Windows 365 は、各ユーザーの要件に合わせて構築された、クラウド PC と呼ばれる高度に最適化およびパーソナライズされた Windows コンピューティング インスタンスを提供するために使用できるクラウド ベースのサービスです。 クラウド PC では、次のサービスの組み合わせを使用します。
- クラウド PC をカスタマイズし、セキュリティで保護し、管理するための Intune
- ID とアクセス制御のための Entra ID
- リモート接続のための Azure Virtual Desktop
クラウド PC は、リッチな Windows デスクトップ エクスペリエンスを提供する、可用性の高い、最適化およびパーソナライズされたコンピューティング インスタンスです。 Windows 365 サービスでホストされ、任意のデバイスで、どこからでもアクセスできます。
Windows 365 共同責任モデル
Windows 365 は、SaaS (サービスとしてのソフトウェア) ソリューションです。 Microsoft は Windows 365 サービス内のいくつかのコンポーネントを管理し、ユーザーはその他のコンポーネントを管理します。 ユーザーが持つ責任の量は、デプロイのために選択するアーキテクチャ パターンによって異なります。 Windows 365 を管理する責任は、次の 3 つの部分に分かれています。
- デプロイ: サービスのコンポーネントの計画とデプロイ。
- ライフサイクル: パッチ適用やセキュリティ保護など、そのライフサイクル全体にわたるコンポーネントの管理。
- 構成: シナリオの必要に応じて設定を適用するためのコンポーネントの構成。
次の図は、Windows Autopatch で推奨される Microsoft ホステッド ネットワーク、Microsoft Entra 参加、ギャラリー イメージを使用した Windows 365 デプロイの責任マトリックスを示しています。 この構成では、多くのコンポーネントやライフサイクル ステージを管理する必要はありません。 この構成により、「推奨されるアーキテクチャ パターン」に一覧表示されている利点が生まれます。
Note
次の図は、ハードウェアとネットワークの設定やその保守など、インフラストラクチャの観点からの責任を表しています。 Windows 365 または Intune テナント サブスクリプションの設定は含まれていません。
このアーキテクチャの PowerPoint ファイルをダウンロードします。
次の図は、Azure ネットワーク接続を使用する一般的な Windows 365 デプロイを示し、クラウド PC のライフサイクル ステージ全体にわたって Microsoft が管理するコンポーネントとユーザーが管理するコンポーネントを示しています。
このアーキテクチャの PowerPoint ファイルをダウンロードします。
推奨されるアーキテクチャ パターン
Microsoft では、SaaS エクスペリエンスを実現するために、Windows 365 を次のコンポーネントと共にデプロイすることをお勧めします。これにより、このサービスの最大の利点を得ることができます。
- Microsoft Entra Join
- Microsoft ホステッド ネットワーク
- ギャラリー イメージ
- アプリと OS の構成を含む Intune ベースのモバイル デバイス管理 (MDM) サービス
- クラウド PC のアクセスのための Windows 365 アプリ
このアーキテクチャの PowerPoint ファイルをダウンロードします。
前のアーキテクチャ パターンを使用すると、Windows 365 サービスを最大限に活用でき、次の利点が提供されます。
- 簡略化された、より迅速なデプロイ
- 依存関係がないか、または最小限
- 完全なゼロ トラスト フレームワークのサポート
- 簡略化されたトラブルシューティング フロー
- セルフサービスによるユーザーのトラブルシューティング
- オーバーヘッドと管理の低減
- ソフトウェアとアプリケーション配信の最も高い成熟度モデル
Windows 365 サービスのアーキテクチャ
次の図は、Windows 365 サービスに含まれているすべてのコンポーネントを表しています。 このアーキテクチャでは、Windows 365 のコア要件である Intune と Microsoft Entra ID を使用します。 また、Azure Virtual Network などのオプション コンポーネントもあります。
このアーキテクチャの Visio ファイルをダウンロードします。
前の図は、Azure ネットワーク接続と Microsoft ホステッド ネットワークのオプションを示しています。 これらは、互いに排他的なアーキテクチャ オプションです。 以降のセクションでは、Azure ネットワーク接続のオプションについて詳細に説明します。
Virtual Desktop
Virtual Desktop は、Azure ベースの仮想デスクトップ インフラストラクチャ (VDI) ソリューションです。 Microsoft は Virtual Desktop を管理します。 これは、PaaS (サービスとしてのプラットフォーム) スタイルのソリューションを提供します。 Windows 365 では、クラウド PC に接続するために必要なネットワーク管理コンポーネントを使用します。 これらのコンポーネントには、Virtual Desktop ゲートウェイ サービス、接続ブローカー サービス、Web クライアント サービスが含まれます。 これらのサービスを使用すると、Windows 365 クラウド PC へのシームレスな接続が可能になります。
