Private Link with Azure Virtual Desktop を設定する

[アーティクル]
04/19/2024

この記事では、Private Link with Azure Virtual Desktop を設定して、リモートリソースにプライベートに接続する方法について説明します。制限事項など、Private Link with Azure Virtual Desktop の使用の詳細については、「Private Link with Azure Virtual Desktop」を参照してください。

必須コンポーネント

Private Link with Azure Virtual Desktop を使用するには、次のものが必要です。

セッションホスト、アプリケーショングループ、ワークスペースを含む既存のホストプール。
プライベートエンドポイントに使用する既存の仮想ネットワークとサブネット。
プライベートエンドポイントを作成するために必要な Azure ロールベースのアクセス制御のアクセス許可。
リモートセッションにアクセスするためにローカルデバイスでサポートされているアプリ:
- 任意のプラットフォーム上のリモートデスクトップアプリ。 Windows 用リモートデスクトップクライアントを使用する場合は、バージョン 1.2.4066 以降を使用してプライベートエンドポイントを使用して接続する必要があります。
- macOS または iOS/iPadOS 上の Windows アプリ。
Azure CLI または Azure PowerShell をローカルで使用する場合は、「Azure Virtual Desktop で Azure CLI と Azure PowerShell を使用する」を参照して、desktopvirtualization Azure CLI 拡張機能または Az.DesktopVirtualization PowerShell モジュールがインストールされていることを確認してください。別の方法として、Azure Cloud Shell を使用します。
Private Link がサポートされる Azure Virtual Desktop の Azure PowerShell コマンドレットはプレビュー段階です。バージョン 5.0.0 で追加されたこれらのコマンドレットを使用するには、Az.DesktopVirtualization モジュールのプレビューバージョンをダウンロードしてインストールする必要があります。

サブスクリプションで Azure Virtual Desktop で Private Link を有効にする

Azure Virtual Desktop で Private Link を使用するには、Microsoft.DesktopVirtualization リソースプロバイダーを Azure Virtual Desktop で Private Link を使用したい各サブスクリプション上で再登録する必要があります。

お使いのシナリオに関連するタブを選択します。

Azure
Azure US Gov と 21Vianet

Azure Virtual Desktop リソースプロバイダーを再登録する

Azure Virtual Desktop で Private Link を使うには、その前に、Microsoft.DesktopVirtualization リソースプロバイダーを再登録する必要があります。これは、Azure Virtual Desktop で Private Link に使うサブスクリプションごとに行う必要があります。

Azure portal にサインインします。
検索バーに「サブスクリプション」と入力して、一致するサービスエントリを選びます。
サブスクリプションの名前を選択し、[設定] セクションで [リソースプロバイダー] を選択します。
[Microsoft.DesktopVirtualization] を検索して選択し、[再登録] を選択します。
Microsoft.DesktopVirtualization の状態が [Registered] (登録済み) であることを確認します。

プライベートエンドポイントを作成する

セットアッププロセスの間に、シナリオに応じて、次のリソースへのプライベートエンドポイントを作成する必要があります。

接続のすべての部分 (クライアントとセッションホストの初期フィード検出、フィードダウンロード、リモートセッション接続) では、プライベートルートが使用されます。次のプライベートエンドポイントが必要です:

目的	リソースの種類	ターゲットサブリソース	エンドポイントの数量
ホストプールへの接続	Microsoft.DesktopVirtualization/hostpools	connection	ホストプールごとに 1 つ
フィードのダウンロード	Microsoft.DesktopVirtualization/workspaces	feed	ワークスペースごとに 1 つ
初期フィード検出	Microsoft.DesktopVirtualization/workspaces	グローバル	すべての Azure Virtual Desktop デプロイ用に 1 つのみ

クライアントとセッションホストのフィードダウンロードとリモートセッション接続ではプライベートルートが使用されますが、初期フィード検出ではパブリックルートが使用されます。次のプライベートエンドポイントが必要です。初期フィード検出のエンドポイントは必要ありません。

