Azure Active Directory参加のVDAとドメイン非参加のVDAの構成
VDAをインストールし、純粋なAzure Active Directory(AD)参加の、またはドメイン非参加の仮想デスクトップを展開するプロセスは、標準のドメイン参加のマシンにおけるプロセスと同様です。すべての要件を満たしていることを確認し、プロセス全体で正しいオプションを選択するだけです。
要件
純粋なAzure AD参加の場合の要件:
- コントロールプレーン:Citrix DaaS
- VDAの種類:シングルセッションおよびマルチセッション(仮想デスクトップのみ)
- VDAバージョン:2203
- プロビジョニングの種類:マシンプロファイルワークフローのみを使用したMachine Creation Services(MCS)による永続
- 割り当ての種類:専用
- ホストプラットフォーム:Azureのみ
- テンプレート仮想マシンをAzure ADに参加させないでください
- Citrix Cloud Connectorの要件を削除するには、Rendezvous V2を有効にする必要があります
ドメイン非参加の場合の要件:
- コントロールプレーン:Citrix DaaS
- VDAの種類:シングルセッションおよびマルチセッション(仮想デスクトップのみ)
- VDAバージョン:2203
- プロビジョニングの種類:Machine Creation Services(MCS)による永続および非永続
- 割り当ての種類:専用およびプール
- ホストプラットフォーム:MCSでサポートされているすべてのプラットフォーム(Google Cloud Platformを除く)
- Citrix Cloud Connectorの要件を削除するには、Rendezvous V2を有効にする必要があります
既知の問題と制限事項
一般
- サービスの継続性はサポートされていません。
純粋なAzure AD参加の場合
- 現在、テンプレート仮想マシンイメージをAzure ADに参加させることはできません。
- 仮想デスクトップへのシングルサインオンはサポートされていません。ユーザーは、仮想デスクトップに自分の資格情報を手動で入力する必要があります。
- 仮想デスクトップでのWindows Helloによるログインはサポートされていません。ユーザーがWindows Hello PINを使用してログインしようとすると、ブローカーユーザーではないことを示すエラーが表示され、セッションが切断されます。
- 仮想デスクトップセッションの初回起動時、Windowsサインイン画面に、最後にログオンしたユーザーのログオンプロンプトが表示され、別のユーザーに切り替えるオプションがありません。ユーザーは、ログオンがタイムアウトしてデスクトップのロック画面が表示されるまで待ってから、ロック画面をクリックしてログオン画面をもう一度表示する必要があります。この時点で、ユーザーは「他のユーザー」を選択して資格情報を入力できます。
注意事項
テンプレートイメージ
- Citrix Optimizerツールを使用してWindowsイメージを最適化することを検討してください。
- ハードウェア構成の不一致や競合を回避するには、テンプレート仮想マシンとして使用される仮想マシンとユーザーワークロードに使用される仮想マシンのハードウェア構成が一致していることを確認してください。Azure仮想マシンの場合は、それらが同じファミリであるか、少なくとも同様のハードウェアプロファイルであることを確認します。たとえば、テンプレート仮想マシンとユーザーワークロードの両方に同じ数のディスクがあることを確認します。そうしないと、ページファイル構成エラーや、ユーザーに再起動を促す可能性のある新しいハードウェアの検出など、MCSでプロビジョニングされたマシンで問題が発生する可能性があります。
純粋なAzure AD参加の場合
- ユーザーがWindowsにログインするためのWindows Hello PINを作成することを求められないように、Windows Helloを無効にすることを検討してください。Windows Helloはサポートされていません。これは、次の2つの方法のいずれかで実行できます:
- テンプレート仮想マシンのローカルグループポリシー
-
gpedit.mscを実行します。 - [コンピューターの構成]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows Hello for Business] に移動します。
-
[Windows Hello for Businessを使用する] を次のように設定します:
- [無効]、または
- [有効] にして、[Do not start Windows Hello provisioning after sign-in] を選択します。
-
- Microsoft Intune(永続マシンのみ)
- Windows Hello for Businessを無効にするデバイスプロファイルを作成します。詳しくは、Microsoftのドキュメントを参照してください。
- 現在、Microsoftは永続マシンのIntune登録のみをサポートしています。つまり、非永続マシンをIntuneで管理することはできません。
- テンプレート仮想マシンのローカルグループポリシー
- ユーザーは、AAD資格情報を使用してマシンにログインするために、Azureでの明示的なアクセスが許可されている必要があります。これは、リソースグループレベルで役割の割り当てを追加することで容易になります。
- Azureポータルにサインインします。
- [Resource Groups] を選択します。
- 仮想デスクトップワークロードが存在するリソースグループをクリックします。
- [Access control (IAM)] を選択します。
- [Add role assignment] をクリックします。
- Virtual Machine User Loginを検索して一覧から選択し、[次へ] をクリックします。
- [User, group, or service principal] を選択します。
- [メンバーの選択] をクリックして、仮想デスクトップへのアクセスを提供するユーザーとグループを選択します。
- [Select] をクリックします。
- [Review + assign] をクリックします。
- [Review + assign] を再度クリックします。
注:
MCSに仮想デスクトップのリソースグループを作成させることを選択した場合は、マシンカタログの作成後にこの役割の割り当てを追加します。
VDAのインストールと構成
VDAをインストールするための手順に従います:
-
インストールウィザードで次のオプションを選択してください:
- [環境] ページで、[マスターMCSイメージを作成する] を選択します。
