ノート
コミュニティの関心グループが Yammer から Microsoft Viva Engage に移行されました。 Viva Engage コミュニティに参加し、最新のディスカッションに参加するには、「 Finance and Operations Viva Engage Community へのアクセスを要求する 」フォームに入力し、参加するコミュニティを選択します。
Microsoft と連携して財務アプリと運用アプリをクラウドにデプロイするには、デプロイ先の環境とサブスクリプション、どのタスクを実行できるか、管理する必要があるデータとカスタマイズについて理解する必要があります。 Microsoft FastTrack for Dynamics 365 の完全版にサインアップして、デプロイと実装を迅速化します。 このプログラムでは、ビジネス価値の迅速な実現に役立つトレーニングとコンサルティングを提供します。 詳細については、 Microsoft FastTrack を参照してください。 代わりに Essentials FastTrack プログラムを使用する場合は、Microsoft Dynamics 365 ライフサイクル サービスの実装プロジェクト手法を使用して、実装プロジェクトの管理に役立ちます。
顧客のライフ サイクル、サブスクリプション、デプロイのトポロジ
Microsoft では、すべての顧客が、すべてのクラウド デプロイで次のようなライフサイクルに従っているため、各フェーズで異なる環境トポロジが必要であると想定しています。
- 評価
- 必要に応じてカスタマイズを行います。
- マスターデータまたはトランザクション データがないモジュール構成のみを含む "ゴールデン構成" 環境を使用します。 この環境は、データ移行テストのベースラインとして機能し、最終的に稼働します。
- レベル 1 サンドボックス (開発またはテスト環境) におけるカスタマイズとパートナー ソリューションのインストールおよびテストします。
- 階層 2 サンドボックス環境でカスタマイズ、パートナー ソリューション、データ構成をテストします。
- 可用性の高い運用環境にカスタマイズとデータ構成をデプロイします。
プロジェクトの一部のフェーズでは、すべての環境が一度に稼働している場合があります。 使用できる既定のライセンスとレベルの詳細については、 Dynamics 365 ライセンス ガイドを参照してください。
クラウドがホストされている、または Microsoft サブスクリプションという用語に気付く場合があります。 クラウドでホストされているサブスクリプションとは、評価および開発目的でのみ、顧客またはパートナーが独自の Azure サブスクリプションを持ち込み、財務と運用アプリを配置できるという意味です。 顧客やパートナーは、Azure 価格リストに基づいて Azure サブスクリプションに展開されるリソースに対して支払います。 Microsoft サブスクリプションとは、顧客が財務と運用のライセンスを購入することを意味します。これにより、Microsoft が管理する Azure サブスクリプションに環境をデプロイできます。 したがって、顧客に別個の Azure の請求はありません。
各 Enterprise オファーには、既定で 2 つの環境が含まれています。
- ユーザー受け入れテスト (UAT) 用の 1 層 2 サンドボックス (マルチボックス環境)。
- 高い可用性 (HA) を備えた運用環境。
追加の環境はアドオンとして購入できます。 ライセンスや Microsoft Dynamics 365 の内容についての詳細情報は、Dynamics 365 Licensing Guide を参照してください。
ライフサイクルが使用可能な環境にどうマップするかを次に示します。 Lifecycle Services プロジェクトにすでに環境がデプロイされている場合は、各環境の詳細ページに環境のタイプと環境のサブタイプが表示されます。
| ライフサイクルのフェーズ | 環境の階層 | サブスクリプション | 環境タイプ | 環境のサブタイプ |
|---|---|---|---|---|
| 評価および分析 | 階層 1 のサンドボックス | クラウド ホスト | 顧客管理 | デモ |
| カスタマイズ | 階層 1 のサンドボックス | クラウド ホスト または VHD | 顧客管理 | 開発 |
| ゴールデン構成 | 階層 1 のサンドボックス | クラウド ホスト | 顧客管理 | 開発 |
| ユーザー受け入れテスト (UAT) | 階層 2-5 のサンドボックス | Microsoft | Microsoft 管理、またはセルフサービス | 該当なし |
| ライブ移行 | 運用 | Microsoft | Microsoft 管理、またはセルフサービス | 該当なし |
