日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

VDS コンポーネントと権限

寄稿者

AVD および VDS セキュリティエンティティとサービス

Azure Virtual Desktop ( AVD )では、自動化されたアクションを実行するために、 Azure AD とローカル Active Directory の両方にセキュリティアカウントとコンポーネントが必要です。NetApp の Virtual Desktop Service ( VDS )は、導入プロセス中にコンポーネントとセキュリティ設定を作成し、管理者が AVD 環境を制御できるようにします。このドキュメントでは、両方の環境で関連する VDS アカウント、コンポーネント、およびセキュリティ設定について説明します。

導入の自動化プロセスのコンポーネントと権限は、最終的に導入された環境のコンポーネントとは大きく異なります。このため、この記事は、「導入の自動化」セクションと「導入環境」セクションの 2 つの主要なセクションで構成されています。

幅 = 75%

AVD 展開の自動化コンポーネントと権限

VDS 環境では、 Azure とネットアップの複数のコンポーネントとセキュリティ権限を利用して環境とワークスペースの両方を実装します。

VDS 導入サービス

エンタープライズアプリケーション

VDS は、テナントの Azure AD ドメインでエンタープライズアプリケーションとアプリケーション登録を利用します。エンタープライズアプリケーションは、 Azure Resource Manager 、 Azure Graph 、および( AVD Fall Release を使用している場合) AVD API エンドポイントに対する呼び出し用のコンジットであり、 Azure AD インスタンスセキュリティコンテキストから、関連するサービスプリンシパルに付与された委任ロールと権限を使用します。VDS を使用してテナントの AVD サービスの初期化状態に応じて、アプリケーション登録を作成できます。

これらの VM の作成と管理を有効にするために、 VDS は Azure サブスクリプションにいくつかのサポートコンポーネントを作成します。

クラウドワークスペース

これは最初のエンタープライズアプリケーション管理者が同意を得たものであり、 VDS セットアップウィザードの展開プロセスで使用されます。

クラウドワークスペースエンタープライズアプリケーションは、 VDS セットアッププロセスで特定の権限セットを要求します。これらの権限は次のとおりです。

  • サインインユーザとしてのアクセスディレクトリ(委任)

  • 読み取り / 書き込みディレクトリデータ(委譲)

  • サインインしてユーザプロファイルを読み取り(委任)

  • サインユーザーイン(委任)

  • ユーザの基本プロファイルの表示(委任)

  • 組織ユーザとして Azure Service Management にアクセス(委任)

Cloud Workspace API

Azure PaaS 関数の一般的な管理呼び出しを処理します。Azure PaaS の機能には、 Azure コンピューティング、 Azure バックアップ、 Azure ファイルなどがあります。このサービスプリンシパルには、初期導入時にターゲットの Azure サブスクリプションに対する所有者の権限が必要です。継続的な管理を行う貢献者の権限が必要です(注: Azure Files を使用するには、 Azure File オブジェクトに対するユーザ権限ごとに設定するサブスクリプションの所有者権限が必要です)。

クラウドワークスペース API エンタープライズアプリケーションは、 VDS セットアッププロセスで特定の権限セットを要求します。これらの権限は次のとおりです。

  • サブスクリプションコントリビュータ( Azure ファイルを使用する場合はサブスクリプション所有者)

  • Azure AD グラフ

    • すべてのアプリケーションの読み取りと書き込み(アプリケーション)

    • このアプリケーションが作成または所有するアプリケーションを管理する(アプリケーション)

    • 読み取り / 書き込みデバイス(アプリケーション)

    • サインインユーザとしてディレクトリにアクセスする(委任)

    • ディレクトリデータの読み取り(アプリケーション)

    • 読み取りディレクトリデータ(委任)

    • ディレクトリデータの読み取りと書き込み(アプリケーション)

    • 読み取り / 書き込みディレクトリデータ(委譲)

    • 読み取りドメインと書き込みドメイン(アプリケーション)

    • すべてのグループの読み取り(委任)

    • 読み取りおよび書き込みすべてのグループ(委任)

    • すべての非表示メンバーシップ(アプリケーション)を読む

    • 非表示メンバーシップの読み取り(委任)

    • サインインしてユーザプロファイルを読み取り(委任)

    • すべてのユーザの全プロファイルの読み取り(委任)

    • すべてのユーザの基本プロファイルを読み取る(委任)

  • Azure サービス管理

    • 組織ユーザとして Azure Service Management にアクセス(委任)

NetApp VDS

VDS コントロールプレーンを介して NetApp VDS コンポーネントを使用し、 AVD の役割、サービス、リソースの導入と構成を自動化します。

カスタムロール

Automation Contributor ロールは、最小限の権限を持つ方法で展開を容易にするために作成されます。このロールにより、 CWMGR1 VM は Azure オートメーションアカウントにアクセスできます。

自動化アカウント

自動化アカウントは、導入時に作成され、プロビジョニングプロセス中に必要なコンポーネントです。Automation アカウントには、変数、クレデンシャル、モジュール、および目的の State Configuration が含まれており、 Key Vault を参照しています。

目的の状態の設定

これは、 CWMGR1 の設定を作成するために使用される方法です。設定ファイルは VM にダウンロードされ、 VM 上の Local Configuration Manager を介して適用されます。構成要素には次のようなものがあります。

  • Windows 機能をインストールしています

  • ソフトウェアをインストールしています

  • ソフトウェア設定の適用

  • 適切な権限セットが適用されていることを確認します

  • Let ’ s Encrypt 証明書を適用します

  • DNS レコードが正しいことを確認しています

  • CWMGR1 がドメインに参加していることを確認します

モジュール:

  • ActiveDirectoryDsc: Active Directory の展開と設定に必要な状態設定リソース。これらのリソースを使用すると、新しいドメイン、子ドメイン、およびハイアベイラビリティドメインコントローラを設定し、クロスドメイン信頼を確立し、ユーザ、グループ、および OU を管理できます。

  • AZ.Accounts : Microsoft が提供したモジュールで、 Azure モジュールのクレデンシャルと共通の構成要素を管理します

  • AZ.Automation : Microsoft が Azure Automation コマンドレット用のモジュールを提供しました

  • Az.Compute:A Microsoft が Azure Compute コマンドレットのモジュールを提供しました

  • AZ.KeyVault : Microsoft が提供する Azure Key Vault コマンドレット用のモジュール

  • AZ.Resources : Microsoft が提供している Azure Resource Manager コマンドレットのモジュール

  • CChoco : chocolatey を使用してパッケージをダウンロードおよびインストールするために必要な状態設定リソース

  • cjaz :ネットアップが開発したこのモジュールは、 Azure 自動化モジュールに自動化ツールを提供します

  • cjAzACS :ネットアップが開発したこのモジュールには、ユーザコンテキスト内から実行される環境自動化機能と PowerShell プロセスが含まれています。

  • cjAzBuild :ネットアップが開発したこのモジュールには、システムコンテキストから実行される、ビルドおよびメンテナンスの自動化と PowerShell プロセスが含まれています。

  • cNtfsAccessControl: NTFS アクセス制御管理用に必要な状態構成リソース

  • ComputerManagementDsc :ドメインへの参加やタスクのスケジュール設定などのコンピュータ管理タスク、および仮想メモリ、イベントログ、タイムゾーン、電源設定などの項目の設定を可能にする目的の状態設定リソース。

  • cUserRightsAssignment : ログオン権限や特権などのユーザー権限の管理を可能にする必要な状態構成リソース

  • NetworkingDsc: ネットワークの必要な状態構成リソース

  • xCertificate : Windows Server での証明書の管理を簡素化する目的の状態設定リソース。

  • xDnsServer: Windows Server DNS サーバーの構成と管理に必要な状態構成リソース

  • xNetworking: ネットワーク関連の望ましい状態の構成リソース。

  • "xRemoteDesktopAdmin": このモジュールは、ローカルまたはリモートマシン上でリモートデスクトップ設定と Windows ファイアウォールを構成するために必要な状態構成リソースを含むリポジトリを使用します。

  • xRemoteDesktopSessionHost: Remote Desktop Session Host (RDSH) インスタンスの作成と設定を有効にするための、目的の状態構成リソース (xRDSessionDeployment, xRDSessionCollectionConfiguration, xRDRemoteApp)

