Windows の管理 WorkSpaces - Amazon WorkSpaces

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Windows の管理 WorkSpaces

グループポリシーオブジェクト (GPOsを使用して、Windows WorkSpaces ディレクトリの一部である Windows WorkSpaces またはユーザーを管理するための設定を適用できます。

注記

Linux インスタンスはグループポリシーに従いません。Amazon Linux の管理については WorkSpaces、「」を参照してくださいAmazon Linux の管理 WorkSpaces

WorkSpaces コンピュータオブジェクトの組織単位と WorkSpaces ユーザーオブジェクトの組織単位を作成することをお勧めします。

Amazon に固有のグループポリシー設定を使用するには WorkSpaces、使用しているプロトコルのグループポリシー管理用テンプレートを PCoIP または WorkSpaces Streaming Protocol (WSP) のいずれかにインストールする必要があります。

警告

グループポリシー設定は、次のように WorkSpace ユーザーのエクスペリエンスに影響を与える可能性があります。

  • インタラクティブなログオンメッセージを実装してログオンバナーを表示すると、ユーザーは にアクセスできなくなります WorkSpaces。現在、インタラクティブのログオンメッセージのグループポリシー設定は WorkSpaces でサポートされていません。

  • グループポリシー設定を使用してリムーバブルストレージを無効にすると、ログインに失敗します。ユーザーはドライブ D にアクセスできず、一時ユーザープロファイルにログインされます。

  • グループポリシー設定を使用してリモートデスクトップユーザーローカルグループからユーザーを削除すると、それらのユーザーはクライアントアプリケーションを通じて認証できなくなります。 WorkSpaces このグループポリシー設定の詳細については、Microsoft のドキュメントのリモートデスクトップサービスによるログオンを許可するを参照してください。

  • ローカルセキュリティポリシーでログオンを許可から組み込みユーザーグループを削除すると、PCoIP WorkSpaces ユーザーは WorkSpaces クライアントアプリケーション WorkSpaces を介して に接続できなくなります。また、PCoIP WorkSpaces は PCoIP エージェントソフトウェアの更新を受信しません。PCoIP エージェントの更新には、セキュリティやその他の修正が含まれているか、 の新機能が有効になっている可能性があります WorkSpaces。このセキュリティポリシーの使用方法の詳細については、Microsoft ドキュメントのローカルでログオンを許可するを参照してください。

  • グループポリシー設定は、ドライブアクセスの制限に使用できます。ドライブ C またはドライブ D へのアクセスを制限するようにグループポリシー設定を構成すると、ユーザーは にアクセスできません WorkSpaces。この問題を回避するために、ユーザーがドライブ C およびドライブ D にアクセスできることを確認します。

  • WorkSpaces オーディオ入力機能には、 内のローカルログオンアクセスが必要です WorkSpace。Windows では、オーディオ入力機能はデフォルトで有効になっています WorkSpaces。ただし、 でのユーザーのローカルログオンを制限するグループポリシー設定がある場合 WorkSpaces、オーディオ入力は では機能しません WorkSpaces。そのグループポリシー設定を削除すると、 の次回の再起動後にオーディオ入力機能が有効になります WorkSpace。このグループポリシー設定の詳細については、Microsoft のドキュメントのローカルでのログオンを許可するをご参照ください。

    オーディオ入力リダイレクトの有効化または無効化の詳細については、PCoIP のオーディオ入力リダイレクトを有効化/無効化する または WSP のオーディオ入力リダイレクトを有効化/無効化する を参照してください。

  • グループポリシーを使用して Windows の電源プランをバランス型または Power Saver に設定すると WorkSpaces 、アイドル状態のままにしておくと がスリープ状態になる可能性があります。グループポリシーを使用して、Windows の電源プランを [High performance] (高パフォーマンス) に設定することを強くお勧めします。詳細については、「Windows がアイドル状態のまま WorkSpace になるとスリープ状態になる」を参照してください

  • グループポリシー設定によっては、セッションから切断されているときに、ユーザーが強制的にログオフされます。ユーザーが で開いているアプリケーション WorkSpaces はすべて閉じられます。

  • 「アクティブだがアイドル状態のリモートデスクトップサービスセッションの時間制限を設定」は、現在 WSP ではサポートされていません WorkSpaces。WSP セッション中は使用しないでください。アクティビティがあり、セッションがアイドル状態でない場合でも切断が発生するためです。

Active Directory 管理ツールを使用して GPO を操作する方法については、WorkSpaces の Active Directory 管理ツールを設定する を参照してください。

WorkSpaces ストリーミングプロトコル (WSP) 用のグループポリシー管理用テンプレートファイルをインストールする

WorkSpaces ストリーミングプロトコル (WSP) を使用する WorkSpaces ときに に固有のグループポリシー設定を使用するには、WSP のグループポリシー管理用テンプレートwsp.admxwsp.admlファイルを WorkSpaces ディレクトリのドメインコントローラーのセントラルストアに追加する必要があります。.admx および .adml ファイルの詳細については、「Windows でグループポリシー管理用テンプレートのセントラルストアを作成および管理する方法」を参照してください。

次の手順では、セントラルストアを作成し、管理用テンプレートファイルをそのストアに追加する方法について説明します。ディレクトリ管理 WorkSpace またはディレクトリに結合 WorkSpacesされている Amazon EC2 インスタンスで次の手順を実行します。

WSP のグループポリシー管理用テンプレートファイルをインストールするには
  1. 実行中の Windows から WorkSpace、 C:\Program Files\Amazon\WSP ディレクトリ内の wsp.admxおよび wsp.adml ファイルのコピーを作成します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、Windows ファイルエクスプローラーを開き、アドレスバーに などの組織の完全修飾ドメイン名 (FQDN) を入力します\\example.com

  3. sysvol フォルダを開きます。

  4. FQDN という名前のフォルダを開きます。

  5. Policies フォルダを開きます。今、\\FQDN\sysvol\FQDN\Policies に入っているはずです。

  6. まだ存在しない場合は、PolicyDefinitions という名前のフォルダを作成します。

  7. PolicyDefinitions フォルダを開きます。

  8. wsp.admx ファイルを \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions フォルダにコピーします。

