Citrix DaaS Standard for Azure
はじめに
Citrix DaaS Standard for Azure(旧称Citrix Virtual Apps and Desktops Standard for Azure)は、Microsoft AzureからWindowsアプリケーションとデスクトップを配信する最も簡単で最速の方法です。Citrix DaaS for Azureは、仮想アプリケーションとデスクトップを任意のデバイスに配信するためのクラウドベースの管理、プロビジョニング、および管理容量を提供します。
このソリューションには次のものが含まれます。
- Citrix がホストする Azure 仮想デスクトップ、およびアプリケーションをマルチセッションマシンから配信するためのクラウドベースの管理とプロビジョニング。
- Citrix Workspaceアプリを使用して、幅広いデバイスからの高品位ユーザーエクスペリエンス。
- Citrixが最新のCitrix Virtual Delivery Agent(VDA)がインストールされたWindowsおよびLinuxのシングルセッションイメージおよびマルチセッションイメージとともに、イメージの作成と管理ワークフローを簡素化します。
- Citrix Gateway サービスのグローバルプレゼンスポイントを使用して、あらゆるデバイスからのリモートアクセスを保護します。
- 高度な監視機能とヘルプデスク管理機能。
- Azureのコンピューティング、ストレージ、および仮想デスクトップを提供するためのネットワークを含む、管理対象Azure taaS。
Citrix リモートPCアクセス機能を使用すると、ユーザーはオフィスにある既存の物理マシンをリモートで使用できます。ユーザーは、Citrix HDXを使用して社内PCセッションを提供することで、最高のユーザーエクスペリエンスを実現できます。
他のCitrix DaaS製品に精通している場合は、Citrix DaaS for Azureを使用すると仮想アプリケーションとデスクトップの展開が簡素化されます。Citrixは、これらのワークロードをホストするためのインフラストラクチャを管理できます。
Citrix DaaS for AzureはCitrix Cloud サービスです。Citrix Cloudは、Citrix Cloudサービスをホストおよび管理するプラットフォームです。Citrix Cloud について詳しく知る。
コンポーネント、データフロー、およびセキュリティに関する考慮事項については、「 技術的なセキュリティの概要」を参照してください。この記事では、お客様とCitrix 責任についても説明します。
ユーザーがデスクトップとアプリにアクセスする方法
ユーザー(サブスクライバーと呼ばれることもあります)は、Citrix HTML5クライアントを使用して、ブラウザを介してデスクトップやアプリケーションに直接アクセスします。ユーザーは、管理者によって提供されるCitrix Workspace URLを参照します。Citrix Workspaceプラットフォームは、デジタルリソースを列挙してユーザーに配信します。ユーザーは、ワークスペースからデスクトップまたはアプリケーションを起動します。
デスクトップとアプリケーションを配信するマシンのカタログ(またはリモートPCアクセス用の物理マシンを含むカタログ)を構成すると、Citrix DaaS for AzureにWorkspace URLが表示されます。次に、その URL に移動してデスクトップやアプリを起動するようにユーザーに通知します。
Citrix Workspaceに移動してデスクトップやアプリにアクセスする代わりに、ユーザーはCitrix Workspaceアプリをデバイスにインストールできます。エンドポイントデバイスのオペレーティングシステムに適したアプリをダウンロードします。https://www.citrix.com/downloads/workspace-app/。
概念と用語
このセクションでは、管理者がCitrix DaaS for Azureで使用する項目と用語の一部を紹介します。
カタログ
カタログはマシンのグループです。
-
Citrix DaaS for Azureによってユーザーに配信されるデスクトップとアプリは、仮想マシン(VM)上に存在します。これらの仮想マシンはカタログに作成 (プロビジョニング) されます。
デスクトップを展開すると、カタログ内のマシンは選択したユーザーと共有されます。アプリケーションを公開すると、マルチセッションマシンは、選択したユーザーと共有されるアプリケーションをホストします。
-
リモートPCアクセスの場合、カタログには既存のシングルセッション物理マシンが含まれています。一般的な展開には、オフィスにあるマシンが含まれます。これらのマシンへのユーザーアクセスを制御するには、構成済みのユーザー割り当て方法および選択したユーザーを使用します。
他のCitrix DaaS製品に精通している場合、Citrix DaaSのカタログは、マシンカタログとデリバリーグループを組み合わせたものと似ています。
詳しくは、次のトピックを参照してください:
リソースの場所
カタログのマシンは、 リソースの場所に存在します。リソースの場所には、2 つ以上の Cloud Connectorも含まれます。
