1.Windows Virtual Desktopとは

Windows Virtual Desktop(以下WVD)は、昨年Microsoft社から発表された新サービスです。 デスクトップ環境をクラウドのサーバーから提供する、いわゆるDaaSと呼ばれる分野のサービスとなります。

従来で⾔えばCitrix社の「Citrix XenDesktop」やVMware社の「VMware Horizon」などが有名な製品です。 もちろんこれら2社の製品もAzure上で展開することが可能となっています。 それぞれ「Citrix Cloud on Microsoft Azure」や「VMware Horizon Cloud on Microsoft Azure」と呼ばれます。

WVDは上記2製品とは違い、Microsoft社から提供されるDaaSとなります。 新たなDaaSの選択肢として⾮常に注⽬が集まるWVDですが、どういった特徴があるのでしょうか。

2.WVDが注⽬される理由

⼀番の理由はなんといっても⼿軽にVDIを利⽤できるという点でしょう。 通常VDI環境を構築するためには接続先のVMだけでなく、ユーザーからのアクセスを受け付けるゲートウェイや、 各セッションホストVMへの振り分けを⾏うブローカーなどの管理コンポーネントを⽤意する必要があります。

WVDの場合は管理コンポーネントのほとんどをMicrosoft Azure側が管理し、サービスとして提供します。煩雑な管理コンポーネントのメンテナンスをユーザーが⾏う必要はありません。

また、WVDの⼤きな特徴としてWindows 10のマルチセッション接続を利⽤できる点があります。 通常Windows 10などのクライアントOSでVDIを利⽤するときはユーザーごとに仮想マシンを割り当てる必要あります。 しかし、マルチセッション接続対応のWindows 10を使えば1台の仮想マシンで複数のユーザーにVDIを提供できます。 仮想マシンリソースを共⽤できる分コストの削減が⾒込めます。

 

 

 

3.WVDを利⽤するのに必要な要件

WVDを利⽤するにあたり次のいずれかのライセンスが利⽤ユーザー分必要です。

  • Microsoft 365 E3/E5/A3/A5/Business
  • Windows E3/E5/A3/A5

また、WVDのセッションホストとなるVMを構築するクラウド基盤も必要です。 WVDを利⽤できるのはAzureだけ︕ ですのでAzureを利⽤するためのサブスクリプションが必要です。

  • Microsoft Azureサブスクリプション

さらに、WVDを利⽤するユーザーを管理するためにAzure ADにActive Directoryのユーザーを同期する必要があります。 Azure ADとActive Directoryの同期については以下の記事をご参照ください。

Active Directory?Azure Active Directory?混乱ポイントを整理! >

WVD環境を構築するために準備が必要となる主なリソースは以下の通りです。

  • Azure AD
  • Azure AD Connect(AADC)
  • Windows Server Active Directory(ADDS)
  • (↑2つの代わりにAzure AD Domain Servicesを利⽤することも可能)
  • (必要に応じて)ファイルサーバー
  • (必要に応じて)VPN Gateway

4.WVDのアーキテクチャ

WVDを構成する要素は管理する責任が誰にあるかという観点で2種類に分類できます。 WVDの構成要素はMicrosoft社が管理するものと、ユーザーが管理するものに分けられます。

 

まず、Microsoft社が管理する要素について説明します。 Microsoft社が管理するのはコネクションブローカーやゲートウェイといった、コントロールプレーンと呼ばれる要素です。 利⽤者はクライアントデバイスからコントロールプレーンを経由してセッションホストVMにアクセスするため、 遅延などを防ぐにはデプロイするリージョンを揃えるのが良いでしょう。

  • Web Access: 利⽤者がWVDを利⽤する際にアクセスするサイトをホストする。
  • Diagnostics: セッションごとの利⽤状況を監視する。
  • Gateway: クライアントデバイスおよびセッションホストVMとSSLトンネルを確⽴し、安全な通信経路を提供する。
  • Broker: ユーザーごとに割り当てられたリソースへセッションを割り振る。
  • Azure SQL Database: 接続するユーザーの情報を保存する。

次に、ユーザーが管理しなければいけない要素について説明します。 主なリソースはユーザーへデスクトップ環境やアプリケーションを提供するためのコンピューティングリソースです。 これらはデプロイ時に利⽤者数と利⽤度合いに応じて、必要なリソースを展開できます。

さらに、それらのリソースを利⽤する際に認証を⾏う基盤として、Azure上やオンプレのActive Directoryと通信できる基盤が必要です。 ユーザープロファイルを保存するためのストレージを提供するVMなども必要となります。

