Windows Server のリモート デスクトップ サービス (RDS) は、マネージド デスクトップとアプリケーションをユーザーに安全に配信するための組み込みプラットフォームです。ユーザーがオフィスにいるか、自宅で作業しているか、ブランチとパートナーの場所から接続しているかに関係なく。 データ センターで処理を一元化し、UI のみをリモート処理することで、リモート デスクトップ サービスを使用すると、管理オーバーヘッドの削減、セキュリティの向上、ユーザーに必要なリソースへの一貫性のあるパフォーマンスの高いアクセスを提供できます。
リモート デスクトップ サービスでは、マルチセッション サーバー ベースのデスクトップと、単一セッション (またはプールされた/個人用) の仮想デスクトップと、個々のアプリケーション (RemoteApp) の発行の両方がサポートされます。 コスト、パフォーマンス、ユーザー エクスペリエンスを最適化するために、モデルの適切な組み合わせを選択します。
ヒント
より広範なクラウドベースのデスクトップ ソリューションを評価する場合は、 Azure Virtual Desktop を参照してください。 Azure Local を使用して、オンプレミスのデータセンターに Azure Virtual Desktop を拡張することもできます。
リモート デスクトップ サービスとは
リモート デスクトップ サービスは、承認されたユーザーがネットワーク経由で次の場所に接続できるようにする Windows Server のロールベースのインフラストラクチャです。
- フル デスクトップ (セッション ベースまたは仮想マシン ベース)。
- ローカルにインストールされたアプリのように表示され、動作する特定のアプリケーション (RemoteApp プログラム)。
多数の個々のエンドポイントにアプリケーションをインストールして修正プログラムを適用する代わりに、一元化されたホストで 1 回管理します。 エンドポイントは、リモート デスクトップ プロトコル (RDP) を使用してリモート UI を表示するだけです。
主な利点
リモート デスクトップ サービスは、アプリケーションとデスクトップの管理を一元化するため、多くのエンドポイント間ではなく、リソースにパッチを適用してセキュリティで保護します。 マルチセッション密度ではユーザーごとのコストが削減されますが、セッション ホストと VDI が混在すると、パフォーマンスや互換性のニーズに柔軟に対応できます。 データはデータセンターに残ります。暗号化されたリモート アクセス、MFA、監査は、コンプライアンス体制を強化できます。 RemoteApp ウィンドウはローカル アプリのように動作し、タスク バーのピン留め、マルチモニター ワークフロー、標準ウィンドウ コントロールをサポートしているため、ユーザーの生産性を維持します。 このプラットフォームは、PowerShell を使用したプロファイル管理、印刷、監視、GPU アクセラレーション、広範な自動化によって簡単に拡張できます。
主要なリモート デスクトップ サービスの役割とコンポーネント
リモート デスクトップ サービスには、配布およびスケーリングできるいくつかの役割が含まれています。
| Role | 目的 |
|---|---|
| RD セッション ホスト (RDSH) | マルチセッション効率のために、Windows Server 上でセッション ベースのユーザー デスクトップと RemoteApp プログラムを実行します。 |
| RD 仮想化ホスト | 仮想デスクトップ インフラストラクチャ コレクション (プールされたまたは個人用の Windows クライアント VM) をホストします。 プロビジョニング用の Hyper-V と統合されます。 |
| RD 接続ブローカー | ユーザー セッションを維持し、接続を負荷分散し、ユーザーを既存のセッションに再接続し、コレクション (セッションと VDI) を管理します。 高可用性をサポートします。 |
| RD Web アクセス | ユーザーが使用を許可されているデスクトップとアプリを一覧表示する Web ポータルとフィード (Web Access/RemoteApp およびデスクトップ接続) を提供します。 |
| RD ゲートウェイ | 内部 RDP ポートを開かずに、外部ネットワークから HTTPS (TCP 443) 経由でセキュリティで保護された暗号化された RDP アクセスを有効にします。 MFA と条件付きポリシーをサポートします。 |
| RD ライセンス | 法的使用 (ユーザーまたはデバイス) に必要なリモート デスクトップ サービス クライアント アクセス ライセンス (RDS CAL) に関する問題と追跡。 |
多くの場合、サポート コンポーネントには、ユーザー プロファイルのファイル サービス、TLS 用の証明書サービス、監視ソリューションが含まれます。
デプロイ モデル
ユーザーペルソナと技術要件に基づいて、モデルを組み合わせることができます。
| モデル | Description | 一般的なユース ケース | コストと密度 |
|---|---|---|---|
| セッションベース型 (RDSH) | 複数のユーザーが Windows Server インスタンスを共有します。それぞれが分離されたセッションを取得します。 | タスク ワーカー、基幹業務アプリ、季節ユーザー。 | ユーザー密度が最も高く、ユーザーごとのコストが最も低い。 |
