こんにちは、皆様

今回はHorizon Cloud on Azureのセッションデスクトッププールで障害調査に詰まった話をご紹介します。

VDIでは接続不可であったり様々な理由でデスクトップにログインし、調査資料の取得が必要になる場面があると思います。

オンプレミスのHorizonではvCenterから仮想マシンを起動し、コンソールログインして取得することができましたがHorizon Cloud on AzureではvCenterもありません。

しかも、プールの特定のマシンのみを起動するという操作をHorizon Cloudの管理コンソールから行うことができません。

そして、プール内の特定のマシンに対して接続するという方法がありません。

仮想マシンはAzure上に存在しているのでAzurePortalから起動することはできますが、HorizonCloudが管理するサーバをAzure Portal上から操作することは推奨されないようです。

そのため、Horizon Cloud on Azure環境で特定のホストにログインし、調査をするのは推奨手順で行った場合プールのマシンを全台起動するしかないということになります。

実際にはそんな調査方法は実現できないのでAzureから起動して、Bastionで接続し調査をしています。

この部分は改善を切に望む部分ですが、Horizon Cloudの機能はかなりの頻度で更新されています。

専用デスクトップだとHorizon Agentのログを管理コンソール上から取得できたりする（なぜか流動わりあてはできない）のでそのうち改善されるのではないかなと考えています

こんにちは、みなさま。

今回の記事はHorizon Cloud on Azureでセッション管理のデスクトップをマスタ更新した際の動きについてご紹介します。

VDIの基本的な運用として展開しているマスタの更新というのは外すことができない作業だと思います。

流動割り当てのプールのマスタを更新する際、オンプレミスのHorizon環境では一度に更新する台数を指定することでプール内の仮想マシンが順次更新されていき、更新待ちになっているマシンへの接続ができたため、更新台数を絞っておけばユーザは空いているマシンにログインができたと思います。

Horizon Cloud on Azureでこのマスタ更新を行ったときに、一度に更新するマシンの制御ができなかったのでそのことについて今回の記事で紹介します。

Horizon Cloud on Azureでは静止中状態に移行可能なマシン台数という形で制御するのですが、オンプレミスHorizonでの感覚でこの設定をしているためユーザが接続できる状況であると考えていたら想定とは違う動作をすることがわかりました。

結論からいうと、この設定でマシン台数を絞っていてもユーザが接続していないマシンについては同時に更新処理が走ってしまいます。

マルチセッションのプールであればかなり強引な運用回避になりますが、この事象によるユーザ接続不可時間をなくすことができます。

その方法は、接続してくるユーザを受け入れられる分のマシンに事前にセッションを張ったうえでマスタの更新を行うことです。

かなり、強引な回避策ですね…

通常VDIログインするように接続した場合は、接続先のホストを指定できないのでAzure BastionやRDPで対象のホストに接続する必要があります。

とはいってもこのマスタの更新による接続不可の時間は仮想マシンの再起動のための時間程度なので10数分で接続可能となります。

基本的にはマスタ更新の作業を深夜帯等に実施することでほとんどユーザ影響はないと考えらえますが、どうしても接続不可時間を作れない状況の場合は上記回避策を実施するしか現状対策はありません。

vSphereがなくなったことで操作は簡単になり、費用も安くなりましたが、その弊害なのかなと思います。

みなさま、こんにちは。

前回の記事ではHorizon Cloud on Azureで利用できるWorkspace ONE Accessについて紹介しました。

今回の記事ではWorkspace ONE AccessをAzureADとの連携について紹介します。

前回の記事で紹介した通りWorksapce ONE AccessにはSAMLが利用可能なサードパーティ製の製品との連携機能があります。

Horizon Cloud on AzureではAzure上に環境を作成するので多くの場合はAzureをその他の用途でも利用している場合が多いと思います。

そのため、Worksapce ONE Accessの認証連携先としてAzureの選択肢をとることは導入に関するハードルが非常に低いと思います。

特にAzure ADのPremiumP1ライセンスを持っている場合は条件付きアクセスを利用することができるので、Azure上に作成したエンタプライズアプリケーションに条件付きアクセスを設定することにより、かなり詳細なアクセス制御を行うことが可能です。

条件付きアクセスでは、SMSのPINコードや電話応答等のAzureの２要素認証が利用でき、ネームドロケーションで社内からのアクセスは２要素認証をパスすることも可能です。

追加の費用もなくVDI環境に利便性を最大限確保しながら強力なアクセス制限をかけることができるのはかなり魅力的ですよね。

詳しい構成方法は英語ですが以下のブログで紹介されているので参考にしてみてください。

Integrating Azure Active Directory With VMware Workspace ONE Access As 3rd Party Identity Provider

ただし、Worksapce ONE AccessへのログインをSSOで行う場合、VDIへの接続時にADのアカウント認証を行うためパスワードの入力をする必要があります。

ユーザからするとMS認証とVDIへのログインで２回の認証が必要になるのは結構な手間に感じられるかもしれません。

キャッシュによりMS認証を行う回数を減らすことも可能ですが、Worksapce ONE AccessへのログインをSSOで行った場合でもADのアカウント認証を省略することができるTrueSSOという機能があります。

次回の記事ではTrueSSOについて紹介しようと思います。

みなさま、こんにちは。

今回はHorizon Cloud on Azureで２要素認証を利用する方法を紹介します。

Horizon Cloud on Azureで２要素認証を利用する場合、以下の２つの方法をとることが可能となります。

①Unified Access GatewayでRadius認証を構成する

②WorkspaceONEAccessを利用する

①のパターンではHorizon側で追加コンポーネントの構築の必要なく、２要素認証を利用することが可能です。

この場合、VDIへの接続を行う際にの受け口となるUnified Access Gatewayに対して２要素認証を構成します。

２要素認証として利用できるのはRadius認証のみで、柔軟性には欠けますが最も簡単に設計・構築できる２要素認証の方法となります。

接続の方法もHorizon Clientでいつも通り接続する際にRadius認証を行うため、既存でHorizonを利用している場合は違和感なく利用できると思います。

②のパターンではVMware社が提供するWorkspace ONE Accessを追加で構築し、

Horizon Cloud on Azureと連携することで２要素認証を実現します。

WorkspaceONEは認証やリソースへのアクセスの制御を行うコンポーネントで、

ここに２要素認証を構成し、Horizon CloudではWorkspaceONEからの接続のみを受け入れるように強制することで２要素認証を実現します。

WorkspaceONEはSAML認証等様々な認証方法を採用でき、サードパーティ製のソリューションを利用し、連携することも可能です。

接続の方法は、WebブラウザでWorkspaceONE Accessに接続し、Horizon Clientを呼び出す形になります。

今回はHorizon Cloud on Azureで利用可能な２要素認証の概要を紹介しました。

次回は今回の記事で紹介したWorksapce ONEをHorizon Cloud on Azureで利用するパターンについて紹介します。