$30 off During Our Annual Pro Sale. View Details »

AzureとWindows Virtual Desktopで新しいリスクに立ち向かおう

AzureとWindows Virtual Desktopで新しいリスクに立ち向かおう

Virtual Azure Community Days (2020/7/28)で登壇した時のスライドです。

Takayuki Fuwa

July 28, 2020
Tweet

More Decks by Takayuki Fuwa

Other Decks in Technology

Transcript

  1. Azureと Windows Virtual Desktop
    で新しいリスクに
    立ち向かおう
    不破 崇行
    Takayuki Fuwa

    View Slide

  2. Hello from Japan!
    • 名前
    • 不破 崇行
    • 住んでいるところ
    • 札幌市
    • 仕事
    • 昼:エコモット株式会社
    • 夜:東雲研究所(フリーランス)
    • いずれもエンジニア
    • 好きなAzureのサービス
    • AppService / WVD
    • 資格
    • AZ-900

    View Slide

  3. 今日お話したいこと
    • Windows Virtual Desktop (WVD)とは?
    • 実際のWVDセットアップ方法
    • WVDの仕組み、活用方法と注意点
    • 事例紹介

    View Slide

  4. 今日、どうしても伝えたい事
    • テクノロジーを駆使すれば、様々な外的要因リスクを低減出来る。
    • 更に言えば、人命を守れる可能性を引き上げることが出来る。

    View Slide

  5. 本セッションでの発言内容に関する免責事項
    • 本セッションでの発言内容は、あくまで個人の見解であり、所属組織を代表する
    内容ではありません
    • セッション内容については可能な限り正確な情報をお伝えするべく準備してい
    ますが、内容についてトラブルが発生した場合は責任を負いかねます
    • 私は医療関係の専門家ではありません。そのため、COVID-19に関する情報
    については内容を保障することが出来ません。
    • 専門家の方に助言を頂いている内容が一部にあります

    View Slide

  6. 新しいリスクに立ち向かう

    View Slide

  7. COVID-19とテレワーク
    • 新型コロナウイルス(COVID-19)感染拡大を受け、日本でも4月7日に
    緊急事態宣言が発令され、不要不急の外出自粛が呼びかけられる
    • 北海道では、2月28日に独自の緊急事態宣言が発動
    • 外出自粛とセットで、「テレワーク」が推奨されるようになり、導入が進む

    View Slide

  8. 北海道知事からの要請
    • 地方自治体からの要請にも
    「在宅勤務・テレワーク」が含まれ

    • 「3密回避」と同じく社会的にも
    意識されつつある
    http://www.pref.hokkaido.lg.jp/hf/kth/kak/kinkixyuuzitai0417new.pdf

    View Slide

  9. テレワークの導入
    • COVID-19が日本でも感染拡大をする中、テレワーク制度導入は
    待ったなし
    • 極めて限られた時間(1週間?)でテレワークを導入する必要があった
    • 「働き方改革」ではなく、「人命・安全確保」が重要

    View Slide

  10. 2019年8月時点でのテレワーク導入状況
    • 2019年8月の調査では、テレワーク導入企業は「18.2%」
    ϫʔΫϙʔτௐ΂IUUQTXXXXPSLQPSUDPKQ

    View Slide

  11. テレワークの導入方法
    • テレワークを導入するにあたり、一般的な方法は次の通り
    • 業務PCのお持ち帰り
    • 私物PCをそのまま転用(私物PCに必要なアプリをインストール)
    • 仮想デスクトップの導入

    View Slide

  12. PC持ち帰り・私物PC転用の問題点
    • 私物PC転用の問題点
    • データの管理やエンドポイントセキュリティをコントロール出来ない
    • 大体の企業ではNGだし、むしろOKしているケースはレアケースと推測
    • PC持ち帰りが出来ないケース
    • 企業のセキュリティポリシーで「PC持ち出し禁止」としている
    • ISO-27001導入時に設定したという事例もある
    • 自宅のインターネット回線は使用を禁止している
    • 会社が用意したモバイル回線のみ許可する事例もある

    View Slide

  13. セキュリティポリシーを維持しつつ、
    テレワークを導入するのは難しい
    • 既存のセキュリティポリシーを急に変更するのは困難を極める
    • 大企業では特に難しいと推測
    • COVID-19の影響とはいえ、急なポリシー変更は「会社の信頼度」に大きく影響する
    ため、COVID-19以上の悪影響をもたらす可能性がある
    • ISMS取得済みの企業だと、審査にも響く
    • とはいえ、従業員の安全確保も企業として重要
    • セキュリティポリシーを大きく変えずにテレワークを導入する必要がある

    View Slide

  14. そこで、仮想デスクトップ環境(VDI)の出番
    • 私物PC(BYOD)を有効活用し、かつデータコントロールをしっかりしたい
    • 私物PCのスペックに左右されずに、均等に環境を配布したい
    • となると、「仮想デスクトップ環境」が選択肢となる。

    View Slide

  15. どうして仮想デスクトップ?