  • xSmbShare : SMB 共有の設定と管理に必要な状態の設定リソース

  • xSystemSecurity: UAC および IE Esc を管理するための望ましい状態設定リソース

注記 Azure Virtual Desktop は、 Azure Virtual Desktop および Azure Virtual Desktop Client のエンタープライズアプリケーションおよびアプリケーション登録、 AVD テナント、 AVD ホストプール、 AVD アプリケーショングループ、 AVD 登録仮想マシンなどの Azure コンポーネントもインストールします。VDS 自動化コンポーネントはこれらのコンポーネントを管理しますが 'AVD はデフォルトの構成と属性セットを制御します詳細については 'AVD のマニュアルを参照してください

ハイブリッド AD コンポーネント

ネットアップのソリューションを導入すると、既存の AD を効率的に、またはパブリッククラウドで運用することができます。そのためには、既存の AD 環境にコンポーネントや権限を追加する必要があります。

Domain Controller の略

既存のドメインコントローラは、 AD Connect またはサイト間 VPN (または Azure ExpressRoute )を介して AVD 環境に統合できます。

AD 接続

AVD PaaS サービスによるユーザ認証を成功させるために、 AD 接続を使用してドメインコントローラと Azure AD を同期できます。

セキュリティグループ

VDS では、 CW-Infrastructure という Active Directory セキュリティグループを使用して、ドメイン参加や GPO ポリシーの添付など、 Active Directory に依存するタスクを自動化するために必要な権限を含めます。

サービスアカウント

VDS では、 VDS Windows サービスと IIS アプリケーションサービスの ID として使用される CloudworkspaceSVC という Active Directory サービスアカウントが使用されます。このアカウントは非対話型( RDP ログインを許可しない)であり、 CW インフラストラクチャアカウントの主要メンバーです

VPN または ExpressRoute

サイト間 VPN または Azure ExpressRoute を使用して、既存のドメインに Azure VM を直接参加させることができます。これは、プロジェクトの要件から指示があった場合に使用できるオプションの設定です。

ローカルの AD 権限の委譲

ネットアップは、ハイブリッド AD プロセスを合理化するオプションのツールを提供しています。ネットアップのオプションツールを使用する場合は、次のことを行う必要があります。

  • Workstation OS ではなく、サーバ OS 上で実行します

  • ドメインに参加しているサーバ、またはドメインコントローラで実行します

  • PowerShell 5.0 以降を、ツールを実行しているサーバ(ドメインコントローラで実行していない場合)とドメインコントローラの両方に配置します

  • ドメイン管理者権限を持つユーザーが実行するか、ローカル管理者権限を持つユーザーが実行し、ドメイン管理者資格情報( RunAs で使用)を提供することができます。

手動で作成するか、ネットアップのツールで適用するかにかかわらず、必要な権限は次のとおりです。

  • CW - インフラストラクチャグループ

    • Cloud Workspace Infrastructure ( CW-Infrastructure )セキュリティグループには、 Cloud Workspace OU レベルおよびすべての子孫オブジェクトに対するフルコントロールが付与されています

    • <deployment code>.cloudworkspace.app DNS Zone – CW - インフラストラクチャグループ許可された CreateChild 、 DeleteChild 、 ListChildren 、 ReadProperty 、 DeleteTree 、 ExtendedRight 、 Delete 、 GenericWrite

    • DNS サーバー– CW インフラストラクチャグループに ReadProperty 、 GenericExecute が付与されました

    • 作成された VM のローカル管理者アクセス( CWMGR1 、 AVD セッション VM )(管理対象 AVD システムのグループポリシーによって実行)

  • CW-MCWMGRAccess グループこのグループは、すべてのテンプレート、単一サーバ、新しいネイティブ Active Directory テンプレートで CWMGR1 にローカル管理権限を与えます。これらのテンプレートは、組み込みグループ Server Operators Remote Desktop Users 、および Network Configuration Operators を利用します。

AVD 環境コンポーネントと権限

導入の自動化プロセスが完了したら、導入とワークスペースの継続的な使用と管理を行い、以下に定義する個別のコンポーネントと権限のセットが必要です。上記のコンポーネントや権限の多くは関連性がありますが、ここでは導入されたの構造を定義することに重点を置いています。

VDS の導入環境とワークスペースのコンポーネントは、いくつかの論理カテゴリに分類できます。

  • エンドユーザクライアント

  • VDS コントロールプレーンコンポーネント

  • Microsoft Azure AVD-PaaS のコンポーネント

  • VDS プラットフォームコンポーネント

  • VDS ワークスペースコンポーネントを Azure テナントに表示

  • ハイブリッド AD コンポーネント

エンドユーザクライアント

ユーザは、 AVD デスクトップやさまざまなエンドポイントタイプから接続できます。Microsoft では、 Windows 、 macOS 、 Android 、および iOS 向けのクライアントアプリケーションを公開しています。さらに、 Web クライアントからクライアントレスアクセスを実行できます。

