Azure VMware Solution のセキュリティ、ガバナンス、コンプライアンス

この記事では、ライフサイクル全体を通じて Azure VMware Solution を安全に実装して全体的に管理する方法について説明します。 この記事では、特定の設計要素について説明し、Azure VMware Solution のセキュリティ、ガバナンス、コンプライアンスに関するユーザー対象の推奨事項を示します。

セキュリティ

Azure VMware Solution 内で機能を実行するシステム、ユーザー、またはデバイスを決定するときは、次の要素と、プラットフォーム全体を保護する方法を検討してください。

ID セキュリティ

• 永続アクセスの制限: Azure VMware Solution では、Azure VMware Solution プライベート クラウドをホストする Azure リソース グループの共同作成者ロールを使用します。 意図的または意図しない共同作成者の権利の不正使用を防ぐために、永続的なアクセスを制限します。 特権アカウント管理ソリューションを使用して、高い特権を持つアカウントの使用時間を監査および制限します。

  Azure Privileged Identity Management (PIM) 内に Microsoft Entra ID 特権アクセス グループを作成して、Microsoft Entra ユーザーとサービス プリンシパルのアカウントを管理します。 このグループを使用して、期限付きの妥当性ベースのアクセスを備えた Azure VMware Solution クラスターを作成および管理します。 詳細については、「特権アクセス グループに有資格の所有者およびメンバーを割り当てる」を参照してください。

  Azure VMware Solution の管理アクティビティ、操作、および割り当てに、Microsoft Entra PIM 監査履歴レポートを使用します。 長期的な監査保持のニーズに対応するために、レポートを Azure Storage にアーカイブできます。 詳細については、「Privileged Identity Management (PIM) で特権アクセス グループの割り当ての監査レポートを表示する」を参照してください。

• 一元化された ID 管理: Azure VMware Solution では、VMware プライベート クラウド環境を構成するためのクラウド管理者とネットワーク管理者の資格情報を提供します。 これらの管理者アカウントは、Azure VMware Solution へのロールベースのアクセス制御 (RBAC) アクセス権を持つすべての共同作成者に表示されます。

  組み込みの cloudadmin およびネットワーク管理者ユーザーによる VMware プライベート クラウド コントロール プレーンへのアクセスの乱用または不正使用を防ぐには、VMware プライベート クラウド コントロール プレーンの RBAC 機能を使用して、役割とアカウントへのアクセスを適切に管理します。 最小特権の原則を使用して、ユーザーやグループなどの複数のターゲット ID オブジェクトを作成します。 Azure VMware Solution によって提供される管理者アカウントへのアクセスを制限し、緊急用の構成でアカウントを構成します。 他のすべての管理アカウントが使用できない場合にのみ、組み込みアカウントを使用します。

  提供された cloudadmin アカウントを使用して、Active Directory Domain Services (AD DS) または Microsoft Entra Domain Services を、VMware vCenter Server および NSX-T データ センター制御アプリケーションとドメイン サービスの管理 ID と統合します。 ドメイン サービスのユーザーとグループを Azure VMware Solution の管理と操作に使用し、アカウントの共有を許可しません。 vCenter Server カスタム ロールを作成し、それらを AD DS グループに関連付け、VMware プライベート クラウド コントロール サーフェスの詳細な特権アクセス制御を行います。

  Azure VMware Solution オプションを使用して、vCenter Server および NSX-T データ センターの管理者アカウントのパスワードをローテーションおよびリセットできます。 これらのアカウントの定期的なローテーションを構成し、緊急用の構成を使用するときは常にアカウントをローテーションします。 詳細については、「Azure VMware Solution の cloudadmin 資格情報のローテーション」を参照してください。

• ゲスト仮想マシン (VM) ID 管理: Azure VMware Solution ゲストに一元化された認証と認可を付与し、効率的なアプリケーション管理を実現し、ビジネス データとプロセスへの不正アクセスを防止します。 ライフサイクルの一部として、Azure VMware Solution のゲストとアプリケーションを管理します。 一元化された ID 管理ソリューションを使用して、管理とアプリケーションの使用を認証および認可するようにゲスト VM を構成します。

