Azure Virtual Desktop での Microsoft Entra 参加済みセッション ホスト
この記事では、Azure Virtual Desktop での AMicrosoft Entra 参加済み仮想マシンのデプロイとアクセスのプロセスについて説明します。 Microsoft Entra 参加済み VM を使用すると、VM からオンプレミスまたは仮想化された Active Directory ドメイン コントローラー (DC) への通信経路を確保することや、Microsoft Entra Domain Services をデプロイすることは必要なくなります。 場合によっては、DC の必要性を完全に排除することも可能であり、環境のデプロイと管理が簡素化されます。 管理を容易にするために、これらの VM を Intune に自動的に登録することもできます。
既知の制限事項
次の既知の制限事項は、オンプレミスまたは Active Directory ドメイン参加済みのリソースへのアクセスに影響を与える可能性があり、Microsoft Entra 参加済みの VM がご利用の環境に適切かどうかを判断する際に考慮する必要があります。
- 現在、Microsoft Entra 参加済み VM は、Microsoft Entra Business-to-Business (B2B) や Microsoft Entra Business-to-Consumer (B2C) などの外部 ID はサポートしません。
- Microsoft Entra 参加済み VM は、FSLogix ユーザー プロファイル用 Microsoft Entra Kerberos を使用することでのみ、ハイブリッド ユーザーの Azure Files 共有にアクセスできます。
- Windows 用リモート デスクトップ アプリは、Microsoft Entra 参加済み VM をサポートしません。
Microsoft Entra 参加済み VM をデプロイする
新しいホスト プールを作成するとき、または既存のホスト プールを拡張するときに、Azure portal から Microsoft Entra 参加済み VM を直接デプロイできます。 Microsoft Entra 参加済み VM をデプロイするには、[Virtual Machines] タブを開き、VM を Active Directory と Microsoft Entra ID のどちらに参加させるかを選択します。 Microsoft Entra ID を選択すると、オプションで自動的に VM を Intune に登録することができます。これにより、簡単にセッション ホストを管理できます。 Microsoft Entra ID オプションは、現在のサブスクリプションと同じ Microsoft Entra テナントにだけ VM を参加させることに注意してください。
Note
- ホスト プールには、ドメイン参加の種類が同じ VM のみを含める必要があります。 たとえば、Microsoft Entra 参加済み VM は他の Microsoft Entra 参加済み VM とのみ共存する必要があり、その逆も同様です。
- ホスト プールの VM は、Windows 11 または Windows 10 のシングル セッションまたはマルチ セッション、バージョン 2004 以降、または Windows Server 2022 または Windows Server 2019 でなければなりません。
ホスト プールにユーザー アクセスを割り当てる
ホスト プールの作成後、ユーザーにそれらのリソースへのアクセス権を割り当てる必要があります。 リソースへのアクセスを付与するには、各ユーザーをアプリケーション グループに追加します。 アプリケーション グループの管理に関する記事にある手順に従って、アプリとデスクトップへのアクセス権をユーザーに割り当てます。 可能な限り、個々のユーザーではなくユーザー グループを使用することをお勧めします。
Microsoft Entra 参加済み VM の場合、Active Directory または Microsoft Entra Domain Services ベースのデプロイの要件に加えて、次の 2 つの追加作業を行う必要があります。
- ユーザーが VM にサインインできるよう、仮想マシン ユーザー ログイン ロールをユーザーに割り当てます。
- ローカル管理特権を必要とする管理者に仮想マシン管理者ログイン ロールを割り当てます。
Microsoft Entra 参加済み VM へのアクセス権をユーザーに付与するには、VM のロール割り当てを構成する必要があります。 仮想マシン ユーザー ログインまたは仮想マシン管理者ログインのロールは、VM、VM を含むリソース グループ、またはサブスクリプションのいずれかに割り当てることができます。 仮想マシン ユーザー ログイン ロールは、アプリケーション グループ用に使用したのと同じユーザー グループにリソース グループ レベルで割り当てることをお勧めします。そうすることで、ホスト プール内のすべての VM に適用されます。
