VDIと何が違う？ 「Azure Virtual Desktop」を理解する“9つの視点”：Azureクラウド特有の管理術を徹底解説

仮想デスクトップは「どこでも働ける」利便性を提供する一方で、その運用には多くの設計と準備が必要だ。「Azure Virtual Desktop」（AVD）を導入する際に押さえておきたい、9つのベストプラクティスを解説する。

[Marius Sandbu，TechTarget]

　「仮想デスクトップ」を導入すれば、どこからでも業務ができるようになって便利だが、実際の運用には想像以上に多くの工夫と準備が必要だ。IT部門は、仮想マシン（VM）の設定やネットワーク構成、ユーザー体験（UX）の最適化など、複数のポイントを押さえておかなければならない。

　Microsoftの仮想デスクトップサービス「Azure Virtual Desktop」（AVD）を導入する際、あるいは他の仮想デスクトップインhら（VDI）からAVDに移行する際、クラウドサービス群「Microsoft Azure」特有の運用モデルや仮想マシン（VM）の扱い方について、しっかり理解しておく必要がある。本稿では、AVDをスムーズに導入し、仮想デスクトップの運用効率を高めるために押さえておきたい9つのポイントを紹介する。

VDIとの違いは？　AVDを使いこなすための9つの観点

併せて読みたいお薦め記事

「Azure Virtual Desktop」（AVD）の基本を理解

• 「Azure Virtual Desktop」（AVD）と「オンプレミスVDI」の違いを徹底比較
• 「Azure Virtual Desktop」は結局、Windows 365と何が違うのか？

　全てのAVDの管理者にとって不可欠なのは、適切なランディングゾーン（主要な設計原則に準拠したインフラ）の設定、管理作業の自動化、仮想マシンの適切なサイズ設定と構成といった作業だ。

1．ランディングゾーンを設定する

　Azureでの運用環境を構築する際にまず重要なのが、ランディングゾーンと呼ばれる基盤の設定だ。ランディングゾーンとは、Azureに仮想デスクトップやアプリケーションを安全かつ効果的に展開し、運用することを目的に、ネットワーク構成やアクセス制御、セキュリティ設定、監視機能などの点であらかじめ整備された“事前構成済みのクラウド環境”を指す。

　このランディングゾーンの設計を誤り、例えば仮想ネットワークを適切に構成せずにデプロイしてしまうと、後から修正する際にすでに稼働しているワークロード（アプリケーションやその処理タスク）に影響が及ぶ可能性がある、手戻りのコストも発生する。

　そうした事態を避けるには、Microsoftが提供する公式のガイダンスや参照アーキテクチャを出発点とすることだ。これに従えば、セキュリティが確保され、スケーラビリティ（拡張性）にも優れた形で、AVD環境の構築を始めることができる。

2．管理作業を自動化する

　Azureでランディングゾーンや各種サービスを構築する際には、環境のデプロイや管理作業を効率化するためのさまざまな選択肢を利用できる。パブリッククラウドを活用する利点の一つは、「Infrastructure as Code」（IaC：インフラのコード化）を利用し、構成のほぼ全てを自動化できる点だ。

　自動化には、HashiCorpの「Terraform」や、Microsoftの公式フレームワーク「Bicep」などのIaCツールが活用できる。これらを使えば、Azure Portalから手動で設定を行う代わりに、コードで一貫性のある構成が可能になる。

　一方で、こうした自動化ツールを使いこなすには一定の学習コストと運用ノウハウが必要になる。特にサードパーティー製のフレームワークを利用する場合は、社内にその技術に精通した人材がいるかどうかを確認することが重要だ。

　もしIT部門が小規模で、シンプルにAVD環境を構築・運用したい場合には、Nerdioの「Nerdio Manager」のようなサードパーティー製の自動化ツールを利用する選択肢もある。これにより、複雑な設定をすることなく、AVDのデプロイから日常運用までを効率化できる。

3．ワークロードのサイズを慎重に計画する

　Azureに仮想マシンをデプロイする際、管理者は仮想マシンごとのリソース（CPU、メモリ、ディスクなど）の割り当てについて深く理解しておく必要がある。Azureでは「SKU」（Stock Keeping Unit）と呼ばれる多種多様な仮想マシンのバリエーションが用意されており、それぞれに異なる性能や特性があるからだ。

　各種仮想マシンタイプでは、仮想CPU（vCPU）とメモリがさまざまなサイズで組み合わせられる。

　AVDでは、次のようなSKUがよく使われている。

• 「Ddsv6」シリーズ
  • メモリとvCPUがvCPU2基当たり8GBの比率で組み合わせられる。
• 「Edsv6」シリーズ
  • メモリとvCPUがvCPU2基当たり16GBの比率で組み合わせられる。
• NVIDIA製GPU用「NVads-A10」またはAdvanced Micro Devices（AMD）製GPU用「NVv4」
  • グラフィカルワークロードに適する。

　より読み書きの高速さが求められる場合は、標準のSSDよりも高い費用対効果とパフォーマンスが見込める「Premium SSD v2」を使用するのがベストプラクティスだ。

4．ゴールデンイメージを作成して配布する

　Citrix SystemsやVMwareなどのVDIを利用してきた管理者にとって、AVDには若干異なるアプローチの運用が必要だ。これらのVDIには、ゴールデンイメージ（仮想デスクトップのひな型となる標準イメージ）を作成・管理し、それを基にユーザーの仮想マシン（セッションホスト）を更新するための標準の管理ツールが組み込まれている。だが、Azureはこの機能を標準では備えていない。