  Azure VMware Solution のゲスト VM とアプリケーション ID 管理に、一元化された AD DS またはライトウェイト ディレクトリ アクセス プロトコル (LDAP) サービスを使用します。 障害の発生中も機能を継続できるように、ドメイン サービス アーキテクチャで障害シナリオを考慮してください。 AD DS の実装を Microsoft Entra ID に接続して、高度な管理とシームレスなゲスト認証および認可エクスペリエンスを実現します。

環境とネットワークのセキュリティ

• ネイティブ ネットワーク セキュリティ機能:トラフィックのフィルター処理、Open Web Application Security Project (OWASP) 規則のコンプライアンス、統合ファイアウォール管理、分散型サービス拒否 (DDoS) 保護などの、ネットワーク セキュリティ制御を実装します。

  • トラフィック フィルタリングは、セグメント間のトラフィックを制御します。 NSX-T データ センターまたはネットワーク仮想アプライアンス (NVA) 機能を使用してゲスト ネットワーク トラフィック フィルター デバイスを実装し、ゲスト ネットワーク セグメント間のアクセスを制限します。

  • OWASP Core ルール セットのコンプライアンス により、Azure VMware Solution Web アプリケーションのワークロードを一般的な Web 攻撃から保護します。 Azure Application Gateway の Web Application Firewall (WAF) の OWASP 機能を使用して、Azure VMware Solution ゲストでホストされている Web アプリケーションを保護します。 最新のポリシーを使用して防止モードを有効にし、WAF ログをログ戦略に統合してください。 詳細については、「Azure Web Application Firewall の概要」を参照してください。

  • 統合されたファイアウォール規則の管理 により、ファイアウォール規則の重複や欠落によって不正アクセスのリスクが高くなるのを防ぎます。 ファイアウォール アーキテクチャは、Azure VMware Solution のより大規模なネットワーク管理と環境セキュリティ体制に貢献します。 トラフィック フロー、検査、一元化されたルール管理、およびイベント収集を可能にするステートフル マネージド ファイアウォール アーキテクチャを使用します。

  • DDoS 保護により、経済的な損失やユーザー エクスペリエンスの低下を引き起こす攻撃から Azure VMware Solution ワークロードを保護します。 Azure VMware Solution 接続の ExpressRoute 終了ゲートウェイをホストする Azure 仮想ネットワークに DDoS 保護を適用します。 DDoS 保護を自動的に適用する場合は、Azure Policy を使用することを検討してください。

• カスタマー マネージド キー (CMK) を使用した VSAN 暗号化を使用すると、Azure VMware Solution VSAN データストアを、Azure Key Vault に格納されている顧客指定の暗号化キーで暗号化できます。 この機能を使用して、キー ローテーション ポリシーへの準拠やキー ライフサイクル イベントの管理などのコンプライアンス要件を満たすことができます。 実装のガイダンスと制限の詳細については、「Azure VMware Solution で保存時のカスタマー マネージド キー暗号化を構成する」を参照してください。

• 制御された vCenter Server アクセス: Azure VMware Solution vCenter Server への制御されていないアクセスにより、攻撃可能な領域が増加する可能性があります。 専用の特権アクセス ワークステーション (PAW) を使用して、Azure VMware Solution vCenter Server および NSX-T Manager に安全にアクセスします。 ユーザー グループを作成し、個々のユーザー アカウントをこのユーザー グループに追加します。

• ゲスト ワークロードの受信インターネット要求ログ: Azure Firewall、またはゲスト VM への着信要求の監査ログを維持する承認済みの NVA を使用します。 これらのログをセキュリティ インシデントおよびイベント管理 (SIEM) ソリューションにインポートして、適切な監視とアラートを行います。 Microsoft Sentinel を使用して、既存の SIEM ソリューションに統合する前に Azure イベント情報とログを処理します。 詳しくは、「Microsoft Defender for Cloud と Azure VMware Solution を統合する」を参照してください。

