【セミナーレポート】「Microsoft 365(Teams・EMS・AVD)」活用お客様限定セミナー
「Microsoft 365」をより便利に活用いただくために、株式会社ユニックシステムズ 代表取締役社長 中村邦久氏を講師にお迎えし、コミュニケーション(Microsoft Teams)・セキュリティ(Microsoft EMS)・仮想デスクトップ(Microsoft AVD)のテーマで3回に分けてお客様限定セミナーを開催しました。お蔭様で3回とも多数のお申し込みをいただき、急遽定員を増枠しての開催となりました。ご参加いただきまして誠に有難うございました。本記事はセミナーレポートです。本セミナーの動画配信はいたしませんので詳しい情報をお知りになりたい方は問い合わせフォームよりお気軽にお問い合わせください。
目次
2023年2月22日(水)開催:解決!「Microsoft Teams」を使いやすくする方法
~運用方法でこんなに変わるコミュニケーション~
【講演1】解決!「Microsoft Teams」を使いやすくする方法
個別にコミュニケーションツールを用意する必要がなくなる
「Microsoft Teams」で必要に応じて「チャネル」や「チーム」を作成すれば、「Microsoft Teams」内でオンライン会議はもちろんのこと、メッセージのやり取りやリアクション(絵文字・GIF・ステッカー・称賛)も簡単にできますので、チーム・作業・プロジェクトごとにコミュニケーションツールを用意する必要はありません。
株式会社ユニックシステムズ 代表取締役社長 中村邦久氏
また、「SharePoint」や「OneNote」などの「Microsoft 365」アプリケーションを「チーム」に追加することで資料や議事録の共有もできます。スケジュールの入力・通知をOutlookと連携して実施できますので、社内/社外の方との会議・打ち合わせのスケジュール漏れ防止にもつながります。
協力会社など、外部の関係者をチームに招待することで、これまでメールや電話で情報共有していた社外の関係者にも要件の伝達や資料共有ができます。
その他間もなくリリース予定の機能
- チームメンバーでなくても特定のユーザーや外部ユーザーがアクセスできるようにできる「チャネルプライバシー機能」
- 仮想背景を全社で統一する機能
- 録画した動画に企業ロゴ透かしを挿れる機能 ※「Teams Premium(有料)」
チームメンバーを動的管理にも対応
固定されたメンバーでチームを結成(静的管理)するのではなく、特定の条件に合ったユーザーをチームにすること(動的管理)も可能です。メンバーシップの種類を「動的ユーザー」にして、「動的メンバーシップ ルール」を作成すると、条件に合ったユーザーでチームを構成できます。
利用を軌道に乗せるには
システム管理者は、自社内でどのような利用をされているのか分からないため過剰に機能制限をかけてしまうことが往々にしてあります。あまりに多くの制限をかけてしまうと、結果的に誰も利用しないツールになってしまう可能性があります。そこで、どのくらいのユーザーがどのように利用しているのか?チームやチャネルはどのくらいあるのか?について、アプリの使用状況レポート、ユーザーのアクティビティレポートで確認できます。
「Microsoft Teams」ユーザーのアクティビティレポート
また、システム管理者が会議機能や絵文字利用、外部共有に制限をかけたり、禁止したりすることも可能ですが、あまりに過剰な制限をかけてしまうと結局誰も使わないツールになってしまいます。そもそも色々な人とコラボレーションして成果を出す、というのが「Microsoft Teams」を利用することの本分ですので、社内外の方のコミュニケーションを活発にして効果測定を実施し、もし何か問題が発生したらその都度制限を検討する、という運用を推奨します。
ポイントをまとめると
- 過剰な機能制限をしない
- 全社チームを活用する
- リアクションを推進する
- 人事総務(入退社・人事異動案内)、経理(精算・入金アナウンス)、情報システム(メンテナンス・Q&A)で活用して、ユーザーが自然に情報を探して活用する流れをつくる
です。
【講演2】「Microsoft Teams 利活用教育サービス」について
ディーアイエスサービス&ソリューションでサブスクリプションを契約いただいているお客様向けに有償の「Microsoft Teams 利活用教育サービス」をご提供しています(オンライン形式)。
メニューは
- 運用管理偏
- 徹底活用偏
の2種類があります。ひとつずつご説明いたします。
ディーアイエスサービス&ソリューション株式会社
ソリューション本部 東京営業部 営業3課 係長 柴田英昭
1.運用管理偏
使用する機能の管理、チーム作成ポリシーの管理、使われなくなったチームの管理、レポート・監査ログの確認など「Microsoft Teams」の運用管理についてレクチャーします。
Microsoft Teams 運用管理偏 教育メニュー例
| 項目 | 内容 |
|---|---|
