Windows365 x AVD 2日間研修教材
713 Views
July 31, 25
スライド概要
FY25 に研修で使った資料を共有いたします。
Microsoft MVP for Security / Microsoft Certified Trainer
関連スライド
各ページのテキスト
意思決定の質を高める仮想デスクトップ環境 Windows 365 × AVD 徹底理解セミナー Ver 1.2
こんにちは。 本日はご参加いただき、ありがとうございます 講師: 野口 修司 Microsoft MVP for Security Microsoft 認定トレーナー CERTIFICATIOS FOCUS AREAS ID・アクセス管理を中心に、Entra ID / セキュリティ分野の設計・運用を支援 Microsoft Entra ID Passkeys X (Twitter) : @nogushu Linkedin : https://www.linkedin.com/in/shuji-noguchi E-mail : [email protected] ブログ : https://qiita.com/carol0226 © Copyright Microsoft Corporation. All rights reserved. SC-100 SC-300 Microsoft Entra Global Secure Access
研修の概要と目的 • 今日の企業活動において、リモートワークやハイブリッドワークは「一時的な対応」から「当 たり前の働き方」へと進化しています。これに伴い、IT部門は 利便性 と セキュリティ の両 立という新たな課題に直面しています。 • Windows 365 と Azure Virtual Desktop(AVD)は、クラウドベース の仮想デスクトップソリューションとして、リモートワーク環境の最適化と、セ キュアなアクセスを提供します。本研修では、Windows 365 と AVD の 導入に必要な基本知識を習得し、業務環境での活用方法について学 びます。 • 以上のトピックを通じて、次の内容の理解を目指します • Windows 365 / AVD と類似のサービスとの 違いを 説明できるようになる • Windows 365 と AVD の基本的な構成と導入方法を 理解する • Windows 365 または AVD を活用した安全かつ効率的なクラウドデスクトップ環境の 提案・検討 ができるようになる • エンドユーザーの利便性とセキュリティの両立を実現するためのベストプラクティスを 習得する 3
アジェンダ (1日目) ■第1章 Microsoft を取り巻く 仮想デスクトップ 事情 ■第2章 Windows 365 と Azure Virtual Desktop に触ってみよう ■第3章 Windows 365 と Azure Virtual Desktop の徹底比較 (2日目) ■第4章 Windows 365 と Azure Virtual Desktop の アーキテクチャ ■第5章 Azure Virtual Desktop の デプロイ設定 ■第6章 W365 や AVD と組み合わせて利用できる 各種機能 ■第7章 まとめ ■=ケーススタディあり 4
第1章 Microsoft を取り巻く 仮想デスクトップ 事情
仮想デスクトップの環境イメージ インターネット通信 クラウド サービス ネットワーク通信 OR 仮想マシン 画面転送 アプリ 仮想マシン データセンター 画面、キーボード、マウス、サウンド、マイク CPU、メモリ、ディスク VPN / 専用線 オンプレミス環境 組織リソース 6
仮想デスクトップが広く利用されるようになった背景 • • • • リモートワークの普及: パンデミックを契機に、在宅勤務やハイブリッドワークが一般化し、 従業員がどこからでも安全に業務を遂行できる環境が求められた。 事業継続性の確保: 災害や障害発生時でも、従業員が業務を継続できるよう、クラウ ド上の仮想環境が重要な役割を果たすようになった。 セキュリティ対策の強化: 機密情報を扱う企業では、データ漏洩のリスクを低減するため、 端末にデータを保存せずに管理できる仮想デスクトップの導入が進んだ。 IT管理の効率化: 物理的なPCの管理・更新・セキュリティパッチ適用などの負担を軽減 し、クラウド上で一元管理できる仮想デスクトップが有効な解決策となった。 • 柔軟な拡張性: 企業の成長や組織変更に応じて、簡単にリソースを増減できる仮想デ スクトップは、ビジネスの機動力を高める要素となった。 • コスト削減: 高価なハードウェアの購入・維持コストを削減し、クラウド型の柔軟な課金モ デルを活用できることが企業にとって魅力的だった。 • 多様な端末・OSの利用: 社員がさまざまなデバイスを使用する環境において、OSの違い を気にせず一貫した業務環境を提供できることが評価された。 7
仮想デスクトップの提供形態 1. ハイパーバイザー型(オンプレミス型) 仮想デスクトップ環境を 企業内のサーバー で稼働させる方式で、ハイパーバイ ザー(仮想化ソフトウェア)を利用して複数の仮想デスクトップを作成・管理 します。 • 代表的な技術: Microsoft Hyper-V x RDS , Azure Stack HCI x Azure Virtual Desktop VMware vSphere x Horizon , Citrix Hypervisor x Virtual Apps and Desktops • メリット • 企業のデータセンター内で運用されるため、高い セキュリティ管理 が可能 • ネットワーク遅延の影響を受けづらく、高速な処理が実現できる • 既存の オンプレミス環境 と統合しやすい • デメリット • 初期導入コストが高く、サーバーハードウェアの購入が必要 • 運用・管理には専門的な知識が必要で自前で運用する必要がある 8
仮想デスクトップの提供形態 2. クラウド型(DaaS: デスクトップ・アズ・ア・サービス) 仮想デスクトップ環境を クラウド上 で提供する方式で、企業はクラウドプロバイダー のサービスを利用して仮想デスクトップを運用します。 • 代表的なサービス: Microsoft Azure Virtual Desktop , Windows 365 Amazon WorkSpaces, Citrix DaaS, VMware Horizon Cloud • メリット • 初期投資を抑えながら、必要な分だけリソースを使用できる 柔軟な拡張性 • 管理が容易で、クラウドプロバイダーがインフラを運用・保守 • グローバルで利用可能、災害対策にも適用、リモートワークに適している • デメリット • インターネット環境に依存するため、回線の品質が影響する • 継続的な利用には、ランニングコストが発生する 9
仮想デスクトップ市場の動向 1. ハイパーバイザー型(オンプレミス型) • VMware や Citrix が市場をリード • Microsoft はシェアを獲得できず 2. クラウド型(DaaS: デスクトップ・アズ・ア・サービス) • Microsoft 365 や Azure との相性が良好 • 全世界に展開でき、柔軟な拡張性 VMware や Citrixが長年にわたり市場をリードしており、企業のVDI(仮想デスクトップ インフラ)導入において主要な選択肢となっていました。 一方、Microsoftはオンプレミス環境では大きなシェアを獲得できていませんが、クラウド型 の仮想デスクトップ(Azure Virtual Desktopなど)では市場での存在感を高めています。 10
ケーススタディ: 地方にある中規模の病院Aでは、医師や看護師が院内だけでなく、自宅や出張 先からも電子カルテや患者情報にアクセスする必要があり、院内と同等の業務が 出来る必要が出てきました。ただし、個人情報を扱うため情報セキュリティは最重 要課題です。一方で、院内のITチームは最小限の人数であり、管理に充てられる 人的資源は限られています。クライアントから 提案を任されたあなたは、業務効 率とセキュリティの両立に向けて、最適な方式を検討する必要があります。 Q1. このような条件において、A病院には どの方式を提案しますか? ① 生体認証装置付きリモートアクセス用PC(VPN経由) ② 院内サーバー上で運用するハイパーバイザー型VDI ③ クラウド提供型のDaaS Q2. その理由を説明してください。 “セキュリティ・ガバナンス、ITチームの運用負荷、コスト・導入スピード、ユーザビリティ” の観点を含められると良いです。 11
第2章 Windows 365 と Azure Virtual Desktop に触ってみよう
Microsoft 仮想デスクトップの環境イメージ AVD / W365 仕組みは一緒 インターネット通信 仮想マシン OR クラウド サービス ネットワーク通信 画面転送 アプリ Azure オプション : サイト間接続 (Express Route / VPN) 画面、キーボード、マウス、サウンド、マイク CPU、メモリ、ディスク オンプレミス環境 組織リソース 13
Microsoft 仮想化ソリューションの進化 オンプレミス 2012 : IaaS 2019 : IaaS + PaaS 2021 : SaaS VDI on Azure IaaS Microsoft VDI Azure 仮想マシン Azure Virtual Desktop Windows 365 データ データ データ データ アプリ アプリ アプリ アプリ OS OS OS OS ホスト ホスト ホスト VDI Server VDI Server VDI Tool Network 電源 構築が簡単に! 14
Microsoft 仮想ソリューションのコンセプト Windows 365 Azure Virtual Desktop VDI のクラウド化 PC のクラウド化 Azure Intune IT 管理者 IT 管理者 オンプレミス VDI 物理 デバイス 15
Microsoft 仮想ソリューションの比較 Azure Virtual Desktop Windows 365 クラウド上の VDI クラウド上の PC 詳細なカスタマイズ 簡単・シンプル 使用用途に応じたモデルを提供できる (複数人で共有など) 適切な VDI 基盤の設計をしなければ快適に使えない 従量課金 停止中は仮想マシンの料金がかからない リソースが空いて無ければ使えない (予約オプションあり) VDI 専門の知識や設計が必要ない 基本 1 人 1 台というモデルしかとれない 月額固定料金 仮想マシンを専有リソースとして 24 時間稼働 使用率に関わらず固定料金 VDI 専任による設計・運用 物理デバイスと同様に管理 ユーザーは特に意識せずとも使用するだけで良い マスターイメージの更新作業やトラブルシュートが複雑 デバイス管理の仕組みでそのまま管理可 ユーザーは管理するデバイスが増える 16
Windows 365 / AVD への接続 Windows App AVD / W365 接続用アプリ Windows, macOS, iOS/iPadOS Android/Chrome OS (preview) Web ブラウザー ブラウザーから手軽に接続 Microsoft Edge, Google Chrome, Safari, Firefox Windows, macOS, ChromeOS, Linux Windows 365 Link W365 接続専用デバイス ※AVDでは使えません https://sccm.jp/2024/12/04/post-6790/ https://sccm.jp/2024/12/04/post-6790/ 17
Windows 365 & AVD への接続方法 接続可能な組み合わせ デバイス アプリ Windows 365 AVD Windows OS Windows App / Webブラウザ 〇 〇 macOS Windows App / Webブラウザ 〇 〇 iOS / iPadOS Windows App / Webブラウザ 〇 〇 Android / Chrome OS Windows App / Webブラウザ 〇 〇 Meta Quest VR ヘッドセット - 〇 〇 Windows 365 Link - 〇 Windows App ブラウザ ※Web ブラウザは、HTML5対応が必要だが、任意のデバイスから接続可能(追加要件あり) Windows 365 Link デバイスアクション (Windows版 Windows App の場合) アクション 備考 タスクビューに追加 接続元PC のタスクビューに追加可能 〇 接続を検査する 接続のトラブルシューティング支援 〇 名前の変更 ユーザーが任意の名前を付与できる 〇 リセット / 再起動 / 復元 問題がある場合の対処が可能 〇 設定 ディスプレイの設定などを変更 〇 デバイス、アプリ、アクション のさらに詳細な組み合わせ → Windows 365 Windows アプ 公 開 リ 情 を使 報用 :してデバイスと アプリ に接続する AVD 〇 ディスプレイ設定の変更画面 公開情報:Windows アプリを使用してデバイスとアプリに接続する 18
Windows 365 Link – Windows 365 接続専用デバイス 設計による安全性の確保 ローカル データ ストレージなし、管理者権限なし Microsoft Entra ID の Microsoft Authenticator アプリ や USB セキュリティキーを使用したパスワードレス認証に対応 クラウドを活用したパフォーマンス 起動が数秒で完了し、すぐにユーザーによるサインインが可能 ハイパフォーマンスなビデオ再生と会議のためのローカル処理を提供 ◼ コンパクト・軽量 (12 × 12 × 3 cm, 418 g) ◼ HDMI×1, Display Port×1 (デュアル モニター対応) ◼ USB-A×3, USB-C×1, 3.5mm オーディオ ポート ◼ イーサネットポート、Wi-Fi 6E ◼ Bluetooth 5.3 ◼ ファンレス設計 ◼ Windows ベースの専用 OS IT 管理の簡素化 Microsoft Intune を使用して PC と同様に管理 自動的に最新の状態にアップデート Windows 365 Link: シンプルで安全なクラウド PC デバイス 19
接続例:iOS から AVD への接続 1. ストアから Windows App をインストール 2. 右上の追加ボタン(+)を押す 3. 「組織アカウント」 を選択 4. 「組織アカウント」 で認証する 5. セッションを選択 6. 接続が開始される 20
Windows 365 & AVD への接続(デモ) “仮想デスクトップのリアルな使い心地”を見て学ぶ ・ Windows 365 と Azure Virtual Desktop の動作の違いを比較 ・ 操作画面の流れ・速度・UIの特徴を確認 ・ 各自の業務や導入検討に活かせる視点を得る Web版 Windows App へのアクセス URL https://windows.cloud.microsoft/ https://windows.cloud.microsoft/ 21
