Windows Admin Center を使用してハイブリッド Azure ワークロードを管理する

このリファレンス アーキテクチャは、オンプレミスおよび Microsoft Azure でホストされているワークロードを管理するためのハイブリッド Windows Admin Center ソリューションを設計する方法を示しています。 このアーキテクチャには、次の 2 つのシナリオがあります。

• Azure の仮想マシン (VM) に展開された Windows Admin Center。
• オンプレミスのサーバー (物理または仮想) に展開された Windows Admin Center。

アーキテクチャ

最初の図は、Azure の VM に展開された Windows Admin Center を示しています。

2 番目の図は、オンプレミスに展開された Windows Admin Center を示しています。

"この記事内のすべてのアーキテクチャ図の Visio ファイルをダウンロードします。"

ワークフロー

このアーキテクチャは、以下で構成されています。

• オンプレミスの企業ネットワーク。 組織内で運用されているプライベート ローカル エリア ネットワーク。
• オンプレミスの企業ファイアウォール。 Windows Admin Center ゲートウェイがオンプレミスに展開されている場合に、ユーザーにゲートウェイへのアクセスを許可するように構成された組織のファイアウォール。
• Windows VM。 ユーザーが接続できる Web サービスをホストする Windows Admin Center ゲートウェイと共にインストールされた Windows VM。
• Microsoft Entra アプリ。 ゲートウェイに対する Microsoft Entra 認証を含め、Windows Admin Center での Azure 統合のあらゆるポイントに使用されるアプリ。
• 管理ノード。 Windows Admin Center によって管理されるノード。Azure Stack または Windows Server を実行している物理サーバー、または Windows Server を実行している仮想マシンが含まれる場合があります。
• VPN または ExpressRoute。 Windows Admin Center が Azure に展開されている場合に、オンプレミスのノードを管理するためのサイト間 (S2S) VPN または ExpressRoute。
• Azure ネットワーク アダプター。 Windows Admin Center がオンプレミスに展開されている場合の、Azure へのポイント対サイト (P2S) VPN のアダプター。 Windows Admin Center では、アダプターを自動的に展開し、Azure ゲートウェイを作成することもできます。
• ドメイン ネーム システム (DNS) 。 Windows Admin Center ゲートウェイに接続するためにユーザーが参照する DNS レコード。

コンポーネント

• Windows Admin Center: ブラウザーベースの管理ツール セットであり、サーバー インフラストラクチャのあらゆる側面を完全に管理できます。特に、インターネットに接続されていないプライベート ネットワークでのサーバーの管理に便利です。 これは、Windows Server またはドメインに参加している Windows 10 にインストールされている Windows Admin Center ゲートウェイを介してサーバーにアクセスします。 このゲートウェイは、オンプレミス、または Windows を実行する Azure VM にインストールできます。
• Azure ExpressRoute: オンプレミスやコロケーション環境にあるインフラストラクチャと Azure のデータセンターとの間でプライベート接続を作成します。
• Azure Virtual Network: セキュリティで保護されたネットワーク インフラストラクチャをクラウドに提供します。
• Azure Virtual Machines: Linux と Windows の仮想マシンを提供します。 このソリューションでは、これを使用して、Windows Admin Center を実行する Windows VM を提供できます。

シナリオの詳細

考えられるユース ケース

このアーキテクチャの一般的な用途は次のとおりです。

• オンプレミスおよび Microsoft Azure で実行される個々の Windows Server インスタンス、ハイパーコンバージド インフラストラクチャ、または Hyper-V VM を管理する必要がある組織。
• 他のクラウド プロバイダーによってホストされている Windows Server インスタンスを管理する必要がある組織。

Recommendations

ほとんどのシナリオには、次の推奨事項が適用されます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

インストールの種類

Windows 10 PC、Windows サーバー、または Azure VM へのインストールなど、Windows Admin Center を展開するときには複数のオプションがあります。 選択する展開の種類は、ビジネス要件によって異なります。

オンプレミスのインストールの種類は次のとおりです。

• オプション 1: ローカル クライアント。 Windows Admin Center を Windows 10 クライアントに展開します。 これは、迅速な展開、テスト、および即席または小規模のシナリオに最適です。
• オプション 2: ゲートウェイ サーバー。 Windows Server 2016、Windows Server 2019、またはそれ以降を実行している指定されたゲートウェイ サーバーにインストールし、そのゲートウェイ サーバーに接続している任意のクライアント ブラウザーからアクセスします。
• オプション 3:マネージド サーバー。 Windows Server 2016、Windows Server 2019、またはそれ以降を実行しているマネージド サーバーに直接インストールして、サーバーが自身、またはマネージド サーバーがメンバー ノードであるクラスターを管理できるようにします。 これは、分散型ブランチ オフィスのシナリオに適しています。
• オプション 4: フェールオーバー クラスター。 ゲートウェイ サービスの高可用性を実現するために、フェールオーバー クラスターに展開します。 これは、運用環境で管理サービスの回復性を確保する場合に適しています。

Windows Admin Center にはクラウド サービスの依存関係がないため、オンプレミスのコンピューターを管理するために、Windows Admin Center をオンプレミスのシステムに展開し、ハイブリッド サービスを徐々に有効にすることを選択する組織もあります。 ただし、多くの組織は、Azure や Windows Admin Center と統合されている他のクラウド プラットフォームのサービスを利用することを選んでいます。

Windows Admin Center を Azure VM に展開すると、Windows Server 2016 および Windows Server 2019 と同様のゲートウェイ機能が提供されます。 ただし、Azure では Azure VM の追加機能も有効になります。 Windows Admin Center を Azure VM にデプロイする利点の詳細については、「信頼性」をご覧ください。

自動化されたデプロイ

Microsoft は、Windows Admin Center をオンプレミスの VM に展開する際に使用する .msi ファイルを提供しています。 .msi ファイルにより、Windows Admin Center がインストールされ、自己署名証明書が自動的に生成されるか、ユーザーの設定に基づいて既存の証明書が関連付けられます。

Windows Admin Center を Azure VM に実装する場合、Microsoft は、必要なすべてのリソースを自動的に展開する Deploy-Windows Admin CenterAzVM.ps1 スクリプトを提供しています。 このシナリオでは、スクリプトによって、Windows Admin Center がインストールされた新しい Azure VM がデプロイされ、パブリック IP アドレスでポート 443 が開かれます。 このスクリプトでは、Windows Admin Center を既存の Azure VM に展開することもできます。 スクリプトを実行するときに、変数を使用して、リソース グループ、仮想ネットワーク名、VM 名、場所、その他の多くのオプションを指定できます。

トポロジに関する推奨事項

Windows Admin Center は、オンプレミスまたは Azure でホストされている既存の VM または新しい VM に実装できますが、Windows Admin Center ゲートウェイを Windows Server 2019 Azure VM に展開することをお勧めします。 前述の自動展開オプションを使用すると、環境を保護しながら、Windows Admin Center を Azure VM により迅速に実装できます。 Windows Admin Center をオンプレミスの VM に展開する代わりに、オンプレミスのファイアウォールとネットワークに必要な構成変更を最小限に抑えることができます。

オンプレミスに展開したときは、Windows Admin Center を使用して Azure へのハイブリッド接続を構築できます。 "Azure ネットワーク アダプター" と呼ばれるハイブリッド接続は、Windows Admin Center がハイブリッド クラウド機能にアクセスできるようにする Azure への P2S VPN です。 このプロセスでは、VPN 接続用の Azure ゲートウェイも自動的に作成されます。 詳細については、「ポイント対サイト VPN について」をご覧ください。

また、高可用性を実現するために Windows Admin Center ゲートウェイを構成する必要があります。 これにより、予期しない障害が発生しても、システムとサービスの管理を確実に維持できるようになります。 Windows Admin Center ゲートウェイがオンプレミスと Azure VM のどちらに展開されているかに関係なく、Azure ではこれらのシナリオに対応する複数のサービスを提供しています。 詳細については、「可用性に関する考慮事項」をご覧ください。