| 使用する機能の管理・制御 | ・使用しない機能の無効化 |
| チームの管理・制御 | ・チームの仕組みを理解する ・チームへのメンバー自動追加 (Microsoft 365 動的グループの活用) ・ユーザーの作成制限 ・外部ユーザーの参加 |
| チームの作成制御 | ・ユーザーやグループごとに作成できること/できないことを制御 |
| ポリシーの設定・運用 | ・チームの有効期限設定 ・グループの有効期限設定 ・チームのアーカイブ |
| 利用状況の把握 | ・レポート ・監査ログ |
| PowerShell を用いた管理 | ・コマンドライン(CLI)を活用した一括設定変更 |
2.徹底活用偏
使用する機能の管理、チーム作成ポリシーの管理、使われなくなったチームの管理、レポート・監査ログの確認など「Microsoft Teams」の運用管理についてレクチャーします。
Microsoft Teams 徹底活用偏 教育メニュー例
| 項目 | 内容 |
|---|---|
| Teams の概要 | ・Teams でできること、各アプリの説明 |
| チームとチャネルの使い分け | ・チームの作成方法 ・シークレットチーム |
| チーム内でのコミュニケーション方法 | ・メンション、タグ付け ・リアクション、返信 |
| チームの便利機能 | ・タグの活用(関係情報の集約) ・ファイル共有 |
| その他アプリの活用術 | ・OneNote、Planner、Forms の活用方法、事例 |
| Office アプリケーション活用術 | ・Microsoft 365 Office アプリならではの便利機能 (Excel、Word、PowerPoint) |
| スマホでの活用術 | ・スマホを使った Microsoft 365 の活用 |
より詳細な内容は、お客様の「Microsoft Teams」の活用状況や習熟度によって変わって参りますので都度個別相談とさせていただきます。
「Microsoft Teams + PBX連携」
Microsoft Teams + PBX(電話交換機)を連携させることで社内にかかってきた外線電話を在宅勤務中の社員の「Microsoft Teams」に転送することが可能です。導入事例を公開していますので興味のある方はご覧ください。
「Microsoft Teams」と「Power Platform」の連携
ローコードのアプリケーション開発、ワークフロー、データの可視化、チャットボットといった機能は「Microsoft Teams」単体では実現することが難しいので、「Power Platform」と連携させることにより実現できます。
「DX教育サービス」について
お客様のDX推進を支援するために、「知る」・「理解」・「発想・試行」・「実践のサポート」のサイクルを意識した「DX教育サービス」でプログラムになっています。
ビジネスを変革する組織・人材をつくる「DX教育サービス」
ITシステム部門の方だけでなく、事業部門や経営者の方も含めて全社で取り組んでいただけるような内容です。詳細は「DX教育サービス」のページをご覧ください。
「Microsoft 365」を活用したDX推進については、ディーアイエスサービス&ソリューションにお気軽にお問い合わせください。
2023年3月8日(水)開催:40分でわかる「Microsoft 365」のセキュリティ機能
~「Microsoft EMS」を導入するメリットとデメリット~
【講演1】40分でわかる、「Microsoft 365」のセキュリティ機能
情報セキュリティの3要素
ITの分野における「セキュリティ」とは、「情報資産を守ること(=情報セキュリティ)」です。ISO27001で定義されていますように「情報セキュリティの3要素」である、
株式会社ユニックシステムズ 代表取締役社長 中村邦久氏
- 機密性:アクセス権の管理・情報漏洩の防止
- 完全性:改ざん防止・正しいユーザーによる更新
- 可用性:必要な時にアクセス可能・少ないダウンタイム
が担保されていなければなりません。もし、機密情報漏洩、個人情報流出、マルウェア感染、ホームページの改ざん、システム停止などによって情報セキュリティ上でインシデントが発生すると、自社内だけでなく、取引先や顧客などステークホルダーに多大な被害をもたらします。
しかし、残念ながら完璧なセキュリティ対策は存在しません。なぜなら、サイバー攻撃は常に進化しており、脆弱性を突く手法が必ず出現するからです。そこで、継続的に情報セキュリティの見直しや改善を行う必要があります。インシデントが発生しても素早く対応・復旧・回復する体制や仕組みが必要なのです。
継続的な情報セキュリティの見直しや改善を行うサイクル
体制確認・強化
- 対応プロセス明確化
- 役割分担
- 関連法規則確認
⇨
情報資産の洗い出し
- リスク分析
- 課題整理
⇧
継続的な対策
被害を受けないために
迷惑をかけないために
⇩
実績確認、効果測定
- ・運用チェック
- ・ポリシー確認
⇦
継続的な対策
・脆弱性対策
・社内教育の実施
情報はどこにある?
