Azure ネットワーク接続の概要
Azure ネットワーク接続 (ANC) は、ネットワーク ベースのリソースに接続するために必要な情報をクラウド PC プロビジョニング プロファイルに提供する、Microsoft Intune管理センターのオブジェクトです。 ANC は次の方法で使用されます。
- クラウド PC が最初にプロビジョニングされるとき。
- 最善のエンドユーザーエクスペリエンスを確保するために、オンプレミス インフラストラクチャへの接続が Windows 365 によって定期的にチェックされるとき。
ネットワーク接続の種類
結合の種類に基づいて、2 種類の ANC があります。 どちらも、ネットワーク ベースのリソースへのトラフィックとクラウド PC アクセスを管理できますが、接続要件は異なります。
- Microsoft Entra参加: Windows Server Active Directory (AD) ドメインへの接続は必要ありません。
- ハイブリッド Microsoft Entra 参加: Windows Server AD ドメインへの接続が必要です。 ANC を作成するときに、AD ドメインの詳細を指定する必要があります。
プロビジョニング
クラウド PC がプロビジョニングされると、ANC 内の情報がプロビジョニング ポリシーによって使用され、Azure サブネット内のクラウド PC がプロビジョニングされます。 ANC で必要な情報には、次のものが含まれます。
- ネットワークの詳細: クラウド PC に関連付ける Azure サブスクリプション、リソース グループ、仮想ネットワーク、サブネット。 プロビジョニング ポリシーが実行されると、Microsoft がホストする Azure サブスクリプションにクラウド PC が作成されます。 顧客のオンプレミス ネットワークに接続するために、仮想ネットワーク インターフェイス カード (vNic) が顧客提供の Azure 仮想ネットワーク (vNet) に挿入されます。 この vNic を作成するには、Windows 365 に Azure サブスクリプションへの十分なアクセス権が必要です。
- Active Directory ドメイン: 参加する Active Directory ドメイン、コンピューター オブジェクトの組織単位 (OU) の宛先、ドメイン参加を実行するための十分なアクセス許可を持つ Active Directory ユーザー資格情報。 プロビジョニング ポリシーが実行されると、クラウド PC は、この Active Directory ドメインに参加します。 資格情報は、Windows 365 サービスに安全に格納されます。
プロビジョニング中、クラウド PC は Azure サブネットに接続され、ドメイン (Windows Server Active DirectoryまたはMicrosoft Entra ID) に参加します。 このプロセスにより、次のようなクラウド PC が作成されます。
- ネットワーク上。
- Microsoft Entra IDに登録されます。
- Microsoft Intuneに登録されます。
- ユーザーのサインイン要求を受け入れる準備済み。
ANC 設定は、プロビジョニング時にのみクラウド PC に適用されます。
代替 ANC
リージョンの容量制約のまれなケースでクラウド PC のプロビジョニングの信頼性を高めるために、代替 ANC をプロビジョニング ポリシーに割り当てることができます。 ポリシーで使用される ANC の優先順位を定義できます。 最初の ANC が使用できない場合、ポリシーは優先順位リストの 2 番目の ANC を自動的に使用します。 2 つ目が使用できない場合は、次に進みます。 このプロセスにより、管理者は異なる Azure リージョンで複数の ANC を準備できるため、プロビジョニングの信頼性が高くなります。 複数の ANC を使用する必要はありません。 プロビジョニング ポリシーの作成時に代替 ANC を使用する方法の詳細については、「プロビジョニング ポリシーの作成」を参照してください。
最初の正常性チェック
ANC に含まれる情報は、クラウド PC のプロビジョニングに使用されます。 プロビジョニングが成功するには、ANC で参照されるリソースが正常でアクセス可能である必要があります。 ANC オブジェクトが作成された後、Windows 365 によって以下の確認が行われます。
- ANC から参照されるオブジェクトが正常である。
- これらのオブジェクトに接続できる。
これらの正常性チェックは、提供された ANC 情報を使用してクラウド PC をプロビジョニングします。 チェックの完全な一覧については、「Azure ネットワーク接続の正常性チェック」を参照してください。
この最初の ANC 正常性チェックが進行中の間は、プロビジョニング ポリシーに割り当てることはできません。 正常性チェックが完了して成功した後、ANC を 1 つ以上のプロビジョニング ポリシーに割り当てることができます。
定期的な正常性チェック
プロビジョニング後、ANC 内の情報は、次の監視にも使用されます:
- ネットワーク ベースのリソース間の接続正常性
- Microsoft ホステッド サブスクリプションでホストされているクラウド PC
Windows 365は、プロビジョニングエラーやエンド ユーザー エクスペリエンスの低下を引き起こす可能性がある構成の問題を報告します。 この監視により、管理のオーバーヘッドが削減されます。 これらの定期的なチェックの詳細については、「Azure ネットワーク接続の正常性チェック」を参照してください。
正常性チェックの頻度
ANC チェックは、1 から 6 時間に 1 回実行されます。
包括的なエンドツーエンドの正常性チェックには、最大 30 分かかる場合があります。 正常性チェックは、この目的のためだけに自動作成される一時的な Azure 仮想マシンで実行されます。 この仮想マシンは自動的に作成され、正常性チェックが完了すると削除されます。 仮想マシンは指定した vNet に接続され、プロビジョニングを確実に成功させるためにチェックが実行されます。
チェックが完了すると、Microsoft Intune管理センターの Azure ネットワーク接続ウィンドウに結果が投稿されます。 チェック結果の詳細については、「Azure ネットワーク接続の正常性チェック」を参照してください。
正常性チェックの再試行
完全な正常性チェックを手動でトリガーするには、Microsoft Intune管理センターにサインインし、[デバイス>Windows 365 (プロビジョニング)]> [Azure ネットワーク接続] の順に選択し> Azure ネットワーク接続>Retry を選択します。
Azure ネットワーク接続に必要なアクセス許可
ANC ウィザードには、Azure と、オプションでオンプレミス ドメイン リソースへのアクセスが必要です。 ANC には、次のアクセス許可が必要です。
- Intune管理者ロールまたはWindows 365管理者ロール。
- AD ドメインをこの組織単位に参加するための十分なアクセス許可を持つ Active Directory ユーザー アカウント (ハイブリッド参加 ANC のみMicrosoft Entra)。
ANC を作成または編集するには、ANC に関連付けられた VNET が配置されている Azure サブスクリプションに少なくともサブスクリプション閲覧者ロールが必要です。
要件の完全な一覧については、Windows 365 の要件に関する記事をご覧ください。
Azure ネットワーク接続の変更
ANC の設定を変更しても、その ANC を使って以前にプロビジョニングされたクラウド PC には影響しません。 ANC の変更後にプロビジョニングされたクラウド PC のみが、このような後の変更を反映します。
以前にプロビジョニングされたクラウド PC で ANC 関連の設定を変更する場合は、クラウド PC を再プロビジョニングする必要があります。 再プロビジョニングは破壊的なアクションであるため、本当に実行することが必要なアクションであることを確認してください。 詳細については、「再プロビジョニング」を参照してください。
Azure ネットワーク接続の削除
使用中の ANC は削除できません。 オブジェクトを削除する前に、この ANC を使用するすべてのプロビジョニング ポリシーに対して次のいずれかのアクションを実行する必要があります。
- 別の ANC を使用するようにポリシーを変更する。
- ポリシーを削除する。 詳細については、「Azure ネットワーク接続を削除する」を参照してください。
これらの操作のいずれかを完了した後、ANC を削除できます。
Azure ネットワーク接続の最大数
各テナントの Azure ネットワーク接続の制限は 10 です。 組織で 10 を超える Azure ネットワーク接続が必要な場合は、サポートに連絡してください。
非アクティブな ANC
一定期間使用されていない ANC は非アクティブになります。 非アクティブな ANC は実行中の正常性チェックを一時停止し、ANC が再アクティブ化され、正常性チェックが正常に完了するまでプロビジョニング ポリシーに割り当てられません。
ユーザー サインイン
ユーザーがクラウド PC にサインインしようとすると、ユーザー認証が行われます。
ハイブリッド参加 ANC Microsoft Entraの場合、ANC は認証要求をドメイン コントローラーにルーティングするために使用されます。 ANC またはドメインへのネットワーク接続が正常でない場合、ユーザーのサインインは発生しません。 Windows でキャッシュされた資格情報は、リモート デスクトップ チャネルで使用できないため、ドメイン コントローラーが利用できることが不可欠です。 確実にネットワークが安定している状態にするか、クラウド PC と同じサブネットにドメイン コントローラー サーバーを配置します。
Microsoft Entra参加 ANC の場合、ANC は認証要求をMicrosoft Entra IDにルーティングするために使用されます。 Windows キャッシュされた資格情報はリモート デスクトップ チャネル経由では使用できないため、Microsoft Entra IDへの接続が重要です。