設計上の決定:Azure 固有の考慮事項
Azure アカウントは一括請求に使用されますが、Azure リソースを直接含めることはできません。Azure アカウントには 1 つ以上のサブスクリプションが含まれています。サブスクリプションはセキュリティ境界として機能し、仮想マシンなどの実際の Azure リソースが含まれています。
サブスクリプションとは、1 つ以上の Microsoft クラウドプラットフォームまたはサービスを使用するための Microsoft との契約です。料金は、ユーザーごとのライセンス料またはクラウドベースのリソース消費に基づいて発生します。サブスクリプションは、必要に応じてコストまたは管理アクセスをさらに細分化するために使用できます。
管理グループは Azure 内で使用され、サブスクリプション全体のアクセス、ポリシー、ガバナンス、コンプライアンスを効率的に管理します。これらは、Azure でマルチサブスクリプションテナントを大規模に運用する上で非常に貴重です。各サブスクリプションは、その親管理グループの条件、ポリシー、およびアクセスを自動的に継承します。
Azure インフラストラクチャについて答える必要がある質問は次のとおりです
Azure テナントはいくつ必要ですか?
-
Citrix リソース、およびそれらのリソースにアクセスするユーザーとデバイスには、単一の Azure テナントを使用します。
-
複数の Azure Active Directory が必要な複数のテナントを使用します。別の認証ディレクトリを持つ開発/テスト環境や、複数のオンプレミスADディレクトリサービスを持つ企業などが挙げられます。
-
Azure アカウントの所有者は、アカウントのサブスクリプションがプロビジョニングされているのと同じテナントに関連付けられている必要があります。
-
Azure アカウント所有者は、自動的にそのアカウントのすべてのサブスクリプションのサブスクリプション所有者になります
どのMicrosoft ライセンスモデルを使用すべきですか?
-
Windows Server ソフトウェアアシュアランスが含まれる場合は、現在の EA ライセンスのハイブリッド使用特典 (HUB) を適用します。HUBは、クラウドのコンピューティングコストを大幅に削減します。このライセンスモデルでは、Azure の Windows Server または SQL Server インスタンスの基本仮想マシンの価格設定を使用できるため、時間当たりのコストを最大 40% 節約できます。
-
Microsoft Office スイートを使用する場合は、Windows 10 仮想デスクトップライセンス (E3/E5 サブスクリプションなど) を含むユーザーごとのライセンスを使用します。
- Microsoft 365 E3/E5: Azure Virtual DesktopsライセンスとMicrosoft オフィスライセンスが含まれます
- Microsoft 365 Business Premium:Azure Virtual Desktopsライセンスと Microsoft Office ライセンスが含まれます
- Windows 10 エンタープライズ E3/E5: Azure Virtual Desktopsライセンスが含まれています
Azure サブスクリプションはいくつ必要ですか?
-
同じ管理グループ内のすべてのサブスクリプションは、同じ Azure Active Directory テナントを信頼する必要があります
-
サブスクリプションは一度に 1 つのアカウントにのみ関連付けることができ、アカウント所有者が関連付けられている必要があります
-
サブスクリプションはネットワークを共有できませんが、VNET ピアリングと Azure ExpressRoute を介して通信できます
-
サブスクリプションは Azure ポリシー、管理、ガバナンス、および管理の境界となるため、個別の管理要件または請求要件があるビジネスユニットのサブスクリプションを計画します。
-
複数のサブスクリプションにより、認証情報が漏洩した場合の爆発的な半径と露出が減少します
-
開発サブスクリプションとテストサブスクリプションを本番サブスクリプションから分離して、パフォーマンス、セキュリティ、ガバナンス、コンプライアンスを強化することを計画する
-
本番環境やユーザー受け入れテスト、運用前テストなどの一部の環境は、単一のサブスクリプションで共有できます。
-
Citrix ワークロード専用のサブスクリプションにより、管理とポリシー管理が簡素化されます
-
Citrix では、サブスクリプションを2,500の仮想配信エージェント(VDA)に制限することをお勧めします
-
サブスクリプションをスケールユニットとして使用し、必要なリソースをサポートするために必要に応じてスケールアウトします
-
Microsoftはサブスクリプション内のリソースに制限を設定しており 、Citrix ワークロードをサポートするために必要なサブスクリプションの数を決定する際には、その制限を考慮する必要があります。
管理グループはいくつ必要ですか?