　Azureでゴールデンイメージを管理する場合、次のようなツールや機能を使うことになる。

• Microsoftの「Azure VM Image Builder」やHashiCorpの「HashiCorp Packer」を使ってイメージの作成を自動化する。
• 継続的インテグレーション／継続的デリバリー（CI/CD）パイプラインによってイメージの作成プロセスの効率を上げる。
• IaCを活用したデプロイメントによって新しいイメージを自動的に展開する。
• サードパーティー製ツール（例：Nerdio）を活用して、CitrixやHorizonに近いイメージ管理の操作感を実現する。

　イメージ作成プロセスを自動化すれば、最新のソフトウェアバージョンやセキュリティパッチ、業務用アプリケーションを常に組み込んだ状態のゴールデンイメージを継続的に維持できる。これにより、展開される仮想デスクトップは常に最新の状態で、セキュリティリスクの低減や運用負荷の軽減、ユーザー体験の向上にもつながる。

5．環境のセキュリティを確保する

　AVDは、仮想マシンへのアクセスがMicrosoftのクラウドサービスの背後で制御される仕組みになっており、外部から直接仮想マシンに接続することはできない。そのため、一般的にはセキュアなサービスとされている。とはいえ、AVDの安全性を過信して放置するのではなく、管理者が主体的にセキュリティ対策を講じる必要がある。以下は、AVDを安全に運用するために考慮すべきポイントだ。

• AVDにアクセスする際にはID・アクセス管理サービス「Microsoft Entra ID」の条件付きアクセス機能を活用し、多要素認証（MFA）を必須化する。
• エンドポイントセキュリティツール「Microsoft Defender for Endpoint」やサードパーティー製のエンドポイントセキュリティ製品を導入し、マルウェア対策や、「EDR」（Endpoint Detection and Response）による脅威の検出・対処機能を整備する。
• OSとサードパーティー製アプリケーションの両方にセキュリティアップデートが確実に適用されるように、「Microsoft Intune」やPatch My PCの「Patch My PC Home Updater」といったパッチを自動で適用できるツールを利用する。
• AVDの管理と運用に必要なアクセス許可を最小限に抑えるとともに、Microsoft Entra IDのカスタムロールを使って、「Desktop Virtualization User」や「Desktop Virtualization Reader」といったロールなど、必要なアクセス許可を対応付ける。

6．ユーザーエクスペリエンス（UX）を最適化する

　AVDを導入する際、最終的にユーザーの満足度を左右するのは「使いやすさ」や「快適さ」だ。例えば、ログオン時間の短さ、アプリケーションの起動スピード、画面描画の滑らかさなどが重要な要素になる。こうしたUXは仮想マシンのSKU選定によっても影響を受けるが、それだけでは不十分だ。ユーザープロファイル管理、ストレージ性能、ネットワーク遅延の最小化といった複数の要素が絡み合っており、総合的に調整することで初めて快適なUXが実現できる。

7．プロファイルを管理する

　AVD環境で快適なUXを実現するには、ユーザープロファイルの一貫性が不可欠だ。そこで有効なのが、Microsoftが提供するプロファイル管理ツール「FSLogix」の導入だ。FSLogixを実装することで、ユーザーが異なるセッションホストにログオンしても、デスクトップ設定やアプリケーションの状態、個人設定などを保ったまま、同じ環境で作業を継続できる。このFSLogixとファイル共有サービス「Azure Files」を組み合わせると、プロファイルデータの保存に専用のファイルサーバを用意する必要がなくなり、サーバレスでスケーラブルなプロファイル管理が可能になる。

8．必要に応じて「エフェメラルOSディスク」を活用する

　AVDのパフォーマンス向上を図る手段の一つとして、仮想マシンにエフェメラルOSディスクを利用する方法がある。これは、一時ストレージ上にOSディスクを構成することで、通常のマネージドディスクよりもはるかに高いIOPS（1秒当たりの入出力回数）と帯域幅を実現できる。

　一方で、エフェメラルOSディスクは一時的な保存領域であるため、仮想マシンの再起動や停止・開始を実行すると、仮想マシン自体が削除されてしまうという制限がある。このため、セッションホストとして使用する場合は、自動で再構築できる仕組みを事前に整備する必要がある。

9．AVDの「RDP Shortpath」でネットワーク遅延を低減する

　AVDを快適に利用する上で、ネットワークパフォーマンスの最適化は重要な課題だ。特にエンドユーザーの端末とセッションホストとの通信で発生する待機時間（レイテンシ）は、UXに直結する。

　その改善策として有効なのが、Microsoftの「RDP Shortpath」という機能だ。これは、通信プロトコルTCP（Transmission Control Protocol）による通信ではなく、UDP（User Datagram Protocol）を使ってRDP（リモートデスクトッププロトコル）の通信を行うことで、接続の安定性と応答速度を大幅に向上させる。

　RDP ShortpathはAVDで初期状態から有効化されているが、必要なファイアウォールルールの設定がなされていないと正常に機能しない。管理者は、RDP Shortpathの導入有無にかかわらず、3390番ポートの通信許可などを明示的に設定しておく必要がある。