Azure Virtual Desktop の前提条件

Azure Virtual Desktop の使用を開始するために必要なものがいくつかあります。 ここでは、ユーザーにデスクトップとアプリケーションを正常に提供するために必要な前提条件を確認できます。

大まかに言うと、次のものが必要です。

アクティブなサブスクリプションを持つ Azure アカウント

Azure Virtual Desktop をデプロイするには、アクティブなサブスクリプションを持つ Azure アカウントが必要です。 まだアカウントをお持ちでない場合は、 無料でアカウントを作成できます。

Azure Virtual Desktop をデプロイするには、関連する Azure ロールベースのアクセス制御 (RBAC) ロールを割り当てる必要があります。 特定のロール要件については、「 次の手順 」セクションに記載されている、Azure Virtual Desktop をデプロイするための関連記事のそれぞれについて説明します。

また、サブスクリプションの Microsoft.DesktopVirtualization リソース プロバイダーを登録していることを確認します。 リソース プロバイダーの状態をチェックし、必要に応じて登録するには、シナリオに関連するタブを選択し、手順に従います。

ID

セッション ホストからデスクトップとアプリケーションにアクセスするには、ユーザーが認証できる必要があります。 Microsoft Entra IDは、この機能を有効にする Microsoft の一元化されたクラウド ID サービスです。 Microsoft Entra IDは、常に Azure Virtual Desktop のユーザーを認証するために使用されます。 セッション ホストは、同じMicrosoft Entra テナントに参加することも、Active Directory Domain Services (AD DS) またはMicrosoft Entra Domain Servicesを使用して Active Directory ドメインに参加して、柔軟な構成オプションを選択できます。

セッション ホスト

デスクトップとアプリケーションをユーザーと同じMicrosoft Entraテナント、または Active Directory ドメイン (AD DS またはMicrosoft Entra Domain Services) に提供するセッション ホストに参加する必要があります。

セッション ホストをMicrosoft Entra IDまたは Active Directory ドメインに参加させるには、次のアクセス許可が必要です。

• Microsoft Entra IDには、コンピューターをテナントに参加できるアカウントが必要です。 詳細については、「 デバイス ID の管理」を参照してください。 セッション ホストをMicrosoft Entra IDに参加させる方法の詳細については、「参加済みセッション ホストMicrosoft Entra」を参照してください。

• Active Directory ドメインの場合は、コンピューターをドメインに参加できるドメイン アカウントが必要です。 Microsoft Entra Domain Servicesの場合は、AAD DC Administrators グループのメンバーである必要があります。

ユーザー

ユーザーには、Microsoft Entra IDにあるアカウントが必要です。 Azure Virtual Desktop のデプロイで AD DS またはMicrosoft Entra Domain Servicesも使用している場合、これらのアカウントはハイブリッド ID である必要があります。つまり、ユーザー アカウントは同期されます。 使用する ID プロバイダーに基づいて、次の点に留意する必要があります。

• AD DS でMicrosoft Entra IDを使用している場合は、MICROSOFT ENTRA Connect を構成して AD DS とMicrosoft Entra IDの間でユーザー ID データを同期する必要があります。
• Microsoft Entra Domain ServicesでMicrosoft Entra IDを使用している場合、ユーザー アカウントはMicrosoft Entra IDからMicrosoft Entra Domain Servicesに一方向に同期されます。 この同期プロセスは自動です。

サポートされている ID シナリオ

次の表は、Azure Virtual Desktop が現在サポートしている ID シナリオをまとめたものです。

シングル サインオンや多要素認証など、サポートされる ID シナリオの詳細については、「 サポートされている ID と認証方法」を参照してください。

FSLogix プロファイル コンテナー

セッション ホストに参加してMicrosoft Entra IDするときに FSLogix プロファイル コンテナーを使用するには、プロファイルをAzure FilesまたはAzure NetApp Filesに格納する必要があり、ユーザー アカウントはハイブリッド ID である必要があります。 AD DS でこれらのアカウントを作成し、Microsoft Entra IDに同期する必要があります。 さまざまな ID シナリオでの FSLogix プロファイル コンテナーのデプロイの詳細については、次の記事を参照してください。

• Azure FilesとActive Directory Domain ServicesまたはMicrosoft Entra Domain Servicesを使用して FSLogix プロファイル コンテナーを設定します。
• Azure FilesとMicrosoft Entra IDを使用して FSLogix プロファイル コンテナーを設定します。
• Azure NetApp Filesを使用して FSLogix プロファイル コンテナーを設定する

デプロイ パラメーター

セッション ホストをデプロイするときは、次の ID パラメーターを入力する必要があります。

• AD DS またはMicrosoft Entra Domain Servicesを使用している場合は、ドメイン名。
• セッション ホストをドメインに参加させる資格情報。
• 組織単位 (OU) は、展開時に目的の OU にセッション ホストを配置できる省略可能なパラメーターです。

