AVD (Azure Virtual Desktop) と Azure ファイル共有で Windows 10 マルチセッションの VDI を構築

こんにちは。 Azure Virtual Desktop は、クラウド上で実行されるデスクトップおよびアプリの仮想化サービスです。 今回は、Windows 10 をマルチセッション環境を Azure Virtual Desktop と Azure Files をつかって構築してみます！

Docs のこちらに記載の内容を実施していきます。

• Azure Files および AD DS を使用してプロファイル コンテナーを作成する

必要なもの

Azure Virtual Desktop は Azure で提供される VDI さービスです。AVD にログインするには AAD (Azure Active Directory) によるユーザー認証が必要です。また、VDI で利用する Windows OS は ADDS (Active Directory Domain Service) による認証になりますので、ADDS や AADC (Azure Active Directory Connect) が必要になります。
Windows10 マルチセッションを利用するため、ユーザープロファイルの置き場として、Azure Files を利用し、ユーザープロファイルをローカルとは別のストレージに配置するために FSLogix を利用します。また、VDI で利用する OS には事前に FSLogix をインストールさせるために、マスターイメージを準備します。
そのため、下記が必要になります。

• Azure サブスクリプション
• Azure Active Directory
• Azure Storage Account / Azure ファイル共有
• Active Directory Domain Service
• Azure Active Directory Connect
• Windows 10 マスターイメージ (オプション)
• FSLogix

構築ステップ

VDI を利用するためには以下のステップで作業をしました。Azure サブスクリプションや AAD のセットアップは割愛し、AVD の利用に必要な手順を備忘録として書き留めます。

1. ストレージアカウントの準備
2. マスターイメージの作成
3. AVD ホストプールの作成

これだけで VDI が利用できるようになるので非常に簡単ですね。 本投稿では、ストレージアカウントの準備の手順をご紹介します。

1. ストレージアカウントの準備

Azure ポータルからストレージアカウントを作成し、ユーザープロファイルを保存する Azure ファイル共有を作成します。

1. Azure ポータルからストレージアカウントを作成します。
   ストレージアカウントの作成では、下記のパラメーターを設定します。

   項目	値
   サブスクリプション	リソースを作成するサブスクリプション
   リソースグループ	リソースを作成するリソースグループ
   ストレージアカウント名	一意のストレージアカウント名
   地域	東日本
   パフォーマンス	Standard
   冗長性	ローカル冗長ストレージ

   

2. それ以外は既定値のままで次へを進み、ストレージアカウントを作成します。

   

3. ストレージアカウントができたら、ファイル共有を作成します。

   

4. 新しいファイル共有では、下記のように設定して作成をクリックします。

   項目	値
   名前	profile01
   層	トランザクションが最適化されました。

   

5. 作成した共有のクォータを修正します。既定では 5TB になるため、[…] からクォータの編集をクリックします。

   

6. 変更するサイズを指定して、OK をクリックします。

   

   100 GBに変更されてことが確認できます。
   

これでユーザープロファイルを格納するストレージを準備できました。次に作成した共有を Active Directory へ参加させます。

Azure ファイル共有に Active Directory 認証を有効化

Azure ファイル共有に AD 認証を有効するには、こちらの手順を実施します。

• パート 1: Azure ファイル共有に対する AD DS 認証を有効にする

該当ドメインに参加しているコンピューターでこちらの手順を実施する必要があります。

1. ドメインに参加している PC や サーバーにログインします。

2. AD 認証を有効化させる AzFilesHybrid モジュールをダウンロード、解凍します。Powershell で実行すると便利です。

    mkdir c:\tmp
    cd c:\tmp
    Invoke-WebRequest -Uri https://github.com/Azure-Samples/azure-files-samples/releases/download/v0.2.3/AzFilesHybrid.zip -OutFile ./AzFilesHybrid.zip
    Expand-Archive .\AzFilesHybrid.zip
   

