ケース スタディ 1 - Fabrikam, Inc
概要
Fabrikam, Inc は、ニューヨークに本社があり、シアトルに支社がある製造会社です。
既存の環境
オンプレミス サーバー
オンプレミス ネットワークには、次の表に示すように、Windows Server を実行するサーバーが含まれています。
DC1 は、すべての操作マスターの役割をホストします。
WEB1 と WEB2 は、Webapp1 という名前のインターネット インフォメーション サービス (IIS) Web アプリを実行します。
オンプレミス ネットワーク
ニューヨークとシアトルのオフィスは、冗長 WAN リンクを使用して接続されています。
各オフィスのクライアント コンピュータは、ローカルの DHCP サーバーから IP アドレスを取得します。
DHCP1 には、ニューヨーク オフィスのアドレスを持つ Scope1 という名前のスコープが含まれ、DHCP2 には、シアトル オフィスのアドレスを持つ Scope2 という名前のスコープが含まれます。
ID インフラストラクチャ
ネットワークには、corp.falbrikam.com という名前のオンプレミスの Active Directory Domain Services (AD DS) ドメインが 1 つ含まれています。現在、すべてのサービス アカウントは個別のドメイン ユーザー アカウントを使用しています。
すべてのドメイン コントローラーには DNS サーバーの役割がインストールされており、corp.fabrikam.com の Active Directory 統合 DNS ゾーンのコピーをホストしています。
corp.fabrikam.com AD DS ドメインは、Azure Active Directory (Azure AD) テナントと同期します。
グループ ポリシー オブジェクト (GPO)
corp.fabrikam.com ドメインには、次の表に示す組織単位 (OU) とカスタム グループ ポリシー オブジェクト (GPO) が含まれています。
要件
変更予定
Fabrikam は、次の計画された変更を識別します。
Vnet1 という名前の単一の Azure 仮想ネットワークを含む、Sub1 という名前の単一の Azure サブスクリプションを作成します。
Azure Virtual WAN と FxpressRoute を使用して、シアトルとニューヨークのオフィス間の WAN リンクを置き換えます。両方のオンプレミス オフィスは、ExpressRoute を使用して Vnet1 に接続されます。
newyorkhiles、seattlefiles、および companyfiles という名前の 3 つの Azure ファイル共有を作成します。
Vnet1 に dc3.corp.fabrikam.com という名前のドメイン コントローラーを作成します。
Azure Virtual Desktop ホスト プールを Vnet1 にデプロイします。Azure Virtual Desktop セッション ホストは、ハイブリッド Azure AD 参加済みになります。
Microsoft Defender for servers のすべてのサーバーのライセンスを取得します。
Azure Policy を使用して、Azure およびオンプレミスのサーバーに構成管理ポリシーを適用します。
ネットワーク要件
Fabrikam は、次のネットワーク要件を特定しています。
Virtual WAN を実装し、サイト間のすべてのネットワーク トラフィックが Virtual WAN を使用するようにします。すべての通信は ExpressRoute 経由で行う必要があります。
DHCP サーバーに障害が発生した場合は、クライアント コンピューターが引き続き動的 IP アドレスを受け取り、既存のリースを更新できることを確認してください。
Vnet1 のリソースが corp.fabrikam.com ドメイン内のオンプレミス サーバーの名前を解決できることを確認します。
セキュリティ要件
Fabrikam は、次のセキュリティ要件を特定しています。
GPO4 を Azure Virtual Desktop セッション ホストに適用します。Azure Virtual Desktop ユーザー セッションが 10 分間アイドル状態になった後にロックされることを確認します。ユーザーは、クライアント コンピュータから手動でロックアウト時間を制御できる必要があります。
Azure 仮想マシンへのリモート デスクトップ接続を確立する前に、サーバー管理者が承認を要求していることを確認してください。リクエストが承認された場合、接続は 2 時間以内に確立される必要があります。
ユーザーのパスワードに、Fab、f@br1kAm、fabr!| など、会社名に基づく単語の全部または一部が含まれないようにします。
Webapp1 のすべてのインスタンスが同じサービス アカウントを使用していることを確認します。サービス アカウントのパスワードは、30 日ごとに自動的に変更する必要があります。
ドメイン コントローラーがインターネット上のホストに直接アクセスできないようにします。
ファイル共有の要件
次の要件を満たすように Azure ファイルの同期を構成する必要があります。
seattlefiles が FS2 と同期していることを確認します。
newyorkfiles が FS1 と同期していることを確認します。
companyfiles が FS1 と FS2 の両方に同期していることを確認します。
質問
セキュリティ要件を満たすようにリモート管理を構成する必要があります。
何を使うべきですか?
