皆さん、こんにちは。今回は、Azure Virtual Desktop (AVD) を活用し、DX を進めるシリーズのブログを始めようと思います。これは、第一弾となります。 このシリーズのブログで、皆様 AVD を導入する際に、ご参考いただければ幸いです。
それでは、早速ですが、本題に入ります。
-
デジタルトランスフォーメーションは何?
デジタルトランスフォーメーションは、スウェーデンのウメオ大学のエリック・ストルターマン教授が2004年に提唱した概念で、「ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」というものです。2018年に経済産業省が、デジタルトランスフォーメーションについて日本人に向けにわかりやすくまとめたものが、「DX推進ガイドライン」です。
DX推進ガイドラインでは、デジタルフォーメーションついて、次のように定義しています。
『企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、
ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること。』
ちなみに、デジタルトランスフォーメーション(Digital Transformation)は、なぜ「DT」ではなく「DX」と表記するのでしょうか。自分と同じ疑問を持っている方もいらっしゃるでしょう。実は、英語圏では「Trans」の部分を「X」と略すことが、一般的だからです。
-
デジタルトランスフォーメーションは必要?
DXに取り組むメリットは、以下のとおりです。
- 業務の生産性向上
- 環境の変化に対応できる
- レガシーシステムからの脱却
1.業務の生産性向上
デジタルトランスフォーメーションを実現することで、これまで分散しがちであった業務を統合、自動化することができます。また、業務の効率化や生産性を向上させることができます。
RPAなど様々なDX化のためのツールが存在しますが、マーケティング業務のDX化のためのツールがMA(マーケティングオートメーション)です。
2.環境の変化に対応できる
顧客の変化、市場の変化、最近ではコロナによる働き方の変化などBtoB企業を取り巻く環境は変化し続けています。
様々な業務をDX化し、システム環境を整えておくことで、そのようなビジネスにおける様々な変化に柔軟かつスピーディーに対応することができます。
3.レガシーシステムからの脱却
後述するDXレポートによると、約8割の企業がレガシーシステムを抱えている認識しており、2025年には様々な業務上の問題が待ち受けているとされています。デジタルトランスフォーメーションを実現することで、レガシーシステムから脱却し、 全社横断的にデータ活用できる仕組みづくりを整えることにつながります。
-
デジタルトランスフォーメーションの重要性を示す「2025年の崖」とは?
2018年9月に経済産業省が「DXレポート〜IT システム『2025 年の崖』の克服と DX の本格的な展開〜」を発表し、その内容に多くの関係者が衝撃を受けたといわれています。
レポートでは、多くの企業では事業部ごとにシステム構築がされているため、既存のシステムは複雑で全社横断的にデータ活用ができていないことや、テクノロジーの進化に対応できる先端IT人材が不足していることを示しています。また、これらを解決できない場合、DXが実現できないだけでなく、2025年以降、年間で最大12兆円の経済損失が発生する恐れがある、と言及しています。
日本のデジタルトランスフォーメーションの推進は、海外と比較すると遅れており、各業界で取り入れることが求められています。デジタルトランスフォーメーション実現に活用させるためには、色々な技術や手法があります。例えば「AI」「IoT」「5G」などの技術を導入する。最新の技術CaaS、DevOpsなどを活用して、生産性を向上させます。一刻も早く自社のDXを進めたいと思いますが、以下のお悩みがないでしょうか。
- 自社の現状を把握できていない。
- これらの技術を導入する際に、どのぐらいのメリットは数字で見えない。導入すべきか判断しにくい。
- 最新の技術を生かせる人材を確保できていない。
-
Azure Virtual Desktopとは?