目的	リソースの種類	ターゲットサブリソース	エンドポイントの数量
ホストプールへの接続	Microsoft.DesktopVirtualization/hostpools	connection	ホストプールごとに 1 つ
フィードのダウンロード	Microsoft.DesktopVirtualization/workspaces	feed	ワークスペースごとに 1 つ

クライアントとセッションホストのリモートセッション接続のみでプライベートルートを使用しますが、初期フィード検出とフィードダウンロードではパブリックルートが使用されます。次のプライベートエンドポイントが必要です。ワークスペースへのエンドポイントは必要ありません。

目的	リソースの種類	ターゲットサブリソース	エンドポイントの数量
ホストプールへの接続	Microsoft.DesktopVirtualization/hostpools	connection	ホストプールごとに 1 つ

クライアントとセッションホスト VM の両方がパブリックルートを使う。このシナリオでは、Private Link は使用されません。

重要

初期フィード検出用のプライベートエンドポイントを作成すると、グローバルサブリソースに使用されるワークスペースによって共有完全修飾ドメイン名 (FQDN) が管理され、すべてのワークスペース間でのフィードの初期検出が容易になります。この目的でのみ使用され、アプリケーショングループが登録されていない別のワークスペースを作成する必要があります。このワークスペースを削除すると、すべてのフィード検出プロセスが機能しなくなります。
初期フィード検出 (グローバルサブリソース) に使用されるワークスペースへのアクセスを制御することはできません。プライベートアクセスのみを許可するようにこのワークスペースを構成した場合、設定は無視されます。このワークスペースには、常にパブリックルートからアクセスできます。
IP アドレスの割り当ては、IP アドレスの需要が増加するにつれて変更される可能性があります。容量の拡張中は、プライベートエンドポイントに追加のアドレスが必要です。潜在的なアドレス空間の枯渇を考慮し、成長のための十分なヘッドルームを確保することが重要です。ハブトポロジまたはスポークトポロジのプライベートエンドポイントに対する適切なネットワーク構成の決定について詳しくは、「Private Link 展開のデシジョンツリー」を参照してください。

ホストプールへの接続

ホストプールへの接続用の "接続"サブリソースのプライベートエンドポイントを作成するには、シナリオに関連するタブを選択し、手順に従います。

Azure portal を使用してホストプールへの接続用の "接続"サブリソースのプライベートエンドポイントを作成する方法を次に示します。

Azure portal にサインインします。
検索バーに「Azure Virtual Desktop」と入力し、一致するサービスエントリを選択して Azure Virtual Desktop の概要に移動します。
[ホストプール] を選択し、"接続"サブリソースを作成するホストプールの名前を選択します。
ホストプールの概要から、[ネットワーク]、[プライベートエンドポイント接続] の順に選択し、最後に [新しいプライベートエンドポイント] を選択します。

[基本] タブで次の情報を入力します。

パラメーター	値/説明
サブスクリプション	プライベートエンドポイントを作成するサブスクリプションをドロップダウンリストから選択します。
Resource group	既定では、プライベートエンドポイントのワークスペースと同じリソースグループが自動的に設定されますが、ドロップダウンリストから既存のリソースグループを選択したり、新しく作成したりすることもできます。
名前	新しいプライベートエンドポイントの名前を入力します。
ネットワークインターフェイス名	ネットワークインターフェイス名は、プライベートエンドポイントに指定した名前に基づいて自動的に入力されますが、別の名前を指定することもできます。
リージョン	既定では、ワークスペースと同じ Azure リージョンが自動的に設定され、そこにプライベートエンドポイントがデプロイされます。これは仮想ネットワークおよびセッションホストと同じリージョンにする必要があります。

このタブに入力し終わったら、[次へ: リソース] を選択します。

[リソース]タブで[サブスクリプション]、[リソースの種類]、[リソース]の値を検証し、[ターゲットサブリソース] で [接続] を選択します。このタブに入力し終わったら、[次へ: 仮想ネットワーク] を選択します。

