今回はAzure Virtual Desktopにおいて、FSLogixのプロファイルコンテナーにAzure FIlesを利用してみたいと思います。
構築手順
構築はこちらを参考に行っていきます。
ザックリと以下のような手順になります(今回は、Azure ADDSではなく、普通にActive Directory Domain Servivceを利用します)
■手順:
- ストレージ アカウントの作成
- Azure FIlesをドメイン参加させる
- RBAC ロールをユーザーに割り当てる
- 動作確認
構築
1.ストレージアカウントの作成
まずはストレージアカウントの作成です。Azure Portalからストレージアカウントを選択し、作成をクリック。
ストレージアカウント名などの情報を入力して、次へ。今回はパフォーマンスは費用削減のため、Standardを選択しました。
詳細設定については、今回はいじらずに次へ
ネットワークの箇所では、プライベートエンドポイントを作成することが可能です。Microsoftのドキュメントでもプライベートリンクの利用が推奨されており(以下引用ご参照)、このタイミングで作成するのも良いと思います。
Azure Storage の Private Link を使用すると、データ アクセスのセキュリティ保護を強化し、セッション ホストからストレージ アカウントへのネットワーク待機時間を短縮できます。 これは、ExpressRoute 接続を使用するハイブリッド シナリオにも役立ちます。
エンタープライズ向けの FSLogix - Azure Architecture Guide | Microsoft Learn
プライベートエンドポイント作成時に、作成先のサブネットを求められるので、あらかじめ専用のサブネットを作っておくと良いと思います。
(どこかのドキュメントにPrivatelinkSubnetというサブネットを作成しているものがあったと思うのですが、見つかりませんでした・・・。見つかったら追記しようと思います)
ネットワークルーティングはいじらずに次へ。
データ保護に関しても今回はいじらずに次へ
暗号化に関してもいじらずに次へ
2. Azure FIlesをドメイン参加させる
次に、Microsoftが用意しているスクリプトの実行をを実行して、作成した Azure Filesをドメインに参加させます。手順は、以下リンクに従う形です。
注意点としては、PowerShellを管理者実行することくらいだと思います。途中、
- $subscriptionId
- $resourceGroupName
- $storageAccountName
の3つのパラメータが必要になりますが、ここはAzure Portalの作成したストレージアカウントを見れば確認できます。
3. RBAC ロールをユーザーに割り当てる
次に、AVDのユーザーがファイル共有にアクセスできるように、アクセス許可を付与します。これを行うには、各ユーザーに "記憶域ファイル データの SMB 共有の共同作成者" ロールを割り当てる必要があります。こちらも手順は、冒頭のドキュメントの通りです。
「1.ストレージアカウントの作成」で作成したAzure FilesにおいてIAMからロール割り当ての追加をクリックします。
次に、[記憶域ファイル データの SMB 共有の共同作成者] を選び、[次へ] を選びます。
[メンバー] タブで、[+ メンバーの選択] を選びます。 検索バーで、プロファイル コンテナーを使用するユーザーを含むセキュリティ グループを検索して選びます。事前に、AVD Usersのような形でセキュリティグループを作成しておくと良いと思います。
[レビューと割り当て] を選択して、割り当てを完了します。
4. 動作確認
さて、ここまでくればAzure Filesをプロファイル領域として利用できるようになっているはずです。セッションホストにログインして動作確認をしてみます
※セッションホストに対して、FSLogix Profile Containerのグループポリシーは適用済みであるものとします。もし適用されていない場合は、以下手順を参考にしていただけると幸いです。
今回は以上としたいと思います。冒頭の手順を見ると、「3.RBAC ロールをユーザーに割り当てる」のあとに、「NTFS アクセス許可を設定する」という手順で、ファイル共有のアクセス権を設定しています。この設定については別の機会にしたいと思います。
