Amazon WorkSpaces 管理者ガイド Version 1.0 Amazon WorkSpaces 管理者ガイド Amazon WorkSpaces 管理者ガイド Amazon WorkSpaces: 管理者ガイド Copyright © 2017 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon. Amazon WorkSpaces 管理者ガイド Table of Contents Amazon WorkSpaces とは ............................................................................................................. 1 概念 .................................................................................................................................... 1 ネットワークインターフェイス ....................................................................................... 2 PCoIP ゲートウェイの IP 範囲 ....................................................................................... 3 ネットワークヘルスチェックサーバー .............................................................................. 4 WorkSpaces セキュリティグループ ................................................................................. 4 制限 ............................................................................................................................ 5 実行モード ................................................................................................................... 6 セットアップ ................................................................................................................................ 7 AWS 無料アカウント作成方法 ................................................................................................ 7 IAM ユーザーの作成 .............................................................................................................. 7 管理者アクセス権を持つユーザーを作成する ..................................................................... 8 IAM ユーザー認証情報でサインインする .......................................................................... 8 追加ユーザーを作成する ................................................................................................ 9 アクセスの制御 ..................................................................................................................... 9 IAM ポリシーで Amazon WorkSpaces リソースを指定する ............................................... 11 ネットワークの準備 ............................................................................................................. 12 クライアントポート ..................................................................................................... 12 ホワイトリストに登録するドメインとポート ................................................................... 13 Simple AD ディレクトリ .............................................................................................. 14 AD Connector ディレクトリ ......................................................................................... 18 Microsoft AD ディレクトリ ........................................................................................... 26 はじめに .................................................................................................................................... 31 クイックスタート ................................................................................................................ 31 前提条件 .................................................................................................................... 31 ご利用開始にあたって .................................................................................................. 32 セットアップタイプを選択します。 ............................................................................... 32 高速セットアップ ........................................................................................................ 33 高度な設定 ......................................................................................................................... 37 ディレクトリの作成 ..................................................................................................... 37 ディレクトリへの接続 .................................................................................................. 39 管理 .......................................................................................................................................... 40 マネジメントコンソール ....................................................................................................... 41 ディレクトリ .............................................................................................................. 41 WorkSpaces ............................................................................................................... 51 WorkSpaces バンドル .................................................................................................. 61 WorkSpace イメージ ................................................................................................... 62 Windows のイメージ ................................................................................................... 65 ディレクトリの管理 ............................................................................................................. 66 ディレクトリの管理 WorkSpace のセットアップ ............................................................. 66 Amazon EC2 インスタンスのディレクトリへの結合 ......................................................... 67 Active Directory 管理ツールのインストール ..................................................................... 67 ユーザーおよびグループの作成 ..................................................................................... 68 ユーザーパスワード ..................................................................................................... 69 ユーザーの削除 ........................................................................................................... 69 グループポリシー ................................................................................................................ 70 グループポリシー管理用テンプレートのインストール ....................................................... 70 ローカルプリンターのサポート ..................................................................................... 71 クリップボードのリダイレクト ..................................................................................... 71 セッション再起動タイムアウト設定 ............................................................................... 72 ファイル共有 ...................................................................................................................... 72 PCoIP ゼロクライアント ...................................................................................................... 73 Amazon WorkSpaces のモニタリング .................................................................................... 73 Amazon WorkSpaces Metrics ........................................................................................ 73 Dimensions for Amazon WorkSpaces Metrics .................................................................. 75 Version 1.0 iv Amazon WorkSpaces 管理者ガイド モニタリングの例 ........................................................................................................ 75 トラブルシューティング ....................................................................................................... 76 接続したディレクトリの WorkSpaces の起動にたびたび失敗する ....................................... 77 インタラクティブなログオンバナーで WorkSpace に接続できない ..................................... 77 ディレクトリのいずれの WorkSpaces もインターネットに接続できない ............................. 77 オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表 示される .................................................................................................................... 77 オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」という エラーが表示される ..................................................................................................... 77 オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示さ れる .......................................................................................................................... 78 WorkSpace の一部のステータスに "Unhealthy" と表示されます ......................................... 78 WorkSpace が停止したときにアプリの状態が保存されない ............................................... 79 チュートリアル ........................................................................................................................... 80 Simple AD ディレクトリの作成 ............................................................................................. 80 前提条件 .................................................................................................................... 80 コメント .................................................................................................................... 81 ステップ 1: VPC の作成と設定 ..................................................................................... 81 ステップ 2: Simple AD ディレクトリの作成 .................................................................... 85 ステップ 3: WorkSpace の作成 ..................................................................................... 85 ステップ 4: WorkSpace のテスト .................................................................................. 86 アプリケーションの配布 ....................................................................................................... 87 ファイルサーバーの起動 ............................................................................................... 87 部門の作成 ................................................................................................................. 88 アプリケーションをインストールするグループポリシーの作成 ........................................... 88 結果 .......................................................................................................................... 90 カスタムバンドルの作成 ....................................................................................................... 90 前提条件 .................................................................................................................... 91 ステップ 1: イメージの作成 .......................................................................................... 91 ステップ 2: バンドルの作成 .......................................................................................... 92 ステップ 3: バンドルからの WorkSpace の起動 ............................................................... 92 ステップ 4: イメージの変更 .......................................................................................... 93 ステップ 5: バンドルの更新 .......................................................................................... 93 ステップ 6: カスタムバンドルの WorkSpace の再構築 ...................................................... 94 クライアントヘルプ ..................................................................................................................... 95 ユーザープロファイルの完了 ................................................................................................. 95 前提条件 ............................................................................................................................ 96 レイテンシーしきい値 .................................................................................................. 97 MTU しきい値 ............................................................................................................ 97 HTTPS アクセス ......................................................................................................... 97 Windows クライアント ........................................................................................................ 97 セットアップとインストール ......................................................................................... 97 WorkSpace への接続 ................................................................................................... 98 クライアントビュー ..................................................................................................... 98 クライアントの言語 ..................................................................................................... 98 プロキシサーバー ........................................................................................................ 99 コマンドショートカット ............................................................................................... 99 トラブルシューティング ............................................................................................... 99 OS X クライアント ........................................................................................................... 100 セットアップとインストール ....................................................................................... 100 WorkSpace への接続 ................................................................................................. 100 クライアントビュー ................................................................................................... 101 クライアントの言語 ................................................................................................... 101 プロキシサーバー ...................................................................................................... 101 コマンドショートカット ............................................................................................. 102 iPad クライアント ............................................................................................................. 102 セットアップとインストール ....................................................................................... 102 WorkSpace への接続 ................................................................................................. 103 Version 1.0 v Amazon WorkSpaces 管理者ガイド ジェスチャ ............................................................................................................... 103 放射状メニュー ......................................................................................................... 104 キーボード ............................................................................................................... 105 マウスモード ............................................................................................................ 106 切断 ......................................................................................................................... 106 Android クライアント ......................................................................................................... 106 要件 ......................................................................................................................... 107 セットアップとインストール ....................................................................................... 107 WorkSpace への接続 ................................................................................................. 107 ジェスチャ ............................................................................................................... 108 放射状メニュー ......................................................................................................... 108 キーボード ............................................................................................................... 110 マウスモード ............................................................................................................ 110 切断 ......................................................................................................................... 111 Chromebook クライアント .................................................................................................. 111 セットアップとインストール ....................................................................................... 111 WorkSpace への接続 ................................................................................................. 111 ジェスチャ ............................................................................................................... 112 PCoIP ゼロクライアント .................................................................................................... 112 要件 ......................................................................................................................... 112 ゼロクライアント接続のセットアップ ........................................................................... 113 WorkSpace に接続する .............................................................................................. 113 ゼロクライアントからの切断 ....................................................................................... 113 印刷 ................................................................................................................................. 113 ローカルプリンター ................................................................................................... 113 その他の印刷方法 ...................................................................................................... 114 Amazon WorkDocs 同期クライアント ................................................................................... 114 トラブルシューティング ..................................................................................................... 114 WorkSpaces クライアントがネットワークエラーを返しますが、デバイス上の他のネット ワーク対応アプリケーションは使用できます ................................................................. 115 自分の WorkSpace へのログインに数分かかることがあります ......................................... 115 セッションを閉じただけでログオフしなくても、WorkSpace からログオフされることがあ ります ..................................................................................................................... 115 自分の WorkSpace からインターネットに接続できません ................................................ 115 サードパーティのセキュリティソフトウェアパッケージをインストールした 後、WorkSpace に接続できません ............................................................................... 116 WorkSpace に接続すると、「network connection is slow」という警告が表示されます ......... 116 クライアントアプリケーションで無効な証明書エラーが表示されました。これはどういう意 味ですか。 ............................................................................................................... 116 「ご使用のデバイスは WorkSpaces 登録サービスに接続できません」というエラーメッ セージが表示されます。 ............................................................................................. 116 制限 ......................................................................................................................................... 118 ドキュメント履歴 ...................................................................................................................... 119 Version 1.0 vi Amazon WorkSpaces 管理者ガイド 概念 Amazon WorkSpaces とは Amazon WorkSpaces を利用すると、クラウドベースのデスクトップエクスペリエンスをユーザー に容易に提供できます。さまざまな CPU、メモリ、ストレージ、アプリケーションのオプションが 用意された WorkSpace バンドルの中からいずれかを選択します。次に、ユーザー情報を入力し、 必要な数の WorkSpaces を起動します。WorkSpace の利用準備が整うったら、ユーザーは Amazon WorkSpaces クライアントをダウンロードして、WorkSpace に接続できます。ユーザーは PC/Mac の デスクトップコンピュータ、または iPad、Kindle、Android タブレットから接続できます。 ユーザー用にスタンドアロンのマネージド型ディレクトリを作成することも、AD Connector を使用 してオンプレミスのディレクトリに接続することもできます。これにより、ユーザーは既存の認証情 報を使用して、自社リソースにシームレスにアクセスできるようになります。この統合は、Amazon Virtual Private Cloud (Amazon VPC) を使用しているオンプレミスのネットワークへのセキュアなハー ドウェア VPN 接続経由で、または AWS Direct Connect を使用して機能します。 Amazon WorkSpaces を使用すると、ハードウェアの調達やデプロイ、または複雑なソフトウェアの インストールといった作業にわずらわされることなく、ユーザーにデスクトップエクスペリエンスを 提供できます。ハードウェアやソフトウェアの管理といった労力のかかる作業や、パッチやメンテナ ンスといった雑用は Amazon WorkSpaces にすべて任せて、ユーザーに高品質なデスクトップエクス ペリエンスを簡単に提供することができます。Amazon WorkSpaces をオンプレミスディレクトリに 接続すると、オンプレミスデスクトップ用に既に使用しているツールで WorkSpace を管理でき、管 理上のコントロール力を全面的に維持することができます。 詳細については、「Amazon WorkSpaces」を参照してください。 Amazon WorkSpaces の概念 Amazon WorkSpaces サービスを理解し使用するために重要な用語と概念を、以下に示します。 目次 • ネットワークインターフェイス (p. 2) • PCoIP ゲートウェイの IP 範囲 (p. 3) • ネットワークヘルスチェックサーバー (p. 4) • WorkSpaces セキュリティグループ (p. 4) • 制限 (p. 5) Version 1.0 1 Amazon WorkSpaces 管理者ガイド ネットワークインターフェイス • 実行モード (p. 6) ネットワークインターフェイス 各 WorkSpace に 2 つのネットワークインターフェイスがあります。1 つはプライマリネットワーク インターフェイスと呼ばれるインターフェイスで、VPC 内だけでなくインターネットでのリソースへ の接続を可能にし、WorkSpaces ディレクトリとの結合に使用されます。 もう 1 つは管理ネットワークインターフェイスと呼ばれるインターフェイスで、セキュアな Amazon WorkSpaces 管理ネットワークに接続します。管理ネットワークインターフェイスを使用する と、WorkSpace デスクトップと Amazon WorkSpaces クライアントアプリケーションとのインタラク ティブなストリーミングを行ったり、Amazon WorkSpaces サービスで WorkSpace を管理することも できます。Amazon WorkSpaces サービスは、WorkSpaces が作成されたリージョンに応じて、さま ざまなアドレス範囲から管理ネットワークインターフェイス用の IP アドレスを選択します。ディレク トリが登録されるときに、Amazon WorkSpaces は VPC CIDR と VPC 内のルートテーブルをテスト し、これらのアドレス範囲が競合するかどうかを確認します。リージョンで使用可能なすべてのアド レス範囲で競合が見つかった場合、エラーメッセージが表示され、ディレクトリは登録されません。 ディレクトリが登録された後で VPC のルートテーブルを変更すると、競合が生じる可能性がありま す。使用する IP アドレス範囲を手動で指定することはできません。次の表は、各リージョンで使用さ れる IP アドレス範囲の一覧です。 管理インターフェイスの IP アドレス範囲 リージョン 管理インターフェイスの IP アドレス範囲 米国東部(バージニア北部) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16 米国西部 (オレゴン) 172.31.0.0/16 と 192.168.0.0/16 欧州 (アイルランド) 172.31.0.0/16 と 192.168.0.0/16 アジアパシフィック (シドニー) 172.31.0.0/16 と 192.168.0.0/16 アジアパシフィック (東京) 198.19.0.0/16 アジアパシフィック (シンガポール) 198.19.0.0/16 WorkSpace にアタッチされるネットワークインターフェイスを変更または削除しないでください。変 更/削除すると、WorkSpace にアクセスできなくなる可能性があります。 管理インターフェイスポート 次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要がありま す。 • ポート 4172 のインバウンド TCP。これはストリーミング接続の確立に使用されます。 • ポート 4172 のインバウンド UDP。これはユーザー入力をストリーミングするために使用されま す。 • ポート 8200 のインバウンド TCP。これは、WorkSpace の管理と設定に使用されます。 • ポート 55002 のアウトバウンド UDP。これは PCoIP のストリーミングに使用されます。ファイア ウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート 55002 が自動的に開放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、 リターン通信用に一時ポート 49152~65535 を開放する必要があります。 通常の状況では、Amazon WorkSpaces サービスは WorkSpaces に対してこれらのポートを正しく 設定します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイア Version 1.0 2 Amazon WorkSpaces 管理者ガイド PCoIP ゲートウェイの IP 範囲 ウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能する こともあれば、アクセスできないこともあります。 プライマリインターフェイスポート ディレクトリの種類にかかわらず、すべての WorkSpaces のプライマリネットワークインターフェイ スで、次のポートが開いている必要があります。 • インターネット接続の場合、次のポートがすべての宛先への送信と WorkSpaces VPC からの受信 に対して開いている必要があります。これらのポートは、インターネットアクセスを許可する場 合、WorkSpaces のセキュリティグループに手動で追加する必要があります。 • TCP 80(HTTP) • TCP 443(HTTPS) • ディレクトリコントローラと通信するには、WorkSpaces VPC とディレクトリコントローラの間 で次のポートが開かれている必要があります。Simple AD ディレクトリの場合、AWS Directory Service によって作成されたセキュリティグループでは、これらのポートが正しく設定されま す。AD Connector ディレクトリでは、VPC がそれらのポートを開くために、デフォルトのセキュ リティグループの調整が必要になる場合があります。 • TCP/UDP 53 - DNS • TCP/UDP 88 - Kerberos authentication • UDP 123 - NTP • TCP 135 - RPC • UDP 137-138 - Netlogon • TCP 139 - Netlogon • TCP/UDP 389 - LDAP • TCP/UDP 445 - SMB • TCP 1024-65535 - Dynamic ports for RPC これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフ トウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれ ば、アクセスできないこともあります。 • すべての WorkSpace では、EC2 メタデータサービスへのアクセスができるようにポート 80(HTTP)が IP アドレス 169.254.169.254 に開放されている必要があります。WorkSpace に 割り当てられているすべての HTTP プロキシで、169.254.169.254 が除外されている必要があり ます。 PCoIP ゲートウェイの IP 範囲 Amazon WorkSpaces では、PCoIP ゲートウェイサーバー用に小さな Amazon EC2 パブリック IP アドレス範囲を使用します。そのため、Amazon WorkSpaces にアクセスするデバイスのファイア ウォールポリシーを非常に細かく設定することができます。Amazon WorkSpaces サービスは PCoIP ゲートウェイを使用して、デスクトップセッションをポート 4172 経由でクライアントアプリケー ションにストリーミングします。 PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 リージョン PCoIP ゲートウェイサーバーのパブリック IP ア ドレス範囲 米国東部(バージニア北部) 52.23.61.0 – 52.23.62.255 米国西部 (オレゴン) 54.244.46.0 – 54.244.47.255 欧州 (アイルランド) 52.19.124.0 – 52.19.125.255 Version 1.0 3 Amazon WorkSpaces 管理者ガイド ネットワークヘルスチェックサーバー リージョン PCoIP ゲートウェイサーバーのパブリック IP ア ドレス範囲 アジアパシフィック (シンガポール) 52.76.127.0 – 52.76.127.255 アジアパシフィック (シドニー) 54.153.254.0 – 54.153.254.255 アジアパシフィック (東京) 54.250.251.0 – 54.250.251.255 ネットワークヘルスチェックサーバー Amazon WorkSpaces クライアントアプリケーションは、ポート 4172 でネットワークのヘルス チェックを行います。このチェックで、TCP または UDP トラフィックがクライアントアプリケー ションから Amazon WorkSpaces 本稼働サーバーにストリーミングされるかどうかを検証します。こ れを正常に行うには、ファイアウォールポリシーで以下のリージョンのネットワークヘルスチェック サーバーを考慮に入れておく必要があります。 ネットワークヘルスチェックサーバー リージョン ネットワークヘルスチェックサーバー 米国東部(バージニア北部) drp-iad.amazonworkspaces.com 米国西部 (オレゴン) drp-pdx.amazonworkspaces.com 欧州 (アイルランド) drp-dub.amazonworkspaces.com アジアパシフィック (シンガポール) drp-sin.amazonworkspaces.com アジアパシフィック (シドニー) drp-syd.amazonworkspaces.com アジアパシフィック (東京) drp-nrt.amazonworkspaces.com WorkSpaces セキュリティグループ Amazon WorkSpaces はセキュリティグループを作成し、ディレクトリ内のすべての WorkSpaces に 割り当てます。このセキュリティグループの識別子は、次の図に示すように、ディレクトリの詳細の [Security Groups] フィールドで確認できます。 新しいセキュリティグループを追加することにより、WorkSpaces の作成または再構築時に追加のセ キュリティグループを適用するオプションがあります。詳細については、次のトピックを参照してく ださい。 クラウドのディレクトリ セキュリティグループを追加する (p. 43) Version 1.0 4 Amazon WorkSpaces 管理者ガイド 制限 AD Connector ディレクトリ セキュリティグループを追加する (p. 46) Microsoft AD ディレクトリ セキュリティグループを追加する (p. 49) WorkSpaces セキュリティグループを元の設定にリセットする必要がある場合、WorkSpaces セキュ リティグループの最小ポート要件は次のとおりです。設定によっては追加ポートが開かれていること が必要になる可能性があります。ディレクトリコントローラのセキュリティグループには、ディレク トリ識別子とそれに続く _controllers で構成される名前(d-92673056e8_controllers など) があります。 アウトバウンドルール: • TCP 53 - directory controllers セキュリティグループ • TCP 80 - 0.0.0.0/0 • TCP 88 - directory controllers セキュリティグループ • TCP 135 - directory controllers セキュリティグループ • TCP 389 - directory controllers セキュリティグループ • TCP 443 - 0.0.0.0/0 • TCP 445 - directory controllers セキュリティグループ • TCP 464 - directory controllers セキュリティグループ • TCP 636 - directory controllers セキュリティグループ • TCP 1024 ~ 65535 - directory controllers セキュリティグループ • TCP 3268 ~ 3269 - directory controllers セキュリティグループ • UDP 53 - directory controllers セキュリティグループ • UDP 80 - 0.0.0.0/0 • UDP 88 - directory controllers セキュリティグループ • UDP 123 - directory controllers セキュリティグループ • UDP 138 - directory controllers セキュリティグループ • UDP 389 - directory controllers セキュリティグループ • UDP 443 - 0.0.0.0/0 • UDP 445 - directory controllers セキュリティグループ • UDP 464 - directory controllers セキュリティグループ • ICMP すべて - directory controllers セキュリティグループ 制限 Amazon WorkSpaces には次の制限があります。 トピック • ユーザーアクセス制御 (p. 5) • ファイアウォール (p. 6) • ユーザーアカウント (p. 6) ユーザーアクセス制御 ユーザーアクセス制御は WorkSpaces でサポートされています。UAC 設定はカスタムイメージまた はグループポリシーで定義できます。WorkSpaces に対する管理者特権のあるユーザーは、Windows Control Panel により UAC 設定を変更することもできます。 Version 1.0 5 Amazon WorkSpaces 管理者ガイド 実行モード ファイアウォール WorkSpace には、あらゆるタイプのセキュリティまたはファイアウォールソフトウェアをインストー ルできますが、Amazon WorkSpaces には、WorkSpace で開かれている特定のインバウンドおよびア ウトバウンドポートが必要です。インストールしたセキュリティまたはファイアウォールソフトウェ アがこれらのポートをブロックしている場合は、WorkSpace が適切に機能しないか、アクセスできな い可能性があります。これを解決するには、WorkSpace を再構築する必要があります。WorkSpace にオープンする必要があるポートの詳細については、「管理インターフェイスポート (p. 2)」およ び「プライマリインターフェイスポート (p. 3)」を参照してください。 ユーザーアカウント Amazon WorkSpaces では、ユーザーアカウントについて以下の制限があります。 • Active Directory ユーザーとコンピュータツールを使用して新しいユーザーを作成するか、既存の ユーザーのパスワードをリセットするときに、[User must change password at next logon] を設定 しないでください。ユーザーは WorkSpace に接続できなくなります。代わりに、安全な一時パス ワードをユーザーに割り当てて、ユーザーが次回ログオンしたときに WorkSpace 内から手動でパ スワードを変更するように指示します。 実行モード WorkSpaces は、実行モードによって、すぐに使用できるかどうかとお支払い方法が異なります。次 のうち、いずれかの実行モードを選択できます。 • AlwaysOn — 固定月額料金で WorkSpaces を無制限にご利用いただけます。このモード は、WorkSpace をプライマリデスクトップとしてフルタイム使用するユーザー用に最適です。 • AutoStop — WorkSpaces のご利用に対し、時間単位で料金が発生します。このモードでは、アプリ およびデータを保存した状態と指定の長さのアイドル状態が発生した後、WorkSpaces が停止しま す。自動停止時間を設定するには、[AutoStop Time (hours)] を使用します。 可能な場合は、WorkSpace のルートボリュームにデスクトップの状態が保存されます。ユーザーが ログインすると WorkSpace が再開し、開いていたドキュメントや実行中のプログラムの状態が保 存されていれば、その状態に戻ります。 WorkSpace の実行モードは、コンソールまたは Amazon WorkSpaces API を使用して、いつでも切り 替えることができます。 Version 1.0 6 Amazon WorkSpaces 管理者ガイド AWS 無料アカウント作成方法 Amazon WorkSpaces のセットアッ プ Amazon WorkSpaces を使用する前に、次のタスクを完了します。 タスク • AWS 無料アカウント作成方法 (p. 7) • IAM ユーザーの作成 (p. 7) • Amazon WorkSpaces リソースへのアクセスの制御 (p. 9) • ネットワークの準備 (p. 12) AWS 無料アカウント作成方法 AWS アカウントを使用すると、Amazon WorkSpaces を含めて、AWS のすべてのサービスにアクセ スできます。実際に使用したリソースに対してのみ、料金が発生します。 既に AWS アカウントをお持ちの場合は次のタスクに進んでください。AWS アカウントをお持ちでな い場合は、次に説明する手順にしたがってアカウントを作成してください。 AWS アカウントを作成するには 1. 2. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。 オンラインの手順に従います。 サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて PIN を入 力することが求められます。 IAM ユーザーの作成 AWS アカウント認証情報により、AWS のサービスに対してユーザーが識別され、WorkSpaces など の AWS リソースを無制限に使用する許可が与えられます。セキュリティ認証情報を共有することな く他のユーザーに Amazon WorkSpaces リソースの管理を許可するには、AWS Identity and Access Management(IAM)を使用します。アカウント所有者も含めた全員が IAM ユーザーとして作業する ことをお勧めします。自分用に IAM ユーザーを作成し、その IAM ユーザーに管理者特権を与えて、 それをすべての作業に使用します。 Version 1.0 7 Amazon WorkSpaces 管理者ガイド 管理者アクセス権を持つユーザーを作成する 管理者アクセス権を持つユーザーを作成する AWS にサインアップしても、ご自分の IAM ユーザーをまだ作成していない場合は、IAM コンソール を使用して作成できます。 自分用の IAM ユーザーを作成し、そのユーザーを管理者グループに追加するには 1. https://console.aws.amazon.com/iam/ で Identity and Access Management (IAM) コンソールにサ インインします。 2. ナビゲーションペインで [Users]、[Add user] の順に選択します。 3. [User name] で、ユーザー名 (Administrator など) を入力します。名前には、英数字のほか に、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 64 文字で構成できます。 4. [AWS マネジメントコンソール access] の横のチェックボックスをオンにし、[Custom password] を選択して、新しいユーザーのパスワードをテキストボックスに入力します。オプションとして [Require password reset] を選択し、ユーザーが次回サインインしたときに新しいパスワードを選 択することを強制できます。 5. [Next: Permissions] を選択します。 6. [Set permissions for user] ページで、[Add user to group] を選択します。 7. [Create group] を選択します。 8. [Create group] ダイアログボックスで、新しいグループの名前を入力します。名前には、英数字 のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハ イフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 128 文字で構成できま す。 9. [Filter] で、[Job function] を選択します。 10. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group] を選択します。 11. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて [Refresh] を選択し、リスト内のグループを表示します。 12. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示 します。続行する準備ができたら、[Create user] を選択します。 この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへの アクセス権をユーザーに付与できます。ポリシーを使用して特定の AWS リソースに対するユーザー のアクセス権限を制限する方法については、「アクセス管理」と「AWS リソースの管理に関するポリ シーの例」を参照してください。 IAM ユーザー認証情報でサインインする 新規の IAM ユーザーとしてサインインするには、 AWS マネジメントコンソールからサインアウト し、次の URL を使用します。このとき、your_aws_account_id はハイフンを除いた AWS アカウン ト番号です(たとえば AWS アカウント番号が 1234-5678-9012 であれば、AWS アカウント ID は 123456789012 です)。 https://your_aws_account_id.signin.aws.amazon.com/console/ 作成した IAM ユーザー名とパスワードを入力します。サインインすると、ナビゲーションバーに 「your_user_name @ your_aws_account_id」が表示されます。 サインページの URL に AWS アカウント ID を含めない場合は、アカウントのエイリアスを作成しま す。IAM ダッシュボードから [Customize] を選択し、エイリアス(会社名など)を入力します。アカ ウントエイリアスを作成した後、サインインするには、次の URL を使用します。 Version 1.0 8 Amazon WorkSpaces 管理者ガイド 追加ユーザーを作成する https://your_account_alias.signin.aws.amazon.com/console/ アカウントの IAM ユーザーのサインインリンクを確認するには、IAM コンソールを開き、ダッシュ ボードの [AWS Account Alias] の下を確認します。 追加ユーザーを作成する 追加ユーザーを作成し、IAM ポリシーを使用して、より制限の厳しいアクセス権を AWS に付与する こともできます。詳細については、「Amazon WorkSpaces リソースへのアクセスの制御 (p. 9)」 を参照してください。 Amazon WorkSpaces リソースへのアクセスの制 御 デフォルトでは、IAM ユーザーには Amazon WorkSpaces のリソースおよびオペレーションのための アクセス権限がありません。IAM ユーザーに Amazon WorkSpaces のリソース管理を許可するには、 それらのユーザーにアクセス権限を明示的に付与する IAM ポリシーを作成し、このポリシーをアクセ ス権限を必要とする IAM ユーザーまたはグループにアタッチする必要があります。IAM ポリシーの詳 細については、IAM ユーザーガイド ガイドの Permissions and Policies を参照してください。 Amazon WorkSpaces はまた、Amazon WorkSpaces サービスが必要なリソースにアクセスするのを 許可する IAM ロールを作成します。 IAM の詳細については、「Identity and Access Management (IAM)」およびIAM ユーザーガイドを参照 してください。 Example 1: すべての Amazon WorkSpaces タスクを実行します 次のポリシーステートメントは、高速セットアップ手順の実行だけではなく、ディレクトリの作成や 管理などすべての Amazon WorkSpaces タスクを実行するためのアクセス権限を IAM ユーザーに付与 します。 Amazon WorkSpaces は、API およびコマンドラインツールを使用するときに Action と Resource エレメントを完全にサポートしますが、Amazon WorkSpaces コンソールを正常に使用するために は、その両方を "*" に設定する必要があります。 { "Version": "2012-10-17", "Statement": [ { "Action": [ "workspaces:*", "ds:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", Version 1.0 9 Amazon WorkSpaces 管理者ガイド アクセスの制御 "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeInternetGateways", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup", "workdocs:RemoveUserFromGroup" ], "Effect": "Allow", "Resource": "*" } ] } Example 2: WorkSpace 固有のタスクを実行します 次のポリシーのステートメントは、WorkSpaces の起動や削除など、WorkSpace 固有のタスクのみ を実行するためのアクセス権限を IAM ユーザーに付与します。これらのアクセス権限は、ユーザーが ディレクトリを管理したり、高速セットアップ手順を実行したりすることを許可しません。 { "Version": "2012-10-17", "Statement": [ { "Action": [ "workspaces:*", "ds:*" ], "Effect": "Allow", "Resource": "*" } ] } Amazon WorkSpaces 内のユーザーが Amazon WorkDocs を有効にすることも許可するには、ここに 示す workdocs オペレーションを追加します。 { "Version": "2012-10-17", "Statement": [ { "Action": [ "workspaces:*", Version 1.0 10 Amazon WorkSpaces 管理者ガイド IAM ポリシーで Amazon WorkSpaces リソースを指定する "ds:*", "workdocs:AddUserToGroup", "workdocs:RemoveUserFromGroup" ], "Effect": "Allow", "Resource": "*" } ] } ユーザーが Launch WorkSpaces ウィザードを使用することも許可するには、ここに示す kms オペ レーションを追加します。 { "Version": "2012-10-17", "Statement": [ { "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup", "workdocs:RemoveUserFromGroup", "kms:ListAliases", "kms:ListKeys" ], "Effect": "Allow", "Resource": "*" } ] } IAM ポリシーで Amazon WorkSpaces リソースを指 定する ポリシーステートメントの Resource 要素で Amazon WorkSpaces リソースを指定するためには、リ ソースの Amazon リソースネーム(ARN)を使用する必要があります。IAM ポリシーステートメント の Action 要素に指定された API アクションを使用する権限を許可または拒否することで、Amazon WorkSpaces リソースへのアクセスを制御できます。Amazon WorkSpaces は WorkSpace とバンドル の ARN を定義します。 WorkSpace ARN WorkSpace ARN には次の構文があります。 arn:aws:workspaces:region:account_id:workspace/workspace_identifier ##### WorkSpace があるリージョン。 account_id ハイフンなしの AWS アカウント ID(123456789012 など)。 workspace_identifier WorkSpace の識別子(ws-0123456789 など)。 次に示すのは、特定の WorkSpace を識別するポリシーステートメントの Resource 要素の形式です。 Version 1.0 11 Amazon WorkSpaces 管理者ガイド ネットワークの準備 "Resource":"arn:aws:workspaces:region:account_id:workspace/ workspace_identifier" 「*」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべての WorkSpace を指定できます。 バンドル ARN バンドル ARN には次の構文があります。 arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier ##### WorkSpace があるリージョン。 account_id ハイフンなしの AWS アカウント ID(123456789012 など)。 bundle_identifier WorkSpace バンドルの識別子(wsb-0123456789 など)。 次に示すのは、特定のバンドルを識別するポリシーステートメントの Resource 要素の形式です。 "Resource":"arn:aws:workspaces:region:account_id:workspacebundle/ bundle_identifier" 「*」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべてのバンドルを指 定できます。 ネットワークの準備 以下のトピックでは、Amazon WorkSpaces を使用するためにネットワークを準備する方法を説明し ます。 トピック • クライアントポート (p. 12) • ホワイトリストに登録するドメインとポート (p. 13) • ネットワークでの Simple AD ディレクトリの準備 (p. 14) • ネットワークでの AD Connector ディレクトリの準備 (p. 18) • ネットワークでの Microsoft AD ディレクトリの準備 (p. 26) クライアントポート WorkSpace に接続するためには、Amazon WorkSpaces クライアントが接続されるネットワークに 複数の AWS サービス(サブセットとして配置)の IP アドレス範囲に開放された特定のポートが存在 する必要があります。これらのアドレス範囲は、AWS リージョンごとに異なります。これらと同じ ポートが、クライアントで実行されているファイアウォールでも開かれている必要があります。異な るリージョンの IP アドレス範囲の一覧については、アマゾン ウェブ サービス全般のリファレンス で AWSの IP アドレス範囲を参照してください。 ポート 4172 アウトバウンド(UDP と TCP) このポートは WorkSpace デスクトップとユーザー入力のストリーミングに使用されます。 Version 1.0 12 Amazon WorkSpaces 管理者ガイド ホワイトリストに登録するドメインとポート • WorkSpace が所在するリージョンの EC2 サブセットに対応するすべての IP アドレス範囲を開 放する必要があります。 ポート 443 アウトバウンド(TCP) このポートは、クライアントアプリケーションの更新、登録、認証に使用されます。デスクトッ プクライアントアプリケーションはポート 443 (HTTPS) トラフィックのプロキシサーバーの使用 をサポートします。詳細については、「プロキシサーバー - Windows (p. 99)」および「プロキ シサーバー - OS X (p. 101)」を参照してください。 • GLOBAL リージョンの AMAZON サブセットに対応するすべての IP アドレス範囲を開放する必要 があります。 • WorkSpace が所在するリージョンの AMAZON サブセットに対応するすべての IP アドレス範囲 を開放する必要があります。 Amazon WorkSpaces クライアントアプリケーションは、ポート 4172 でネットワークのヘルス チェックを行います。このチェックで、TCP または UDP トラフィックがクライアントアプリケー ションから Amazon WorkSpaces 本稼働サーバーにストリーミングされるかどうかを検証します。こ れを正常に行うには、ファイアウォールポリシーで以下のリージョンのネットワークヘルスチェック サーバーを考慮に入れておく必要があります。 ネットワークヘルスチェックサーバー リージョン ネットワークヘルスチェックサーバー 米国東部(バージニア北部) drp-iad.amazonworkspaces.com 米国西部 (オレゴン) drp-pdx.amazonworkspaces.com 欧州 (アイルランド) drp-dub.amazonworkspaces.com 欧州 (フランクフルト) drp-fra.amazonworkspaces.com アジアパシフィック (シンガポール) drp-sin.amazonworkspaces.com アジアパシフィック (シドニー) drp-syd.amazonworkspaces.com アジアパシフィック (東京) drp-nrt.amazonworkspaces.com ホワイトリストに登録するドメインとポート Amazon WorkSpaces クライアントアプリケーションが Amazon WorkSpaces サービスにアクセスで きるようにするには、クライアントがサービスへのアクセスを試みるネットワーク上のホワイトリス トに、以下のドメインとポートを登録している必要があります。 ホワイトリストに登録するドメインとポート カテゴリ ホワイトリストに登録 セッションブローカー(PCM) ドメイン: • https://skylight-cm.us-east-1.amazonaws.com • https://skylight-cm.us-west-2.amazonaws.com • https://skylight-cm.eu-west-1.amazonaws.com • https://skylight-cm.eucentral-1.amazonaws.com • https://skylight-cm.apsoutheast-1.amazonaws.com Version 1.0 13 Amazon WorkSpaces 管理者ガイド Simple AD ディレクトリ カテゴリ ホワイトリストに登録 • https://skylight-cm.apsoutheast-2.amazonaws.com • https://skylight-cm.apnortheast-1.amazonaws.com PCoIP Session Gateway (PSG) PCoIP ゲートウェイの IP 範囲 (p. 3) PCoIP Healthcheck(DRP) これらのドメインの TCP:4172 および UDP:4172: • drp-iad.amazonworkspaces.com • drp-pdx.amazonworkspaces.com • drp-dub.amazonworkspaces.com • drp-fra.amazonworkspaces.com • drp-sin.amazonworkspaces.com • drp-syd.amazonworkspaces.com • drp-nrt.amazonworkspaces.com デバイスメトリクス https://device-metrics-us-2.amazon.com/ Forrester Log Service https://fls-na.amazon.com/ ディレクトリ設定 お客様のディレクトリ設定: • https://d21ui22avrxoh6.cloudfront.net/prod/ <region>/<directory name> お客様のディレクトリレベルの共同ブランド化 に使用されるログインページのグラフィック: • https://d1cbg795sa4g1u.cloudfront.net/prod/ <region>/<directory name> ログインページのスタイル設定に使用される CSS ファイル: • https://workspaces-clientcss.s3.amazonaws.com クライアントの自動更新 https://d2td7dqidlhjx7.cloudfront.net/ 登録の依存関係 https://s3.amazonaws.com 接続の確認 https://connectivity.amazonworkspaces.com/ ユーザーログインページ https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン) ネットワークでの Simple AD ディレクトリの準備 Amazon WorkSpaces は AWS Directory Service Simple AD ディレクトリを使用してユーザーと WorkSpace の情報をクラウドに保存します。以下のトピックでは、クラウドで Simple AD ディレク トリをセットアップするためにネットワークを準備する方法を説明します。 Version 1.0 14 Amazon WorkSpaces 管理者ガイド Simple AD ディレクトリ トピック • アーキテクチャ (p. 15) • 要件 (p. 15) • Simple AD ディレクトリのインターネットアクセス (p. 15) アーキテクチャ 次の図は、Simple AD ディレクトリにおける Amazon WorkSpaces の基本アーキテクチャを示しま す。 要件 Simple AD ディレクトリを作成するには、AWS Directory Service Administration Guideの「前提条 件」に記載されている前提条件を満たす必要があります。 Amazon WorkSpaces で使用するために VPC をセットアップする方法について説明するチュートリア ルについては、「ステップ 1: VPC の作成と設定 (p. 81)」を参照してください。 Simple AD ディレクトリのインターネットアクセス Simple AD ディレクトリで起動する WorkSpaces は、デフォルトではインターネットと通信すること はできません。WorkSpaces にインターネットアクセスを許可するには、次のいずれかの方法を使用 する必要があります。 トピック • Simple AD ディレクトリのパブリック IP アドレス (p. 15) • Simple AD ディレクトリの NAT ゲートウェイ (p. 17) Simple AD ディレクトリのパブリック IP アドレス インターネットゲートウェイをディレクトリで使用する VPC にアタッチし、各 WorkSpace にパブ リック IP アドレスを割り当てます。WorkSpaces にパブリック IP アドレスを割り当てるには、各 Version 1.0 15 Amazon WorkSpaces 管理者ガイド Simple AD ディレクトリ WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当てるか、プロビ ジョニングまたは再構築された各 WorkSpace に Amazon WorkSpaces で自動的にパブリック IP アド レスを割り当てることができます。Simple AD ディレクトリでのパブリック IP アドレスの自動割り当 ての詳細については、「インターネットアクセス (p. 43)」を参照してください。 トピック • インターネットゲートウェイとルーティング (p. 16) • WorkSpace への Elastic IP アドレスの割り当て (p. 16) インターネットゲートウェイとルーティング インターネットゲートウェイとサブネットルーティングをセットアップするには、以下の手順を実行 します。 1. VPC にまだインターネットゲートウェイがない場合は、インターネットゲートウェイを作成し、 ディレクトリで使用する VPC にアタッチします。詳細については、『Amazon VPC ユーザーガ イド』の「VPC へのインターネットゲートウェイの追加」を参照してください。 2. WorkSpaces のセキュリティグループで、すべての宛先(0.0.0.0/0)へのポート 80(HTTP)と 443(HTTPS)のアウトバウンドトラフィック(HTTPS)を許可します。WorkSpaces セキュリ ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 4)」を参照し てください。 3. 両方の WorkSpaces サブネットのルートテーブルを変更し、インターネットゲートウェイにすべ ての VPC 以外のトラフィックをルーティングします。 WorkSpaces サブネットのルートテーブル 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ WorkSpace への Elastic IP アドレスの割り当て 以下の手順では、WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当 てる方法を説明します。 プロビジョニングまたは再構築された各 WorkSpace に、Amazon WorkSpaces で自動的にパブリッ ク IP アドレスを割り当てることができます。詳細については、「インターネットアクセス(Simple AD) (p. 43)」または「インターネットアクセス(AD Connector) (p. 46)」を参照してくださ い。 WorkSpace に Elastic IP アドレスを割り当てるには 1. 2. 3. 4. 5. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 ナビゲーションペインで [WorkSpaces] を選択し、Elastic IP アドレスを適用する WorkSpace を 選択したら、右矢印ボタンを選択して WorkSpace の詳細を表示します。[WorkSpace IP] の値を 書き留めておきます。 https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 ナビゲーションペインで [Elastic IPs] を選択し、使用していない VPC アドレスを選択するか、ま たは VPC の新しいアドレスを割り当てます。 アドレスを選択し、[Associate Address] を選択して、ステップ 2 で見つかった WorkSpace の IP の値を [Network Interface] フィールドに入力します。その IP アドレスが割り当てられた Elastic Network Interface (ENI) の識別子が、検索リストに表示されます。これは WorkSpace の ENI で す。ENI 識別子を選択します。WorkSpace の IP が [Private IP Address] フィールドに表示されま す。 Version 1.0 16 Amazon WorkSpaces 管理者ガイド Simple AD ディレクトリ 6. [Reassociation] を選択し、必要に応じて後で Elastic IP アドレスを再割り当てできるようにし て、[Associate] を選択します。 7. WorkSpaces のセキュリティグループで、すべての宛先(0.0.0.0/0)へのポート 80(HTTP)と 443(HTTPS)のアウトバウンドトラフィック(HTTPS)を許可します。WorkSpaces セキュリ ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 4)」を参照し てください。 8. これで、WorkSpace からのインターネット接続が許可されました。既存の各 WorkSpace につい て、このプロセスを繰り返します。 Simple AD ディレクトリの NAT ゲートウェイ ディレクトリで使用されている VPC のパブリックサブネット (インターネットゲートウェイがア タッチされたサブネット) で、ネットワークアドレス変換 (NAT) ゲートウェイを実装します。NAT ゲートウェイは WorkSpaces とは別のサブネットにある必要があります。これにより、すべての WorkSpaces がインターネットにアクセスできるようになります。この手順の詳細については、 『Amazon VPC ユーザーガイド』の「NAT ゲートウェイ」を参照してください。 NAT ゲートウェイをセットアップし、WorkSpaces でインターネットアクセスを許可するには、以下 のステップを実行します。この例の手順では、WorkSpaces 用に 2 つのプライベートサブネットを持 つ既存の VPC があることを前提としています。完了すると、VPC は以下のようになります。 NAT ゲートウェイをセットアップするには 1. インターネットゲートウェイを作成して VPC にアタッチします。 Version 1.0 17 Amazon WorkSpaces 管理者ガイド AD Connector ディレクトリ 2. NAT ゲートウェイ用に別のサブネットを作成し、このサブネットで NAT ゲートウェイを作成し ます。NAT ゲートウェイには、Elastic IP アドレスが必要です。 3. NAT ゲートウェイを含むサブネットに割り当てられたルートテーブルを変更し、すべての VPC 以外のトラフィックをインターネットゲートウェイにルーティングするようにします。 NAT サブネットルートテーブル 4. 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ すべての VPC 以外のトラフィックをNAT ゲートウェイにルーティングするルートテーブルを作 成し、このルートテーブルを両方の WorkSpaces サブネットに割り当てます。このルートテーブ ルは次のようになります。 WorkSpaces サブネットのルートテーブル 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 NAT ゲートウェイ 5. WorkSpaces のセキュリティグループで、すべての宛先(0.0.0.0/0)へのポート 80(HTTP)と 443(HTTPS)のアウトバウンドトラフィック(HTTPS)を許可します。WorkSpaces セキュリ ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 4)」を参照し てください。 6. これで、WorkSpaces からのインターネット接続が許可されました。WorkSpace に接続し、ウェ ブブラウザを使ってインターネットに接続できることを確認します。 Note または、パブリックサブネットで NAT インスタンスを作成することもできます。ただ し、NAT インスタンスが 1 つの場合、単一障害点が発生します。NAT ゲートウェイを使 用することをお勧めします。 ネットワークでの AD Connector ディレクトリの準 備 Amazon WorkSpaces は AWS Directory Service AD Connector ディレクトリを使用してオンプレ ミスディレクトリに接続します。以下のトピックでは、オンプレミスのディレクトリに Amazon WorkSpaces を接続するように準備する方法を説明します。 トピック • アーキテクチャ (p. 19) • 要件 (p. 20) • AD Connector ディレクトリのインターネットアクセス (p. 20) • 多要素認証の前提条件 (p. 23) • 接続権限の委任 (p. 23) • 接続の確認 (p. 25) Version 1.0 18 Amazon WorkSpaces 管理者ガイド AD Connector ディレクトリ アーキテクチャ AD Connector ディレクトリおよび VPN を使用した Amazon WorkSpaces の基本システムアーキテク チャを次に示します。 AD Connector ディレクトリおよび AWS Direct Connect を使用した Amazon WorkSpaces の基本シス テムアーキテクチャを次に示します。 Version 1.0 19 Amazon WorkSpaces 管理者ガイド AD Connector ディレクトリ 要件 AD Connector を使用してオンプレミスディレクトリに接続するには、『AWS Directory Service Administration Guide』の「 の前提条件」に示されている前提条件を満たす必要があります。 また、以下が必要になります。 • Amazon WorkSpaces の場合、オンプレミスのディレクトリと通信するには、オンプレミスのネッ トワークのファイアウォールで VPC の両方のサブネットの CIDR に対して以下のポートが開かれて いる必要があります。 • TCP/UDP 53 - DNS • TCP/UDP 88 - Kerberos authentication • UDP 123 - NTP • TCP 135 - RPC • UDP 137-138 - Netlogon • TCP 139 - Netlogon • TCP/UDP 389 - LDAP • TCP/UDP 445 - SMB • TCP 1024-65535 - Dynamic ports for RPC これらの条件が満たされるかどうかテストするには、オンプレミスのディレクトリに接続する前に、 「接続の確認 (p. 25)」を参照してください。 AD Connector ディレクトリのインターネットアクセス AD Connector ディレクトリで起動する WorkSpaces は、デフォルトではインターネットと通信する ことはできません。WorkSpaces にインターネットアクセスを許可するには、次のいずれかの方法を 使用する必要があります。 トピック • オンプレミスのファイアウォール (p. 20) • AD Connector ディレクトリのパブリック IP アドレス (p. 21) • AD Connector ディレクトリの NAT ゲートウェイ (p. 21) オンプレミスのファイアウォール WorkSpaces にオンプレミスのネットワークのインターネットファイアウォールへのアクセスを許可 します。サブネットにファイアウォールへのアクセスを許可するようにルートテーブルを調整する必 要があります。 Version 1.0 20 Amazon WorkSpaces 管理者ガイド AD Connector ディレクトリ AD Connector ディレクトリのパブリック IP アドレス WorkSpaces にパブリック IP アドレスを割り当てるには、各 WorkSpace のネットワークインター フェイスに Elastic IP アドレスを手動で割り当てるか、プロビジョニングまたは再構築されたすべて の WorkSpace に Amazon WorkSpaces で自動的にパブリック IP アドレスを割り当てることができま す。