[仮想ネットワーク] タブで、次の情報を入力します。

パラメーター	値/説明
仮想ネットワーク	プライベートエンドポイントを作成する仮想ネットワークをドロップダウンリストから選択します。
Subnet	プライベートエンドポイントを作成する仮想ネットワークのサブネットをドロップダウンリストから選択します。
プライベートエンドポイントのネットワークポリシー	サブネットのネットワークポリシーを選択する場合は、[編集] を選択します。詳細については、「プライベートエンドポイントのネットワークポリシーを管理する」を参照してください。
プライベート IP 構成	[IP アドレスを動的に割り当てる] または [IP アドレスを静的に割り当てる] を選択します。アドレス空間は、選択したサブネットから取得されます。 IP アドレスを静的に割り当てる場合、一覧表示されている各メンバーの [名前] と [プライベート IP] を入力する必要があります。
アプリケーションセキュリティグループ	"省略可能":ドロップダウンリストからプライベートエンドポイントの既存のアプリケーションセキュリティグループを選択するか、新しく作成します。後で追加することもできます。

このタブに入力し終わったら、[次へ: DNS] を選択します。

[DNS] タブで、[プライベート DNS ゾーンと統合する] で [はい] または [いいえ] を選択して、Azure プライベート DNS ゾーンを使用するかどうかを選択します。 [はい] を選択した場合は、プライベート DNS ゾーン privatelink.wvd.microsoft.com を作成するサブスクリプションとリソースグループを選択します。詳細については、「Azure プライベートエンドポイントの DNS 構成」をご覧ください。

このタブに記入し終わったら、[次へ: タグ] を選択します。
"省略可能":[タグ] タブで、必要な名前と値のペアを入力し、[次へ: 確認 + 作成] を選択します。
[確認 + 作成] タブで、検証に合格したことを確認し、デプロイ中に使用される情報を確認します。
[作成] を選択して、接続サブリソースのプライベートエンドポイントを作成します。

Azure CLI の Az.Network および Az.DesktopVirtualization PowerShell モジュールを使用して、ホストプールへの接続に使用される "接続"サブリソースのプライベートエンドポイントを作成する方法を次に示します。必ず <placeholder> の値を独自のものに変更してください。

ターミナルの種類として PowerShell を指定して、Azure portal で Azure Cloud Shell を開くか、ローカルデバイスで PowerShell を実行します。
- Cloud Shell を使用している場合は、Azure コンテキストが、使用したいサブスクリプションに設定されていることを確認します。
- PowerShell をローカルで使用している場合は、まず Azure PowerShell でサインインした後、Azure コンテキストが使用したいサブスクリプションに設定されていることを確認します。

次のコマンドを実行して、プライベートエンドポイントに使用する仮想ネットワークとサブネットの詳細を取得し、変数に格納します。
```
# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>
```

次のコマンドを実行して、接続サブリソースを使用してホストプールの Private Link サービス接続を作成します。

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後に、次のいずれかの例のコマンドを実行して、プライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

次の出力のような出力になる必要があります。 ProvisioningState の値が Succeeded になっていることを確認します。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink.wvd.microsoft.com です。 Azure PowerShell を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

Azure CLI の network および desktopvirtualization 拡張機能を使用して、ホストプールへの接続に使用される "接続"サブリソースのプライベートエンドポイントを作成する方法を次に示します。

重要

次の例では、<placeholder> を独自の値に変更する必要があります。

Bash ターミナルの種類を指定して、Azure portal で Azure Cloud Shell を開くか、ローカルデバイスで Azure CLI を実行します。
- Cloud Shell を使用する場合は、使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。
- ローカルで Azure CLI を使用する場合は、まず Azure CLI でサインインしてから、使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。

次のいずれかの例のコマンドを実行して、接続サブリソースを使用してホストプールの Private Link サービス接続とプライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

次の出力のような出力になる必要があります。 ProvisioningState の値が Succeeded になっていることを確認します。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink.wvd.microsoft.com です。 Azure CLI を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

重要

Private Link で使用するホストプールごとに、接続サブリソースのプライベートエンドポイントを作成する必要があります。

フィードのダウンロード

ワークスペースの "フィード"サブリソースのプライベートエンドポイントを作成するには、シナリオに関連するタブを選択し、手順に従います。

Azure Virtual Desktop の概要から [ワークスペース] を選択し、"フィード"サブリソースを作成するワークスペースの名前を選択します。
ワークスペースの概要から、[ネットワーク]、[プライベートエンドポイント接続] の順に選択し、最後に [新しいプライベートエンドポイント] を選択します。

