デバイス ID とデスクトップ仮想化

管理者は、通常、Windows オペレーティング システムをホストする仮想デスクトップ インフラストラクチャ (VDI) プラットフォームを組織に展開します。 管理者が VDI を展開する目的:

• 管理の合理化。
• リソースの統合と一元化によるコストの削減。
• エンドユーザーのモビリティを確保し、任意のデバイスでいつでもどこからでも仮想デスクトップへの自由なアクセスを提供する。

仮想デスクトップには次の 2 つの主な種類があります。

• 永続的
• 非永続的

永続的バージョンは、ユーザーまたはユーザーのプールごとに一意のデスクトップ イメージを使用します。 これらの一意のデスクトップは、将来使用するためにカスタマイズして保存できます。

非永続的バージョンは、ユーザーが必要に応じてアクセスできる一連のデスクトップを使用します。 これらの非永続的デスクトップは、仮想マシンがシャットダウン、再起動、または OS リセット プロセスを通過すると、元の状態に戻ります。

組織は、デバイスのライフサイクル管理の適切な戦略がないまま頻繁にデバイスを登録したために作成された、古くなったデバイスを確実に管理することが重要です。

重要

古くなったデバイスの管理に失敗すると、テナント クォータの使用量に関して負荷が増加し、テナント クォータが不足した場合にはサービスが中断する潜在的リスクを負う状況に至る可能性があります。 この状況を回避するためには、非永続的な VDI 環境をデプロイするときに、以下のガイダンスを使用します。

一部のシナリオを正常に実行するには、ディレクトリに一意のデバイス名を含める必要があります。 これは、古いデバイスを適切に管理することによって実現できます。または、デバイスの名前付けに何らかのパターンを使用して、デバイス名の一意性を保証することもできます。

この記事では、デバイス ID と VDI のサポートに関する、管理者向けの Microsoft のガイダンスについて説明します。 デバイスID の詳細については、「デバイス ID とは」の記事を参照してください。

サポートされるシナリオ

VDI 環境用に Microsoft Entra ID でデバイス ID を構成する前に、サポートされているシナリオをよく理解しておいてください。 以下の表に、サポートされているプロビジョニング シナリオを示します。 このコンテキストでのプロビジョニングとは、管理者がエンドユーザーの操作を必要とせずに、デバイス ID を大規模に構成できることを意味します。

現在の Windows のデバイスとは、Windows 10 以降、Windows Server 2016 v1803 以降、および Windows Server 2019 以降を表します。

デバイス ID の種類	ID インフラストラクチャ	Windows デバイス	VDI プラットフォームのバージョン	サポートされています
Microsoft Entra ハイブリッド参加済み	フェデレーション3	最新の Windows	永続的	はい
		最新の Windows	非永続的	○5
	マネージド4	最新の Windows	永続的	はい
		最新の Windows	非永続的	制限付き6
Microsoft Entra 参加済み	フェデレーション	最新の Windows	永続的	制限付き8
			非永続的	いいえ
	マネージド	最新の Windows	永続的	制限付き8
			非永続的	いいえ
Microsoft Entra 登録済み	フェデレーション/マネージド	最新の Windows	永続的/非永続的	適用外

³ A フェデレーテッド アイデンティティインフラストラクチャ環境とは、例として AD FS やその他の Microsoft 以外の IdP などのアイデンティティプロバイダー (IdP) を持つ環境を表します。 フェデレーション ID インフラストラクチャ環境では、コンピューターは、Microsoft Windows Server Active Directory サービス接続ポイント (SCP) 設定に基づいて フェデレーション デバイス登録フローに従います。

⁴マネージド ID インフラストラクチャ環境は、Microsoft Entra ID が ID プロバイダーとしてデプロイされていて、パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) のいずれかが、シームレス シングル サインオンと共に使用される環境を表します。

⁵現在の Windows に対する非永続化サポートには、ガイダンス セクションに記載されているその他の考慮事項が必要になります。 このシナリオでは、Windows 10 1803 以降、Windows Server 2019、または Windows Server (半期チャネル) バージョン 1803 以降が必要です

⁶ マネージド ID インフラストラクチャ環境での現在の Windows に対する非永続化サポートは、オンプレミスのカスタマー マネージドの Citrix とクラウド サービス マネージドの Citrix でのみ使用できます。 サポート関連のクエリについては、Citrix サポートに直接お問い合わせください。

8Microsoft Entra 参加サポート は、Azure Virtual Desktop、Windows 365、および Amazon WorkSpacesで利用できます。 Amazon WorkSpaces と Microsoft Entra の統合におけるサポート関連クエリについては、Amazon サポートに直接お問い合わせください。

