クラウド配置の概要
財務と運用アプリをクラウドに配置するために Microsoft で作業するには、配置先の環境およびサブスクリプションについて、だれがどのタスクを実行することができるのか、また管理する必要があるデータおよびカスタマイズについて理解する必要があります。 配置と実装の高速化に役立つ Full Microsoft FastTrack for Dynamics 365 に登録することをお勧めします。このプログラムは、より迅速なビジネス価値の実現を支援するトレーニングとコンサルティングを提供します。 詳細については、 Microsoft FastTrack を参照してください。 代わりに Essentials FastTrack プログラムの使用を選択する場合は、実装プロジェクトの管理に役立つ Microsoft Dynamics 365 Lifecycle Services (LCS) の実装プロジェクト方法を使用します。
顧客のライフ サイクル、サブスクリプション、デプロイのトポロジ
Microsoft は、すべての顧客がすべてのクラウド配置に対して次と類似するライフサイクルに従うため、各フェーズで別の環境トポロジが必要になると想定しています。
- 評価
- 必要に応じてカスタマイズを行います。
- マスターデータまたはトランザクション データがないモジュール構成のみを含む "ゴールデン構成" 環境を使用します。 これは、データ移行テストと最終的な本稼働にむけたベースラインとなります。
- レベル 1 サンドボックス (開発またはテスト環境) におけるカスタマイズとパートナー ソリューションのインストールおよびテストします。
- レベル 2 サンドボックス環境におけるカスタマイズ、パートナー ソリューション、データ構成のテストします。
- 可用性の高い運用環境にカスタマイズとデータ構成をデプロイします。
プロジェクトのいくつかのフェーズでは、すべての環境を一度に実行することができます。 既定のライセンスおよび使用可能な層の詳細については、Dynamics 365 ライセンス ガイド を参照してください。
クラウドがホストする用語、または Microsoft サブスクリプションがあることがわかります。 クラウドでホストされているサブスクリプションとは、評価および開発目的でのみ、顧客またはパートナーが独自の Azure サブスクリプションを持ち込み、財務と運用アプリを配置できるという意味です。 顧客やパートナーは、Azure 価格リストに基づいて Azure サブスクリプションに展開されるリソースに対して支払います。 Microsoft サブスクリプションとは、顧客が財務と運用ライセンスを購入し、Microsoft が管理する Azure サブスクリプションに環境を配置できることを意味します。これにより、顧客には Azure からの別個の請求はありません。
各 エンタープライズには、既定で 2 つの環境が含まれています。
- ユーザー受け入れテスト (UAT) に使用する、階層 2 サンド ボックス (マルチ ボックス環境)。
- 高い可用性 (HA) を備えた運用環境。
追加の環境は、アドオンとして購入する場合があります。 ライセンスや Microsoft Dynamics 365 の内容についての詳細情報は、 Dynamics 365 ライセンス ガイド を参照してください。
ライフサイクルが使用可能な環境にどうマップするかを次に示します。 Lifecycle Services プロジェクトにすでに環境がデプロイされている場合は、各環境の詳細ページに環境のタイプと環境のサブタイプが表示されます。
ライフサイクルのフェーズ | 環境の階層 | サブスクリプション | 環境タイプ | 環境のサブタイプ |
---|---|---|---|---|
評価および分析 | 階層 1 のサンドボックス | クラウド ホスト | 顧客管理 | デモ |
カスタマイズ | 階層 1 のサンドボックス | クラウド ホスト または VHD | 顧客管理 | 開発 |
ゴールデン構成 | 階層 1 のサンドボックス | クラウド ホスト | 顧客管理 | 開発 |
ユーザー受け入れテスト (UAT) | 階層 2-5 のサンドボックス | Microsoft | Microsoft 管理、またはセルフサービス | 適用できません |
Go live | 運用 | Microsoft | Microsoft 管理、またはセルフサービス | 適用できません |
環境のパフォーマンスを高めるには、階層 2-5 を購入します。 階層化が進むほど、使用できる計算およびデータベースの能力は高くなります。 セルフサービス環境のタイプの詳細については、セルフサービス展開の概要を参照してください。
重要
