次の方法で共有


Azure Virtual Desktop ワークロードを Azure ランディング ゾーンと統合する

組織のエンドユーザーのデスクトップをクラウドへ移行することは、クラウド移行の一般的なシナリオです。 これを行うことで、従業員の生産性が向上し、組織のユーザー エクスペリエンスをサポートするためにさまざまなワークロードの移行が促進されます。 各organizationはワークロードを管理し、そのクラウド環境を一意に運用します。 一般的なクラウド運用モデルは、 分散化、 一元化エンタープライズ分散です

さまざまなモデルの最も重要な違いは、所有権のレベルです。 分散型モデルでは、ワークロード所有者は、ガバナンスに対する中央の IT 監視なしで自律性を持ちます。 たとえば、独自のネットワーク、監視、ID の要件を管理します。 この範囲のもう一方の端は集中型モデルであり、ワークロード所有者は中央 IT チームが設定したガバナンス要件に従います。

モデルの詳細については、「 一般的なクラウド運用モデルの確認と比較」を参照してください。

ワークロード所有者は、organizationが使用する運用モデルを理解する必要があります。 この選択は、責任を負う技術的な決定と、中央チームに適用する技術的要件に影響します。

Azure Virtual Desktop の機能を最大限に活用するには、組織に適用されるベスト プラクティスを活用する必要があります。 プラットフォームは適応性と柔軟性を提供し、Azure Virtual Desktop 環境が将来の成長に対応するのに役立ちます。

重要

この記事は、 Azure Well-Architected Framework Azure Virtual Desktop ワークロード シリーズの一部です。 このシリーズに慣れていない場合 は、「Azure Virtual Desktop ワークロードとは」から開始することをお勧めします。

Azure ランディング ゾーン

Azure ランディング ゾーンは、organizationのクラウドフットプリント全体を示す概念アーキテクチャです。 それぞれに固有の目的を持つ複数のサブスクリプションがあります。 中央チームは、 Azure プラットフォーム ランディング ゾーンなどのサブスクリプションの一部を所有しています。

Azure ランディング ゾーンの概念を理解するには、「Azure ランディング ゾーンとは」を参照してください。

重要

Azure Virtual Desktop には、特に Azure サービスとの統合に関連する特定の考慮事項と要件があります。 Azure Virtual Desktop ランディング ゾーン アクセラレータと Azure virtual Desktop 用の Azure Well-Architected Framework ガイダンスは、これらの必要なカスタマイズを強調することを目的としています。 これらのリソースには、クラウドの準備に対する包括的なアプローチのためのクラウド導入フレームワークの観点も組み込まれています。

仮想デスクトップ ワークロード内のトラフィックのフローを示すアーキテクチャ図。

このアーキテクチャの Visio ファイルをダウンロードします。

プラットフォーム ランディング ゾーン

Azure Virtual Desktop は、複数の外部サービスと対話する必要があります。 中央チームは、プラットフォーム ランディング ゾーンの一部としてこれらのサービスの一部を所有している場合があります。 これらのサービスの例としては、ID サービス、ネットワーク接続、セキュリティ サービスなどがあります。 これらの外部サービスとの対話は、基本的な懸念事項です。 Azure Virtual Desktop ワークロードを完全に機能させるためには、プラットフォーム チームとワークロード チームが同じ責任の考え方を共有する必要があります。

Azure Virtual Desktop ワークロードを実行するために必要なプラットフォーム ランディング ゾーンのデモについては、「 Microsoft Azure Virtual Desktop の Azure ランディング ゾーンレビュー」を参照してください。 この記事では、オンプレミス環境から Azure Virtual Desktop プライベート クラウドへの移行を加速する強固なプラットフォーム基盤について説明します。

アプリケーション ランディング ゾーン

ワークロード所有者向けの別のサブスクリプション ( Azure アプリケーション ランディング ゾーンとも呼ばれます) があります。 このアプリケーション ランディング ゾーンは、Azure Virtual Desktop ワークロードをデプロイする場所です。 ワークロードを実行するために必要な基本的なインフラストラクチャを提供するプラットフォーム ランディング ゾーンにアクセスできます。 たとえば、ネットワーク、ID アクセス管理、ポリシー、監視インフラストラクチャなどがあります。