3. AzFilesHybrid をインストールします。

    cd ./AzFilesHybrid
    .\CopyToPSPath.ps1 
    Import-Module -Name AzFilesHybrid
   

4. Powershell で Azure に接続します。

    Connect-AzAccount
   

5. AD 認証を有効化する情報を取得します。

    Get-AzSubscription #サブスクリプション ID をメモします。
    Get-AzResourceGroup #ストレージアカウントがあるリソースグループ名をメモします。
    Get-AzStorageAccount #ストレージアカウント名をメモします。
   

6. メモした情報を変数に指定します。

    $SubscriptionId = "サブスクリプションID"
    $ResourceGroupName = "リソースグループ名"
    $StorageAccountName = "ストレージアカウント名"
   

7. その他に必要な変数を指定します。

    $DomainAccountType = "ComputerAccount"
    $OuDistinguishedName = "ストレージアカウントを配置するOU" # ドメイン名が mhiro1.com の例："CN=computers,DC=mhiro1,DC=com"
    $EncryptionType = "AES256,RC4"
   

8. AD 認証を有効化するコマンドを実行

    Select-AzSubscription -SubscriptionId $SubscriptionId 
    Join-AzStorageAccountForAuth `
        -ResourceGroupName $ResourceGroupName `
        -StorageAccountName $StorageAccountName `
        -DomainAccountType $DomainAccountType `
        -OrganizationalUnitDistinguishedName $OuDistinguishedName `
        -EncryptionType $EncryptionType
   

9. AES 256 を利用した認証を有効化

    Update-AzStorageAccountAuthForAES256 -ResourceGroupName $ResourceGroupName -StorageAccountName $StorageAccountName
   

すべてのコマンドを実行した結果はこんな感じです。

また、Active Directory ユーザーとコンピュータでも、ストレージアカウント名のコンピューターアカウントが作成されていることがわかります。

コマンドが正常に完了すると、Azure ファイル共有で Acive Directory 構成済み という表示に代わります。

Azure ファイル共有にアクセス権の付与

Azure ファイル共有へのアクセス権は、Azure ファイル共有の IAM から実施します。

• パート 2: ID に共有レベルのアクセス許可を割り当てる

ファイル共有へのアクセス権は、準備されている RBAC ロールを利用して付与します。

サポートされている組み込みロール	説明
ストレージ ファイル データの SMB 共有の閲覧者	Azure ファイル共有のファイルまたはディレクトリに対する読み取りアクセスを許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の読み取りに相当します。
記憶域ファイル データの SMB 共有の共同作成者	Azure ファイル共有のファイルまたはディレクトリに対する読み取り、書き込み、削除アクセスを許可します。
記憶域ファイル データの SMB 共有の管理者特権共同作成者	Azure ファイル共有のファイルまたはディレクトリに対する ACL の読み取り、書き込み、削除、変更を許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の変更に相当します。

AVD を利用させたいユーザーを登録したセキュリティグループに記憶域ファイル データの SMB 共有の共同作成者 を付与し、管理者セキュリティグループに 記憶域ファイル データの SMB 共有の管理者特権共同作成者 を付与します。

1. ストレージアカウントからファイル共有 を選択し、設定するファイル共有を選択します。

   

2. アクセス制御 (IAM) を選択します。

   

3. 追加 から ロールの割り当ての追加 を選択します。

   

4. 割り当てる役割を選択し、割り当てるユーザーやセキュリティグループを選択して、OK をクリックして権限割り当ての完了です。

   

5. Azure ファイル共有にアクセスする UNCパスは、ストレージアカウントのエンドポイントから確認します。

   

6. ドメイン参加しているサーバーからエクスプローラを開き、Azure ファイル共有にアクセスします。UNCパスはこのようになります。
   • \\avdprofile0001.file.core.windows.net\profiles

7. アクセス後にフォルダ内のどこかを右クリックし、プロパティをクリックします。

   

8. セキュリティタブから Authenticated Users を削除し、AVD にアクセスさせるユーザーを追加します。付与する権限は、変更権限です。

   

変更権限のみ付与することで、AVD ユーザーにはユーザープロファイルを保存する Azure ファイル共有が見えない状態となります。

これで Storage アカウントの設定は終了です。 次回の投稿では、マスターイメージの作成手順を記載します。