詳細については、「エンタープライズ向け Azure Virtual Desktop」を参照してください。
このアーキテクチャの Visio ファイルをダウンロードします。
Note
Windows 365 は、ユーザーやクラウド PC の接続を容易にするために、前の図で "Windows Virtual Desktop コントロール プレーン" のタイトルが付いているコンポーネントを利用しているため、Azure Virtual Desktop の接続関連のほとんどの機能を継承します。 そのため、Virtual Desktop ネットワークがどのように動作するかに精通することは、このドキュメントで詳細に説明している Azure ネットワーク接続のアーキテクチャの設計においてきわめて重要になります。
Microsoft Intune
Intune は、レポートを表示して使用したり、次のものを管理したりできるクラウド ベースのエンドポイント管理ソリューションです。
- アプリの配信
- Windows 更新プログラム
- デバイス管理の構成
- セキュリティ ポリシー
Intune によって、多数のデバイス (モバイル デバイス、デスクトップ コンピューター、仮想エンドポイントを含む) にまたがるアプリとデバイスの管理が簡略化されます。
組織で所有されるデバイスや個人用デバイスでのアクセスとデータを保護できます。 Intune にはまた、ゼロ トラスト セキュリティ モデルをサポートするコンプライアンスおよびレポート機能もあります。 詳細については、デバイス構成プロファイルの作成に関するページを参照してください。
アーキテクチャのパターン
アーキテクチャ パターンはコンポーネントを記述し、サービスまたは製品がデプロイされる構成を示します。 詳細については、"代理ホスト" アーキテクチャに関するページを参照してください。
次の Azure ネットワーク接続のパターンを確認してください。
Microsoft Entra 参加を使用した Azure ネットワーク接続 – このパターンでは、Microsoft Entra 参加済みクラウド PC が、Azure ネットワーク接続を使用して、基幹業務 (LOB) アプリケーション、ファイル共有、その他の Kerberos または Windows NTLM (New Technology LAN Manager) 認証を必要としないアプリケーションなどのオンプレミス環境内のリソースに接続します。
Microsoft Entra ハイブリッド参加を使用した Azure ネットワーク接続 – このパターンでは、Microsoft Entra ハイブリッド参加済みクラウド PC が、Azure ネットワーク接続を使用して、オンプレミスの Microsoft Entra ID ドメイン コントローラーでドメイン参加します。 クラウド PC は、ユーザーが Kerberos または NTLM 認証を必要とするクラウド PC、オンプレミス アプリ、またはクラウド アプリにアクセスするときに、オンプレミスのドメイン コントローラーで認証します。
Azure ネットワーク接続のアーキテクチャ パターン
一部のパターンでは、Windows 365 サービスが、Azure ExpressRoute またはサイト間 VPN を使用して Virtual Network 経由でオンプレミス環境に接続します。 この接続方法は、Intune オブジェクトである Azure ネットワーク接続によって表されます。 この接続により、クラウド PC は、Active Directory や LOB アプリなどのオンプレミス リソースに接続できます。
Azure ネットワーク接続によって表されるこのネットワーク接続は、オンプレミスの Microsoft Entra ドメイン参加のためのクラウド PC のプロビジョニングや、クラウド PC のプロビジョニングの準備のための正常性チェック中に Windows 365 サービスによって使用されます。
次の表は、Azure ネットワーク接続に関する依存関係の一覧を示しています。 Windows 365 では、これらの依存関係に対する正常性チェックを自動的に実行します。
| 依存関係 | Microsoft Entra Connect - Microsoft Entra Connect が設定され、正常に完了しているかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - Microsoft Entra Connect の同期間隔を既定値または最小値に設定します。 同期間隔が長いほど、運用環境でクラウド PC のプロビジョニングがタイムアウトのために失敗する可能性が高くなります。 詳細については、Microsoft Entra ハイブリッド参加の失敗に関するページを参照してください。 - より高速なレプリケーションを実現するために、同じデータセンター内のサーバーからの Active Directory ドメイン コントローラーのレプリケーションを Windows 365 Azure ネットワーク接続として設定します。 - Microsoft Entra ID ドメイン コントローラーのレプリケーションを既定値に設定します。 |
