AVDでEntra ID参加方式を用いてAzure Filesを使用してください。

これは、MicrosoftがKerberosでEntra IDを完全にサポートするまでの回避策です。Azure Blob Storageの代わりに、Azure Files Premiumはより高速なパフォーマンスを提供し、Nerdio Managerでバックアップをサポートします。

詳細については、Microsoft Entra IDを使用してAzure FilesにFSLogix プロファイルコンテナーを保存する方法をご覧ください。

この方法では、次の手順を完了してください：

• ステップ1: 必要なAzureリソースを作成する

• ステップ 2: ストレージアカウントキーをコピーする

• ステップ3: セキュアな変数を使用してスクリプト化されたアクションを作成します。

• ステップ4：ホストプールプロファイルに対してFSLogix プロファイルを設定します。

• ステップ5：Scripted Actions を設定します。

• ステップ 6: ホストプールを再イメージ化する

ステップ1: 必要なAzureリソースを作成する

最初のステップは、必要なAzureリソースを作成することです。これには、ストレージアカウントとストレージアカウント内のファイル共有が含まれます。

必要なAzureリソースを作成するには:

1. [<b>ストレージ</b>] > [<b>Azure Files</b>] に移動します。

2. Azure Filesの追加を選択します。

3. 新しいダイアログボックスで、次の情報を入力します:

   • ストレージアカウント: 新しいストレージアカウントの名前を入力し、その後、フィールドの下で作成[あなたのアカウント名]を新しいストレージアカウントとして選択します。

     注意事項:

     • ストレージアカウント名は、Azureリージョン内でグローバルに一意でなければなりません。

     • 24文字以内で、数字と小文字のアルファベットを含む必要があり、特殊文字やスペースは使用できません。

   • ストレージアカウントの説明: ストレージアカウントの意味のある説明を入力します。

   • リソースグループ: ドロップダウンリストから、新しく作成されたストレージアカウントとファイル共有のリソースグループを選択します。

   • リージョン: このストレージアカウントとファイル共有を作成するAzureリージョンを選択します。

     注意: AVDホストプールの場合、リージョンはAVDセッションホストVMと同じでなければなりません。

   • パフォーマンス: ドロップダウンリストからAzure Files共有のパフォーマンスレベルを選択します。

     ヒント: 最良のユーザーエクスペリエンスのためにプレミアムを選択することをお勧めします。ストレージアカウントが作成された後、この設定は変更できないことに注意してください。

   • レプリケーション: ドロップダウンリストからストレージレプリケーションのタイプを選択します。LRSは事前定義されています。

     注:

     • LRS（ローカル冗長ストレージ）: プライマリリージョン内の単一の物理的場所で、データを同期的に3回コピーします。LRSは最も安価なレプリケーションオプションですが、高可用性や耐久性が必要な環境には推奨されません。サーバーラックやドライブの故障に対する基本的な保護を提供し、コストが最も低く、重要でないシナリオに推奨されます。

     • ZRS（ゾーン冗長ストレージ）: プライマリリージョン内の3つのAzure可用性ゾーンにデータを同期的にコピーします。データセンターレベルの障害に対する保護を提供し、高可用性シナリオに推奨されます。

   • ファイル共有名: ストレージアカウントに作成するファイル共有の名前を入力してください。

     ヒント:

     • 同じストレージアカウント内に複数のファイル共有を作成できます。

     • ファイル共有名には、小文字、数字、ハイフンのみを使用できます。また、文字または数字で始まり、文字または数字で終わる必要があります。名前に連続する 2 つのハイフンを含めることはできません。

   • ファイル共有の説明: ファイル共有に関する説明を定義してください。

   • プロビジョニングされた容量 (GiB): プロビジョニングされた容量のサイズを入力してください。100 GBを超える必要があります。

     注意: プロビジョニングされた容量は、Azure Files Premium 共有のコストとパフォーマンスを定義します。

   • ストレージアカウントの構成

     • 共有レベルのアクセス許可: ストレージアカウントの既定の共有レベルのアクセス許可を設定するには、このオプションを選択してください。

       • SMB Share Contributor: すべての認証されたユーザーに共有への読み取り/書き込みアクセスを許可するには、このオプションを選択してください。

       • SMB Share Reader: すべての認証されたユーザーに共有への読み取り専用アクセスを許可するには、このオプションを選択してください（例: App Attach）。

     • ADまたはEntra IDに参加: ファイル共有がADまたはEntra IDに参加するのを防ぐには、このオプションをオフにしてください。

     • SMBマルチチャネルを有効にする: Azure Files Premiumのパフォーマンスを向上させるには、このオプションを選択してください。

     Azure Files SMB Multichannel を使用すると、クライアントは複数のネットワーク接続を利用してパフォーマンスを向上できます。複数の NIC にまたがる帯域幅の集約と、NIC の Receive Side Scaling (RSS) サポートによる I/O 負荷の複数 CPU への分散により、パフォーマンスが向上します。