従来、基本的に守るべき情報は全て社内にありましたが、クラウドサービスの普及で社外にあることが多くなりました。サイバー攻撃をする側も社内を狙うのではなく、社外にあるクラウドを狙う機会が増えています。つまり、ユーザーも攻撃側も自身の端末から同じクラウドサービスにアクセスをしているのです。したがって、従来のように「領域」を守るだけでなく、「端末(デバイス)」にある情報の保護と認証強化をしなければならないということになります。それを実現するのが、「Microsoft 365」のセキュリティサービスです。
守るべき情報を守る方法
※仮想デスクトップ環境「Microsoft AVD(Azure Virtual Desktop)」を使えば、デバイスに情報を存在させないことも可能です。詳しくはセミナー第3回をご覧ください。
マイクロソフトのセキュリティソリューション
| カテゴリー | ソリューション名 |
|---|---|
| ID(アイデンティティ)とアクセス | ・Azure Active Directory (Microsoft Entra の一部) ・Microsoft Entra ID ガバナンス ・Microsoft Entra 権限管理 ・Azure Key Vault |
| Endpoint Management | ・Microsoft Intune |
| SIEM と XDR | ・Microsoft Sentinel ・Microsoft Defender for Cloud ・Microsoft 365 Defender ・Microsoft Defender for Endpoint ・Microsoft Defender for Office 365 ・Microsoft Defender for Identity ・Microsoft Defender for Cloud Apps |
| クラウドセキュリティ | ・Microsoft Defender for Cloud ・Microsoft Defender for DevOps ・Azure Firewall ・Azure Web App Firewall ・Azure DDos Protection |
| エンドポイントセキュリティ | ・Microsoft 365 Defender ・Microsoft Defender for Endpoint ・Microsoft Defender for IoT ・Microsoft Defender for Business |
| リスク管理とプライバシー | ・Microsoft Purview インサイダー リスク管理 ・Microsoft Purview コミュニケーション コンプライアンス ・Microsoft Purview eDiscovery ・Microsoft Purview コンプライアンスマネージャー ・Microsoft Purview 監査 ・Microsoft Priva リスク管理 ・Microsoft Priva 主体の権利要求 |
| 情報保護 | ・Microsoft Purview 情報保護 ・Microsoft Purview データライフサイクル管理 ・データ損失防止 |
機密性・完全性・可用性を向上する方法
上述の「情報セキュリティの3要素」の機密性・完全性・可用性を向上するには、下記要件を満たして必要な機能を実装していく必要があります。
| 情報セキュリティの 3要素 | 向上に必要な要件 | 機能 |
|---|---|---|
| 機密性 | アクセス権の管理 情報漏洩の防止 | ID管理の徹底 ファイル暗号化 |
| 完全性 | 改ざん防止 正しいユーザーによる更新 | 条件付きアクセス 監査ログ ファイル暗号化 |
| 可用性 | 必要な時にアクセス可能 少ないダウンタイム | クラウドサービス利用 バックアップ・冗長化 |
さらに細かく要件・機能を分類・定義していきますと、下記のようになります。
| デバイス保護 | ID管理 | データ保護 | 管理・運用 |
|---|---|---|---|
| ・EDR ・ERP ・リモートワイプ ・紛失対策 ・GPSによる管理 ・スマホ対応 ・Windows対応 ・Mac対応 ・オンプレミス対応 ・クラウド対応 ・ソフトウェア配信 ・自動キッティング | ・多要素認証 ・SMS認証 ・AD連携 ・シングルサインオン ・ID連携 ・振る舞い検知 | ・ダウンロードリンク ・ファイル暗号化 ・ZIP暗号化 ・インベントリ取得 ・アーカイブ ・サンドボックス ・URLフィルタリング ・バックアップ (アーカイブ) | ・コスト ・SLA (サービス水準合意) ・統合監視 ・SOC (セキュリティ・オペレーション・センター) |
