Windows 10 または Windows 11 Enterprise マルチセッション リモート デスクトップ
Microsoft Intuneを使用した Azure Virtual Desktop マルチセッションが一般公開されました。
Microsoft Intune を使用して、共有 Windows 10 または Windows 11 クライアント デバイスを管理するのと同じように、Microsoft Intune 管理センターで Windows 10 または Windows 11 Enterprise マルチセッション リモート デスクトップを管理できるようになりました。 このような仮想マシン (VM) を管理する場合は、デバイスを対象とするデバイス ベースの構成と、ユーザーを対象とするユーザーベースの構成の両方を使用できます。
Windows 10 または Windows 11 Enterprise マルチセッションは、Azure の Azure Virtual Desktop 専用の新しいリモート デスクトップ セッション ホストです。 これには次のようなメリットがあります。
- 複数の同時ユーザー セッションを可能にします。
- ユーザーに、親しまれた Windows 10 または Windows 11 エクスペリエンスを提供します。
- 既存のユーザーごとの Microsoft 365 ライセンスの使用をサポートします。
米国政府コミュニティ (GCC)、GCC High、および DoD の Azure Government Cloud で作成された Windows 10 および Windows 11 Enterprise マルチセッション VM を管理できます。
重要
Azure Virtual Desktop マルチセッションに対する Microsoft Intune のサポートは、Citrix DaaS と VMware Horizon Cloud では現在利用できません。
概要
Microsoft Intune for Windows 10 または Windows 11 Enterprise マルチセッションでのデバイス構成のサポートが一般公開されています (GA)。 つまり 、OS スコープで定義されたポリシー と、システム コンテキストでインストールするように構成されたアプリは、デバイス グループに割り当てられたときに Azure Virtual Desktop マルチセッション VM に適用できます。
注:
デバイス ベースの構成をユーザーに割り当てることはできません。また、ユーザーベースの構成をデバイスに割り当てることはできません。 [エラー] または [該当なし] として報告されます。
Windows 10 または Windows 11 マルチセッション VM の Microsoft Intune でのユーザー構成のサポートが一般公開されています。 これにより、次のことが可能になります。
[設定カタログ] を使用してユーザー スコープ ポリシーを構成し、ユーザーのグループに割り当てます。 検索バーを使用すると、スコープが "user" に設定されているすべての構成を検索できます。
ユーザー証明書を構成し、ユーザーに割り当てます。
ユーザー コンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。
前提条件
この機能は、次の Windows 10 または Windows 11 Enterprise マルチセッション VM をサポートします:
- Windows 10 バージョン 1903 もしくはそれ以降か、Windows 11 マルチセッションが動作中。
- Azure Resource Manager 経由でデプロイされたホスト プールでリモート デスクトップとして設定されている。
- Intune と同じテナントの下。
- Azure Virtual Desktop エージェント バージョン 1.0.2944.1400 以降を実行している。
-
Microsoft Entra ハイブリッドは 、次のいずれかの方法を使用して Microsoft Intune に参加し、登録しました。
- Active Directory グループ ポリシーを使用して構成し、デバイス資格情報を使用するように設定し、Microsoft Entra ハイブリッド参加済みのデバイスを自動的に登録するように設定します。
- Configuration Manager の共同管理。
- Microsoft Entra は、Azure portal で [ Intune に VM を登録 する] を有効にすることで、Microsoft Intune に参加して登録しました。
- ライセンス: ユーザーまたはデバイスが Microsoft Intune サービスから直接または間接的に恩恵を受ける場合 (Microsoft API を介した Microsoft Intune サービスへのアクセスなど) には、適切な Azure Virtual Desktop と Microsoft Intune ライセンスが必要です。 詳細については、「 Microsoft Intune ライセンス」を参照してください。
- Azure Virtual Desktop のライセンス要件の詳細については、「Azure Virtual Desktop とは何か?」 を参照してください。
制限事項
Intune では、既に登録されているコンピューターの複製されたイメージの使用はサポートされていません。 これには、Azure Virtual Desktop (AVD) などの物理デバイスと仮想デバイスの両方が含まれます。 デバイスの登録または ID トークンがデバイス間でレプリケートされると、Intune デバイスの登録または同期エラーが発生します。
- 詳細については、「 モバイル デバイスの登録 - Windows クライアント管理 」および「 証明書認証デバイスの登録 - Windows クライアント管理」を参照してください。
