クラウドエンジニアブログ

Configuration Manager での Azure Virtual Desktop の管理

田村 精也

こんにちは。ヘルプデスクの田村です。

EMS や Configuration Manager といった Microsoft 製品の利活用方法のご案内や、導入後の運用代行、トラブル時の問題解決をご支援するテクニカルサポートを担当しています。

今回は、Configuration Manager での Azure Virtual Desktop の管理、というテーマでお送りしたいと思います。

Microsoft の仮想デスクトップサービスである Azure Virtual Desktop は、同じくMicrosoft の管理ツールである Configuration Manager がサポートする、唯一の仮想デスクトップサービスです。

従来のオンプレミス デバイス環境と同様に、 Configuration Manager を運用管理に活用できるのか、検証環境を用いて動作を確認してみました。



「Enterprise Mobility + Security 導入支援サービス」はこちら

「Office 365 ヘルプデスク」はこちら

「Azure Virtual Desktop 導入支援」はこちら


Azure Virtual Desktop とは?

ひとことで言うと、「クラウド上の仮想デスクトップサービス」です。

Azure Virtual Desktop (※ 旧称 : Windows Virtual Desktop) は、Microsoft 社が提供するマネージド VDI サービスで、Azure の仮想マシン上で「Windows 10」や、「Office 365」のアプリ、その他のサードパーティー製アプリを実行し、リモートから利用することができるサービスです。"AVD" と略します。

新型コロナの感染拡大の影響もあり、テレワークへの対応やセキュリティ対策など、社給デバイスの導入・管理は、多くの企業で課題になっていると思います。
AVD は、既存の VDI サービスや DaaS サービスと違い、以下のような利点があり、導入までの手軽さや管理負担の軽減などの点から、これらの課題解決に一役買ってくれるサービスではないでしょうか。

  • Windows 10 マルチセッションが利用できるため、少数の仮想マシンでも効率的に運用できる
  • ネイティブの Windows 10 環境のため、既存のオンプレ環境から移行する際など、アプリの互換性などの考慮が少なくて済む
  • Azure AD の条件付きアクセスによるアクセス制御が可能
  • 導入から運用まで、ほとんどの工程を Azure 上で完結できる

【参考:Azure Virtual Desktop とは


「Enterprise Mobility + Security 導入支援サービス」はこちら

「Office 365 ヘルプデスク」はこちら

「Azure Virtual Desktop 導入支援」はこちら


Configuration Manager とは?

ご存じの方も多いかもしれませんが、改めて説明しておきます。

正式名称は「Microsoft Endpoint Configuration Manager」です。MECM と略したりします。元々は「System Center Configuration Manager」という製品名で、SCCM と呼ばれており、こちらの方がなじみのある方も多いかと思います。

平たく言えばデバイスの運用・管理ツールです。
以下のような運用作業を一つのツールで一元管理できる Microsoft の製品です。

  • アプリケーションの配信、管理
  • 更新プログラムの配信、管理
  • OS の展開、管理
  • インベントリ収集によるデバイス情報の管理

他にもできることはたくさんありますが、ここでは割愛します。

【参考:Configuration Manager とは


「Enterprise Mobility + Security 導入支援サービス」はこちら

「Office 365 ヘルプデスク」はこちら

「Azure Virtual Desktop 導入支援」はこちら


環境を作成してみよう

では早速 AVD 環境を作成していきたいと思います。
なお、AVD を利用するにあたっては AD DS 環境を用意する必要があり、現状以下のいずれかの選択肢があります。

  • オンプレ環境の Active Directory Domain Service を利用
  • Azure サービスの Azure Active Directory Domain Service を利用

今回は、オンプレ環境に AD DS が構成されている前提で進めることとし、オンプレ AD のアカウント情報は Azure AD Connect で Azure AD と同期しているものとします。

■ 今回利用した環境

  • AD DS サーバー
  • Configuration Manager サーバー
  • Azure AD Connect サーバー

(わかりやすくするため、今回はすべて Azure 上の VM で構成しています。)

また、環境を作成するサブスクリプションで以下のリソースプロバイダを事前に登録しておく必要があります。

  • ※ これをやっておかないと、後述する AVD のホストプールを作成することができません。

Microsoft.DesktopVirtualization

【参考:ホスト プールを作成する

  • ※ 「最終的な要件」に記載の内容をご確認ください。

AVD 環境の作成は以下の流れで実施します。
① AVD ホストプールの作成
② ユーザーグループの作成、およびユーザーの追加
③ アプリケーショングループへ接続を許可するユーザー (グループ) の割り当て

① AVD ホストプールの作成
Azure Poral に管理者アカウントでサインインし、Azure Virtual Desktop サービスにアクセスします。

[ホスト プールの作成] をクリックします。

「ホスト プールを作成する」画面で以下の項目をそれぞれ指定します。

・[基本] タブ

サブスクリプション : 作成先のサブスクリプションを選択します。
リソースグループ : リソースグループを選択します。
ホスト プール名 : 任意の名称を入力します。
場所 : メタデータの格納先リージョンです。 (2021 年 9 月時点では日本は選べません。)
ホスト プールの種類 : 「個人用」または「プール」 を選択します。