アプリケーション ランディング ゾーンに関するガイダンスは、Azure Virtual Desktop ワークロードに適用されます。 詳細については、「 プラットフォーム ランディング ゾーンとアプリケーション ランディング ゾーン」を参照してください。 このガイダンスには、ワークロードを効率的に管理および管理するための推奨事項が含まれています。

Azure Virtual Desktop ワークロードのアプリケーション ランディング ゾーンのデモについては、「Azure Virtual Desktop の アーキテクチャの例」のベースライン リファレンス アーキテクチャを参照してください。

設計領域の統合

このセクションでは、プラットフォームが提供する強固な基盤について説明します。 また、このディスカッションでは、プラットフォーム チームとワークロード チームの間で共有される責任の領域についても説明します。

プラットフォームの責任

Azure Virtual Desktop プラットフォーム チームは、インフラストラクチャをワークロード チームが構築する準備ができていることを確認します。 一般的なタスクには、次のようなものがあります。

  • デプロイに十分なサブスクリプションとリージョンクォータを設定して容量を管理する。
  • オンプレミス システム、Azure、インターネットへの接続のセキュリティ保護と最適化。 このタスクには、ルーティング、ファイアウォール エントリの設定、一元化されたネットワーク アプライアンスの管理が含まれます。
  • Azure Storage、Azure Monitor、Log Analytics、Microsoft Entra ID、Azure Key Vaultとの統合など、Azure 統合の管理。

共同責任

ワークロード チームとプラットフォーム チームには、個別の責任があります。 しかし、多くの場合、両方のチームが緊密に連携して、ワークロードの可用性と回復性を確保します。 チームは、Azure Virtual Desktop で実行されるワークロードの全体的な成功のための取り組みを調整します。 Azure Virtual Desktop を正常にデプロイするには、プラットフォームチームとアプリケーション チーム間の効果的なコラボレーションが不可欠です。

プラットフォームランディングゾーンとアプリケーションランディングゾーンの設計領域は密結合されています。

設計領域 – エンタープライズ登録

クラウド プラットフォーム チームは、既存のエンタープライズ登録またはテナントの決定をMicrosoft Entraする必要があります。

設計領域 – ID とアクセス管理 (IAM)

サービスを使用するにはユーザーを認証する必要があるため、ID は Azure Virtual Desktop 機能にとって重要です。 プラットフォーム チームは、ID ソリューションの設計を担当します。これには、Microsoft Entra ID、Microsoft Entra Domain Services、Active Directory Domain Services (AD DS) が含まれる場合があります。 プラットフォーム チームは、Azure Virtual Desktop 環境が ID サービスに対する視線を維持することを保証します。

プラットフォーム チームの責任 ワークロード チームの責任
- Microsoft Entra ID、Domain Services、AD DS、Microsoft Entra Connect の ID サービスの設計
- ロールベースのアクセス制御 (RBAC) を使用して職務の分離を実装する
- Microsoft Entra条件付きアクセス ポリシーの構成
- Active Directory 組織単位とグループ ポリシーの管理
- RBAC の割り当てを使用して、管理目的で Azure Virtual Desktop セッションとインフラストラクチャへのアクセスを制御する

設計領域 - ネットワークと接続

プラットフォーム サービスの接続は、主要なネットワークの概念です。 プラットフォーム チームは、Azure Virtual Desktop 環境が次に対して適切に接続されていることを確認する責任があります。

  • 認証用の ID サービス。
  • 適切な解決のためのドメイン ネーム システム (DNS)。
  • ハイブリッド環境内の他のワークロード。

プラットフォーム チームの責任は次のとおりです。

  • プライベート エンドポイントとプライベート DNS ゾーンの構成。
  • 帯域幅、待機時間、およびサービス品質に関する考慮事項が確実に対処されるようにします。
  • ネットワーク セキュリティ ポリシーの実装。
  • 必要なインターネット エンドポイントへのアクセスを確保する。
  • ビジネス継続性とディザスター リカバリーの計画。

設計領域 – リソース organization

プラットフォーム チームの責任には、アクセス管理を簡素化するための管理グループとリソース グループの構成が含まれます。 この責任には、名前付けとタグ付けの標準の定義が含まれます。 ワークロード チームは、これらの標準への準拠を保証します。

