Azure Virtual Desktop ネットワーク トポロジと接続設計ガイダンス

この記事では、Azure ランディング ゾーン内で Azure Virtual Desktop (AVD) のネットワーク トポロジと接続を設計する方法について説明します。 これは、技術的な意思決定者が、Azure、プライベート ネットワーク、パブリック インターネット全体のセキュリティで保護されたスケーラブルな接続を確保するためにチームが従う必要があるネットワーク要件を理解するのに役立ちます。 組織が AVD をデプロイする前に、Azure ランディング ゾーンを配置しておく必要があります。 次に、AVD リソースをアプリケーション ランディング ゾーンにデプロイします。

AVD ネットワーク コンポーネント

コア ネットワーク コンポーネント

• Azure Virtual Network は、Azure のプライベート ネットワークの基本的な構成要素です。 Virtual Network を使用すると、Azure Virtual Machines などのさまざまな種類の Azure リソースが、相互、インターネット、およびオンプレミスのデータセンターと通信できます。 仮想ネットワークは、自社のデータセンターで動作している従来のネットワークに似ています。 ただし、仮想ネットワークには、スケール、可用性、分離という Azure インフラストラクチャの利点があります。
• Hub-Spoke ネットワーク トポロジ は、ハブ仮想ネットワークが複数のスポーク仮想ネットワークへの接続の中心点として機能するネットワーク アーキテクチャの一種です。 ハブは、オンプレミスのデータセンターへの接続ポイントにすることもできます。 スポーク仮想ネットワークはハブとピアリングし、ワークロードの分離に役立ちます。
• Azure Virtual WAN は、ネットワーク、セキュリティ、ルーティングの機能を 1 つの運用インターフェイスにまとめるネットワーク サービスです。

セキュリティで保護されたアクセスとトラフィック制御

• ネットワーク セキュリティ グループ は、Azure 仮想ネットワーク内の Azure リソースとの間のネットワーク トラフィックをフィルター処理するために使用されます。 ネットワーク セキュリティ グループには、いくつかの種類の Azure リソースとの受信ネットワーク トラフィックまたは送信ネットワーク トラフィックを許可または拒否するセキュリティ規則が含まれています。
• アプリケーション セキュリティ グループ は、アプリケーションの構造の自然な拡張機能としてネットワーク セキュリティを構成する方法を提供します。 アプリケーション セキュリティ グループを使用して、仮想マシンをグループ化し、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。 明示的な IP アドレスを手動で維持しなくても、セキュリティ ポリシーを大規模に再利用できます。
• NAT ゲートウェイは、インターネットへのプライベート サブネットエグレス トラフィックに NAT サービスを提供します。 応答パケットを除き、受信トラフィックは許可されません。 このセットアップにより、Azure Virtual Desktop 環境は、インターネットに明示的にエグレスし、ファイアウォールまたは NVA 経由で AVD サービス トラフィックを送信する場合のパフォーマンスの影響を軽減できます。

ルーティングと最適化

• Azure Firewall またはネットワーク仮想アプライアンス (NVA) は、接続、アプリケーション制御、ワイド エリア ネットワーク (WAN) の最適化、セキュリティなどの機能をサポートするネットワーク デバイスです。 NVA には、マーケットプレースで見つかった Azure Firewall とベンダー ネットワーク アプライアンスが含まれます。
• ユーザー定義ルート (UDR) を 使用して、Azure の既定のシステム ルートをオーバーライドできます。 また、UDR を使用して、特定のトラフィックと Azure サービスをネットワークと Azure の宛先にルーティングできるサブネット ルート テーブルに追加のルートを追加することもできます。

Azure Virtual Desktop の機能強化

• リモート デスクトップ プロトコル Shortpath (RDP Shortpath) は、 ユニバーサル レートコントロール プロトコル (URCP) に基づく Azure Virtual Desktop の機能です。 RDP Shortpath は、サポートされている Windows リモート デスクトップ クライアントと Azure Virtual Desktop セッション ホスト間でユーザー データグラム プロトコル (UDP) を使用する直接トランスポートを確立します。 URCP は、ネットワーク状態とサービス品質 (QoS) 機能のアクティブな監視を提供することで、UDP 接続を強化します。
• Azure Virtual Desktop を使用した Azure Private Link (省略可能) は、Azure の プライベート エンドポイント を使用して、セッション ホストを Azure Virtual Desktop サービスに接続する方法を提供します。 Private Link を使用すると、仮想ネットワークと Azure Virtual Desktop サービス間のトラフィックが Microsoft バックボーン ネットワーク上を移動します。 その結果、Azure Virtual Desktop サービスにアクセスするためにパブリック インターネットに接続する必要はありません。

