Citrix DaaS Standard for Azure
はじめに
Citrix DaaS Standard for Azure(旧称: Citrix Virtual Apps and Desktops Standard for Azure)は、Microsoft AzureからWindowsアプリとデスクトップを配信する最もシンプルで迅速な方法です。Citrix DaaS for Azureは、クラウドベースの管理、プロビジョニング、および管理されたキャパシティを提供し、あらゆるデバイスに仮想アプリとデスクトップを配信します。
このソリューションには以下が含まれます。
- CitrixがホストするAzure Virtual Desktopsと、マルチセッションマシンからのアプリを配信するためのクラウドベースの管理とプロビジョニング
- Citrix Workspaceアプリを使用して、幅広いデバイスから高精細なユーザーエクスペリエンス
- 簡素化されたイメージ作成および管理ワークフロー、ならびに最新のCitrix Virtual Delivery Agent (VDA) がインストールされたCitrix提供のWindowsおよびLinuxシングルセッションおよびマルチセッションイメージ
- Citrix Gatewayサービスのグローバルなプレゼンスポイントを使用して、あらゆるデバイスからのセキュアなリモートアクセス
- 高度な監視およびヘルプデスク管理機能
- 仮想デスクトップを配信するためのAzureコンピュート、ストレージ、ネットワーキングを含む、管理されたAzure IaaS
Citrix Remote PC Access機能により、ユーザーはオフィスにある既存の物理マシンをリモートで使用できます。ユーザーはCitrix HDXを使用してオフィスPCセッションを配信することで、最高のユーザーエクスペリエンスを得られます。
他のCitrix DaaS製品に精通している場合、Citrix DaaS for Azureは仮想アプリとデスクトップの展開を簡素化します。Citrixはこれらのワークロードをホストするためのインフラストラクチャを管理できます。
Citrix DaaS for AzureはCitrix Cloudサービスです。Citrix Cloudは、Citrix Cloudサービスをホストおよび管理するプラットフォームです。Citrix Cloudの詳細を参照してください。
コンポーネント、データフロー、およびセキュリティに関する考慮事項については、技術セキュリティの概要を参照してください。この記事では、顧客とCitrixの責任についても概説します。
ユーザーによるデスクトップとアプリへのアクセス方法
ユーザー(サブスクライバーと呼ばれることもあります)は、Citrix HTML5クライアントを使用して、ブラウザから直接デスクトップとアプリにアクセスします。ユーザーは、管理者から提供されたCitrix WorkspaceのURLにアクセスします。Citrix Workspaceプラットフォームは、デジタルリソースを列挙してユーザーに配信します。ユーザーは、ワークスペースからデスクトップまたはアプリケーションを起動します。
デスクトップとアプリを配信するマシンのカタログ(またはRemote PC Access用の物理マシンを含むカタログ)を構成すると、Citrix DaaS for AzureはWorkspaceのURLを表示します。その後、ユーザーにそのURLにアクセスしてデスクトップとアプリを起動するように通知します。
Citrix Workspaceに移動してデスクトップとアプリにアクセスする代わりに、ユーザーはデバイスにCitrix Workspaceアプリをインストールできます。エンドポイントデバイスのオペレーティングシステムに適したアプリをダウンロードしてください。https://www.citrix.com/downloads/workspace-app/。
概念と用語
このセクションでは、Citrix DaaS for Azureで管理者が使用する項目と用語の一部を紹介します。
カタログ
カタログはマシンのグループです。
-
Citrix DaaS for Azureがユーザーに配信するデスクトップとアプリは、仮想マシン (VM) 上に存在します。これらのVMはカタログ内で作成(プロビジョニング)されます。
デスクトップを展開すると、カタログ内のマシンは選択されたユーザーと共有されます。アプリケーションを公開すると、マルチセッションマシンは選択されたユーザーと共有されるアプリケーションをホストします。
-
Remote PC Accessの場合、カタログには既存のシングルセッション物理マシンが含まれます。一般的な展開には、オフィスにあるマシンが含まれます。構成されたユーザー割り当て方法と選択されたユーザーを通じて、これらのマシンへのユーザーアクセスを制御します。
他のCitrix DaaS製品に精通している場合、Citrix DaaSのカタログは、ホスティング接続、マシンカタログ、およびデリバリーグループを組み合わせたものに似ています。
詳細については、以下を参照してください。
リソースの場所
カタログのマシンはリソースの場所に存在します。リソースの場所には、2つ以上のCloud Connectorが含まれる場合もあります。Cloud Connectorは、ドメイン参加済みカタログに対してのみ作成されます。
