セキュリティと権限に関するFAQ

インストール権限

インストールにはグローバル管理者およびサブスクリプションオーナーの役割が必要ですか？なぜですか？

はいこれらの特権役割は、インストール時のみ以下の理由で必要です：

• グローバル管理者は、テナントレベルでNerdio Enterprise Appの必要な権限に同意するために、インストールプロセスの最後に一度必要です。このステップの後、Nerdio Managerは独自のマネージド ID で実行され、グローバル管理者のアクセスはこれ以上必要ありません。

• サブスクリプションオーナーは、Azureリソース（例えば、App Service、SQL、Key Vault）を展開および構成し、Nerdio Managerのライセンスのために請求オブジェクトを登録します。

インストール後、これらの役割は継続的な使用にはもはや必要ありません。

詳細については、Azureの権限とNerdio Managerを参照してください。

なぜAzureサブスクリプションに所有者ロールが必要ですか？

所有者ロールは以下のために必要です：

• App Service、Key Vault、ストレージアカウント、SQL DBなどのリソースを作成および構成すること。

• ライセンスのためにSaaS請求オブジェクトを登録すること。

展開後、権限は共同作成者またはユーザーアクセス管理者に減らすことができ、最小特権モデルに沿うことができます。

詳細については、実装ガイドおよびAzureの組み込み役割を参照してください。

ユーザーはインストール後にグローバル管理者またはサブスクリプションオーナーの役割を維持する必要がありますか？

いいえこれらの権限はインストール後には必要ありません。

管理は以下を通じて行われます：

• Nerdio Managerの組み込みRBACロール。

• 適用可能な場合、Azure RBAC。

インストールプロセスは自動化されていますか、それとも手動で行い、各ステップを異なる人に割り当てることができますか？

インストールは主にAzure Marketplaceを通じた展開により自動化されています。

管理者は、Advanced Installation Guideを使用し、事前にEntra IDアプリケーションを作成して同意することで、プロセスの一部を手動で実施することも可能です。

残りのリソース（App Service、Key Vault、Storage、SQLなど）は、Marketplace ARMテンプレートを通じて自動的にデプロイされます。

• 標準インストール：Azure Marketplaceを通じて完全に自動化されています（約15〜20分）。

• 高度なインストール：次のように分割されます：

  • Entra ID管理者（アプリ登録を作成し、同意を付与します）。

  • Azureサブスクリプションの所有者（インフラストラクチャを展開します）。

詳細については、高度なインストール: Entra ID アプリを作成およびMicrosoft Learn – ARMテンプレートを参照してください。

APIの権限

どのAPIの権限が必要ですか？どれがオプションまたは交渉可能ですか？

ほとんどの権限は、完全なNerdio Manager機能のために必要です。ただし、以下の委任された権限はしばしば質問を引き起こします：

• オプション/持っていると良い：

  • Application.ReadWrite.All（委任）：アプリ登録ライフサイクル管理を可能にします。

  • AppRoleAssignment.ReadWrite.All（委任）：自動化された役割の割り当てをサポートします。

• 除外された場合：

  • 自動ユーザーアサインのためのREST APIは機能しません。

  • インストールされたアプリのルールセットは、手動での更新が必要な場合があります。

Nerdio Managerは最小特権設計原則に従い、厳密に必要な場合にのみアプリレベルの権限を使用します。

ネットワークと接続性

プライベートエンドポイントを使用する場合、Nerdio Managerにはどのようなピアリングが必要ですか？

仮想ネットワーク（VNet）ピアリングの必要性は、Nerdio Managerの展開方法と広範なネットワークレイアウトによります：

• ピアリングが必要ない場合：

  • Nerdio ManagerはAVDセッションホストまたはクラウドPCと同じサブネットに展開できます。

  • また、同じVNet内の異なるサブネットに配置することも可能です。この場合、ピアリングは必要ありません。

• ピアリングが必要な場合：

  • Nerdio Managerがインストール時にプライベートエンドポイントが有効化された専用VNetに展開されている場合、次の間でピアリングが必要になることがあります：

