In line with Microsoft’s Secure Future Initiative, we are enhancing the security of Windows 365 Cloud PCs. Starting in July 2024, all newly provisioned Cloud PCs will have Transmission Control Protocol (TCP) and User Datagram Protocol (UDP) port 3389 closed by default via Windows Firewall. This change aims to provide better protection against potential cyber threats, such as man-in-the-middle attacks and ransomware, ensuring a more secure computing environment for our users. Therefore, Microsoft strongly advises keeping port 3389 closed to maintain these heightened security standards.

[How This Will Affect Your Organization:]

Starting at the end of July 2024, as part of our security enhancement measures, all newly provisioned and reprovisioned Cloud PCs will come with inbound access via port 3389 closed in Windows Firewall by default. This means that any existing Cloud PC with port 3389 open will have it closed during the reprovisioning process. This proactive approach ensures that all newly provisioned Cloud PCs will automatically adhere to the heightened security standard of having inbound access via port 3389 closed by default.

[What You Need to Prepare:]

Microsoft strongly recommends keeping port 3389 closed. However, if you need port 3389 to be open for any reprovisioned or newly provisioned Cloud PCs using the Azure Network Connection (ANC) deployment option, you can review the following options. Before making changes, please refer to the documentation for guidance specific to your environment.

For Microsoft Entra joined and Intune-enrolled devices using Azure Network Connection (ANC) deployment option:

• Windows 365 Security Baselines. Customers can leverage the Windows 365 Security Baselines to effectively manage port 3389 for Windows 365 Cloud PCs. These baselines provide comprehensive tools and configurations designed to enhance security measures while allowing necessary access. By adjusting Firewall Settings and setting the “Default Inbound Action for Public Profile” to Allow, organizations can ensure that port 3389 is appropriately configured to meet your operational needs. It is recommended to review and customize these settings according to specific organizational requirements.
• Create a custom Firewall rule in Microsoft Intune. Customers can use custom Firewall rules in Microsoft Intune to configure port 3389 for Windows 365 Cloud PCs. This involves creating a custom rule within Intune’s security policies specifically tailored to allow inbound traffic on port 3389, which is used for access to Cloud PCs. By defining the rule parameters such as port number, protocol (TCP), and restricting specific IP addresses or networks, you can ensure that access to port 3389 is tightly controlled and limited to authorized entities only.

The steps outlined above are not applicable for customers using a Microsoft-hosted network.

As a reminder, reprovisioning has an impact on your users and is a destructive action that removes all the user’s data and settings from their Cloud PC. We recommend you review the information provided and notify your IT administrators. Update your user guidance and administrative documentation as necessary. No immediate configuration changes are required, but awareness of the upcoming change.

Microsoft の Secure Future Initiative に沿って、Windows 365 クラウド PC のセキュリティを強化しています。 2024 年 7 月以降、新しくプロビジョニングされたすべてのクラウド PC では、Windows ファイアウォールを介して伝送制御プロトコル (TCP) とユーザー データグラム プロトコル (UDP) のポート 3389 が既定で閉じられます。この変更は、中間者攻撃やランサムウェアなどの潜在的なサイバー脅威に対する保護を強化し、ユーザーにとってより安全なコンピューティング環境を確保することを目的としています。そのため、Microsoft では、これらの強化されたセキュリティ基準を維持するために、ポート 3389 を閉じたままにしておくことを強くお勧めします。

[これが組織に及ぼす影響:]

2024 年 7 月末以降、 セキュリティ強化対策の一環として、新しくプロビジョニングおよび再プロビジョニングされたすべてのクラウド PC には、既定で Windows ファイアウォールで閉じられたポート 3389 経由の受信アクセスが付属します。つまり、ポート 3389 が開いている既存のクラウド PC は、再プロビジョニング プロセス中に閉じられます。このプロアクティブなアプローチにより、新しくプロビジョニングされたすべてのクラウド PC は、ポート 3389 経由の受信アクセスを既定で閉じるという強化されたセキュリティ標準に自動的に準拠します。

【ご用意いただくもの】

Microsoft では、ポート 3389 を閉じたままにしておくことを強くお勧めします。ただし、Azure ネットワーク接続 (ANC) デプロイ オプションを使用して、再プロビジョニングまたは新しくプロビジョニングされたクラウド PC に対してポート 3389 を開く必要がある場合は、次のオプションを確認できます。変更を行う前に、ご使用の環境に固有のガイダンスについて、ドキュメントを参照してください。

Azure ネットワーク接続 (ANC) デプロイ オプションを使用する Microsoft Entra 参加済み デバイスと Intune 登録済みデバイスの場合:

• Windows 365 セキュリティ ベースライン。お客様は、Windows 365 セキュリティ ベースラインを利用して、Windows 365 クラウド PC のポート 3389 を効果的に管理できます。これらのベースラインは、必要なアクセスを許可しながらセキュリティ対策を強化するように設計された包括的なツールと構成を提供します。ファイアウォール設定を調整し、[パブリック プロファイルの既定の受信アクション] を [許可] に設定することで、組織はポート 3389 が運用上のニーズを満たすように適切に構成されていることを確認できます。これらの設定は、特定の組織の要件に従って確認し、カスタマイズすることをお勧めします。
• Microsoft Intune でカスタム ファイアウォール規則を作成します。お客様は、Microsoft Intuneのカスタム ファイアウォール規則を使用して、Windows 365 クラウド PC のポート 3389 を構成できます。これには、クラウド PC へのアクセスに使用されるポート 3389 での受信トラフィックを許可するように特別に調整された Intune のセキュリティ ポリシー内のカスタム ルールの作成が含まれます。ポート番号、プロトコル (TCP) などのルール パラメーターを定義し、特定の IP アドレスやネットワークを制限することで、ポート 3389 へのアクセスを厳密に制御し、許可されたエンティティのみに制限することができます。

上記の手順は、Microsoft がホストするネットワークを使用しているお客様には適用されません。

再 プロビジョニング はユーザーに影響を与え、ユーザーのすべてのデータと設定をクラウド PC から削除する破壊的なアクションです。提供された情報を確認し、IT 管理者に通知することをお勧めします。必要に応じて、ユーザーガイダンスと管理ドキュメントを更新します。すぐに構成を変更する必要はありませんが、今後の変更を認識します。