Contents
Entra ID認証有効化の前提条件
Azure Virtual Desktop(AVD)環境でEntra IDを導入する際、事前準備がスムーズな設定に直結します。本セクションでは、導入前のチェックリストと必要なリソースについて解説します。
ディレクトリ登録確認
AVD環境でのEntra ID統合は、Microsoft 365サブスクリプションの有無に強く依存します。まず以下の点を確認してください。
- サブスクリプションの有効性:Microsoft Entra IDの使用にはAzure Active Directory Premium P2ライセンスが必要です。
- ディレクトリ同期状況:オンプレミスADとEntra IDが同期している場合、既存ユーザーの移行計画を立てることを忘れないでください。
注意: Microsoft公式情報によると、2026年以降にレガシーサポートが終了する可能性があるため(参照: Microsoft Azure Roadmap)、事前に移行計画を策定しましょう。
ネットワーク構成要件
Entra ID認証を有効化するには、以下のネットワーク環境が必要です。ドメイン許可リストの網羅性を確認し、通信遮断を防ぐことが重要です。
- VNetへの接続:AVDホストプールとEntra IDの通信経路が確立されていること
- ファイアウォール設定:
login.microsoftonline.com、*.msauth.net、*.microsoftonline.comのドメインを許可する必要がある
| セキュリティ対策 | 設定内容 | 注意点 |
|---|---|---|
| ドメイン許可 | login.microsoftonline.com |
Microsoft公式ドキュメント参照推奨 |
*.msauth.net |
Azure ADのサードパーティ認証に必要 | |
*.microsoftonline.com |
セキュリティ更新により変更あり |
Azureポータルでのホストプール認証タイプ変更手順
Azureポータル経由でEntra ID認証を有効化するには、以下の3つのステップが必要です。
ホストプール設定画面へのアクセス
- Azureポータルにログインし、「All resources」から対象のホストプールを選択
- 左サイドバーの「Authentication type」をクリック
認証方法の選択フロー
- 「Microsoft Entra ID (Azure Active Directory)」を選択
- 「Save」ボタンで設定を確定
- 変更が反映されるまでに約5分かかる場合があります
重要なポイント:ホストプールの「Authentication type」は、一度変更すると戻せないため、事前に環境テストを実施してください。
変更後のテスト確認
以下の方法で設定の有効性を検証します。
- ユーザー権限チェック:Entra IDに登録されているユーザーがAVDにログインできるか確認
- ポータル表示確認:ホストプールの概要画面で「Authentication type: AzureAD」と表示されるかチェック
PowerShell/CLIによる認証設定コマンド
手動操作よりも迅速な作業を求める場合、PowerShellまたはAzure CLIを使用してEntra ID認証を構成できます。
Az Moduleでの基本構文
|
1 2 |
Connect-AzAccount -Environment AzureJapan2 |
- AzVirtualDesktopモジュールのインストール:
Install-Module -Name Az.VirtualDesktopを実行
リソースの権限付与コマンド
以下の手順で、ホストプールにEntra ID認証を許可します。
-
ホストプールのリソースID取得
powershell
$hostPool = Get-AzVirtualDesktopHostPool -ResourceGroupName "RG001" -Name "HostPool001" -
Entra ID認証を有効化
powershell
Update-AzVirtualDesktopHostPool -ResourceGroupName "RG001" -Name "HostPool001" -AuthenticationType "AAD"
設定反映後の検証スクリプト
設定が正しく適用されたかを確認するためのコマンドです。
|
1 2 |
Get-AzVirtualDesktopHostPool -ResourceGroupName "RG001" -Name "HostPool001" | Select-Object AuthenticationType |
| Azure CLI での対応例 | コマンド |
|---|---|
| ホストプールの認証タイプ変更 | az desktopvirtualization host-pool update --resource-group RG001 --name HostPool001 --authentication-type AAD |
シングルサインオン(SSO)とMFAの連携方法
Entra IDを活用することで、ユーザーにシームレスなログイン体験を提供できます。
Entra IDアプリ登録手順
- Azureポータル → 「App registrations」を開く
- 「New registration」を選択し、アプリ名とリダイレクトURL(
https://login.microsoftonline.com/common/oauth2/nativeclient)を入力 - 登録完了後、クライアントIDとシークレットキーを取得
条件付きアクセスポリシー構成
MFA導入の際には、以下の手順でポリシーを作成します。
- 「Security」→「Conditional access」を開く
- 「New policy」を選択し、以下を設定:
- Users and groups: Entra IDユーザーを指定
- Cloud apps or actions: 「Azure Virtual Desktop」を選択
- Conditions: 任意の条件(例:デバイスの状態)
- Access controls: 「Require multi-factor authentication」にチェック
ユーザー認証フローの可視化
SSO導入後のフローは以下の通りです。
- ユーザーがAVDにアクセス
- Entra IDトークンによる認証(パスワードレス)
- Windowsセッションへの自動ログイン
レガシー環境からの移行計画策定
既存のADFSやローカル認証からEntra IDへの移行には、段階的な戦略が必要です。
現状のインフラ構成分析
- 現行アカウントマネジメント方式:どの認証方式が使用されているかを確認
- ユーザー数と権限体系:移行後のアクセス制御を設計するための基準に
- ネットワーク環境:VNet間通信やファイアウォール設定の影響を評価
段階的な移行手順案
| フェーズ | 内容 |
|---|---|
| 1. プロトタイプ構築 | 小規模なホストプールでEntra ID認証をテスト |
| 2. スケーリング検証 | ユーザー数と負荷に応じた性能確認 |
| 3. 本番移行 | 全ユーザーへのスムーズな切り替えを実施 |
移行後の保守体制設計
- 監視ツールの導入:Azure MonitorやLog Analyticsで認証ログを可視化
- 定期的なポリシー見直し:MFAの有効性とセキュリティリスクの再評価
今すぐAzureポータルでEntra ID認証設定を開始
本記事で解説した手順をもとに、今日からEntra IDによるAVD環境構築に着手してください。以下のステップを確認して進めてください。
- 前提条件のチェック:サブスクリプションやネットワークが整っているか
- ポータルでの認証設定:ホストプールの「Authentication type」を「Microsoft Entra ID」に変更
- SSO/MFA導入準備:Entra IDアプリ登録と条件付きアクセスポリシーの作成
注意: 2026年以降にレガシーサポートが終了するため、現在は移行計画を優先的に実施することを推奨します。
(参考: Microsoft公式情報)