  9. PolicyDefinitions フォルダに en-US という名前のフォルダを作成します。

  10. en-US フォルダを開きます。

  11. wsp.adml ファイルを \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US フォルダにコピーします。

管理用テンプレートファイルが正しくインストールされていることを確認するには
  1. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  2. フォレスト ([フォレスト:FQDN]) を展開します。

  3. [ドメイン] を展開します。

  4. FQDN を展開します (example.com など)。

  5. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  6. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、委任された権限を持つドメインコンテナの下に GPO を作成してリンクする必要があります。

    を使用してディレクトリを作成すると AWS Managed Microsoft AD、 はドメインルートの下に yourdomainname 組織単位 (OU) AWS Directory Service を作成します。この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、Directory DNS 名の最初の部分が使用されます (例えば、corp.example.com の場合、NetBIOS 名は corp となります)。

    GPO を作成するには、デフォルトのドメインポリシーを選択する代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。

    yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  7. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  8. この WSP グループポリシーオブジェクトを使用して、WSP を使用する WorkSpaces ときに に固有のグループポリシー設定を変更できるようになりました。

WorkSpaces ストリーミングプロトコル (WSP) のグループポリシー設定の管理

グループポリシー設定を使用して、WSP WorkSpaces を使用する Windows を管理します。

デフォルトでは、 は基本的なリモート印刷 WorkSpaces を有効にします。これは、ホスト側の汎用プリンタードライバーを使用して印刷の互換性を確保するため、印刷機能が制限されています。

Windows クライアントの高度なリモート印刷 (WSP では使用できません) では、両面印刷など、プリンター固有の機能を使用できますが、ホスト側に一致するプリンタードライバーをインストールする必要があります。

リモート印刷は仮想チャネルとして実装されます。仮想チャネルが無効になっている場合、リモート印刷は機能しません。

Windows の場合 WorkSpaces、グループポリシー設定を使用して、必要に応じてプリンターサポートを設定できます。

プリンターのサポートを設定するには
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Configure remote printing] 設定を開きます。

  10. [Configure remote printing (リモート印刷を設定)] ダイアログボックスで、次のいずれかを実行します。

    • ローカルプリンタのリダイレクトを有効にするには、[Enabled (有効)] を選択し、[Printing options (印刷オプション)] で [Basic (基本)] を選択します。クライアントコンピュータの現在のデフォルトプリンタを自動的に使用するには、[Map local default printer to the remote host (ローカルデフォルトプリンタをリモートホストにマップする)] を選択します。

    • 印刷を無効にするには、[Disabled (無効)] を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、 は双方向 (コピー/貼り付け) のクリップボードリダイレクト WorkSpaces をサポートしています。Windows の場合 WorkSpaces、グループポリシー設定を使用してこの機能を無効にしたり、クリップボードのリダイレクトを許可する方向を設定したりできます。

Windows のクリップボードリダイレクトを設定するには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Configure clipboard redirection] 設定を開きます。

  10. [Configure clipboard redirection] (クリップボードリダイレクトの設定) ダイアログボックスで、[Enabled] (有効) または [Disabled] (無効) を選択します。

    [Configure clipboard redirection] (クリップボードリダイレクトの設定) を [Enabled] (有効) にすると、以下のクリップボードリダイレクトオプションが使用可能になります。

    • [Copy and Paste] (コピーして貼り付ける) では、クリップボードのコピーと貼り付けの双方向リダイレクトを許可します。

    • [Copy Only] (コピーのみ) では、サーバーのクリップボードからクライアントのクリップボードへのデータのコピーのみを許可します。

    • [Paste Only] (貼り付けのみ) では、クライアントのクリップボードからサーバーのクリップボードへのデータの貼り付けのみを許可します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

既知の制限事項

でクリップボードのリダイレクトを有効にすると WorkSpace、Microsoft Office アプリケーションから 890 KB を超えるコンテンツをコピーすると、アプリケーションが遅くなったり、最大 5 秒間応答しなくなったりすることがあります。

ネットワーク接続が失われると、アクティブな WorkSpaces クライアントセッションは切断されます。Windows および macOS 用の WorkSpaces クライアントアプリケーションは、ネットワーク接続が一定時間内に回復した場合にセッションを自動的に再接続しようとします。デフォルトのセッション再開タイムアウトは 20 分 (1200 秒) ですが、ドメインのグループポリシー設定によって制御 WorkSpaces される の値を変更できます。

自動セッション再起動タイムアウト値を設定するには
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable automatic reconnect] (自動再接続を有効/無効にする) 設定を開きます。

  10. [Enable/disable automatic reconnect] (自動再接続を有効化/無効化) ダイアログボックスで、[Enabled] (有効) を選択し、[Reconnect timeout (seconds)] (再接続タイムアウト (秒)) を必要なタイムアウト (秒) に設定します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、 はローカルカメラからのデータのリダイレクト WorkSpaces をサポートします。Windows で必要な場合は WorkSpaces、グループポリシー設定を使用してこの機能を無効にできます。

Windows のビデオ入力リダイレクトを有効または無効にするには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable video-in redirection (ビデオ入力リダイレクトを有効/無効にする)] 設定を開きます。

  10. [Enable/disable video-in redirection (ビデオ入力リダイレクトを有効/無効にする)] ダイアログボックスで、[Enabled (有効)] または [Disabled (無効)] を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、 はローカルマイクからのデータのリダイレクト WorkSpaces をサポートしています。Windows で必要な場合は WorkSpaces、グループポリシー設定を使用してこの機能を無効にできます。

Windows のオーディオ入力リダイレクトを有効または無効にするには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable audio-in redirection (オーディオ入力リダイレクトを有効/無効にする)] 設定を開きます。

  10. [Enable/disable audio-in redirection (オーディオ入力リダイレクトを有効/無効にする)] ダイアログボックスで、[Enabled (有効)] または [Disabled (無効)] を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、 はローカルスピーカーにデータを WorkSpaces リダイレクトします。Windows で必要な場合は WorkSpaces、グループポリシー設定を使用してこの機能を無効にできます。