オペレーティング システムとライセンス

セッション ホストでデスクトップとアプリケーションを提供するために使用できるオペレーティング システム (OS) を選択できます。 異なるホスト プールを持つ異なるオペレーティング システムを使用して、ユーザーに柔軟性を提供できます。 次の表の一覧では、64 ビット オペレーティング システムと SKU (サポートされているバージョンと日付が Microsoft ライフサイクル ポリシーと一緒にインラインである場合) と、各商用目的に適用されるライセンス方法がサポートされています。

ユーザーごとのアクセス価格など、使用できるライセンスの詳細については、「 Azure Virtual Desktop のライセンス」を参照してください。

Azure の場合は、Azure Marketplaceで Microsoft によって提供されるオペレーティング システム イメージを使用するか、Azure コンピューティング ギャラリーまたはマネージド イメージとして格納された独自のカスタム イメージを作成できます。 Azure Virtual Desktop 用のカスタム イメージ テンプレートを使用すると、セッション ホスト仮想マシン (VM) のデプロイ時に使用できるカスタム イメージを簡単に作成できます。 カスタム イメージを作成する方法の詳細については、次を参照してください。

• Azure Virtual Desktop のカスタム イメージ テンプレート
• Azure コンピューティング ギャラリーにイメージを格納して共有します。
• Azure で一般化された VM のマネージド イメージを作成します。

または、Azure Localのオペレーティング システム イメージは、次の場所から使用できます。

• Azure Marketplace。 詳細については、「Azure Marketplace イメージを使用して VM イメージAzure Local作成する」を参照してください。
• Azure Storage アカウント。 詳細については、「Azure Storage アカウントAzure Localイメージを使用して VM イメージを作成する」を参照してください。
• ローカル共有。 詳細については、「ローカル共有Azure Localイメージを使用して VM イメージを作成する」を参照してください。

次のいずれかの方法で、これらのイメージからセッション ホストとして使用する仮想マシン (VM) をデプロイできます。

• Azure portalのホスト プールのセットアップ プロセスの一部として、自動的に。
• Azure portal内の既存のホスト プールにセッション ホストを追加して手動で実行します。
• Azure CLI またはAzure PowerShellを使用したプログラムによる。

ライセンスで Azure Virtual Desktop を使用する権利がある場合は、別のライセンスをインストールまたは適用する必要はありませんが、外部ユーザーに対してユーザーごとのアクセス価格を使用している場合は、 Azure サブスクリプションを登録する必要があります。 セッション ホストで使用される Windows ライセンスが Azure で正しく割り当てられ、オペレーティング システムがアクティブ化されていることを確認する必要があります。 詳細については、「 セッション ホスト仮想マシンに Windows ライセンスを適用する」を参照してください。

Azure Local上のセッション ホストの場合は、Azure Virtual Desktop で使用する前に、使用する仮想マシンのライセンス認証とライセンス認証を行う必要があります。 Windows 10をアクティブ化し、マルチセッションをWindows 11 Enterpriseし、2022 DatacenterをWindows Serverする: Azure Edition では、VM の Azure 検証を使用します。 その他のすべての OS イメージ (Windows 10やWindows 11 Enterprise、その他のエディションのWindows Serverなど) については、引き続き既存のアクティブ化方法を使用する必要があります。 詳細については、「Azure LocalでWindows Server VM をアクティブ化する」を参照してください。

Network

Azure Virtual Desktop を正常にデプロイするために満たす必要があるネットワーク要件がいくつかあります。 これにより、ユーザーはデスクトップとアプリケーションに接続しながら、可能な限り最高のユーザー エクスペリエンスを提供できます。

Azure Virtual Desktop に接続しているユーザーは、サービスへの逆接続を安全に確立します。つまり、受信ポートを開く必要はありません。 ポート 443 の伝送制御プロトコル (TCP) は既定で使用されますが、RDP Shortpath は、直接ユーザー データグラム プロトコル (UDP) ベースのトランスポートを確立する マネージド ネットワーク と パブリック ネットワーク に使用できます。

Azure Virtual Desktop を正常にデプロイするには、次のネットワーク要件を満たす必要があります。

• セッション ホストの仮想ネットワークとサブネットが必要です。 セッション ホストをホスト プールと同時に作成する場合は、ドロップダウン リストに表示されるように、この仮想ネットワークを事前に作成する必要があります。 仮想ネットワークは、セッション ホストと同じ Azure リージョンに存在する必要があります。

• ドメインにセッション ホストを参加させる必要があるため、AD DS またはMicrosoft Entra Domain Servicesを使用している場合は、この仮想ネットワークがドメイン コントローラーと関連する DNS サーバーに接続できることを確認します。