AVD のエンドポイントクライアントを公開している Linux シンクライアントベンダーもいくつかあります。これらはに記載されています https://docs.microsoft.com/en-us/azure/virtual-desktop/linux-overview

VDS コントロールプレーンコンポーネント

VDS REST API

VDS は、完全にドキュメント化された REST API を基盤としているため、 Web アプリケーションで使用できるすべてのアクションを API でも使用できます。API のドキュメントは次のとおりです。 https://api.cloudworkspace.com/5.4/swagger/ui/index#

VDS Web アプリケーション

VDS 管理者は、 VDS Web アプリを使用して ADS アプリケーションを操作できます。この Web ポータルには次のアドレスがあります。 https://manage.cloudworkspace.com

コントロールプレーンデータベース

VDS のデータと設定は、ネットアップがホストし管理するコントロールプレーンの SQL データベースに格納されます。

VDS 通信

Azure テナントコンポーネント

VDS 導入の自動化では、 1 つの Azure リソースグループが作成され、 VM 、ネットワークサブネット、ネットワークセキュリティグループ、 Azure Files コンテナまたは Azure NetApp Files 容量プールなど、他の AVD コンポーネントが含まれます。注:デフォルトは 1 つのリソースグループですが 'VDS には必要に応じて追加のリソースグループにリソースを作成するツールがあります

Microsoft Azure AVD-PaaS のコンポーネント

AVD REST API

Microsoft AVD は API を使用して管理できます。VDS では、これらの API を広範囲に活用して AVD 環境を自動化および管理しています。ドキュメントは次の場所にあります。 https://docs.microsoft.com/en-us/rest/api/desktopvirtualization/

セッションブローカー

ブローカーは、ユーザーに許可されたリソースを判別し、ユーザーとゲートウェイとの接続をオーケストレーションします。

Azure 診断プログラム

Azure Diagnostics は、 AVD 環境をサポートするように特別に設計されています。

AVD Web クライアント

Microsoft は、ローカルにインストールされたクライアントを使用せずに、ユーザが AVD リソースに接続できる Web クライアントを提供しています。

セッションゲートウェイ

ローカルにインストールされた RD クライアントはゲートウェイに接続し、 AVD 環境に安全に通信します。

VDS プラットフォームコンポーネント

CWMGR1

CMWGR1 は、各導入の VDS 制御 VM です。デフォルトでは、ターゲット Azure サブスクリプションに Windows Server 2019 VM として作成されます。CWMGR1 にインストールされた VDS およびサードパーティコンポーネントのリストについては、「ローカル展開」セクションを参照してください。

AVD では、 AVD VM が Active Directory ドメインに参加している必要があります。このプロセスを容易にし、 VDS 環境を管理するための自動化ツールを提供するために、上記の CWMGR1 VM に複数のコンポーネントがインストールされ、 AD インスタンスに複数のコンポーネントが追加されます。コンポーネントは次のとおりです。

  • * Windows サービス *- VDS では、 Windows サービスを使用して、導入環境から自動化と管理のアクションを実行します。

    • *CW オートメーションサービス * は、各 AVD 環境で CWMGR1 に展開されている Windows サービスで、環境内のユーザー向けの自動化タスクの多くを実行します。このサービスは、 * CloudWorkspaceSVC * AD アカウントで実行されます。

    • CW VM Automation Service は、仮想マシンの管理機能を実行する各 AVD 展開において CWMGR1 に展開される Windows サービスです。このサービスは、 * CloudWorkspaceSVC * AD アカウントで実行されます。

    • CW Agent Service は、 CWMGR1 を含む VDS 管理下の各仮想マシンに展開される Windows サービスです。このサービスは、仮想マシンの * LocalSystem* コンテキストで実行されます。

    • CWManagerX API は、各 AVD 展開の CWMGR1 にインストールされている IIS アプリケーションプールベースのリスナーです。これは、グローバルコントロールプレーンからのインバウンド要求を処理し、 * CloudWorkspaceSVC * AD アカウントで実行されます。

  • * SQL Server 2017 Express * – VDS は、 CWMGR1 VM 上に SQL Server Express インスタンスを作成し、自動化コンポーネントによって生成されたメタデータを管理します。