実装しなければならない機能が非常に多くなってしまいますので、私(講演者)がお客様先でよく伺う「実装したいサービスの機能・サービス例」を下記表にまとめました。「Microsoft EMS E3/E5」を利用すると、実装したいサービスの機能・サービスのほぼ全てを網羅できることがお分かりいただけるかと思います。※上位のものほど要望度高
社内展開したい情報セキュリティ強化のための機能やサービスの代表例
| 順位 | 社内展開の要望が高い機能 | Microsoft EMS E3/E5 による実現可否 |
|---|---|---|
| 1 | 多要素認証(端末制限) | デバイス登録(証明書) |
| 2 | アクセス制御(IPアドレス制限) | 〇 |
| 3 | デバイス管理を実施したい(MDM) | 〇 |
| 4 | マルチプラットフォーム | 〇 |
| 5 | マルウェア対策強化(EDRなど) | △ |
| 6 | 多要素認証(OTP/SMS/音声) | 〇 |
| 7 | ダウンロードリンクの自動送付 | △ |
| 8 | シングルサインオン(SSO) | 〇 |
| 9 | 自動構成キッティングの自動化 | 〇 |
| 10 | アプリごとの条件付きアクセス | 〇 |
| 11 | リモートアクセス(イントラ) | 〇 |
| 12 | ファイル暗号化 | 〇 |
| 13 | 多要素認証の簡素化(アプリ認証) | 〇 |
| 14 | ZIP暗号化(PPAP) | ✖ |
セキュリティ対策の代表例
社外ネットワークでの認証強化
組織所有のデバイスのみアクセス
安全なデバイスのみアクセス許可
ファイルの保護
ここから、さらに代表的な4つの機能について、機能・サービスを解説して参ります。
1.条件付きアクセス:Azure AD の機能
会社所有の端末であっても、マルウェアに感染していたり、正しい設定がされていなかったりする可能性があります。そこで、条件を満たした端末にだけアクセスを許可します。例えば、
- 国外からのアクセスはブロックする
- Windows や iOS のバージョンver.〇以上
などです。また、この条件付きアクセスは、マイクロソフト以外のSaaSアプリへのアクセス認証(シングルサインオン)にも使うことができますので多要素認証プロセスを削減する効果もあります。
2.ファイル保護:AIP(Azure Information Protection)
権限のある正規のユーザーだけが安全なデバイスだけで情報を参照できるよう、ファイルにラベルを付けて保護することで、仮にファイルが漏えいしても中身の情報を参照できないようにします。情報漏洩対策としてはもちろん、退職した社員が競合他社に機密情報を渡してしまう不正行為対策(不正競争防止法対策)としても有効です。また、このファイル保護の機能を Microsoft Teams のチームのテンプレートとして設定することも可能です。
3.可視化:Microsoft Defender for Cloud Apps
- ジャンルやスコアリング
- Microsoft 365 のアクティビティ
- 外部共有の状況
- 連携アプリのアクティビティ
- アラート通知
クラウドサービスのスコアリングの根拠は、設立年やセキュリティ規約の公開/非公開がされているかなど多岐に渡っており信用のできるものになっています。
4.セキュリティ強化(EPP&EDR):Microsoft Defender for Endpoint
端末のマルウェア対策として、
- EPP(Endpoint Protection Platform):マルウェアのブロック・駆除機能
- EDR(Endpoint Detection and Response):改ざんされたシステムを元通りに戻す補助
が一般的ですが、Microsoft Defender for Endpoint は、Windows OS組み込みのEPP&EDRなので、手軽なのに高耐性・メンテナンスフリー・高パフォーマンスで利用できます。また、他のWindows セキュリティ製品はもちろん、Azure AD や Microsoft Intune, Microsoft Defender for Cloud Apps といった様々な製品と連携が可能です。
Microsoft EMS(Enterprise Mobility + Security)について
Microsoft 365 のOffice機能の安全性を高める統合製品が「Microsoft EMS」です。
生産性を上げる「Office 365」
Office
メール
コラボレーション
コミュニケーション
安全性を高める「Microsoft EMS」
ユーザー管理
デバイス管理
アプリ管理
データ保護
Microsoft EMS(Enterprise Mobility + Security)の範囲
Microsoft E3 と E5でこれまでお話して参りました機能をカバーしています(Microsoft Defender for Endpoint はEMSに含まれていませんのでご注意ください)。
統合管理について
