Share via

Windows 365 Government のテナントを設定する

  • [アーティクル]

Windows 365を使用する最も速い方法は、AADJ、ギャラリー イメージ、Microsoft Hosted Network オプションを使用することです。 このページの手順は、次のいずれかまたは両方を使用する必要がある場合のみです。

  • カスタム イメージ。 Windows 365は、Microsoft 365 アプリがプレインストールされているイメージを含む、最適化されたギャラリー イメージを提供します。 ギャラリー イメージを展開した後、Intune を使用して 、一般的な設定 とアプリケーションの 展開をさらにカスタマイズできます。 既存のカスタム イメージを使用する必要がある場合は、詳細については、「 カスタム イメージの追加」を参照してください。
  • Azure Network Connections (ANC)。 ANC を使用すると、管理する仮想ネットワークに接続されているクラウド PC をプロビジョニングできます。 たとえば、次のような情報が含まれます。
    • Azure Virtual Network (VNet)。
    • Azure VPN Gatewayまたは ExpressRoute 経由の専用接続。
    • クラウド PC リソースなど、その他の Azure リソース。
  • 詳細については、「 Azure ネットワーク接続の作成」を参照してください。

Government Community Cloud (GCC) のお客様のみ、次の手順に従って、Intune を Azure で実行して、Azure Government リージョンで実行されているクラウド PC を管理できます。

注:

  • Government を使用するためにAzure Government サブスクリプションは必要ありませんWindows 365。 これらの手順は GCC 専用であり、カスタム イメージや Azure Network Connectionsが必要な場合にのみ行います。 このページの手順は GCC High には適用されません。
  • Azure Government サブスクリプションを持っていない、または Azure との統合が必要な政府機関のお客様は、Windows 365 Enterpriseの使用を検討してください。 これがコンプライアンス要件を満たしていることを確認します。 Windows 365 Enterpriseは FedRAMP に準拠しています。 「Windows 365 サービスの説明」を参照してください

はじめに

テナント マッピングとカスタム イメージのアクセス許可の付与、または独自のネットワークへの接続の両方について、次のものが必要です。

  • Azure Government サブスクリプション。
  • 次を持つユーザーの資格情報。
    • Azure テナントのグローバル管理者ロール (onmicrosoft.com で終わる)。
  • 次を持つユーザーの資格情報。
    • Azure Government サブスクリプションの所有者ロール、AND
    • Azure Government テナントのグローバル管理者ロール (onmicrosoft.us で終わる)。
  • ライセンス要件を満たすため。
  • (該当する場合)Azure ネットワーク接続を設定するためのアクセス許可を適用するには、次の情報を参照してください。 仮想ネットワークとサブネットが既に存在している必要があります。
    • サブスクリプション ID。
    • リソース グループ。
    • Virtual Network。
    • サブネット。

注:

GCC ユーザーのクラウド PC は、Azure Government クラウドでホストおよびセキュリティ保護されていますが、管理者とエンド ユーザーのエンドポイントは商用 Azure ドメインにあります。 ユーザーは、Microsoft Entra IDと同期された資格情報を使用してクラウド PC にログインします。

Microsoft Entra オプション

Microsoft Entra結合またはハイブリッド結合Microsoft Entra使用する場合は、次の準備を検討してください。

Microsoft Entra参加済みクラウド PC: Microsoft Entra参加インフラストラクチャと独自のネットワークを使用する場合は、Azure Government クラウドにテナントと Azure サブスクリプションが必要です。 Azure .com ドメイン内のテナントは、Azure Government (.us) ドメイン内のテナントにマップする必要があります。

ハイブリッド Microsoft Entra参加済みクラウド PC: Microsoft Entra ハイブリッド参加インフラストラクチャを使用する場合は、Azure Virtual Networks を作成する前に、商用 (.com) テナントと政府機関 (.us) テナントを構成する必要があります。

GCC セットアップ ツールの準備Windows 365

Windows 365 GCC セットアップ ツールがテナント マッピングを完了するには、Windows 365 Microsoft Entra アプリケーションに、サービス プリンシパルを介してAzure Government AD テナントにアクセスするためのアクセス許可が付与されている必要があります。 サービス プリンシパル オブジェクトは、アプリがテナントで実行できる内容、アプリにアクセスできるユーザー、アプリがアクセスできるリソースを定義します。 WINDOWS 365 GCC セットアップ ツールを初めて実行する前に、次の操作を行う必要があります。