階層 1 のサンドボックス環境は、2020 年 11 月以降、Microsoft によって管理されなくなりました。 階層 1 環境は、デモ、ビルド、開発の目的で、Lifecycle Services から顧客の Azure サブスクリプションに直接配置できます。
環境ライフサイクルの操作
Lifecycle Services における環境管理者またはプロジェクト所有者のロールを持つユーザーは、それぞれの環境に対してさまざまなライフサイクルの操作を実行できます。 多くの場合、これらの操作には、タスクが完了するまでの環境でのダウンタイムが含まれます。 これらの操作は、管理 ボタンの下または横に配置され、各環境の詳細ページに表示されます。
ライフサイクル操作 | 説明 | 詳細 |
---|---|---|
ソフトウェアの適用 | Microsoft 更新プログラム、ISV ソリューション、または独自のカスタマイズ パッケージをインストールします。 | クラウド環境への更新プログラムの適用 |
アクセスを有効にする | リモート デスクトップやデータベースへのアクセスに使用する IP のリストを許可する | この記事で後述するリモート デスクトップ セクションを参照してください |
サービスの再起動 | ご利用の環境のコンポーネントを再起動する機能 | 環境サービスの再開 |
データベースの移動 | 完全データライフサイクル管理 | データベース移動操作 |
メンテナンス モード | 管理者のみのアクセスで構成を変更する機能 | メンテナンス モード |
アップグレード | 7. x から最新バージョンへのアップグレード コードとデータ | 最新の更新プログラムに移行するためのプロセス |
割り当て解除 | 使用されていない環境をオフにしたり、失敗したアクションのトラブルシューティングを行ったりする機能 | 適用できません |
開始 | 環境の使用を有効にする機能 | 適用できません |
消去 | 既に割り当てを解除された環境を削除する機能 | 該当なし |
セキュリティとコンプライアンス
財務と運用アプリは、PA-DSS 3.1 認定を受けています。これは、コンポーネント間のすべての通信が既定で保護されることを意味します。
Microsoft Azure のすべての財務と運用フロント エンド仮想マシンは、TLS 1.2 のみを受け入れるように配置時に構成されます。
重要
購入したアドオン サンドボックスを含む Microsoft 管理対象のサンドボックスに管理者権限を持つお客様は、次のガイドラインに従わなければなりません。
- 既定では、レベル 1 - 5 のすべてのサンドボックスで自動 Windows の更新が有効になっているため、無効にしないでください。 これにより、Microsoft がセキュリティまたは重大なインフラストラクチャの更新を自分の環境にプッシュするたびに、環境に最新の更新プログラムが適用され、毎月 Microsoft からリリースされたオペレーティング システムの修正プログラムが更新されます。
- これらの環境の管理者パスワードは、変更しないでください。 変更済管理者パスワードをもつ環境では、Microsoft がフラグを設定します。 Microsoft は、管理者パスワードをリセットする権利を保有し、実際にリセットします。
- Microsoft 管理対象 VM に新しいユーザー アカウントを追加することは、許可されていません。 Microsoft は、通知することなく新しく追加されたユーザー アカウントを削除する権利を保有し、実際に削除します。
現時点で、財務と運用は FedRAMP ATO の対象外です。 財務と運用を米国でプロビジョニングする場合、残りのすべての顧客データは米国のデータ センターで保管されます。 財務と運用は、他の Dynamics 365 US Government または Microsoft 365 GCC コンプライアンス属性 (たとえば、米国の検査担当者によるアクセス、および CJIS と IRS 1075 のサポートなど) はサポートしません。
リモート デスクトップ
Microsoft が管理する環境
警告
Microsoft は、顧客およびパートナーがリモート デスクトップを使用できないようにします。 各環境では、最初に管理者アクセス権が削除されますが、仮想マシンへの管理者以外のアクセスは許可されています。 その後は、すべてのアクセスが削除されます。 この段階的な削除の各手順では、各環境で設定された通知リストにメールが送信されます。 リモート デスクトップ アクセスは、2020 年の 11 月までに削除されます。