AD Connector ディレクトリでのパブリック IP アドレスの自動割り当ての詳細については、「イ ンターネットアクセス (p. 46)」を参照してください。 インターネットゲートウェイをセットアップし、WorkSpaces に Elastic IP アドレスを割り当てる方 法の詳細については、「Simple AD ディレクトリのパブリック IP アドレス (p. 15)」を参照してく ださい。 AD Connector ディレクトリの NAT ゲートウェイ ディレクトリで使用されている VPC のパブリックサブネット (インターネットゲートウェイがアタッ チされたサブネット) で、ネットワークアドレス変換 (NAT) ゲートウェイを実装します。これによ り、すべての WorkSpaces がインターネットにアクセスできるようになります。この手順の詳細につ いては、『Amazon VPC ユーザーガイド』の「NAT ゲートウェイ」を参照してください。 WorkSpaces でインターネットアクセスを許可にするように NAT ゲートウェイをセットアップする方 法については、「Simple AD ディレクトリの NAT ゲートウェイ (p. 17)」を参照してください。完 了すると、VPC は以下のようになります。 Version 1.0 21 Amazon WorkSpaces 管理者ガイド AD Connector ディレクトリ NAT ゲートウェイをセットアップするには 1. インターネットゲートウェイを作成して VPC にアタッチします。 2. NAT ゲートウェイ用に別のサブネットを作成し、このサブネットで NAT ゲートウェイを作成し ます。NAT ゲートウェイには、Elastic IP アドレスが必要です。 3. NAT ゲートウェイを含むサブネットに割り当てられたルートテーブルを変更し、すべての VPC 以外のトラフィックをインターネットゲートウェイにルーティングするようにします。 NAT サブネットルートテーブル 4. 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ すべての VPC 以外のトラフィックをNAT ゲートウェイにルーティングするルートテーブルを作 成し、このルートテーブルを両方の WorkSpaces サブネットに割り当てます。このルートテーブ ルは次のようになります。 WorkSpaces サブネットのルートテーブル 送信先 ターゲット VPC CIDR ローカル Version 1.0 22 Amazon WorkSpaces 管理者ガイド AD Connector ディレクトリ 送信先 ターゲット 0.0.0.0/0 NAT ゲートウェイ 5. WorkSpaces のセキュリティグループで、すべての宛先(0.0.0.0/0)へのポート 80(HTTP)と 443(HTTPS)のアウトバウンドトラフィック(HTTPS)を許可します。WorkSpaces セキュリ ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 4)」を参照し てください。 6. これで、WorkSpaces からのインターネット接続が許可されました。WorkSpace に接続し、ウェ ブブラウザを使ってインターネットに接続できることを確認します。 Note または、パブリックサブネットで NAT インスタンスを作成することもできます。ただ し、NAT インスタンスが 1 つの場合、単一障害点が発生します。NAT ゲートウェイを使 用することをお勧めします。 多要素認証の前提条件 AD Connector ディレクトリで多要素認証をサポートするには、以下が必要です。 • 2 個のクライアントのエンドポイントを持つ、オンプレミスネットワーク内の Remote Authentication Dial In User Service (RADIUS) サーバー。RADIUS クライアントエンドポイントには 次の要件があります。 • エンドポイントを作成するには、AD Connector サーバーの IP アドレスが必要です。これらの IP アドレスは、Amazon WorkSpaces ディレクトリの詳細の [Directory IP Address] フィールドから 取得できます。 • 2 つの RADIUS エンドポイントが同じ共有シークレットコードを使用する必要があります。 • オンプレミスネットワークでは、AD Connector サーバーからのデフォルトの RADIUS サーバー ポート(1812)を介した受信トラフィックが許可されている必要があります。 • RADIUS サーバーとオンプレミスディレクトリの間でユーザー名が同じである必要があります。 AD Connector ディレクトリで多要素認証を有効にする方法の詳細については、「多要素認 証 (p. 47)」を参照してください。 接続権限の委任 AD Connector がオンプレミスディレクトリに接続するには、特定の権限を持つ、オンプレミス ディレクトリでのアカウントの認証情報が必要です。ドメインの管理者グループのメンバーには ディレクトリに接続するための十分な権限がありますが、ベストプラクティスとして、そのディ レクトリへの接続に必要な最小限の権限のみを持つアカウントを使用してください。以下の手順 は、WorkSpaces_Connectors という新しいグループを作成し、Amazon WorkSpaces をディレクト リに接続するために必要な権限をこのグループに委任する方法を示しています。 この手順はディレクトリに結合され、[Active Directory User and Computers] MMC スナップインがイ ンストールされたマシンで実行される必要があります。ドメイン管理者としてログインする必要があ ります。 1. [Active Directory User and Computers] を開き、ナビゲーションツリーのドメインルートを選択し ます。 Version 1.0 23 Amazon WorkSpaces 管理者ガイド AD Connector ディレクトリ 2. 左側のペインのリストで、[Users] のコンテキスト(右クリック)メニューを開き、[New]、 [Group] を選択します。 3. [New Object - Group] ダイアログボックスで、以下の値を入力し、[OK] を選択します。 4. フィールド 値/選択 グループ名 WorkSpaces_Connectors Group scope グローバル Group type セキュリティ [Active Directory User and Computers] ナビゲーションツリーで、ドメインルートを選択します。 メニューで、[Action]、[Delegate Control] の順に選択します。 Version 1.0 24 Amazon WorkSpaces 管理者ガイド AD Connector ディレクトリ 5. [Delegation of Control Wizard] ページで、[Next]、[Add] の順に選択します。 6. [Select Users, Computers, or Groups] ダイアログボックスで「WorkSpaces_Connectors」 と入力し、[OK] を選択します。複数のオブジェクトがある場合は、上記で作成した WorkSpaces_Connectors グループを選択します。[Next] を選択します。 7. [Tasks to Delegate] ページで、[Read all user information] と [Join a computer to the domain] のみ を選択したら、[Next] を選択します。 8. [Completing the Delegation of Control Wizard] ページの情報を確認し、[Finish] を選択します。 9. 強力なパスワードでユーザーを作成し、そのユーザーを WorkSpaces_Connectors グループに 追加します。ユーザーには、ディレクトリに Amazon WorkSpaces を接続するための十分な権限 が与えられます。 接続の確認 AD Connector でオンプレミスディレクトリに接続するには、オンプレミスネットワークのファイア ウォールで VPC の両方のサブネットの CIDR に対して特定のポートが開かれている必要があります。 Version 1.0 25 Amazon WorkSpaces 管理者ガイド Microsoft AD ディレクトリ これらの要件が満たされているかどうかをテストするには、以下の手順を実行します。詳細について は、『AWS Directory Service Administration Guide』の「接続の確認」を参照してください。 接続を確認するには 1. VPC で Windows インスタンスを起動し、RDP 経由でインスタンスに接続します。残りの手順 は、VPC インスタンスで実行します。 2. DirectoryServicePortTest テストアプリケーションをダウンロードして解凍します。ソースコード と Visual Studio プロジェクトファイルが含まれており、必要に応じてテストアプリケーションを 変更できます。 3. Windows のコマンドプロンプトで、次のオプションを指定して DirectoryServicePortTest テスト アプリケーションを実行します。 DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,135,389,445,3268,5722,9389" -udp "53,88,123,138,389,445" <domain_name> 完全修飾ドメイン名。これは、フォレストとドメインの機能レベルをテストするために使用 されます。ドメイン名を除外した場合、機能レベルはテストされません。 <server_IP_address> オンプレミスドメインのドメインコントローラーの IP アドレス。ポートはこの IP アドレス に対してテストされます。IP アドレスを除外した場合、ポートはテストされません。 これによって、必要なポートが VPC からドメインに開かれているかどうかを特定します。テスト アプリケーションは、最小限のフォレストとドメインの機能レベルも確認します。 出力は以下のようになります。 Testing forest functional level. Forest Functional Level = Windows2008R2Forest : PASSED Testing domain functional level. Domain Functional Level = Windows2008R2Domain : PASSED Testing required TCP ports to <server_IP_address>: Checking TCP port 53: PASSED ... Testing required UDP ports to <server_IP_address>: Checking UDP port 53: PASSED ... ネットワークでの Microsoft AD ディレクトリの準備 Amazon WorkSpaces は Microsoft AD ディレクトリを使用してユーザーと WorkSpace の情報をクラ ウドに保存します。以下のトピックでは、クラウドで Microsoft AD ディレクトリをセットアップする ためにネットワークを準備する方法を説明します。 トピック • 要件 (p. 27) • Microsoft AD ディレクトリのインターネットアクセス (p. 27) Version 1.0 26 Amazon WorkSpaces 管理者ガイド Microsoft AD ディレクトリ 要件 Microsoft AD ディレクトリを作成するには、AWS Directory Service Administration Guideの「前提条 件」に記載されている前提条件を満たす必要があります。 Amazon WorkSpaces で使用するために VPC をセットアップする方法について説明するチュートリア ルについては、「ステップ 1: VPC の作成と設定 (p. 81)」を参照してください。 Microsoft AD ディレクトリのインターネットアクセス Microsoft AD ディレクトリで起動する WorkSpaces は、デフォルトではインターネットと通信するこ とはできません。WorkSpaces にインターネットアクセスを許可するには、次のいずれかの方法を使 用する必要があります。 トピック • Microsoft AD ディレクトリのパブリック IP アドレス (p. 27) • Microsoft AD ディレクトリの NAT ゲートウェイ (p. 28) Microsoft AD ディレクトリのパブリック IP アドレス インターネットゲートウェイをディレクトリで使用する VPC にアタッチし、各 WorkSpace にパブ リック IP アドレスを割り当てます。WorkSpaces にパブリック IP アドレスを割り当てるには、各 WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当てるか、プロビ ジョニングまたは再構築された各 WorkSpace に Amazon WorkSpaces で自動的にパブリック IP アド レスを割り当てることができます。Microsoft AD ディレクトリでのパブリック IP アドレスの自動割り 当ての詳細については、「インターネットアクセス (p. 43)」を参照してください。 トピック • インターネットゲートウェイとルーティング (p. 27) • WorkSpace への Elastic IP アドレスの割り当て (p. 28) インターネットゲートウェイとルーティング インターネットゲートウェイとサブネットルーティングをセットアップするには、以下の手順を実行 します。 インターネットゲートウェイとサブネットのルーティングを設定するには 1. VPC にまだインターネットゲートウェイがない場合は、インターネットゲートウェイを作成し、 ディレクトリで使用する VPC にアタッチします。詳細については、Amazon VPC ユーザーガイ ドの「VPC へのインターネットゲートウェイの追加」を参照してください。 2. WorkSpaces のセキュリティグループで、すべての宛先(0.0.0.0/0)へのポート 80(HTTP)と 443(HTTPS)のアウトバウンドトラフィック(HTTPS)を許可します。WorkSpaces セキュリ ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 4)」を参照し てください。 3. 両方の WorkSpaces サブネットのルートテーブルを変更し、インターネットゲートウェイにすべ ての VPC 以外のトラフィックをルーティングします。 WorkSpaces サブネットのルートテーブル 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ Version 1.0 27 Amazon WorkSpaces 管理者ガイド Microsoft AD ディレクトリ WorkSpace への Elastic IP アドレスの割り当て 以下の手順では、WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当 てる方法を説明します。 プロビジョニングまたは再構築された各 WorkSpace に、Amazon WorkSpaces で自動的にパブリッ ク IP アドレスを割り当てることができます。詳細については、「インターネットアクセス(Simple AD) (p. 43)」または「インターネットアクセス(AD Connector) (p. 46)」を参照してくださ い。 WorkSpace に Elastic IP アドレスを割り当てるには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpaces] を選択し、Elastic IP アドレスを適用する WorkSpace を 選択し、右矢印ボタンを選択して WorkSpace の詳細を表示します。[WorkSpace IP] の値を書き 留めておきます。 3. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 4. ナビゲーションペインで [Elastic IPs] を選択し、使用していない VPC アドレスを選択するか、ま たは VPC の新しいアドレスを割り当てます。 5. アドレスを選択し、[Associate Address] を選択して、ステップ 2 で見つかった WorkSpace の IP の値を [Network Interface] フィールドに入力します。その IP アドレスが割り当てられた Elastic Network Interface (ENI) の識別子が、検索リストに表示されます。これは WorkSpace の ENI で す。ENI 識別子を選択します。WorkSpace の IP が [Private IP Address] フィールドに表示されま す。 6. [Reassociation] を選択し、必要に応じて後で Elastic IP アドレスを再割り当てできるようにし て、[Associate] を選択します。 7. WorkSpaces のセキュリティグループで、すべての宛先(0.0.0.0/0)へのポート 80(HTTP)と 443(HTTPS)のアウトバウンドトラフィック(HTTPS)を許可します。WorkSpaces セキュリ ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 4)」を参照し てください。 8. これで、WorkSpace からのインターネット接続が許可されました。既存の各 WorkSpace につい て、このプロセスを繰り返します。 Microsoft AD ディレクトリの NAT ゲートウェイ ディレクトリで使用されている VPC のパブリックサブネット (インターネットゲートウェイがア タッチされたサブネット) で、ネットワークアドレス変換 (NAT) ゲートウェイを実装します。NAT ゲートウェイは WorkSpaces とは別のサブネットにある必要があります。これにより、すべての WorkSpaces がインターネットにアクセスできるようになります。この手順の詳細については、 『Amazon VPC ユーザーガイド』の「NAT ゲートウェイ」を参照してください。 NAT ゲートウェイをセットアップし、WorkSpaces でインターネットアクセスを許可するには、以下 のステップを実行します。この例の手順では、WorkSpaces 用に 2 つのプライベートサブネットを持 つ既存の VPC があることを前提としています。完了すると、VPC は次の図のようになります。 Version 1.0 28 Amazon WorkSpaces 管理者ガイド Microsoft AD ディレクトリ NAT ゲートウェイをセットアップするには 1. インターネットゲートウェイを作成して VPC にアタッチします。 2. NAT ゲートウェイ用に別のサブネットを作成し、このサブネットで NAT ゲートウェイを起動し ます。NAT ゲートウェイには、Elastic IP アドレスが必要です。 3. NAT ゲートウェイを含むサブネットに割り当てられたルートテーブルを変更し、すべての VPC 以外のトラフィックをインターネットゲートウェイにルーティングするようにします。 NAT サブネットルートテーブル 4. 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ すべての VPC 以外のトラフィックをNAT ゲートウェイにルーティングするルートテーブルを作 成し、このルートテーブルを両方の WorkSpaces サブネットに割り当てます。このルートテーブ ルは次のようになります。 WorkSpaces サブネットのルートテーブル 送信先 ターゲット VPC CIDR ローカル Version 1.0 29 Amazon WorkSpaces 管理者ガイド Microsoft AD ディレクトリ 送信先 ターゲット 0.0.0.0/0 NAT ゲートウェイ 5. WorkSpaces のセキュリティグループで、すべての宛先(0.0.0.0/0)へのポート 80(HTTP)と 443(HTTPS)のアウトバウンドトラフィック(HTTPS)を許可します。WorkSpaces セキュリ ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 4)」を参照し てください。 6. これで、WorkSpaces からのインターネット接続が許可されました。WorkSpace に接続し、ウェ ブブラウザを使ってインターネットに接続できることを確認します。 1 つの NAT インスタンスにより、単一の障害点が発生します。高可用性を実現するために、異なるア ベイラビリティーゾーンで複数の NAT インスタンスを作成する必要があります。詳細については、 「Amazon VPC NAT インスタンスの高可用性: 例」を参照してください。 Note または、パブリックサブネットで NAT インスタンスを作成することもできます。ただ し、NAT インスタンスが 1 つの場合、単一障害点が発生します。NAT ゲートウェイを使用す ることをお勧めします。 Version 1.0 30 Amazon WorkSpaces 管理者ガイド クイックスタート Amazon WorkSpaces の使用開始 Amazon WorkSpaces を開始するには、2 とおりの方法があります。Simple AD ディレクトリを使用 して Amazon WorkSpaces をすばやく起動し実行するクイックスタート手順 (p. 31)があります。 クイックスタート手順はサービスの評価に使用するものです。特定のリージョンでクイックスター ト手順を完了した後は、再実行はできません。詳細については、「Amazon WorkSpaces クイックス タート (p. 31)」を参照してください。 2 番目の方法は、より高度な方法で、ディレクトリの作成をさらに細かく制御できます。詳細につい ては、「高度な設定 (p. 37)」を参照してください。 トピック • Amazon WorkSpaces クイックスタート (p. 31) • 高度な設定 (p. 37) Amazon WorkSpaces クイックスタート このクイックスタートの手順を使用すると、Amazon WorkSpaces をすばやく簡単に起動して実行す ることができます。 トピック • 前提条件 (p. 31) • ご利用開始にあたって (p. 32) • セットアップタイプを選択します。 (p. 32) • 高速セットアップ (p. 33) 前提条件 Amazon WorkSpaces のクイックスタート手順を使用するには、次の前提条件を満たす必要がありま す。 AWS アカウント Amazon WorkSpaces を使用するには、AWS アカウントが必要です。詳細については、「AWS 無料アカウント作成方法 (p. 7)」を参照してください。 Version 1.0 31 Amazon WorkSpaces 管理者ガイド ご利用開始にあたって Amazon WorkSpaces クライアントの前提条件 いずれかの Amazon WorkSpaces クライアントアプリケーションを使用して WorkSpace にアク セスするには、「Amazon WorkSpaces クライアントの前提条件 (p. 96)」に説明されている要 件を満たす必要があります。 ご利用開始にあたって 希望するリージョンの Amazon WorkSpaces コンソールを開き、AWS の認証情報でサインインし て、[Get Started Now] を選択します。 選択するリージョンがわからない場合は、接続状態の確認ウェブサイトで最適なリージョンを選択す ることをお勧めします。推奨内容は、ポートの接続性、接続速度、Amazon WorkSpaces サービスに 接続するデバイスの機能などの、いくつかの要因に基づいています。 セットアップタイプを選択します。 Amazon WorkSpaces はネットワークディレクトリを使用して、ユーザーと WorkSpace 情報を格納し ます。使用する Amazon WorkSpaces ディレクトリのセットアップタイプを選択します。 [Quick Setup] 手順を使用すると、Amazon WorkSpaces をすばやく簡単に起動して実行できま す。Amazon WorkSpaces は、最小限の管理のみを必要とするディレクトリをクラウドに作成し、 セットアップします。 Note 高速セットアップは、欧州 (フランクフルト) リージョンではサポートされていません。 [Advanced Setup] 手順を使用すると、Amazon WorkSpaces ディレクトリの設定をより詳細に制御で きます。ディレクトリは、クラウドに配置するか、オンプレミスのディレクトリに接続できます。 次のいずれかのオプションを選択します。 • 高速セットアップを使用するには、[Launch Quick Setup] を選択し、「高速セットアッ プ (p. 33)」を参照してください。 Version 1.0 32 Amazon WorkSpaces 管理者ガイド 高速セットアップ • 高度なセットアップを使用するには、[Launch Advanced Setup] を選択し、「高度な設 定 (p. 37)」を参照してください。 高速セットアップ [Quick Setup] 手順を使用すると、Amazon WorkSpaces をすばやく簡単に起動して実行できま す。Amazon WorkSpaces は、最小限の管理のみを必要とするディレクトリをクラウドに作成し、 セットアップします。 Note 高速セットアップは、欧州 (フランクフルト) リージョンではサポートされていません。 高速セットアップの前提条件 この手順では、ユーザーに代わって仮想プライベートゲートウェイクラウド(VPC)を作成します。 このため、AWS アカウントでは、WorkSpaces を作成するリージョンで少なくとも 1 つの利用可能 な VPC を作成する必要があります。この VPC 内で、Amazon WorkSpaces はインターネットゲート ウェイも作成する必要があるので、AWS アカウントでは WorkSpaces を作成するリージョンで少な くとも 1 つの利用可能なインターネットゲートウェイを作成する必要があります。 VPC の詳細については、「Amazon VPC とは」を参照してください(「Amazon VPC ユーザーガイ ド」)。 インターネットゲートウェイの詳細については、『Amazon VPC ユーザーガイド』の「VPC へのイン ターネットゲートウェイの追加」を参照してください。 WorkSpace バンドルの選択とユーザーの作成 1. [Available WorkSpace Bundles] セクションで、希望する WorkSpace バンドルを選択します。 リージョンで複数のオペレーティングシステムの言語を使用できる場合は、目的のオペレーティ ングシステムの言語を選択することもできます。利用可能なさまざまなバンドルの詳細について は、「Amazon WorkSpaces 製品の詳細」を参照してください。 2. [Enter User Details] セクションで、WorkSpace ユーザーについてリクエストされた情報を入力し ます。入力される最初のユーザーが Amazon WorkSpaces 管理者になり、管理者権限が与えられ ます。 Version 1.0 33 Amazon WorkSpaces 管理者ガイド 高速セットアップ 3. 複数のユーザーを追加するには、[Create Additional Users] を選択し、次のユーザーのフィールド に入力します。すべてのユーザーに対してこれを繰り返します。すべてのユーザー情報を入力し たら、[Launch WorkSpaces] を選択します。 Note 上の画像は参考のために示しているものです。実際のバンドル、バンドルの内容、料金は異 なる場合があります。 クイックスタート手順で Amazon WorkSpaces によって行われる操作の詳細については、「高速セッ トアップの詳細 (p. 36)」を参照してください。 WorkSpaces の起動 Amazon WorkSpaces インフラストラクチャが作成され、WorkSpaces が起動されるまでには数分か かります。[View the WorkSpaces Console] を選択すると、WorkSpaces のステータスをモニタリング できます。 Version 1.0 34 Amazon WorkSpaces 管理者ガイド 高速セットアップ WorkSpace のステータスの監視 WorkSpaces が起動されている間、Amazon WorkSpaces コンソールの [WorkSpaces] セクションでス テータスを監視できます。WorkSpaces は "Pending" 状態で開始され、起動が完了すると、"Running" 状態に変わります。 WorkSpaces の準備完了 WorkSpaces が使用できるようになると、ようこそ E メールが個々のユーザーに送信されます。よう こそ E メールにはユーザーがアカウントを作成し、Amazon WorkSpaces クライアントをダウンロー ドおよびインストールする手順と、WorkSpace にログインする手順が含まれています。E メールのテ キストは以下のようなものになります。 Greetings, A new Amazon WorkSpace has been provided for you. Follow the steps below to quickly get up and running with your WorkSpace: 1. Complete your user profile and download a WorkSpace client using the following link: link_to_registration. 2. Launch the client and enter the following registration code: registration_code. 3. Log in with your newly created password. Your username is username. If you have any issues connecting to your WorkSpace, please contact your administrator. You may download clients for additional devices at http:// clients.amazonworkspaces.com/ Sincerely, Amazon WorkSpaces Version 1.0 35 Amazon WorkSpaces 管理者ガイド 高速セットアップ ユーザー登録 ユーザーは、最初に E メールに記載されている登録リンクに移動してプロファイルを完了する必要が あります。ユーザーは E メールの送信後 7 日以内に登録を完了する必要があります。そうしないと招 待は期限切れになり、別の招待を送信しなければならなくなります。 ユーザー名と E メールアドレスは変更できませんが、ユーザーは姓と名を変更することができます。 また、ユーザーはアカウントのパスワードを設定する必要もあります。パスワードは大文字と小文字 が区別され、8~64 文字の長さにする必要があります。また、以下の 3 つのカテゴリから少なくとも 1 文字を含める必要があります。 • 英小文字(a~z) • 英大文字(A~Z) • 番号(0~9) • アルファベット以外の文字(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/) クライアントのダウンロード ユーザーは Amazon WorkSpaces Client Downloads ページからいつでもクライアントアプリケーショ ンをダウンロードできます。 クライアントアプリケーションの登録 招待 E メールに記載された登録コードは、初回ログイン時にのみ使用します。このコードにより、 クライアントアプリケーションは適切な Amazon WorkSpaces ディレクトリに接続できます。何ら かの理由でクライアントアプリケーションを再登録する必要がある場合、メニューから [Manage Registrations] を選択します。 クライアントアプリケーションは、入力された直近 10 の登録コードを自動的に保存します。以前の 登録コードをすばやく取得するには、[Saved registrations] を選択して、アクセスする WorkSpace に属する保存済み登録コードを選択し、その WorkSpace のログイン情報を入力します。同じコード を使用して、別のリージョンやディレクトリ内の WorkSpace にアクセスできます。保存された登録 コードを削除するには、登録コードの横にある [X] ボタンを選択します。必要に応じてこのページに 戻るには、クライアントアプリケーションのメニューから [Manage Registrations] を選択します。 Note この情報はローカルに保存され、デバイスには残りません。 クライアントのサインイン クライアントアプリケーションが登録された後で、ユーザーはサインインページに移動します。ここ では、ユーザーはユーザープロファイルを入力 (p. 36)したときに入力した Amazon WorkSpaces ユーザー名とパスワードを入力します。ユーザーがサインインすると、クライアントアプリケーショ ンは WorkSpace に接続し、WorkSpace デスクトップが表示されます。 高速セットアップの詳細 Amazon WorkSpaces 高速セットアップ手順を実行すると、Amazon WorkSpaces はユーザーに代 わって次のタスクを実行します。 • IAM ロールを作成して、Amazon WorkSpaces サービスが Elastic Network Interface を作成 し、Amazon WorkSpaces ディレクトリの一覧を表示できるようにします。そのロールに は、workspaces_DefaultRole という名前が付きます。 Version 1.0 36 Amazon WorkSpaces 管理者ガイド 高度な設定 • アカウントで仮想プライベートゲートウェイクラウド(VPC)を作成します。 Caution 特に指示がない限り、この VPC のセキュリティグループ、ゲートウェイ、その他の設定を いずれも変更しないでください。変更すると、Amazon WorkSpaces 環境が機能しなくなる 可能性があります。 • ユーザーおよび WorkSpace 情報を格納するために使用される VPC 内の Simple AD ディレクトリを セットアップします。 • ディレクトリの管理者アカウントを作成します。 • 指定したユーザーアカウントを作成し、ディレクトリに追加します。 • WorkSpace インスタンスを作成します。 • 高速セットアップ中に作成された各 WorkSpace には、インターネットアクセスを提供する ためのパブリック IP アドレスが割り当てられます。後でさらに WorkSpaces を作成する場合 は、WorkSpaces にインターネットアクセスを提供する必要があります。詳細については、 「Simple AD ディレクトリのインターネットアクセス (p. 15)」を参照してください。 • 指定されたユーザーに招待 E メールを送信します。 高度な設定 Amazon WorkSpaces では、AWS Directory Service ディレクトリを使用して、ユーザーおよび WorkSpace アカウントの情報を格納します。格納先は Microsoft AD ディレクトリ、Simple AD ディ レクトリ、AD Connector ディレクトリのいずれかです。Amazon WorkSpaces で既存のディレクトリ を操作できるようにするか、Amazon WorkSpaces で自動的にディレクトリを作成することができま す。 次のいずれかのオプションを選択します。 • Amazon WorkSpaces で既存の AWS Directory Service ディレクトリを操作できるようにする場合 は、「ディレクトリへの登録 (p. 41)」を参照してください。 • Amazon WorkSpaces で Microsoft AD の AWS Directory Service を操作できるようにする場合は、 「ネットワークでの Microsoft AD ディレクトリの準備 (p. 26)」を参照してください。 • クラウドにディレクトリを作成する場合は、「クラウドでの Amazon WorkSpaces ディレクトリの 作成 (p. 37)」で、クラウドに Simple AD ディレクトリを作成する方法を参照してください。 • オンプレミスディレクトリに接続する場合は、「ディレクトリへの Amazon WorkSpaces の接 続 (p. 39)」で、AD Connector を使用してディレクトリに接続する方法を参照してください。 • 手動で新しい VPC、Simple AD ディレクトリ、WorkSpace を作成して設定するために必要なすべ ての手順を説明するチュートリアルについては、「チュートリアル: Simple AD ディレクトリの作 成 (p. 80)」を参照してください。 トピック • クラウドでの Amazon WorkSpaces ディレクトリの作成 (p. 37) • ディレクトリへの Amazon WorkSpaces の接続 (p. 39) クラウドでの Amazon WorkSpaces ディレクトリの 作成 Amazon WorkSpaces は、WorkSpace とユーザー情報の保存と管理にディレクトリを使用しま す。Amazon WorkSpaces が Simple AD または Microsoft AD を使用してこのディレクトリをクラウド に作成するように指定できます。 Version 1.0 37 Amazon WorkSpaces 管理者ガイド ディレクトリの作成 Simple AD または Microsoft AD ディレクトリの作成 Simple AD ディレクトリまたは Microsoft AD ディレクトリを作成するには、2 つの異なるサービスコ ンソールを使用できます。 • AWS Directory Service • Amazon WorkSpaces トピック • AWS Directory Service コンソールを使ってディレクトリを作成する (p. 38) • Amazon WorkSpaces コンソールを使ってディレクトリを作成する (p. 38) AWS Directory Service コンソールを使ってディレクトリを作成する AWS Directory Service コンソールを使って Simple AD ディレクトリまたは Microsoft AD ディレクト リをを作成するには、以下の手順を実行します。 Simple AD ディレクトリまたは Microsoft AD ディレクトリを作成するには 1. AWS Directory Service コンソールを開きます。 2. AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います。 Amazon WorkSpaces コンソールを使ってディレクトリを作成する Amazon WorkSpaces コンソールを使って Simple AD ディレクトリまたは Microsoft AD ディレクトリ を作成するには、以下のステップを実行します。 Simple AD ディレクトリまたは Microsoft AD ディレクトリを作成するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで、[Directories]、[Set up Directory] の順に選択します。 3. AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います。 Simple AD および Microsoft AD ディレクトリのセットアップ の詳細 Simple AD または Microsoft AD ディレクトリを作成すると、Amazon WorkSpaces が自動的に以下の タスクを実行します。 • IAM ロールを作成して、Amazon WorkSpaces サービスが Elastic Network Interface を作成 し、Amazon WorkSpaces ディレクトリの一覧を表示できるようにします。そのロールに は、workspaces_DefaultRole という名前が付きます。 • ユーザーおよび WorkSpace 情報を格納するために使用される VPC 内のディレクトリをセットアッ プします。 • ユーザー名 Administrator と指定されたパスワードを使用してディレクトリ管理者アカウントを 作成します。このアカウントを使用してディレクトリを管理します。 • 2 つのセキュリティグループを作成します。1 つはディレクトリコントローラ用で、もう 1 つは ディレクトリ内の WorkSpaces 用です。 Version 1.0 38 Amazon WorkSpaces 管理者ガイド ディレクトリへの接続 ディレクトリへの Amazon WorkSpaces の接続 Amazon WorkSpaces は、WorkSpace とユーザー情報の保存と管理にネットワークディレクトリを使 用します。AD Connector を使用して Amazon WorkSpaces をオンプレミスディレクトリに接続でき るため、ユーザーはオンプレミスの認証情報を使用して自分の WorkSpace にサインインすることが できます。また、ローカルにアクセスできる同じオンプレミスのリソースに、WorkSpace からもアク セスできるようになります。 ディレクトリに接続するには、2 つの異なるサービスコンソールを使用できます。 • AWS Directory Service • Amazon WorkSpaces AWS Directory Service コンソールの使用によるディレクトリ への接続 AD Connector を使って AWS Directory Service コンソールでオンプレミスディレクトリに接続するに は、以下の手順を実行します。 ディレクトリに接続するには 1. 2. AWS Directory Service コンソールを開きます。 AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います。 Amazon WorkSpaces コンソールの使用によるディレクトリへ の接続 AD Connector を使って Amazon WorkSpaces コンソールでオンプレミスディレクトリに接続するに は、以下の手順を実行します。 ディレクトリに接続するには 1. 2. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 ナビゲーションペインで、[Directories]、[Set up Directory] の順に選択します。 3. AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います。 Version 1.0 39 Amazon WorkSpaces 管理者ガイド Amazon WorkSpaces 管理 Amazon WorkSpaces はクラウドで動作する、完全マネージド型のデスクトップコンピューティング サービスです。Amazon WorkSpaces を使うと、クラウドベースのデスクトップを起動して、エンド ユーザーに必要なドキュメント、アプリケーション、およびリソースが、ノート PC、iPad、Kindle Fire、Android タブレットなど任意のデバイスからアクセスできるようになります。詳細については、 「Amazon WorkSpaces」を参照してください。 Amazon WorkSpaces はネットワークディレクトリを使用して、ユーザーと WorkSpace 情報を格納し ます。このディレクトリは、クラウドのディレクトリか、オンプレミスディレクトリに接続されてい ます。 クラウドディレクトリでは、ユーザーおよび WorkSpace 情報は VPC の 1 つに存在するスタンドアロ ンディレクトリに格納されます。WorkSpace ユーザーはこのディレクトリ内にのみ存在し、外部ディ レクトリにはリンクされていません。クラウドディレクトリを作成すると、Amazon WorkSpaces が このディレクトリを自動的にセットアップします。オンプレミスディレクトリがない場合、またはオ ンプレミスリソースにアクセスする必要がない場合は、クラウドディレクトリを使用してください。 詳細については、「クラウドでの Amazon WorkSpaces ディレクトリの作成 (p. 37)」を参照してくだ さい。 接続したディレクトリの場合は、ユーザーおよび WorkSpace 情報はオンプレミスディレクトリに格 納されます。WorkSpace ユーザーは、オンプレミスディレクトリ内にすでに存在しているユーザーか ら選択されます。作成した WorkSpaces は、ディレクトリ内にコンピュータアカウントとして表され ます。オンプレミスリソースにアクセスする必要がある場合は、接続したディレクトリを使用する必 要があります。詳細については、「ディレクトリへの Amazon WorkSpaces の接続 (p. 39)」を参照し てください。 どちらのタイプのディレクトリを使用する場合も、WorkSpaces へのインターネットアクセスを提供 する必要があります。これを実現するための具体的な方法については、それぞれに関連したトピック で説明しています。 Amazon WorkSpaces は、ユーザーおよび WorkSpace 情報を格納するために Active Directory と互 換性があるディレクトリを使用するため、使い慣れた Active Directory ツールを使用してこれらのオ ブジェクトを管理することができます。これらの操作を実行するために、Amazon WorkSpaces 内に ディレクトリ管理 WorkSpace を簡単にセットアップできます。詳細については、「ディレクトリの 管理 WorkSpace のセットアップ (p. 66)」を参照してください。もう 1 つの方法として、Windows EC2 インスタンスをこのディレクトリに結合し、そのインスタンスに Active Directory 管理ツールを インストールできます。Windows インスタンスとディレクトリの結合に関する詳細は、「Amazon EC2 インスタンスのディレクトリへの結合 (p. 67)」を参照してください。