• セッション ホストとユーザーは、Azure Virtual Desktop サービスに接続できる必要があります。 これらの接続では、特定の URL の一覧に対してポート 443 で TCP も使用されます。 詳細については、「 必要な URL リスト」を参照してください。 デプロイが適切に機能し、サポートされるようにするには、これらの URL がネットワーク フィルタリングまたはファイアウォールによってブロックされていないことを確認する必要があります。 ユーザーが Microsoft 365 にアクセスする必要がある場合は、セッション ホストが Microsoft 365 エンドポイントに接続できることを確認します。

また、次の点も考慮してください。

• ユーザーは、異なるネットワークでホストされているアプリケーションとデータにアクセスする必要がある場合があるため、セッション ホストがそれらに接続できることを確認してください。

• クライアントのネットワークからホスト プールを含む Azure リージョンへのラウンドトリップ時間 (RTT) 待機時間は、150 ミリ秒未満にする必要があります。 最適な待機時間を持つ場所を確認するには、 Azure ネットワークのラウンドトリップ待機時間の統計情報で目的の場所を検索します。 ネットワーク パフォーマンスを最適化するには、ユーザーに最も近い Azure リージョンにセッション ホストを作成することをお勧めします。

• Azure Virtual Desktop デプロイのAzure Firewallを使用して、環境をロックダウンし、送信トラフィックをフィルター処理するのに役立ちます。

• Azure で Azure Virtual Desktop 環境をセキュリティで保護するために、セッション ホストで受信ポート 3389 を開かないようにすることをお勧めします。 Azure Virtual Desktop では、開いている受信ポートを開く必要はありません。 トラブルシューティングのためにポート 3389 を開く必要がある場合は、 Just-In-Time VM アクセスを使用することをお勧めします。 また、セッション ホストにパブリック IP アドレスを割り当てないようにすることをお勧めします。

詳細については、「 Azure Virtual Desktop ネットワーク接続について」を参照してください。

セッション ホスト管理

セッション ホストを管理する場合は、次の点を考慮してください。

• Windows インストーラーを無効にするポリシーや構成は有効にしないでください。 Windows インストーラーを無効にした場合、サービスはセッション ホストにエージェント更新プログラムをインストールできません。また、セッション ホストが正しく機能しません。

• セッション ホストを AD DS ドメインに参加させ、Intuneを使用して管理する場合は、Microsoft Entra Connect を構成してハイブリッド参加Microsoft Entra有効にする必要があります。

• セッション ホストを Microsoft Entra Domain Services ドメインに参加させる場合、Intuneを使用して管理することはできません。

• セッション ホストMicrosoft Entra Windows Serverを使用している場合は、Intuneでサポートされていないため、Windows ServerをIntuneに登録することはできません。 Active Directory ドメインMicrosoft Entraハイブリッド参加とグループ ポリシー、または各セッション ホストのローカル グループ ポリシーを使用する必要があります。

Azure リージョン

ホスト プール、ワークスペース、アプリケーション グループは、次の Azure リージョンにデプロイできます。 このリージョンの一覧では、ホスト プールの メタデータ を格納できます。 ただし、ユーザー セッションのセッション ホストは、任意の Azure リージョンに配置でき、Azure Localで Azure Virtual Desktop を使用する場合はオンプレミスに配置できるため、ユーザーの近くにコンピューティング リソースをデプロイできます。 データと場所の種類の詳細については、「 Azure Virtual Desktop のデータの場所」を参照してください。

Azure Virtual Desktop は、 米国政府機関向け Azure や中国の 21Vianet が運営する Azure などのソブリン クラウドでも利用できます。

Azure Virtual Desktop サービスのアーキテクチャと回復性の詳細については、「 Azure Virtual Desktop サービスのアーキテクチャと回復性」を参照してください。

リモート セッションへの接続

ユーザーは、Windows Appまたはリモート デスクトップ クライアントを使用して、デスクトップとアプリケーションに接続する必要があります。 次の場所から接続できます。

• Windows
• macOS
• iOS/iPadOS
• Android/Chrome OS
• Web ブラウザー

詳細については、「デバイスとアプリに接続するためのWindows Appの概要」を参照してください。

クライアントが接続に使用する URL と、ファイアウォールとインターネット フィルターを介して許可する必要がある URL については、 必要な URL の一覧を参照してください。

次の手順

• Azure Virtual Desktop を試す準備ができたら、クイック スタートを使用して、マルチセッションを使用してサンプルの Azure Virtual Desktop 環境Windows 11 Enterpriseデプロイします。

• Azure Virtual Desktop をデプロイするためのより詳細で適応可能なアプローチについては、「 Azure Virtual Desktop のデプロイ」を参照してください。