| プールされた VDI | ユーザーは、プールから動的に割り当てられた Windows クライアント VM に接続します。 非永続的またはリセット可能な状態。 | Windows クライアントの互換性を必要とするナレッジ ワーカー。アプリの分離。 | 中程度の密度/コスト。 |
| VDI personal | 各ユーザーには、変更を保持する専用の Windows クライアント VM が割り当てられます。 | 開発者、パワー ユーザー、カスタマイズが多いアプリ。 | 密度が最も低く、柔軟性が最も高い。 |
| ハイブリッド | ベースライン アプリと VDI の RDSH を組み合わせて、特殊なニーズに対応します。 | 混合ペルソナ環境。 | 最適化されたバランス。 |
ホスティングの場所
リモート デスクトップ サービスは、さまざまな環境に展開できます。
- オンプレミス: ハードウェア、ネットワーク、データの局所性を完全に制御します。
- Azure インフラストラクチャ (IaaS):エラスティック容量と簡略化されたグローバル アクセスのために、Azure VM にリモート デスクトップ サービス ロールをデプロイします。
一般的なシナリオ
組織はリモート デスクトップ サービスを使用して、ブランチ オフィスへのアプリケーション配信を標準化し、内部ネットワークを広く公開することなく、請負業者やパートナーに安全にアクセスできるようにし、季節的または一時的なスタッフを迅速にオンボードし、多くのデバイスに展開できないレガシまたは特殊な Windows アプリケーションをホストします。 また、データ所在地と監査可能性が重要な規制セクター (財務、医療) や、完全な VPN トンネルではなく、制限された特権を持つリモート デスクトップ アクセスを必要とする IT 管理者にも共通です。
発行オプション
キュレーションされたアプリケーション セットを表示する完全なデスクトップ (セッション ベースまたは VM ベース) を発行したり、ユーザーのスタート メニューとタスク バーに統合したり、複数のモニターにまたがるり、ローカルにインストールされたソフトウェアのように表示したり動作したりする個々の RemoteApp プログラムを提供することができます。
セキュリティとコンプライアンス
リモート デスクトップ サービスは Windows セキュリティ上に構築されています。TLS は RDP トラフィックを保護し (ゲートウェイ、ブローカー、および Web アクセスに有効な証明書をデプロイします)、RD ゲートウェイは HTTPS で RDP をカプセル化して、公開されているポートを最小限に抑えながら、条件付きアクセスと MFA 統合を有効にします。 コレクションとセキュリティ グループは、最小特権のセグメント化を適用するのに役立ちます。一元化された実行では、データがデータセンターに常駐し続け、UI ストリームのみが残ります。 コンプライアンスとフォレンジック レビューのためのイベント ログと Windows 監査フィードの監視または SIEM ソリューション。
計画に関する考慮事項
効果的な計画は、ユーザー ペルソナから始まります。タスク、知識、パワー ユーザーの CPU、メモリ、ストレージ I/O プロファイルを見積もります。 そこから、接続ブローカーの高可用性を設計しながら、RD セッション ホストごとのセッションの容量と、プールされた VDI または個人用 VDI のサイズ設定をモデル化します。 プロファイル戦略 (移動プロファイル、フォルダー リダイレクト、またはサード パーティ製プロファイル管理) は、ログオンのパフォーマンスとディスクの増加に影響します。は、ホスト上で制御されないプロファイルのスプロールを回避します。 ユーザーが 3D または豊富なマルチメディアを必要とする場合は、GPU リソース (Hyper-V DDA またはサポートされている仮想化テクノロジ) を計画します。 ネットワーク トポロジと待機時間によってユーザー エクスペリエンスが向上するため、RD ゲートウェイを配置してラウンドトリップ時間を最小限に抑え、ピークコンカレンシーに十分な帯域幅を確保します。 アプリケーションのマルチセッション動作を早期に検証して、マシンごとのパスまたはレジストリ キーに関する前提条件を把握し、PowerShell を使用したスクリプトのデプロイ、スケーリング、およびメンテナンスを行い、手動での作業を減らします。
管理と監視
GUI と自動化を組み合わせた日常的な操作: サーバー マネージャーと PowerShell は、ロールのインストール、コレクションの作成、アプリケーションの発行を処理します。接続ブローカーは、ホスト間の負荷分散とユーザー割り当てを管理します。 セッションとリソース消費量 (CPU、メモリ、ディスク、GPU) を監視し、認証または切断イベントの傾向を確認します。 プールされた VDI のカスタム イメージを維持し、セッション ホストのパッチは段階的に適用して容量を利用可能な状態に保ちます。 スケジュールされたスクリプトにより、証明書の更新、イメージの更新、スケールアウト/スケールインの調整が効率化されます。
次のステップ
リモート デスクトップ サービスの使用を開始するには、次の記事を確認してください。
- サポートされる構成
- 容量、高可用性、MFA、証明書の計画と設計
- アーキテクチャ モデル