Azure ネットワーク接続の概要

Azure ネットワーク接続 (ANC) は、ネットワーク ベースのリソースに接続するために必要な情報をクラウド PC プロビジョニング プロファイルに提供する、Microsoft Intune管理センターのオブジェクトです。 ANC は次の方法で使用されます。

• クラウド PC が最初にプロビジョニングされるとき。
• 最善のエンドユーザーエクスペリエンスを確保するために、オンプレミス インフラストラクチャへの接続が Windows 365 によって定期的にチェックされるとき。

ネットワーク接続の種類

結合の種類に基づいて、2 種類の ANC があります。 どちらも、ネットワーク ベースのリソースへのトラフィックとクラウド PC アクセスを管理できますが、接続要件は異なります。

• Microsoft Entra参加: Windows Server Active Directory (AD) ドメインへの接続は必要ありません。
• ハイブリッド Microsoft Entra 参加: Windows Server AD ドメインへの接続が必要です。 ANC を作成するときに、AD ドメインの詳細を指定する必要があります。

プロビジョニング

クラウド PC がプロビジョニングされると、ANC 内の情報がプロビジョニング ポリシーによって使用され、Azure サブネット内のクラウド PC がプロビジョニングされます。 ANC で必要な情報には、次のものが含まれます。

• ネットワークの詳細: クラウド PC を関連付ける Azure サブスクリプション、リソース グループ、仮想ネットワーク、サブネット。 プロビジョニング ポリシーが実行されると、Microsoft がホストする Azure サブスクリプションにクラウド PC が作成されます。 顧客のオンプレミス ネットワークに接続するために、仮想ネットワーク インターフェイス カード (vNic) が顧客提供の Azure 仮想ネットワーク (vNet) に挿入されます。 この vNic を作成するには、Windows 365 に Azure サブスクリプションへの十分なアクセス権が必要です。
• Active Directory ドメイン: 参加する Active Directory ドメイン、コンピューター オブジェクトの組織単位 (OU) の宛先、ドメイン参加を実行するための十分なアクセス許可を持つ Active Directory ユーザー資格情報。 プロビジョニング ポリシーが実行されると、クラウド PC は、この Active Directory ドメインに参加します。 資格情報は、Windows 365 サービスに安全に格納されます。

プロビジョニング中、クラウド PC は Azure サブネットに接続され、ドメイン (Windows Server Active Directoryまたは Microsoft Entra ID) に参加します。 このプロセスにより、次のようなクラウド PC が作成されます。

• ネットワーク上。
• Microsoft Entra ID に登録されます。
• Microsoft Intuneに登録されます。
• ユーザーのサインイン要求を受け入れる準備済み。

ANC 設定は、プロビジョニング時にのみクラウド PC に適用されます。

代替 ANC

リージョンの容量制約がまれな場合にクラウド PC のプロビジョニングの信頼性を高めるために、代替 ANC をプロビジョニング ポリシーに割り当てるオプションがあります。 ポリシーで使用する ANC の優先順位を定義できます。 最初の ANC が使用できない場合、ポリシーは優先順位リストの 2 番目の ANC を自動的に使用します。 2 つ目が使用できない場合は、次に進みます。 これにより、管理者は異なる Azure リージョンで複数の ANC を準備できるため、プロビジョニングの信頼性が高くなります。 複数の ANC を使用する必要はありません。 プロビジョニング ポリシーの作成時に代替 ANC を使用する方法の詳細については、「プロビジョニング ポリシーの作成」を参照してください。

最初の正常性チェック

ANC に含まれる情報は、クラウド PC のプロビジョニングに使用されます。 プロビジョニングが成功するには、ANC で参照されるリソースが正常でアクセス可能である必要があります。 ANC オブジェクトが作成された後、Windows 365 によって以下の確認が行われます。

• ANC から参照されるオブジェクトが正常である。
• これらのオブジェクトに接続できる。

これらの正常性チェックは、提供された ANC 情報を使用してクラウド PC をプロビジョニングします。 チェックの完全な一覧については、「Azure ネットワーク接続の正常性チェック」を参照してください。

この最初の ANC 正常性チェックが進行中の間は、プロビジョニング ポリシーに割り当てることはできません。 正常性チェックが完了して成功した後、ANC を 1 つ以上のプロビジョニング ポリシーに割り当てることができます。

定期的な正常性チェック

プロビジョニング後、ANC 内の情報は、次の監視にも使用されます:

• ネットワーク ベースのリソース間の接続正常性
• Microsoft ホステッド サブスクリプションでホストされているクラウド PC

Windows 365 は、プロビジョニングの失敗やエンドユーザー エクスペリエンスの低下を引き起こす可能性のある構成の問題を報告します。 この監視により、管理のオーバーヘッドが削減されます。 これらの定期的なチェックの詳細については、「Azure ネットワーク接続の正常性チェック」を参照してください。

正常性チェックの頻度

ANC チェックは、1 から 6 時間に 1 回実行されます。

包括的なエンドツーエンドの正常性チェックには、最大 30 分かかる場合があります。 正常性チェックは、この目的のためだけに自動作成される一時的な Azure 仮想マシンで実行されます。 この仮想マシンは自動的に作成され、正常性チェックが完了すると削除されます。 仮想マシンは指定した vNet に接続され、プロビジョニングを確実に成功させるためにチェックが実行されます。

チェックが完了すると、Microsoft Intune管理センターの Azure ネットワーク接続ウィンドウに結果が投稿されます。 チェック結果の詳細については、「Azure ネットワーク接続の正常性チェック」を参照してください。

正常性チェックの再試行

完全な正常性チェックを手動でトリガーするには、Microsoft Intune管理センターにサインインし、[デバイス>Windows 365 ([プロビジョニング] の下)>[Azure ネットワーク接続] で Azure ネットワーク接続>>の再試行を選択します。

Azure ネットワーク接続に必要なアクセス許可

ANC ウィザードには、Azure と、オプションでオンプレミス ドメイン リソースへのアクセスが必要です。 ANC には、次のアクセス許可が必要です。

• Intune Administrator、Windows 365 Administrator、または Global Administrator ロール。
• AD ドメインをこの組織単位に参加するための十分なアクセス許可を持つ Active Directory ユーザー アカウント (ハイブリッド参加 ANC のみMicrosoft Entra)。

ANC を作成または編集するには、少なくとも、ANC に関連付けられている VNET が配置されている Azure サブスクリプションにサブスクリプション閲覧者ロールが必要です。

要件の完全な一覧については、Windows 365 の要件に関する記事をご覧ください。

Azure ネットワーク接続の変更

ANC の設定を変更しても、その ANC を使って以前にプロビジョニングされたクラウド PC には影響しません。 後から変更した内容は、ANC の変更後にプロビジョニングされるクラウド PC にのみ反映されます。

以前にプロビジョニングされたクラウド PC で ANC 関連の設定を変更する場合は、クラウド PC を再プロビジョニングする必要があります。 再プロビジョニングは破壊的なアクションであるため、本当に実行することが必要なアクションであることを確認してください。 詳細については、「再プロビジョニング」を参照してください。

Azure ネットワーク接続の削除

使用中の ANC は削除できません。 オブジェクトを削除する前に、この ANC を使用するすべてのプロビジョニング ポリシーに対して次のいずれかのアクションを実行する必要があります。

• 別の ANC を使用するようにポリシーを変更する。
• ポリシーを削除する。 詳細については、「Azure ネットワーク接続を削除する」を参照してください。

これらの操作のいずれかを完了した後、ANC を削除できます。

Azure ネットワーク接続の最大数

各テナントの Azure ネットワーク接続の制限は 10 です。 組織で 10 を超える Azure ネットワーク接続が必要な場合は、サポートに連絡してください。

ユーザー サインイン

ユーザーがクラウド PC にサインインしようとすると、ユーザー認証が行われます。

ハイブリッド参加 ANC Microsoft Entraの場合、ANC は認証要求をドメイン コントローラーにルーティングするために使用されます。 ANC またはドメインへのネットワーク接続が正常でない場合、ユーザーのサインインは発生しません。 Windows でキャッシュされた資格情報は、リモート デスクトップ チャネルで使用できないため、ドメイン コントローラーが利用できることが不可欠です。 確実にネットワークが安定している状態にするか、クラウド PC と同じサブネットにドメイン コントローラー サーバーを配置します。

MICROSOFT ENTRA参加 ANC の場合、ANC は認証要求を MICROSOFT ENTRA ID にルーティングするために使用されます。 Windows キャッシュされた資格情報はリモート デスクトップ チャネル経由では使用できないため、Microsoft Entra ID への接続が重要です。

次の手順

デバイス イメージの詳細

Azure ネットワーク接続を作成する