SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

AVD環境にIntuneを導入する

  1. ホーム
  2. 技術ブログ
  3. 仮想化
  4. AVD環境にIntuneを導入する
仮想化
2023.09.22

はじめに

今回は、Azure Virtual Desktop(AVD)環境へのIntuneの導入と、セッションホストや接続元端末にIntuneを使ったアプリケーションの配信を記事としています。 セッションホストはIntune側の簡単な設定でOS上の操作なしに登録ができることや、アプリケーションの登録や設定に関しての注意点などを記載しております。AVDにIntuneの導入を検討される方などの何かしらのヒントになればと思います。
なお、この記事は2023年9月時点の内容となります。そのため、Azure ADの新しい名称であるMicrosoft Entra IDは用語として用いておりません。 また、必要なライセンスやIntuneの詳細な使い方についても触れていませんので、あらかじめご了承ください。

1. Intune導入前のAVD環境

  • ドメインコントローラ(DC)1台によるActive Directory(AD)構成
  • ADは、Azure AD Connect でAzure ADとディレクトリ同期済み ( Hybrid Azure AD参加は未設定 )
  • AVDセッションホストは、ADに参加

既存AVD環境 ( 略図 )
avd-intune-010.png

2. Intune導入、および設定

まず、Azure ADテナントへMDM機関として、Intuneの登録をおこないます。
次に、Intuneに自動登録する設定をおこないます。 設定方法とし、以下の2パターンを紹介します。

  • Azure ADへ新規に参加する端末
  • ADへ新規に参加する端末、または既にADに参加済みの端末
後者のADに参加する端末の場合には、Hybrid Azure AD参加の設定が前提条件であり、Hybrid Azure AD参加の設定から先におこないます。
以下、それぞれの画面ショットと簡単な説明文を記載しておきます。

2-1. MDM機関の確認

Intuneの登録は、Azure ADテナントでIntuneのライセンスを有効にした後、「Intune管理センター」で「デバイス」をクリックします。以下の画面で「Intune MDM機関」を選択して「選択」をクリックしてください。以下の画面が表示されない場合は、次に示すURLにアクセスして確認をしてください。

https://intune.microsoft.com/#view/Microsoft_Intune_Enrollment/ChooseMDMAuthorityBlade
「Intune MDM機関」が選択されていて「選択」ボタンがグレーになっていれば作業は不要です。
avd-intune-020.png

2-2. 自動登録設定

以下の設定で、Azure ADへ新規に参加する時、Intuneに自動登録されます。

・「Intune管理センター」で自動登録の設定

「Intune管理センター」のメニューから、[デバイス] - [デバイスの登録] - [自動登録]をクリックします。MDMユーザースコープを[一部(特定のグループのみ)]か、[すべて]を選択します。
画面のように[すべて]を選択すると、Azure ADへ新規に参加するすべての端末はIntuneに自動登録されます。
avd-intune-030.png

・「Azure AD Connect」上でHybrid Azure AD参加の設定

「Azure AD Connect」を起動して、[デバイスオプション]から[Hybrid Azure AD参加の構成]を選択します。
avd-intune-040.png

・「グループポリシー管理エディター」でグループポリシーの設定

ADの「グループポリシー管理エディター」で、「既定のAzure AD資格情報を使用して自動のMDM登録を有効にします」を[有効]にします。
設定対象は、AVDのセッションホストを含むOUなどへ割り当てるADのグループポリシーです。
ADのグループポリシーの階層は、以下のようになります。
・ADのグループポリシー
  [コンピュータの構成]
    - [ポリシー]
      - [管理用テンプレート]
        - [Windows コンポーネント]
          - [MDM]
avd-intune-050.png

3. アプリケーションの管理

ここでは、「FSLogix Agent」と「リモートデスクトップクライアント」の管理方法をご紹介します。どちらのアプリケーションも、"Microsoft Win32 コンテンツ準備ツール"で拡張子を.intunewin形式のファイルに変換してIntuneに登録します。
"Microsoft Win32 コンテンツ準備ツール"は、以下のサイトからダウンロードして環境を準備してください。

※ Microsoft Win32 コンテンツ準備ツールのダウンロードページ
「 Microsoft Win32 Content Prep Tool 」
https://github.com/Microsoft/Microsoft-Win32-Content-Prep-Tool

このツールは、.exe形式の単体のファイルやインストールファイルを含むフォルダを、一つのファイルとして.intunewin形式に変換することができます。
今回の環境では、このツールを次のフォルダにコピーして使用しています。
C:\Program Files\Microsoft-Win32-Content-Prep-Tool-master\

3-1. FSLogix Agentの管理

このアプリケーションは、AVDのセッションホストにインストールして利用します。
Microsoft Win32 コンテンツ準備ツールでインストールファイルを変換して、Intuneに登録します。このバージョンのアプリケーションがインストール済みかの検出規則は、レジストリがもつmsiのバージョンの値で判定しています。