環境のパフォーマンスを高めるには、階層 2-5 を購入します。 階層化が進むほど、使用できる計算およびデータベースの能力は高くなります。 セルフサービス環境のタイプの詳細については、セルフサービス展開の概要を参照してください。
重要
2020 年 11 月以降、Microsoft は階層 1 サンドボックス環境を管理しなくなりました。 デモ、ビルド、開発の目的で、ライフサイクル サービスから直接、顧客の Azure サブスクリプションに階層 1 環境をデプロイできます。
環境ライフサイクルの操作
Lifecycle Services における環境管理者またはプロジェクト所有者のロールを持つユーザーは、それぞれの環境に対してさまざまなライフサイクルの操作を実行できます。 多くの場合、これらの操作には、タスクが完了するまでの環境でのダウンタイムが伴います。 これらの各操作は、各環境の詳細ページの [ 管理 ] ボタンの下または横にあります。
| ライフサイクル操作 | 説明 | 詳細 |
|---|---|---|
| ソフトウェアの適用 | Microsoft 更新プログラム、ISV ソリューション、または独自のカスタマイズ パッケージをインストールします。 | クラウド環境への更新プログラムの適用 |
| アクセスを有効にする | リモート デスクトップまたはデータベース アクセスの IP アドレスの一覧を許可します。 | この記事の後半の 「リモート デスクトップ 」セクションを参照してください。 |
| サービスをリセット | 環境のコンポーネントを再起動します。 | 環境サービスの再開 |
| データベースの移動 | 完全なデータ ライフサイクル管理。 | データベース移動操作 |
| メンテナンス モード | 管理者アクセス権のみを使用して構成を変更します。 | メンテナンス モード |
| アップグレード | コードとデータを 7.x から最新バージョンにアップグレードします。 | 最新の更新プログラムに移行するためのプロセス |
| 割り当て解除 | 使用されていない環境をオフにするか、失敗したアクションのトラブルシューティングを行います。 | 該当なし |
| 開始 | 使用する環境を有効にします。 | 該当なし |
| 消去 | 以前に割り当てを解除した環境を削除します。 | 該当なし |
セキュリティとコンプライアンス
財務および運用アプリは、PA-DSS 3.1 認定を受けています。つまり、コンポーネント間のすべての通信が自動的にセキュリティで保護されます。
Microsoft Azure のすべての財務および運用フロントエンド仮想マシンは、デプロイ時に TLS 1.2 のみを受け入れるように構成されます。
重要
購入したアドオン サンドボックスを含む Microsoft 管理対象のサンドボックスに管理者権限を持つお客様は、次のガイドラインに従わなければなりません。
- 既定では、すべての階層 1 から 5 のサンドボックスに対して Windows の自動更新が有効になっており、無効にしないでください。 この設定により、Microsoft がセキュリティまたは重要なインフラストラクチャの更新プログラムを環境にプッシュするたびに、環境は最新の更新プログラムのセットを受け取り、Microsoft がリリースするオペレーティング システムの修正プログラムで毎月更新されます。
- これらの環境で管理者パスワードを変更しないでください。 Microsoft は、管理者パスワードが変更されたときに環境にフラグを設定します。 Microsoft は、管理者パスワードをリセットする権利を留保しており、実際にリセットを行います。
- Microsoft が管理する VM に新しいユーザー アカウントを追加しないでください。 Microsoft は、通知を提供せずに、新しく追加されたユーザー アカウントを削除する権利を留保します。
現時点では、財務と運用は FedRAMP ATO の対象ではありません。 米国で財務と運用をプロビジョニングする場合、保存されているすべての顧客データは米国にあるデータ センターに格納されます。 財務および運用では、他の Dynamics 365 US Government または Microsoft 365 GCC コンプライアンス属性 (たとえば、米国のスクリーン担当者によるアクセス、CJIS および IRS 1075 のサポート) はサポートされていません。
リモート デスクトップ
Microsoft マネージド環境
警告
Microsoft は、顧客とパートナーによるリモート デスクトップの使用を削除しています。 各環境では最初に管理者アクセス権が失われますが、管理者以外のユーザーは仮想マシンにアクセスできます。 この手順の後、すべてのアクセスが削除されます。 この段階的な削除の各ステップについて、環境ごとに設定された通知リストに電子メール通知が送信されます。 Microsoft は、2020 年 11 月までにすべてのリモート デスクトップ アクセスを削除します。