[基本] タブで次の情報を入力します。

パラメーター	値/説明
サブスクリプション	プライベートエンドポイントを作成するサブスクリプションをドロップダウンリストから選択します。
Resource group	既定では、プライベートエンドポイントのワークスペースと同じリソースグループが自動的に設定されますが、ドロップダウンリストから既存のリソースグループを選択したり、新しく作成したりすることもできます。
名前	新しいプライベートエンドポイントの名前を入力します。
ネットワークインターフェイス名	ネットワークインターフェイス名は、プライベートエンドポイントに指定した名前に基づいて自動的に入力されますが、別の名前を指定することもできます。
リージョン	既定では、ワークスペースと同じ Azure リージョンが自動的に設定され、そこにプライベートエンドポイントがデプロイされます。これは仮想ネットワークと同じリージョンにする必要があります。

このタブに入力し終わったら、[次へ: リソース] を選択します。

[リソース]タブで[サブスクリプション]、[リソースの種類]、[リソース]の値を検証し、[ターゲットサブリソース] で [フィード] を選択します。このタブに入力し終わったら、[次へ: 仮想ネットワーク] を選択します。

[仮想ネットワーク] タブで、次の情報を入力します。

パラメーター	値/説明
仮想ネットワーク	プライベートエンドポイントを作成する仮想ネットワークをドロップダウンリストから選択します。
Subnet	プライベートエンドポイントを作成する仮想ネットワークのサブネットをドロップダウンリストから選択します。
プライベートエンドポイントのネットワークポリシー	サブネットのネットワークポリシーを選択する場合は、[編集] を選択します。詳細については、「プライベートエンドポイントのネットワークポリシーを管理する」を参照してください。
プライベート IP 構成	[IP アドレスを動的に割り当てる] または [IP アドレスを静的に割り当てる] を選択します。アドレス空間は、選択したサブネットから取得されます。 IP アドレスを静的に割り当てる場合、一覧表示されている各メンバーの [名前] と [プライベート IP] を入力する必要があります。
アプリケーションセキュリティグループ	"省略可能":ドロップダウンリストからプライベートエンドポイントの既存のアプリケーションセキュリティグループを選択するか、新しく作成します。後で追加することもできます。

このタブに入力し終わったら、[次へ: DNS] を選択します。

[DNS] タブで、[プライベート DNS ゾーンと統合する] で [はい] または [いいえ] を選択して、Azure プライベート DNS ゾーンを使用するかどうかを選択します。 [はい] を選択した場合は、プライベート DNS ゾーン privatelink.wvd.microsoft.com を作成するサブスクリプションとリソースグループを選択します。詳細については、「Azure プライベートエンドポイントの DNS 構成」をご覧ください。

このタブに記入し終わったら、[次へ: タグ] を選択します。
"省略可能":[タグ] タブで、必要な名前と値のペアを入力し、[次へ: 確認 + 作成] を選択します。
[確認 + 作成] タブで、検証に合格したことを確認し、デプロイ中に使用される情報を確認します。
[作成] を選択して、フィードサブリソースのプライベートエンドポイントを作成します。

同じ PowerShell セッションで、次のコマンドを実行して、フィードサブリソースがあるワークスペースの Private Link サービス接続を作成します。これらの例では、同じ仮想ネットワークとサブネットが使用されます。

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後に、次のいずれかの例のコマンドを実行して、プライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

出力は次のようになります。 ProvisioningState の値が Succeeded になっていることを確認します。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink.wvd.microsoft.com です。 Azure PowerShell を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

同じ CLI セッションで、次のコマンドを実行して、フィードサブリソースがあるワークスペースの Private Link サービス接続とプライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

出力は次のようになります。 ProvisioningState の値が Succeeded になっていることを確認します。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink.wvd.microsoft.com です。 Azure CLI を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

