この記事では、Azure Virtual Desktop で参加済み仮想マシンMicrosoft Entraデプロイしてアクセスするプロセスについて説明します。 参加済み VM をMicrosoft Entraすると、VM からオンプレミスまたは仮想化されたActive Directory ドメイン コントローラー (DC) に対して見通し線を作成したり、Microsoft Entra Domain Servicesをデプロイしたりする必要性が排除されます。 場合によっては、DC の必要性を完全に取り除き、環境のデプロイと管理を簡素化できます。 これらの VM は、管理を容易にするために、Intuneに自動的に登録することもできます。
既知の制限
次の既知の制限事項は、オンプレミスまたは Active Directory ドメインに参加しているリソースへのアクセスに影響を与える可能性があるため、参加している VM が環境に適しているかどうかを判断する際Microsoft Entra考慮する必要があります。
- Microsoft Entra参加済み VM では、現在、Microsoft Entra Business-to-Business (B2B) や Microsoft Entra Business-to-Consumer (B2C) などの外部 ID はサポートされていません。
- Microsoft Entra参加済み VM は、MICROSOFT ENTRA Kerberos for FSLogix ユーザー プロファイルを使用して、ハイブリッド ユーザーのAzure Files共有にのみアクセスできます。
- Windows 用リモート デスクトップ ストア アプリでは、参加済み VM Microsoft Entraサポートされていません。
参加済み VM Microsoft Entraデプロイする
Microsoft Entra参加済み VM は、新しいホスト プールを作成するとき、または既存のホスト プールを展開するときに、Azure portalから直接デプロイできます。 Microsoft Entra参加済み VM をデプロイするには、[Virtual Machines] タブを開き、VM を Active Directory に参加させるか、Microsoft Entra IDするかを選択します。 Microsoft Entra IDを選択すると、VM を自動的にIntuneに登録できます。これにより、セッション ホストを簡単に管理できます。 Microsoft Entra ID オプションは、VM を自分のサブスクリプションと同じMicrosoft Entra テナントにのみ参加させる点に注意してください。
注:
- ホスト プールには、同じドメイン参加の種類の VM のみを含める必要があります。 たとえば、Microsoft Entra参加済み VM は、他のMicrosoft Entra参加済み VM とのみ使用し、その逆を行う必要があります。
- ホスト プール内の VM は、単一セッションまたはマルチセッション、バージョン 2004 以降、または Windows Server 2022 または Windows Server 2019 Windows 11またはWindows 10する必要があります。
ホスト プールへのユーザー アクセスの割り当て
ホスト プールを作成したら、リソースへのアクセス権をユーザーに割り当てる必要があります。 リソースへのアクセスを許可するには、各ユーザーをアプリケーション グループに追加します。 「アプリケーション グループの管理」の手順に従って、アプリとデスクトップにユーザー アクセスを割り当てます。 可能な限り、個々のユーザーの代わりにユーザー グループを使用することをお勧めします。
セッション ホスト構成なしでホスト プール内の参加済み VM をMicrosoft Entraする場合は、Active Directory または Microsoft Entra Domain Services ベースのデプロイの要件に加えて、次の追加タスクを実行する必要があります。 セッション ホスト構成を使用するホスト プールの場合、この追加のロールの割り当ては必要ありません。
- ユーザーに 仮想マシン ユーザー ログイン ロールを割り当てて、VM にサインインできるようにします。
- ローカル管理者権限を必要とする管理者に 仮想マシン管理者ログイン ロールを割り当てます。
参加している VM へのアクセス権Microsoft Entraユーザーに付与するには、VM のロールの割り当てを構成する必要があります。 仮想マシン ユーザー ログインまたは仮想マシン管理者ログイン ロールは、VM、VM を含むリソース グループ、またはサブスクリプションのいずれかに割り当てることができます。 仮想マシン ユーザー ログイン ロールを、リソース グループ レベルでアプリケーション グループに使用したのと同じユーザー グループに割り当てて、ホスト プール内のすべての VM に適用することをお勧めします。
参加済み VM Microsoft Entraアクセスする
このセクションでは、さまざまな Azure Virtual Desktop クライアントから参加Microsoft Entra VM にアクセスする方法について説明します。
シングル サインオン
すべてのプラットフォームで最適なエクスペリエンスを得るには、参加している VM にアクセスするときに、Microsoft Entra認証を使用してシングル サインオン エクスペリエンスMicrosoft Entra有効にする必要があります。 「 シングル サインオンを構成 してシームレスな接続エクスペリエンスを提供する」の手順に従います。
レガシ認証プロトコルを使用して接続する
シングル サインオンを有効にしない場合は、次の構成を使用して、参加している VM へのアクセスMicrosoft Entra有効にすることができます。
Windows デスクトップ クライアントを使用して接続する
既定の構成では、Windows デスクトップ クライアントを使用したWindows 11またはWindows 10からの接続がサポートされます。 資格情報、スマート カード、証明書信頼のWindows Hello for Business、または証明書でキー信頼をWindows Hello for Businessしてセッション ホストにサインインできます。 ただし、セッション ホストにアクセスするには、ローカル PC が次のいずれかの条件を満たしている必要があります。
- ローカル PC は、セッション ホストと同じMicrosoft Entra テナントに参加Microsoft Entra
- ローカル PC は、セッション ホストと同じMicrosoft Entra テナントにハイブリッド参加Microsoft Entra
- ローカル PC はバージョン 2004 以降Windows 11またはWindows 10実行されており、セッション ホストと同じMicrosoft Entra テナントに登録Microsoft Entra
ローカル PC がこれらの条件のいずれかを満たしていない場合は、 targetisaadjoined:i:1 を カスタム RDP プロパティ としてホスト プールに追加します。 これらの接続は、セッション ホストにサインインするときにユーザー名とパスワードの資格情報を入力するように制限されます。
他のクライアントを使用して接続する
Web、Android、macOS、iOS クライアントMicrosoft Entra使用して参加している VM にアクセスするには、targetisaadjoined:i:1 をカスタム RDP プロパティとしてホスト プールに追加する必要があります。 これらの接続は、セッション ホストにサインインするときにユーザー名とパスワードの資格情報を入力するように制限されます。
参加済みセッション VM に対Microsoft Entra多要素認証Microsoft Entra適用する
Microsoft Entra参加済み VM では、Microsoft Entra多要素認証を使用できます。 条件付きアクセスを使用して Azure Virtual Desktop に多要素認証Microsoft Entra適用する手順に従い、参加しているセッション ホスト VM Microsoft Entra追加の手順に注意してください。
多要素認証Microsoft Entra使用していて、Windows Hello for Businessなどの強力な認証方法にサインインを制限したくない場合は、条件付きアクセス ポリシーから Azure Windows VM Sign-In アプリを除外する必要があります。
ユーザー プロファイル
ハイブリッド ユーザー アカウントの使用中にAZURE FILESに格納するときに、MICROSOFT ENTRA参加済み VM で FSLogix プロファイル コンテナーを使用できます。 詳細については、「Azure FilesとMicrosoft Entra IDを使用してプロファイル コンテナーを作成する」を参照してください。
オンプレミス リソースへのアクセス
Microsoft Entra参加済み VM をデプロイまたはアクセスするために Active Directory は必要ありませんが、それらの VM からオンプレミスのリソースにアクセスするには、Active Directory とその見通し線が必要です。
次の手順
Microsoft Entra参加済み VM をいくつかデプロイしたので、サポートされている Azure Virtual Desktop クライアントと接続する前にシングル サインオンを有効にして、ユーザー セッションの一部としてテストすることをお勧めします。 詳細については、次の記事をチェックします。