Windows のオーディオ出力リダイレクトを有効または無効にするには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を拡張します。例えば example.com です。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [オーディオ出力リダイレクトを有効/無効にする] 設定を開きます。

  10. [オーディオ出力リダイレクトを有効/無効にする] ダイアログボックスで、[有効] または [無効] を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace。Amazon WorkSpaces コンソールで、 を選択し WorkSpace、アクション > 再起動 WorkSpacesを選択します。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、Workspace 内の時間は、 への接続に使用されているクライアントのタイムゾーンを反映するように設定されています WorkSpace。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。例:

  • 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。

  • 特定のタイムゾーンで特定の時間に実行することを意図したタスク WorkSpace が にスケジュールされている。

  • 多くの旅行をしているユーザーは、一貫性と個人設定のために を 1 つのタイムゾーン WorkSpaces に保持したいと考えています。

Windows で必要な場合は WorkSpaces、グループポリシー設定を使用してこの機能を無効にできます。

Windows のタイムゾーンリダイレクトを無効にするには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable time zone redirection (タイムゾーンリダイレクトを有効/無効にする)] 設定を開きます。

  10. [Enable/disable time zone redirection (タイムゾーンリダイレクトを有効/無効にする)] ダイアログボックスで [Disabled (無効)] を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

  13. のタイムゾーンを希望のタイムゾーン WorkSpaces に設定します。

のタイムゾーン WorkSpaces は静的になり、クライアントマシンのタイムゾーンは反映されなくなりました。

WSP では、転送中のデータは TLS 1.2 暗号化を使用して暗号化されます。デフォルトでは、次の暗号はすべて暗号化に使用でき、クライアントとサーバーはどちらの暗号を使用するかをネゴシエートします。

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

Windows の場合 WorkSpaces、グループポリシー設定を使用して TLS セキュリティモードを変更し、特定の暗号スイートを新規追加またはブロックできます。これらの設定とサポートされている暗号スイートの詳細については、[PCoIP セキュリティ設定の構成] グループポリシーダイアログボックスを参照してください。

WSP セキュリティ設定を構成するには
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を拡張します。例えば example.com です。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [セキュリティ設定の構成] を開きます。

  10. [セキュリティ設定の構成] ダイアログボックスで、[有効] を選択します。許可する暗号スイートを追加し、ブロックする暗号スイートを削除します。これらの設定の詳細については、[セキュリティ設定の構成] ダイアログボックスに表示される説明を参照してください。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次回のグループポリシーの更新後 WorkSpace、およびセッションの再開 WorkSpace後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動するには WorkSpace、Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpacesを選択します。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、 WorkSpaces 拡張機能のサポートは無効になっています。必要に応じて、次の方法で拡張機能を使用する WorkSpace ように を設定できます。

  • サーバーとクライアント – サーバーとクライアントの両方の拡張機能を有効にする

  • サーバーのみ – サーバーのみの拡張機能を有効にする

  • クライアントのみ – クライアントのみの拡張機能を有効にする

Windows の場合 WorkSpaces、グループポリシー設定を使用して拡張機能の使用を設定できます。

WSP の拡張機能を設定するには
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を拡張します。例えば、次のようになります: example.com

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [拡張機能の設定] を開きます。

  10. [拡張機能の設定] ダイアログボックスで、[有効] を選択し、必要なサポートオプションを設定します。[クライアントのみ][サーバーとクライアント]、または [サーバーのみ] を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次回のグループポリシーの更新後 WorkSpace 、およびセッションの再開 WorkSpace後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace。Amazon WorkSpaces コンソールで、 を選択し WorkSpace、アクション 再起動 WorkSpacesを選択します。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、Amazon WorkSpaces はセッション前認証またはセッション内認証のいずれにもスマートカードの使用をサポートしていません。セッション前認証とは、ユーザーが にログインしている間に実行されるスマートカード認証を指します WorkSpaces。セッション内認証とは、ログイン後に実行される認証をいいます。

必要に応じて、グループポリシー設定 WorkSpaces を使用して Windows のセッション前認証とセッション内認証を有効にできます。セッション前認証は、 EnableClientAuthentication API アクションまたは enable-client-authentication AWS CLI コマンドを使用して AD Connector ディレクトリ設定を通じて有効にする必要があります。詳細については、AWS Directory Service 管理ガイドAD Connector のスマートカード認証を有効にするを参照してください。

注記

Windows でスマートカードを使用できるようにするには WorkSpaces、追加の手順が必要です。詳細については、「認証にスマートカードを使用する」を参照してください。

Windows のスマートカードリダイレクトを有効または無効にするには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable smart card redirection] (スマートカードリダイレクトを有効/無効にする) 設定を開きます。

  10. [Enable/disable smart card redirection] (スマートカードリダイレクトを有効/無効にする) ダイアログボックスで、[Enabled] (有効) または [Disabled] (無効) を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 WorkSpaceセッションの再開後に有効になります。グループポリシーの変更を適用するには、 を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpacesを選択します)。

デフォルトでは、Amazon はセッション内認証に WebAuthn 認証システムの使用 WorkSpaces を有効にします。セッション内認証とは、ログイン後に実行され、セッション内で実行されているウェブアプリケーションによってリクエストされる WebAuthn 認証を指します。

要件

WebAuthn WSP の (FIDO2) リダイレクトには、以下が必要です。

  • WSP ホストエージェントバージョン 2.0.0.1425 以降

  • WorkSpaces クライアント:

    • Linux Ubuntu 22.04 2023.3 以降

    • Windows 5.19.0 以降

    • Mac クライアント 5.19.0 以降

  • Amazon DCV WebAuthn リダイレクト拡張機能 WorkSpaces を実行している にインストールされているウェブブラウザ:

    • Google Chrome 116 以降

    • Microsoft Edge 116 以降

Windows の WebAuthn (FIDO2) リダイレクトの有効化または無効化 WorkSpaces

必要に応じて、グループポリシー設定を使用して、Windows の WebAuthn 認証によるセッション内認証のサポート WorkSpaces を有効または無効にできます。この設定を有効にするか、設定しない場合、 WebAuthn リダイレクトが有効になり、ユーザーはリモート 内のローカル認証機能を利用できます WorkSpace。

