Azure Virtual Desktop

The presented resiliency recommendations in this guidance include Azure Virtual Desktop and associated resources and settings.

Summary of Recommendations

Recommendations Details

AVD-1 - ファイル共有または Key Vault に接続するときにプライベート リンクを使用します

Category: Access & Security

Impact: Medium

Guidance

Private Link は、Azure Files や Key Vault など、Azure Virtual Desktop と連携して動作する他の Azure サービスで使用できます。回復性の観点から、これらのサービスにプライベート エンドポイントを実装して、待機時間、パケット損失、ダウンタイムなどの潜在的なインターネット関連の問題にさらされる可能性を減らすことをお勧めします。これにより、AVD と依存サービス間の通信の信頼性が高まります。

Resources

• Learn More
• Private link

Resource Graph Query

// under-development

AVD-2 - AVD のサービスの正常性とリソースの正常性を監視します

Category: Monitoring

Impact: High

Guidance

Service Health を使用して、可用性を保証するために使用する Azure サービスとリージョンの正常性について常に情報を入手します。 サービスの問題、計画メンテナンス、または Azure Virtual Desktop リソースに影響を与える可能性のあるその他の変更を常に把握できるように、Service Health アラートを設定します。 Resource Health を使用して、VM とストレージ ソリューションを監視します。

Resources

• Learn More

Resource Graph Query

// under-development

AVD-4 - 可用性ゾーン間で Azure Virtual Network にドメイン コントローラーと DNS サーバーをデプロイします

Category: Availability

Impact: High

Guidance

AVD で AD DS ID ソリューションを使用する場合は、可用性ゾーン間で Azure 仮想マシンにドメイン コントローラーと DNS サーバーをデプロイすることをお勧めします。これにより、オンプレミス サービスへの依存関係がなくなることで環境の信頼性が向上し、ユーザー認証のパスが短くなることでパフォーマンスが向上します。

この推奨事項は、ID プロバイダーとして Microsoft Entra を利用している場合には関係ありません。

Resources

• Learn More

Resource Graph Query

// cannot-be-validated-with-arg

AVD-5 - パブリックネットワークまたはマネージドネットワークにRDPショートパスを実装します

Category: Networking

Impact: Medium

Guidance

AVD の RDP Shortpath を有効にすることをお勧めします。RDP Shortpath は、サポートされている Windows リモート デスクトップ クライアントとセッション ホストの間に直接 UDP ベースのトランスポートを確立する Azure Virtual Desktop の機能です。既定では、リモート デスクトップ プロトコル (RDP) は UDP を使用して接続を確立しようとし、フォールバック接続メカニズムとして TCP ベースの逆接続トランスポートを使用します。TCP ベースの逆接続トランスポートは、さまざまなネットワーク構成と最高の互換性を提供し、RDP 接続を確立するための高い成功率を備えています。UDPベースのトランスポートは、接続の信頼性が高く、遅延の一貫性が高くなります。

Resources

• Learn More

Resource Graph Query

// under-development

AVD-6 - 複数リージョンの BCDR 計画を実装します

Category: Disaster Recovery

Impact: Medium

Guidance

AVD にはマルチリージョン デプロイ(アクティブ/アクティブ)を採用することをお勧めします。各リージョンには、プライマリ リージョンが停止した場合に備えて、少なくとも ID、名前解決、AVD 管理リソース、およびセッション ホストが含まれている必要があります。

Resources

• Multi-region BCDR
• Learn More

Resource Graph Query

// under-development

AVD-7 - ディザスタリカバリのためにゴールデンイメージを冗長的に保存します

Category: Disaster Recovery

Impact: Low

Guidance

完全な BCDR 戦略が設定されていない場合は、ゾーン冗長ストレージを使用して、可用性ゾーン間でゴールド イメージを格納することを検討してください。イメージを利用できるようにしておくと、ゾーンまたはリージョンの停止が発生した場合に、より迅速な回復が可能になります。

Resources

• Golden Image
• Learn More

Resource Graph Query

// under-development

AVD-8 - AVD リソースのキャパシティ プランニングを行います

Category: Disaster Recovery

Impact: Low

Guidance

サブスクリプションの制限と API の調整制限を監視して計画します。Azure Virtual Desktop のデプロイを綿密に監視し、サブスクリプション内のリソースの使用状況を追跡します。容量をプロアクティブに監視することで、潜在的な課題を早期に特定し、制限に達しないように適切なアクションを実行できます。 さらにスケーリングが必要な場合は、複数のサブスクリプションにまたがってスケーリングすることを検討するか、Azure サポートと連携して、ビジネス要件に基づいて制限を調整してください。 多数のユーザーを処理するには、複数のホスト プールを作成して水平方向にスケーリングすることを検討してください。

