Windows Virtual Desktop、Citrix Cloud、Amazon Workspaces を比較してみる～後編～

渡辺将光

2020年11月11日

みなさん、こんにちは。クラウドプラットフォーム担当の渡辺です。
後編では、管理者目線での比較と、今回のまとめをしたいと思います。前編はこちら

運用者目線での比較
- ①必要なライセンス
- ②VDI の管理画面
- ③ユーザー認証
- ④ユーザーの管理方法
- ⑤マスターイメージの管理
- ⑥ウィルス対策
- ⑦ポリシー
- ⑧移動ユーザープロファイルの管理
- ⑨電源管理
- ⑩ログ
まとめ

「クラウド VDI ソリューション - Windows Virtual Desktop 導入支援」についてはこちら

1. 運用者目線での比較

①必要なライセンス

必要なライセンスを確認します。

WVD
Windows 7 , Windows 10 , Windows 10 マルチセッションを利用する場合は、以下のライセンスが必要です。
- Microsoft 365 E3 / E5 / A3 / A5 / Business / F1
- Windows E3 / E5 / A3 / A5
Windows Server 2012 R2 , 2016 ,2019 を利用する場合は、以下のライセンスが必要です。
- ソフトウェアアシュアランス付きの RDS クライアントアクセスライセンス (CAL)

【参考：Windows Virtual Desktop とは】
https://docs.microsoft.com/ja-jp/azure/virtual-desktop/overview#requirements

Citrix Cloud on Azure
- Citrix Cloud
  ライセンスは以下のどれか用途に応じて購入します。
  - Citrix Virtual Apps (仮想アプリケーション , マルチセッションの仮想デスクトップ)
  - Citrix Virtual Desktops (仮想デスクトップ）
  - Citrix Virtual Apps and Desktops (両方)
- Azure
  Citrix Cloud のライセンスに加えて、VDI として構築する OS に応じてライセンスが必要です。
  Windows 10 , Windows 10 マルチセッション、Windows Server 2016, 2019

【参考：Citrix Virtual Apps and Desktops - Citrix Japan - Citrix】
https://www.citrix.com/ja-jp/products/citrix-virtual-apps-and-desktops/

Amazon WorkSpaces
ライセンスは別途用意する必要はなく、利用したいバンドルの料金のみです。
また条件を満たすことで Windows のライセンスを持ち込み、費用を節約することもできます。

【参考：Amazon WorkSpaces の料金】
https://aws.amazon.com/jp/workspaces/pricing/?nc=sn&loc=3

②VDI の管理画面

管理画面でどのようなことが出来るのか確認します。

WVD
Azure ポータルから VDI (セッションホスト）の管理が出来ます。

GUI で主に次の操作が出来ます。
- VDI 台数の追加、削除
- ユーザーの割り当て
- ユーザーのログオフ、切断
- セッション数の上限変更
- ドレインモードの設定変更
- VDI のスケールアップ、ダウン (Azure Portal の Virtual Machines)
- VDI の電源オン、オフ (Azure Portal の Virtual Machines)
次の操作は別途実施する必要があります。
- グループポリシーの適用、変更 (Active Directory や Azure AD Domain Services など)
- 自動スケーリングツール (Azure Automation と Logic Apps で作成する)

Citrix Cloud on Azure
Citrix Cloud の Citrix Studio からVDI の管理が出来ます。
こちらは従来の Citrix XenApp、XenDesktop をご利用であれば馴染みやすいと思います。

また、Web ベースの操作が可能になったWeb Studio がプレビューで利用できます。

GUI で主に次の操作が出来ます。
- VDI 台数の追加、削除
- ユーザーの割り当て
- ユーザーのログオフ、切断
- セッション数の上限変更
- メンテナンスモードの設定変更
- VDI の電源オン、オフ
- Citrix ポリシーの適用
- 自動スケーリングの設定
- マシンの更新（マスターイメージの更新とマシンの再展開）
次の操作は別途実施する必要があります。
- グループポリシーの適用、変更 (Active Directory や Azure AD Domain Services など)
- VDI のスケールアップ、ダウン (Azure Portal の Virtual Machines)

