次の方法で共有


Azure Virtual Desktop の前提条件

Azure Virtual Desktop の使用を開始するには、いくつか必要なものがあります。 ここでは、ユーザーにデスクトップとアプリケーションを正常に提供するために必要な前提条件を確認できます。

大まかには、次が必要です。

  • アクティブなサブスクリプションが含まれる Azure アカウント
  • サポートされている ID プロバイダー
  • セッション ホスト仮想マシンでサポートされているオペレーティング システム
  • 適切なライセンス
  • ネットワーク接続
  • リモート デスクトップ クライアント

アクティブなサブスクリプションが含まれる Azure アカウント

Azure Virtual Desktop をデプロイするには、アクティブなサブスクリプションが含まれる Azure アカウントが必要です。 まだアカウントがない場合は、無料でアカウントを作成することができます。

Azure Virtual Desktop をデプロイするには、関連する Azure ロールベースのアクセス制御 (RBAC) ロールを割り当てる必要があります。 特定のロール要件については、Azure Virtual Desktop のデプロイに関する各関連記事で説明されており、これらは「次のステップ」セクションに記載されています。

また、サブスクリプションに Microsoft.DesktopVirtualization リソース プロバイダーが登録されていることを確認します。 リソース プロバイダーの状態をチェックし、必要に応じて登録するには、シナリオに関連するタブを選択し、手順に従います。

重要

リソース プロバイダーを登録するには、*/register/action 操作を実行するためのアクセス許可が必要です。 これは、アカウントにサブスクリプションの共同作成者または所有者ロールが割り当てられている場合に含まれます。

  1. Azure portal にサインインします。

  2. [サブスクリプション] を選択します。

  3. サブスクリプションの名前を選択します。

  4. [リソース プロバイダー] を選択します。

  5. Microsoft.DesktopVirtualization を検索します。

  6. 状態が [未登録] の場合は、[Microsoft.DesktopVirtualization] を選択し、[登録] を選択します。

  7. Microsoft.DesktopVirtualization の状態が [登録済み] であることを確認します。

ID

セッション ホストから仮想デスクトップとリモート アプリにアクセスするには、ユーザーが認証できる必要があります。 Microsoft Entra ID は、この機能を実現する Microsoft の一元化されたクラウド ID サービスです。 Azure Virtual Desktop のユーザー認証には、常に Microsoft Entra ID が使用されます。 セッション ホストは、同じ Microsoft Entra テナントに参加することも、Active Directory Domain Services (AD DS) または Microsoft Entra Domain Services を使って Active Directory ドメインに参加することもでき、柔軟な構成オプションを選択できます。

セッション ホスト

デスクトップとアプリケーションを提供するセッション ホストを、ユーザーと同じ Microsoft Entra テナント、または Active Directory ドメイン (AD DS または Microsoft Entra Domain Services のいずれか) に参加させる必要があります。

Note

Azure Local の場合、Active Directory Domain Services ドメインにのみセッション ホストを参加させることができます。 Azure Local のセッション ホストは、Active Directory Domain Services (AD DS) のドメインにのみ参加させることができます。 これには Microsoft Entra ID によって提供される機能の一部の恩恵を受けられる Microsoft Entra ハイブリッド参加の使用が含まれます。

セッション ホストを Microsoft Entra ID または Active Directory ドメインに参加させるには、次のアクセス許可が必要です。

  • Microsoft Entra ID の場合は、コンピューターをテナントに参加させることができるアカウントが必要です。 詳細については、デバイス ID を管理するに関するページを参照してください。 Microsoft Entra ID へのセッション ホストの参加について詳しくは、Microsoft Entra 参加済みセッション ホストに関する記事をご覧ください。

  • Active Directory ドメインの場合は、コンピューターをドメインに参加できるドメイン アカウントが必要です。 Microsoft Entra Domain Services の場合は、AAD DC Administrators グループのメンバーである必要があります。

ユーザー

ユーザーには Microsoft Entra ID でのアカウントが必要です。 Azure Virtual Desktop のデプロイで AD DS または Microsoft Entra Domain Services も使っている場合、これらのアカウントはハイブリッド ID である必要があります。これは、ユーザー アカウントが同期されることを意味します。 使用する ID プロバイダーに応じて、次の点に注意する必要があります。

  • Microsoft Entra ID と AD DS を使っている場合は、AD DS と Microsoft Entra ID との間でユーザー ID データを同期するように Microsoft Entra Connect を構成する必要があります。
  • Microsoft Entra ID と Microsoft Entra Domain Services を使っている場合、ユーザー アカウントは Microsoft Entra ID から Microsoft Entra Domain Services への一方向に同期されます。 この同期プロセスは自動的に行われます。