重要

Private Link で使用するワークスペースごとに、フィードサブリソースのプライベートエンドポイントを作成する必要があります。

初期フィード検出

初期フィード検出に使用される "グローバル"サブリソースのプライベートエンドポイントを作成するには、シナリオに関連するタブを選択し、手順に従います。

重要

すべての Azure Virtual Desktop デプロイに対して "グローバル"サブリソース用のプライベートエンドポイントを 1 つだけ作成します。
任意のワークスペースのグローバルサブリソースに対するプライベートエンドポイントは、初期フィード検出用の共有完全修飾ドメイン名 (FQDN) を制御します。これにより、すべてのワークスペースのフィード検出が可能になります。プライベートエンドポイントに接続されたワークスペースは非常に重要であるため、これを削除するとすべてのフィード検出プロセスが機能しなくなります。グローバルサブリソース用の未使用のプレースホルダーワークスペースを作成することをお勧めします。

Azure Virtual Desktop の概要から [ワークスペース] を選択し、グローバルサブリソースに使用するワークスペースの名前を選択します。
1. "省略可能":代わりに、「ワークスペースの作成」の手順に従って、グローバルエンドポイントを終了するプレースホルダーワークスペースを作成します。
ワークスペースの概要から、[ネットワーク]、[プライベートエンドポイント接続] の順に選択し、最後に [新しいプライベートエンドポイント] を選択します。

[基本] タブで次の情報を入力します。

パラメーター	値/説明
サブスクリプション	プライベートエンドポイントを作成するサブスクリプションをドロップダウンリストから選択します。
Resource group	既定では、プライベートエンドポイントのワークスペースと同じリソースグループが自動的に設定されますが、ドロップダウンリストから既存のリソースグループを選択したり、新しく作成したりすることもできます。
名前	新しいプライベートエンドポイントの名前を入力します。
ネットワークインターフェイス名	ネットワークインターフェイス名は、プライベートエンドポイントに指定した名前に基づいて自動的に入力されますが、別の名前を指定することもできます。
リージョン	既定では、ワークスペースと同じ Azure リージョンが自動的に設定され、そこにプライベートエンドポイントがデプロイされます。これは仮想ネットワークと同じリージョンにする必要があります。

このタブに入力し終わったら、[次へ: リソース] を選択します。

[リソース]タブで[サブスクリプション]、[リソースの種類]、[リソース]の値を検証し、[ターゲットサブリソース] で [グローバル] を選択します。このタブに入力し終わったら、[次へ: 仮想ネットワーク] を選択します。

[仮想ネットワーク] タブで、次の情報を入力します。

パラメーター	値/説明
仮想ネットワーク	プライベートエンドポイントを作成する仮想ネットワークをドロップダウンリストから選択します。
Subnet	プライベートエンドポイントを作成する仮想ネットワークのサブネットをドロップダウンリストから選択します。
プライベートエンドポイントのネットワークポリシー	サブネットのネットワークポリシーを選択する場合は、[編集] を選択します。詳細については、「プライベートエンドポイントのネットワークポリシーを管理する」を参照してください。
プライベート IP 構成	[IP アドレスを動的に割り当てる] または [IP アドレスを静的に割り当てる] を選択します。アドレス空間は、選択したサブネットから取得されます。 IP アドレスを静的に割り当てる場合、一覧表示されている各メンバーの [名前] と [プライベート IP] を入力する必要があります。
アプリケーションセキュリティグループ	"省略可能":ドロップダウンリストからプライベートエンドポイントの既存のアプリケーションセキュリティグループを選択するか、新しく作成します。後で追加することもできます。

このタブに入力し終わったら、[次へ: DNS] を選択します。

[DNS] タブで、[プライベート DNS ゾーンと統合する] で [はい] または [いいえ] を選択して、Azure プライベート DNS ゾーンを使用するかどうかを選択します。 [はい] を選択した場合は、プライベート DNS ゾーン privatelink-global.wvd.microsoft.com を作成するサブスクリプションとリソースグループを選択します。詳細については、「Azure プライベートエンドポイントの DNS 構成」をご覧ください。