機能を有効にすると、セッション内のブラウザからのすべての WebAuthn リクエストがローカルクライアントにリダイレクトされます。ユーザーは、Windows Hello または他の YubiKey FIDO2 準拠の認証システムなどのローカルに接続されたセキュリティデバイスを使用して、認証プロセスを完了できます。

Windows の WebAuthn (FIDO2) リダイレクトを有効または無効にするには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. WebAuthn リダイレクトの有効化/無効化設定を開きます。

  10. WebAuthn リダイレクトの有効化/無効化ダイアログボックスで、有効化または無効化を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソール WorkSpace に移動し、 を選択して を再起動します WorkSpace。次に、アクション、再起動) WorkSpacesを選択します。

Amazon DCV WebAuthn リダイレクト拡張機能のインストール

次のいずれかを実行して、この機能を有効に WebAuthn した後に使用する Amazon DCV WebAuthn リダイレクト拡張機能をインストールする必要があります。

  • ユーザーはブラウザでブラウザ拡張機能を有効にするように求められます。

    注記

    これは 1 回限りのブラウザプロンプトです。WSP エージェントのバージョンを 2.0.0.1425 以降に更新すると、ユーザーに通知が送信されます。エンドユーザーが WebAuthn リダイレクトを必要としない場合は、ブラウザから拡張機能を削除できます。以下の GPO ポリシーを使用して WebAuthn 、Redirection Extension のインストールプロンプトをブロックすることもできます。

  • 以下の GPO ポリシーを使用して、ユーザーのリダイレクト拡張機能を強制的にインストールできます。

  • ユーザーは、Microsoft Edge アドオンまたは Chrome Web Store を使用して拡張機能を手動でインストールできます。

グループポリシーを使用してブラウザ拡張機能を管理およびインストールする

Amazon DCV リダイレクト拡張は、Active Directory (AD) WebAuthn ドメインに参加しているセッションホストのドメインから一元的にインストールするか、各セッションホストのローカルグループポリシーエディタを使用してインストールできます。このプロセスは、使用しているブラウザによって異なります。

Microsoft Edge の場合
  1. Microsoft Edge 管理用テンプレート をダウンロードしてインストールします。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

  8. コンピュータ設定、管理テンプレートMicrosoft Edge、および拡張機能を選択する

  9. 拡張機能管理設定の構成 を開き、それを有効 に設定します。

  10. 「拡張機能管理設定の構成」で、次のように入力します。

    {"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソール WorkSpace に移動し、 を選択して を再起動します WorkSpace。次に、アクション、再起動) WorkSpacesを選択します。

注記

次の設定管理設定を適用することで、拡張機能のインストールをブロックできます。

{"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
Google Chrome の場合
  1. Google Chrome 管理用テンプレートをダウンロードしてインストールします。詳細については、「マネージド PCs」を参照してください。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

  8. コンピュータ設定、管理用テンプレートGoogle Chrome拡張機能の選択

  9. 拡張機能管理設定の構成を開き、それを有効に設定します。

  10. 「拡張機能管理設定の構成」で、次のように入力します。

    {"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソール WorkSpace に移動し、 を選択して を再起動します WorkSpace。次に、アクション、再起動) WorkSpacesを選択します。

注記

次の設定管理設定を適用することで、拡張機能のインストールをブロックできます。

{"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}

必要に応じて、Windows ロック画面が検出されたときにユーザーの WorkSpaces セッションを切断できます。 WorkSpaces クライアントから再接続するには、 で有効になっている認証のタイプに応じて、ユーザーはパスワードまたはスマートカードを使用して自分自身を認証できます WorkSpaces。

このグループポリシー設定は、デフォルトでは無効になっています。必要に応じて、グループポリシー設定 WorkSpaces を使用して、Windows で Windows ロック画面が検出されたときのセッションの切断を有効にできます。

注記
  • このグループポリシー設定は、パスワード認証セッションとスマートカード認証セッションの両方に適用されます。

  • Windows でスマートカードを使用できるようにするには WorkSpaces、追加の手順が必要です。詳細については、「認証にスマートカードを使用する」を参照してください。

Windows の画面ロックでセッションの切断を有効または無効にするには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable disconnect session on screen lock] (画面ロックの場合のセッションの切断を有効/無効にする) 設定を開きます。

  10. [Enable/disable disconnect session on screen lock] (画面ロックの場合のセッションの切断を有効/無効にする) ダイアログボックスで、[Enabled] (有効) または [Disabled] (無効) を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次回のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、 WorkSpaces は間接ディスプレイドライバー (IDD) の使用をサポートしています。Windows で必要な場合は WorkSpaces、グループポリシー設定を使用してこの機能を無効にできます。

Windows の間接ディスプレイドライバー (IDD) を有効または無効にするには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon Elastic Compute Cloud インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト (フォレスト: FQDN) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. 「デフォルトドメインポリシー」を選択し、メニューを右クリックしてコンテキストを開き、「編集」を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリである場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname組織単位 (OU) またはそのドメイン名の下にある任意の OU を選択し、メニューを右クリックしてコンテキストを開き、このドメインで GPO を作成するを選択し、ここでリンクしますyourdomainname OU の詳細については、 AWS 「 Directory Service 管理ガイド」の「作成されるもの」を参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. AWS 間接ディスプレイドライバーを有効にする 設定を開きます。

  10. AWS 「間接ディスプレイドライバーを有効にする」ダイアログボックスで、「有効または無効」を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    1. を再起動します WorkSpace ( WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    2. 管理コマンドプロンプトで、gpupdate /force と入力します。

WorkSpaces では、最大フレームレート、最小画質、最大画質、YUV エンコーディングなど、さまざまな表示設定を行うことができます。これらの設定は、必要な画質、応答性、色精度に基づいて調整します。

デフォルトでは、最大フレームレートの値は 25 です。最大フレームレートの値は、1 秒あたりの最大許容フレーム数 (fps) を指定します。値を 0 にすると、無制限に設定されます。