| 依存関係 | Azure テナントの準備状況 - Azure サブスクリプションが有効 (ブロック制限なし) で、使用する準備ができているかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - 適切な権限を持つアカウントを使用して、Azure、Intune、Windows 365 サブスクリプションを管理します。 詳細については、ロールベースのアクセス制御 (RBAC) に関するページを参照してください。 - クラウド PC の作成を妨げる Azure ポリシーをすべて無効にするか、または変更します。 詳細については、許可される VM SKU の制限に関するページを参照してください。 - 作成されるクラウド PC の最大数に基づいて、サブスクリプションにネットワークと一般的な制限のための十分なリソース クォータがあることを確認します。 例としては、ネットワーク ゲートウェイのサイズ、IP アドレス空間、仮想ネットワークのサイズ、必要な帯域幅などがあります。 詳細については、「ネットワークの制限」および「一般的な制限」を参照してください。 |
| 依存関係 | Azure 仮想ネットワークの準備状況 – 仮想ネットワークがサポートされている Windows 365 リージョン内にあるかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - Windows 365 のクラウド PC のプロビジョニングでサポートされている Azure リージョン内に仮想ネットワークを作成します。 - クラウド PC の仮想ネットワーク アダプターをデプロイするために、既定のサブネットに加えて少なくとも 1 つのサブネットを作成します。 - 可能な場合は、ルーティング制御やデプロイの拡張を可能にするために、個別の仮想ネットワーク内に共有ネットワーク サービス (Azure Firewall、VPN ゲートウェイ、ExpressRoute ゲートウェイなど) を作成します。 仮想ネットワークで、Windows 365 サービスに必要な URL を許可するための適切な除外を含むネットワーク セキュリティ グループ (NSG) を適用します。 詳細については、「ネットワークの要件」および「ネットワーク セキュリティ グループ」を参照してください。 |
| 依存関係 | Azure サブネットの IP アドレスの使用状況 – 十分な IP アドレスが使用可能かどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - クラウド PC の作成や、再プロビジョニング中の一時的な IP アドレスの予約を処理するための十分な IP アドレスを持つ仮想ネットワークを作成します。 クラウド用にデプロイするクラウド PC の最大数の 1.5 から 2 倍の IP アドレス空間を使用することをお勧めします。 詳細については、「一般的なネットワークの要件」を参照してください。 - Azure 仮想ネットワークをオンプレミス ネットワークの論理的な拡張機能として扱い、ルーティングの競合を回避するために、すべてのネットワークにわたって一意の IP アドレス空間を割り当てます。 |
| 依存関係 | エンドポイント接続 – クラウド PC のプロビジョニングに必要な外部 URL に仮想ネットワークから到達できるかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - クラウド PC のプロビジョニングに必要なすべての URL を Azure 仮想ネットワーク経由で許可します。 詳細については、ネットワーク接続の許可に関するページを参照してください。 - アプリケーション ルールを作成したり、Windows 365 クラウド PC のプロビジョニングに必要な URL を許可したりするために、Azure Firewall を使用して Windows 365、Azure Virtual Desktop、Intune FQDN タグを利用します。 詳細については、Azure Firewall を使用した Windows 365 環境の管理とセキュリティ保護に関するページを参照してください。 - 待ち時間やルーティングの問題を回避するために、すべてのネットワーク検査、プロキシ、または操作デバイスからのリモート デスクトップ プロトコル (RDP) トラフィックをバイパスまたは除外します。 詳細については、トラフィック傍受のテクノロジに関するページを参照してください。 - エンド ユーザー デバイスとネットワークの側から、プロキシとネットワーク検査のために Windows 365 サービスの URL とポートを許可します。 - Azure 内部 IP アドレス 168.63.129.16 と 169.254.169.254 は、メタデータやハートビートなどの Azure プラットフォーム サービスとの通信に使用されるため、これらの IP アドレスを許可します。 詳細については、「IP アドレス 168.63.129.16 とは」、「Azure Instance Metadata Service」、仮想ネットワークの FAQ に関するページを参照してください。 |
