Azure ネットワーク接続の概要

[アーティクル]
07/23/2022

Azure ネットワーク接続 (ANC) は、Microsoft エンドポイントマネージャー管理センターのオブジェクトであり、ネットワークベースのリソースに接続するために必要な情報をクラウド PC プロビジョニングプロファイルに提供します。ANC が使用されます。

クラウド PC が最初にプロビジョニングされるとき。
最善のエンドユーザーエクスペリエンスを確保するために、オンプレミスインフラストラクチャへの接続が Windows 365 によって定期的にチェックされるとき。

ネットワーク接続の種類

結合の種類に基づいて、2 種類の ANC があります。どちらも、ネットワークベースのリソースへのトラフィックとクラウド PC アクセスを管理できますが、接続要件は異なります。

Azure AD Join: Windows Server Active Directory (AD) ドメインへの接続は必要ありません。
Hybrid Azure AD Join: Windows Server AD ドメインへの接続が必要です。 ANC を作成するときに、AD ドメインの詳細を指定する必要があります。

プロビジョニング

クラウド PC がプロビジョニングされると、ANC の情報は、プロビジョニングポリシーによって、クラウド PC に Azure サブネットをプロビジョニングするために使用されます。ANC に必要な情報は次のとおりです。

ネットワークの詳細: クラウド PC を関連付ける Azure サブスクリプション、リソースグループ、仮想ネットワーク、サブネット。プロビジョニングポリシーが実行されると、Microsoft がホストする Azure サブスクリプションにクラウド PC が作成されます。顧客のオンプレミスネットワークに接続するために、仮想ネットワークインターフェイスカード (vNic) が顧客提供の Azure 仮想ネットワーク (vNet) に挿入されます。この vNic を作成するには、Windows 365 に Azure サブスクリプションへの十分なアクセス権が必要です。
Active Directory ドメイン: 参加する Active Directory ドメイン、コンピューターオブジェクトの組織単位 (OU) の宛先、ドメイン参加を実行するための十分なアクセス許可を持つ Active Directory ユーザー資格情報。プロビジョニングポリシーが実行されると、クラウド PC は、この Active Directory ドメインに参加します。資格情報は、Windows 365 サービスに安全に格納されます。

プロビジョニング中、クラウド PC は Azure サブネットに接続され、ドメイン (Windows Server Active Directory または Azure Active Directory (Azure AD) のいずれか) に参加します。このプロセスにより、次のようなクラウド PC が作成されます。

ネットワーク上。
Azure AD に登録済み。
Microsoft エンドポイントマネージャーに登録済み。
ユーザーのサインイン要求を受け入れる準備済み。

ANC 設定は、プロビジョニング時にのみクラウド PC に適用されます。

最初の正常性チェック

ANC に含まれる情報は、クラウド PC のプロビジョニングに使用されます。プロビジョニングが成功するには、ANC で参照されるリソースが正常でアクセス可能である必要があります。 ANC オブジェクトが作成された後、Windows 365 によって以下の確認が行われます。

ANC から参照されるオブジェクトが正常である。
これらのオブジェクトに接続できる。

これらの正常性チェックは、提供された ANC 情報を使用してクラウド PC をプロビジョニングします。チェックの完全な一覧については、「Azure ネットワーク接続の正常性チェック」を参照してください。

この最初の ANC 正常性チェックが進行中の間は、プロビジョニングポリシーに割り当てることはできません。正常性チェックが完了して成功した後、ANC を 1 つ以上のプロビジョニングポリシーに割り当てることができます。

定期的な正常性チェック

プロビジョニング後、ANC 内の情報は、次の監視にも使用されます:

ネットワークベースのリソース間の接続正常性
Microsoft ホステッドサブスクリプションでホストされているクラウド PC

Windows 365 は、プロビジョニングの失敗やエンドユーザーエクスペリエンスの低下を引き起こす可能性のある構成の問題を報告します。この監視により、管理のオーバーヘッドが削減されます。これらの定期的なチェックの詳細については、「Azure ネットワーク接続の正常性チェック」を参照してください。