AVD ネットワークに関する推奨事項

Azure Virtual Desktop では、信頼性の高い接続、セキュリティ、パフォーマンスを確保するために、特定のネットワーク設計上の考慮事項が必要です。 ネットワーク アーキテクチャは、仮想デスクトップ環境全体のユーザー エクスペリエンス、データ保護、運用効率に直接影響します。

AVD ネットワーク トポロジの計画

VPN と ExpressRoute の間のトランジット接続が必要な場合は、Virtual WAN を使用します。 Virtual WAN には、Microsoft が管理するハブ アンド スポーク モデル (仮想ハブ + 接続された仮想ネットワーク) と、組み込みの推移的ルーティングが用意されています。 マネージド グローバル トランジットと統合ルーティング/セキュリティが必要な場合は、Virtual WAN を使用します。

AVD ID サービスを構成する

• Microsoft Entra Domain Services に参加している VM: Azure Virtual Desktop ネットワークが ID サービスをホストしているネットワークに接続されていることを確認します。

• Microsoft Entra ID 参加済み VM: Azure Virtual Desktop セッション ホストは、Microsoft Entra ID パブリック エンドポイントへの送信接続を作成します。 プライベート接続の構成は必要ありません。

AVD DNS の構成

Azure Virtual Desktop セッション ホストには、サービスとしての他のインフラストラクチャ (IaaS) ワークロードと同じ名前解決要件があります。 その結果、カスタム DNS サーバーへの接続や、Azure プライベート DNS ゾーンへの仮想ネットワーク リンクを介したアクセスが必要になります。 ストレージ アカウントやキー管理サービスなど、サービスとしての特定のプラットフォーム (PaaS) サービスのプライベート エンドポイント名前空間をホストするには、追加の Azure プライベート DNS ゾーンが必要です。 詳細については、Azure プライベート エンドポイントの DNS 構成に関するページを参照してください。

必要に応じて、電子メール ベースのフィード検出を構成して、ユーザーのオンボードを簡略化できます。 最新の Azure Virtual Desktop クライアントは、DNS ベースの電子メール検出を使用せずに、サービス経由のワークスペース検出を使用して直接サブスクライブすることもできます。 詳細については、「 RDS フィードをサブスクライブするための電子メール検出の設定」を参照してください。

AVD の帯域幅と待機時間を最適化する

Azure Virtual Desktop では RDP が使用されます。 RDP の詳細については、「 リモート デスクトップ プロトコル (RDP) の帯域幅要件」を参照してください。

接続の待機時間は、ユーザーと VM の場所によって異なります。 Azure Virtual Desktop サービスは、待ち時間を短縮するために、新しい地域に継続的にロールアウトされます。 Azure Virtual Desktop クライアントで発生する待機時間を最小限に抑えるには、 Azure Virtual Desktop Experience Estimator を使用します。 このツールは、クライアントからのラウンドトリップ時間 (RTT) サンプルを提供します。 この情報を使用して、エンド ユーザーに最も近く、RTT が最も低いリージョンにセッション ホストを配置できます。 推定ツールからの結果の解釈については、「 Azure Virtual Desktop での接続品質の分析」を参照してください。

RDP Shortpath を使用して AVD QoS ポリシーを実装する

マネージド ネットワーク用の RDP Shortpath は、リモート デスクトップ クライアントとセッション ホスト間の直接 UDP ベースのトランスポートを提供します。 マネージド ネットワークの RDP Shortpath は、RDP データの QoS ポリシーを構成する方法を提供します。 Azure Virtual Desktop の QoS を使用すると、ネットワーク遅延の影響を受けやすいリアルタイムの RDP トラフィックを、機密性の低いトラフィックの前で "ラインでカット" できます。 RDP Shortpath は、次の 2 つの方法で使用できます。

• マネージド ネットワークでは、ExpressRoute 接続や VPN などのプライベート接続を使用するときに、クライアントとセッション ホストの間で直接接続が確立されます。

