AVDで学ぶ仮想デスクトップ 基礎理解から現場で役立つヒント集

AVDで学ぶ仮想デスクトップ ～ 基礎理解から現場で役立つヒント集 ～

自己紹介

YonaYona Azure Club

Welcome to the YonaYona Azure Club！ What's YonaYona Azure Club ？ YonaYona Azure Clubは”夜な夜な”集まって ゆるく、楽しくMicrosoft Azureを活用するユーザ が集うコミュニティです。 夜開催メイン オンライン開催 Azureを楽しく学びましょう！！

アジェンダ 普段はLTを３回、１時間 今回はLT×３回を45分の間に行います 1. Azure Virtual Desktopの基本 2. よく使う機能の落とし穴 3. セキュリティ関係のあれこれ

YonaYona Azure Club Azure Virtual Desktopの基本 2025/10/12 Yuya

目次 1. Azure Virtual Desktopとは？ 2. 接続方式 3. アーキテクチャ

Azure Virtual Desktop(AVD)とは？ Microsoft が提供するクラウド型仮想デスクトップです。 使用例：テレワーク

Azure Virtual Desktop(AVD)とは？ 使いかたは大まかにこんな感じです ③画面が表示される！ ①ユーザ認証 ②このボタンを押す

Azure Virtual Desktop(AVD)とは？ 接続元のデバイスはスマホでもOKです ③画面が表示される！ ①ユーザ認証 ②このボタンを押す

Azure Virtual Desktop(AVD)とは？ 接続するアプリケーションは今後こんな感じになります Windows アプリを使用して Windows デバイスとアプリに接続する - Windows App | Microsoft Learn

• https://learn.microsoft.com/ja-jp/windows-app/get-started-connect-devices-desktops-apps?tabs=windows-avd,windows-w365,windows-devbox,macos-rds,macos-pc&pivots=azure-virtual-desktop

接続方式

接続方式 仮想デスクトップの接続方法は一般的には２つ VDI方式 SBC方式

接続方式 AVDの接続方法も２つ シングルセッション セッションホスト マルチセッション

接続方式 SBC方式とマルチセッションの違い マルチセッションはクライアントOSに限りなく近いOS SBC方式 マルチセッション サーバOS Window 11 マルチセッション Windows Enterprise マルチセッションに関する FAQ - Azure | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/virtual-desktop/windows-multisession-faq#----------windows-enterprise------------------------------------

接続方式 Windows 11 Enterprise multi-session サーバOSだと使えなかったあのアプリケーションが使える可能性が上がる 見た目はWindows 頭脳はWindows Server ProductType３ Windows Enterprise マルチセッションに関する FAQ - Azure | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/virtual-desktop/windows-multisession-faq#----------windows-enterprise------------------------------------

接続方式 【参考】PcroductType マルチセッションはクライアントOSに近い。しかし、ProductTypeまで参照されるとサーバと認識されちゃう 例 ワークステーション ProductType Windows 11 Home Windows 11 pro 1 ドメインコントローラー Windows Server （Active Directory） 2 サーバ 3 Windows Server（Active Directory以外） Win32_OperatingSystem クラス - Win32 apps | Microsoft Learn

• https://learn.microsoft.com/ja-jp/windows/win32/cimwin32prov/win32-operatingsystem

アーキテクチャ

Azure Virtual Desktopのアーキテクチャ Learnで紹介されている例 エンタープライズ向け Azure Virtual Desktop - Azure Architecture Center | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/architecture/example-scenario/azure-virtual-desktop/azure-virtual-desktop#architecture

Azure Virtual Desktopのアーキテクチャ 代表的なものを簡単に紹介 AVDコントロールプレーン 仮想デスクトップへの接続なんかを制御 ※コントロールプレーン：Microsoftが管理しているやつ エンタープライズ向け Azure Virtual Desktop - Azure Architecture Center | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/architecture/example-scenario/azure-virtual-desktop/azure-virtual-desktop#components-that-microsoft-manages

Azure Virtual Desktopのアーキテクチャ 代表的なものを簡単に紹介 IDシナリオ 仮想デスクトップへ接続する際 ユーザ認証をするために必要 Azure portal上でのアイコン Entra ID Entra Domain Services エンタープライズ向け Azure Virtual Desktop - Azure Architecture Center | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/architecture/example-scenario/azure-virtual-desktop/azure-virtual-desktop#components-that-microsoft-manages

Azure Virtual Desktopのアーキテクチャ 代表的なものを簡単に紹介 セッションホスト ユーザが接続する仮想デスクトップを提供するサーバ エンタープライズ向け Azure Virtual Desktop - Azure Architecture Center | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/architecture/example-scenario/azure-virtual-desktop/azure-virtual-desktop#components-that-microsoft-manages

