デバイス ID とデスクトップ仮想化
管理者は、通常、Windows オペレーティング システムをホストする仮想デスクトップ インフラストラクチャ (VDI) プラットフォームを組織に展開します。 管理者が VDI を展開する目的:
- 管理の合理化。
- リソースの統合と一元化によるコストの削減。
- エンドユーザーのモビリティを確保し、任意のデバイスでいつでもどこからでも仮想デスクトップへの自由なアクセスを提供する。
仮想デスクトップには次の 2 つの主な種類があります。
- 永続的
- 非永続的
永続的バージョンは、ユーザーまたはユーザーのプールごとに一意のデスクトップ イメージを使用します。 これらの一意のデスクトップは、将来使用するためにカスタマイズして保存できます。
非永続的バージョンは、ユーザーが必要に応じてアクセスできる一連のデスクトップを使用します。 これらの非永続的デスクトップは、元の状態に戻されます。最新の Windows1 では、この変更は仮想マシンがシャットダウンまたは再起動または OS リセット プロセスを経たときに発生し、ダウンレベルの Windows2 では、この変更はユーザーがサインアウトしたときに発生します。
組織は、デバイスのライフサイクル管理の適切な戦略がないまま頻繁にデバイスを登録したために作成された、古くなったデバイスを確実に管理することが重要です。
重要
古くなったデバイスの管理に失敗すると、テナント クォータの使用量に関して負荷が増加し、テナント クォータが不足した場合にはサービスが中断する潜在的リスクを負う状況に至る可能性があります。 この状況を回避するためには、非永続的な VDI 環境をデプロイするときに、以下のガイダンスを使用します。
一部のシナリオを正常に実行するには、ディレクトリに一意のデバイス名を含める必要があります。 これは、古いデバイスを適切に管理することによって実現できます。または、デバイスの名前付けに何らかのパターンを使用して、デバイス名の一意性を保証することもできます。
この記事では、デバイス ID と VDI のサポートに関する、管理者向けの Microsoft のガイダンスについて説明します。 デバイスID の詳細については、「デバイス ID とは」の記事を参照してください。
サポートされるシナリオ
VDI 環境用に Microsoft Entra ID でデバイス ID を構成する前に、サポートされているシナリオをよく理解しておいてください。 以下の表に、サポートされているプロビジョニング シナリオを示します。 このコンテキストでのプロビジョニングとは、管理者がエンドユーザーの操作を必要とせずに、デバイス ID を大規模に構成できることを意味します。
デバイス ID の種類 | ID インフラストラクチャ | Windows デバイス | VDI プラットフォームのバージョン | サポートされています |
---|---|---|---|---|
Microsoft Entra ハイブリッド参加済み | フェデレーション3 | 最新の Windows とダウンレベルの Windows | 永続的 | はい |
最新の Windows | 非永続的 | ○5 | ||
ダウンレベルの Windows | 非永続的 | はい6 | ||
マネージド4 | 最新の Windows とダウンレベルの Windows | 永続的 | はい | |
最新の Windows | 非永続的 | 制限付き6 | ||
ダウンレベルの Windows | 非永続的 | はい7 | ||
Microsoft Entra 参加済み | フェデレーション | 最新の Windows | 永続的 | 制限付き8 |
非永続的 | いいえ | |||
マネージド | 最新の Windows | 永続的 | 制限付き8 | |
非永続的 | いいえ | |||
Microsoft Entra 登録済み | フェデレーション/マネージド | 最新の Windows/ダウンレベルの Windows | 永続的/非永続的 | 適用外 |
1 現在の Windows デバイスとは、Windows 10 以降、Windows Server 2016 バージョン 1803 以上、および Windows Server 2019 以上を表します。
2 ダウンレベルの Windows デバイスは、Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 を表します。 Windows 7 のサポート情報については、「Windows 7 のサポート終了が近づいています」を参照してください。 Windows Server 2008 R2 のサポート情報については、「Windows Server 2008 のサポート終了に備える」を参照してください。
3 フェデレーション ID インフラストラクチャ環境は、AD FS やその他のサードパーティ IDP などの ID プロバイダー (IdP) を備えた環境を表します。 フェデレーション ID インフラストラクチャ環境では、コンピューターは、Microsoft Windows Server Active Directory サービス接続ポイント (SCP) 設定に基づいてマネージド デバイス登録フローに従います。
4マネージド ID インフラストラクチャ環境は、Microsoft Entra ID が ID プロバイダーとしてデプロイされていて、パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) のいずれかが、シームレス シングル サインオンと共に使用される環境を表します。
5 現在の Windows に対する非永続化サポートには、ガイダンス セクションに記載されているその他の考慮事項が必要になります。 このシナリオでは、Windows 10 1803 以降、Windows Server 2019、または Windows Server (半期チャネル) バージョン 1803 以降が必要です
6 マネージド ID インフラストラクチャ環境での現在の Windows に対する非永続化サポートは、オンプレミスのカスタマー マネージドの Citrix とクラウド サービス マネージドの Citrix でのみ使用できます。 サポート関連のクエリについては、Citrix サポートに直接お問い合わせください。