Microsoft のガイダンス

管理者は、ID インフラストラクチャに基づいて次の記事を参照し、Microsoft Entra ハイブリッド参加を構成する方法を学習する必要があります。

• フェデレーション環境用に Microsoft Entra ハイブリッド参加を構成する
• マネージド環境用に Microsoft Entra ハイブリッド参加を構成する

非永続的 VDI

管理者が非永続的 VDI を展開する場合、Microsoft は、次のガイダンスを実践することをお勧めします。 そうしないと、非永続的 VDI プラットフォームから登録された古い Microsoft Entra ハイブリッド参加済みデバイスがディレクトリに多数存在することになります。 これらの古いデバイスにより、テナント クォータが圧迫され、テナント クォータが不足するためにサービスが中断されるリスクが高まります。

• システム準備ツール (sysprep.exe) を利用していて、インストールに Windows 10 1809 より前のイメージを使用している場合は、そのイメージが、既に Microsoft Entra ハイブリッド参加済みとして Microsoft Entra ID に登録されているデバイスからのものではないことを確認します。
• 仮想マシン (VM) のスナップショットを利用して追加の VM を作成する場合は、そのスナップショットが、既に Microsoft Entra ハイブリッド参加として Microsoft Entra ID に登録されている VM からのものではないことを確認します。
• Active Directory フェデレーション サービス (AD FS) では、非永続的な VDI と Microsoft Entra ハイブリッド参加のインスタント結合がサポートされています。
• デスクトップが非永続的な VDI ベースであることを示す、コンピューターの表示名のプレフィックス (例: NPVDI-) を作成して使用します。
• フェデレーション環境の Windows デバイス (AD FS など) の場合:
  • ユーザーがサインインする前に、VM ブート シーケンス/順序の一部として、dsregcmd/join を実行します。
  • VM のシャットダウン/再起動プロセスの一部として dsregcmd /leave を実行しないでください。
• 古いデバイスの管理のプロセスを定義して実装します。
  • 非永続的な Microsoft Entra ハイブリッド参加済みデバイスを特定する戦略 (コンピューター表示名のプレフィックスを使用するなど) を用意したら、ディレクトリが多くの古いデバイスで占められないように、これらのデバイスのクリーンアップをより積極的に行う必要があります。
  • 非永続的 VDI のデプロイでは、ApproximateLastLogonTimestamp が 15 日より古いデバイスを削除する必要があります。

Note

非永続的 VDI を使用する場合、職場または学校アカウントの追加を回避するには、次のレジストリ キーが設定されていることを確認します: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

Windows 10 バージョン 1803 以降を実行していることを確認します。

パス %localappdata% にあるデータのローミングはサポートされていません。 %localappdata% にあるコンテンツを移動する場合は、次のフォルダーとレジストリキーの内容がどのような状況でもデバイスを離れることがないようにしてください。 たとえば、プロファイル移行ツールでは、次のフォルダーとキーをスキップする必要があります。

• %localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
• %localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
• %localappdata%\Packages\<any app package>\AC\TokenBroker
• %localappdata%\Microsoft\TokenBroker
• %localappdata%\Microsoft\OneAuth
• %localappdata%\Microsoft\IdentityCache
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker

職場アカウントのデバイス証明書のローミングはサポートされていません。 "MS 組織アクセス" によって発行された証明書は、現在のユーザーとローカル マシンの個人用 (MY) 証明書ストアに格納されます。

永続的 VDI

管理者が永続的な VDI を展開する場合、Microsoft は、次のガイダンスを実践することをお勧めします。 そうしないと、デプロイと認証の問題が発生します。

• システム準備ツール (sysprep.exe) を利用していて、インストールに Windows 10 1809 より前のイメージを使用している場合は、そのイメージが、既に Microsoft Entra ハイブリッド参加済みとして Microsoft Entra ID に登録されているデバイスからのものではないことを確認します。
• 仮想マシン (VM) のスナップショットを利用して追加の VM を作成する場合は、そのスナップショットが、既に Microsoft Entra ハイブリッド参加として Microsoft Entra ID に登録されている VM からのものではないことを確認します。

古くなったデバイスを管理するためのプロセスを実装することが推奨されます。 このプロセスにより、VM を定期的にリセットすれば、ディレクトリで古くなった多くのデバイスを使用しないで済むようになります。

次のステップ

フェデレーション環境用の Microsoft Entra ハイブリッド参加の構成