  1. まだ完了していない場合は、サービス プリンシパルを作成するコンピューターに Azure CLI をインストールします。 詳細については、「 Azure CLI をインストールする方法」を参照してください。
  2. Azure CLI でサインインする」で定義されている Azure CLI の手順を使用して、Azure Government AD テナントにサインインします。 Windows 365 アプリのサービス プリンシパルを作成するには、グローバル管理者のアクセス許可が必要です。
  3. Azure でのサービス プリンシパルの操作の詳細については、「Azure CLI を 使用した Azure サービス プリンシパルの操作」を参照してください。 次の PowerShell コマンドを実行して、Windows 365 Microsoft Entra アプリのアクセス許可をテナントに付与します。 az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
  4. コマンドが正常に完了したら、次の PowerShell コマンドを実行して、サービス プリンシパルの詳細を表示できます。 az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Azure portalの [エンタープライズ アプリケーション] ブレードの [すべてのアプリケーション] ビューに、Windows 365 アプリケーションが表示されます。

Windows 365 App Service プリンシパルは、Windows 365でカスタム イメージと Azure Network Connection (ANC) サポートを構成するために必要な Azure リソースにのみアクセスできます。 作成後、サービス プリンシパルは、カスタム イメージ、ANC オブジェクト、およびそれらを使用する対応するクラウド PC がプロビジョニング解除されている場合にのみ削除できます。 そうしないと、クラウド PC プロビジョニング タスクが失敗し、既存のクラウド PC にアクセスできなくなる可能性があります。

Windows 365 GCC セットアップ ツールの概要

Windows 365 GCC セットアップ ツールを使用してテナント マッピングを構成するには、次の手順に従います。

  1. GCCSetupTool.exe を起動します。 このツールは で https://aka.ms/gccsetuptool使用できます。
  2. [ 始めましょう ] ページで、[ 次へ] を選択します。
  3. Azure アカウントでサインインします。 このアカウントには、グローバル管理者のアクセス許可が必要です。
  4. コマーシャル アカウント>を続行することを確認します。次へ
  5. Azure Government アカウント>でサインイン次に>資格情報を入力します。
  6. 引き続き政府機関アカウント > [次へ] を確認します。
  7. [ 有効にする機能の選択] 画面 で、[ カスタム イメージ ] が選択されていることを確認します。 このオプションは、以下のいずれかの機能が必要でない限り、Windows 365 GCC セットアップ ツールを実行する理由がないため、既定で選択されます。

    注:

    ANC には、カスタム イメージのアクセス許可が含まれています。

  8. [ Azure ネットワーク接続 ] を選択し、構成する サブスクリプション仮想ネットワークサブネット を選択します。 [次へ] を選択します。
  9. [ 設定の確認 ] ページで、行った選択内容を確認し、[許可] を選択 します
  10. セットアップが完了したら、ツールを閉じます。

トラブルシューティング

Windows 365 GCC セットアップ ツールの実行に問題がある場合:

  1. GCCSetupTool.exe が実行されているのと同じフォルダーで、[ ログ ] フォルダーに移動し、ファイルを確認します GCCAdminTool.log
  2. 引き続き問題が発生する場合は、 サポートに問い合わせて 、GCCADminTool.log ファイルを指定してください。

その後の GCC セットアップ ツールの使用

Windows 365 GCC セットアップ ツールは、初期セットアップ後にもう一度実行できます。 次の場合は、GCC セットアップ ツールをもう一度使用できます。

  • 以前に ANC を設定しなかったか、または
  • ANC の使用を他のネットワークに拡張したい。

代替スクリプト

ANC を設定するために GCC セットアップ ツールを使用する代わりに、次のスクリプトを使用して、より多くの ANC のアクセス許可を設定することもできます。

注:

ANC を設定するスクリプトを続行する前に、テナント マッピングが成功している必要があります。

connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
  1. Cloud Shellを設定していない場合 (Azure Storage アカウントが必要です)、スクリプトを実行するには、次の 2 つのオプションがあります。
    • スクリプトで [ コピー ] を選択し、コンピューターで PowerShell スクリプトをローカルで実行します。
    • [Cloudshell> を開く] を選択し、スクリプトをAzure Government サブスクリプションのCloud Shell セッション>に貼り付けてスクリプトを実行します。
  2. スクリプトを実行した後、プロンプトでオプション 2 を選択します。 このオプションは、ANC のアクセス許可を設定します。
  3. Azure Governmentサブスクリプションの一覧から、アクセス許可を付与するサブスクリプションを選択します。
  4. リソース グループの一覧から、使用するリソース グループを選択します。
  5. vNET を選択します。
  6. スクリプトはアクセス許可を付与し、構成された内容を一覧表示します。

次の手順

Windows 365 Government の詳細については、こちらをご覧ください