マイクロソフト製品間でデータを連携することにより、統合された保護と知識(ナレッジ)と機能を提供します。
- 統合されたダッシュボードでの管理
- リスクレベルに応じたアクセス制御(Azure AD +Intune)
- Microsoft Defender for Endpoint のセンサーを利用したクラウドアクセス監視・ブロック(Microsoft Intune, Microsoft Defender for Cloud Apps)
Identity
- Azure AD
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
Endpoint
- Microsoft Defender for Endpoint
- Intune
Email & Collaboration
- Microsoft Defender for Office 365
Applications
- Microsoft Defender for Cloud Apps
まとめ
「これだけは絶対に譲れない機能や条件」をまずは検討いただき、統合管理の利便性などを踏まえたうえで宜しければぜひマイクロソフトのセキュリティソリューションをご検討いただければと思います。
メリット
- 工数を削減
- ヒューマンエラーを低減
- 統合環境
- オールインワン
- 拡張性
- コスト最適化
デメリット
- ベンダーロックインされる
- 未実装の譲れない機能がある
- カスタマイズの幅が狭い
【講演2】弊社ご提供サービスのご紹介(導入支援サービス他)
Microsoft セキュリティ技術支援サービス
【講演1】でもありました通り、情報セキュリティ対策を行っていく上では、「継続的な情報セキュリティの見直しや改善を行うサイクル」の図のようなサイクルを回していくことが重要です。まずは「リスク分析・課題整理」、それから脆弱性を洗い出して対策をして、対策して終わりではなく、対策した後の実績確認・効果測定を継続していく必要があります。
ディーアイエスサービス&ソリューション株式会社
ソリューション本部 東京営業部 営業3課 係長 柴田英昭
Microsoft のセキュリティサービスも最初の設定は大事ですが、設定して終わりではなく、継続的な対応を行うことが大事です。その継続的な対応を行うための支援サービスが「Microsoft セキュリティ技術支援サービス」です。内容につきましては下記をご覧いただき、もし興味がありましたらご連絡ください。
Microsoft セキュリティ技術支援サービス
| 項目 | 内容 |
|---|---|
| 実施形式 | オンライン |
| 内容 | ・基本的概念、機能設定項目のご説明、汎用的なポリシー策定 ・設定方法のアドバイス ・オフサイトでの設定検証作業(PoC)、設定最適化 |
| 対象Microsoft サービス | Microsoft Mobility + Security(EMS)E3 ・Azure AD Premium P1 ・Microsoft Intune ・AIP(Azure Information Protection) |
| 実施事項(例) | 1.多要素認証 2.条件付きアクセス 3.IP制御(特定のグローバルIPからであれば通信を許可する、など) Azure AD Premium P1と Microsoft Intune による条件付きアクセスで制限 4.デバイスごとの認証設定 Windows / Android / iOSデバイスの設定 5.持ち歩きデバイスの管理(MDM・MAM) Microsoft Intune によるモバイル端末紛失時の遠隔データ消去 アプリケーションの利用管理 6.ファイルのセキュリティ管理 AIP(Azure Information Protection)でのファイル管理 |
| 費用 | 有償(別途お打ち合わせ) |
Microsoft 365向けバックアップ&リカバリー「HYCU R-Cloud SaaS for M365」のご紹介
「Microsoft 365」は優れたビジネスツールで可用性の高いサービスですが、データ管理はお客様の責任範囲です。
- データを誤って削除してしまった(一定期間の保持期間も超過)
- SharePointやOneDrive のデータがランサムウェアの被害に遭ってしまった
- 標準の保持期間では法的コンプライアンスの要件を満たせない
このような事態に備えて「HYCU R-Cloud SaaS for M365(旧HYCU Protégé for O365)」でデータのバックアップを取得されることを推奨します。「HYCU R-Cloud SaaS for M365」は、下記のような特徴を持つシンプルなバックアップ・アーカイブ・コンプライアンス機能を提供するクラウドサービスです。
- バックアップ基盤の設計が一切不要なクラウドサービス
- バックアップジョブの管理不要(全て自動)
- ストレージ費用も込みの定額費用。データが増えても追加費用ゼロで自動拡張
