Windows App Kiosk で作る“完全パスワードレス・シンクライアント”- AVD/CloudPC両対応
-- Views
December 30, 25
スライド概要
本資料は、すきやねん Azure 2025/12/26 のイベントの発表で使用した資料です。
当日、LT会メンバーでの投票があり、1位タイを獲得し、景品をいただくことができました。
https://sukiyanenazure.connpass.com/event/375556/
このスライドでは、Windows App Kioskを使って完全パスワードレスのシンクライアントを構築する手法を紹介しています。具体的には、AVDやCloud PCと連携し、高セキュリティな自動ログオフ機能を活用した例や、キオスク化の課題とその解決策について議論しています。また、FIDO2認証を組み込んだデモも行い、実際の運用方法について詳述しています。
Microsoft MVP for Security / Microsoft Certified Trainer
関連スライド
各ページのテキスト
LT 忘年会 featuring AVD Enthusiast! 野口 修司 某SIer に所属する インフラ・ネットワーク・認証基盤エンジニア Windows App Kiosk で作る “完全パスワードレス・シンクライアント” ― AVD / Cloud PC 両対応 (テーマの関連資格) Microsoft Identity and Access Administrator (SC-300) Microsoft 365 Administrator Expert (MS-102) Azure Virtual Desktop Speciatily (AZ-140) Endpoint Administrator Associate (MD-102)
何をやっている人か? VPN Router VPN Gateway Azure Virtual Network Microsoft Entra ID ポイ活投資 (歴10年超) ポイント収支年間 50万円前後! ポイ活投資の活動では、 さまざまなポイントや金融系 のアカウントを使っており、 認証系の動向をつかむには 打ってつけの趣味になっています。 - 証券会社 x 9 - 銀行 x 17 GSA - クレカ x 58 - ポイント x 30 (日々タスク) Internet AVD FIDO2 Entra Defender GSA Private Intune Active Directory
これをやろうと思ったきっかけ 予定していたテーマは、AVD x FIDO2 でした。 Windows App の自動ログオフ機能と セキュリティキー の相性は抜群。 ぜひ、これをお見せしたい(これが当初目的) だけど、シンクラ化できるんじゃないか。これが出来たら見せたい! ブラウザ版でキオスク化の経験があったので、アプリでも、すぐにできるん じゃないかと思ったが・・・(顛末あって、睡眠不足ぎみ) 今日の登壇内容の詳細は、以下の Qiita 記事で公開しています Windows App Kiosk で作る“完全パスワードレス・シンクライアント” ― AVD / Cloud PC 両対応 https://qiita.com/carol0226/items/550b88d0e8d8626a8ca0 https://qiita.com/carol0226/items/550b88d0e8d8626a8ca0
Windows App の自動ログオフ機能 AutoLogoffOnSuccessfulConnect RDP 接続が成功した時点で 即 自動ログオフ → 高セキュリ ティ、しかし 非常に利便性が悪い そして、セットアップ直後の状態に戻るため、以下の画 面のような、「ようこそ」が毎回出る 初回起動される「ようこそ」 SkipFRE 上記の「ようこそ」を 常に Skip させるオプション AutoLogoffOnSuccessfulConnect とセットで使えば、現実的 AutoLogoffEnable 「ようこそ」が毎回出ない(初回ログオンなのか、それ 以降なのかが継続しているっぽい) Windows App アプリ終了時に自動ログオフ → 即ではない ので、バランスが良い 検証して分かったこと:指紋認証タイプのセキュリティキー との相性抜群! あとでデモの際にお見せします。 自動ログオフで、以下の画面の戻る
キオスク とは? 単一の機能しか提供しない方式 OS のサインインもない PCの電源オンで、アプリが立ち上がる Intune で PC をキオスク化できる 過去に Web版 Windows App のキオスク化を経験済み ※アプリの種類を 「ストアアプリ」 へ変更するだけのハズ! Intune の キオスクモード を使った AVD 用 簡易シンクライアント https://qiita.com/carol0226/items/fc68560a9bb448c933bd https://qiita.com/carol0226/items/fc68560a9bb448c933bd
キオスク化 で ハマったポイント ① 過去の成功体験(ブラウザ版シンクラは すぐにできた) → Intune に「キオスク」ポリシーがあり URL 指定するだけ ② 今の Windows App は、UWP アプリではない → ネットも Copilot も 今と昔の情報が錯綜 ③ Intune で展開するときには ストアアプリ (新) で配れてしまう → 配布の観点では進化。配れるってことで Intune 画面には UWP と表示 ④ 簡単な方法 (Assigned Access) で キオスクは実現不可 → UWP だったら Assigned Acces で動くはずだが、動かない (UWP じゃないから) ⑤ Shell Launcher を使う必要あったが、Windows 11 Enterprise 版が必要 → Edition 制約に気付かず、Pro のまま、無駄な検証で時間を浪費
GitHub : WindowsAppKiosk を発見 用意されたスクリプトの実行で、Windows App の キオスク起動を可能にしてしまいます。 このスクリプトを解析してみても、Shell Launcher をフル活用していることが判りました。 ※Shell Launcher を使いこなすための調査をしていて、WindowsAppKiosk を発見しました。 https://github.com/Azure/WindowsAppKiosk https://github.com/Azure/WindowsAppKiosk
ポイント:実現のために必要な環境 ① AVD を 完全パスワードレス化しておく ② シンクラ化する PC は Enterprise Edition にしておく ③ シンクラ化する PC へ Windows App アプリを展開しておく ④ Windows App Kiosk をフル活用
デモ : WindowsAppKiosk を使った キオスクシンクラの FIDO2認証 チェックポイント - 起動直後から 無認証で Windows App のみが起動(ほかの機能は ロックダウン) - FIDO2 認証 を スムーズにサインイン - Cloud PC と AVD / Remote App がすべて使える - 利用が終わったら、資格情報が残っていない
デモ (画面遷移)
デモ (画面遷移)
デモ (画面遷移)
Remote App Windows 365 (Cloud PC) Azure Virtual Desktop (Session Host)
デモ (画面遷移)
デモ : RDP の SSO (Remote Credential Guard) チェックポイント - パスワード入力を行わず、即 SSO されます https://qiita.com/carol0226/items/7ea3fe17a6327e18eb0a https://qiita.com/carol0226/items/7ea3fe17a6327e18eb0a
Windows 365 Link との比較 Windows 365 Link Windows App Kiosk デバイス種別 Microsoft 純正の製品 任意の PC を使った自作 役割 Windows 365 Cloud PC に接続する専用のシンクライアント AVD & Windows 365 への接続が可能な シンクライアント ローカルOS 最小構成のシステムOS Windows 11 Enterprise で Shell Launcher を使 い シェルを Windows App ローカル データ保持 原則なし ポリシー次第、設計として保存させない構成に する ハードウェア 専用デバイス1種類 あらゆるタイプから選択可 (miniPC、タブレット、ノート型) 導入難易度 簡単(購入&サインインのみ) 難(設計、構築、運用) 保証 製品保証(ハード、OS) ハード部分は メーカー次第 ソフト部分は 自己責任 16
おわり ご清聴ありがとうございました