-
サブスクリプションは一度に 1 つの管理グループにのみ属することができます
-
管理グループは単一の親に関連付けられています
-
管理グループは最大 6 レベルの深さを持つことができ、Microsoft は管理グループ階層をできるだけ平坦に保つことを推奨しています
-
管理グループはポリシーに使用され、請求グループや基幹業務グループには使用されません。インスタンスタイプ、ファイアウォールルール、ロギング、ストレージ、暗号化、RBAC モデルなどのポリシー要件に基づいて管理グループを作成する
-
個々の管理グループに配置するのではなく、管理グループのルートで Azure ポリシー割り当ての数を制限する
-
Citrix では、Citrix ワークロードサブスクリプションの管理グループを作成することをお勧めします
-
管理グループは Azure Policies を集約するために使用されるため、同様のポリシー要件を持つサブスクリプションを同じ管理グループの下にまとめてグループ化します。
-
Azure ポリシーで参照できるリソースタグを使用する
Citrix Cloud がマシンカタログを接続してAzureクラウドに展開するには、サービスプリンシパルアカウントが必要です。そのアカウントには、各サブスクリプションでCitrix リソースを作成、削除、および維持するための正しい権限が必要です。サービスプリンシパルアカウントは、Azure AD テナント内のアプリケーション登録によって作成されます。サービスプリンシパルアカウントの作成は、Citrix が自動的に作成することも、Azure AD グローバル管理者が手動で作成することもできます。
サービスプリンシパルオブジェクトの作成は、Citrix ホスト接続ウィザードを実行するユーザーがサブスクリプションに対する共同作成者権限を持っている場合、Citrix によって自動的に実行されます。ホスト接続のセットアップ中、ウィザードはサブスクリプションに対する共同作成者権限を含むすべての必要な権限を要求し、今後の接続のためにその許可を保持します。
セキュリティに敏感な環境では、サービスプリンシパルがサブスクリプションレベルでコントリビューター権限を持つことはできません。Citrix は、ナロースコープサービスプリンシパルと呼ばれる代替ソリューションを提供しています。Azure AD グローバル管理者は、アプリケーション登録を手動で作成する必要があります。次に、サブスクリプション管理者がサービスプリンシパルアカウントに適切な権限を手動で付与します。範囲が狭いサービスプリンシパルには、 サブスクリプション全体に対するコントリビューター権限がありません。権限の範囲は、マシンカタログの作成と管理に必要なリソースグループ、ネットワーク、およびイメージのみです。
サービスプリンシパルアカウントに関して回答する必要がある質問は次のとおりです:
サブスクリプション範囲のサービスプリンシパルアカウントを使用すべきですか?
-
Azure AD グローバル管理者権限が必要
-
サブスクリプション全体のコントリビューターロールが自動的に作成され、Azure は初回接続時に権限の承認を求めます
-
情報セキュリティにより、サービスプリンシパルアカウントにサブスクリプション全体に対する共同作成者権限が付与され、Citrix 管理者がサブスクリプションへの共同作成者アクセス権を持っている場合に使用します
-
ホスト接続の作成時に認証に使用されるアカウントは、少なくともサブスクリプションの共同管理者であり、Azure Active Directory のメンバーである必要があります。
-
サブスクリプションがCitrix リソース専用である場合、または環境に多数のリソースグループが含まれる場合に推奨
-
シンプルな管理体験が必要な場合に使用する
-
PowerShell よりもCitrix Studioを使用して環境を管理する場合に使用します
-
概念実証の導入時に推奨
狭い範囲のサービスプリンシパルを使用すべきですか?
-
範囲が狭いサービスプリンシパルは、Azure AD グローバル管理者によって手動で作成されます。
-
マシンカタログの[マシンの追加]ウィザードを実行する前に、ターゲットリソースグループを事前に作成し、次の権限を付与する必要があります。
- 作成済みリソースグループ:仮想マシンの共同作成者、ストレージアカウント共同作成者、およびディスクスナップショット共同作成者
- 仮想ネットワーク:仮想マシンの貢献者
- ストレージアカウント:仮想マシンの貢献者
-
リソースグループの数が Azure コンソールまたは自動化によって管理可能な場合に推奨
-
権限が厳格に制御され、きめ細かなアクセス制御が普及している高セキュリティ環境に推奨
-
サブスクリプションをCitrix リソース専用にできず、他のサービスをホストしている場合に推奨
-
Azure 管理者が役割に応じて異なるサブスクリプション権限を持っている場合に推奨
-
大規模な環境では、ビルドスクリプトまたは ARM テンプレートを使用してリソースグループを事前に作成し、 必要な権限を付与することを検討してください。
サービスプリンシパルにカスタムロールを使用すべきですか?
-
複数のサブスクリプションを使用する場合は、 サービスプリンシパルの権限を設定するためにカスタムの役割を使用することをお勧めします
-
Microsoft では、Azure ポリシーを使用して管理グループレベルでロール権限を設定することを推奨しています
他のリソースへのリンク
Azure サブスクリプションとサービスの制限、クォータ、制約
Citrix Tips: Azure サブスクリプションのサイジング
Citrix Tips: Citrix on Azure-エンタープライズ規模のランディングゾーン-第 2 部
エンタープライズ契約の登録と Azure Active Directory テナント
Azure Active Directory のアプリケーションとサービスのプリンシパル
Citrix Virtual Apps and Desktops にAzureサブスクリプションへのアクセスを許可する方法