   • ファイル共有の構成

     • 権限 (SMB Share Contributors): 共有に Storage File Data SMB Share Contributor のロールを持つユーザー、グループ、セキュリティグループを指定してください。

       注意事項:

       • これは共有への読み取り/書き込みアクセスに必要です。

       • まだグループがプロビジョニングされていない場合、フィールドは未定義のままにできます。

     • ホストプールからユーザー・グループを追加: ドロップダウンリストから、1つ以上のホストプールと、これらのホストプールに既に割り当てられているユーザーやグループを選択し、共有に Storage File Data SMB Share Contributor のロールを割り当てます。

     • NTFSファイルレベルの権限を割り当てる: 新しく作成されたファイル共有にNTFSファイルレベルの権限を割り当てるには、このオプションを選択してください。

       注:

       • このオプションは、権限割り当てタスクを実行するための一時VMを自動的に作成します。

       • 高度な設定で一時VMの構成を変更できます。

       新しいAzure Files共有で使用されるデフォルトのファイル権限の詳細については、Azureファイル共有のディレクトリおよびファイルレベルの権限を構成するを参照してください。

       • App Attach: 共有内のサブディレクトリに認証されたユーザーに読み取り権限を付与するには、このオプションを選択してください。App Attach アプリケーションを含む共有に推奨されます。

       • このオプションを有効にすると、共有内のルートディレクトリに対して Authenticated Users の変更権限が付与され、FSLogix プロファイルフォルダーを作成できるようになります。FSLogix プロファイルを含む共有に推奨されます。

     • 高度な設定を表示: 一時 VM 設定を定義するためにこのセクションを展開します:

       • 名前: 一時 VM に使用する名前を入力してください。

       • ネットワーク: ドロップダウンリストから、一時 VM を作成するネットワークを選択してください。このネットワークと VM は、上記で選択したストレージ場所にアクセスできる必要があります。

       • デスクトップイメージ: ドロップダウンリストから、イメージを選択してください。

       • VM サイズ: ドロップダウンリストから、VM サイズを選択してください。

         ヒント: タスクをより早く完了させるために、より大きな VM を選択してください。

       • OS ディスク: 一時 VM の OS ディスクを選択してください。

         ヒント: より早いコンテナ作成プロセスのために、プレミアム SSD ディスクを選択してください。

       • リソースグループ: ドロップダウンリストから、一時 VM のリソースグループを選択してください。

     • タグを適用: このセクションを展開し、新しいストレージアカウントと共有に適用するタグを指定してください。

       • タググループ: 必要に応じて、タググループを割り当ててください。

4. [<b>OK</b>] を選択します。

5. ストレージアカウント名（ファイル共有名ではなく）をコピーして、メモ帳に貼り付けてください。後でそれを Nerdio Manager のセキュリティ保護された変数に追加します。

6. Azure Files 共有の UNC パスをコピーしてください。これは ステップ4：ホストプールプロファイルに対してFSLogix プロファイルを設定します。: で提供する必要があります。

   1. Azure Files 共有名の横にあるコピー アイコンを選択してください。

   2. コピーした UNC パスをメモ帳に貼り付けてください。

ステップ 2: ストレージアカウントキーをコピーする

新しいストレージアカウントとそのストレージアカウント内の新しいファイル共有を作成したら、スクリプトに含める必要がある StorageAccountKey 値をコピーできます。

ストレージアカウントキーをコピーするには:

1. Azure ポータルで、ストレージアカウント に移動し、作成したストレージアカウントの名前を選択してください。

2. 左側のブレードのセキュリティ + ネットワーキングセクションで、アクセスキーを選択します。

3. Key1フィールドの下で、キーをコピーしてメモ帳に貼り付けます。

ステップ3: セキュアな変数を使用してスクリプト化されたアクションを作成します。

次のステップは、Entra ID Join Windows Credential Managerと必要なセキュアな変数のためのスクリプト化されたアクションを作成することです。

スクリプト化されたアクションを作成するには:

1. Nerdio Managerで、スクリプト化されたアクション > Windows スクリプトに移動します。

2. 新しいスクリプト化されたアクションを選択します。

3. 新しいダイアログボックスで、次の情報を入力します:

