日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

AVD 導入ガイド

寄稿者

概要

このガイドでは、 Azure の NetApp Virtual Desktop Service ( VDS )を利用して Azure Virtual Desktop ( AVD )を導入する手順を段階的に説明します。

ガイドの内容は次のとおりです。 https://cwasetup.cloudworkspace.com/

このコンセプトの実証( POC )ガイドは、お客様が独自の Azure サブスクリプションテストで AVD を迅速に導入して設定できるようにすることを目的としています。このガイドは、クリーンな非本番環境の Azure Active Directory テナントへの環境を構築することを前提としています。

特に既存の AD または Azure AD 環境への本番環境の導入は非常に一般的ですが、この POC ガイドではそのプロセスを考慮していません。複雑な POC や本番環境の導入は、ネットアップ VDS の営業 / サービスチームで開始し、セルフサービスでは実施しないでください。

この POC ドキュメントでは、 AVD の導入全体を説明し、 VDS プラットフォームで利用可能な導入後の構成の主な領域について簡単に説明します。完了すると、完全に展開された機能的な AVD 環境が構築され、ホストプール、アプリケーショングループ、ユーザーが提供されます。オプションで、自動化されたアプリケーション配信、セキュリティグループ、ファイル共有権限、 Azure Cloud Backup 、インテリジェントなコスト最適化を構成できます。VDS では、 GPO 経由で一連のベストプラクティス設定が導入されます。オプションでこれらの制御を無効にする方法についても説明します。 POC では、管理対象外のローカルデバイス環境と同様に、セキュリティ制御を行わない必要があります。

AVD の基本

Azure Virtual Desktop は、クラウドで実行される包括的なデスクトップおよびアプリケーション仮想化サービスです。主な機能の一部を以下に示します。

  • ゲートウェイ、ブローカー、ライセンス、ログインなどのプラットフォームサービスが、 Microsoft のサービスとして含まれています。ホストと管理が必要なインフラを最小限に抑えることができます。

  • Azure Active Directory をアイデンティティプロバイダとして利用すると、条件付きアクセスなどの追加の Azure セキュリティサービスをレイヤ化できます。

  • ユーザーは、 Microsoft サービスのシングルサインオン体験を体験できます。

  • ユーザセッションは、独自のリバース接続技術を使用してセッションホストに接続します。つまり、受信ポートをオープンする必要はなく、エージェントが AVD 管理プレーンへの発信接続を作成してエンドユーザデバイスに接続します。

  • 逆接続では、パブリックインターネットに公開されることなく仮想マシンを実行できるため、リモート接続を維持しながらもワークロードを分離できます。

  • AVD には Windows 10 Multi Session へのアクセスが含まれているため、高密度のユーザセッションの効率性を備えた Windows 10 Enterprise 環境が実現します。

  • FSLogix のプロファイルには ' ユーザー・セッションのパフォーマンス ' ストレージ効率の向上 ' 非永続的な環境における Office エクスペリエンスの向上などが含まれます

  • AVD では、デスクトップ全体と RemoteApp へのアクセスがサポートされます。永続的または非永続的、および専用とマルチセッションの両方のエクスペリエンス。

  • AVD は RDS CAL の必要性に代わる「 Windows 10 Enterprise E3 per User 」を活用し、 Azure でのセッションホスト VM の時間あたりのコストを大幅に削減できるため、組織は Windows ライセンスを節約できます。

ガイドの範囲

このガイドでは、 Azure と VDS の管理者の視点から、ネットアップ VDS テクノロジを使用した AVD の導入手順を説明します。Azure テナントとサブスクリプションは事前構成なしで提供されます。このガイドは、 AVD のエンドツーエンドの設定を支援します

このガイドでは、次の手順について説明します。
  1. Azure テナント、 Azure サブスクリプション、および Azure 管理者アカウントの権限の前提条件を確認する

  2. 必要な検出の詳細を収集します

  3. Azure セットアップウィザード専用の VDS を使用して、 Azure 環境を構築します

  4. 標準の Windows 10 EVD イメージを使用して、最初のホストプールを作成します

  5. Azure AD ユーザへの仮想デスクトップの割り当て

  6. ユーザーにデスクトップ環境を提供するために、ユーザーをデフォルトのアプリケーショングループに追加します。 必要に応じて、 RemoteApp サービスを提供するホストプールを追加で作成します

  7. クライアントソフトウェアや Web クライアントを介してエンドユーザとして接続します

  8. プラットフォームおよびクライアントサービスにローカルおよびドメイン管理者として接続します

  9. オプションで 'VDS 管理者および AVD エンド・ユーザーに対して VDS の多要素認証を有効にします

  10. オプションで、アプリケーションライブラリ、アプリケーションインストールの自動化、ユーザーやセキュリティグループによるアプリケーションマスキングなど、アプリケーションエンタイトルメントワークフロー全体を順を追って説明します

  11. 必要に応じて、 Active Directory セキュリティグループ、フォルダ権限、およびグループごとのアプリケーション使用権を作成および管理します。

  12. オプションで、ワークロードのスケジューリングやライブスケーリングなどのコスト最適化テクノロジーを設定できます

  13. 必要に応じて、仮想マシンイメージを作成、更新、および Sysprep して、将来の展開に備えます

  14. 必要に応じて、 Azure Cloud Backup を設定します

  15. 必要に応じて、デフォルトのセキュリティ制御グループポリシーを無効にします

Azure の前提条件

VDS では、ネイティブの Azure セキュリティコンテキストを使用して AVD インスタンスを導入します。VDS セットアップウィザードを開始する前に、いくつかの Azure の前提条件を確立する必要があります。