• 送信インターネット接続セキュリティのセッション監視: Azure VMware Solution からの送信インターネット接続のルール制御またはセッション監査を使用して、予期しない、または疑わしい送信インターネット アクティビティを特定します。 最大のセキュリティを確保するために、送信ネットワーク検査を配置するタイミングと場所を決定します。 詳細については、「Azure VMware Solution のエンタープライズ規模のネットワーク トポロジと接続」を参照してください。

  Azure VMware Solution の既定のインターネット接続に依存するのではなく、送信インターネット接続に専用のファイアウォール、NVA、仮想ワイドエリア ネットワーク (Virtual WAN) サービスを使用します。 詳細と、設計に関する推奨事項については、「Azure Virtual Network のネットワーク仮想アプライアンスを使用した Azure VMware Solution トラフィックの検査」を参照してください。

  Azure Firewall でエグレス トラフィックをフィルターするときは、Virtual Network などのサービス タグと完全修飾ドメイン名 (FQDN) タグを識別に使用します。 他の NVA にも同様の機能を使用します。

• 集中管理され、セキュリティで保護されたバックアップ: RBAC と遅延削除機能を使用すると、環境の復旧に必要なバックアップ データの意図的または偶発的な削除を防ぐことができます。 Azure Key Vault を使用して暗号化キーを管理し、バックアップ データの保存場所へのアクセスを制限して削除のリスクを最小限に抑えます。

  転送中および保存時に暗号化を行う、Azure VMware Solution 用に検証された Azure Backup または別のバックアップ テクノロジを使用します。 Azure Recovery Services コンテナーを使用する場合は、リソース ロックとソフト削除機能を使用して、偶発的または意図的なバックアップ削除から保護します。 詳細については、「Azure VMware Solution のエンタープライズ規模のシナリオにおける事業継続とディザスター リカバリー」を参照してください。

ゲスト アプリケーションと VM のセキュリティ

• 高度な脅威検出: さまざまなセキュリティ リスクとデータ侵害を防ぐには、エンドポイント セキュリティ保護、セキュリティ アラートの構成、変更制御プロセス、脆弱性評価を使用します。 Microsoft Defender for Cloud を使用して、脅威管理、エンドポイント保護、セキュリティ アラート、OS パッチの適用、規制コンプライアンスの適用に関する一元的なビューを使用できます。 詳しくは、「Microsoft Defender for Cloud と Azure VMware Solution を統合する」を参照してください。

  Azure Arc for servers を使用して、ゲスト VM をオンボードします。 オンボードが完了したら、Azure Log Analytics、Azure Monitor、および Microsoft Defender for Cloud を使用して、ログとメトリックを収集し、ダッシュボードとアラートを作成します。 Microsoft Defender Security Center を使用して、VM ゲストに関連する脅威を保護および警告します。 詳細については、「Azure VMware Solution で Azure ネイティブ サービスを統合してデプロイする」を参照してください。

  移行を開始する前、または新しいゲスト VM をデプロイするときに、Log Analytics エージェントを VMware vSphere VM にデプロイします。 メトリックとログを Azure Log Analytics ワークスペースに送信するように MMA エージェントを構成します。 移行後、Azure VMware Solution VM により Azure Monitor と Microsoft Defender for Cloud でアラートが報告されることを確認します。

  または、Azure VMware Solution 認定パートナーのソリューションを使用して、VM のセキュリティ体制を評価し、Center for Internet Security (CIS) 要件に対する規制コンプライアンスを提供します。

