Azure Active Directory参加済み
注:
この機能は段階的に展開されています。アカウントではまだ有効化されていない可能性があります。
この記事では、Citrix DaaSを使用してAzure Active Directory(AD)参加済みカタログを作成する方法について説明します。
要件
-
コントロールプレーン:Citrix DaaS
-
VDAの種類:シングルセッションまたはマルチセッションのOS VDA
-
VDAバージョン:2203以降
-
プロビジョニングの種類:マシンプロファイルワークフローのみを使用したMachine Creation Services(MCS)による永続および非永続
-
割り当ての種類:専用およびプール
-
ホストプラットフォーム:Azureのみ
-
マスターVMをAzure ADに参加させないでください
-
Rendezvous V2を有効にするため、Citrix Cloud Connectorは必須ではありません。Rendezvousを有効にするには、レジストリ設定を追加する必要があります。追加方法について詳しくは、「VDAのインストールと構成」を参照してください。
制限事項
-
Microsoft Azure Resource Managerクラウド環境のみがサポートされています。
-
仮想デスクトップへのシングルサインオンはサポートされていません。ユーザーは、デスクトップに資格情報を手動で入力する必要があります。
-
仮想デスクトップセッションの初回起動時、Windowsサインイン画面に、最後にログオンしたユーザーのログオンプロンプトが表示され、別のユーザーに切り替えるオプションがありません。ユーザーは、ログオンがタイムアウトしてデスクトップのロック画面が表示されるまで待ってから、ロック画面をクリックしてログオン画面をもう一度表示する必要があります。この時点で、ユーザーは [他のユーザー] を選択して資格情報を入力できます。
-
Windows Helloによる仮想デスクトップへのサインインはサポートされていません。ユーザーがWindows Hello PINを使用してサインインしようとすると、ブローカーユーザーではないこととセッションが切断されたことを示すエラーが表示されます。
-
サービスの継続性はサポートされていません。
注意事項
-
マスターVMをAzure ADに参加させないでください。
-
Windows Helloはサポートされていません。そのため、マスターVMでWindows Helloを無効にします。これを行うには、2つの方法があります:
-
マスターVMでローカルグループポリシーを使用する。
-
gpedit.mscを実行します。 - [コンピューターの構成]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows Hello for Business] に移動します。
- [Use Windows Hello for Business] を [Disabled] または [Enabled] に設定します。
- [Do not start Windows Hello provisioning after sign-in] をオンにします。
-
-
Microsoft Intune(永続マシンのみ)を使用する。
- Windows Hello for Businessを無効にするデバイスプロファイルを作成します。詳しくは、Microsoftのドキュメントを参照してください。
-
Azure AD参加済みカタログの作成
[完全な構成]インターフェイスまたはPowerShellを使用して、Azure AD参加済みカタログを作成できます。
完全な構成インターフェイスの使用
以下の情報は、「マシンカタログの作成」のガイダンスを補完する情報です。Azure AD参加済みカタログを作成するには、Azure AD参加済みカタログに固有の詳細に注意しながら、その記事の一般的なガイダンスに従ってください。
カタログ作成ウィザードで次の操作を行います:
- [マシンID] ページで、[Azure Active Directory参加済み] を選択します。作成済みのマシンは、組織によって所有され、その組織に属するAzure ADアカウントでサインインします。作成済みのマシンはクラウドにのみ存在します。
注:
- [Azure Active Directory参加済み] のIDタイプを使用するには、カタログの最小機能レベルとして、バージョン1811以降のVDAが必要です。使用できるようにするために、必要であれば最小機能レベルを更新します。
- マシンは、ホスト接続がバインドされているAzure ADに参加済みです。
PowerShellの使用
以下は、[完全な構成]インターフェイスでの操作と同じPowerShellでの手順です。Remote PowerShell SDKを使用してカタログを作成する方法については、https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/を参照してください。
オンプレミスAD参加済みカタログとAzure AD参加済みカタログの違いは、IDプールとプロビジョニングスキームの作成にあります。
Azure AD参加済みカタログのIDプールを作成するには:
New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Azure AD参加済みカタログのプロビジョニングスキームを作成するには、New-ProvSchemeにMachineProfileパラメーターが必要です:
New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->
Azure AD参加済みカタログを作成するために使用される他のすべてのコマンドは、従来のオンプレミスAD参加済みカタログの場合と同じです。
Azure AD参加プロセスのステータスの表示