- デスクトップまたはアプリを公開する場合、最初のカタログを作成する際に、Citrixはリソースの場所とCloud Connector(ドメイン参加済みの場合)を自動的に作成します。
- Remote PC Accessの場合、管理者はカタログを作成する前にリソースの場所とCloud Connectorを作成します。
公開デスクトップとアプリのカタログをさらに作成する場合、Azureサブスクリプション、リージョン、およびドメインによって、Citrixが別のリソースの場所を作成するかどうかが決まります。これらの条件が既存のカタログと一致する場合、Citrixはそのリソースの場所を再利用しようとします。
詳細については、以下を参照してください。
イメージ
公開デスクトップとアプリのカタログを作成する際、マシンイメージは(他の設定とともに)マシンを作成するためのテンプレートとして使用されます。
-
Citrix DaaS for Azureは、Citrixが準備したいくつかのイメージを提供します。
- Windows 11 Pro (シングルセッション)
- Windows 11 Enterprise Virtual Desktop (マルチセッション)
- Windows 11 Enterprise Virtual Desktop (マルチセッション、Office 365 ProPlus付き)
- Windows 10 Pro (シングルセッション)
- Windows 10 Enterprise Virtual Desktop (マルチセッション)
- Windows 10 Enterprise Virtual Desktop (マルチセッション、Office 365 ProPlus付き)
- Windows Server 2019 (マルチセッション)
- Windows Server 2022 (マルチセッション)
- Windows Server 2025 (マルチセッション)
- Linux Ubuntu 22.04 LTS (シングルセッション)
- Linux Ubuntu 22.04 LTS (マルチセッション)
Citrixが準備した各イメージには、Citrix VDAとトラブルシューティングツールがインストールされています。VDAは、ユーザーのマシンとCitrix DaaS for Azureを管理するCitrix Cloudインフラストラクチャ間の通信メカニズムです。
Citrixは、新しいVDAバージョンがリリースされると、利用可能な準備済みイメージを更新します。
-
Azureから独自のイメージをインポートして使用することもできます。カタログを作成するために使用する前に、イメージにVDA(およびその他のソフトウェア)をインストールする必要があります。
VDAという用語は、アプリまたはデスクトップを配信するマシン、およびそのマシンにインストールされているソフトウェアコンポーネントを指すことがよくあります。
詳細については、イメージを参照してください。
Azureサブスクリプション
デスクトップとアプリを配信するためのカタログを作成したり、イメージを構築/インポートしたりするには、Citrix Managed Azureサブスクリプションまたは独自の(顧客管理の)Azureサブスクリプションのいずれかを使用できます。
Citrix DaaS for Azureのみを注文する場合、独自のAzureサブスクリプションをインポート(追加)して使用する必要があります。Citrix Azure Consumption Fundも注文すると、Citrix Managed Azureサブスクリプションを受け取ります。その後、カタログを作成したり新しいイメージを構築したりする際に、Citrix Managed AzureサブスクリプションまたはインポートしたAzureサブスクリプションのいずれかを使用できます。
詳細については、以下を参照してください。
- 展開シナリオでは、Citrix DaaS for AzureでAzureサブスクリプションを使用する方法を説明します。
- Azureサブスクリプションでは、Citrix Managed Azureと顧客管理のAzureサブスクリプションの違いについて説明します。この記事では、サブスクリプションの表示、追加、削除方法についても説明します。
- 技術セキュリティの概要では、Citrix Managed Azureと顧客管理のAzureサブスクリプションにおける責任の違いについて説明します。
ネットワーク接続
Citrix Managed Azureサブスクリプションを使用してカタログを作成する際、ユーザーが公開デスクトップとアプリから企業のオンプレミスネットワーク上の場所やリソースにアクセスできるかどうか、およびその方法を指定します。選択肢は、接続なし、Azure VNetピアリング、Azure VPNゲートウェイです。
独自のAzureサブスクリプションを使用する場合、接続を作成する必要はありません。サービスにAzureサブスクリプションをインポート(追加)するだけで済みます。
詳細については、ネットワーク接続を参照してください。
ドメイン参加と非ドメイン参加
マシン(VDA)がドメイン参加済みか非ドメイン参加済みかによって、いくつかのサービス操作と機能が異なります。ドメインメンバーシップは、利用可能な展開シナリオにも影響します。
