Virtual Azure Community Days (2020/7/28)で登壇した時のスライドです。
Azureと Windows Virtual Desktopで新しいリスクに立ち向かおう不破 崇行Takayuki Fuwa
View Slide
Hello from Japan!• 名前• 不破 崇行• 住んでいるところ• 札幌市• 仕事• 昼:エコモット株式会社• 夜:東雲研究所(フリーランス)• いずれもエンジニア• 好きなAzureのサービス• AppService / WVD• 資格• AZ-900
今日お話したいこと• Windows Virtual Desktop (WVD)とは?• 実際のWVDセットアップ方法• WVDの仕組み、活用方法と注意点• 事例紹介
今日、どうしても伝えたい事• テクノロジーを駆使すれば、様々な外的要因リスクを低減出来る。• 更に言えば、人命を守れる可能性を引き上げることが出来る。
本セッションでの発言内容に関する免責事項• 本セッションでの発言内容は、あくまで個人の見解であり、所属組織を代表する内容ではありません• セッション内容については可能な限り正確な情報をお伝えするべく準備していますが、内容についてトラブルが発生した場合は責任を負いかねます• 私は医療関係の専門家ではありません。そのため、COVID-19に関する情報については内容を保障することが出来ません。• 専門家の方に助言を頂いている内容が一部にあります
新しいリスクに立ち向かう
COVID-19とテレワーク• 新型コロナウイルス(COVID-19)感染拡大を受け、日本でも4月7日に緊急事態宣言が発令され、不要不急の外出自粛が呼びかけられる• 北海道では、2月28日に独自の緊急事態宣言が発動• 外出自粛とセットで、「テレワーク」が推奨されるようになり、導入が進む
北海道知事からの要請• 地方自治体からの要請にも「在宅勤務・テレワーク」が含まれる• 「3密回避」と同じく社会的にも意識されつつあるhttp://www.pref.hokkaido.lg.jp/hf/kth/kak/kinkixyuuzitai0417new.pdf
テレワークの導入• COVID-19が日本でも感染拡大をする中、テレワーク制度導入は待ったなし• 極めて限られた時間(1週間?)でテレワークを導入する必要があった• 「働き方改革」ではなく、「人命・安全確保」が重要
2019年8月時点でのテレワーク導入状況• 2019年8月の調査では、テレワーク導入企業は「18.2%」ϫʔΫϙʔτௐIUUQTXXXXPSLQPSUDPKQ
テレワークの導入方法• テレワークを導入するにあたり、一般的な方法は次の通り• 業務PCのお持ち帰り• 私物PCをそのまま転用(私物PCに必要なアプリをインストール)• 仮想デスクトップの導入
PC持ち帰り・私物PC転用の問題点• 私物PC転用の問題点• データの管理やエンドポイントセキュリティをコントロール出来ない• 大体の企業ではNGだし、むしろOKしているケースはレアケースと推測• PC持ち帰りが出来ないケース• 企業のセキュリティポリシーで「PC持ち出し禁止」としている• ISO-27001導入時に設定したという事例もある• 自宅のインターネット回線は使用を禁止している• 会社が用意したモバイル回線のみ許可する事例もある
セキュリティポリシーを維持しつつ、テレワークを導入するのは難しい• 既存のセキュリティポリシーを急に変更するのは困難を極める• 大企業では特に難しいと推測• COVID-19の影響とはいえ、急なポリシー変更は「会社の信頼度」に大きく影響するため、COVID-19以上の悪影響をもたらす可能性がある• ISMS取得済みの企業だと、審査にも響く• とはいえ、従業員の安全確保も企業として重要• セキュリティポリシーを大きく変えずにテレワークを導入する必要がある
そこで、仮想デスクトップ環境(VDI)の出番• 私物PC(BYOD)を有効活用し、かつデータコントロールをしっかりしたい• 私物PCのスペックに左右されずに、均等に環境を配布したい• となると、「仮想デスクトップ環境」が選択肢となる。
どうして仮想デスクトップ?
そもそも「仮想デスクトップ」(VDI)とは• 正確には、「仮想デスクトップ基盤」• シンクライアント(シンクラ)と同じ意味)• デスクトップ環境をサーバに集約し、クライアントはPCからリモートデスクトップ(RDPなど)接続を行う利用者(PC・タブレット・スマートフォン)インターネットホストOS(Windows)
仮想デスクトップの歴史• ホストサーバへリモート接続するという概念はメインフレーム全盛期の頃から既にあった• X端末を起源と考えることもできる• 1960年代〜1980年代• 2006年、「Sun Ray 2」発売• サンマイクロシステムズ• Wiiより少し小さいぐらいのサイズで、消費電力は4W程度• ICカード・Fericaカード認証対応
仮想デスクトップのメリットüリソースを効率よく集約出来る• ホストマシンに対して集中的に投資することで、コストを最適化出来る• 逆にクライアント端末に対するコストを低く抑えることが出来るü包括的にセキュリティ施策を行える• ホストマシンに対する接続をファイヤウォールなどで確実に制御出来れば良い• OSのパッチ当てについても包括対応出来るüBYOD(私物)クライアント端末を受け入れしやすい• BYOD端末からRDP接続(必要に応じてVPN経由)させることで、データ保護を確実に行うことが出来る。
仮想デスクトップのデメリット• ホストマシンのリソース管理が結構手間• 仮想基盤(VMwareなど)上のWindowsマシンの管理が必要• ユーザーが増えてくると、ロードバランサやトラフィック管理もキツい• ユーザー数(社員数)が一気に増えた場合のホスト増設作業がキツい• Windowsのライセンス管理• Officeのライセンス管理はMicrosoft365(旧Office365)で制御出来るからそこまで難しくない
Windows Virtual Desktopとは?