このタブに記入し終わったら、[次へ: タグ] を選択します。
"省略可能":[タグ] タブで、必要な名前と値のペアを入力し、[次へ: 確認 + 作成] を選択します。
[確認 + 作成] タブで、検証に合格したことを確認し、デプロイ中に使用される情報を確認します。
[作成] を選択して、グローバルサブリソースのプライベートエンドポイントを作成します。

"省略可能":「ワークスペースの作成」の手順に従って、グローバルエンドポイントを終了するプレースホルダーワークスペースを作成します。

同じ PowerShell セッションで、次のコマンドを実行して、グローバルサブリソースがあるワークスペースの Private Link サービス接続を作成します。これらの例では、同じ仮想ネットワークとサブネットが使用されます。

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後に、次のいずれかの例のコマンドを実行して、プライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

出力は次のようになります。 ProvisioningState の値が Succeeded になっていることを確認します。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink-global.wvd.microsoft.com です。 Azure PowerShell を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

"省略可能":「ワークスペースの作成」の手順に従って、グローバルエンドポイントを終了するプレースホルダーワークスペースを作成します。

同じ CLI セッションで、次のコマンドを実行して、グローバルサブリソースがあるワークスペースの Private Link サービス接続とプライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

出力は次のようになります。 ProvisioningState の値が Succeeded になっていることを確認します。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink-global.wvd.microsoft.com です。 Azure CLI を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

パブリックルートを閉じる

プライベートエンドポイントを作成したら、パブリックルートからのトラフィックを許可するかどうかを制御することもできます。これは、Azure Virtual Desktop を使用して細かいレベルで制御するか、ネットワークセキュリティグループ (NSG) または Azure Firewall を使用してより広範に制御できます。

Azure Virtual Desktop を使用してルートを制御する

Azure Virtual Desktop を使用すると、ワークスペースとホストプールのパブリックトラフィックを個別に制御できます。シナリオの関連タブを選択し、手順に従います。これは Azure CLI では構成できません。 Private Link で使用するワークスペースとホストプールごとに、こちらの手順を繰り返す必要があります。

ポータル
Azure PowerShell

ワークスペース

Azure Virtual Desktop の概要から [ワークスペース] を選択し、パブリックトラフィックを制御するワークスペースの名前を選択します。
ホストプールの概要から [ネットワーク] を選択し、[パブリックアクセス] タブを選択します。

以下のオプションの 1 つを選択します。

設定	説明
すべてのネットワークからのパブリックアクセスを有効にする	エンドユーザーは、パブリックインターネットまたはプライベートエンドポイント経由でフィードにアクセスできます。
パブリックアクセスを無効にし、プライベートアクセスを使用する	エンドユーザーは、プライベートエンドポイント経由でのみフィードにアクセスできます。

[保存] を選択します。

ホストプール

Azure Virtual Desktop の概要から [ホストプール] を選択し、パブリックトラフィックを制御するホストプールの名前を選択します。
ホストプールの概要から [ネットワーク] を選択し、[パブリックアクセス] タブを選択します。

以下のオプションの 1 つを選択します。

設定	説明
すべてのネットワークからのパブリックアクセスを有効にする	エンドユーザーは、パブリックインターネットまたはプライベートエンドポイント経由でフィードとセッションホストに安全にアクセスできます。
Enable public access for end users, use private access for session hosts (エンドユーザーに対してパブリックアクセスを有効にし、セッションホストにプライベートアクセスを使用する)	エンドユーザーはパブリックインターネット経由でフィードに安全にアクセスできますが、セッションホストにアクセスするにはプライベートエンドポイントを使用する必要があります。
パブリックアクセスを無効にし、プライベートアクセスを使用する	エンドユーザーは、プライベートエンドポイント経由でのみフィードにアクセスできます。

[保存] を選択します。

重要

Private Link がサポートされる Azure Virtual Desktop の Azure PowerShell コマンドレットはプレビュー段階です。バージョン 5.0.0 で追加されたこれらのコマンドレットを使用するには、Az.DesktopVirtualization モジュールのプレビューバージョンをダウンロードしてインストールする必要があります。

