保護するコンポーネントを特定する
Azure Virtual Desktop の展開は、複数のコンポーネントで構成されています。 Azure Virtual Desktop のビジネス継続性と障害復旧 (BCDR) を構成するときは、各コンポーネントを個別に検討することが重要です。
Azure Virtual Desktop サービス
Azure Virtual Desktop は、柔軟なクラウド仮想デスクトップ インフラストラクチャ (VDI) ソリューションです。 このサービスでは、以下の内容を実行します。
- 仮想デスクトップのやり取りと調整を管理サービスとして処理します。
- Azure サブスクリプションに展開されている仮想マシン (VMs) の管理を可能にします。
- あらゆるデバイスに仮想デスクトップ エクスペリエンスとリモート アプリケーションを提供します。
- Microsoft Intune などの既存のツールのサポートが含まれています。
Microsoft は、以下の表に記載されている Azure Virtual Desktop サービスを管理しています。
| サービス | 説明 |
|---|---|
| ゲートウェイ | このサービスは、リモート クライアントをゲートウェイに接続し、VM から同じゲートウェイに戻るための接続を確立します。 |
| 接続ブローカー | このサービスは、既存のユーザー セッションにおいて、仮想デスクトップやリモート アプリへの負荷分散や再接続を行います。 |
| 診断 | このサービスは、Azure Virtual Desktop デプロイでのアクションのイベントを成功または失敗としてログに記録します。 この情報を使用して、エラーのトラブルシューティングを行うことができます。 |
| 拡張コンポーネント | これらのコンポーネントを使用すると、PowerShell、REST API から Azure Virtual Desktop を管理し、サードパーティ製ツールとの統合をサポートできます。 |
| Web Access | このサービスを使用すると、長いインストール プロセスなしで、Web ブラウザーから Azure Virtual Desktop リソースに安全にアクセスできます。 |
Azure Virtual Desktop のコア インフラストラクチャ サービスは、Microsoft が完全に管理します。 地域的に停止した場合でも、このサービスの運用を維持するために特別な手順を踏む必要はありません。 計画外のエラーが発生すると、コンポーネントが複数の場所にフェールオーバーされます。 これにより、テナント環境とホストの両方にアクセスできる状態を確保することができます。
Microsoft Entra ID
Azure Virtual Desktop の ID とアクセス管理には Microsoft Entra ID を使用します。 これには、リモート セッション、管理要素、およびユーザー セットアップへのアクセスが含まれます。 Azure Virtual Desktop では、Microsoft Entra ID を使用して、Azure で実行されているサービスと対話する操作を認証します。 これには、ユーザーが使用可能なリソースを決定するために使用するアプリや Web サイトも含まれます。
AD DS
Azure Virtual Desktop VM は Active Directory Domain Services (AD DS) サービスにドメイン参加する必要があり、2 つのサービス間でユーザーを関連付けるには、サービスが Microsoft Entra ID と同期している必要があります。 Microsoft Entra Connect を使用して、AD DS と Microsoft Entra ID を統合できます。 Azure Virtual Desktop は、クラウド専用の組織の ID や、ハイブリッド ID を使用する環境で展開することができます。
ただし、Azure Virtual Desktop をサポートするためには、インフラストラクチャが特定の要件を満たす必要があります。 以下の条件を満たしている必要があります。
- Microsoft Entra 組織。
- Microsoft Entra ID と同期されるドメイン コントローラー。 ドメイン コントローラーは、オンプレミスのネットワークに展開することも、Azure 仮想ネットワークで動作する VM として展開することもできます。 オンプレミスのネットワークにドメイン コントローラーを導入するには、サイト間 VPN または Azure ExpressRoute を使用して Azure 仮想ネットワークに接続する必要があります。 また、AD DS を使用することもでき、Azure VM にドメイン コントローラーを展開する代わりに、Microsoft がドメイン コントローラーを管理することもできます。