7 ダウンレベルの Windows に対する非永続的化サポートには、ガイダンス セクションに記載されているその他の考慮事項が必要になります。
8 Microsoft Entra 参加のサポートは、Azure Virtual Desktop、Windows 365、Amazon WorkSpaces で使用できます。 Amazon WorkSpaces と Microsoft Entra の統合におけるサポート関連クエリについては、Amazon サポートに直接お問い合わせください。
Microsoft のガイダンス
管理者は、ID インフラストラクチャに基づいて次の記事を参照し、Microsoft Entra ハイブリッド参加を構成する方法を学習する必要があります。
非永続的 VDI
非永続的 VDI をデプロイする場合は、組織で以下のガイダンスを実装することが推奨されます。 そうしないと、非永続的 VDI プラットフォームから登録された古い Microsoft Entra ハイブリッド参加済みデバイスがディレクトリに多数存在することになります。 これらの古いデバイスにより、テナント クォータが圧迫され、テナント クォータが不足するためにサービスが中断されるリスクが高まります。
- システム準備ツール (sysprep.exe) を利用していて、インストールに Windows 10 1809 より前のイメージを使用している場合は、そのイメージが、既に Microsoft Entra ハイブリッド参加済みとして Microsoft Entra ID に登録されているデバイスからのものではないことを確認します。
- 仮想マシン (VM) のスナップショットを利用して追加の VM を作成する場合は、そのスナップショットが、既に Microsoft Entra ハイブリッド参加として Microsoft Entra ID に登録されている VM からのものではないことを確認します。
- Active Directory フェデレーション サービス (AD FS) では、非永続的な VDI と Microsoft Entra ハイブリッド参加のインスタント結合がサポートされています。
- デスクトップが非永続的な VDI ベースであることを示す、コンピューターの表示名のプレフィックス (例: NPVDI-) を作成して使用します。
- ダウンレベルの Windows の場合:
- ログオフ スクリプトの一部として autoworkplacejoin /leave コマンドを実装します。 このコマンドは、ユーザーのコンテキストでトリガーする必要があり、ユーザーが完全にログオフする前のネットワーク接続が存在する間に実行する必要があります。
- フェデレーション環境 (AD FS など) の最新の Windows の場合:
- ユーザーがサインインする前に、VM ブート シーケンス/順序の一部として、dsregcmd/join を実行します。
- VM のシャットダウン/再起動プロセスの一部として dsregcmd /leave を実行しないでください。
- 古いデバイスの管理のプロセスを定義して実装します。
- 非永続的な Microsoft Entra ハイブリッド参加済みデバイスを特定する戦略 (コンピューター表示名のプレフィックスを使用するなど) を用意したら、ディレクトリが多くの古いデバイスで占められないように、これらのデバイスのクリーンアップをより積極的に行う必要があります。
- 最新の Windows とダウンロードレベルの Windows への非永続的 VDI のデプロイでは、ApproximateLastLogonTimestamp が 15 日より古いデバイスを削除する必要があります。
Note
非永続的 VDI を使用する場合、職場または学校アカウントの追加を回避するには、次のレジストリ キーが設定されていることを確認します: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Windows 10 バージョン 1803 以降を実行していることを確認します。
パス
%localappdata%
にあるデータのローミングはサポートされていません。%localappdata%
にあるコンテンツを移動する場合は、次のフォルダーとレジストリキーの内容がどのような状況でもデバイスを離れることがないようにしてください。 例: プロファイル移行ツールは、次のフォルダーとキーをスキップする必要があります。
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
%localappdata%\Packages\<any app package>\AC\TokenBroker
%localappdata%\Microsoft\TokenBroker
%localappdata%\Microsoft\OneAuth
%localappdata%\Microsoft\IdentityCache
HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
職場アカウントのデバイス証明書のローミングはサポートされていません。 "MS 組織アクセス" によって発行された証明書は、現在のユーザーとローカル マシンの個人用 (MY) 証明書ストアに格納されます。
永続的 VDI
永続的 VDI をデプロイする場合は、IT 管理者が以下のガイダンスを実行に移すことをお勧めします。 そうしないと、デプロイと認証の問題が発生します。
- システム準備ツール (sysprep.exe) を利用していて、インストールに Windows 10 1809 より前のイメージを使用している場合は、そのイメージが、既に Microsoft Entra ハイブリッド参加済みとして Microsoft Entra ID に登録されているデバイスからのものではないことを確認します。
- 仮想マシン (VM) のスナップショットを利用して追加の VM を作成する場合は、そのスナップショットが、既に Microsoft Entra ハイブリッド参加として Microsoft Entra ID に登録されている VM からのものではないことを確認します。
古くなったデバイスを管理するためのプロセスを実装することが推奨されます。 このプロセスにより、VM を定期的にリセットすれば、ディレクトリで古くなった多くのデバイスを使用しないで済むようになります。