サードパーティ製IDaaSのユーザ情報をAzure Virtual Desktop（AVD）で利用する方法 | クラウド導入・システム運用ならアールワークスへ

サードパーティ製のIDaaSのユーザ情報をAzure Virtual Desktop（AVD）で利用する方法を解説

2022.08.12

IDaaS と AVD を活用して、柔軟な働き方と業務効率化の実現する
1. 外部 IDaaS のユーザ情報を AVD で利用する方法
- AVD とは
- Azure AD とは
2. [Step1] 外部 IDaaS から Azure AD への移行
- 2.1 Microsoft Graph とは
- 2.2 Microsoft Graph による ID 移行方法
3. [Step2] AVD と Azure AD の連携
- 3.1 AVD と Azure AD との連携
- 3.2 AVD とオンプレミス AD DS との連携
4. 必要なライセンス
5. まとめ
Azure の導入を相談する

IDaaS と AVD を活用して、柔軟な働き方と業務効率化の実現する

クラウドの普及に伴い、クラウドメールやオンラインストレージなど、複数のクラウドサービスを併用する企業が増えています。

その中で導入が進んでいるのが IDaaS です。IDaaS とはクラウド上で ID 認証、パスワード管理、シングルサインオン（ SSO ）、アクセス制御などを提供する SaaS 型のサービスです。SSO 機能により、一度の認証で事前に登録・連携しているクラウドサービスが全て利用可能となり、業務の効率化に貢献します。そのため、多くのベンダが IDaaS を提供しています。

また、柔軟な働き方を実現するための基盤として仮想デスクトップ（ VDI ）も注目されています。その中でも Microsoft 製品と相性の良い VDI サービスである Azure Virtual Desktop の導入を検討している企業からの相談が増えています。

本記事では、サードパーティ製の IDaaS を利用している企業が Azure Virtual Dekotop（以下、AVD ）を導入したい場合の ID 移行手順を紹介します。

利用できる Azure サービスを知りたい
Azure 導入の具体的な進め方の検討や、技術検証をするリソースが社内にない
Azure 導入後に考慮すべき運用ルールや、技術面での制約がどこにあるかわからない

Azure 導入・移行 PoC サービス

Azure の導入を相談する

1. 外部 IDaaS のユーザ情報を AVD で利用する方法

AVD を利用するには Azure AD によるユーザー認証が必要です。 AVD と Azure AD と連携させるためには下記の方法があります。

Azure AD と直接連携
Azure AD Connect 経由でオンプレミスの AD と連携

AVD は、外部 IDaaS と直接連携させることはできないため、何らかの形で外部 IDaaS の ID を Azure AD またはオンプレミス AD へ認識させる必要があります。 ID を一元管理するためには、IDaaS は 1 つである必要があるため、外部の IDaaS から Azure AD またはオンプレミス AD へ ID を移行させる必要があります。

つまり、AVD を利用するためには、外部 IDaaS の利用をやめて、マイクロソフトの公式サービスに一本化することがおすすめです。（※ IDaaS 同士を同期させる方法もありますが、本記事では対象外とします）

AVD とは

AVD とは「 Azure Virtual Desktop 」の略で、 Azure クラウド上で VDI （仮想デスクトップ）環境を提供するサービスです。 Windows10 マルチセッションに対応していることが大きな特徴であり、 1 つの仮想 PC の中で、複数のデスクトップ環境を生成することが可能です。

AVD（Azure Virtual Desktop）とは？今こそ知りたい基本情報

Azure AD とは

Azure AD （ Azure Active Directory ）とは、マイクロソフトが提供するクラウドベースの ID 管理サービス（ IDaaS ）です。次のリソースへの認証・認可とサインイン機能を提供します。

Azure サービス、 Microsoft 365 、その他外部の SaaS アプリケーションなど
企業が独自に開発したアプリケーションなどの内部リソース

Azure AD は、 ID 管理やアクセス制御だけでなく、多要素認証やシングルサインオンの機能も備えています。また、オンプレミス AD との連携も可能です。Azure AD を導入することで、複数のクラウドサービスとオンプレミス環境を含め、 ID の一元管理とシングルサインオンの機能を利用することができます。

Azure AD（Azure Active Directory）とは？オンプレADとの違いや機能、エディションをわかりやすく解説

2. [Step1] 外部 IDaaS から Azure AD への移行

外部 IDaaS から Azure AD へ移行するためには、手動で Azure AD へ ID を登録する方法がありますが、 ID 数が多い場合は、 Microsoft Graph を使用した移行アプリケーションを作成することで効率的な移行が可能です。

2.1 Microsoft Graph とは

Microsoft Graph とは、REST API を利用し Microsoft 365 の様々なサービスからデータを取得し、自作のアプリケーションと連携してデータを処理することなどが可能なサービスです。

Microsoft Graph では、Azure AD の機能を利用するための Azure AD REST API が用意されており、これを使用することにより、Azure AD へアクセスして ID の登録が可能なアプリケーションを作成することが可能です。

2.2 Microsoft Graph による ID 移行方法

Microsoft Graph で外部 IDaaS から Azure AD へ ID 情報を移行するためには、まず外部 IDaaS の ID 情報をテキストへ変換します。そして、Microsoft Graph を使用した移行アプリケーションを作成し、テキストの情報を読み取り、Azure AD へアクセスして ID 登録を行うことで移行が可能です。

利用している IDaaS で ID 情報をテキストへ変換する機能を提供しているかどうかは、事前に確認しておく必要があります。

3. [Step2] AVD と Azure AD の連携

外部 IDaaS から Azure AD へ ID 移行が完了した後、AVD を利用するために AVD と Azure AD を連携します。

3.1 AVD と Azure AD との連携

AVD と Azure AD の連携は特に難しいことはありません。 AVD を構築する手順の中で、Azure AD を指定することで連携が可能となります。

3.2 AVD とオンプレミス AD DS との連携

オンプレミス AD を利用している場合は、 AVD とオンプレミス AD を連携させる必要があります。
AVD をオンプレミス AD へ接続するには、 Azure AD Connect という同期ツールが必要です。オンプレミス環境に Azure AD Connect 用のサーバーを用意し、オンプレミス AD と Azure AD Connect を接続し、インターネット経由で Azure AD へ同期させることができます。

そして、 AVD 用の仮想ネットワークをオンプレミス AD と VPN （Virtual Private Network ＝仮想専用線）あるいは専用線で接続してドメインに参加する構成にします。そうすることで、オンプレミス側の AD で認証を行うことができるようになります。

4. 必要なライセンス

AVD を利用するために必要なライセンスは下記の通りです。

Windows10 または Windows7 ライセンス: Windows 10 Enterprise E3 および Microsoft 365 Business Premium 以上のライセンス
Windows Server ライセンス: ユーザーごとまたはデバイスごとの RDS CAL ライセンス（アクティブなソフトウェアアシュアランス（ SA ）付き）

上記ライセンスを持たない外部ユーザー向けに、ユーザー単位の月額料金オプションも導入されています。

参考記事：