Private Link with Azure Virtual Desktop を設定する

[アーティクル]
07/21/2023

この記事では、Private Link with Azure Virtual Desktop を設定して、リモートリソースにプライベートに接続する方法について説明します。制限事項など、Private Link with Azure Virtual Desktop の使用の詳細については、「Private Link with Azure Virtual Desktop」を参照してください。

必須コンポーネント

Private Link with Azure Virtual Desktop を使用するには、次のものが必要です。

セッションホスト、アプリケーショングループ、ワークスペースを含む既存のホストプール。
プライベートエンドポイントに使用する既存の仮想ネットワークとサブネット。
プライベートエンドポイントを作成するために必要な Azure ロールベースのアクセス制御のアクセス許可。
Windows 用リモートデスクトップクライアントを使用する場合は、バージョン 1.2.4066 以降を使用してプライベートエンドポイントを使用して接続する必要があります。
Azure CLI または Azure PowerShell をローカルで使用する場合は、「Azure Virtual Desktop で Azure CLI と Azure PowerShell を使用する」を参照して、desktopvirtualization Azure CLI 拡張機能または Az.DesktopVirtualization PowerShell モジュールがインストールされていることを確認してください。別の方法として、Azure Cloud Shell を使用します。
Private Link がサポートされる Azure Virtual Desktop の Azure PowerShell コマンドレットはプレビュー段階です。バージョン 5.0.0 で追加されたこれらのコマンドレットを使用するには、Az.DesktopVirtualization モジュールのプレビューバージョンをダウンロードしてインストールする必要があります。

サブスクリプションで Azure Virtual Desktop で Private Link を有効にする

Azure Virtual Desktop で Private Link を使用するには、Microsoft.DesktopVirtualization リソースプロバイダーを Azure Virtual Desktop で Private Link を使用したい各サブスクリプション上で再登録する必要があります。

重要

Azure US Government や 21Vianet が運営される Azure の場合も、サブスクリプションごとに機能を登録する必要があります。

Azure Virtual Desktop に Private Link を登録する (Azure for US Government および 21Vianet が運営するAzure の場合のみ)

Azure Virtual Desktop Private Link 機能を登録するには:

Azure portal にサインインします。
検索バーに「サブスクリプション」と入力して、一致するサービスエントリを選びます。
サブスクリプションの名前を選択し、[設定] セクションで [プレビュー機能] を選択します。
[種類] フィルターのドロップダウンリストを選択し、[Microsoft.DesktopVirtualization] に設定します。
[Azure Virtual Desktop Private Link] を選択し、[登録] を選択します。

リソースプロバイダーを再登録する

Microsoft.DesktopVirtualization リソースプロバイダーを再登録するには:

Azure portal にサインインします。
検索バーに「サブスクリプション」と入力して、一致するサービスエントリを選びます。
サブスクリプションの名前を選択し、[設定] セクションで [リソースプロバイダー] を選択します。
[Microsoft.DesktopVirtualization] を検索して選択し、[再登録] を選択します。
Microsoft.DesktopVirtualization の状態が [Registered] (登録済み) であることを確認します。

プライベートエンドポイントを作成する

設定プロセスでは、次のリソースに対するプライベートエンドポイントを作成します。

目的	リソースの種類	ターゲットサブリソース	数量	プライベート DNS ゾーンの名前
ホストプールへの接続	Microsoft.DesktopVirtualization/hostpools	connection	ホストプールごとに 1 つ	`privatelink.wvd.microsoft.com`
フィードのダウンロード	Microsoft.DesktopVirtualization/workspaces	feed	ワークスペースごとに 1 つ	`privatelink.wvd.microsoft.com`
初期フィード検出	Microsoft.DesktopVirtualization/workspaces	グローバル	すべての Azure Virtual Desktop デプロイ用に 1 つのみ	`privatelink-global.wvd.microsoft.com`

ホストプールへの接続

ホストプールへの接続用の "接続"サブリソースのプライベートエンドポイントを作成するには、シナリオに関連するタブを選択し、手順に従います。

Azure portal を使用してホストプールへの接続用の "接続"サブリソースのプライベートエンドポイントを作成する方法を次に示します。

Azure portal にサインインします。
検索バーに「Azure Virtual Desktop」と入力し、一致するサービスエントリを選択して Azure Virtual Desktop の概要に移動します。
[ホストプール] を選択し、"接続"サブリソースを作成するホストプールの名前を選択します。
ホストプールの概要から、[ネットワーク]、[プライベートエンドポイント接続] の順に選択し、最後に [新しいプライベートエンドポイント] を選択します。