第3章 Windows 365 と Azure Virtual Desktop の徹底比較
Windows 365 vs Azure Virtual Desktop Windows 365 Business Windows 365 Enterprise / Frontline Azure Virtual Desktop コスト 定額 定額 ① ライセンス:定額 + リソース:従量 ②予約プランの利用が可 ※Azure セッション シングルセッション シングルセッション ③ シングルセッション or マルチセッション 利用可能なワークスペース (OS) Windows 10 / 11 Windows 10 / 11 Windows 10 / 11 , Server④ OS 〇 〇 マスターイメージのカスタマイズ ※M365 Apps は別途ライセンスが必要 ※M365 Apps や Teams は導入済み アプリ展開 , ポリシー管理 Intune GPO / Intune GPO / Intune アプリアタッチ /⑤ RemoteApp 利用できるプラットフォーム クラウド クラウド ⑥ クラウド or オンプレミス (Azure Local) Azure の必要性 不要 不要 ユーザー上限 300 ⑧ 制限なし 制限なし Microsoft Entra Join 〇 〇 △ ※Intune は、別途ライセンスが必要 Active Directory ドメイン参加 ※M365 Apps や Teams は導入済みを選択可 ※オンプレミス や Azure仮想ネットワーク ⑦ との接続には 必要 〇 ユーザープロファイルのローミング なし(ローカルのみ) あり Windows 365 Link の利用 〇 〇 主要な管理画面 Intune 管理センター 難易度、複雑さ 低、簡単 ⑬ ⑩ ※M365 Apps や Teams は導入済みを選択可 必要 ※既知の制限あり ⑨ 〇 ⑪ あり(FSLogix が利用できる) ⑫ Intune 管理センター Azure Portal 中、中間 高、難しい 23
Windows 365 vs Azure Virtual Desktop Windows 365 Business Windows 365 Enterprise / Frontline Azure Virtual Desktop コスト 定額 定額 ライセンス:定額 + リソース:従量 ※Azure 予約プランの利用が可 セッション シングルセッション シングルセッション シングルセッション or マルチセッション 利用可能なワークスペース (OS) Windows 10 / 11 Windows 10 / 11 Windows 10 / 11 , Server OS 〇 〇 マスターイメージのカスタマイズ ※M365 Apps は別途ライセンスが必要 ※M365 Apps や Teams は導入済み アプリ展開 , ポリシー管理 Intune GPO / Intune GPO / Intune アプリアタッチ / RemoteApp 利用できるプラットフォーム クラウド クラウド クラウド or オンプレミス (Azure Local) Azure の必要性 不要 不要 ユーザー上限 300 制限なし 制限なし Microsoft Entra Join 〇 〇 △ 〇 〇 あり(FSLogix が利用できる) ※Intune は、別途ライセンスが必要 Active Directory ドメイン参加 ※M365 Apps や Teams は導入済みを選択可 ※オンプレミス や Azure仮想ネットワーク との接続には 必要 ※M365 Apps や Teams は導入済みを選択可 必要 ※既知の制限あり ユーザープロファイルのローミング なし(ローカルのみ) あり Windows 365 Link の利用 〇 〇 主要な管理画面 Intune 管理センター Intune 管理センター Azure Portal 難易度、複雑さ 低、簡単 中、中間 高、難しい 24
Windows における ユーザープロファイルとは?
Windows における ユーザープロファイル Windowsにおけるユーザープロファイルとは、そのユーザー専用の環境や設定をまと めた「個人フォルダー」のようなものです。 例: - デスクトップのファイルや壁紙 - ドキュメント、画像、音楽などの個人データ - ブラウザのお気に入りや履歴 - アプリの設定やログイン情報 - 一時ファイルやキャッシュ これにより、複数のユーザーが同じパソコンを使っても、お互いの環境を保ったまま利 用できます。プロファイルは通常、C:\Users\ユーザー名 フォルダーとして保存されて います。 この場合、別のPC にログオンした場合は、環境を維持できません。 26
ユーザープロファイルを 提供(ローミング)するしくみ Microsoft 365 等のクラウドサービスのデータ(メール・Teams・Office ドキュメントなど)は、通常は クラウド上に保存されます。 しかし、”PC の設定” や “ローカル に保存したデータ” は、ユーザープロファイル上 に保存されます。 ユーザープロファイルをローミングすることで、PC の設定を同期し、同じユーザー環境を提供することが可能になります。 ローカル ユーザー プロファイル 移動ユーザープロファイル フォルダリダイレクト Windows OS 〇 〇 Windows 365 Business 〇 Windows 365 Frontline 専用モード 〇 Windows 365 Frontline 共用モード ※Active Directoryが必要 Enterprise State Roaming ※Microsoft Entra ID が必要 FSLogix ※AVD が必要 注)厳密には ローミングとは別 〇 〇 △ (12時間固定) 〇 〇 〇 △ (非推奨) △ (非推奨) 〇 〇 Windows 365 Enterprise 〇 〇 〇 Azure Virtual Desktop 〇 〇 〇 〇 ローカルドライブ に保存するため、 ローミングできま せん。 ネットワークを経由して、ファ イル共有から ユーザープロ ファイルを OS に読み込ま せる仕組み ユーザープロファイル情報を インターネット経由で Microsoft Entra ID と同 期する仕組み AVDのマルチセッション に対応し、ユーザーのプ ロファイルVDHX を Azure内で動的に セッ ションホストに割り当て る高度な仕組み 備考 ポイントインタイムリストア Windows 365 独自の 機能であり、ユーザー環 境がバックアップされ Enterprise では任意の 時点に復元可能です。 27
Windows 365 Business = Windows 365 Frontline = Windows 365 Enterprise = Azure Virtual Desktop = 〇 FSLogix のアーキテクチャ AVD Multi Session を効果的に活用できる仕組みです。 User01 RDP Client Device User02 RDP Client Device User03 user01.vhdx user02.vhdx user03.vhdx RDP Client Device Fの VM Qiita SLogix (AVD) Azure MarketPlace を に イ 機メ 能 : ー さ ジ せ か る ら直 接デプロイした Qiita:Azure MarketPlace のイメージから直接デプロイしたVM (AVD) に FSLogix を機能させる 28
FSLogix で利用可能な ストレージソリューション Windows 365 Business = Windows 365 Frontline = Windows 365 Enterprise = Azure Virtual Desktop = 〇 Azure Files Azure NetApp Files VM 記憶域スペースダイレクト ユースケース 汎用 Ultra パフォーマンス または オンプレミスの NetApp からの移行 クロス プラットフォーム プラットフォーム サービス Azure ネイティブ ソリューションです。 Azure ネイティブ ソリューションです。 自己完結型 リージョン別の提供状況 すべてのリージョン 一部のリージョン すべてのリージョン 冗長性 LRS , ZRS , GRS , ZGRS LRS LRS , ZRS , GRS <Standard> トランザクション最適化 <Premium> 最大で 100 K IOPS/共有かつ 10 Gbps/共有 (待機時間約 3 ミリ秒) Standard、Premium、Ultra 最大で 4.5Gbps/ボリューム (待機時間約 1 ミリ秒)。 <Standard HDD> 最大 500 IOPS/ディスクの制限 <Standard SSD> 最大 4k IOPS/ディスクの制限 <Premium SSD) 最大 20k IOPS/ディスクの制限 ※記憶域スペース ダイレクトには Premium ディスクを推奨 容量 共有あたり 100 TiB、汎用目的ア カウントあたり最大 5 PiB ボリュームあたり 100 TiB、サブスク リプションあたり最大 12.5 PiB ディスクあたりの最大 32 TiB プロトコル SMB 3.0 または 2.1、NFSv 4.1 (プレビュー)、REST NFSv3、NFSv4.1 (プレビュー)、 SMB 3.x/2.x サービス レベルと パフォーマンス ※ SCCM で展開した場合のみ NFSv3、NFSv4.1、SMB 3.1 29
Windows 365 Business = △ Windows 365 Frontline = 〇 Windows 365 Enterprise = 〇 Azure Virtual Desktop = Windows 365 の回復 ポイント インタイム リストア (標準) ディザスター リカバリー (追加オプション) クラウド PC のイメージを自動バックアップ クラウド PC のコピーを別のリージョンに作成 短期 10 世代 (4, 6, 12, 24 時間から選択) Disaster Recovery RTO : 4 時間以内 RPO : 4 時間 長期 4 世代 (7 日ごと) Disaster Recovery Plus RTO : 30 分以内 RPO : 60 分以内 公開情報:Windows 365 Enterprise を使用して クラウド PC を前の状態に復元する方法の概要 公開情報:Windows 365でのリージョン間ディザス ター リカバリー 30
理解度チェック:ユーザープロファイル管理 FSLogix によってユーザープロファイルがアタッチ(マウント)されるのは、どのタイミ ングですか? ① ユーザーがアプリを初めて開いたとき ② セッションホストVMの起動時 ③ ユーザーのログオン時 ④ AVDゲートウェイ接続完了時 31
理解度チェック:ユーザープロファイル管理 FSLogix を使用する構成において、ユーザープロファイルを格納するストレージの要 件として最も重要な要素はどれですか? ① VMと同一のリージョンであること ② ストレージの暗号化が無効であること ③ 高スループット/低レイテンシであること ④ブロックストレージであること 32
Windows 365 と AVD で利用できる認証
おさらい:Active Directory と Microsoft Entra ID の違い 両者は、ともに 認証基盤 ですが、対象 が異なります。 そのため、対象 となるものが 組織で利用されているかどうかによって、認証基盤 を選択する必要があります。 Active Directory Domain Services (AD DS) Microsoft Entra ID 主な目的 オンプレミス製品の認証 クラウドサービスの認証 対象 ・業務パッケージ製品 の認証 ・ドメイン参加 PC / Server へのサインイン ・Exchange Server、SharePoint Server、SQL Server 認証 ・ファイル共有 の認証 ・複合機(スキャナ・プリンタ) との連携 ・各種クラウドサービスの認証 Microsoft 365、Azure、Dynamics 他社製クラウド (SaaS) ・Microsoft Entra Join PC へのサインイン 管理 グループポリシー (GPO) Intune などの MDMサービス 利用環境 社内ネットワーク インターネット 認証方式 Kerberos 認証、 NTLM 認証 SAML 認証、Open ID 認証、Oauth 認証 基盤 Windows Server を利用者が 購入・構築 AD DS をサービスとして 導入・運用 クラウドで提供 費用 Windows Server ライセンスに含む(購入型) サブスクリプション(月額 または 年額) バックアップ 運用者自身で構築・運用 自動 監視 運用者自身で構築・運用 Azure Monitor を利用可能、クラウドで提供 レガシーなリソース M icrosoft Domain Services Entra ID と 公 開情報 : 公開情報:Domain Services と Microsoft Entra ID 34
おさらい:Microsoft Entra ID による ユーザー認証 さまざまなデバイス Microsoft Entra ユーザーアカウント クラウドアプリ Azure ※このとき、デバイスは “ローカル認証” Microsoft Entra ID ADDS Microsoft Entra Connect ドメイン参加デバイス オンプレミス Microsoft Entra ID は、あらゆるデバイスを つかって、”クラウドアプリ” の認証が行える 35
