Azure ネットワーク接続を作成する
Azure ネットワーク接続 (ANC) を使用すると、管理する仮想ネットワークに接続されているクラウド PC をプロビジョニングできます。
テナントあたり最大 50 の ANC を使用できます。
接続プロセスの一環として、Windows 365 サービスには以下のアクセス許可が付与されます。
- Azure サブスクリプションに対する閲覧者アクセス許可。
- Windows 365指定したリソース グループに対するネットワーク インターフェイス共同作成者ロール。
- 仮想ネットワークのネットワーク ユーザー ロールをWindows 365します。
要件
ANC を作成するには、次の要件を満たす必要があります。
- Intune管理者またはWindows 365管理者ロールを持つ。
- AD ドメインをこの組織単位に参加するための十分なアクセス許可を持つ Active Directory ユーザー アカウントを持っている (ハイブリッド Microsoft Entra ANC にのみ参加する)。
- ANC に関連付けられている VNET が配置された Azure サブスクリプションでサブスクリプション閲覧者ロールを持ちます。
- ネットワークまたはリソース グループを使用して ANC を作成する場合は、有害な ANC の作成で使用されなかった場合は、サブスクリプション所有者またはユーザー管理者ロールが必要です。
- ディザスター リカバリー (DR) の目的で、サブネットで使用可能な IP アドレスの少なくとも 50% が存在することを確認します。 DR の再プロビジョニングが必要な場合は、サブネットにプロビジョニングされたクラウド PC ごとに十分な新しい IP アドレスが必要です。
- Windows 365 Government - GCC のみであり、GCC-H ではない場合は、「Windows 365 Government のテナントを設定する」に記載されているスクリプト オプションを必ず完了してください。
- Azure CloudShell を使用していない場合は、無制限スクリプトを許可するように PowerShell 実行ポリシーが構成されていることを確認してください。 グループ ポリシーを使用して実行ポリシーを設定する場合は、ANC で定義された組織単位 (OU) を対象とするグループ ポリシーオ ブジェクト (GPO) が、Unrestricted スクリプトを許可するように構成されていることを確認してください。 詳細については、Set-ExecutionPolicy を参照してください。
オンプレミス接続モデルとして ExpressRoute を使用して ANC VNet を計画する場合 は、VM の制限に関する Azure のドキュメントを参照してください。 ExpressRoute Gateway SKU の場合は、VNet 内で計画されているクラウド PC の数に適したサイズのゲートウェイがあることを確認します。 この制限を超えると、接続が不安定になる可能性があります。
ANC を作成する
Microsoft Intune管理センターにサインインし、[デバイス>Windows 365 ([プロビジョニング] の下) >Azure ネットワーク接続>[作成] を選択します。
作成する ANC の種類に応じて、[参加] または [ハイブリッド Microsoft Entra参加] Microsoft Entra選択します。
[ネットワークの詳細] ページで、新しい接続の [名前] を入力します。 接続名はお客様のテナント内で一意である必要があります。
新しい接続のために [サブスクリプション] と [リソース グループ] を選択します。 クラウド PC のリソースを含む新しいリソース グループを作成します。 必要に応じて、代わりにリスト内の既存のリソース グループを選択することもできます (この場合、既存のリソース グループに Windows 365 のアクセス許可が付与されます)。 正常な ANC がない場合は、続行できません。
[仮想ネットワーク] と [サブネット] を選択します。 vNET を選択する場合:
- 安定したパフォーマンスの高い接続を維持するには、vNET がWindows 365 ユーザーに最も近いリージョンにあることを確認します。
- vNET サブネットに、必要なすべてのクラウド PC に対応できる十分な IP アドレスがあることを確認します。 また、将来の成長と サイズ変更のニーズも 考慮してください。
- vNET にドメイン コントローラーへの視線があることを確認します。 この見通しは、ハイブリッド参加済みクラウド PC の初期プロビジョニングと正常なサインインに必要です。
- 必要なすべてのエンドポイントが vNET 経由で許可され、ファイアウォール、プロキシ、またはソフトウェア ゲートウェイによってブロックされていないことを確認します。
[次へ] を選択します。
ハイブリッド Microsoft Entra参加 ANC の場合は、[AD ドメイン] ページで次の情報を指定します。
AD ドメイン名: クラウド PC の接続とプロビジョニングに使用する Active Directory ドメインの DNS 名。 たとえば、corp.contoso.com です。
注:
オンプレミスの Active Directory環境に複数のドメインまたは親子ドメインがある場合は、クラウド PC をドメインに参加させる必要がある特定のドメインを必ず入力してください。
組織単位: (オプション。) 組織単位 (OU) は、Active Directory ドメイン内のコンテナーであり、ユーザー、グループ、およびコンピューターを保持できます。 この OU が [接続] と同期Microsoft Entra有効になっていることを確認します。 この OU が同期されていない場合、プロビジョニングは失敗します。
AD domain username (AD ドメイン ユーザー名): ユーザー プリンシパル名 (UPN) 形式のユーザー名。クラウド PC を Active Directory ドメインに接続する際に使用するものです。 たとえば、「 svcDomainJoin@corp.contoso.com 」のように入力します。 このサービス アカウントは、コンピューターをドメインと (設定されている場合は) ターゲット OU に参加させるアクセス許可を持っている必要があります。
AD ドメイン パスワード: ユーザーのパスワード。
AD ドメイン のパスワードの確認: ユーザーのパスワード。
定義された ANC を使用するクラウド PC は、指定されたドメインと OU に参加します。 選択したドメインが、コンピューターが参加するために必要なドメインであることを確認します
[次へ] を選択します。
[レビュー + 作成] ページで、[作成] を選択します。
ANC が使用中の場合、削除することも、特定の構成設定を編集することもできません。 詳細については、「 Azure ネットワーク接続の編集」および「Azure ネットワーク接続 の 削除」を参照してください。