Windows Virtual Desktop(WVD)とは?意外な盲点と最適活用に向けた3つのポイント

働き方改革の機運が高まる中、テレワークによる柔軟な働き方を支える仕組みとしてDaaS(Desktop as a Service)を採用する企業が増えつつあります。DaaSとはPCのデスクトップ環境を仮想化したVDI(Virtual Desktop Infrastructure:仮想デスクトップ)環境をクラウドで利用できるサービス。その新しい選択肢として2019年9月末にリリースされたマイクロソフトの「Windows Virtual Desktop」(※)が、いま大きな話題を集めています。従来のDaaSにはない様々なメリットがある一方、安全・快適に利用するためには考えなければならないポイントもあります。その意外な盲点と最適活用に向けた3つのポイントを徹底解説します。

※ 「Windows Virtual Destop」は「Azure Virtual Desktop」に名称が変更になりました。

目次
  1. WVDとは何か? その概要と期待が高まる背景
  2. 従来のDaaSを超えるWVDの画期的メリットとは
  3. 意外な盲点!? WVDに対する誤解
  4. WVD活用に欠かせない3つのポイント
  5. 3つのポイントを押さえて、WVDを活用するには
WVDサービス+
ゼロトラストのガイドブック
2冊セットで
ダウンロード(無料)

WVDとは何か? その概要と期待が高まる背景

マイクロソフトの「Windows Virtual Desktop」(以下、WVD)は、Microsoft Azure上で実行するDaaS(Desktop as a Service)のことです。最大の特徴は、Azure上のWindows 10を「仮想化サービス」として利用できること。これまで以上に、DaaSが身近なものになると期待されています。

働き方改革や災害対策時の在宅勤務を支える仕組みとして、DaaSは以前から利用されていますが、最近は世界的に猛威を振るう新型コロナウイルスのリスク対策として、その有効性が改めて見直されています。DaaSを活用すれば、会社に出社せずとも在宅でオフィスと同じように、かつセキュアに仕事ができるからです。こうした状況の中、2019年9月末にリリースされたWVDは、テレワークの新しい選択肢の1つとして急速にその注目度を高めています。

従来のDaaSを超えるWVDの画期的メリットとは

WVDは従来のDaaSにはない、独自のメリットを多数実装しています。その1つが「Windows 10マルチセッション接続」です。Windows 10などのOSでVDIを構築する場合、ユーザごとに仮想マシンを割り当てるのが一般的ですが、WVDは“マイクロソフト純正”の強みを活かし、唯一、Windows 10のマルチセッション接続に対応しています。複数ユーザの利用を想定したVDI環境を、1台の仮想マシンで構築できるのです。仮想マシンのリソースを共有できるので、集約率が上がり、コスト負担を最適化できます。業務に必要なアプリケーションを複数ユーザで同時に利用できるので、利便性や生産性の向上も期待できます。

Windows 7の延命も可能になります。Windows 7の延長サポートは2020年1月14日で終了しましたが、WVDにホストされたWindows 7は「ESU(Extended Security Updates:拡張セキュリティ更新プログラム)」が提供されます。3年間のセキュリティ更新プログラムを無料で受けることができるのです。延長サポート終了後も向こう3年間は安心してWindows 7を利用できるため、次期OSへの移行を慌てる必要がなく、投資の保護につながります。

“マイクロソフト純正”の強みはもう1つあります。仮想環境でWindows 10などのクライアントOSを利用する際は、VDA(Virtual Desktop Access)と呼ばれる高額なライセンスを別途用意する必要があるのですが、WVDの利用に必要なライセンス(Microsoft 365 E3/E5、Windows 10 Enterprise E3/E5)内に、Azure上で利用可能なVDA利用権も含まれているのです。別途ライセンスを購入する必要がないので、コスト負担が少なくなり、多くの企業がVDIの利用にシフトしやすくなります。Azureベースのサービスであるため、クラウドサービスの強みを活かし、ユーザの増加や用途の拡大に伴うリソースの追加にもスピーディかつ柔軟に対応できます。これもWVDの大きなメリットと言えるでしょう。

意外な盲点!? WVDに対する誤解

このように様々なメリットが期待できるWVDですが、実は導入してすぐに利用できるわけではありません。一部のコンポーネントについてはお客様側での構築が必要になります。

WVDは仮想マシンへのアクセスを制御する「管理コントロールプレーン」という管理機能と、ホストサーバやプロファイルストレージなどの「仮想デスクトップ実行環境」の2つで構成されます。