[完全な構成]インターフェイスでは、デリバリーグループ内のAzure AD参加済みマシンが電源オンの状態にあるときに、Azure AD参加プロセスのステータスが表示されます。ステータスを表示するには、[検索] を使用してそれらのマシンを識別し、下ペインの [詳細] タブで [マシンID] を1つずつチェックします。次の情報が [マシンID] に表示されることがあります:
- Azure AD参加済み
- Azure AD未参加
注:
マシンがAzure AD参加済み状態にならない場合、それらのマシンはDelivery Controllerに登録されません。これらの登録ステータスは [初期化] と表示されます。
また、[完全な構成]インターフェイスで、マシンが使用できない理由を知ることができます。これを行うには、[検索] ノードでマシンをクリックし、下ペインの [詳細] タブで [登録] をオンにしてから、ツールチップを読んで追加情報を確認します。
Azure ADアカウントによるユーザーログインの有効化
マシンまたはデリバリーグループは、特定のAzure ADアカウントに割り当てる必要があります。これは、[完全な構成]インターフェイス(ユーザーを割り当てるときに [IDの種類を選択] フィールドを使用)、またはCitrix Cloudライブラリページで実行できます。
ユーザーがAzure AD資格情報を使用してマシンにサインインできるようにするには、リソースグループレベルで役割の割り当てを追加します:
-
Azure Portalにサインインします。
-
[Resource Groups] を選択します。
-
仮想デスクトップワークロードが存在するリソースグループをクリックします。
-
[Access control (IAM)] を選択します。
-
[Add role assignment] をクリックします。
-
「Virtual Machine User Login」を検索して一覧から選択し、[Next] をクリックします。
-
[User, group, or service principal] を選択します。
-
[Select members] をクリックして、仮想デスクトップへのアクセス権を付与するユーザーとグループを選択します。
-
[Select] をクリックします。
-
[Review + assign] をクリックします。
-
[Review + assign] を再度クリックします。
注:
MCSによって仮想デスクトップのリソースグループを作成することを選択した場合は、マシンカタログの作成後にこの役割の割り当てを追加します。
Microsoft Intune
注:
この機能は、Azure AD参加済みの永続マシンにのみ適用されます。マシンは、最小システム要件を満たしている必要があります。詳しくは、Microsoft社のドキュメントを参照してください:https://docs.microsoft.com/en-us/mem/intune/fundamentals/supported-devices-browsers#microsoft。
Citrix DaaSを使用して、Microsoft Intuneの登録を有効にすることができます。Microsoft Intuneは、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)に重点を置いたクラウドベースのサービスです。携帯電話、タブレット、ラップトップなど、組織のデバイスの使用方法を制御します。詳しくは、「Microsoft Intune」を参照してください。
Microsoft Intuneは、Azure ADの機能を使用して動作します。
重要:
この機能を有効にする前に、Azure環境で、Microsoft Intuneを使用するためのライセンス要件を満たしていることを確認してください。詳しくは、Microsoft社のドキュメントを参照してください:https://docs.microsoft.com/en-us/mem/intune/fundamentals/licenses。適切なIntuneライセンスがない場合は、この機能を有効にしないでください。
Microsoft Intuneの有効化
[完全な構成]インターフェイスまたはPowerShellを使用して、Microsoft Intuneを有効にすることができます。
完全な構成インターフェイスの使用
以下の情報は、「マシンカタログの作成」のガイダンスを補完する情報です。この機能を使用するには、カタログの作成時に [マシンID] で [Azure Active Directory参加済み] を選択する必要があります。この機能に固有の詳細に注意しながら、その記事の一般的なガイダンスに従ってください。
カタログ作成ウィザードで次の操作を行います:
- [マシンID] ページで、[Azure Active Directory参加済み] を選択してから [マシンをMicrosoft Intuneに登録する] を選択します。有効になっている場合は、管理のためにマシンをMicrosoft Intuneに登録します。
PowerShellの使用
以下は、[完全な構成]インターフェイスでの操作と同じPowerShellでの手順です。
リモートPowerShell SDKを使用してMicrosoft Intuneにマシンを登録するには、New-AcctIdentityPoolのDeviceManagementTypeパラメーターを使用します。この機能を使用するには、カタログがAzure AD参加済みであること、およびAzure ADに正しいMicrosoft Intuneライセンスがあることが必要です。例:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
ヒント:
この機能は、Azure Resource Managerテンプレートを使用して実装されます。テンプレートで、AADLoginForWindows拡張機能にMicrosoft IntuneのアプリケーションIDを指定して、Azure AD参加済みVMを登録できるようにします。