ビジネス継続性
ほとんどの組織では,ビジネス継続性計画を定義しています。ビジネス継続性プランの成功は、ユーザーエクスペリエンスにどれくらい影響するか、グローバルな問題を克服するための拡張性、および企業のセキュリティポリシーの維持がどの程度重要であるかに基づきます。
概要
ビジネス継続性により,組織は計画的または予期しない停止時でも,従業員のシームレスな生産性を実現できます。ビジネス継続性プランの成功は,多くの場合,次のユーザー要件とビジネス要件に基づきます。
ユーザー要件
- すべてのアプリとデータにアクセスしてジョブを実行できる機能
- ユーザーエクスペリエンスが変わらない
- さまざまなネットワーク条件での生産性の向上
ビジネス要件
- 予期せぬニーズに対応するために迅速に拡張可能
- 信頼できないエンドポイントデバイスから企業リソースを保護
- 現在のインフラストラクチャとの統合が容易
- セキュリティルールとポリシーをバイパスしてはならない
VPNリスク
ほとんどの組織では,VPNベースのソリューションの導入に頼ることなく,企業リソースへの安全なリモートアクセスをユーザーに提供する方法が必要です。VPNベースのソリューションは,次のような理由で危険です。
- VPNリスク1:インストールと設定が困難である
- VPNリスク2:エンドポイントデバイスにVPNソフトウェアをインストールすることをユーザーに要求する。エンドポイントデバイスでは,サポートされていないオペレーティングシステムを使用する可能性があります。
- VPNリスク3:信頼できないエンドポイントデバイスが企業のネットワーク,リソース,およびデータへの無制限アクセスを防ぐために,複雑なポリシーの設定を要求します。
- VPNリスク4:VPNインフラストラクチャとオンプレミスインフラストラクチャ間でセキュリティポリシーの同期を維持することが困難。
- VPNリスク5:VPNが確立されると,従来のクライアント/サーバーアプリケーションには,ネイティブプロトコルを使用して広範な帯域幅要件があり,VPNやネットワークパイプにすばやく過負荷をかけることができます。ネットワーク遅延が増加すると,アプリケーションの応答性が低下し,ユーザーエクスペリエンスが使用できなくなります。
ビジネス継続性オプション
組織は,現在のインフラストラクチャの状態に応じて,ビジネス継続性イベント中にユーザーに安全なリモートアクセスを提供するために,次のソリューションのいずれかを選択できます。
リモートPCアクセス
多くのユーザーにとって,作業環境は,机の下に座っている物理的なWindows PCを10中心としています。リモートPCアクセスにより,リモートユーザーは,ほぼすべてのデバイス(iOS, Mac Android, Linux、Windowsを使用するタブレット,電話,ラップトップ)を使用して物理WindowsオフィスPCにログインできます。
次のリモートPCアクセステクインサイトビデオでは,ソリューションの概要を説明します。
ビジネス継続性戦略にリモートPCアクセスを追加すると,次のことが前提となります。
- ユーザーのワークスペースは,ドメインに参加しているWindows电脑に基づいている
- Active Directoryでのユーザーの認証
- 大規模な仮想デスクトップ(VDI)スタイルの導入に対応するため,データセンターのハードウェア容量は最小限です。
ユーザーが自分の仕事用PCにリモートアクセスすると,接続にはICAプロトコルが使用されます。ICAプロトコルは,変化するネットワーク条件やコンテンツに動的に調整されます。ダイナミックICAプロトコルは,可能な限り最高のエクスペリエンスを提供します。
新規導入
組織ではCitrix虚拟应用程序和桌面を簡単に展開して,環境へのリモートPCアクセスを最小限の展開フットプリントで提供できます(以下を参照してください)。
新しい環境を追加するには,管理者が次のコンポーネントを展開する必要があります。
- ゲートウェイ:内部のWindows电脑と信頼できないエンドポイントデバイス間の接続をリバースプロキシ経由で保護します。
- 店面:承認されたリソースへのセッションを起動するために使用されるエンタープライズアプリストアをユーザーに提供します。
- 交付控制器:Windows电脑へのユーザーセッションを承認および監査します。