- 保存済みデータの改ざん防止、ファイルの世代管理も可能
- 高速かつ高度な詳細検索でデータの取り出しも簡単
- 見やすい日本語のユーザーインターフェース
業種/業界/規模/拠点を問わず、下記の費用だけでサービス利用によるメリットを享受できます。
標準価格:Microsoft 365 1アカウントにつき ¥7,920.- / 1年間 (税込)
※価格は2023年3月時点、変動する場合がございますのでお問い合わせください。
ディーアイエスサービス&ソリューションより「HYCU R-Cloud SaaS for M365」をご購入いただいたお客様には日本語サポートを無償でご提供いたしますので導入後の運用管理も安心です。また、14日間の無償トライアルもご用意していますのでご気軽にご依頼ください。詳細につきましては下記ページをご覧ください。
「Microsoft EMS」を活用したセキュリティ強化については、ディーアイエスサービス&ソリューションにお気軽にお問い合わせください。
2023年3月17日(金)開催:事例に学ぶ、仮想デスクトップ環境導入の勘所
~「Microsoft AVD(Azure Virtual Desktop)」導入事例~
【講演1】事例に学ぶ、仮想デスクトップ環境導入の勘所
「仮想デスクトップ環境」と言っても様々な定義があると思います。例えば、「Windows上で複数のデスクトップ環境を使える」、「手元のPC上で別のOSを起動する」といったものです。今回は「サーバー上に作成した仮想マシンに手元のPCから接続する環境」と定義いたします。
株式会社ユニックシステムズ
代表取締役社長 中村邦久氏
「仮想デスクトップ環境」が必要なケース
「仮想デスクトップ環境」が必要なケースも様々あると思いますが、下記2つのケースについて詳しく見ていきます。
ケース1.法律・規則によりセキュリティ強化が必要な場合
法律や規則、セキュリティルール上必要な金融、医療、政府・自治体など
物理マシンによる環境の分離
環境を完全に分離し、異なる端末から接続
- 1人で複数台の端末を使うためコストが増加
- 更新プログラムなどを適用する端末の台数も増加
VDIによる環境の分離
仮想マシンで環境を完全に分離し、1台の業務端末から接続
- ユーザーが使用する端末は1台のみ
- 業務システムとインターネット接続用の仮想マシンをそれぞれ用意することで環境を分離
- 情報漏洩リスクを大幅に削減
ケース2.生産性向上、企業間連携の課題解決
取引先や関連会社、提携先企業従業員からの外部アクセス
物理マシンによるリモートアクセス
VPN接続で社内システムにアクセス
- 1人で複数台の端末を使うためコストが増加
- 更新プログラムなどを適用する端末の台数も増加
VDIによるリモートアクセス
VDI仮想マシンにリモート接続
- ユーザーが使用する端末は1台のみ
- 業務システムとインターネット接続用の仮想マシンをそれぞれ用意することで環境を分離
- 情報漏洩リスクを大幅に削減
仮想環境の大分類
仮想環境は大きく分けて2種類あります。
ネットワークブート型
サーバーに保存したイメージファイルをダウンロードして端末で実行する方式。
- 端末側のリソースを使用してOSやアプリを実行
- 起動イメージの取得にネットワークトラフィックが大量に発生するため、高速なネットワークが必要
画面転送型
サーバー側でアプリを実行し、結果を画面転送してクライアント側で表示する方式。さらに下記2種類の方式があります。
- サーバーベース(SBC)方式
- VDI方式
今回は、右側の「画面転送型」について解説いたします。「画面転送型」の「サーバーベース(SBC)方式」、「VDI方式」についてご説明いたします。
サーバーベース(SBC)方式
サーバー上のアプリを共有して使用
- Windows Server を利用した疑似VDI
- マルチセッション(RDS:Remote Desktop Services)を提供
- アプリをサーバーに集約
- Win32アプリ(※)を実行
VDI方式
ユーザーごとに独立した仮想マシン環境が用意されるため、SBC方式のように特定のリソースにアクセスが集中することがありません
- Windows 10/11 を利用可能
- シングルセッション(自分専用)
- 仮想マシンでアプリを実行
※Win32アプリ
MicrosoftのOSが、その上で動作するアプリケーションソフトに対して標準で提供している機能セットの一つで、32ビットマイクロプロセッサ(CPU/MPU)向けに設計・実装されたもの。また、その呼び出し方法を定めた規約の体系(Win32 API)のこと。
しかし、どちらの方式も要件に合わない、というシステム担当者の方もいらっしゃるのではないでしょうか?例えば、下記のような懸念事項が考えられます。
- Windows Server ではアプリが実行できない
- 1人ひとりのライセンスが必要なら費用が高いのではないか?
