cloud.config Virtual Desktop(ccVD)~Azure Active Directory Domain Services編~
2020-10-28
azblob://2022/11/11/eyecatch/2020-10-28-cloud-config-virtual-desktop-adds-000-1.jpg

大野 どうもーどうもー、FIXERボーイですぅー。お願いしまーす。
   ありがとうございますぅー。あーありがとうございますぅー!
   
荒井 いま、ねっ、今 「世界で一つだけの花」いただきましたけども(おじぎ)
大野 ありがとうございます、ねーもう、こんなんなんぼあってもいいですからね。

荒井 ありがたいです、いうとりますけどね。
   ちょっとねーあのー、今度友人の結婚式があんねんけどね。
大野 結婚式?めでたいねそれはねー。

荒井 友人にお勧めのVDI環境プレゼントしようと思うねんけどな。
大野 ええやんかそれな。

荒井 友人に気になるVDIソリューション聞いてんねんけどなー。
大野 ほうほうほう。

荒井 なんか何回か言ってたのに名前も忘れたんや。
大野 分からへんの?

荒井 おう。
大野 ほなね、俺が友人の気になるVDIソリューションの名前考えてあげるから。

荒井 うん。
大野 ちょっとどんな特徴言われたか教えてみてよ。

荒井 なんかあのー、Azure上で提供されるらしいねん。
大野 Azureね。

荒井 AzureActiveDirectoryで認証して。
大野 認証して。

荒井 仮想マシンがドメイン参加する必要があるねんな。
大野 ccVDのWVDやないかそれ。完全にその特徴ccVDやでお前。次のバージョンではそのあたり仕様が変わりそうだけどね。

荒井 分からへんねんな。
大野 ccVDやがな絶対に。

今回は、ccVDで必要となるAzure Active Directory Domain Servicesついてお話したいと思います。

以前AzureActiveDirectoryについてお話させていただきました。
https://tech-blog.cloud-config.jp/2020-10-07-cloud-config-virtual-desktop-ad/
その際にも
パターン1 Azure AD + Azure ADDS (Azureのみで完結パターン)
パターン2 Azure AD + Active Directory + Azure AD Connect(オンプレミスとのハイブリッドパターン)
としてAzure ADDSを利用するパターンがあるということを掲載いたしました。

認証としてAzure ADは必要となりますが、現在のWVDの仕様としてはドメイン参加する必要があります。

よって、このパターン1にもあるようにAzure ADDSを利用したパターンでccVDをお客様に提供するケースがございます。

■Azure Active Directory Domain Services(Azure ADDS)とは
https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/overview

このAzure ADDSですが、注意しなければならないことがあります。
それは
1 つの Azure AD ディレクトリに対して Azure AD Domain Services によって対応されるマネージド ドメインは 1 つだけ作成できるということです。
https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/faqs#can-i-create-multiple-managed-domains-for-a-single-azure-ad-directory

WVDの構成の例によくAzure ADDSが含まれております。すでに、Azureをご利用になられているお客様の場合にはすでにAzure ADDSを利用になられている場合があります。
よって、その場合には既存のAzure ADDSを利用したネットワーク構成を考慮してWVDを構築する必要があります。
そう、まさにAzureのテナントのなかで一つだけ存在できるのがAzure ADDSなのです。
なので、基本的にはハブスポーク型のネットワーク構成として、VNETピアリングを構成していく形になります。

■Azure のハブスポーク ネットワーク トポロジ
https://docs.microsoft.com/ja-jp/azure/architecture/reference-architectures/hybrid-networking/hub-spoke

次にAzure ADDSでよくはまるケースですが、

■パスワードの同期について
Azure ADDSを構築しても Azure ADDS上に同期された既存アカウントについては Azure ADが保持するパスワード情報が同期されません。

Azure ADDS構築後に Azure AD 側でパスワードを変更・リセットすることで Azure AD 上に Kerberos/NTLM 認証で利用するパスワード ハッシュが生成・格納されるようになります。
Kerberos/NTLM 認証で利用するパスワード ハッシュが Azure AD に格納された後、 Azure AD から Azure AD Domain Services にパスワード ハッシュが同期され、 Azure ADDS 上でサインインできるようになります。
なので、すでにAzure ADを利用している環境にAzure ADDS環境+WVDを構築してユーザーを登録しても実はログインすることができません。

今回はccVDで必要となるAzure Active Directory Domain Servicesについてのお話をさせていただきました。

働き方改革を実現しピンチをチャンスに変え、全社員にリモートワークを出来る環境を提供することをFIXERがご支援致します。
導入は段階的に可能で、コストはVMの利用に応じて発生するのでお手軽にスタート出来ます。

cloud.config Virtual Desktopの詳細をもっと知りたいという方は是非下記までアクセスいただきお問合せいただければと思います。

cloud.config Virtual Desktop 専用相談窓口
https://www.cloud-config.jp/services/vdi/