Resources

• Capacity Planning
• Learn More

Resource Graph Query

// under-development

AVD-9 - FSLogix ストレージ アカウントが冗長であることを確認します

Category: Availability

Impact: Medium

Guidance

FSLogix を使用するときは、ユーザー プロファイルの冗長性を確保することが重要です。AVD で FSLogix を使用する場合、ストレージ アカウント内のファイル共有にデプロイされます。Azure Storage アカウント内のデータは、常にプライマリ リージョンで 3 回レプリケートされます。以下は、プライマリまたはペアのリージョンでデータをレプリケートする方法のオプションです。 LRS は、レプリケーションのコストが最も低くなります (高可用性と持続性を備えたアプリには推奨されません)。

• LRS は イレブン ナイン の耐久性を提供し、1 つの物理的な場所で 3 回複製します。
• ZRS は、ゾーン間で高可用性を必要とするアプリに推奨されます。ZRS は トゥエルブ ナイン の耐久性を提供します。3 つの可用性ゾーン間でレプリケートされる
• GRS は、さらに 3 つのコピーをセカンダリ領域にレプリケートし、シックスティーン ナイン の耐久性を提供します。
• GZRS は、geo レプリケーション全体で高可用性と冗長性の両方を提供します。1年間で シックスティーン ナイン の耐久性を提供します。

一般的には、できるだけ安全で冗長なデータを保存することをお勧めします。

Resources

• Learn More

Resource Graph Query

// cannot-be-validated-with-arg

AVD-10 - FSLogix ストレージ アカウントの Azure Backup を有効にします

Category: Storage

Impact: Medium

Guidance

FSLogix ストレージ アカウントでバックアップを有効にすることをお勧めします。ユーザー プロファイルの回復性を確保することで、停止中もユーザー データとエクスペリエンスの一貫性を保つことができます。

Resources

• FSLogix
• Backup Storage Account

Resource Graph Query

// under-development

AVD-11 - スケーリング プランはリージョンごとに作成し、リージョン間でスケーリングしないでください

Category: Disaster Recovery

Impact: Medium

Guidance: 各リージョンには、そのリージョン内のホスト プールに割り当てられた独自のスケーリング プランがあります。ただし、これらのプランは、リージョンで障害が発生した場合にアクセスできなくなる可能性があります。このリスクを軽減するには、別のリージョンにセカンダリ スケーリング プランを作成することをお勧めします。

Resources:

• Learn More

Resource Graph Query/Scripts

// under-development

AVD-13 - AVD コントロール プレーンへの AVD セッション ホストの接続を検証し、使用中の場合は UDP ポートが開いていることを確認します

Category: Networking

Impact: Medium

Guidance: AVD セッション ホストが AVD コントロール プレーンと効果的に通信できること、および UDP が使用されている場合は UDP ポートが開いていることを確認します。VM の AVD コントロール プレーンへの接続を検証し、UDP TURN ポートのアクセシビリティを確認します。グローバルURLをホワイトリストに登録し、UDP/TURNポートが開いてアクセス可能であることを確認して、スムーズなユーザー接続を促進します。適切な接続検証により、AVD 環境内で最適なパフォーマンスとユーザー エクスペリエンスが保証されます。

Resources:

• Learn More

Resource Graph Query/Scripts

// under-development

AVD-14 - セカンダリ Entra ID が同期サーバーに接続されていることを確認します

Category: Access & Security

Impact: Low

Guidance: ハイブリッド - Entra ID Connect は Azure での実行に最適ですが、オンプレミスでホストできます。セカンダリ以上の VM は、フェールオーバーが発生した場合にステージング モードでセットアップする必要があります。 プライマリ サーバーが停止した場合に Entra と同期するために、Entra Connect のステージング モードでセカンダリ サーバーを設定します。

Resources:

• Learn More

Resource Graph Query/Scripts

// under-development

AVD-15 - ペアのドメイン コントローラを AVD セッション ホストと同じリージョンにデプロイします

Category: Disaster Recovery

Impact: High

Guidance: セッション ホストを持つ各リージョンに、ID に関する高可用性をサポートするために、同じリージョンに複数のドメイン コントローラーがあることを確認します。 ハイブリッド シナリオでは、AVD セッション ホストを持つ各 Azure リージョンには、Azure に Active Directory ドメイン コントローラーがあり、リージョン内の回復性のために可用性ゾーンまたは可用性セットを使用する必要があります。これにより、ER/VPN/Azure 間の依存関係への依存関係も軽減されます。

