Windows Virtual Desktop (classic) #4 Tenant作成編

この記事のWVDは”Windows Virtual Desktop Fall 2019 Release”が対象です。最新の”Spring 2020 Relase”ではありません。Spring 2020 はこちら

Azure上で仮想デスクトップを実現する”Windows Virtual Desktop(WVD)”を実際に環境構築してみます。

WVDの作成は以下の流れで進めます。 今回の記事は”1. Tenant作成”になります。

  1. Tenant作成
  2. Host pool作成
  3. App group作成
  4. 接続テスト

1. システム構成について

システム構成イメージは以下の通りです。

Alibaba Cloud上にActive Directory Domain Service(ADDS)を構築し、Azure ADとAzure AD Connect(AADC)を利用しハイブリッド構成にしています。 Alibaba CloudとAzureはインターネットVPNで接続します。

ADDSはオンプレミスでもAzure上のVirutal MachineでもAzure AD Domain Serviceでも構成出来ると思います。 今回はAlibaba Cloudメインのブログだったことと、今後もこのADDSは継続利用しAzure ADとAlibaba Cloud上に構築したサービスと色々と連携したいということもあり、Alibaba Cloud上にADDSを構築しています。

なお、Windows 10の仮想マシンを展開し色々とテストしていくなかでNetworkの距離が課題になるかもしれません。 ADDSが日本、Virutal Machineが米国(今のWVDは米国のみ展開可能)となり、サインイン時のGroup Policy Objectのダウンロードに時間がかかることなどが想定されます。 その時はAlibaba Cloudの米国リージョンを利用するかAzure上にADDSのDomain Controllerを追加するなど何らかの対策を試すことになると思います。

2. 構築の手順について

WVDの構築手順は公式のドキュメントを参考に進めます。

「Tutorial: Create a tenant in Windows Virtual Desktop Preview」

https://docs.microsoft.com/ja-jp/azure/virtual-desktop/tenant-setup-azure-active-directory

上記のチュートリアルのページで以下の構築手順が紹介されています。この順番通りに進めていきます。

  1. Windows Virtual Desktop PreviewサービスへのAzure AD アクセス許可の付与
  2. Azure AD テナントのユーザーにTenantCreatorアプリケーションロールを割り当て
  3. Windows Virtual Desktop Previewテナントを作成

3. Windows Virtual Desktop PreviewサービスへのAzure AD アクセス許可の付与

まずは、WVDの利用に同意する必要があります。以下のサイトにアクセスします。

https://rdweb.wvd.microsoft.com/

ここではAzureADテナントのGUIDを入力する必要があります。



AzureAD TenantのGUIDを確認します。 Azure Active Directory 管理センターからプロパティのディレクトリIDを確認します。

”Consent Option”を”Client App”に変更し、GUIDに確認したディレクトリIDを入力し、”Submit”を実行します。

このあとサインインが求められるのでAzure ADの全体管理者の権限を持つアカウントでサインインします。

エラーが発生しました。 ”Consent Error”で理由は”access_denied”とのこと。Error descriptionには”not subscribed to or enabled. ”とあることからsubscribedされていないということでしょうか。

原因を考えてみると、指定したAzure ADはMicrosoft 365 E3契約時に新規に展開されたものでいわゆるIaaS/PaaSのAzureには紐づいていません。 Azureを申し込み、再度実行します。 なお、Azure申し込み時にはMicrosoft 365 E3の全体管理者のIDで申請しています。

今度は成功しました。 ただ、上記のAzure申し込み直後は上述のエラーが発生し、色々確認後に再実行したら成功したのでAzure側でのプロビジョニングのタイムラグが原因だった可能性もあります。

上記の画面で”承諾”をクリックすると以下の画面に遷移します。成功していますね。

このあとにConsentで”Server Apps”を指定し、同様に承諾します。

4. Azure AD テナントのユーザーにTenantCreatorアプリケーションロールを割り当て

Azure ADのエンタープライズアプリケーションの管理画面から”Windows Virtual Desktop”で検索し、表示された”Windows Virtual Desktop”をクリックします。

マニュアルではこの画面で利用するユーザを追加するのですが、すでに全体管理者のアカウントが追加されています。 Microsoft 365 E3 のライセンスは1つしか購入していない現状、ユーザーの追加は行わないことにします。

2019年5月15日 TenantCreatorロールの割り当てについて追記しました。

Azure AD のユーザにテナント作成の権限を付与します。

Azure ADの管理画面から”すべてのアプリケーション”の”Windows Virtual Desktop”をクリックします。

”ユーザーとグループ”からユーザーを選択し、”編集”をクリックします。

”TenantCreator”を選択します。

割り当てが完了すると、”割り当てられたロール”に”TenantCreator”と表示されます。

5. Windows Virtual Desktop Previewテナントを作成

次はテナントを作成します。 マニュアルの手順ではPowerShellから実行します。

Azure Portalにサインインし、Cloud Shellを起動します。

まずはWVDの管理に必要なモジュールをインストールします。

実行するコマンド

Install-Module -Name Microsoft.RDInfra.RDPowerShell

次にテナントの追加を行います。

実行するコマンド

Add-RdsAccount -DeploymentUrl “https://rdbroker.wvd.microsoft.com”

しかし、”Add-RdsAccount”が利用できません。 原因はちゃんと調べていないのですがマニュアルではPowerShell 5.0/5.1がサポート環境であることに対してCloud ShellのPowerShellのバージョンが6.1.3だからでしょうかね。

別の環境で実行することにします。 ADDSを構築したAlibaba Cloud ECS上のWindows Server 2016の標準のPowerShell環境でバージョンを確認します。

Versionは5.1.14939.2828です。 こちらで試してみましょう。

WVDの管理に必要なモジュールをインストールします。

実行するコマンド

Install-Module -Name Microsoft.RDInfra.RDPowerShell

次にテナントの追加を行います。

実行するコマンド

Add-RdsAccount -DeploymentUrl “https://rdbroker.wvd.microsoft.com”

サインインが求められるるのでサインインします。

正常に実行出来ました。

2019年5月15日 Windows Virtual Desktop テナント作成を追加しました。

次にWindows Virtual Desktop テナントを作成します。

実行するコマンド

New-RdsTenant -name bigriver -AadTenantId <(1) AADのTenantId> -AzureSubscriptionId <(2) AzureのSubscriptionId>

実行結果は以下の通りです。

”(1) AADのTenantId”の確認方法はAzure ADの管理画面からプロパティの”ディレクトリ ID”になります。

”(2) AzureのSubscriptionId”の確認方法は、Azure ポータルからサブスクリプションを確認します。

今回の記事はここまでとなります。次の記事ではHost poolの作成を行います。 

以上