Azure Virtual Desktop で Azure AD 参加済み仮想マシンをデプロイする

この記事では、Azure Virtual Desktop での Azure Active Directory 参加済み仮想マシンのデプロイとアクセスのプロセスについて説明します。 Azure AD 参加済み VM を使用すると、VM からオンプレミスまたは仮想化された Active Directory ドメイン コントローラー (DC) への通信経路を確保することや、Azure AD ドメイン サービス (Azure AD DS) をデプロイすることは必要なくなります。 場合によっては、DC の必要性を完全に排除することも可能であり、環境のデプロイと管理が簡素化されます。 管理を容易にするために、これらの VM を Intune に自動的に登録することもできます。

サポートされている構成

Azure AD 参加済み VM については、現在、次の構成がサポートされています。

  • ローカル ユーザー プロファイルを使用する個人用デスクトップ。
  • ジャンプ ボックスとして使用されるプールされたデスクトップ。 この構成では、ユーザーはネットワーク上の別の PC に接続する前に、まず Azure Virtual Desktop VM にアクセスします。 ユーザーは VM にデータを保存することはできません。
  • ユーザーが VM にデータを保存する必要がない、プールされたデスクトップまたはアプリ。 たとえば、データをオンラインで保存したり、リモート データベースに接続したりするアプリケーションの場合です。
  • Active Directory の同期ユーザーで、FSLogix ユーザー プロファイルを使用する個人用またはプールされたデスクトップ。

ユーザー アカウントは、同じ Azure AD テナントのクラウド専用または同期ユーザーとすることができます。

既知の制限事項

次の既知の制限事項は、オンプレミスまたは Active Directory ドメイン参加のリソースへのアクセスに影響を与える可能性があり、Azure AD 参加 VM がご利用の環境に適切かどうかを判断する際に考慮してください。 現在、ユーザーがクラウドベース リソースまたは Azure AD ベース認証へのアクセスのみを必要とするシナリオで Azure AD 参加 VM を推奨しています。

  • Azure Virtual Desktop (クラシック) では、Azure AD 参加 VM はサポートされていません。
  • 現在、Azure AD に参加している VM では、Azure AD Business-to-Business (B2B)、Azure AD Business-to-Consumer (B2C) などの外部 ID はサポートされていません。
  • Azure AD 参加済み VM は、Azure AD Kerberos を使用して同期ユーザー用の Azure Files ファイル共有にのみアクセスできます。
  • Windows Store クライアントでは現在、Azure AD 参加 VM がサポートされていません。

Azure AD 参加済み VM のデプロイ

新しいホスト プールを作成するとき、または既存のホスト プールを拡張するときに、Azure portal から Azure AD 参加済み VM を直接デプロイできます。 Azure AD 参加済み VM をデプロイするには、[Virtual Machines] タブを開き、VM を Active Directory と Azure Active Directory のどちらに参加させるかを選択します。 Azure Active Directory を選択すると、オプションで自動的に VM を Intune に登録することができます。これにより、簡単にセッション ホストを管理できます。 Azure Active Directory オプションは、現在のサブスクリプションと同じ Azure AD テナントにだけ VM を参加させることに注意してください。

注意

  • ホスト プールには、ドメイン参加の種類が同じ VM のみを含める必要があります。 たとえば、Azure AD 参加済み VM は他の Azure AD VM とのみ一緒にする必要があり、その逆も同様です。
  • ホスト プールの VM は、Windows 11 または Windows 10 のシングルセッションまたはマルチセッションのバージョン 2004 以降でなければなりません。

ホスト プールにユーザー アクセスを割り当てる

ホスト プールの作成後、ユーザーにそれらのリソースへのアクセス権を割り当てる必要があります。 リソースへのアクセスを付与するには、各ユーザーをアプリ グループに追加します。 アプリ グループの管理に関する記事にある手順に従って、アプリとデスクトップへのアクセス権をユーザーに割り当てます。 可能な限り、個々のユーザーではなくユーザー グループを使用することをお勧めします。

Azure AD 参加 VM の場合、Active Directory または Azure Active Directory Domain Services ベースのデプロイの要件に加えて、次の 2 つの追加作業を行う必要があります。

