DaaS(VDI) での Windows 10 ライセンス認証構成について

  • 投稿日:2019.12.02
  •        
  • 更新日:2020.05.08
  •           
  • Azure
DaaS(VDI) での Windows 10 ライセンス認証構成について

全体概要

VDI 環境を Azure 上で構築するような、いわゆる DaaS 環境を利用する際の注意事項エントリです。Azure 上で Windows 10 を利用する際に認識すべきライセンス認証の仕組みと、VDI 構成によって異なるサポート状況について説明します。このエントリでは次の流れで説明をしていきます。

  1. Azure 上で Windows 10 の利用方法
  2. Azure AD と Active Directory の認証連携構成
  3. Azure AD ベースの認証を行うためのデバイス構成要件
  4. VDI の割り当て方式
  5. VDI 環境でのライセンス認証要件
  6. まとめ

Windows 10 on Azure の利用方法

Azure 上で Windows 10 を利用する場合のライセンス認証方法について説明します。

Windows 10 on Azure の利用可否について

そもそもの話ですが、Windows 10 をクラウド上で使っていいのかという観点。こちらはすでに2017年からライセンス規約が改定され、Azure および認定を受けたマルチテナントホスティングパートナーが提供するサービス上で Windows 10 Enterprise を利用することが認められております。

(参考)Windows 10 on Azure の正式解禁!
https://blogs.technet.microsoft.com/mskk-cloudos/2017/08/07/windows-10-on-azure-の正式解禁!/

これに伴って Azure 上で Windows 10 を利用する場合、ライセンス認証の仕組みが従来と異なってきます。従来であれば仮想マシン上でライセンスキーを入力したり、オンプレに構築した KMS へライセンス認証をしに行くのが一般的でした。

Windows 10 on Azure のライセンス認証方法について

クラウドで Windows 10 を利用する場合、Azure AD ベースでの認証を行う必要があります。Azure AD とはクラウド型で提供されるマルチテナントの認証基盤サービスです。これは特定のドメイン(contoso.com等)に紐づく形で作成されるもので、通常1組織につき1つ作成されます。Azure AD ではユーザーアカウントやアプリケーションの管理、ライセンス割り当ての管理などが行えます。Azure AD テナントには Office 365 や Azure といった各サービスのサブスクリプションが紐づきます。この基本的な認証機能については、Azure AD から無償で提供されています。

クラウド向けに提供される Windows 10 のライセンスについて説明します。Windows 10 Enterprise (E3/E5等) や Education(A3/A5) のライセンスはユーザー単位での販売がなされています。このライセンスは明示的にユーザーアカウントに付与する必要があるため、1人の利用者が複数のユーザーアカウントを持つ場合は必要数分を購入する必要があります。

ユーザーアカウントへのライセンス付与は Azure AD で行うことになります。ライセンスをユーザーに割り当てておくことで、透過的にライセンス認証が行われます。よって、Azure AD でのライセンス認証をするための準備として次の作業が必要になります。(通常ユーザーが増えた場合は 3-4 の手順を繰り返すのみです)

  1. Azure AD の作成
  2. Windows 10 Enterprise ライセンスの購入
  3. Azure AD 上にユーザーアカウントを作成
  4. Azure AD 上でユーザーアカウントにライセンスを割り当て

(参考)Windows 10 on クラウドのライセンス認証について
https://blogs.technet.microsoft.com/mskk-cloudos/2017/10/30/windows-10-on-クラウドのライセンス認証について/

Azure AD と Active Directory の認証連携構成

Azure AD ではクラウド上でユーザーを新規作成するほか、Active Directory で管理しているユーザー情報を利用するよう構成できます。この認証連携を実現するには3つの構成方法が提供されています。

  1. パスワードハッシュ同期(PHS)
  2. パススルー認証(PTA)
  3. フェデレーション構成

パスワードハッシュ同期

パスワードハッシュ同期は Active Directory 上のアカウント情報とハッシュ化されたパスワード情報を Azure AD に同期します。そのため、同期元の Actice Directory と Azure AD で同じパスワード情報を利用することができます。同期元の Actice Directory がダウンした場合もハッシュ化されたパスワードを利用して Azure AD 単独で利用できます。

パススルー認証

パススルー認証は Active Directory 上のアカウント情報を Azure AD に同期します。Azure AD に認証要求があったときには、Azure AD から同期元 Active Directory へ認証が委任されます。この構成ではどういった形であれパスワード情報が同期元 Active Directory から出ませんが、障害時は Azure AD 単独で認証を行うことができなくなります。

フェデレーション構成

フェデレーション構成は Active Directory Federation Service (ADFS) や 3rd パーティ製の認証ソリューションを利用します。Azure AD へ認証要求があった場合、フェデレーション先の認証サービスに委任します。

これらの認証連携構成を利用することで、既存のユーザーアカウントやドメイン参加したデバイスオブジェクトを Azure AD で認証することができます。

Azure AD ベースの認証を行うためのデバイス構成要件

Windows 10 のライセンス認証の話に戻ります。Azure AD ベースの認証を行うため、Azure AD が Windows 10 デバイスを認識するための準備が必要です。これを実現するために Azure AD にデバイスを登録する必要があります。現在 Azure AD でデバイス登録を行う方法が3種類提供されています。