単一障害点を克服するために,冗長性を備えた3つのコンポーネントを導入することを推奨します。
新しいインフラストラクチャを導入すると,管理者は次の操作を実行してリモートPCアクセスを有効にできます。
- 虚拟投递代理を物理Windows电脑に配備します(自動展開スクリプト)
- 新しいリモートPCアクセスカタログを作成します
- ユーザーをPCに割り当てる
虚拟投递代理は各物理PCに手動でインストールできますが,虚拟投递代理の展開を簡素化するために,Active Directoryスクリプトや微软系统中心配置管理器などの電子ソフトウェア配布を使用することをお勧めします。
展開の拡大
組織は,現在のCitrix虚拟应用程序和桌面環境にリモートPCアクセスを簡単に追加することもできます。このプロセスは,次のように概念アーキテクチャを効果的に拡張します。
現在のCitrix虚拟应用程序和桌面環境にリモートPCアクセスを追加するには,管理者は以下の操作を行います。
- 虚拟投递代理を物理Windows电脑に展開します。
- 新しいリモートPCアクセスカタログを作成します
- ユーザーをPCに割り当てる
ユーザーは物理的な職場PCにアクセスするだけなので,アクセス層と制御層の追加ハードウェアを考慮するだけで済みます。これらのコンポーネントは,ビジネス継続性イベント中の新規ユーザーの要求の流入に対応できる必要があります。
ID
ユーザーは引き続きActive Directoryで認証されますが,この認証は,Citrix网关の組織のパブリック完全修飾ドメイン名への接続を開始したときに発生します。サイトは外部であるため,組織では,単純なActive Directoryユーザー名とパスワードよりも強力な認証が必要です。時間ベースのワンタイムパスワードトークンのように,多要素認証を組み込むことで,認証のセキュリティが大幅に向上します。
Citrix网关には,次のような多数の多要素認証オプションが組織に提供されています。
セッションセキュリティ
ユーザーは,信頼できない個人用デバイスを使用して,仕事用PCにリモートアクセスできます。組織ではCitrix虚拟应用程序和桌面の統合ポリシーを使用して,次のことを
- エンドポイントのリスク:エンドポイントデバイスに秘密裏にインストールされたキーロガーは,ユーザーのユーザー名とパスワードを簡単にキャプチャできます。キーロギング防止機能は,キーストロークを難読化することで,盗難された認証情報から組織を保護します。
- 受信リスク:信頼できないエンドポイントには,マルウェア,スパイウェア,およびその他の危険なコンテンツが含まれている可能性があります。エンドポイントデバイスのドライブへのアクセスを拒否すると,企業ネットワークへの危険なコンテンツの転送を防ぐことができます。
- アウトバウンドリスク:組織はコンテンツの管理を維持する必要があります。ユーザーがローカルの信頼できないエンドポイントデバイスにコンテンツをコピーできるようにすると,組織にはさらにリスクが伴います。これらの機能は,エンドポイントのドライブ,プリンタ,クリップボード,アンチスクリーンキャプチャポリシーへのアクセスをブロックすることで拒否できます。
結果
リモートPCアクセスにより,ビジネス継続性イベント中にユーザーは標準のWindows电脑に接続できるため,組織は次のことが可能になります。
- ユーザーがすべてのアプリとデータにアクセスしてジョブを実行できるようにします。ユーザーのWindows电脑上のすべてのものは,リモートPCアクセスでアクセスできます。
- 通常の運用とビジネス継続性イベントの間で,ユーザーエクスペリエンスを維持します。ユーザーは,すべての状況で同じWindows电脑を引き続き使用します。
- 場所やネットワークの状況に関係なく,生産性を維持します。ユーザーのエンドポイントデバイスをWindows电脑に接続するICAプロトコルは,ネットワーク条件に基づいて動的に調整され,可能な限り応答性の高いエクスペリエンスを提供します。
- 予期せぬニーズに対応するために迅速に拡張できます。エージェントがWindows电脑に展開されると,管理者はリモートPCアクセス機能を有効にするだけで済みます。
