Azure Managed Service Column ＜Azure運用コラム＞Hybrid ID 環境 + Azure Virtual Desktop (AVD 旧:Windows Virtual Desktop) を構築してみる

はじめに

コラム Azure Virtual Desktop (旧:Windows Virtual Desktop) を構築してみる にて、Azure Virtual Desktop（以下、AVD） を構築しました。AVD には Active Directory が必要であり、このときは、Azure AD DS を選択しましたが、オンプレ AD DS を選択することも可能です。オンプレ AD DS を利用すれば、いつも社内で使っているユーザ情報で AVD にアクセスができますので、社内 AD 環境をお持ちの方はぜひ、こちらにしましょう。事前に Hyprid ID のコラム Hybrid ID 環境を構築してみる も見ていただくことをオススメします。

Hybrid ID 環境 + AVD のメリット

Azure Virtual Desktop (旧:Windows Virtual Desktop) を構築してみる にて紹介したものと同じです。

• 複数ユーザでの共有が可能な Windows10 マルチセッションの利用ができ、少ない台数の仮想マシンを効率よく利用できる
• ネイティブな Windows10 を利用することができるため、クライアントアプリが期待通りに動作する
• オンプレミス Active Direcory や Microsoft 365 と同一のユーザ情報で認証ができ、ユーザの一元管理が可能になる
• 条件付きアクセスによるきめ細やかなアクセス制御ができる

本コラムでは、3番目のメリットを本コラムで紹介することになります。

システム構成

以下が AVD のシステム構成です。セッションホストがオンプレ AD DS にアクセスできるよう、VPN を張らなければならないことに注意してください。一方で、Azure AD Connect はインターネット経由での通信となります。

構築のポイント (前提条件)

事前に Hybrid ID 環境が用意されている必要があります。Hybrid ID の実現にはたくさんの前提条件がありますので、Hybrid ID 環境を構築してみる を参考にしてください。

AVD を構築する

それでは、AVD を作っていきましょう。今回は、以下の構成とします。

Onprem VNET (オンプレ環境の代替)

• ドメインコントローラ 1台 (Azure VM、Windows 2019)
• Azure AD Connect サーバ 1台 (Azure VM、WIndows 2019)

WVD VNET

• ホストプール

Azure

• Azure AD

1. Hybrid ID 環境を用意する

Hybrid ID 環境を構築してみる を参考に、Hybrid ID 環境を用意します。オンプレ AD DS のユーザが Azure AD に同期されている状態になっていれば OK です。

2. オンプレと AVD のネットワークを接続する

以下のように、AVD 用の VNET を用意しておきます。

次に、WVD VNET と Onprem VNET をピアリングで接続します。実際のオンプレで行うときには、VPN 接続に相当する作業です。

最後に、忘れがちですが重要な工程、WVD VNET 上の DNS サーバ設定にオンプレのドメインコントローラを指定します。VNET の [DNS サーバ] メニューにて、以下のようにドメインコントローラのプライベートアドレスを設定しましょう。これをしないと、セッションホストがオンプレ AD DS ドメインに参加できません。

3. ホストプールを作成する

準備が整ったので、いよいよ WVD のホストプールを作っていきます。基本的には Azure Virtual Desktop (旧:Windows Virtual Desktop) を構築してみる と同じですので、設定値の説明は省きます。

ホストプールの設定です。

セッションホストの設定です。

セッションホストの設定、続きです。ここだけ、注意してください。

[AD ドメイン参加 UPN] にオンプレ AD DS のユーザ情報を入力します。また、@ 以下は代替 UPN サフィックスではなく、実際のドメイン名を指定してください。このユーザ情報を使って、セッションホストはオンプレ AD DS ドメインに参加を試みます。一般ユーザの権限で参加可能ですが、社内運用ルールとしてドメイン参加用のユーザを用意されている方は、それを指定してください。

アプリケーショングループを作成しておきます。

最後に確認をして、作成します。

もし、デプロイ後に以下のようなエラーが出た場合は、ドメイン参加に失敗しています。

{
    "status": "Failed",
    "error": {
        "code": "VMExtensionProvisioningError",
        "message": "拡張機能 'joindomain' の処理中に VM でエラーが報告されました。エラー メッセージ: \"Exception(s) occured while joining Domain 'rworks-azure.tk'\"\r\n\r\nトラブルシューティングの詳細については、https://aka.ms/vmextensionwindowstroubleshoot を参照してください"
    }
}

VPN は接続されているか、ルータ側や OS 側でファイアウォールによる制限がかかっていないか、VNET の DNS 設定は正しいか、ドメイン参加時に入力したユーザ名、パスワードが間違っていないか、などをチェックして再デプロイしてください。

4. アプリケーショングループへのユーザ割り当て

デフォルトのアプリケーショングループに、テスト用ユーザを割り当ててみましょう。Azure AD サービスの画面に移動し、”WVD-loginuser-groups” というグループを作成します。そして、このグループにオンプレ AD DS から同期されたユーザ “testuser01” を追加します。

当然といえば当然ですが、Hybrid ID によってオンプレ AD DS のユーザが Azure AD に同期されたからといって、誰でも勝手に WVD にログインできるようになるわけではありません。どのようなアプリケーションに対して、どのような操作を許可するか、は変わらず管理者のお仕事です。

再び、WVD の画面に戻り、デフォルトのアプリケーショングループに、ユーザグループ “WVD-loginuser-groups” を割り当てます。これで、”testuser01″ ユーザは、このアプリケーショングループのアプリケーションにアクセスすることができるようになりました。

AVD にログインする

構築が完了したので、実際に使ってみましょう。WVD にアクセスする方法は幾つかありますが、まずは Web ブラウザからアクセスしてみます。以下の URL にアクセスしてみてください。
https://rdweb.wvd.microsoft.com/arm/webclient/index.html

Azure AD による認証画面が表示されます。オンプレ AD DS のユーザ “testuser01” の資格情報を入力します。

資格情報を入力すると、アクセス権限のあるワークスペースと、それに紐付いたアプリケーショングループ内のアプリケーションが表示されます。今回は、デフォルトのワークスペース内に “デスクトップ” アプリケーションだけが表示されています。クリックして “デスクトップ” アプリケーションを使ってみましょう。

今度は、デスクトップにログインするための認証画面が表示されます。これには、Active Directory ユーザの資格情報を入力します。AVD にログインするときと同じく “testuser01” でログインします。

Windows10 のデスクトップ画面が表示されました！

まとめ

Hybrid ID 環境の応用例の1つとして、AVD サービスとの連携を紹介しました。社内・社外関係なく、同じユーザ情報で AVD を利用できるというのは非常に便利だと思いますし、管理者からしてもユーザの一元管理ができるというのは大きなメリットだと思います。

さらに、”条件付きアクセス” と組み合わせることで「特定アクセス元 IP からのアクセスのみを許可」「Microsoft が怪しいと判断したアクセスをブロック」「ドメイン参加しているデバイスからのアクセスのみを許可」といったアクセスコントロールが可能です。

これは別コラム 条件付きアクセスでゼロトラストセキュリティを実現する にて紹介します。

Tag： AVD Azure Virtual Desktop Windows Virtual Desktop WVD ハイブリッドID

• 

  Hybrid ID 環境を構築してみる

• 

  条件付きアクセスでゼロトラストセキュリティを実現する