W365 / AVD で利用する ID シナリオの選択 Microsoft Entra Join Windows 365 Business Windows 365 Enterprise / Frontline Azure Virtual Desktop 〇 〇 △ 〇 〇 Active Directory ドメイン参加 Cloud PC または セッションホストの 参加状態 認証に利用 できるユーザー Windows 365 Business ※既知の制限あり Windows 365 Enterprise or Frontline Azure Virtual Desktop 〇 〇 〇 〇 〇 〇 No. ID シナリオ 1 Microsoft Entra ID + AD DS ※Microsoft Entra Connect ドメイン参加 ハイブリッドユーザー 2 Microsoft Entra ID + AD DS ※Microsoft Entra Connect Microsoft Entra Join クラウドユーザー ハイブリッドユーザー 3 Microsoft Entra ID + Microsoft Entra Domain Services ドメイン参加 ハイブリッドユーザー 4 Microsoft Entra ID + AD DS + Microsoft Entra Domain Services ※Microsoft Entra Connect 5 Microsoft Entra ID + Microsoft Entra Domain Services Microsoft Entra Join クラウドユーザー ハイブリッドユーザー 〇 〇 〇 6 Microsoft Entra ID のみ Microsoft Entra Join クラウドユーザー 〇 〇 △ ※制限あり 〇 Microsoft Entra Domain Services は、特殊ニーズで利用されるものと考えてください。 ドメイン参加 ハイブリッドユーザー 〇 〇 そのため、ID シナリオ選択時の優先順位は下がります。 ID シナ 公 開 リ 情 オ報: サポート さ れている 公開情報:サポートされている ID シナリオ 36
参考:Microsoft Entra Domain Services(Entra DS)概要 Microsoft Entra Domain Services の価 公 開格 情報: 公開情報:Microsoft Entra Domain Services の価格 目的と役割 - クラウド上でのマネージドドメイン提供 - オンプレミスのドメインコントローラー不要 - レガシーアプリやドメイン参加が必要な VM に対応 主な機能 - LDAP、Kerberos、NTLM のサポート - グループポリシー の適用 - ドメイン参加(Windows/Linux VM) - ユーザー認証(Microsoft Entra ID と同期) 利用シナリオ - AVD セッションホストのドメイン参加 - レガシーアプリのクラウド移行 - ハイブリッド環境の簡素化 メリット - 高可用性・自動パッチ適用 - Microsoft Entra ID との統合 - セキュリティ強化(ログ監査、アクセス制御) Active Directory (AD DS) Microsoft Entra Domain Services リソース オンプレ or Azure VM Microsoft マネージド 構築 / 運用 利用者自身 Microsoft マネージド 冗長構成 利用者が設計 2台以上で冗長化 Microsoft マネージド バックアップ 利用者にて取得 Microsoft マネージド 停止可否 可 不可 コスト 利用者負担 Basic \15,862 Enterprise \42,300 Premium \169,202 ユーザー管理 Active Directory ユーザーとコンピューター Azure Portal 柔軟性 ◎ △ (Windows Server or Azure VM) 注意点) Entra DS の方が良さそうに見えますが、既に オンプレミスの AD DS を運用中であ れば、Azure 上にも AD DS を稼働させて、同期(レプリケーション)することをお 勧めします。 AD DS を利用中でない場合は、ドメイン認証の必要もなくなるため、Entra DS の 37 出番も無くなります。そのため、Entra DS が必要となるシーンは、限られてきます。
おさらい:Microsoft Entra “Join” と “Hybrid Join” クラウドユーザー Microsoft Entra 参加済みデバイス デバイスにサインイン したアカウントでSSO ドメイン参加デバイス からも SSO ハイブリッドユーザー Microsoft Entra ID Microsoft Entra Join されたデバイス = “Microsoft Entra 参加済み” ドメインユーザー ADDS クラウドユーザー Microsoft Entra Connect ADDSから同期されたユーザー = ハイブリッドユーザー ドメイン参加デバイス ADDS から 同期されたデバイス = “Microsoft Entra ハイブリッド参加済み” 38
Windows 365 Business = 〇 Windows 365 Frontline = 〇 Windows 365 Enterprise = 〇 Azure Virtual Desktop = △ Join 構成 の “W365 と AVD” デバイス クラウドユーザー リモートデスクトップ接続 Windows 365 クラウド PC AVD セッションホスト ハイブリッドユーザー W365 / AVD に接続する際に、認証が必要 Microsoft Entra ID Microsoft Entra Join されたデバイス = “Microsoft Entra 参加済み” ドメインユーザー ADDS クラウドユーザー Microsoft Entra Connect ADDSから同期されたユーザー = ハイブリッドユーザー ドメイン参加デバイス 社内リソース 39
Join 構成 の “W365 と AVD” (+ Microsoft Entra Kerberos) デバイス クラウドユーザー リモートデスクトップ接続 Windows 365 Business = 〇 Windows 365 Frontline = 〇 Windows 365 Enterprise = 〇 Azure Virtual Desktop = 〇 Windows 365 クラウド PC AVD セッションホスト ハイブリッドユーザー W365 / AVD に接続する際に、認証が必要 Microsoft Entra ID Microsoft Entra Join されたデバイス = “Microsoft Entra 参加済み” ドメインユーザー ADDS クラウドユーザー Microsoft Entra Connect ADDSから同期されたユーザー = ハイブリッドユーザー ドメイン参加デバイス 社内リソース 40
Hybrid Join 構成 の “W365 と AVD” デバイス クラウドユーザー リモートデスクトップ接続 Windows 365 Business = Windows 365 Frontline = 〇 Windows 365 Enterprise = 〇 Azure Virtual Desktop = 〇 Windows 365 クラウド PC AVD セッションホスト ドメイン参加 ハイブリッドユーザー ADDS W365 / AVD に接続する際に、認証が必要 Microsoft Entra ID クラウドユーザー ドメインユーザー ADDS Microsoft Entra Connect ADDSから同期されたユーザー = ハイブリッドユーザー ドメイン参加デバイス 社内リソース ADDS から 同期されたデバイス = “Microsoft Entra ハイブリッド参加済み” 41
接続元が Join された構成 の “W365 と AVD” クラウドユーザー Microsoft Entra 参加済みデバイス リモートデスクトップ接続 Windows 365 Business = Windows 365 Frontline = 〇 Windows 365 Enterprise = 〇 Azure Virtual Desktop = 〇 Windows 365 クラウド PC AVD セッションホスト ドメイン参加 ハイブリッドユーザー ADDS Microsoft Entra ID Microsoft Entra Join されたデバイス = “Microsoft Entra 参加済み” ドメインユーザー ADDS クラウドユーザー Microsoft Entra Connect ADDSから同期されたユーザー = ハイブリッドユーザー ドメイン参加デバイス 社内リソース ADDS から 同期されたデバイス = “Microsoft Entra ハイブリッド参加済み” 42
アプリケーションを提供する方法
アプリケーションの提供形式の比較 VM にインストール アプリアタッチ Remote App 一般的なアプリの提供方式 AVD で OSイメージを肥大化させずにアプリを 提供 リモートワークや多拠点環境での 特定ア プリのみの提供 仮想マシン上に直接インストール・実行 仮想マシンに アプリを仮想的にマウント (実体は VHD/VHDx ファイル) サーバー上でアプリを 個別に仮想化して リモート表示 フルデスクトップ上に常駐 ユーザーの仮想デスクトップ(VDI)上の フル デスクトップ環境 ユーザーの ローカルPCやセッションに直接 アプリウィンドウを表示 特徴 他方式に比べてシンプルで対応アプリが 多い - - 導入難易度 一般的だが、アプリ数が増えると管理負 荷も増大 比較的新しい技術で、事前構成やストレージ の理解が必要 RDS からの移行も多く、広く普及してい る技術 OSイメージが肥大化しやすい アプリがVHD経由なので OSイメージに影響な し サーバー側の負荷が増加する場合あり 用途・目的 動作方式 配信対象 ストレージ影響 VHDベースで構成管理が容易 ネイティブアプリのように利用可能 アプリ単位での公開が可能 ローカルと見分けがつかない操作感 44
Windows 365 Business = Windows 365 Frontline = Windows 365 Enterprise = Azure Virtual Desktop = 〇 アプリアタッチ の 動作イメージ インターネット通信 ネットワーク通信 アプリ 画面転送 仮想マシン アプリ MSIX でパッケージ されたアプリを VHD 単位ででマウント クラウド サービス Azure オプション : サイト間接続 (Express Route / VPN) 画面、キーボード、マウス、サウンド、マイク CPU、メモリ、ディスク オンプレミス環境 組織リソース 45
Windows 365 Business = ※ Windows 365 Frontline = ※ Windows 365 Enterprise = ※ Azure Virtual Desktop = 〇 Remote App の動作イメージ1 Cloud PC or AVD インターネット通信 アプリ アプリのみ画面転送 クラウド サービス アプリ AVD 仮想マシン Azure オプション : サイト間接続 (Express Route / VPN) 画面、キーボード、マウス、サウンド、マイク CPU、メモリ、ディスク オンプレミス環境 組織リソース ※Remote App は、AVD の機能として提供されますが、Windows App を介して、利用者のデスクトップ上に画面転送され るため、Cloud PC と組み合わせた利用も可能です。 46
Windows 365 Business = ※ Windows 365 Frontline = ※ Windows 365 Enterprise = ※ Azure Virtual Desktop = 〇 Remote App の動作イメージ2 ネットワーク通信 アプリ 画面転送 インターネット通信 Cloud PC or AVD クラウド サービス アプリ アプリのみ画面転送 アプリ Azure AVD 仮想マシン オプション : サイト間接続 (Express Route / VPN) 画面、キーボード、マウス、サウンド、マイク CPU、メモリ、ディスク オンプレミス環境 組織リソース ※Remote App は、AVD の機能として提供されますが、Windows App を介して、利用者のデスクトップ上に画面転送され るため、Cloud PC と組み合わせた利用も可能です。 47
ライセンス と コスト
Windows 365 & AVD に必要な 前提ライセンス Windows VDA Windows Enterprise E3 Microsoft 365 F3 Microsoft 365 E3 (Teams なし) Microsoft 365 E5 (Teams なし) Microsoft 365 Business Premium 価格(月額) 年間契約 2025/6/16時点 SA契約 1,049 円 1,199 円 5,059 円 8,208 円 3,298 円 Windows 365 / AVD が使える権利 Windows VDA Window Enterprise Windows Enterprise Windows Enterprise Windows Enterprise Windows Business Windows 365 で、さらに必要 Microsoft Entra ID P1 Microsoft Intune Microsoft Entra ID P1 Microsoft Intune - - - - ユーザー上限 無制限 無制限 無制限 無制限 無制限 300 名 〇 〇 〇 Office デスクトップアプリ インストール Office Web アプリ 〇 〇 〇 〇 M365 クラウドサービス Exchange/SharePoint/ OneDrive 〇 小規模 〇 Plan 2 〇 Plan 2 〇 Plan 1 Teams 〇 〇 Teams 電話/電話会議 Enterprise Mobility & Security 〇 〇 E3 〇 E3 〇 E5 △ Business 相当 49
Windows 365 クラウドの PC のプラン Windows 365 Business クラウド PC を簡単に作成および管理する方法 を中小企業・小規模向けで提供 中小規模企業向け Windows 365 のプランと価 格 Business Windows 365 Business のプランと価格 Windows 365 Enterprise 最大 300 シート 機能に制限がなく、Microsoft Intune で 物理デバイスと同様にクラウド PC を管理 大企業向け Windows 365 Enterprise のプランと価格 Windows 365 Frontline 無制限 Intune 管理 カスタム イメージ AD 接続 1 台を固定の 3 人で共有 (専用モード) もしくは 1 台を不特定多数で共有 (共有モード) を選択可能 シフト勤務者向け Windows 365 のプランと価 格 Frontline Windows 365 Frontline のプランと価格 Windows 365 Business と 公 エ 開 ン 情 タ ー 報 プ : ラ イズ の比較 無制限 Intune 管理 カスタム イメージ AD 接続 公開情報:Windows 365 Business とエンタープライズの比較 50
Windows 365 Frontline とは?
