Azure Managed Service Column ＜Azure運用コラム＞AVDとIntuneを併用しよう！デバイス管理とセキュリティの課題を解決

リモートワークを効率的かつ安全に推進するためのソリューションを解説

AVD（ Azure Virtual Desktop ）とは、 Microsoft が提供するデスクトップ仮想化サービスです。場所を問わずに仮想デスクトップへアクセスできるため、リモートワークにも適しており普及が進んでいます。

一方で、デバイス管理を適切に行わないとセキュリティリスクが発生する懸念があります。この解決策となるのが、 AVD と同じく Microsoft が提供するデバイス管理サービスの Microsoft Intune と組み合わせることです。

本記事では AVD と Intune それぞれの特徴や併用するメリット、方法などについて詳しく解説します。

1. AVD（ Azure Virtual Desktop ）とは

AVD（ Azure Virtual Desktop ）とは、 Microsoft Azure のサービスの一つで、仮想デスクトップ環境をクラウドサーバーから提供するものです。 DaaS （ Desktop as a Service ）の一種にあたります。

通常自社で仮想デスクトップ環境を構築するには専門知識や一定の初期コスト、構築期間が必要ですが、 AVD はサービスとして提供されるためすぐに利用を開始できることがメリットです。

AVD を利用すればオフィス以外からでもデスクトップ環境にアクセスできるため、リモートワークの普及とともに導入が拡大しています。

図版出典：Microsoft 公式サイト

AVDのマルチセッション接続

AVD の最大の特徴ともいえるのがマルチセッション接続機能です。 マルチセッション接続とは、一台の仮想マシンを複数のユーザーで利用する方式を指します。

数ある DaaS のなかでも、唯一 AVD は Windows 10/11 OS のマルチセッション接続に対応しています。マルチセッション接続の最大のメリットはコストの削減であり、大規模な環境への導入にも適していることが特徴です。

AVDの課題

AVDを利用すると、さまざまな場所やデバイスから業務を行うためのデスクトップ環境へアクセスできるようになり利便性が向上します。

一方で、AVDへ接続するデバイスやセッションホストの管理責任はユーザー側が担うため、適切に管理しなければ大きなセキュリティリスクが発生することに注意しなければなりません。

不正アクセスやウイルス感染などを防ぐためには、適切にデバイスを管理する必要があります。そのために有効なのが次に解説する Microsoft Intune の活用です。

2. Microsoft Intune とは

Microsoft Intune とは、Microsoft が提供するクラウドベースのデバイス管理サービスです。企業が保有する PC やスマートフォン、タブレットなどのさまざまなデバイスやアプリケーションを制御できます。

Intune の代表的な機能としては次のようなものがあります。

• 登録されたデバイスの管理（どのユーザーがどのデバイスを利用しているかなど）
• 更新プログラムの管理
• アプリケーションの管理
• セキュリティ対策

図版出典：Microsoft 公式サイト

AVD のマルチセッションにも対応

Intune は AVD にも対応しており、 AVD に接続するデバイスやセッションホストを登録することで一元的に管理することが可能です。これまでは単一セッションのみをサポートしていましたが、 2023 年 7 月からマルチセッションにも対応しました。

Intune に登録することで物理マシンも仮想マシンも一元的に管理できるようになるため、 AVD 環境の管理の煩雑さやセキュリティリスクを軽減するために役立ちます。

3. AVD と Intune を併用するメリット

AVD と Intune を併用することで得られるメリットは次のとおりです。

デバイス管理の効率化

AVD への接続元となる物理デバイスや仮想マシン、セッションホストなどを管理画面から一元的に管理できます。 Intune から更新プログラムやアプリケーションの配信・削除などもできるため、運用管理を大幅に効率化することが可能です。

セキュリティ強化

Intune に登録することで、セキュリティやコンプライアンス、デバイス構成などのポリシーをデバイスに適用できるようになります。

特に条件付きアクセス（アプリへのアクセスに対してさまざまな条件を定義し、適切なアクセス制御を実装する Azure AD の機能）を利用することで、アクセスを許可する場所や条件などを柔軟に指定できます。これにより細かなセキュリティ要件にも対応しやすいことがメリットです。

データの保護

たとえば企業が貸与するデバイスではなく、個人デバイスを業務に使用する場合（ BYOD・Bring Your Own Device ）、 Intune では個人用プロファイルと別に会社用プロファイルを作成して外部とのデータ共有を制限するといった制御もできます。情報流出のリスクを削減してデータを保護することで、柔軟なデバイスの利用が可能になります。

4. AVD 環境に Intune を導入する方法

すでにAVDを運用している場合に、 Intune を導入する一般的な手順について解説します。

1. Intuneの有効化
まずは Azure AD テナントで Intune のライセンスを有効にします。

2. MDM機関の確認
Intune 管理センターにアクセスし、「デバイス＞ MDM 機関の選択」ページから「 Intune MDM 機関」を選択します。

3. 自動登録設定
Intune 管理センターの「デバイス＞デバイスの登録＞自動登録」から「 MDM ユーザースコープ」を「一部」もしくは「すべて」を選択します。（一部を選択した場合、特定のグループのみ自動登録されます。）

上記の手順を行うと、既存の AVD セッションホストや新規に Azure AD へ参加するデバイスは Intune へ自動登録されます。ただし既存のデバイスや Azure AD に参加していない端末は手動で Intune に登録する必要があるので注意しましょう。

5. まとめ

AVD は簡単に VDI を利用でき、マルチセッション接続が可能なサービスであるためリモートワークに最適です。また Intune を組み合わせることで、利便性を保ちつつデバイスの安全性を高められます。リモートワーク環境に課題を抱えている方は、ぜひAVDとIntuneの併用について検討してみてはいかがでしょうか。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： AVD Intune

• 

  シンクライアントをIntuneで管理できる？必要な機能と具体的な登録・管理方法について解説

• 

  AVDへ移行するには？AzureでオンプレVDIの課題を解決