- イメージの複製に関連する問題のトラブルシューティングについては、「 エラー時間の0x8007064c: マシンは既に登録されています」を参照してください。
注:
セッション ホストを Microsoft Entra Domain Services に参加させる場合、Intune を使用して管理することはできません。
重要
- Windows 10、バージョン 2004、20H2、または 21H1 ビルドを使用している場合は、2021 年 7 月の Windows Update 以降の Windows 更新プログラムをインストールしていることを確認してください。 そうしないと、リモート同期などの Microsoft Intune 管理センターのリモート アクションが正しく機能しません。 そのため、デバイスに割り当てられている保留中のポリシーは、適用されるまでに最大 8 時間かかることがあります。
- Intune では現在、デバイス間のトークン ローミング機能はサポートされていません。 FSLogix または同様のテクノロジを使用して Windows ユーザー プロファイルと設定を管理する場合は、デバイス間でトークンが予期せずローミングまたは重複しないようにする必要があります。 トークン ローミングが無効になっている FSLogix のサポートされているバージョンと構成を実行していることを確認するには、 FSLogix RoamIdentity 構成設定リファレンスを参照してください。
Windows 10 または Windows 11 Enterprise マルチセッション VM は別の OS エディションとして扱われ、このエディションでは一部の Windows 10 または Windows 11 Enterprise 構成はサポートされません。 この Microsoft Intune は、同じ VM の Azure Virtual Desktop 管理に依存したり干渉したりしません。
デバイス構成プロファイルの作成
Windows 10 または Windows 11 Enterprise マルチセッション VM の構成ポリシーを構成するには、Microsoft Intune 管理センターの [設定] カタログ を使用する必要があります。
既存のデバイス構成プロファイル テンプレートは、Windows 10 または Windows 11 Enterprise マルチセッション VM ではサポートされていません。ただし、次のテンプレートを除きます:
- 信頼された証明書 - デバイスをターゲットとする場合はデバイス (マシン)、ユーザーをターゲットとする場合はユーザー
- SCEP 証明書 - デバイスをターゲットとする場合はデバイス (マシン)、ユーザーをターゲットとする場合はユーザー
- PKCS 証明書 - デバイスをターゲットとする場合はデバイス (マシン)、ユーザーをターゲットとする場合はユーザー
- VPN - デバイス トンネルのみ
Microsoft Intune は、サポートされていないテンプレートをマルチセッション デバイスに配信せず、それらのポリシーはレポート中で、適用不可と表示されます。
注:
Intune と Configuration Manager に共同管理を使用する場合は、Configuration Manager でリソース アクセス ポリシーのワークロード スライダーを [Intune] または [パイロット Intune] に設定します。 この設定により、Windows 10 および Windows 11 のクライアントは証明書を要求するプロセスを開始できます。
ポリシーを構成するには
- Microsoft Intune 管理センターにサインインし、[デバイス>By platform>Windows>Manage devices>Configuration>Create>New Policy] を選択します。
- [プラットフォーム] には、[Windows 10 以降] を選択します。
- [プロファイルの種類] で [設定カタログ] を選択するか、テンプレートを使用して設定を展開するときに、[テンプレート] を選択してから、サポートされているテンプレートの名前を選択します。
- [作成] を選択します。
- [基本] ページ上で、[名前] を指定し、(必要に応じて) [説明]>[次へ] に進みます。
- [構成設定] ページで、[Add settings]\(設定の追加\) を選択します。
-
[設定ピッカー] で [フィルターの追加] を選択し、次のオプションを選択します。
- キー: OS のエディション
- 演算子: ==
- 値: Enterprise マルチセッション
- [適用] を選択します。 フィルター処理された一覧には、現在 Windows 10 または Windows 11 Enterprise マルチセッションをサポートする全ての構成プロファイルのカテゴリが表示されています。 ポリシーのスコープはかっこで囲んで表示されます。 ユーザー スコープの場合は (ユーザー) として表示され、残りはすべてデバイス スコープを持つポリシーです。
- フィルター処理された一覧から、目的のカテゴリを選択します。
- 選択したカテゴリごとに、新しい構成プロファイルに適用する設定を選択します。
- 設定ごとに、この構成プロファイルに使用する値を選択します。
- 設定の追加が完了したら、[ 次へ ] を選択します。
- [ 割り当て] ページで、このプロファイルを割り当てるデバイスを含む Microsoft Entra グループ >次に選択します。
- [スコープ タグ] ページで、必要に応じて、このプロファイル>次に適用するスコープ タグを追加します。 スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。
