Windows Virtual Desktop Spring Update 2020 の注意点

by .

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

ARM ベースの Windows Virtual Desktop(以下、WVD) である Spring Update 2020 (以下、WVD v2)において、設計時に従来の WVD (WVD v1)にはなかった注意点があります。

WVD v1 は以下の工程で任意の Azure AD と Azure サブスクリプションを紐付けることが可能でした。

Windows Virtual Desktop テナントを作成する
https://docs.microsoft.com/ja-jp/azure/virtual-desktop/virtual-desktop-fall-2019/tenant-setup-azure-active-directory#create-a-windows-virtual-desktop-tenant

# 実行するコマンド
New-RdsTenant -Name <TenantName> -AadTenantId <DirectoryID> -AzureSubscriptionId <SubscriptionID>

WVD v2 では Azure と同じ Azure AD を利用する必要がある

実際に問題に直面するのはアプリケーショングループにユーザーやグループをアサインするタイミングがあります。

選択可能なユーザーは Azure サブスクリプションのある Azure AD のユーザーとなります。ゲストアカウントも選択できてしまいますが、ゲストアカウントは実際に利用することは難しいです。
WVD では AD DS または Azure AD DS を Azure AD に同期したユーザーを利用することが前提となっており、ゲストアカウントはこの要件を満たさない(ドメイン参加ユーザーではない)ため、ログインすることができません。

既存の Office 365 ユーザーやライセンスを利用する場合

Office 365 と同一の Azure AD テナント上の Azure を利用する必要があります。

Azure と Office 365 の Azure テナントが異なる場合の対策

いくつか方法があります。

一つは Office 365 と同じ Azure AD テナントに Azure サブスクリプションを新規に用意する方法です。こちらの場合は特に既存のリソースにまったく影響がないため、一番安心です。しかしながら 2 つのテナントを管理する手間からは逃れられません。

もうひとつの方法は Azure サブスクリプションのディレクトリの変更です。

公式ドキュメントによる説明はこちらです。

Azure サブスクリプションを Azure Active Directory テナントに関連付けるまたは追加する
https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/active-directory-how-subscriptions-associated-directory

ディレクトリの変更は、Azure ポータルの Azure サブスクリプションの概要ページから行うことができます。

簡単にポイントを説明すると、移行前と移行後の両方のディレクトリの管理者になっているアカウントを用意します。
上記「ディレクトリを変更する」ボタンをクリックして、移行先のディレクトリを選択し、変更ボタンを押すだけで完了です。

ディレクトリの変更の注意事項

このディレクトリの変更はむやみに行うとかなり危険です。事前準備なしに絶対に行わないでください。
公式ドキュメントにも影響範囲の一部が書かれています。
https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/active-directory-how-subscriptions-associated-directory#before-you-begin

要は、既存の Azure AD に関係する要素は一切使えなくなるため、利用しているサービスによってはそれがクリティカルな問題になる場合があります。

また、Azure の契約として CSP などいくつかの契約ではこの作業が行うことが出来ません。新規に Azure を用意することを検討しましょう。

Azure と Office 365 は同じ Azure AD テナントが望ましい

WVD v2 だけではなく Azure Sentinel を利用する場合も同じ用に同一テナントという要件があるため、今までは機能的に問題なかった異なるテナント構成も非推奨といえる状況になってきました。

現在、異なるテナントの方はどこかのタイミングで思い切って統合することを計画してはいかがでしょうか。

いいね (この記事が参考になった人の数:7)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください