AVDをWindows11で作成してみた！③Azure AD JoinでAVD展開編

こんにちは。
Azureのクラウドソリューションアーキテクトをやっている小笠原です。

皆さん、ここまでの章でイメージ化まで無事済んだでしょうか。このような形式でAzure Virtual DesktopはPortal上の選択肢にないWIndows OSでも自分でイメージ化することで利用可能なOSバージョンがあります。Windows Server2022も出てきたことですし、こちらも時間があるときに試していきたいところです。それでは本日は「AVDをWindows 11で作成してみた！」シリーズの続きを進めていきます。

第1弾
「AVDをWindows11で作成してみた！Windows11マルチセッション日本語化編」

第2弾
「AVDをWindows11で作成してみた！Windows11イメージ化編」

第3弾
「AVDをWindows11で作成してみた！Azure AD JoinでAVD展開編」←イマココ

本日は第3弾「AVDをWindows11で作成してみた！Azure AD JoinでAVD展開編」です。
早速始めていきましょう。

1.Azure AD Joinとは

Azure AD joinとは、端末からAzure ADに直接参加し、参加したデバイスをAzure ADで管理することができる方法です。

また、今回追加されたAVDにおけるAzure AD Join機能を使うことでセッションホストとして作成させる仮想マシンをAzure ADに登録することができます。Azure AD Domain ServicesやActive Directory Domain Controllerなどの認証基盤がなくても同じAzure ADテナントに登録した端末やPCからAVDを利用することができます(Azure AD Joinしていない端末からの利用方法は手順に詳細を記載します)。
そして、なくても利用可能ですがIntuneを構成に入れることでオンプレのADがない構成での端末やVMをポリシー制御することができます。機能がADのグループポリシーとは違いますが、ADの代替機能として十分利用可能です。

2.社内環境に合わせる3パターンのAVD構成

今回のアップデートでできるようになったAzure AD Join以外にも現在2構成のAzure Virtual Desktopの環境構成は存在します。以下の3構成のうちいずれかを選択することでAzure Virtual Desktopは導入可能です。

①Active Directory＋Azure AD Connect＋Azure AD
→AD から Azure AD へユーザー情報を同期(既存ユーザーは上書きされない)
→ハイブリッド構成、中規模以上環境向け

②Azure AD Domain Services＋Azure AD
→PaaS で提供されるドメインコントローラーで構成
→AD機能を多く必要としない環境、小規模環境向け

③Azure AD Join＋Azure AD
→Azure　ADと参加した端末で構成(構築が早くて管理が容易)
→新規導入、クラウドのみの環境、小規模環境向け

今まではActive DirectoryをAzure ADに同期させるということで導入のハードルが高かった状態でしたが③のAzure AD Joinが登場したことでオンプレADを関わらせない別環境でのPoCが可能となり敷居が下がりました。よって導入を断念したお客様でも③の方法で手軽にAzure Virtual Desktopを検証、導入することが可能となりました。

 

3.Azure AD JoinでAVD展開

この章ではAzure AD JoinでのAVD展開を実際に検証していきます。Azure AD Joinを使うことで簡単にAVDが作成できるのでさっそくはじめていきましょう。

 

Azure Portalで[Azure Virtual Desktop]を検索して[Azure Virtual Desktop]を選択します。

 

AVDの管理画面にきたら展開するため[ホストプールの作成]を選択します。

基本タブの下記項目を入力していきます。

サブスクリプション:自身のサブスクリプションを選択

リソースグループ:Win11nissho_group

ホストプール名:NisshoWin11HostPool

場所:米国西部2(メタデータの保存場所は現在日本未対応のため)

検証環境:いいえ(プレビュー機能を使いたいときにはいにします)

ホストプールの種類:プール(1:1は個人型、1:Nのマルチセッションはプール型です)

負荷分散アルゴリズム:幅優先(深さ優先は一台集中、幅優先は全台均等で利用者が振り分けられます。)

セッション数の上限:10(1台に同時にサインインできる利用者の上限です)

入力完了後は[次へ:仮想マシン]を選択します。

仮想マシンタブの下記項目を入力します。

仮想マシンの追加:はい

リソースグループ:規定でホストプールと同じにする

名前のプレフィックス:NEwin11VM

仮想マシンの場所:東日本

可用性オプション:インフラストラクチャ冗長性は必要ありません

イメージの種類:ギャラリー

イメージ:Windows11-ja-image

 