WorkSpace またはイン スタンスに Active Directory 管理ツールをインストールする方法の詳細については、「Active Directory 管理ツールのインストール (p. 67)」を参照してください。 トピック Version 1.0 40 Amazon WorkSpaces 管理者ガイド マネジメントコンソール • Amazon WorkSpaces コンソール (p. 41) • Amazon WorkSpaces ディレクトリの管理 (p. 66) • グループポリシーを使用した WorkSpaces とユーザーの管理 (p. 70) • ファイル共有 (p. 72) • PCoIP ゼロクライアントの有効化 (p. 73) • Amazon WorkSpaces メトリクスのモニタリング (p. 73) • Amazon WorkSpaces の管理の問題のトラブルシューティング (p. 76) Amazon WorkSpaces コンソール ディレクトリが作成されたら、Amazon WorkSpaces コンソールを使用して、WorkSpaces の起動、 ディレクトリの削除など、特定の機能を実行します。 トピック • ディレクトリ管理 (p. 41) • WorkSpace 管理 (p. 51) • WorkSpace バンドルの管理 (p. 61) • WorkSpace イメージの管理 (p. 62) • Windows デスクトップイメージの使用 (p. 65) ディレクトリ管理 Amazon WorkSpaces マネジメントコンソールを使用して、新しいディレクトリの作成や既存ディレ クトリとの削除など、特定のディレクトリ関連アクションを実行できます。ディレクトリを作成する と、ほとんどの管理機能は、Active Directory 管理ツールなどのディレクトリ管理ツールで実行されま す。詳細については、「Amazon WorkSpaces ディレクトリの管理 (p. 66)」を参照してください。 トピック • 登録 (p. 41) • Simple AD ディレクトリの管理 (p. 42) • AD Connector ディレクトリの管理 (p. 45) • Microsoft AD ディレクトリの管理 (p. 48) 登録 Amazon WorkSpaces では、既存の AWS Directory Service ディレクトリを使用して、Amazon WorkSpaces ユーザーおよびリソースを格納できます。[Directories] リストには現在のリージョンにあ るすべての AWS Directory Service ディレクトリが表示され、Amazon WorkSpaces がそれぞれのディ レクトリに登録されているかどうかが表示されます。 トピック • ディレクトリへの登録 (p. 41) • ディレクトリからの登録解除 (p. 42) ディレクトリへの登録 既存の AWS Directory Service ディレクトリの使用を Amazon WorkSpaces に許可するには、Amazon WorkSpaces をそのディレクトリに登録する必要があります。 Version 1.0 41 Amazon WorkSpaces 管理者ガイド ディレクトリ ディレクトリに登録するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで、[Getting Started]、[Advanced Setup]、[Create Simple AD]、 [Directories] の順に選択します。 3. 登録するディレクトリを選択し、[Actions]、[Register] の順に選択します。 4. [Register directory] ダイアログボックスで Amazon WorkDocs をこのディレクトリに登録するか どうかを選び、[Register] を選択します。 Note このオプションは、選択したリージョン Amazon WorkDocs が使用できる場合にのみ表 示されます。 このサービスがディレクトリに登録されると、ディレクトリ内のユーザーの WorkSpace を起動 できます。 ディレクトリからの登録解除 このサービスでの使用を停止するために、ディレクトリから Amazon WorkSpaces の登録解除がで きます。ディレクトリを削除する前に、ディレクトリからこのサービスの登録解除をする必要があ ります。ユーザーに割り当てられた Amazon WAM アプリケーションがある場合、ディレクトリを 削除する前にこれらの割り当てもすべて削除する必要があります。詳細については、Amazon WAM Administration Guide の Removing All Application Assignments を参照してください。 ディレクトリから Amazon WorkSpaces を登録解除するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Deregister] の順に選択します。 4. [Deregister directory] ダイアログボックスで、ディレクトリからサービスの登録を解除することを 確認し、[Deregister] を選択します。 Simple AD ディレクトリの管理 次のトピックでは、Simple AD ディレクトリで実行できるさまざまな管理アクションを説明します。 トピック • Simple AD ディレクトリ情報の更新 (p. 42) • Simple AD ディレクトリの削除 (p. 44) Simple AD ディレクトリ情報の更新 Amazon WorkSpaces コンソールを使用して、Simple AD ディレクトリの次の設定を変更できます。 目次 • デフォルトの組織単位 (p. 43) • セキュリティグループを追加する (p. 43) • インターネットアクセス (p. 43) • ローカル管理者の設定 (p. 44) • メンテナンスモード (p. 44) Version 1.0 42 Amazon WorkSpaces 管理者ガイド ディレクトリ デフォルトの組織単位 デフォルトの組織単位は WorkSpace のコンピュータアカウントが配置される組織単位です。これが 設定されていない場合、WorkSpaces のコンピュータアカウントはコンピュータの組織単位に配置さ れます。現在の WorkSpaces ディレクトリから組織単位を自分で選択するか、個別のターゲットドメ インで組織単位を指定します。 組織単位を選択するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Target Domain and Organizational Unit] セクションを展開します。 5. 希望する組織単位名の全体または一部を入力し、[Search OU] を選択します。または、[List all OU] を選択して、すべての組織単位を検索することもできます。 6. 希望する組織単位を選択し、[Update] を選択します。この設定が変更された後で作成または再構 築されたすべての WorkSpaces のコンピュータアカウントは、選択された組織単位に配置されま す。 セキュリティグループを追加する Amazon WorkSpaces はセキュリティグループを作成し、ディレクトリ内のすべての WorkSpaces に 割り当てます。WorkSpaces の作成時または再構築時に、以下の手順に従って WorkSpaces にセキュ リティグループを追加できます。 セキュリティグループを追加するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Security Group] セクションを展開します。 5. 新しいセキュリティグループを作成するには、[Create New] を選択します。 6. 希望するセキュリティグループを選択し、[Update] を選択します。この設定が変更された後で作 成または再構築されたすべての WorkSpaces には、指定したセキュリティグループが含まれま す。 インターネットアクセス You can have Amazon WorkSpaces assign a public IP address to all WorkSpaces that are provisioned or rebuilt. To enable public IP addresses 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. In the navigation pane, choose Directories. 3. Select your directory, then choose Actions, Update Details. 4. Expand Internet Access. 5. To have Amazon WorkSpaces assign a public IP address to every WorkSpace that is created or rebuilt, choose Enable. Otherwise, choose Disable. When you have completed your selection, choose Update. This setting only applies to WorkSpaces that are provisioned or rebuilt after the setting is enabled. If you need to have a public IP address applied to an existing WorkSpace, you must either rebuild the Version 1.0 43 Amazon WorkSpaces 管理者ガイド ディレクトリ WorkSpace, or manually assign an Elastic IP address to the WorkSpace. For more information about rebuilding a WorkSpace, see WorkSpace の再構築 (p. 59). For more information about assigning an Elastic IP address to an existing WorkSpace, see WorkSpace への Elastic IP アドレスの割り当 て (p. 16). ローカル管理者の設定 ユーザーが各自の WorkSpace でローカル管理者であるかどうかを選択できます。デフォルトでは ユーザーはローカル管理者に設定されており、WorkSpace でアプリケーションのインストールと設定 の変更を行うことができる権限があります。 ローカル管理者の権限を設定するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Local Administrator Setting] セクションを展開します。 5. ローカル管理者としてユーザーを設定するには、[Enable] を選択します。それ以外の場合は、 [Disable] を選択します。 6. [Update] を選択します。この設定は、設定が変更されたのちに作成または再構成されたすべての WorkSpace に適用されます。 メンテナンスモード AutoStop を設定した WorkSpace が自動的に更新されるようにするには、メンテナンスモー ドを有効にする必要があります。これらの WorkSpace は月に 1 回、重要なサービス、セキュ リティ、Windows 更新プログラムをダウンロードしてインストールするために起動されま す。WorkSpace への更新を定期的に実施している場合は、メンテナンスモードを無効にしておくこと ができます。 メンテナンスモードを設定するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Maintenance Mode] セクションを展開します。 5. AutoStop の WorkSpace でメンテナンスを有効にするには、[Enabled] を選択します。それ以外の 場合は、[Disabled] を選択します。 6. [Update] を選択します。 Simple AD ディレクトリの削除 Simple AD ディレクトリを削除する前に、まずディレクトリからすべての WorkSpaces を削除する必 要があります。WorkSpaces の削除の詳細については、「WorkSpace の削除 (p. 59)」を参照して ください。クラウドのディレクトリを削除するには、次のステップを実行します。 ディレクトリを削除するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. 削除するディレクトリを選択し、[Actions]、[Deregister] の順に選択します。 4. [Deregister Directory] ダイアログボックスの情報を確認して、[Deregister] を選択します。 Version 1.0 44 Amazon WorkSpaces 管理者ガイド ディレクトリ 5. 削除するディレクトリを選択し、[Actions]、[Delete] の順に選択します。 6. [Delete Directory] ダイアログボックスの情報を確認して、[Delete] を選択します。 AD Connector ディレクトリの管理 Amazon WorkSpaces をオンプレミスディレクトリに接続する場合、Amazon WorkSpaces に、WorkSpaces を使用するユーザーのアイデンティティのソースとしてオンプレミスのディレクト リを使用するように指示します。 トピック • 接続したディレクトリ情報の更新 (p. 45) • ディレクトリの切断 (p. 48) 接続したディレクトリ情報の更新 接続したディレクトリの次の設定を変更するために Amazon WorkSpaces コンソールを使用すること ができます。 トピック • ターゲットドメインとデフォルトの組織単位 (p. 45) • セキュリティグループを追加する (p. 46) • インターネットアクセス (p. 46) • メンテナンスモード (p. 47) • WorkSpaces 接続アカウントの更新 (p. 47) • 多要素認証 (p. 47) ターゲットドメインとデフォルトの組織単位 デフォルトの組織単位は WorkSpace のコンピュータアカウントが配置された組織単位です。これが 設定されていない場合、WorkSpaces のコンピュータアカウントは、AD Connector ディレクトリが接 続されているディレクトリのコンピュータの組織単位に配置されます。接続されているディレクトリ から組織単位を自分で選択するか、別のターゲットドメインで組織単位を指定します。WorkSpaces のコンピュータアカウントに対して複数の組織単位が必要な場合は、それぞれに個別の AD Connector ディレクトリを作成する必要があります。 ターゲットドメインは WorkSpace のコンピュータアカウントを作成するディレクトリです。これ により、WorkSpaces で個別のユーザーおよびリソースのディレクトリを使用することができま す。ターゲットドメインが指定されていない場合、WorkSpace のコンピュータアカウントは AD Connector ディレクトリが接続されているディレクトリに作成されます。次はターゲットドメインの 要件です。 • ターゲットドメインは AD Connector ディレクトリが接続されているディレクトリの子であるか、 または少なくともこのディレクトリと一方向の信頼がある必要があります。 • AD Connector ディレクトリの DNS サーバーは、ターゲットドメインの完全修飾識別子名を解決で きる必要があります。 • VPC とオンプレミスディレクトリ間の接続およびファイアウォールの要件と同じ要件が、VPC と ターゲットドメイン間にもある必要があります。詳細については、「要件 (p. 20)」を参照してくだ さい。 • AD Connector ディレクトリのサービスアカウントは、ターゲットドメインで以下の権限が必要で す。 • コンピュータのオブジェクトの作成 • コンピュータのドメインへの結合 Version 1.0 45 Amazon WorkSpaces 管理者ガイド ディレクトリ 組織単位を選択するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Target Domain and Organizational Unit] セクションを展開します。 5. 希望する組織単位名の全体または一部を入力し、[Search OU] を選択します。または、[List all OU] を選択して、すべての組織単位を検索することもできます。 6. 希望する組織単位を選択し、[Update] を選択します。この設定が変更された後で作成または再構 築されたすべての WorkSpaces のコンピュータアカウントは、選択された組織単位に配置されま す。 ターゲットドメインと組織単位を指定するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Target Domain and Organizational Unit] セクションを展開します。 5. ターゲットドメインと組織単位の完全 LDAP 識別子名を [Selected OU] フィールドに入力し (例: OU=WorkSpaces_machines,DC=machines,DC=example,DC=com)、[Update] を選択します。 この設定が変更された後で作成または再構築されたすべての WorkSpaces のコンピュータアカウ ントは、指定されたドメインおよび組織単位に作成されます。 セキュリティグループを追加する Amazon WorkSpaces はセキュリティグループを作成し、ディレクトリ内のすべての WorkSpaces に 割り当てます。WorkSpaces の作成時または再構築時に、以下の手順に従って WorkSpaces にセキュ リティグループを追加できます。 セキュリティグループを追加するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Security Group] セクションを展開します。 5. 新しいセキュリティグループを作成するには、[Create New] を選択します。 6. 希望するセキュリティグループを選択し、[Update] を選択します。この設定が変更された後で作 成または再構築されたすべての WorkSpaces には、指定したセキュリティグループが含まれま す。 インターネットアクセス You can have Amazon WorkSpaces assign a public IP address to all WorkSpaces that are provisioned or rebuilt. To enable public IP addresses 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. In the navigation pane, choose Directories. 3. Select your directory, then choose Actions, Update Details. 4. Expand Internet Access. Version 1.0 46 Amazon WorkSpaces 管理者ガイド ディレクトリ 5. To have Amazon WorkSpaces assign a public IP address to every WorkSpace that is created or rebuilt, choose Enable. Otherwise, choose Disable. When you have completed your selection, choose Update. This setting only applies to WorkSpaces that are provisioned or rebuilt after the setting is enabled. If you need to have a public IP address applied to an existing WorkSpace, you must either rebuild the WorkSpace, or manually assign an Elastic IP address to the WorkSpace. For more information about rebuilding a WorkSpace, see WorkSpace の再構築 (p. 59). For more information about assigning an Elastic IP address to an existing WorkSpace, see WorkSpace への Elastic IP アドレスの割り当 て (p. 16). メンテナンスモード AutoStop を設定した WorkSpace が自動的に更新されるようにするには、メンテナンスモー ドを有効にする必要があります。これらの WorkSpace は月に 1 回、重要なサービス、セキュ リティ、Windows 更新プログラムをダウンロードしてインストールするために起動されま す。WorkSpace への更新を定期的に実施している場合は、メンテナンスモードを無効にしておくこと ができます。 メンテナンスモードを設定するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Maintenance Mode] セクションを展開します。 5. AutoStop の WorkSpace でメンテナンスを有効にするには、[Enabled] を選択します。それ以外の 場合は、[Disabled] を選択します。 6. [Update] を選択します。 WorkSpaces 接続アカウントの更新 WorkSpaces 接続アカウントは、ユーザーとグループの読み取りや、ディレクトリに Amazon WorkSpaces コンピュータアカウントを作成する際に使用するアカウントです。このアカウントの詳 細については、「要件 (p. 20)」セクションを参照してください。 WorkSpaces 接続アカウントを更新するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Update WorkSpaces Connect Account] セクションを展開します。 5. 新しいサービスアカウントのユーザー名およびパスワードを入力し、[Update] をクリックしま す。新しいアカウントはオンプレミスディレクトリへのアクセスに使用されます。 多要素認証 以下の手順を実行して、AD Connector ディレクトリの多要素認証を有効にすることができま す。Amazon WorkSpaces での多要素認証を使用の詳細については、「多要素認証の前提条 件 (p. 23)」を参照してください。 多要素認証を有効にするには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 Version 1.0 47 Amazon WorkSpaces 管理者ガイド ディレクトリ 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Multi-Factor Authentication] セクションを展開します。 5. 以下の値を入力し、[Update] または [Update and Exit] を選択します。 Multi-Factor Authentication の有効化 オンにすると、多要素認証が有効になります。 [RADIUS server IP address(es)] RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバラ ンサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます(たとえ ば、192.0.0.0,192.0.0.12)。 ポート RADIUS サーバーが通信のために使用しているポート。オンプレミスネットワークでは、AD Connector サーバーからのデフォルトの RADIUS サーバーポート(1812)を介した受信トラ フィックが許可されている必要があります。 [Shared secret code] RADIUS エンドポイントの作成時に指定された共有シークレットコード。 [Confirm shared secret code] RADIUS エンドポイントの共有シークレットコードを確認します。 プロトコル RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。 [Server timeout] RADIUS サーバーのレスポンスを待つ時間(秒)。これは 1~20 の範囲の値にする必要があ ります。 最大再試行回数 RADIUS サーバーとの通信を試みる回数。これは 0~10 の範囲の値にする必要があります。 多要素認証は、[RADIUS Status] が [Enabled] に変わると使用できます。多要素認証のセットアッ プ中は、ユーザーが WorkSpaces にログインすることはできません。 ディレクトリの切断 ディレクトリから切断する前に、まずディレクトリからすべての WorkSpaces を削除する必要があ ります。WorkSpaces の削除の詳細については、「WorkSpace の削除 (p. 59)」を参照してくださ い。 ディレクトリから切断するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. 切断するディレクトリを選択し、[Directory Actions]、[Deregister] の順に選択します。 4. [Deregister Directory] ダイアログボックスの情報を確認して、[Deregister] を選択します。 5. 切断するディレクトリを選択し、[Actions]、[Delete] の順に選択します。 6. [Delete Directory] ダイアログボックスの情報を確認して、[Delete] を選択します。 Microsoft AD ディレクトリの管理 以下のトピックでは、Microsoft AD ディレクトリで実行できるさまざまな管理アクションを説明しま す。 トピック Version 1.0 48 Amazon WorkSpaces 管理者ガイド ディレクトリ • Microsoft AD ディレクトリ情報の更新 (p. 49) • Microsoft AD ディレクトリの削除 (p. 51) Microsoft AD ディレクトリ情報の更新 Amazon WorkSpaces コンソールを使用して、Microsoft AD ディレクトリの以下の設定を変更できま す。 目次 • デフォルトの組織単位 (p. 49) • セキュリティグループを追加する (p. 49) • インターネットアクセス (p. 50) • ローカル管理者の設定 (p. 50) • メンテナンスモード (p. 50) デフォルトの組織単位 デフォルトの組織単位は WorkSpace のコンピュータアカウントが配置される組織単位です。これが 設定されていない場合、WorkSpaces のコンピュータアカウントはコンピュータの組織単位に配置さ れます。現在の WorkSpaces ディレクトリから組織単位を自分で選択するか、個別のターゲットドメ インで組織単位を指定します。 組織単位を選択するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Target Domain and Organizational Unit] セクションを展開します。 5. 希望する組織単位名の全体または一部を入力し、[Search OU] を選択します。または、[List all OU] を選択して、すべての組織単位を検索することもできます。 6. 希望する組織単位を選択し、[Update] を選択します。この設定が変更された後で作成または再構 築されたすべての WorkSpaces のコンピュータアカウントは、選択された組織単位に配置されま す。 セキュリティグループを追加する Amazon WorkSpaces はセキュリティグループを作成し、ディレクトリ内のすべての WorkSpaces に 割り当てます。WorkSpaces の作成時または再構築時に、以下の手順に従って WorkSpaces にセキュ リティグループを追加できます。 セキュリティグループを追加するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Security Group] セクションを展開します。 5. 新しいセキュリティグループを作成するには、[Create New] を選択します。 6. 希望するセキュリティグループを選択し、[Update] を選択します。この設定が変更された後で作 成または再構築されたすべての WorkSpaces には、指定したセキュリティグループが含まれま す。 Version 1.0 49 Amazon WorkSpaces 管理者ガイド ディレクトリ インターネットアクセス You can have Amazon WorkSpaces assign a public IP address to all WorkSpaces that are provisioned or rebuilt. To enable public IP addresses 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. In the navigation pane, choose Directories. 3. Select your directory, then choose Actions, Update Details. 4. Expand Internet Access. 5. To have Amazon WorkSpaces assign a public IP address to every WorkSpace that is created or rebuilt, choose Enable. Otherwise, choose Disable. When you have completed your selection, choose Update. This setting only applies to WorkSpaces that are provisioned or rebuilt after the setting is enabled. If you need to have a public IP address applied to an existing WorkSpace, you must either rebuild the WorkSpace, or manually assign an Elastic IP address to the WorkSpace. For more information about rebuilding a WorkSpace, see WorkSpace の再構築 (p. 59). For more information about assigning an Elastic IP address to an existing WorkSpace, see WorkSpace への Elastic IP アドレスの割り当 て (p. 16). ローカル管理者の設定 ユーザーが各自の WorkSpace でローカル管理者であるかどうかを選択できます。デフォルトでは ユーザーはローカル管理者に設定されており、WorkSpace でアプリケーションのインストールと設定 の変更を行うことができる権限があります。 ローカル管理者の権限を設定するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Local Administrator Setting] セクションを展開します。 5. ローカル管理者としてユーザーを設定するには、[Enable] を選択します。それ以外の場合は、 [Disable] を選択します。 6. [Update] を選択します。この設定は、設定が変更されたのちに作成または再構成されたすべての WorkSpace に適用されます。 メンテナンスモード AutoStop を設定した WorkSpace が自動的に更新されるようにするには、メンテナンスモー ドを有効にする必要があります。これらの WorkSpace は月に 1 回、重要なサービス、セキュ リティ、Windows 更新プログラムをダウンロードしてインストールするために起動されま す。WorkSpace への更新を定期的に実施している場合は、メンテナンスモードを無効にしておくこと ができます。 メンテナンスモードを設定するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。 4. [Maintenance Mode] セクションを展開します。 Version 1.0 50 Amazon WorkSpaces 管理者ガイド WorkSpaces 5. AutoStop の WorkSpace でメンテナンスを有効にするには、[Enabled] を選択します。それ以外の 場合は、[Disabled] を選択します。 6. [Update] を選択します。 Microsoft AD ディレクトリの削除 Microsoft AD ディレクトリを削除する前に、まずディレクトリからすべての WorkSpaces を削除する 必要があります。WorkSpaces の削除の詳細については、「WorkSpace の削除 (p. 59)」を参照し てください。クラウドのディレクトリを削除するには、次のステップを実行します。 ディレクトリを削除するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [Directories] を選択します。 3. 削除するディレクトリを選択し、[Actions]、[Deregister] の順に選択します。 4. [Deregister Directory] ダイアログボックスの情報を確認して、[Deregister] を選択します。 5. 削除するディレクトリを選択し、[Actions]、[Delete] の順に選択します。 6. [Delete Directory] ダイアログボックスの情報を確認して、[Delete] を選択します。 WorkSpace 管理 Amazon WorkSpaces では、各 WorkSpace は単一のユーザーに割り当てられます。したがって、 新しい WorkSpace を起動するときはいつでも、まだ WorkSpace を持っていないユーザーにその WorkSpace を割り当てる必要があります。WorkSpaces は単一ユーザーのみが使用でき、個別のユー ザー間で共有することはできません。 Amazon WorkSpaces 管理者は、ユーザーと WorkSpaces を管理するために、Amazon WorkSpaces コンソールで以下のタスクを実行します。 トピック • WorkSpace の起動 (p. 51) • 招待の再送信 (p. 54) • WorkSpace を暗号化します。 (p. 54) • WorkSpace へのタグ付け (p. 57) • WorkSpace の再起動 (p. 58) • WorkSpace の再構築 (p. 59) • WorkSpace の削除 (p. 59) • ユーザー情報の編集 (p. 59) • AutoStop の WorkSpace の停止 (p. 60) • AutoStop の WorkSpace の開始 (p. 60) • AutoStop の WorkSpace の再起動 (p. 60) • 実行モードプロパティの変更 (p. 61) WorkSpace の起動 WorkSpace を起動する方法は、使用するディレクトリのタイプによって異なります。 • クラウドのディレクトリで WorkSpace を起動する場合は、「クラウドのディレクトリで WorkSpaces を起動する (p. 52)」を参照してください。 Version 1.0 51 Amazon WorkSpaces 管理者ガイド WorkSpaces • 接続したディレクトリで WorkSpace を起動する場合は、「接続したディレクトリで WorkSpaces を起動する (p. 53)」を参照してください。 クラウドのディレクトリで WorkSpaces を起動する Amazon WorkSpaces クラウドのディレクトリで WorkSpaces にアクセスできるユーザーを作成する には、Amazon WorkSpaces を使用します。 ユーザーの WorkSpace を起動するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで、[WorkSpaces]、[Launch WorkSpaces] の順に選択します。 3. [Select a Directory] で、クラウドのディレクトリを選択します。これはユーザーを選択するディ レクトリです。 このディレクトリで初めて WorkSpace を起動する場合は、このディレクトリのすべてのユー ザーに対して Amazon WorkDocs サービスを有効または無効にすることができます。Amazon WorkDocs の詳細については、『Amazon WorkDocs 管理ガイド』の「Amazon WorkDocs 同期ク ライアントのヘルプ」を参照してください。内容を選択して [Next] を選択します。 Note このオプションは、選択したリージョン Amazon WorkDocs が使用できる場合にのみ表 示されます。 4. WorkSpace を起動する対象のユーザーを選択します。ユーザー名全体か一部で検索できます。ま た、ワイルドカード文字(*)を使用して拡張検索できます。[Show All Users] を選択することも できます。ユーザーに E メールアドレスがない場合、そのユーザーに WorkSpace を起動できま せん。 希望するユーザーを選択したら、[Add Selected] を選択します。選択したユーザーは [WorkSpaces] の一覧に追加されます。 新しいユーザーを作成するには、新しいユーザーの情報を入力します。他のユーザーを作成す るには、[Create Additional Users] を選択し、追加のユーザーの情報を入力します。すべての 新しいユーザーにこのプロセスを繰り返し、[Create Users] を選択します。新しいユーザーは [WorkSpaces] の一覧に追加されます。 希望するユーザーをすべて選択または作成するまでこのステップを繰り返し、[Next] を選択しま す。 5. WorkSpaces 用に使用するデフォルトの WorkSpace バンドルを選択します。リージョンで複数 のオペレーティングシステムの言語を使用できる場合は、目的のオペレーティングシステムの 言語を選択することもできます。必要に応じて、[Assign WorkSpace Bundles] リストで個々の WorkSpaces についてこれらの設定をカスタマイズできます。利用可能なさまざまなバンドル の詳細については、「Amazon WorkSpaces 製品の詳細」を参照してください。選択が完了した ら、[Next] を選択します。 6. 次のように WorkSpace の実行モードを選択します。 • AlwaysOn — 固定月額料金で WorkSpaces を無制限にご利用いただけます。このモード は、WorkSpace をプライマリデスクトップとしてフルタイム使用するユーザー用に最適です。 • AutoStop — WorkSpaces のご利用に対し、時間単位で料金が発生します。このモードでは、ア プリおよびデータを保存した状態と指定の長さのアイドル状態が発生した後、WorkSpaces が 停止します。自動停止時間を設定するには、[AutoStop Time (hours)] を使用します。 可能な場合は、WorkSpace のルートボリュームにデスクトップの状態が保存されます。ユー ザーがログインすると WorkSpace が再開し、開いていたドキュメントや実行中のプログラム の状態が保存されていれば、その状態に戻ります。 Version 1.0 52 Amazon WorkSpaces 管理者ガイド WorkSpaces 7. ユーザーの一覧または WorkSpace で使用するバンドルに必要な変更を行い、[Launch WorkSpaces] を選択します。 クラウドのディレクトリで WorkSpaces を起動する場合、Amazon WorkSpaces でディレクトリのメ ンバー用に作成したセキュリティグループを WorkSpace に割り当てます。セキュリティグループの 詳細については、「WorkSpaces セキュリティグループ (p. 4)」を参照してください。 WorkSpaces の起動には数分かかります。WorkSpaces が使用できるようになると、登録手順を案内 する招待 E メールが未登録ユーザーに送信されます。すでにユーザーが登録されている場合は、代わ りにようこそ E メールを送信する必要があります。ようこそ E メールには Amazon WorkSpaces クラ イアントのダウンロードおよびインストール手順と WorkSpace のログイン手順が含まれています。 詳細については、「招待の再送信 (p. 54)」を参照してください。 接続したディレクトリで WorkSpaces を起動する Amazon WorkSpaces がオンプレミスのディレクトリに接続されている場合、Amazon WorkSpaces コンソールではユーザーの追加や削除は行いません。代わりに WorkSpaces を起動している時にディ レクトリの既存のユーザーを選択します。 既存のユーザーの WorkSpace を起動するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで、[WorkSpaces]、[Launch WorkSpaces] の順に選択します。 3. [Select a Directory] で、接続されているディレクトリを選択します。これはユーザーを選択する ディレクトリです。 このディレクトリで初めて WorkSpace を起動する場合は、このディレクトリのすべてのユー ザーに対して Amazon WorkDocs サービスを有効または無効にすることができます。Amazon WorkDocs の詳細については、『Amazon WorkDocs 管理ガイド』の「Amazon WorkDocs 同期ク ライアントのヘルプ」を参照してください。内容を選択して [Next] を選択します。 Note このオプションは、選択したリージョン Amazon WorkDocs が使用できる場合にのみ表 示されます。 4. WorkSpace を起動する対象のユーザーを選択します。ユーザー名全体か一部で検索できます。ま た、ワイルドカード文字(*)を使用して拡張検索できます。[Show All Users] を選択することも できます。ユーザーに E メールアドレスがない場合、そのユーザーに WorkSpace を起動できま せん。 希望するユーザーを選択したら、[Add Selected] を選択します。選択したユーザーは [WorkSpaces] の一覧に移動されます。 希望するユーザーをすべて選択するまでこのステップを繰り返し、[Next] を選択します。 5. WorkSpaces 用に使用するデフォルトの WorkSpace バンドルを選択します。リージョンで複数 のオペレーティングシステムの言語を使用できる場合は、目的のオペレーティングシステムの 言語を選択することもできます。必要に応じて、[Assign WorkSpace Bundles] リストで個々の WorkSpaces についてこれらの設定をカスタマイズできます。利用可能なさまざまなバンドル の詳細については、「Amazon WorkSpaces 製品の詳細」を参照してください。選択が完了した ら、[Next] を選択します。 6. 次のように WorkSpace の実行モードを選択します。 • AlwaysOn — 固定月額料金で WorkSpaces を無制限にご利用いただけます。このモード は、WorkSpace をプライマリデスクトップとしてフルタイム使用するユーザー用に最適です。 • AutoStop — WorkSpaces のご利用に対し、時間単位で料金が発生します。このモードでは、ア プリおよびデータを保存した状態と指定の長さのアイドル状態が発生した後、WorkSpaces が 停止します。自動停止時間を設定するには、[AutoStop Time (hours)] を使用します。 Version 1.0 53 Amazon WorkSpaces 管理者ガイド WorkSpaces 可能な場合は、WorkSpace のルートボリュームにデスクトップの状態が保存されます。ユー ザーがログインすると WorkSpace が再開し、開いていたドキュメントや実行中のプログラム の状態が保存されていれば、その状態に戻ります。 7. ユーザーの一覧または WorkSpace で使用するバンドルに必要な変更を行い、[Launch WorkSpaces] を選択します。 接続したディレクトリの WorkSpaces を起動する場合、Amazon WorkSpaces は WorkSpace にデ フォルトの VPC セキュリティグループを割り当てます。 WorkSpaces の起動には数分かかります。WorkSpaces が使用できるようになったら、ようこそ E メールを個々のユーザーに送信する必要があります。ようこそ E メールにはユーザーが Amazon WorkSpaces クライアントをダウンロードおよびインストールする手順と、WorkSpace にログインす る手順が含まれています。詳細については、「招待の再送信 (p. 54)」を参照してください。 招待の再送信 場合によっては、ユーザーに招待 E メールを手動で送信する必要があります。 招待 E メールを再送信するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. 招待を送信するユーザーを選択し、[Actions]、[Invite User] の順に選択します。 4. メールアプリケーションを使用して、E メール本文テキストをコピーしユーザー宛のメールに貼 り付けます。必要な場合は本文テキストを変更します。招待 E メールの準備ができたら、ユー ザーに送信します。 WorkSpace を暗号化します。 Amazon WorkSpaces が AWS Key Management Service (AWS KMS) と統合されました。これによ り、お客様のマスターキー (CMK) を使用してストレージボリュームの WorkSpace を暗号化できるよ うになりました。