Amazon WorkSpaces
AWS コンソールから仮想デスクトップの管理が出来ます。

GUI で主に次の操作が出来ます。
- 仮想デスクトップ台数の追加、削除
- ユーザーの割り当て
- ユーザーのログオフ、切断
- 仮想デスクトップのスケールアップ、ダウン（ユーザーにスケールアップを許可することもできます。）
- 仮想デスクトップの電源オン、オフ
- 接続 IP の制限
- メンテナンスモードの設定変更
次の操作は別途実施する必要があります。
- グループポリシーの適用、変更 (Workspace ディレクトリ参加済みのEC2 など)
- スケジュールでの自動起動や停止 (AWS Lambda 等で作成）

③ユーザー認証

ユーザーが VDI に接続する際の認証方法を確認します。

WVD
ユーザーの WVD に接続する際の認証は、Azure AD となります。

Citrix Cloud on Azure
次の認証方法を選べます。
- Active Directory
  Windows Server Active Directory ( 以下AD ) で認証します。
- Active Directory + トークン
  AD ＋認証アプリでの二要素認証を利用できます。
  Citrix SSO、Google Authenticator、Microsoft Authenticator などのアプリを利用することができます。
- Azure Active Directory
  Azure ADで認証します。Azure MFA や Intune でセキュリティを強化することもできます。
- Okta
  Okta の資格情報で認証します。
- Citrix Gateway
  オンプレミスの Citrix Gateway を使用します。

Amazon WorkSpaces
次の認証方法を選べます。
- オンプレミスの AD
- AWS Directory Service
  Simple AD では AD と比べて制約があります。
  AWS コンソールから簡単に、IP アドレス制御で信頼できるネットワークからのみ接続するように制限することが可能です。
  AWS コンソールに証明書をアップロードして、デバイス制御をすることが可能です。

④ユーザーの管理方法

ユーザーの割り当て方法を確認します。

WVD
Azure Portal からユーザーまたはグループ単位で割り当てをします。
このユーザーは AD と同期している Azure AD のユーザーである必要があります。

Citrix Cloud on Azure
Citrix Studio や Web Studio からユーザーまたはグループ単位で割り当てをします。

Amazon WorkSpaces
WorkSpace の起動時にユーザーを指定します。

⑤マスターイメージの管理

マスターイメージとして、カスタマイズした OS イメージを用意することで、ユーザーごとに最適な環境をすばやく展開できます。

WVD
ホストプール (WVD 環境内にある 1つまたは複数の同一仮想マシンをまとめたもの) を作成する際に指定すると、そのマスターイメージから各セッションホストが作成されます。
Azure Marketplace で用意されているものを利用することもできますが、英語 OS などの制約があります。

マスターイメージには、Windows Update やセキュリティソフトのパッチなどのアップデートが自動的に適用されません。このため、マスターイメージを定期的に更新しないと、セッションホストを追加する際に、古いイメージから展開されてしまいます。(既に展開済みのセッションホストに対しては SCCM 等で管理することが可能です。）
マスターイメージを更新する場合は、セッションホストの作成時に指定したイメージから Azure VM を再作成して OS にログインし、アップデートを適用したうえで Sysprep の一般化を実施して、Azure のイメージを作成するといった手間のかかる手順が運用で必要になります。

Citrix Cloud on Azure
Citrix ではマシンカタログという単位で、同一仮想マシンを管理します。
マシンカタログの作成時に MCS という展開方法を利用すると、Sysprep を実施せず、Azure VM にCitrix の Virtual Delivery Agent をインストールしてシャットダウンした状態の仮想マシンのディスクを指定して、仮想デスクトップを展開することが出来ます。

マスターイメージを更新する場合は、仮想マシンの電源を入れ、OS にログインし、アップデートを適用した後シャットダウンした後、仮想デスクトップの方式によって次の手順が必要です。
- VDI 方式 (シングルセッション)
  PowerShell で Citrix Cloud 上のマスターイメージを変更します。
- SBC 方式 (マルチセッション)
  Citrix Studio のマシンカタログを右クリックして、マシンの更新を実行します。
WVD と比べると VM の作成が必要無いので楽だと思います。
【参考：カタログの更新】
https://docs.citrix.com/ja-jp/citrix-virtual-apps-desktops/install-configure/machine-catalogs-manage.html#%E3%82%AB%E3%82%BF%E3%83%AD%E3%82%B0%E3%81%AE%E6%9B%B4%E6%96%B0

Amazon WorkSpaces
Amazon WorkSpaces では、必要なアップデートは自動的にインストールされます。
ユーザー独自で更新スケジュールを設定したい場合は、WSUS や SCCM を使用します。