• セキュリティ分析: Azure VMware Solution VM およびその他のソースからの 1 つにまとまったセキュリティ イベントの収集、相関関係、および分析を使用して、サイバー攻撃を検出します。 Microsoft Defender for Cloud を Microsoft Sentinel のデータソースとして使用します。 Microsoft Defender for Storage、Azure Resource Manager、ドメイン ネーム システム (DNS)、および Azure VMware Solution のデプロイに関連するその他の Azure サービスを構成します。 認定パートナーの Azure VMware Solution データ コネクタの使用を検討してください。

• ゲスト VM の暗号化: Azure VMware Solution では、基になる vSAN ストレージ プラットフォームの保存データの暗号化が提供されます。 ファイル システムにアクセスできる一部のワークロードと環境では、データを保護するためにより多くの暗号化が必要になる場合があります。 このような状況では、ゲスト VM オペレーティングシステム (OS) とデータの暗号化を有効にすることを検討してください。 ネイティブ ゲスト OS 暗号化ツールを使用してゲスト VM を暗号化します。 Azure Key Vault を使用して、暗号化キーを格納および保護します。

• データベースの暗号化とアクティビティの監視: Azure VMware Solution で SQL およびその他のデータベースを暗号化して、データ侵害が発生した場合にデータに簡単にアクセスできないようにします。 データベース ワークロードの場合は、透過的データ暗号化 (TDE) や同等のネイティブ データベース機能などの保存時の暗号化方法を使用します。 ワークロードで暗号化されたディスクが使用されていること、および機密性の高いシークレットがリソース グループ専用のキー コンテナーに格納されていることを確認します。

  Azure SQL Database の透過的データ暗号化 (TDE) の BYOK など、Bring Your Own Key (BYOK) シナリオで顧客が管理するキーに Azure Key Vault を使用します。 可能な場合は、キー管理とデータ管理の職務を分離します。 SQL Server 2019 が Key Vault を使用する方法の例については、「セキュア エンクレーブを使用する Always Encrypted で Azure Key Vault を使用する」を参照してください。

  インサイダー攻撃のリスクを減らすために、異常なデータベース アクティビティを監視します。 アクティビティ モニターや Azure VMware Solution 認定パートナー ソリューションなどのネイティブ データベース監視を使用します。 監査制御を強化するために Azure データベース サービスの使用を検討してください。

• 拡張セキュリティ更新プログラム (ESU) キー: ESU キーを指定して構成し、Azure VMware Solution VM にセキュリティ更新プログラムをプッシュしてインストールします。 ボリューム アクティベーション管理ツールを使用して、Azure VMware Solution クラスターの ESU キーを構成します。 詳細については、「対象となる Windows デバイスの拡張セキュリティ更新プログラムを取得する」を参照してください。

• コードのセキュリティ: DevOps ワークフローにセキュリティ対策を実装して、Azure VMware Solution ワークロードのセキュリティの脆弱性を防止します。 Open Authorization (OAuth) や OpenID Connect などの最新の認証および認可ワークフローを使用します。

  コード ベースの整合性を保証するバージョン管理されたリポジトリには、Azure VMware Solution での GitHub Enterprise Server を使用します。 ビルド エージェントと実行エージェントを Azure VMware Solution またはセキュリティで保護された Azure 環境にデプロイします。

ガバナンス

環境とゲスト VM のガバナンスを計画するときは、次の推奨事項を実装することを検討してください。

環境ガバナンス

• vSAN の記憶域スペース: VSAN の記憶域スペースが不十分な場合、SLA の保証に影響する可能性があります。 Azure VMware Solution の SLA でお客様とパートナーの責任を確認して理解します。 [データストア ディスク使用率] メトリックのアラートに適切な優先順位と所有者を割り当てます。 詳細とガイダンスについては、「Azure VMware Solution でアラートを構成してメトリックを使用する」を参照してください。

• VM テンプレートのストレージポリシー: 既定のシック プロビジョニングされたストレージ ポリシーでは、vSAN ストレージが過剰に予約される可能性があります。 スペースの予約が不要なシン プロビジョニングされたストレージ ポリシーを使用する VM テンプレートを作成します。 事前に全量のストレージを予約しない VM では、より効率的なストレージ リソースが可能になります。