- ドメイン参加済みマシンと非ドメイン参加済みマシンの両方が、ユーザーのワークスペースで利用可能な任意のユーザー認証方法をサポートします。
- ドメイン参加済みマシンと非ドメイン参加済みマシンの両方から、デスクトップ、アプリ、またはその両方を公開できます。Remote PC Accessカタログのマシンはドメイン参加済みである必要があります。
次の表は、デスクトップとアプリを配信する際の非ドメイン参加済みマシンとドメイン参加済みマシンのいくつかの違いをまとめたものです。
| 非ドメイン参加 | ドメイン参加 |
|---|---|
| マシンにActive Directoryは使用されません。マシンはADドメインに参加していません。 | マシンにActive Directoryが使用されます。マシンはADドメインに参加しています。 |
| Active Directoryグループポリシーはマシン(VDA)に適用できません。(カタログ作成に使用されるイメージにローカルGPOを適用できます。) | VDAは、カタログ作成時に指定されたAD OUのグループポリシーを継承します。 |
| ユーザーはシングルサインオンを使用してサインインします。 | ユーザーがActive Directory以外の認証方法を使用してワークスペースにサインインする場合、シングルサインオンを実現するにはFASを構成する必要があります。 |
| オンプレミスネットワークへの接続は不要です。 | (Citrix Managed Azureサブスクリプションを使用する場合)Microsoft Azure VNetまたはAzure VPNゲートウェイを使用して、オンプレミスネットワークにアクセスするための接続が必要です。 |
| Cloud Connectorはありません。 | Cloud Connectorは自動的に作成されます。 |
| バスティオンマシンまたは直接RDPを使用してトラブルシューティングすることはできません。 | バスティオンマシンまたは直接RDPを使用してトラブルシューティングできます。 |
| Citrix Profile Managementは使用できません。(推奨:永続カタログを使用してください。) | Citrix Profile ManagementまたはFSLogixを使用できます。 |
展開シナリオ
公開デスクトップとアプリの展開シナリオは、Citrix Managed Azureサブスクリプションを使用するか、独自の顧客管理Azureサブスクリプションを使用するかによって異なります。
Citrix Managed Azureサブスクリプションでの展開
Citrix DaaS for Azureは、接続とユーザー認証のためのいくつかの展開シナリオをサポートしています。
-
Managed Azure AD: これは最もシンプルな展開であり、非ドメイン参加VDAを使用します。概念実証に推奨されます。ユーザーの管理には、Managed Azure AD(Citrixが管理)を使用します。ユーザーはオンプレミスネットワーク上のリソースにアクセスする必要はありません。
-
顧客のAzure Active Directory: この展開には非ドメイン参加VDAが含まれます。エンドユーザー認証には、独自のActive DirectoryまたはAzure Active Directory (AAD) を使用します。このシナリオでは、ユーザーはオンプレミスネットワーク上のリソースにアクセスする必要はありません。
-
オンプレミスアクセス付き顧客のAzure Active Directory: この展開には非ドメイン参加VDAが含まれます。エンドユーザー認証には、独自のADまたはAADを使用します。このシナリオでは、オンプレミスネットワークにCitrix Cloud Connectorをインストールすることで、そのネットワーク内のリソースへのアクセスが可能になります。
-
顧客のAzure Active Directory Domain ServicesとVNetピアリング: ADまたはAADが独自のAzure VNetとAzureサブスクリプションに存在する場合、ネットワーク接続にはMicrosoft Azure VNetピアリング機能を使用し、エンドユーザー認証にはAzure Active Directory Domain Services (AADDS) を使用できます。VDAはドメインに参加しています。
ユーザーがオンプレミスネットワークに保存されているデータにアクセスできるようにするには、Azureサブスクリプションからオンプレミスの場所へのVPN接続を使用できます。ネットワーク接続にはAzure VNetピアリングが使用されます。オンプレミスのActive Directory Domain Servicesはエンドユーザー認証に使用されます。
顧客管理Azureサブスクリプションでの展開
上記の図の展開では、顧客管理Azureサブスクリプションを使用しています。ただし、点線で示されているように、Citrix Managed Azureサブスクリプションは他のカタログやイメージのオプションとして残されています。
管理インターフェース
Citrix DaaS for Azureには、Quick DeployとWeb Studioの2つのグラフィカル管理インターフェースがあります。