デフォルトでは、最小画質の値は 30 です。最小画質は、最善の画像応答性、つまり最善の画質になるように最適化できます。最善の応答性を実現するには、最小品質を下げます。最善の品質を実現するには、最小品質を上げます。

  • 最善の応答性を実現する理想的な値は、30~90 です。

  • 最適な品質を実現する理想的な値は、60~90 です。

デフォルトでは、最低画質の値は 80 です。最大画質は画像の応答性や画質には影響しませんが、最大値を設定してネットワークの使用を制限します。

デフォルトでは、画像エンコーディングは YUV420 に設定されています。[YUV444 エンコーディングを有効にする] を選択すると、YUV444 エンコーディングが有効になり、高い色精度が得られます。

Windows の場合 WorkSpaces、グループポリシー設定を使用して、最大フレームレート、最小画質、および最大画質の値を設定できます。

Windows の表示設定を構成するには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [ディスプレイ設定の構成] を開きます。

  10. [ディスプレイ設定] ダイアログボックスで [有効] を選択し、[最大フレームレート (fps)][最小画質][最大画質] の各値を目的のレベルに設定します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次回のグループポリシーの更新後 WorkSpace 、およびセッションの再開 WorkSpace後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace。Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション再起動 WorkSpaces を選択します。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、 は AWS 仮想ディスプレイ専用ドライバーの VSync 機能の使用 WorkSpaces をサポートしています。Windows で必要な場合は WorkSpaces、グループポリシー設定を使用してこの機能を無効にできます。

VSync for Windows を有効または無効にするには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon Elastic Compute Cloud インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト (フォレスト: FQDN) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. 「デフォルトドメインポリシー」を選択し、メニューを右クリックしてコンテキストを開き、「編集」を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリである場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname組織単位 (OU) またはそのドメイン名の下にある任意の OU を選択し、メニューを再度クリックしてコンテキストを開き、このドメインで GPO を作成するを選択し、ここでリンクしますyourdomainname OU の詳細については、AWS 「 Directory Service 管理ガイド」の「作成される内容」を参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. AWS 仮想ディスプレイ専用ドライバー設定の VSync 機能を開きます。

  10. AWS 仮想ディスプレイ専用ドライバーの VSync 機能を有効にするダイアログボックスで有効または無効を選択します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次の手順を実行します。

    1. 次のいずれか WorkSpace を実行して、 を再起動します。

      1. オプション 1 — WorkSpaces コンソールで、再起動 WorkSpace する を選択します。次に、アクション 再起動 WorkSpacesを選択します。

      2. オプション 2 — 管理コマンドプロンプトで、 と入力しますgpupdate /force

    2. 設定を適用するには WorkSpace 、 に再接続します。

    3. Workspace を再起動します。

デフォルトでは、WSP のログの詳細レベル WorkSpaces は Info に設定されています。ログレベルは、以下のように詳細度の低いものから最も詳細なものまで設定できます。

  • エラー – 最も低い詳細度

  • 警告

  • 情報 – デフォルト

  • デバッグ – 最も高い詳細度

Windows の場合 WorkSpaces、グループポリシー設定を使用してログの詳細レベルを設定できます。

Windows のログの詳細レベルを設定するには WorkSpaces
  1. WorkSpaces WSP の最新のグループポリシー管理用テンプレートが、 ディレクトリのドメインコントローラー WorkSpacesのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を拡張します。例えば example.com です。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、 AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [ログ詳細度の設定] を開きます。

  10. [ログ詳細度の設定] ダイアログボックスで、[有効] を選択し、ログの詳細度レベルを、[デバッグ][エラー][情報]、または [警告] に設定します。

  11. [OK] をクリックします。

  12. グループポリシー設定の変更は、 の次回のグループポリシーの更新後 WorkSpace 、およびセッションの再開 WorkSpace後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace。Amazon WorkSpaces コンソールで、 を選択し WorkSpace、アクション 再起動 WorkSpacesを選択します。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

PCoIP のグループポリシー管理用テンプレートをインストールする

PCoIP プロトコルを使用する WorkSpaces ときに Amazon に固有のグループポリシー設定を使用するには、 に使用されている PCoIP エージェント (32 ビットまたは 64 ビット) のバージョンに適したグループポリシー管理用テンプレートを追加する必要があります WorkSpaces。

注記

WorkSpaces と 32 ビットエージェントと 64 ビットエージェントを混在させる場合は、32 ビットエージェント用のグループポリシー管理テンプレートを使用できます。グループポリシー設定は 32 ビットエージェントと 64 ビットエージェントの両方に適用されます。すべての WorkSpaces が 64 ビットエージェントを使用している場合は、64 ビットエージェントの管理テンプレートの使用に切り替えることができます。

に 32 ビットエージェントと 64 ビットエージェントのどちら WorkSpaces があるかどうかを判断するには
  1. にログインし WorkSpace、表示Ctrl + Alt + 削除を送信 またはタスクバーを右クリックしてタスクマネージャー を選択して、タスクマネージャー を開きます。

  2. タスクマネージャで、[詳細] タブに移動し、列見出しを右クリックし、[列の選択] を選択します。

  3. [列の選択] ダイアログボックスで、[プラットフォーム] を選択し、[OK] をクリックします。

  4. [詳細] タブで、pcoip_agent.exe を探し、[プラットフォーム] 列でその値を確認し、PCoIP エージェントが 32 ビットであるか 64 ビットであるか判別します。(32 ビットコンポーネントと 64 ビット WorkSpaces コンポーネントが混在している場合があります。これは正常です。)

32 ビット PCoIP エージェントで PCoIP プロトコルを使用する WorkSpaces ときに に固有のグループポリシー設定を使用するには、PCoIP のグループポリシー管理テンプレートをインストールする必要があります。ディレクトリ管理 WorkSpace またはディレクトリに結合されている Amazon EC2 インスタンスで次の手順を実行します。

.adm ファイルの操作の詳細については、マイクロソフトのドキュメントの「グループポリシー管理用テンプレート (.adm) ファイルを管理するための推奨事項」を参照してください。