[基本] タブで次の情報を入力します。

パラメーター	値/説明
サブスクリプション	プライベートエンドポイントを作成するサブスクリプションをドロップダウンリストから選択します。
Resource group	既定では、プライベートエンドポイントのワークスペースと同じリソースグループが自動的に設定されますが、ドロップダウンリストから既存のリソースグループを選択したり、新しく作成したりすることもできます。
名前	新しいプライベートエンドポイントの名前を入力します。
ネットワークインターフェイス名	ネットワークインターフェイス名は、プライベートエンドポイントに指定した名前に基づいて自動的に入力されますが、別の名前を指定することもできます。
リージョン	既定では、ワークスペースと同じ Azure リージョンが自動的に設定され、そこにプライベートエンドポイントがデプロイされます。これは仮想ネットワークおよびセッションホストと同じリージョンにする必要があります。

このタブに入力し終わったら、[次へ: リソース] を選択します。

[リソース]タブで[サブスクリプション]、[リソースの種類]、[リソース]の値を検証し、[ターゲットサブリソース] で [接続] を選択します。このタブに入力し終わったら、[次へ: 仮想ネットワーク] を選択します。

[仮想ネットワーク] タブで、次の情報を入力します。

パラメーター	値/説明
仮想ネットワーク	プライベートエンドポイントを作成する仮想ネットワークをドロップダウンリストから選択します。
Subnet	プライベートエンドポイントを作成する仮想ネットワークのサブネットをドロップダウンリストから選択します。
プライベートエンドポイントのネットワークポリシー	サブネットのネットワークポリシーを選択する場合は、[編集] を選択します。詳細については、「プライベートエンドポイントのネットワークポリシーを管理する」を参照してください。
プライベート IP 構成	[IP アドレスを動的に割り当てる] または [IP アドレスを静的に割り当てる] を選択します。アドレス空間は、選択したサブネットから取得されます。 IP アドレスを静的に割り当てる場合、一覧表示されている各メンバーの [名前] と [プライベート IP] を入力する必要があります。
アプリケーションセキュリティグループ	"省略可能":ドロップダウンリストからプライベートエンドポイントの既存のアプリケーションセキュリティグループを選択するか、新しく作成します。後で追加することもできます。

このタブに入力し終わったら、[次へ: DNS] を選択します。

[DNS] タブで、[プライベート DNS ゾーンと統合する] で [はい] または [いいえ] を選択して、Azure プライベート DNS ゾーンを使用するかどうかを選択します。 [はい] を選択した場合は、プライベート DNS ゾーン privatelink.wvd.microsoft.com を作成するサブスクリプションとリソースグループを選択します。詳細については、「Azure プライベートエンドポイントの DNS 構成」をご覧ください。

このタブに記入し終わったら、[次へ: タグ] を選択します。
"省略可能":[タグ] タブで、必要な名前と値のペアを入力し、[次へ: 確認 + 作成] を選択します。
[確認 + 作成] タブで、検証に合格したことを確認し、デプロイ中に使用される情報を確認します。
[作成] を選択して、接続サブリソースのプライベートエンドポイントを作成します。

Azure CLI の Az.Network および Az.DesktopVirtualization PowerShell モジュールを使用して、ホストプールへの接続に使用される "接続"サブリソースのプライベートエンドポイントを作成する方法を次に示します。

重要

次の例では、<placeholder> を独自の値に変更する必要があります。

PowerShell ターミナルの種類を指定して、Azure portal で Azure Cloud Shell を起動するか、ローカルデバイスで Azure CLI を実行します。
1. Cloud Shell を使用している場合は、使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。
2. Azure PowerShell をローカルで使用している場合は、まず Azure PowerShell でサインインしてから、使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。

次のコマンドを実行して、プライベートエンドポイントに使用する仮想ネットワークとサブネットの詳細を取得し、変数に格納します。
```
# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>
```

次のコマンドを実行して、接続サブリソースを使用してホストプールの Private Link サービス接続を作成します。

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後に、次のいずれかの例のコマンドを実行して、プライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