※[すべてのイメージを表示→マイアイテム→共有イメージで選択]

仮想マシンのサイズ:[サイズを変更する]→[D2asv4]を選択

VM数:2(デプロイされる台数です)

OSディスクの種類:Standard SSD

マネージドディスクを使用する:はい

ブート診断:マネージドストレージアカウントで有効にする(推奨)(エラー時の確認ができるため)

仮想ネットワーク:Win11nissho_group-vnet

サブネット:default

ネットワークセキュリティグループ:Basic

パブリック受信ポート:いいえ

参加するディレクトリを選択する:Azure Active Directory(Azure AD Joinです)

IntuneにVMを登録する:いいえ(端末ポリシーで管理するために環境構成時は登録した方がよいですが、Intune設定は今回検証の対象でないため省略します。)

ユーザー名:NisshoUser10

パスワード:ランダムパスワード(自動生成12文字以上を推奨します)

ARMテンプレートを利用していないため更新後のカスタム構成は入力せず[次へ:ワークスペース]を選択します。

ワークスペースタブでは下記項目を入力します。

デスクトップアプリグループの登録:はい

宛先のワークスペース:[新規作成]→[Win11-NE-Workspace]→[OK]を選択

上記完了後、[確認と作成]を選択します。

内容を確認してパラメータに間違いがなければ[作成]を選択します。

デプロイ完了後はリソースグループの権限設定を行うため[Win11nissho_group]を選択します。必要な権限は2つです。

・仮想マシンのユーザーログイン：一般ユーザー権限

・仮想マシンの管理者ログイン：管理者権限

上記はAzureAD Join専用のリソースグループに割り当てる必要があります。

今回は検証用に作成したWin11nissho_groupを専用にして割り当てています。

移動後、[アクセス制御(IAM)]→[＋追加]→[ロールの割り当ての追加]を選択します。

 

役割:仮想マシンのユーザーログイン

アクセスの割り当て先:ユーザー、グループ、またはサービスプリンシパル

選択:Azure Virtual Desktopを利用するユーザー名(今回はUser010に割り当てます)

[保存]を選択します。

役割:仮想マシンの管理者ログイン権限も同様の手順でUser010に割り当て保存します(割り当てるのはAVDにサインインさせるユーザーです)。

 

Azure Portalのホームに戻り、[Azure Virtual Desktop]を選択します。

ここからはユーザーの割り当てとAzure AD Joinでデバイスからの接続許可設定を行っていきます。

[ホストプール]→[NisshoWin11HostPool]を選択します。

[アプリケーショングループ]→[NisshoWin11HostPool]を選択します。

[割り当て][＋追加]を選択して先程権限を割り当てたユーザーを選択します。

[選択]を選択します。

登録後[NisshoWin11HostPool]を選択します。

[RDPプロパティ]を選択し、詳細に登録していない端末でもAzure Virtual Desktop(セッションホスト)にサインインできるようにRDPプロパティに[targetisaadjoined:i:1]を追加してください(これがないと2段階目のAVD認証ではじかれます)。

それでは、全設定が完了したのでAVDに接続していきます。今回はWebクライアント経由で接続します。下記URLからAVDに登録したユーザーでサインインしてください。
https://rdweb.wvd.microsoft.com/arm/webclient

今回の検証ではUser010のユーザーIDとパスワードでサインインを行います。

[SessionDesktop]をダブルクリックします。

資格情報を入力画面となったらユーザー名とパスワードを入力します。今回はAzure AD Joinのため2回目のユーザー名とパスワードも先程の初回サインイン時と同じです(ADを利用したハイブリッド構成の場合はここでAD登録ユーザーのユーザー名/パスワードを入力となります)。

[送信]を選択します。

お待たせしました。ついにWindows11版のAzure Virtual Desktopにサインインできました。長い道のりでしたね。

おまけ要素としてコマンドプロンプトを開き下記コマンドを入力します。

dsregcmd /status

そうするとAzure AD Joinの状態を確認することが可能です。

また、Azure Virtual Desktop作成時にAzure AD Joinさせた端末はAzure portalより

[Azure Active Directory]→[デバイス]を選択することで確認可能です。

4.まとめ

今回の検証を通して新しく出たOSでもAzureならすぐに試すことができ、AVDで実装できることが判明しました。今後においても様々なAVDの新機能や新OSが出たら検証していきたいと思います。また、他のエンジニアが書くAzureの記事におきましても是非参照いただけましたら幸いです。