お客様は管理コントロールプレーンを経由してAzureテナント上の仮想マシンにアクセスする仕組みです。この管理コントロールプレーンは「マイクロソフト マネージド」で提供されますが、仮想デスクトップ実行環境は「ユーザマネージド」となっているのです。

複雑な管理コンポーネントをマイクロソフトがマネージドサービスとして提供してくれる半面、仮想デスクトップ実行環境はお客様側が用意しなければなりません。具体的にはOSやアプリケーションを含む仮想デスクトップ環境、Active Directory、ユーザプロファイル保管場所、WVDとお客様拠点をつなぐネットワークの整備などが必要です。お客様自身で対応しなければならないことは非常に多岐にわたります。この点はWVDを利用する上で意外な盲点と言えるでしょう。

加えて、安全・快適にテレワークを行えるようにするためには、セキュリティや遅延・輻輳のない通信を確保することも求められます。VDI環境を構築するだけでなく、運用の安全性・快適性まで留意した仕組みを整える必要があるのです。そのために“絶対外せない”ポイントを整理し、具体的な対策を考察しましょう。

WVD活用に欠かせない3つのポイント

WVDでVDI環境を構築し、DaaSとして最適活用を図る。そのためには3つのポイントが非常に重要になります。

1.接続ネットワーク

クラウド上のVDI環境を利用するためには、お客様拠点とAzureをつなぐネットワークが不可欠です。ネットワークがボトルネックになると、レスポンスが低下し、業務に支障を来たす恐れもあります。単につながるだけでなく、安全・快適に利用できるネットワーク環境を整備する必要があります。

またVDI環境と業務システム間の接続とは別に、WVDの画面転送通信はインターネット経由で行われます。仮想PC数が増えると、当然トラフィックも増加するため、社内端末から利用する場合は企業のインターネットゲートウェイが混雑・輻輳してしまいます。画面転送通信を支えるネットワークも十分な帯域の確保とセキュリティを考える必要があるでしょう。

2.認証基盤

WVDで構築したVDI環境は2つの認証手続きが必要です。1つは管理コントロールプレーンに接続するための認証。もう1つはVDIを利用するための認証です。前者はAzure Active Directoryで認証し、後者はActive Directoryサーバで認証します。両者を同一アカウントで運用するため、Azure AD Connectサーバも必要になります。

この仕組みはOffice 365の認証と同じもの。すでにOffice 365を利用していれば、その認証基盤を適用可能です。ただし、Office 365もWVDもAzureをベースに提供するクラウドサービス。日常の業務を支えるデスクトップ環境やアプリケーションがクラウドシフトされていく中、Azure AD ConnectサーバやActive Directoryサーバをオンプレミスで運用すると管理が煩雑になります。これらもクラウドに移行すれば、運用・管理を大幅に効率化できます。WVDの利用を機に、オンプレミスの認証基盤の見直しも考える必要がありそうです。

3.VPN環境

Office 365などのクラウドサービスの利用を始めている企業の多くは、SaaSの利用だけではなく社内リソースへのアクセスも想定し、社外からのリモートアクセスを前提としたセキュアなVPN環境を構築しています。

しかし、自宅の有線ネットワークやモバイル環境が十分な性能を備えていないと、業務を快適に行うことはできません。VPNの有無に関わらずテレワーク採用企業が増えることでコンシューマー回線がひっ迫しつつあるという現状もあります。また企業においてはテレワークの利用が増えるとVPNにアクセスが集中し、パフォーマンス低下やセッション断も起こりやすくなります。単純にVPNを使わずに直接インターネットからアクセスすれば改善するという話ではなく、各個人のインターネット環境の影響を受けにくい、より快適な通信の仕組みを整えていく必要があります。

3つのポイントを押さえて、WVDを活用するには

この3つのポイントを踏まえた対策をお客様が自前で行うのは、技術的にもコスト的にも非常にハードルの高いものになります。深刻化する新型コロナウイルスのリスク対策として在宅勤務の体制整備を急ぐ企業は、短期間で実現できる「スピード」も重要な要件になるでしょう。IIJはこうしたニーズを満たす、3つのポイントに対応したサービスを提供しています。以降では、そのサービスの特徴とメリットを詳しく紹介しましょう。

1.お客様拠点とWVD環境をダイレクトに接続

まず接続ネットワークについては、クラウド型ネットワークサービス「IIJ Omnibusサービス」によるVPN接続(提供予定)、または「IIJクラウドエクスチェンジサービス」による閉域接続が有効です。