今回ご紹介したい 「Azure Virtual Desktop(以下AVD)とは?」 ですが、これらの中で一番失敗しない手法であります。DXの第一歩としては、これは相応しいでしょう。
なぜなら、
AS-ISなので、今まで、会社で管理しているPCと同様です。イメージの利用とか、GPOの設定とか、今まで通りでやるので、勉強する必要技術はあまりないです。
AVD自身は無料で、課金されるのはVMだけです。そのため、TCOを利用して、どのぐらいのコストを圧縮できるかは一目瞭然です。
運用の際にいくつか悩む点はありますが、本シリーズのBlogをフォローいただければ、クリアできると思います。
これから、AVDについて紹介します。
AVD(旧 Windows Virtual Desktop)とは、Microsoft Corporation(以下Microsoft社)が2019年から提供する仮想デスクトップサービス(DaaS)です。デスクトップ環境はMicrosoft Azure上で提供しており、迅速に必要なリソースを必要な分だけ展開できるサービスとなっております。
世の中がwithコロナの新しい生活様式へと変化していく中で、テレワークを実現する必要性と緊迫性が増加しています。こうした中でAVDを導入することにより得られるメリットは多くあります。
AVDが何のメリットを持っている?
AVDを導入することによるメリットは、以下の点になります。
- 拡張性と柔軟性
- 安全性と信頼性
- コストの最適化
- その他
-
拡張性と柔軟性
DaaS基盤としてMicrosoft Azureを利用しているため、いつでも必要なリソースを必要な分だけ利用が可能です。スケールアウトだけではなく、スケールインも可能です。本来IT部門が何日間もかかるPCの設定作業なども数時間で終わることができます。
-
安全性と信頼性
画面転送による接続のため、ローカルにデータは残りません。また多要素認証が標準で利用できるため、万が一、IDやパスワードが漏洩しても悪意のあるアクセスから回避しやすいです。
それから、Azure インフラストラクチャ上の信頼性の高い基盤から、ネットワークや仮想マシンレベルのいろいろな高可用性を確保するオプションが提供されています。
-
コストの最適化
管理コンポーネントはMicrosoftが管理で、IT管理のコストを削減できます。
Windows 10 マルチセッションによりコストを削減できます。通常Windows 10などのクライアントOSのVDIを利用するときは、仮想マシンをユーザーごとに割り当てる必要があります。しかしマルチセッション接続対応のWindows 10では、1台の仮想マシンで複数のユーザーにVDIを提供し共同で利用することができます。
これにより、社内PCが不要となり管理台数の増加を抑制し、資産管理も効率化できます。
また、社内PCの不具合対応などによる勤務を軽減でき、IT担当者の運用負荷を減らせます。
-
その他
その他として、以下の点があります。
- 複数のユーザーが同時に仮想ホストにアクセスできるWindows10 EnterpriseのマルチセッションOS (WVDのみ利用が許されたOS) が利用可能
- デスクトップとアプリケーションの両方を仮想化可能
- FSLogixによるユーザープロファイルのサインインの高速化
- Azure PortalからWVD管理画面を利用することで、仮想ホストのデプロイを簡素化
- Windows10 E3/E5を利用している場合、VDAライセンス不要
- 仮想ホスト、仮想ディスクの利用料金は従量課金
- Azure と Microsoft 365 の間は、Microsoft の高速バックボーンを利用するため、オンプレミスから Microsoft 365 に接続するよりも圧倒的に早い
AVDを導入したいと思いますが、何を配慮すべき?