- 信頼できないエンドポイントデバイスから企業リソースを保護します。ゲートウェイは,エンドポイントと作業用PCの間にリバースプロキシを作成します。セッションポリシーを使用すると,管理者はユーザーが職場PCや企業ネットワークとの間でデータを転送することをブロックできます。
- 現在のインフラストラクチャと簡単に統合できます。リモートPCアクセスは,Citrix虚拟应用程序和桌面ソリューション内の異なる種類の仮想デスクトップです。
- ビジネス継続性イベント中,同じセキュリティ・プロファイルを維持します。リモートPCアクセスは,ユーザーをオフィスベースのWindows电脑に接続します。ユーザーは,物理的にオフィスにいるのと同じ方法で,同じリソースにアクセスできます。
Citrix虚拟桌面サービス
基盤となるCitrixインフラストラクチャを管理する必要がなく,ユーザーに物理マシンへのリモートアクセスを許可したい組織では,Citrix虚拟桌面サービスを利用できます。このサービスにより,管理者は,リモートPCアクセスを介したワークステーションへのリモートアクセス(オフィスに赴くユーザー)に迅速に許可することができます。
Citrix虚拟桌面サービスは,リモートワーカーまたは一時作業者(サードパーティまたはコンサルタント)に仮想デスクトップへのアクセスを提供できます。仮想マシンは,お客様のデータセンターまたは選択したクラウドのいずれかでホストできます。
どちらの機能でも,管理者はビジネス継続性のシナリオにおいて,ユーザーの生産性を確保できます。オフィス内のデスクトップやワークステーションに慣れているユーザーは,自宅からリモートPCアクセスを介してアクセスできます。一時作業者や新規スタッフも,仮想デスクトップにアクセスでき,どこからでも,どのデバイスからでも接続できます。
このサービスの追加メリットは,すべてのCitrix管理コンポーネントがクラウドホストされ,ベストプラクティスを使用して自動的に更新されることです。
ID
従来のオンプレミスモデルと同様のユーザーエクスペリエンスを維持するために,ユーザーのIDはActive Directoryを引き続き使用します。認証メカニズムは,リモートPCアクセスのシナリオで提供されるものと同じです。
データ・センターの接続性
クラウドでホストされるリソースの場合,ユーザーは仮想デスクトップからファイルとバックエンドリソースにアクセスする必要があります。クラウドリソースの場所とデータセンター間の接続を確立する必要があります。
Citrix SD-WANを使用して,組織はお客様が選択したクラウドとオンプレミスのデータセンターの間に安全なトンネルを作成します。SD-WANは,トンネルを通過するデータを理解し,トラフィックを適切に最適化して,アプリケーションの応答時間とユーザエクスペリエンスを向上させることができます。
新しいリモートPCアクセスの導入
以下の概念図に示すように,組織は最小限の展開スペースでCitrix虚拟桌面を簡単に展開できます。
この図は,お客様のオフィスまたはデータセンターで,Citrix虚拟桌面サービスがリモートPCアクセスのワークロードとともにどのように展開されるかを示しています。
新しい展開を追加するには,管理者は以下の手順を実行します。
- Citrixアカウントを作成し,Citrix虚拟桌面サービスにサブスクライブします。
- オンプレミス環境でCitrix云连接器を2つ以上セットアップし,サービスコンソールで新しいリソースの場所を追加します。
- ユーザーにリモートアクセスを提供するようにCitrix网关サービスを構成します。
サービス構成が完了すると,管理者は次の操作を実行してリモートPCアクセスを有効にできます。
- 虚拟投递代理(VDA)を物理Windows电脑(自動展開スクリプト)に展開します
- 新しいリモートPCアクセスカタログを作成します
- ユーザーをPCに割り当てる
展開後,ユーザーは環境に対して認証を行い,任意の場所やデバイスから利用可能な物理ワークステーションへのリモートPCアクセスを受け取ります。
クラウドへの拡張
以下の概念図に示すように,組織では,Citrix虚拟桌面の展開を簡単に拡張して,クラウドで実行されているリソースを含めることができます。
この図は,お客様の選択したクラウドで仮想デスクトップワークロードを使用してCitrix虚拟桌面サービスをどのように展開するかを示しています。