Windows 365 Frontline “専用モード” 利用イメージ (例) 下記のような、ローテーション スケジュールで Windows 365 を利用する場合 1 つの Windows 365 Frontline ライセンス 9:00 - 17:00 17:00 - 25:00 各ユーザーの Windows 365 環境は自身専用 以下のように 購入したライセンス数の3倍のユーザーが時間差で利用可能となる 25:00 - 9:00 1つのライセンスで、3台の Cloud PC が提供され、同時に 1 台が利用可 2つのライセンスで、6台の Cloud PC が提供され、同時に 2 台が利用可 ・ ・ ・ 10個のライセンスで、30台の Cloud PC が提供され、同時に 10 台が利用可 52
Windows 365 Frontline “共有モード” 利用イメージ (例) Windows 365 を複数人でプールする場合 4 つの Windows 365 Frontline ライセンス = 4 台の Windows 365 デスクトップ 各 Windows 365 環境のユーザー プロファイルは残らない 4 人目のアクセスがあると 53
Windows 365 Frontline “共有モード” 利用イメージ (例) Windows 365 を複数人でプールする場合 4 つの Windows 365 Frontline ライセンス = 4 台の Windows 365 デスクトップ 各 Windows 365 環境のユーザー プロファイルは残らない 他のユーザーがサインアウトするまで 待機になる 5 人目のアクセスがあると 54
Windows 365 ライセンス比較 Windows 365 Business / Enterprise Windows 365 Frontline 専用モード Windows 365 Frontline 共有モード 1 ライセンスあたりのユーザー数 1 3 無制限 1 ライセンスあたりの同時使用数 1 1 1 保存 保存 サインアウト時に削除 常時稼働 利用してないと停止 常時稼働 〇 ✕ ✕ 項目 ユーザープロファイル・データ クラウド PC の稼働 スペック変更 55
Windows 365 Business 費用の考え方 Microsoft 管理の 無料 コントロール プレーンの使用料は Windows ライセンスに含まれる Windows 365 は、VMの利用料が定額 コントロールプレーン Web access Diagnostics Gateway Broker Management Monitoring & Alerting Licensing Scaling Windows 365 Cloud PC 56
Windows 365 Enterprise 費用の考え方 Microsoft 管理の 無料 コントロール プレーンの使用料は Windows ライセンスに含まれる コントロールプレーン Web access Diagnostics Gateway Broker Management Monitoring & Alerting Licensing Scaling Windows 365 は、VMの利用料が定額 Windows 365 Cloud PC お客様所有の Azure サブスクリプション 課金 Azure ネットワークなどをオプション追加 Microsoft Entra ID Microsoft Intune ネットワーク セキュリティ 57
Azure Virtual Desktop 費用の考え方 Microsoft 管理の 無料 コントロール プレーンの使用料は Windows ライセンスに含まれる コントロールプレーン Web access Diagnostics Gateway Broker Management Monitoring & Alerting Licensing Scaling お客様所有の Azure サブスクリプション AVD Session Host 課金 仮想マシンの月額料金をメインに Azure ネットワークなどをオプション追加 Microsoft Entra ID Microsoft Intune ネットワーク セキュリティ 58
Azure Virtual Desktop VMリソース の コスト
Azure の 料金プラン Azure のコストを削減する方法(料金プラン)を そのまま AVD に対して適用することができます。 従量課金プラン Pay-as-you-go 節約プラン Azure Savings Plan 予約インスタンス Reserved Instance (RI) 割引率 なし 最大 約 65 % 最大 約 72 % 対象リソース 全サービス VM や App Services など複数に柔軟に対応 特定の VM SKU、リージョンなどを指定 期間の縛り なし 1 年 または 3 年 1 年 または 3 年 支払方法 月ごとの利用料に応じて課金 ※金額が可変 一括前払い or 月払い ※定額 一括前払い or 月払い ※定額 柔軟性 非常に高い SKU や リージョンに縛られずに利用可 SKU リージョンの変更不可 キャンセル 不要 ※サービスを止めれば、課金ゼロ キャンセル不可 一部払い戻し可能 適用優先度 ③ RI や Savings Plan が優先 ② RI の次に適用 ① 最優先 主な対象 小規模・短期利用・検証環境 使用量が変動するが一定の稼働が見込まれる環境 長期・安定稼働の本番環境 シミュレーション※1 \4,374 / 月 / 1ユーザー \2,652 / 月 / 1ユーザー \2,084 / 月 / 1ユーザー Azure Desktop の価 公 開格 情Virtual ( 報 価 : 格オ プショ ン) 公開情報:Azure Virtual Desktop の価格(価格オプション) ※1:3年契約 , Japan East , D4s V5 , マルチセッション , Heavyワークロード , 非スケーリング , 5000ユーザー Premium SSD Disk 128 GB , FSLogix (Azure Files 10GB/User) の条件で 次ページの 「料金計算ツール」にて試算 60
Azure 料金計算ツール 以下の URL から利用できます https://azure.microsoft.com/ja-jp/pricing/calculator/ https://azure.microsoft.com/ja-jp/pricing/calculator/ 61
Windows 365 の特長
Windows 365 の特長 ① • クラウドにある Windows 仮想マシン (クラウド PC) を簡単・シンプルに 展開・管理が可能なサービス 個人専用の仮想 PC の展開 予測可能なコスト シンプルな展開・管理 デバイスを問わず利用できる パーソナルな仮想 Windows ユーザーごとで予測可能な月単位の 価格設定 初期設定さえすれば、ライセンスを 割り当てるだけで自動展開 クラウド上にあり必要なときに どこからでもアクセスが可能 必要に応じて追加や拡張が可能 既存の環境を活用し、既存の デバイスと同様に一貫した管理 63
Windows 365 の特長 ② 快適・セキュアなアクセス 既存のインフラ・ライセンス活用 シンプル・簡単な展開 クラウド PC への快適なアクセス 既存の PC 管理基盤の活用利用 月額固定のライセンス 専用アプリ Windows App によるアクセス Web ブラウザーによる手軽なアクセス Windows 365 Switch による快適な切り替え 既存の PC 管理と同じようなルールやポリシー ID 基盤やネットワークなども流用して構築可能 1 人 1 台が基本のシンプルなライセンス 月額固定で 24 時間 365 日利用可能 セキュアなクラウド PC 接続専用端末 Microsoft 365 ライセンス シンプル・簡単な展開設定 Windows 365 Boot による接続専用端末化 接続専用端末 Windows 365 Link の活用 Windows Enterprise や VDA ライセンスを活用 Microsoft 365 E3/E5 等のライセンスを活用 セキュリティ基板などもそのまま活用可能 VDI などの知識が不要で数ステップで展開 一度の設定でライセンスの追加のみで展開可能 PC と同様のポリシーやアプリ管理を流用可 64
Windows 365 ならではの接続オプション Windows 365 Switch Windows 365 Boot Windows 365 Link デスクトップのスムーズな切り替え Windows 11 端末のシンクラ化 クラウド PC 接続専用端末 Windows 11 タスク ビューにて ローカルとクラウド PC の切り替え デバイスを起動すると クラウド PC へのサインイン画面に クラウド PC にすぐにサインイン ローカルにデータを持たずセキュア アクセス元端末が Windows 11 既存 Windows 端末にポリシー適用 専用デバイスの購入 65
Windows 365 のシンプルな展開 ライセンスの購入・割り当て 展開ポリシーの作成 クラウド PC の利用開始 Windows 365 のライセンス購入後 管理者が管理センターで割り当て Microsoft Intune にてポリシー設定 一度作成すれば使いまわしが可能 設定後は自動的に展開開始 1 時間程で使用できる状態に ユーザーへの割り当て グループへの割り当て Entra 参加 / ハイブリッド参加 Microsoft ホスト / 自社ネットワーク 展開 OS イメージの選択 Windows App からの接続 Web ブラウザーでの接続 Windows 365 Link のセットアップ 66
ケーススタディ: ITベンチャー企業C社は、社員数約150名のスタートアップで、急成長に伴ってリモートワーク体制 の拡充を進めています。開発チームはWindowsベースの環境を使用し、プロジェクトごとに仮想 マシンのリソース要件や構成が変化します。一方、営業・管理部門は比較的安定した業務内 容で、シンプルなデスクトップ環境が求められています。 IT部門は「Windows 365 Business / Enterprise」 と 「Azure Virtual Desktop(AVD)」の どちらを採用すべきかを検討しており、それぞれの特徴と、自社のワークスタイルとの適合性を踏 まえた判断が求められています。 クライアントから 提案を任されたあなたは、以下の観点を踏まえて Windows 365 と AVD のど ちらを採用すべきかを選び、その理由を説明してください。 “セキュリティ・ガバナンス、ITチームの運用負荷、コスト・導入スピード、ユーザビリティ” の観点を含 められると良いです。 67
アジェンダ (1日目) ■第1章 Microsoft を取り巻く 仮想デスクトップ 事情 ■第2章 Windows 365 と Azure Virtual Desktop に触ってみよう ■第3章 Windows 365 と Azure Virtual Desktop の徹底比較 (2日目) ■第4章 Windows 365 と Azure Virtual Desktop の アーキテクチャ ■第5章 Azure Virtual Desktop の デプロイ設定 ■第6章 W365 や AVD と組み合わせて利用できる 各種機能 ■第7章 まとめ ■=ケーススタディあり 68
第4章 Windows 365 と Azure Virtual Desktop の アーキテクチャ
コンポーネント 全体 Microsoft が 管理するコンポーネント Azure Virtual Desktop コントロールプレーン 認証 Client PC (Windows App) Webアクセス ゲートウェイ 接続ブローカー Public IP Address 認証 Microsoft Entra ID Private IP Address Azure 仮想ネットワーク DesktopSubnet AD Subnet AzureFirewallSubnet レプリケーション Domain Joined Microsoft Entra Connect ADDS セッションホスト ADDS Private Link GatewaySubnet ストレージ (FSLogix プロファイル) ExpressRoute Client PC (Windows App) オンプレミス ER Gateway AzureFiles Azure NetApp Files Profile_User0001.vhdx Profile_User0002.vhdx Profile_User0003.vhdx Profile_User0004.vhdx Profile_User0005.vhdx ~ Profile_User9999.vhdx 利用者が管理する必要のあるコンポーネント 70 Azure
Windows 365 - Cloud PC の接続例 - Microsoft ホストネットワーク型 Microsoft が 管理するコンポーネント Microsoft Intune Windows 365 コントロールプレーン 認証 Client PC (Windows App) Webアクセス ゲートウェイ 接続ブローカー Windows 365 Cloud PC Public IP Address Private IP Address Microsoft Entra ID VPN / ZTNA Network Gateway 社内 リソース Client PC (Windows App) オンプレミス ※ セッション確立後、画面転送には既定で RDP Shortpath を使用した UDP の接続での通信最適化を試みます。 利用者が管理する必要のあるコンポーネント 71 Azure
Windows 365 - Cloud PC の接続例 – 自社ネットワーク型 Microsoft が 管理するコンポーネント Microsoft Intune Windows 365 コントロールプレーン 認証 Client PC (Windows App) Webアクセス ゲートウェイ 接続ブローカー Windows 365 Cloud PC Public IP Address Private IP Address Azure 仮想ネットワーク Microsoft Entra ID AD Subnet Azure 仮想ネットワーク Domain Joined 社内 リソース Microsoft Entra Connect ADDS W365展開用VNet AzureFirewallSubnet GatewaySubnet ExpressRoute Client PC (Windows App) ER Gateway オンプレミス ※ セッション確立後、画面転送には既定で RDP Shortpath を使用した UDP の接続での通信最適化を試みます。 利用者が管理する必要のあるコンポーネント 72 Azure
AVD と Microsoft Entra Joined の最小構成 Microsoft が 管理するコンポーネント Azure Virtual Desktop コントロールプレーン 認証 Client PC (Windows App) Webアクセス 接続ブローカー ゲートウェイ Public IP Address 認証 Private IP Address Azure 仮想ネットワーク Microsoft Entra ID DesktopSubnet Microsoft Entra Joined セッションホスト Client PC (Windows App) オンプレミス 利用者が管理する必要のあるコンポーネント 73 Azure
