デスクトップ ホスティングの Azure サービスと考慮事項Azure services and considerations for desktop hosting

適用先:Windows Server (半期チャネル)、Windows Server 2019、Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016

次のセクションでは、Azure インフラストラクチャ サービスについて説明します。The following sections describe Azure Infrastructure Services.

Azure portalAzure portal

プロバイダーが Azure サブスクリプションを作成した後、Azure portal を使用して、各テナントの環境を手動で作成できます。After the provider creates an Azure subscription, the Azure portal can be used to manually create each tenant's environment. PowerShell スクリプトを使用してこのプロセスを自動化することもできます。This process can also be automated using PowerShell scripts.

詳細については、Microsoft Azure の Web サイトをご覧ください。For more information, visit the Microsoft Azure website.

Azure Load BalancerAzure Load Balancer

テナントのコンポーネントは、分離されたネットワーク上で相互通信する仮想マシン上で実行されます。The tenant's components run on virtual machines that communicate with each other on an isolated network. 展開プロセス中は、リモート デスクトップ プロトコル エンドポイントまたはリモート PowerShell エンドポイントを使用して Azure Load Balancer を介してこれらの仮想マシンに外部的にアクセスできます。During the deployment process, you can externally access these virtual machines through the Azure Load Balancer using Remote Desktop Protocol endpoints or a Remote PowerShell endpoint. 通常、展開が完了すると、これらのエンドポイントは攻撃の危険性を縮小するために削除されます。Once a deployment is complete, these endpoints will typically be deleted to reduce the attack surface area. エンドポイントは、RD Web と RD ゲートウェイ コンポーネントを実行する仮想マシンのために作成された HTTPS および UDP エンドポイントだけになります。The only endpoints will be the HTTPS and UDP endpoints created for the virtual machine running the RD Web and RD Gateway components. これにより、インターネット上のクライアントはテナントのデスクトップ ホスティング サービスで実行されているセッションに接続できます。This allows clients on the internet to connect to sessions running in the tenant's desktop hosting service. Web ブラウザーなどのインターネットに接続するアプリケーションをユーザーが開いた場合、接続は Azure Load Balancer 経由で渡されます。If a user opens an application that connects to the internet, such as a web browser, the connections will be passed through the Azure Load Balancer.

詳しくは、「Azure Load Balancer の概要」を参照してください。For more information, see What is Azure Load Balancer?

セキュリティに関する考慮事項Security considerations

この Azure デスクトップ ホスティングの参照アーキテクチャ ガイドは、各テナントに対して高い安全性と分離された環境を提供するように設計されています。This Azure Desktop Hosting Reference Architecture Guide is designed to provide a highly secure and isolated environment for each tenant. システム セキュリティは、ホステッド サービスの展開と操作中にプロバイダーが講ずる安全対策にも依存します。System security also depends on safeguards taken by the provider during deployment and operation of the hosted service. 次の一覧で、この参照アーキテクチャに基づいてデスクトップ ホスティング ソリューションを安全に保つために、プロバイダーが考慮すべきいくつかの事項について説明します。The following list describes some considerations the provider should take to keep their desktop hosting solution based on this reference architecture secure.

  • すべての管理パスワードは強力なものとし、理想的にはランダムに生成され、頻繁に変更され、限られた数人のプロバイダー管理者のみがアクセスできるセキュリティが保護された中央の場所に保存される必要があります。All administrative passwords must be strong, ideally randomly generated, changed frequently, and saved in a secure central location only accessible to a select few provider administrators.
  • テナント環境を新しいテナント用に複製する場合、同一または脆弱な管理者パスワードを使用しないでください。When replicating the tenant environment for new tenants, avoid using the same or weak administrative passwords.
  • RD Web アクセスのサイト URL、名前、および証明書は、スプーフィング攻撃を防止するために、一意であり各テナントから認識できるものにする必要があります。The RD Web Access site URL, name, and certificates must be unique and recognizable to each tenant to prevent spoofing attacks.
  • デスクトップ ホスティング サービスの通常の操作中は、ユーザーをテナントのデスクトップ ホスティング クラウド サービスに安全に接続できるようにする RD Web および RD ゲートウェイ仮想マシンを除く、すべての仮想マシン用のすべてのパブリック IP アドレスを削除してください。During the normal operation of the desktop hosting service, all public IP addresses should be deleted for all virtual machines except the RD Web and RD Gateway virtual machine that lets users securely connect to the tenant's desktop hosting cloud service. 管理タスクに必要な場合にパブリック IP アドレスを一時的に追加することがありますが、後で必ず削除してください。Public IP addresses may be temporarily added when necessary for management tasks, but they should always be deleted afterwards.