  • ※ 「個人用」はシングルセッション、「プール」はマルチセッションです。

今回は「プール」を選択しました。
プールを選択した場合は、[負荷分散アルゴリズム]、[セッション数の上限] を選択します。

・[仮想マシン] タブ
セッションホストとなる VM の設定です。

名前のプレフィックス : VM 名のプレフィックスを指定します。
仮想マシンの場所 : VM が作成されるリージョンを指定します。

イメージ : 予め用意されている OS イメージ、もしくは自分で作成したカスタムイメージを使用して、作成する VM のタイプを選択することが可能です。
今回は予め用意されている Windows 10 Enterprise multi-session Version 20H2 + Microsoft 365 を選択しました。

その他、作成する [VM 数] や [ディスクの種類] を指定し、必要に応じて [仮想マシンのサイズ] を変更します。

「ネットワークとセキュリティ」
仮想ネットワーク : VM を作成するネットワークを選択します。
先ほどの [仮想マシンの場所] と同一リージョン内のネットワークを指定します。

必要に応じて AVD 用のサブネットを指定します。

「参加するドメイン」
オンプレ AD のドメイン参加に使用する資格情報を入力します。

「仮想マシンの管理者アカウント」
VM のローカル管理者です。任意のアカウントを指定します。

・[ワークスペース] タブ
「宛先のワークスペース」に任意の名称を入力し、新規にワークスペースを作成します。

・[確認と作成] タブ
検証に成功したことを確認し、[作成] をクリックします。

これで、仮想デスクトップホストとなる VM が作成されました。

ホストプールを作成すると、以下のようにアプリケーショングループが作成されます。

このアプリケーショングループに、AVD を利用させたいユーザーを割り当てることで、接続を許可します。

② ユーザーグループの作成、およびユーザーの追加
Azure Portal から Azure Active Directory サービスに移動し、「グループ名」を選択して、AVD 接続を許可するユーザーグループを作成します。

作成したグループに AVD の接続を許可するユーザーを追加します。

  • ※ オンプレ AD から同期されているユーザーを追加します。

④ アプリケーショングループへ、接続を許可するユーザー (グループ) の割り当て
Azure Portal から Azure Virtual Desktop サービスに戻り、「アプリケーショングループ」に移動し、先ほど作成されたアプリケーショングループを選択します。

[割り当て] を選択し、[+追加] をクリックします。

先ほど作成したグループを検索し、[選択] をクリックします。

これで、このグループに所属しているユーザーは AVD 環境にアクセスできるようになりました。

実際にログインを試してみます。

以下の URL より Web ブラウザ経由でアクセスします。
https://rdweb.wvd.microsoft.com/arm/webclient/index.html

認証画面が表示されたら、先ほど割り当てたオンプレ AD DS ユーザーの資格情報を入力します。

アクセス可能なセッションが表示されるので、クリックします。

「ローカル リソースへのアクセス」 で [許可] を選択します。

オンプレ AD DS のユーザーの資格情報を入力し、[送信] をクリックします。

無事ログインできました。


「Enterprise Mobility + Security 導入支援サービス」はこちら

「Office 365 ヘルプデスク」はこちら

「Azure Virtual Desktop 導入支援」はこちら


Configuration Manager での管理を試してみよう

無事 AVD 環境が作成できたところで、オンプレのデバイスと同様に Configuration Manager での管理ができるのか確認してみます。

  • ※ AVD は、Configuration Manager が公式にサポートする唯一の仮想デスクトップサービスです。

今回は以下の項目を試してみました。
① AD 探索によるデバイスの検出
② Configuration Manager エージェントのインストール
③ Windows 更新プログラムの配信

なお、以降の手順において、Configuration Manager の詳細な操作手順については割愛させていただきます。

詳しくは、以下の Microsoft Docs をご参照ください。

【参考:Microsoft Endpoint Configuration Manager ドキュメント

① AD 探索によるデバイスの検出
Configuration Manager 側で Active Directory システム探索を有効化し、デバイスが検出されるかを確認します。

Configuration Manager コンソールを起動し、[管理]-[階層の構成]-[探索方法] の「Active Directory システムの探索」より探索を有効化します。

  • ※ 有効化後、[今すぐ完全な探索を実行する] を選択します。

探索完了後、コンソールの [資産とコンプライアンス]-[デバイス] より、AVD 環境のデバイスが問題なく検出されたことが確認できます。
(この時点ではエージェントがインストールされていないため、管理対象のデバイスとしては登録されておらず、「クライアント」の項目は「いいえ」となっています。)

② Configuration Manager エージェントのインストール
Configuration Manager の管理デバイスとして登録するため、クライアントエージェントをインストールします。
今回は、Configuration Manager のプッシュインストール機能を使って、インストールを行ってみました。

まずは、プッシュインストールを行うためのアカウント設定を実施します。
Configuration Manager コンソールを起動し、[管理]-[サイトの構成]-[サイト] を選択します。