導入時に、 Azure テナント内から既存の管理者アカウントを認証することで、サービスアカウントと権限が VDS に付与されます。

クイック前提条件チェックリスト

  • Azure AD インスタンスを使用する Azure テナント( Microsoft 365 インスタンスも可)

  • Azure サブスクリプション

  • Azure 仮想マシンに使用可能な Azure クォータ

  • グローバル管理者ロールおよびサブスクリプション所有権ロールを持つ Azure Admin アカウント

注記 詳細な前提条件については、を参照してください "この PDF"

Azure AD の Azure 管理者

この既存の Azure 管理者は、ターゲットテナント内の Azure AD アカウントである必要があります。VDS セットアップで Windows Server AD アカウントを導入することはできますが、 Azure AD との同期をセットアップするには追加の手順が必要です(このガイドでは対象外)。

これを確認するには、 Azure Management Portal で「 Users 」 > 「 All Users 」の下にあるユーザアカウントを検索します。

グローバル管理者ロール

Azure Administrator には、 Azure テナント内のグローバル管理者ロールが割り当てられている必要があります。

Azure AD での役割を確認するには、次の手順を実行します。
  1. Azure ポータルにログインします https://portal.azure.com/

  2. Azure Active Directory を検索して選択します

  3. 右側の次のペインで、 [ 管理 ] セクションの [ ユーザー ] オプションをクリックします

  4. チェックする管理者ユーザの名前をクリックします

  5. [ ディレクトリの役割 ] をクリックします。右端のペインに、グローバル管理者ロールが表示されます

このユーザにグローバル管理者ロールがない場合は、次の手順を実行して追加できます(ログインしたアカウントはグローバル管理者である必要があります)。
  1. 上記のステップ 5 のユーザーディレクトリロール詳細ページで、詳細ページの上部にある割り当ての追加ボタンをクリックします。

  2. ロールのリストで [ グローバル管理者( Global administrator ) ] をクリックします。[ 追加 ] ボタンをクリックします。

Azure サブスクリプションの所有権

Azure Administrator は、導入を含むサブスクリプションのサブスクリプション所有者でもある必要があります。

管理者がサブスクリプションオーナーであることを確認するには、次の手順を実行します。
  1. Azure ポータルにログインします https://portal.azure.com/

  2. を検索し、 [ 購読 ] を選択します

  3. 右側のペインで、サブスクリプション名をクリックすると、サブスクリプションの詳細が表示されます

  4. 左側のペインで、 Access Control ( IAM )メニュー項目をクリックします

  5. [ 役割の割り当て ] タブをクリックします。Azure 管理者は、所有者セクションに記載する必要があります。

Azure Administrator が表示されていない場合は、次の手順に従って、アカウントをサブスクリプション所有者として追加できます。
  1. ページ上部の [ 追加 ] ボタンをクリックし、 [ 役割の割り当ての追加 ] オプションを選択します

  2. 右側にダイアログが表示されます。ロールのドロップダウンで [Owner] を選択し、 [Select] ボックスに管理者のユーザ名を入力します。Administrator のフルネームが表示されたら、それを選択します

  3. ダイアログの下部にある [ 保存( Save ) ] ボタンをクリックします

Azure コンピューティングコアクォータ

CWA セットアップウィザードと VDS ポータルで新しい仮想マシンが作成されます。 Azure サブスクリプションを正常に実行するには、使用可能なクォータが必要です。

クォータを確認するには、次の手順を実行します。
  1. [ 購読 ] モジュールに移動し '[ 使用量 + クォータ ] をクリックします

  2. 「 Providers 」ドロップダウンですべてのプロバイダーを選択し、「 Providers 」ドロップダウンで「 Microsoft.Compute 」を選択します

  3. [Locations] ドロップダウンからターゲット領域を選択します

  4. 仮想マシンファミリ別の使用可能なクォータのリストが表示されますクォータを増やす必要がある場合は、 [Request add] をクリックし、プロンプトに従って容量を追加します。初期導入の場合 ' 特に標準 DSVI 3 ファミリの拡張見積もりを要求します

検出の詳細を収集

CWA セットアップウィザードを使用して作業したら、いくつかの質問に答えてください。NetApp VDS では、導入前にこれらの選択を記録できるリンク PDF が提供されています。アイテムには次のものが

項目 説明

VDS 管理者クレデンシャル

既存の VDS 管理者クレデンシャルがある場合は、それらを収集します。それ以外の場合は、導入時に新しい管理者アカウントが作成されます。

Azure リージョン

サービスのパフォーマンスと可用性に基づいて、対象となる Azure リージョンを特定します。これ "Microsoft ツール" 地域に基づいてエンドユーザーの経験を推定できます。

Active Directory タイプ

VM はドメインに参加する必要がありますが、 Azure AD に直接参加することはできません。VDS 環境では、新しい仮想マシンを作成するか、既存のドメインコントローラを使用できます。

File Management の略

パフォーマンスは、特にユーザプロファイルストレージに関連するディスク速度に大きく依存します。VDS セットアップウィザードでは、シンプルなファイルサーバを導入したり、 Azure NetApp Files ( ANF )を設定したりできます。ほとんどの本番環境では ANF を推奨しますが、 POC ではファイルサーバオプションで十分なパフォーマンスを実現できます。ストレージオプションについて、 Azure で既存のストレージリソースを使用するなど、導入後に改定することができます。詳細については、 ANF の価格設定を参照してください https://azure.microsoft.com/en-us/pricing/details/netapp/