ワークスペース

同じ PowerShell セッションで、次のコマンドを実行して、パブリックアクセスを無効にしてプライベートアクセスを使用できます。
```
$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters
```

すべてのネットワークからのパブリックアクセスを有効にするには、次のコマンドを実行します。

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

ホストプール

同じ PowerShell セッションで、次のコマンドを実行して、パブリックアクセスを無効にしてプライベートアクセスを使用できます。
```
$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters 
```

すべてのネットワークからのパブリックアクセスを有効にするには、次のコマンドを実行します。

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

エンドユーザーにパブリックアクセスを使用し、セッションホストにプライベートアクセスを使用するには、次のコマンドを実行します。
```
$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters
```
エンドユーザーにプライベートアクセスを使用し、セッションホストにパブリックアクセスを使用するには、次のコマンドを実行します。
```
$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters
```

重要

セッションホストのアクセスを変更しても、既存のセッションには影響しません。プライベートエンドポイントをホストプールに変更した後、ホストプール内の各セッションホスト VM 上で Remote Desktop Agent Loader (RDAgentBootLoader) サービスを再起動する必要があります。また、ホストプールのネットワーク構成を変更するたびに、このサービスを再起動する必要があります。サービスを再開するのではなく、各セッションホストを再起動することができます。

ネットワークセキュリティグループまたは Azure Firewall を使用してパブリックルートをブロックする

ネットワークセキュリティグループまたは Azure Firewall を使用して、ユーザークライアントデバイスまたはセッションホストからプライベートエンドポイントへの接続を制御している場合は、WindowsVirtualDesktop サービスタグを使用して、パブリックインターネットからのトラフィックをブロックできます。このサービスタグを使用してパブリックインターネットトラフィックをブロックすると、すべてのサービストラフィックでプライベートルートのみが使用されます。

注意事項

プライベートエンドポイントと「必要な URL リスト」内のアドレスの間のトラフィックをブロックしないようにしてください。
"接続"サブリソースを使用して、ユーザークライアントデバイスまたはセッションホストからホストプールリソースのプライベートエンドポイントへの特定のポートをブロックしないでください。ポートマッピングは、"接続"サブリソースに対応する単一のプライベートエンドポイント IP アドレスを介してすべてのグローバルゲートウェイに使われるため、TCP 動的ポート範囲全体 (1 - 65535) が必要です。ポートをプライベートエンドポイントトに制限すると、ユーザーが Azure Virtual Desktop に正常に接続できなくなる可能性があります。

Private Link with Azure Virtual Desktop を検証する

パブリックルートを閉じたら、Private Link with Azure Virtual Desktop が動作していることを検証する必要があります。これを行うには、各プライベートエンドポイントの接続状態とセッションホストの状態を確認し、ユーザーがリモートリソースを更新して接続できることをテストします。

各プライベートエンドポイントの接続状態を確認する

各プライベートエンドポイントの接続状態を確認するには、シナリオに関連するタブを選択し、手順に従います。 Private Link で使用するワークスペースとホストプールごとに、こちらの手順を繰り返す必要があります。

ワークスペース

Azure Virtual Desktop の概要から [ワークスペース] を選択し、接続状態を確認するワークスペースの名前を選択します。
ワークスペースの概要から、[ネットワーク]、[プライベートエンドポイント接続] を選択します。
一覧表示されているプライベートエンドポイントについて、[接続状態] が [承認済み] であることを確認します。

ホストプール

Azure Virtual Desktop の概要から [ホストプール] を選択し、接続状態を確認するホストプールの名前を選択します。
ホストプールの概要から、[ネットワーク]、[プライベートエンドポイント接続] を選択します。
一覧表示されているプライベートエンドポイントについて、[接続状態] が [承認済み] であることを確認します。

重要

次のコマンドを実行するには、Az.DesktopVirtualization モジュールのプレビューバージョンを使用する必要があります。詳細およびプレビューモジュールのダウンロードとインストールについては、PowerShell ギャラリーを参照してください。