| 依存関係 | Intune の登録 – Intune で Windows の登録が許可されるかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - Intune デバイスの種類の登録制限が、会社の登録のための Windows モバイル デバイス管理 (MDM) プラットフォームを許可するように設定されていることを確認します。 - Microsoft Entra ハイブリッド参加の場合は、Microsoft Entra Connect 内のドメインごとにサービス接続ポイント (SCP) を構成するか、または対象指定デプロイ モデルを使用することによってデバイスを自動的に設定します。 詳細については、「Microsoft Entra ハイブリッド参加を構成する」および「Microsoft Entra ハイブリッド参加の対象のデプロイ」を参照してください。 |
| 依存関係 | ファースト パーティ アプリのアクセス許可 – Windows 365 アプリに、顧客の Azure サブスクリプション、リソース グループ、仮想ネットワークの各レベルでのアクセス許可があることを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - Azure ネットワーク接続を設定するために使用されるアカウントに、Azure 仮想ネットワークが作成される Azure サブスクリプションに対する読み取りアクセス許可があることを確認します。 - Azure サブスクリプションで、Windows 365 ファースト パーティ アプリのアクセス許可をブロックするポリシーが設定されていないことを確認します。 このアプリには、サブスクリプション、リソース グループ、仮想ネットワークの各レベルでのアクセス許可が必要です。 詳細については、「Azure の要件」を参照してください。 |
| 依存関係 | ローカライズ言語パック – 言語パックのダウンロード場所に到達できるかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - 適切なバージョンの Windows イメージに必要な URL が、Azure 仮想ネットワークで使用されるファイアウォール規則で許可されていることを確認します。 詳細については、ローカライズされた Windows エクスペリエンスの提供に関するページを参照してください。 |
| 依存関係 | RDP Shortpath – ユーザーが接続できるように、ユーザー データグラム プロトコル (UDP) 構成が用意されているかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - クラウド PC のアクセスで UDP の回復性を利用するために、RDP Shortpath を有効にします。 詳細については、Windows 365 を使用したパブリック ネットワークでの RDP Shortpath の使用に関するページおよび Windows 365 を使用したプライベート ネットワークでの RDP Shortpath の使用に関するページを参照してください。 |
| 依存関係 | Intune ライセンス – テナントに、Windows を使用するための適切な Intune ライセンスがあるかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - Intune ライセンスがライセンスの要件に従って割り当てられていることを確認します。 |
| 依存関係 | シングル サインオン (SSO) の確認 – Kerberos サーバー オブジェクトが Active Directory 内に作成され、Microsoft Entra ID に同期されているかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - SSO オプションがプロビジョニング ポリシーで選択されていることを確認します。 このオプションを使用すると、ドメイン参加済みまたは Microsoft Entra 参加済みの Intune マネージド物理デバイスから、サインイン資格情報を使用してそのポリシーのクラウド PC に接続できます。 詳細については、プロビジョニング ポリシーの作成の続行に関するページを参照してください。 |
| 依存関係 | DNS 名前解決 – Azure ネットワーク接続内の DNS でオンプレミスの Active Directory ドメインを解決できるかどうかを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - Azure 仮想ネットワークで、カスタム DNS、プライベート DNS、またはプライベート リゾルバーを使用したオンプレミスの Microsoft Entra ドメインの名前解決が構成されていることを確認します。 詳細については、「Azure DNS とは」を参照してください。 - 仮想ネットワーク内に構成されている DNS サーバーが地理的に同じ場所にあり、新しくプロビジョニングされたクラウド PC を遅延なく登録する機能を持っていることを確認します。 伝達の遅延を防止するために、DNS の参照またはリダイレクトを避けます。それを行うと、プロビジョニングの遅延またはエラーが発生する場合があります。 |