【参考：WorkSpace のメンテナンス】
https://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspace-maintenance.html

カスタムイメージを更新する場合は、新しくイメージを作成して、バンドルを更新後、Workspaces を再構築します。
【参考：カスタム WorkSpaces バンドルを更新する】https://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/update-custom-bundle.html

⑥ウィルス対策

WVD
ウィルス対策として既知のソフトウェアから保護するには、すべてのセッションホストでEndpoint Protection (Microsoft Antimalware) を有効にすることが推奨されています。
より高度なセキュリティ対策が必要な場合は、Windows Defender やサードパーティ製のソフトウェアをインストールすることが推奨されますが、Windows 10 マルチセッション OS を使用する場合は対象の製品が対応しているか確認する必要があります。

Citrix Cloud on Azure
WVD と同じように Endpoint Protection (Microsoft Antimalware) を有効にするか、Windows Defender ATP やサードパーティ製のソフトウェアをインストールすることが推奨されます。

Amazon WorkSpaces
Workspaces を作成する際に AWS が提供する Plus applications bundle を選択することで、Microsoft Office に加え、Trend Micro Worry-Free Business Security Services を利用できます。
カスタムイメージを作成して、サードパーティ製のソフトウェアのインストール済みバンドルを作成することもできます。Windows を利用する場合は、Windows Server 2016 に対応したものである必要があります。

⑦ポリシー

WVD
グループポリシーを利用できます。
ユーザープロファイルに FSLogix を使用する場合は、グループポリシーで設定します。
また、Azure Portal から、クライアントアプリを利用する際だけに適用できる、RDP プロパティを設定できます。（RDP ファイルの設定で、リダイレクトやディスプレイの設定等になります。）

Citrix Cloud on Azure
グループポリシーを利用できます。
ユーザープロファイルに FSLogix を使用する場合は、グループポリシーで設定します。

加えて、Citrix ポリシーを設定できます。Citrix ポリシーを使用すると、接続、セキュリティ、および帯域幅の設定を効率的に制御できます。
Citrix ポリシーは Citrix Studio または GPO テンプレートを使用してグループポリシーで設定できます。ポリシーは以下の順番で優先されます。
1. OU GPO
2. ドメインレベルのGPO
3. サイトレベルのGPO
4. CitrixのGPO
5. ローカルのGPO

Amazon WorkSpaces
Amazon Workspaces のグループポリシーテンプレートをダウンロードして、グループポリシーを利用できます。

⑧移動ユーザープロファイルの管理

WVD
WVD では、ユーザープロファイルとして FSLogix プロファイルコンテナーが推奨されています。 FSLogix はプロファイルソリューションで課題になっていたパフォーマンスなどの問題を解決します。利用方法はマスターイメージにインストールし、グループポリシーで設定します。
FSLogixでは次の機能が利用できます。（詳しい説明は割愛します。）
- Office Containers
- Profile Containers
- Cloud Cache
- Application Masking
- Java Version Control
プロファイルの格納先として、以下の候補があります。
- ファイルサーバー (仮想マシン)
- BLOB ストレージ
- Azure NetApp Files
- Azure Files
以下のライセンスを持っている場合、FSLogix が利用できます。
- Microsoft 365 E3/E5
- Microsoft 365 A3/A5/Student Use Benefits
- Microsoft 365 F3
- Microsoft 365 Business Premium**
- Windows 10 Enterprise E3/E5
- Windows 10 Education A3/A5
- ユーザーあたり Windows 10 VDA
- Remote Data Services (RDS) クライアントアクセスライセンス (CAL)
- Remote Data Services (RDS) サブスクライバーアクセスライセンス (SAL)
【参考：What is FSLogix?】
https://docs.microsoft.com/ja-jp/fslogix/overview

Citrix Cloud on Azure
リソースロケーションが Azure で、移動プロファイルを利用する場合、次の選択肢があります。
- FSLogix を利用する。
  上で説明した FSLogix を利用します。
- Citrix Profile Management 機能を利用します。
  マスターイメージに Virtual Delivery Agent をインストール際に自動的にインストールされます。Citrix ポリシーやグループポリシーから有効化すると移動ユーザープロファイルを構成できます。プロファイルの保存先に、Windows ファイルサーバーなどを用意する必要があります。

