ついに GA !! WVD を作ってみる! WVD テナント編

ついに GA !! WVD を作ってみる! WVD テナント編

Windows Virtual Desktop がついに正式提供開始!

WVD が10月1日に正式リリースされました。今年3月末のパブリックプレビューから半年強。。。 リリースノートはこちら。今回は改めて正式リリースされた WVD の構築方法を振り返ってみたいと思います。まずは WVD に必要な環境準備と WVD コントロールプレーンを利用可能にするところまで実施します。

新型 WVD(Spring Update 対応版)

Spring Update で Azure ポータルからの操作に対応したバージョンはこちらから!

WVD の環境準備

WVD の環境全体構成

今回は以前紹介した構成パターンのうちパターン②で実現します。オンプレ接続はもちろん S2S VPN です。

次の流れで作業を進めていきます。

  1. Azure AD の作成
  2. Azure AD と Active Directory 同期
  3. WVD テナント の作成
  4. WVD 用サービスプリンシパルの作成

Azure AD の作成

まず、Azure AD を準備します。Azure AD を用意するためには、3種類の方法があります。

  • Office 365 を利用開始する
  • Azure サブスクリプションを新規に利用し始める
  • Azure ポータルから Azure AD を新規に作成する

Office 365 ライセンスや Azure サブスクリプションは Azure AD に関連づけられて管理されるため、これらのサービスを利用開始する時には自動的に作成されます。

また、Azure ポータルを触ったことがあればわかると思いますが、Azure AD は無料で作成することができます。なお、WVD を利用する Azure AD テナントと Azure サブスクリプションが紐づいている Azure AD テナントは同一である必要はありません。あくまでも Azure サブスクリプションは WVD のセッションホストを展開する環境のために必要です。

組織アカウントの追加

Azure サブスクリプションを利用開始した時に作成される Azure AD を利用する場合は、初期のユーザーが Microsoft アカウントのみの場合があります。この後の操作に必要ですので、必ず Azure AD ユーザー(組織ユーザー)としてグローバル管理者ロールを持つアカウントを作成しておいてください。

Azure AD と Active Directory 同期

  • ADDC (Active Directory Domain Controller) の構築
  • AADC (Azure Active Directory Connect) の構築
  • VPN 接続の準備

ADDC の構築

こちらは普通に仮想マシンを作成し、ADDC を構築します。ADDS はシングル構成でもかまいません。インターネットからルーティング可能なドメインも必須ではありませんが、今回は所持しているドメインで試してみます。ADDS の役割をインストールし、適宜ユーザー情報を登録しておきます。必要であれば、WVD のセッションホスト VM を所属させる OU の作成なども行っておきます。

AADC の構築

ADDS をインストールしたら AADC の構築です。別の仮想マシンを建て、AADC のインストーラーを実行するのみです。ダウンロードとAzure AD へのユーザー情報の同期のために、AADC はインターネット接続が可能な環境である必要があります。ダウンロードは以下のページから。

https://www.microsoft.com/en-us/download/details.aspx?id=47594

インストーラーに従ってインストールしたら、同期の設定も行います。ユーザー情報の同期には少し時間がかかるのでしばらく待ちます。

また、この時 WVD でサポートされる Hybrid Azure AD Join の設定もしておきます。[デバイスオプションの構成]から Windows 10 を同期するように構成します。

VPN 接続の準備

オンプレにある AD を利用するので、Azure の仮想ネットワークからオンプレへ接続できるよう構成します。こちらの記事などを参考に準備してください。オンプレ側の設定はベンダーによって異なるので、よくお調べの上設定しましょう。

WVD テナント の作成

WVD へのアクセス許可付与

WVD に対して Azure AD テナントへのアクセス許可を付与します。この操作には Azure AD のグローバル管理者権限が必要です。

まず、こちらのURLへアクセスし、Azure AD のグローバル管理者ロールを持つアカウントの資格情報を入力します。Azure AD の情報にアクセスする同意ページで[承認]をクリックします。

前の操作を行った後、1分間程度待ちます。その後、同様にこちらのURLへアクセスし、先ほどと同じように同意ページで[承認]をクリックします。

TenantCreator アプリケーション ロールを割り当て

Azure AD ユーザーに対して、WVD テナントを操作するための権限を割り当てます。

Azure ポータルから、[Azure Active Directory]>[エンタープライズアプリケーション]を選択します。一覧から[Windows Virtual Desktop]を選択し、[ユーザーとグループ]より権限を割り当てたいユーザーを追加します。[TenantCreator]のロールが割り当てられていれば大丈夫です。

WVD テナントの作成

WVD テナントを作成するには PowerShell での操作が必要です。WVD 用のコマンドレットをインポートするため、こちらを参考にしてモジュールを手に入れます。以下に必要なコマンドを抜粋します。

Install-Module -Name Microsoft.RDInfra.RDPowerShell
Import-Module -Name Microsoft.RDInfra.RDPowerShell

次のコマンドを入力し、先ほど TenantCreator ロールを割り当てた Azure AD ユーザーの資格情報を入力します。

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"

サインインが完了したら、次のコマンドで WVD テナントの作成を行います。TenantName は 任意の名前を設定可能です。DirectoryID には、関連づける Azure AD のテナント ID を指定します。SubscriptionID には Azure サブスクリプションのID を指定します。サブスクリプションは WVD の仮想マシンを展開する先のサブスクリプション ID を指定してください。

New-RdsTenant -Name <TenantName> -AadTenantId <DirectoryID> -AzureSubscriptionId <SubscriptionID>

WVD 用サービスプリンシパルの作成

この手順は任意の操作ですが、Azure でこちらのページを参考にサービスプリンシパルを作成します。WVD のセッションホストを展開する時に、TenantCreator ロールが割当たったユーザーか、サービスプリンシパルの資格情報が必要となります。一般的に、管理するユーザーの情報が変わった時などに困らないよう、アプリケーション用に作成したサービスプリンシパルをしようすることが推奨されています。

今回はここまで。