Resources:

• Learn More

Resource Graph Query/Scripts:

// cannot-be-validated-with-arg

AVD-16 - 単一障害点を回避するために DNS リージョンがレプリケートされていることを確認します

Category: Networking

Impact: Medium

Guidance: Active Directory Domain Services (AD DS) に統合された DNS/その他は、マルチリージョン ゾーン間で第二/第三のお客様 DNS をターゲットにする必要があります。カスタム DNS を使用する場合は、単一障害点を回避するために、冗長な DNS サーバーがあることを確認します。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-17 - AVD リソースのキャパシティ プランニングをします

Category: Disaster Recovery

Impact: Low

Guidance: サブスクリプションの制限と API の調整制限を監視して計画します。Azure Virtual Desktop のデプロイを綿密に監視し、サブスクリプション内のリソースの使用状況を追跡します。容量をプロアクティブに監視することで、潜在的な課題を早期に特定し、制限に達しないように適切なアクションを実行できます。さらにスケーリングが必要な場合は、複数のサブスクリプションにまたがってスケーリングすることを検討するか、Azure サポートと連携して、ビジネス要件に基づいて制限を調整してください。多数のユーザーを処理するには、複数のホスト プールを作成して水平方向にスケーリングすることを検討してください。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-18 - ホストを直接更新するのではなく、更新されたイメージ バージョンを作成し、セッション ホストを置き換えます

Category: Governance

Impact: Low

Guidance: Azure Virtual Desktop 環境内でイメージの更新を処理するための体系的なプロセスを確立します。個々のセッション ホストを直接更新する代わりに、更新されたイメージの新しいバージョンを作成します。このプロセスには、必要な更新と設定を含むゴールド イメージの作成と設定が含まれます。新しいイメージの準備ができたら、既存のセッション ホストを、更新されたイメージを使用するインスタンスに置き換えます。このアプローチにより、すべてのセッション ホスト間で一貫性が確保され、構成のずれのリスクが最小限に抑えられます。さらに、更新で問題が発生した場合に、以前のイメージ バージョンにすばやくロールバックできます。このプロセスを実装すると、メンテナンス作業が合理化され、すべてのセッション ホストが最新の構成と更新プログラムで最新の状態に保たれます。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-19 - [Pooled] 計画された更新プログラムをテストするための検証プールを作成します

Category: Governance

Impact: Medium

Guidance: 少なくとも 1 つの検証プールで、AVD の計画された更新によって問題が発生した場合に早期に警告します。ビジネス要件に基づいて制限を調整するためのサポート。多数のユーザーを処理するには、複数のホスト プールを作成して水平方向にスケーリングすることを検討してください。 また、計画された更新プログラムをテストするためにホスト プールが定期的に使用されていることも確認します。 ホスト プールは、Azure Virtual Desktop 環境内の 1 つ以上の同一の仮想マシンのコレクションです。サービスの更新が最初に適用される検証ホスト プールを作成することを強くお勧めします。検証ホスト プールを使用すると、サービスが標準環境または非検証環境に適用する前に、サービスの更新を監視できます。検証ホスト プールがないと、エラーの原因となる変更が検出されず、標準環境のユーザーにダウンタイムが発生する可能性があります。 アプリが最新の更新プログラムで動作するようにするには、検証ホスト プールを、検証されていない環境のホスト プールとできるだけ類似させる必要があります。ユーザーは、標準ホスト プールに接続するのと同じ頻度で検証ホスト プールに接続する必要があります。ホスト プールで自動テストを行っている場合は、検証ホスト プールで自動テストを含める必要があります。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-20 - [Pooled] スケジュールされたエージェントの更新を構成します

Category: System Efficiency

Impact: Medium

Guidance: AVD エージェントの更新のメンテナンス期間を提供するスケジュールが作成されていることを確認します。 スケジュールされたエージェントの更新機能を使用すると、Azure Virtual Desktop エージェント、サイド バイ サイド スタック、Geneva Monitoring エージェントのメンテナンス期間を最大 2 つ作成して更新し、営業時間のピーク時に更新が行われないようにすることができます。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-21 - [Personal] 計画された更新プログラムをテストするための検証プールを作成します