Amazon WorkSpaces
シングルセッションのみで固定プロファイルのため検討する必要はありません。
ただし、Workspaces の再構築を行う場合は注意が必要です。
WorkSpaces の再構築をした場合、D ドライブのユーザープロファイルの内容は 12時間ごとの自動バックアップで保存されたものに戻ってしまいます。

⑨電源管理

クラウドで仮想マシンを利用する場合は、起動している時間で課金が発生するため、仮想マシンの電源を管理することが重要です。

WVD
- 常時稼働させるパターン
  セッションホストを常に起動させる。
  
  【メリット】ユーザーはいつでも接続できる。課金の予測が簡単。
  【デメリット】課金費用が最もかかる。
- スケジュールを決めて稼働させるパターン
  平日9時-18時など、時間帯を決めてセッションホストを起動させる。
  Docs に記載されている方法で Azure Automation と Logic Appを使用して実現する。
  【メリット】管理者が指定した時間帯のみ使わせることが出来る。
  課金の予測が簡単。
  【デメリット】時間帯外では、設定した最低数のユーザーしか利用できない。
  プールごとに作成する必要があるため、大規模な環境では管理が煩雑になる。
  
  【参考：Azure Automation を使用してセッションホストをスケーリングする】
  https://docs.microsoft.com/ja-jp/azure/virtual-desktop/set-up-scaling-script
- 負荷状況に合わせてスケールアウトするパターン
  セッションホストの CPU コアあたりのセッション数に基づいてスケールアウトさせる。
  スケジュールと同じスケーリングツールを使用します。
  【メリット】ユーザーの利用頻度が予測できない場合、他のパターンより安価に利用できる。
  【デメリット】Logic App の実行毎にスケールアウトが実行されるため、同時に多数の接続が発生すると、セッションホストが起動するまでユーザーが使えない。
  課金の予測が難しい。
  プールごとに作成する必要があるため、大規模な環境では管理が煩雑になる。

Citrix Cloud on Azure
Citrix Studio や Web Studio から設定します。
- 常時稼働させるパターン
  WVD の説明と変わりません。
- スケジュールを決めて稼働させるパターン
  【メリット】30分単位で起動させておく時間帯と台数を設定することが出来る。
  課金の予測が簡単。
  【デメリット】時間帯外でも仮想マシンの起動を待てばユーザーが利用できる。
  プールごとに設定が必要。しかしWVD と違って作成する必要なく利用出来る。
- 負荷状況に合わせてスケールアウトするパターン
  仮想マシンの台数とセッション数に基づいてスケールアウトさせる。
  【メリット】ユーザーの利用頻度が予測できない場合、他のパターンより安価に利用できる。
  【デメリット】課金の予測が難しい。
  プールごとに設定が必要。しかしWVD と違って作成する必要なく利用出来る。
Amazon WorkSpaces
- AlwaysOn
  固定の月額料金で、WorkSpaces を無制限に利用できます。
- AutoStop
  【メリット】　ユーザーが利用する時間だけ課金が発生する。
  【デメリット】起動するまでユーザーが利用できない。
  AWS Lambda などでスケジュールツールを作成する必要がある。

⑩ログ

WVD
Azure Log Analytics を作成すると、次のログを取得することが出来ます。
ログの保存期間が最大 730 日まで指定でき、保存されている容量によって課金されます。
ログの表示にはクエリを作成して実行する必要があります。

左右にスクロールしてご覧ください。

ログ	説明
管理アクティビティ	WVD のオブジェクトを変更しようとした場合に、成功するかどうかを追跡する。
フィード	ユーザーが、正常にワークスペースに登録できるか。ユーザーには、接続アプリ上で、パブリッシュされているすべてのリソースが表示されるか。
接続	ユーザーがサービスへの接続を開始および完了する時点のログ。
ホスト登録	接続時にセッションホストが正常にサービスに登録されたか。
エラー	特定のアクティビティでユーザーに問題が発生しているか。
チェックポイント	アクティビティの有効期間内に到達した特定のステップ。たとえば、セッション中に、ユーザーが特定のホストに負荷分散された後、接続中にそのユーザーへのサインオンが行われた、など。

【参考：診断機能に Log Analytics を使用する】
https://docs.microsoft.com/ja-jp/azure/virtual-desktop/diagnostics-log-analytics

Citrix Cloud on Azure
既定でCitrix Cloud のCitrix Director でログが確認出来ます。
90日間は保存されていますが、それ以上は保存できないため必要なログはエクスポートする必要があります。
また、Citrix アラートとして使用率やエラー率などで、通知を作成することが出来ます。
次のログが表示できますが、カスタムレポートを作成することが出来ます。