    View Slide

  16. そもそも「仮想デスクトップ」(VDI)とは
    • 正確には、「仮想デスクトップ基盤」
    • シンクライアント(シンクラ)と同じ意味)
    • デスクトップ環境をサーバに集約し、クライアントはPCからリモートデスクトップ
    (RDPなど)接続を行う
    利用者(PC・タブレット・スマートフォン)
    インターネット
    ホストOS(Windows)

    View Slide

  17. 仮想デスクトップの歴史
    • ホストサーバへリモート接続するという概念はメインフレーム全盛期の頃から既
    にあった
    • X端末を起源と考えることもできる
    • 1960年代〜1980年代
    • 2006年、「Sun Ray 2」発売
    • サンマイクロシステムズ
    • Wiiより少し小さいぐらいのサイズで、消費電力は4W程度
    • ICカード・Fericaカード認証対応

    View Slide

  18. 仮想デスクトップのメリット
    üリソースを効率よく集約出来る
    • ホストマシンに対して集中的に投資することで、コストを最適化出来る
    • 逆にクライアント端末に対するコストを低く抑えることが出来る
    ü包括的にセキュリティ施策を行える
    • ホストマシンに対する接続をファイヤウォールなどで確実に制御出来れば良い
    • OSのパッチ当てについても包括対応出来る
    üBYOD(私物)クライアント端末を受け入れしやすい
    • BYOD端末からRDP接続(必要に応じてVPN経由)させることで、データ保護を確実に
    行うことが出来る。

    View Slide

  19. 仮想デスクトップのデメリット
    • ホストマシンのリソース管理が結構手間
    • 仮想基盤(VMwareなど)上のWindowsマシンの管理が必要
    • ユーザーが増えてくると、ロードバランサやトラフィック管理もキツい
    • ユーザー数(社員数)が一気に増えた場合のホスト増設作業がキツい
    • Windowsのライセンス管理
    • Officeのライセンス管理はMicrosoft365(旧Office365)で制御出来るから
    そこまで難しくない

    View Slide

  20. Windows Virtual Desktop
    とは?

    View Slide

  21. Windows Virtual Desktopとは
    • 仮想デスクトップ環境をMicrosoft Azure上に用意することが出来るサービス
    • DaaS(Desktop as a Service)
    • Windows / Mac / Linux / iOS / Android対応
    • Windows10とWindows7を起動することが出来る
    • Windows7については、無料で延長セキュリティ更新プログラムを利用できる

    View Slide

  22. WVDの便利なところ
    • ゲートウェイ、ロードバランサ、仮想ネットワークなどを自分で用意する必要が
    無い
    • 全てAzure上に構築することが出来る
    • Microsoft 365ライセンスがあればWindowsライセンスの追加購入が不要
    • ライセンス数について気にする必要が無い
    • 必要なMicrosoft365ライセンスは後述
    • マルチセッションに対応しているため、最低1台のWindows10のVMをAzure
    上に起動するだけでOK
    • 利用者の数だけVMを用意しなくてよい

    View Slide

  23. 必要なMicrosoft365ライセンス
    • 2020年7月28日時点の情報です
    https://azure.microsoft.com/ja-jp/pricing/details/virtual-desktop/

    View Slide

  24. WVD v1とv2の違い
    • 2020年5月、WVD v2がリリースされ、リソース管理がARMになった
    • 従来はPowershellを手動実行したりと構築手順が煩雑だったが、かなり楽に
    なった
    • 今回は「v2」でお話を進めていきます

    View Slide

  25. WVDのセットアップ

    View Slide

  26. WVDの構築に必要なもの
    (全部Azure上で完結させる場合)
    • Azure Active Directory(AAD)
    • AAD(Azure上で使用する)とAD(オンプレ)とは仕様が異なるので注意
    • AAD Domain Services
    • ドメイン参加やグループポリシー適用に使用する
    • AD DSとコンセプトは大体同じ
    • WVDのユーザ認証はAAD・ADを使用する

    View Slide

  27. WVDの構築に必要なもの
    (オンプレ上のADを使用する場合)
    • AAD と Active Directory(AD)
    • Active Directory Domain Controller(AD DC)
    • Azure AD Connect
    • オンプレADとAADを連携することが出来る
    https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/whatis-azure-ad-
    connect