  • ユーザーが VM にサインインできるよう、仮想マシン ユーザー ログイン ロールをユーザーに割り当てます。
  • ローカル管理特権を必要とする管理者に仮想マシン管理者ログイン ロールを割り当てます。

Azure AD 参加済みの VM へのアクセス権をユーザーに付与するには、VM のロール割り当てを構成する必要があります。 仮想マシン ユーザー ログインまたは仮想マシン管理者ログインのロールは、VM、VM を含むリソース グループ、またはサブスクリプションのいずれかに割り当てることができます。 仮想マシン ユーザー ログイン ロールは、アプリ グループ用に使用したのと同じユーザー グループにリソース グループ レベルで割り当てることをお勧めします。そうすることで、ホスト プール内のすべての VM に適用されます。

Azure AD 参加済み VM へのアクセス

このセクションでは、さまざまな Azure Virtual Desktop クライアントから Azure AD 参加済み VM にアクセスする方法について説明します。

Windows デスクトップ クライアントを使用した接続

既定の構成では、Windows デスクトップ クライアントを使用した Windows 11 または Windows 10 からの接続がサポートされます。 資格情報、スマート カード、Windows Hello for Business 証明書信頼、または Windows Hello for Business 証明書によるキー信頼を使用して、セッション ホストにサインインできます。 ただし、セッション ホストにアクセスするには、ローカル PC が次のいずれかの条件を満たしている必要があります。

  • ローカル PC がセッション ホストと同じ Azure AD テナントに Azure AD 参加済みである
  • ローカル PC がセッション ホストと同じ Azure AD テナントにハイブリッド Azure AD 参加済みである
  • ローカル PC で Windows 11 または Windows 10 バージョン 2004 以降が実行されており、セッション ホストと同じ Azure AD テナントに Azure AD 登録済みである

Azure AD に参加していない Windows デバイスからのアクセスを有効にするには、targetisaadjoined:i:1カスタム RDP プロパティとしてホスト プールに追加します。 これらの接続は、セッション ホストにサインインするときにユーザー名とパスワードの資格情報を入力するように制限されています。

他のクライアントを使用した接続

Web、Android、macOS、および iOS クライアントを使用して Azure AD 参加済み VM にアクセスするには、targetisaadjoined:i:1カスタム RDP プロパティとしてホスト プールに追加する必要があります。 これらの接続は、セッション ホストにサインインするときにユーザー名とパスワードの資格情報を入力するように制限されています。

Azure AD 参加済みセッション VM に対する Azure AD Multi-Factor Authentication の適用

Azure AD 参加済み VM で、Azure AD Multi-Factor Authentication を使用できます。 条件付きアクセスを使用して Azure Virtual Desktop に対して Azure Active Directory Multi-Factor Authentication を適用する手順に従い、Azure AD 参加済みセッション ホスト VM 用の追加の手順に注意してください。

シングル サインオン

Azure AD 参加済み VM にアクセスするときに、Azure AD 認証を使用してシングル サインオン エクスペリエンスを有効にすることができます。 シームレスな接続エクスペリエンスを提供するためのシングル サインオンを構成する手順に従います。

ユーザー プロファイル

FSLogix プロファイル コンテナーを Azure AD 参加済み VM で使用すると、同期済みユーザー アカウントを使用しながら、これらを Azure Files で格納できます。 詳細については、「Azure Files と Azure AD を使用してプロファイル コンテナーを作成する」を参照してください。

オンプレミスのリソースへのアクセス

Azure AD 参加済み VM をデプロイまたはアクセスするために Active Directory は必要ありませんが、それらの VM からオンプレミスのリソースにアクセスするには、Active Directory とそれへの通信経路が必要です。 オンプレミス リソースへのアクセスの詳細については、「Azure AD 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ」を参照してください。

次のステップ

Azure AD 参加済み VM をデプロイしたので、サポートされている Azure Virtual Desktop クライアントにサインインしてそれをユーザー セッションの一部としてテストする前に、シングル サインオンを有効にすることをお勧めします。 詳細については、次の記事を参照してください。