- デスクトップまたはアプリを公開すると、最初のカタログを作成するときに、Citrixによってリソースの場所とCloud Connectorが自動的に作成されます。
- リモート PC アクセスの場合、管理者はカタログを作成する前に、リソースの場所と Cloud Connector を作成します。
公開デスクトップおよびアプリケーションのカタログをさらに作成すると、Azureサブスクリプション、リージョン、およびドメインによって、Citrixが別のリソースの場所を作成するかどうかが決まります。これらの基準が既存のカタログと一致する場合、Citrixはそのリソースの場所を再利用しようとします。
詳しくは、次のトピックを参照してください:
画像
公開デスクトップとアプリケーションのカタログを作成すると、マシンを作成するためのテンプレートとしてマシンイメージが(他の設定とともに)使用されます。
-
Citrix DaaS for Azureには、Citrix提供イメージがいくつか用意されています:
- Windows 10 Enterprise(シングルセッション)
- Windows 10 Enterprise Virtual Desktop(マルチセッション)
- Office 365 ProPlusを使用するWindows 10 Enterprise Virtual Desktop(マルチセッション)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Linux
Citrix 用意された各イメージには、Citrix VDAとトラブルシューティングツールがインストールされています。VDAは、ユーザーのマシンと、Citrix DaaS for Azureを管理するCitrix Cloudインフラストラクチャとの間の通信メカニズムです。
新しいVDAバージョンがリリースされると、使用可能な準備済みイメージが更新されます。
-
Azure から独自のイメージをインポートして使用することもできます。イメージを使用してカタログを作成する前に、イメージにVDA(およびその他のソフトウェア)をインストールする必要があります。
多くの場合、「VDA
」という用語は、アプリやデスクトップを配信するマシンと、そのマシンにインストールされているソフトウェアコンポーネントを指します。
詳しくは、「 イメージ」を参照してください。
Azureサブスクリプション
デスクトップとアプリケーションを配信するためのカタログを作成し、Citrix Managed Azureサブスクリプションまたは独自の(顧客管理)Azureサブスクリプションのいずれかでイメージをビルド/インポートできます。
Azure 用の Citrix DaaSのみを注文する場合は、独自のAzureサブスクリプションをインポート(追加)して使用する必要があります。Citrix Azure消費基金も注文すると、Citrix Managed Azureサブスクリプションを受け取ります。カタログの作成時または新しいイメージの構築時に、Citrix Managed AzureサブスクリプションまたはインポートしたAzureサブスクリプションのいずれかを使用できます。
詳しくは、次のトピックを参照してください:
-
展開シナリオでは、Azure サブスクリプションを Citrix DaaS for Azure で使用する方法を示します。
-
Azure サブスクリプションでは 、Citrix Managed Azure サブスクリプションとカスタマー管理の Azure サブスクリプションの違いについて説明します。この記事では、サブスクリプションを表示、追加、および削除する方法についても説明します。
-
「テクニカルセキュリティの概要」 では、Citrix Managed Azure サブスクリプションと顧客管理の Azure サブスクリプションの責任の違いについて説明します。
ネットワーク接続
Citrix Managed Azureサブスクリプションを使用してカタログを作成する場合、ユーザーが公開デスクトップとアプリケーションから企業のオンプレミスネットワーク上の場所とリソースにアクセスできるかどうか、および方法を指定します。選択肢は、接続なし、Azure VNet ピアリング、およびCitrix SD-WAN です。
独自の Azure サブスクリプションを使用する場合、接続を作成する必要はありません。Azure サブスクリプションをサービスにインポート (追加) するだけで済みます。
詳しくは、「 ネットワーク接続」を参照してください。
ドメイン参加と非ドメイン参加
マシン(VDA)がドメインに参加しているかドメインに参加していないかによって、いくつかのサービス操作と機能が異なります。ドメインメンバーシップは、利用可能な展開シナリオにも影響します。
- ドメイン参加マシンと非ドメイン参加マシンは、ユーザーのワークスペースで使用可能なユーザー認証方法のいずれかをサポートします。
- ドメインに参加しているマシンとドメインに参加していないマシンから、デスクトップ、アプリケーション、またはその両方を公開できます。リモート PC アクセスカタログ内のマシンは、ドメインに参加している必要があります。
次の表に、デスクトップおよびアプリケーションを配信する際の、ドメインに参加していないマシンとドメインに参加しているマシンの違いをいくつか示します。
ドメイン非参加 | ドメインに参加しました |