正常性チェックの頻度

ANC チェックは、1 から 6 時間に 1 回実行されます。

包括的なエンドツーエンドの正常性チェックには、最大 30 分かかる場合があります。正常性チェックは、この目的のためだけに自動作成される一時的な Azure 仮想マシンで実行されます。この仮想マシンは自動的に作成され、正常性チェックが完了すると削除されます。仮想マシンは指定した vNet に接続され、プロビジョニングを確実に成功させるためにチェックが実行されます。

チェックが完了すると、Microsoft エンドポイントマネージャー管理センターの Azure ネットワーク接続ペインに結果が表示されます。チェック結果の詳細については、「Azure ネットワーク接続の正常性チェック」を参照してください。

正常性チェックの再試行

完全な正常性チェックを手動でトリガーするには、Microsoft エンドポイントマネージャー管理センターにサインインし、[デバイス] > ([プロビジョニング] の下にある) [Windows 365] > [Azure ネットワーク接続] で Azure ネットワーク接続を 1 つ選択し、[再試行] を選択します。

Azure ネットワーク接続に必要なアクセス許可

ANC ウィザードには、Azure と、オプションでオンプレミスドメインリソースへのアクセスが必要です。 ANC には、次のアクセス許可が必要です。

Azure
- サブスクリプション所有者またはサブスクリプションユーザーアクセス管理者。
Active Directory (Hybrid Azure AD Join ANC のみ)
- AD ドメインがこの組織単位に参加するための十分なアクセス許可を持つ Active Directory ユーザーアカウント。

ANC を作成、編集、または削除するには、次のいずれかのアクセス許可も必要です:

Azure ADの Intune 管理者
クラウド PC 管理者
グローバル管理者

要件の完全な一覧については、Windows 365 の要件に関する記事をご覧ください。

Azure ネットワーク接続の変更

ANC の設定を変更しても、その ANC を使って以前にプロビジョニングされたクラウド PC には影響しません。後から変更した内容は、ANC の変更後にプロビジョニングされるクラウド PC にのみ反映されます。

以前にプロビジョニングされたクラウド PC で ANC 関連の設定を変更する場合は、クラウド PC を再プロビジョニングする必要があります。再プロビジョニングは破壊的なアクションであるため、本当に実行することが必要なアクションであることを確認してください。詳細については、「再プロビジョニング」を参照してください。

Azure ネットワーク接続の削除

使用中の ANC を削除することはできません。オブジェクトを削除する前に、この ANC を使用するプロビジョニングポリシーごとに次のいずれかのアクションを実行する必要があります。

別の ANC を使用するようにポリシーを変更する。
ポリシーを削除します。詳細については、「Azure ネットワーク接続を削除する」を参照してください。

これらの操作のいずれかを完了した後、ANC を削除できます。

Azure ネットワーク接続の最大数

各テナントの Azure ネットワーク接続の制限は 10 です。組織で 10 を超える Azure ネットワーク接続が必要な場合は、サポートに連絡してください。

ユーザーがクラウド PC にサインインしようとすると、ユーザー認証が行われます。

Hybrid Azure AD Join ANC の場合、ANC は、認証要求をドメインコントローラーにルーティングするために使用されます。 ANC またはドメインへのネットワーク接続が正常でない場合、ユーザーのサインインは発生しません。 Windows でキャッシュされた資格情報は、リモートデスクトップチャネルで使用できないため、ドメインコントローラーが利用できることが不可欠です。確実にネットワークが安定している状態にするか、クラウド PC と同じサブネットにドメインコントローラーサーバーを配置します。

Azure AD Join ANC の場合、ANC は認証要求を Azure AD にルーティングするために使用されます。 Windows でキャッシュされた資格情報は、リモートデスクトップチャネルでは使用できないため、Azure AD への接続が重要です。

次の手順

デバイスイメージの詳細

Azure ネットワーク接続を作成する