   • 名前: EntraIDWindowsCredentialManagerを入力します。

   • 説明: スクリプトの説明を入力します。

   • タグ: ドロップダウンリストからスクリプトのオプションタグを選択します。これらのタグは、検索と整理に使用されます。

   • スクリプト実行モード: ドロップダウンリストから再起動付きの個別を選択します。

   • スクリプト: 次のスクリプトをフィールドに貼り付けます。

     #変数

     $storageAccount=$SecureVars.FSlgxStorageAccount

     $user="localhost\$($storageAccount)"

     $fileserver="$storageAccount.file.core.windows.net"

     $secret=$SecureVars.FSLgxSecret

     #ストレージアカウントのローカル資格情報を作成します。

     cmdkey.exe /add:$($fileServer) /user:$($user) /pass:$($secret)

     #キーが存在するか確認します。

     if (-not(Test-Path "HKLM:\Software\Policies\Microsoft\AzureADAccount")) {

     #キーが存在しない場合は作成します。

     New-Item -Path "HKLM:\Software\Policies\Microsoft\AzureADAccount" -Force

     }

     #プロパティを追加または変更します。

     New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\AzureADAccount" -Name "LoadCredKeyFromProfile" -Value 1 -Type DWord -Force

     #資格情報ガードを無効にします。

     New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LsaCfgFlags" -Value 0 -force

4. 必要な情報をすべて入力したら、保存して閉じるを選択してください。

必要なセキュア変数を追加するには：

1. 設定 > 環境に移動します。

2. Nerdioタブで、ストレージアカウント変数を作成します：

   1. Secure Variablesセクションを展開し、Secure Variables を追加を選択します。

   2. 新しいダイアログボックスで、次の情報を入力します：

      • 名前：FSlgxStorageAccountを入力します。

      • 値：以前にメモ帳に保存したストレージアカウント名を貼り付けます。

      • 指定されたスクリプトアクションのみに変数を渡す：このオプションを選択すると、この変数は指定されたスクリプトアクションのみに渡されます。

      • スクリプトアクション：ドロップダウンリストから、以前に作成したEntraIDWindowsCredentialManagerスクリプトを選択します。

   3. [<b>OK</b>] を選択します。

3. Nerdioタブで、FSLogixシークレット変数を作成します：

   1. 変数セクションで、Secure Variable を追加を選択します。

   2. 新しいダイアログボックスで、次の情報を入力します：

      • 名前：FSLgxSecretを入力します。

      • 値：以前にメモ帳に保存したストレージアカウントキーを貼り付けます。

      • 指定されたスクリプトアクションのみに変数を渡す：このオプションを選択すると、この変数は指定されたスクリプトアクションのみに渡されます。

        スクリプトアクション：ドロップダウンリストから、以前に作成したEntraIDWindowsCredentialManagerスクリプトを選択します。

   3. [<b>OK</b>] を選択します。

ステップ4：ホストプールプロファイルに対してFSLogix プロファイルを設定します。

次のステップは、ホストプールプロファイル用のFSLogix 設定を行うことです。

ホストプールプロファイル用のFSLogix 設定を行うには：

1. 設定 > プロファイル管理に移動します。

2. 作業したいホストプールプロファイルの横にある鉛筆アイコンを選択します。

3. FSLogix プロファイル ストレージ構成ダイアログボックスに、次の情報を入力します：

   • FSLogix プロファイルパス (VHDLocation): 以前に記録したファイル共有の UNC パス \\[[STORAGEACCOUNTFQDN]\[FILESHARE] を入力してください。

     注: 例えば、 \\aadjfsl (\\aadjstorage01.file.core.windows.net\aadjfsl

   • FSLogix レジストリオプション

     1. 名前で検索設定 フィールドに、 AccessNetworkAsComputerObject を検索します。

     2. プロファイル設定 タブの 設定 列で、設定値を 1 に設定します。

4. [<b>保存</b>] を選択します。

ステップ5：Scripted Actions を設定します。

ホストプールプロファイルのFSLogix 設定を行った後、個々のホストプールで実行する Scripted Actions を設定する必要があります。

ホストプールの Scripted Actions を設定するには:

1. 作業したいホストプールを見つけます。

2. その他のオプション メニューから 設定 を選択します。

3. デスクトップ設定 ダイアログボックスで、Scripted Actions タブに移動します。

4. 次の情報を入力してください:

   • ホスト VM が作成されたときに Scripted Actions を実行する および ホスト VM が開始されたときに Scripted Actions を実行する: これらのオプションを有効にします。

   • スクリプトのドロップダウンリストから EntraIDWindowsCredentialManager を選択します。

5. 保存 または 保存して閉じる を選択します。

ステップ 6: ホストプールを再イメージ化する

すべてのセッションホストに新しい設定を適用するには、ホストプールを再イメージ化する必要があります。再イメージ化により、すべての VM が更新された設定で再構築されます。詳細については、ホストプールのサイズ変更または再イメージ化を参照してください。