NOBTAの気ままにITブログ

Azure全般 / SQL Serverに関する情報を発信していきます。

【保存版】Azure Virtual Desktop (AVD) 構築手順

Azure AVD Tips

スポンサーリンク

リモート ワークの広がりに伴い、DaaS (Desktop as a Service) ソリューションの導入を検討されている方も多いのではないかと思います。

Azure、AWS、Google Cloud、OCI の各種クラウドサービスにおいても、

  • VMware サービス (VMware Horizon Cloud on Microsoft Azure, VMware Cloud on AWS, Google Cloud VMware Engine, Oracle Cloud VMware Solution)
  • Citrix サービス (Citrix Virtual Apps and Desktops for Azure, Citrix Virtual Apps and Desktops サービス on AWS)

などの DaaSを展開しています。

今回は、Azure で提供されている DaaS の一つである Azure Virtual Desktop (AVD) を構築する方法について、自分の整理も兼ねて、まとめてみようと思います。

 

【構築完成イメージ】

f:id:nobtak:20211218223855p:plain

<構成>

  • Azure AD Connect による Active Directory - Azure Active Directory 間の同期
  • Azure Active Directory - Azure Active Directory Domain Services 間の同期
  • Windows 10/11 マルチセッション
  • ユーザープロファイルの保管先は Azure ファイル共有 (FSLogix 利用)

※ 今回、Active Directory および Azure AD Connect サーバーを簡易に構築するため、Azure 仮想マシン上で構築しています。

 

 

Azure Virtual Desktop (AVD) のメリット

Azure Virtual Desktop (AVD) とは、マイクロソフトが提供している仮想デスクトップ (VDI : Virtual Desktop Infrastructure) サービスであり、本サービスをクラウドで提供しているため、DaaS (Desktop as a Service) の一つとなります。 

 

【メリット】

  •  Windows 10/11 Enterprise マルチセッション機能
  •  Windows 7 ESU(Extended Security Updates:拡張セキュリティ更新プログラム)の無償提供
  •  Microsoft 365 E3/E5、Windows 10 Enterprise E3/E5 などのライセンスを保持している場合、すぐにAVDを使用可能
  •  AVD上で動作する仮想マシンと Microsoft 365 は マイクロソフトのバックボーンネットワークで通信が行われるため、高速にアクセスが可能

※ 特に「Windows 10/11 Enterprise マルチセッション機能」は、DaaS の中で唯一、Azure Virtual Desktop ホストプール上に展開された Windows 10/11 (仮想マシン) を、複数ユーザーで共有することが可能となり、複数ユーザーで1台の仮想マシンを共有させることで、コンピュート費用を削減できるもようです。

 

なお、 Citrix Virtual Apps and Desktops for Azure では、AVD ワークロードを制御する「AVD コントロール プレーン」機能を保有し、更に以下のメリットを享受することができるもようです。

 

【メリット (Citrix Virtual Apps and Desktops for Azure)】

  • Auto Scale 機能による適正仮想マシン起動数制御 (VMコスト軽減)
  • HDX(high definition experience)テクノロジーによる画面転送パフォーマンスの最適化 (アウトバウンドトラフィックの軽減)
  • 完全な閉域接続の実現
    ※ AVDの場合、AVD コントロール プレーン との通信でパブリック ネットワークへの通信が必要となる。
  • ロケーションに応じた最適な接続
  • マスターイメージの更新機能

 

Azure Virtual Desktop (AVD) 構築

事前準備

Azure Virtual Desktop (AVD) を今回の構成で構築するために、以下を準備します。

  • Azure 無償/有償 サブスクリプション
    ※ Azure サブスクリプションを保持していない場合は、以下の URL から Azure 無償 サブスクリプションを発行します。

 

  • Microsoft 365 無償/有償 サブスクリプション
    ※ 今回は「Microsoft 365 Business Premium」の試用版を使用します。

「Microsoft 365 Business Premium」の試用版ライセンスの発行方法については、以下の URL を参照

 

  • Azure Active Directory (AAD) カスタムドメイン設定

    ※ Active Directory と Azure Active Directory 間を同期するため、今回は Active Directory (Azure 仮想マシン上にデプロイ) で構築したドメイン名と同じドメインを用意し、Azure Active Directory のカスタムドメインとして設定します。

    ドメインは、「お名前.com」、「Freenom」などから取得できますが、今回は、Azure ポータル -「App Service ドメイン」からドメインを取得することにします。