重要

ユーザー アカウントは、Azure Virtual Desktop に使用する Microsoft Entra テナントに存在している必要があります。 Azure Virtual Desktop では、B2BB2C、または個人の Microsoft アカウントはサポートされていません。

ハイブリッド ID を使う場合、UserPrincipalName (UPN) またはセキュリティ識別子 (SID) は、Active Directory Domain Services と Microsoft Entra ID で一致している必要があります。 詳細については、「サポートされる認証方法」を参照してください。

サポートされる ID シナリオ

次の表は、Azure Virtual Desktop で現在サポートされている ID シナリオをまとめたものです。

ID のシナリオ セッション ホスト ユーザー アカウント
Microsoft Entra ID + AD DS AD DS に参加 Microsoft Entra ID と AD DS、同期される
Microsoft Entra ID + AD DS Microsoft Entra ID に参加済み Microsoft Entra ID と AD DS、同期される
Microsoft Entra ID + Microsoft Entra Domain Services Microsoft Entra Domain Services に参加済み Microsoft Entra ID と Microsoft Entra Domain Services、同期される
Microsoft Entra ID + Microsoft Entra Domain Services + AD DS Microsoft Entra Domain Services に参加済み Microsoft Entra ID と AD DS、同期される
Microsoft Entra ID + Microsoft Entra Domain Services Microsoft Entra ID に参加済み Microsoft Entra ID と Microsoft Entra Domain Services、同期される
Microsoft Entra のみ Microsoft Entra ID に参加済み Microsoft Entra ID

シングル サインオンや多要素認証など、サポートされている ID シナリオの詳細については、「サポートされている ID および認証方法」を参照してください。

FSLogix プロファイル コンテナー

セッション ホストを Microsoft Entra ID に参加させるときに FSLogix プロファイル コンテナーを使うには、プロファイルを Azure Files または Azure NetApp Files に格納する必要があり、ユーザー アカウントがハイブリッド ID である必要があります。 これらのアカウントは、AD DS で作成して Microsoft Entra ID に同期する必要があります。 さまざまな ID シナリオでの FSLogix プロファイル コンテナーのデプロイの詳細については、次の記事を参照してください。

展開のパラメーター

セッション ホストをデプロイする際に、次の ID パラメーターを入力する必要があります。

  • AD DS または Microsoft Entra Domain Services を使っている場合はドメイン名。
  • セッション ホストをドメインに参加させるための資格情報。
  • 組織単位 (OU)。デプロイ時に目的の OU にセッション ホストを配置できるようにするオプションのパラメーターです。

重要

ドメインへの参加に使用するアカウントで多要素認証 (MFA) を有効にすることはできません。

オペレーティング システムとライセンス

セッション ホストで仮想デスクトップとリモート アプリを提供するために使用できるオペレーティング システム (OS) を選択することができます。 さまざまなホスト プールで異なるオペレーティング システムを使用することで、ユーザーに柔軟性を提供することができます。 次の表に示す 64 ビット オペレーティング システムおよび SKU がサポートされています (サポートされるバージョンと日付は、Microsoft ライフサイクル ポリシーに記載されています)。また、各商用目的に適用されるライセンス方法も示しています。

オペレーティング システム
(64 ビットのみ)
ライセンス方法
(内部商用目的)
ライセンス方法
(外部商用目的)
  • Microsoft 365 E3、E5、A3、A5、F3、Business Premium、Student Use Benefit
  • Windows Enterprise E3、E5
  • Windows Education A3、A5
  • ユーザーあたりの Windows VDA
  • ソフトウェア アシュアランス付き (ユーザーごとまたはデバイスごと) リモート デスクトップ サービス (RDS) クライアント アクセス ライセンス (CAL)
  • RDS ユーザー サブスクリプション ライセンス。
  • Windows Server RDS サブスクライバー アクセス ライセンス (SAL)。

Windows Server オペレーティング システムでは、ユーザーごとのアクセス価格は使用できません。

ユーザーごとのアクセス価格など、使用できるライセンスの詳細については、「Azure Virtual Desktop のライセンス」を参照してください。

重要

Azure の場合、Azure Marketplace で Microsoft が提供するオペレーティング システム イメージを使用するか、または Azure Compute Gallery にマネージド イメージとして格納される独自のカスタム イメージを作成できます。 Azure Virtual Desktop のカスタム イメージ テンプレートを使用すると、セッション ホスト仮想マシン (VM) をデプロイするときに使用できるカスタム イメージを簡単に作成できます。 カスタム イメージの作成方法について詳しくは、以下を参照してください。