• パブリック ネットワークでは、パブリック接続を使用するときにクライアントとセッション ホストの間に直接接続が確立されます。 パブリック接続の例としては、ホーム ネットワーク、コーヒーショップ ネットワーク、ホテル ネットワークなどがあります。 パブリック接続を使用する場合は、2 種類の接続が可能です。 STUN プロトコルを使用するクライアントとセッション ホスト間の直接 UDP 接続。 RDP クライアントとセッション ホスト間のリレーで TURN プロトコルを使用する間接 UDP 接続。 このオプションは、ゲートウェイまたはルーターが直接 UDP 接続を許可していない場合に使用されます。

RDP パスは、RDP マルチトランスポート機能を拡張します。 逆方向接続トランスポートは置き換えられませんが、補完されます。 初期セッション ブローカーは、Azure Virtual Desktop サービスとリバース接続トランスポート (TCP ベース) を介して管理されます。 最初に逆方向接続セッションと一致しない限り、接続試行はすべて無視されます。

UDP ベースの RDP Shortpath は、認証後に確立されます。 RDP Shortpath が正常に確立されると、リバース接続トランスポートが破棄されます。 その後、このセクションで前述したいずれかの RDP Shortpath メソッドを介して、すべてのトラフィックが流れます。 詳細については、 Azure Virtual Desktop の RDP Shortpath に関するページを参照してください。

詳細については、「Azure Virtual Desktop のサービス品質 (QoS) を実装する」を参照してください。

AVD インターネット アクセスをセキュリティで保護する

Azure Virtual Desktop コンピューティング リソースとクライアントは、特定のパブリック エンドポイントにアクセスする必要があるため、インターネットにバインドされた接続が必要です。 セキュリティとフィルター処理を強化するための強制トンネリングなどのネットワーク シナリオは、Azure Virtual Desktop の要件が満たされている場合にサポートされます。

Azure Virtual Desktop セッション ホストとクライアント デバイスの要件を理解するには、「 Azure Virtual Desktop に必要な URL」を参照してください。

AVD ポートとプロトコルの要件を検証する

Azure Virtual Desktop 接続モデルでは、次のポートとプロトコルが使用されます。

• 標準モデル: 443/TCP
• RDP ショートパス モデル: STUN または TURN プロトコルの場合、443/TCP および 3390/UDP または 3478/UDP

AVD ビジネス継続性とディザスター リカバリー

ビジネス継続性とディザスター リカバリーには、特定のネットワーク設定が必要です。 具体的には、ターゲット環境にリソースをデプロイして復旧するには、次のいずれかの構成を使用します。

• ソース環境と同じ機能を持つネットワークのセットアップ
• ID サービスと DNS サービスに接続できるネットワークセットアップ

AVD ネットワークのシナリオ

Azure Virtual Desktop ランディング ゾーンを確立するには、ネットワーク機能の設計と実装が重要です。 Azure ネットワーク製品とサービスは、さまざまな機能をサポートしています。 選択するアーキテクチャとサービスの構成方法は、組織のワークロード、ガバナンス、要件によって異なります。

次の主な要件と考慮事項は、Azure Virtual Desktop のデプロイの決定に影響します。

• インターネットのイングレスとエグレスの要件。
• NVA は現在のアーキテクチャで使用されます。
• 標準ハブ仮想ネットワークまたは Virtual WAN ハブへの Azure Virtual Desktop 接続。
• セッション ホスト接続モデル。 ネイティブ モデルまたは RDP Shortpath を使用できます。
• トラフィック検査の要件:
  • Azure Virtual Desktop からのインターネット エグレス。
  • Azure Virtual Desktop へのインターネットイングレス。
  • オンプレミスのデータセンターへの Azure Virtual Desktop トラフィック。
  • 他の Virtual Network インスタンスへの Azure Virtual Desktop トラフィック。
  • Azure Virtual Desktop 仮想ネットワーク内のトラフィック。

Azure Virtual Desktop の最も一般的なネットワーク シナリオは、ハイブリッド接続を備えたハブアンドスポーク トポロジです。

シナリオ 1: ハイブリッド接続を使用したハブとスポーク

このシナリオでは、標準セッション ホスト接続モデルを使用します。

ハイブリッド接続を使用したハブアンドスポークの顧客プロファイル

このシナリオは、次の場合に最適です。

• Azure Virtual Desktop ネットワークとその他の Azure 仮想ネットワーク間のトラフィック検査は必要ありません。
• Azure Virtual Desktop ネットワークとオンプレミスのデータセンター間のトラフィック検査は必要ありません。
• Azure Virtual Desktop ネットワークからのインターネット送信トラフィックのトラフィック検査は必要ありません。
• Azure Virtual Desktop 送信インターネット接続のソース ネットワーク アドレス変換 (SNAT) 中に使用されるパブリック IP アドレスを制御する必要はありません。
• Azure Virtual Desktop ネットワーク内部トラフィックは適用されません。
• Azure ExpressRoute またはサイト間 (S2S) 仮想プライベート ネットワーク (VPN) を介して、オンプレミス環境への既存のハイブリッド接続が確立されている。
• Active Directory Domain Services (AD DS) およびドメイン ネーム システム (DNS) カスタム サーバーが既に存在している。
• Azure Virtual Desktop は、RDP Shortpath ではなく標準の接続モデルを使用して使用します。