カスタム ドメインの詳細な設定方法については、以下の URL を参照

 

[補足]

App Service ドメイン」以外からドメインを取得した場合、Azure DNS でカスタム ドメインをホストするために、ドメイン レジストラー (ドメインの購入元) に対してドメインの委任作業を実施する必要があります。

詳細な設定方法については、以下の URL を参照

 

構築

Azure AD Connect 同期設定

f:id:nobtak:20211220184930p:plain

Azure AD Connect を使用することで、オンプレミス Active Directory と Azure Active Directory 間でアカウントの同期をすることが可能となり、オンプレミス Active Directoryと同じアカウントを使用して、SaaS、PaaS、Azure Virtual Desktop (AVD) へアクセスすることができるようになります。

※ オンプレミス環境とAzure間を ExpressRoute、VPN などで結ぶことで、Azure AD Connect - Azure Active Directory 間の同期処理をプライベート通信で実施することが可能。

※ Azure 仮想マシン上に Active Directory サーバーを構築、もしくは、Azure Active Directory Domain Services (Azure AD DS) + Azure Active Directory でのみアカウントを管理する場合は、Azure AD Connect を設定する必要はないかと思います。

詳細な設定手順については、以下 URL を参照

 

Azure AD Domain Services 構築

f:id:nobtak:20211220185450p:plain

Azure Active Directory Domain Services (Azure AD DS) では、Windows Server Active Directory と完全に互換性のあるマネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos 認証、NTLM 認証など) が提供されます。
今回は、Azure Virtual Desktop (AVD) のホストプールの仮想マシン (Windows 10/11) をドメインに参加させるために、Azure AD DS を構築します。

詳細な Azure AD DS の作成手順については、以下の URL を参照

 

Azure Virtual Desktop (AVD) 用イメージの作成手順

f:id:nobtak:20211220190159p:plain

AVD用イメージの詳細な作成方法については、以下の URL を参照

 

Azure Virtual Desktop (AVD) ホストプール作成手順

[事前作業]

1) Azure Virtual Desktop (AVD) ホストプールの仮想マシンが Azure Active Directory Domain Services (Azure AD DS) のドメインに参加できるよう、AVD ホストプールの仮想マシンがデプロイされる仮想ネットワークの「DNS サーバー」設定を、Azure AD DS で使用される IP アドレス (プライベート IP アドレス) に変更。

 

f:id:nobtak:20211219042725p:plain

 

2) AVD ホストプールの仮想マシンがデプロイされる仮想ネットワークのサブネットからAzure AD DSで使用されるサブネットに対してアクセスができるよう、ネットワーク セキュリティ グループ (NSG) などを適切に設定。

AVD ホストプールの仮想マシンがデプロイされる仮想ネットワークのサブネットに仮想マシンをデプロイし、Azure AD DS のドメインに参加がすることができるか、事前に検証することをお勧めします。

 

参考 URL

 

 

[Azure Virtual Desktop ホストプール 作成手順]

1) Azure ポータルに接続し、「Azure Virtual Desktop」を選択します。 

 

f:id:nobtak:20211219031241p:plain

 

2) 「概要」-「ホスト プールの作成」を選択します。  

 

f:id:nobtak:20211219031402p:plain

 

3) 必要項目を入力後、「次へ : 仮想マシン」を選択します。 

 

 

Azure Virtual Desktop ホストプール パラメータの詳細は、以下の URLを参照。

※ 2022年9月時点では、サービス メタ データについても「東日本」を指定可能になっています。 

 

4-1) 「仮想マシンの追加」:「はい」を選択し、「名前のプレフィック」などの必要項目を入力します。

 

f:id:nobtak:20211219032810p:plain

※ 「名前のプレフィックス」に「avdhostje」と指定した場合、指定した「VM数」に応じて、ホストプール上に「avdhostje-0/avdhostje-1」といった仮想マシンが作成されます。

 

4-2) 「イメージの種類」:「ギャラリー」を選択し、「すべてのイメージを表示」から、「マイ アイテム」-「マイ イメージ」から、AVD用に作成した Windows 10/11 イメージを選択します。 また、「VM 数」(ホスト プール用に作成する VMの数) などの必要項目を入力します。

 

f:id:nobtak:20211219033647p:plain

f:id:nobtak:20211219033933p:plain

 

