ラボ - AVD のストレージを実装および管理する (Microsoft Entra DS)
受講生用ラボ マニュアル
ラボの依存関係
- Azure サブスクリプション
- Azure サブスクリプションに関連付けられた Microsoft Entra テナントの全体管理者ロールと、Azure サブスクリプションの所有者または共同作成者ロールを持つ Microsoft アカウントまたは Microsoft Entra アカウント
- 完了したラボ: Azure Virtual Desktop (Microsoft Entra DS) のデプロイの準備
推定所要時間
30 分
ラボのシナリオ
Microsoft Entra DS 環境で Azure Virtual Desktop デプロイのストレージを実装して管理する必要があります。
目標
このラボを完了すると、次のことができるようになります。
- Microsoft Entra DS 環境で Azure Virtual Desktop 用のプロファイル コンテナーを格納するように Azure Files を構成する
ラボ ファイル
- なし
手順
演習 1: Azure Virtual Desktop 用のプロファイル コンテナーを格納するように Azure Files を構成する
この演習の主なタスクは次のとおりです。
- Azure Storage アカウントの作成
- Azure Files 共有を作成する
- Azure ストレージ アカウントの Microsoft Entra DS 認証を有効にする
- Azure Files 共有のアクセス許可を構成する
- Azure Files のディレクトリとファイル レベルのアクセス許可を構成する
タスク 1: Azure ストレージ アカウントを作成する
- ラボ コンピューターから Web ブラウザーを起動して Azure portal に移動し、このラボで使用するサブスクリプションの所有者ロールを持つユーザー アカウントの資格情報を入力してサインインします。
- ラボ コンピューターの Azure portal で、「仮想マシン」を検索して選択し、[仮想マシン] ウィンドウで [az140-cl-vm11a] エントリを選択します。 これにより、[az140-cl-vm11a] ブレードが開きます。
- [az140-cl-vm11a] ブレードで [接続] を選択し、ドロップダウン メニューで [Bastion] を選択し、[az140-cl-vm11a | 接続] ブレードの [Bastion] タブで [Bastion を使用する] を選択します。
-
プロンプトが表示されたら、次の資格情報を入力し、[接続] を選択します。
設定 値 ユーザー名 aadadmin1@adatum.com Password パスワードは以前に定義されています -
az140-cl-vm11a の Azure VMへの Bastion セッション内で、Microsoft Edge を起動し、Azure portal に移動して、aadadmin1 ユーザー アカウントのユーザー プリンシパル名と、このアカウントの作成時に設定したパスワードを入力してサインインします。
注意: aadadmin1 アカウントのユーザー プリンシパル名 (UPN) 属性は、Active Directory ユーザーとコンピューター コンソールからプロパティ ダイアログ ボックスを確認するか、ラボのコンピューターに戻って Azure portal の Microsoft Entra テナント ブレードからプロパティを確認することで特定できます。
- az140-cl-vm11a への Bastion セッション内の Azure portal を表示している Microsoft Edge ウィンドウで、「ストレージ アカウント」を検索して選択し、[ストレージ アカウント] ブレードで [+ 作成] を選択します。
-
「ストレージ アカウントの作成」ブレードの「基本」タブで、次の設定を指定します (他の設定は既定値のままにします)。
設定 値 サブスクリプション このラボで使用している Azure サブスクリプションの名前 リソース グループ 新しいリソース グループの名前 az140-22a-RG ストレージ アカウント名 3 文字から 15 文字の長さで、アルファベットの小文字と数字で構成され、アルファベットで始まる、グローバルに一意の任意の名前 場所 Azure Virtual Desktop ラボ環境をホストしている Azure リージョンの名前 パフォーマンス Standard レプリケーション ローカル冗長ストレージ (LRS) 注: ストレージ アカウント名の長さが 15 文字を超えないようにしてください。 この名前は、ストレージ アカウントを含む Azure サブスクリプションに関連付けられている Microsoft Entra テナントと統合された Active Directory Domain Services (AD DS) ドメインでコンピューター アカウントを作成するために使用されます。 これにより、このストレージ アカウントでホストされているファイル共有にアクセスするときに、AD DS ベースの認証を使用できるようになります。
-
[ストレージ アカウントの作成] ブレードの [基本] タブで [確認および作成] を選択し、検証プロセスが完了するまで待った後、[作成] を選択します。
注:ストレージ アカウントが作成されるのを待ちます。 これに要する時間は約 2 分です。
タスク 2: Azure Files 共有を作成する
- az140-cl-vm11a への Bastion セッション内の Azure portal を表示している Microsoft Edge ウィンドウで、[ストレージ アカウント] ブレードに戻り、新しく作成されたストレージ アカウントを表すエントリを選択します。
- ストレージ アカウント ブレードの左側の垂直メニューの [データ ストレージ] セクションで、[ファイル共有] を選択し、[+ ファイル共有] を選択します。
-
[新しいファイル共有] で、次の設定を指定し、[作成] を選択します (他の設定は既定値のままにします)。