新しい WorkSpace を起動すると、ルートボリューム (C: ドライブ) とユーザーボ リューム (D: ドライブ) 暗号化を選択できます。これにより、保管時のデータ、ボリュームへのディス ク I/O、ボリュームから作成されたスナップショットを暗号化することができます。 前提条件 暗号化プロセスを開始する前に、AWS KMS CMKが必要となります。 リージョンの Amazon WorkSpaces コンソールから最初に WorkSpace を起動すると、デフォルトの CMK が自動的に作成されます。このキーを選択して、WorkSpace のユーザーとルートボリュームを 暗号化することができます。 また、AWS KMS を使用して作成した CMK を選択することもできます。キーの作成の詳細について は、AWS Key Management Service Developer Guide のキーの作成を参照してください。AWS KMS API を使用してキーを作成する方法の詳細については、AWS Key Management Service Developer Guideの「キーの使用」を参照してください。 AWS KMS CMK を使用して WorkSpaces を暗号化するには、次の条件を満たす必要があります。 • キーを有効にする必要があります。 • キーに正しいアクセス権限とポリシーを関連付ける必要があります。詳細については、「暗号化に 対する IAM のアクセス権限とロール (p. 55)」を参照してください。 • 単一の AWS KMS CMK を使用して、リージョンで最大 30 個 の WorkSpace を暗号化できます。 Version 1.0 54 Amazon WorkSpaces 管理者ガイド WorkSpaces 制限 • 暗号化された WorkSpace からのカスタムイメージの作成は、サポートされていません。 • 暗号化された WorkSpace の暗号化を無効にすることは、現在サポートされていません。 • ルートボリュームの暗号化を有効にした状態で起動された WorkSpaces では、プロビジョニングに 最大 1 時間かかる場合があります。 WorkSpace の暗号化 コンソールを使用して WorkSpace を暗号化するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. 新しい WorkSpace を起動します。詳細については、「WorkSpace の起動 (p. 51)」を参照し てください。 3. 暗号化するボリュームを選択するよう要求されるので、ボリュームを選択します。値は、Root Volume、User Volume、または両方のボリュームとなります。 4. 使用する AWS KMS CMK を[Encryption Key] メニューから選択します。 5. [Next Step] を選択して、指定した暗号化情報を確認します。 6. [Launch WorkSpaces] を選択してプロセスを完了します。 API を使用して WorkSpace を暗号化するには • CreateWorkSpaces アクションを使用して、次のフィールドを設定します: • RootVolumeEncryptionEnabled • UserVolumeEncryptionEnabled • VolumeEncyptionKey 暗号化された WorkSpace の維持 どの WorkSpace とボリュームが Amazon WorkSpaces コンソールから暗号化されたのかを表示す るには、左のナビゲーションバーから [WorkSpaces] を選択します。[Volume Encryption] 列に、各 WorkSpace で暗号化が有効になっているか無効になっているかが表示されます。特定のボリューム が暗号化されているかどうかを表示するには、WorkSpace エントリを展開して [Encrypted Volumes] フィールドを確認します。 または、DescribeWorkSpaces アクションで同じ暗号化情報を確認できます。 暗号化された WorkSpace を再起動または再構築するには、AWS KMS CMK が有効であることを最初 に確認します。有効でない場合、WorkSpace は使用できません。 暗号化に対する IAM のアクセス権限とロール Amazon WorkSpaces 暗号化のアクセス権限には限定的な AWS KMS アクセスが必要で、これは暗号 化された WorkSpace を起動する IAM ユーザーの特定のキーに対するものです。次は、使用できるサ ンプルキーのポリシーです。このポリシーを使用すると、AWS KMS CMK を管理するプリンシパル を、キーを使用できるプリンシパルから分離することができます。アカウント ID と IAMユーザー名 は、アカウントに一致するように変更する必要があります。 最初のステートメントは、デフォルトの AWS KMS キーポリシーと一致します。2 番目と 3 番目のプ リンシパルは、キーを管理できる AWS プリンシパルと、キーを使用できる AWS プリンシパルをそ れぞれ定義します。4 番目のプリンシパルでは、AWS KMS と統合された AWS サービスが、指定さ れたプリンシパルに代わってキーを使用できるようにします。このステートメントは、AWS サービス Version 1.0 55 Amazon WorkSpaces 管理者ガイド WorkSpaces が許可を作成、管理できるようにします。条件では、顧客の代わりに AWS KMS サービスで行われた AWS の呼び出しに対してのみ設定されるコンテキストキーを使用します。 Note デフォルトの AWS KMS CMK (Amazon WorkSpaces が自分用に作成) を使用している場合 は、以下の AWS KMS キーポリシーをスキップして、下記の 2 番目と 3 番目の IAM ユーザー ベースポリシーに進みます。 { "Id": "key-consolepolicy-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::012345678901:root"}, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::012345678901:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::012345678901:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::012345678901:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", Version 1.0 56 Amazon WorkSpaces 管理者ガイド WorkSpaces "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] } WorkSpace を暗号化しているロールまたはユーザーに適用する IAM ポリシーには、CMK の使用権限 と WorkSpace へのアクセス権限が必要です。以下は、WorkSpace のアクセス権限を IAM ユーザーに 付与するサンプルポリシーです。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "wam:CreateWorkspaces", "wam:DescribeWorkspaceBundles", "wam:DescribeWorkspaceDirectories", "wam:DescribeWorkspaces", "wam:RebootWorkspaces", "wam:RebuildWorkspaces" ], "Resource": "*" } ] } 以下は IAM ポリシーで、AWS KMS を使用するユーザーに必要となるものです。 { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow IAM user to select and use KMS keys in WorkSpaces", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] } WorkSpace へのタグ付け Amazon WorkSpaces コンソール、CLI、または API を使用して、WorkSpace に対してタグを 追加および削除できます。タグを使用して、用途、所有者、または部門別などさまざまな方法 Version 1.0 57 Amazon WorkSpaces 管理者ガイド WorkSpaces で、WorkSpace を分類できます。各タグは、お客様が定義するキーと任意の値で構成されます。各 WorkSpace には、最大 10 個のタグを割り当てることができます。 タグを使用して AWS 請求書を整理し、お客様のコスト構造を反映することもできます。そのために は、AWS アカウントにサインアップして、タグキー値が含まれた AWS アカウントの請求書を取得す る必要があります。そのための方法の詳細については、「月別コスト配分レポートの設定」を参照し てください。 WorkSpace へのタグ付け タグ付けは、既存の WorkSpace に対して可能で、新しい WorkSpace に対してもその起動時に可能で す。タグ付けには、Amazon WorkSpaces コンソール、Amazon WorkSpaces API、または CLI を使用 できます。 Note • 最大キー長は 文字で 127 文字です。 • 最大値の長さは 文字で 255 文字です。 • キーと値はいずれも大文字と小文字が区別されます。 • "aws:" または "aws:workspaces:" プレフィックスの付いたタグは使用できません。これら のプレフィックスはそれぞれ AWS と WorkSpaces 用に予約されています。これらのプレ フィックスの付いたタグは編集することも削除することもできません。 起動時にコンソールから新しい WorkSpace にタグを付けるには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. [Launch WorkSpaces] を選択し、ユーザーに WorkSpace バンドルを割り当てます。 3. [Step 4: WorkSpaces Configuration] で、キーと値のペアを入力して、一連の WorkSpace 用に新 しいタグを作成します。 コンソールから既存の WorkSpace にタグを付けるには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. [ WorkSpaces]、[Actions]、[Manage Tags] の順に選択します。 3. キーと値のペアを入力して、一連の WorkSpace 用に新しいタグを作成します。 Note 既存の WorkSpace に追加したタグは、その月に更新した WorkSpace の翌月の始めに、 コスト配分レポートに表示されます。 API または CLI を使用して WorkSpace にタグを付けるには • CreateWorkspaces、CreateTags、DescribeTags、および DeleteTags アクションを使用します。 WorkSpace の再起動 場合によっては、WorkSpace を手動で再起動する必要があります。WorkSpace を再起動する と、WorkSpace のシャットダウンと再開が実行されます。ユーザーデータ、オペレーティングシステ ム、およびシステム設定には影響しません。 WorkSpace を再起動するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 Version 1.0 58 Amazon WorkSpaces 管理者ガイド WorkSpaces 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. 再起動する WorkSpace を選択したら、[Actions]、[Reboot WorkSpaces] の順に選択します。 4. [WorkSpaces] ダイアログボックスの情報を確認し、確認フィールドに「REBOOT」と入力して、 [Reboot WorkSpaces] を選択します。 WorkSpace の再構築 必要に応じて、WorkSpace のオペレーティングシステムを元の状態に再構築できます。WorkSpace を再構築すると、次の状況が発生します。 • システムは、WorkSpace の作成に使用したバンドルの最新のイメージから復元されま す。WorkSpace が作成された後にインストールされたアプリケーションや行われたシステム設定は すべて失われます。 • 最後に自動作成されたデータドライブのスナップショットから、データドライブ(D ドライブ)が 再作成されます。データドライブの現在の内容は上書きされます。データドライブの自動スナップ ショットは 12 時間ごとに作成されるため、スナップショットは作成後、最大で 12 時間経過してい る場合があります。 WorkSpace を再構築するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. 再構築する WorkSpace に割り当てられたユーザーを選択したら、[Actions]、[Rebuild WorkSpace] の順に選択します。 4. [Rebuild WorkSpace] ダイアログボックスの情報を確認し、[Rebuild WorkSpace] を選択します。 WorkSpace は [Status] の値が [Running] に変更された後で再構築され使用可能になります。 WorkSpace の削除 WorkSpace を削除すると、ユーザーは WorkSpace にアクセスできなくなります。 Important これは永続的オペレーションで、取消すことはできません。ユーザーのデータは保存され ず、破壊されます。WorkSpace ユーザーのデータのバックアップに関するガイダンスが必要 な場合は、AWS サポートにお問い合わせください。 WorkSpace を削除するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. 削除する WorkSpace を選択したら、[Actions]、[Remove WorkSpaces] の順に選択します。 4. [WorkSpaces] ダイアログボックスの情報を確認し、確認フィールドに「REMOVE」と入力して、 [Remove WorkSpaces] を選択します。 ユーザー情報の編集 Amazon WorkSpaces コンソールを使用して、ユーザーの以下の情報を編集できます。 • 名 Version 1.0 59 Amazon WorkSpaces 管理者ガイド WorkSpaces • 姓 • E メールアドレス ユーザー情報を編集するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. ユーザーを選択したら、[Actions]、[Edit User] の順に選択します。 4. [Edit User] ダイアログボックスのユーザー情報を変更し、[Update] を選択します。 AutoStop の WorkSpace の停止 AutoStop の WorkSpace が使用中でない場合、アクティブではなくなってから指定された時間が経過 した後に自動的に停止し、時間測定は一時停止されます。コストをさらに最適化するには、AutoStop の WorkSpace に関連付けられている時間当たりの使用料金を中断することができます。WorkSpace が停止し、ユーザーが次に WorkSpace にログオンする場合に備えて、すべてのアプリケーションや データが保存されます。 AutoStop の WorkSpace を停止するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. 停止する WorkSpace を選択したら、[Actions]、[Stop WorkSpaces] の順に選択します。 4. [Stop WorkSpaces] ダイアログボックスの情報を確認し、確認フィールドに「STOP」と入力し て、[Stop WorkSpaces] を選択します。 AutoStop の WorkSpace に関連付けられた固定インフラストラクチャコストを削除するには、アカウ ントから WorkSpace を削除します。詳細については、「WorkSpace の削除 (p. 59)」を参照して ください。 AutoStop の WorkSpace の開始 停止中の WorkSpace にユーザーが再接続すると、通常は 90 秒未満で、前回の状態から再開されま す。 AutoStop の WorkSpace を開始するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. 開始する WorkSpace を選択したら、[Actions]、[Start WorkSpaces] の順に選択します。 4. [Start WorkSpaces] ダイアログボックスの情報を確認し、確認フィールドに「START」と入力し て、[Start WorkSpaces] を選択します。 AutoStop の WorkSpace の再起動 AutoStop の WorkSpace は、使用可能状態であってもエラー状態であっても再起動できます。 AutoStop の WorkSpace を再起動するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 Version 1.0 60 Amazon WorkSpaces 管理者ガイド WorkSpaces バンドル 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. 再起動する WorkSpace を選択したら、[Actions]、[Reboot WorkSpaces] の順に選択します。 4. [WorkSpaces] ダイアログボックスの情報を確認し、確認フィールドに「REBOOT」と入力して、 [Reboot WorkSpaces] を選択します。 実行モードプロパティの変更 WorkSpace の実行モードプロパティは、AlwaysOn (月単位のご請求) と AutoStop (時間単位のご請求) との間で切り替えることができます。 Note 既存の WorkSpace を AlwaysOn から AutoStop に変更する場合は、まず WorkSpace を再起 動して、必要な更新を適用する必要があります。 実行モードプロパティを変更するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. 変更する WorkSpace を選択し、[Actions]、[Modify Running Mode Properties] の順に選択しま す。 4. [Modify Running Mode Properties] ダイアログボックスに必要な情報を入力し、[Modify] を選択し ます。 WorkSpace バンドルの管理 Amazon WorkSpaces では、カスタム WorkSpace バンドルを作成、保存できます。これにより、 事前に設定され、必要なすべてのソフトウェアが既にインストールされている独自のバンドルから WorkSpaces を起動できます。 トピック • バンドルの作成 (p. 61) • バンドルの更新 (p. 62) • バンドルの削除 (p. 62) バンドルの作成 バンドルを作成するには、以下のステップを実行します。 新しいバンドルを作成するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpace Images] を選択します。 3. 作成するバンドルの基になるイメージを選択したら、[Actions]、[Create Bundle] の順に選択しま す。 4. [Create WorkSpace Bundle] ダイアログボックスで、バンドルの名前と説明を入力し、目的の ハードウェアを選択したら、[Create Bundle] を選択します。バンドルはすぐに使用できます。 [WorkSpace Bundles] リストでバンドルを選択し、[Launch WorkSpaces] を選択して、バンドル から WorkSpace を起動できます。 Version 1.0 61 Amazon WorkSpaces 管理者ガイド WorkSpace イメージ バンドルの更新 バンドル作成した後、そのバンドルを更新できます。たとえば、バンドルから起動した WorkSpaces で最新のオペレーティングシステムとアプリケーションのパッチを利用できるようにすることができ ます。新しい WorkSpaces で使用できるように、バンドルにさらにアプリケーションを追加すること もできます。 コメント • 新しいイメージは元のイメージとベースソフトウェアパッケージ(Plus または Standard)が同じで ある必要があります。 • 更新されるバンドルに基づく既存の WorkSpaces は影響を受けません。最新のバンドルを使用して 実行中の WorkSpace を更新するには、WorkSpace を再構築する必要があります。 バンドルを更新するには、以下の手順を実行します。 バンドルを更新するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpace Bundles] を選択します。 3. 更新するバンドルを選択したら、[Actions]、[Update Bundle] の順に選択します。 4. [Update WorkSpace Bundle] ダイアログボックスで、新しいイメージまたは更新されたイメージ を選択したら、[Update Bundle] を選択します。 バンドルの削除 必要に応じて、未使用のバンドルを削除できます。使用されているバンドルを削除する場合は、バン ドルは削除キューに配置され、そのバンドルから作成されたすべての WorkSpaces が削除された後で 削除されます。 バンドルを削除するには、以下の手順を実行します。 バンドルを削除するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpace Bundles] を選択します。 3. 削除するバンドルを選択したら、[Actions]、[Delete Bundle] の順に選択します。 4. [Delete WorkSpace Bundle] ダイアログボックスで、バンドルを削除することを確認し、[Delete Bundle] を選択します。 WorkSpace イメージの管理 Amazon WorkSpaces では、実行中の WorkSpaces からカスタムイメージを作成でき、それらのイ メージからカスタムバンドルを作成できます。これにより、事前に設定され、必要なすべてのソフト ウェアが既にインストールされている独自のバンドルから WorkSpaces を起動できます。カスタムポ リシーの詳細については、「WorkSpace バンドルの管理 (p. 61)」を参照してください。 イメージを作成すると、以下の項目が WorkSpace から取得されます。 • C:\ ドライブのすべての内容。 • 以下の項目を除く、D:\Users\<username> にあるユーザープロファイルのすべての内容。 Version 1.0 62 Amazon WorkSpaces 管理者ガイド WorkSpace イメージ • 連絡先 • ダウンロード • 音楽 • pictures • ゲームのセーブデータ • 動画 • .virtualbox • 追跡 • ポッドキャスト • 仮想マシン • appdata\local\temp • appdata\roaming\apple computer\mobilesync\ • appdata\roaming\apple computer\logs\ • appdata\roaming\apple computer\itunes\iphone software updates\ • appdata\roaming\macromedia\flash player\macromedia.com\support\flashplayer\sys\ • appdata\roaming\macromedia\flash player\#sharedobjects\ • appdata\roaming\adobe\flash player\assetcache\ • appdata\roaming\microsoft\windows\recent\ • appdata\roaming\microsoft\office\recent\ • appdata\roaming\microsoft office\live meeting • appdata\roaming\microsoft shared\livemeeting shared\ • appdata\roaming\mozilla\firefox\crash reports\ • appdata\roaming\mcafee\common framework\ • appdata\local\microsoft\feeds cache • appdata\local\microsoft\windows\temporary internet files\ • appdata\local\microsoft\windows\history\ • appdata\local\microsoft\internet explorer\domstore\ • appdata\local\microsoft\internet explorer\imagestore\ • appdata\locallow\microsoft\internet explorer\iconcache\ • appdata\locallow\microsoft\internet explorer\domstore\ • appdata\locallow\microsoft\internet explorer\imagestore\ • appdata\local\microsoft\internet explorer\recovery\ • appdata\local\mozilla\firefox\profiles\ トピック • 要件 (p. 63) • イメージ作成のベストプラクティス (p. 64) • イメージの作成 (p. 64) • イメージの削除 (p. 65) 要件 イメージを作成するための要件を以下に示します。 • すべてのアプリケーションは C:\ ドライブに、または D:\Users\<username> のユーザープロ ファイルにインストールしてください。これ以外の場所にインストールされているアプリケーショ ンは取得されません。 Version 1.0 63 Amazon WorkSpaces 管理者ガイド WorkSpace イメージ • インストールされるすべてのアプリケーションには、Microsoft Sysprep との互換性が必要です。 • WorkSpace のユーザープロファイルを削除しないでください。ユーザープロファイルはイメージの 作成に必要です。 • ユーザープロファイル(ファイルとデータ)の合計サイズは 10 GB 未満である必要があります。 • C:\ドライブには、ユーザープロファイルの内容を収容可能なスペースに加え、別に 2 GB の容量が 必要です。 • イメージを作成するときに、ドメインユーザー認証情報を使用するアプリケーションサービスを WorkSpace で実行することはできません。たとえば、イメージを作成するときに、ドメインユー ザーの認証情報を使用して、インストール済みの Microsoft SQL Server Express を実行することは できません。代わりに、ローカルシステムアカウントを使用する必要があります。 イメージ作成のベストプラクティス WorkSpace のイメージを作成するときは、以下のベストプラクティスに従うことをお勧めします: • WorkSpace の C:\ ドライブに、インストールする予定のアプリケーション用の十分な容量がある ことを確認します。 • イメージを作成する前に、オペレーティングシステムとアプリケーションの更新プログラムやパッ チをすべてインストールしていることを確認します。 • 保持する必要がないキャッシュされたデータを WorkSpace から削除します。これには、ブラウザ の履歴、キャッシュされたデータやファイル、ブラウザの Cookie などがあります。 • Eメールプロファイルなど、すべてのアプリケーションの設定は、イメージにキャプチャされま す。このイメージから作成される WorkSpaces にコピーしたくない設定はすべて削除してくださ い。 • イメージ名を選択するときには、イメージを識別しやすくするために、短縮名とバージョンや日付 を含む名前を使用します。 • カスタムイメージから作成した Amazon WorkSpaces で Amazon WAM を使用したい場合は、カス タムイメージを作成するために使用した WorkSpace で Amazon WAM クライアントを起動しない でください。これにより、作成するカスタムイメージから起動する WorkSpaces では、最初にイ メージを作成した WorkSpace に関連付けられている Amazon WAM 設定は使用されません。 イメージの作成 実行中の WorkSpace からイメージを作成するには、以下の手順を実行します。 イメージを作成するには 1. 作成するイメージの基になる WorkSpace からユーザーがログアウトしている(切断されてい る)ことを確認します。 2. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 3. ナビゲーションペインで [WorkSpaces] を選択し、作成するイメージの基になる WorkSpace を選 択します。 4. [Actions]、[Create Image] の順に選択します。 5. [Create WorkSpace Image] ダイアログボックスで、イメージの名前と説明を入力します。既存 のイメージを上書きすることはできないため、一意の名前を選択する必要があります。完了した ら、[Create Image] を選択します。 イメージが作成されるまでに最大で 1 時間かかる可能性があります。この間、作成するイメージ の基になる WorkSpace は使用できません。ナビゲーションペインで [WorkSpace Images] を選択 して、イメージのステータスをモニタリングできます。イメージの作成が完了すると、ステータ スは [Available] に変わります。 Version 1.0 64 Amazon WorkSpaces 管理者ガイド Windows のイメージ イメージの削除 イメージはいずれも削除できます。イメージを使用するバンドルに基づく既存の WorkSpaces は影響 を受けませんが、このようなバンドルを使用する WorkSpaces を再構築または起動することはできな くなります。ベストプラクティスとして、カスタムバンドルで使用されているイメージは削除しない でください。 WorkSpace イメージを削除するには、以下の手順を実行します。 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpace Images] を選択します。 3. 削除するイメージを選択したら、[Actions]、[Delete Image] の順に選択します。 4. [Delete WorkSpace Image] ダイアログボックスで、イメージを削除することを確認し、[Delete Image] を選択します。 Windows デスクトップイメージの使用 Microsoft とのライセンス契約で許可されていれば、Amazon WorkSpaces にお客様の Windows 7 または Windows 10 Enterprise/Professional デスクトップイメージを使用できます。そのために は、Microsoft Windows License(BYOL)と、以下に示している要件を満たす Windows 7 または Windows 10 イメージを用意する必要があります。Microsoft とのライセンス契約の要件を満たすに は、BYOL 下で AWS クラウド内の専有ハードウェアで Amazon WorkSpaces を実行する必要もあり ます。独自のライセンスを持ち込むことで、コストを節約し、すべてのユーザーに一貫したエクスペ リエンスを提供できます。詳細については、Amazon WorkSpaces 料金表を参照してください。 Note Windows 7 または Windows 10 Professional を実行している Amazon WorkSpaces は、1 つの モニターにのみストリーミングできます。これは、仮想環境で実行されているオペレーティ ングシステムの制限のためです。 前提条件 開始する前に、以下の前提条件を満たしていることを確認してください。 • Windows オペレーティング システムをインポートするための要件と制限をご確認ください。 • Microsoft とのライセンス契約では、Windows 7 または Windows 10 Enterprise/Professional を仮想 ホスト環境で実行できます。 • Windows 7 または Windows 10 OS は 64 ビットで、キー管理サーバーを通じてアクティブになりま す。 • Windows 7 または Windows 10 OS で、「英語 (米国)」が主な言語に設定されています。 • ベースイメージには、Windows 7 または Windows 10 に付属しているもの以外のソフトウェアは 含まれていません。後で、ウイルス対策ソリューションなどのソフトウェアを追加し、カスタムイ メージを作成できます。詳細については、「WorkSpace イメージの管理 (p. 62)」を参照してく ださい。 • イメージを共有する前に、ローカル管理者アクセス権を持つアカウント WorkSpaces_BYOL を選択 しました。このアカウントのパスワードは、後でリクエストされます。 • インポートするイメージが、80 GB 未満の 1 つのボリュームにあり、OVA 形式であることを確認し てください。 • Amazon WorkSpaces では、管理インターフェイスが使用されます。このインターフェイスは、イ ンタラクティブなストリーミング用にセキュアな Amazon WorkSpaces 管理ネットワークに接続さ れます。それにより、このサービスで WorkSpaces を管理できます。Amazon WorkSpaces で以下 いずれかの IP 範囲を管理インターフェイスに使用できることを確認します。 Version 1.0 65 Amazon WorkSpaces 管理者ガイド ディレクトリの管理 • 198.18.0.0/15 • 100.64.0.0/10 • 10.0.0.0/8 • 172.16.0.0/12 • 192.168.0.0/16 • 専有ハードウェアで Amazon WorkSpaces を実行するためには、200 以上の Amazon WorkSpaces を使用する必要があります。専有ハードウェアでの Amazon WorkSpaces の実行は、Microsoft との ライセンス契約の要件を満たすために必要です。 ご利用開始にあたって 開始するには、担当の AWS アカウントマネージャーまたは販売担当者にお問い合わせいただく か、Amazon WorkSpaces の技術サポートケースを開いてください。担当者が、お客様のアカウント に十分な容量が割り当てられているかどうかを確認したうえで、BYOL のセットアップをお手伝いし ます。 Amazon WorkSpaces ディレクトリの管理 ディレクトリを作成すると、ほとんどの管理機能は、Active Directory 管理ツールなどのディレクトリ 管理ツールで実行されます。Amazon WorkSpaces マネジメントコンソールを使用して、新しいディ レクトリの作成や既存ディレクトリとの削除など、特定のディレクトリ関連アクションを実行できま す。詳細については、「ディレクトリ管理 (p. 41)」を参照してください。 トピック • ディレクトリの管理 WorkSpace のセットアップ (p. 66) • Amazon EC2 インスタンスのディレクトリへの結合 (p. 67) • Active Directory 管理ツールのインストール (p. 67) • ユーザーおよびグループの作成 (p. 68) • ユーザーパスワード (p. 69) • ユーザーの削除 (p. 69) ディレクトリの管理 WorkSpace のセットアップ 管理 WorkSpace をセットアップするには 1. 自分または別のディレクトリ管理者用に WorkSpace を作成します。 2. WorkSpace がセットアップされ、実行されたら、いずれかの Amazon WorkSpaces クライアント アプリケーションで WorkSpace に接続します。 3. 「Active Directory 管理ツールのインストール (p. 67)」で説明しているように、Active Directory 管理ツールをインストールします。 以下に、この WorkSpace から使用できる管理ツールの一部を示します。 ツール 説明 redircmp.exe 新しい WorkSpaces が作成されたデフォルトコ ンテナを、指定された組織単位(OU)に変更し ます。 Version 1.0 66 Amazon WorkSpaces 管理者ガイド Amazon EC2 インスタンスのディレクトリへの結合 ツール 説明 イベントビューアー WorkSpace のイベントログを表示できるように します。WorkSpace の IP アドレスにイベント ビューアーを接続します。これは WorkSpace の 詳細ページから利用できます。 Active Directory ユーザーとコンピュータ ユーザー、グループ、組織単位など、ディレク トリの情報を管理し、公開するために使用され ます。 Amazon EC2 インスタンスのディレクトリへの結合 Amazon EC2 Systems Manager を使ってインスタンスを起動すると、ディレクトリドメインにシーム レスに EC2 インスタンスを結合できます。詳細については、Windows インスタンスの Amazon EC2 ユーザーガイド の Seamlessly Joining a Windows Instance to an AWS Directory Service Domain を参 照してください。 手動でインスタンスを起動してディレクトリに結合する方法についての詳細は、AWS Directory Service Administration Guide の Joining an Instance to an AWS Directory Service Directory を参照して ください。 Active Directory 管理ツールのインストール WorkSpace または Amazon EC2 Windows インスタンスからディレクトリを管理するに は、WorkSpace またはインスタンスで Active Directory ドメインサービスおよび Active Directory ライ トウェイトディレクトリサービスツールをインストールする必要があります。詳細については、AWS Directory Service Administration Guide の Installing the Active Directory Administration Tools を参照し てください。 トピック • Simple AD ディレクトリの管理 (p. 67) Simple AD ディレクトリの管理 Simple AD ディレクトリを作成すると、ディレクトリの管理者アカウントが作成されます。ユー ザー名は Administrator で、パスワードはディレクトリを作成したときに指定したパスワードで す。Simple AD ディレクトリを管理するために、このアカウントを使用します。いずれかの Active Directory 管理ツールを実行するときは、次の手順に従ってディレクトリの管理者としてそれらを実行 する必要があります。 1. 2. 3. [Administrative Tools] を開きます。 Shift キーを押しながらツールのショートカットを右クリックし、[Run as different user] を選択し ます。 ユーザー名および管理者パスワードとして「Administrator」と入力します。 これで、必要なディレクトリ管理タスクを実行することができます。また、Amazon WorkSpaces の いずれのユーザーアカウントもディレクトリ管理者に昇格できます。そのためには、以下の手順を実 行します。 ユーザーのディレクトリ管理者への昇格 1. 2. ディレクトリ管理者として Active Directory ユーザーとコンピュータツールを実行します。 ドメインの下の Users フォルダに移動し、昇格するユーザーを選択します。 Version 1.0 67 Amazon WorkSpaces 管理者ガイド ユーザーおよびグループの作成 3. メニューで、[Action]、[Properties] の順に選択します。 4. ユーザープロパティのダイアログボックスで、[Member of] を選択します。 5. ユーザーを以下のグループに追加し、[OK] を選択します。 • Administrators • Domain Admins • Enterprise Admins • Group Policy Creator Owners • Schema Admins これで、ユーザーはディレクトリ管理者になりました。 ユーザーおよびグループの作成 Active Directory ドメインサービスおよび Active Directory ライトウェイトディレクトリサービスツー ルの一部である [Active Directory ユーザーとコンピュータ] ツールを使用して、ユーザーとグループ を作成できます。ユーザーは、ディレクトリにアクセスできる個別の人またはエンティティを表しま す。グループは、個別のユーザーごとに権限を付与するのではなく、ユーザーのグループに権限を付 与または拒否するために非常に便利です。ユーザーが他の組織に移動した場合、そのユーザーを別の グループに移動すると、新しい組織で必要な権限が自動的に与えられます。 以下の例は、ユーザーを作成し、グループを作成し、ユーザーをグループに追加する方法を示してい ます。ディレクトリでユーザーとグループを作成するには、ディレクトリのメンバーである Windows インスタンスに接続されていて、ユーザーとグループを作成する権限を持つユーザーとしてログイン している必要があります。 ユーザーを作成するには 1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in the Administrative Tools folder. Tip You can run the following from a command prompt on the instance to open the Active Directory Users and Computers tool box directly. %SystemRoot%\system32\dsa.msc 2. ディレクトリツリーで、ディレクトリを開き、Users フォルダーを選択します。 3. [Action]、[New]、[User] の順に選択して、新しいユーザーウィザードを開きます。 4. 新しいユーザーウィザードの最初のページで、[First name] に「Mary」、[Last name] に 「Major」、[User logon name] に「marym」と入力します。[Next] を選択します。 5. 新しいユーザーウィザードの 2 番目のページで、[Password] および [Confirm Password] に安全な パスワードを入力します。[User must change password at next logon] オプションが選択されてい ないことを確認します。ディレクトリでの必要に応じて他のオプションを設定し、[Next] を選択 します。 6. 新しいユーザーウィザードの 3 番目のページで、新しいユーザー情報が正しいことを確認し、 [Finish] を選択します。新しいユーザー、Mary Major が Users フォルダに表示されます。 グループを作成するには 1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in the Administrative Tools folder. Version 1.0 68 Amazon WorkSpaces 管理者ガイド ユーザーパスワード Tip You can run the following from a command prompt on the instance to open the Active Directory Users and Computers tool box directly. %SystemRoot%\system32\dsa.msc 2. ディレクトリツリーで、ディレクトリを開き、Users フォルダーを選択します。 3. 4. [Action]、[New]、[Group] の順に選択して、新しいグループウィザードを開きます。 [Group name] に「Division Managers」と入力し、[Group scope] で [Global] を、[Group type] で [Security] を選択します。[OK] を選択します。新しいグループ、Division Managers が Users フォルダに表示されます。 ユーザーをグループに追加するには 1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in the Administrative Tools folder. Tip You can run the following from a command prompt on the instance to open the Active Directory Users and Computers tool box directly. %SystemRoot%\system32\dsa.msc 2. ディレクトリツリーで、ディレクトリを開き、[Users]、[Division Managers] の順に選択します。 3. [Action]、[Properties] の順に選択して、Division Managers グループのプロパティダイアログボッ クスを開きます。 4. 5. [Members]、[Add...] の順に選択します。 [Enter the object names to select] に「marym」と入力し、[OK] を選択します。Mary Major が [Members] リストに表示されます。[OK] を再び選択して、グループのメンバーシップを更新しま す。 [Users] フォルダーで [Mary Major] を選択し、[Action]、[Properties]、[Member Of] の順に選択し て、Mary Major が現在 [Division Managers] グループのメンバーであることを確認します。Mary Major が属するグループのリストに Division Managers が追加されました。 6. ユーザーパスワード ユーザーは、「Windows パスワードの変更」の手順に従うことによって、WorkSpace 内からパス ワードを変更できます。 ディレクトリ管理者は、Active Directory ユーザーとコンピューターツールを使用して既存ユーザーの パスワードをリセットできます。これを行うときに、[User must change password at next logon] の設 定を変更しないでください。ユーザーは WorkSpace に接続できなくなります。代わりに、安全な一 時パスワードをユーザーに割り当てて、ユーザーが次回ログオンしたときに WorkSpace 内から手動 でパスワードを変更するように指示します。 ユーザーの削除 Amazon WorkSpaces は Active Directory を使用してそのユーザー情報を格納するため、使い慣れてい る任意の Active Directory ツールを使用して、ユーザーオブジェクトを削除することができます。これ らのオブジェクトへのアクセスの詳細については、「ディレクトリ管理 (p. 41)」を参照してくださ い。 Version 1.0 69 Amazon WorkSpaces 管理者ガイド グループポリシー Note ユーザーを削除する前に、ユーザーに割り当てられた WorkSpace を削除する必要がありま す。WorkSpaces の削除の詳細については、「WorkSpace の削除 (p. 59)」を参照してくだ さい。 グループポリシーを使用した WorkSpaces とユー ザーの管理 Amazon WorkSpaces は、Active Directory と互換性のあるディレクトリを使用するため、ディレクト リに含まれる WorkSpaces とユーザーにグループポリシー設定を適用することができます。Amazon WorkSpaces コンピュータアカウント用の組織単位と Amazon WorkSpaces ユーザーアカウント用の 別の組織単位を作成して管理することをお勧めします。これにより、WorkSpaces 固有のグループポ リシー設定をこれらの組織単位に適用できるようになり、その設定はすべての WorkSpaces または Amazon WorkSpaces ユーザーに適用されます。 グループポリシー設定は、WorkSpace ユーザーのエクスペリエンスにさまざまな影響を与える可能性 があります。 • WorkSpace に適用されたカスタムグループポリシー設定の数によって、WorkSpace の起動または 再起動後、ユーザーが最初にログインするときは数分かかる場合があります。 • グループポリシー設定を変更すると、ユーザーが WorkSpace に接続されない場合は、アクティブ なセッションが終了する可能性があります。 • グループポリシー設定によっては、セッションから切断されているときに、ユーザーを強制的にロ グオフします。ユーザーが WorkSpace で開いていたアプリケーションは、すべて閉じられます。 • ログオンバナーを表示するためにインタラクティブなログオンメッセージを実装すると、ユーザー は自分の WorkSpace にアクセスできなくなります。現在、インタラクティブのログオンメッセー ジのグループポリシー設定は Amazon WorkSpaces でサポートされていません。 グループのポリシーを使用してアプリケーションを WorkSpace に配布する方法の詳細は、「チュー トリアル: グループポリシーを使用したアプリケーションの配布 (p. 87)」を参照してください。 トピック • グループポリシー管理用テンプレートのインストール (p. 70) • ローカルプリンターのサポート (p. 71) • クリップボードのリダイレクト (p. 71) • セッション再起動タイムアウト設定 (p. 72) グループポリシー管理用テンプレートのインストー ル Amazon WorkSpaces 固有のグループポリシーの設定を使用するには、グループポリシー管理用テン プレートをインストールする必要があります。ディレクトリの管理 WorkSpace またはディレクトリ に結合されている Amazon EC2 インスタンスで、次の手順を実行します。 グループポリシー管理用テンプレートをインストールするには 1. 2. 実行中の WorkSpace から、C:\Program Files (x86)\Teradici\PCoIP Agent \configuration ディレクトリにある pcoip.adm ファイルをコピーします。 グループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントが含まれるドメイ ンの組織単位に移動します。 Version 1.0 70 Amazon WorkSpaces 管理者ガイド ローカルプリンターのサポート 3. コンピュータアカウントの組織単位のコンテキスト(右クリック)メニューを開き、[Create a GPO in this domain, and link it here] を選択します。 4. [New GPO] ダイアログボックスで、グループポリシーオブジェクトのわかりやすい名前 (「WorkSpaces Machine Policies」など)を入力し、[Source Starter GPO] は [(none)] のままに します。[OK] を選択します。 5. 新規グループポリシーオブジェクトのコンテキスト(右クリック)メニューを開き、[Edit] を選択 します。 6. グループポリシー管理エディターで、[Computer Configuration]、[Policies]、[Administrative Templates] の順に選択します。メインメニューから [Action]、[Add/Remove Templates] の順に選 択します。 7. [Add/Remove Templates] ダイアログボックスで、[Add] を選択し、先ほどコピーした pcoip.adm ファイルを選択したら、[Open]、[Close] の順に選択します。 8. [Group Policy Management Editor] を終了します。これで、このグループポリシーオブジェクトを 使用して、Amazon WorkSpaces に固有のグループポリシーの設定を変更できます。 ローカルプリンターのサポート デフォルトでは、Amazon WorkSpaces はローカルプリンターへのリダイレクトをサポートしていま す。必要に応じて、グループポリシーの設定を使用してこの機能を無効にすることができます。 ローカルプリンターのサポートを無効にするには 1. ドメインに Amazon WorkSpaces グループポリシー管理用テンプレート (p. 70) がインストー ルされていることを確認します。 2. グループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントの WorkSpaces グ ループポリシーオブジェクトに移動して選択します。メインメニューの [Action]、[Edit] を選択し ます。 3. グループポリシー管理エディターで、[Computer Configuration]、[Policies]、[Administrative Templates]、[Classic Administrative Templates]、[PCoIP Session Variables]、[Overridable Administration Defaults] の順に選択します。 4. [Configure remote printing] 設定を開きます。 5. [Configure remote printing] ダイアログボックスで、[Enabled] を選択し、[Configure remote printing] オプションを必要に応じて有効または無効に設定して、[OK] を選択します。 グループポリシーの設定の変更は、WorkSpace で次回グループポリシーの設定を更新し、セッション が再開された後に有効になります。 クリップボードのリダイレクト デフォルトでは、Amazon WorkSpaces はクリップボードのリダイレクトをサポートしています。必 要に応じて、グループポリシーの設定を使用してこの機能を無効にすることができます。 クリップボードのリダイレクトを有効または無効にするには 1. ドメインに Amazon WorkSpaces グループポリシー管理用テンプレート (p. 70) がインストー ルされていることを確認します。 2. グループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントの WorkSpaces グ ループポリシーオブジェクトに移動して選択します。メインメニューの [Action]、[Edit] を選択し ます。 3. グループポリシー管理エディターで、[Computer Configuration]、[Policies]、[Administrative Templates]、[Classic Administrative Templates]、[PCoIP Session Variables]、[Overridable Administration Defaults] の順に選択します。 Version 1.0 71 Amazon WorkSpaces 管理者ガイド セッション再起動タイムアウト設定 4. [Configure clipboard redirection] 設定を開きます。 5. [Configure clipboard redirection] ダイアログボックスで、[Enabled] を選択し、[Configure clipboard redirection] オプションを必要に応じて有効または無効に設定して、[OK] を選択しま す。 グループポリシーの設定の変更は、WorkSpace で次回グループポリシーの設定を更新し、セッション が再開された後に有効になります。 セッション再起動タイムアウト設定 Amazon WorkSpaces クライアントアプリケーションを使用中にネットワーク接続が停止すると、現 行のセッションは切断されます。これはノートパソコンの蓋を閉じた場合やワイヤレスネットワーク 接続の喪失から発生する場合があります。Windows および OS X 用の Amazon WorkSpaces クライア ントアプリケーションは、ネットワーク接続がある程度の時間内に回復すればセッションを自動的に 再接続するよう試みます。デフォルト設定のセッション再起動タイムアウトは 20 分ですが、ドメイ ンのグループポリシー設定で制御される WorkSpace では、この値の変更ができます。 自動セッション再起動タイムアウト値を設定するには 1. ドメインに Amazon WorkSpaces グループポリシー管理用テンプレート (p. 70) がインストー ルされていることを確認します。 2. グループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントの WorkSpaces グ ループポリシーオブジェクトに移動して選択します。メインメニューの [Action]、[Edit] を選択し ます。 3. グループポリシー管理エディタで、[Computer Configuration]、[Policies]、[Administrative Templates]、[Classic Administrative Templates]、[PCoIP Session Variables] の順に選択します。 ユーザーによる設定の上書きを許可するには、[Overridable Administration Defaults] を選択しま す。許可しない場合は、[Not Overridable Administration Defaults] を選択します。 4. [Configure Session Automatic Reconnection Policy] 設定を開きます。 5. [Configure Session Automatic Reconnection Policy] ダイアログボックスで [Enabled] を選択し、 [Configure Session Automatic Reconnection Policy] オプションを必要なタイムアウト値(分単 位)に設定して、[OK] を選択します。 グループポリシーの設定の変更は、WorkSpace で次回グループポリシーの設定を更新し、セッション が再開された後に有効になります。 ファイル共有 WorkSpaces/インスタンスが実行されている VPC(10.0.0.0/16 など)からのポート 445 でのイン バウンドおよびアウトバウンド TCP トラフィックを許可することにより、WorkSpaces 間だけでな く、ディレクトリに結合されている Amazon EC2 インスタンス間でもファイルを共有できます。既存 のセキュリティグループを変更するか、新しいセキュリティグループを作成して WorkSpaces/インス タンスに追加することができます。WorkSpaces のセキュリティグループと VPC の識別子は、どち らも Amazon WorkSpaces コンソールのディレクトリの詳細で確認できます。クラウドディレクトリ の WorkSpaces に対するセキュリティグループの追加の詳細については、「セキュリティグループを 追加する (p. 43)」を参照してください。接続したディレクトリの WorkSpaces に対するセキュリ ティグループの追加の詳細については、「セキュリティグループを追加する (p. 46)」を参照して ください。WorkSpaces セキュリティグループを見つける方法については、「WorkSpaces セキュリ ティグループ (p. 4)」を参照してください。 フォルダを共有する場合は、WorkSpace またはインスタンスが属するディレクトリから、少なくとも 認証ユーザーが存在するフォルダのみを共有する必要があります。そのためには、フォルダを共有す Version 1.0 72 Amazon WorkSpaces 管理者ガイド PCoIP ゼロクライアント るユーザーを選択するときに、Authenticated Users グループを選択します。共有へのアクセスを さらに制限する必要がある場合は、個々のユーザーまたはグループを選択できます。 フォルダを共有すると、マシンの IP アドレスとフォルダのパス(\ \<machine_IP_address>\<share_name> など)を使用して、別の WorkSpace やインスタンスか ら共有フォルダにアクセスできます。ファイルを共有しているマシンの DNS 名を解決できる場合、\ \<machine_name>\<share_name> などの UNC パスを使用できます。 PCoIP ゼロクライアントの有効化 PCoIP ゼロクライアントデバイスから WorkSpaces にアクセスできるようにするには、PCoIP Connection Manager for Amazon WorkSpaces を使用して EC2 インスタンスを起動して設定する 必要があります。PCoIP Connection Manager for Amazon WorkSpaces でインスタンスを起動する ために使用できる Amazon Machine Image (AMI) は、AWS Marketplace で入手できます。AMI を起 動し、Connection Manager を設定する方法の詳細については、PCoIP Connection Manager User Guideの「Deploying the PCoIP Connection Manager for Amazon WorkSpaces」を参照してくださ い。 PCoIP ゼロクライアントデバイスをセットアップし、接続する方法については、「PCoIP ゼロクライ アントのヘルプ (p. 112)」を参照してください。 Amazon WorkSpaces メトリクスのモニタリング パフォーマンスメトリクスを収集して分析できるように Amazon WorkSpaces と Amazon CloudWatch が統合されました。これらのメトリクスは、CloudWatch コンソールまたは CloudWatch コマンドラインインターフェイスを使用して、あるいはプログラムによって CloudWatch API を使用 してモニタリングできます。CloudWatch では、メトリクスについて指定したしきい値にアラームを 設定することもできます。 CloudWatch とアラームの使用方法の詳細については、Amazon CloudWatch ユーザーガイド を参照 してください。 トピック • Amazon WorkSpaces Metrics (p. 73) • Dimensions for Amazon WorkSpaces Metrics (p. 75) • モニタリングの例 (p. 75) Amazon WorkSpaces Metrics The AWS/WorkSpaces namespace includes the following metrics. Metric 1 Available 1 Unhealthy Description Dimensions Statistics Available Units The number of WorkSpaces that returned a healthy status. DirectoryId Average, Sum, Maximum, Minimum, Data Samples Count The number of WorkSpaces that returned an unhealthy status. DirectoryId Average, Sum, Maximum, Minimum, Data Samples Count WorkspaceId WorkspaceId Version 1.0 73 Amazon WorkSpaces 管理者ガイド Amazon WorkSpaces Metrics Metric Description 2 ConnectionAttempt The number of connection attempts. 2 ConnectionSuccess The number of successful connections. 2 ConnectionFailure The number of failed connections. 2 SessionLaunchTime The amount of time it takes to initiate a WorkSpaces session. 2 InSessionLatencyThe round trip time between the WorkSpaces client and the WorkSpace. 2 SessionDisconnect The number of connections that were closed, including userinitiated and failed connections. 3 UserConnected Stopped Maintenance 4 Dimensions Statistics Available Units DirectoryId Average, Sum, Maximum, Minimum, Data Samples Count Average, Sum, Maximum, Minimum, Data Samples Count Average, Sum, Maximum, Minimum, Data Samples Count Average, Sum, Maximum, Minimum, Data Samples Second (time) Average, Sum, Maximum, Minimum, Data Samples Millisecond (time) Average, Sum, Maximum, Minimum, Data Samples Count Average, Sum, Maximum, Minimum, Data Samples Count Average, Sum, Maximum, Minimum, Data Samples Count Average, Sum, Maximum, Minimum, Data Samples Count WorkspaceId DirectoryId WorkspaceId DirectoryId WorkspaceId DirectoryID WorkspaceID DirectoryID WorkspaceID DirectoryID WorkspaceID The number of WorkSpaces that have a user connected. DirectoryID The number of WorkSpaces that are stopped. DirectoryID The number of WorkSpaces that are under maintenance. DirectoryID WorkspaceID WorkspaceID WorkspaceID 1 Amazon WorkSpaces periodically sends status requests to a WorkSpace. A WorkSpace is marked Available when it responds to these requests, and Unhealthy when it fails to respond to these requests. These metrics are available at a per-WorkSpace granularity, and also aggregated for all WorkSpaces in an organization. 2 Amazon WorkSpaces records metrics on connections made to each WorkSpace. These metrics are emitted after a user has successfully authenticated via the WorkSpaces client and the client then Version 1.0 74 Amazon WorkSpaces 管理者ガイド Dimensions for Amazon WorkSpaces Metrics initiates a session. The metrics are available at a per-WorkSpace granularity, and also aggregated for all WorkSpaces in a directory. 3 Amazon WorkSpaces periodically sends connection status requests to a WorkSpace. Users are reported as connected when they are actively using their sessions. This metric is available at a perWorkSpace granularity, and is also aggregated for all WorkSpaces in an organization. 4 This metric applies to WorkSpaces that are configured with an AutoStop running mode. If you have maintenance enabled for your WorkSpaces, this metric captures the number of WorkSpaces that are currently under maintenance. This metric is available at a per-WorkSpace granularity, which describes when a WorkSpace went into maintenance and when it was removed. Dimensions for Amazon WorkSpaces Metrics Amazon WorkSpaces metrics are available for the following dimensions. Dimension Description DirectoryId Limits the data you receive to the WorkSpaces in the specified directory. The DirectoryId value is in the form of d-XXXXXXXXXX. WorkspaceId Limits the data you receive to the specified WorkSpace. The WorkspaceId value is in the formws-XXXXXXXXXX. モニタリングの例 次の例では、Amazon WorkSpaces CLI と CloudWatch CLI を使用して CloudWatch アラームに応答 し、ディレクトリ内で接続障害を起こした WorkSpace を特定する方法を示します。 1. アラームの対象になっているディレクトリを特定します。 aws cloudwatch describe-alarms --state-value "ALARM" { "MetricAlarms" : [ { ... "Dimensions" : [ { "Name" : "DirectoryId", "Value" : "<directory_id>" } ], ... } ] } 2. 指定したディレクトリの WorkSpace のリストを取得します。 aws workspaces describe-workspaces --directory-id <directory_id> { "Workspaces" : [ Version 1.0 75 Amazon WorkSpaces 管理者ガイド トラブルシューティング { ... "WorkspaceId" : "<workspace1_id>", ... }, { ... "WorkspaceId" : "<workspace2_id>", ... }, { ... "WorkspaceId" : "<workspace3_id>", ... } ] } 3. ディレクトリ内の各 WorkSpace の CloudWatch メトリクスを取得します。 aws cloudwatch get-metric-statistics \ --namespace AWS/WorkSpaces \ --metric-name ConnectionFailure \ --start-time 2015-04-27T00:00:00Z \ --end-time 2015-04-28T00:00:00Z \ --period 3600 \ --statistics Sum \ --dimensions "Name=WorkspaceId,Value=<workspace_id>" { "Datapoints" : [ { "Timestamp" : "2015-04-27T00:18:00Z", "Sum" : 1.0, "Unit" : "Count" }, { "Timestamp" : "2014-04-27T01:18:00Z", "Sum" : 0.0, "Unit" : "Count" } ], "Label" : "ConnectionFailure" } Amazon WorkSpaces の管理の問題のトラブル シューティング トピック • • • • 接続したディレクトリの WorkSpaces の起動にたびたび失敗する (p. 77) インタラクティブなログオンバナーで WorkSpace に接続できない (p. 77) ディレクトリのいずれの WorkSpaces もインターネットに接続できない (p. 77) オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示され る (p. 77) Version 1.0 76 Amazon WorkSpaces 管理者ガイド 接続したディレクトリの WorkSpaces の起動にたびたび失敗する • オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」というエラー が表示される (p. 77) • オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示され る (p. 78) • WorkSpace の一部のステータスに "Unhealthy" と表示されます (p. 78) • WorkSpace が停止したときにアプリの状態が保存されない (p. 79) 接続したディレクトリの WorkSpaces の起動にたび たび失敗する オンプレミスのディレクトリの 2 つの DNS サーバーまたはドメインコントローラが、ディレクトリ に接続したときに指定した各サブネットからアクセス可能であることを確認します。各サブネットで EC2 インスタンスを起動し、2 つの DNS サーバーの IP アドレスを使用してディレクトリにインスタ ンスを結合することで、この接続を確認できます。ディレクトリへのインスタンスの結合の詳細につ いては、「Amazon EC2 インスタンスのディレクトリへの結合 (p. 67)」を参照してください。 インタラクティブなログオンバナーで WorkSpace に接続できない ログオンバナーを表示するためにインタラクティブなログオンメッセージを実装すると、ユーザーは 自分の WorkSpace にアクセスできなくなります。現在、インタラクティブのログオンメッセージの グループポリシー設定は Amazon WorkSpaces でサポートされていません。 ディレクトリのいずれの WorkSpaces もインター ネットに接続できない WorkSpaces はデフォルトではインターネットと通信することができません。明示的にインターネッ トアクセスを許可する必要があります。クラウドのディレクトリについては、「Simple AD ディレク トリのインターネットアクセス (p. 15)」を参照してください。接続されたディレクトリについては、 「AD Connector ディレクトリのインターネットアクセス (p. 20)」を参照してください。 オンプレミスディレクトリに接続しようとすると、 「DNS unavailable」というエラーが表示される オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。 DNS unavailable (TCP port 53) for IP: <DNS IP address> AD Connector は、ポート 53 上で TCP および UDP によってオンプレミス DNS サーバーと通信でき る必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上 の TCP および UDP 通信を許可していることを確認します。詳細については、「ネットワークでの AD Connector ディレクトリの準備 (p. 18)」を参照してください。 オンプレミスディレクトリに接続しようとすると、 「Connectivity issues detected」というエラーが表 示される オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。 Version 1.0 77 Amazon WorkSpaces 管理者ガイド オンプレミスディレクトリに接続しようとする と、「SRV record」というエラーが表示される Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation. AD Connector は、以下のポート上で TCP および UDP によってオンプレミスドメインコントロー ラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォール が、これらのポート上の TCP および UDP 通信を許可していることを確認します。詳細については、 「ネットワークでの AD Connector ディレクトリの準備 (p. 18)」を参照してください。 • 88 (Kerberos) • 389 (LDAP) オンプレミスディレクトリに接続しようとすると、 「SRV record」というエラーが表示される オンプレミスディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示さ れます。 SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address> AD Connector は、ディレクトリに接続するときに、_ldap._tcp.<DnsDomainName> および _kerberos._tcp.<DnsDomainName> SRV レコードを取得する必要があります。ディレクトリに 接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、 このエラーが表示されます。DNS サーバーにこれらの SRV レコードが含まれていることを確認しま す。SRV レコードの詳細については、Microsoft TechNet の「SRV リソースレコード」を参照してく ださい。 WorkSpace の一部のステータスに "Unhealthy" と表 示されます Amazon WorkSpaces サービスは定期的にステータスリクエストを WorkSpace に送信します。このリ クエストに応答しない WorkSpace は、"Unhealthy" と表示されます。この問題に対する一般的な原 因は次のとおりです。 • WorkSpace のアプリケーションがネットワークポートをブロックして、WorkSpace によるステー タスリクエストへの応答を妨げています。 • 高 CPU 使用率は、WorkSpace によるステータスリクエストへの応答を一時的に妨ぐことがありま す。 • WorkSpace のコンピュータ名が変更された場合。これにより、Amazon WorkSpaces と WorkSpace の間に確立されるべき安全な交信が妨げられます。 次の方法を使用して、この状況を修正するよう試みることができます。 • Amazon WorkSpaces コンソールから WorkSpace を再起動します。詳細については、 「WorkSpace の再起動 (p. 58)」を参照してください。 • 以下の手順に従って不具合のある WorkSpace に接続します。 Version 1.0 78 Amazon WorkSpaces 管理者ガイド WorkSpace が停止したときに アプリの状態が保存されない Note この手順は、トラブルシューティングの場合にのみ使用します。 1. 2. 3. WorkSpace クライアントを使用して、不具合のある WorkSpace と同じディレクトリ内の動作 している WorkSpace に接続します。 動作している WorkSpace から、Remote Desktop Protocol(RDP)を使って、不具合のある WorkSpace の IP アドレスから不具合のある WorkSpace に接続します。WorkSpace の IP アド レスは、Amazon WorkSpaces コンソールの WorkSpace 情報から確認できます。WorkSpace の問題の規模により、不具合のある WorkSpace に接続できない場合もあります。 不具合のある WorkSpace で最低限のポート要件が満たされていることを確認しま す。Workspaces の最低限のポート要件については、「Amazon WorkSpaces の概念 (p. 1)」を 参照してください。 • Amazon WorkSpaces コンソールから WorkSpace を再構築します。詳細については、 「WorkSpace の再構築 (p. 59)」を参照してください。WorkSpace の再構築ではデータ損失が発 生する可能性があるため、その他のすべての問題対処方法が失敗した場合にのみ、このオプション を実行してください。 WorkSpace が停止したときにアプリの状態が保存 されない アプリの状態を保存するには、WorkSpace バンドルで提供された合計メモリ容量を格納するために 十分な空き容量が WorkSpace のルートボリュームにある必要があります。たとえば、スタンダード WorkSpace のメモリは 4 GB であるため、WorkSpace のルートボリュームには 4 GB の空き容量が必 要です。 また、停止リクエストの発行時に Amazon WorkSpaces サービスが WorkSpace と通信できなかった 場合は、オペレーティングシステムのシャットダウンが強制されるため、アプリの状態が保存されま せん。 Version 1.0 79 Amazon WorkSpaces 管理者ガイド Simple AD ディレクトリの作成 チュートリアル 以下のチュートリアルは、Amazon WorkSpaces を使用して詳細なタスクを実行するために役立ちま す。 トピック • チュートリアル: Simple AD ディレクトリの作成 (p. 80) • チュートリアル: グループポリシーを使用したアプリケーションの配布 (p. 87) • チュートリアル: カスタムバンドルの作成 (p. 90) チュートリアル: Simple AD ディレクトリの作成 次のチュートリアルでは、Amazon WorkSpaces で Simple AD ディレクトリをセットアップするため に必要なすべての手順を説明します。このチュートリアルでは、次のタスクを完了する方法を説明し ます。 • Simple AD ディレクトリで使用する VPC を作成します。この VPC には次のものが含まれます。 • 1 つのパブリックサブネットと 2 つのプライベートサブネット。 • パブリックサブネットで使用するインターネットゲートウェイ。WorkSpaces には 2 つのプライ ベートサブネットが使用されます。 • ネットワークアドレス変換 (NAT) を実行する Amazon EC2 インスタンス、つまり NAT ゲート ウェイ。WorkSpaces にインターネットアクセスを許可するには、NAT デバイスが必要です。 • VPC で Simple AD ディレクトリを作成します。 • ディレクトリでユーザーを作成し、そのユーザーの WorkSpace を起動して、WorkSpace をテスト します。 前提条件 このチュートリアルでは、以下のことを前提としています。 • アクティブな AWS アカウントがある。 • アカウントは、Amazon WorkSpaces を使用するリージョンで VPC の制限に達していない。 Version 1.0 80 Amazon WorkSpaces 管理者ガイド コメント • CIDR が 10.0.0.0/16 のリージョンに既存の VPC がない。 • NAT ゲートウェイ用のアカウントに、VPC に使用できる Elastic IP アドレスがある。 コメント このチュートリアルは、すばやく簡単に Amazon WorkSpaces の使用を開始するためのものですが、 大規模な本稼働環境で使用することは想定されていません。ここで示している各注意事項に、詳細情 報が示されています。 • Amazon VPC の詳細については、『Amazon VPC ユーザーガイド』の次のトピックを参照してくだ さい。 • Amazon VPC とは? • VPC のサブネット • ディレクトリの管理方法の詳細については、「Simple AD ディレクトリの管理 (p. 67)」を参照して ください。 • 1 つの NAT インスタンスにより、単一の障害点が発生します。代わりに NAT ゲートウェイを作成 することをお勧めします。NAT インスタンスを使用する場合、可用性を高めるため、さまざまなア ベイラビリティーゾーンに複数の NAT インスタンスを作成する必要があります。詳細については、 「Amazon VPC NAT インスタンスの高可用性: 例」を参照してください。 ステップ 1: VPC の作成と設定 以下のセクションでは、Simple AD で使用するために VPC を作成し、設定する方法を示しています。 トピック • VPC を作成する (p. 81) • 2 番目のプライベートサブネットを追加します (p. 82) • ルートテーブルを変更します。 (p. 83) • (オプション) NAT インスタンスオプションを設定します。 (p. 84) VPC を作成する このチュートリアルでは、いずれかの VPC 作成ウィザードを使用して次のものを作成します。 • VPC • パブリックサブネット • いずれかのプライベートサブネット • インターネットゲートウェイ • NAT ゲートウェイ VPC ウィザードを使用して VPC を作成するには 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[VPC ダッシュボード]、[VPC ウィザードの開始] の順に選択します。 まだ VPC リソースがない場合は、ダッシュボードの [Your Virtual Private Cloud] 領域で、[Get started creating a VPC] を選択します。 3. [VPC with Public and Private Subnets]、[Select] の順に選択します。 4. ウィザードに以下の情報を入力し、[Create VPC] を選択します。 Version 1.0 81 Amazon WorkSpaces 管理者ガイド ステップ 1: VPC の作成と設定 VPC ウィザードのフィールド IP CIDR ブロック 10.0.0.0/16 VPC 名 WorkSpaces VPC パブリックサブネット 10.0.0.0/24 アベイラビリティーゾーン 指定なし パブリックサブネット名 NAT subnet プライベートサブネット 10.0.1.0/24 アベイラビリティーゾーン 指定なし プライベートサブネット名 WorkSpaces subnet 1 Elastic IP 割り当て ID NAT ゲートウェイに割り当てるに使用可能な Elastic IP アドレスを選択します DNS ホスト名を有効化 デフォルトの選択をそのままにしておきます ハードウェアのテナンシー デフォルト 5. VPC が作成されるまでに数分かかります。VPC を作成した後、次のセクションに進みます。 Note 代わりに NAT インスタンスを起動する場合、ウィザードで [Use a NAT instance instead] を選択し、インスタンスタイプとキーペアを選択します。 2 番目のプライベートサブネットを追加します 次の手順を実行して 2 番目のプライベートサブネットを作成します。 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで、[Subnets] を選択し、WorkSpaces subnet 1 という名前のサブネッ トを選択して、ページの下部にある [Summary] タブを選択します。このサブネットのアベイラビ リティーゾーンを書き留めておきます。 3. [Create Subnet] を選択し、次の情報を [Create Subnet] ダイアログボックスに入力して、[Yes, Create] を選択します。 サブネット 2 の設定 名前タグ WorkSpaces subnet 2 VPC VPC を選択します。これは WorkSpaces VPC という名前の VPC です。 アベイラビリティーゾーン ステップ 2 で書き留めたもの以外の任意のアベイラビリティーゾーンを選択しま す。Amazon WorkSpaces で使用される 2 つのサブネットは、異なるアベイラビリティー ゾーンに存在する必要があります。 Version 1.0 82 Amazon WorkSpaces 管理者ガイド ステップ 1: VPC の作成と設定 CIDR ブロック 10.0.2.0/24 ルートテーブルを変更します。 次の手順を実行して、サブネットのルートテーブルを変更します。 1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。 2. ナビゲーションペインで [Subnets] を選択し、NAT subnet という名前のサブネットを選択しま す。ページの下部の [Route Table] タブを選択し、サブネットの Route Table 識別子を書き留めて おきます。ルートテーブルの識別子は rtb-xxxxxxxx のようになります。 3. ナビゲーションペインで、[Route Tables] を選択し、前のステップで識別されたルートテーブル を選択して、名前を NAT route table に変更します。 4. ページの下部で、[Routes] タブを選択し、次のエントリが NAT route table のルートテーブル にあることを確認します。必要に応じてルートテーブルを変更し、[Edit] を選択します。 NAT サブネットルートテーブル 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 igw-xxxxxxxx これは VPC 用にローカルに送信されるすべてのトラフィックをルーティングし、他のすべての IP アドレスに送信されるトラフィックを、Amazon VPC ウィザードで作成したインターネット ゲートウェイにルーティングします。igw-xxxxxxxx はインターネットを識別します 5. ナビゲーションペインで [Subnets] を選択し、WorkSpaces subnet 1 という名前のサブネット を選択します。ページの下部の [Route Table] タブを選択し、サブネットの Route Table 識別子を 書き留めておきます。ルートテーブルの識別子は rtb-xxxxxxxx のようになります。 6. WorkSpaces subnet 2 という名前のサブネットを選択し、ページの下部にある [Route Table] タブを選択します。ルートテーブルの識別子は WorkSpaces subnet 1 と WorkSpaces subnet 2 で同じである必要があります。