- 今更オンプレミスで構築するのは手間
- 構築や運用が大変そう
- Windows がマルチセッションだったらいいのに
これらを解決するのがMicrosoft の「DaaS(Desktop as a Service)」です。
「DaaS(Desktop as a Service)」とは
「DaaS」は、クラウド上でリモートデスクトップ環境を提供するサービスです。
「VDI」と「DaaS」の違い
VDIは
物理サーバー上に仮想マシンを構築
DaaSは
クラウド上に仮想マシンを構築
「オンプレミス型VDI」と「DaaS」の責任範囲の違い
| 項目 | オンプレミス型VDI | DaaS |
|---|---|---|
| ID管理 | ユーザー | ユーザー |
| ユーザーデバイス | ユーザー | ユーザー |
| アプリのセキュリティ | ユーザー | ユーザー |
| セッション ホスト OS | ユーザー | ユーザー |
| デプロイの構成 | ユーザー | ユーザー |
| ネットワーク制御 | ユーザー | ユーザー |
| 仮想化コントロール プレーン | ユーザー | サービス提供側 |
| 物理ホスト | ユーザー | サービス提供側 |
| 物理ネットワーク | ユーザー | サービス提供側 |
| 物理データセンター | ユーザー | サービス提供側 |
Microsoft の仮想デスクトップ「AVD(Azure Virtual Desktop)」
「AVD」はAzure 内のサービスとして実装されたDaaSで、下記のような特長があります。
- Azure の知識や経験を活用できる
- 幅広いVDI要件をカバー
- Azure の課金体系(従量課金やリザーブドインスタンスなど)を選択可能
「VDI方式」と「AVD」の比較
「VDI方式」と「AVD」を比較すると下記のような違いがあります。
VDI方式
AVD(Azure Virtual Desktop)
AVD(Azure Virtual Desktop)の特長
- Microsoft Azure上で実行可能
- Windows 10/11 をマルチセッションで利用可能
- Microsoft 365 Apps のマルチユーザー運用
- Microsoft 365(Intune / Azure AD) と同一の認証基盤を利用可能
- セキュリティ向上に役立つ制御可能
- デスクトップとアプリの両方を仮想化
- Windows Server(RDS)からの移行もスムーズ
AVD(Azure Virtual Desktop)のサポートOS
- Windows 11 Enterprise マルチセッション / Enterprise
- Windows 10 Enterprise マルチセッション / Enterprise
- Windows Server 2022 / 2019 / 2016 / 2012 R2
今回は上記の下線の項目について詳しく説明をいたしました。興味のある方はお気軽にお問い合わせください。
仮想デスクトップ「Windows 365」について
もうひとつ、Microsoft の仮想デスクトップ「Windows 365」もご紹介いたします。「Windows 365」は、基本設定が完了していればライセンスの割り当てをするだけでSaaSアプリケーションのようにすぐに利用できます。
シンプルな管理
VDI / Azure の
知識不要
シングルセッション
個人専用の
仮想PC
コスト予測が可能
購入単位:
ライセンス
「Windows 365」の特長
- Microsoft Azure 上で実行
- 必要最低限の手間でDaaS環境を利用可能
- Microsoft 365(Intune / Azure AD) と同一の認証基盤を利用可能
- シングルセッション
- シンプルな料金体系
「Windows 365」のサポートOS
- Windows 11 Enterprise
- Windows 10 Enterprise
「AVD」と「Windows 365」の比較
それでは、「AVD」と「Windows 365」を比較してみましょう。
AVD(Azure Virtual Desktop)
最適化を柔軟に実現
- 1PCあたりの共有ユーザーを自由に設定
- 使用量に応じた料金
- いつでも増減可能、様々なスペック/オプションの仮想PCに対応
Windows 365
シンプルな最適化を実現
- 1人1台の専有PC
- 月額固定料金
- 複雑な設計が必要なく簡単な設定をするだけ、月額固定費用でコストも均一
Microsoft 仮想デスクトップの責任範囲の比較
| 項目 | オンプレミス型VDI | RDS(リモートデスクトップサービス) on Azure IaaS | AVD(Azure Virtual Desktop) | Windows 365 |
|---|---|---|---|---|
| 提供形態 | オンプレミス | IaaS | PaaS | SaaS |
| ID管理 | ユーザー | ユーザー | ユーザー | ユーザー |
| ユーザーデバイス | ユーザー | ユーザー | ユーザー | ユーザー |
| アプリのセキュリティ | ユーザー | ユーザー | ユーザー | マイクロソフト |
| セッション ホスト OS | ユーザー | ユーザー | ユーザー | マイクロソフト |
| デプロイの構成 | ユーザー | ユーザー | ユーザー | マイクロソフト |
| ネットワーク制御 | ユーザー | ユーザー | ユーザー | マイクロソフト |