左右にスクロールしてご覧ください。

ログ	説明
同時セッション数	誰がどの時間にセッションを開始して終了したか確認できます。
失敗	どんなエラーがどのマシン、ユーザーで発生したか確認できます。
ログオンパフォーマンス	ユーザーがログオンするまでにどのくらい時間がかかったか確認できます。
負荷評価基準インデックス	サーバーホストの負荷状況が確認できます。
容量管理	ホストされたアプリケーションの同時使用量を確認できます。
マシンの使用量	仮想マシンの使用状況をリアルタイムで確認できます。
リソース使用率	各仮想マシンのCPUとメモリ使用量、IOPSとディスク遅延を確認できます。
アプリケーション障害	公開アプリケーションに関連した障害が確認できます。
プローブの結果	エージェントをインストールしたアプリケーションやデスクトップの状態を確認できます。

Amazon WorkSpaces
Amazon Cloud Watch を使用して、モニタリング環境を作成することができます。
主に次のメトリクスを取得できます。

左右にスクロールしてご覧ください。

メトリクス	説明
Available	正常な状態を返した WorkSpace の数
Unhealthy	正常でない状態を返した WorkSpace の数
ConnectionAttempt	接続試行の数
ConnectionSuccess	成功した接続の数
ConnectionFailure	失敗した接続の数
SessionLaunchTime WorkSpaces	セッションを開始するためにかかる時間
InSessionLatency	WorkSpaces クライアントと WorkSpace 間のラウンドトリップタイム
SessionDisconnect	ユーザーが開始して失敗した接続を含む、閉じられた接続の数。
UserConnected	ユーザーが接続されている WorkSpace の数
Stopped	停止中の WorkSpaces の数
Maintenance	メンテナンス中の WorkSpaces の数

また、Cloud Watch Events で取得した次の情報をもとに SNS、Lambda、Firehoseなどと連携して不正アクセスの抑止を構成することも可能です。

クライアント IP アドレス
オペレーティングシステム
WorkSpaces ID
ディレクトリ ID

「クラウド VDI ソリューション - Windows Virtual Desktop 導入支援」についてはこちら

2. まとめ

ユーザー目線での使い勝手に大差はないものの、お客様のご要件やネットワーク環境、運用管理方法によって選ぶべきソリューションは変わってきます。
また、そのソリューションをただ導入するのではなくカスタマイズして導入することで、より便利に、より費用対効果の高いものにできます。

最後にどのソリューションを選ぶと良いか簡単に考えてみました。

WVD
マルチセッションでユーザーを集約して VDI の価格を抑えたい。
既に対象の Microsoft 365 のライセンスを持っている。
VDI のプールが数多くならず、手間のかかるマスターの更新など、運用できる。（目安は５つほど）
利用するユーザーの Active Directory と Azure AD を同期している。（ない場合は新規作成も可能）

Citrix Cloud on Azure
マルチセッションでユーザーを集約して VDI の価格を抑えたい。
既に対象の Microsoft 365 のライセンスを持っている。
数百人以上の規模で、VDI のプールが複数必要なのでマスターの管理を容易にしたい場合。
VDI の電源管理を細かく設定して賢く使いたい。
VDI を利用するネットワーク帯域を少なくしたい。

Amazon WorkSpaces
テレワーク環境の整備が急務で一刻も早くユーザーに仮想デスクトップ環境を提供したい。
Windows 10 でなくても構わない。
Microsoft 365 は使わない。（または、Office バンドルで良い）
追加コスト無しで、アクセス制御を行いたい。
既に AWS を利用していて、各サービスを連携させて作り込みたい。

結論として、VDI を本番導入する際は、今後の拡張性や運用性を含めて考えて、Citrix Cloud などのソリューションと合わせて導入することをお勧めします。
ただし、使用感だけ知りたい場合や小規模環境で利用する場合は WVD 、既に AWS で社内システムを運用していて環境を統合したい場合は Amazon WorkSpaces が選択肢としてあると思います。

弊社では、お客様の要件にあわせて、VDI ソリューションの提案から導入、運用まで行っておりますので、興味をお持ちの方はぜひご連絡いただければと思います。

「クラウド VDI ソリューション - Windows Virtual Desktop 導入支援」についてはこちら