Windows 365のネットワークを計画する前に、ユーザーがクラウド PC へのセキュリティで保護され、信頼性が高く、高パフォーマンスでアクセスできるようにする接続の原則を理解することが不可欠です。 この記事は、この重要なトラフィックを安全に最適化するための最新のガイダンスを理解するのに役立ちます。
従来のエンタープライズ ネットワークは、主に、会社が運営するデータセンターでホストされているアプリケーションとデータへのアクセスを提供するように設計されています。 これらのネットワークは、信頼されていない外部から保護するためにファイアウォール、侵入検出システム、トラフィック検査ツールを含む境界セキュリティに依存します。 この従来のモデルでは、ユーザーが企業のサイトから直接、または仮想プライベート ネットワーク (VPN) 接続を介してリモートで、企業ネットワーク内からアプリケーションとデータにアクセスすることを前提としています。 このアーキテクチャは、一元的な制御と保護のために最適化されていますが、クラウドベースのサービスにアクセスするときに待機時間と複雑さが生じる可能性があります。
Windows 365は、クラウド PC に完全に SaaS ベースのエクスペリエンスを提供できるため、組織は世界中のユーザーにセキュリティで保護され、信頼性が高く、高パフォーマンスのデスクトップ環境を提供できます。 このグローバルにシームレスな接続を可能にするために提供されるインフラストラクチャへの接続には、エンド ユーザーに可能な限り最高のパフォーマンスと品質を確保するための特別な最適化が必要です。
Windows 365 アーキテクチャ
Windows 365は、地理的に分散されたサービスとしてのソフトウェア (SaaS) サービスです。 クラウド PC は、ユーザーと組織のニーズを満たすために 、複数のグローバル リージョン にデプロイできます。
ユーザーとクラウド PC の間の接続は、提供されるガイダンスに従って設計する必要があります。 このアプローチは、ターゲットの場所に基づく設計ではなく、ユーザーとクラウド PC の両方に最も近い Microsoft のグローバル ネットワークとサービス エッジ インフラストラクチャを使用してパフォーマンスを最適化するのに役立ちます。
Microsoft は、データセンターとインターネット エッジ間の高可用性、高帯域幅、低遅延の接続を提供する 、最大のグローバル ネットワークの 1 つを運用しています。 185 個のグローバル ネットワーク ポイント (POP) が存在し、成長しているこのインフラストラクチャにより、接続がユーザーに近づいています。
Windows 365では、転送制御プロトコル (TCP) ベースのリモート デスクトップ プロトコル (RDP) 接続のゲートウェイ サービスや、ユーザー データグラム プロトコル (UDP) 接続用の TURN リレーなど、グローバルに分散されたサービス エントリ ポイントが使用されます。 これらのエントリ ポイントは、最適な接続を確保するために、場所を問わずユーザーの近くに配置されます。
クラウド PC は、Microsoft のバックボーン ネットワークに直接アクセスして、ユーザーが接続すると、これらのサービス フロント ドアにアクセスできます。 正しくルーティングされた場合、Microsoft でホストされているエンドポイントへのトラフィックは、クラウド PC からインターネットにアクセスすることはありません。
3 つの要素すべてを正しく使用すると、ユーザーが配置されている場所に関係なく、ユーザーとそのクラウド PC 間の高速で信頼性の高い接続を確保できます。
理解する接続要素
Windows 365接続要件は、次の 3 つのカテゴリにグループ化できます。
a. RDP 接続
RDP トラフィックは、エンド ユーザーとクラウド PC の間のコア接続を形成します。 物理デバイスとクラウド PC の両方で同じ送信エンドポイントを使用します。 このトラフィックの最適化は、信頼性と高パフォーマンスの接続を確保するために不可欠です
b. Cloud Side サービス接続
このトラフィックは、クラウド PC のプロビジョニングとサービスの運用に不可欠です。 ほとんどのエンドポイントは Microsoft のバックボーンでホストされているため、トラフィックを直接ルーティングすることで、パフォーマンスと信頼性が向上します。 また、トラフィックがパブリック インターネットを通過しないため、最高レベルのセキュリティも提供されます。
c. 物理クライアント接続
ここで説明する RDP 接続とは別に、他のすべての物理クライアント側エンドポイント要件を通常の Web トラフィックとして扱い、organizationの標準プラクティスに従って管理できます。
