AVDでAD不要の AzureAD Join を試す!

Azure Virtual Desktopを導入するには、”Active Directory”と”AzurAD”をユーザー同期させる必要がありました。この構成が障壁となり導入を断念した方もいたかと思います。
ですが、この障壁が無くなるのです! 遂に、”AzureAD Join”に対応します!

セッションホストは、AzureADに参加するため、”AD” “AAD Connect”は不要となります。
今まで、ADで行っていた管理機能を”Intune”(必須では無い)で行う構成となります。
また、ADFS導入環境でも構築可能です。

[セッションホストからの通信要件]
・https://enterpriseregistration.windows.net
・http://azkms.core.windows.net:1688
・https://login.microsoftonline.com
・https://pas.windows.net

[利用のための諸条件]
・Active Directory & AzureAD Domain Serviceへの参加は不可
・AzureAD Join専用のホストプールが必要。AD認証との混在は不可
・AzureAD Join済みのセッションホストに対して、直接RDP接続が可能
※AAD User / Local User での接続が可能
・Windows上での権限は[一般ユーザー/管理者]のみ
・FSLogixが利用可能「Azure Files で Azure AD Kerberos 認証を試す!
・SSOサポート「AVDのAzureAD Join構成で SSO を試す!

[利用可能なOS]
・Windows 10/11 Enterprise Multi-Session ※2004以降
・Windows 10/11 Enterprise Single-Session ※2004以降
・Windows Server 2019以降 ※Intuneは利用不可

※AzureADに参加するために「AADLoginForWindows」拡張機能がインストールされます。


それでは、やってみましょ~

初めに、AzureAD Join専用のリソースグループを作成し、接続を許可するユーザーに対しRBAC設定を行います。

・仮想マシンのユーザーログイン:一般ユーザー権限
・仮想マシンの管理者ログイン:ローカル管理者権限

次に、セッションホストを作成する際に「Azure Active Directory」を選択します。
※上記リソースグループに作成します。

後は、アプリケーショングループに接続を許可するグループを割り当ててください。
※通常なら、RBACと同じグループになるでしょう。

Windows Client 以外から、セッションホストに接続する場合は、RDPプロパティに[targetisaadjoined:i:1]を追加してください。

作成が完了すると、AzureADー[すべてのデバイス]にて確認できます。


それでは、確認してみましょう!

セッションホストへのサインインは、AzureADユーザーで行います。

セッションホストで[dsregcmd /status]を実行すると、AzureAD Join が確認できます。

Single-Sessionだと、こちらでも確認できます。