daas-futoshi.dev
← 記事一覧へ戻る
AVDMicrosoft Learn

Azure Virtual Desktop とは? – Microsoft Learn 読解

AVD を仕事で使っていたり、これから触れる方なら一度はお世話になる(はずの)Microsoft Learn。 公式ドキュメントなので情報の正確さは折り紙つきなのですが、いかんせん専門用語が多いし、日本語訳がところどころ怪しいし、読み進めるうちに「これ何の話だっけ…」となることもありますよね。

そこでこのシリーズでは、Microsoft Learn の AVD 関連ページを一緒にじっくり読み解いていきます。 引用しながら「これってどういう意味?」「なぜ重要なの?」を噛み砕いていくので、ドキュメントを読むのが苦手な方もぜひお付き合いください。

今回のページは 「Azure Virtual Desktop とは?」 です。 シリーズ初回として、AVD がそもそも何者なのかを把握するのにちょうどいいページです。

Azure Virtual Desktop とは?

Windows Virtual Desktop は、Azure で実行されるデスクトップおよびアプリの仮想化サービスです。

まず名称について整理しておくと、もともとは「Windows Virtual Desktop」という名前でしたが、現在は「Azure Virtual Desktop(AVD)」に改名されています。その影響でまれに Windows Virtual Desktop や WVD という記述が残っていることがあります。

「デスクトップおよびアプリの仮想化サービス」というのは、つまり「クラウド上にある PC やアプリを、手元のデバイスから使える仕組み」のことです。実際の処理は Azure 側で行われ、画面だけが手元に飛んでくるイメージです。

Windows 11、Windows 10、または Windows Server で完全な Windows エクスペリエンスを提供します。単一セッションを使用してデバイスを 1 人のユーザーに割り当てるか、スケーラビリティのためにマルチセッションを使用します。

完全な Windows エクスペリエンス」とは、普通の PC と遜色ない使い心地、ということです。

単一セッションは 1 台の仮想マシン (VM) に 1 人のユーザーが使う通常のパターン。
マルチセッションは 1 台の VM を複数ユーザーが同時に共有できる AVD ならではの機能です(詳しくは後述)。

完全なデスクトップを提供するか、RemoteApp を使用して個々のアプリを配信します。

AVD には大きく 2 つの使い方があります。

  • フルデスクトップ:普通の PC 画面がそのまま表示される
  • RemoteApp:特定のアプリのウィンドウだけが手元に表示される

「Word だけ使わせたい」「特定の社内システムだけ公開したい」という場面では RemoteApp が便利です。

Microsoft 365 Apps for enterprise を提示し、マルチユーザー仮想シナリオで実行するように最適化します。

Word・Excel・Outlook などの Microsoft 365 アプリを、複数ユーザーが同時に同じ VM 上で使う場合でも、ちゃんと最適化されていますよ、という意味です。

Win32、MSIX、Appx の形式のアプリなど、どこからでも実行できる基幹業務アプリまたはカスタム アプリをインストールします。

Win32(従来の .exe 形式)、MSIX(モダンなパッケージ形式)、Appx(主に Microsoft Store アプリ)など、幅広いアプリをインストールして使えます。社内の独自システムや業務アプリも対応できるということですね。
また、App Attach という機能があり、この機能を使用すると VM にアプリをインストールせず、ユーザーのログイン時に動的にアプリを使用可能な状態にすることができます。 App Attach についてはまたの機会に記事にします。

外部使用のためにサービスとしてのソフトウェア (SaaS) を提供します。

自社のアプリを外部のお客様や取引先に SaaS として提供する、という使い方もできます。いわゆる「マルチテナント SaaS」のシナリオです。

既存のリモート デスクトップ サービス (RDS) デプロイを置き換えます。

従来オンプレミスで使われてきた RDS(Remote Desktop Services)のクラウド版として AVD を利用できます。インフラの管理負担をぐっと下げながら、同じような体験をクラウドで実現できます。

統一された管理エクスペリエンスを使用して、さまざまな Windows および Windows Server オペレーティング システムのデスクトップとアプリを管理します。

Windows 11 / 10 / Windows Server など、異なる OS の仮想デスクトップを 1 つの管理画面(Azure ポータル)からまとめて管理できます。

Azure Local を使用したハイブリッド構成で、オンプレミスのデスクトップとアプリをホストします。

Azure Local(旧 Azure Stack HCI)を使えば、クラウドだけでなくオンプレミスにも AVD のセッションホストを置けます。「データをオンプレミスから出したくない」「回線の都合でオンプレミスの方がレイテンシが低い」という場合に選択肢になります。 AVD における Azure Local の利用については「Azure Virtual Desktop on Azure Local」で説明されています。 またの機会に記事にしようと思います。

紹介ビデオの要点

公式ドキュメントに埋め込まれている動画(Microsoft Mechanics)のポイントを抜き出して解説します。

動画 サムネイル

① インフラ管理が不要

It comprises the roles that you would have previously had to manage yourself, such as your gateway, broker, diagnostics, load balancing, and more, but as a scalable managed service on Azure.