次の出力のような出力になる必要があります。 ProvisioningState の値が Succeeded になっていることを確認します。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink.wvd.microsoft.com です。 Azure PowerShell を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

Azure CLI の network および desktopvirtualization 拡張機能を使用して、ホストプールへの接続に使用される "接続"サブリソースのプライベートエンドポイントを作成する方法を次に示します。

重要

次の例では、<placeholder> を独自の値に変更する必要があります。

Bash ターミナルの種類を指定して、Azure portal で Azure Cloud Shell を起動するか、ローカルデバイスで Azure CLI を実行します。
1. Cloud Shell を使用している場合は、使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。
2. Azure CLI をローカルで使用している場合は、まず Azure CLI でサインインしてから、使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。

次のいずれかの例のコマンドを実行して、接続サブリソースを使用してホストプールの Private Link サービス接続とプライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

次の出力のような出力になる必要があります。 ProvisioningState の値が Succeeded になっていることを確認します。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink.wvd.microsoft.com です。 Azure CLI を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

重要

Private Link で使用するホストプールごとに、接続サブリソースのプライベートエンドポイントを作成する必要があります。

フィードのダウンロード

ワークスペースの "フィード"サブリソースのプライベートエンドポイントを作成するには、シナリオに関連するタブを選択し、手順に従います。

Azure Virtual Desktop の概要から [ワークスペース] を選択し、"フィード"サブリソースを作成するワークスペースの名前を選択します。
ワークスペースの概要から、[ネットワーク]、[プライベートエンドポイント接続] の順に選択し、最後に [新しいプライベートエンドポイント] を選択します。

[基本] タブで次の情報を入力します。

パラメーター	値/説明
サブスクリプション	プライベートエンドポイントを作成するサブスクリプションをドロップダウンリストから選択します。
Resource group	既定では、プライベートエンドポイントのワークスペースと同じリソースグループが自動的に設定されますが、ドロップダウンリストから既存のリソースグループを選択したり、新しく作成したりすることもできます。
名前	新しいプライベートエンドポイントの名前を入力します。
ネットワークインターフェイス名	ネットワークインターフェイス名は、プライベートエンドポイントに指定した名前に基づいて自動的に入力されますが、別の名前を指定することもできます。
リージョン	既定では、ワークスペースと同じ Azure リージョンが自動的に設定され、そこにプライベートエンドポイントがデプロイされます。これは仮想ネットワークと同じリージョンにする必要があります。

このタブに入力し終わったら、[次へ: リソース] を選択します。

[リソース]タブで[サブスクリプション]、[リソースの種類]、[リソース]の値を検証し、[ターゲットサブリソース] で [フィード] を選択します。このタブに入力し終わったら、[次へ: 仮想ネットワーク] を選択します。

[仮想ネットワーク] タブで、次の情報を入力します。

パラメーター	値/説明
仮想ネットワーク	プライベートエンドポイントを作成する仮想ネットワークをドロップダウンリストから選択します。
Subnet	プライベートエンドポイントを作成する仮想ネットワークのサブネットをドロップダウンリストから選択します。
プライベートエンドポイントのネットワークポリシー	サブネットのネットワークポリシーを選択する場合は、[編集] を選択します。詳細については、「プライベートエンドポイントのネットワークポリシーを管理する」を参照してください。
プライベート IP 構成	[IP アドレスを動的に割り当てる] または [IP アドレスを静的に割り当てる] を選択します。アドレス空間は、選択したサブネットから取得されます。 IP アドレスを静的に割り当てる場合、一覧表示されている各メンバーの [名前] と [プライベート IP] を入力する必要があります。
アプリケーションセキュリティグループ	"省略可能":ドロップダウンリストからプライベートエンドポイントの既存のアプリケーションセキュリティグループを選択するか、新しく作成します。後で追加することもできます。

このタブに入力し終わったら、[次へ: DNS] を選択します。

[DNS] タブで、[プライベート DNS ゾーンと統合する] で [はい] または [いいえ] を選択して、Azure プライベート DNS ゾーンを使用するかどうかを選択します。 [はい] を選択した場合は、プライベート DNS ゾーン privatelink.wvd.microsoft.com を作成するサブスクリプションとリソースグループを選択します。詳細については、「Azure プライベートエンドポイントの DNS 構成」をご覧ください。