AVD と ADDS の最小構成 Microsoft が 管理するコンポーネント Azure Virtual Desktop コントロールプレーン 認証 Client PC (Windows App) Webアクセス 接続ブローカー ゲートウェイ Public IP Address 認証 Private IP Address Azure 仮想ネットワーク Microsoft Entra ID DesktopSubnet AD Subnet Domain Joined Microsoft Entra Connect ADDS セッションホスト Client PC (Windows App) オンプレミス 利用者が管理する必要のあるコンポーネント 74 Azure
AVD と ADDS の最小構成 (+RDP Shortpath) Microsoft が 管理するコンポーネント Azure Virtual Desktop コントロールプレーン Client PC (Windows App) RDP Shortpath 認証 Webアクセス 接続ブローカー ゲートウェイ Public IP Address 認証 Private IP Address Azure 仮想ネットワーク Microsoft Entra ID DesktopSubnet AD Subnet Domain Joined Microsoft Entra Connect ADDS セッションホスト Client PC (Windows App) オンプレミス 利用者が管理する必要のあるコンポーネント 75 Azure
RDP Shortpath • • Session Host への接続時に コントロールプレーン を経由させない。 UDP プロトコルによって、効率よくパケットを転送する。 Workspace Widows App RDP(TCP) RDP Connection (UDP) R Qiita DP Shortpath AVD を の 構成 : する Qiita:AVD の RDP Shortpath を構成する 76
ストレージ と FSLogix を追加 Microsoft が 管理するコンポーネント Azure Virtual Desktop コントロールプレーン 認証 Client PC (Windows App) Webアクセス ゲートウェイ 接続ブローカー Public IP Address 認証 Private IP Address Azure 仮想ネットワーク Microsoft Entra ID DesktopSubnet AD Subnet Domain Joined Microsoft Entra Connect ADDS セッションホスト ストレージ (FSLogix プロファイル) Client PC (Windows App) オンプレミス AzureFiles Azure NetApp Files Profile_User0001.vhdx Profile_User0002.vhdx Profile_User0003.vhdx Profile_User0004.vhdx Profile_User0005.vhdx ~ Profile_User9999.vhdx 利用者が管理する必要のあるコンポーネント 77 Azure
Azure Firewall を追加 Microsoft が 管理するコンポーネント Azure Virtual Desktop コントロールプレーン 認証 Client PC (Windows App) Webアクセス ゲートウェイ 接続ブローカー Public IP Address 認証 Private IP Address Azure 仮想ネットワーク Microsoft Entra ID DesktopSubnet AD Subnet AzureFirewallSubnet Domain Joined Microsoft Entra Connect ADDS セッションホスト ストレージ (FSLogix プロファイル) Client PC (Windows App) オンプレミス AzureFiles Azure NetApp Files Profile_User0001.vhdx Profile_User0002.vhdx Profile_User0003.vhdx Profile_User0004.vhdx Profile_User0005.vhdx ~ Profile_User9999.vhdx 利用者が管理する必要のあるコンポーネント 78 Azure
Azure Firewall • • Azure Firewall 導入前は、不適切なサイトへのアクセスが可能 Azure Firewall 導入によって、アクセスを制御可能となり、ログ記録も可 業務で使用するサイト Microsoft 365 業務に不適切なサイト Azure Files (Private Endpoint) Azure Qiita Firewall を疑 起 動似 & : 的 停に 止起 :動&停止するには? Qiita:起動&停止:Azure Firewall を疑似的に 起動&停止 するには? AVD Qiita zure Firewall を と 構 築 ちゃ : ん と組みあわせてみた Qiita:構築:AVD と Azure Firewall を ちゃんと組みあわせてみた 既定の Internet アクセス RDP Shortpath 79 Log Analytics
オンプレミスの ADDS と連携 Microsoft が 管理するコンポーネント Azure Virtual Desktop コントロールプレーン 認証 Client PC (Windows App) 接続ブローカー Webアクセス ゲートウェイ Public IP Address 認証 Microsoft Entra ID Private IP Address Azure 仮想ネットワーク DesktopSubnet AD Subnet AzureFirewallSubnet レプリケーション Domain Joined Microsoft Entra Connect ADDS ADDS GatewaySubnet セッションホスト ストレージ (FSLogix プロファイル) ExpressRoute Client PC (Windows App) オンプレミス ER Gateway AzureFiles Azure NetApp Files Profile_User0001.vhdx Profile_User0002.vhdx Profile_User0003.vhdx Profile_User0004.vhdx Profile_User0005.vhdx ~ Profile_User9999.vhdx 利用者が管理する必要のあるコンポーネント 80 Azure
Private Link との組み合わせ Microsoft が 管理するコンポーネント Azure Virtual Desktop コントロールプレーン 認証 Client PC (Windows App) ゲートウェイ 接続ブローカー Webアクセス Public IP Address 認証 Microsoft Entra ID Private IP Address Azure 仮想ネットワーク DesktopSubnet AD Subnet AzureFirewallSubnet レプリケーション Domain Joined Microsoft Entra Connect ADDS セッションホスト ADDS Private Link VPN GatewaySubnet ストレージ (FSLogix プロファイル) ExpressRoute Client PC (Windows App) オンプレミス ER Gateway AzureFiles Azure NetApp Files Profile_User0001.vhdx Profile_User0002.vhdx Profile_User0003.vhdx Profile_User0004.vhdx Profile_User0005.vhdx ~ Profile_User9999.vhdx 利用者が管理する必要のあるコンポーネント 81 Azure
Private Link with Azure Virtual Desktop • • AVD への既定のアクセスは、インターネット経由 です。 プライベートエンドポイント を利用し、かつ インターネットからのアクセスを制限できます。 Internet RDP Connection (TCP) Widows App RDP Closed Network Widows App Connection (TCP) (Express Route or VPN) プライベートエンドポイントを有効化 インターネットからのアクセスをブロック Qiita AVD をプラ : イ ベート エンドポイント経由で閉域接続する Qiita:AVD を プライベートエンドポイント経由で 閉域接続する 82
利用者が管理する必要のあるコンポーネント • Azure 仮想ネットワーク : Azure Virtual Network により、VM などの Azure リソースは、相互にプライベートに通信したり、イン ターネットと通信したりできるようになります。 Azure Virtual Desktop ホスト プールを Active Directory ドメインに接続すると、 イントラネットまたはインターネットから仮想デスクトップや仮想アプリにアクセスするためのネットワーク トポロジを、組織方針に基 づいて定義できます。 仮想プライベート ネットワーク (VPN) を使用して Azure Virtual Desktop をオンプレミスのネットワークに接 続することや、Azure ExpressRoute を使用して、プライベート接続を介してオンプレミスのネットワークを Azure クラウドに拡張す ることができます。 • Microsoft Entra ID : Azure Virtual Desktop では、ID およびアクセス管理に Microsoft Entra ID が使用されます。 Microsoft Entra の統合により、条件付きアクセス、多要素認証、インテリジェント セキュリティ グラフといった Microsoft Entra のセキュリティ機能が適用され、ドメイン参加済みの VM でアプリの互換性を維持するのに役立ちます。 • Windows Active Directory (AD DS) : Azure 仮想デスクトップ VM は AD DS サービスにドメイン参加する必要があります。 Microsoft Entra Connect を使って、AD DS を Microsoft Entra ID に関連付けることができます。 • Azure Virtual Desktop セッション ホスト : ホスト プールは、次のオペレーティング システムを実行できます。 Windows 10 Enterprise と Windows 11 Enterprise Windows 10 Enterprise マルチセッション Windows Server 2012 R2 以降 事前に読み込まれたアプリ、グループ ポリシー、またはその他のカスタマイズが 含まれているカスタム Windows システム イメージ • Azure Virtual Desktop ワークスペース : Azure Virtual Desktop ワーク スペースまたはテナントは、ホスト プール リソースを管理および発行するための 管理コンストラクトです。 83
Microsoft が管理するコンポーネント • Web アクセス : Window Virtual Desktop 内の Web アクセス サービスを使うと、ユーザーは、任意のデバイスでどこか らでも、ローカル PC の場合と同様に、HTML5 と互換性のある Web ブラウザーを使用して仮想デスクトップやリモート アプリにアクセスできます。 Microsoft Entra ID の多要素認証を使用して、Web アクセスをセキュリティで保護するこ とができます。 • ゲートウェイ : リモート接続ゲートウェイ サービスは、Azure Virtual Desktop クライアントを実行できる任意のインター ネット接続済みデバイスから、リモート ユーザーを Azure Virtual Desktop のアプリとデスクトップに接続するものです。 クライアントからゲートウェイに接続すると、VM から同じゲートウェイへ戻る接続が調整されます。 • 接続ブローカー : 接続ブローカー サービスは、仮想デスクトップとリモート アプリへのユーザー接続を管理します。 接続ブ ローカーにより、負荷分散と既存のセッションへの再接続が行われます。 • 診断 : リモート デスクトップ診断はイベントベースのアグリゲーターであり、これによって Azure Virtual Desktop デプロイ 上の各ユーザーまたは管理者のアクションに成功または失敗のマークが付けられます。 管理者はイベント集計に対して クエリを実行して、エラーが発生しているコンポーネントを特定できます。 • 機能拡張コンポーネント : Azure Virtual Desktop には、いくつかの機能拡張コンポーネントが含まれています。 Azure Virtual Desktop を管理するため、Windows PowerShell や、提供されている REST API (これによってサード パーティ ツールからのサポートも有効になります) を使用できます。 84
参考:完全閉域 に近い状態 にするには? 完全閉域(インターネットを一切使わない)が要件として求められた場合は、以下のような仕 Qiita:AVD を閉域環境にするための 10 のポイント 組みを活用することで、近い状態を作り出せます。 ExpressRoute / Microsoft ピアリング 逆強制トンネリング Private Link テナント制御 Azure Firewall 10 Qiita AVD の閉 を ポイ 域 : ン 環 ト境にするための しかし、インターネットからのアクセスを 全く使わない・・・という状況にはできません。 管理画面となる、 “Azure Portal” や “Intune 管理センター” へのアクセスは、パブリック経由の アクセスが必要となります。 完全閉域 が要件として求められた場合は、”条件付きアクセス(ネームドロケーション)” によっ て、決められた IP アドレスからのアクセス以外をブロックすることで対応します。つまり論理的には 密閉できていますが、”インターネットを一切使わない” という要件には、ちょっと足りない状態です。85
ネームドロケーション 条件付きアクセスのネームドロケーションは、 あらかじめ 利用場所の パブリック IP を “場所 (ロケーション)” として登録しておき、Microsoft Entra ID の認証の際に、 PC が使われている ”場所” を条件にすることが可能です。 画面は、Azure Portal へのアクセスは、本社か らしか実施できないよう に構成した例です。 Azure 制部 外 御例 サPortal イト : 条件付きアクセスによる 外部サイト:条件付きアクセスによる Azure Portal 制御例 86