証明書に関する推奨事項

Windows Admin Center ゲートウェイは、Secure Sockets Layer (SSL) 証明書を使用して、ゲートウェイを使用している管理者の Web トラフィックを暗号化する Web ベースのツールです。 Windows Admin Center では、信頼できるサードパーティの証明機関 (CA) が自己署名証明書から作成した SSL 証明書を使用できます。 後者のオプションを選択した場合、ブラウザーから接続しようとすると警告が表示されます。 そのため、テスト環境では自己署名証明書のみを使用することをお勧めします。

管理上の推奨事項

ローカルの Windows 10 クライアントへの Windows Admin Center の展開は、クイックスタート テストや、アドホックまたは小規模のシナリオに適しています。 ただし、複数の管理者がいる運用シナリオでは、Windows Server をお勧めします。 Windows Admin Center は、Windows Server に展開すると、サーバー環境の一元化された管理ハブとして、スマート カード認証、条件付きアクセス、多要素認証などの追加機能を提供します。 Windows Admin Center へのアクセスの制御の詳細については、「Windows Admin Center でのユーザー アクセス オプション」をご覧ください。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

[信頼性]

信頼性により、顧客に確約したことをアプリケーションで確実に満たせるようにします。 詳細については、「信頼性の重要な要素の概要」を参照してください。

• Windows Admin Center ゲートウェイ サービスの高可用性を確保するには、フェールオーバー クラスターのアクティブ/パッシブ モデルに展開します。 このシナリオでは、Windows Admin Center ゲートウェイ サービスの 1 つのインスタンスだけがアクティブです。 クラスターのいずれかのノードに障害が発生した場合、Windows Admin Center ゲートウェイ サービスは別のノードにシームレスにフェールオーバーします。

  注意事項

  ゲートウェイ機能は Windows 10 展開に含まれていないため、Windows Admin Center を Windows 10 クライアント コンピューターに展開すると高可用性は提供されません。 Windows Admin Center ゲートウェイを Windows Server 2016 または Windows Server 2019 に展開してください。

• ノードの障害が発生した場合に Windows Admin Center のデータの高可用性を確保できるようにするには、Windows Admin Center が、クラスターのすべてのノードがアクセスする永続データを格納するクラスター共有ボリューム (CSV) を構成します。 自動展開スクリプトを使用して、Windows Admin Center ゲートウェイのフェールオーバー クラスターを展開できます。 Install-WindowsAdminCenterHA.ps1 スクリプトでは、フェールオーバー クラスターを自動的に展開し、クラスター サービスの IP アドレスの構成、Windows Admin Center ゲートウェイのインストール、ゲートウェイ サービスのポート番号の構成、適切な証明書を使用した Web サービスの構成を行います。

  ヒント

  自動展開スクリプトの使用方法の詳細については、「Windows Admin Center の高可用性展開」をご覧ください。

• Windows Admin Center ゲートウェイを Azure VM に展開すると、追加の高可用性オプションが提供されます。 たとえば、可用性セットを使用して、複数のハードウェア ノードに VM を分散させることで、Azure データセンター内で VM の冗長性と可用性を提供できます。 データセンターのフォールト トレランスを提供する、Azure の可用性ゾーンを使用することもできます。 可用性ゾーンは、Azure リージョン内の複数のデータセンターにまたがる一意の物理的な場所です。 これにより、Azure VM の独立した電源、冷却手段、ネットワークを確保できます。 高可用性の詳細については、「Azure の仮想マシンの可用性オプション」および「IaaS アプリの高可用性とディザスター リカバリー」をご覧ください。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

