高度なインストール:分割 ID

Avatar
Nerdio Product Support

高度なインストール:分割 ID

この機能は、Nerdio Manager Premium エディションでのみ利用可能です。

従来のNerdio Manager展開は、インストールガイドに記載の手順と指示に従ってください。詳細についてはNerdio Managerインストールガイドを参照してください。ここに示す高度なインストール方法は、特定の場合にのみご利用ください。

警告: これは、特別な状況の場合にのみお勧めの高度なカスタムインストールNerdio Managerです。Nerdio Support のアドバイスと指導のもとでご利用ください。ご質問がある場合は、nme.support@getnerdio.com までご連絡ください。

Nerdio Managerの既定かつ最も一般的なインストール方法は、ユーザーとグループ(アイデンティティテナント)およびVMとセッションホスト(展開テナント)を含む単一のAzure テナントに展開することです。

アイデンティティ用と展開用に別々のAzure テナントを使用してNerdio Managerをインストールすることもできます。これを「分割 ID」展開と呼びます。

  • すべての請求可能なリソース(Nerdio Managerサポートコンポーネント、VM、ネットワーキング、ストレージなど)は、展開テナント内のサブスクリプションにプロビジョニングされます。

  • すべてのユーザー、グループ、およびAVD リソースは、アイデンティティテナント内のサブスクリプションにプロビジョニングされます。

    • アイデンティティテナントにプロビジョニングされたAVD リソースには、ワークスペース、ホストプール、およびアプリグループが含まれます。これらはすべて請求されないリソースであり、ユーザーとグループが割り当てられるため、アイデンティティテナントに存在します。

    • 展開テナント内のリソースは、アイデンティティテナント内のAVD コンポーネントに登録されています。

分割 ID インストールの前提条件

前提条件と要件:

  • インストールには PowerShell スクリプトの実行が必要です(Az モジュールが必要です)。クラウドシェルまたは自動化された方法は、高度なインストールをサポートしていません。

  • ユーザーアカウントを含むAzure テナント(アイデンティティテナント)には、有効なAzure サブスクリプションが必要です。これは、AVDがワークスペースとホストプールを登録するための要件です。

  • グローバル管理者、または特権ロール管理者とクラウドアプリケーション管理者を組み合わせた、展開テナント内のサブスクリプション所有者のクラウドネイティブユーザーアカウント(*onmicrosoft.comであることがお勧めです)。

  • グローバル管理者、または特権ロール管理者とクラウドアプリケーション管理者を組み合わせた、アイデンティティテナント内のサブスクリプション所有者のクラウドネイティブユーザーアカウント(*onmicrosoft.comであることがお勧めです)。

  • 展開ユーザーは、アイデンティティテナントにゲストユーザーとして招待し、グローバル管理者または特権ロール管理者とクラウドアプリケーション管理者を組み合わせたサブスクリプション所有者権限を付与する必要があります。

    注意: これは一時的なもので、初期展開と構成のためだけです。完了したら、展開テナントからゲストユーザーを削除し、権限を取り消してください。

  • アイデンティティテナントには、AVD リソースを登録するための Azure サブスクリプションが必要です。これは AVD の要件であり、Nerdio Managerではありません。

分割 ID インストール

以下の手順は、Nerdio Manager分割 ID インストールを実行する方法を詳述しています。

分割 ID インストールを実行するには:

  1. 展開テナントから、Azure Marketplace の新しい(空の)リソースグループにNerdio Managerをデプロイします。通常のインストールプロセスに従い、構成のために Az PowerShell スクリプトをダウンロードします。

  2. PowerShellスクリプトは、資格情報を求め、スプリットアイデンティティ構成でインストールしているか確認するように求めます。

    • 最初の認証プロンプトでは、展開テナントに対してAzureに認証し、デプロイメント管理者ユーザーとしてサインインしてください。

    • 2回目の認証プロンプトでは、展開テナントに対してEntra IDに認証し、デプロイメント管理者ユーザーとしてサインインしてください。

    • 3回目の認証プロンプトが表示され、アイデンティティテナントに対してAzureに認証します。アイデンティティ管理者ユーザーとしてサインインしてください。

      • スクリプトが'ユーザー' <identity_user_upn>をサービスから返しましたが、リクエスト内の<deployment_user_upn>のユーザーと一致しない場合、アイデンティティユーザーアカウントで認証する際、認証ダイアログに表示される他の全てのユーザーを「サインアウトして忘れる」に設定し、PowerShellが誤ったユーザーで認証しないようにしてください。Windowsには、展開管理者アカウント(またはその他のユーザー)のサインイン情報が保存されている場合があります。

      • 選択ウィンドウが表示されます。アイデンティティテナントにAVD コンポーネントを含むサブスクリプションを選択してください。

      • PowerShellは、Windowsからの保存された認証情報で自動的に認証される場合があります。その場合、保存された認証情報の問題を避けるために、(一時的な)新しくプロビジョニングされたAzure VMから試みてください。