顧客は、Microsoft リモート デスクトップ (RDP) を介して、仮想マシン (VM) に接続するための追加設定を完了する必要があります。 この追加の設定は、 レベル 1 〜 レベル 5 のサンドボックスとアドオンを含む、Microsoft が管理するすべての環境に適用されます。 レベル 1 からレベル 5 のサンドボックス環境に接続するには、明示的に組織の IP アドレス空間からのアクセスを有効 (セーフ リスト化) にする必要があります。 これは、リモート デスクトップを介して仮想マシンに接続するために使用される IP アドレス スペースを入力できる環境ページ (管理>アクセスを有効にする) にアクセスできる Lifecycle Services ユーザーによって実行できます。 アクセス ルールは、単一の IP アドレス (例: 10.10.10.10) または IP アドレスの範囲 (例: 192.168.1.0/24) です。 セミコロン (;) で区切られたリスト (例: 10.10.10.10;20.20.20.20;192.168.1.0/24) として複数のエントリを一度に追加する場合があります。 これらのエントリは、環境の仮想ネットワークに関連付けられている Azure ネットワーク セキュリティ グループの設定に使用されます。 詳細については、セキュリティ ポリシーを参照してください。
重要
顧客は、上記の明示的な IP セーフ リストのルールを通じて RDP エンドポイントを確実に保護する必要があります。 IP セーフ リストのルールは、次の条件に準拠する必要があります。
- IP セーフ リストのルールには、アスタリスク/ゼロを使用することはできません。
- ワイド IP アドレスの範囲は使用しないでください。
- IP アドレス範囲は、顧客の CORPNET に限定する必要があります。
- 顧客の CORPNET (ホーム オフィスなど) 外のコンピューターをサンドボックス環境へ接続するために使用する場合は、サンドボックス環境へ接続するために使用するコンピューターの特定の IP アドレスのみを追加する必要があります。
- Azure データセンター IP アドレス範囲を追加しないでください。
- コーヒー店の場所などで、パブリック IP アドレスを追加しないでください。
- 使用されていない IP セーフ リストのルールは削除する必要があります。 環境 IP におけるセーフ リストのルールを定期的に確認することを推奨します。
Microsoft は Microsoft 管理環境で定期的なテストを実行して、環境が十分に制限されていることを検証します。 Microsoft は、上記のガイドラインに違反した IP アドレスのセーフ リストのルールを、通知することなく直ちに削除する権利を保有しています。
顧客管理またはレベル -1 環境
既定では、Microsoft によって管理されていないすべての環境でリモート デスクトップが有効になります。 顧客は自分たちのサブスクリプションに所属している環境へのアクセスを制限することをお勧めします。 これは、Azure ポータルの環境でネットワーク セキュリティ グループのルールを直接設定することで実行できます。
Windows Remoting (WinRM)
Windows Remoting (WinRM) はすべての環境で無効です。 Azure ポータルを使用してサブスクリプションに属する環境で WinRM を有効にすることはできますが、これを行わないことを強くお勧めします。
警告
WinRM を有効にするための例外は、Microsoft が管理する環境では許可されません。
使用可能性
財務と運用アプリの稼働時間保証は 99.9% です。 計画的なダウンタイムは月 1 回発生し、8 時間以内に終了します。 ダウンタイム中に完了した作業は必ずしも 8 時間かかるとは限らないため、お客様の環境がダウンすると予想される時間を常にお知らせします。 詳細については、財務と運用アプリまたは Lifecycle Services に関するサポートの利用を参照してください。
高可用性機能
サービスの可用性を確保するため、すべての運用環境はデフォルトの Azure 高可用性 (HA) 機能を使用して保護されています。 HA 機能はデータ センター内の単一のノードの失敗により引き起こされるダウンタイムを回避する方法を提供し、DR 機能はデータ センター全体に広く影響を及ぼす機能停止を防止します。 単一障害点イベントを防止するために、Azure 使用可能性セットが使用されます。 Azure の可用性セットの詳細については、可用性ゾーンを使用してデータセンター レベルの障害から保護するを参照してください。 データベースの高可用性は Azure SQL を通してサポートされます。 詳細については、Azure SQL データベースの事業継続性の概要 を参照してください。
データベースのバックアップ保持