オンプレミスの RDS では「ゲートウェイ」「ブローカー」「ロードバランサー」などを自前で構築・管理する必要がありました。AVD ではこれらがすべて Azure のマネージドサービスとして提供されるため、管理の手間が大幅に減ります。

② 高可用性の選択肢

For example, for any single instance VM, Microsoft guarantees up to 99.9% availability. Or you can use availability zones to guarantee 99.99% availability.

  • 単一 VM でも 99.9% の可用性を保証
  • 可用性ゾーン(物理的に分離されたデータセンター)を使えば 99.99% まで引き上げられる

ミッションクリティカルな用途でも対応できる可用性設計が可能です。

③ マルチセッションは AVD だけ

You can have multiple users simultaneously logged in to a single VM with multi-session capabilities, exclusive to Azure Virtual Desktop.

1 台の VM に複数のユーザーが同時ログインできる マルチセッション機能は、Windows クライアント OS(Windows 10 / 11)ではもともと対応していませんでした。AVD だけがこれを実現できる特別な機能で、コスト削減に大きく貢献します。AVD では multi-session OS というマルチセッションに対応した OS を利用することができます。

④ FSLogix でどの VM でも自分のプロファイルが使える

Because with FSLogix profile containers configured, it will connect VMs to your personal profile and app data with each logon. Just works like your local PC.

複数ユーザーが VM を共有するプール構成* では、ログインするたびに別の VM に割り当てられることがあります。それでも FSLogix プロファイルコンテナを使えば、個人のプロファイルや Outlook のデータが瞬時に接続され、「まるで自分の PC のよう」な体験が維持されます。

(*) プール型ホストプールのこと。いつか記事にする予定ですが、詳細は ホスト プール を確認ください。

⑤ リバース接続でセキュリティを確保

Azure Virtual Desktop uses reverse connect transport for outbound connectivity over an encrypted connection during a user session.

通常のリモートデスクトップ接続は「インバウンドポート 3389 を開ける」必要があり、セキュリティ上のリスクがありました。AVD はリバース接続 という方式で接続するため、インバウンドポートを一切開ける必要がありません。これはセキュリティ面で大きなメリットです。

⑥ ID 管理と条件付きアクセス

Azure Active Directory unlocks a secure, consistent sign-on experience. You can require multi-factor authentication, along with conditional access to streamline experiences.

Microsoft Entra ID(旧 Azure AD) と連携することで、MFA(多要素認証)や条件付きアクセス(デバイスの状態・場所などに基づいてアクセス制御)が使えます。セキュリティをしっかり保ちながら、ユーザー体験もスムーズに保てます。

⑦ コスト最適化の仕組み

There are also built-in scaling plans. These allow you to scale out the number of VMs in a host pool during peak usage time and scale them back in, for example, during off-business hours or weekends.

スケーリングプラン が組み込まれており、朝の業務開始に合わせて VM を増やし、夜間・週末は VM を減らすといった制御が自動でできます。「使っている分だけ払う」クラウドのメリットを最大限に活かせます。

主な機能

ゲートウェイ サーバーを稼働させることなく、Azure サブスクリプション内に完全なデスクトップ仮想化環境を構築できます。

「ゲートウェイサーバー」は VDI において外からの接続を受け付けるサーバーで、従来は自前で管理が必要でした。AVD ではそれを Azure が代わりに担ってくれるので、自分で立てて管理するサーバーは仮想デスクトップ本体(セッションホスト)だけでよくなります。

本番ワークロード用に独自のイメージを持ち込むか、Azure ギャラリーからテスト用イメージを選択してください。

VM のベースイメージは 2 通りの方法で用意できます。

  • カスタムイメージ:自社の標準ソフトをあらかじめインストールした独自イメージを用意する
  • Azure ギャラリーのイメージ:Microsoft が用意している Windows 11 や Windows 10 のイメージをすぐ使う

試してみたいときはギャラリーから、本番運用には自社でカスタマイズしたイメージを使うのが一般的な流れです。

Azure Virtual Desktop または Windows Server でのみ利用可能な、Windows 11 および Windows 10 Enterprise の新しいマルチセッション機能により、仮想マシンの台数や OS のオーバーヘッドを大幅に削減しながら、ユーザーには同等のリソースを提供できます。

