Azure RemoteApp の展開モデルの違いを知る(後編)
こんにちは、マイクロソフトの前島です。
前回、Azure RemoteApp には3つの展開モデルがあることをご紹介しました。
| 展開モデル | 概要 |
|---|---|
クラウド展開 (簡易作成) |
わずか数クリックで環境を作れる、最もシンプルなモデル |
| クラウド展開 (VNETで作成) | RemoteApp セッションホストを特定の VNET 上に展開するモデル |
| ハイブリッド展開 | RemoteApp セッションホストが、任意の Active Directory ドメインに参加するモデル |
各展開モデルの特徴は前回解説しましたが、説明しきれなかった情報として、「クラウド展開」と「ハイブリッド展開」では、利用できるアカウントの種類が異なるいうものがあります。下表のとおり公式ドキュメントにもまとめられていますが、少しわかりにくいで解説していきます。
| アカウントの種類 | クラウド | クラウド + VNET | ハイブリッド | |
| Microsoft アカウント | あり | あり | いいえ | |
| Azure Active Directory (Azure AD) | ||||
| Azure AD のみ | あり | あり | いいえ | |
| パスワード同期がある AD Connect | あり | あり | あり | |
| パスワード同期がない AD Connect | あり | あり | いいえ | |
| AD FS がある AD Connect | あり | あり | あり | |
| サード パーティの Azure サポート ID プロバイダー (Ping など) | あり | あり | あり | |
| Multi-Factor Authentication | あり | あり | あり | |
(出展: https://azure.microsoft.com/ja-jp/documentation/articles/remoteapp-collections)
Azure RemoteApp では、アカウントの種類として ”Microsoft アカウント” と “Azure Active Directory アカウント“ という2種類をサポートしています。
■ Microsoft アカウント
Microsoft アカウントは、かつて Windows Live ID と呼ばれていたもので、マイクロソフトの提供するさまざまな Web サービスで利用可能なアカウントです。任意のEメールアドレスを使ってアカウントを作成することもできますし、@Outlook.com や @Hotmail.com などのマイクロソフトが提供するメールアドレスを発行して登録することもできます。
「クラウド展開」モデルでは、このような Microsoft アカウントをユーザーとして登録できます。たとえば Azure RemoteApp で提供するアプリケーションを社外関係者やコンシューマー向けに提供したい場合、Microsoft アカウントとして登録された電子メールアドレスを指定するだけで OK です。「ハイブリッド展開」モデルでは、Microsoft アカウントをユーザーとして登録することはできません。
■ Azure Active Directory アカウント
Azure Active Directory (AAD) は、Azure 上で提供されるクラウドベースのディレクトリサービスです。AAD 上で直接アカウントを作成することもできますし、Azure AD Connect のような無償ツール(*)を使って、企業内で稼働中の Windows Server Active Directory (WSAD) から同期させることもできます。
(*) WSAD と AAD 間の同期ツールは、Azure AD Connect 以外に、DirSync や Azure AD Sync などがあります。いずれのツールでも実装可能ですが、これから作成する場合は最新の Azure AD Connect をご利用ください。
「クラウド展開」の場合、あらゆるタイプの AAD アカウントを Azure RemoteApp ユーザーとして登録できます。
一方 「ハイブリッド展開」では、もう少し細かく見ていく必要があります。このモデルはセッションホストが WSAD に参加し、ドメインで集中管理することを前提としたモデルです。そのため AAD 上で直接作成したアカウントには対応せず、WSAD と連携したアカウントのみ登録可能です。
さらに WSAD と AAD 間のアカウント連携にはいろいろな構成パターンがありますが、ハイブリッド展開モデルでの利用可否という観点でまとめると以下のようになります。
- ハイブリッド展開モデルで利用可能な AAD アカウント
- ID およびパスワードを同期させたアカウント
- ID 情報を同期し、かつ ADFS で WSAD と連携されたアカウント
- ハイブリッド展開モデルで利用不可能な AAD アカウント
- Azure AD 上で直接作成されたアカウント (WSAD との連携なし)
- ID のみを同期し、かつ ADFS による連携もないアカウント
文字にすると難解ですが、ようは WSAD をマスターとしたアカウントであり、かつ WSAD と AAD 間で同期またはフェデレーションされていれば ok ということになります。
なお、実際に Azure AD と WSAD を連携させる場合は、下記ドキュメントも参照ください。
【Azure RemoteApp に関する Azure AD と Active Directory の要件】
https://azure.microsoft.com/ja-jp/documentation/articles/remoteapp-ad/