Windows 365接続の原則
Microsoft では、最適な接続とパフォーマンスを実現するために、次の原則をお勧めします。 Windows 365のネットワーク設計の主な目標は、ネットワーク間のラウンド トリップ時間 (RTT) を Microsoft Global Network に短縮することで待機時間を最小限に抑えることで実現することです。 このネットワーク バックボーンは、Microsoft のすべてのデータセンターを相互接続し、ユーザーに近いデータセンターの場所とネットワーク エッジの間の待機時間を短くします。 クラウド PC から接続するときのパフォーマンスと信頼性を最大限に高めるには、次の最適化を適用します。
1. クラウド PC を可能な限りユーザーの近くにデプロイする
クラウド PC をエンド ユーザーの場所にできるだけ近づけて、待機時間を最小限に抑えるのに役立ちます。 Microsoft では、世界中の多くのAzureリージョンで展開オプションを提供しています。 ユーザーに最も近いリージョンを選択すると、ユーザーとクラウド PC の間の待機時間が短縮され、最適なパフォーマンスが実現されます。
場合によっては、コンプライアンス要件やアプリケーション データ待機時間の制約のために、ローカルのクラウド PC のデプロイができない場合があります。 ローカルデプロイが不可能な場合、ネットワーク レベルの最適化は、長距離にわたってパフォーマンスを維持するためにより重要になります。
クラウド PC の展開場所に関係なく、これらのネットワーク原則に従って、パフォーマンスと信頼性を最大限に高めます。
2. Windows 365トラフィックを識別して区別する
ネットワーク トラフィックWindows 365識別することは、必要に応じて、そのトラフィックを汎用インターネットにバインドされたネットワーク トラフィックと区別するための最初の手順です。 Windows 365接続は、次のようなアプローチの組み合わせを実装することで最適化できます。
ネットワーク ルートの最適化
VPN/Secure Web Gateway (SWG) バイパス
ファイアウォール規則
ブラウザー プロキシ設定。
特定のエンドポイントのネットワーク検査デバイスのバイパス。
サービスに必要なエンドポイントの詳細は、次の 3 つのカテゴリのいずれかに要約できます
a. RDP – クラウド側と物理デバイス側の両方で同一の要件
b. Cloud Side サービス接続
c. 物理クライアント接続の要件
エリア (a) と (b) の下のトラフィックには特別な最適化が必要です。一方、(c) の下のトラフィックは必要ありません。 これらのカテゴリ内のエンドポイントの内訳は、提供されているリンク内にあります。 これらのエンドポイントの詳細については、 ネットワーク要件に関するドキュメントを参照してください。
3. エグレス ネットワーク接続をローカルに接続する
推奨されるエンドポイントの場合、トラフィックはローカルに送信され、直接送信されます。
クラウド PC 側では、VPN トンネル、Secure Web Gateway、プロキシ、またはオンプレミスのエグレスを回避して、トラフィックを VNet から Azure のネットワークに直接ルーティングする必要があります。
物理クライアント デバイスの場合は、キー サービス トラフィックを可能な限りユーザーの近くに終了させます (例: 最初に中央サイトに送信するのではなく、ローカルの SD-WAN エグレスまたはホーム インターネット サービス プロバイダー (ISP) を介して送信されます。
図 1: ローカル ブレークアウトを使用した RDP 最適化
この図は、次の例を示しています。
- チェンナイの RDP トラフィックのローカル エグレスにより、トラフィックがチェンナイ ピアリングの場所にある Microsoft のグローバル ネットワークに確実に入ります。
- ローカル サービス のフロント ドア (リモート デスクトップ ゲートウェイと TURN リレー) は、接続をユーザーに近づけることで待機時間を最小限に抑えます。
- サービス フロント ドアから米国中部のクラウド PC までの長距離バックホール要素は、Microsoft のネットワーク上で完全に実行され、最適化された高帯域幅、低遅延パスと冗長リンクが提供されます。
- この設計により、可能な限り短い待機時間、高パフォーマンス、切断のリスクが軽減され、優れたユーザー エクスペリエンスが実現され、パスの大部分でパブリック インターネットが回避されます。
