Azure Managed Service Column ＜Azure運用コラム＞AVD の最適な構成は？具体的な構成要素や構成例、注意点も解説

自社の要件や注意点を考慮して最適な構成パターンを検討しよう

リモートワークが普及するなか、クラウドサービスとして仮想デスクトップ環境を提供する DaaS （ Desktop as a Service ）の一種である AVD （ Azure Virtual Desktop ）の導入を検討している方も多いのではないでしょうか。

AVD をスムーズに導入するには、自社の要件に合う構成を知る必要があります。本記事では AVD の構成要素や具体的な構成例、注意点などについて解説します。

1. AVD の構成要素

AVD は、 Microsoft が提供するクラウドプラットフォーム Microsoft Azure を基盤とする仮想デスクトップサービスです。 AVD を構成する主な要素について紹介します。

AVD ライセンス

AVD を利用するためには、以下のいずれかのライセンスが必要です。

• Microsoft 365 E3 、 E5 、 A3 、 A5 、 F3 、 Business Premium 、 Student Use Benefit
• Windows Enterprise E3 、 E5
• Windows Education A3 、 A5
• Windows VDA （ユーザー単位）

Microsoft Entra ID （旧称 Azure Active Directory ）

クラウドベースの ID 管理サービスで、ユーザー認証やアプリケーションへのアクセス管理機能を提供します。 AVD 環境では、アクセスするユーザーの認証を担います。

AD DS（ Active Directory Domain Services ）

オンプレミスの AD （ Active Directory ）環境を利用している場合に、 AD DS はユーザー情報やグループポリシーなどを管理します。 AVD では AD DS を利用して認証することも可能です。

Microsoft Entra Connect （旧称 Azure AD Connect ）

オンプレミスの AD と Microsoft Entra ID 間の同期を行うためのツールです。オンプレミスとクラウドの認証情報を一致させることができます。

AVD コントロールプレーン

AVD の展開や管理、ユーザーへのサービス提供を行う機能です。このコントロールプレーンの管理は、ユーザーではなく Microsoft が行います。具体的には次のような機能を提供します。

• Web ブラウザを利用して AVD にアクセスする場合の認証やアクセス制御
• クライアントデバイスと AVD との安全な通信経路の提供
• 負荷分散や再接続などのセッション管理
• セッションごとの利用状況の監視

マスターイメージ

セッションホストに展開される仮想マシンのイメージです。 OS やアプリケーション、各種設定など、必要なものをすべてインストールします。

セッションホスト

実際にユーザーが接続し、デスクトップやアプリケーションを提供する仮想マシンです。マスターイメージをもとに作成されます。

2. AVD の構成例

次に、具体的な構成パターンについて解説します。自社の現在の環境や要件に合わせて、適切なものを選ぶことが重要です。

ハイブリッド構成

AVD にアクセスするには、 Microsoft Entra ID 経由でユーザーを検出する必要があります。そのため現在オンプレミスの AD を利用しており、その認証基盤を維持しつつ AVD を利用したい場合、ハイブリッド構成が適しています。

Microsoft Entra Connect を利用して AD DS と Microsoft Entra ID 間でユーザー情報を連携することで、 AD の情報で AVD へのアクセスが可能です。

クラウド専用構成

AVD の認証と管理をすベてクラウド上で完結させたい場合、クラウド専用構成が適しています。 Microsoft Entra ID のみで認証を行うため、サーバー管理等の負荷を減らせることがメリットです。

現在 AD を利用しておらず、新たに認証基盤を構築する場合や、小規模なテストを行いたい場合にも適しています。

ただし、 AVD と連携するシステムのなかに AD 認証が必要なものがある場合、 Azure 上に新規に AD を構築することも可能です。この場合もすべてがクラウド上で完結します。

フェデレーション構成

サードパーティの ID プロバイダを使用してユーザー情報を管理しており、その情報を AVD 認証に利用したい場合は、フェデレーション構成が適しています。 Microsoft Entra ID とフェデレーションすることで認証情報を交換し、外部の認証システムをAVD環境に統合できます。

3. AVD を構成する際の注意点と考慮すべきポイント

最後に、 AVD を構成する際の注意点と考慮すべきポイントについて解説します。

ネットワーク構成

Azure 環境ではインバウンド通信は無料ですが、アウトバウンド通信は従量課金制で料金が発生することに注意しましょう。Azure 内、とくに同一リージョン内での通信は、 Microsoft が管理するバックボーンネットワーク上で行われるためコストが低減されます。

一方、オンプレミス環境と Azure サービス間のデータ転送は、 VPN や ExpressRoute を介して行われるため、コストが高くなりやすいです。構成時にはこうしたネットワーク構成も考慮する必要があります。

セキュリティ

AVD 環境のセキュリティを高めるには、 Microsoft Entra ID の条件付きアクセス機能を利用して、アクセス元の制限や多要素認証などを取り入れることがおすすめです。

また RBAC （ロールベースのアクセス制御）を利用すると、ユーザーごとに必要な権限のみを割り当てられます。セッションホストからの通信を制御したい場合は、 Azure Firewall を利用しましょう。

プロファイル管理

1 つの仮想マシンを複数人で利用するマルチセッション接続の場合、接続するたびに利用する仮想マシンが変わります。この場合でもユーザー固有の設定や保存したファイルなどを引き継ぐには、これらの情報をユーザープロファイルに保存しなくてはなりません。 AVD では、ユーザープロファイルソリューションとして FSLogix が推奨されています。

4. まとめ

AVDには複数の構成要素と構成パターンがあるため、自社の要件に合わせて検討する必要があります。構成次第で通信料金などにも影響するため、注意が必要です。併せてセキュリティ面やユーザーエクスペリエンスも考慮しましょう。ぜひ今回紹介した構成例を参考に、最適な構成パターンを検討してみてください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： AVD Azure Virtual Desktop

• 

  AVD のマルチセッションとは？メリット・デメリットや構築方法を解説

• 

  AVD の Web クライアントとは？機能や利用方法、注意点を解説