Azure Virtual Desktopのアーキテクチャ 代表的なものを簡単に紹介 ストレージ ユーザプロファイル※を格納 ※ブラウザのお気に入り情報みたいなやつ Azure portal上でのアイコン Azure NetApp Files Azure Files エンタープライズ向け Azure Virtual Desktop - Azure Architecture Center | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/architecture/example-scenario/azure-virtual-desktop/azure-virtual-desktop#components-that-microsoft-manages

Azure Virtual Desktopのアーキテクチャ 登場したサービス達 コントロールプレーン IDシナリオ Entra ID セッションホスト Entra Domain Services ストレージ Azure NetApp Files Azure Files

まとめ 1. Azure Virtual Desktopとは？ ⇒仮想デスクトップ 2. AVDのいいところ ⇒マルチセッションOS 3. アーキテクチャ ・コントロールプレーン ・認証 ・セッションホスト ・ストレージ

１回目のLT終了！

17:30～開始

Azure Virtual Desktop よく使う機能の落とし穴 YonaYona Azure Club Yuya

目次 ①IDシナリオ ②スケーリングプラン ③可用性ゾーン

01 IDシナリオ

IDシナリオ Entra IDのみ Entra ID＋ADDS EntraID＋ Entra Domain Services 簡単！ ADサーバの学習に◎ ADサーバは分かる人はこちらが楽です 【AVD】IDシナリオの基本 #初心者 - Qiita

• https://qiita.com/yuyanz/items/c50140707b8d0dc869dd

Entra IDのみ AVDを構築する際 ユーザプロファイルの制御をすることが多いです。 その際必ず通るのが「FSlogix」 Entra IDのみ Entra IDのみの場合 この「FSlogix」をサポートしていません。 ※方法が無いわけではないが、サポート外

02 スケーリングプラン

スケーリングプラン 指定した時間にセッションホストを自動で起動・停止させるAVDの運用設定 使用しない時間はコストを削減

スケーリングプラン ■スケーリングプランの設定 • ランプアップ 最低限の台数を起動・待機 • ピーク時/ピーク時以外 利用者が多い時間帯/少ない時間帯にセッション数に応じて台数を増減 • ランプダウン 業務終了時など、ホストを減らしていく設定 強制ログオフをしてホストを落とすことも可能

スケーリングプラン 全台停止は実は条件がある ■ランプダウン セッションホストの台数が1台->0台となる場合のみ 「セッション数」が０である必要がある 最後の１台は １人でも接続してると停止できない ０人になったら停止できる ■全台停止したい場合 スケーリングプランでは無理 解決策⇒VMの自動シャットダウン、 GPO、Azure Automation

03 可用性ゾーン

可用性ゾーン ゾーン障害の対策が可能 可用性ゾーンは３つ ゾーン１ ゾーン２ ゾーン３ 西日本リージョン どこか１つ壊れてもOK！ 東日本リージョン ゾーン１ ゾーン２ ゾーン３

可用性ゾーン 設定方法は２つ 1.ゾーン冗長デプロイ 2.ゾーンデプロイ

可用性ゾーン

可用性ゾーン

可用性ゾーン AVDとの関係性 ■ CPU/メモリの領域の確保 スケーリングプランでセッションホストを自動起動する際 起動時にCPU/メモリの領域を確保する 領域の確保に失敗すると“Allocation failed”エラーが出る

可用性ゾーン AVDとの関係性 ■ セッションホストにて可用性ゾーン１指定 リソース100％使用中！ ゾーン１のCPU/メモリを確保しようとする 起動できない （ Allocation failed) ゾーン１ リソース30％使用中！ ゾーン２

可用性ゾーン ■結論どうすれば？ ゾーンデプロイの場合 可用性ゾーンを指定しないほうがよい ■もしAllocationFailedになったら 1. 割り当てを再試行 2. VMサイズを変更 3. リージョン、ゾーンを変更 ※「可用性セット」や「近接配置グループ」など CPU/メモリの領域確保に制約をかけるものはAllocation failedリスクを高めます

夜な夜な楽しくAzureを学ぶ YonaYona Azure Club [開催地] オンライン(Teams) [時間]21:00～ [連絡先Xアカウント] @yuyanz_ [connpass] https://yonayona.connpass.com Allocation failedの記事

