はじめに
MS Learnを読んでいき、AVDの見落としがちな前提事項を確認していきます。
ユーザー
Azure Virtual Desktop のデプロイで AD DS または Microsoft Entra Domain Services も使っている場合、これらのアカウントはハイブリッド ID である必要があります。
Microsoft Entra ID と AD DS を使っている場合は、AD DS と Microsoft Entra ID との間でユーザー ID データを同期するように Microsoft Entra Connect を構成する必要があります。
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/prerequisites?tabs=portal
つまり、Entra ID + オンプレADの構成を取るときは、必ずEntra Connectで同期された環境でなければならないということです。
Entra IDとオンプレADの両方利用しているけど、同期させてない、とか、同期させていないユーザーがいる、場合などは注意が必要です。
サポートされるIDシナリオ
では、
Entra Connectは使っていないよ、オンプレADは廃止してクラウドオンリーな環境なんだ、
という構成は可能なのでしょうか。
可能です。表の一番下の行です。
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/prerequisites?tabs=portal
FSLogix プロファイル コンテナー
とすると、さらにここで次の疑問が出てきます。
オンプレADがないけど、FSLogixのプロファイルをSMB共有のストレージに格納して利用できるのでしょうか。
可能です。
この構成を使うことで、ドメイン コントローラーへのネットワーク通信経路がなくても、ハイブリッド ユーザー ID が Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みセッション ホストからアクセスできる FSLogix プロファイルを格納できます。 Microsoft Entra Kerberos を使うと、Microsoft Entra ID で業界標準の SMB プロトコルでファイル共有にアクセスするために必要な Kerberos チケットを発行できます。
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/create-profile-container-azure-ad
ただし、最後にオチがあります。
上記にもサクッと書いてあるのですが、この機能を使うためには、ハイブリッドIDであることが前提となっています。
セッション ホストを Microsoft Entra ID に参加させるときに FSLogix プロファイル コンテナーを使うには、プロファイルを Azure Files または Azure NetApp Files に格納する必要があり、ユーザー アカウントがハイブリッド ID である必要があります。 これらのアカウントは、AD DS で作成して Microsoft Entra ID に同期する必要があります。
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/prerequisites?tabs=portal
オンプレADを使わない構成が可能なのかを確認していくと、ハイブリッドIDという前提条件から逃れられないことがわかりました。
(この制限がなくなる日も遠くないだろうと思いながら、約3年が経過しました)
ただし、FSLogixを使わなければハイブリッドID(オンプレAD)からは逃れられます。
つまり、Entra ID Joinのシングルセッションホスト + ローカルユーザープロファイルを利用すれば良いのです。
ですが、AVDを利用する最大のモチベーションはマルチセッション クライアントOSの利用が多いので、需要があるのかは・・・。
おわりに
他にも注意が必要な前提事項があるので、次回に続きます。
