強化 Nerdio Manager

Avatar
Nerdio Product Support

強化 Nerdio Manager

ネットワークトラフィックを制限することにより、Nerdio Manager は以下の領域で強化できます:

  • ストレージアカウント:これらは、AVD と Nerdio Manager によってさまざまな種類のデータを格納するために使用されます。特に、ストレージアカウントはエンドユーザーの FSLogix プロファイル、ブート診断、カスタム Scripted Actions、および MSIX App Attach パッケージを格納するために使用されます。

  • SQL:Nerdio Manager は、Azure App Service と Azure SQL Database の 2 つの Azure PaaS サービス間の通信に依存しています。既定では、この通信はトランスポート層セキュリティで暗号化されており、保管されているデータも透過的データ暗号化により暗号化されています。

  • App Service:Nerdio Manager アプリケーションへのエントリポイントは App Service です。既定では、Nerdio Manager App Service は Entra ID 認証(MFA および条件付きアクセスを含む)で保護されており、インターネット上の任意の場所からアクセス可能です。

  • Key Vaults:Key Vaults を使用すると、シークレットをセキュリティ保護された状態で格納および利用できます。これには、API キー、パスワード、および証明書が含まれます。SQL 接続性は、SQL 接続文字列の格納場所であるため、Key Vault にも依存しています。

注意: このトピックでは、スクリプトを使用して Nerdio Manager を強化する方法について説明します。Nerdio Manager コンポーネントを手動で強化することもできます。詳細については、以下のトピックを参照してください。

Azure runbook スクリプトを使用して、プライベートエンドポイントとサービスエンドポイントを追加し、Nerdio Manager App Service が SQL データベースおよび Azure Key Vault とプライベートネットワーク経由で通信できるようにし、パブリックインターネットを経由しないようにします。SQL データベースおよび Azure Key Vault へのアクセスはプライベートネットワークに制限されています。

注意: プライベートエンドポイントを有効にする際、Scripted Actions を格納するストレージアカウントがプライベートになると、Azure runbook の Scripted Actions が動作しなくなります。この問題を解決するには、Scripted Actions を利用するハイブリッドワーカーオプションを使用します。ハイブリッドワーカーVMは、ストレージアカウントにアクセスできるVNet上にある必要があります。プライベートエンドポイントスクリプトを使用する場合、ハイブリッドワーカーVMは、ピアリングされたVNetまたはプライベートエンドポイントスクリプトが作成するプライベートエンドポイントVNet上にある必要があります。

要件

  • アプリをホストしているサーバーの「パフォーマンスレベル」である App Service プランは、仮想ネットワーク統合をサポートしている必要があります。サポートされているプランの詳細については、このMicrosoftの記事をご覧ください。

  • アプリサービスとストレージアカウントに接続するために使用できる仮想ネットワーク(VNet)。この仮想ネットワークは、Nerdio ManagerがHTTPS(TCP/443)を介してNerdioライセンスサーバーと通信するために、アウトバウンドアクセスが必要です。

警告: クリアテキストで指定された変数は、Azure Automationログに表示されます。機密データを渡すには、グローバル Secure Variables を使用してください。詳細については、「Scripted Actions グローバル Secure Variables」を参照してください。

Nerdio Managerを強化するには:

  1. [スクリプトアクション] > [Azure Runbook] に移動します。

  2. スクリプトプライベートエンドポイントを有効にするを見つけてください。

  3. アクションメニューから、今すぐ実行またはスケジュールのいずれかを選択します。

  4. 以下のオプション値を入力してください:

    • PeerVnetId: オプションで、既存のネットワークのリソースIDを入力します。

      注意: これは、プライベートエンドポイントVNetにピアリングするVNetのリソースIDです。既存のネットワークのリソースIDを提供すると、そのネットワークが新しいプライベートネットワークにピアリングされます。Nerdioは、ストレージアカウントへのアクセスが制限されている場合(1)またはApp Serviceがプライベートとして構成されている場合(2)を除き、強化されたシナリオにおいて他の本番環境ネットワークへのピアリングを推奨しません。

    • StorageAccountResource: オプションで、プライベートエンドポイントサブネットに含めるストレージアカウントを入力します。

      注意: このストレージアカウントへのアクセスは、Nerdio ManagerおよびピアリングされたVNetに制限されています。このパラメーターは、単一のストレージアカウントのみを受け入れ、Azure Filesの場所である必要があります。

    • アプリサービスをプライベートにする: true に設定して、Nerdio Managerアプリへのアクセスを制限します。

      「true」に設定されている場合、このスクリプトによって作成された VNet またはピア接続された VNet 上のホストのみが App Service の URL にアクセスできます。

  5. 必要な情報をすべて入力したら、[今すぐ実行] (スケジュールなし) または [保存して閉じる] (スケジュールあり) を選択します。

 

 

Nerdio Manager は Veracode により検証済みです。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

サインインしてコメントを残してください。