- [Delivery Controller]ページで、[Machine Creation Servicesで自動的に指定する] を選択します。
-
VDAをインストールした後、次のレジストリ値を追加します:
- キー: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
- 値の種類:DWORD
- 値の名前:GctRegistration
- 値のデータ:1
マシンカタログの作成に進みます。
マシンカタログ
純粋なAzure AD参加マシンまたはドメイン非参加マシンのマシンカタログを作成する前に、次のものが必要です:
- 新しいリソースの場所
- Citrix Cloudの管理UIで左上のハンバーガーメニューから [リソースの場所] を選択します。
- [+リソースの場所] をクリックします。
- リソースの場所の新しい名前を入力し、[保存] をクリックします。
- Azureへのホスト接続の作成
- Citrix Cloudの管理UIで左上のハンバーガーメニューから [マイサービス]>[DaaS]>[管理]>[完全な構成] の順に選択します。
- 左側の [ホスト] ノードを選択します。
- [接続およびリソースの追加] を選択します。
- オプションが指定されている場合は、[新しい接続を作成する] を選択します。
- 以下を選択します:
- 接続の種類:Microsoft Azure
- Azure環境:Azure Global
- ゾーン名:手順1で作成したリソースの場所に対応するゾーンを選択します。
- 次を使用して仮想マシンを作成します:Citrix Provisioningツール
- [次へ] をクリックします。
- AzureサブスクリプションIDとホスト接続の名前を入力します。
- Citrix DaaSには、Azure Active Directory内に登録されたアプリケーションが必要です:
- ウィザードでサービスプリンシパルを作成する場合は、[新しいプロファイル定義の作成…] をクリックします。
- サービスプリンシパルを手動で作成する場合は、[既存を使用しています…] をクリックします。
- Azureテナントへの接続が正常に確立されたら、ウィザードの残りの手順に進みます。
ホスト接続の作成とAzure Resource Managerに固有の考慮事項の詳細については、Citrixのドキュメントを参照してください。
ホスト接続が作成されたら、マシンカタログの作成に進みます:
- 左側の [マシンカタログ] ノードを選択します。
- [マシンカタログの作成] を選択します。
- オペレーティングシステムで [シングルセッションOS] を選択してから [次へ] をクリックします。
- [電源管理されているマシン]、[Citrix Machine Creation Services(MCS)] を選択し、[リソース]ドロップダウンリストで新しいゾーンの正しいリソースが選択されていることを確認します。[次へ] をクリックします。
- 永続デスクトップと非永続デスクトップのどちらが必要か、およびデスクトップが専用かプールかによって、適切なデスクトップエクスペリエンス設定を選択します。[次へ] をクリックします。
- マスターイメージページで、次の操作を行います:
- マスターイメージとして使用するディスクを選択します。これは、以前にVDAをインストールした仮想マシンのディスクです。
- 機能レベルとして [2106(or later)] を選択します。
- 純粋なAzure AD参加のマシンを使用している場合は、[Use a machine profile] をオンにして一覧から適切なマシンを選択する必要があります。
- [次へ] をクリックします。
- [ストレージとライセンスの種類]、[仮想マシン]、[ネットワークカード]、[ディスク設定]、および [リソースグループ] ページで環境に適したオプションを選択します。
-
[Machine Identities] ページで、正しいIDの種類(Azure Active Directory参加またはドメイン非参加)を選択してください。
-
IDの種類として[Azure Active Directory参加]を選択し、マシンを自動的に登録する場合は、必ず [マシンをMicrosoft Intuneに登録する] を選択してください。
-
- ウィザードの残りの手順に進んで、マシンカタログを作成します。
- 純粋なAzure AD参加マシンを使用している場合、ユーザーがAAD資格情報を使用してマシンにログインするためには、Azureで明示的なアクセスが許可されている必要があります。詳しくは、「純粋なAzure AD参加での考慮事項 」セクションを参照してください。
- マシンカタログの作成の詳細については、Citrixのドキュメントを参照してください。
- マシンカタログが作成されたら、デリバリーグループの作成に進みます。
デリバリーグループ
マシンカタログの作成後は、デリバリーグループを作成する必要があります。
- 左側の [デリバリーグループ] ノードを選択します。
- [デリバリーグループの作成] を選択します。
-
[マシン] ページで、以前に作成したマシンカタログを選択し、そのカタログからデリバリーグループに追加するマシンの数を選択します。[次へ] をクリックします。
- 配信の種類として [デスクトップ] を選択します。[次へ] をクリックします。
- デリバリーグループへのユーザーアクセスを管理するために優先する方法を選択します。[次へ] をクリックします。[次のユーザーに対するこのデリバリー グループの使用を制限します] オプションは、WorkspaceがActive DirectoryをIDプロバイダーとして使用するように構成されている場合にのみ使用できます。
-
[ユーザー] ページで [任意の認証ユーザーによるこのデリバリー グループの使用を許可します。] を選択した場合は、[デスクトップ割り当て規則] ページが表示されます。
- [追加] をクリックします。
- 仮想デスクトップの表示名(ユーザーがWorkspaceにログインしたときに表示される名前)を入力します。
- [このデリバリー グループにアクセスするすべての人にデスクトップを割り当てる] をそのままにします。
- [OK] をクリックします。
- ウィザードの残りの手順に進み、デリバリーグループを作成します。
- デリバリーグループの作成の詳細については、Citrixのドキュメントを参照してください。
Rendezvousを有効にする
デリバリーグループの作成後、Rendezvousを有効にする必要があります。詳しくは、Rendezvousのドキュメントを参照してください。
Azure Active Directory参加のVDAとドメイン非参加のVDAの構成
コピー完了
コピー失敗