２回目の LT終了！

17:45開始 よなくま ♪普段は音楽を流しています

Yon a Yon a Az u r e C lu b 2025年10月12日 Azure Virtual Desktop セキュリティ関係のあれこれ

はじめに ①AVDに接続させない方法 ②AVDで情報を持ち出す方法 ③おまけ

はじめに ①AVDに接続させない方法 ②AVDで情報を持ち出す方法 ③おまけ

AVDに接続させない方法 １．インターネット経由の接続を禁止 ２．特定ユーザのみ許可 ３．特定デバイスのみ許可

AVDに接続させない方法 １．インターネット経由の接続を禁止 Azure Virtual Desktop with Private Linkを使用する AVDの設定画面より 「パブリックアクセスを無効にし、プライベートアクセスを使用する」にチェック ※RDP Shortpathでは禁止できません。 ※Entra IDへのアクセス禁止ではなく、AVDアクセス禁止です。

AVDに接続させない方法 ２．特定ユーザのみ許可 条件付きアクセスを使用する（多要素認証と合わせると更に◎） 例えば ・特定IPアドレスからのアクセスのみを許可 ・全員拒否、特定グループを除く ※条件付きアクセスはロックアウト（すべてのユーザがアクセスできなくなること）がありえます。 ※レポート専用モードで確認するとよいです。

AVDに接続させない方法 ３．特定デバイスのみ許可 条件付きアクセスとIntuneを使用する Inutuneに登録したデバイスのみログイン可能な状態を作れる

はじめに ①AVDに接続させない方法 ②AVDで情報を持ち出す方法 ③おまけ

AVDで情報を持ち出す方法 １．リダイレクト ２．接続されたネットワーク ３．AVDを踏み台にする

AVDで情報を持ち出す方法 １．リダイレクト ２．接続されたネットワーク ３．AVDを踏み台にする

AVDで情報を持ち出す方法 １．リダイレクト クライアントとAVDとの間でデータを行き来させることができる データをローカルにコピー USBで持ち出し

AVDで情報を持ち出す方法 １．リダイレクト 2025年7月 リダイレクトはデフォルトでセキュリティの高い状態に データをローカルにコピー ※手動でリダイレクト設定を変更可

AVDで情報を持ち出す方法 １．リダイレクト ２．接続されたネットワーク ３．AVDを踏み台にする

AVDで情報を持ち出す方法 ２．接続されたネットワーク 接続されているネットワーク経由での持ち出し ※当たり前ではありますが VNet 持ち出したいストレージ にデータアップロード セッションホスト 意図しない接続先

AVDで情報を持ち出す方法 ２．接続されたネットワーク 必要な通信に制御 Azure Firewall NSG

AVDで情報を持ち出す方法 ２．接続されたネットワーク AVDに必要な通信はAzure Firewallに阻害させないほうがよい UDRでWVDのサービスタグ通信をFirewallに向けないように VNet UDRで直接通信 FW制御 許可した通信 意図しない接続先

AVDで情報を持ち出す方法 １．リダイレクト ２．接続されたネットワーク ３．AVDを踏み台にする

AVDで情報を持ち出す方法 ３．AVDを踏み台にする テナントAのAVDからBのAVDやM365（OneDrive等）に接続して持ち出す FirewallはAテナントのAVD通信用に許可しちゃってる データコピー オンプレミス テナントAのVNet テナントB M365 セッションホスト セッションホスト 意図しない接続先

AVDで情報を持ち出す方法 ３．AVDを踏み台にする 「テナント制御」を入れることで解決 ※当然ですが、テナントBの設定は制御できない オンプレミス テナントAのVNet データコピー テナントB M365 セッションホスト セッションホスト 意図しない接続先

はじめに ①AVDに接続させない方法 ②AVDで情報を持ち出す方法 ③おまけ

おまけ その他セキュリティ関係用語 • Microsoft Defender • Windows Update • 認証情報保護 ・・・ WindowsOSに保存される認証情報保護 • フォレンジック エビデンス ・・・ ユーザ操作ログ・キャプチャを記録 • 画面キャプチャ保護 • 透かし

ありがとうございました! 質問事項がありましたら、お気軽にご連絡ください! YonaYona Azure Club

終了！ 1. Azure Virtual Desktopの基本 2. よく使う機能の落とし穴 3. セキュリティ関係のあれこれ

YonaYona Azure Club ■豪華ゲスト Microsoft Japan Microsoft MVP つよつよエンジニア ■初心者でも発信しやすい場 イベント名「Beginner Talk Night」 などなど色々なAzureの話を 聞ける・話せる場があります！ 登壇用フォーム 登壇者はカメラOFFでも可 まずは登壇について相談したいというかたも是非フォームへ登録お願いします！

YonaYona Azure Club Azureをゆるっと学ぶ会

YonaYona Azure Club 第４回イベント Azure をゆるっと学ぶ会 １０月２３日（木） ２１: ００～

Thank you!!

YonaYonaAzure Club