PCoIP のグループポリシー管理用テンプレートをインストールするには
  1. 実行中の Windows から WorkSpace、 C:\Program Files (x86)\Teradici\PCoIP Agent\configuration ディレクトリに pcoip.adm ファイルのコピーを作成します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、 WorkSpaces マシンアカウントを含むドメイン内の組織単位に移動します。

  3. コンピュータアカウントの組織単位のコンテキスト(右クリック)メニューを開き、[Create a GPO in this domain, and link it here] を選択します。

  4. 新しい GPO ダイアログボックスで、WorkSpaces マシンポリシー などの GPO のわかりやすい名前を入力し、ソーススターター GPO(なし) に設定します。 [OK] をクリックします。

  5. 新しい GPO のコンテキスト (右クリック) メニューを開き、[Edit] を選択します。

  6. グループポリシー管理エディタで、[Computer Configuration]、[Policies]、[Administrative Templates] の順に選択します。メインメニューから [Action]、[Add/Remove Templates] の順に選択します。

  7. [Add/Remove Templates] ダイアログボックスで、[Add] を選択し、先ほどコピーした pcoip.adm ファイルを選択したら、[Open]、[Close] の順に選択します。

  8. [Group Policy Management Editor] を終了します。これで、この GPO を使用して、 WorkSpaces に固有のグループポリシーの設定を変更できます。

管理用テンプレートファイルが正しくインストールされていることを確認するには
  1. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、 WorkSpaces マシンアカウントの GPO に移動して選択します WorkSpaces。メインメニューの [Action]、[Edit] を選択します。

  2. グループポリシー管理エディタで、[Computer Configuration]、[Policies]、[Administrative Templates]、[Classic Administrative Templates]、[PCoIP Session Variables] の順に選択します。

  3. これで、この PCoIP セッション変数グループポリシーオブジェクトを使用して、PCoIP を使用する WorkSpaces ときに Amazon に固有のグループポリシー設定を変更できます。

    注記

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Settings] (上書き可能な管理者設定) を選択します。許可しない場合は、[Not Overridable Administrator Settings] (上書き可能でない管理者設定) を選択します。

PCoIP プロトコルを使用する WorkSpaces ときに に固有のグループポリシー設定を使用するには、PCoIP のグループポリシー管理用テンプレートPCoIP.admxPCoIP.admlファイルを ディレクトリのドメインコントローラー WorkSpacesのセントラルストアに追加する必要があります。.admx および .adml ファイルの詳細については、「Windows でグループポリシー管理用テンプレートのセントラルストアを作成および管理する方法」を参照してください。

次の手順では、セントラルストアを作成し、管理用テンプレートファイルをそのストアに追加する方法について説明します。 WorkSpaces ディレクトリ管理 WorkSpace またはディレクトリに結合されている Amazon EC2 インスタンスで次の手順を実行します。

PCoIP のグループポリシー管理用テンプレートファイルをインストールするには
  1. 実行中の Windows から WorkSpace、 C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions ディレクトリ内の PCoIP.admxおよび PCoIP.adml ファイルのコピーを作成します。PCoIP.admlファイルは、そのディレクトリの en-US サブフォルダにあります。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、Windows ファイルエクスプローラーを開き、アドレスバーに などの組織の完全修飾ドメイン名 (FQDN) を入力します\\example.com

  3. sysvol フォルダを開きます。

  4. FQDN という名前のフォルダを開きます。

  5. Policies フォルダを開きます。今、\\FQDN\sysvol\FQDN\Policies に入っているはずです。

  6. まだ存在しない場合は、PolicyDefinitions という名前のフォルダを作成します。

  7. PolicyDefinitions フォルダを開きます。

  8. PCoIP.admx ファイルを \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions フォルダにコピーします。

  9. PolicyDefinitions フォルダに en-US という名前のフォルダを作成します。

  10. en-US フォルダを開きます。

  11. PCoIP.adml ファイルを \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US フォルダにコピーします。

管理用テンプレートファイルが正しくインストールされていることを確認するには
  1. ディレクトリ管理 WorkSpace ツールまたは WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール () を開きますgpmc.msc

  2. フォレスト ([フォレスト:FQDN]) を展開します。

  3. [ドメイン] を展開します。

  4. FQDN を展開します (example.com など)。

  5. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  6. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    をバックアップするドメイン WorkSpaces が AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、委任された権限を持つドメインコンテナの下に GPO を作成してリンクする必要があります。

    を使用してディレクトリを作成すると AWS Managed Microsoft AD、 はドメインルートの下に yourdomainname 組織単位 (OU) AWS Directory Service を作成します。この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、Directory DNS 名の最初の部分が使用されます (例えば、corp.example.com の場合、NetBIOS 名は corp となります)。

    GPO を作成するには、デフォルトのドメインポリシーを選択する代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。

    yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  7. グループポリシー管理エディタで、[コンピュータの設定]、[ポリシー]、[管理用テンプレート]、[PCoIP セッション変数] の順に選択します。

  8. これで、この PCoIP セッション変数グループポリシーオブジェクトを使用して、PCoIP を使用する WorkSpaces ときに に固有のグループポリシー設定を変更できます。

    注記

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Settings] (上書き可能な管理者設定) を選択します。許可しない場合は、[Not Overridable Administrator Settings] (上書き可能でない管理者設定) を選択します。

PCoIP のグループポリシー設定の管理

グループポリシー設定を使用して、PCoIP WorkSpaces を使用する Windows を管理します。 PCoIP

デフォルトでは、 は基本的なリモート印刷 WorkSpaces を有効にします。これは、ホスト側の汎用プリンタードライバーを使用して印刷の互換性を確保するため、印刷機能が制限されています。

Windows クライアントの高度なリモート印刷では、両面印刷など、プリンター固有の機能を使用できますが、ホスト側に一致するプリンタードライバーをインストールする必要があります。

リモート印刷は仮想チャネルとして実装されます。仮想チャネルが無効になっている場合、リモート印刷は機能しません。

Windows の場合 WorkSpaces、グループポリシー設定を使用して、必要に応じてプリンターサポートを設定できます。

プリンターのサポートを設定するには
  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数 に移動します。