  • Desktops: デスクトップ環境を提供するVM。
  • Applications: アプリケーションを提供するVM。
  • ADDS: ユーザー認証を⾏うための基盤。オンプレに置く場合は、オンプレと通信するためのゲートウェイなど。
  • User Profile: ユーザーごとの環境情報を保存するためのストレージ。

S2S VPNやExpressRouteでオンプレとプライベート接続することで、WVDからオンプレのリソースを利⽤することもできます。

5.パブリックプレビュー段階での注意点

パブリックプレビュー段階では、WVDのコントロールプレーンはUS東部2リージョンに限定されます。 しかし、デスクトップVMなどのデータプレーンは任意のリージョンのAzure DCに構築することが可能です。よって、東⽇本リージョンに構築したデスクトップ環境に対して⽇本国内からアクセスを⾏った場合、

日本⇒US東部2 Azure DC⇒東日本 Azure DC⇒US東部2 Azure DC⇒日本

といった具合に通信の往復が発⽣します。 これによって操作のもたつきや遅延を感じることになるかもしれません。 GAしたあかつきには各リージョンでコントロールプレーンを利⽤できるため、 現段階より操作性が向上すると予想できます。 (現段階で東⽇本リージョンに作成した場合、GA後に環境の再構成が必要になる可能性もあります。)

6.WVD構成パターン例

構成パターン1: オンプレADで認証を⾏う構成

 

オンプレでADを運⽤しており、AzureとS2S VPNもしくはExpressRouteで接続している場合におすすめの構成です。 WVDのVMからオンプレのリソースへアクセスしたい場合もこの構成が必要となります。 AADC はAzureかオンプレのどちらに配置しても可能です。

構成パターン2: オンプレADと同期し、AADDSで認証を⾏う構成

 

オンプレADのユーザー情報を利⽤しつつも、オンプレとAzureを接続せずにWVDを利⽤したい場合の構成です。 AADCはインターネット経由でAzure ADと同期できるようにする必要があります。 AADDSはAzure ADからユーザー情報を同期し、WVDのVMからのAD認証に応答します。

構成パターン3: Azure上に構築したADで認証を⾏う構成

 

Azure内ですべてのリソースが完結する構成です。 新規に認証基盤を構築したい場合や、⼩規模な検証を試したい場合におすすめな構成です。 AADCとAADSはAADDSに置き換えることも可能です。

7.WVDの接続⽅法

リモートデスクトップ接続⽅式とウェブブラウザ接続⽅式の2つが提供されています。 HTML5に対応しているブラウザなら動作可能です。公式にサポートされているのは以下のブラウザです。

対応ブラウザ

OS ブラウザ 備考
Windows Edge
IE
Chrome
Firefox バージョン55以上
Mac Chrome
Firefox バージョン55以上
Safari
Linux Chrome
Firefox バージョン55以上
ChromeOS Chrome

8.WVDの管理機能

気になるWVDの管理機能ですが、実はMicrosoft社からWVDの管理ツールなどは現在提供されていません。作ったセッションホストVMは通常のIaaS VMを操作するのと同じくAzureポータルやPowerShellなどの管理ツールで操作できます。 WVD管理機能として、VMの⾃動停⽌や⾃動スケールなどは今の所対応していないようです。

管理機能は3rd Party製品を利⽤することが想定されているようです。 主⼒なメーカーでいうとCitrix社などが提携パートナーとして発表されています。

9.まとめ

AzureとM365などのライセンスを利⽤していればすぐに体験可能なDaaSです︕ 環境の準備は必要ですが、AzureポータルからVDIをデプロイすることができます。

ただし、パブリックプレビュー段階では管理機能は少なく、ほとんどがPowerShellでの操作となります。 スケールアウト・インなどはAzureポータルからVMを直接操作するか、 Azure Automationなどでスクリプトによる⾃動監視・実⾏も可能だそうです。 パブリックプレビューの間はコントロールプレーンがUS東部2 リージョンに限定されるため 通信遅延を考慮した評価を⾏う必要もあります。このあたりはGA時に機能が追加される可能性もありますので、今後の動向に期待したいです。

 

 

 

この記事を書いた人

曽根悠斗
曽根悠斗
Azureエンジニア2年目です。
IaaSだけでなくAzureの各種サービスを幅広く扱えるように修行中。。
好きなAzureのサービスはAzure ADとNetwork Watcher。