---|---|
Active Directory はマシンには使用されません。マシンは AD ドメインに参加していません。 | Active Directory はマシンに使用されます。マシンは AD ドメインに参加しています。 |
Active Directory グループポリシーをマシン(VDA)に適用することはできません。(カタログの作成に使用するイメージにローカル GPO を適用できます)。 | VDAは、カタログ作成時に指定したAD OUのグループポリシーを継承します。 |
ユーザーはシングルサインオンを使用してサインインします。 | ユーザーが Active Directory 以外の認証方法を使用してワークスペースにサインインすると、デスクトップまたはアプリの起動時にサインインを求められます。 |
オンプレミスネットワークに接続する必要はありません。 | (Citrix Managed Azureサブスクリプションを使用する場合)Microsoft Azure VNetまたはCitrix SD-WAN を使用して、オンプレミスネットワークにアクセスするための接続が必要です。 |
VDAのプロビジョニングには、Citrix Managed Azureサブスクリプションを使用する必要があります。(VDAのプロビジョニングに独自のAzureサブスクリプションを使用することはできません。ただし、ユーザーは独自の Azure AD から接続できます。) | Citrix Managed Azureサブスクリプションと独自のAzureサブスクリプションを使用できます。 |
踏み台マシンまたは直接 RDP を使用してトラブルシューティングを行うことはできません。 | 踏み台マシンまたは直接 RDP を使用してトラブルシューティングできます。 |
Citrix Profile Management を使用できません。(推奨:永続カタログを使用してください。) | Citrix Profile Management またはFSLogixを使用できます。 |
展開シナリオ
公開デスクトップとアプリケーションの展開シナリオは、Citrix Managed Azureサブスクリプションを使用しているか独自の顧客管理Azureサブスクリプションを使用しているかによって異なります。
Citrix マネージドAzureサブスクリプションでのデプロイ
Citrix DaaS for Azure は、接続とユーザー認証のためのいくつかの展開シナリオをサポートしています。
-
管理対象Azure AD: これは、ドメインに参加していないVDAを使用した最も単純な展開です。コンセプトの証明におすすめです。管理対象Azure AD(Citrix が管理する)を使用してユーザーを管理します。ユーザーは、オンプレミスネットワークのリソースにアクセスする必要はありません。
-
お客様のAzure Active Directory: この展開には、ドメインに参加していないVDAが含まれています。エンドユーザー認証には、独自の Active Directory または Azure Active Directory (AAD) を使用します。このシナリオでは、ユーザーはオンプレミスネットワーク上のリソースにアクセスする必要はありません。
-
オンプレミスアクセスを持つお客様のAzure Active Directory: この展開には、ドメインに参加していないVDAが含まれます。エンドユーザー認証には、独自の AD または AAD を使用します。このシナリオでは、オンプレミスネットワークにCitrix Cloud Connectorをインストールすると、そのネットワーク内のリソースにアクセスできます。
-
お客様の Azure Active Directory ドメインサービスおよび VNet ピアリング: AD または AAD が独自の Azure VNet および Azure サブスクリプションに存在する場合は、Microsoft Azure VNet ピアリング機能をネットワーク接続に使用し、エンドユーザー認証に Azure Active Directory ドメインサービス (AADDS) を使用できます。VDAはドメインに参加しています。
ユーザーがオンプレミスネットワークに保存されているデータにアクセスできるようにするには、Azure サブスクリプションからオンプレミスの場所への VPN 接続を使用できます。Azure VNet ピアリングはネットワーク接続に使用されます。オンプレミスの場所にある Active Directory ドメインサービスは、エンドユーザー認証に使用されます。
-
お客様の Active Directory と SD-WAN: オンプレミスまたはクラウド SD-WAN ネットワークからファイルやその他のアイテムへのアクセスをユーザーに提供できます。
Citrix SD-WAN は、Citrix DaaS for Azureに必要なすべてのネットワーク接続を最適化します。Citrix SD-WANは、HDXテクノロジと連携して、ICAと、アウトオブバンドのCitrix DaaS for Azureトラフィックに、QoS(サービス品質)と接続の信頼性を提供します。
カスタマー管理の Azure サブスクリプションでのデプロイ
