チュートリアル: Azure Virtual Desktop (クラシック) でテナントを作成する

  • [アーティクル]

重要

  • この内容は、Azure Resource Manager Azure Virtual Desktop オブジェクトをサポートしていない Azure Virtual Desktop (クラシック) に適用されます。

  • 2023 年 9 月 30 日以降、新しい Azure Virtual Desktop (クラシック) テナントを作成できなくなります。 Azure Virtual Desktop (クラシック) は 2026 年 9 月 30 日に廃止されます。 その日までに Azure Virtual Desktop に切り替える必要があります。 詳細については、「Azure Virtual Desktop (クラシック) の廃止」を参照してください。

Azure Virtual Desktop でのテナントの作成は、デスクトップ仮想ソリューションを構築するための最初の手順です。 テナントは、1 つまたは複数のホスト プールのグループです。 各ホスト プールは複数のセッション ホストで構成されていて、Azure において仮想マシンとして動作し、Azure Virtual Desktop サービスに登録されます。 各ホスト プールはさらに、デスクトップおよびアプリケーションのリソースをユーザーに発行するために使用される、1 つ以上のアプリケーション グループで構成されます。 テナントを使用すると、ホスト プールの構築、アプリケーション グループの作成、ユーザーの割り当て、サービスを通じた接続の作成を行うことができます。

このチュートリアルで学習する内容は次のとおりです。

  • Microsoft Entra のアクセス許可を Azure Virtual Desktop サービスに付与します。
  • Microsoft Entra テナント内のユーザーに TenantCreator アプリケーション ロールを割り当てます。
  • Azure Virtual Desktop テナントを作成します。

テナントを設定するために必要なこと

Azure Virtual Desktop テナントの設定を開始する前に、次の点を確認してください。

  • Azure Virtual Desktop ユーザー用の Microsoft Entra ID テナント ID。
  • Microsoft Entra テナント内の全体管理者アカウント。
    • これは、顧客に Azure Virtual Desktop テナントを作成するクラウド ソリューション プロバイダー (CSP) 組織にも適用されます。 CSP 組織に所属する場合、顧客の Microsoft Entra インスタンスのグローバル管理者としてサインインできる必要があります。
    • 管理者アカウントは、Azure Virtual Desktop テナントを作成する Microsoft Entra テナントから提供する必要があります。 このプロセスは、Microsoft Entra B2B (ゲスト) アカウントをサポートしません。
    • 管理者アカウントは、職場または学校アカウントである必要があります。
  • Azure サブスクリプション。

このチュートリアルで説明されているプロセスが正常に機能するには、テナント ID、グローバル管理者アカウント、Azure サブスクリプションを用意できている必要があります。

Azure Virtual Desktop へのアクセス許可を付与する

この Microsoft Entra インスタンスのアクセス許可を Azure Virtual Desktop に既に付与している場合、このセクションはスキップしてください。

Azure Virtual Desktop サービスにアクセス許可を付与すると、Microsoft Entra ID に対して、管理タスクおよびエンドユーザー タスクに関するクエリを実行できます。

サービスにアクセス許可を付与するには:

  1. ブラウザーを開き、Azure Virtual Desktop サーバー アプリに対する管理者の同意フローを開始します。

    Note

    顧客を管理していて、顧客のディレクトリに管理者の同意を付与する必要がある場合は、ブラウザーに次の URL を入力し、{tenant} を顧客の Microsoft Entra ドメイン名に置き換えます。 たとえば、顧客の組織が Microsoft Entra のドメイン名 contoso.onmicrosoft.com を登録している場合は、{tenant} を contoso.onmicrosoft.com に置き換えます。

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=5a0aa725-4958-4b0c-80a9-34562e23f3b7&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  2. グローバル管理者アカウントを使用して Azure Virtual Desktop の同意ページにサインインします。 たとえば、Contoso 組織に属しているとしたら、アカウントは admin@contoso.com や admin@contoso.onmicrosoft.com になるでしょう。

  3. [Accept](承認) を選択します。

  4. Microsoft Entra ID が同意を記録できるように 1 分間待ちます。

  5. ブラウザーを開き、Azure Virtual Desktop クライアント アプリに対する管理者の同意フローを開始します。

    Note

    顧客を管理していて、顧客のディレクトリに管理者の同意を付与する必要がある場合は、ブラウザーに次の URL を入力し、{tenant} を顧客の Microsoft Entra ドメイン名に置き換えます。 たとえば、顧客の組織が Microsoft Entra のドメイン名 contoso.onmicrosoft.com を登録している場合は、{tenant} を contoso.onmicrosoft.com に置き換えます。

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=fa4345a4-a730-4230-84a8-7d9651b86739&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  6. 手順 2 で行ったように、グローバル管理者として Azure Virtual Desktop の同意ページにサインインします。

  7. [Accept](承認) を選択します。

TenantCreator アプリケーション ロールを割り当てる

Microsoft Entra ユーザーに TenantCreator アプリケーション ロールを割り当てると、そのユーザーは、Microsoft Entra インスタンスに関連付けられた Azure Virtual Desktop テナントを作成できます。 TenantCreator ロールを割り当てるには、グローバル管理者アカウントを使用する必要があります。

TenantCreator アプリケーション ロールを割り当てるには:

  1. TenantCreator アプリケーション ロールを管理するには、Azure portal にアクセスします。 [エンタープライズ アプリケーション] を選択します。 複数の Microsoft Entra テナントを操作する場合は、プライベート ブラウザー セッションを開き、URL をコピーしてアドレス バーに貼り付けるのがベスト プラクティスです。