Microsoft リモート デスクトップ (RDP) 経由で仮想マシン (VM) に接続するには、追加のセットアップを完了する必要があります。 このセットアップは、階層 1 から階層 5 のサンドボックス、アドオンなど、Microsoft が管理するすべての環境に適用されます。 階層 1 から階層 5 のサンドボックス環境に接続するには、組織の IP アドレス空間からのアクセス (許可リスト) を明示的に有効にする必要があります。 [環境] ページ ([保持>有効なアクセス] にアクセスできるライフサイクル サービス ユーザーは、リモート デスクトップ経由で仮想マシンに接続するために使用する IP アドレス空間を入力できます。 アクセス ルールは、単一の IP アドレス (例: 10.10.10.10) または IP アドレスの範囲 (例: 192.168.1.0/24) です。 複数のエントリをセミコロン (;)区切りリスト ) として一度に追加できます (例: 10.10.10.10;20.20.20.20;192.168.1.0/24). これらのエントリは、環境の仮想ネットワークに関連付けられている Azure ネットワーク セキュリティ グループを構成します。 詳細については、セキュリティ ポリシーを参照してください。
重要
前に説明したように、RDP エンドポイントが明示的な IP 許可リスト規則によって保護されていることを確認する必要があります。 IP 許可リストの規則は、次の条件に従う必要があります。
- IP 許可リストルールではアスタリスクまたはゼロを使用しないでください。
- 広い IP アドレス範囲を使用しないでください。
- 組織の CORPNET に IP アドレス範囲を制限します。
- 組織の CORPNET の外部にあるコンピューター (ホーム オフィスなど) を使用してサンドボックス環境に接続する場合は、サンドボックス環境への接続に使用するコンピューターの特定の IP アドレスのみを追加します。
- Azure Datacenter の IP アドレス範囲を追加しないでください。
- コーヒー ショップの場所など、パブリック IP アドレスを追加しないでください。
- 使用されていない場合は、IP 許可リストルールを削除します。 環境 IP 許可リストルールの定期的な確認をお勧めします。
Microsoft は、Microsoft が管理する環境で定期的なテストを実行して、環境が十分に制限されていることを検証します。 Microsoft は、前述のガイドラインに違反する IP アドレス許可リストルールを直ちに削除する権利を留保します。通知は提供しません。
顧客管理またはレベル -1 環境
既定では、Microsoft によって管理されていないすべての環境でリモート デスクトップが有効になります。 サブスクリプションに属するすべての環境へのアクセスを制限します。 Azure portal で環境に対してネットワーク セキュリティ グループの規則を直接構成することで、アクセスを制限できます。
Windows リモート管理 (WinRM)
Windows Remoting (WinRM) はすべての環境で無効です。 サブスクリプションに属する環境で Azure portal を使用して WinRM を有効にすることはできますが、有効にしないでください。
警告
Microsoft は、Microsoft が管理する環境で WinRM を有効にする例外を付与しません。
使用可能性
財務と運用アプリの稼働時間保証は 99.9% です。 計画的なダウンタイムは月 1 回発生し、8 時間以内に終了します。 ダウンタイム中に完了した作業には必ずしも 8 時間かかるとは限らないため、環境がダウンしている推定時間は常に伝達されます。 詳細については、財務と運用アプリまたは Lifecycle Services に関するサポートの利用を参照してください。
高可用性機能
サービスの可用性を確保するために、すべての運用環境で既定の Azure 高可用性 (HA) 機能が使用されます。 HA 機能は、データセンター内の単一ノードの障害によって引き起こされるダウンタイムを回避する方法を提供し、DR 機能はデータセンター全体に大きく影響する停止から保護します。 Azure 可用性セットは、単一障害点イベントを防ぎます。 Azure の可用性セットの詳細については、可用性ゾーンを使用してデータセンター レベルの障害から保護するを参照してください。 データベースの高可用性は Azure SQL を通してサポートされます。 詳細については、Azure SQL データベースの事業継続性の概要 を参照してください。
データベースのバックアップ保持