• ホスト クォータ ガバナンス: ホスト クォータが不十分な場合、拡張またはディザスター リカバリー (DR) のニーズに対応するためにホストの容量を増やす場合、5-7 日の遅延が発生する可能性があります。 ホスト クォータを要求するときは、ソリューションの設計に成長と DR の要件を考慮し、環境の成長と最大値を定期的に確認して、拡張要求の適切なリード タイムを確保します。 たとえば、3 ノードの Azure VMware Solution クラスターで DR 用にさらに 3 ノードが必要な場合は、6 ノードのホスト クォータを要求します。 ホスト クォータ要求には追加コストは発生しません。

• 許容できない (FTT) ガバナンス: Azure VMware Solution の SLA を維持するために、クラスター サイズに対応する FTT 設定を確立します。 クラスター サイズを変更するときは、vSAN ストレージ ポリシーを適切な FTT 設定に調整して、SLA に準拠していることを確認してください。

• ESXi アクセス: Azure VMware Solution ESXi ホストへのアクセスは制限されています。 ESXi ホストへのアクセスを必要とするサードパーティ製ソフトウェアが機能しない場合があります。 ESXi ホストへのアクセスが必要なソース環境で、Azure VMware Solution がサポートするサードパーティ製ソフトウェアを特定します。 ESXi ホストへのアクセスが必要な状況では、Azure portal で Azure VMware Solution サポート リクエスト プロセスをよく理解して使用してください。

• ESXi ホストの密度と効率: 優れた投資収益率 (ROI) については、ESXi ホストの使用率に関する説明をご確認ください。 ゲスト VM の正常な密度を定義して、Azure VMware Solution への投資を最大化し、そのしきい値に対するノードの全体的な使用率を監視します。 監視で示されたときに Azure VMware Solution 環境のサイズを変更し、ノードの追加に十分なリード タイムを確保します。

• ネットワークの監視: 悪意のあるまたは不明なトラフィックや侵害されたネットワークの内部ネットワーク トラフィックを監視します。 Azure VMware Solution のネットワーク操作に関する詳細な分析情報を得るために、vRealize Network Insight (vRNI) と vRealize Operations (vROps) を実装します。

• セキュリティ、計画メンテナンス、および Service Health アラート: サービスの正常性を把握して表示し、障害や問題に適切に対処します。 Azure VMware Solution サービスの問題、計画メンテナンス、正常性アドバイザリ、およびセキュリティ アドバイザリに対して Service Health アラートを構成します。 Microsoft が推奨するメンテナンス期間外で、Azure VMware Solution のワークロード アクティビティをスケジュールおよび計画します。

• コスト ガバナンス: コストを監視して、財務上の明確な責任と予算の割り当てを行います。 コストの追跡、コストの割り当て、予算の作成、コスト アラート、および優れた財務ガバナンスのためのコスト管理ソリューションを使用します。 Azure の請求料金については、Azure Cost Management + Billing ツールを使用して、予算の作成、アラートの生成、コストの割り当て、および財務関係者向けのレポートの作成を行います。

• Azure サービスの統合: Azure のサービスとしてのプラットフォーム (PaaS) のパブリック エンドポイントを使用しないでください。目的のネットワーク境界から離れたトラフィックが発生する可能性があります。 トラフィックが定義された仮想ネットワーク境界内にとどまるようにするには、プライベート エンドポイントを使用して Azure SQL Database や Azure Blob Storage などの Azure サービスにアクセスします。

ワークロード アプリケーションと VM のガバナンス

Azure VMware Solution ワークロード VM のセキュリティ体制についての認識は、サイバーセキュリティの準備と対応を理解し、ゲスト VM とアプリケーションに完全なセキュリティ カバレッジを提供するのに役立ちます。

• Microsoft Defender for Cloud を有効化して、Azure サービスと Azure VMware Solution アプリケーション VM ワークロードを実行します。