    Screenshot of searching for Enterprise applications in the Azure portal

  2. [エンタープライズ アプリケーション] 内で「Azure Virtual Desktop」を検索します。 前のセクションで同意した 2 つのアプリケーションが表示されます。 これらの 2 つのアプリについて、 [Azure Virtual Desktop] を選択します。

  3. [ユーザーとグループ] を選択します。 アプリケーションへの同意を付与した管理者が、既定のアクセス ロールを割り当てられた状態で既に表示されている場合があります。 これだけでは Azure Virtual Desktop テナントを作成するのに不十分です。 以降の手順に従って、TenantCreator ロールをユーザーに付加します。

  4. [ユーザーの追加] を選択し、 [割り当ての追加] タブで [ユーザーとグループ] を選択します。

  5. 自分の Azure Virtual Desktop テナントを作成するユーザー アカウントを検索します。 わかりやすいように、これはグローバル管理者アカウントにできます。

    • Microsoft の ID プロバイダー (contosoadmin@live.com、contosoadmin@outlook.com など) を使用している場合、Azure Virtual Desktop にサインインできない場合があります。 代わりにドメイン固有のアカウントを使用することをお勧めします (admin@contoso.com、admin@contoso.onmicrosoft.com など)。

    A screenshot of selecting a user to add as

    Note

    この Microsoft Entra インスタンスに属しているユーザー (またはユーザーを含むグループ) を選択する必要があります。 ゲスト (B2B) ユーザーまたはサービス プリンシパルを選択することはできません。

  6. ユーザー アカウントを選択し、 [選択] ボタンを選択し、 [割り当て] を選択します。

  7. [Azure Virtual Desktop - ユーザーとグループ] ページで、Azure Virtual Desktop テナントを作成するユーザーに TenantCreator ロールが割り当てられた新しいエントリが表示されていることを確認します。

Azure Virtual Desktop テナントの作成を続行する前に、2 つの情報を入手する必要があります。

  • Microsoft Entra テナント ID (または ディレクトリ ID)
  • Azure サブスクリプション ID

Microsoft Entra テナント ID (または ディレクトリ ID) を見つけるには:

  1. 同じ Azure portal セッションで、Microsoft Entra ID を検索して選択します。

    A screenshot of the search results for

  2. 下にスクロールし、 [プロパティ] を選択します。

  3. [ディレクトリ ID] を探し、クリップボード アイコンを選択します。 この値を後で AadTenantId 値として使用できるように便利な場所に貼り付けます。

    A screenshot of the Microsoft Entra properties. The mouse is hovering over the clipboard icon for

Azure サブスクリプション ID を検索するには:

  1. 同じ Azure portal セッションで、サブスクリプションを検索して選択します。

    A screenshot of the search results for

  2. Azure Virtual Desktop サービスの通知を受け取るために使用する Azure サブスクリプションを選択します。

  3. サブスクリプション ID を探し、その値にマウス ポインターを合わせてクリップボード アイコンを表示します。 クリップボード アイコンを選択し、この値を後で AzureSubscriptionId 値として使用できるように便利な場所に貼り付けます。

    A screenshot of the Azure subscription properties. The mouse is hovering over the clipboard icon for

Azure Virtual Desktop テナントを作成する

これで、Microsoft Entra ID に対してクエリを実行するアクセス許可を Azure Virtual Desktop サービスに付与し、TenantCreator ロールをユーザー アカウントに割り当てたため、Azure Virtual Desktop テナントを作成できます。

まず、まだ行っていない場合は、PowerShell セッションで使用する Azure Virtual Desktop モジュールをダウンロードしてインポートします

次のコマンドレットと共に TenantCreator ユーザー アカウントを使用して、Azure Virtual Desktop にサインインします。

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"

その後、Microsoft Entra テナントに関連付けられた新しい Azure Virtual Desktop テナントを作成します。

New-RdsTenant -Name <TenantName> -AadTenantId <DirectoryID> -AzureSubscriptionId <SubscriptionID>

かっこで囲まれた値は、実際の組織およびテナントに関連する値に置き換えてください。 新しい Azure Virtual Desktop テナントに対して選択する名前は、グローバルに一意である必要があります。 たとえば、お客様が Contoso 組織の Azure Virtual Desktop TenantCreator であるとします。 実行するコマンドレットは次のようになります。

New-RdsTenant -Name Contoso -AadTenantId 00000000-1111-2222-3333-444444444444 -AzureSubscriptionId 55555555-6666-7777-8888-999999999999

アカウントからロックアウトされた場合や、自分が休暇を取るときに誰かに不在時のテナント管理者としての操作を誰かに実行してもらう必要がある場合に備えて、2 人目のユーザーに管理者アクセス権を割り当てることをお勧めします。 2 人目のユーザーに管理者アクセス権を割り当てるには、<TenantName><Upn> を実際のテナント名と 2 人目のユーザーの UPN に置き換えて次のコマンドレットを実行します。

New-RdsRoleAssignment -TenantName <TenantName> -SignInName <Upn> -RoleDefinitionName "RDS Owner"

次のステップ

テナントを作成した後、Microsoft Entra ID でサービス プリンシパルを作成し、Azure Virtual Desktop 内でそれにロールを割り当てる必要があります。 サービス プリンシパルを使用することで、Azure Marketplace オファリングである Azure Virtual Desktop を正常にデプロイしてホスト プールを作成できます。 ホスト プールについて詳しく学習するには、Azure Virtual Desktop でのホスト プールの作成に関するチュートリアルに進んでください。

PowerShell を使用してサービス プリンシパルとロールの割り当てを作成する