このタブに記入し終わったら、[次へ: タグ] を選択します。
"省略可能":[タグ] タブで、必要な名前と値のペアを入力し、[次へ: 確認 + 作成] を選択します。
[確認 + 作成] タブで、検証に合格したことを確認し、デプロイ中に使用される情報を確認します。
[作成] を選択して、フィードサブリソースのプライベートエンドポイントを作成します。

同じ PowerShell セッションで、次のコマンドを実行して、フィードサブリソースがあるワークスペースの Private Link サービス接続を作成します。これらの例では、同じ仮想ネットワークとサブネットが使用されます。

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後に、次のいずれかの例のコマンドを実行して、プライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

出力は次のようになります。 ProvisioningState の値が Succeeded になっていることを確認します。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink.wvd.microsoft.com です。 Azure PowerShell を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

同じ CLI セッションで、次のコマンドを実行して、フィードサブリソースがあるワークスペースの Private Link サービス接続とプライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

出力は次のようになります。 ProvisioningState の値が Succeeded になっていることを確認します。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink.wvd.microsoft.com です。 Azure CLI を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

重要

Private Link で使用するワークスペースごとに、フィードサブリソースのプライベートエンドポイントを作成する必要があります。

初期フィード検出

初期フィード検出に使用される "グローバル"サブリソースのプライベートエンドポイントを作成するには、シナリオに関連するタブを選択し、手順に従います。

重要

すべての Azure Virtual Desktop デプロイに対して "グローバル"サブリソース用のプライベートエンドポイントを 1 つだけ作成します。
任意のワークスペースのグローバルサブリソースに対するプライベートエンドポイントは、初期フィード検出用の共有完全修飾ドメイン名 (FQDN) を制御します。これにより、すべてのワークスペースのフィード検出が可能になります。プライベートエンドポイントに接続されたワークスペースは非常に重要であるため、これを削除するとすべてのフィード検出プロセスが機能しなくなります。グローバルサブリソース用の未使用のプレースホルダーワークスペースを作成することをお勧めします。

Azure Virtual Desktop の概要から [ワークスペース] を選択し、グローバルサブリソースに使用するワークスペースの名前を選択します。
1. "省略可能":代わりに、「ワークスペースの作成」の手順に従って、グローバルエンドポイントを終了するプレースホルダーワークスペースを作成します。
ワークスペースの概要から、[ネットワーク]、[プライベートエンドポイント接続] の順に選択し、最後に [新しいプライベートエンドポイント] を選択します。

[基本] タブで次の情報を入力します。

パラメーター	値/説明
サブスクリプション	プライベートエンドポイントを作成するサブスクリプションをドロップダウンリストから選択します。
Resource group	既定では、プライベートエンドポイントのワークスペースと同じリソースグループが自動的に設定されますが、ドロップダウンリストから既存のリソースグループを選択したり、新しく作成したりすることもできます。
名前	新しいプライベートエンドポイントの名前を入力します。
ネットワークインターフェイス名	ネットワークインターフェイス名は、プライベートエンドポイントに指定した名前に基づいて自動的に入力されますが、別の名前を指定することもできます。
リージョン	既定では、ワークスペースと同じ Azure リージョンが自動的に設定され、そこにプライベートエンドポイントがデプロイされます。これは仮想ネットワークと同じリージョンにする必要があります。

このタブに入力し終わったら、[次へ: リソース] を選択します。

[リソース]タブで[サブスクリプション]、[リソースの種類]、[リソース]の値を検証し、[ターゲットサブリソース] で [グローバル] を選択します。このタブに入力し終わったら、[次へ: 仮想ネットワーク] を選択します。

[仮想ネットワーク] タブで、次の情報を入力します。

パラメーター	値/説明
仮想ネットワーク	プライベートエンドポイントを作成する仮想ネットワークをドロップダウンリストから選択します。
Subnet	プライベートエンドポイントを作成する仮想ネットワークのサブネットをドロップダウンリストから選択します。
プライベートエンドポイントのネットワークポリシー	サブネットのネットワークポリシーを選択する場合は、[編集] を選択します。詳細については、「プライベートエンドポイントのネットワークポリシーを管理する」を参照してください。
プライベート IP 構成	[IP アドレスを動的に割り当てる] または [IP アドレスを静的に割り当てる] を選択します。アドレス空間は、選択したサブネットから取得されます。 IP アドレスを静的に割り当てる場合、一覧表示されている各メンバーの [名前] と [プライベート IP] を入力する必要があります。
アプリケーションセキュリティグループ	"省略可能":ドロップダウンリストからプライベートエンドポイントの既存のアプリケーションセキュリティグループを選択するか、新しく作成します。後で追加することもできます。