完全閉域 を目指した構成 社外PC Microsoft が 管理するコンポーネント 条件付きアクセスの ネームドロケーション でブロックする Azure Virtual Desktop コントロールプレーン 〇 Microsoft Entra ID Client PC (Windows App) ゲートウェイ 接続ブローカー Webアクセス Public IP Address Private IP Address Azure 仮想ネットワーク ExpressRoute Microsoft ピアリング DesktopSubnet AD Subnet AzureFirewallSubnet レプリケーション Domain Joined Microsoft Entra Connect ADDS セッションホスト ADDS Private Link VPN GatewaySubnet ストレージ (FSLogix プロファイル) ExpressRoute Client PC (Windows App) オンプレミス ER Gateway RDP Shortpath AzureFiles Azure NetApp Files Profile_User0001.vhdx Profile_User0002.vhdx Profile_User0003.vhdx Profile_User0004.vhdx Profile_User0005.vhdx ~ Profile_User9999.vhdx 利用者が管理する必要のあるコンポーネント 87 Azure
第5章 Azure Virtual Desktop の デプロイ設定
Azure Virtual Desktop のデプロイ画面 初めて Azure Virtual Desktop を構成する際は、[ホストプールの作成] から行います。 その画面上には、多岐にわたる設定項目が乱立しており、各項目に関する設計のイメージや、 事前準備をしておかないと、先に進めなくなるため、この点が Azure Virtual Desktop をとっつ きにくいものにしています。 この章では、ホストプール作成時の 各設定項目について解説していきます。 89
ホストプール ポイント 複数の仮想マシンをまとめる - ユーザーが接続する仮想デスクトップを動作させるためのVMをまとめた集 合体 - 例えば、「営業チーム向けの仮想デスクトップ環境」や「開発者向けの環 境」など、用途別に作成可能 ロードバランス機能 - ユーザーがログインすると、負荷に応じて適切なVMに割り当てられる (均等 = 幅優先 / 集中 = 深さ優先) スケーリングの柔軟性 - 必要に応じて仮想マシンの台数を増減できるため、業務の繁忙期・閑散 期に対応可能 ホストプールとは、右の欄に記載した要 素をグループ化したものです。 ホストプール名は、これに名前を付けて 管理していきます。 ユーザーとアプリの管理 - 特定のユーザーやグループに対してアクセス権限を設定 - 専用アプリの導入が可能 90
データの “場所” Azure Virtual Desktop では、テナント名、ホスト プール名、アプリ グループ名、 ユーザー プリンシパル名などのグローバル メタデータ情報をデータセンターに格納 します。 - 顧客はサービス オブジェクトを作成するたびに、サービス オブジェクトの場所を入力す る必要があります - 入力した場所によって、オブジェクトのメタデータが格納される場所が決まります - 顧客が Azure リージョンを選択すると、メタデータが関連する地域に格納されます Azure リ 公 ー 開 ジ情 ョ ン 報: 公開情報:Azureリージョン 91
検証環境 検証ホストプールの目的 - サービスの更新プログラムを監視し、標準環境に適用 する前にテストする - 標準環境でのダウンタイムやエラーを防ぐために推奨さ れる。 検証ホストプールの設定 - 検証環境フィールドで「はい」を選択し、設定を保存す ることで有効化 運用上の注意点 - 検証ホストプールはテスト専用であり、運用環境では 使用しない - 最新の更新プログラムを適用するため、常に最新の状 92 態を維持することが推奨される
優先するアプリグループの種類 アプリケーション グループとは - ホスト プール内のセッション ホスト上で使用できるアプリケーション の論理グループ - ユーザーが接続できるのがデスクトップ全体か、特定のアプリケー ションかを制御できる アプリケーション グループの種類 - [デスクトップ] : ユーザーは Windows デスクトップにアクセス可能 - [RemoteApp] : ユーザーは特定のアプリケーションのみを利用可能 優先アプリケーション グループの種類の設定 - RemoteAppとデスクトップの両方にユーザーが割り当てられること があるため、ユーザーが両方に同時接続しないように、「優先アプ リグループの種類」を設定する必要がある - この設定により、ユーザーのフィードに表示されるリソースが制御され、 接続の競合を防止できる 公開情報: 優先アプリ ケーショ ングループの種類の概要 公開情報:優先アプリケーショングループの種類の概要 93
ホストプールの詳細 - プール : サインインと VM の共有のため、複数のユーザーを対 象にプールされたホスト プールを構成できます。 プールすること で、Windows 11 Enterprise マルチセッション を使用できま す。 この マルチセッションは、AVD でのみ利用出ることが可能 です。 - 「幅優先方式」 = 空いているVMから順に割り当て - 「深度優先方式」 = 少ない台数のVMに集約する 個人用 : 個人用ホスト プールには、各ユーザーの専用 VM があります。 それらのユーザーは、通常、VM のローカル管理 者です。 これにより、ユーザーは他のユーザーに影響を与える ことなく、アプリをインストールまたはアンインストールできます。 94
ホストプールの詳細(プール) 幅優先方式 = 空いているVMから順に割り当て 深度優先方式 = 少ない台数のVMに集約する VM VM VM VM VM VM 1 2 3 1 4 7 4 5 6 2 5 8 7 8 9 3 6 9 95
ホストプールの詳細(個人用) 個人用は、ユーザーごとに VM が 1台ずつ 割り当てられます。 ※Windows 365 の Cloud PC は、これと同様の割り当て方法となります。 VM VM VM VM VM VM 1 2 3 4 5 6 96
名前のプレフィックス 「名前のプレフィックス」 は、自動作成される セッションホスト (Azure VM) に付与される 名前の “接頭語” です。 AVD071801 というプレフィックスにした場合、 VM を 12台作成すると、以下のようなホスト 名の VM が生成されます。 プレフィックスとして 付与できる長さは 11文字までです。 Windows OS のホスト名は 15文字が上限となっているため、 プレフィックス込みで 15文字以下である必要があるため。 AVD071801-0 AVD071801-1 AVD071801-2 AVD071801-3 AVD071801-4 AVD071801-5 AVD071801-6 AVD071801-7 AVD071801-8 AVD071801-9 AVD071801-10 AVD071801-11 97
仮想マシンの種類 “Azure ローカル仮想マシン” は、誤訳です。 “Azure Local というサービスの 仮想マシン” と考えると良いです。 Azure Local は、オンプレミスのデータセンターに構築した 仮想基盤を 活用しつつ、Azure Portal で クラウドとオンプレを統合管理できるサー ビスです。 Azure 仮想マシン Azure Local VM ホストの場所 Azure ユーザーのデータセンター ホスト管理 Azure ユーザー 接続方式 インターネット VPN または ExpressRoute ローカルネットワーク 可用性 Azure ローカルに依存 コスト 従量課金 初期投資が必要 パフォーマンス クラウド依存 ローカルマシン依存 オンプレミスデータセンターに展開した Azure Local の 仮想マシン を利用することもできます。 98
仮想マシンの設定 Azure 仮想マシン Azure ローカル仮想マシン (Azure Local で作られた VM) [Azure 仮想マシン] では、Azure で VM を作成する際に指定するのと同様のパラメーターがあります。 [Azure Local VM] では、あらかじめ オンプレミス環境に構築した 仮想基盤から、ASZ クラスターの場所と VM のスペックを指定します(Hyper-V で VM を展開する際のパラメーターを想像していただくと良いと思います) 99
仮想マシンの場所(リージョン) 100
可用性ゾーン 公開情報: 可用性ゾーンと は? 公開情報:可用性ゾーンとは? Azure リ 公 ー 開 ジ情 ョ ン 報 の : 一覧 公開情報:Azureリージョンの一覧 可用性ゾーンに対応したリージョン 可用性ゾーンに対応していないリージョン 可用性ゾーンに対応したリージョンは、複数のデータセンターによって構成されています ホストプールを 可用性ゾーンで稼働させることによって、データセンターの全滅時にも、縮退運転でカバーを期待できます101
AVD のための 可用性ゾーン ベストプラクティス 可用性ゾーンを「固定する」場合 メリット ・ゾーン障害対策が可能 → 特定のゾーンに障害が発生しても、他ゾーンに配置されたVMは影響を受けません。 ・構成の一貫性が保てる → 監査やセキュリティ要件で、ゾーンを明示的に指定したい場合に有効です。 注意点 ・リソース割り当てエラー(AllocationFailed)のリスク → 指定ゾーンに空きがないと、VMの起動やスケーリングが失敗する可能性があります。 ・スケーリングプランとの相性に注意 → 朝の一斉起動などでリソースが集中すると、ゾーン固定がボトルネックになることも。 ポイント Azure には、同一の役割を果たすリソース は、VM を 可用性ゾーンを固定して展開 するというベストプラクティスがあります。 しかし、AVD においては、その常識が通じ ません。 AVD 特有の影響のため、AVDの有識者 界隈では、VM を 可用性ゾーン に固定し ないことが推奨されています。 可用性ゾーンを「固定しない(ゾーン未指定)」場合 メリット ・Azure側が最適なゾーンに自動配置 ベストプラクティス → リージョン全体のリソースを使えるため、割り当て失敗のリスクが低減します。 つまり 可用性ゾーン に対応したリージョン ・柔軟なスケーリングが可能 を選び、VM は、「インフラストラクチャ冗長 → スケーリングプランとの相性が良く、可用性も確保しやすい。 は必要ありません」 の設定で展開すること 注意点 ・ゾーンの可視性がない が最適解となります。 → どのゾーンに配置されたかを把握できず、障害時の影響範囲が読みにくい。 ・ディスクや他リソースとの整合性に注意 102 AVD が朝起 : 動しない?!エラ ー内容と 設定の関係 → VMとマネージドディスクのゾーンが一致していないとアタッチできない場合があります。 Qiita Qiita:AVDが朝起動しない?!エラー内容と設定の関係
仮想マシンの “イメージ” 仮想マシンのイメージは、あらかじめ Azure で用 意された 起動ディスクのイメージ(英語のみ)か ら選択するか、ユーザー側で作りこみを行ったイメー ジの中から選択することができます。 ユーザー側で イメージの作りこみを行う際には、 Image Builder というツールを使うことができます。 Azure から提供されるイメージは、各種バージョンごとに、 Microsoft 365 Apps の有無 の組み合わせで提供されている。 すべて 英語版 であることに注意してください。 103
Image Builder 決まった設定の VM を提供 - 毎回同じ環境の仮想マシンを作れるので、ミスが減ります 自由なカスタマイズ - WindowsやLinuxを選び、必要なソフトや設定を入れて、 自分好みのマシンにできます セキュリティ - 最新のアップデートやセキュリティ対策を含められるので、 安全な環境を作れます 確認:画像は MS Leran から借用 管理しやすい イメージの作りこみを行う際に、日本語化を行った り、業務アプリケーション を事前に導入したりする ことが可能です。 - 作ったテンプレートをいろいろな場所で使えるので、同じ設 定の仮想マシンを複数作るのが簡単 Azure P VM owerShell Image Virtual Builder Desktop イ を と 公 メ 使 開 ー 用 情 ジ し を 報 て 作 :成 す る 公開情報:VM Image Builder と PowerShell を使用して Azure Virtual Desktop イメージを作成する G Azure Image Builder 対UI考 が 参 応: しVM ていた らしいの で試す 参考:Azure VM Image BuilderがGUI対応していたらしいので試す 104
VM のサイズ と VM 数 ホストプール内に展開する、仮想マシンのサイズ と VM 数 を 設定します。 この仮想マシンのサイズ によって、VM の時間当たりの単価 が決まっています。 AVD の VM に関する 主要な運用コストは 以下の計算式 によって、定まります。 [VM 時間当たりの単価] x [VM 数] x [稼働時間] ポイント 次ページに 公開情報として、ガイドラインを示しましたが、業 務用途によって大幅なブレがあります。 AVD は、事前のサイジングが難しいのですが、マルチセッショ ンを活用し、厳密に制御しきることで、コスト削減を追求する ことが出来る点が、大きなメリットになりえます。 ※Windows 365 は、そのような心配も期待もなく運用する 105 ことができるサービスと言う事ができます。
AVD 仮想マシンのサイズ設定のガイドライン シングルセッションの 最小スペック ユーザーの例 アプリケーションの例 VM のスペック 上段:vCPU/RAM/OS ストレージの最小値 下段:Azure インスタンスの例 ライト 基本的なデータ入 力タスクを実行する ユーザー データベース エントリ アプリケーション、コマンドライン イ ンターフェイス 2 vCPU、8 GB RAM、32 GB ストレージ D2s_v5、D2s_v4 ミドル コンサルタント や 市 場調査員 データベース エントリ アプリケーション、コマンドライン イ ンターフェイス、Microsoft Word、静的 Web ページ 4 vCPU、16 GB RAM、32 GB ストレージ D4s_v5、D4s_v4 ヘビー ソフトウェア エンジニ ア、コンテンツ作成 者 データベース エントリ アプリケーション、コマンドライン イ ンターフェイス、Microsoft Word、静的 Web ページ、 Microsoft Outlook、Microsoft PowerPoint、動的 Web ページ、ソフトウェア開発 8 vCPU、32 GB RAM、32 GB ストレージ D8s_v5、D8s_v4 パワー グラフィック デザイ ナー、3D モデル メー カー、機械学習研究 者 データベース エントリ アプリケーション、コマンドライン イ ンターフェイス、Microsoft Word、静的 Web ページ、 Microsoft Outlook、Microsoft PowerPoint、動的 Web ページ、 写真とビデオ編集、コンピューター支援設計 (CAD)、コ ンピューター支援製造 (CAM) それ以上 ワークロード の種類 公開情報: 仮想マシンのサイズ設定のガイドラ イン( シングルセッ ショ ンの推奨事項) 公開情報:仮想マシンのサイズ設定のガイドライン(シングルセッションの推奨事項) 106