- [確認および作成] ページで、[作成] を選択してプロファイルを作成します。
管理用テンプレート
Windows 10 または Windows 11 の管理用テンプレートは、設定カタログを通じて Windows 10 または Windows 11 Enterprise のマルチセッションで サポートされ、いくつかの制限があります:
- ADMX ベースのポリシーがサポートされています。 一部のポリシーは、[設定] カタログではまだ使用できません。
- Office と Microsoft Edge などの設定には ADMX が取り込まれたポリシーがサポートされていて、Office の管理用テンプレート ファイルと Microsoft Edge 管理用テンプレート ファイルで使用できます。 ADMX が取り込まれたポリシーのカテゴリの完全な一覧については、「Win32 およびデスクトップ ブリッジ アプリ ポリシーの構成」を参照してください。 ADMX に取り込まれた一部の設定は、Windows 10 または Windows 11 Enterprise マルチセッションに適用されません。
サポートされている管理用テンプレートを一覧表示するには、[設定] カタログでフィルターを使用する必要があります。
コンプライアンスと条件付きアクセス
Microsoft Intune 管理センターでコンプライアンス ポリシーと条件付きアクセス ポリシーを構成することで、Windows 10 または Windows 11 Enterprise マルチセッション VM をセキュリティで保護できます。 以下のコンプライアンス ポリシーは、Windows 10 または Windows 11 Enterprise マルチセッション VM でサポートされています:
- 最小 OS バージョン
- 最大 OS バージョン
- 有効なオペレーティング システムのビルド
- 単純なパスワード
- パスワードの種類
- パスワードの最小文字数
- パスワードの複雑さ
- パスワードの有効期限 (日)
- 再使用を禁止するパスワード世代数
- Microsoft Defender マルウェア対策
- 最新の Microsoft Defender マルウェア対策セキュリティ インテリジェンス
- ファイアウォール
- ウイルス対策
- スパイウェア対策
- リアルタイム保護
- Microsoft Defender マルウェア対策の最小バージョン
- Defender ATP のリスク スコア
他のすべてのポリシーは、"適用なし" としてレポートされます。
重要
新しいコンプライアンス ポリシーを作成し、マルチセッション VM を含むデバイス グループを対象にする必要があります。 ユーザー対象のコンプライアンス構成はサポートされていません。
条件付きアクセス ポリシーは、Windows 10 または Windows 11 Enterprise マルチセッション向けの、ユーザーおよびデバイス ベース双方の構成をサポートします。
注:
Exchange オンプレミスの条件付きアクセスは、Windows 10 または Windows 11 Enterprise マルチセッション VM をサポートしません。
注:
現時点では、Azure Virtual Desktop VM では、vTPM (仮想トラステッド プラットフォーム モジュール) を利用する BitLocker、Secure Boot、および機能の構成とコンプライアンス ポリシーはサポートされていません。
エンドポイントのセキュリティ
マルチセッション VM のエンドポイント セキュリティでプロファイルを構成するには、プラットフォーム Windows 10、Windows 11、Windows サーバーを選択します。 そのプラットフォームが使用できない場合、プロファイルはマルチセッション VM ではサポートされません。
詳細については、「Microsoft Intune のエンドポイント セキュリティ ポリシーを使用したデバイス セキュリティの管理」を参照してください。
アプリケーションの展開
全ての Windows 10 または Windows 11 アプリは、以下の制約の下で Windows 10 または Windows 11 Enterprise マルチセッションに対して展開できます:
- すべてのアプリは、システム コンテキストとデバイス コンテキストでインストールするように構成し、デバイスを対象にする必要があります。 Web アプリは、既定ではユーザー コンテキストで適用されるため、マルチセッション VM には適用されません。
- すべてのアプリは、必須、またはアンインストールのアプリ割り当ての目的で構成する必要があります。 使用可能なアプリ展開の目的は、マルチセッション VM でサポートされていません。
- システム コンテキストでインストールするように構成されている Win32 アプリが、ユーザー コンテキストでインストールするように構成されたアプリに対する依存関係または置き換えのリレーションシップを持っている場合、アプリはインストールされません。 Windows 10 または Windows 11 Enterprise マルチセッション VM に適用するには、システム コンテキスト アプリの個別のインスタンスを作成するか、すべてのアプリの依存関係がシステム コンテキストにインストールされるように構成されていることを確認します。
- Azure Virtual Desktop RemoteApp と MSIX アプリ アパッチは、現在 Microsoft Intune でサポートされていません。
スクリプト展開
システム コンテキストで実行するように構成され、デバイスに割り当てられたスクリプトは、Windows 10 または Windows 11 Enterprise マルチセッションでサポートされます。 これは、[スクリプト設定] で [このスクリプトをログオンしたユーザーの資格情報を使用して実行する] を [いいえ] に設定することにより、構成できます。
