次の方法で共有

Windows 365 ネットワーク展開オプション

  • [アーティクル]

Windows 365 サービスのネットワーク展開には、次の 2 つのオプションがあります。

  • Microsoft でホストされているネットワークを使用する
    • 推奨オプション。
    • シンプルさ、信頼性、スケーラビリティの Windows 365 サービスとしてのソフトウェア (SaaS) 機能に最適です。
    • Microsoft Entra 参加 ID モデルをサポートします。
    • Azure サブスクリプションまたは専門知識の要件はありません。
  • Azure ネットワーク接続 (ANC) を使用する
    • Microsoft Entra 参加と Microsoft Entra ハイブリッド参加 ID モデルの両方をサポートします。

Microsoft でホストされるネットワーク

このオプションはシンプルで信頼性が高く、スケーラブルで、Microsoft が真の SaaS アプローチでサービスを提供するクラウド PC 接続を提供します。 このオプションを使用すると、Microsoft は次の操作を行います。

  • 機能するクラウド PC をユーザーに提供するために必要なインフラストラクチャと関連サービスを設定して完全に管理します。
  • クラウド PC が占有するネットワークを管理します。
  • エンド ユーザー コンピューティング (EUC) 環境のゼロ トラスト フレームワークアライン モデルを提供します。 詳細については、「 クラウドネイティブ エンドポイントの詳細」を参照してください。

お客様の唯一の責任は、クラウド PC の構成と管理です。

Microsoft では、Windows 365 の展開にこのオプションを使用することをお勧めします。

独自の Azure サブスクリプションを持ち込み、インフラストラクチャを計画、設計、デプロイ、または管理する必要はありません。 お客様は、Intune によって提供される 1 つの管理コンソールからクラウド PC の構成とセキュリティの管理に重点を置くために、EUC チームを専念できます。

このオプションは、従業員に自宅で使用するノート PC を提供することに似ています。 組織は、デバイスが置かれているネットワークを制御しません。 Windows デバイスの構成方法、セキュリティ保護方法、およびオンプレミス ネットワークへの接続方法を完全に制御します。 Windows 365 では、エンド ツー エンドのゼロ トラスト セキュリティ フレームワークで調整されたアダプティブ セキュリティコントロールと構成により、このコントロールが可能になります。

たとえば、ユーザーは Microsoft Entra 条件付きアクセスのアダプティブ コントロールを使用して認証できます。 企業の接続は、VPN を使用して配信できます。 インターネット セキュリティでは、クラウドベースのセキュリティで保護された Web ゲートウェイ (SWG) を使用できます。 利点は、高帯域幅で回復性の高いネットワークで必要なときに、デバイスを短時間で大規模に展開できることです。

図: Microsoft ホスト型ネットワーク オプション - Microsoft Entra 参加のみ

次の図は、Microsoft が管理するサブスクリプション内のクラウド PC と仮想ネットワーク カードを持つ Microsoft でホストされるネットワークを示しています。

Microsoft ホスト型ネットワーク オプションの図

Microsoft でホストされるネットワーク オプションの利点

  • Azure サブスクリプションは必要ありません。 Microsoft は、クラウド PC の運用に必要なインフラストラクチャを提供し、完全に管理します。 必要なのは、必要なライセンスです。
  • ネットワーク インフラストラクチャの追加コストは発生しません。 独自の仮想ネットワーク (VNet) と仮想アプライアンスを運用する Azure のコストは適用されません。 Microsoft はネットワーク インフラストラクチャを処理します。
  • Azure ネットワークの専門知識や管理は必要ありません。 VNet は Microsoft によって完全に管理されています。
  • 低い複雑さと迅速なデプロイ。 顧客側の要素への依存関係が最小限であるため、デプロイの複雑さが低くなります。
  • ゼロ トラストアラインメント。 ユーザー、エンドポイント、ワークロード、およびデータ信号のゼロ トラスト 操作モデルは、ネットワークの場所に信頼を適用するのではなく、検証に使用されます。
  • より簡単なトラブルシューティングと操作。 トラブルシューティングを行い、ネットワークの問題を特定し、Intune ポリシー、セキュリティ制御、組み込みのレポート機能に基づく最新のデバイス管理を採用する方が簡単です。

考慮事項

Microsoft でホストされるネットワーク オプションを使用する前に、次の考慮事項を確認してください。

  • このオプションは、Microsoft Entra ハイブリッド参加モデルと互換性がありません。 このオプションは、オンプレミスの Active Directory Domain Services インフラストラクチャに接続されていないクラウドのみのデプロイです。 Intune に変換できないグループ ポリシー オブジェクト ベースの管理ポリシーがある場合、このオプションは適していません。
  • VNet を制御しません。 仮想 NIC は Microsoft によって管理されます。 そのため、すべてのネットワーク 制御をクラウド PC 自体に実装する必要があります。これは、在宅勤務のシナリオの物理デバイスと同様です。
  • オンプレミス リソースへの直接アクセスはありません。 これらのリソースにアクセスするには、VPN またはプライベート アクセス ソリューションが必要です。 クラウド PC で VPN を使用する場合は、 分割トンネリングを 使用して、RDP トラフィックが VPN 経由でルーティングされないようにします。
  • Intune などのクラウド ネイティブ管理操作モデルが必要です。
  • ポート 25 がブロックされています。
  • Ping/ICMP がブロックされています。
  • クラウド PC 間のローカル ネットワーク通信はブロックされます。
  • クラウド PC への直接受信接続はできません。
  • 管理者がクラウド PC に割り当てられた IP アドレス範囲やアドレス空間を制御する方法はありません。 Windows 365 では、IP アドレスが自動的に処理されます。