サイトサーバーを選択した状態で、上部メニューの [クライアント インストール設定] より [クライアント プッシュ インストール] を選択します。

プロパティ画面が開いたら、[アカウント] タブを選択し、新規作成ボタン [*] をクリックします。

[新しいアカウント] を選択します。

クライアントへのインストール権限のあるアカウント情報を入力します。

  • ※ ドメインの管理者アカウント等、インストール対象のコンピューターに対するローカル管理者権限を持っているアカウントを指定します。

[OK] を2度クリックして設定画面を閉じます。

次に、実際にプッシュインストールを実行します。

Configuration Manager コンソールの [資産とコンプライアンス]-[デバイス] を選択します。

プッシュインストールを行いたい端末を右クリックし、[クライアントのインストール] を選択します。

ウィザードが表示されたら、「インストール オプション」で [指定したサイトからクライアント ソフトウェアをインストールする] にチェックを入れ、サイトサーバーを選択します。

その他の設定はデフォルトのまま、[次へ] をクリックし、[完了] 画面で [閉じる] をクリックします。

これで設定は完了です。

プッシュインストール構成後、しばらくしてから AVD 環境にログインし、コントロールパネルを開きます。
「Configuration Manager」が表示されており、インストールが完了していることが分かります。

Configuration Manager コンソール上からも、「クライアント:はい」 となっていることが確認できました。

③ Windows 更新プログラムの配信
Configuration Manager でよく活用する機能である、更新プログラムの配信を試してみました。

ここで注意が必要なのが、マルチセッションでの利用が可能な AVD は、通常のオンプレ Windows クライアントと異なり、扱いとしてはサーバー OS と同様になる点です。

そのため、事前に Configuration Manager 側のソフトウェア更新ポイントの設定で、サーバー向けの更新プログラムを同期するように設定しておく必要があります。

Configuration Manager コンソールを起動し、[管理]-[サイト] を選択し、利用しているサイトサーバーを選択した状態で、[サイトコンポーネントの構成]-[ソフトウェアの更新ポイント] を選択します。

[製品] タブを選択し、[Windows Server version 1903 and later] にチェックを入れ、[OK] をクリックします。

  • ※ 設定後にソフトウェア更新ポイントの同期を実施するのを忘れないようにご注意ください。

問題なく同期されれば、コンソール上の更新プログラムの一覧に表示されます。
今回、 AVD を Windows 10 20H2 x64 ベースで作成しているため、適用対象となる更新プログラムは、「yyyy-mm x64 ベース システム用 Windows Server, version 20H2 の累積更新プログラム」となります。

こちらの更新プログラムを配信すると、AVD 環境でも MECM からの配信で問題なく更新プログラムが適用されました。

なお、今回の検証では Configuration Manager からの累積更新プログラムの適用は可能でしたが、Windows 10 用の機能更新プログラムについては「必要なし」と判定されてしまい適用することができませんでした。
サーバー OS 向けの機能更新プログラムは確認できなかったので、別途確認してみたいと思います。

  • ※ なお Windows 10 機能更新プログラム (イネーブルメントパッケージ経由) を適用するためには、2021年5月度以降の累積更新プログラム、および最新のサービススタック更新プログラムが適用されていることが前提条件となるため注意が必要です。

また、今回はデバイスに対する配信のみ検証しましたが、 マルチセッション用に構成 AVD 環境で、ログインユーザーを対象にしたアプリケーションやプログラムの配信を行いたい場合は、Configuration Manager の「クライアント設定」で以下のマルチセッション用の設定を有効化しておかないと、ユーザーを対象とした配信は動作しません。

・クライアント ポリシー
「複数のユーザーセッションに対してユーザーポリシーを有効にします」:はい

マルチセッション環境下で複数ユーザーがログインしている場合、一つのクライアントに複数の配信が動作することによってパフォーマンスへの影響が発生する恐れがあるため、デフォルトでは無効になっているようです。

  • ※ マルチセッション環境特有の個別設定となるため、注意が必要です。

「Enterprise Mobility + Security 導入支援サービス」はこちら

「Office 365 ヘルプデスク」はこちら

「Azure Virtual Desktop 導入支援」はこちら


まとめ

いかがだったでしょうか。
AVD は、前提条件さえ満たせば導入は非常に簡単で、VM 作成時にカスタムイメージの利用も可能なため、より柔軟な仮想デスクトップ環境の構築が可能であることがお分かりいただけたかと思います。

また Configuration Manager については公式に Azure Virtual Desktop をサポートしているということもあり、一部注意点はありますが、ほぼオンプレのクライアント管理と変わらない動作が確認できました。

AVD 導入後のクライアント管理の一つの方法として、ご検討の材料になれば幸いです。

今回は動作確認がメインとなりましたが、その他実際の運用で必要になってくる対応や条件付きアクセスによるアクセス制御など、次回以降も AVD に関する内容をご紹介していければと思います。

最後までお読みいただき、ありがとうございました!

関連ページ

「Enterprise Mobility + Security 導入支援サービス」はこちら
「Office 365 ヘルプデスク」はこちら
「Azure Virtual Desktop 導入支援」はこちら

【総合】お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録