このタブに入力し終わったら、[次へ: DNS] を選択します。

[DNS] タブで、[プライベート DNS ゾーンと統合する] で [はい] または [いいえ] を選択して、Azure プライベート DNS ゾーンを使用するかどうかを選択します。 [はい] を選択した場合は、プライベート DNS ゾーン privatelink-global.wvd.microsoft.com を作成するサブスクリプションとリソースグループを選択します。詳細については、「Azure プライベートエンドポイントの DNS 構成」をご覧ください。

このタブに記入し終わったら、[次へ: タグ] を選択します。
"省略可能":[タグ] タブで、必要な名前と値のペアを入力し、[次へ: 確認 + 作成] を選択します。
[確認 + 作成] タブで、検証に合格したことを確認し、デプロイ中に使用される情報を確認します。
[作成] を選択して、グローバルサブリソースのプライベートエンドポイントを作成します。

"省略可能":「ワークスペースの作成」の手順に従って、グローバルエンドポイントを終了するプレースホルダーワークスペースを作成します。

同じ PowerShell セッションで、次のコマンドを実行して、グローバルサブリソースがあるワークスペースの Private Link サービス接続を作成します。これらの例では、同じ仮想ネットワークとサブネットが使用されます。

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後に、次のいずれかの例のコマンドを実行して、プライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

出力は次のようになります。 ProvisioningState の値が Succeeded になっていることを確認します。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink-global.wvd.microsoft.com です。 Azure PowerShell を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

"省略可能":「ワークスペースの作成」の手順に従って、グローバルエンドポイントを終了するプレースホルダーワークスペースを作成します。

同じ CLI セッションで、次のコマンドを実行して、グローバルサブリソースがあるワークスペースの Private Link サービス接続とプライベートエンドポイントを作成します。

動的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

静的に割り当てられた IP アドレスを使用してプライベートエンドポイントを作成するには:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

出力は次のようになります。 ProvisioningState の値が Succeeded になっていることを確認します。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

仮想ネットワーク内のプライベートエンドポイントの DNS 名を解決するには、プライベートエンドポイントの DNS を構成する必要があります。プライベート DNS ゾーンの名前は privatelink-global.wvd.microsoft.com です。 Azure CLI を使用してプライベート DNS ゾーンを作成および構成する手順については、「プライベート DNS ゾーンを構成する」を参照してください。

パブリックルートを閉じる

プライベートエンドポイントを作成したら、パブリックルートからのトラフィックを許可するかどうかを制御することもできます。これは、Azure Virtual Desktop を使用して細かいレベルで制御するか、ネットワークセキュリティグループ (NSG) または Azure Firewall を使用してより広範に制御できます。

Azure Virtual Desktop を使用してルートを制御する

Azure Virtual Desktop を使用すると、ワークスペースとホストプールのパブリックトラフィックを個別に制御できます。シナリオの関連タブを選択し、手順に従います。これは Azure CLI では構成できません。 Private Link で使用するワークスペースとホストプールごとに、こちらの手順を繰り返す必要があります。

ポータル
Azure PowerShell

ワークスペース

Azure Virtual Desktop の概要から [ワークスペース] を選択し、パブリックトラフィックを制御するワークスペースの名前を選択します。
ホストプールの概要から [ネットワーク] を選択し、[パブリックアクセス] タブを選択します。

以下のオプションの 1 つを選択します。

設定	説明
すべてのネットワークからのパブリックアクセスを有効にする	エンドユーザーは、パブリックインターネットまたはプライベートエンドポイント経由でフィードにアクセスできます。
パブリックアクセスを無効にし、プライベートアクセスを使用する	エンドユーザーは、プライベートエンドポイント経由でのみフィードにアクセスできます。