仮想ネットワークのスコープ

導入には、ルーティング可能な /20 ネットワーク範囲が必要です。VDS セットアップウィザードでは、この範囲を定義できます。この範囲は、 Azure またはオンプレミスの既存の VNet と重複しないことが重要です( 2 つのネットワークが VPN または ExpressRoute 経由で接続される場合)。

VDS セットアップセクション

にログインします https://cwasetup.cloudworkspace.com/ 前提条件のセクションに記載されている Azure 管理者のクレデンシャルを使用してログイン

IaaS とプラットフォーム

Azure AD ドメイン名

Azure AD ドメイン名は、選択したテナントに継承されます。

場所

適切な Azure リージョン を選択します。これ "Microsoft ツール" 地域に基づいてエンドユーザーの経験を推定できます。

Active Directory タイプ

VDS は、ドメインコントローラ機能用の 新しい仮想マシン でプロビジョニングすることも、既存のドメインコントローラを利用するようにセットアップすることもできます。このガイドでは、新規 Windows Server Active Directory を選択します。これにより、サブスクリプションの下に 1 つまたは 2 つの VM が作成されます(このプロセスで選択した内容に基づいて)。

既存の AD 展開に関する詳細な記事を参照してください "こちらをご覧ください"

Active Directory ドメイン名

  • ドメイン名 ** を入力してください。Azure AD ドメイン名は上記からミラーリングすることを推奨します。

ファイル管理

VDS では、単純なファイルサーバ仮想マシンをプロビジョニングしたり、 Azure NetApp Files をセットアップおよび設定したりできます。本番環境では、ユーザーごとに 30GB を割り当てることをお勧めします。また、最適なパフォーマンスを得るには、ユーザーごとに 5-15 の IOPS を割り当てる必要があることを確認しました。

POC (非本番環境)では、ファイルサーバは低コストでシンプルな導入オプションですが、 Azure Managed Disks の利用可能なパフォーマンスは、小規模な本番環境でも IOPS 消費に圧倒されることがあります。

たとえば、 Azure 内の 4TB 標準 SSD ディスクは最大 500 IOPS をサポートし、最大 100 ユーザの IOPS を 5 ユーザあたりサポートします。ANF Premium では、同じサイズのストレージセットアップで、 32 倍以上の IOPS 転記で 1 万 6 、 000 IOPS をサポートします。

本番環境の AVD 展開では、 Microsoft の推奨事項 として Azure NetApp Files が推奨されています。

注記 Azure NetApp Files を導入するサブスクリプションで利用できるようにする必要があります。ネットアップアカウント担当者にお問い合わせいただくか、 https://aka.ms/azurenetappfiles にアクセスしてください

また、ネットアップをプロバイダとして登録する必要があります。これを行うには、次の手順を実行します。

  • Azure ポータルのサブスクリプションに移動します

    • [ リソースプロバイダ ] をクリックします

    • ネットアップをフィルタリング

    • プロバイダーを選択して、 [ 登録 ] をクリックします

RDS ライセンス番号

NetApp VDS を使用して、 RDS 環境や AVD 環境を導入できます。AVD を展開する場合、このフィールドは のままにすることができます。

ThinPrint

NetApp VDS を使用して、 RDS 環境や AVD 環境を導入できます。AVD を展開するときに、この切り替えは off (左に切り替え)のままにできます。

通知 E メール

VDS では、展開通知と継続的な正常性レポートが、提供された ** メールに送信されます。これはあとで変更できます。

VM およびネットワーク

VDS 環境をサポートするために実行する必要があるさまざまなサービスがあります。これらは総称して「 VDS プラットフォーム」と呼ばれます。これらの設定には、 CWMGR 、 1 つまたは 2 つの RDS ゲートウェイ、 1 つまたは 2 つの HTML5 ゲートウェイ、 FTPS サーバ、および 1 つまたは 2 つの Active Directory VM が含まれます。

ほとんどの AVD 展開では、単一の仮想マシンオプションが使用されています。 Microsoft は AVD ゲートウェイを PaaS サービスとして管理しています。

RDS のユースケースを含む小規模でシンプルな環境では、これらのサービスをすべて 1 つの仮想マシンオプションに集約して、 VM コストを削減できます(拡張性に限りがあります)。100 人以上のユーザが使用する RDS では、 RDS や HTML5 ゲートウェイの拡張性を高めるために、複数の仮想マシンを選択することを推奨します

プラットフォーム VM の構成

NetApp VDS を使用して、 RDS 環境や AVD 環境を導入できます。AVD を展開する場合は、シングル仮想マシンの選択を推奨します。RDS 展開では、ブローカーやゲートウェイなどの追加コンポーネントを展開して管理する必要があります。これらのサービスは、本番環境では専用の冗長仮想マシン上で実行する必要があります。AVD の場合、これらのサービスはすべて Azure によってサービスとして提供されるため、 シングル仮想マシン 構成が推奨されます。

単一の仮想マシン

AVD のみを使用する( RDS または 2 つの組み合わせは使用しない)配置には、このオプションを選択することをお勧めします。単一の仮想マシン環境では、 Azure の単一の VM で次のロールがホストされます。

  • CW Manager の略

  • HTML5 ゲートウェイ

  • RDS ゲートウェイ

  • リモートアプリ

  • FTPS サーバ(オプション)

  • ドメインコントローラの役割

このコンフィグレーションで推奨される RDS 使用事例の最大ユーザー数は 100 ユーザーです。この構成では、ロードバランシングが行われた RDS+ HTML5 ゲートウェイはオプションではないため、冗長性が制限されるだけでなく、将来的に拡張性を高めるためのオプションも制限されます。ここでも、 Microsoft はゲートウェイを PaaS サービスとして管理しているため、 AVD の導入にはこの制限は適用されません。

