Azure Managed Service Column ＜Azure運用コラム＞Azure Virtual Desktopの構築 その導入方法や最適化、セキュリティとコンプライアンス、運用の注意点を解説

リモートワークの導入に最適なクラウドベースのVDIソリューションであるAVDの構築プロセスやコストを最適化する方法についてわかりやすく解説

一般的な働き方になったリモートワークは多くのメリットを享受できますが、一方でシステムの観点では、ネットワーク環境の構築やオンラインツールの設定、セキュリティの確保など、さまざまな課題が生じています。

Azure Virtual Desktop （以下、 AVD ） は、リモートワーク環境構築ソリューションの一つで、仮想デスクトップ環境を Azure サブスクリプション内だけで作成できるため、ゲートウェイサーバーなどのインフラを構築する必要がありません。

本記事では、業務の効率化や柔軟性の向上に役立つ AVD の概要やメリット、AVD 環境の構築手順やセキュリティのベストプラクティス、起きうる問題、トラブルシューティングを解説します。

1. AVD の概要

AVD は Azure 上で動作するクラウドベース VDI （ Virtual Desktop Infrastructure ）ソリューションです。PC のデスクトップやアプリを仮想化して遠隔利用できるサービスで、接続クライアントは Windows 、 macOS や各社スマートデバイス（ Android、 iOS ）をサポートしています。

AVD 導入により、インターネット接続可能な場所なら社内のどの席でも、自宅や出張先、カフェのような場所でも同じように仕事ができる環境を構築できます。

詳細はこちらをご覧ください。

2. AVDの構築手順と環境の最適化

AVD の環境を構築する手順は、ユーザー認証環境の設定から始まり、ホストプールの作成、アプリケーショングループとワークスペースの作成、利用者アカウントの割り当てに至るまで、以下のように段階的に進行します。

構築手順の概要

AVD 環境構築の手順は以下のとおりです。

ユーザー認証環境の設定

AD 、または Microsoft Entra を用いて利用者アカウントの認証環境を用意します。

ホストプールの作成

シングルセッションの場合は「個人用」、マルチセッションの場合「プール」を選択し、セッションホスト仮想マシンの作成を行います。

ワークスペースとアプリケーショングループの作成

アプリケーショングループはユーザーが使用できるアプリの集合、ワークスペースはアプリケーショングループの集合です。アプリケーショングループを作成した後、ワークスペースに登録します。

利用者アカウントの割り当て

アプリケーショングループに利用者アカウントを割り当てます。これによりユーザーと利用可能なアプリが紐つけられます。

必要なライセンスなど用意すべきもの

AVD 構築には下記が必要となります。

• Azure アカウント
• ユーザー認証のための Microsoft Entra、あるいは AD
• 下記いずれかのライセンス
  – Microsoft 365 E3、E5、A3、A5、F3、Business Premium、Student Use Benefit
  – Windows Enterprise E3、E5、Education A3、A5、VDA
• AVD サービスへのネットワーク接続
• 接続クライアント

責任分界点

Azure の物理インフラや VDI エンジンは Azure 側の管理ですが、以下はユーザーの責任での管理が必要です。

• 仮想マシンなどのユーザーがデプロイしたリソース
• Microsoft Entra や AD 上のユーザー認証情報
• Azure までの接続ネットワーク
• クライアント機器

コスト効率の最適化

AVDは従量課金制なため、使用しない仮想マシンは「停止済み（割り当て解除）」状態にして課金を避けましょう。自動スケーリングやマルチセッションを利用することで、コストを抑えながら効率的に運用できます。

3. セキュリティとコンプライアンス

AVD環境を保護するためには、セキュリティとコンプライアンス要件への対応が欠かせません。ここでは対応策について解説します。

AVD環境を保護するセキュリティのベストプラクティス

多要素認証の導入や、特定の IP アドレス範囲からのアクセスのみを許可する条件付きアクセスの設定は不正アクセス防止に役立ちます。データ持ち出しの防止には USB デバイスの機能無効化が有効でしょう。

通信のセキュリティ強化には Citrix Cloud with AVD や Vmware Horizon Cloud with AVD での閉域網接続が利用可能です。

他にもAzure Security Center を使用しての脅威検出、 Microsoft Defender for Cloud による脆弱性管理もセキュリティ強化に役立ちます。

コンプライアンス要件への対応

Azure Monitor による使用状況の監視や、ユーザーと管理者のアクティビティ監査のために監査ログの収集を行うことはコンプライアンス強化に有効です。

4. AVD 環境における一般的な問題とトラブルシューティング

ここではAVD 構築時のよくある問題と解決策を紹介します。

AVD を構築する際、仕組み上注意すべき点

AVD ではクライアント側で受信ポートを開く必要はありません。むやみにポートを開くとセキュリティ上のリスクを増やすことになりますので注意しましょう。

Windows 環境を 1 人で占有するシングルセッションの場合は仮想デスクトップの管理者権限を付与できます。しかし、複数人共用のマルチセッションではユーザーに管理者権限を付与することはできません。

また、リソースを過剰に使用してしまうユーザーが他のユーザーに悪影響を及ぼすおそれもあります。

AVD 環境で遭遇しうる問題と解決策の例

リモートのリソース表示がされない

パスワード間違いや AVD に使用するものとは別のアカウントでサインインしているなど単純な原因でなければ、サブスクリプションを別の Microsoft Entra テナントに移動した場合が考えられます。ユーザーをアプリケーショングループに再度割り当てすることでこの問題を解決できます。

リモートデスクトップクライアントや Azure Virtual Desktop Store アプリが応答を停止

ユーザーデータのリセットによりクライアントのデフォルト設定が復元され、問題の解決に役立つ場合があります。

登録トークンの問題で接続不可となる

接続を行わないまま登録トークン証明書の有効期限 90 日を過ぎると接続不可となります。その際はホストプールから VM を削除し、エージェントの再インストール後に VM をプールに再登録しましょう。

問題解決に役立つサービスの紹介

• Azure Virtual Desktop Insights を用いると、 AVD の様々な分析情報の取得、監視、アラートの発出が可能です。
• Azure Service Health では AVD サービスの問題と正常性に関するアドバイザリを見ることができます。
• App Assure はアプリの互換性問題のために設計されたサービスで、 AVD で実行するアプリで発生した問題の解決に役立ちます。

5. まとめ

この記事では、 AVD の概要や環境構築手順、セキュリティのベストプラクティス、トラブルシューティングなどを解説しました。

AVD を使用することで、少ないコストと運用の手間で安全で快適なリモートワーク環境を構築でき、企業のより良い働き方が実現可能となります。

VDI の構築を行った経験があり Azure の知見もある場合、 AVD の構築と運用は問題なく実施可能でしょう。もしスキルや経験に不足を感じる場合は、ノウハウを持ったプロの力を借りることもできます。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： AVD AVD 構築

• 

  Microsoft Entra IDのパスワードポリシーとは？セキュアなアクセスを実現するポイントを解説

• 

  AVDで必要なライセンスとは？Azure Virtual Desktop（AVD）のライセンスに関するベストプラクティスを解説