[保存] を選択します。

ホストプール

Azure Virtual Desktop の概要から [ホストプール] を選択し、パブリックトラフィックを制御するホストプールの名前を選択します。
ホストプールの概要から [ネットワーク] を選択し、[パブリックアクセス] タブを選択します。

以下のオプションの 1 つを選択します。

設定	説明
すべてのネットワークからのパブリックアクセスを有効にする	エンドユーザーは、パブリックインターネットまたはプライベートエンドポイント経由でフィードとセッションホストに安全にアクセスできます。
Enable public access for end users, use private access for session hosts (エンドユーザーに対してパブリックアクセスを有効にし、セッションホストにプライベートアクセスを使用する)	エンドユーザーはパブリックインターネット経由でフィードに安全にアクセスできますが、セッションホストにアクセスするにはプライベートエンドポイントを使用する必要があります。
パブリックアクセスを無効にし、プライベートアクセスを使用する	エンドユーザーは、プライベートエンドポイント経由でのみフィードにアクセスできます。

[保存] を選択します。

重要

Private Link がサポートされる Azure Virtual Desktop の Azure PowerShell コマンドレットはプレビュー段階です。バージョン 5.0.0 で追加されたこれらのコマンドレットを使用するには、Az.DesktopVirtualization モジュールのプレビューバージョンをダウンロードしてインストールする必要があります。

ワークスペース

同じ PowerShell セッションで、次のコマンドを実行して、パブリックアクセスを無効にしてプライベートアクセスを使用できます。
```
$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters
```

すべてのネットワークからのパブリックアクセスを有効にするには、次のコマンドを実行します。

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

ホストプール

同じ PowerShell セッションで、次のコマンドを実行して、パブリックアクセスを無効にしてプライベートアクセスを使用できます。
```
$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters 
```

すべてのネットワークからのパブリックアクセスを有効にするには、次のコマンドを実行します。

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

エンドユーザーにパブリックアクセスを使用し、セッションホストにプライベートアクセスを使用するには、次のコマンドを実行します。
```
$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters
```
エンドユーザーにプライベートアクセスを使用し、セッションホストにパブリックアクセスを使用するには、次のコマンドを実行します。
```
$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters
```

重要

セッションホストのアクセスを変更しても、既存のセッションには影響しません。プライベートエンドポイントをホストプールに変更した後、ホストプール内の各セッションホスト VM 上で Remote Desktop Agent Loader (RDAgentBootLoader) サービスを再起動する必要があります。また、ホストプールのネットワーク構成を変更するたびに、このサービスを再起動する必要があります。サービスを再開するのではなく、各セッションホストを再起動することができます。

ネットワークセキュリティグループまたは Azure Firewall を使用してパブリックルートをブロックする

ネットワークセキュリティグループまたは Azure Firewall を使用して、ユーザークライアントデバイスまたはセッションホストからプライベートエンドポイントへの接続を制御している場合は、WindowsVirtualDesktop サービスタグを使用して、パブリックインターネットからのトラフィックをブロックできます。このサービスタグを使用してパブリックインターネットトラフィックをブロックすると、すべてのサービストラフィックでプライベートルートのみが使用されます。

注意事項

プライベートエンドポイントと「必要な URL リスト」内のアドレスの間のトラフィックをブロックしないようにしてください。
"接続"サブリソースを使用して、ユーザークライアントデバイスまたはセッションホストからホストプールリソースのプライベートエンドポイントへの特定のポートをブロックしないでください。ポートマッピングは、"接続"サブリソースに対応する単一のプライベートエンドポイント IP アドレスを介してすべてのグローバルゲートウェイに使われるため、TCP 動的ポート範囲全体 (1 - 65535) が必要です。ポートをプライベートエンドポイントトに制限すると、ユーザーが Azure Virtual Desktop に正常に接続できなくなる可能性があります。

Private Link with Azure Virtual Desktop を検証する

パブリックルートを閉じたら、Private Link with Azure Virtual Desktop が動作していることを検証する必要があります。これを行うには、各プライベートエンドポイントの接続状態とセッションホストの状態を確認し、ユーザーがリモートリソースを更新して接続できることをテストします。

各プライベートエンドポイントの接続状態を確認する

各プライベートエンドポイントの接続状態を確認するには、シナリオに関連するタブを選択し、手順に従います。 Private Link で使用するワークスペースとホストプールごとに、こちらの手順を繰り返す必要があります。