Category: Governance

Impact: Low

Guidance: 少なくとも 1 つの検証プールで、AVD の計画された更新によって問題が発生した場合に早期に警告します。また、計画された更新プログラムをテストするためにホスト プールが定期的に使用されていることも確認します。 ホスト プールは、Azure Virtual Desktop 環境内の 1 つ以上の同一の仮想マシンのコレクションです。サービスの更新が最初に適用される検証ホスト プールを作成することを強くお勧めします。検証ホスト プールを使用すると、サービスが標準環境または非検証環境に適用する前に、サービスの更新を監視できます。検証ホスト プールがないと、エラーの原因となる変更が検出されず、標準環境のユーザーにダウンタイムが発生する可能性があります。 アプリが最新の更新プログラムで動作するようにするには、検証ホスト プールを、検証されていない環境のホスト プールとできるだけ類似させる必要があります。ユーザーは、標準ホスト プールに接続するのと同じ頻度で検証ホスト プールに接続する必要があります。ホスト プールで自動テストを行っている場合は、検証ホスト プールで自動テストを含める必要があります。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-22 - 個人用デスクトップをサポートする VM で Azure Site Recovery またはバックアップを使用します

Category: Disaster Recovery

Impact: Medium

Guidance: Azure Site Recovery (ASR) を活用するか、個人用ホスト プールに Azure Backup を実装してシームレスなフェールオーバーとフェールバック機能を実現し、個人用デスクトップをサポートする VM をセカンダリ Azure リージョンにレプリケーションできるようにします。これにより、災害や予期しない停止が発生した場合に、これらの VM が既知の状態から確実に復旧されます。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-23 - VM をドメインにデプロイするときに一意の OU を確保します

Category: Governance

Impact: Medium

Guidance: ハイブリッド VM は、一意の OU 内に存在する必要があります。 AD に参加しているセッションを使用する場合、ホストは一意の OU を使用して、ホストプールごとに特定の AVD 構成をターゲットにすることでメリットが得られます。例としては、Fslogix、タイムアウト制限、セッション制御などがあります。また、運用と DR の組織単位をセグメント化して、リソースが環境ごとに構成されるようにすることも重要です。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-24 - 標準の FSLogix 構成がデプロイされていることを確認します

Category: Storage

Impact: High

Guidance: すべてのセッション ホストに標準の FSLogix 構成がデプロイされていることを確認します。設定の一貫性とベストプラクティスとの整合性を定期的に検証します。

Resources:

• Learn More

Resource Graph Query/Scripts:

// cannot-be-validated-with-arg

AVD-25 - SMB共有でユーザー権限が正しく設定されていることを確認します

Category: Storage

Impact: High

Guidance: SMB共有にユーザー権限が正しく設定されていることを確認して、ユーザーが自分のプロファイルにのみ適切なアクセス権を持ち、他のユーザープロファイルにはアクセスできず、管理者がルートボリュームにフルアクセスできるようにします。また、DR イベントが発生した場合に 2 次ストレージ・パスの権限が設定されていることを確認します。

Resources:

• Learn More

Resource Graph Query/Scripts:

// cannot-be-validated-with-arg

AVD-26 - FSLogix ログの診断設定を構成し、アカウントのレビューを有効にします

Category: Storage

Impact: Medium

Guidance: FSLogix ログを定期的に確認して、ログインとプロファイルのマウントに関連するエラーと問題を確認します。イベントは、セッション ホスト内をローカルに確認し、Azure Monitor エージェントが使用されている場合は Log Analytics で確認することもできます。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-27 - 使用可能な場合は、新しい FSLogix イメージを手動で更新します

Category: Governance

Impact: Low

Guidance: FSLogix エージェントのアップグレードを定期的にチェックし、FSLogix を最新の状態に維持するプロセスが整っていることを確認します。お客様には、デプロイ プロセスが許す限り迅速に最新バージョンの FSLogix にアップグレードすることをお勧めします。FSLogix は、お客様の展開に影響を与える現在および潜在的なバグに対処する修正プログラム リリースを提供します。さらに、これはサポートケースを開くときの最初の要件です。

Resources:

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-28 - App Attach を使用している場合は、ANF の継続的な可用性を有効にします

Category: Availability

Impact: Medium

Guidance

Azure NetApp Files を使用している場合は、継続的可用性を有効にします。

各ファイル共有に接続しているユーザーの数を確認して、SMB パスがファイル接続の数を処理できることを確認します。現在、Azure Files では、ルート ディレクトリごとに最大 10k のハンドルがサポートされています。