Microsoft が管理またはセルフサービスのレベル 2 から 5 の環境の場合、Azure SQL は数分ごとに自動バックアップを実行します。 これらのバックアップは、ライフサイクル サービスのポイントインタイム リストア機能を使用して、過去 14 日間まで復元できます。 運用環境の場合は、過去 28 日間までバックアップを復元できます。 階層 1 または顧客管理環境の場合は、データベース バックアップは自動的ではなく、必要に応じて手動で実行する必要があります。
障害復旧の機能
運用環境は、次の機能を含む Azure ディザスター リカバリー のサポートを使用して構成されます。
- Azure SQL のアクティブ geo レプリケーションは、運用環境の財務と運用データベースに対して構成されています。 SQL レプリケーションの詳細については、geo レプリケーションとフェールオーバー グループの比較 を参照してください。
- 他の Azure リージョンでの Azure blob storage (ドキュメントの添付ファイルを含む) のジオ重複コピー。 詳細については、Azure 冗長性 を参照してください。
- Azure SQL と Azure Blob Storage レプリケーションに対して同じセカンダリ リージョン。
プライマリのデータ格納場所のみレプリケーションがサポートされます。 財務レポート サービスとエンティティ ストア データベースは、プライマリ データベースから変換されたデータを使用し、復旧サイトが設定され、財務および運用サービスが開始された後に生成する必要があります。
Azure リージョンにおけるサービスの可用性
Dynamics Lifecycle Services を使用して、財務アプリと運用アプリを Microsoft Azure データセンターのサブセットにデプロイできます。 Azure は一般に世界中のデータセンターや地理的な場所で利用可能です。 財務アプリと運用アプリを使用すると、顧客データを格納するリージョンまたはデータセンターを指定できます。 Microsoft は、データの持続性のためにデータを他のリージョンにレプリケートする場合がありますが、顧客データを地理的な場所の外にレプリケートしたり移動したりすることはありません。 詳細については、財務と運用アプリのサービスの説明を参照してください。
重要
顧客データの保存場所に関係なく、Microsoft は、顧客またはそのエンドユーザーがアクセスできる場所を制御したり制限したりすることはありません。 詳細については、次の記事を参照してください。
よくあるご質問
Lifecycle Services の環境で状態が「メンテナンス」と表示されるのはなぜですか?
最高のエクスペリエンスとパフォーマンスを提供するために、Microsoft は環境の保守作業を行います。 これらのメンテナンス操作の一部では、環境の状態に次のいずれかの状態が表示されることがあります。
- メンテナンスの準備中
- メンテナンスの準備完了
- メンテナンス中
環境がこの状態にあり、状態が "Deployed" に戻るまで、パッケージ アプリケーションなどのライフサイクル操作を実行することはできません。 財務アプリと運用アプリに影響はありません。 ユーザーはサービスが中断されることなく、通常の操作を続行できます。 メンテナンス操作によって環境がこの状態になる前に、電子メール通知を受け取ります。
サンドボックス環境で SQL データベースに接続するにはどうすればよいですか?
サンドボックス環境で SQL データベースに接続するには、ジャストインタイムのアクセスを有効にする の手順に従ってください。
開発インスタンスにどのようにアクセスしますか。
開発インスタンスにアクセスする方法、オンプレミスの開発 VM を構成する方法、開発者と管理者向けの構成設定を見つける方法については、「 開発環境のデプロイとアクセス」を参照してください。
デモ環境をどのように展開しますか?
デモ環境には、Microsoft のデモ データのみが含まれています。 デモ環境を使用して、既定の機能を調べる。 詳細については、「デモ環境の配置」を参照してください。
環境間でカスタマイズを移動するにはどうすればよいですか。
開発環境からサンドボックスまたは運用環境にカスタマイズを移動するには、「 モデルの配置可能なパッケージを作成する」を参照してください。
所有のドメイン名を使用することができますか。
Microsoft Entra ID を実行していて、Microsoft Entra インスタンスの管理者が Microsoft Entra ID 内で財務アプリと運用アプリを有効にしている場合は、独自のドメイン名を持ち込むことができます。 この構成は、通常、ライセンスを購入した後に、オフィスの電子メールを通じて行われます。 オファーを承諾するリンクをクリックすると、Microsoft Entra ID がユーザーに対して設定されます。
Microsoft Entra ゲスト アカウントをユーザーとして追加できますか?