- AD DS または Microsoft Entra Domain Services に接続されている仮想ネットワークを含む Azure サブスクリプション。
プライマリ リージョンが停止した場合に備えて、Active Directory ドメイン コントローラーの可用性を維持することは非常に重要です。 アクセス可能な Active Directory ドメイン コントローラーなしでは、ユーザーは Azure Virtual Desktops や RemoteApp インスタンスにサインインすることができません。
仮想ネットワーク
仮想ネットワークは、Azure が Azure Virtual Desktop VM と AD DS インスタンスの両方を設定するために必要不可欠のコンポーネントです。 停止時には、Azure Virtual Desktop のネットワーク接続が適切に機能することが重要です。 Azure Virtual Desktop のハイブリッド展開では、サイト間仮想プライベート ネットワーク (VPN) または Azure ExpressRoute を使用して、仮想ネットワークとオンプレミス ネットワークを接続する必要があります。 これには、セカンダリ リージョンのネットワーク接続とオンプレミス ネットワークへの接続を慎重に計画する必要があります。
セッション ホスト
Azure Virtual Desktop は、リモート デスクトップやリモート アプリを実行するセッション ホストにアクセスできます。 各セッション ホストには Azure Virtual Desktop ホスト エージェントがあり、VM を Azure Virtual Desktop のワークスペースまたはテナントの一部として登録します。 セッション ホストは、Microsoft Entra Domain Services または AD DS と通信する必要があります。 VM が利用できなくなったり、オペレーティング システムが破損したりする可能性があるため、Azure Virtual Desktop の BCDR 計画に VM を含める必要があります。
画像
アプリケーション グループのセッション ホストを構成するときに、イメージを選択することができます。 次のような Azure Marketplace イメージで Microsoft によって提供されるオペレーティング システム イメージを選択できます。
- Microsoft 365 アプリの有無にかかわらず、マルチセッション用の Windows 11 または Windows 10 Enterprise。
- Windows Server 2022 または 2019。
- Azure コンピューティング ギャラリーに格納されている独自のカスタム イメージ。
イメージは、セッション ホスト VM に接続するユーザーの機能に直接影響しません。 ただし、新しいセッション ホストの容量を設定する場合には、これらは非常に重要です。 そのため、ホストを作成する場合は、バックアップを取得し、利用可能な状態を確保する必要があります。 イメージがセカンダリ リージョンで使用できることを確認する必要があります。
ヒント
Azure Compute Gallery はグローバル レプリケーションを提供しますが、グローバル リソースではありません。 ディザスター リカバリーシナリオの場合、ベスト プラクティスは、少なくとも 2 つのギャラリーを異なるリージョンに配置することです。
FSLogix
FSLogix は、リモート コンピューティング環境でプロファイルをローミングするように設計されています。 サーバー メッセージ ブロック (SMB) プロトコル ファイル共有 (Azure Files や Azure NetApp Files など) にある単一のコンテナーに完全なユーザー プロファイルを保存します。 サインイン時に、Azure は、ネイティブにサポートされている仮想ハード ディスク (VHD) と Hyper-V 仮想ハード ディスク (VHDX) を使用して、このコンテナーをコンピューティング環境に動的にアタッチします。
FSLogix プロファイルは、Azure Virtual Desktop 環境に必要不可欠です。 ユーザーがデスクトップや RemoteApp に接続して作業する必要がある場合は、いつでも利用可能である必要があります。 そのため、FSLogix プロファイルは複数のリージョンで複製して利用する必要があります。
MSIX アプリ アタッチ
MSIX アプリ アタッチは、アプリケーション ファイルをオペレーティング システムとは別の MSIX イメージ (VHD/VHDX/CIM) として保存します。 MSIX アプリ アタッチを開くと、VHD からアプリケーション ファイルにアクセスします。 FSLogix プロファイルを処理するのと同様に、MSIX アプリ アタッチを別のリージョンにレプリケートすることを検討する必要があります。