注記 この環境がマルチテナンシー用に設計されている場合、単一の仮想マシン構成はサポートされません。 AVD も AD Connect もサポートされません。
複数の仮想マシン

VDS プラットフォームを複数の仮想マシンに分割する場合、 Azure の専用 VM で次の役割がホストされます。

  • リモートデスクトップゲートウェイ

    VDS セットアップを使用して、 1 つまたは 2 つの RDS ゲートウェイを展開および設定できます。これらのゲートウェイは、オープンインターネットから、導入環境内のセッションホスト VM への RDS ユーザセッションをリレーします。RDS ゲートウェイは重要な機能を処理し、 RDS をオープンインターネットからの直接攻撃から保護し、環境内のすべての RDS トラフィックを暗号化します。2 つのリモートデスクトップゲートウェイが選択されている場合、 VDS セットアップは 2 つの VM を展開し、着信 RDS ユーザーセッションをロードバランシングするように設定します。

  • HTML5 ゲートウェイ

    VDS セットアップを使用して、 1 つまたは 2 つの HTML5 ゲートウェイを導入および設定できます。これらのゲートウェイは、 VDS の Server_feature への _ 接続と Web ベースの VDS クライアント( H5 ポータル)で使用される HTML5 サービスをホストします。2 つの HTML5 ポータルを選択すると、 VDS セットアップによって 2 つの VM が導入され、受信する HTML5 ユーザセッションの負荷を分散するように設定されます。

    注記 複数サーバオプションを使用する場合(インストールされている VDS クライアントのみを介して接続する場合でも) VDS から Server_Functionality への _ 接続を有効にすることを推奨します。
  • 『 Gateway Scalability Notes 』

    RDS のユースケースでは、追加のゲートウェイ VM を使用して環境の最大サイズをスケールアウトでき、 RDS または HTML5 ゲートウェイは約 500 ユーザをサポートします。ゲートウェイの追加は、ネットアッププロフェッショナルサービスによるサポートが最小限で済むため、後で追加できます

この環境がマルチテナンシー用に設計されている場合は、仮想マシンを複数選択する必要があります。

タイムゾーン

エンドユーザのエクスペリエンスにはローカルタイムゾーンが反映されますが、デフォルトのタイムゾーンを選択する必要があります。環境の プライマリ管理 を実行するタイムゾーンを選択します。

仮想ネットワークのスコープ

VM をそれぞれの目的に応じて別のサブネットに分離することを推奨します。まず、ネットワークスコープを定義し、 /20 範囲を追加します。

VDS セットアップは、検出して、成功したことを示す範囲を提案します。ベストプラクティスに従い、サブネット IP アドレスはプライベート IP アドレス範囲にする必要があります。

範囲は次のとおりです。

  • 192.168.0.0 ~ 192.168.255.255

  • 172.16.0.0 ~ 172.31.255.255

  • 10.0.0.0 ~ 10.255.255.255

必要に応じて確認と調整を行い、 [ 検証 ] をクリックして、次のそれぞれのサブネットを特定します。

  • tenant :セッションホストサーバとデータベースサーバが配置される範囲です

  • サービス: Azure NetApp Files のような PaaS サービスが提供される範囲です

  • プラットフォーム : プラットフォームサーバーが存在する範囲です

  • ディレクトリ: AD サーバが配置される範囲です

レビュー

最後のページでは、選択内容を確認することができます。レビューが完了したら、 [ 検証( Validate ) ] ボタンをクリックします。VDS セットアップですべてのエントリが確認され、導入環境が提供された情報を続行できることが確認されます。この検証には 2~10 分かかることがあります。進捗状況を確認するには、ログのロゴ(右上)をクリックして検証アクティビティを確認します。

検証が完了すると、 [Validate] ボタンの代わりに緑色の [Provision (プロビジョニング) ] ボタンが表示されます。Provision (プロビジョニング)をクリックして、導入のプロビジョニングプロセスを開始します。

ステータス

プロビジョニングプロセスにかかる時間は、 Azure のワークロードと選択内容によって異なり、 2 ~ 4 時間です。ステータスページをクリックするか、導入プロセスが完了したことを示す E メールを待つことで、ログの進捗状況を確認できます。導入環境では、 VDS とリモートデスクトップ、または AVD の両方の実装をサポートするために必要な仮想マシンと Azure コンポーネントが構築されます。これには、リモートデスクトップセッションホストとファイルサーバの両方として機能する単一の仮想マシンが含まれます。AVD 実装では、この仮想マシンはファイルサーバとしてのみ動作します。

AD Connect をインストールして設定します

インストールが正常に完了した直後に、 AD Connect をドメインコントローラにインストールして構成する必要があります。単一プラットフォーム VM のセットアップでは、 CWMGR1 マシンが DC です。AD 内のユーザは、 Azure AD とローカルドメインを同期する必要があります。

AD Connect をインストールして設定するには、次の手順を実行します。
  1. ドメイン管理者としてドメインコントローラに接続します。

    1. Azure Key Vault からクレデンシャルを取得します(を参照) "ここに記載されているキー・ボールト")

  2. AD Connect をインストールし、ドメイン admin ( Enterprise Admin ロールの権限を持つ)および Azure AD Global Admin でログインします

AVD サービスをアクティブ化しています

導入が完了したら、次の手順で AVD 機能を有効にします。AVD を有効にするには、 Azure Administrator が Azure AVD サービスを使用して Azure AD ドメインとサブスクリプションを登録し、アクセスできるようにする必要があります。同様に、 Microsoft では、 Azure で自動化アプリケーション用に同じ権限を VDS から要求する必要があります。以下の手順で、そのプロセスを説明します。

