パソコンやタブレットなどのHTML5対応ブラウザから、クラウドの WindowsOS に接続して利用できるマイクロソフトのサービス Windows365 があります。
今回導入する機会があったので手順を共有します。
予備知識
エディションと必要ライセンス
中小企業向けのBusiness版(300ユーザまで)と、大企業向けのEnterprise版(無制限ユーザ)があります。
ライセンス1件につきユーザ1人が使用できます。クラウド上に作成したWindowsに複数のユーザが接続することはできません。
データを維持したままエディションを変更することはできません。業務データはOneDriveに置きましょう。
アプリケーション仮想化のRemoteAppアプリケーション(ホストで実行されるアプリケーションの画面だけを転送してクライアントのデスクトップ上に表示・操作する)は利用できません。
Business版を利用できる条件
- AzureADアカウント(組織アカウント)を持っている
- Microsoft365管理センターまたはAzureADポータルにアクセス可能な権限を持っている
Windows10 Proライセンス付きデバイスからサブスクリプション期間中に少なくとも1回アクセスできる場合、Azureハイブリッド特典を利用した割引価格が適用されるようです。Business版ライセンスを割り当てたユーザがWindows10 Proライセンス付きデバイスのメインユーザであること、そのデバイスが、そのユーザの主たる仕事用デバイスであることが必要とのことです。
Business版ではプライベートクラウドは無く、VPSがインターネットに直接公開されている感じなので、それなりのセキュリティ対策はしておいた方が良いです。
他、マスターイメージの作成ができない、アウトバウンド(外部へ転送される)データ量に上限あり、スケールアップできない、という制約があります。
Azure AD Join はサポートするので、AzureADのみの環境では、Business版を選択することになると思います。
なお記事執筆時点ではWindows11をサポートしていないようでした。
Enterprise版を利用できる条件
- Azureサブスクリプションを持っている(VMやVNetを作成するため)
- AzureAD P1、エンドポイントマネージャ(旧Intune。M365 E3/E5などに同梱)のライセンスを持っている
すべてのネットワークトラフィックはAzure仮想ネットワークを通過するので、ネットワークの使用についてはAzureの帯域幅の価格が適用されます。
ローカルADを利用する環境なら、Hybrid AD Join(AzureAD ConnectでローカルADのデバイスをAzureADに同期させること)が必須なので、Enterprise版を選択することになると思います。
Business版とEnterprise版の詳しい違いは公式情報を参照して下さい。
プランと価格
4GBメモリのBasicプラン、8GBメモリのStandardプラン、16GBメモリのPremiumプランの他、最小構成の2GBメモリ、最大構成の32GBメモリが選べます。
手順
ここではBusiness版の最小プラン(1 vCPU、2GBメモリ、64GBストレージ。月額2720円)で説明します。
Enterprise版ではAzure上での環境構築が必要になります。
購入方法
ネット上の解説記事では、Windows365.comから購入する手順が殆どですが、ここでは一般企業向けにMicrosoft365(旧Office365)から購入手続きします。
Microsoft365管理センターに、組織のグローバル管理者(or課金管理者)でサインインし、[サービスを購入する] をクリックします。
プラン(プロセッサ数・メモリ容量・ストレージ容量)と数量、ハイブリッド特典の同意をチェックし、[購入] をクリックします。
すべて完了したら、ライセンスをユーザに割り当てます。
この時点で、仮想マシンのデプロイがバックグラウンドで進行するようです。
Windows365の利用を開始すると、エンドポイントマネージャのデバイスに仮想マシンが表示されます。
クラウドPCの起動
クラウドPCとは、1ユーザにつき1つ用意されたデスクトップ環境のことです。
クラウドPCの管理と接続は、Windows365ポータルで可能です。
割り当てたユーザでWindows365ポータルにログインします。
初回はまだデプロイ中のはずです。何も問題なければ30分~1時間くらいでデプロイは完了します。
デプロイが失敗した場合
デプロイに失敗すると次のような表示になります。
セットアップが完了していません。クラウドPCをリセットしてください。
問題が解決しない場合は、Microsoft365管理センターでサポートリクエストを提出してください。
トラブルシューティング手順
本トラブルシュートは下記公式情報を要約したものです。必要に応じて参照して下さい。
Azureポータルにログインし、対処します。
[デバイスの設定] で次のことを確認します。
- [ユーザはデバイスをAzureADに参加させることができます] が [すべて] に設定されていること
- [AzureADを使用してデバイスを登録または参加させるには多要素認証が必要です] が [いいえ] に設定されていること
[すべてのユーザー] で検索ボックスに「BPRT」と入力し、Windows 365 BPRT Permanent User というユーザが作成されていることを確認して下さい。
作成されていない場合、ライセンスの割り当てから12時間以上経過した後に再度確認してみて下さい。
いずれも問題ない場合、条件付きアクセスのポリシーで多要素認証を設定していないか確認します。
Azure AD Premium P1 ライセンスを所有していると使えるようになる条件付きアクセスは、例えば、社外からのアクセスに多要素認証を要求したり、特定IPアドレス以外からのアクセスを拒否したり、スマホではOutlook以外からのメールを拒否したり、Intune準拠端末のみ特定アプリのアクセスを許可したり。。。といった制御を可能にするものです。ゼロトラスト(誰も信頼せず、全部確認する)の考え方です。
問題を修正できたら、クラウドPCをリセットします。
クラウドPCの接続方法
ブラウザから接続する場合
Windows365ポータルからクラウドPCを選択し、[ブラウザーで開く] をクリックします。
日本語106/109キーボードを指定します。
割り当てたユーザでクラウドPCにサインインします。
ブラウザでWindows10に接続できました!
初期状態は英語環境なので日本語化します。
[Settings]-[Language] から日本語ランゲージパックをインストールします。
Region(地域)の設定も忘れずに。
なお、グローバルIPアドレスをPowerShellで確認し、ラッコツールズで住所検索してみると、この仮想マシンはシンガポールにあることが判りました。
Invoke-WebRequest ifconfig.me
Business版は展開先リージョン(国)を選択できません。海外からのアクセスを拒否するアプリケーションを使う場合、Enterprise版でAzure東日本・西日本リージョンのVNet上に仮想マシンを作る必要があると思います。
リモートデスクトップアプリから接続する場合
Windows365ポータルからアプリをダウンロードします。
リモートデスクトップアプリにクラウドPCを登録します。
いつもの資格情報入力画面になるので、割り当てたユーザでログインします。
Windows365 の解約方法
ユーザの割り当てを解除した上で、[お使いの製品] から [サブスクリプションのキャンセル] をクリックします。
以上です。
使い勝手など評価できたら、また記事にするかもしれません。