また、Azure Local の場合は、次の場所からオペレーティング システム イメージを使用できます。

これらのイメージから、セッション ホストとして使用する仮想マシン (VM) を以下のいずれかの方法でデプロイすることができます。

Azure Virtual Desktop を利用できるライセンスであれば、別のライセンスをインストールまたは適用する必要はありませんが、外部ユーザーに対してユーザーごとのアクセス価格を使っている場合は、Azure サブスクリプションを登録する必要があります。 セッション ホストで使用されている Windows ライセンスが Azure で正しく割り当てられ、オペレーティング システムがアクティブ化されていることを確認する必要があります。 詳細については、「セッション ホスト仮想マシンに Windows ライセンスを適用する」を参照してください。

Azure Local 上のセッション ホストについて、Azure Virtual Desktop で使用する前に、使用する仮想マシンのライセンスを取得してアクティブ化をする必要があります。 Windows 10 および Windows 11 Enterprise マルチセッション、および Windows Server 2022 Datacenter: Azure Edition をアクティブ化するには、VM 用の Azure 検証を使用します。 その他すべての OS イメージ (Windows 10 および Windows 11 Enterprise、その他の Windows Server エディションなど) については、従来のライセンス認証方法を引き続き使用してください。 詳細については、Azure Local での Windows Server VM のアクティブ化に関するページを参照してください。

Note

最新のセキュリティ更新プログラムで継続的な機能性を確保するには、2024 年 6 月 17 日までに、Azure Local 上の VM を最新の累積的な更新プログラムに更新します。 この更新プログラムは、VM で引き続き Azure 特典を使用するには不可欠です。 詳細については、「VM の Azure 検証」を参照してください。

ヒント

初期開発中とテスト中のユーザー アクセス権を簡素化するために、Azure Virtual Desktop では Azure Dev/Test の価格がサポートされています。 Azure Dev/Test サブスクリプションに Azure Virtual Desktop をデプロイする場合、エンド ユーザーは、受け入れテストを実行したりフィードバックを提供したりするために、個別のライセンスのエンタイトルメントなしでそのデプロイに接続できます。

ネットワーク

Azure Virtual Desktop を正常にデプロイするには、いくつかのネットワーク要件を満たす必要があります。 これにより、ユーザーは仮想デスクトップとリモート アプリに接続し、可能な限り最高のユーザー エクスペリエンスを得ることができます。

Azure Virtual Desktop に接続するユーザーがサービスへの逆接続を安全に確立します。つまり、受信ポートを開く必要はありません。 既定ではポート 443 の伝送制御プロトコル (TCP) が使用されますが、RDP Shortpath は、ユーザー データグラム プロトコル (UDP) ベースの直接転送を確立する マネージド ネットワーク公衆ネットワーク に使用できます。

Azure Virtual Desktop を正常にデプロイするには、次のネットワーク要件を満たす必要があります。

  • セッション ホスト用の仮想ネットワークとサブネットが必要です。 セッション ホストをホスト プールと同時に作成する場合は、ドロップダウン リストに表示するために、この仮想ネットワークを事前に作成する必要があります。 ご利用の仮想ネットワークは、セッション ホストと同じ Azure リージョンに存在する必要があります。

  • AD DS または Microsoft Entra Domain Services を使っている場合は、セッション ホストをドメインに参加させる必要があるため、この仮想ネットワークがドメイン コントローラーおよび関連する DNS サーバーに接続できることを確認します。

  • セッション ホストとユーザーは、Azure Virtual Desktop サービスに接続できる必要があります。 また、この接続では、ポート 443 の TCP を使用して、特定の URL のリストにアクセスします。 詳細については、「必要な URL リスト」を参照してください。 デプロイが正常に機能し、サポートされるようにするには、これらの URL がネットワーク フィルタリングまたはファイアウォールによってブロックされていないことを確認する必要があります。 ユーザーが Microsoft 365 にアクセスする必要がある場合は、セッション ホストが Microsoft 365 エンドポイントに接続可能であることを確認してください。

また、以下の点についても検討してください。

  • ユーザーは、異なるネットワーク上でホストされているアプリケーションやデータにアクセスする必要がある場合があるため、セッション ホストがそれらに接続できることを確認します。