展開を展開するには,管理者は次のステップを実行します。
- クラウドリソースの場所でCitrix云连接器を(2つ以上)セットアップし,サービスに新しいリソースの場所を追加します。
- オンプレミスのデータセンターに接続できるようにSD-WANインスタンスをデプロイして設定します。
サービス構成が完了すると,管理者は次の操作を実行して,仮想マシンへのアクセスを有効にできます。
- 仮想マシンのクローン作成に使用するマスターイメージ(必要なアプリとVDAがインストールされている)を作成します。
- マスターイメージとカタログのデリバリーグループに基づいて,新しい仮想マシンカタログを作成します。
- ユーザーをデリバリーグループに割り当てます。
デプロイされると,ユーザーは環境に認証され,任意の場所やデバイスからクラウドホスト仮想デスクトップを受け取ります。
結果
- 既存のCitrixインフラストラクチャが存在しない環境に容易に導入できます。
- Citrixは,云连接器を含むCitrixコンポーネントをベストプラクティスとともに更新および管理します。管理者によって管理されるのは,デスクトップホスト/リモートPCアクセスマシンのみです。
- わずか数時間で環境を構築し,世界中のどこからでもユーザーにアクセスすることができます。
- お客様のデータセンターで実行されている仮想デスクトップまたはさまざまなクラウドソリューションを使用して,追加のユーザーを追加できます。
- ユーザーは(最寄りのCitrix网关流行から)最後の1マイル(最寄りのCitrix网关流行から)インターネット経由でセッションに接続すると,ICAプロトコルはネットワーク条件に基づいて調整され,可能な限り応答性の高いエクスペリエンスを提供します。
- Citrixセッションポリシーは,信頼されていないエンドポイントがリモートPCアクセスまたは仮想デスクトップとの間でデータを転送するのをブロックすることで,環境を保護します
针对Azure的Citrix虚拟应用和桌面标准
クラウドのみを使用してビジネス継続性環境をホストしたいお客様は,サービスとしてのデスクトップ(DaaS)サービスとしてのサービス(DaaS)のCitrix虚拟应用程序和桌面标准Azureを使用できます。この展開オプションは,管理者がセットアップする時間がない,またはオンプレミスのCitrix虚拟应用程序和桌面環境を管理したくない場合にも機能します。
Citrix虚拟应用程序和桌面标准Azure環境全体は,微软Azureでホストされています。このサービスは,ビジネス継続性イベントが発生したときに迅速に起動できます。毎月の従量課金請求(Azureの使用量を含む)を使用すると,不要になったときに環境をシャットダウンできます。
ID
従来のオンプレミスモデルと同様のユーザーエクスペリエンスを維持するために,ユーザーのIDはActive Directoryを引き続き使用します。ドメイン参加型のアクティブディレクトリベースのCitrix虚拟应用程序和桌面标准Azureの展開では,ユーザーは次のいずれかのオプションを使用できます。
- オプション1:ユーザーは,組織のAzure Active Directoryに認証されます。Azure Active Directoryは組織のオンプレミスのActive Directoryドメインから同期されます。
- オプション2:ユーザーは,Citrix SD-WANで作成されたAzureからデータセンターへのトンネルを使用して,オンプレミスのActive Directoryドメインに認証します。
ほとんどの場合,組織はAzure Active Directory连接ユーティリティを使用してオンプレミスの活动目录(Active Directory)とAzureを同期するか,Azure内のActive DirectoryドメインサービスとオンプレミスのActive Directory間の信頼を設定します。
データ・センターの接続性
効果的なためには,ユーザーはCVAD标准からファイルとバックエンド・リソースにアクセスする必要があります。これらの項目をAzureに移行しない限り,Azureとデータセンター間の接続を確立する必要があります。
