2022年10月最新!
Azure Virtual Desktop(AVD)の新機能
9つを紹介

AVDの新機能9つを紹介

こんにちは、日商エレクトロニクス VDI担当の鈴木です。

マイクロソフト主催の最大級の年次イベント、Igniteが2022年10月11-12日にて開催されました。
その中で、MicrosoftのDaaS、Azure Virtual Desktop(AVD)についても新機能や発表されていましたので、自分の整理の意味も込めてまとめていこうと思います。

セキュリティと信頼性(冗長性、可用性)向上に関する発表が多かった印象です。
ハイブリッドワークが浸透してきている中で、柔軟で安全な業務環境の導入にさらに適応するサービスになってきていますね。

 

1. そもそもAzure Virtual Desktop(AVD)とは?

本ブログを読んでいただいている方は、AVDについてすでに知っている方が多いと思いますが、おさらいとして概要を記載します。

Azure Virtual Desktopとは、2019年にMicrosoft社が発表したデスクトップ仮想化(VDI)サービスです。

その中でも、デスクトップ環境をクラウド上で展開するDesktop as a Service(DaaS)と呼ばれる分野のサービスとなります。

「Microsoft 365ライセンスやOffice 365ライセンスを活用できる」「マルチセッションで費用を削減できる」など、マイクロソフト製品ならではのメリットを持ちます。

費用や事例を知りたい方は下記のブログで解説しておりますので、ぜひご参考ください。
Azure Virtual Desktop (旧 WVD)とは? メリット、費用、事例など一挙解説!>

AVDの管理機能について紹介したブログもあります。
ご検討中の方必見!AVDの管理機能をご紹介 >

2. AVD最新機能のご紹介

それでは、ここからは新機能について解説してきます!

① シングルサインオン(SSO)& パスワードレス認証

Azure Virtual Desktop の SSO とパスワードレス認証のパブリック プレビューを発表 >

前提として、従来Active DirectoryとAzure ADを同期させる必要があったAVDが、2022年に “Azure ADだけ” で構成することができるようになりました。(Azure AD Join)

そしてそのAzure AD JoinのAVDにおいて、FIDO2 とWindows Hello for Business を活用したシングルサインオンとパスワードリストを使用できるようになります。

SSO_AzurePortal

 

通常、AVDにサインインする際には、①物理端末へのサインイン → ② RD Client or Web Clientへのサインイン(Azure AD認証)、③ AVDへのサインイン(Kerberos認証)の計3回のサインインが必要です。
すべて同じアカウント情報を利用することは可能ですが、入力が3回発生するので少々手間に感じることもあるでしょう。

しかしこの機能が一般公開されれば、物理端末へのサインイン後、2回目以降のID・パスワード入力なしにAVDへサインインすることができるのです。
※物理端末がAzure AD JoinもしくはHybrid Azure AD Joinとなっていることが前提、webクライアントでの動作を想定

AVDへのサインインの度にいちいちアカウント情報を入力しなくてよいので、かなり利便性が上がりますね!

もちろん、条件付きアクセスや多要素認証の設定は継続的に適用されます。

ただし、こちらはしばらくパブリックプレビュー(試せるが動作が保証されない、サポートされない)の状態を継続しそうなので、実環境への適応はまだ先になりそうです。

 

② Azure AD Joinでマルチセッションを実現(FSLogixのAzure Files対応)

Azure Virtual Desktop で Azure AD に参加している VM の FSLogix プロファイルのパブリック プレビューを発表 >

マルチセッションでAADJ

現在、Azure AD joinのAVDは事実上マルチセッションなどの“プール型”構成ができません。
FSLogixが対応しておらず、プロファイルの維持が困難なためです。

しかしもうすぐこの課題が解消され、Azure AD Joinでマルチセッションが実現できるようになります!

具体的に言うと、FSLogix のユーザー プロファイルを Azure Files に保存し、Azure AD JoinしたAVD からアクセスできるようになるとのことです。
※Azure NetApp FilesやWindows Server(IaaS)での実現は現状発表されていません

ADを利用しない、かつコスト削減をしてのDaaS導入をご検討中の方はぜひ一般公開の発表に注目してみてください。

③ パブリックインターネットを経由しない通信(プライベートリンク)

Use Azure Private Link with Azure Virtual Desktop >

AVD_PrivateLink

AVDはその仕様上、多くの通信がパブリックインターネットを経由します。

例えば、
・Azure ADへユーザー認証
・画面転送通信などの、物理PC↔AVDコントロールプレーン↔AVD環境の通信
は必ずパブリックインターネット越しに行われます。

avdの通信関連ブログ:導入前に知っておきたい!構成の注意点と利用者目線の接続イメージを解説 >

その中で「物理PC↔AVDコントロールプレーン↔AVD環境の通信」を、パブリックインターネットに出ないようにするのが、プライベートリンクです。

データをプライベートネットワーク上に保持しておく必要がある企業様必見の機能ですね。
こちらも、今はパブリックプレビュー中ですがもうすぐ一般公開されるそうです。

 

④ VM上のデータ保護(Confidential VMs)

Confidential VMs(機密 VM オプション) >

機密VMs

セキュリティと機密性の要件が特に高い方向けの機能です。
このオプションを利用すると、仮想デスクトップで実行されているワークロードが”Root of Trust”の考え方で保護されます。

ハイパーバイザーやその他のホスト管理コードによる VM メモリへのアクセスが拒否されることで、VM上に存在するデータへのアクセスを防ぐことができます。それは、Azureを提供するマイクロソフトも例外ではありません。