  • クライアントのネットワークからホスト プールを含む Azure リージョンまでのラウンドトリップ (RTT) 待ち時間は、150 ミリ秒を下回っている必要があります。 待機時間が最も短い場所を確認するには、「Azure ネットワークのラウンドトリップ待機時間の統計」で目的の場所を調べます。 ネットワーク パフォーマンスを最適化するため、ユーザーに最も近い Azure リージョンにセッション ホストを作成することをお勧めします。

  • Azure Virtual Desktop デプロイ用の Azure Firewall を使用して、環境をロックダウンし、送信トラフィックをフィルター処理することができます。

  • Azure で Azure Virtual Desktop 環境のセキュリティを保護できるようにするには、ご利用のセッション ホスト上の受信ポート 3389 を開かないことをお勧めします。 Azure Virtual Desktop では、開いている受信ポートを開く必要はありません。 トラブルシューティングの目的でポート 3389 を開く必要がある場合は、Just-In-Time VM アクセスを使用することをお勧めします。 また、セッション ホストにパブリック IP アドレスを割り当てないようにすることをお勧めします。

詳しくは、「Azure Virtual Desktop のネットワーク接続について」を参照してください。

Note

Microsoft では、Azure Virtual Desktop の信頼性と拡張性を維持するために、トラフィック パターンと使用状況を集計し、インフラストラクチャ コントロール プレーンの正常性とパフォーマンスを確認します。 サービス インフラストラクチャがあるすべての場所からこの情報を集計し、US リージョンに送信します。 US リージョンに送信されるデータには、スクラブされたデータが含まれ、顧客データは含れません。 詳細については、「Azure Virtual Desktop のデータの場所」を参照してください。

セッション ホスト管理

セッション ホストを管理する場合は、次の点を考慮してください。

  • Windows インストーラーを無効にするポリシーや構成は、有効にしないでください。 Windows インストーラーを無効にすると、サービスでセッション ホストにエージェントの更新をインストールできなくなり、セッション ホストが正常に機能しなくなります。

  • セッション ホストを AD DS ドメインに参加させ、Intune を使ってそれらを管理する場合は、Microsoft Entra Connect を構成して Microsoft Entra ハイブリッド参加を有効にする必要があります。

  • セッション ホストを Microsoft Entra Domain Services ドメインに参加させる場合は、Intune を使ってそれらを管理することはできません。

  • Windows Server でセッション ホストに Microsoft Entra 参加を使っている場合、Windows Server は Intune でサポートされていないため、それらを Intune に登録することはできません。 Active Directory ドメインから Microsoft Entra ハイブリッド参加とグループ ポリシーを使うか、各セッション ホストでローカル グループ ポリシーを使う必要があります。

Azure リージョン

ホスト プール、ワークスペース、アプリケーション グループは次の Azure リージョンにデプロイできます。 リージョンの一覧は、ホスト プール用メタデータの格納に使用できる場所を示しています。 ただし、ユーザー セッションのセッション ホストは、任意の Azure リージョンに配置でき、Azure Virtual Desktop on Azure Local を使用する場合はオンプレミスに配置できます。これにより、コンピューティング リソースをユーザーの近くにデプロイできます。 データの種類と場所の詳細については、「Azure Virtual Desktop のデータの場所」を参照してください。

  • オーストラリア東部
  • カナダ中部
  • カナダ東部
  • インド中部
  • 米国中部
  • 米国東部
  • 米国東部 2
  • 東日本
  • 米国中北部
  • 北ヨーロッパ
  • 米国中南部
  • 英国南部
  • 英国西部
  • 米国中西部
  • 西ヨーロッパ
  • 米国西部
  • 米国西部 2
  • 米国西部 3

Azure Virtual Desktop は、米国政府機関向け Azure や中国の 21Vianet によって運営される Azure のようなソブリン クラウドでも使用できます。

Azure Virtual Desktop サービスのアーキテクチャと回復性の詳細については、「Azure Virtual Desktop サービスのアーキテクチャと回復性」を参照してください。

リモート デスクトップ クライアント

ユーザーが、デスクトップやリモートアプリに接続するために、リモート デスクトップ クライアントが必要です。 次のクライアントは、Azure Virtual Desktop をサポートします。

重要

Azure Virtual Desktop では、RemoteApp とデスクトップ接続 (RADC) クライアントおよびリモート デスクトップ接続 (MSTSC) クライアントからの接続はサポートされていません。

クライアントが接続に使用し、ファイアウォールとインターネット フィルターを介して許可する必要のある URL については、「必要な URL リスト」を参照してください。

次のステップ