  3. [Configure remote printing] 設定を開きます。

  4. [Configure remote printing (リモート印刷を設定)] ダイアログボックスで、次のいずれかを実行します。

    • 高度なリモート印刷を有効にするには、[Enabled (有効)] を選択し、[Options (オプション)] の [Configure remote printing (リモート印刷を設定)] で [Basic and Advanced printing for Windows clients (Windows クライアントの基本印刷と高度な印刷)] を選択します。クライアントコンピュータの現在のデフォルトプリンターを自動的に使用するには、[ Automatically set default printer (デフォルトプリンターを自動的に設定する)] を選択します。

    • 印刷を無効にするには、[Enabled (有効)] を選択し、[Options (オプション)] の [Configure remote printing (リモート印刷を設定)] で [printing disabled (印刷無効)] を選択します。

  5. [OK] をクリックします。

  6. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、ローカルプリンターへの自動リダイレクトは無効になっています。グループポリシー設定を使用してこの機能を有効にし、 に接続するたびにローカルプリンターをデフォルトプリンターとして設定できます WorkSpace。

注記

ローカルプリンターリダイレクトは Amazon Linux では使用できません WorkSpaces。

ローカルプリンターへの自動リダイレクトを有効にするには
  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数 に移動します。

  3. [Configure remote printing] 設定を開きます。

  4. [Enabled] (有効) を選択し、[Options] (オプション) の [Configure remote printing] (リモート印刷を設定) で、次のいずれかを選択します。

    • Basic and Advanced printing for Windows clients (Windows クライアント用の基本印刷と高度な印刷)

    • Basic printing (基本印刷)

  5. [Automatically set default printer] (デフォルトのプリンターを自動的に設定) を選択し、[OK] を選択します。

  6. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、 はクリップボードのリダイレクト WorkSpaces をサポートしています。Windows で必要な場合は WorkSpaces、グループポリシー設定を使用してこの機能を無効にできます。

クリップボードのリダイレクトを有効または無効にするには
  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数 に移動します。

  3. [Configure clipboard redirection] 設定を開きます。

  4. [Configure clipboard redirection (クリップボードのリダイレクトの設定)] ダイアログボックスで、[有効] を選択し、次のいずれかの設定を選択して、クリップボードのリダイレクトが許可される方向を決定します。終了したら、[OK] を選択します。

    • 双方向で無効

    • エージェントからクライアントのみ (ローカルコンピュータWorkSpace へ) を有効に

    • クライアントからエージェントのみ有効 (ローカルコンピュータから WorkSpace)

    • 双方向で有効

  5. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

既知の制限事項

でクリップボードのリダイレクトを有効にすると WorkSpace、Microsoft Office アプリケーションから 890 KB を超えるコンテンツをコピーすると、アプリケーションが遅くなったり、最大 5 秒間応答しなくなったりすることがあります。

ネットワーク接続が失われると、アクティブな WorkSpaces クライアントセッションは切断されます。Windows および macOS 用の WorkSpaces クライアントアプリケーションは、ネットワーク接続が一定時間内に回復した場合にセッションを自動的に再接続しようとします。デフォルトのセッション再開タイムアウトは 20 分ですが、ドメインのグループポリシー設定によって制御 WorkSpaces される の値を変更できます。

自動セッション再起動タイムアウト値を設定するには
  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数 に移動します。

  3. [Configure Session Automatic Reconnection Policy] 設定を開きます。

  4. [Configure Session Automatic Reconnection Policy] ダイアログボックスで [Enabled] を選択し、[Configure Session Automatic Reconnection Policy] オプションを必要なタイムアウト値(分単位)に設定して、[OK] を選択します。

  5. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、Amazon はローカルマイクからのデータのリダイレクト WorkSpaces をサポートしています。Windows で必要な場合は WorkSpaces、グループポリシー設定を使用してこの機能を無効にできます。

注記

でユーザーのローカルログオンを制限するグループポリシー設定がある場合 WorkSpaces、オーディオ入力は では機能しません WorkSpaces。そのグループポリシー設定を削除すると、 の次回の再起動後にオーディオ入力機能が有効になります WorkSpace。このグループポリシー設定の詳細については、Microsoft のドキュメントの「ローカルでのログオンを許可する」をご参照ください。

オーディオ入力リダイレクトを有効または無効にするには
  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数 に移動します。

  3. [Enable/disable audio in the PCoIP session] (PCoIP セッションでのオーディオ入力を有効/無効にする) 設定を開きます。

  4. [Enable/disable audio in the PCoIP session] (PCoIP セッションでのオーディオ入力を有効/無効にする) ダイアログボックスで、[Enabled] (有効) または [Disabled] (無効) を選択します。

  5. [OK] をクリックします。

  6. グループポリシー設定の変更は、 の次のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、Workspace 内の時間は、 への接続に使用されているクライアントのタイムゾーンを反映するように設定されています WorkSpace。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。

  • 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。

  • 特定のタイムゾーンで特定の時間に実行することを意図したタスク WorkSpace が にスケジュールされている。

  • 多くの旅行をしているユーザーは、一貫性と個人設定のために を 1 つのタイムゾーン WorkSpaces に保持したいと考えています。

Windows で必要な場合は WorkSpaces、グループポリシー設定を使用してこの機能を無効にできます。

タイムゾーンのリダイレクトを無効にするには
  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数 に移動します。

  3. [Configure timezone redirection] (タイムゾーンリダイレクトを構成) の設定を開きます。

  4. [Configure timezone redirection] (タイムゾーンリダイレクトを設定) ダイアログボックスで [Disabled] (無効) を選択します。

  5. [OK] をクリックします。

  6. グループポリシー設定の変更は、 の次回のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

  7. のタイムゾーンを希望のタイムゾーン WorkSpaces に設定します。

のタイムゾーン WorkSpaces は静的になり、クライアントマシンのタイムゾーンは反映されなくなりました。

PCoIP については、転送中のデータは、TLS 1.2 暗号化と SigV4 リクエスト署名を使用して暗号化されます。PCoIP プロトコルは、AES で暗号化された UDP トラフィックをストリーミングピクセルに使用します。ポート 4172 (TCP および UDP) を使用するストリーミング接続は、AES-128 および AES-256 暗号を使用して暗号化されますが、暗号化はデフォルトで 128 ビットとなります。このデフォルトを 256 ビットに変更するには、[Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) グループポリシー設定を使用します。