| 依存関係 | Microsoft Entra ドメイン参加 – Microsoft Entra ドメイン参加のために指定された資格情報が有効であり、クラウド PC のドメイン参加が可能であることを確認します。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - Microsoft Entra ドメイン参加のために指定されたアカウントに、Azure ネットワーク接続構成で指定された Microsoft Entra 組織単位に対するアクセス許可があることを確認します。 - 指定されたアカウントが、ドメイン参加の制限がある標準ユーザー アカウントでないことを確認します。 詳細については、ユーザーがドメインに参加できるワークステーションの数に対する既定の制限に関するページを参照してください。 - 指定されたアカウントが Microsoft Entra ID に同期されていることを確認します。 - Azure ネットワーク接続で指定された OU にオブジェクトの制限がないことを確認します。 詳細については、「組織単位でコンピューター アカウントの上限を増やす」を参照してください。 |
詳細については、Windows 365 での Azure ネットワーク接続の正常性チェックに関するページを参照してください。
Azure ネットワーク接続の構成要素に関する推奨事項
このセクションでは、Windows 365 Azure ネットワーク接続のアーキテクチャ パターンの構成要素について詳細に説明します。
Azure サブスクリプション
Azure ネットワーク接続のアーキテクチャ パターンでの Windows 365 の使用には、Microsoft サブスクリプションと顧客サブスクリプションの 2 種類の Azure サブスクリプションが含まれます。
Windows 365 では、"代理ホスト" モデルを使用して Windows 365 の顧客にサービスを提供します。 このモデルでは、クラウド PC が Microsoft によって所有されている Azure サブスクリプションにプロビジョニングされて実行されるのに対して、クラウド PC のネットワーク アダプターは顧客の Azure サブスクリプションにプロビジョニングされます。 次の図は、Azure ネットワーク接続の 2 つのアーキテクチャ パターンを示しています。 顧客は、独自の Azure サブスクリプションと仮想ネットワークを使用します。
このアーキテクチャの Visio ファイルをダウンロードします。
前のアーキテクチャ パターンでは、Microsoft Entra 参加 ID を使用してクラウド PC を管理します。
このアーキテクチャの Visio ファイルをダウンロードします。
前のアーキテクチャ パターンでは、Microsoft Entra ハイブリッド参加 ID を使用してクラウド PC を管理し、オンプレミス環境に Active Directory Domain Services (AD DS) ドメイン コントローラーが存在する "通信経路" としてのネットワーク通信を必要としています。
| コンポーネント | Azure サブスクリプション – クラウド PC にオンプレミス環境とインターネットへの接続を提供するために使用される仮想ネットワークをホストする Azure サブスクリプション。 |
|---|---|
| アーキテクチャのパターン | Microsoft Entra 参加のための Azure ネットワーク接続、Microsoft Entra ハイブリッド参加のための Azure ネットワーク接続 |
| 推奨事項 | - 仮想ネットワークと ExpressRoute または VPN ゲートウェイを含むサブスクリプションを作成または使用して、オンプレミス環境に戻る接続を提供します。 - アクセス許可とリソース管理を提供するクラウド PC の専用リソース グループを作成します。 - クラウド PC のリソース グループと仮想ネットワークを、仮想ネットワーク インターフェイス カード (vNIC) オブジェクトの自動作成および削除や IP アドレスの割り当てまたは解放を防止する Azure ポリシーから除外します。 詳細については、「リソースをロックしてインフラストラクチャを保護する」および「Azure の要件」を参照してください。 - より適切な IP アドレス管理とルーティング制御のための専用仮想ネットワークを作成します。 |
仮想ネットワークとハイブリッド接続
Windows 365 Azure ネットワーク接続ベースのアーキテクチャ パターンには、1 つ以上の Azure 仮想ネットワークが必要です。 仮想ネットワークは、クラウド PC のプロビジョニングのために、オンプレミス環境への接続とインターネット経由の接続を提供します。 クラウド PC の仮想ネットワーク アダプターは、「Azure サブスクリプション」セクションで説明されているように、顧客が所有するサブスクリプションの Azure 仮想ネットワークにプロビジョニングされます。