Windows Virtual Desktopとは• 仮想デスクトップ環境をMicrosoft Azure上に用意することが出来るサービス• DaaS(Desktop as a Service)• Windows / Mac / Linux / iOS / Android対応• Windows10とWindows7を起動することが出来る• Windows7については、無料で延長セキュリティ更新プログラムを利用できる
WVDの便利なところ• ゲートウェイ、ロードバランサ、仮想ネットワークなどを自分で用意する必要が無い• 全てAzure上に構築することが出来る• Microsoft 365ライセンスがあればWindowsライセンスの追加購入が不要• ライセンス数について気にする必要が無い• 必要なMicrosoft365ライセンスは後述• マルチセッションに対応しているため、最低1台のWindows10のVMをAzure上に起動するだけでOK• 利用者の数だけVMを用意しなくてよい
必要なMicrosoft365ライセンス• 2020年7月28日時点の情報ですhttps://azure.microsoft.com/ja-jp/pricing/details/virtual-desktop/
WVD v1とv2の違い• 2020年5月、WVD v2がリリースされ、リソース管理がARMになった• 従来はPowershellを手動実行したりと構築手順が煩雑だったが、かなり楽になった• 今回は「v2」でお話を進めていきます
WVDのセットアップ
WVDの構築に必要なもの(全部Azure上で完結させる場合)• Azure Active Directory(AAD)• AAD(Azure上で使用する)とAD(オンプレ)とは仕様が異なるので注意• AAD Domain Services• ドメイン参加やグループポリシー適用に使用する• AD DSとコンセプトは大体同じ• WVDのユーザ認証はAAD・ADを使用する
WVDの構築に必要なもの(オンプレ上のADを使用する場合)• AAD と Active Directory(AD)• Active Directory Domain Controller(AD DC)• Azure AD Connect• オンプレADとAADを連携することが出来るhttps://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/whatis-azure-ad-connect
WVD環境の構築
環境構築• ホストプール• ホスト用VMを束ねる仕組み• 場所• 実際にVMが構築されるリージョンではない• ホストプールの種類• 「プール」にすると、可用性セットも作られる• 「個人」にすると、ユーザー個別にVMを割り当てることができる
環境構築• 仮想マシンの場所• これが実際にVMが構築されるリージョン• イメージ• Windows10• MS365搭載済みの物も選べる• 仮想ネットワーク• AAD/Domain Controllerを参照できるサブネットを選ぶ• パブリックIPは「いいえ」にする• ここでポート開放しなくてもWorkspaceがコネクティビティを保障してくれる
• 参加するドメイン• Domain Controllerで設定したドメイン• 組織単位のパス• 要するにOUの設定• 各AADの運用状況を考慮して設定• ADドメイン参加UPN• ホストVMをAADに参加させるためのユーザーアカウント• 専用で作ること• 「Domain Admins」は不要
環境構築• 「ワークスペース」は複数のWVD環境やRemoteAppを束ねることが可能
環境構築• あとは「作成」を押すだけ
よくあるトラブル• joindomain(AAD参加)が出来ない
joindomainがうまくいかない場合• 仮想ネットワークのDNS設定を確認する• Domain ControllerのプライベートIPをDNSサーバとして設定する• Domain Controllerで設定したドメイン名を正しくリゾルブ出来ず、AADまで通信出来ない
実際につないでみる
構築したWVD環境への接続方法は2つ• Microsoft Remote Desktop(ネイティブアプリ)からRDP• Webブラウザ上で画面操作
WVD環境へ接続(ブラウザ編)• Webブラウザで下記URLへアクセスする• https://rdweb.wvd.microsoft.com/arm/webclient
WVD環境へ接続(ブラウザ編)
WVD環境へ接続(ネイティブアプリ編)• Windows版、Mac版のアプリをダウンロード・インストールする• 本セッションではMac版を使用しています
WVD環境へ接続(ネイティブアプリ編)• WorkSpaceのURLは• https://rdweb.wvd.microsoft.com/api/arm/feeddiscovery
デバイスはどうする?• 私物PCでも対応可能• 会社のセキュリティポリシーは別• Stick PCを配布するケースもあり
これからの時代、どう対応していく?個人的な見解が多く含まれています。
COVID-19流行「前」には戻れない?• コロナ渦の影響で、感染症や危機管理に対する意識は大きく変わったのはほぼ間違いない• 今までのような生活様式は出来なくなる?
「新時代」の到来• 「アフターコロナ」ではなく、「新時代」と私は捉えています• 「テレワークという選択肢が増えた」というのも、新時代の到来なのでは?
臨機応変に対応出来ることが重要• COVID-19については感染収束の目処が経たない上、第2波、第3波と今後続くことが予想される• 「感染爆発」を引き起こす可能性もあれば、そのまま収束する可能性もある• つまり、先の予想を立てにくい• そのため、臨機応変に対応できる備えが重要• 必要に応じてWVDでテレワーク環境を即構築・配布できるように訓練を積む• BCPにも絡む
テクノロジーで人命確保をしよう• テレワークにまつわる技術は、通勤させないことで感染リスクを低減させる事が出来る• ゼロではないが、ゼロに近づけることが出来る• 「働き方改革」や「環境の平等性」という意識よりも、「人命の確保」が重要• 既存のテクノロジーを有効活用することで、安全保障を目指す
質問などなど