- 正しく構成されている場合、クラウド PC からサービス フロント ドアへの RDP トラフィックは、Microsoft のネットワーク上に完全に存在し、パブリック インターネットを経由することはありません。
ユーザーの近くでローカル インターネット ブレークアウトを使用して、トラフィックが Microsoft のグローバル ネットワークにすばやく入るようにします。 このアプローチにより、近くの Microsoft エントリ ポイントは接続を最適化し、ホスティング場所に関係なく、クラウド PC への信頼性の高いアクセスを確保するのに役立ちます。
このインフラストラクチャには、次のものが含まれます。
インターネット エッジで 185 ポイントを超えるプレゼンス
ユーザーを Microsoft Cloud に接続する 165,000 マイルを超える光ファイバーおよび海底ケーブル
40 Azure リージョンを超える TCP ベースの RDP 用 RDP ゲートウェイ
40 を超える Azure リージョンでの UDP ベースの RDP の TURN リレー
ローカル インターネット ブレークアウトは、ユーザーを自分の場所の近くのWindows 365インフラストラクチャに接続します。 そこから、クラウド PC へのすべてのトラフィックは、Microsoft の安全で高速で低遅延の グローバル ネットワークを経由します。
4. バイパス プロキシ、VPN、セキュア Web ゲートウェイ、トラフィック検査デバイスを評価します。
企業のお客様は、Windows 365 トラフィックのセキュリティ制御を確認し、キー サービス トラフィックの直接パスを許可する必要があります。 これにより、パフォーマンスと信頼性を損なう可能性のある、コストのかかる侵入型セキュリティ ツールへの依存が減ります。 ほとんどのエンタープライズ ネットワークでは、プロキシ、トランスポート層セキュリティ (TLS) 検査、パケット検査、データ損失防止システムなどのテクノロジを使用して、インターネット トラフィックのネットワーク セキュリティが適用されます。 これらのテクノロジは、一般的なインターネット要求に対して重要なリスク軽減策を提供しますが、特定のWindows 365 エンドポイントに適用すると、パフォーマンス、スケーラビリティ、エンド ユーザー エクスペリエンスの品質を大幅に低下させることができます。 強調表示されているすべてのWindows 365 エンドポイントには、次のネットワーク最適化が推奨されます。
RDP トラフィックの場合:
クラウド PC 側 と 物理デバイス側の両方で、TLS 復号化、インターセプト、ディープ パケット検査、ネットワーク パケット & コンテンツ フィルタリングからのトラフィックをバイパスします。 このトラフィックの検査はサポートされておらず、メリットはありません。
Azure内では、ユーザー定義ルート (UDR) を使用して RDP トラフィックをインターネットに直接送信し、ファイアウォールなどの検査デバイスを回避します。 たとえば、ファイアウォール パスを回避して NAT ゲートウェイに直接送信します。 詳細な例については、Windows 365 Azure Firewallドキュメントを参照してください。
クラウド PC と物理デバイスの両方に構成されている VPN、Secure Web Gateway (SWG)、プロキシ トンネルから RDP トラフィックを除外します。
Teams メディア トラフィックの場合と同じ方法で、トラフィックが物理クライアント側でインターネットに到達するための直接パスを指定します。
中央またはリモートのエグレスにバックホールするのではなく、物理クライアント RDP トラフィックにローカル インターネット ブレークアウトを提供して、Microsoft の近くのサービス インフラストラクチャとグローバル ネットワークを使用できるようにします。
Cloud Side Service 接続の要件:
既定のルートは、オンプレミスでバックホールするのではなく、Azureエグレス ポイント (たとえば、Azure Firewall) にトラフィックを送信することを確認します。
WINDOWS 365トラフィックを TLS 復号化、インターセプト、ディープ パケット検査、およびコンテンツ フィルタリングから除外して、パフォーマンスと信頼性の問題を回避します。 フィルター処理が必要な場合は、Azure Firewallを介して直接許可します。
WINDOWS 365 トラフィックの VPN、Secure Web Gateway (SWG)、プロキシ構成をバイパスします。
物理クライアント接続の場合
デバイスで構成されている VPN、Secure Web Gateway (SWG)、プロキシ トンネルから RDP トラフィックを除外します。
