Horizon Cloud on Azureセッション管理デスクトップの障害調査方法で詰まった話
こんにちは、皆様
今回はHorizon Cloud on Azureのセッションデスクトッププールで障害調査に詰まった話をご紹介します。
VDIでは接続不可であったり様々な理由でデスクトップにログインし、調査資料の取得が必要になる場面があると思います。
オンプレミスのHorizonではvCenterから仮想マシンを起動し、コンソールログインして取得することができましたがHorizon Cloud on AzureではvCenterもありません。
しかも、プールの特定のマシンのみを起動するという操作をHorizon Cloudの管理コンソールから行うことができません。
そして、プール内の特定のマシンに対して接続するという方法がありません。
仮想マシンはAzure上に存在しているのでAzurePortalから起動することはできますが、HorizonCloudが管理するサーバをAzure Portal上から操作することは推奨されないようです。
そのため、Horizon Cloud on Azure環境で特定のホストにログインし、調査をするのは推奨手順で行った場合プールのマシンを全台起動するしかないということになります。
実際にはそんな調査方法は実現できないのでAzureから起動して、Bastionで接続し調査をしています。
この部分は改善を切に望む部分ですが、Horizon Cloudの機能はかなりの頻度で更新されています。
専用デスクトップだとHorizon Agentのログを管理コンソール上から取得できたりする(なぜか流動わりあてはできない)のでそのうち改善されるのではないかなと考えています
Horizon Cloud on Azureの障害状況を確認する
こんにちは、皆様。
今日はHorizon Cloud on Azureの障害情報を確認する方法を紹介します。
Horizon Cloud on Azureはクラウドサービスなので環境のメンテナンスなどで一時的に利用できない時間帯が発生することがあります。
特にメール報知などを設定していないと事前情報なくこのメンテナンスが実施されており、対応が遅れてしまった!等ということになりかねません。
Horizon Cloudのステータスの確認方法・メンテナンス情報のメール報知設定方法についてご紹介したいと思います。
Horizon Cloudの障害情報は以下のサイトで公開されています。
このページではon Azureに限らずすべてのHorizon Cloudのステータスが表示されています。
Work SpaceONE Accesの障害情報は以下のサイトで公開されています。
加えてHorizon Cloudの障害情報も記載されているので実質こちらのページを見ておけばHorizon Cloudの情報も取得が可能です。
また、上記ページの右上にある「SUBSCRIBE TO UPDATE」で登録することで登録したメールアドレスでメンテナンス情報等を受信することが可能です。
毎度、情報を能動的に確認に行くのは手間なので、この設定はHorizon Cloudを利用するのであれば必須ですね。
本日の記事はメンテナンス情報の確認方法、通知メールの設定方法のご紹介でした。
Horizon Cloud on Azure with WVDでのマスタ更新の罠
こんにちは、みなさま。
今回の記事はHorizon Cloud on Azureでセッション管理のデスクトップをマスタ更新した際の動きについてご紹介します。
VDIの基本的な運用として展開しているマスタの更新というのは外すことができない作業だと思います。
流動割り当てのプールのマスタを更新する際、オンプレミスのHorizon環境では一度に更新する台数を指定することでプール内の仮想マシンが順次更新されていき、更新待ちになっているマシンへの接続ができたため、更新台数を絞っておけばユーザは空いているマシンにログインができたと思います。
Horizon Cloud on Azureでこのマスタ更新を行ったときに、一度に更新するマシンの制御ができなかったのでそのことについて今回の記事で紹介します。
Horizon Cloud on Azureでは静止中状態に移行可能なマシン台数という形で制御するのですが、オンプレミスHorizonでの感覚でこの設定をしているためユーザが接続できる状況であると考えていたら想定とは違う動作をすることがわかりました。
結論からいうと、この設定でマシン台数を絞っていてもユーザが接続していないマシンについては同時に更新処理が走ってしまいます。
マルチセッションのプールであればかなり強引な運用回避になりますが、この事象によるユーザ接続不可時間をなくすことができます。
その方法は、接続してくるユーザを受け入れられる分のマシンに事前にセッションを張ったうえでマスタの更新を行うことです。
かなり、強引な回避策ですね…
通常VDIログインするように接続した場合は、接続先のホストを指定できないのでAzure BastionやRDPで対象のホストに接続する必要があります。