設計領域 – 管理

プラットフォーム チームの責任 ワークロード チームの責任
- 監視戦略の計画と開発
- Azure Policyを使用してエンタープライズ規模のコンプライアンスを適用する
- コスト管理戦略の開発
- 監視用の Azure Virtual Desktop デプロイの構成
- ユーザー アクセスの管理
- Azure Virtual Desktop の監視と、監視ニーズに関するプラットフォーム チームとの共同作業
- 予算とアラートの設定
- ユーザー エクスペリエンスとサポートの管理
- プラットフォームと監視のガイドラインに準拠していることを確認する

設計領域 – ビジネス継続性とディザスター リカバリー

プラットフォーム チームの責任 ワークロード チームの責任
- 復旧ポイント目標 (RPO) と目標復旧時間 (RTO) の目標の確立を含む、ビジネス継続性とディザスター リカバリー戦略の設計
- ビジネス継続性とディザスター リカバリーの整合性を確保するためのワークロード チームとの調整
- ビジネス継続性とディザスター リカバリー戦略に合わせて Azure Virtual Desktop インフラストラクチャとコンポーネントを構成する
- ディザスター リカバリー手順の実装
- Azure Virtual Desktop の適切な使用に関するユーザーのトレーニング

設計領域 – セキュリティとガバナンス

プラットフォーム チームの責任 ワークロード チームの責任
- 医療保険の携行性と説明責任に関する法律 (HIPAA)、国立標準技術研究所 (NIST) 標準、ペイメント カード業界 (PCI) 標準などの規制要件に準拠するために必要なorganizationを理解し、クラウドのMicrosoft Defenderを使用してコンプライアンス標準を適用する
- 管理プレーン リソースが、データ所在地の要件を満たす方法で地域にデプロイされるようにする
- Microsoft Entra条件付きアクセス ポリシーと多要素認証を使用してユーザー アクセスをセキュリティで保護する
- Microsoft Sentinel などのセキュリティ情報イベント管理 (SIEM) ツールを使用して、ユーザーと管理者のアクティビティ データを収集および監視する
- たとえば、Defender for Cloud またはサードパーティの脆弱性管理ソリューションと統合することで、脅威と脆弱性の管理評価を有効にする
- ファイアウォールを構成し、サービス タグとアプリケーション セキュリティ グループを使用してネットワーク アクセス規則を定義する
- Azure Virtual Desktop セッション ホスト用の Active Directory に専用の組織単位を作成する
- Azure Policy ゲスト構成を使用したセッション ホスト オペレーティング システムの監査と強化
- ディスク暗号化の有効化
- ネットワーク トラフィックの監視と分散型サービス拒否 (DDoS) 保護の実装
- 最小特権アクセス原則と Azure RBAC を使用して管理、運用、エンジニアリング ロールを確立する
- 専用のグループ ポリシーを Azure Virtual Desktop 組織単位に適用する
- セッション ホストのパッチとセキュリティ強化の管理
- ユーザー アクティビティの監視と管理

設計領域 – プラットフォームの自動化と DevOps に関する考慮事項

プラットフォーム チームの責任 ワークロード チームの責任
- コードとしてのインフラストラクチャ (IaC) と DevOps 戦略の開発 - イメージの作成
- イメージ ビルド パイプラインの維持
- ホスト プールの更新
- アプリケーションのインストール
- 言語デプロイの管理

設計領域 – 運用手順

運用手順は、Azure Virtual Desktop で実行されるアプリケーションのセキュリティを確保するのに役立ちます。 操作手順は、アクセス制御の領域でも役立ちます。

プラットフォーム チームの責任 ワークロード チームの責任
Azure Virtual Desktop 環境でユーザー ロールとアクセス許可を定義してプラットフォームへのアクセスを制御する - Azure Virtual Desktop デプロイのパフォーマンスと待機時間を分析して、改善の可能性のある領域に関する分析情報を得る
- オペレーティング システム、アプリケーション、FSLogix の更新
- キーの管理
- FSLogix を管理し、データを分析して調整を行うタイミングを決定する

次の手順

評価ツールを使用して、設計の選択を評価します。