前の図のデプロイでは、カスタマー管理の Azure サブスクリプションを使用しています。ただし、Citrix Managed Azureサブスクリプションは、点線のアウトラインで示されているように、他のカタログおよびイメージのオプションとして残ります。
管理インターフェイス
Citrix DaaS for Azureには、クイック展開と完全構成という 2 つのグラフィカル管理インターフェイスがあります。
-
Quick Deploy を使用すると、カタログをすばやく作成して、デスクトップとアプリケーションのユーザーへの配信を開始できます。(そのため、「クイック展開」という名前になっています。)これは、Citrix DaaS for Azureを起動するときのデフォルトのインターフェイスです。このインターフェイスには、[ 管理] > [Azure Quick Deploy] を選択してアクセスすることもできます。この製品ドキュメントセットの手順では、クイック展開を使用していることを前提としています。
カタログまたはイメージの作成時にCitrix Managed Azureサブスクリプションを使用する場合は、クイックデプロイを使用する必要があります。
-
Full Configuration には、展開を調整および管理するための高度な機能と設定オプションが用意されています。簡易展開で作成したカタログは、自動的に [完全構成] に表示されます。簡易展開から完全構成に移動するには、[ 管理] > [完全構成] を選択します。
簡易展開でカタログを作成すると、関連付けられたデリバリーグループとホスト接続が [完全構成] で自動的に作成されます。
フル構成では、Azureホストへの接続の作成、カタログとデリバリーグループの作成など、独自のカタログ作成プロセスも提供しています。このプロセスは、独自の Azure サブスクリプションを使用する場合にのみサポートされます。クイック展開でカタログを作成する方がはるかに簡単です。
完全構成は、Azure 以外のハイパーバイザーおよびクラウドサービスホストに関連するプロセスをサポートします。Citrix DaaS for Azureの顧客は使用できません。
クイック展開インターフェイスで作成されたカタログの管理
[クイック展開]インターフェイスでカタログを作成した後は、引き続きそのインターフェイスでそのカタログを管理できます。詳しくは、「カタログの管理」を参照してください。[完全な構成]インターフェイスを使用することもできます。
[クイック展開]でカタログを作成すると、そのカタログ(およびバックグラウンドで自動的に作成されるデリバリーグループとホスト接続)にCitrix managed object
のスコープが割り当てられます。スコープは、オブジェクトをグループ化するために、委任管理で使用されます。
Citrix managed object
スコープを使用するカタログ、デリバリーグループ、接続は、[完全な構成]インターフェイスでの特定の操作では禁止されています。([完全な構成]でこれらの操作を許可すると、[クイック展開]と[完全な構成]の両方をサポートするシステムの機能に悪影響を与えることがあるため、これらの操作は無効です。)[完全な構成]インターフェイスでは:
- カタログ: ほとんどのカタログ管理操作は使用できません。カタログは削除できません。
- デリバリーグループ: ほとんどのデリバリーグループ管理操作を使用できます。デリバリーグループは削除できません。
-
接続: ほとんどの接続管理操作は使用できません。接続は削除できません。
Citrix managed object
スコープの接続に基づく接続を作成することはできません。
独自のAzureサブスクリプション([クイック展開]に追加したもの)を使用して[クイック展開]でカタログを作成し、カタログ(とそのデリバリーグループおよび接続)をすべて[完全な構成]で管理する場合は、カタログを変換できます。
- カタログを変換すると、その管理は[完全な構成]インターフェイスのみに制限されます。カタログが変換されると、[クイック展開]インターフェイスを使用してそのカタログを管理することはできなくなります。
- カタログが変換された後、以前は[完全な構成]で使用できなかった操作を選択できるようになります。(
Citrix managed object
スコープは、変換されたカタログ、デリバリーグループ、ホスト接続から削除されます。) -
カタログを変換するには:
Citrix DaaS for Azure の [管理] > [Azure クイック展開 ] ダッシュボードで、カタログのエントリ内の任意の場所をクリックします。[詳細]タブの[詳細設定]で、[カタログを変換] を選択します。確認のメッセージが表示されたら、変換を確定します。
- Citrix Managed Azureサブスクリプションを使用して、[クイック展開]で作成されたカタログを変換することはできません。
変換されたカタログを完全構成で管理する方法については、以下を参照してください。
- マシンカタログの管理 (フル構成はカタログをマシンカタログとして参照します)
- デリバリーグループの管理
追加情報
技術的な詳しくは、以下を参照してください:
- Citrix Tech Zone リファレンスアーキテクチャ
- Citrix Tech Zone 技術概要
デプロイの自動化について詳しくは、「 管理対象デスクトップのパブリック API プレビュー」を参照してください。
準備ができたら、 始めましょう。