Microsoft 管理対象環境またはセルフサービスの階層 2 ~ 5 環境のデータベースでは、Azure SQL によって数分おきに自動バックアップが実行されます。 これらのバックアップは、Lifecycle Services の時点での復元機能を過去 14 日間まで使用することで復元できます。 運用タイプ環境の場合、バックアップを最大 28 日間復元できます。 階層 1 または顧客管理環境の場合は、データベース バックアップは自動的ではなく、必要に応じて手動で実行する必要があります。
障害復旧の機能
運用環境は、以下のものを含む Azure 障害復旧サポートで構成されます。
- Azure SQL のアクティブ geo レプリケーションは、運用環境の財務と運用データベースに対して構成されています。 SQL レプリケーションの詳細については、geo レプリケーションとフェールオーバー グループの比較 を参照してください。
- 他の Azure リージョンでの Azure blob storage (ドキュメントの添付ファイルを含む) のジオ重複コピー。 詳細については、Azure 冗長性 を参照してください。
- Azure SQL および Azure ブログ記憶域レプリケーションの同じセカンダリ地域。
プライマリのデータ格納場所のみレプリケーションがサポートされます。 財務報告サービスおよびエンティティ格納データベースは、プライマリ データベースから変換されたデータを使用し、リカバリ サイトの設定および財務と運用サービスの開始後に生成する必要があります。
Azure リージョンにおけるサービスの可用性
Dynamics Lifecycle Services を使用して、Microsoft Azure データセンターのサブセットに財務と運用アプリを配置できます。 Azure は一般に世界中のデータセンターや地理的な場所で利用可能です。 財務と運用アプリでは、顧客は自分の顧客データが格納される地域またはデータセンターを指定することができます。 Microsoft は、データの持続性のためにデータを他の地域に複製する場合がありますが、地理的な場所の外部に顧客データを複製または移動することはしません。 詳細については、財務と運用アプリのサービスの説明を参照してください。
重要
顧客データがどこに格納されているかに関係なく、マイクロソフトは顧客またはエンドユーザーがアクセスできる場所を管理したり制限したりしません。 詳細については、次の記事を参照してください。
よくあるご質問
Lifecycle Services の環境で状態が「メンテナンス」と表示されるのはなぜですか?
最高のエクスペリエンスとパフォーマンスを提供するために、Microsoft は環境の保守作業を行います。 これらの一部の保守作業中に、環境の状態として次のいずれかの状態が表示される場合があります。
- メンテナンスの準備中
- メンテナンスの準備完了
- メンテナンス中
環境がこの状態になり、状態が「配置済」に戻るまでは、パッケージ アプリケーションなどのライフサイクル操作を実行することができません。 財務と運用アプリには影響はありません。 ユーザーはサービスが中断されることなく、通常の操作を続行できます。 管理操作により環境がこの状態になる前に電子メール通知が送信されます。
サンドボックス環境で SQL データベースに接続するにはどうすればよいですか?
サンドボックス環境で SQL データベースに接続するには、ジャストインタイムのアクセスを有効にする の手順に従ってください。
開発インスタンスにどのようにアクセスしますか。
開発インスタンスへのアクセス、オンプレミス開発 VM の構成、開発者と管理者の構成設定を確認する方法については、 開発環境の展開とアクセス を参照してください。
デモ環境をどのように展開しますか?
デモ環境には、Microsoft のデモ データのみが含まれています。 デモ環境を使用して既定のフィーチャーと機能を参照することができます。 詳細については、「デモ環境の配置」を参照してください。
環境間でカスタマイズを移動するにはどうすればよいですか。
カスタマイズを開発からサンドボックスまたは運用環境に移行する方法については、 配置可能なモデルのパッケージの作成 を参照してください。
所有のドメイン名を使用することができますか。
Microsoft Entra ID が実行中で、Microsoft Entra インスタンスの管理者が財務と運用アプリを Microsoft Entra ID で有効にした場合、自分のドメイン名を使用することができます。 これは通常、ライセンスを購入した後、オフィスの電子メールで行われます。 オファーを承諾するリンクをクリックすると、Microsoft Entra ID がユーザーに対して設定されます。
ゲスト Microsoft Entra アカウントをユーザーとして追加できますか?