Resources

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-29 - アプリのアタッチは別のファイル共有に配置する必要があり、ディザスター リカバリー プランにはアプリアタッチ ストレージを含める必要があります

Category: Storage

Impact: Medium

Guidance

アプリ添付パッケージは、プロファイルとは別の共有に配置する必要があります。また、アプリの添付ファイルはバックアップする必要があります。

ベスト プラクティスは、パフォーマンスとスケーラビリティの両方の目的で、アプリ アタッチ VHD ファイルをユーザー プロファイルから離れた別のファイル共有に分離することです。要件は、イメージに格納されているパッケージ化されたアプリケーションの数によって大きく異なる場合があり、要件を理解するにはアプリケーションをテストする必要があります。

ファイル共有は、セッション ホストと同じ Azure リージョンに存在する必要があります。

Resources

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-30 - 仮想ネットワークに、すべてのリージョンに対してルート テーブル/ルート サーバーが構成されていることを確認します

Category: Networking

Impact: Medium

Guidance

高可用性を実現するには、オンプレミスのデータセンターへの接続で、使用されているリージョン間のバックアップ パスを考慮する必要があります。セカンダリ リージョンにセカンダリ ルート テーブルを配置することで、ルーティングの冗長性を確保します。

Resources

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-31 - 運用環境と DR 用に個別の IP 空間と NSG を使用して仮想ネットワークを分離します

Category: Networking

Impact: Medium

Guidance

AVD ペルソナごとの NSG と ASG、および Prod/DR リージョンごとの IP スペース。

組織が Azure での IP アドレス指定を計画することが重要です。計画により、IP アドレス空間がオンプレミスの場所と Azure リージョン間で重複しないようにします。オンプレミスと Azure リージョン間で IP アドレス空間が重複すると、競合に関する大きな課題が生じます。

Resources

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-33 - ルートテーブルがフェイルオーバーに対応していることを確認します

Category: Disaster Recovery

Impact: Medium

Guidance

FW/NVA へのトンネル トラフィックを強制するルート テーブルでフェールオーバーに関する考慮事項が評価され、失敗したり、次世代の FW 保護がトリガーされたりしないようにします。

AVD ワークロード チームは、ネットワークなどの共有インフラストラクチャを管理する一元化されたチームと協力して、ルーティングのフェールオーバーが期待どおりに実行されるように、運用ワークロードと DR ワークロードの両方に適切なルート テーブルがあることを確認する必要があります。

Resources

• Learn More

Resource Graph Query/Scripts:

// under-development

AVD-34 - ディザスター リカバリーのためセカンダリ Key Vault をプロビジョニングします

Category: Disaster Recovery

Impact: High

Guidance: 継続的な可用性とディザスター リカバリーの準備を確実にするために、セカンダリ リージョンにセカンダリ Key Vault をプロビジョニングすることをお勧めします。プライマリ リージョンで障害が発生した場合、このセカンダリ Key Vault により、セカンダリ リージョンでのデプロイで使用するために重要なシークレットにアクセスできるようになります。

Resources:

• Learn More

Resource Graph Query/Scripts:

// cannot-be-validated-with-arg

AVD-35 - AVD Insights Workbook を構成します

Category: Monitoring

Impact: High

Guidance

AVD Insights は、AVD 製品チームが提供する Azure Workbook テンプレートです。これは、メトリクス、ログ、イベントなどにわたる AVD ワークロードのモニタリングとトラブルシューティングを行うために強くお勧めします。運用環境と DR の両方のワークロードは、AVD Insights で有効にする必要があります。

Resources

• Learn More

Resource Graph Query/Scripts:

// cannot-be-validated-with-arg

AVD-36 - 運用環境と DR 用に個別のログ分析ワークスペースを確保します

Category: Disaster Recovery

Impact: Low

Guidance

個別の Log Analytics を使用すると、DR 環境が完全に機能し、ワークロード チームがインシデントが発生した場合に依存するメトリック、パフォーマンス、その他の監査ツールを可視化できます。

Resources

• Learn More

Resource Graph Query/Scripts:

// cannot-be-validated-with-arg

AVD-37 - AVD ランディング ゾーンの方法論で記述されている AVD スケール ユニット モデルを使用して AVD リソースを整理します

Category: Governance

Impact: Low

Guidance

AVD ワークロードのリソースタイプと関連する共有リソースに基づいて複数のリソースグループを使用して、AVD ランディングゾーンのベストプラクティスに従います。

Resources

• Learn More

Resource Graph Query/Scripts:

// cannot-be-validated-with-arg