ハイブリッド接続を使用したハブアンドスポークのアーキテクチャ コンポーネント

このシナリオは、次の方法で実装できます。

• AD DS サーバーとカスタム DNS サーバー。
• ネットワーク セキュリティ グループ。
• Azure Network Watcher。
• 既定の Azure 仮想ネットワーク パス経由の送信インターネット。
• オンプレミス システムへのハイブリッド接続のための ExpressRoute または VPN 仮想ネットワーク ゲートウェイ。
• Azure プライベート DNS ゾーン。
• Azure プライベート エンドポイント。
• Azure Files ストレージ アカウント。
• Azure Key Vault。

完全な Azure Virtual Desktop マルチリージョン回復性アーキテクチャの Visio ファイル をダウンロードします。

ハイブリッド接続を使用したハブアンドスポークに関する考慮事項

• このシナリオでは、クライアントとパブリックまたはプライベート セッション ホスト間の直接ネットワーク接続には対応していません。 このシナリオでは RDP Shortpath を使用できません。
• パブリック エンドポイントを使用する Azure Virtual Desktop コントロール プレーン ゲートウェイは、クライアント接続を管理します。 その結果、Azure Virtual Desktop クライアントは、必要な Azure Virtual Desktop URL への送信接続を作成できます。 必要な URL の詳細については、この記事の「インターネット」セクションと Azure Virtual Desktop に必要な URL を参照してください。
• セッション ホストへのパブリック IP アドレスやその他のパブリック受信パスは必要ありません。 クライアントからセッション ホストへのトラフィックは、Azure Virtual Desktop コントロール プレーン ゲートウェイを経由します。
• Azure Virtual Desktop スポーク間に仮想ネットワーク ピアリングはありません。 すべてのトラフィックが接続ハブを通過します。
• Azure Virtual Desktop セッション ホストからの送信インターネット接続は、既定の Azure 送信ネットワーク アドレス変換 (NAT) プロセスを経由します。 動的 Azure パブリック IP アドレスが使用されます。 お客様は、使用される送信パブリック IP アドレスを制御できなくなります。
• セッション ホストから Azure Files ストレージ アカウントへの接続は、プライベート エンドポイントを使用して確立されます。
• Azure プライベート DNS ゾーンは、次のサービスのプライベート エンドポイント名前空間を解決するために使用されます。
  • 名前を使用する Azure Files ストレージ アカウント privatelink.file.core.windows.net
  • 名前を使用するキー コンテナー privatelink.vaultcore.azure.net
• このシナリオでは、ネットワーク フィルター処理は適用されません。 ただし、ネットワーク セキュリティ グループはすべてのサブネットに配置されるため、トラフィックを監視して分析情報を導き出すことができます。 Network Watcher では、トラフィック分析とネットワーク セキュリティ グループフローログ機能がこれらの目的で使用されます。

シナリオ 2: RDP Shortpath を使用したマネージド ネットワーク経由のハイブリッド接続を使用したハブとスポーク

デプロイの詳細なガイダンスについては、 マネージド ネットワークの RDP Shortpath 接続に関する記事を参照してください。

RDP Shortpath を使用したマネージド ネットワーク経由のハイブリッド接続を使用したハブアンドスポークの顧客プロファイル

このシナリオは、次の場合に最適です。

• Azure Virtual Desktop セッション ホストへのインターネット経由接続の数を制限する必要があります。
• ExpressRoute または S2S またはポイント対サイト (P2S) VPN を介して、オンプレミス環境から Azure への既存のハイブリッド接続が確立されている。
• RDP クライアントと Azure Virtual Desktop ホストの間には、直接の見通しネットワーク接続があります。 通常、このシナリオでは、次のいずれかの設定が使用されます。
  • Azure Virtual Desktop Azure ネットワークにルーティングされるオンプレミス ネットワーク
  • Azure Virtual Desktop Azure 仮想ネットワークにルーティングされるクライアント VPN 接続
• VPN や ExpressRoute などのプライベート ネットワーク経由での VM ホストの帯域幅の使用を制限する必要があります。
• ネットワーク上の Azure Virtual Desktop トラフィックに優先順位を付けます。
• Azure Virtual Desktop ネットワークとその他の Azure 仮想ネットワーク間のトラフィック検査は必要ありません。
• Azure Virtual Desktop ネットワークとオンプレミスのデータセンター間のトラフィック検査は必要ありません。
• 既存の AD DS または DNS カスタム サーバーがある。