  1. Azure AD 登録
  2. Azure AD 参加
  3. ハイブリッド Azure AD 参加

Azure AD 登録

Azure AD 登録は一番デバイスに対する影響が少ない登録方法です。対象 OS もWindows 10、Mac OS、iOS、Android と幅広く対応してます。こちらは主に BYOD を利用することを想定しています。

Azure AD 参加

Azure AD 参加は Active Directory を持たない組織やクラウドへの完全移行を目指す組織に向く方法です。対象 OS は Windows 10 に限定されています。Windows 10 デバイスは Azure AD に直接接続し認証を行えます。これによって Azure AD ユーザーで Windows サインインすることが可能になります。

ハイブリッド Azure AD 参加

ハイブリッド Azure AD 参加は Active Directory を利用している組織が、Azure AD 参加と同等のメリットを享受するために利用する方法です。この方法では Active Directory にドメイン参加済みのコンピューターオブジェクトを Azure AD へ同期します。この方法では Windows 7 や Windows 8.1 といったダウンレベルのデバイスもサポートします。

(参考)Azure ADへのデバイス登録とその効用
http://azuread.net/2019/05/22/azure-ad-registration/

VDI の割り当て方式

VDI (Virtual Desktop Infrastructure) では割り当て方式でいくつかの種類があります。ここではまず、二つの観点から種類を説明します。

環境の継続性

永続型(Persistent)

永続型の VDI 環境ではユーザーが利用したデスクトップ環境をサインアウト後も継続して保持します。そのため、ユーザーが同じ環境にサインした際には前回から継続した環境を利用することができます。

非永続型(Non-persistent)

非永続型の VDI 環境ではユーザーが利用したデスクトップ環境をサインアウトしたとき、そのセッションで変更した差分をリセットします。これによって、ユーザーはサインインしたとき常に同じ環境からデスクトップ環境を利用し始めることができます。

ユーザーの振り分け

固定型(静的)

ユーザーと特定の仮想マシンを 1:1 で紐付け、常に同じ仮想マシンに振り分ける方式です。この方法では VDI を利用するユーザーの数だけ仮想マシンを用意する必要があります。ユーザーは常に同じ環境を利用できるため、使いやすい環境を提供できます。用意した仮想マシンの数よりユーザーの数が上回った場合、セッションが空いている仮想マシンがない限りデスクトップ環境を利用できないユーザーが出ることになります。

浮動型(動的)

ユーザーを特定の仮想マシンと紐付けず、セッションが空いている仮想マシンに振り分ける方式です。ユーザーが常に同じ仮想マシンにサインインすると限らないため、特定の環境に依存しないように設計する必要があります。セッションが空いている仮想マシンがあればサインインを求めたユーザーがデスクトップ環境を利用することができます。

これらの方式をマトリックスでまとめると、実現の可能性として十分考えられる(○)、利用方式によって考えうる(△)、まず実装することはない(×)を次の表に表現します。基本的には固定型=永続型、浮動型=非永続型というケースが多いと思います。

永続型非永続型
固定型(静的)
浮動型(動的)×

VDI 環境でのライセンス認証要件

次の Docs によると、VDI 環境でのライセンス認証構成についてのサポート状況がまとめられています。

(参考リンク)方法:Hybrid Azure Active Directory 参加の実装を計画する
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-plan
(参考リンク)デバイス ID とデスクトップ仮想化
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/howto-device-identity-virtual-desktop-infrastructure

VDI 環境ではそもそも Azure AD 登録と Azure AD 参加はサポートされていないため、ハイブリッド Azure AD 参加構成を取らなければいけないと明示されています。そのため、Actice Directory を含んだ環境が必須となります。

また、VDI の割り当て方式とハイブリッド Azure AD 参加をさせる Azure AD の認証構成によって、サポートの可否が変わってきます。具体的には次の表にまとめる通りですが、永続型の場合はどの認証構成でもサポートされる、非永続型の場合はフェデレーション構成のみサポートされる、という内容です。

PHS/PTAフェデレーション
永続型サポートサポート
非永続型非サポートサポート

Azure AD の同期構成を実装する場合、ここ数年はフェデレーション構成の管理負荷を嫌って PHS/PTA 構成を取るケースが多いと思われます。PHS/PTA 構成の場合、非永続型(≒浮動型 VDI)で Windows 10 を利用することはサポートされないということになります。

浮動型 VDI の場合、セッション管理さえすれば用意すべき仮想マシンをユーザー数よりも少なくできるため、コスト削減を目的に検討されるケースが多くあると思います。しかし、現状のサポート内容ではライセンス認証の観点から対象外となっているため実現することができません。

まとめ

以上の内容を簡単にまとめると次の通りです。

  • Azure で Windows 10 を利用するには Azure AD ベースのライセンス認証が必要
  • VDI でライセンス認証するためにはハイブリッド Azure AD 参加が必要
  • 固定型 VDI の場合は PHS/PTA/フェデレーション構成を全てサポート
  • 浮動型 VDI の場合はフェデレーション構成のみをサポート

VDI 環境でのライセンス認証は少し複雑ですが、前述の通り必要な要件とサポートの可否にはよく注意しましょう。コスト削減のために(他社 VDI 製品の機能として提供される)クライアント OS での浮動型 VDI を利用する際は特に注意が必要です。

サーバー OS の場合は Azure AD ベースではなく Azure から提供される KMS ベースでの認証のため、これらを意識する必要がありませんでした。意図しないライセンス違反を防ぐため、難解なライセンス規約や各種 Docs に目を通すようにしましょう。