| 仮想化コントロール プレーン | ユーザー | ユーザー | マイクロソフト | マイクロソフト |
| 物理ホスト | ユーザー | マイクロソフト | マイクロソフト | マイクロソフト |
| 物理ネットワーク | ユーザー | マイクロソフト | マイクロソフト | マイクロソフト |
| 物理データセンター | ユーザー | マイクロソフト | マイクロソフト | マイクロソフト |
「AVD」と「Windows 365」を検討するうえでの重要ポイント
| 項目 | AVD(Azure Virtual Desktop) | Windows 365 |
|---|---|---|
| コストの考え方 | 変動 夜間や連休など、未使用時に停止することでコスト制御が可能 | 固定 使用/不使用にかかわらず毎月定額 |
| アプリケーション | マルチセッションは制限あり 技術的制約やEULAにより制限している可能性もあるので、AVDでのマルチセッション対応を念のため確認推奨 | ほぼ問題なく動作 仮想環境で動作保証されているアプリケーションはほぼ動作可能 |
| 導入/運用管理 | 一定の技術が必要 Azure や AVD に関するある程度の知識が必要 | 技術が無くても運用可能 プランにもよるが、AVD ほどの技術レベルは不要 |
| 管理者権限付与 | 利用方法次第 非推奨(マルチセッションの場合) | 可能 シングルセッションのため付与可能 |
| 社内ネットワークへの接続 | 問題無し Azure の仮想ネットワークとオンプレミスネットワークをVPN接続することで、社内ネットワークを利用可能 | Businessプランでは要注意 Enterprise AVD ・AVDと同様に接続可能 Business ・社内ネットワークへの接続不可 |
仮想環境を1人で専有した場合の「AVD」と「Windows 365」の月額費用比較
| 項目 | AVD(Azure Virtual Destop) 2vCPU/8GB RAM/128GB Disk (D2s v5で試算) | Windows 365 Enterprise Standard 2vCPU/8GB RAM/128GB Disk |
|---|---|---|
| 月額 (料金形態:利用時間) | ¥13,654.- (従量課金:730時間) | ¥5,570.- (ライセンス:1年間) |
| ¥8,594.- (リザーブドインスタンス:1年間) |
||
| ¥5,999.- (リザーブドインスタンス:3年間) |
||
| ¥5,537 (従量課金:250時間) |
||
| ¥4,015 (従量課金:160時間) |
- 250時間⇒12.5時間/1日で20日間 または 8時間/1日で31日間
- 160時間⇒8時間/1日で20日間 または 7時間/1日で22日間
※1USD:136.39円(2023年3月時点)で計算
※コンピューティングおよびストレージのみの価格
※その他諸要件で価格は変動しますのであくまで参考価格としてお考えください。
【講演2】弊社教育サービスやPOCサービスのご紹介
【講演1】でご説明して参りました「AVD(Azure Virtual Desktop)」を活用することにより、下記のような業務環境の課題を解決できます。
ディーアイエスサービス&ソリューション株式会社
ソリューション本部 東京営業部 営業3課 係長 柴田英昭
「AVD(Azure Virtual Desktop)」で解決可能な7つの業務環境課題について
| 項 | 要望・課題 |
|---|---|
| ① | クライアントサーバー型のシステムを社内でもテレワークでも活用したい |
| ② | 社内システム・ネットワーク環境を設定済みのPCを持ち出しさせたくない |
| ③ | 海外拠点でも安全かつ迅速に国内拠点と同様の環境を使わせたい |
| ④ | セキュリティ上、業務端末の社内アクセス先を限定したい(VPN接続あり) |
| ⑤ | セキュリティ上、業務端末を分けた運用をしたい(VPN接続無し) |
| ⑥ | タブレットを有効活用したい |
| ⑦ | 大容量ファイルを扱うのでリモートワーク時にVPN接続では限界がある |
「AVD(Azure Virtual Desktop)検証環境ご提供サービス」について
クラウドVDIの使用感が分からない。もし導入しても遅くて効率が下がらないか心配。そのような不安も「AVD検証環境提供サービス」をご利用いただくことで、実際にAVDを構築した環境でPOC検証いただくことが可能になります。下記2つのコースをご用意しています。
共同検証コース
共同検証として構築済みAVD環境にてリモート接続を体験できます。必要に応じて、お客様ご自身でインスタンス変更、アプリをインストールしていただくことも可能です。
- 期間:2週間まで
- 価格:個別相談
- 条件:10ユーザーまで、実運用環境への引継ぎ不可
実環境POCコース
導入を前提として、実環境テナントにお客様の業務環境に合わせたPOC環境を構築し、実運用に耐えられるチューニングを実施いたします。
- 期間:応相談
- 価格:¥600,000.-~
- 条件:別途ライセンス料金・Azure 費用、実運用環境への引継ぎ可能
「Microsoft AVD」を活用した仮想デスクトップ環境構築については、
ディーアイエスサービス&ソリューションにお気軽にお問い合わせください。
「AVD(Azure Virtual Desktop)」導入事例
「AVD(Azure Virtual Desktop)」関連情報
