Microsoft Azure のポッドに使用するポッド マニフェスト バージョン 1230 以降では、ドメイン アカウントはエージェント ソフトウェアがインストールされているイメージ仮想マシンに直接接続できます。ポッド マニフェスト 1230 より前のバージョンでは、ドメインに参加した仮想マシンにインストールされたエージェント ソフトウェアにより、ドメイン アカウントをその仮想マシンに直接接続できませんでした。ポッドのマニフェスト 1230 以降、ドメイン アカウントを使用してログインし、イメージ仮想マシンをカスタマイズできます。ただし、ポッドのマニフェストが 1230 より前のバージョンでも、以下の手順を使用して、インポートしたイメージにリモート接続するためのドメイン アカウントの機能を設定することができます。

組織のニーズに応じてイメージをカスタマイズするには、Microsoft Azure にあるイメージの仮想マシンにリモートで接続してログインできる必要があります。イメージ仮想マシンが Active Directory ドメインに参加していて、組織のポリシーがドメインに参加した仮想マシンでローカル管理者アカウントを使用することを禁止している場合、イメージのカスタマイズに使用するドメイン アカウントを使用して DaaS Direct Connect Users ローカル グループを構成するまで、イメージ仮想マシンにログインすることはできません。

Microsoft Azure のイメージ仮想マシンに接続するには、Remote Desktop Protocol (RDP) ソフトウェアを使用します。イメージ仮想マシンを作成する全体的なプロセスの一環として、以下のアイテムが配置されます。

  • 仮想マシンは、2019 年 12 月のサービス リリースより前に [仮想マシンのインポート] ウィザードを使用して作成された場合、常にドメインに参加します。また仮想マシンは、手動で作成して明示的にドメインに参加させることによって、あるいは 2019 年 12 月のサービス リリース後に [仮想マシンのインポート] ウィザードを使用して作成し、ドメインに参加するためのウィザード オプションを選択することによって、ドメインに参加します。2019 年 12 月のサービス リリースより前は、[仮想マシンのインポート] ウィザードは常に自動的に仮想マシンをドメインに参加させていました。
  • Horizon Agent ソフトウェアは、仮想マシンの Microsoft Windows オペレーティング システムにインストールされます。

デフォルトでは、エージェント ソフトウェアは、エージェント ソフトウェアがインストールされた仮想マシンのローカル管理者アカウント以外のアカウントが仮想マシンのゲスト Microsoft Windows システムに対して RDP を実行することを許可しません。たとえば、ローカル管理者グループのメンバーであるドメイン管理者アカウントを使用してイメージ仮想マシンに対して RDP を実行しようとすると、最初に接続が行われても、Microsoft Windows セッションの開始時にメッセージが表示されます。メッセージには、仮想デスクトップへの直接接続が許可されないことが示されます。


仮想デスクトップへの直接接続が許可されないことを示す DaaS Agent メッセージ

ただし、一部の組織には通常、ドメインに参加した仮想マシン上でローカル管理者アカウントが使用されるのを禁止するポリシーがあります。RDP を実行してログインし、イメージ仮想マシンをカスタマイズする機能をドメイン アカウントに提供するため、エージェント ソフトウェアをインストールするときには DaaS 直接接続ユーザーという名前のローカル グループも作成されます。このグループにはローカル管理権限がありません。エージェントは、このグループのドメイン アカウントが直接 RDP 接続を使用してデスクトップに接続することを許可します。DaaS 直接接続ユーザー グループは作成時には空です。イメージをカスタマイズするために使用するドメイン アカウントに RDP 機能を提供するには、それらのドメイン ユーザーを DaaS Direct Connect Users ローカル グループに追加します。

次のスクリーンショットは、[Marketplace からの仮想マシンのインポート] ウィザードを使用して作成したイメージ仮想マシンの [ローカル ユーザーとグループ] ウィンドウに DaaS Direct Connect Users グループを表示した例です。

[ローカル ユーザーとグループ] ウィンドウおよび DaaS Direct Connect Users グループを示す緑色の矢印が表示されたスクリーンショット

ローカル管理者アカウントを使用して仮想マシンに直接接続できない場合は、Active Directory 環境で Group Policy Object (GPO) ポリシーを使用して DaaS Direct Connect Users グループにドメイン アカウントを追加します。次の手順では、ドメインに参加した仮想マシンの DaaS Direct Connect Users グループにメンバーを追加するための GPO ポリシーの「制限付きグループ - Members Of」メソッドの使用方法について説明します。

  1. Active Directory 環境で、新しい GPO を作成します。
  2. GPO を右クリックして、[編集] を選択します。
  3. グループ ポリシー管理エディタで、[コンピュータの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [制限付きグループ] の順に移動します。
  4. [制限付きグループ] を右クリックして、[グループの追加] を選択します。
  5. [グループの追加] ダイアログで、DaaS 直接接続ユーザーを入力し、[OK] をクリックします。
  6. プロパティ ダイアログで、[このグループのメンバー] 領域とその [追加] ボタンを使用して、イメージ仮想マシンに接続できるようにするドメイン アカウントを追加します。
  7. [このグループのメンバー] 領域へのアカウントの追加が完了したら、[OK] をクリックしてプロパティ ダイアログを閉じます。
  8. グループ ポリシー管理エディタとグループ ポリシー管理コンソールを終了します。
  9. 新しく作成した GPO を、イメージ仮想マシンに使用されているのと同じドメインにリンクします。

新しい GPO がドメインにリンクされたら、それらの指定されたドメイン アカウントの 1 つを使用してイメージ仮想マシンに対して RDP を実行し、カスタマイズすることができます。インポートされた仮想マシンの Windows オペレーティング システムをカスタマイズおよびそのサブトピックに記載されている手順に従います。