WorkSpaces subnet 2 のルートテーブルが異なる場 合、WorkSpaces subnet 2 のルートテーブルを、WorkSpaces subnet 1 と同じルートテー ブルに変更します。 7. ナビゲーションペインで [Route Tables] を選択し、以前に識別した WorkSpaces ルートテーブル を選択して、名前を WorkSpaces route table に変更します。 8. ページの下部で、[Routes] タブを選択し、次のエントリが WorkSpaces route table のルート テーブルにあることを確認します。必要に応じてルートテーブルを変更し、[Edit] を選択します。 WorkSpaces サブネットのルートテーブル 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 nat-xxxxxxxx これは VPC にローカルに送信されるすべてのトラフィックをルーティングし、他のすべての IP アドレスに送信されるトラフィックを NAT ゲートウェイ nat-xxxxxxxx にルーティングしま す。 Version 1.0 83 Amazon WorkSpaces 管理者ガイド ステップ 1: VPC の作成と設定 Note 代わりに NAT インスタンスを起動した場合、ルートは NAT インスタンスの enixxxxxxxx/i-xxxxxxxx を示します。 (オプション) NAT インスタンスオプションを設定します。 NAT ゲートウェイの代わりに NAT インスタンスを起動した場合、NAT インスタンスに関連付けられ たセキュリティグループを変更して、次のインバウンドルールが含まれるようにします。 NAT セキュリティグループのインバウンドルール タイプ プロトコル ポート範囲 送信元 HTTP TCP 80 10.0.1.0/24 HTTP TCP 80 10.0.2.0/24 HTTPS TCP 443 10.0.1.0/24 HTTPS TCP 443 10.0.2.0/24 これにより、2 つのプライベートサブネットから NAT に対してポート 80(HTTP)と 443(HTTPS) でインバウンドトラフィックが許可されます。 NAT インスタンスに関連付けられているセキュリティグループを変更し、次のアウトバウンドルール を含めます。 NAT セキュリティグループのアウトバウンドルール タイプ プロトコル ポート範囲 送信先 HTTP TCP 80 0.0.0.0/0 HTTPS TCP 443 0.0.0.0/0 これにより、任意の宛先に対してポート 80(HTTP)と 443(HTTPS)でアウトバウンドトラフィッ クが許可されます。 NAT インスタンスが正しく動作するためには、Source/Destination Check 属性が無効になって いる必要があります。Amazon VPC ウィザードではこの操作は自動的に実行されませんが、これら の手順が含まれているので、必要に応じて自分で実行することができます。また、この手順を使用し て、Source/Destination Check 属性が無効になっていることを確認することもできます。 送信元/送信先チェック属性が無効になっていることを確認する 1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。 2. ナビゲーションペインで [Instances] を選択し、VPC にある NAT インスタンスを見つけま す。NAT インスタンスは、10.0.0.0/24 のアドレス範囲のプライベート IP アドレスを持ちま す。NAT インスタンスの名前を WorkSpaces NAT instance に変更します。 3. NAT インスタンスを選択して、[Actions]、[Change Source/Dest. Check] を選択します。[Status] が [Disabled] になっている場合、その属性はすでに無効です。[Status] が [Enabled] の場合は、 [Yes, Disable] を選択します。 Version 1.0 84 Amazon WorkSpaces 管理者ガイド ステップ 2: Simple AD ディレクトリの作成 ステップ 2: Simple AD ディレクトリの作成 Simple AD ディレクトリを作成するには、以下の手順を実行します。このプロセスの詳細について は、「Amazon WorkSpaces コンソールを使ってディレクトリを作成する (p. 38)」を参照してくださ い。 クラウドのディレクトリを作成するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで、[Directories] を選択し、[Set up Directory] を選択します。 3. [Simple AD] エリアで、[Create Simple AD] を選択します。 4. 以下のフィールドに値を入力します。 組織名 yourname-example-dir など、組織用のグローバルに一意の名前を入力します。これは長 さが 4 文字以上である必要があり、英数字とハイフンのみを使用できます。名前をハイフン で開始または終了することはできません。組織名が既に使用されている場合、[Continue] を 選択するとエラーが返されます。 Directory DNS example.com NetBIOS name EXAMPLE Administrator password ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Administrator とこのパスワードを使用して管理者アカウントが作成されます。パスワー ドの要件については、次の表の注意事項を参照してください。 ディレクトリ管理者のパスワードは大文字と小文字が区別され、8~64 文字の長さにする必 要があります。また、以下の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要が あります。 • 小文字(a~z) • 大文字 (A〜Z) • 番号(0~9) • アルファベット以外の文字(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/) [Confirm Password] 管理者パスワードを再入力します。 5. [VPC Details] セクションの次のフィールドに値を入力し、[Continue] を選択します。 VPC ディレクトリ用の VPC。 Subnets ディレクトリサーバーのサブネットを選択します。2 つのサブネットは、異なるアベイラビ リティゾーンに存在している必要があります。 6. ディレクトリ情報を確認し、必要な変更を加えます。情報が正しい場合は、[Create Simple AD] を選択します。 ステップ 3: WorkSpace の作成 次の手順では、Simple AD ディレクトリに新しいユーザーを作成し、そのユーザーの WorkSpace を起動します。この手順の詳細については、「クラウドのディレクトリで WorkSpaces を起動す る (p. 52)」を参照してください。 Version 1.0 85 Amazon WorkSpaces 管理者ガイド ステップ 4: WorkSpace のテスト ユーザーの WorkSpace を起動するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで、[WorkSpaces]、[Launch WorkSpaces] の順に選択します。 3. [Select Directory] で、クラウドのディレクトリ example.com を選択します。[Enable WorkDocs for all users in this Directory] で、[Yes]、[Next] の順に選択します。 Amazon WorkDocs の詳細については、『Amazon WorkDocs 管理ガイド』の「Amazon WorkDocs 同期クライアントのヘルプ」を参照してください。 Note このオプションは、選択したリージョン Amazon WorkDocs が使用できる場合にのみ表 示されます。 4. 新しいユーザーについて次の情報を入力し、[Create Users] を選択します。これにより、新しい ユーザーが [WorkSpaces] リストに追加されます。[Next] を選択します。 ユーザー情報のテスト [Username] johndoe 名 John 姓 Doe E メール 利用できる有効な E メールアドレスを入力します。この E メールアドレスに登録と招待の E メールが送信されます。 5. [WorkSpace Bundles] で、[Value] バンドルを選択し、[Next] を選択します。 6. ユーザーと WorkSpaces に使用するバンドルを確認し、[Launch WorkSpaces] を選択します。 WorkSpace の起動には数分かかります。WorkSpace が利用可能になると、新しいユーザー用に 指定された E メールアドレスに招待 E メールが送信されます。この E メールには、ユーザープ ロファイルを完了する方法、Amazon WorkSpaces をダウンロードしてインストールする方法、 および WorkSpace にログインする方法の手順が含まれています。 7. 招待メールを受け取ったら、E メールのリンクを開いてユーザープロファイルを完了します。新 しいユーザーのパスワードを入力して、新しいパスワードを確認し、[Update User] を選択して ユーザープロファイルを完了します。このパスワードを忘れないでください。これは WorkSpace に接続するときに使用します。 ステップ 4: WorkSpace のテスト WorkSpace をテストし、インターネットに接続できることを確認するには、次の手順を実行します。 1. http://clients.amazonworkspaces.com/ から希望する Amazon WorkSpaces クライアントアプリ ケーションをダウンロードし、インストールします。 2. クライアントアプリケーションを起動します。初めてこのクライアントでアプリケーションを実 行する場合は、招待 E メールに記載されている登録コードを入力し、[Register] を選択します。 クライアントアプリケーションがこのクライアントに既に登録されている場合は、ログインペー ジの上部にある歯車アイコンを選択し、[Register] を選択します。招待 E メールに記載されてい る登録コードを入力し、[Register] を選択します。 3. ユーザーのユーザー名 (johndoe) とパスワードを入力して WorkSpace に接続し、[Sign In] を選 択します。 Version 1.0 86 Amazon WorkSpaces 管理者ガイド アプリケーションの配布 4. WorkSpace デスクトップが表示されたら、ウェブブラウザを開いて http://aws.amazon.com/ workspaces/ にアクセスし、ページを表示できることを確認します。 おめでとうございます。Amazon WorkSpaces クラウドのディレクトリが作成されました。また、最 初の WorkSpace は正しく動作していて、インターネットにアクセスできます。 チュートリアル: グループポリシーを使用したア プリケーションの配布 グループポリシー設定の一般的な用途は、特定のユーザーの WorkSpaces に特定のアプリケーション をインストールすることです。以下の例では、特定の Active Directory 部門(OU)に属するすべての ユーザーの WorkSpaces に AWS CLI をインストールするために必要なすべての手順について、順を 追って説明します。このシナリオを完了するには、以下が必要です。 • Amazon WorkSpaces クラウドディレクトリ。 • 次のいずれかです。 • Active Directory 管理ツールおよびグループポリシー管理ツールがインストールされた管理 WorkSpace。詳細については、「ディレクトリの管理 WorkSpace のセットアップ (p. 66)」およ び「Active Directory 管理ツールのインストール (p. 67)」を参照してください。 • Active Directory 管理ツールおよびグループポリシー管理ツールがインストールされたディレクト リに結合されている EC2 インスタンス。詳細については、「Amazon EC2 インスタンスのディ レクトリへの結合 (p. 67)」および「Active Directory 管理ツールのインストール (p. 67)」を参照し てください。 • アプリケーションをインストールする 1 つ以上の WorkSpace。 Note グループポリシーを使用してインストールできるのは、.msi および .zap ファイルのみで す。.exe ファイルはインストールできません。 トピック • ファイルサーバーの起動 (p. 87) • 部門の作成 (p. 88) • アプリケーションをインストールするグループポリシーの作成 (p. 88) • 結果 (p. 90) ファイルサーバーの起動 VPC 内の EC2 インスタンスをファイルサーバーとして機能するように起動します。ファイルサー バーは、アプリケーションインストールパッケージのソースになります。 ファイルサーバーを起動するには 1. 2. 3. インスタンス内部から、インスタンスの名前を FS1 のような意味のある名前に変えま す。Amazon WorkSpaces ディレクトリに結合される前のほうが、はるかに簡単にマシン名を変 更することができます。 このインスタンスをディレクトリに結合します。手順については、「Amazon EC2 インスタンス のディレクトリへの結合 (p. 67)」を参照してください。 VPC 内のすべてのアドレスから 445 ポートへのインバウンドとアウトバウンドの TCP トラ フィックを許可するように、ファイルサーバーとディレクトリメンバーのセキュリティグループ Version 1.0 87 Amazon WorkSpaces 管理者ガイド 部門の作成 を変更します。実装によって、これらが同じセキュリティグループになる場合と、ならない場合 があります。詳細については、「ファイル共有 (p. 72)」を参照してください。 4. ファイルサーバーにディレクトリを作成し、Installers のように意味のある名前を付けます。 5. そのディレクトリの Authenticated Users グループに共有への読み取りアクセス権を付与して、 ディレクトリを共有します。この共有には、\\FS1\Installers などの UNC パスを使用してア クセスできます。 6. 64 ビットの AWS CLI インストーラを https://s3.amazonaws.com/aws-cli/AWSCLI64.msi からダ ウンロードし、それを \\FS1\Installers 共有にコピーします。 部門の作成 グループポリシーを割り当てる Active Directory 部門を作成します。この OU のメンバーであるすべて のユーザーにグループポリシーが適用されます。 [Active Directory Users and Computers] で、次の手順を実行します。 部門を作成するには 1. WorkSpaces 部門(OU)を作成します。[WorkSpaces] OU の下に、[Developers] OU を作成しま す。 2. アプリケーションをインストールする必要のある Amazon WorkSpaces ユーザーを [Developers] OU に移動します。デフォルトでは、Amazon WorkSpaces はドメインの下の [Users] フォルダに ユーザーを作成します。 アプリケーションをインストールするグループポリ シーの作成 AWS CLI をインストールする OU にグループポリシー設定を追加します。 Version 1.0 88 Amazon WorkSpaces 管理者ガイド アプリケーションをインストー ルするグループポリシーの作成 グループのポリシーを使用してアプリケーションをインストールするには 1. グループポリシーの管理ツールを開き、ドメインの Developers OU に移動します。これは、「部 門の作成 (p. 88)」で作成した OU です。 2. [Developers] OU のコンテキスト(右クリック)メニューを開き、[Create a GPO in this domain, and link it here] を選択します。 3. [New GPO] ダイアログボックスで、[Name] に「Install AWS CLI」と入力し、[Source Starter GPO] は [(none)] の設定のままにします。[OK] を選択します。 4. [Install AWS CLI] GPO のコンテキスト(右クリック)メニューを開き、[Edit] を選択します。 5. [Group Policy Management Editor] ダイアログボックスで、[User Configuration]、[Policies]、 [Software Settings]、[Software installation] の順に選択します。 6. [Software installation] のコンテキスト(右クリック)メニューを開き、[New]、[Package] の順に 選択します。[Open] ダイアログボックスで、AWS CLI インストーラを含む共有フォルダの UNC パス(たとえば \\FS1\Installers)を入力し、AWS CLI インストーラを選択します。[Deploy Software] ダイアログボックスで、[Assigned]、[OK] の順に選択します。 Version 1.0 89 Amazon WorkSpaces 管理者ガイド 結果 7. 作成した AWS CLI パッケージのコンテキスト(右クリック)メニューを開き [Properties] を選 択します。プロパティダイアログボックスで、[Deployment] タブを選択します。[Deployment options] で、[Install this application at logon] を選択します。[Installation user interface options] で、[Basic] を選択します。[OK] を選択します。 8. [Group Policy Management Editor] ダイアログボックスを閉じます。 結果 Developers OU に属するユーザーが次に WorkSpace にログインすると、AWS CLI がインストールさ れています。WorkSpace でコマンドプロンプトを開き、aws --version コマンドを発行することで、 インストールを検証できます。 D:\Users\johndoe>aws --version aws-cli/x.x.x Python/x.x.x Windows/2008ServerR2 AWS CLI バージョン情報が表示されます。AWS CLI がインストールされていない場合は、エラーが 返されます。 チュートリアル: カスタムバンドルの作成 以下の手順では、カスタムバンドルの作成、バンドルの更新、バンドルから作成された WorkSpace の更新に必要なすべての手順を説明します。 トピック • 前提条件 (p. 91) • ステップ 1: イメージの作成 (p. 91) • ステップ 2: バンドルの作成 (p. 92) • ステップ 3: バンドルからの WorkSpace の起動 (p. 92) • ステップ 4: イメージの変更 (p. 93) Version 1.0 90 Amazon WorkSpaces 管理者ガイド 前提条件 • ステップ 5: バンドルの更新 (p. 93) • ステップ 6: カスタムバンドルの WorkSpace の再構築 (p. 94) 前提条件 このチュートリアルでは、以下のことを前提としています。 • アクティブな AWS アカウントがある。 • 既存の Simple AD ディレクトリまたは AD Connector ディレクトリがある。 • AWS アカウントに 2 個の WorkSpaces を作成する容量がある。[Amazon WorkSpaces Limits] フォームを使用して、この制限の引き上げをリクエストできます。 • AWS アカウントにディレクトリで 2 個の WorkSpace イメージを作成する容量がある。 • ディレクトリ内の WorkSpaces がインターネットにアクセスできる。詳細については、「Simple AD ディレクトリのインターネットアクセス (p. 15)」または「AD Connector ディレクトリのイン ターネットアクセス (p. 20)」を参照してください。 ステップ 1: イメージの作成 WorkSpace を起動し、WorkSpace をカスタマイズして、WorkSpace のイメージを作成します。 Note イメージを作成すると、以下の項目が WorkSpace から取得されます。 • C:\ ドライブ内のすべての項目 • C:\Users\Default にコピーされる以下のフォルダ以外の D:\Users\<user_name> のすべての 項目。 • 連絡先 • ダウンロード • お気に入り • 音楽 • 画像 • ゲームのセーブデータ • 動画 • ポッドキャスト • 仮想マシン • 一時フォルダ • キャッシュフォルダ • デフォルトユーザーにもコピーされる、現在のユーザーの HKey (HKCU) からのすべてのレ ジストリエントリ イメージを作成するには 1. ディレクトリで 2 つの WorkSpace ユーザーを作成します。1 つは image_gen というユーザー名 で、もう 1 つは bundle_user というユーザー名で作成します。 2. 「WorkSpace の起動 (p. 51)」の手順に従って、image_gen に割り当てられた WorkSpace を起動します。バンドルのインフラストラクチャタイプはバンドルの作成時に設定されるた め、WorkSpace のインフラストラクチャタイプは重要ではありません。この WorkSpace のコス トを削減するために、最も低コストなインフラストラクチャタイプを選択してください。バンド ルに Plus パッケージも必要な場合は、それも選択します。 Version 1.0 91 Amazon WorkSpaces 管理者ガイド ステップ 2: バンドルの作成 3. image_gen の WorkSpace が 利用可能になったら、この WorkSpace に接続します。 4. image_gen の WorkSpace で、以下の手順を実行します。 • http://notepad-plus-plus.org/ から Notepad++ をインストールします。 • Mozilla Firefox に http://aws.amazon.com/documentation/ のブックマークを追加しま す。 • オペレーティングシステムとアプリケーションの更新プログラムやパッチをすべてダウンロー ドしてインストールします。 • すべてのブラウザ履歴、キャッシュされたコンテンツ、Cookie を削除します。 5. image_gen の WorkSpace からログオフします。 6. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 7. ナビゲーションペインで、[WorkSpaces] を選択したら、image_gen WorkSpace を選択します。 8. [Actions]、[Create Image] の順に選択します。 9. [Create WorkSpace Image] ダイアログボックスで、以下の情報を入力し、[Create Image] を選択 します。 イメージ名 Image 1 説明 My first image イメージが作成されるまでに最大で 1 時間かかる可能性があります。イメージが作成されたら、 「ステップ 2: バンドルの作成 (p. 92)」に進みます。 ステップ 2: バンドルの作成 WorkSpace イメージからカスタムバンドルを作成します。 バンドルを作成するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpace Images] を選択します。 3. Image 1 イメージを選択したら、[Actions]、[Create Bundle] の順に選択します。 4. [Create WorkSpace Bundle] ダイアログボックスで、以下の情報を入力し、[Create Bundle] を選 択します。 [Bundle Name] Bundle 1 説明 My first bundle [Hardware Type] バリュー バンドルが作成されたら、「ステップ 3: バンドルからの WorkSpace の起動 (p. 92)」に進みま す。 ステップ 3: バンドルからの WorkSpace の起動 カスタムバンドルから WorkSpace を起動し、イメージに対して行った変更が WorkSpace に含まれて いることを確認します。 Version 1.0 92 Amazon WorkSpaces 管理者ガイド ステップ 4: イメージの変更 カスタムバンドルから WorkSpace を起動し、イメージを確認するには 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpace Bundles] を選択します。 3. 作成する WorkSpace の基になるバンドルを選択し、[Launch WorkSpace] を選択します。 4. WorkSpace を起動するステップに進みます。WorkSpace を起動するユーザーを選択するとき に、bundle_user を選択します。 5. bundle_user の WorkSpace が利用可能になったら、いずれかの WorkSpaces クライアントア プリケーションを使用して WorkSpace に接続します。 6. bundle_user の WorkSpace で、以下を確認します。 • Notepad++ がインストールされ、機能している。 • Mozilla Firefox に http://aws.amazon.com/documentation/ のブックマークが含まれてい る。 ステップ 4: イメージの変更 イメージを変更します。 1. image_gen の WorkSpace に接続します。 2. image_gen の WorkSpace で、以下の変更を行います。 • http://www.google.com/chrome/browser/ から Google Chrome ブラウザをインストールしま す。 • Text Document.txt というファイルを My Documents フォルダに追加します。テキストエ ディタで Text Document.txt を開き、ファイルに次のテキストを追加してファイルを保存し ます。 The quick brown fox jumps over the lazy dog. 3. image_gen の WorkSpace からログオフします。WorkSpace をシャットダウンしないでくださ い。 4. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 5. ナビゲーションペインで、[WorkSpaces] を選択したら、image_gen WorkSpace を選択します。 6. [Actions]、[Create Image] の順に選択します。 7. [Create WorkSpace Image] ダイアログボックスで、以下の情報を入力し、[Create Image] を選択 します。 イメージ名 Image 2 説明 My second image イメージが作成されるまでに最大で 1 時間かかる可能性があります。イメージが作成されたら、 「ステップ 5: バンドルの更新 (p. 93)」に進みます。 ステップ 5: バンドルの更新 更新されたイメージを使用するようにカスタムバンドルを更新します。 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpace Bundles] を選択します。 Version 1.0 93 Amazon WorkSpaces 管理者ガイド ステップ 6: カスタムバンドルの WorkSpace の再構築 3. [WorkSpace Bundles] ページで、[Bundle 1]、[Actions]、[Update Bundle] の順に選択します。 4. [Update WorkSpace Bundle] ダイアログボックスで、Image 2、[Update Bundle] の順に選択しま す。 の [Image NameBundle 1] を「Image 2」に更新します。ステップ 6: カスタムバンドルの WorkSpace の再構築 (p. 94) に進みます。 ステップ 6: カスタムバンドルの WorkSpace の再構 築 既存の WorkSpace を再構築して新しいイメージに更新します。 1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。 2. ナビゲーションペインで [WorkSpaces] を選択します。 3. bundle_user WorkSpace を選択したら、[Actions]、[Rebuild WorkSpace] の順に選択します。 bundle_user の WorkSpace が再び実行中になったら、次のステップに進みます。 4. 再構築した bundle_user の WorkSpace が利用可能になったら、いずれかの WorkSpaces クラ イアントアプリケーションを使用して WorkSpace に接続します。 5. bundle_user の WorkSpace で、以下を確認します。 • Notepad++ がインストールされ、機能している。 • Mozilla Firefox に http://aws.amazon.com/documentation/ のブックマークが含まれてい る。 • Google Chrome ブラウザがインストールされ、機能している。 • Text Document.txt ファイルが My Documents フォルダに存在し、次のテキストが含まれて いる。 The quick brown fox jumps over the lazy dog. 6. これで、このチュートリアルはこれで終わりです。今後必要ではない場合、以下のオブジェクト は削除しても問題ありません。 • bundle_user WorkSpace。 • image_gen WorkSpace。 • Bundle 1 バンドル。 • Image 1 イメージ。 • Image 2 イメージ。 • image_gen ユーザーと bundle_user ユーザー。これらのユーザーは、任意の Active Directory 管理ツールを使用して削除する必要があります。 Version 1.0 94 Amazon WorkSpaces 管理者ガイド ユーザープロファイルの完了 Amazon WorkSpaces クライアント ヘルプ クライアントアプリケーションは、次のプラットフォームとデバイスで利用できます。 • Microsoft Windows 7 以降 • Apple Mac OS X 10.8.1 以降 • Apple iPad 2、3、4(iOS 7.0 以降) • Apple iPad Retina(iOS 7.0 以降) • Apple iPad Mini(iOS 7.0 以降) • Apple iPad Pro(iOS 9.0 以降) • 2012 年以降にリリースされた Amazon Fire タブレット(Fire OS 4.0 以降) • Samsung、Nexus のタブレット(Android OS 4.2 以降を搭載) • Chrome OS バージョン 45 以降の Chromebook Amazon WorkSpaces クライアントアプリケーションでは、ほとんどのキーボードとポインティング デバイスがサポートされます。これには、さまざまなタイプの USB および Bluetooth の入力デバイス が含まれます。特定のデバイスで問題が発生した場合は、https://console.aws.amazon.com/support/ home#/ に問題を報告してください。ストレージデバイスなどその他のローカルで接続する周辺機器 は、サポートされません。 ユーザープロファイルの完了 ユーザーアカウントを最初に作成するときは、ようこそ E メールで指定された登録リンクを使用し て、ユーザープロフィールを完了する必要があります。E メールが送信されてから 7 日以内に登録を 完了させる必要があります。登録しないと、招待が有効期限切れになり、管理者は再度招待 E メール を送信しなければならなくなります。ユーザー名と E メールアドレスは変更できませんが、姓名は変 更できます。このアカウントのパスワードも設定する必要があります。パスワードは大文字と小文字 Version 1.0 95 Amazon WorkSpaces 管理者ガイド 前提条件 が区別され、8~64 文字の長さにする必要があります。また、以下の 3 つのカテゴリから少なくとも 1 文字を含める必要があります。 • 英小文字(a~z) • 英大文字(A~Z) • 番号(0~9) • アルファベット以外の文字(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/) ページで情報を入力し、[Update User] を選択します。 ユーザー登録が完了したら、Amazon WorkSpaces Client Downloads から Amazon WorkSpaces クラ イアントアプリケーションをダウンロードできます。 Amazon WorkSpaces クライアントの前提条件 Amazon WorkSpaces クライアントアプリケーションには、適切に動作してユーザーが満足できるク ライアントエクスペリエンスを提供するために満たす必用のある最小要件があります。 • Amazon WorkSpaces ユーザーには、Amazon WorkSpaces クライアントアプリケーションを実行 する PC、Mac、iPad、Kindle、または Android タブレットまたは Chromebook などのクライアント デバイスが必用です。 • Amazon WorkSpaces クライアントアプリケーションには、ブロードバンドインターネット接続が 必要です。 • クライアントが接続されているネットワーク、およびクライアント自体のファイアウォールに、さ まざまな AWS サービスの IP アドレス範囲に対して開かれている特定のポートが存在している必要 があります。これらと同じポートが、クライアントで実行されているファイアウォールでも開かれ ている必要があります。一部のネットワークでは、これらのポートの一部またはすべてが閉じてい る場合があります。その場合、ネットワーク管理者との共同作業により、これらのポートを有効化 する必要があります。詳細については、「クライアントポート (p. 12)」を参照してください。 • WorkSpace があるリージョンへのラウンドトリップ時間(RTT)は、100ms 未満であることが推 奨されます。ネットワークレイテンシーのテストなど、詳細については、「レイテンシーしきい 値 (p. 97)」を参照してください。 • ユーザーが仮想プライベートネットワーク(VPN)経由で WorkSpace にアクセスする場合は、少 なくとも 1200 バイトの最大送信単位(MTU)をサポートする接続が必用です。詳細については、 「MTU しきい値 (p. 97)」を参照してください。 • Amazon WorkSpaces クライアントアプリケーションは、サービスと Amazon Simple Storage Service(Amazon S3)でホストされる Amazon WorkSpaces リソースに HTTPS アクセスする必 要があります。Amazon WorkSpaces クライアントアプリケーションは、アプリケーションレベ ルのプロキシリダイレクトをサポートしていません。これは、Amazon WorkSpaces クライアント アプリケーションを正しく登録し、使用するために必要です。詳細については、「HTTPS アクセ ス (p. 97)」を参照してください。 以下の手順を実行することによって、これらの要件がすべて満たされていることを確認できます。 クライアントのネットワークアクセスをテストするには 1. いずれかの Amazon WorkSpaces クライアントアプリケーション開き、登録コードを入力しま す。 2. クライアントアプリケーションの右下隅にある [Network] を選択します。クライアントアプリ ケーションによって、ネットワーク接続、ポート、ラウンドトリップ時間がテストされ、これら のテストの結果がレポートされます。 Version 1.0 96 Amazon WorkSpaces 管理者ガイド レイテンシーしきい値 3. [Dismiss]を選択してログインページに戻ります。 トピック • レイテンシーしきい値 (p. 97) • MTU しきい値 (p. 97) • HTTPS アクセス (p. 97) レイテンシーしきい値 他のネットワーキングサービスと同様に、ネットワークレイテンシーは、Amazon WorkSpaces クラ イアントアプリケーションのパフォーマンスに影響を与えます。最適なパフォーマンスのためには、 クライアントネットワークから WorkSpaces があるリージョンまでのラウンドトリップ時間(RTT) が 100ms 未満でなければなりません。Amazon WorkSpaces クライアントアプリケーションは、RTT が 100ms と 250ms の間にあれば、パフォーマンスは低下しますが、機能し続けます。 MTU しきい値 仮想プライベートネットワーク(VPN)経由で WorkSpace にアクセスする場合は、少なくとも 1200 バイトの最大送信単位(MTU)をサポートする接続が必用です。 HTTPS アクセス Amazon WorkSpaces クライアントアプリケーションには、サービスと Amazon S3 がホストする Amazon WorkSpaces リソースへの HTTPS アクセスが必要です。これは、Amazon WorkSpaces クラ イアントアプリケーションを正しく登録し、使用するために必要です。 Amazon WorkSpaces Windows クライアントヘル プ Amazon WorkSpaces Windows クライアントアプリケーションの使用を開始する際に、以下の情報が 役立ちます。 目次 • セットアップとインストール (p. 97) • WorkSpace への接続 (p. 98) • クライアントビュー (p. 98) • クライアントの言語 (p. 98) • プロキシサーバー (p. 99) • コマンドショートカット (p. 99) • トラブルシューティング (p. 99) セットアップとインストール Amazon WorkSpaces Windows クライアント アプリケーションには、次のいずれかが必要です。 • Microsoft Windows 7 以降 • Windows Server 2008 以降 Version 1.0 97 Amazon WorkSpaces 管理者ガイド WorkSpace への接続 Amazon WorkSpaces Client Downloads から Windows クライアントアプリケーションをダウンロード して、インストールします。 WorkSpace への接続 WorkSpace に接続するには、以下の手順を実行します。 WorkSpace に接続するには 1. クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを 後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動し、ロ グイン画面メニューで [Options]、[Register] の順に選択して、別の登録コードを入力できます。 2. ログイン画面でユーザー名とパスワードを入力し、[Sign In] を選択します。If your Amazon WorkSpaces administrator has enabled multi-factor authentication for your organization's WorkSpaces, you are prompted for a passcode to complete your login. Your Amazon WorkSpaces administrator will provide more information about how to obtain your passcode. 3. Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、クライアントアプ リケーションが実行中は WorkSpace に簡単に接続できるように、自分の認証情報を安全に保存 しておくかどうかを確認するメッセージが表示されます。認証情報は、ユーザーの Kerberos チ ケットの最大有効期間が終了するまで安全にキャッシュに保存されます。 クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ れます。 4. (オプション)WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合 は、Amazon WorkSpaces フォーラムでヘルプを検索してください。 インターネット接続が停止すると、現行のセッションは切断されます。これはノートパソコンの蓋 を閉じた場合やワイヤレスネットワーク接続の喪失から発生する場合があります。Windows 用の Amazon WorkSpaces クライアントアプリケーションは、ネットワーク接続がある程度の時間内に回 復すればセッションを自動的に再接続するよう試みます。デフォルト設定のセッション再起動タイム アウトは 20 分ですが、この時間はネットワーク管理者によってドメイングループポリシー設定で変 更されている場合もあります。詳細については、「セッション再起動タイムアウト設定 (p. 72)」を参 照してください。 クライアントビュー クライアントアプリケーションメニューで [View]、[Show Fullscreen] を選択すると、フル画面モード に切り替えることができます。 フル画面モードでは、画面の上部にマウスカーソルを移動することにより、ウィンドウモードに戻る ことができます。クライアントアプリケーションメニューが表示されたら、クライアントアプリケー ションメニューで [View]、[Exit Fullscreen] を選択します。 Amazon WorkSpaces Windows クライアントアプリケーションがサポートするモニタは 2 つまでで す。クライアントアプリケーションは、全画面表示モードになると、自動的に両方のモニタを使用し ます。各モニタのサポートされている最大解像度は 2560x1600 ピクセルです。 クライアントの言語 次の手順で実行することによって、クライアントで表示される言語を選択できます。 Version 1.0 98 Amazon WorkSpaces 管理者ガイド プロキシサーバー Note クライアントで、日本語はすべてのリージョンで使用できます。しかし、日本語は個々の WorkSpace の Tokyo でのみ使用できます。 クライアントの言語を選択するには 1. Amazon WorkSpaces クライアントアプリケーションで、[Advanced Settings] ダイアログボック スを開きます。 2. [Select a language] リストで目的の言語を入力し、[Save] を選択します。 3. クライアントを再起動します。 プロキシサーバー ネットワークでインターネットにアクセスするためにプロキシサーバーを使用する必要がある場合 は、Amazon WorkSpaces クライアントアプリケーションで HTTPS(ポート 443 )トラフィックで のプロキシの使用を許可することができます。認証を伴うプロキシは現在サポートされていません。 Note Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポート を使用します。WorkSpace へのデスクトップストリーミング接続では、ポート 4172 が有効 になっている必要があり、プロキシサーバーを経由しません。 プロキシサーバーを使用するには 1. Amazon WorkSpaces クライアントアプリケーションで、[Advanced Settings] ダイアログボック スを開きます。 2. [Proxy Server Setting] エリアで、[Use Proxy Server] をオンにし、プロキシサーバーのアドレス とポートを入力して、[Save] を選択します。 コマンドショートカット Amazon WorkSpaces Windows クライアントは、次のコマンドショートカットをサポートします。 • Ctrl+Alt+Enter - 全画面表示の切り替え • Ctrl+Alt+F12 - セッションの切断 トラブルシューティング トピック • ログイン後、クライアントアプリケーションが常に白いページのみを表示し、WorkSpace に接続 できません。 (p. 99) ログイン後、クライアントアプリケーションが常に白いページ のみを表示し、WorkSpace に接続できません。 この問題は、クライアントコンピュータ(WorkSpace ではない)の VeriSign/Symantec 証明書の失効 によって発生している可能性があります。 Version 1.0 99 Amazon WorkSpaces 管理者ガイド OS X クライアント 失効した VeriSign/Symantec 証明書を見つけて削除するには 1. Windows の [Control Panel] で、[Internet Options] を選択します。 2. 3. [Internet Properties] ダイアログボックスで、[Content]、[Certificates] の順に選択します。 [Certificates] ダイアログボックスで、[Intermediate Certificate Authorities] タブを選択します。 証明書リストで、VeriSign または Symantec 発行の現在失効している証明書をすべて選び、 [Remove] を選択します。失効していない証明書は削除しないでください。 [Trusted Root Certificate Authorities] タブで、VeriSign または Symantec 発行の現在失効している 証明書をすべて選び、[Remove] を選択します。失効していない証明書は削除しないでください。 