Azure Network Connection オプション

Azure Network Connection (ANC) デプロイ オプションでは、VNet とその構成を完全に担当します。 Microsoft Entra ハイブリッド参加モデルを使用している場合は、このデプロイ オプションを使用する必要があります。 このオプションを使用すると、オンプレミスの Azure Directory リソースに目線が表示され、次のようなネットワークとセキュリティの目標をカスタマイズできます。

  • トラフィック ルート。
  • ポートとプロトコル。
  • Active Directory DS と基幹業務アプリケーション接続。
  • VPN または ExpressRoute を使用したゲートウェイ接続。
  • クラウド PC で使用されるアドレス空間。
  • クラウド PC 間の通信アクセス許可。
  • クラウド PC に RDP 接続を直接送信します。

Azure サブスクリプション内の VNet を選択します。 vNet にクラウド PC を作成するプロビジョニング ポリシーを構成します。 VNet からの直接エグレスや必要なインターネット アクセス パスなど、クラウド PC 接続を管理します。

Azure Network Connection では、次の 2 つの ID デプロイ モデルがサポートされています。

  • Microsoft Entra join
  • Microsoft Entra ハイブリッド参加

Microsoft Entra join

Microsoft Entra join を使用する場合、VNet からオンプレミス ネットワークへの接続を作成する必要はありません。 必要なエンドポイントへの送信インターネット接続があることを確認する必要があります。 ただし、オンプレミスのファイル サーバーとアプリケーションにあるリソースにアクセスするためのオンプレミス接続を追加することもできます。 ExpressRoute またはサイト間 VPN を使用して接続を作成できますが、これらのオプションではコストと複雑さが増します。

わかりやすくするために、Microsoft Entra 参加を使用する場合は、前に説明した Microsoft ホスト型ネットワーク オプションを使用することをお勧めします。 その場合は、インターネット経由で VPN またはプライベート アクセス ソリューションを使用して、企業リソースにアクセスできます。

図: ANC オプション - Microsoft Entra join

ANC Microsoft Entra 参加オプションの図

Microsoft Entra ハイブリッド参加

Microsoft Entra ハイブリッド参加では、VNet からオンプレミス ネットワークへの接続が必要です。 配置されている DC インフラストラクチャに到達する唯一の方法は、ANC デプロイ オプションを使用することです。 この接続は重要なコンポーネントであるため、信頼性と冗長性を確保するために注意する必要があります。

図: ANC オプション - Microsoft Entra ハイブリッド結合

ANC Microsoft Entra ハイブリッド参加オプションの図

ANC オプションの利点

  • VNet のフル コントロール。 クラウド PC の NIC は、独自のマネージド VNet 内に配置されます。
  • オンプレミス インフラストラクチャに対して視線を直接送信します。 vNet は、サイト間 VPN または ExpressRoute 接続を使用してオンプレミス ネットワークに構成し、そこに配置されている Azure Directory インフラストラクチャまたはサービスとアプリケーションに直接接続できます。
  • クラウド PC は、オンプレミスの場所にあるように動作します。 vNet への企業ネットワークの拡張は、クラウド PC が企業ネットワークの境界内にあるかのように動作できることを意味します。
  • 他の VNet への簡単なピアリング。 クラウド PC VNet と Azure 内の他の vNet 間の単純なクロス接続。 これにより、組織が使用する他の Azure でホストされているリソースへの直接接続がサポートされます。

考慮事項

ANC デプロイ オプションを使用する前に、次の考慮事項を確認してください。

  • Azure サブスクリプションが必要です。 このシナリオで使用される VNet は、独自の Azure サブスクリプションにあります。 そのため、Azure サブスクリプションと 必要なライセンスが必要です
  • エグレス コスト。 VNet は独自の Azure アカウントに関連付けられているため、Azure サブスクリプションに 送信コスト が発生します。
  • ネットワーク インフラストラクチャの追加コスト。 独自の VNet を運用する Azure コストは、vNet に関連付けられているサブスクリプションに適用されます。
  • Azure ネットワークの専門知識または管理が必要です。 VNet を維持するには、専門知識と管理を提供する必要があります。
  • 複雑さが高くなります。 ネットワークを管理および管理する必要があります。これは、Microsoft でホストされているネットワークを使用するよりも複雑なタスクです。
  • より長いデプロイ。 通常、展開は Microsoft ホスト型ネットワーク オプションよりも長くなります。 この余分な時間は、最初に構成する必要がある顧客側要素の数が多いために発生します。
  • リスクが高い。 ANC デプロイは、Microsoft でホストされるネットワーク展開よりも複雑です。 この複雑さは、接続の問題のリスクを高めます。

同時オプション

Microsoft でホストされているネットワークと ANC オプションを同時に使用できます。 たとえば、一意のレガシ要件を持つデプロイのサブセットに ANC オプションを使用できます。 これらの要件のないデプロイの残りの部分では、Microsoft でホストされているネットワーク オプションを使用できます。

次の手順

デプロイ プロセスの詳細については、こちらをご覧ください