AVD ホストプールを作成します

AVD 仮想マシンへのエンドユーザアクセスは、仮想マシンを含むホストプールとアプリケーショングループによって管理され、アプリケーショングループにはユーザとユーザアクセスのタイプが含まれます。

をクリックして、最初のホストプールを作成します
  1. AVD ホストプールセクションのヘッダーの右側にある追加ボタンをクリックします。

  2. ホストプールの名前と概要を入力します。

  3. ホストプールタイプを選択します

    1. プール 複数のユーザーが同じアプリケーションがインストールされている仮想マシンの同じプールにアクセスすることを意味します。

    2. パーソナル ユーザに独自のセッションホスト VM が割り当てられるホストプールを作成します。

  4. ロードバランサのタイプを選択します

    1. 第 1 の深さ は、プール内の第 2 の仮想マシンで開始する前に、最初の共有仮想マシンを最大ユーザー数まで満たします

    2. まず、その幅 では、プール内のすべての仮想マシンにユーザーがラウンドロビン方式で配布されます

  5. このプールで仮想マシンを作成するための Azure 仮想マシンテンプレートを選択します。VDS では、サブスクリプションで使用可能なすべてのテンプレートが表示されますが、ベストなエクスペリエンスを得るために最新の Windows 10 マルチユーザービルドを選択することをお勧めします。現在のビルドは Windows-10-20h1-EVD です。(必要に応じて、 Provisioning Collection 機能を使用してゴールドイメージを作成し、カスタム仮想マシンイメージからホストを作成)

  6. Azure マシンサイズを選択します。評価を実施するためには、 D シリーズ(マルチユーザの場合は標準のマシンタイプ)または E シリーズ(負荷の高いマルチユーザシナリオの場合は拡張メモリ構成)を推奨します。シリーズやサイズを変えて試す場合は、 VDS で後からマシンサイズを変更できます

  7. ドロップダウンリストから、仮想マシンの管理対象ディスクインスタンスに対応するストレージタイプを選択します

  8. ホストプールの作成プロセスで作成する仮想マシンの数を選択します。あとでプールに仮想マシンを追加できますが、 VDS で要求した仮想マシンの数が構築され、作成後にホストプールに追加されます

  9. ホストプールの追加ボタンをクリックして、作成プロセスを開始します。AVD ページで進捗状況を追跡することも、 [ タスク ] セクションの [ 展開 / 展開名 ] ページでプロセスログの詳細を確認することもできます

  10. ホストプールが作成されると、 AVD ページのホストプールリストに表示されます。ホストプールの名前をクリックすると、その詳細ページが表示されます。このページには、仮想マシン、アプリケーショングループ、およびアクティブユーザのリストが含まれます

注記 VDS 内の AVD ホストは、ユーザーセッションの接続を許可しない設定で作成されます。これは、ユーザ接続を受け入れる前にカスタマイズできるように設計されています。この設定は、セッションホストの設定を編集することで変更できます。

ユーザの VDS デスクトップを有効にします

前述したように 'VDS は導入時にエンドユーザーのワークスペースをサポートするために必要なすべての要素を作成します展開が完了したら、次の手順では、 AVD 環境に導入するユーザーごとにワークスペースへのアクセスを有効にします。この手順では、仮想デスクトップのデフォルトであるプロファイル設定とエンドユーザデータレイヤアクセスが作成されます。VDS は、 Azure AD エンドユーザーを AVD アプリケーションプールにリンクするために、この構成を再利用します。

エンドユーザーのワークスペースを有効にするには、次の手順を実行します。
  1. VDS にログインします https://manage.cloudworkspace.com プロビジョニング時に作成した VDS プライマリ管理者アカウントを使用する。アカウント情報を覚えていない場合は、 NetApp VDS に問い合わせて情報を取得してください

  2. [ ワークスペース ] メニューアイテムをクリックし、プロビジョニング時に自動的に作成されたワークスペースの名前をクリックします

  3. [ ユーザーとグループ ] タブをクリックします

  4. 有効にする各ユーザについて、ユーザ名をスクロールし、歯車アイコンをクリックします

  5. [Enable Cloud Workspace] オプションを選択します

  6. 有効化プロセスが完了するまで、 30~90 秒かかります。ユーザのステータスが [ 保留中 ] から [ 使用可能 ] に変わります

注記 Azure AD ドメインサービスをアクティブ化すると、 Azure で管理ドメインが作成され、作成された AVD 仮想マシンがそのドメインに参加します。仮想マシンへの従来のログインを使用するには、 Azure AD ユーザのパスワードハッシュを同期して、 NTLM 認証と Kerberos 認証をサポートする必要があります。このタスクを実行する最も簡単な方法は、 Office.com または Azure Portal でユーザパスワードを変更することです。これにより、パスワードハッシュの同期が強制的に行われます。ドメインサービスサーバの同期サイクルには、最大 20 分かかることがあります。

ユーザセッションを有効にします

デフォルトでは、セッションホストはユーザ接続を受け入れることができません。この設定は、新しいユーザセッションを防止するために本番環境で使用できる「ドレインモード」と呼ばれ、最終的にホストはすべてのユーザセッションを削除できます。新しいユーザセッションがホストで許可される場合、このアクションは通常、セッションホストを「ローテーションに」配置することと呼ばれます。