    View Slide

  28. WVD環境の構築

    View Slide

  29. WVD環境の構築

    View Slide

  30. 環境構築
    • ホストプール
    • ホスト用VMを束ねる仕組み
    • 場所
    • 実際にVMが構築されるリージョン
    ではない
    • ホストプールの種類
    • 「プール」にすると、可用性セットも
    作られる
    • 「個人」にすると、ユーザー個別に
    VMを割り当てることができる

    View Slide

  31. 環境構築
    • 仮想マシンの場所
    • これが実際にVMが構築される
    リージョン
    • イメージ
    • Windows10
    • MS365搭載済みの物も選べる
    • 仮想ネットワーク
    • AAD/Domain Controllerを参照
    できるサブネットを選ぶ
    • パブリックIPは「いいえ」にする
    • ここでポート開放しなくても
    Workspaceがコネクティビティを
    保障してくれる

    View Slide

  32. • 参加するドメイン
    • Domain Controllerで設定した
    ドメイン
    • 組織単位のパス
    • 要するにOUの設定
    • 各AADの運用状況を考慮して
    設定
    • ADドメイン参加UPN
    • ホストVMをAADに参加させるため
    のユーザーアカウント
    • 専用で作ること
    • 「Domain Admins」は不要

    View Slide

  33. 環境構築
    • 「ワークスペース」は複数のWVD
    環境やRemoteAppを束ねる
    ことが可能

    View Slide

  34. 環境構築
    • あとは「作成」を押すだけ

    View Slide

  35. よくあるトラブル
    • joindomain(AAD参加)が出来ない

    View Slide

  36. joindomainがうまくいかない場合
    • 仮想ネットワークのDNS設定を確認する
    • Domain ControllerのプライベートIPを
    DNSサーバとして設定する
    • Domain Controllerで設定したドメイン名
    を正しくリゾルブ出来ず、AADまで
    通信出来ない

    View Slide

  37. 実際につないでみる

    View Slide

  38. 構築したWVD環境への接続方法は2つ
    • Microsoft Remote Desktop(ネイティブアプリ)からRDP
    • Webブラウザ上で画面操作

    View Slide

  39. WVD環境へ接続(ブラウザ編)
    • Webブラウザで下記URLへアクセスする
    • https://rdweb.wvd.microsoft.com/arm/webclient

    View Slide

  40. WVD環境へ接続(ブラウザ編)

    View Slide

  41. WVD環境へ接続(ブラウザ編)

    View Slide

  42. WVD環境へ接続(ブラウザ編)

    View Slide

  43. WVD環境へ接続(ネイティブアプリ編)
    • Windows版、Mac版のアプリをダウンロード・インストールする
    • 本セッションではMac版を使用しています

    View Slide

  44. WVD環境へ接続(ネイティブアプリ編)
    • WorkSpaceのURLは
    • https://rdweb.wvd.microsoft.com/api/arm/feeddiscovery

    View Slide

  45. View Slide

  46. View Slide

  47. デバイスはどうする?
    • 私物PCでも対応可能
    • 会社のセキュリティポリシーは別
    • Stick PCを配布するケースもあり

    View Slide

  48. これからの時代、
    どう対応していく?
    個人的な見解が多く含まれています。

    View Slide

  49. COVID-19流行「前」には戻れない?
    • コロナ渦の影響で、感染症や危機管理に対する意識は大きく変わったのは
    ほぼ間違いない
    • 今までのような生活様式は出来なくなる?

    View Slide

  50. 「新時代」の到来
    • 「アフターコロナ」ではなく、「新時代」と私は捉えています
    • 「テレワークという選択肢が増えた」というのも、新時代の到来なのでは?

    View Slide

  51. 臨機応変に対応出来ることが重要
    • COVID-19については感染収束の目処が経たない上、第2波、第3波と今後
    続くことが予想される
    • 「感染爆発」を引き起こす可能性もあれば、そのまま収束する可能性もある
    • つまり、先の予想を立てにくい
    • そのため、臨機応変に対応できる備えが重要
    • 必要に応じてWVDでテレワーク環境を即構築・配布できるように訓練を積む
    • BCPにも絡む

    View Slide

  52. テクノロジーで人命確保をしよう
    • テレワークにまつわる技術は、通勤させないことで感染リスクを低減させる事が
    出来る
    • ゼロではないが、ゼロに近づけることが出来る
    • 「働き方改革」や「環境の平等性」という意識よりも、「人命の確保」が重要
    • 既存のテクノロジーを有効活用することで、安全保障を目指す

    View Slide

  53. 質問などなど

    View Slide