概要
Fabrikam, Inc は、ニューヨークに本社があり、シアトルに支社がある製造会社です。
既存の環境
オンプレミス サーバー
オンプレミス ネットワークには、次の表に示すように、Windows Server を実行するサーバーが含まれています。
DC1 は、すべての操作マスターの役割をホストします。
WEB1 と WEB2 は、Webapp1 という名前のインターネット インフォメーション サービス (IIS) Web アプリを実行します。
オンプレミス ネットワーク
ニューヨークとシアトルのオフィスは、冗長 WAN リンクを使用して接続されています。
各オフィスのクライアント コンピュータは、ローカルの DHCP サーバーから IP アドレスを取得します。
DHCP1 には、ニューヨーク オフィスのアドレスを持つ Scope1 という名前のスコープが含まれ、DHCP2 には、シアトル オフィスのアドレスを持つ Scope2 という名前のスコープが含まれます。
ID インフラストラクチャ
ネットワークには、corp.falbrikam.com という名前のオンプレミスの Active Directory Domain Services (AD DS) ドメインが 1 つ含まれています。現在、すべてのサービス アカウントは個別のドメイン ユーザー アカウントを使用しています。
すべてのドメイン コントローラーには DNS サーバーの役割がインストールされており、corp.fabrikam.com の Active Directory 統合 DNS ゾーンのコピーをホストしています。
corp.fabrikam.com AD DS ドメインは、Azure Active Directory (Azure AD) テナントと同期します。
グループ ポリシー オブジェクト (GPO)
corp.fabrikam.com ドメインには、次の表に示す組織単位 (OU) とカスタム グループ ポリシー オブジェクト (GPO) が含まれています。
要件
変更予定
Fabrikam は、次の計画された変更を識別します。
Vnet1 という名前の単一の Azure 仮想ネットワークを含む、Sub1 という名前の単一の Azure サブスクリプションを作成します。
Azure Virtual WAN と FxpressRoute を使用して、シアトルとニューヨークのオフィス間の WAN リンクを置き換えます。両方のオンプレミス オフィスは、ExpressRoute を使用して Vnet1 に接続されます。
newyorkhiles、seattlefiles、および companyfiles という名前の 3 つの Azure ファイル共有を作成します。
Vnet1 に dc3.corp.fabrikam.com という名前のドメイン コントローラーを作成します。
Azure Virtual Desktop ホスト プールを Vnet1 にデプロイします。Azure Virtual Desktop セッション ホストは、ハイブリッド Azure AD 参加済みになります。
Microsoft Defender for servers のすべてのサーバーのライセンスを取得します。
Azure Policy を使用して、Azure およびオンプレミスのサーバーに構成管理ポリシーを適用します。
ネットワーク要件
Fabrikam は、次のネットワーク要件を特定しています。
Virtual WAN を実装し、サイト間のすべてのネットワーク トラフィックが Virtual WAN を使用するようにします。すべての通信は ExpressRoute 経由で行う必要があります。
DHCP サーバーに障害が発生した場合は、クライアント コンピューターが引き続き動的 IP アドレスを受け取り、既存のリースを更新できることを確認してください。
Vnet1 のリソースが corp.fabrikam.com ドメイン内のオンプレミス サーバーの名前を解決できることを確認します。
セキュリティ要件
Fabrikam は、次のセキュリティ要件を特定しています。
GPO4 を Azure Virtual Desktop セッション ホストに適用します。Azure Virtual Desktop ユーザー セッションが 10 分間アイドル状態になった後にロックされることを確認します。ユーザーは、クライアント コンピュータから手動でロックアウト時間を制御できる必要があります。
Azure 仮想マシンへのリモート デスクトップ接続を確立する前に、サーバー管理者が承認を要求していることを確認してください。リクエストが承認された場合、接続は 2 時間以内に確立される必要があります。
ユーザーのパスワードに、Fab、f@br1kAm、fabr!| など、会社名に基づく単語の全部または一部が含まれないようにします。
Webapp1 のすべてのインスタンスが同じサービス アカウントを使用していることを確認します。サービス アカウントのパスワードは、30 日ごとに自動的に変更する必要があります。
ドメイン コントローラーがインターネット上のホストに直接アクセスできないようにします。
ファイル共有の要件
次の要件を満たすように Azure ファイルの同期を構成する必要があります。
seattlefiles が FS2 と同期していることを確認します。
newyorkfiles が FS1 と同期していることを確認します。
companyfiles が FS1 と FS2 の両方に同期していることを確認します。
質問
セキュリティ要件を満たすようにリモート管理を構成する必要があります。
何を使うべきですか?