Citrix SD-WANを使用して,組織はAzureとデータセンターの間に安全なトンネルを作成します。SD-WANは,トンネルを通過するデータを理解し,トラフィックを適切に最適化して,アプリケーションの応答時間とユーザエクスペリエンスを向上させることができます。
展開
以下の概念図に示されているように,組織は最小限の展開フットプリントでAzure用のCitrix虚拟应用程序和桌面标准を簡単にデプロイできます。
最初の図はCitrix虚拟应用程序和桌面标准AzureのワークロードをCitrix管理されたAzureにデプロイし,Active Directoryに認証してユーザー認証を行い,SD-WANを使用してオンプレミスに接続する方法を示しています。
![Azure ! [Citrix虚拟应用程序和桌面标准-SD-WAN (/ en - us / tech-zone /学习/媒体/ tech-briefs_business-continuity_cvadsfas-deployment-citrix-managed-desktops-ad-auth.png)を使用したCitrixマネージドAzureおよびActive Directory認証]](http://m.giftsix.com/docs/en-us/tech-zone/learn/media/tech-briefs_business-continuity_cvadsfas-deployment-citrix-managed-desktops-ad-auth.png){kind=link}
2番目の図は,シトリックス管理のAzureのワークロードとともにCitrix虚拟应用程序和桌面标准Azureをデプロイし,オンプレミスのActive Directoryと同期または信頼しているAzure Active DirectoryまたはActive Directoryドメインサービスインスタンスに対してユーザーを認証する方法を示しています。
3番目の図はCitrix虚拟应用程序和桌面标准Azureがお客様が管理するAzureのワークロードとともにデプロイされ,オンプレミスのActive Directoryと同期または信頼されているAzure Active DirectoryまたはActive Directoryドメインサービスインスタンスに対してユーザーを認証する方法を示しています。SD-WAN,サイトからサイトVPN,またはエクスプレスルート経由でオンプレミスの場所への接続。
新しい展開を追加するには,管理者は以下の手順を実行します。
- マシンをホストするAzureサブスクリプションと組織のAzure Active Directoryの間のVNetピアリングを設定します(マシンがCitrix管理のAzureにあり,認証が顧客のサブスクリプションのAADまたは添加経由の場合)
- 必要なアプリを含むマスターWindowsイメージを作成してアップロードします。
- マスターイメージに基づいてマシンカタログを展開する
- ユーザーをマシンカタログに割り当てる
デプロイされると,ユーザーは環境に認証され,クラウドホストで管理された仮想デスクトップを,任意の場所やデバイスから利用できます。
結果
- 既存のCitrixインフラストラクチャが存在しない環境に容易に導入できます。
- Citrixは,ベストプラクティスを使用してセットアップを更新および管理します。管理者によって管理されるのは,デスクトップホストだけです。
- わずか数時間で環境を構築し,世界中のどこからでもユーザーにアクセスすることができます。
- Azureのクラウド規模により,管理者は必要な数のマシンを短時間で起動できます。
- 月間サブスクリプションモデルでは,セカンダリ・ロケーションにあるマシンを必要な場合にのみ稼働させることで,コストを抑えます。
- セッションは,超高速のAzureバックボーンを介して接続されています
- ユーザーは(最寄りのCitrix网关流行から)最後の1マイル(最寄りのCitrix网关流行から)インターネット経由でセッションに接続すると,ICAプロトコルはネットワーク条件に基づいて調整され,可能な限り応答性の高いエクスペリエンスを提供します。
- Citrixセッションポリシーは,信頼されていないエンドポイントが管理対象デスクトップとの間でデータを転送するのをブロックすることで,環境を保護します。