詳細については、以下の記事を参照してください。For more information, see the following articles:

設計時の考慮事項Design considerations

マルチ テナントのデスクトップ ホスティング サービスを設計するときに、Microsoft Azure インフラストラクチャ サービスの制約について考慮することが重要になります。It's important to consider the constraints of Microsoft Azure Infrastructure Services when designing a multitenant desktop hosting service. 次の一覧で、この参照アーキテクチャに基づいて機能的かつコスト効果の高いデスクトップ ホスティング ソリューションを実現するために、プロバイダーが考慮すべき事項について説明します。The following list describes considerations the provider must take to achieve a functional and cost-effective desktop hosting solution based on this reference architecture.

  • Azure サブスクリプションには、使用可能な仮想ネットワーク、VM コア、およびクラウド サービスの最大数が定められています。An Azure subscription has a maximum number of virtual networks, VM cores, and Cloud Services that can be used. これより多くのリソースを必要とする場合、プロバイダーは複数のサブスクリプションを作成しなければならない場合があります。If a provider needs more resources than this, they may need to create multiple subscriptions.
  • Azure クラウド サービスには、使用可能な仮想マシンの最大数が定められています。An Azure Cloud Service has a maximum number of virtual machines that can be used. 最大数を超える大規模なテナントの場合、プロバイダーは複数のクラウド サービスを作成しなければならない場合があります。The provider may need to create multiple Cloud Services for larger tenants that exceed the maximum.
  • Azure の展開コストは、仮想マシンのサイズと数に部分的に基づいています。Azure deployment costs are based partially on the number and size of virtual machines. プロバイダーは、機能的で安全性の高いデスクトップ ホスティング環境を低コストで提供するために、各テナントの仮想マシンの数とサイズを最適化する必要があります。The provider should optimize the number and size of the virtual machines for each tenant to provide a functional and highly secure Desktop Hosting environment at the lowest cost.
  • Azure データ センター内の物理コンピューター リソースは、Hyper-V を使用して仮想化されます。The physical computer resources in the Azure data center are virtualized by using Hyper-V. Hyper-V ホストはホスト クラスター内で構成されていないため、仮想マシンの可用性は、Azure インフラストラクチャ内で使用される個々のサーバーの可用性に依存します。Hyper-V hosts are not configured in host clusters, so the availability of the virtual machines is dependent on the availability of the individual servers used in the Azure infrastructure. 可用性を高めるために、各役割サービスの仮想マシンの複数インスタンスを 1 つの可用性セット内に作成でき、その後、仮想マシン内にゲスト クラスタリングを実装できます。To provide higher availability, multiple instances of each role service virtual machine can be created in an availability set, then guest clustering can be implemented within the virtual machines.
  • 一般的なストレージ構成では、サービス プロバイダーは、複数のコンテナー (たとえばテナントごとに 1 つ) を持つ 1 つのストレージ アカウントを持ち、各コンテナーには複数のディスクがあります。In a typical storage configuration, a service provider will have a single storage account with multiple containers (for example, one for each tenant), and multiple disks within each container. ただし、1 つのストレージ アカウントで実現できる記憶域とパフォーマンスの合計には制限があります。However, there is a limit to the total storage and performance that can be achieved for a single storage account. 多数のテナントをサポートするサービス プロバイダーや、ストレージ容量またはパフォーマンスについて高い要件を持つテナントの場合、サービス プロバイダーは複数のストレージ アカウントを作成する必要があります。For service providers that support large numbers of tenants or tenants with high storage capacity or performance requirements, the service provider may need to create multiple storage accounts.

詳細については、以下の記事を参照してください。For more information, see the following articles:

Azure Active Directory アプリケーション プロキシAzure Active Directory Application Proxy

Azure Active Directory (AD) アプリケーション プロキシは、ユーザーが Azure 独自のリバース プロキシ サービス経由で内部アプリケーションに接続できるようにする、Azure AD の有料 SKU で提供されるサービスです。Azure Active Directory (AD) Application Proxy is a service provided in paid SKUs of Azure AD that allow users to connect to internal applications through Azure's own reverse-proxy service. これにより、RD Web と RD ゲートウェイ エンドポイントを仮想ネットワーク内に隠し、パブリック IP アドレスによってインターネットに公開する必要性をなくすことができます。This allows the RD Web and RD Gateway endpoints to be hidden inside of the virtual network, eliminating the need to be exposed to the internet by a public IP address. ホスト側は Azure AD アプリケーション プロキシを使用して、完全な展開を維持しながら、テナントの環境内の仮想マシンの数を減らすことができます。Hosters can use Azure AD Application Proxy to condense the number of virtual machines in the tenant's environment while still maintaining a full deployment. また、Azure AD アプリケーション プロキシでは、条件付きアクセスや多要素認証など、Azure AD が提供する多くの利点を得ることもできます。Azure AD Application Proxy also enables many of the benefits that Azure AD provides, such as conditional access and multi-factor authentication.

詳細については、アプリケーション プロキシの概要とコネクタのインストールに関するページを参照してください。For more information, see Get started with Application Proxy and install the connector.