Azure ネットワークは、既存のオンプレミス ネットワークまたは Azure ネットワークに基づいて、さまざまな高度な設計でデプロイできます。 基本的なハイブリッド ネットワーク設計を開始するには、「セキュリティ保護されたハイブリッド ネットワークを実装する」を参照してください。
Azure 仮想ネットワーク アーキテクチャを設計するときは、次の要因を考慮してください。
"IP アドレス空間": IP アドレス空間のサイズは、サポートするクラウド PC の数によって異なります。 デプロイされるクラウド PC の最大数の少なくとも 1.5 倍を計画します。 追加の IP アドレスは、クラウド PC のプロビジョニングおよびプロビジョニング解除中に使用される IP アドレスになります。
"名前解決": Microsoft Entra ハイブリッド参加のデプロイでオンプレミスのドメイン名を解決するか、または Microsoft Entra 参加のデプロイ モデルでインターネット リソースまたは Azure リソースを解決するためにクラウド PC によって使用される DNS プロセス。
- 既存のオンプレミスの DNS インフラストラクチャを使用するには、名前解決のために 1 つ以上の DNS サーバーの IP アドレスを構成します。 詳細については、「DNS の要件」を参照してください。
- Azure 仮想ネットワークで使用される DNS サーバー IP がクラウド PC と地理的に同じ場所に属しており、さらに DNS 登録要求を別のリージョンにリダイレクトしないことを確認します。 そうでない場合は、デプロイや Azure ネットワーク接続の正常性チェックが遅延または失敗します。
- Azure DNS ベースの名前解決の場合は、パブリックまたはプライベート Azure DNS、あるいはプライベート リゾルバー オプションを使用します。 詳細については、Azure DNS のドキュメントを参照してください。
"ネットワーク トポロジ": Azure ネットワークでは、さまざまなユース ケースに対応するためのトポロジがサポートされています。
- "仮想ネットワーク ピアリングを使用したハブスポーク トポロジ": このトポロジは、独自のスポークおよびハブ仮想ネットワークを使用してサービスの分離を実現する最も簡単な方法です。 共有サービスには、Azure Firewall やネットワーク ゲートウェイが含まれます。 クラウド PC を 1 つ以上のスポーク仮想ネットワークにデプロイする単純な単一サイト設計を使用している場合は、このトポロジを選択します。 詳細については、「ハブ アンド スポーク ネットワーク トポロジ」を参照してください。
- "Azure Virtual WAN を使用したハブスポーク トポロジ": Virtual WAN は、複雑なネットワーク要件を可能にするネットワーク、セキュリティ、管理機能を 1 つにまとめる Azure ネットワーク サービスです。 このトポロジは、ファイアウォールとルーティングの特定の要件を持つマルチサイトのマルチリージョン デプロイに使用します。 詳細については、Virtual WAN を使用したハブスポーク ネットワーク トポロジに関するページを参照してください。
"ネットワーク ゲートウェイ": Azure ネットワーク ゲートウェイは、仮想ネットワークからオンプレミス ネットワークへの接続を提供します。 VPN と ExpressRoute のネットワーク ゲートウェイがあります。 ExpressRoute または VPN の接続方法について決定する前に、クラウド PC の最大帯域幅の要件が考慮されていることを確認します。 VPN ゲートウェイと ExpressRoute ゲートウェイはどちらも、提供される帯域幅やその他のメトリックの量が異なるレベル (つまり SKU) で提供されます。 詳細については、「ExpressRoute を使用してオンプレミス ネットワークを拡張する」および「ExpressRoute を使用した Azure へのオンプレミス ネットワークの接続」を参照してください。
ルーティング構成
Windows 365 Azure ネットワーク接続サービスでは、自動化された正常性チェックを使用して顧客の環境の正常性と準備状況を判定し、Azure ネットワーク接続ベースのアーキテクチャで Microsoft Entra 参加または Microsoft Entra ハイブリッド参加のクラウド PC をプロビジョニングします。 Azure 仮想ネットワークとそれに関連するネットワーク サービスに適切なルーティング構成がないと、クラウド PC のデプロイが失敗または遅延する可能性が高くなります。 Windows 365 ネットワーク アーキテクチャのルーティングを最適化するには、次の推奨事項を考慮してください。
"必要な URL を許可リストに載せる": Microsoft Entra ハイブリッド参加と Microsoft Entra 参加の Azure ネットワーク接続モデルにデプロイされた各クラウド PC では、OS のウイルス対策、ネットワーク ファイアウォール、ロード バランサーを使用していくつかの URL を許可する必要がります。 すべての URL が確実に許可されるようにしてください。 詳細については、ネットワーク接続の許可に関するページを参照してください。