前者はお客様拠点からISP(本サービスの場合、IIJ)までをIPoE方式によるインターネットVPNで接続します。インターネットVPNのアクセス回線にはフレッツ網が広く使われていますが、アクセス集中による遅延や輻輳がしばしば問題になります。その点、IPoE方式はNTT東西のフレッツ網とISPを混雑しやすい網終端装置を経由せずに接続する仕組み。低遅延なネットワーク構成が可能な上、IPv6網を使ったVPN接続により、フレッツ網の遅延や輻輳を回避できるのが特徴です。IIJ Omnibusサービスが中継する形で、AzureへのVPN接続を提供します。

後者はマイクロソフトの閉域接続サービス「ExpressRoute」を利用した専用線接続です。例えば、WVDでテレワークを行っている時にネットワークの障害やボトルネックが発生すると、通信が滞り、業務がストップしてしまう恐れがありますが、専用線は契約したサービスレベルを厳守する帯域確保型。可用性の高い異キャリア、異経路による冗長構成にも対応しており、非常に信頼性の高い安定した通信が可能です。エッジルータの管理を含めたマネージドサービスなので、ネットワークの運用管理の手間を軽減できるのも大きなメリットです。

これに加え、WVDの画面転送通信を最適化するサービスもあります。それが「IIJ クラウドエクスチェンジサービス for Microsoft Azure Peering Service」です。IIJ閉域ネットワークを使って、お客様拠点とAzure環境をつなぎ、画面転送に最適化された低遅延ネットワークとして利用できます。画面転送通信をこのネットワークにオフロードすることで、アクセス集中に伴う企業ネットワークの混雑・輻輳を回避できます。

2.ID管理基盤をクラウド化し、構築・運用をフルサポート

Active Directoryによる認証基盤は、WVDによるDaaSを利用する上で必須の仕組みです。IIJはこれをトータルサポートするサービスを提供しています。それが「IIJディレクトリサービス for Microsoft」です。

具体的にはActive DirectoryとAzure AD Connectをクラウドサービスとして提供します。Active DirectoryやAzure AD Connect未利用のお客様は、このサービスを利用することで、ID管理基盤のフルクラウド化が可能です。ユーザは単一のID・パスワードで社内システムとクラウドサービスの双方にアクセスできるようになります。サーバ購入や認証基盤の構築は不要。Active Directoryの監視やアップデートもIIJが対応するため、運用管理も大幅に省力化できます。

一方、Office 365を導入済みで既にActive DirectoryとAzure AD Connect環境を構築しているお客様は、WVDでも従来環境を流用できますが、Office 365やWVDといったAzureベースのサービス利用の拡大に応じて、ID管理基盤もフルクラウド化したいというニーズも増えています。ID管理基盤をフルクラウド化すれば、大幅な運用管理の負荷軽減が見込める上、BCP対策の強化にもつながります。WVDの利用を機に、ID管理基盤のフルクラウド化を考えているお客様にとっても、「IIJディレクトリサービス for Microsoft」は非常に有効なサービスです。

3.“切れないVPN”で業務がより快適かつスムーズに

VPN接続は「通信速度が遅い」「接続が切れやすい」といったイメージを持っているユーザが少なくありません。このイメージを払拭する画期的なVPNサービスが「IIJフレックスモビリティサービス」です。これを活用することで、テレワーク時の安全性と快適性の確保が可能になります。

データ送受信にはリアルタイム性に優れたUDPプロトコルを採用しています。独自の通信安定化とエラー補正技術により、遅延やパケットロスがあっても快適なVDIの利用が可能です。しかも、切断オペレーションをしない限りVPNセッションを張り続けるため、電波状況の悪い場所でも再接続の手間が不要な“切れないVPN”を実現します。ネットワーク品質劣化に伴うVDIのセッション断や再ログインを防ぐ効果が期待できます。

多様なセキュリティポリシーに対応した管理機能も充実しています。Active Directoryによるユーザ認証に加えて、デバイス認証にも対応。指定の端末にはVDIの画面転送通信しか許可しないといったポリシーや、アプリケーションごとのVPN接続ポリシーも設定・適用可能です。

更に「IIJフレックスモビリティサービス」と「IIJクラウドエクスチェンジサービス for Microsoft Azure PeeringService」を組み合わせることで、端末からWVDを含めたMicrosoftクラウドサービスへの専用ルートを確立できます。企業のインターネット接続環境やWANなどのネットワークを消費することなく、各種Microsoftクラウドサービスへの快適なVPN接続を実現できるのです。

WVDによるDaaSの最適活用を図るためには、3つのポイントに対応することが不可欠です。IIJはこれらの要件を満たすサービスの提供を通じ、WVDによるお客様の働き方改革と生産性向上を強力にサポートしています。