ワークスペース

同じ PowerShell セッションで、次のコマンドを実行して、ワークスペースの接続状態を確認します。

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

出力は次のようになります。 PrivateLinkServiceConnectionStateStatus の値が Approved であることを確認します。

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

ホストプール

同じ PowerShell セッションで、次のコマンドを実行して、ホストプールの接続状態を確認します。

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

出力は次のようになります。 PrivateLinkServiceConnectionStateStatus の値が Approved であることを確認します。

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

同じ CLI セッションで、次のコマンドを実行して、ワークスペースまたはホストプールの接続状態を確認します。

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

出力は次のようになります。 status の値が Approved であることを確認します。

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

セッションホストの状態を確認する

Azure Virtual Desktop でセッションホストの状態を確認します。
1. Azure Virtual Desktop の概要から [ホストプール] を選択し、ホストプールの名前を選択します。
2. [管理] セクションで、[セッションホスト] を選択します。
3. セッションホストの一覧を確認し、その状態が [Available] (使用可能) であることを確認します。

ユーザーが接続できることを確認する

ユーザーがリモートリソースに接続できることをテストするには:

リモートデスクトップクライアントを使用し、ワークスペースをサブスクライブおよび更新できることを確認します。
最後に、ユーザーがリモートセッションに接続できることを確認します。

次のステップ

Private Link for Azure Virtual Desktop の使用方法については、Azure Private Link with Azure Virtual Desktop の使用に関する記事を参照してください。
Azure プライベートエンドポイント DNS を構成する方法については、Private Link の DNS 統合に関する記事を参照してください。
Private Link の全般的なトラブルシューティングガイドについては、「Azure プライベートエンドポイント接続に関する問題のトラブルシューティング」を参照してください。
Azure Virtual Desktop サービスの接続のしくみについては、「Azure Virtual Desktop のネットワーク接続」を参照してください。
Azure Virtual Desktop サービスへのネットワークアクセスを確保するためにブロックを解除する必要がある URL の一覧については、「必要な URL リスト」を参照してください。

次の方法で共有

Private Link with Azure Virtual Desktop を設定する

必須コンポーネント

サブスクリプションで Azure Virtual Desktop で Private Link を有効にする

Azure Virtual Desktop リソースプロバイダーを再登録する

Azure Virtual Desktop に Private Link を登録する (Azure for US Government および 21Vianet が運営するAzure の場合のみ)

Azure Virtual Desktop リソースプロバイダーを再登録する

プライベートエンドポイントを作成する

ホストプールへの接続

フィードのダウンロード

初期フィード検出

パブリックルートを閉じる

Azure Virtual Desktop を使用してルートを制御する

ワークスペース

ホストプール

ワークスペース

ホストプール

ネットワークセキュリティグループまたは Azure Firewall を使用してパブリックルートをブロックする

Private Link with Azure Virtual Desktop を検証する

各プライベートエンドポイントの接続状態を確認する

ワークスペース

ホストプール

ワークスペース

ホストプール

セッションホストの状態を確認する

ユーザーが接続できることを確認する

次のステップ

フィードバック

その他のリソース

次の方法で共有

Private Link with Azure Virtual Desktop を設定する

必須コンポーネント

サブスクリプションで Azure Virtual Desktop で Private Link を有効にする

Azure Virtual Desktop リソース プロバイダーを再登録する

プライベート エンドポイントを作成する

ホスト プールへの接続

フィードのダウンロード

初期フィード検出

パブリック ルートを閉じる

Azure Virtual Desktop を使用してルートを制御する

ワークスペース

ホスト プール

ネットワーク セキュリティ グループまたは Azure Firewall を使用してパブリック ルートをブロックする

Private Link with Azure Virtual Desktop を検証する

各プライベート エンドポイントの接続状態を確認する

ワークスペース

ホスト プール

セッション ホストの状態を確認する

ユーザーが接続できることを確認する

次のステップ

フィードバック

その他のリソース

Azure Virtual Desktop リソースプロバイダーを再登録する

プライベートエンドポイントを作成する

ホストプールへの接続

パブリックルートを閉じる

ホストプール

ネットワークセキュリティグループまたは Azure Firewall を使用してパブリックルートをブロックする

各プライベートエンドポイントの接続状態を確認する

ホストプール

セッションホストの状態を確認する