  • * インターネットインフォメーションサービス( IIS ) * – CWMGR1 で IIS が有効になっており、 CWManagerX および CWApps IIS アプリケーションをホストします( RDS RemoteApp 機能が有効になっている場合のみ)。VDS を使用するには、 IIS バージョン 7.5 以降が必要です。

  • * HTML5 ポータル(オプション) * – VDS は、 Spark Gateway サービスをインストールして、導入環境内の VM と VDS Web アプリケーションから HTML5 経由でアクセスできるようにします。これは Java ベースのアプリケーションであり、このアクセス方法が不要な場合は無効にして削除できます。

  • * RD ゲートウェイ(オプション) * – VDS を使用すると、 CWMGR1 の RD ゲートウェイロールで RDS コレクションベースのリソースプールへの RDP アクセスを提供できます。このロールは、 AVD リバースコネクトアクセスのみが必要な場合は、無効化 / アンインストールできます。

  • * RD Web (オプション) * – VDS を使用すると、 RD Web ロールが有効になり、 CWApps IIS Web アプリケーションが作成されます。AVD アクセスのみが必要な場合は、このロールを無効にできます。

  • *DC 構成 * –導入と VDS サイト固有の構成と高度な構成タスクを実行するために使用する Windows アプリケーション。

  • * テスト VDC ツール * - トラブルシューティングのために API または Web アプリケーションのタスクを変更する必要があるまれなケースで、仮想マシンおよびクライアントレベルの設定変更の直接タスク実行をサポートする Windows アプリケーション。

  • * ワイルドカード証明書を暗号化する(オプション) * – VDS によって作成および管理されます。 TLS 経由の HTTPS トラフィックを必要とするすべての VM は、毎晩証明書で更新されます。更新も自動化されたタスクによって処理されます(証明書は 90 日なので、更新はすぐ前から開始されます)。お客様は、必要に応じて独自のワイルドカード証明書を提供できます。VDS では、自動化タスクをサポートするために複数の Active Directory コンポーネントも必要になります。設計上の目的は、最小限の数の AD コンポーネントと権限の追加を利用しながら、環境をサポートして管理を自動化することです。次のコンポーネントが含まれます。

  • * クラウドワークスペース組織単位( OU ) * –この組織単位は、必要な子コンポーネントのプライマリ AD コンテナとして機能します。CW インフラストラクチャおよびクライアント DHP アクセスグループの権限は、このレベルとその子コンポーネントで設定されます。この OU で作成されるサブ OU については、付録 A を参照してください。

  • * Cloud Workspace Infrastructure Group ( CW-Infrastructure ) * は、必要な委任された権限を VDS サービスアカウントに割り当てるためにローカル AD で作成されたセキュリティグループです( * CloudWorkspaceSVC * )。

  • * クライアント DHP アクセスグループ (ClientDHPAccess)* はローカル AD で作成されるセキュリティグループで、企業の共有データ、ユーザーホームデータ、およびプロファイルデータが存在する場所を VDS が管理できるようにします。

  • * CloudWorkspaceSVC * サービスアカウント( Cloud Workspace Infrastructure Group のメンバー)

  • * 配置コード > .cloudworkspace.app domain * (このドメインは、セッションホスト VM 用に自動作成された DNS 名を管理します)用の DNS ゾーン– Deploy の構成で作成されます。

  • * ネットアップ固有の GPO * は、クラウドワークスペースの組織単位のさまざまな子 OU にリンクされています。次の GPO があります。

    • * Cloud Workspace GPO ( Cloud Workspace OU にリンク) * – CW インフラストラクチャグループのメンバーのアクセスプロトコルと方法を定義します。また、 AVD セッションホスト上のローカル Administrators グループにもグループを追加します。

    • * クラウドワークスペースファイアウォール GPO * (専用の顧客サーバー、リモートデスクトップ、およびステージング OU にリンク) - プラットフォームサーバーからセッションホストへの接続を確実に分離するポリシーを作成します。

    • * Cloud Workspace RDS * (専用顧客サーバー、リモートデスクトップ、およびステージング OU ) - セッション品質、信頼性、切断タイムアウト制限に関するポリシーセットの制限。RDS セッションでは、 TS ライセンスサーバの値が定義される。