4. 5. [Certificates] ダイアログボックスと、[Internet Properties] ダイアログボックスを閉じます。 クライアントアプリケーションを再度起動すると、接続できます。 Amazon WorkSpaces クライアントのヘルプ Amazon WorkSpaces OS X クライアントアプリケーションの使用を開始する際に、以下の情報が役立 ちます。 目次 • セットアップとインストール (p. 100) • WorkSpace への接続 (p. 100) • クライアントビュー (p. 101) • クライアントの言語 (p. 101) • プロキシサーバー (p. 101) • コマンドショートカット (p. 102) セットアップとインストール Amazon WorkSpaces OS X クライアントアプリケーションには、以下が必要です。 • Mac OS X(10.8.1)以降 Amazon WorkSpaces Client Downloads から Amazon WorkSpaces OS X クライアントをダウンロー ドしてインストールします。 WorkSpace への接続 WorkSpace に接続するには、以下の手順を実行します。 WorkSpace に接続するには 1. 2. クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを 後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動し、ロ グイン画面メニューの左上隅で [Options]、[Register] の順に選択して、別の登録コードを入力で きます。 ログイン画面でユーザー名とパスワードを入力し、[Sign In] を選択します。If your Amazon WorkSpaces administrator has enabled multi-factor authentication for your organization's WorkSpaces, you are prompted for a passcode to complete your login. Your Amazon WorkSpaces administrator will provide more information about how to obtain your passcode. Version 1.0 100 Amazon WorkSpaces 管理者ガイド クライアントビュー 3. Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、クライアントアプ リケーションが実行中は WorkSpace に簡単に接続できるように、自分の認証情報を安全に保存 しておくかどうかを確認するメッセージが表示されます。認証情報は、ユーザーの Kerberos チ ケットの最大有効期間が終了するまで安全にキャッシュに保存されます。 クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ れます。 4. (オプション)WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合 は、Amazon WorkSpaces フォーラムでヘルプを検索してください。 インターネット接続が停止すると、現行のセッションは切断されます。これはノートパソコンの蓋を 閉じた場合やワイヤレスネットワーク接続の喪失から発生する場合があります。OS X 用の Amazon WorkSpaces クライアントアプリケーションは、ネットワーク接続がある程度の時間内に回復すれば セッションを自動的に再接続するよう試みます。デフォルト設定のセッション再起動タイムアウトは 20 分ですが、この時間はネットワーク管理者によってドメイングループポリシー設定で変更されてい る場合もあります。詳細については、「セッション再起動タイムアウト設定 (p. 72)」を参照してくだ さい。 クライアントビュー クライアントアプリケーションメニューで [View]、[Show Fullscreen] を選択すると、フル画面モード に切り替えることができます。 フル画面モードでは、画面の上部にマウスカーソルを移動することにより、ウィンドウモードに戻る ことができます。クライアントアプリケーションメニューが表示されたら、クライアントアプリケー ションメニューで [View]、[Exit Fullscreen] を選択します。 Amazon WorkSpaces OS X のクライアントアプリケーションは最大 2 台のモニタをサポートしま す。クライアントアプリケーションは、フル画面モードに切り替わると、自動的に最初の 2 台のモニ タを使用します。各モニタのサポートされている最大解像度は 2560x1600 ピクセルです。 クライアントの言語 次の手順で実行することによって、クライアントで表示される言語を選択できます。 Note クライアントで、日本語はすべてのリージョンで使用できます。しかし、日本語は個々の WorkSpace の Tokyo でのみ使用できます。 クライアントの言語を選択するには 1. Amazon WorkSpaces クライアントアプリケーションで、[Advanced Settings] ダイアログボック スを開きます。 2. [Select a language] リストで目的の言語を入力し、[Save] を選択します。 3. クライアントを再起動します。 プロキシサーバー ネットワークでインターネットにアクセスするためにプロキシサーバーを使用する必要がある場合 は、Amazon WorkSpaces クライアントアプリケーションで HTTPS(ポート 443 )トラフィックで のプロキシの使用を許可することができます。認証を伴うプロキシは現在サポートされていません。 Version 1.0 101 Amazon WorkSpaces 管理者ガイド コマンドショートカット Note Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポート を使用します。WorkSpace へのデスクトップストリーミング接続では、ポート 4172 が有効 になっている必要があり、プロキシサーバーを経由しません。 プロキシサーバーを使用するには 1. 2. Amazon WorkSpaces クライアントアプリケーションで、[Advanced Settings] ダイアログボック スを開きます。 [Proxy Server Setting] エリアで、[Use Proxy Server] をオンにし、プロキシサーバーのアドレス とポートを入力して、[Save] を選択します。 コマンドショートカット Amazon WorkSpaces OS X クライアントは、以下のコマンドショートカットをサポートしています。 • Control+Option+Return — 全画面表示の切り替え • Control+Option+F12 — セッションの切断 Amazon WorkSpaces iPad クライアントヘルプ Amazon WorkSpaces iPad クライアントアプリケーションの使用を開始する際に、以下の情報が役立 ちます。 目次 • セットアップとインストール (p. 102) • WorkSpace への接続 (p. 103) • ジェスチャ (p. 103) • 放射状メニュー (p. 104) • キーボード (p. 105) • マウスモード (p. 106) • 切断 (p. 106) セットアップとインストール Amazon WorkSpaces iPad クライアントアプリケーションには、以下が必要です。 • iPad 2 または iPad Retina(iOS 7.0 以降). クライアントアプリケーションをダウンロードしてインストールするには、以下の手順を実行しま す。 クライアントアプリケーションをダウンロードしてインストールするには 1. 2. 3. iPad で App Store を検索し、Amazon WorkSpaces クライアントアプリケーションを見つけま す。 アプリケーションをダウンロードし、インストールします。 Amazon WorkSpaces クライアントアプリケーションのアイコンが iPad のデスクトップの 1 つに 表示されていることを確認します。 Version 1.0 102 Amazon WorkSpaces 管理者ガイド WorkSpace への接続 WorkSpace への接続 WorkSpace に接続するには、以下の手順を実行します。 WorkSpace に接続するには 1. iPad で、Amazon WorkSpaces クライアントアプリケーションを開きます。 2. クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを 後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動し、ロ グイン画面で [Enter new registration code] を選択して、別の登録コードを入力できます。 3. ユーザー名とパスワードを入力し、[Sign In] を選択します。If your Amazon WorkSpaces administrator has enabled multi-factor authentication for your organization's WorkSpaces, you are prompted for a passcode to complete your login. Your Amazon WorkSpaces administrator will provide more information about how to obtain your passcode. 4. Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、それ以降 WorkSpace に簡単に接続できるように、お客様の認証情報を安全に保存しておくかどうかを確認 するメッセージが表示されます。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終 了するまで安全にキャッシュに保存されます。 クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ れます。 (オプション)WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合 は、Amazon WorkSpaces フォーラムでヘルプを検索してください。 ジェスチャ 以下に、Amazon WorkSpaces iPad クライアントアプリケーションでサポートされるジェスチャを示 します。 シングルタップ Windows でのシングルクリックに相当します。 ダブルタップ Windows でのダブルクリックに相当します。 2 本指シングルタップ Windows での右クリックに相当します。 2 本指ダブルタップ 画面上のキーボード表示を切り替えます。 左からのスワイプ 放射状のメニューを表示します。詳細については、「放射状メニュー (p. 104)」を参照してくださ い。 Version 1.0 103 Amazon WorkSpaces 管理者ガイド 放射状メニュー 2 本指スクロール 上下(垂直)にスクロールします。 2 本指ピンチ 表示をズームイン/ズームアウトします。 2 本指パン ズームイン時にデスクトップをパンします。 放射状メニュー 放射状メニューは、画面の左側からスワイプすると表示されます。 放射状メニューを使用すると、次の機能に簡単にアクセスできます。 接続のステータス 接続のステータスを表示します。 Version 1.0 104 Amazon WorkSpaces 管理者ガイド キーボード 切断 ログオフしないでクライアントアプリケーションを切断できます。 ダイレクトマウスモード 入力をダイレクトマウスモードに設定します。詳細については、「マウスモード (p. 106)」を参照し てください。 ヘルプ コマンドとジェスチャのチュートリアルを表示します。 キーボード 画面上のキーボード表示を切り替えます。 Windows スタートメニュー Windows のスタートメニューを表示します。 オフセットマウスモード 入力をオフセットマウスモードに設定します。詳細については、「マウスモード (p. 106)」を参照し てください。 キーボード 画面上のキーボードの表示を切り替えるには、画面の任意の場所を 2 本指でダブルタップします。 キーボードの一番上の行に、特殊キーの組み合わせが表示されます。 Version 1.0 105 Amazon WorkSpaces 管理者ガイド マウスモード マウスモード マウスモードは放射状メニュー (p. 104)を使用して設定します。 ダイレクトモード ダイレクトマウスモードでは、指でタップした位置にマウスカーソルが置かれます。このモードで は、シングルタップは、マウスの左ボタンをクリックするのと同じで、2 本指シングルタップはマウ スの右ボタンをクリックするのと同じです。 オフセットモード オフセットマウスモードでは、マウスカーソルが画面上の指の動きを追跡します。このモードでは、 マウスの左ボタンアイコンをタップすることで、マウスの左ボタンのクリックをシミュレートしま す。 マウスの右ボタンアイコンをタップすることで、マウスの右ボタンのクリックをシミュレートしま す。 切断 iPad クライアントを切断するには、放射状メニューを表示し、切断アイコンをタップして、 [Disconnect] をタップします。WorkSpace をログオフしても、クライアントが切断されます。 Amazon WorkSpaces Android クライアントのヘ ルプ Amazon WorkSpaces Android クライアントアプリケーションの使用を開始する際に、以下の情報が役 立ちます。 目次 • 要件 (p. 107) • セットアップとインストール (p. 107) • WorkSpace への接続 (p. 107) • • • • • ジェスチャ (p. 108) 放射状メニュー (p. 108) キーボード (p. 110) マウスモード (p. 110) 切断 (p. 111) Version 1.0 106 Amazon WorkSpaces 管理者ガイド 要件 要件 Amazon WorkSpaces Android クライアントアプリケーションには、以下が必要です。 • Amazon Kindle Fire HDX または Kindle HD 7 • Samsung または Nexus のタブレット(Android OS 4.2 以降を搭載)。Amazon WorkSpaces Android クライアントアプリケーションは、Android バージョン 4.2 以降を搭載したほとんどの Android タブレットで動作しますが、互換性のないデバイスが存在している可能性もあります。特 定のデバイスの問題が発生した場合は、Amazon WorkSpaces フォーラムで問題を報告してくださ い。 セットアップとインストール クライアントアプリケーションをダウンロードしてインストールするには、以下の手順を実行しま す。 クライアントアプリケーションをダウンロードしてインストールするには 1. お客様のタブレットで、http://clients.amazonworkspaces.com/ にアクセスし、そのタブレットの リンクを選択します。 2. アプリケーションをダウンロードし、インストールします。 3. Amazon WorkSpaces クライアントアプリケーションのアイコンがタブレットのデスクトップの 1 つに表示されていることを確認します。 WorkSpace への接続 WorkSpace に接続するには、以下の手順を実行します。 WorkSpace に接続するには 1. タブレットで、Amazon WorkSpaces クライアントアプリケーションを開きます。 2. クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを 後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動してロ グイン画面で [Enter new registration code] をタップすることで、別の登録コードを入力すること ができます。 3. ユーザー名とパスワードを入力し、[Sign In] をタップします。If your Amazon WorkSpaces administrator has enabled multi-factor authentication for your organization's WorkSpaces, you are prompted for a passcode to complete your login. Your Amazon WorkSpaces administrator will provide more information about how to obtain your passcode. 4. Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、それ以降 WorkSpace に簡単に接続できるように、お客様の認証情報を安全に保存しておくかどうかを確認 するメッセージが表示されます。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終 了するまで安全にキャッシュに保存されます。 クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ れます。 (オプション)WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合 は、Amazon WorkSpaces フォーラムでヘルプを検索してください。 Version 1.0 107 Amazon WorkSpaces 管理者ガイド ジェスチャ ジェスチャ 次は Amazon WorkSpaces Android クライアントアプリケーションでサポートされるジェスチャで す。 シングルタップ Windows でのシングルクリックに相当します。 ダブルタップ Windows でのダブルクリックに相当します。 2 本指シングルタップ Windows での右クリックに相当します。 2 本指ダブルタップ 画面上のキーボード表示を切り替えます。 左からのスワイプ 放射状のメニューを表示します。詳細については、「放射状メニュー (p. 108)」を参照してくださ い。 2 本指スクロール 上下(垂直)にスクロールします。 2 本指ピンチ 表示をズームイン/ズームアウトします。 2 本指パン ズームイン時にデスクトップをパンします。 放射状メニュー 放射状メニューは、画面の左側からスワイプすると表示されます。 Version 1.0 108 Amazon WorkSpaces 管理者ガイド 放射状メニュー 放射状メニューを使用すると、次の機能に簡単にアクセスできます。 接続のステータス 接続のステータスを表示します。 切断 ログオフしないでクライアントアプリケーションを切断できます。 ダイレクトマウスモード 入力をダイレクトマウスモードに設定します。詳細については、「マウスモード (p. 110)」を参照し てください。 ヘルプ コマンドとジェスチャのチュートリアルを表示します。 Version 1.0 109 Amazon WorkSpaces 管理者ガイド キーボード キーボード 画面上のキーボード表示を切り替えます。 Windows スタートメニュー Windows のスタートメニューを表示します。 オフセットマウスモード 入力をオフセットマウスモードに設定します。詳細については、「マウスモード (p. 110)」を参照し てください。 キーボード 画面上のキーボードの表示を切り替えるには、画面の任意の場所を 2 本指でダブルタップします。 キーボードの一番上の行に、特殊キーの組み合わせが表示されます。 マウスモード マウスモードは放射状メニュー (p. 108)を使用して設定します。 ダイレクトモード ダイレクトマウスモードでは、指でタップした位置にマウスカーソルが置かれます。このモードで は、シングルタップは、マウスの左ボタンをクリックするのと同じで、2 本指シングルタップはマウ スの右ボタンをクリックするのと同じです。 オフセットモード オフセットマウスモードでは、マウスカーソルが画面上の指の動きを追跡します。このモードでは、 マウスの左ボタンアイコンをタップすることで、マウスの左ボタンのクリックをシミュレートしま す。 マウスの右ボタンアイコンをタップすることで、マウスの右ボタンのクリックをシミュレートしま す。 Version 1.0 110 Amazon WorkSpaces 管理者ガイド 切断 切断 Android クライアントを切断するには、放射状メニューを表示し、切断アイコンをタップして [Disconnect] をタップします。WorkSpace をログオフしても、クライアントが切断されます。 Amazon WorkSpaces Chromebook クライアント ヘルプ Amazon WorkSpaces Chromebook クライアントアプリケーションの使用を開始する際に、以下の情 報が役立ちます。 目次 • セットアップとインストール (p. 111) • WorkSpace への接続 (p. 111) • ジェスチャ (p. 112) セットアップとインストール Amazon WorkSpaces Chromebook クライアントアプリケーションには、以下が必要です。 • Chrome OS バージョン 45 以降の Chromebook。Amazon WorkSpaces Chromebook クライアン トアプリケーションは、Chromebook バージョン 45 以降を搭載したほとんどの Chromebook タブ レットで動作しますが、互換性のないデバイスが存在している可能性もあります。特定のデバイス の問題が発生した場合は、Amazon WorkSpaces フォーラムで問題を報告してください。 クライアントアプリケーションをダウンロードしてインストールするには、以下の手順を実行しま す。 クライアントアプリケーションをダウンロードしてインストールするには 1. お使いの Chromebook で http://clients.amazonworkspaces.com/ に移動して、Chromebook のリ ンクを選択します。 2. アプリケーションをダウンロードし、インストールします。 3. Amazon WorkSpaces クライアントアプリケーションのアイコンが Chromebook の検索で表示さ れることを確認します。 WorkSpace への接続 WorkSpace に接続するには、以下の手順を実行します。 WorkSpace に接続するには 1. Chromebook で、Amazon WorkSpaces クライアントアプリケーションを開きます。 Version 1.0 111 Amazon WorkSpaces 管理者ガイド ジェスチャ 2. クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを 後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動し、ロ グイン画面で [Enter new registration code] を選択して、別の登録コードを入力できます。 3. ユーザー名とパスワードを入力し、[Sign In] を選択します。If your Amazon WorkSpaces administrator has enabled multi-factor authentication for your organization's WorkSpaces, you are prompted for a passcode to complete your login. Your Amazon WorkSpaces administrator will provide more information about how to obtain your passcode. 4. Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、それ以降 WorkSpace に簡単に接続できるように、お客様の認証情報を安全に保存しておくかどうかを確認 するメッセージが表示されます。アプリケーションが稼働している間、認証情報は安全にキャッ シュされます。 クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ れます。 (オプション)WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合 は、Amazon WorkSpaces フォーラムでヘルプを検索してください。 ジェスチャ 以下に、Amazon WorkSpaces Chromebook クライアントアプリケーションでサポートされるジェス チャを示します。 シングルタップ Windows でのシングルクリックに相当します。 ダブルタップ Windows でのダブルクリックに相当します。 2 本指シングルタップ Windows での右クリックに相当します。 2 本指スクロール 上下(垂直)にスクロールします。 PCoIP ゼロクライアントのヘルプ PCoIP ゼロクライアントデバイスをセットアップし、Amazon WorkSpaces で使用できます。詳 細については、PCoIP Connection Manager User Guideの「Connecting to Amazon WorkSpaces Desktops」を参照してください。 要件 Amazon WorkSpaces で PCoIP ゼロクライアントを使用するには、以下が必要です。 Version 1.0 112 Amazon WorkSpaces 管理者ガイド ゼロクライアント接続のセットアップ • Teradici PCoIP Connection Manager for Amazon WorkSpaces を含む EC2 インスタンス。これは Amazon WorkSpaces 管理者によってセットアップされます。管理者から WorkSpace に接続する ために必要なサーバー URI が提供されます。詳細については、「PCoIP ゼロクライアントの有効 化 (p. 73)」を参照してください。 • ファームウェアバージョン 4.6.0 以降の Tera2 ゼロクライアントデバイス。 ゼロクライアント接続のセットアップ WorkSpace に初めてゼロクライアントデバイスを接続する前に、一部の設定の変更が必要になる場合 があります。Amazon WorkSpaces 管理者は、特定の環境に必要な追加のセットアップ手順を指示で きます。 セッション接続 セッション接続を設定するには 1. 2. PCoIP ゼロクライアントデバイスで、[Options]、[Configuration]、[Session] の順に選択します。 ページがロックされている場合は、[Unlock] を選択し、ゼロクライアントのパスワードを入力し ます(必要に応じて)。 3. [Connection Type] で、[PCoIP Connection Manager] を選択します。 4. [Server URI] フィールドに、管理者から提供されたサーバー URI をコピーし、[OK] を選択しま す。 WorkSpace に接続する WorkSpace に接続するには 1. 2. PCoIP ゼロクライアントデバイスで、[Server] の [PCoIP Connection Manager for Amazon WorkSpaces] を選択し、[Connect] を選択します。 ログインページで、Amazon WorkSpaces ユーザー名とパスワードを入力し、[Login] を選択しま す。 ゼロクライアントからの切断 WorkSpace クライアントからゼロクライアントを切断するには、Ctrl+Alt+F12 を押します。また は、WorkSpace をログオフしても、クライアントが切断されます。 WorkSpace からの印刷 Amazon WorkSpaces では以下の出力方法がサポートされています。 トピック • ローカルプリンター (p. 113) • その他の印刷方法 (p. 114) ローカルプリンター Amazon WorkSpaces はローカルプリンターへのリダイレクトをサポートしています。WorkSpace でアプリケーションから印刷するときに、使用できるプリンターのリストにローカルプリンターが Version 1.0 113 Amazon WorkSpaces 管理者ガイド その他の印刷方法 含まれています。ローカルプリンターの場合、プリンターの表示名に「(Local – <workspace username>.<directory name>.<client computer name>)」が追加されます。いずれかのロー カルプリンターを選択すると、そのプリンターでドキュメントが印刷されます。 場合によっては、使用するローカルプリンター用の Windows Server 2008 R2 ドライバ を、WorkSpace で手動でダウンロードしてインストールする必要があります。WorkSpace でプリン タードライバをインストールする場合、異なるタイプのドライバが見つかることがあります。 • プリンターの追加ウィザードのドライバ。このドライバにはプリンタードライバのみが含ま れ、Windows のプリンターの追加ウィザードを使用したインストールに慣れているユーザーを対象 としています。 • プリンターとの通信を必要としないプリンターモデル固有のドライバ。このような場合、プリン タードライバを直接インストールできます。 • プリンターとの通信を必要とするプリンターモデル固有のドライバ。このような場合、プリンター ドライバファイルを使用して、既存のポート(LPT1:)を使用するローカルプリンターを追加でき ます。ポートを選択した後、[Have Disk] を選択し、プリンタードライバの .INF ファイルを選択し ます。 プリンタードライバをインストールしたら、新しいプリンターが認識されるように WorkSpace を再 起動する必要があります。 WorkSpace からローカルプリンターで印刷できない場合は、クライアントコンピュータからローカル プリンターで印刷できることを確認してください。クライアントコンピュータから印刷できない場合 は、プリンターのドキュメントを参照するか、プリンターのサポートに問い合わせて問題を解決して ください。クライアントコンピュータから印刷できる場合、詳細については、AWS サポートにお問い 合わせください。 その他の印刷方法 次のいずれかの方法を使用して、WorkSpace から印刷することもできます。 • 接続したディレクトリで、Active Directory によって公開されているネットワークプリンターに WorkSpace をアタッチできます。 • Google Cloud Print や HP Mobile Printing などのクラウド印刷サービスを使用します。 • ファイルに出力して、そのファイルをローカルデスクトップに転送し、アタッチされているプリン ターでローカルにファイルを印刷します。 Amazon WorkDocs 同期クライアントのヘルプ Amazon WorkDocs にはクライアント同期アプリケーションが用意されており、WorkSpace か ら Amazon WorkDocs サービスへ継続して自動的かつ安全にドキュメントをバックアップでき ます。Amazon WorkDocs の詳細については、『Amazon WorkDocs 管理ガイド』の「Amazon WorkDocs 同期クライアントのヘルプ」を参照してください。 Amazon WorkSpaces クライアントの問題のトラ ブルシューティング WorkSpaces クライアントで発生する可能性がある一般的な問題を以下に示します。 問題点 Version 1.0 114 Amazon WorkSpaces 管理者ガイド WorkSpaces クライアントがネットワークエ ラーを返しますが、デバイス上の他のネット ワーク対応アプリケーションは使用できます • WorkSpaces クライアントがネットワークエラーを返しますが、デバイス上の他のネットワーク 対応アプリケーションは使用できます (p. 115) • 自分の WorkSpace へのログインに数分かかることがあります (p. 115) • セッションを閉じただけでログオフしなくても、WorkSpace からログオフされることがありま す (p. 115) • 自分の WorkSpace からインターネットに接続できません (p. 115) • サードパーティのセキュリティソフトウェアパッケージをインストールした後、WorkSpace に接 続できません (p. 116) • WorkSpace に接続すると、「network connection is slow」という警告が表示されます (p. 116) • クライアントアプリケーションで無効な証明書エラーが表示されました。これはどういう意味で すか。 (p. 116) • 「ご使用のデバイスは WorkSpaces 登録サービスに接続できません」というエラーメッセージが 表示されます。 (p. 116) WorkSpaces クライアントがネットワークエラーを 返しますが、デバイス上の他のネットワーク対応ア プリケーションは使用できます WorkSpaces のクライアントアプリケーションは AWS クラウド内のリソースへのアクセスに依存し ているため、最低 1 Mbps のダウンロード帯域幅を提供する接続が必要です。デバイスがネットワー クに断続的に接続している場合、WorkSpaces クライアントアプリケーションがネットワークに関す る問題を報告することがあります。 自分の WorkSpace へのログインに数分かかること があります システム管理者が設定したグループポリシー設定が原因で、WorkSpace が起動または再起動された後 のログインが遅延することがあります。この遅延はグループポリシー設定が WorkSpace に適用され ている間に発生し、正常です。 セッションを閉じただけでログオフしなくて も、WorkSpace からログオフされることがありま す システム管理者が WorkSpace に適用した新規または更新後のグループポリシー設定で、接続解除さ れたセッションからのログオフが必要とされています。 自分の WorkSpace からインターネットに接続でき ません WorkSpaces はデフォルトではインターネットと通信することができません。管理者は、明示的に インターネットアクセスを許可する必要があります。WorkSpace へのインターネットアクセスの許 可の詳細については、「Simple AD ディレクトリのインターネットアクセス (p. 15)」または「AD Connector ディレクトリのインターネットアクセス (p. 20)」を参照してください。 Version 1.0 115 Amazon WorkSpaces 管理者ガイド サードパーティのセキュリティソフトウェアパッケージ をインストールした後、WorkSpace に接続できません サードパーティのセキュリティソフトウェアパッ ケージをインストールした後、WorkSpace に接続 できません WorkSpace には、あらゆるタイプのセキュリティまたはファイアウォールソフトウェアをインストー ルできますが、Amazon WorkSpaces には、WorkSpace で開かれている特定のインバウンドおよびア ウトバウンドポートが必要です。インストールしたセキュリティまたはファイアウォールソフトウェ アがこれらのポートをブロックしている場合は、WorkSpace が適切に機能しないか、アクセスできな くなる可能性があります。WorkSpace にオープンする必要があるポートの詳細については、「管理イ ンターフェイスポート (p. 2)」および「プライマリインターフェイスポート (p. 3)」を参照してくださ い。 WorkSpace を復元するには、管理者に WorkSpace の再構築を要請します。ソフトウェアを再インス トールし、WorkSpace へのポートアクセスを正しく設定する必要があります。 WorkSpace に接続すると、「network connection is slow」という警告が表示されます クライアントから WorkSpace へのラウンドトリップ時間が 100ms より長い場合は、そのまま WorkSpace を使用できますが、品質が低下する可能性があります。ラウンドトリップ時間が長くなる 要因は多数ありますが、以下の要因が最も一般的です。 • WorkSpace が存在している AWS リージョンから離れ過ぎています。最良の WorkSpace エクスペ リエンスのためには、WorkSpace が存在する AWS リージョンから 2000 km 以内にいる必用があ ります。 • ネットワーク接続に一貫性がないか、低速です。最良のエクスペリエンスのためには、ネットワー ク接続の能力として、最低でも 300 kbps 以上、WorkSpace で動画を再生したり、グラフィックを 多用するアプリケーションを使用するときは 1 Mbps 以上が求められます。 クライアントアプリケーションで無効な証明書エ ラーが表示されました。これはどういう意味です か。 WorkSpace のクライアントアプリケーションは、SSL 証明書を介して WorkSpace サービスの ID を 認証します。Amazon WorkSpaces サービスのルート証明機関が確認できない場合には、クライアン トアプリケーションはエラーを表示し、サービスへの接続を防ぎます。最も一般的な原因は、プロキ シサーバーによりルート証明機関が削除され、クライアントアプリケーションに不完全な証明書が送 り返される場合です。詳しい情報についてはネットワーク管理者にご連絡ください。 「ご使用のデバイスは WorkSpaces 登録サービスに 接続できません」というエラーメッセージが表示さ れます。 登録サービスでエラーが発生すると、[Connection Health Check] ページに次のメッセージが表示 されます。「ご使用のデバイスは WorkSpaces 登録サービスに接続できません。ごのデバイスは WorkSpaces に登録できません。ネットワーク設定を確認してください。」 このエラーは、WorkSpaces クライアントアプリケーションが登録サービスにアクセスできない場 合に発生します。通常、これは、WorkSpaces ディレクトリが削除された場合に発生します。このエ Version 1.0 116 Amazon WorkSpaces 管理者ガイド 「ご使用のデバイスは WorkSpaces 登録サービスに接続 できません」というエラーメッセージが表示されます。 ラーを解決するには、登録コードが有効であり、AWS クラウドで実行中のディレクトリに対応してい ることを確認します。詳細については、「高度な設定 (p. 37)」を参照してください。 Version 1.0 117 Amazon WorkSpaces 管理者ガイド Amazon WorkSpaces 制限 リージョンごとの Amazon WorkSpaces の制限を次に示します。制限の緩和をリクエストするに は、Amazon WorkSpaces の制限フォームを使用します。 Amazon WorkSpaces の制限 リソース 制限 WorkSpaces 5 イメージ 5 Version 1.0 118 Amazon WorkSpaces 管理者ガイド ドキュメント履歴 次の表は、Amazon WorkSpaces サービスおよびそのドキュメントセットへの重要な追加項目を示し ています。また、お客様からいただいたフィードバックに対応するために、ドキュメントを頻繁に更 新しています。 変更 説明 日付日 時間単位の WorkSpace ユーザーへの課金が時間単位になるように WorkSpace を設定できます。 2016 年 8 月 18 日 Windows 10 BYOL Windows 10 デスクトップのライセンスを Amazon WorkSpaces (BYOL) に導入します。詳細については、 「Windows デスクトップイメージの使用 (p. 65)」を参 照してください。 2016 年 7 月 21 日 タグ指定のサポート WorkSpaces の管理と追跡にタグを使用できるようにな りました。詳細については、「WorkSpace へのタグ付 け (p. 57)」を参照してください。 2016 年 5 月 17 日 登録の保存 新しい登録コードを入力するたびに、WorkSpaces クラ イアントに保存されます。これにより、ディレクトリま たはリージョンが異なる WorkSpace 間での切り替えが 簡単になります。詳細については、「クライアントアプ リケーションの登録 (p. 36)」を参照してください。 2016 年 1 月 28 日 Microsoft AD サポート Microsoft AD サポートに複数の機能が追加されました。 2015 年 12 月3日 Windows 7 BYOL、Chromebook Windows クライアント、WorkSpace 7 デスクトップのライセンスを 暗号化 Amazon WorkSpaces (BYOL) に導入します。詳細については、 「Windows デスクトップイメージの使用 (p. 65)」を参 照してください。 2015 年 10 月1日 Chromebook クライアントが追加されました。詳細につ いては、「Amazon WorkSpaces Chromebook クライア ントヘルプ (p. 111)」を参照してください。 WorkSpace の暗号化。詳細については、「WorkSpace を暗号化します。 (p. 54)」を参照してください。 CloudWatch モニタリング の追加 CloudWatch モニタリングについての情報を追加しまし た。詳細については、「Amazon WorkSpaces メトリク スのモニタリング (p. 73)」を参照してください。 Version 1.0 119 2015 年 4 月 28 日 Amazon WorkSpaces 管理者ガイド 変更 説明 日付日 自動セッション再接続 WorkSpace のデスクトップクライアントアプリケー ションの自動セッション再接続機能についての情報を追 加しました。詳細については、次のトピックを参照して ください。 2015 年 3 月 31 日 • WorkSpace への接続 (p. 98) • WorkSpace への接続 (p. 100) • セッション再起動タイムアウト設定 (p. 72) パブリック IP アドレス 自動的に WorkSpaces にパブリック IP アドレスを割り 当てるためのサポートを追加しました。詳細について は、次のドキュメントを参照してください。 2015 年 1 月 23 日 • Simple AD のインターネットアクセス (p. 43) • AD Connector のインターネットアクセス (p. 46) Amazon WorkSpaces を アジアパシフィック (シン ガポール) で開始 Amazon WorkSpaces が アジアパシフィック (シンガ ポール) リージョンで利用可能になりました。 2015 年 1 月 15 日 Value バンドルの追加、Standard Valueバンドルの更新、Office バンドルが利用できるようになりました。Standard 2013 の追加 2014 バンドルのハードウェアがアップ 年 11 月6日 イメージとバンドルのサ ポート イメージとカスタムバンドルのサポートが追加されまし た。詳細については、次のドキュメントを参照してくだ さい。 2014 年 10 月 28 日 • WorkSpace イメージの管理 (p. 62) • WorkSpace バンドルの管理 (p. 61) PCoIP ゼロクライアント のサポート Amazon WorkSpaces PCoIP ゼロクライアントデバイス 2014 年 10 にアクセスできるようになりました。詳細については、 月 15 日 次のドキュメントを参照してください。 • PCoIP ゼロクライアントの有効化 (p. 73) • PCoIP ゼロクライアントのヘルプ (p. 112) Amazon WorkSpaces を アジアパシフィック (東 京) で開始 Amazon WorkSpaces が アジアパシフィック (東京) リージョンで利用可能になりました。 2014 年 8 月 26 日 ローカルプリンターのサ ポート ローカルプリンターのサポートが追加されました。詳細 については、「WorkSpace からの印刷 (p. 113)」を参 照してください。 2014 年 8 月 26 日 多要素認証 接続したディレクトリでの多要素認証のサポートが追加 されました。詳細については、次のトピックを参照して ください。 2014 年 8 月 11 日 • 多要素認証の前提条件 (p. 23) • 多要素認証 (p. 47) Version 1.0 120 Amazon WorkSpaces 管理者ガイド 変更 説明 日付日 デフォルト OU のサポー ト WorkSpace のコンピューターアカウントが作成される デフォルトの部門 (OU) を選択できるようになりまし た。詳細については、次のドキュメントを参照してくだ さい。 2014 年 7 月 7日 Simple AD ディレクトリ デフォルトの組織単位 (p. 43) AD Connector ディレクトリ ターゲットドメインとデフォルトの組織単 位 (p. 45) ターゲットドメインのサ ポート WorkSpace のコンピューターアカウントが作成される 別のドメインを選択できるようになりました。詳細に ついては、「ターゲットドメインとデフォルトの組織単 位 (p. 45)」を参照してください。 2014 年 7 月 7日 セキュリティグループの 追加 WorkSpace にセキュリティグループを追加する機能。 詳細については、次のトピックを参照してください。 2014 年 7 月 7日 Simple AD ディレクトリ セキュリティグループを追加する (p. 43) AD Connector ディレクトリ セキュリティグループを追加する (p. 46) Amazon WorkSpaces を アジアパシフィック (シド ニー) で開始 Amazon WorkSpaces が アジアパシフィック (シド ニー) リージョンで利用可能になりました。 2014 年 5 月 15 日 Amazon WorkSpaces を 欧州 (アイルランド) で開 始 Amazon WorkSpaces が 欧州 (アイルランド) リージョ ンで利用可能になりました。 2014 年 5 月 5日 パブリックベータ Amazon WorkSpaces はパブリックベータとして利用可 能になりました。 2014 年 3 月 25 日 Version 1.0 121
© Copyright 2024 Paperzz