本番環境では、新しいホストをドレインモードで開始することを推奨します。ホストが本番環境のワークロードに対応できるようになる前に、通常は設定タスクを実行する必要があるためです。

テストと評価では、ホストのドレインモードをすぐに解除して、ユーザが接続できるようにし、機能を確認できるようにすることができます。セッションホストでユーザーセッションを有効にするには ' 次の手順に従います

  1. ワークスペースページの AVD セクションに移動します。

  2. [AVD host pools] の下のホストプール名をクリックします。

  3. セッションホストの名前をクリックし、 [ 新しいセッションを許可する ] チェックボックスをオンにして、 [ セッションホストの更新 ] をクリックします。ローテーションに配置する必要があるすべてのホストについて、この手順を繰り返します。

  4. 各ホスト行項目の AVD のメインページには、「 Allow New Session 」の現在の統計も表示されます。

デフォルトのアプリケーショングループ

デスクトップアプリケーショングループは、ホストプール作成プロセスの一環としてデフォルトで作成されます。このグループは、すべてのグループメンバーにインタラクティブなデスクトップアクセスを提供します。グループにメンバーを追加するには:

  1. アプリケーショングループの名前をクリックします

  2. 追加したユーザの数を示すリンクをクリックします

  3. 名前の横にあるチェックボックスをオンにして、アプリケーショングループに追加するユーザーを選択します

  4. [ ユーザーの選択 ] ボタンをクリックします

  5. アプリグループを更新ボタンをクリックします

追加の AVD アプリグループを作成

追加のアプリケーショングループをホストプールに追加できます。これらのアプリケーショングループは、 RemoteApp を使用して、ホストプール仮想マシンから App Group ユーザに特定のアプリケーションを公開します。

注記 AVD では、エンドユーザーをデスクトップアプリグループタイプまたは RemoteApp グループタイプにのみ割り当てることができます。ただし、両方を同じホストプールに含めることはできません。そのため、ユーザーを適切に分離するようにしてください。ユーザーがデスクトップおよびストリーミングアプリにアクセスする必要がある場合は、アプリをホストするために 2 番目のホストプールが必要です。
新しいアプリケーショングループを作成するには:
  1. アプリケーショングループセクションのヘッダーにある追加ボタンをクリックします

  2. アプリケーショングループの名前と概要を入力します

  3. [Add Users] リンクをクリックして、グループに追加するユーザを選択します。名前の横にあるチェックボックスをクリックして各ユーザを選択し、 [Select Users] ボタンをクリックします

  4. [Add RemoteApps] リンクをクリックして、このアプリケーショングループにアプリケーションを追加します。AVD は、仮想マシンにインストールされているアプリケーションのリストをスキャンすることで、可能なアプリケーションのリストを自動的に生成します。アプリケーション名の横にあるチェックボックスをクリックしてアプリケーションを選択し、 Select RemoteApps ボタンをクリックします。

  5. [ アプリケーショングループの追加 ] ボタンをクリックして、アプリケーショングループを作成します

エンドユーザ AVD アクセス

エンドユーザは、 Web Client またはさまざまなプラットフォーム上にインストールされたクライアントを使用して AVD 環境にアクセスできます

エンドユーザのユーザ名とパスワードを使用してログインします。リモートアプリケーションとデスクトップ接続( RADC )、リモートデスクトップ接続( mstsc )、および CloudWorksapce クライアント for Windows アプリケーションは、現在、 AVD インスタンスへのログイン機能をサポートしていません。

ユーザログインを監視する

また、ホストプールの詳細ページには、 AVD セッションにログインしたときにアクティブなユーザのリストも表示されます。

管理接続オプション

VDS 管理者は、さまざまな方法で環境内の仮想マシンに接続できます。

サーバに接続します

ポータル全体で 'VDS 管理者は [ サーバへの接続 ] オプションを見つけますデフォルトでは、この機能は、ローカル管理者クレデンシャルを動的に生成し、 Web クライアント接続に挿入することによって、管理者を仮想マシンに接続します。接続するために Admin がクレデンシャルを知っている必要はありません(また、で提供されることはありません)。

このデフォルト動作は、次のセクションで説明するように、管理者ごとに無効にすることができます。

.tech/Level 3 管理者アカウント

CWA セットアッププロセスでは、「 Level III 」管理者アカウントが作成されます。ユーザ名の形式は username.tech@domain.xyz です

これらのアカウントは、一般に「 .tech 」アカウントと呼ばれ、ドメインレベルの管理者アカウントという名前が付けられています。VDS 管理者は、 CWMGR1 (プラットフォーム)サーバに接続するとき、および環境内の他のすべての仮想マシンに接続するときに、 .tech アカウントを使用できます。

自動ローカル管理ログイン機能を無効にして、レベル III アカウントを強制的に使用するには、この設定を変更します。VDS > Admins > Admin Name > Check "Tech Account Enabled" と進みます。 このチェックボックスをオンにすると 'VDS 管理者は自動的にローカル管理者として仮想マシンにログインせず ' その .tech 資格情報を入力するように求められます

これらのクレデンシャルおよびその他の関連するクレデンシャルは、自動的に _Azure Key Vault に格納され、 Azure Management Portal のからアクセスできます https://portal.azure.com/

オプションの導入後の操作

多要素認証( MFA )

NetApp VDS には、 SMS/E メール MFA が無料で含まれます。この機能を使用して 'VDS 管理者アカウントやエンドユーザーアカウントを保護できます"MFA 記事"