    • * Cloud Workspace Companies * (デフォルトではリンクされていません)–オプションの GPO を使用して、管理ツールやエリアへのアクセスを禁止し、ユーザーセッション / ワークスペースを「ロックダウン」します。リンク / 有効にして、アクティビティの制限付きワークスペースを提供できます。

注記 デフォルトのグループポリシー設定は、要求に応じて指定できます。

VDS ワークスペースコンポーネント

データレイヤ
Azure NetApp Files の特長

VDS 設定でデータ層オプションとして Azure NetApp Files を選択した場合は、 Azure NetApp Files 容量プールと関連付けられたボリュームが作成されます。ボリュームは ' ユーザー・プロファイル( FSLogix コンテナ経由) ' ユーザー個人用フォルダ ' および企業データ共有フォルダの共有ファイル・ストレージをホストします

Azure Files の特長

CWS セットアップで [ データレイヤ ] オプションとして Azure ファイルを選択した場合は、 Azure ファイル共有とそれに関連付けられた Azure ストレージアカウントが作成されます。Azure File Share は、( FSLogix コンテナを介して)ユーザプロファイルの共有ファイルストレージ、ユーザの個人フォルダ、および企業のデータ共有フォルダをホストします。

管理対象ディスクがあるファイルサーバ

VDS セットアップでデータ層オプションとしてファイルサーバーを選択した場合は、管理対象ディスクを使用して Windows Server VM が作成されます。ファイルサーバーは、 FSLogix コンテナを介してユーザープロファイルの共有ファイルストレージ、ユーザー個人フォルダ、および企業データ共有フォルダをホストします。

Azure ネットワーク
Azure Virtual Network の略

VDS では、 Azure Virtual Network とサポートサブネットが作成されます。VDS では、 CWMGR1 、 AVD ホストマシン、および Azure ドメインコントローラ用に個別のサブネットが必要です。また、サブネット間にピアリングが必要です。通常、 AD コントローラサブネットはすでに存在するため、導入した VDS サブネットを既存のサブネットとピアリングする必要があります。

ネットワークセキュリティグループ

CWMGR1 VM へのアクセスを制御するネットワークセキュリティグループが作成されます。

  • テナント:セッションホストおよびデータ VM で使用する IP アドレスが含まれます

  • サービス: PaaS サービスで使用する IP アドレス( Azure NetApp Files など)が含まれる

  • プラットフォーム: NetApp プラットフォーム VM ( CWMGR1 およびゲートウェイサーバ)として使用する IP アドレスが含まれています。

  • ディレクトリ: Active Directory VM として使用する IP アドレスが格納されます

Azure AD

VDS の自動化とオーケストレーションでは、ターゲットの Active Directory インスタンスに仮想マシンを導入してから、指定のホストプールにマシンを追加します。AVD 仮想マシンは、 AD 構造(組織単位、グループポリシー、ローカルコンピュータ管理者権限など)と AVD 構造(ホストプール、ワークスペースアプリケーショングループメンバーシップ)の両方によってコンピュータレベルで管理され、 Azure AD エンティティと権限によって管理されます。VDS では、 AVD アクション用の VDS Enterprise アプリケーション /Azure サービスプリンシパルと、ローカル AD およびローカルコンピュータアクション用のローカル AD サービスアカウント( CloudWorkspaceSVC )を使用して、この「デュアルコントロール」環境を処理します。

AVD 仮想マシンを作成して AVD ホストプールに追加するための具体的な手順は、次のとおりです。

  • Azure テンプレートから、 AVD に関連付けられた Azure サブスクリプションに表示される仮想マシンを作成する( Azure サービスプリンシパル権限を使用)

  • VDS 導入時に指定した Azure VNet を使用して新しい仮想マシンの DNS アドレスを確認 / 設定します(ローカル AD 権限が必要です(上記の CW インフラストラクチャに委任されたものすべて)。標準 VDS 命名スキーム * _ { companycode } TS { sequenceNumber } _ * を使用して仮想マシン名を設定します。例: XYZTS3(ローカル AD 権限が必要(オンプレミスで作成した OU 構造に配置)(リモートデスクトップ / 企業コード / 共有)(上記と同じ権限 / グループ概要)

  • 指定された Active Directory の組織単位( AD )に仮想マシンを配置(上記の手動プロセスで指定された OU 構造への委任された権限が必要)