RDP Shortpath を使用したマネージド ネットワーク経由のハイブリッド接続を使用したハブアンドスポークのアーキテクチャ コンポーネント

このシナリオは、次の方法で実装できます。

• 十分な帯域幅を持つオンプレミス環境へのハイブリッド接続のための ExpressRoute または VPN 仮想ネットワーク ゲートウェイ。
• AD DS サーバーとカスタム DNS サーバー。
• ネットワーク セキュリティ グループ。
• 既定の Azure 仮想ネットワーク パス経由の送信インターネット。
• ドメイン グループ ポリシー オブジェクト (GPO) またはローカル GPO。
• Azure Files ストレージ アカウント。
• Azure プライベート エンドポイント。
• Azure プライベート DNS ゾーン。

RDP Shortpath を使用したマネージド ネットワーク経由のハイブリッド接続を使用したハブアンドスポークに関する考慮事項

• ハイブリッド接続は、ポート 3390 上のプライベート VM ホストへの RDP クライアントダイレクト ネットワーク接続を使用して、VPN または ExpressRoute 経由で使用できる必要があります。

• ドメイン GPO またはローカル GPO を使用して、マネージド ネットワーク経由で UDP を有効にする 必要があります。
• ハイブリッド接続には、VM ホストへの UDP 直接接続を可能にするために十分な帯域幅が必要です。
• ハイブリッド接続には、VM ホストへの接続を許可する直接ルーティングが必要です。
• パブリック エンドポイントを使用する Azure Virtual Desktop コントロール プレーン ゲートウェイは、クライアント接続を管理します。 その結果、Azure Virtual Desktop クライアントは、必要な Azure Virtual Desktop URL への送信接続を作成できます。 必要な URL の詳細については、この記事の「インターネット」セクションと Azure Virtual Desktop に必要な URL を参照してください。
• セッション ホストへのパブリック IP アドレスやその他のパブリック受信パスは必要ありません。 クライアントからセッション ホストへのトラフィックは、Azure Virtual Desktop コントロール プレーン ゲートウェイを経由します。
• Azure Virtual Desktop セッション ホストからの送信インターネット接続は、既定の Azure 送信 NAT プロセスを経由します。 動的 Azure パブリック IP アドレスが使用されます。 お客様は、使用される送信パブリック IP アドレスを制御できなくなります。
• セッション ホストから Azure Files ストレージ アカウントへの接続は、プライベート エンドポイントを使用して確立されます。
• Azure プライベート DNS ゾーンは、プライベート エンドポイント名前空間を解決するために使用されます。
• このシナリオでは、ネットワーク フィルター処理は適用されません。 ただし、ネットワーク セキュリティ グループはすべてのサブネットに配置されるため、トラフィックを監視して分析情報を導き出すことができます。 Network Watcher では、トラフィック分析とネットワーク セキュリティ グループフローログ機能がこれらの目的で使用されます。

シナリオ 3: RDP Shortpath を使用したパブリック ネットワークとのハブ アンド スポーク

デプロイの詳細なガイダンスについては、 パブリック ネットワークの RDP Shortpath 接続に関する記事を参照してください。

RDP Shortpath を使用したパブリック ネットワークでのハブとスポークの顧客プロファイル

このシナリオは、次の場合に最適です。

• Azure Virtual Desktop クライアント接続は、パブリック インターネットを経由します。 一般的なシナリオには、自宅からのユーザー、企業ネットワークに接続されていないリモートブランチ オフィスユーザー、リモート請負業者ユーザーなどがあります。
• Azure Virtual Desktops セッション ホストへの長い待機時間または低帯域幅の接続があります。
• QoS ネットワーク ポリシーを使用して、Azure Virtual Desktop セッション ホストの帯域幅の使用を制限する必要があります。
• QoS ポリシーを使用して、ネットワーク上の Azure Virtual Desktop トラフィックに優先順位を付けます。
• クライアント RDP 接続は、帯域幅と速度に一貫性のないネットワークから開始されます。
• Azure Virtual Desktop セッション ホストからの直接送信接続がある。 オンプレミス ネットワークを介した強制トンネル ルーティングは使用しません。
• Azure Virtual Desktop ネットワークとその他の Azure 仮想ネットワーク間のトラフィック検査は必要ありません。
• Azure Virtual Desktop ネットワークとオンプレミスのデータセンター間のトラフィック検査は必要ありません。
• 既存の AD DS または DNS カスタム サーバーがある。