"Azure FQDN タグを使用する": Azure Firewall サービスを使用する場合は、Azure FQDN タグを使用して、Azure Virtual Desktop、Windows 365、Intune に必要な URL を許可します。 詳細については、Azure Firewall を使用した Windows 365 環境の管理とセキュリティ保護に関するページを参照してください。
"パススルーを有効にする": Windows 365 では、ファイアウォールや SSL 暗号化解除アプライアンスなどのトラフィック検査デバイスによって導入される待ち時間に影響されやすい RDP プロトコルを使用します。 このような待ち時間によってエクスペリエンスが低下する場合があるため、これらの URL のトラフィック検査を無効にし、代わりにパススルーを有効にします。 詳細については、トラフィック傍受のテクノロジに関するページを参照してください。
"プロキシをバイパスする": クラウドや従来のプロキシ サービスは、インターネット アクセスには適していますが、RDP 接続で待ち時間が導入されます。 この待ち時間は、プロキシ経由でエンド ユーザーの物理デバイスまたはクラウド PC からの接続が強制されたときに発生し、それが頻繁な切断や遅延、低速な応答時間につながります。 ユーザーの物理デバイス、その物理デバイスが接続されているネットワーク、クラウド PC に対するプロキシ サービスをバイパスするには、*.wvd.microsoft.com と Windows 365 のゲートウェイ IP の範囲を設定します。
詳細については、Windows 365 での RDP 接続の最適化に関するページを参照してください。
"最短パス ルーティング": クラウド PC からの RDP トラフィックが最短パスを通って Virtual Desktop サービス エンドポイントに到達することを確認します。 仮想ネットワークからインターネット経由で Virtual Desktop ゲートウェイ IP に直接到達するのが理想的なパスです。 また、エンド ユーザーの物理デバイスからの RDP トラフィックが Virtual Desktop ゲートウェイ IP に直接到達することも確認してください。 この構成によって最適なルーティングが保証されるため、ユーザー エクスペリエンスが低下することはありません。 RDP トラフィックをクラウド プロキシ サービスまたはオンプレミス ネットワーク経由でインターネットにルーティングすることは避けてください。
RDP Shortpath: エンド ユーザー ネットワーク、Azure ネットワーク、クラウド PC での RDP Shortpath ベースのアクセスを有効にします。 RDP Shortpath では、UDP を使用して RDP トラフィックを送信します。 TCP とは異なり、これは、待ち時間の長いネットワーク接続に対する回復性があります。 UDP ではまた、使用可能なネットワーク帯域幅も最大限に活用して RDP パケットを効率的に転送するため、ユーザー エクスペリエンスが向上します。 詳細については、Windows 365 を使用したパブリック ネットワークでの RDP Shortpath の使用に関するページを参照してください。
"クラウド PC の配置": 最適なユーザー エクスペリエンスとルーティング パフォーマンスを得るために、作業アプリやアクセスするネットワークとの関連で顧客がどこに位置しているかを特定します。 また、他のアプリにアクセスする全体の時間と比較して、顧客が LOB アプリへのアクセスに費やす時間も考慮してください。 考えられる次の 2 つのデプロイ オプションを確認してください。
次のデプロイ モデルは、顧客がそのほとんどの作業時間を、ローカルにインストールされたアプリ (Microsoft 365 内のアプリなど) での作業ではなく、LOB アプリへのアクセスに費やす場合に最適である可能性があります。 このモデルでは、クラウド PC を LOB アプリと同じリージョン (地理 B) 内に配置することによって、クラウド PC のアクセス待ち時間より LOB アプリの待ち時間の方を最適化します。 この最適化は、ゲートウェイがエンド ユーザー (地理 A) に地理的に近い場合でも実現されます。 次の図は、エンド ユーザーから LOB アプリへの考えられるトラフィック フローを示しています。
このアーキテクチャの PowerPoint ファイルをダウンロードします。顧客が地理 B 内の LOB アプリに時々しかアクセスしない場合は、クラウド PC を顧客により近い場所にデプロイすると、LOB アプリのアクセス待ち時間よりクラウド PC のアクセス待ち時間の方が最適化されるため、最適である可能性があります。 次の図は、このようなシナリオで考えられるトラフィック フローを示しています。
このアーキテクチャの PowerPoint ファイルをダウンロードします。
AD DS に関する推奨事項
Microsoft Entra ハイブリッド参加のアーキテクチャでは、オンプレミスの AD DS インフラストラクチャが権限の ID ソースとして機能します。 適切に構成された正常な AD DS インフラストラクチャを用意することは、Windows 365 のデプロイを成功させるための非常に重要な手順です。
オンプレミスの AD DS では、多くの構成とさまざまなレベルの複雑さがサポートされているため、示されている推奨事項にはベースラインのベスト プラクティスしが含まれていません。
