ネットワークおよびリモート デスクトップ クライアントの計画

完了

ネットワーク

Azure Virtual Desktop を正常にデプロイするには、いくつかのネットワーク要件を満たす必要があります。 これにより、ユーザーは仮想デスクトップとリモート アプリに接続し、可能な限り最高のユーザー エクスペリエンスを得ることができます。

Azure Virtual Desktop に接続するユーザーがサービスへの逆接続を安全に確立します。つまり、受信ポートを開く必要はありません。 ポート 443 の伝送制御プロトコル (TCP) が既定で使用されますが、直接ユーザー データグラム プロトコル (UDP) ベースのトランスポートを確立するマネージド ネットワークおよびパブリック ネットワークでは RDP Shortpath を使用できます。

Azure Virtual Desktop を正常にデプロイするには、次のネットワーク要件を満たす必要があります。

• セッション ホスト用の仮想ネットワークとサブネットが必要です。 セッション ホストをホスト プールと同時に作成する場合は、ドロップダウン リストに表示するために、この仮想ネットワークを事前に作成する必要があります。 ご利用の仮想ネットワークは、セッション ホストと同じ Azure リージョンに存在する必要があります。
• AD DS または Microsoft Entra Domain Services を使っている場合は、セッション ホストをドメインに参加させる必要があるため、この仮想ネットワークがドメイン コントローラーおよび関連する DNS サーバーに接続できることを確認します。
• セッション ホストとユーザーは、Azure Virtual Desktop サービスに接続できる必要があります。 また、この接続では、ポート 443 の TCP を使用して、特定の URL のリストにアクセスします。 詳細については、「必要な URL リスト」を参照してください。 デプロイが正常に機能し、サポートされるようにするには、これらの URL がネットワーク フィルタリングまたはファイアウォールによってブロックされていないことを確認する必要があります。 ユーザーが Microsoft 365 にアクセスする必要がある場合は、セッション ホストが Microsoft 365 エンドポイントに接続可能であることを確認してください。

また、以下の点についても検討してください。

• ユーザーは、異なるネットワーク上でホストされているアプリケーションやデータにアクセスする必要がある場合があるため、セッション ホストがそれらに接続できることを確認します。
• クライアントのネットワークからホスト プールを含む Azure リージョンまでのラウンドトリップ (RTT) 待ち時間は、150 ミリ秒を下回っている必要があります。 待機時間が最も短い場所を確認するには、「Azure ネットワークのラウンドトリップ待機時間の統計」で目的の場所を調べます。 ネットワーク パフォーマンスを最適化するため、ユーザーに最も近い Azure リージョンにセッション ホストを作成することをお勧めします。
• Azure Virtual Desktop デプロイ用の Azure Firewall を使用して、環境をロックダウンし、送信トラフィックをフィルター処理することができます。
• Azure で Azure Virtual Desktop 環境のセキュリティを保護できるようにするには、ご利用のセッション ホスト上の受信ポート 3389 を開かないことをお勧めします。 Azure Virtual Desktop では、開いている受信ポートを開く必要はありません。 トラブルシューティングの目的でポート 3389 を開く必要がある場合は、Just-In-Time VM アクセスを使用することをお勧めします。 また、セッション ホストにパブリック IP アドレスを割り当てないようにすることをお勧めします。

Note

Microsoft では、Azure Virtual Desktop の信頼性と拡張性を維持するために、トラフィック パターンと使用状況を集計し、インフラストラクチャ コントロール プレーンの正常性とパフォーマンスを確認します。 サービス インフラストラクチャがあるすべての場所からこの情報を集計し、US リージョンに送信します。 US リージョンに送信されるデータには、スクラブされたデータが含まれ、顧客データは含れません。 詳細については、「Azure Virtual Desktop のデータの場所」を参照してください。

セッション ホスト管理

セッション ホストを管理する場合は、次の点を考慮してください。

• Windows インストーラーを無効にするポリシーや構成は、有効にしないでください。 Windows インストーラーを無効にすると、サービスでセッション ホストにエージェントの更新をインストールできなくなり、セッション ホストが正常に機能しなくなります。
• セッション ホストを AD DS ドメインに参加させ、Intune を使ってそれらを管理する場合は、Microsoft Entra Connect を構成して Microsoft Entra ハイブリッド参加を有効にする必要があります。
• セッション ホストを Microsoft Entra Domain Services ドメインに参加させる場合は、Intune を使ってそれらを管理することはできません。
• Windows Server でセッション ホストに Microsoft Entra 参加を使っている場合、Windows Server は Intune でサポートされていないため、それらを Intune に登録することはできません。 Active Directory ドメインから Microsoft Entra ハイブリッド参加とグループ ポリシーを使うか、各セッション ホストでローカル グループ ポリシーを使う必要があります。

リモート デスクトップ クライアント

ユーザーが、デスクトップやリモートアプリに接続するために、リモート デスクトップ クライアントが必要です。 次のクライアントは、Azure Virtual Desktop をサポートします。

• Windows デスクトップ クライアント
• Windows 用 Azure Virtual Desktop Store アプリ
• Web クライアント
• macOS クライアント
• iOS と iPadOS クライアント
• Android と Chrome OS クライアント
• Windows 用リモート デスクトップ アプリ

重要

Azure Virtual Desktop では、RemoteApp とデスクトップ接続 (RADC) クライアントおよびリモート デスクトップ接続 (MSTSC) クライアントからの接続はサポートされていません。

クライアントが接続に使用し、ファイアウォールとインターネット フィルターを介して許可する必要のある URL については、「必要な URL リスト」を参照してください。