4-3) 「仮想ネットワーク」に ドメイン コントローラ と通信可能な仮想ネットワークを指定後、「参加するディレクトリを選択する」:「Active Directory」、「AD ドメイン 参加 UPN/パスワード」に、ドメイン コントローラの管理者アカウントの資格情報、およびパスワードを入力後、「次へ:ワークスペース」を選択します。

 

f:id:nobtak:20211219035429p:plain

※ 今回は、Azure Active Directory Domain Services (Azure AD DS) を使用するため、 「参加するディレクトリを選択する」:「Active Directory」を選択し、「AD ドメイン 参加 UPN/パスワード」に、Azure AD DC 管理者グループに属しているアカウント、およびパスワードを指定します。

※「参加するディレクトリを選択する」に「Azure Active Directory」を選択することも可能になっています。

 

5) 「デスクトップ アプリ グループの登録」:「はい」を選択し、「宛先のワークスペース」に任意の名前で登録後、「確認と作成」-「作成」を選択し、ホスト プールを作成します。 

 

f:id:nobtak:20211219040612p:plain

 

[補足]

AVD用仮想マシンを Azure AD DS ドメインに参加するフェーズ (joindomain) が失敗する場合は、「事前作業」で正しく設定できているかを確認すると良いかと思います。

 

f:id:nobtak:20211220191045p:plain

 

デスク トップ アプリケーション グループへ接続ユーザーの登録

Azure Virtual Desktop (AVD) 環境に接続するためには、デスクトップ アプリケーション グループで接続を許可するユーザーを登録する必要があります。

以下に、デスクトップ アプリケーション グループで接続を許可するユーザーを登録する方法を記載します。

 

1) Azure ポータルから「Azure Virtual Desktop」を選択後、「管理」:「アプリケーション グループ」より、作成されたアプリケーション グループを選択します。

 

f:id:nobtak:20211220193417p:plain


2) 「管理」:「割り当て」-「+追加」を選択します。

 

f:id:nobtak:20211220193711p:plain

 

3) Azure Virtual Desktop (AVD) 環境への接続を許可する「ユーザー/グループ」を選択し、「選択」を選択し、割り当てが完了したことを確認します。

 

f:id:nobtak:20211220194012p:plain

 

Azure Virtual Desktop (AVD) 接続手順

Azure Virtual Desktop (AVD) 環境へ接続する方法として、大きく以下の2通りの方法があります。

  • Web クライアントからの接続
  • デスクトップ クライアントからの接続

今回は、「Web クライアントからの接続」により、Azure Virtual Desktop (AVD) 環境へオンプレミスの環境から接続してみようと思います。

 

1) AVD Web クライアント 「https://client.wvd.microsoft.com/arm/webclient/index.html」にアクセスし、ライセンスが付与され、接続が許可されているアカウントでログインします。

 

2) 「SessionDesktop」を選択します。

f:id:nobtak:20211220194656p:plain

 

3) 「ローカル リソースへアクセス」より許可するリソースを選択後、「許可」を選択します。

f:id:nobtak:20211220194816p:plain

 

4) 「ローカル リソースへアクセス」より許可するリソースを選択後、「許可」を選択します。

f:id:nobtak:20211220194951p:plain

 

5) AVD仮想マシンにログインできたことを確認します。

f:id:nobtak:20211220195747p:plain

※ Azure AD DS のグループ ポリシーを利用し、ポリシーを適用することも可能であるため、必要に応じて設定を実施されると良いかと思います。

[参考情報]

 

 

セキュリティ設定

Azure Virtual Desktop (AVD) のセキュリティ設定

Azure Virtual Desktop (AVD) を既定の状態で利用した場合、ファイル転送ができたり、クリップボードの情報をリモートデスクトップ越しにコピーできたりと、セキュアな構成になっていません。

Azure Virtual Desktop (AVD) をよりセキュアに構成するため、「クリップボード」および「ファイル転送」などを禁止することもできます。

 

「クリップボード」および「ファイル転送」などを禁止する詳細な手順については、以下の URL を参照。

 

まとめ

今回は、Azureで提供されている Azure Virtual Desktop (AVD) を構築し、Web クライアントを使用して、オンプレミス環境からAVD仮想マシンに接続する手順についてまとめてみました。

今後は、AVDのもう少し細かいパラメータなどについても確認していこうと思います。

 

※ 2022年9月時点