AVD 仮想マシンのサイズ設定のガイドライン マルチセッションの最小スペック ワーク ロード の種類 ユーザーの例 vCPUあたりの 最大ユーザー数 VM のスペック 上段:vCPU/RAM/OS ストレージの最小値 下段:Azure インスタンスの例 ライト 基本的なデータ入力タスク を実行するユーザー 6人 8 vCPU、16 GB RAM、32 GB ストレージ (D8s_v5、D8s_v4、F8s_v2、D8as_v4、D16s_v5、D16s_v4、F16s_v2、D16as_v4) ミドル コンサルタント や 市場調査 員 4人 8 vCPU、16 GB RAM、32 GB ストレージ (D8s_v5、D8s_v4、F8s_v2、D8as_v4、D16s_v5、D16s_v4、F16s_v2、D16as_v4) ヘビー ソフトウェア エンジニア、コン テンツ作成者 2人 8 vCPU、16 GB RAM、32 GB ストレージ (D8s_v5、D8s_v4、F8s_v2、D8as_v4、D16s_v5、D16s_v4、F16s_v2、D16as_v4) パワー グラフィック デザイナー、3D モデル メーカー、機械学習 研究者 1人 6 vCPU、56 GB RAM、340 GB ストレージ (D16ds_v5、D16s_v4、D16as_v4、NV6、NV16as_v4) ユーザー数は、vCPUあたりの 最大数 であり、スペックは 最小値 であることに注意してください。 このスペックで、十分に動作するという訳ではなく、最低ラインとなります。 実際のワークロードに応じて 必要なリソースは増減します。 公開情報: 仮想マシンのサイズ設定のガイドラ イン( 複数セッ ショ ンに関する推奨事項) 公開情報:仮想マシンのサイズ設定のガイドライン(複数セッションに関する推奨事項) 107
OS ディスクの 種類 と サイズ OS ディスクとは、VM の 起動ドライブに該当する ディスクです(C ドライブ) このディスクの種類とサイズを定義できます。 ディスクの種類は、以下の 3種類から選択できま すが、コストとパフォーマンスに影響します。 Premium SSD = 高パフォーマンス で高コスト Standard SSD = 標準 Standard HDD = 本番運用では非推奨、安価 通常は 128 GiB で十分ですが、特殊用途があ る場合は、適宜サイズを変更します。 Managed Disks の価 公 開格 情報: 公開情報:Managed Disks の価格 108
ブート診断 ブート診断は、Azure VM でも提供されている機能です。 ホスト の ディスプレイに表示される内容の ”スクリーンショッ ト” が取得され、ストレージアカウントに保存されています。 “マネージドストレージアカウント” または “カスタムストレージア カウント” のうち、選択された場所に “スクリーンショット” が 保存されます。 左の画面で、その “スクリーンショット” を見ることができるた め、VM の状態を目視で確認することができます。 BSOD (ブルースクリーン) の状態になっているかどうかや、 更新中かどうか、起動しているかどうかなどを判別できます。 注) この画面は、動画ではなく 静止画で提供されます。 109
ネットワークとセキュリティ “仮想ネットワーク” と “サブネット” は、デプロイした VM を、 どの Azure 仮想ネットワークに接続させるのかを指定します。 セッションホストは、この仮想ネットワークを介して、インター ネットや クライアント、業務システム と接続されます。 “ネットワークセキュリティグループ” は、この VM に割り当てる NSG を “Basic” または “任意” のものを適用できます。 “パブリック受信ポート” を “はい” にして、”許可する受信ポー ト” を指定した場合は、VM 専用の パブリック IP が用意さ れるため、インターネット側から ダイレクトに VM に向かって 接続を開始することが出来るようになります。 ※AVD の場合は、コントロールプレーンを介して、VM に接 続するため、パブリック受信ポートは “いいえ” のままで問題 ありません。 110
参加するドメイン セッションホスト は、Microsoft Entra ID または Active Directory のいずれかに参加させる必要があります。 参加させた ドメイン上で セッションホスト が管理され、ドメイン上のユーザーが セッションホスト に サインイン できるように なります。 Microsoft Entra ID Active Directory ドメイン 111
仮想マシンの管理者アカウント 作成される VM の ローカル管理者アカウント として、[ユーザー名] と [パスワード] を指定します。 複数展開する場合も、すべての VM のローカル管理者が、このアカウントになります。 112
参考:パスワードの保護(オリジナル手法) ドメインコントローラーの管理者アカウントや、各 VM のローカルアカウントは、展開の際に 毎回入力する必要が生じます。 パラメーターシートを用意しておいて、毎回コピー & ペースト を実施すれば良いのですが、展開担当者に この情報を開示 しておく必要がありますし、セキュリティ的な懸念が生じます。 解決策:Azure Key Vault に暗号化して保存しておいた シークレット情報 を使って、AVD展開時のパラメーターとして 利用することができます。 AVD の展開を行う作業者は、Key Vault を参照 することができないので、パスワード情報が露出しません。 KeyVault ARM Qiita Azure Portal のン テ を シ 使プ ー っ : ク レ て レ ー ッ ト ト の を デ 参 プ照 ロイ す を る する際に Qiita:Azure Portal を使って ARMテンプレートのデプロイをする際に KeyVaultのシークレットを参照する 113
カスタム構成スクリプトの URL VM を展開する際に、自動的に実行するスクリプトを指定できます。 これによって、VM イメージ で用意されたものを改変した形で 展開することが可能となります。 114
参考:展開時の 自動日本語化(オリジナル手法) 私の個人的な取り組みによるものですが、Azure 上のイメージから、ダイレクト かつ リアルタイムに展開が行 えます。 スクリプトによって 自動的に構成変更を行っています。 メリット: - 展開するイメージ内の状況がすべて明文化されている - マスターイメージの管理から解放される - マスターイメージを保存するストレージ領域を削減できる - 最新バージョンのイメージを使って、同一構成の VM を生成できる(動作検証は必要です) デメリット: - AVD のデプロイ時に 時間が多めにかかる(+30分~) - Microsoft が保証した方法ではない(やっていることは Image Builder と一緒) VM Qiita (AVD) Azure MarketPlace をイ の 全 メ 自 : ー ジ 動か で ら 日 直 本 接 語 デ 化 プロ すイ る した Qiita:Azure MarketPlace のイメージから直接デプロイした VM (AVD) を 全自動で日本語化する 115
ワークスペース , DAG , セッションホスト の関係性 「ワークスペース タブ」 セッションホストを作成すると同時に、DAG (デスクトップアプリケーショングループ)を作成し、ワークス ペースに割り当てることが可能です。 注)ここで DAG の登録を “いいえ” にした場合は、あとで セッションホスト を DAG に登録するまで、 利用はできません。 DAG = “いいえ”(既定値) DAG = “はい” 116
参考:DAG への ユーザーの割り当て 注意) ウィザードで ホストプールの作成時に、ワークスペース と DAG への登録を行ったとしても、それだけでは セッションホストが 使われることはありません。 別途、DAG へ ユーザーを割り当てることで、利用ができるよ うになります。 Qiita (AVD) アプリ ケ : ーショ ングループへのユーザー割り当て Qiita:(AVD) アプリケーショングループへのユーザー割り当て 117
診断設定 「詳細 タブ」 診断設定の既定値は、”オフ” です。これを “オン” にすることで、セッションホストのログや メトリックを 指定された送信先へ保存することが可能になります。 たとえば 右図のように LogAnalytics にログとメトリックを 転送することで、ログを Azure Monitor の機能を使って、 集中管理することができ、アラートなどの監視にも役立てる ことが可能になります。 118
確認と作成 「確認と作成 タブ」 ウィザードで選択した各設定項目の最終確認画面です。 ここで、”作成” ボタンを押すと AVD の展開が開始されます。 119
注意点:AVD における Azure の制限事項 大規模環境で利用する場合、以下のような制限値があるため、設計の際に注意が必要です。 親コンテナ – オブジェクトあたり AVD オブジェクト サービスの制限 Microsoft Entra テナント ワークスペース 1,300 Microsoft Entra テナント アプリケーショングループ 400 ワークスペース ホストプール 500 アプリケーショングループ RemoteApp 500 任意の AVD オブジェクト ロール割り当て 200 ホストプール セッションホスト 10,000 Azure Virtual サー 公 開 ビ 情 ス の 報制 :限Desktop 公開情報:Azure Virtual Desktop サービスの制限 120
理解度チェック:セッションホストの特性 以下のうち、AVDセッションホストに関する説明として正しいものはどれですか? ① 制御プレーンに属しており、Microsoftが管理するマネージドサービスである ② AVDではセッションホストは自動的にスケーリングされ、管理は不要である ③ セッションホストはオンプレミスのActive Directoryのみで動作可能である ④ マルチセッションに対応した Windows 10 / 11 Enterprise が利用可能である 121
第6章 W365 や AVD と組み合わせて利用できる 各種機能
Windows 365 Business = 〇 Windows 365 Frontline =〇 Windows 365 Enterprise =〇 Azure Virtual Desktop = 〇 Teams メディア最適化 物理PC での Teams 通話は、下図のような 通信が行われます。 一般的な VDI の場合は、右図のような通 信経路となり、遅延の原因となります。 W365 / AVD は Teams メディア最適化に 対応しており、通話品質の遅延が起こりにく くなっています。 STUN/TURNサーバー 別ネットワークの場合 同一 LAN上の場合 Qiita Teams VDI 環境に : 【 お けるメ デ 】 ィ ア最適化 Qiita:【Teams】VDI 環境におけるメディア最適化 123
Windows 365 Business = Windows 365 Frontline =〇 Windows 365 Enterprise =〇 Azure Virtual Desktop = 〇 テナント制限 v2 • • クラウドサービスは、URL によるフィルタリングだけではセキュリティ対策ができません。 そんな時に、テナント制限 で対策できます。 URL Qiita フィ テ ナ ル ン タ : ト を 制 組 限み 、 合 条わ 件た 付ア き ク ア セ ク ス セ 制 ス、 御 Qiita:テナント制限、条件付きアクセス、URLフィルタ を組み合わた アクセス制御 v2 Qiita Microsoft Entra でナ テ 外 ン 部 : ト テナ 制 限 ント への アク セスをブロッ ク する Qiita:Microsoft Entra テナント制限v2 で 外部テナントへのアクセスをブロックする 124
SSO でサインイン 接続時に発生する認証を SSO させることができます。 利便性の向上とともに、別のアカウントで RDP されてしまうリスクも減らせます。 125
Appendix : SSO SSO に関する 各エディションごとの可否と 追加で必要となる構成 Microsoft Entra Join Windows 365 Business 〇 (※1) ADDS ドメイン ・windows365.microsoft.com で有効化 ・Microsoft Entra Kerberos の構成が必要 ・そもそも ドメイン構成が不可 Windows 365 Frontline / Enterprise 〇 〇 Azure Virtual Desktop 〇 〇 (※1) ・プロビジョニングポリシーで有効化 ・Microsoft Entra Kerberos の構成が必要 ・ホストプールの RDPプロパティで有効化 ・Microsoft Entra Kerberos の構成が必要 ・プロビジョニングポリシーで有効化 ・Hybrid Join + Entra Kerberos の構成が必要 ・ホストプールの RDPプロパティで有効化 ・Hybrid Join + Entra Kerberos の構成が必要 (※1) Windows 365 Link から接続する場合は、SSO の有効化は必須 Windows 365 Business 組開 公 織の 情既 報定 : の設 定を変更する 公開情報:Windows 365 Business 組織の既定の設定を変更する Windows 365 Enterprise Microsoft Entra のシ 認 公 証 開 ン 情 を グ 使 報 ル用 : サ し イ て ン オンを構成: す る 公開情報:Windows 365 Enterprise:Microsoft Entra認証を使用してWindows 365のシングル サインオンを構成する Sで (A Qiita SO D DS) AVD を セ サ ッ シ イ ョ : ン ン イ ホ ン ス さ ト せたい Qiita:AVD セッションホスト (AD DS) を SSO でサインインさせたい 126
FIDO2 セキュリティキーでのサインイン Windows 365 Business = 〇 Windows 365 Frontline =〇 Windows 365 Enterprise =〇 Azure Virtual Desktop = 〇 W365 , AVD 共に、フィッシング耐性のある FIDO2 セキュリティキーに対応しています。 パスワード+Microsoft Authenticator のような組み合わせによる 多要素認証ではなく、 FIDO2 セキュリティキー による、より高セキュリティで利便性の高い認証を提供できます。 PIN + Touch 認証 指紋認証 )オ (A Qiita VD 対 ン 応 プ 版 : レドメインの初回ログオンから完全パスワードレスの運用 Qiita:オンプレドメインの 初回ログオンから 完全パスワードレスの運用 (AVD 対応版) 127