    • プライベートエンドポイントとWebアプリが存在するNerdio Manager VNet。

    • AVDセッションホストやストレージリソース（例：FSLogix、MSIX、またはプロファイルコンテナー）をホストしている既存のVNet。

• 大規模環境向けの推奨プラクティス：

  • Nerdio Managerを管理用VNetおよびサブネットに配置します。

  • AVDセッションホストおよび関連リソース（例：ストレージ）を別のVNetに展開します。

  • これらのVNetをNerdio Manager管理用VNetにピアリングして、集中管理と拡張性を実現します。

セキュリティ保護された展開であっても、インストール中に一時的にパブリックエンドポイントが必要ですか？

はい一時的なパブリックアクセスが必要なもの：

• インストール時、Key Vault にシークレットが安全に書き込まれます。

• 初期ARMテンプレート実行中に使用される他のサービス。

インストール後、これらのコンポーネントは設定されている場合、プライベートエンドポイントを使用するように変換されます。

プライベートエンドポイントオプション

Nerdio Managerでプライベートエンドポイントを使用するためのオプションは何ですか？

以下は、Nerdio Managerでプライベートエンドポイントを使用するためのサポートされているアプローチです：

• セキュアデプロイメント（お勧め）

  • Nerdio Managerは、インストール中にプライベートエンドポイントを使用して必要なすべてのリソースをプロビジョニングします。

  • これは、最も効率的で完全にサポートされた方法です。

• デプロイ後のスクリプトによるハードニング

  • デプロイ後にプライベートエンドポイントを適用するために、Nerdio Managerが提供するハードニングランブックを使用してください。

  • これは、最初にプライベートエンドポイントなしでデプロイするが、後でデプロイを保護したいお客様に最適です。

• 完全手動によるハードニング

  • 非常に特定のセキュリティまたはDNS要件を持つ環境（例えば、Azure DNSを使用しない場合）向けです。

  • プライベートエンドポイント、DNS設定、およびハードニングスクリプトが処理する以上のネットワークルートを手動で構成する必要があります。

認証と役割の委任

Nerdio Managerは、AVDやクラウド PC の認証やRDP接続に関与していますか？

いいえNerdio Manager

• 認証やRDPのトラフィックをプロキシしません。

• ネイティブのAzure ADまたはEntra ID認証を変更しません。

• AVDの制御およびデータプレーンの外で動作します。

管理者によってトークンが生成された場合、そのトークンは他のユーザーと共有されますか？

いいえ各アイデンティティ（ユーザーやサービスプリンシパル）は、それぞれ固有のトークンを持ちます。トークンは共有されず、安全で監査可能かつ分離された活動が保証されます。

詳細については、Microsoft Learn – アクセストークンおよびEntra IDの監査ログを参照してください。

データ処理とライセンス

Nerdio Managerのライセンスサーバーと共有されるデータは何ですか？

ライセンス追跡に必要なメタデータのみが送信されます：

• Entra IDテナントID

• Azure サブスクリプション

• Nerdio Managerアプリ登録ID

ユーザー、VM、またはセッションデータは共有されません。

Nerdio Managerは顧客情報を格納しますか？を参照してください。詳細については、以下を参照してください。

________________________________________

Azureで認証トークンはどのように保護されていますか？

トークンとシークレットはAzure Key Vaultに格納され、次のことを行います：

• データを静止時および転送中に暗号化します。暗号化キー自体は同じAzure Key Vaultサービス内に格納および管理されています。

• RBACの下でマネージド ID を介してのみアクセスされます。

• ログ、コード、または環境変数にシークレットを決して露出しません。

詳細については、Azure Key Vault SecurityおよびEncryption with Key Vaultをご覧ください。

________________________________________

Nerdio Managerウェブアプリのセキュリティに関する考慮事項は何ですか？

• 安全なKey Vault アクセスのために、マネージド ID を使用した Azure App Service を利用します。

• 転送中および静止中の暗号化。

• Azure Monitorを通じた完全な監査ログ記録。

• アクセスを制限するためのオプションのプライベートエンドポイントサポート。

詳細については、Secure App ServiceおよびPrivate Endpointsをご覧ください。

________________________________________

マーケットプレイスのデプロイは必須ですか？事前にレビューできますか？

はい、Nerdio Managerをインストールするにはマーケットプレイスのデプロイが必要です。

ただし、次のことができます：

• デプロイ前にReview + Createを選択して、すべてのコンポーネントを確認します。

• 内部レビューのためにARMテンプレートを事前にダウンロードします。

• デプロイ後、リソースグループの展開履歴で変更を確認します。

詳細については、Implementation GuideおよびReview/Export ARM Templatesをご覧ください。

アウトバウンドアクセスとファイアウォール要件

Nerdio ManagerとAVDが機能するために必要なアウトバウンドアクセスは何ですか？

次の場所からインターネットアクセスが必要です：

• ライセンス、Azure API、ログ記録、一般的なプラットフォーム機能のためのNerdio Managerコンポーネント。

• ブローカー通信、セッション管理、更新、およびAzureサービスとの統合のためのAVDセッションホスト。

追加の考慮事項：次のMicrosoftのURLへのアウトバウンドアクセスが許可されていることを確認してください。

• Windows Update

• Microsoft Store / MS Wingetリポジトリ

• Azure Automation および診断エンドポイント

詳細については、AVD セッションホストの仮想マシンで、アウトバウンドのインターネット接続が必要です。およびVNet 統合ファイアウォール要件を参照してください。

________________________________________

Console ConnectとAI機能

Nerdio Managerはセッションホストにエージェントをインストールしますか？

いいえ。ただし、Console Connectが有効になっている場合のみです。その場合、セキュリティ保護されたシャドウイングとリモートコントロールをサポートする軽量エージェントがヘルプデスク向けにインストールされます。

詳細については、Console Connect よくある質問を参照してください。

________________________________________

Nerdio ManagerAI機能は外部サービスと連携しますか？

いいえNerdio ManagerAI機能（例：Copilot、Auto-scale Insights）：

• テナント内に含まれる

• 既定では展開されません。

• 明示的に別の設定がされていない限り、内部モデルを使用します（例：Azure OpenAI）。