アプリケーション使用権のワークフロー

VDS では、アプリケーションカタログと呼ばれる定義済みのアプリケーションリストから、エンドユーザーにアプリケーションへのアクセスを割り当てるメカニズムが提供されます。アプリケーションカタログは、管理されたすべての展開に適用されます。

注記 自動的に導入された TSD1 サーバーは、アプリケーションのエンタイトルメントをサポートするために現状のままにしておく必要があります。具体的には、この仮想マシンに対して「データへの変換」機能を実行しないでください。

アプリケーション管理の詳細については、次の記事を参照してください。 ""

Azure AD セキュリティグループ

VDS には、 Azure AD セキュリティグループによってサポートされるユーザーグループを作成、入力、および削除する機能が含まれます。これらのグループは 'VDS 以外のセキュリティグループと同様に使用できますVDS では、これらのグループを使用してフォルダ権限とアプリケーション権限を割り当てることができます。

ユーザグループを作成します

ユーザーグループの作成は、ワークスペース内のユーザーとグループタブで実行されます。

フォルダ権限をグループごとに割り当てます

会社の共有内のフォルダを表示および編集する権限は、ユーザーまたはグループに割り当てることができます。

""

グループごとにアプリケーションを割り当てます

アプリケーションをユーザに個別に割り当てるだけでなく、グループにプロビジョニングすることもできます。

  1. [ ユーザーとグループの詳細 ] に移動します。

  2. 新しいグループを追加するか、既存のグループを編集します。

  3. グループにユーザとアプリケーションを割り当てます。

コスト最適化オプションを設定します

ワークスペース管理は、 AVD 実装をサポートする Azure リソースの管理にも拡張されています。VDS では、ワークロードスケジュールとライブスケーリングの両方を設定し、エンドユーザーのアクティビティに基づいて Azure 仮想マシンのオンとオフを切り替えることができます。これらの機能により、 Azure のリソース利用率とエンドユーザの実際の使用パターンに合わせた支出が実現します。さらに、概念実証 AVD 実装を設定している場合は、 VDS インターフェイスから導入全体を切り替えることができます。

ワークロードのスケジュール設定

ワークロードスケジューリングは、管理者が、エンドユーザセッションをサポートするために Workspace 仮想マシンを実行するスケジュールを作成できるようにする機能です。一定の曜日にスケジュールされた期間の終了に達すると、 VDS は 1 時間ごとの課金が停止するように Azure 内の仮想マシンの割り当てを停止または解除します。

ワークロードのスケジュール設定を有効にするには
  1. VDS にログインします https://manage.cloudworkspace.com VDS クレデンシャルを使用します。

  2. [ ワークスペース ] メニューアイテムをクリックし、リスト内のワークスペースの名前をクリックします。

  3. [ ワークロードのスケジュール ] タブをクリックします。

  4. [ ワークロードスケジュール ] ヘッダーの [ 管理 ] リンクをクリックします。

  5. [ ステータス ] ドロップダウンから、 [ 常にオン ] (デフォルト)、 [ 常にオフ ] 、または [ スケジュール済み ] のいずれかのデフォルトの状態を選択します。

  6. [ スケジュール済み ] を選択した場合は、次のスケジュールオプションがあります。

    1. 毎日、割り当てられた間隔で実行します。このオプションは、スケジュールを週 7 日すべて同じ開始時間と終了時間に設定します。

    2. 指定した日に割り当てられた間隔で実行します。このオプションでは、選択した曜日についてのみ、同じ開始タイおよび終了時間にスケジュールを設定します。曜日を選択しないと、原因 VDS で仮想マシンがオンにならないようになります。

    3. 時間間隔や日数を変更して実行します。このオプションを選択すると、選択した各曜日の開始時刻と終了時刻が異なるスケジュールに設定されます。

    4. スケジュールの設定が完了したら、 Update schedule (スケジュールの更新)ボタンをクリックします。

ライブスケーリング

ライブスケーリングでは、ユーザーの同時負荷に応じて、共有ホストプール内の仮想マシンを自動的にオンまたはオフに切り替えます。各サーバがいっぱいになると、ホストプールのロードバランサがユーザセッション要求を送信するときに使用できるように、追加のサーバがオンになります。ライブスケーリングを効果的に使用するには、ロードバランサータイプとして [ 深度優先 ] を選択します。

ライブスケーリングを有効にするには:
  1. VDS にログインします https://manage.cloudworkspace.com VDS クレデンシャルを使用します。

  2. [ ワークスペース ] メニューアイテムをクリックし、リスト内のワークスペースの名前をクリックします。

  3. [ ワークロードのスケジュール ] タブをクリックします。

  4. Live Scaling セクションで、 Enabled オプションボタンをクリックします。

  5. [ サーバあたりの最大ユーザ数 ] をクリックし、最大数を入力します。仮想マシンのサイズに応じて、通常は 4~20 の範囲の値を指定します。

  6. オプション– [Extra Powered On Servers Enabled] をクリックし、ホストプール用に追加するサーバをいくつか入力します。この設定は、アクティブにいっぱいになっているサーバーに加えて、指定されたサーバー数をアクティブにして、同じ時間内にログオンしている大量のユーザーグループのバッファとして機能します。

注記 現在、ライブスケーリングはすべての共有リソースプールを環境で実行しています。近い将来、各プールには独立したライブスケーリングオプションがあります。

導入環境全体の電源をオフにします

評価導入のみを散発的な非本番環境でのみ使用する場合は、使用しない環境ですべての仮想マシンをオフにすることができます。

展開をオンまたはオフにする(展開で仮想マシンをオフにする)には、次の手順を実行します。
  1. VDS にログインします https://manage.cloudworkspace.com VDS クレデンシャルを使用します。