• Azure Arc 対応サーバーを使用して、次のような Azure ネイティブ リソース ツールを複製するツールで Azure VMware Solution のゲスト VM を管理します。

  • ゲストの構成と設定を管理、レポート、監査する Azure Policy
  • デプロイを簡素化するための Azure Automation State Configuration とサポートされている拡張機能
  • Azure VMware Solution のアプリケーション VM ランドスケープの更新を管理するための Update Management
  • Azure VMware Solution のアプリケーション VM インベントリを管理および整理するためのタグ

  詳細については、「Azure Arc 対応サーバーの概要」を参照してください。

• ワークロード VM ドメイン ガバナンス: エラーが発生しやすい手動プロセスを回避するには、JsonADDomainExtension などの拡張機能または同等の自動化オプションを使用して、Azure VMware Solution のゲスト VM が Active Directory ドメインに自動参加できるようにします。

• ワークロード VM のログ記録と監視: ワークロード VM の診断メトリックとログ記録を有効にすると、OS とアプリケーションの問題をより簡単にデバッグできます。 デバッグとトラブルシューティングのための迅速な応答時間を提供するログ収集とクエリ機能を実装します。 ワークロード VM でほぼリアルタイムの VM insights を有効にして、パフォーマンスのボトルネックと運用上の問題を迅速に検出します。 ワークロード VM の境界条件をキャプチャするためのログ アラートを構成します。

  移行前に、または新しいワークロード VM を Azure VMware Solution 環境にデプロイするときに、Log Analytics エージェント (MMA) を VMware vSphere ワークロード VM にデプロイします。 Azure Log Analytics ワークスペースを使用して MMA を構成し、Azure Log Analytics ワークスペースを Azure Automation にリンクします。 移行前にデプロイされたワークロード VM MMA エージェントの状態を、移行後に Azure Monitor で検証します。

• ワークロード VM の更新ガバナンス: 更新プログラムやパッチの適用が遅れたり不完全であったりすることは、Azure VMware Solution のワークロード VM およびアプリケーションを公開または侵害する可能性のある最大の攻撃ベクトルです。 ゲスト VM に対して更新プログラムがタイムリーにインストールされるようにします。

• ワークロード VM のバックアップ ガバナンス: 定期的なバックアップをスケジュールして、データの損失につながる可能性のあるバックアップの欠落や古いバックアップへの依存を防ぎます。 スケジュールされたバックアップを取り、バックアップの成功を監視できるバックアップ ソリューションを使用します。 バックアップ イベントを監視およびアラートして、スケジュールされたバックアップが正常に実行されるようにします。

• ワークロード VM の DR ガバナンス: 文書化されていない回復ポイントの目標 (RPO) と復旧時間の目標 (RTO) の要件によって、事業継続とディザスター リカバリー (BCDR) イベント時に、顧客エクスペリエンスが低下し、運用目標が達成されない可能性があります。 DR オーケストレーションを実装して、ビジネス継続性の遅延を防ぎます。

  DR オーケストレーションを提供し、DR サイトへの継続的なレプリケーションの成功に関する障害や問題を検出して報告する、Azure VMware Solution 用の DR ソリューションを使用します。 Azure および Azure VMware Solution で実行されているアプリケーションの RPO および RTO 要件を文書化します。 オーケストレーションを通じて、検証可能な RPO と RTO の要件を満たすディザスター リカバリーおよびビジネス継続性ソリューションの設計を選択します。

コンプライアンス

Azure VMware Solution 環境とワークロード VM コンプライアンスを計画するときは、次の推奨事項を検討して実装してください。

• Microsoft Defender for Cloud の監視： Defender for Cloud の規制コンプライアンス ビューを使用して、セキュリティ ベンチマークと規制ベンチマークへの準拠を監視します。 Defender for Cloud ワークフローの自動化を構成して、予想されるコンプライアンス体制からの逸脱を追跡します。 詳細については、「Microsoft Defender for Cloud の概要」を参照してください。