Microsoft Entra 内で適切に AAD アカウントを構成して、Microsoft Entra 内で財務と運用アプリを有効にした場合、ゲスト Microsoft Entra アカウントを追加することができます。
プライベート AOS マシンを 階層 2 から階層 5 のサンドボックス環境の 1 つ以上で表示できなくなったのはなぜですか?
Private AOS VM は、かつて AOS と BI コンピューター間の通信を保護する必要があったため、環境構成の一部でした。 最新の更新プログラムでは、AOS と BI マシン間のすべての通信は直接セキュリティで保護され、中間プライベート AOS マシンは不要になりました。 したがって、プライベート AOS マシンを削除する段階にあります。 バッチでマシンを削除しているので、環境の一部だけがプライベート AOS マシンを削除したことが判明することがあります。 この変更は、機能性やセキュリティにいかなる影響も及ぼさず、お客様には透過的です。
リモート デスクトップを自分の階層 1 から階層 5 のいずれかの Microsoft 管理サンドボックス環境で表示することができなくなったのはなぜですか?
Microsoft が管理する階層 1 から階層 5 のサンドボックス環境では、 リモート デスクトップ管理のエンド ポイントを特定の IP アドレス セット (セーフ リスト) に制限する必要があります。 Microsoft は、定期的に環境が十分に制限されていることを検証します。 Microsoft は、上記のガイドラインに違反した IP アドレスのセーフ リストのルールを予告なしに直ちに削除する権利を保有しています。 これらの理由の 1 つのためにデスクトップを環境にリモートすることができない場合があります。
- ご自身が現在使用している IP アドレスはセーフ リストに含まれません。
- ご利用の IP は、セーフ リストに記載されている IP アドレスから変更されています。
- Microsoft は、ガイドラインに違反していたため、ご利用の IP アドレスを含むルールをセーフリストから削除しました。
環境へのアクセスを回復するには、接続先のコンピュータの IP アドレスを追加する必要があります。 これを行うには、この記事前半のリモート デスクトップ セクションの手順を実行します。
削減された領域の可用性は、いつ新しいオンボードに有効になりますか?
2020 年 8 月 1 日から、財務と運用の新しいプロジェクトは次の地域にオンボードされます:
米国東部
米国西部
米国中部
重要
米国中部は、2021 年 4 月 1 日から始まるセルフサービス移行のオプションではなくなりました。
米国東部 2
米国西部 2
米国中西部
米国中北部
米国中南部
このことは、格納データが 2020 年 8 月以前に非推奨領域に保有されている環境には影響しません。 近い将来、非推奨の地域の顧客を削減した領域に移動するための移行計画があります。
環境を削除すると再配置ができません、環境スロットが欠落しています。
これは、ライセンスが期限切れになったためです。つまり、環境スロットを取得するために必要な最低限のライセンスが不要になったことを意味します。 サブスクリプションのステータス を確認し、有効期限が切れたライセンスを再開してから、再配置を有効にしてください。
一部の配置地域のオプションがデータを保存する地域としてマークされている場合、それはどういう意味ですか
データ所在地ではない地域を選択すると、Lifecycle Services がプロジェクト データを格納している場所とは異なる、環境配置用に選択した地域を呼び出す警告メッセージが表示されます。
たとえば、グローバル Lifecycle Services エンドポイントを使用する場合、プロジェクト データは米国に格納されます。 データ所在地を表示する利用可能な地域は次の通りです:
- brazilsouth
- uscentral
- useast
- uswest
メモ
ブラジル南部は、事業とディザスター リカバリーのシナリオのため、このリストにのみ含まれます。 ブラジル南部に配置された環境は、障害が発生した場合、米国中部にフェール オーバーする可能性があります。 米国の地域に配置された環境は、障害が発生した場合、他の米国の地域にのみフェールオーバーします。
Lifecycle Services プロジェクト データを別の地域に移行する方法については、プロジェクト移行マネージャーを参照してください。