ユーザー コンテキストで実行するように構成され、ユーザーに割り当てられたスクリプトは、Windows 10 および Windows 11 Enterprise マルチセッションでサポートされます。 これは、[スクリプト設定] で [このスクリプトをログオンしたユーザーの資格情報を使用して実行する] を [はい] に設定することにより、構成できます。
Windows Update for Business
設定カタログを使用して、Windows 10 または Windows 11 Enterprise マルチセッション VM の品質 (セキュリティ) の更新プログラム に関する Windows Update の設定を管理できます。 カタログでサポートされている設定を見つけるには、Enterprise マルチセッションの設定フィルターを構成してから、[Windows Update for Business] カテゴリを展開します。
次の設定がカタログで利用可能であり、リンクは Windows CSP ドキュメントを開きます。
- アクティブ時間の終了
- アクティブ時間の最大範囲
- アクティブ時間の開始
- "更新プログラムの一時停止" 機能のブロック
- 期限の猶予期間の構成
- 品質更新プログラムを延期する期間 (日数)
- 品質更新プログラムの一時停止の開始時刻
- 品質更新プログラムの期限期間 (日数)
リモート操作
次の Windows 10 または Windows 11 デスクトップ デバイスのリモート操作はサポートされておらず、UI ではグレーアウト表示され、Windows 10 または Windows 11 Enterprise マルチセッション VM の Graph では無効化されています:
- Autopilot リセット
- BitLocker キーの交換
- 新たに開始
- リモート ロック
- パスワードのリセット
- ワイプ
退職
Azure から VM を削除すると、Microsoft Intune 管理センターに孤立したデバイス レコードが残ります。 テナント用に構成されたクリーンアップ 規則に従って、自動的にクリーンアップされます。
セキュリティ基本計画
現時点では、Windows 10 または Windows 11 Enterprise マルチセッションのためのセキュリティ基準は使用できません。 使用可能なセキュリティ ベースラインを確認し、設定カタログで推奨されるポリシーと値を構成することをお勧めします。
Windows 10 または Windows 11 Enterprise マルチセッション VM でサポートされていない追加の構成
スタートアップ エクスペリエンス (Out of Box Experience: OOBE) の登録は、Windows 10 または Windows 11 Enterprise マルチセッションではサポートされていません。 この制限は次のことを意味します。
- Windows Autopilot と商用 OOBE はサポートされていません。
- 登録状態ページはサポートされていません。
Microsoft Intune によって管理された Windows 10 または Windows 11 Enterprise マルチセッションは、現在、中国のソブリン クラウドではサポートされていません。
トラブルシューティング
以下のセクションでは、一般的な問題に関するトラブルシューティングのガイダンスを提供します。
登録に関する問題
問題 | 詳細 |
---|---|
Microsoft Entra ハイブリッド参加済み仮想マシンの登録が失敗する |
|
Microsoft Entra 参加済み仮想マシンの登録が失敗する |
|
構成の問題
問題 | 詳細 |
---|---|
設定カタログ ポリシーが失敗する | VM がデバイス資格情報を使用して登録されていることを確認します。 ユーザー資格情報を使用した登録は、現在、Windows 10 または Windows 11 Enterprise マルチセッションでサポートされていません。 |
構成ポリシーが適用されませんでした | テンプレート (証明書を除く) は、Windows 10 または Windows 11 Enterprise マルチセッションではサポートされていません。 すべてのポリシーは、設定カタログを使用して作成する必要があります。 |
構成ポリシーレポート (該当なし) | 一部のポリシーは、Azure Virtual Desktop VM には適用できません。 |
Windows 10 または Windows 11 Enterprise マルチセッション エディションにフィルターを適用する場合、Microsoft Edge/Microsoft Office ADMX ポリシーは表示されません | これらの設定の適用性は、Windows のバージョンやエディションではなく、それらのアプリがデバイスにインストールされているかどうかに基づいています。 これらの設定をポリシーに追加するには、設定ピッカーに適用されているすべてのフィルターを削除する必要がある場合があります。 |
システム コンテキストにインストールするように構成されたアプリが適用されない | ユーザー コンテキストにインストールするように構成されたアプリに対して、アプリに依存関係や優先関係が存在しないことを確認します。 ユーザー コンテキスト アプリは現在、Windows 10 または Windows 11 Enterprise マルチセッションによってサポートされていません。 |
Windows 10 以降の更新リング ポリシーが適用されない | Windows Update リング ポリシーは現在サポートされていません。 品質更新プログラムは、設定カタログで使用できる 設定を使用して管理できます。 |