  2. [ 展開 ] メニュー項目をクリックします。 ターゲット展開の行にカーソルを合わせると、設定ギアアイコンが表示されます。

  3. ギアをクリックし、「停止」を選択します。

  4. 再起動または開始するには、手順 1 ~ 3 を実行してから、 [ 開始 ] を選択します。

注記 導入環境内のすべての仮想マシンが停止または起動するまでに数分かかることがあります。

VM イメージの作成と管理

VDS には、将来の導入に備えて仮想マシンイメージを作成および管理する機能が含まれます。この機能を使用するには、 VDS > Deployments > Deployment Name > Provisioning Collections に移動します。「 VDI イメージコレクション」の機能については、次の URL で説明しています。 ""

Azure Cloud Backup Service を設定

VDS は、 Azure クラウドバックアップをネイティブで構成、管理できます。 Azure PaaS サービスは、仮想マシンをバックアップするためのサービスです。バックアップポリシーは、タイプまたはホストプールに基づいて、個々のマシンまたはマシンのグループに割り当てることができます。詳細については、以下を参照してください。 ""

アプリ管理 / ポリシーモードを選択します

VDS では、デフォルトで多数の Group Policy Object ( GPO ;グループポリシーオブジェクト)が実装され、エンドユーザのワークスペースがロックダウンされます。これらのポリシーにより、コアデータレイヤの場所(例: c : \ )へのアクセスと、エンドユーザとしてのアプリケーションのインストールを実行する機能の両方にアクセスできなくなります。

この評価は、 Window Virtual Desktop の機能を実証することを目的としています。したがって、 GPO を削除して、物理ワークスペースと同じ機能とアクセスを提供する「基本的なワークスペース」を実装できます。これを行うには、「基本ワークスペース」オプションの手順に従います。

また、仮想デスクトップ管理の全機能セットを利用して「管理されたワークスペース」を実装することもできます。これらの手順には、エンドユーザアプリケーションエンタイトルメント用のアプリケーションカタログの作成と管理、およびアプリケーションとデータフォルダへのアクセスを管理するための管理者レベルの権限の使用が含まれます。AVD ホストプールにこのタイプのワークスペースを実装するには、「管理されたワークスペース」セクションの手順に従います。

制御された AVD ワークスペース ( デフォルトポリシー )

VDS 導入では、制御されたワークスペースを使用することがデフォルトモードです。ポリシーは自動的に適用されます。このモードでは、 VDS 管理者がアプリケーションをインストールする必要があります。その後、エンドユーザーはセッションデスクトップのショートカットを使用してアプリケーションにアクセスできます。同様に、マッピングされた共有フォルダを作成し、標準のブートドライブやデータドライブではなく、マッピングされたドライブレターのみを表示する権限を設定することで、データフォルダへのアクセスがエンドユーザに割り当てられます。この環境を管理するには、以下の手順に従って、アプリケーションをインストールし、エンドユーザーアクセスを提供します。

基本的な AVD ワークスペースに戻します

基本的なワークスペースを作成するには、デフォルトで作成されたデフォルトの GPO ポリシーを無効にする必要があります。

これを行うには、次の 1 回限りのプロセスを実行します。
  1. VDS にログインします https://manage.cloudworkspace.com プライマリ管理者のクレデンシャルを使用する。

  2. 左側の [Deployments] メニュー項目をクリックします。

  3. 展開の名前をクリックします。

  4. [Platform Servers] セクション(右中央ページ)で、 CWMGR1 の行の右側をスクロールしてギヤを表示します。

  5. ギアをクリックして、「接続」を選択します。

  6. プロビジョニング中に作成した「 Tech 」クレデンシャルを入力し、 HTML5 アクセスを使用して CWMGR1 サーバにログオンします。

  7. スタート( Windows )メニューをクリックし、 Windows 管理ツールを選択します。

  8. [ グループポリシーの管理 ] アイコンをクリックします。

  9. 左側のペインのリストで AADDC Users 項目をクリックします。

  10. 右側のペインのリストで [Cloud Workspace Users (クラウドワークスペースユーザー) ] ポリシーを右クリックし、 [Link Enabled (リンク有効) ] オプションの選択を解除します。[OK] をクリックして、この操作を確定します。

  11. メニューから [ アクション ] 、 [ グループポリシーの更新 ] を選択し、それらのコンピュータでポリシーの更新を強制することを確認します。

  12. 手順 9 と 10 を繰り返しますが、リンクを無効にするポリシーとして [AADDC Users] と [Cloud Workspace Companies (クラウドワークスペース企業) ] を選択します。この手順の後で、グループポリシーを強制的に更新する必要はありません。

  13. グループポリシー管理エディタおよび管理ツールウィンドウを閉じ、ログオフします。 ここでは、エンドユーザー向けの基本的なワークスペース環境について説明します。これを確認するには、エンドユーザーアカウントの 1 つとしてログインします。セッション環境には、非表示の [ スタート ] メニュー、 C : \ ドライブへのロックダウンアクセス、非表示の [ コントロールパネル ] など、制御されたワークスペースの制限はありません。

注記 導入時に作成された .tech アカウントには 'VDS に関係なく ' アプリケーションをインストールし ' フォルダのセキュリティを変更するためのフルアクセス権がありますただし、 Azure AD ドメインのエンドユーザに同様のフルアクセスを許可する場合は、各仮想マシンのローカル管理者グループに追加する必要があります。