  • 新しいマシン名 /IP アドレスで内部 AD DNS ディレクトリを更新(ローカル AD 権限が必要)

  • 新しい仮想マシンをローカル AD ドメインに追加(ローカル AD 権限が必要)

  • VDS ローカルデータベースを新しいサーバー情報で更新する ( 追加の権限は不要 )

  • 指定された AVD ホストプールに VM を参加させる (AVD サービスプリンシパルの権限が必要 )

  • chocolatey コンポーネントを新しい仮想マシンにインストールします( * CloudWorkspaceSVC * アカウントにはローカルコンピュータ管理者権限が必要です)。

  • AVD インスタンスの FSLogix コンポーネントをインストールします(ローカル AD の AVD OU に対するローカルコンピュータ管理権限が必要です)

  • AD Windows ファイアウォール GPO を更新して、新しい VM へのトラフィックを許可します( AVD OU とそれに関連付けられた仮想マシンに関連付けられたポリシーに対して AD GPO の作成 / 変更が必要です)。ローカル AD の AVD OU で AD GPO ポリシーの作成 / 変更が必要です。VDS で VM を管理しない場合は、インストール後にオフにすることができます。)

  • 新しい仮想マシンに「 Allow New Connections 」フラグを設定します( Azure Service Principal 権限が必要です)。

VM の Azure AD への参加

Azure テナント内の仮想マシンはドメインに参加する必要がありますが、 VM を Azure AD に直接参加させることはできません。このため 'VDS では VDS プラットフォームにドメインコントローラの役割が導入され 'AD Connect を使用してその DC を Azure AD と同期します別の設定オプションとして、 Azure AD ドメインサービス( AADDS )の使用、 AD Connect を使用したハイブリッド DC (オンプレミスまたはその他の場所)への同期、サイト間 VPN または Azure ExpressRoute を使用した VM のハイブリッド DC への直接参加があります。

AVD ホストプール

ホストプールは、 Azure Virtual Desktop 環境内の 1 つ以上の同一の仮想マシン( VM )の集まりです。各ホストプールには、ユーザが物理デスクトップと同じように操作できるアプリケーショングループを含めることができます。

セッションホスト

任意のホストプール内で、同一の仮想マシンが 1 つ以上存在します。このホストプールに接続するこれらのユーザセッションは、 AVD ロードバランササービスによってロードバランシングされます。

アプリケーショングループ

デフォルトでは、展開時に _Desktop Users_app グループが作成されます。このアプリグループ内のすべてのユーザーには、 Windows デスクトップのフルエクスペリエンスが提供されます。また、アプリグループを作成して、ストリーミングアプリサービスを提供することもできます。

ログ分析ワークスペース

ログ分析ワークスペースは、展開プロセスと DSC プロセスおよび他のサービスからログを保存するために作成されます。これは導入後に削除できますが、他の機能が有効になるため、この操作は推奨されません。ログはデフォルトで 30 日間保持されるため、保持の料金は発生しません。

可用性セット

可用性セットは、障害ドメイン間で共有 VM ( AVD ホストプール、 RDS リソースプール)を分離できるように、導入プロセスの一環として設定されます。必要に応じて導入後に削除することもできますが、共有 VM のフォールトトレランスを強化するオプションは無効にします。

Azure の SnapVault

リカバリサービスボールトは、導入時に VDS 自動化によって作成されます。Azure Backup は、導入プロセス中に CWMGR1 に適用されるため、現在はこの機能がデフォルトでアクティブになっています。この処理は、非アクティブ化して必要に応じて削除することができますが、環境で Azure Backup が有効になっている場合は再作成されます。

Azure キーバックアップ

Azure Key Vault は導入プロセス中に作成され、導入時に Azure Automation アカウントで使用される証明書、 API キー、およびクレデンシャルを格納するために使用されます。

付録 A –クラウドワークスペースのデフォルトの組織単位構造

  • クラウドワークスペース

    • クラウドワークスペース企業

    • クラウドワークスペースサーバ

      • 専用の顧客サーバー

      • インフラ

  • CWMGR サーバ

  • ゲートウェイサーバ

  • FTP サーバ

  • テンプレート VM

    • リモートデスクトップ

    • ステージング

      • Cloud Workspace サービスアカウント

    • クライアントサービスアカウント

    • インフラストラクチャサービスアカウント

      • Cloud Workspace Tech ユーザ

    • グループ

    • 技術 3 技術者