とはいってもこのマスタの更新による接続不可の時間は仮想マシンの再起動のための時間程度なので10数分で接続可能となります。
基本的にはマスタ更新の作業を深夜帯等に実施することでほとんどユーザ影響はないと考えらえますが、どうしても接続不可時間を作れない状況の場合は上記回避策を実施するしか現状対策はありません。
vSphereがなくなったことで操作は簡単になり、費用も安くなりましたが、その弊害なのかなと思います。
AzureADとWorksapce ONE AccessのSAML連携をもっと便利に使う
みなさま、こんにちは。
前回の記事ではAzure ADとWorksapce ONE AccessのSAML連携について紹介しました。
ただし、単純なSAML連携ではMS認証+AD認証とユーザはVDIにアクセスするまでに2回のアカウント入力が必要となります。
今回の記事ではセキュリティを確保しながらできるだけユーザの手間を減らす方法について紹介します。
①MS認証の手間を減らす
Azure上に作成したエンタープライズアプリケーションへの接続時に使用する条件付きアクセスのポリシーを構成することで2要素認証の手間を減らすことが可能です。
例えば、ネームドロケーションのポリシーを構成して特定のIPアドレスからの接続は2要素認証をパスする、Intuneを利用していればIntune登録端末からの接続は2要素認証をパスするなどのポリシーを構成し2要素目の認証を場所、端末にすることでユーザの手間を削減することが可能です。
しかし、この方法でもMS認証+AD認証の認証が必要となってしまいます。
②TrueSSOを利用しAD認証の手間を減らす
前回の記事でSAML認証でWork SpaceONE Accesにログインした場合、
VDIの起動のためのADアカウントのパスワード情報がないため、
VDIにログインするためにパスワードの入力が必要となってしまうことを説明しました。
Work SpaceONE Accesにはこの手間を避けるためのコンポーネントが存在しています。
そのコンポーネントはTrueSSOといいます。
このコンポーネントを構成することでSAML連携でWork SpaceONE AccesにSSOした場合でも、VDIにパスワードの入力なくログインすることができます。
SAML連携先からVDIまでSSOができる、まさに真のSSOですね。
システム上の処理としては、Work SpaceONE AccesにSSOしたアカウントのAD認証をごく短いユーザ証明書を発行しログインさせることでパスワード入力を省略します。
ただし、このコンポーネントの利用には証明書を発行するためのエンタープライズCAと登録サーバと呼ばれるTrueSSOを処理する機能をインストールしたサーバが追加で必要になります。
2つの機能は同じサーバ上に構成することができるので、そのサーバ費用が発生しますが必要となりますがコストメリットは十分にあると思います。
今回はAzure ADとSAML連携したWork SpaceONE Accesのログインの手間を減らす方法としてTrueSSOをご紹介しました。
次回の記事の予定は未定です。
WorkspaceONE AccessとAzureADを連携する。
みなさま、こんにちは。
前回の記事ではHorizon Cloud on Azureで利用できるWorkspace ONE Accessについて紹介しました。
今回の記事ではWorkspace ONE AccessをAzureADとの連携について紹介します。
前回の記事で紹介した通りWorksapce ONE AccessにはSAMLが利用可能なサードパーティ製の製品との連携機能があります。
Horizon Cloud on AzureではAzure上に環境を作成するので多くの場合はAzureをその他の用途でも利用している場合が多いと思います。
そのため、Worksapce ONE Accessの認証連携先としてAzureの選択肢をとることは導入に関するハードルが非常に低いと思います。
特にAzure ADのPremiumP1ライセンスを持っている場合は条件付きアクセスを利用することができるので、Azure上に作成したエンタプライズアプリケーションに条件付きアクセスを設定することにより、かなり詳細なアクセス制御を行うことが可能です。
条件付きアクセスでは、SMSのPINコードや電話応答等のAzureの2要素認証が利用でき、ネームドロケーションで社内からのアクセスは2要素認証をパスすることも可能です。
追加の費用もなくVDI環境に利便性を最大限確保しながら強力なアクセス制限をかけることができるのはかなり魅力的ですよね。
詳しい構成方法は英語ですが以下のブログで紹介されているので参考にしてみてください。
Integrating Azure Active Directory With VMware Workspace ONE Access As 3rd Party Identity Provider
ただし、Worksapce ONE AccessへのログインをSSOで行う場合、VDIへの接続時にADのアカウント認証を行うためパスワードの入力をする必要があります。