待機時間を最小限に抑え、信頼性を向上させるために、すべての RDP トラフィックに対して直接のローカル インターネット ブレークアウトを提供します。
RDP トラフィックのエグレス パスで TLS 検査を無効にして、セッションの中断を防ぎます。
organizationの通常の外部接続モデルに従って、他のすべてのエンドポイントを標準の Web トラフィックとして処理します。
Windows 365セキュリティに関する考慮事項
Windows 365接続の最適化を実装する場合は、次の点に注意してください。
ほとんどの必須エンドポイントはサービスのみです。 これらは、Windows 365 サービスを運用するために存在し、ユーザーが生成したデータを保持しません。
リモート デスクトップ プロトコル (RDP) トラフィックは例外です。クリップボードリダイレクトなどのデータはこのトラフィック内で実行されますが、そのパスは物理デバイスとクラウド PC の間の接続に分離されます。
検査または最適化されていないルーティングは、パフォーマンスを損なう可能性があります。 ディープ パケット検査、TLS インターセプト、バックホールなどの手法では、多くの場合、待機時間が発生し、信頼性が低下します。
TLS 検査では、これらのエンドポイントにメリットはありません。 エンドポイントは既に TLS を使用してセキュリティで保護された通信を行っており、データはサービス関連です。
RDP トラフィックは二重に暗号化されます。 従来のインライン検査ツールでは暗号化を解除できません。
大量のトラフィックでは、セキュリティ アプライアンスが過負荷になります。 このシナリオが発生すると、同じインフラストラクチャを共有する他の重要なサービスが中断される可能性があります。
ほとんどのエンドポイントは、Microsoft のインフラストラクチャ内でホストされます。
Azureのバックボーンにローカル エグレスを直接送信することは、最も効率的で安全なパスです。 クラウド PC から、パブリック インターネットを通過することなく、トラフィックは Microsoft のグローバル ネットワークに残ります。
ほとんどのトラフィックは既に TLS 暗号化されているため、転送中の機密性が保護されます。
TCP ポート 80 上のトラフィックはプライベート データを伝送しません。 これは、Azureファブリック通信や証明書失効リスト (CRL) チェックなどの特定の機能に必要です。
例外は明確に文書化されています。 これらの条件を満たしていないトラフィックは、Windows 365 エンドポイントの要件で識別され、標準のインターネット パスに従うことができます。
デプロイを簡略化する
Windows 365には、ネットワーク接続用の 2 つのオプションがあります。 適切なものを選択すると、複雑さ、コスト、リスクを大幅に削減できます。
Azure ネットワーク接続 (ANC): ANC では、基になる接続を管理します。 多くの場合、これらの要件の実装には、ネットワーク、ファイアウォール規則、UDR、ExpressRoute、およびネットワーク セキュリティ グループ (NSG) の構成に加え、継続的なメンテナンスを構成するための数週間または数か月の作業が必要になります。 これは、多くの組織が移行している従来の企業ネットワーク拡張機能を反映しています。
Microsoft ホステッド ネットワーク: Microsoft Hosted Network オプションを使用すると、ネットワークオーバーヘッドを最小限に抑えた迅速な展開が可能になります。 Microsoft は、最適な接続を確保するために環境を設計、保守、セキュリティで保護します。 主なタスクは、キー トラフィックが VPN または SWG トンネルをバイパスするようにすることです。これは通常、構成が迅速です。 このモデルは、ゼロ トラストの原則に合わせて調整され、最新の SWG および Private Access ソリューションと連携します。
多くの組織では、リモート従業員にも同様のアプローチが既に使用されており、最新のエンドポイント管理とゼロ トラストによって管理されるノート PC が提供されています。 Microsoft Hosted Network は、クラウド PC にも同じ概念を適用し、送信接続のみを行うセキュリティで保護されたホーム デバイスのように処理します。 この設計により、プロジェクトのタイムラインが短縮され、柔軟性が向上し、継続的な管理が簡素化されます。
この設計の選択の詳細については、Windows 365展開オプションに関するドキュメントを参照してください。