設定 値 名前 az140-22a-profiles
タスク 3: Azure ストレージ アカウントに対して Microsoft Entra DS 認証を有効にする
- az140-cl-vm11a への Bastion セッション内の Azure portal を表示している Microsoft Edge ウィンドウで、前のタスクで作成したストレージ アカウントのプロパティを表示しているブレードの左側にある縦のメニューの [データ ストレージ] セクションで、[ファイル共有] を選択します。
- [ファイル共有設定] セクションの [Active Directory] ラベルの横にある [未構成] リンクを選択します。
- [Active Directory ソースを有効にする] セクションの [Azure Active Directory ドメイン サービス] というラベルの付いた長方形で、[セットアップ] を選択します。
- [ID ベースのアクセス] ブレードで、[有効] オプションを選択し、[保存] を選択します。
タスク 4: Azure Files の RBAC ベースのアクセス許可を構成する
- az140-cl-vm11a への Bastion セッション内の Azure portal を表示している Microsoft Edge ウィンドウで、この演習の前半で作成したストレージ アカウントのプロパティを表示しているブレードの左側にある縦のメニューの [データ ストレージ] セクションで [ファイル共有] を選択し、共有のリストで az140-22a-profiles エントリを選択します。
- [az140-22a-profiles] ブレードの左側の垂直メニューで、[アクセス制御 (IAM)] を選択します。
- [az140-22a-profiles | アクセス制御 (IAM)] ブレードで [+ 追加] を選択し、ドロップダウン メニューで [ロールの割り当ての追加] を選択します。
- [ロールの割り当てを追加する] ブレードで [記憶域ファイル データの SMB 共有の共同作成者] を選択し、[次へ] を選択します。
- [メンバー] ブレードで [アクセスの割り当て先] を選択し、[+ メンバーの選択] をクリックします。
- [メンバーの選択] ブレードで [選択] テキスト ボックスに「az140-wvd-ausers」と入力し、[選択] をクリックします。
- [メンバー] ブレードで [確認して割り当て] を 2 回選択します。
-
上記の手順 3-8 を繰り返し、次の設定を指定します。
設定 値 Role 記憶域ファイル データの SMB 共有の管理者特権共同作成者 選択 az140-wvd-aadmins 注: [az140-wvd-aadmins] グループのメンバーである aadadmin1 ユーザー アカウントを使用して、ファイル共有のアクセス許可を構成します。
タスク 5: Azure Files のディレクトリとファイル レベルのアクセス許可を構成する
-
az140-cl-vm11a への Bastion セッション内で、コマンド プロンプトを起動し、コマンド プロンプト ウィンドウから次のコマンドを実行して、ドライブをターゲット共有にマップします (
<storage-account-name>
プレースホルダーをストレージ アカウントの名前に置き換えます)。net use Z: \\<storage-account-name>.file.core.windows.net\az140-22a-profiles
- az140-cl-vm11a への Bastion セッション内でファイル エクスプローラーを開き、新しくマップされた「Z: ドライブ」に移動し、[プロパティ] ダイアログ ボックスを表示して [セキュリティ] タブを選択し、[編集]、[追加] の順に選択します。[ユーザー、コンピューター、サービス アカウント、グループの選択] ダイアログ ボックスで、[場所の指定] テキストボックスに adatum.com エントリが含まれていることを確認し、[選択するオブジェクト名を入力してください] テキストボックスに「az140-wvd-ausers」と入力し、[OK] をクリックします。
- マップされたドライブのアクセス許可を表示するダイアログ ボックスの [セキュリティ] タブに戻り、az140-wvd-ausers エントリが選択されていることを確認し、[許可] 列の [変更] チェックボックスを選択して [OK] をクリックし、[Windows セキュリティ] テキストボックスに表示されるメッセージを確認して、[はい] をクリックします。
- マップされたドライブのアクセス許可を表示しているダイアログ ボックスの [セキュリティ] タブに戻り、[編集]、[追加] の順に選択します。[ユーザー、コンピューター、サービス アカウント、およびグループの選択] ダイアログ ボックスで、[この場所から] テキストボックスに adatum.com エントリが含まれていることを確認し、[選択するオブジェクト名を入力してください] テキストボックスに「[az140-wvd-aadmins]」と入力し、[OK] をクリックします。
- マップされたドライブのアクセス許可を表示するダイアログ ボックスの [セキュリティ] タブに戻り、[az140-wvd-aadmins] エントリが選択されていることを確認し、[許可] 列の [フル コントロール] チェックボックスを選択して、[OK] をクリックします。
- マップされたドライブのアクセス許可を表示するダイアログ ボックスの [セキュリティ] タブで、グループとユーザー名のリストで [編集] を選択し、[認証されたユーザー] エントリを選択して、[削除] を選択します。
-
[編集] 画面のままで、グループとユーザー名のリストで [ユーザー] エントリを選択し、[削除] を選択し、[OK] をクリックし、[OK] を 2 回クリックしてプロセスを完了します。
注: または、icacls コマンドライン ユーティリティを使用してアクセス許可を設定することもできます。