AMD CPU 内の専用の安全なプロセッサによって生成された暗号化キーを使用しますので、ソフトウエアからの読み取りも不可能です。

現状はWindows 11 のみのサポートですが、Windows 10のサポートもロードマップに入っています。

⑤ 高可用性のシンプルな実現

AVDの可用性ゾーン

特に業務環境としてAVDをご検討中の場合、可用性は気になるポイントの1つではないでしょうか。
セッション ホストの高可用性は、予期しない障害が発生した場合でも作業を継続できるようにするために重要ですよね。

Azureには同じリージョン内に「可用性ゾーン」と呼ばれる、「同一リージョン内に存在する」「別々のデータセンター(可用性ゾーン)」に仮想マシンをデプロイする仕組みがあります。
独立した電源、ネットワーク、冷却装置を備えていますので、物理障害を回避できます。

この可用性ゾーンが、AVDでシンプルに実装できるようになりました。

いままでも、AVDでも構成することは可能でしたが、各可用性ゾーンに個別に複数のデプロイを実行する必要がありました。

今回のアップデートにより、1 回のクイック選択で、選択したアベイラビリティ ゾーン全体にセッション ホストが自動的に分散されるように簡単に設定できるのです。
これにより高可用性を短時間で実現できるようになります。

特に、自社での構築をご検討されている企業様にとってメリットのあるアップデートですね。

⑥ レイテンシを改善する(パブリックインターネットのRDP Shortpath)

Azure Virtual Desktop の RDP Shortpath >

パブリックRDP Shortpath

AVDに必要な通信に「画面転送通信」が1つ挙げられます。
この画面転送は物理端末↔AVDコントロールプレーン↔AVDセッションホストという経路で行われます。

AVDの画面転送通信経路

RDP Shortpathは、Simple Traversal Underneath NAT (STUN) および Interactive Connectivity Establishment (ICE) プロトコルを使用して、クライアントとセッション ホスト間に直接の User Datagram Protocol (UDP) 接続を確立する技術です。

RDP Shortpathの通信経路

つまり、手元の端末とAVDセッションホストの画面転送通信をAVDコントロールプレーン上にあるRDゲートウェイを介さず直接通信しあうことで、レイテンシの改善が期待できます。

DaaSの課題の1つとして「画面の遅延」がよく挙げられますが、この技術の一般公開によって不安が軽減されそうです。

⑦ データはオンプレミスのままDaaSの柔軟性を実現する「AVD for Azure Stack HCI」

AVD for Azure Stack HCI

AVD for Azure Stack HCIとは、オンプレミスとクラウドのハイブリッドVDIを実現するサービスです。
仮想マシンやストレージといったコンポーネントはオンプレミスHCI(Azure Stack HCI)上にありつつ、管理はAzure上で行いますので「DaaSの柔軟性の高さを享受したいけれどデータは自社管理をしたい…」とお考えの方にぴったりです。

パブリックプレビュー中なため具体的な価格などの情報が不足している部分はありますが、徐々に機能アップデートがされているようです。

AVD for Azure Stack HCIについては別途解説するコンテンツをご用意したく考えています。
また、AVD for Azure Stack HCIの検証も予定していますので、ご興味お持ちの際にはぜひお声がけください!

⑧ 大規模AVDの監視を一か所で実現

AzuremonitorAVDは、Azure Monitorというサービスを用いてホスト プール、セッション、構成、接続時間、使用率、および診断とレポート機能に関する情報を監視することができます。

しかし、今までは複数のホストプールを持つような大規模AVDの監視を一か所で行うことができませんでした。

このアップデートにより、一度に複数のホストプールを選択することが可能になりますので、大規模な環境でも全体像の把握が可能となります。

⑨ AVDマルチセッションでのユニバーサルプリントサポート

Universal Print を使用した Azure Virtual Desktop の印刷エクスペリエンスの向上 >

ユニバーサルプリントユニバーサルプリントとは、マイクロソフトが提供するプリントサービスです。

プリンタサーバーや端末へのドライバインストール不要で、どこからでもインターネット越しに社内のプリンタで印刷ができるようになります。

このユニバーサルプリントが、Windows 11 22H2 リリースからマルチセッション向けにサポートされ、機能改善が実現されました。

AVDマルチセッションでユニバーサルプリントが使えるようになった、つまり、コストを抑えつつ、リモートワークについて回る”印刷問題”を解決できるようになった、ということです。
注目のアップデートですね!

3. 最後に

いかがでしたでしょうか?
「アップデートまとめ」ということでそれぞれ簡単なご紹介となりましたが、今後は検証や技術解説ブログも出せていけたらと思っております。
気になる機能がありましたらぜひお問合せください。

また、AVDをご検討される中で

  • 社内説得のために具体的な情報をゲットしたい
  • PoCをするにはまだ早いけれど、実際触ってみてイメージを付けたい…
  • とはいえ自分で環境を作るにはAVDの仕様や検討ポイントがわからない

とお考えの方へは、AVDの管理業務を体験していただけるハンズオンセミナーを開催しております。

弊社のAVDエンジニアが一人ひとり丁寧にサポートさせて頂きますため、少人数限定開催となっております。
ご興味お持ちいただけましたらぜひお早めにお申し込みください。

AVDハンズオンセミナー

>AVDハンズオンセミナー 無償で体験AVDハンズオンセミナーの
詳細はコチラ

今後もお役立ていただけるコンテンツを発信していければと思います。
どうぞよろしくお願いいたします。

この記事を書いた人

鈴木梨玖
マーケティング担当の鈴木です。
VDIやDataAI製品を中心に、セミナー、ブログ、メルマガなどで情報を発信しています!
よろしくお願いいたします_(._.)_