この問題をクリアするためには、まず、AVDのアーキテクチャを理解する必要があると思います。
以下の図面、ご確認ください。
AVDの構成要素は、Microsoft社が管理する要素と、ユーザー自身で管理する要素の大きくふたつに分けることができます。
-
Microsoftが管理する要素
まずMicrosoft社が管理する要素について説明します。
コネクションブローカーやゲートウェイといったコントロールプレーンと呼ばれる要素をMicrosoft社が管理します。AVDの利用者は、コントロールプレーンを経由してそれぞれのローカルの端末からセッションホストVMにアクセスします。遅延などを防ぐため、コントロールプレーンをデプロイするリージョンをAVD利用者の地域と近づけるのが良いでしょう。
Web Access:利用者がAVDを利用する際にアクセスするサイトをホストします。
Diagnostics:セッションごとの利用状況を監視します。
Gateway:クライアントデバイスおよびセッションホストVMとSSLトンネルを確立し、安全な通信経路を提供します。
Broker:ユーザーごとに割り当てられたリソースへセッションを割り振ります。
また、この図に書いていないですが、接続するユーザーの情報を保存するため、Azure SQL Databaseが利用されています。こちらもMicrosoftにより、管理されています。
-
ユーザーが管理する要素
次にユーザー自身で管理する要素について説明します。
ユーザーが管理する主なリソースは、デスクトップ環境やアプリケーションをAVD利用者に提供するためのコンピューティングリソースです。これらのリソースは、リソースを使う利用者の数と利用の度合いに応じて、必要に応じてデプロイすることができます。
さらにそれらのリソースを利用する際の認証基盤として、Azureやオンプレミス環境のActive Directory (AD) と通信できる基盤が必要となります。合わせてユーザープロファイルを保存するストレージも必要となります。
Session Host:デスクトップ環境やアプリケーションを提供する仮想マシン(VM)。こちらのVMがDomain Serviceに参加する必要があります。
Azure AD:ユーザー認証を⾏う、および権限付与するための基盤。ユーザー情報などは、Domain Serviceから同期する必要があります。
Domain Service:ユーザー認証およびSession Hosts (VM)を管理する基盤。Azure Active Directory Domain Services(AD DS)が利用できますが、もしオンプレミスの環境に既存のDomain Serviceを利用したい場合は、オンプレミスと通信するためのゲートウェイなども必要となります。
その他:FSLogixなどを活用し、ユーザープロファイルの問題を解決することが可能です。その際に、ユーザープロファイルを保存するためのストレージなどもユーザーが管理する必要があります。詳しいことは、他のBlogで説明します。
アーキテクチャを理解できれば、上記の質問の答えが出るでしょう。つきましては、ユーザーが管理している部分は考えないといけないですね。
ライセンス条件
ライセンス条件について整理したいと思います。ご存知のとおりでオンプレミスと同様に、Windows Systemなどを使うためには、ライセンスが必要ですね。まずこの点をクリアしましょう。具体的には、以下の表をご参照ください。
OS |
必要とされるライセンス |
Windows 10 Enterprise マルチセッションまたは Windows 10 Enterprise |
Microsoft 365 E3、E5、A3、A5、F3、Business Premium |
Windows 7 Enterprise |
Microsoft 365 E3、E5、A3、A5、F3、Business Premium |
Windows Server 2012 R2、2016、2019 |
ソフトウェア アシュアランス付きの RDS クライアント アクセス ライセンス (CAL) |
インフラストラクチャが Windows Virtual Desktop をサポートするうえで必要なものは次のとおりです。
-
Azure Active Directory (AAD)
上記のように、これはユーザーの認証と権限付与の基盤となります。もしOffice 365やAzureなどを利用しているお客様であれば、既にAADを持っているため、なんの操作も要らず、この部分がクリアですね。
もし、Office 365やAzureなど、初めての方であれば、まず試用版で試してみて、自分の要件を満たすかを確認することをおすすめします。
下記より申請することができます。
https://azure.microsoft.com/ja-jp/free/
申請が完了したら、AADが使えるようになります。
-
Azure サブスクリプション
各リソースを作成するための箱となります。一つ注意点としては、サブスクリプションの親は、上記のAADである必要があります。もし、新規で申請した場合は、既に関連付けているので、特に操作は必要ありません。
-
AADと同期している Windows Server Active Directory