• Windows Admin Center を展開すると、サーバー環境の一元化された管理インターフェイスが組織に提供されます。 Windows Admin Center へのアクセスを制御することにより、管理環境のセキュリティを向上できます。
• Windows Admin Center には、管理プラットフォームのセキュリティ保護に役立つ複数の機能が用意されています。 まず、Windows Admin Center のゲートウェイ認証では、ローカル グループ、Active Directory Domain Services (AD DS)、クラウドベースの Microsoft Entra ID を使用できます。 スマート カードベースのセキュリティ グループに追加の必須グループを指定して、スマート カード認証を適用することもできます。 また、ゲートウェイに Microsoft Entra 認証を要求することで、条件付きアクセスや Microsoft Entra 多要素認証などの他の Microsoft Entra セキュリティ機能を使用できます。
• Windows Admin Center ゲートウェイへのアクセスは、ゲートウェイによって可視化されたターゲット サーバーへのアクセスを意味するわけではありません。 ターゲット サーバーを管理するには、ユーザーは、管理するサーバーに対する管理者特権を付与する資格情報を使用して接続する必要があります。 ただし、自分の責任を果たすために管理アクセスを必要としないユーザーもいます。 このシナリオでは、Windows Admin Center でロールベースのアクセス制御 (RBAC) を使用して、これらのユーザーに完全な管理アクセスを許可するのではなく、サーバーへの制限付きアクセスを提供できます。

  注意

  環境にローカル管理者パスワード ソリューション (LAPS) を展開した場合は、Windows Admin Center から LAPS の資格情報を使用してターゲット サーバーで認証します。

• Windows Admin Center で RBAC を機能させるには、Windows PowerShell の Just Enough Administration エンドポイントで各マネージド サーバーを構成します。 このエンドポイントでは、各ロールが管理できるシステムの部分やロールに割り当てるユーザーなど、ロールを定義します。 ユーザーがエンドポイントに接続すると、RBAC によって、システムを管理するための一時的なローカル管理者アカウントが作成されます。ユーザーが Windows Admin Center を使用したサーバーの管理を停止すると、アカウントは自動的に削除されます。 詳細については、「Just Enough Administration」をご覧ください。
• Windows Admin Center では、環境で実行された管理アクションも可視化されます。 Windows Admin Center は、マネージド サーバーのイベント ログの Microsoft-ServerManagementExperience イベント チャネルにアクションを記録することによってイベントを記録します。 これにより、管理者が実行したアクションを監査できるようになります。また、Windows Admin Center の問題のトラブルシューティングや使用状況メトリックの確認にも役立ちます。 監査の詳細については、「Windows Admin Center のイベント ログを使用した管理アクティビティの把握とゲートウェイの使用状況の追跡」をご覧ください。

コスト最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

• オンプレミス展開の場合、Windows Admin Center には、Windows オペレーティング システム以外のコストはかかりませんが、Windows Server または Windows 10 の有効なライセンスが必要です。
• Azure 展開の場合、Azure VM への Windows Admin Center の展開に関連するコストを計画します。 これらのコストには、VM、ストレージ、静的またはパブリック IP アドレス (有効な場合)、オンプレミス環境との統合に必要なネットワーク コンポーネントが含まれることがあります。 さらに、Microsoft 以外の CA 証明書の購入コストを計画することが必要な場合もあります。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。

管理の容易性

• Windows Admin Center 管理ツール セットへのアクセスは、インストールの種類によって異なります。 たとえば、ローカル クライアントのシナリオでは、 [スタート] メニューから Windows Admin Center を開き、https://localhost:6516 にアクセスしてクライアント Web ブラウザーから接続します。 Windows Admin Center ゲートウェイを Windows Server に展開する他のシナリオでは、https://servername.contoso.com のようなサーバー名の URL、またはクラスター名の URL にアクセスして、クライアント Web ブラウザーから Windows Admin Center ゲートウェイに接続できます。
• Windows Server に展開されている場合、Windows Admin Center ではサーバー環境を一元的に管理することができます。 Windows Admin Center には、次のような多くの一般的なシナリオやツールの管理ツールが用意されています。
  • 証明書の管理
  • イベント ビューアー
  • エクスプローラー
  • ネットワークの設定
  • リモート デスクトップ接続
  • Windows PowerShell
  • ファイアウォール管理
  • レジストリ編集
  • ロールと機能の有効化および無効化
  • インストールされているアプリとデバイスの管理
  • スケジュールされたタスクの管理
  • ローカル ユーザーとグループの構成
  • Windows サービスの管理
  • ストレージの管理
  • Windows Update の管理