    • 4回目の最終認証プロンプトで、アイデンティティテナントのEntra IDに認証し、アイデンティティ管理者ユーザーとしてサインインします。

  3. インストールスクリプトの残りの部分が正常に完了できるようにしてください。プロンプトが表示されたら、Entra ID管理者の同意を必ず付与してください。

    注意: 同意のためのプロンプトが2回表示される場合があります。必ず一致するユーザーアカウントで認証してください(まず、デプロイメントテナントで同意を要求する必要があります)。

分割 ID 構成

インストールが完了したら、分割 ID 構成を実行する必要があります。

分割 ID を構成するには:

  1. インストールスクリプトが終了したら、アイデンティティテナントのAzureADのエンタープライズアプリケーション内で、'nerdio-nmw-app'を見つけて選択し、次にユーザーとグループを選択します。

  2. ユーザー/グループの追加を選択し、招待されたゲスト展開管理者ユーザーを見つけて選択し、'WVD管理者'ロールを割り当てた後、保存を選択してください。

  3. Nerdio ManagerのURLを再度開き、デプロイメント管理者ユーザーとして認証します。

  4. ウィザードに従い、必要に応じてデプロイメントテナントのネットワーキングとリソースグループにリンクします。

  5. 構成ウィザードが完了したら、アイデンティティ管理者ユーザーアカウントとしてNerdio ManagerのURLにサインインします。

    • 設定 > Azure 環境に移動します。

    • リンクされたリソースグループタイル内で、リンクを選択します。

    • リストには、アイデンティティテナント内の利用可能なリソースグループが表示されるはずです。アイデンティティテナント内にAVDリソースを含むリソースグループを選択してリンクしてください(ワークスペース、ホストプール、アプリグループなど)。

      注:

      • これらは請求対象外のリソースであり、AVDに割り当てられたユーザーおよびグループと同じテナント内に存在する必要があります。

      • 新しいワークスペース作成時(アイデンティティ管理者ユーザーとして)、利用可能なリソースグループは、アイデンティティサブスクリプション内のリンクされたリソースグループに限定されます。

  6. 新しいワークスペースを作成した後、アイデンティティテナント内の追加の管理ユーザーに権限を付与してください。

権限と同意を確認する

分割 ID が構成された後、権限と同意を確認する必要があります。アプリケーションのインストール中に同意を求めるポップアップウィンドウが表示されるはずですが、Nerdio Managerアプリケーションの両テナントで権限の同意がなされていることを確認してください。

権限と同意を確認するには:

  1. デプロイメントテナントのEntra ID内で、API権限がアプリケーションに正常に付与されていることを確認してください。Entra IDのアプリ登録の下、すべてのアプリケーションで「nerdio-nmw-app」を検索し、API権限メニューを選択してください。

    注: リストされているすべての権限には緑のチェックマークが表示されるべきです。もしそうでない場合は、「管理者の同意を付与する」と書かれたボタンを選択してください。すべてが今、緑のチェックマークで表示されるはずです。

  2. デプロイメントテナントのEntra ID内で、サービス プリンシパルの権限が正常に付与されていることを確認してください。Entra IDのエンタープライズ アプリケーションの下で「nerdio-nmw-app」を検索し、権限メニューを選択してください。

    注: リストされているすべての権限には「付与者」の下に値が表示されるべきです。「管理者」またはユーザー名と表示される場合があります。(どちらでも大丈夫です。)

  3. アイデンティティテナントのEntra ID内で、サービス プリンシパルの権限が正常に付与されていることを確認してください。Entra IDのエンタープライズ アプリケーションの下で「nerdio-nmw-app」を検索し、権限メニューを選択してください。

    注: リストされているすべての権限には「付与者」の下に値が表示されるべきです。「管理者」またはユーザー名と表示される場合があります。(どちらでも大丈夫です。)

クリーンアップ

すべての設定手順が最終化されて完了したら、いくつかのクリーンアップを行う必要があります。

インストール後のクリーンアップを行うには:

  1. 分割アイデンティティインストールに使用された管理者ユーザーアカウントは、GAおよびサブスクリプション所有者の権限から削除できます。

  2. アイデンティティテナントにゲストとして招待された展開管理者ユーザーは、Nerdio Manager内のRBAC ロール > 割り当てからAVD管理者として削除する必要があります。

  3. 招待されたゲスト展開管理者ユーザーアカウントも、アイデンティティテナント(Entra ID のユーザー内)から削除してください。

既知の制限事項

分割 ID のインストールは、以下のシナリオをサポートしていません:

  • クロスクラウド環境はサポートされていません。ターゲットテナントは同じタイプでなければなりません(グローバル-グローバル、ガバメント-ガバメント)。

  • Entra ID に参加しているリソースはサポートされていません。ドメインとEntra IDドメインサービスのみがサポートされています。

  • AVD Monitor Insights はサポートされていません。

  • 接続時の開始はサポートされていません。

  • ユーザー別コスト配分の結果は変動する可能性があります。この機能はサポートされていません。

  • 統合エンドポイント管理 Intune 統合の結果は変動する可能性があります。この機能はサポートされていません。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

サインインしてコメントを残してください。