul class="wp-block-list"> <li><p><strong>SKU選択:</strong> 認証処理速度がセッション開始時間に直結するため、最新世代の高性能SKU（例: <code>Dv5</code> または <code>Dads v5</code> シリーズ）を選択し、ユーザーエクスペリエンスを向上させます。</p></li> <li><p><strong>予約インスタンス (RI):</strong> ベースとなるキャパシティ（常時稼働が必要な最小ホスト数）を1年または3年のRIでカバーし、コストを最大60%以上削減します。</p></li> <li><p><strong>スケーリングプラン:</strong> Azure Virtual Desktop Scaling Planを使用して、営業時間外および週末のセッションホストを自動的にシャットダウンまたは割り当て解除し、アイドル状態のコストを排除します。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>2026年1月Windowsパッチ起因の認証エラーに備えるためには、VDI環境の認証アーキテクチャ全体を見直し、ハイブリッド環境特有の脆弱性から脱却する必要があります。</p> <ol class="wp-block-list"> <li><p><strong>Entra Kerberosの全面的採用:</strong> Entra ID Joined AVD/W365環境を標準とし、オンプレミスAD DSへの依存度を低減します。認証フローの簡素化は、将来的なWindowsパッチによる影響範囲を限定します。</p></li> <li><p><strong>モダン認証の厳格化:</strong> Conditional Accessを適用し、MFAと準拠デバイスを必須とすることで、認証情報のセキュリティを確保し、Kerberos/NTLMなどのレガシープロトコルに起因しない、信頼性の高いアクセス経路を確立します。</p></li> <li><p><strong>継続的なテストと監視:</strong> パッチが適用される四半期ごとに、パイロットグループでEntra KerberosのSSO機能とAVD接続テストを実施します。Log Analyticsによる認証ログの異常検知を自動化し、パッチ展開後の潜在的な認証エラーを即座に特定できる体制を構築します。 “`</p></li> </ol>

style_prompt: |
  **Persona**: シニア・クラウドアーキテクト。
  **Tone**: 権威的、厳密、技術的詳細を重視。
  **Structure**: 構成指示に厳密に従い、ベストプラクティスを強調。
  **Focus**: 最新のAzure/M365サービス名（Entra ID, Defender for Endpoint, AVD等）とセキュリティ設計（Well-Architected Framework）の適用。

graph TD
    subgraph Client Access
        A["User Device(\"Entra ID Registered\")"] -->|1. Modern Auth/MFA| B("Entra ID")
        B -->|2. Conditional Access Policy| C{"Access Gate"}
    end

    subgraph AVD/W365 Session Host
        C --> D("AVD/W365 Host Pool - Entra ID Joined")
        D -->|3. SSO("Entra Kerberos TGT")| E["Virtual Desktop Session"]
    end

    subgraph Resource Access
        E -->|4. Kerberos Ticket Request| B
        B -->|5. Entra Kerberos Ticket (PAC-less)| F["On-Premises Resources"]
        E -->|6. Cloud Resource Access| G("Microsoft 365/SaaS")
    end

    style B fill:#f9f,stroke:#333
    style D fill:#ccf,stroke:#333

    %% 説明:
    %% 1 & 2: ユーザーはMFAとCAを適用したモダン認証でEntra IDに接続。
    %% 3: VDIセッション開始。セッションホストはEntra IDのみに依存。
    %% 4 & 5: VDIセッション内からオンプレミスリソースへアクセスする際、Entra IDが Kerberos チケットを発行（Entra Kerberos）。AD DSへの直接通信は不要。

# 変数設定

RESOURCE_GROUP="rg-avd-entra-001"
HOST_POOL_NAME="hp-entra-id-prod"
LOCATION="eastus"
WORKSPACE_NAME="ws-avd-entra-prod"
VNET_NAME="vnet-avd-001"
SUBNET_NAME="snet-avd-hosts"
GALLERY_IMAGE_ID="/subscriptions/{subId}/resourceGroups/{rg}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/{version}"

# Host Pool作成（Entra ID参加設定を含む）

az desktopvirtualization hostpool create \
  --resource-group $RESOURCE_GROUP \
  --name $HOST_POOL_NAME \
  --location $LOCATION \
  --host-pool-type "Pooled" \
  --load-balancer-type "BreadthFirst" \
  --registration-info expiration-time=$(date -u -d '+7 days' '+%Y-%m-%dT%H:%M:%SZ') \
  --preferred-app-group-type "Desktop" \
  --validation-environment false \
  --vm-template { \
    "domain-join-info": { \
      "domain-join-type": "AzureADJoin" \
    }, \
    "os-disk-type": "StandardSSD_LRS", \
    "image-offer": "windows-10-21h2-ent-multi-sess", \
    "image-publisher": "MicrosoftWindowsDesktop", \
    "image-sku": "m365", \
    "image-version": "latest", \
    "vm-size": "Standard_D4ds_v5", \
    "disk-size-gb": 128, \
    "vnet-name": $VNET_NAME, \
    "subnet-name": $SUBNET_NAME, \
    "session-hosts-count": 5 \
  }

# PowerShell (Intune OMA-URIまたはカスタムポリシーとして適用推奨)

# 1. クラウドKerberosチケットの要求を許可


# HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\CredSSP\EnableKerberosCloudTrust

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\CredSSP" -Name "EnableKerberosCloudTrust" -Value 1 -Type DWORD -Force

# 2. Entra Kerberosの展開（必要に応じて、特定のWeb/SaaSアクセスにEntra IDトークンを利用させる場合）


# HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD\NGC\KerberosClient\CloudKDCPreferred


# Entra Kerberosを優先的に使用する設定（認証エラー後のフォールバック回避策として特に重要）

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD\NGC\KerberosClient" -Name "CloudKDCPreferred" -Value 1 -Type DWORD -Force