・Microsoft Win32 コンテンツ準備ツールによる変換例

以下のスクリプト例では、[FSLogixAppSetup.exe]を C:\Temp\Input\フォルダにコピーをして、C:\Temp\Apps\フォルダに変換されたファイルが出力されます。
"C:\Program Files\Microsoft-Win32-Content-Prep-Tool-master\IntuneWinAppUtil.exe" -c C:\Temp\Input -s FSLogixAppsSetup.exe -o C:\Temp\Apps
avd-intune-060.png

・Intuneでの管理設定の例

・アプリケーションの追加 avd-intune-070.png ・Install / Uninstall avd-intune-080.png ・検出規則[レジストリ] avd-intune-090.png

3-2. リモートデスクトップクライアントの管理

以下の設定でWindows端末からAVDのセッションホストへの接続に利用するアプリケーションの管理をおこないます。
設定例はご紹介していますが、このアプリケーションの場合はひと手間かかります。Microsoft Learnに詳細な手順の記載がありますので、以下のリンクも参考にして頂ければと思います。

Microsoft社の参考ページ
「 Intuneまたは Configuration Manager を使用して、ユーザーごとに Windows 用リモート デスクトップ クライアントをインストールする方法 」
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/install-client-per-user?tabs=intune
このサイトに記載のある.ps1ファイルの内容を、実際のアプリケーション名に書き換えて、以下に貼っています。

・Install.ps1の内容
avd-intune-100.png

・Uninstall.ps1の内容
avd-intune-110.png

・Microsoft Win32 コンテンツ準備ツールによる変換の例

以下のスクリプト例では、Install.ps1とUninstall.ps1と、リモートデスクトップクライアントアプリケーション [RemoteDesktop_xxx_x64.msi]を C:\Temp\Input\フォルダにコピーをして、C:\Temp\Apps\フォルダに変換されたファイルが出力されます。
"C:\Program Files\Microsoft-Win32-Content-Prep-Tool-master\IntuneWinAppUtil.exe" -c C:\Temp\Input -s Install.ps1 -o C:\Temp\Apps
avd-intune-120.png

・Intuneでの管理設定の例

・アプリケーションの追加 avd-intune-130.png ・Install / Uninstall avd-intune-140.png ・検出規則[msi] (補足説明あり) avd-intune-150.png

・補足説明:検出規則に関して

参考にしたMicrosoft のページでは、検出規則の種類として[ファイル]を指定しています。しかし、この設定ではいずれかのバージョンのアプリケーションがインストールされてしまうと、次の更新時に既存のアプリケーションが検出されてしまい更新ができないと考えられます。そのため、この記事では検出規則の種類として[msi]と[製品ID]を採用しました。これにより、異なるバージョンのアプリケーションしかインストールされなくなります。
しかし、この方法では事前に[製品ID]を取得する必要があります。今回は一旦アプリケーションをインストールした後、レジストリから検索しました。

・参考:レジストリからの検索結果のメモ

msi ファイル名 MS製品ID
RemoteDesktop_1.2.4487.0_x64.msi D6EFD912-A363-4981-941B-3B89BE351E4F
RemoteDesktop_1.2.4485.0_x64.msi B29A07DB-FD7E-4BBC-8F08-9AD86DE5935D


4. まとめ

既存のAVD環境へIntuneを導入することは比較的容易であると思っております。また、既存のセッションホストや新規にAzure ADへ参加する接続元端末はIntuneに自動登録できるので、登録に関しても考慮は不要となります。ただし、既存にある接続元端末やAzure ADに参加していない端末は、手動でIntuneに登録する必要があります。内容が簡単なため、記事の中ではその手順の記載は省略しました。

アプリケーションの管理であげた2つのものは、更新を見落とされる、後回しにされることがよくあるものをピックアップしています。
FSLogixアプリケーションに関しては、新機能を使いたい時や、バージョンが古いことに起因する不具合等が発覚した時しか、バージョンアップの検討がされていないように思われます。しかしAVDのセッションホストが対象の場合、通常の手順としては、マスターイメージでアプリケーションをアップデートして該当するセッションホストのすべての再展開をおこなうか、セッションホストに1台ずつ管理者でサインインしてアプリケーションのアップデートを実施する必要があります。
ところがIntuneで管理すると、「Intune管理ポータル」から指示を出すだけで、セッションホストにサインインする事もなく、それこそ電源さえ入っていればインストールやアップデートが可能となります。

また、リモートデスクトップクライアントは、最新版がある場合は起動さえすれば更新を促す動作となっています。しかし、実際にはこちらのアプリケーションを直接起動せずにメニューに追加されたショートカットから起動する運用をよく見かけます。そのためアップデートに気づくことなく最新版ではないバージョンを使い続け、そのことに起因する不具合をよく見かけました。この場合もIntuneで管理すれば、更新されていない端末を見つけ、更新するバージョンのアプリケーションを配信することが可能となります。

以上のように、今回はAVDへのIntuneの導入は比較的簡単で、有益なアプリケーションも一元管理できるといった内容のご紹介でした。この組み合わせによって、もっといろいろな便利な機能を使えるのではないかと思います。また別の機会にでも、続けて検証してみたいと思います。

他のおすすめ記事はこちら

Azure上に行儀のよいAD DSを作ろう

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第1技術部 4課
光永 正明

Related Posts

関連記事