• ワークロード VM の DR コンプライアンス: Azure VMware Solution のワークロード VM の DR 構成コンプライアンスを追跡して、障害発生時にもミッション クリティカルなアプリケーションを引き続き使用できるようにします。 Azure Site Recovery または Azure VMware Solution 認定の BCDR ソリューションを使用します。これにより、大規模なレプリケーション プロビジョニング、非準拠状態の監視、および自動修復が提供されます。

• ワークロード VM のバックアップのコンプライアンス: VM がバックアップされていることを確認するために、Azure VMware Solution のワークロード VM バックアップのコンプライアンス対応を追跡および監視します。 Azure VMware Solution 認定パートナー ソリューションを使用して、大規模なパースペクティブ、ドリルダウン分析、ワークロード VM のバックアップを追跡および監視するためのアクション可能なインターフェイスを提供します。

• 国/地域または業界に固有のコンプライアンス: コストのかかる法的措置や罰金を回避するには、国/地域および業界に固有の規制にする Azure VMware Solution ワークロードのコンプライアンスを確保します。 業界または地域ベースの法令遵守のためのクラウド共有責任モデルについて理解します。 Service Trust Portal を使用して、コンプライアンス ストーリー全体をサポートする Azure VMware Solution および Azure Audit レポートを表示またはダウンロードします。

  規制要件に準拠するために、HTTP/S エンドポイントと HTTP/S 以外のエンドポイントにファイアウォール監査レポートを実装します。

• 企業ポリシーのコンプライアンス: Azure VMware Solution のワークロード VM が企業ポリシーを遵守しているかどうかを監視して、会社の規則や規制の違反を防ぎます。 Azure Arc 対応サーバーと Azure Policy、または同等のサードパーティ ソリューションを使用します。 該当する内部および外部の規制の遵守状況を確認するため、Azure VMware Solution のワークロード VM とアプリケーションを定期的に評価および管理します。

• データ保持と保存の要件: Azure VMware Solution では、クラスターに格納されているデータの保持や抽出はサポートされていません。 クラスターを削除すると、実行中のすべてのワークロードとコンポーネントが終了し、パブリック IP アドレスを含むすべてのクラスター データと構成設定が破棄されます。 このデータを回復することはできません。

  Azure VMware Solution では、サービスを実行するためのすべてのメタデータと構成データが、デプロイされた地理的リージョンにのみ存在することが保証されているわけではありません。 データ所在地の要件で、すべてのデータが、デプロイされたリージョンに存在することが求められている場合は、Azure VMware Solution のサポートにお問い合わせください。

• データ処理: サインアップ時の法律条項を読み、理解します。 L3 サポートのために転送された Microsoft Azure VMware Solution のお客様向けの VMware データ処理契約に注意してください。 サポートの問題で VMware のサポートが必要な場合、Microsoft はプロフェッショナル サービス データと関連する個人データを VMware と共有します。 その時点から、Microsoft と VMware は 2 つの独立したデータ プロセッサとして機能します。

次の手順

この記事は、クラウド導入フレームワークのエンタープライズ規模のランディング ゾーンのアーキテクチャ設計に関する原則とガイドラインに基づいています。 詳細については、次を参照してください。

• Azure ランディング ゾーンの設計原則
• Azure ランディング ゾーンの設計ガイドライン

この記事は、エンタープライズ規模のランディングゾーンの原則と推奨事項を Azure VMware Solution のデプロイに適用するシリーズの一部です。 このシリーズの他の記事は次のとおりです。

• Azure VMware Solution のエンタープライズ規模での ID とアクセスの管理
• Azure VMware Solution のエンタープライズ規模のネットワーク トポロジと接続
• Azure VMware Solution のエンタープライズ規模のプラットフォーム自動化と DevOps
• Azure VMware Solution のエンタープライズ規模の事業継続とディザスター リカバリー

シリーズの次の記事をご覧ください。

Azure VMware Solution のエンタープライズ規模の管理と監視