RDP Shortpath を使用したパブリック ネットワークでのハブアンドスポークのアーキテクチャ コンポーネント

このシナリオは、次の方法で実装できます。

• オンプレミス環境へのハイブリッド接続のための ExpressRoute または VPN 仮想ネットワーク ゲートウェイ。 このセットアップは、オンプレミスのアプリケーション、データ、または AD DS 接続への接続をサポートするのに十分な帯域幅がある場合に適しています。 強制トンネリングを使用して、オンプレミスルーター経由で Azure Virtual Desktop トラフィックを送信することはお勧めしません。
• AD DS サーバーとカスタム DNS サーバー。
• ネットワーク セキュリティ グループ。
• Network Watcher。
• 既定の Azure 仮想ネットワーク パス経由の送信インターネット。
• ドメイン GPO またはローカル GPO。
• Azure Files ストレージ アカウント。
• Azure プライベート エンドポイント。
• Azure プライベート DNS ゾーン。

RDP Shortpath を使用したパブリック ネットワークでのハブとスポークに関する考慮事項

• 次の種類の接続を許可します。

  • ポート 3478 のリレー NAT (TURN) サービスを使用した、Azure Virtual Desktop セッション ホストから Azure Virtual Desktop セッション トラバーサル ユーティリティ (STUN) およびトラバーサルへの送信 UDP 接続
  • ポート範囲 49152 ~ 65535 の RDP クライアントからの UDP 接続

  これらの接続を構成する設定は既定で有効になり、伝送制御プロトコル (TCP) 逆接続と同じレベルの暗号化が維持されます。 RDP クライアントのポート範囲の制限については、「 パブリック ネットワークに RDP Shortpath を使用する場合のポート範囲の制限」を参照してください。

• パブリック エンドポイントを使用する Azure Virtual Desktop コントロール プレーン ゲートウェイは、クライアント接続を管理します。 その結果、Azure Virtual Desktop クライアントは、必要な Azure Virtual Desktop URL への送信接続を作成できます。 必要な URL の詳細については、この記事の「インターネット」セクションと Azure Virtual Desktop に必要な URL を参照してください。

• 通常、ホーム ユーザー ネットワークにあるコンシューマー ルーターでは、ユニバーサル プラグ アンド プレイ (UPnP) が有効になっている必要があります。

• セッション ホストへのパブリック IP アドレスやその他のパブリック受信パスは必要ありません。 クライアントからセッション ホストへのトラフィックは、Azure Virtual Desktop コントロール プレーン ゲートウェイを経由します。

• Azure Virtual Desktop セッション ホストからの送信インターネット接続は、既定の Azure 送信 NAT プロセスを経由します。 動的 Azure パブリック IP アドレスが使用されます。 お客様は、使用される送信パブリック IP アドレスを制御できなくなります。

• セッション ホストで、差別化されたサービス コード ポイント (DSCP) マーキングを構成する必要があります。 この構成には、ローカル GPO またはドメイン GPO を使用します。 DSCP マーカーを使用すると、ネットワーク デバイスは Azure Virtual Desktop トラフィックに QoS ポリシーを適用できます。 詳細については、「Azure Virtual Desktop のサービス品質 (QoS) を実装する」を参照してください。

• セッション ホストから Azure Files ストレージ アカウントへの接続は、プライベート エンドポイントを使用して確立されます。

• Azure プライベート DNS ゾーンは、プライベート エンドポイント名前空間を解決するために使用されます。

• このシナリオでは、ネットワーク フィルター処理は適用されません。 ただし、ネットワーク セキュリティ グループはすべてのサブネットに配置されるため、トラフィックを監視して分析情報を導き出すことができます。 Network Watcher では、トラフィック分析とネットワーク セキュリティ グループフローログ機能がこれらの目的で使用されます。

次のステップ

Azure Virtual Desktop エンタープライズ規模のシナリオのリソース編成について説明します。