Microsoft Entra 内でゲスト Microsoft Entra アカウントを正しく構成し、Microsoft Entra 内で財務アプリと運用アプリを有効にした場合は、ゲスト Microsoft Entra アカウントを追加できます。
プライベート AOS マシンを 階層 2 から階層 5 のサンドボックス環境の 1 つ以上で表示できなくなったのはなぜですか?
プライベート AOS VM は、AOS マシンと BI マシン間の通信をセキュリティで保護するため、環境構成の一部でした。 最近の更新では、AOS マシンと BI マシン間のすべての通信は直接セキュリティで保護され、中間のプライベート AOS マシンは不要になります。 そのため、Microsoft はプライベート AOS マシンの削除をロールアウト中です。 削除プロセスがバッチでロールアウトされると、一部の環境でのみプライベート AOS マシンが削除されていることがわかります。 この変更は、機能やセキュリティには影響せず、透過的です。
リモート デスクトップを使用して、階層 1 から階層 5 の Microsoft が管理するサンドボックス環境の 1 つ以上に接続できないのはなぜですか?
Microsoft が管理する階層 1 から階層 5 のサンドボックス環境では、リモート デスクトップ管理エンドポイントを特定の IP アドレス セット (許可リスト) に制限する必要があります。 Microsoft は、定期的に環境が十分に制限されていることを検証します。 Microsoft は、上記のガイドラインに違反する IP アドレス許可リストルールを予告なしに削除する権利を留保します。 次のいずれかの理由により、リモート デスクトップを使用して環境に接続できない場合があります。
- 現在の IP アドレスが許可リストに含まれていない。
- IP アドレスが、許可リストに記載されている IP アドレスから変更されました。
- Microsoft は、IP アドレスを含む規則がガイドラインに違反したため、許可リストから削除しました。
環境へのアクセスを回復するには、接続しているコンピューターの IP アドレスを追加します。 これを行うには、この記事の前の 「リモート デスクトップ 」セクションの手順を実行します。
削減された領域の可用性が、新しいオンボードに有効になるタイミングはいつですか?
2020 年 8 月 1 日から、財務および運用のための新しいプロジェクトを次のリージョンにオンボードします。
米国東部
米国西部
米国中部
重要
米国中部は、2021 年 4 月 1 日からセルフサービス移行のオプションではなくなりました。
米国東部 2
米国西部 2
米国中西部
米国中北部
米国中南部
この変更は、2020 年 8 月より前に非推奨のリージョンにデータを格納する環境には影響しません。 近い将来、非推奨のリージョンの顧客を縮小リージョンに移行する移行計画があります。
環境スロットがないため、削除後に環境を再デプロイできません
この問題は、ライセンスの有効期限が切れると発生します。 環境スロットを取得するために必要な最小限のライセンスがなくなりました。 サブスクリプションの 状態 を確認し、期限切れのライセンスを再アクティブ化して再デプロイを有効にします。
一部の配置地域のオプションがデータを保存する地域としてマークされている場合、それはどういう意味ですか
データ常駐ではないリージョンを選択すると、環境のデプロイ用に選択されたリージョンが、Lifecycle Services がプロジェクト データを格納する場所と同じではないことを示す警告が表示されます。
たとえば、グローバル ライフサイクル サービス エンドポイントを使用する場合、プロジェクト データは米国に格納されます。 データ所在地を表示する利用可能な地域は次の通りです:
- brazilsouth
- uscentral
- useast
- uswest
ノート
ブラジル南部は、ビジネスとディザスター リカバリーのシナリオのため、この一覧にのみ含まれています。 ブラジル南部にデプロイされた環境は、障害が発生した場合に米国中部にフェールオーバーする可能性があります。 米国リージョンにデプロイされた環境は、障害が発生した場合にのみ、他の米国リージョンにフェールオーバーします。
Lifecycle Services プロジェクト データを別の地域に移行する方法については、プロジェクト移行マネージャーを参照してください。