仮想デスクトップ アクセス時のデータ保護 Windows 365 Business = Windows 365 Frontline =〇 Windows 365 Enterprise =〇 Azure Virtual Desktop = 〇 セッション ホストのリモートデスクトップ (RDP) プロパティを設定することで コンテンツのコピーやデバイスのリダイレクトを制御可能 ※ 下記は一例 (デバイスのリダイレクト を参照) クリップボード クリップボードを使用できる方向を制御し、コピーできるデータ の種類を制限 ドライブ/ストレージ ローカルドライブやリムーバブルドライブ、ネットワーク ドライブへ のアクセスの制限 プリンター リモートセッションからローカル・プリンターに印刷 USB デバイス ローカルデバイス上のサポートされている USB デバイスをリモー トセッションにリダイレクトを制御 本来はここに仮想マシンの 画面が表示されている 画面キャプチャの保護 また、セッション ホストの AVD (W365) 用のポリシーを設定することで 画面キャプチャの保護や物理カメラからの撮影抑止が可能 スクリーンショットの保護 スクリーンショットと画面共有でリモート コンテンツが自動的 にブロックまたは非表示にされる 透かし 物理カメラで画面の写真を撮ることの抑止として、接続 ID やデバイス ID が含まれる QR コードを埋め込むことが可能 ウォーターマーク (透かし) 128
- https://learn.microsoft.com/ja-jp/azure/virtual-desktop/watermarking
- https://learn.microsoft.com/ja-jp/azure/virtual-desktop/screen-capture-protection
- https://learn.microsoft.com/ja-jp/azure/virtual-desktop/clipboard-transfer-direction-data-types?tabs=intune
- https://learn.microsoft.com/ja-jp/azure/virtual-desktop/redirection-configure-drives-storage?tabs=intune&pivots=azure-virtual-desktop
- https://learn.microsoft.com/ja-jp/azure/virtual-desktop/redirection-configure-printers?tabs=intune&pivots=azure-virtual-desktop
- https://learn.microsoft.com/ja-jp/azure/virtual-desktop/redirection-configure-usb?tabs=intune&pivots=azure-virtual-desktop
- https://learn.microsoft.com/ja-jp/azure/virtual-desktop/rdp-properties#device-redirection
- https://learn.microsoft.com/ja-jp/azure/virtual-desktop/screen-capture-protection?context=/windows-365/context/pr-context&tabs=intune
- https://learn.microsoft.com/ja-jp/windows-365/enterprise/watermarking
Microsoft 365 E3 のセキュリティとの組み合わせ 仮想環境で必要とされるセキュリティに加え、クラウドを活用したセキュリティも活用 ❷ コピー / スクリーンショット制限 ❹ 端末セキュリティ管理 アクセス元端末 ❻ セキュリティ推奨設定 クラウド サービス 仮想マシン ❶ 許可された端末のみアクセス ❸ 多要素認証の要求 ❺ 仮想端末のみアクセス許可 ❼ リスクのある端末の制限 様々な機能を環境に合わせて選択して利用することが可能です 129
Microsoft 365 E5 のセキュリティとの組み合わせ ❽ リスクの検出と修復の自動化 ➓ クラウドサービスの監視・制御 ❷ アクセス元へのコピー制限 ❹ 端末セキュリティ管理 アクセス元端末 ⓬ 高度なメールセキュリティ ❻ セキュリティ推奨設定 仮想マシン ❶ 許可された端末のみアクセス ❸ 多要素認証の要求 ❾ 高度な脅威分析と自動対応 クラウド サービス ❺ 仮想端末のみアクセス許可 ❼ リスクのある端末の制限 ⓫ データ流出の防止 様々な機能を環境に合わせて選択して利用することが可能です 130
Microsoft 365 セキュリティ機能 ID E3 セキュリティ E5 セキュリティ 適応先例 ※ 多要素認証の要求 アクセス元 仮想マシン Microsoft Entra – 多要素認証 (MFA) リスクの検出と修復の自動化 アクセス元 仮想マシン Microsoft Entra – Identity Protection アクセス元 仮想マシン Microsoft Entra - 条件付きアクセス 端末セキュリティ管理 仮想マシン Microsoft Defender for Endpoint P1 セキュリティ推奨設定 仮想マシン Microsoft Intune – セキュリティ ベースライン 高度な分析と自動対応 仮想マシン Microsoft Defender for Endpoint P2 アクセス元へのコピー制限 仮想マシン Windows ポリシー - リダイレクト制限 データ流出の防止 仮想マシン Microsoft Purview データ損失防止 高度なメールセキュリティ 仮想マシン Microsoft Defender for Office 365 仮想マシン Microsoft Defender for Cloud Apps デバイス 許可された端末からのアクセス データ アプリ クラウドサービスの監視・制御 ※ 「適応先例」 はあくまで例となります。例えば アクセス元端末が Windows の場合、クラウド PC と同じセキュリティ機能を適用することも可能です。 131
クラウド PC , AVD の更新管理 • 物理環境の Windows クライアントと同様の更新管理が可能 クラウド (Windows Update) オンプレミス Windows Update Server Service Windows Server の機能 管理者による更新プログラムの選択 Windows Server ライセンス Configuration Manager サーバーパッケージ製品 管理者による詳細設定 Configuration Manager ライセンス Windows Update Client Policy Windows OS の設定 管理者によるポリシー設定 無料サービス Windows Autopatch Windows OS 設定の自動制御 サービスに登録で自動ポリシー作成 (Intune への登録が必要) Windows Enterprise E3 Business Premium おススメ! 132
Windows Autopatch Windows と Microsoft 365 のエコシステムを活用して、 Windows クライアントのアップデート展開を最適化し、 常に最新の状態で提供する新たに設計されたサービス 更新プログラム – 管理対象 Windows - 機能・品質更新、ドライバーとファームウェア Microsoft 365 Apps Microsoft Edge 必要ライセンス Windows Enterprise E3 Microsoft Intune P1 Microsoft Entra ID P1 以上 133
理解度チェック:AVD のセキュリティ制御 AVD環境で Microsoft Entra ID による認証を用いた場合、以下のうち設定可 能なセキュリティ制御はどれですか? ① ユーザープロファイルの暗号化設定 ② ユーザーが使用するVMサイズの制限 ③ 条件付きアクセスによる多要素認証の適用 ④ セッションホストOSの自動パッチ適用 134
第7章 まとめ
まとめ:仮想デスクトップ ソリューションの比較 オンプレミス VDI Azure Virtual Desktop Azure Virtual Desktop Windows 365 ユーザー 快適性 複数人でハードをシェア 基本オンプレミスからの接続のみ 複数人で仮想マシンをシェア 仮想マシン稼働中はアクセス可 占有で管理者権限も付与可 仮想マシン稼働中はアクセス可 占有で管理者権限も付与可 常時稼働でいつでもアクセス可 設計 展開 導入後の増強なども考慮し 入念なサイジング・設計が必要 パフォーマンスを意識した設計 多様なサイジングと詳細な展開設定 仮想マシンを意識した設計 一般的なスペックと展開設定 既存 PC と同様の設計 シンプルな項目ですぐに展開 ハード コスト 初期導入コストは高いが 大規模運用では単価が下がる スペックと利用用途に依存 集約するため単価はおさえられる 1 台当たりの単価は上がる 稼働時間に依存 1 台当たりの単価は上がる 1 ヵ月単位の固定コスト 運用 コスト ハードおよびソフトウェアの 運用保守が必要 ソフトウェアの運用保守 ハードウェア面は考慮不要 ソフトウェアの運用保守 ハードウェア面は考慮不要 既存の PC と同様に管理可 ハードウェア面は考慮不要 (マルチ セッション) (シングル セッション) 136
研修の概要と目的(再掲) • 今日の企業活動において、リモートワークやハイブリッドワークは「一時的な対応」から「当 たり前の働き方」へと進化しています。これに伴い、IT部門は 利便性 と セキュリティ の両 立という新たな課題に直面しています。 • Windows 365 と Azure Virtual Desktop(AVD)は、クラウドベース の仮想デスクトップソリューションとして、リモートワーク環境の最適化と、セ キュアなアクセスを提供します。本研修では、Windows 365 と AVD の 導入に必要な基本知識を習得し、業務環境での活用方法について学 びます。 • 以上のトピックを通じて、次の内容の理解を目指します • Windows 365 / AVD と類似のサービスとの 違いを 説明できるようになる • Windows 365 と AVD の基本的な構成と導入方法を 理解する • Windows 365 または AVD を活用した安全かつ効率的なクラウドデスクトップ環境の 提案・検討 ができるようになる • エンドユーザーの利便性とセキュリティの両立を実現するためのベストプラクティスを 習得する 137
Windows 365 vs Azure Virtual Desktop (再掲) Windows 365 Business Windows 365 Enterprise / Frontline Azure Virtual Desktop コスト 定額 定額 ① ライセンス:定額 + リソース:従量 ②予約プランの利用が可 ※Azure セッション シングルセッション シングルセッション ③ シングルセッション or マルチセッション 利用可能なワークスペース (OS) Windows 10 / 11 Windows 10 / 11 Windows 10 / 11 , Server④ OS 〇 〇 マスターイメージのカスタマイズ ※M365 Apps は別途ライセンスが必要 ※M365 Apps や Teams は導入済み アプリ展開 , ポリシー管理 Intune GPO / Intune GPO / Intune アプリアタッチ /⑤ RemoteApp 利用できるプラットフォーム クラウド クラウド ⑥ クラウド or オンプレミス (Azure Local) Azure の必要性 不要 不要 ユーザー上限 300 ⑧ 制限なし 制限なし Microsoft Entra Join 〇 〇 △ ※Intune は、別途ライセンスが必要 Active Directory ドメイン参加 ※M365 Apps や Teams は導入済みを選択可 ※オンプレミス や Azure仮想ネットワーク ⑦ との接続には 必要 〇 ユーザープロファイルのローミング なし(ローカルのみ) あり Windows 365 Link の利用 〇 〇 主要な管理画面 Intune 管理センター 難易度、複雑さ 低、簡単 ⑬ ⑩ ※M365 Apps や Teams は導入済みを選択可 必要 ※既知の制限あり ⑨ 〇 ⑪ あり(FSLogix が利用できる) ⑫ Intune 管理センター Azure Portal 中、中間 高、難しい 138
Windows 365 vs Azure Virtual Desktop (再掲) Windows 365 Business Windows 365 Enterprise / Frontline Azure Virtual Desktop コスト 定額 定額 ライセンス:定額 + リソース:従量 ※Azure 予約プランの利用が可 セッション シングルセッション シングルセッション シングルセッション or マルチセッション 利用可能なワークスペース (OS) Windows 10 / 11 Windows 10 / 11 Windows 10 / 11 , Server OS 〇 〇 マスターイメージのカスタマイズ ※M365 Apps は別途ライセンスが必要 ※M365 Apps や Teams は導入済み アプリ展開 , ポリシー管理 Intune GPO / Intune GPO / Intune アプリアタッチ / RemoteApp 利用できるプラットフォーム クラウド クラウド クラウド or オンプレミス (Azure Local) Azure の必要性 不要 不要 ユーザー上限 300 制限なし 制限なし Microsoft Entra Join 〇 〇 △ 〇 〇 あり(FSLogix が利用できる) ※Intune は、別途ライセンスが必要 Active Directory ドメイン参加 ※M365 Apps や Teams は導入済みを選択可 ※オンプレミス や Azure仮想ネットワーク との接続には 必要 ※M365 Apps や Teams は導入済みを選択可 必要 ※既知の制限あり ユーザープロファイルのローミング なし(ローカルのみ) あり Windows 365 Link の利用 〇 〇 主要な管理画面 Intune 管理センター Intune 管理センター Azure Portal 難易度、複雑さ 低、簡単 中、中間 高、難しい 139
ケーススタディ: あなたが実際に担当するクライアントへ 仮想デスクトップソリューションを提案するこ とになったと仮定してください。 Windows 365 Business / Enterprise / Frontline / AVD いずれかの推奨する ソリューションを1つ選択して、Entra or AD の認証方式も選択してください。 そして、なぜ クライアントへ そのソリューションを提案したのかを説明してください。 通常、クライアントは、以下のようなことを気にします。 - 新規導入か、既存VDIからの移行か? - 現在の業務アプリが利用できるか? - 情報システム部門の規模やスキルレベルで維持運用が可能か? - コスト構造(定額課金と従量課金)は企業文化に合っているか? - クライアントのセキュリティポリシーが踏襲されているか? - 今後の拡張性や柔軟性は? 140
ケーススタディ: (グループワーク) 1.個人で クライアントのニーズを考慮して 提案する内容を検討(10分間) 2.グループワークで、コンサルタント役 と クライアント役 に分かれて、5分間提案、 5分間 のフィードバック を想定し、10分ずつ 人数分繰り返してください(計30分間) 3.各チームの代表者を決めて、発表していただきます 141