-
Quick Deployを使用すると、カタログを迅速に作成し、ユーザーにデスクトップとアプリの配信を開始できます。(そのため、Quick Deployという名前が付けられています。)これは、Citrix DaaS for Azureを起動したときのデフォルトインターフェースです。このインターフェースには、Quick Deploy > Microsoft Azureを選択してアクセスすることもできます。この製品ドキュメントセットの指示は、Quick Deployを使用していることを前提としています。
カタログまたはイメージを作成する際にCitrix Managed Azureサブスクリプションを使用する予定がある場合は、Quick Deployを使用する必要があります。
-
Web Studioは、展開をカスタマイズおよび管理するための高度な機能と構成オプションを提供します。Quick Deployで作成したカタログは、Web Studioに自動的に表示されます。
Quick Deployでカタログを作成すると、関連するマシンカタログ、デリバリーグループ、およびホスト接続がWeb Studioに自動的に作成されます。
Web Studioには、Azureホストへの接続を作成し、その後カタログとデリバリーグループを作成する独自のカタログ作成プロセスもあります。このプロセスは、独自のAzureサブスクリプションを使用する場合にのみサポートされます。Quick Deployでカタログを作成する方がはるかに簡単です。
Web Studioは、Azure以外のハイパーバイザーおよびクラウドサービスホストに関連するプロセスをサポートしています。これらはCitrix DaaS for Azureのお客様には利用できません。
Quick Deployインターフェースで作成されたカタログの管理
Quick Deployインターフェースでカタログを作成した後も、そのインターフェースでカタログを管理し続けることができます。詳細については、カタログを管理を参照してください。Web Studioインターフェースを使用することもできます。
Quick Deployでカタログを作成すると、そのカタログ(および舞台裏で自動的に作成されるデリバリーグループとホスティング接続)にはCitrix managed objectのスコープが割り当てられます。スコープは、オブジェクトをグループ化するために委任管理で使用されます。
Citrix managed objectスコープを持つカタログ、デリバリーグループ、および接続は、Web Studioインターフェースでの特定の操作が禁止されています。(Web Studioでこれらの操作を許可すると、Quick DeployとWeb Studioの両方をサポートするシステムの能力に悪影響を及ぼす可能性があるため、これらの操作は無効になっています。)Web Studioインターフェースでは、以下の操作が禁止されています。
- カタログ: ほとんどのカタログ管理操作は利用できません。カタログを削除することはできません。
- デリバリーグループ: ほとんどのデリバリーグループ管理操作は利用できます。デリバリーグループを削除することはできません。
-
接続: ほとんどの接続管理操作は利用できません。接続を削除することはできません。
Citrix managed objectスコープを持つ接続に基づいた接続を作成することはできません。
Quick Deployで独自のAzureサブスクリプション(Quick Deployに追加したもの)を使用してカタログを作成し、そのカタログ(およびそのデリバリーグループと接続)を完全にWeb Studioで管理したい場合は、カタログを変換できます。
- カタログを変換すると、その管理はWeb Studioインターフェースのみに制限されます。カタログが変換された後、Quick Deployインターフェースを使用してそのカタログを管理することはできなくなります。
- カタログが変換された後、以前はWeb Studioで利用できなかった操作を選択できるようになります。(変換されたカタログ、デリバリーグループ、およびホスティング接続から
Citrix managed objectスコープが削除されます。) -
カタログを変換するには:
- Citrix DaaS for AzureのQuick Deploy > Microsoft Azureダッシュボードで、カタログのエントリの任意の場所をクリックします。詳細タブの詳細設定で、カタログの変換を選択します。プロンプトが表示されたら、変換を確認します。
- Citrix Managed Azureサブスクリプションを使用してQuick Deployで作成されたカタログは変換できません。
Web Studioで変換されたカタログを管理する方法については、以下を参照してください。
- マシンカタログを管理(Web Studioではカタログをマシンカタログと呼びます)
- デリバリーグループを管理
詳細情報
技術的な詳細については、以下を参照してください。
- Citrix Tech Zone リファレンスアーキテクチャ
展開の自動化に関する情報については、カタログサービスQuick Deploy APIを参照してください。
準備ができたら、開始してください。