ワークスペース

Azure Virtual Desktop の概要から [ワークスペース] を選択し、接続状態を確認するワークスペースの名前を選択します。
ワークスペースの概要から、[ネットワーク]、[プライベートエンドポイント接続] を選択します。
一覧表示されているプライベートエンドポイントについて、[接続状態] が [承認済み] であることを確認します。

ホストプール

Azure Virtual Desktop の概要から [ホストプール] を選択し、接続状態を確認するホストプールの名前を選択します。
ホストプールの概要から、[ネットワーク]、[プライベートエンドポイント接続] を選択します。
一覧表示されているプライベートエンドポイントについて、[接続状態] が [承認済み] であることを確認します。

重要

次のコマンドを実行するには、Az.DesktopVirtualization モジュールのプレビューバージョンを使用する必要があります。詳細およびプレビューモジュールのダウンロードとインストールについては、PowerShell ギャラリーを参照してください。

ワークスペース

同じ PowerShell セッションで、次のコマンドを実行して、ワークスペースの接続状態を確認します。

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

出力は次のようになります。 PrivateLinkServiceConnectionStateStatus の値が Approved であることを確認します。

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

ホストプール

同じ PowerShell セッションで、次のコマンドを実行して、ホストプールの接続状態を確認します。

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

出力は次のようになります。 PrivateLinkServiceConnectionStateStatus の値が Approved であることを確認します。

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

同じ CLI セッションで、次のコマンドを実行して、ワークスペースまたはホストプールの接続状態を確認します。

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

出力は次のようになります。 status の値が Approved であることを確認します。

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

セッションホストの状態を確認する

Azure Virtual Desktop でセッションホストの状態を確認します。
1. Azure Virtual Desktop の概要から [ホストプール] を選択し、ホストプールの名前を選択します。
2. [管理] セクションで、[セッションホスト] を選択します。
3. セッションホストの一覧を確認し、その状態が [Available] (使用可能) であることを確認します。

ユーザーが接続できることを確認する

ユーザーがリモートリソースに接続できることをテストするには:

リモートデスクトップクライアントを使用し、ワークスペースをサブスクライブおよび更新できることを確認します。
最後に、ユーザーがリモートセッションに接続できることを確認します。

次のステップ

Private Link for Azure Virtual Desktop の使用方法については、Azure Private Link with Azure Virtual Desktop の使用に関する記事を参照してください。
Azure プライベートエンドポイント DNS を構成する方法については、Private Link の DNS 統合に関する記事を参照してください。
Private Link の全般的なトラブルシューティングガイドについては、「Azure プライベートエンドポイント接続に関する問題のトラブルシューティング」を参照してください。
Azure Virtual Desktop サービスの接続のしくみについては、Azure Virtual Desktop のネットワーク接続に関する記事を参照してください。
Azure Virtual Desktop サービスへのネットワークアクセスを確保するためにブロックを解除する必要がある URL の一覧については、「必要な URL リスト」を参照してください。

Private Link with Azure Virtual Desktop を設定する

必須コンポーネント

サブスクリプションで Azure Virtual Desktop で Private Link を有効にする

Azure Virtual Desktop に Private Link を登録する (Azure for US Government および 21Vianet が運営するAzure の場合のみ)

リソース プロバイダーを再登録する

プライベート エンドポイントを作成する

ホスト プールへの接続

フィードのダウンロード

初期フィード検出

パブリック ルートを閉じる

Azure Virtual Desktop を使用してルートを制御する

ワークスペース

ホスト プール

ネットワーク セキュリティ グループまたは Azure Firewall を使用してパブリック ルートをブロックする

Private Link with Azure Virtual Desktop を検証する

各プライベート エンドポイントの接続状態を確認する

ワークスペース

ホスト プール

セッション ホストの状態を確認する

ユーザーが接続できることを確認する

次のステップ

その他のリソース

リソースプロバイダーを再登録する

プライベートエンドポイントを作成する

ホストプールへの接続

パブリックルートを閉じる

ホストプール

ネットワークセキュリティグループまたは Azure Firewall を使用してパブリックルートをブロックする

各プライベートエンドポイントの接続状態を確認する

ホストプール

セッションホストの状態を確認する