前述のマルチセッション機能の話です。例えば 10 ユーザーが同時に使う場合、従来は 10 台の VM が必要でしたが、マルチセッションなら 2〜3 台で賄えることもあります。VM の台数削減 = コスト削減に直結します。

個人の (永続的な) デスクトップを介して個人の所有権を提供する。

「プールされた共有 VM」だけでなく、特定のユーザーに固定でアサインされる「パーソナル(永続)デスクトップ」も選べます。「自分専用の PC のような感覚で使いたい」というニーズに対応します。

プール型ホストプールと個人型ホストプールの違いの話です。いつか記事にする予定ですが、詳細は ホスト プール を確認ください。

時間帯、曜日、需要の変化に応じて自動的にキャパシティを増減できるオートスケール機能により、コスト管理を支援します。

AVD のオートスケール機能 (スケーリング プラン) では、スケジュールや接続セッション数に基づいて VM 数を自動増減できます。週末や夜間に余分な VM をシャットダウンしておくだけで、コストをかなり抑えられます。

Azure portal、Azure CLI、Azure PowerShell、REST API を使用して、ホスト プール、アプリケーション グループ、ワークスペースの作成と構成、ユーザーの割り当て、リソースの公開を行います。

AVD の管理は Azure ポータル(GUI) だけでなく、CLI / PowerShell / REST API からも行えます。自動化やスクリプトによる一括管理も可能で、大規模環境の運用に対応できます。

1 つのホスト プールから完全なデスクトップまたは個々のアプリケーションを公開したり、ユーザーのセットごとに個別のアプリケーション グループを作成したり、複数のアプリケーション グループにユーザーを割り当ててイメージの数を減らしたりすることもできます。

ホスト プールは VM (セッション ホスト) の集合で、アプリケーション グループはユーザーに公開するデスクトップやアプリケーションをまとめたグループです。 1 つのホスト プールに複数のアプリケーション グループを割り当てることで、例えば、営業部門には Excel と Teams を公開する、開発部門には VSCode と Git を公開するといったことができます。
部門ごとに別のイメージを用意しなくて済む分、管理コストを下げられます。

環境を管理する際は、組み込みの委任アクセス機能を使用してロールを割り当てたり、診断情報を収集することで、さまざまな構成やユーザーのエラーを把握できます。

RBAC(ロールベースのアクセス制御) により、管理者ごとに権限の範囲を細かく設定できます。また診断ログを収集して、接続エラーや設定ミスを素早く特定できます。

Azure Virtual Desktop Insights を使用すると、環境や接続しているユーザーに関する主要なインサイトやメトリックを取得できます。

AVD Insights は Azure Monitor と連携したダッシュボードで、接続数・レイテンシ・CPU/メモリ使用率などを一目で確認できます。

Azure サブスクリプション内で、セッションに使用するイメージと仮想マシンのみを管理し、インフラストラクチャの管理は不要です。ゲートウェイやブローカーなどの基盤インフラの役割を自分で管理する必要はありません。

AVD の運用担当者が管理するのは「セッションホスト VM」と「イメージ」だけ。ゲートウェイやブローカーなどの基盤は Microsoft がフルマネージドで運用してくれます。これが従来の RDS との大きな違いです。

ユーザー接続

割り当てが完了すると、ユーザーは Windows App または Remote Desktop クライアントを使用して、公開された Windows デスクトップやアプリケーションに接続できます。お使いのデバイスのネイティブ アプリケーション、または HTML5 Web クライアントを使用した Web ブラウザーから、どのデバイスからでも接続できます。

ユーザーが接続するには以下の方法があります。

  • Windows App:Windows / Mac / iOS / Android のアプリ
  • Web ブラウザー:アプリのインストール不要。ほぼどんなブラウザからでも接続できる

どのデバイスからでもアクセスできるのは、働く場所を選ばない現代のワークスタイルにぴったりですね。

サービスへのリバース接続を通じてユーザーを安全に確立できるため、インバウンド ポートを開く必要はありません。

再掲になりますが、これはセキュリティ上の重要ポイントです。インバウンドポートを一切開けないというのは、ファイアウォールの設定をシンプルに保てることを意味しますし、攻撃面を大幅に狭められます。

まとめ

Azure Virtual Desktop は一言で言うと「Azure 上に構築するフルマネージドの仮想デスクトップ基盤」です。インフラの管理負担を Microsoft に任せながら、セキュリティ・コスト・柔軟性をすべて兼ね備えた環境を作れます。

特に以下の点が他のソリューションと差別化されるポイントです。

  • Windows クライアント OS でのマルチセッション(AVD 独自機能)
  • インバウンドポート不要のリバース接続によるセキュリティ
  • スケーリング プランによるコスト最適化
  • FSLogix によるシームレスなプロファイル管理

('ω')ノ