まずはAAD DSを使うか、オンプレミス環境に既存のDomain Serviceを使うかを決める必要があります。一般的には、クラウドのみの環境を利用したい場合は、AAD DSを利用することをおすすめします。オンプレミスのリソースを引継ぎ利用したい場合は、既存のDomain Serviceを使えばよいと思います。その場合、ネットワークの部分を配慮する必要があります。
-
ネットワークの周り
AAD DS を使う場合では、単純に同じ仮想ネットワークの中で、AAD DS用のサブネットとセッション ホスト用のサブネットを分けることが一般的です。もし、オンプレミスのDSを利用したいのであれば、VPN、Express Routeなどオンプレミス データセンターと接続するためのサービスを利用する必要があります。一つ注意点としては、カスタムDNSサーバーを利用する必要があります。詳しい手順などは、他のBlogに記載します。
-
Azure AD Connect
Windows Server Active DirectoryとAADを同期するためのサーバーです。
同期するObject数によって、事前にサイジングなどを行う必要があります。 もしAAD DSのみを利用する場合、これは必要ありません。具体的には、以下のAVD構成パターン例をご参照ください。
-
Session Hosts (ホストプール)
まず、利用するユーザー数や利用するシーンなどを事前に整理して、VMを作る際に利用するOSイメージやVMのサイズを決める必要があります。そして、利用するシーンにより、ホストプールのタイプを決める必要があります。 VMとユーザーが1:1にする必要がある場合、Personalを使う必要があります。VMとユーザーが1:nであれば、Pooledを利用するのが一般的です。
ちなみに、Domain Serviceに参加する必要があると書いていますが、実は、Domain Serviceにアクセスできるネットワークに置けば、自動的に参加するので、この辺は心配ありません。
上記全部をクリアすれば、とりあえず動く環境を作れるでしょう。 実際に運用する際に、いくつか配慮すべき点もあります。例えば、ユーザープロファイル、VMの監視、自動拡張、Windows Updateなど、これからのBlogで説明する予定なので、お楽しみください。
-
AVD 構成パターン
最後は、いくつかAVD構成パターン例を紹介します。
クラウド オンリーで構成するパターン
すべてのリソースがAzure内で完結する構成です。
すべての新規に認証基盤を構築したい場合や、小規模な検証を試したい場合におすすめな構成です。AADDS をAADCとADDCに置き換えることも可能です。
オンプレミスのADと同期し、Azure上のAD DSで認証を行う構成パターン
オンプレミス環境でADを運用しており、AzureとS2S VPNやExpressRouteで接続している場合におすすめの構成です。
AVDのVMからオンプレミスのリソースへアクセスしたい場合もこの構成が必要となります。AADC(Azure Active Directory Connect)はAzure・オンプレミスのいずれにも配置することができます。
このパターンのユーザーケースについては、以下のMS公開資料を参照ください。
https://docs.microsoft.com/ja-jp/azure/architecture/example-scenario/wvd/windows-virtual-desktop
オンプレミスのADと同期し、Azure上のAAD DSで認証を行う構成パターン
オンプレミスのADのユーザー情報を利用しつつ、オンプレミス環境とAzureを接続せずにAVDを利用したい場合の構成です。
AADCはインターネット経由でAzure ADと同期する必要があります。AADDS(Azure Active Directory Domain Services)はAzure ADからユーザー情報を同期し、AVDのVMからのAD認証に応答します。
このパターンのユーザーケースについては、以下のMS公開資料を参照ください。
https://docs.microsoft.com/ja-jp/azure/architecture/example-scenario/wvd/multi-forest-azure-managed
【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~前編~
【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~後編~ に続く
~~~~~ ”Azure Virtual Desktop(AVD)を活用してみよう”【全5回】シリーズ ~~~~~
☆【第1回】AVDを活用し、DXを進める(基礎編)
☆【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~前編~
☆【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~後編~
☆【第3回】AVDを活用し、DXを進める(構築編-ハイブリッドクラウド)~前編~
☆【第3回】AVDを活用し、DXを進める(構築編-ハイブリッドクラウド)~後編~
☆【第4回】AVDを活用し、DXを進める(運用編)
☆【第5回】AVDを活用し、DXを進める(統括編)