サーバー管理機能の全一覧については、「Windows Admin Center を使用したサーバーの管理」をご覧ください。

• Windows Admin Center では、フェールオーバー クラスターとクラスター リソースの管理、Hyper-V VM と仮想スイッチの管理、Windows Server 記憶域レプリカの管理がサポートされています。 Windows Admin Center を使用して既存のハイパーコンバージド インフラストラクチャを管理および監視するだけでなく、Windows Admin Center を使用して新しいハイパーコンバージド インフラストラクチャを展開することもできます。 Windows Admin Center では、マルチステージ ワークフローを使用して、機能のインストール、ネットワークの構成、クラスターの作成、記憶域スペース ダイレクトとソフトウェアによるネットワーク制御の展開の各手順を示します。 詳細については、「Windows Admin Center を使用したハイパーコンバージド インフラストラクチャの管理」をご覧ください。

  注意

  Windows Admin Center を使用して、Microsoft Hyper-V Server 2016 または Microsoft Hyper-V Server 2019 (無料の Microsoft 仮想化製品) を管理できます。

• Windows Admin Center の Azure ハイブリッド サービス ツールは、統合されたすべての Azure サービスの一元管理された場所を提供します。 Azure ハイブリッド サービスを使用すると、クラウドベースのバックアップとディザスター リカバリーによって Azure とオンプレミスの VM を保護できます。 また、Azure のストレージとコンピューティングを使用してオンプレミスの容量を拡張することができ、Azure へのネットワーク接続を簡素化することもできます。 クラウドインテリジェントな Azure 管理サービスを利用して、アプリケーション、ネットワーク、インフラストラクチャ全体の監視、ガバナンス、構成、セキュリティを一元化できます。

DevOps

• Windows Admin Center は、Microsoft と他の開発者が現在のオファリング以外のツールやソリューションを構築できるように、拡張性を考慮して構築されています。 Windows Admin Center は拡張可能なプラットフォームであり、各接続の種類とツールは、個別にインストール、アンインストール、更新できる拡張機能です。 Microsoft は、開発者が Windows Admin Center 用の独自のツールを構築できるようにするソフトウェア開発キット (SDK) を提供しています。
• HTML5、CSS、Angular、TypeScript、jQuery などの最新の Web テクノロジを使用して Windows Admin Center の拡張機能を構築し、Windows PowerShell または Windows Management Instrumentation を使用してターゲット サーバーを管理できます。 Windows Admin Center ゲートウェイ プラグインを作成することで、Representational State Transfer (REST) などのさまざまなプロトコルを介して、ターゲット サーバー、サービス、デバイスを管理することもできます。

  ヒント

  SDK を使用して Windows Admin Center の拡張機能を開発する方法の詳細については、「Windows Admin Center の拡張機能」をご覧ください。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Mike Martin | シニア クラウド ソリューション アーキテクト

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次の手順

Azure Automation の詳細:

• Windows Admin Center のインストール
• プレビュー: Azure portal で Windows Admin Center を使用して Windows Server VM を管理する
• 複数のサーバーを管理するために Azure に Windows Admin Center を手動でデプロイする
• Windows Admin Center からハイブリッド マシンを Azure に接続する

関連リソース

• Azure ネットワーク アダプターを使用したスタンドアロン サーバーの接続
• ディザスター リカバリーのために Azure Stack HCI ストレッチ クラスターを使用する
• Azure Arc 対応サーバーの構成を管理する
• リモート オフィスまたはブランチ オフィス用に Azure Stack HCI のスイッチレス相互接続と軽量クォーラムを使用する