- Microsoft Entra ハイブリッド参加のシナリオでは、仮想ネットワークへの AD DS のデプロイに関するページにあるアーキテクチャ リファレンスで説明されているように、AD DS を Azure VM にデプロイできます。 また、ハイブリッド ネットワーク接続を使用して、オンプレミスの Microsoft Entra ドメイン コントローラーに直接の通信経路を提供することもできます。 詳細については、「セキュリティ保護されたハイブリッド ネットワークを実装する」を参照してください。
- Microsoft Entra 参加のデプロイでは、オンプレミスの Microsoft Entra ドメインの Microsoft Entra ID との統合に関するページにある参照アーキテクチャに従ってください。
- Windows 365 では、テスト用の VM アカウントを作成する自動テストの一部としてウォッチドッグ サービスを使用します。 そのアカウントは、Azure ネットワーク接続構成で指定された組織単位では無効と表示されます。 このアカウントを削除しないでください。
- Microsoft Entra ハイブリッド参加モデルで使用停止されたクラウド PC はすべて、無効になったコンピューター アカウントの背後に残されます。これは、AD DS で手動でクリーニングする必要があります。
- Microsoft Entra Domain Services は、Microsoft Entra ハイブリッド参加をサポートしていないため、ID ソースとしてサポートされていません。
DNS に関する推奨事項
Azure ネットワーク接続のデプロイ アーキテクチャでは、Azure 仮想ネットワークによって使用される DNS サーバーまたは別の DNS サービスが非常に重要な依存関係です。 正常なインフラストラクチャが用意されていることが重要です。
- Microsoft Entra ハイブリッド参加の構成の場合、DNS は、クラウド PC を参加させる必要のあるドメインを解決できる必要があります。 使用可能な構成オプションは複数ありますが、最も簡単なのは、Azure 仮想ネットワーク構成で DNS サーバー IP を指定する方法です。 詳細については、「独自の DNS サーバーを使用する名前解決」を参照してください。
- インフラストラクチャの複雑さ (マルチリージョン、Azure でのマルチドメインの設定、オンプレミス環境など) に応じて、Azure DNS プライベート ゾーンや Azure DNS Private Resolver などのサービスを使用する必要があります。
クラウド PC の接続に関する推奨事項
デプロイされたクラウド PC は、Virtual Desktop ゲートウェイ サービスとの間の中断のない接続フローを許可するように構成する必要があります。 Windows オペレーティング システム構成の一部としてアプリをデプロイするときは、次の推奨事項を考慮してください。
- ユーザーのサインイン時に VPS クライアントが起動されないようにしてください。起動されると、VPN トンネルが確立されたときにセッションが切断される場合があります。 ユーザーの 2 回目のサインインが必要になります。
- VPN、プロキシ、ファイアウォール、ウイルス対策およびマルウェア対策アプリを、IP アドレス 168.63.129.16 と 169.254.169.254 宛てのトラフィックを許可またはバイパスするように構成します。 これらの IP アドレスは、メタデータやハートビートなどの Azure プラットフォーム サービスとの通信に使用されます。 詳細については、「IP アドレス 168.63.129.16 とは」、仮想マシン用の Azure Instance Metadata Serviceに関するページ、仮想ネットワークの FAQ に関するページを参照してください。
- クラウド PC の IP アドレスを手動で変更すると、永続的な切断につながる可能性があるため、行わないでください。 IP アドレスは、無期限のリースで割り当てられ、Azure ネットワーク サービスによってクラウド PC のライフサイクル全体にわたって管理されます。 詳細については、「割り当て方法」を参照してください。
共同作成者
この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。
プリンシパル作成者:
- Ravishankar Nandagopalan | シニア プロダクト マネージャー
その他の共同作成者:
- Paul Collinge | プリンシパル プロダクト マネージャー
- Claus Emerich | プリンシパル プロダクト マネージャー
- David Falkus | プリンシパル プロダクト マネージャー
- Bob Roudebush | テクニカル リーダーおよびクラウド/開発者テクノロジスト
- Matt Shadbolt | プリンシパル プロダクト マネージャー、Windows クラウド エクスペリエンス
パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。
次のステップ
Windows 365 でのクラウド PC のライフサイクル