ユーザからするとMS認証とVDIへのログインで2回の認証が必要になるのは結構な手間に感じられるかもしれません。
キャッシュによりMS認証を行う回数を減らすことも可能ですが、Worksapce ONE AccessへのログインをSSOで行った場合でもADのアカウント認証を省略することができるTrueSSOという機能があります。
次回の記事ではTrueSSOについて紹介しようと思います。
Horizon Cloud on AzureでWorksapce ONE Accessを利用する
みなさま、こんにちは。
前回の記事ではHorizon Cloud on Azureで2要素認証を構成する方法について概要を紹介しました。
今回の記事では前回の記事で登場したWorksapce ONE Accessについてもう少し詳しく説明したいと思います。
①費用
②認証方法
①については、別のコンポーネントを導入することになるので別途費用が発生してしまうのではないかということは導入を検討するうえで大きな問題になると考えています。
しかし、このWorksapce ONE AccessはHorizon Cloudを利用するために必要なUniversalライセンスにはデフォルトで含まれています。
SaaSサービスとして提供されているWorksapce ONE Accessは簡単な登録をすることですぐに利用することが可能です。
そのため、利用に際して直接的な費用は発生しないのですが、このWorksapce ONE AccessにADの情報を連携するためのサーバを構成する必要があります。
Worksapce ONE Access Connectorと呼ばれるアプリケーションをサーバにインストールする必要があるのですが、Horizon Cloud on Azureで利用する場合はAzure上にWindowsサーバを構築してインストールするのが一般的だと思います。
そのため、利用にはこのWindowsサーバのインスタンス利用料がかかってくることになります。
サーバ冗長化を考えてもサードパーティ製ソリューションを導入するよりもかなり費用を抑えることが可能だと思います。
②認証方法
Worksapce ONE Accessは認証を管理するコンポーネントなので、証明書認証やサードパーティ製のソリューションを利用するなど、その認証方法は多岐に及びます。
それこそAzure ADと連携することも可能で、Azure AD Premium P1 ライセンスを持っていれば、条件付きアクセスを利用してかなり詳細な認証制御を行うことができます。
今回は、Horizon Cloud on Azureで利用できるWorksapce ONE Accessについて紹介しました。
次回はWorksapce ONE AccessとAzureADの連携について紹介したいと思います。
Horizon Cloud on Azureで2要素認証を利用する
みなさま、こんにちは。
今回はHorizon Cloud on Azureで2要素認証を利用する方法を紹介します。
Horizon Cloud on Azureで2要素認証を利用する場合、以下の2つの方法をとることが可能となります。
①Unified Access GatewayでRadius認証を構成する
②WorkspaceONEAccessを利用する
①のパターンではHorizon側で追加コンポーネントの構築の必要なく、2要素認証を利用することが可能です。
この場合、VDIへの接続を行う際にの受け口となるUnified Access Gatewayに対して2要素認証を構成します。
2要素認証として利用できるのはRadius認証のみで、柔軟性には欠けますが最も簡単に設計・構築できる2要素認証の方法となります。
接続の方法もHorizon Clientでいつも通り接続する際にRadius認証を行うため、既存でHorizonを利用している場合は違和感なく利用できると思います。
②のパターンではVMware社が提供するWorkspace ONE Accessを追加で構築し、
Horizon Cloud on Azureと連携することで2要素認証を実現します。
WorkspaceONEは認証やリソースへのアクセスの制御を行うコンポーネントで、
ここに2要素認証を構成し、Horizon CloudではWorkspaceONEからの接続のみを受け入れるように強制することで2要素認証を実現します。
WorkspaceONEはSAML認証等様々な認証方法を採用でき、サードパーティ製のソリューションを利用し、連携することも可能です。
接続の方法は、WebブラウザでWorkspaceONE Accessに接続し、Horizon Clientを呼び出す形になります。
今回はHorizon Cloud on Azureで利用可能な2要素認証の概要を紹介しました。
次回は今回の記事で紹介したWorksapce ONEをHorizon Cloud on Azureで利用するパターンについて紹介します。