Microsoft Entra 参加済み VM にアクセスする
このセクションでは、さまざまな Azure Virtual Desktop クライアントから Microsoft Entra 参加済み VM にアクセスする方法について説明します。
シングル サインオン
すべてのプラットフォームで最適なエクスペリエンスを実現するには、Microsoft Entra 参加済み VM にアクセスする際に、Microsoft Entra 認証を使用してシングル サインオン エクスペリエンスを有効にする必要があります。 シームレスな接続エクスペリエンスを提供するためのシングル サインオンを構成する手順に従います。
レガシ認証プロトコルを使用して接続する
シングル サインオンを有効にしない場合は、次の構成を使用して Microsoft Entra 参加済み VM へのアクセスを有効化できます。
Windows デスクトップ クライアントを使用した接続
既定の構成では、Windows デスクトップ クライアントを使用した Windows 11 または Windows 10 からの接続がサポートされます。 資格情報、スマート カード、Windows Hello for Business 証明書信頼、または Windows Hello for Business 証明書によるキー信頼を使用して、セッション ホストにサインインできます。 ただし、セッション ホストにアクセスするには、ローカル PC が次のいずれかの条件を満たしている必要があります。
- ローカル PC は、セッション ホストと同じ Microsoft Entra テナントに Microsoft Entra 参加済みである
- ローカル PC は、セッション ホストと同じ Microsoft Entra テナントに Microsoft Entra ハイブリッド参加済みである
- ローカル PC で Windows 11 または Windows 10 バージョン 2004 以降が実行されており、セッション ホストと同じ Microsoft Entra テナントに Microsoft Entra 登録済みである
ローカル PC がこれらの条件のいずれかを満たしていない場合は、ホスト プールにカスタム RDP プロパティとして targetisaadjoined:i:1 を追加します。 これらの接続は、セッション ホストにサインインするときにユーザー名とパスワードの資格情報を入力するように制限されています。
他のクライアントを使用した接続
Web、Android、macOS、および iOS クライアントを使用して Microsoft Entra 参加済み VM にアクセスするには、targetisaadjoined:i:1 をカスタム RDP プロパティとしてホスト プールに追加する必要があります。 これらの接続は、セッション ホストにサインインするときにユーザー名とパスワードの資格情報を入力するように制限されています。
Microsoft Entra 参加済みセッション VM に対する Microsoft Entra 多要素認証の強制
Microsoft Entra 参加済み VM では、Microsoft Entra 多要素認証を使用できます。 「条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を強制する」の手順に従い、「Microsoft Entra 参加済みセッション ホスト VM」の追加の手順に注意してください。
Microsoft Entra 多要素認証を使用していて、サインインを Windows Hello for Business などの強力な認証方法に制限しない場合は、条件付きアクセス ポリシーから Azure Windows VM サインイン アプリを除外する必要があります。
ユーザー プロファイル
FSLogix プロファイル コンテナーを Microsoft Entra 参加済みの VM で使用すると、ハイブリッド ユーザー アカウントを使いながら、これらを Azure Files で格納できます。 詳細については、Azure Files と Microsoft Entra ID を使用したプロファイル コンテナーの作成に関するページを参照してください。
オンプレミスのリソースへのアクセス
Microsoft Entra 参加済み VM をデプロイまたはアクセスするために Active Directory は必要ありませんが、それらの VM からオンプレミスのリソースにアクセスするには、Active Directory とそれへの通信経路が必要です。 オンプレミス リソースへのアクセスの詳細については、「Microsoft Entra 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ」を参照してください。
次のステップ
Microsoft Entra 参加済み VM をデプロイしたので、サポートされている Azure Virtual Desktop クライアントにサインインしてそれをユーザー セッションの一部としてテストする前に、シングル サインオンを有効にすることをお勧めします。 詳細については、次の記事を参照してください。