このグループポリシー設定を使用して、TLS セキュリティモードを変更し、特定の暗号スイートをブロックすることもできます。これらの設定とサポートされている暗号スイートの詳細については、[Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) グループポリシーダイアログボックスを参照してください。

PCoIP セキュリティ設定を構成するには
  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数 に移動します。

  3. [Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) の設定を開きます。

  4. [Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) ダイアログボックスで、[Enabled] (有効) を選択します。ストリーミングトラフィックのデフォルトの暗号化を 256 ビットに設定するには、[PCoIP Data Encryption Ciphers] (PCoIP データ暗号化暗号) オプションに移動し、[AES-256-GCM only] (AES-256-GCM のみ) を選択します。

  5. (オプション) TLS セキュリティモードの設定を調整し、ブロックする暗号スイートをリストします。これらの設定の詳細については、[Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) ダイアログボックスに表示される説明を参照してください。

  6. [OK] をクリックします。

  7. グループポリシー設定の変更は、 の次回のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

注記

Amazon WorkSpaces は現在、 YubiKey U2F の USB リダイレクトのみをサポートしています。他のタイプの USB デバイスもリダイレクトされる場合がありますが、それらはサポートされていないため、正常に動作しない可能性があります。

YubiKey U2F の USB リダイレクトを有効にするには
  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数 に移動します。

  3. [Enable/disable USB in the PCOIP session] (PCoIP セッションでの USB を有効/無効にする) 設定を開きます。

  4. [Enabled] (有効)、[OK] の順に選択します。

  5. [Configure PCoIP USB allowed and unallowed device rules] (PCoIP USB の許可および許可されないデバイスのルール設定) を開きます。

  6. [有効] を選択し、[USB 認証テーブルを入力 (最大 10 個のルール)] で、USB デバイスの許可リストルールを設定します。

    1. 承認ルール - 110500407。この値は、ベンダー ID (VID) と製品 ID (PID) の組み合わせです。VID/PID の組み合わせの形式は 1xxxxyyyy です。xxxx は 16 進形式の VID で、yyyy は 16 進形式の PID です。この例では、1050 が VID で、0407 が PID です。USB 値の詳細については、 YubiKey YubiKey 「USB ID 値」を参照してください。

  7. [USB 認証テーブルを入力 (最大 10 個のルール)] で、USB デバイスのブロックリストルールを設定します。

    1. [Unauthorization Rule] (非承認ルール) に、空の文字列を設定します。これは、承認リスト内の USB デバイスだけが許可されることを意味します。

    注記

    USB 承認ルールと USB 非承認ルールをそれぞれ最大 10 個定義することができます。複数のルールを区切るには、縦棒 (|) 文字を使用します。承認ルールと非承認ルールの詳細については、Teradici PCoIP Standard Agent for Windows を参照してください。

  8. [OK] をクリックします。

  9. グループポリシー設定の変更は、 の次回のグループポリシーの更新後 WorkSpace 、および WorkSpace セッションの再開後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • を再起動します WorkSpace (Amazon WorkSpaces コンソールで を選択し WorkSpace、アクション 再起動 WorkSpaces を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

設定が有効になると、USB デバイスルール設定で制限が設定され WorkSpaces ていない限り、サポートされているすべての USB デバイスは にリダイレクトできます。

Kerberos チケットの最大ライフタイムを設定する

Windows の「記憶」機能を無効にしていない場合 WorkSpaces、 WorkSpace ユーザーは「記憶」または WorkSpaces 「クライアントアプリケーションでログインしたまま」チェックボックスを使用して認証情報を保存できます。この機能により、ユーザーはクライアントアプリケーションの実行中に簡単に に接続できます WorkSpaces。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終了するまで安全にキャッシュに保存されます。

が AD Connector ディレクトリ WorkSpace を使用している場合は、Microsoft Windows ドキュメントの WorkSpaces 「ユーザーチケットの最大有効期間」の手順に従って、グループポリシーを通じてユーザーの Kerberos チケットの最大有効期間を変更できます。

[Remember Me] (このアカウントを記憶する) 機能を有効または無効にする方法については、ユーザーを対象とした WorkSpace の自己管理機能を有効にする を参照してください。

インターネットアクセス用のデバイスプロキシサーバー設定を構成する

デフォルトでは、 WorkSpaces クライアントアプリケーションは HTTPS (ポート 443) トラフィックのデバイスオペレーティングシステム設定で指定されたプロキシサーバーを使用します。Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポートを使用します。

注記

サインイン認証情報を使用した認証を必要とするプロキシサーバーはサポートされていません。

Microsoft ドキュメントの「デバイスプロキシとインターネット接続の設定の構成」の手順に従って、グループポリシー WorkSpaces を通じて Windows のデバイスプロキシサーバー設定を構成できます。 https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet

WorkSpaces Windows クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」の「プロキシサーバー」を参照してください。

WorkSpaces macOS クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」の「プロキシサーバー」を参照してください。

WorkSpaces Web Access クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」の「プロキシサーバー」を参照してください。

デスクトップトラフィックのプロキシ

PCoIP WorkSpaces の場合、デスクトップクライアントアプリケーションはプロキシサーバーの使用も、UDP のポート 4172 トラフィック (デスクトップトラフィック用) の TLS 復号化および検査もサポートしていません。ポート 4172 に直接接続する必要があります。

WSP の場合 WorkSpaces、 WorkSpaces Windows クライアントアプリケーション (バージョン 5.1 以降) と macOS クライアントアプリケーション (バージョン 5.4 以降) は、ポート 4195 TCP トラフィックの HTTP プロキシサーバーの使用をサポートします。TLS の復号および検査はサポートしていません。

WSP は、UDP 経由のデスクトップトラフィックに対するプロキシの使用をサポートしていません。TCP トラフィックのプロキシの使用をサポートしているのは、 WorkSpacesWindows および macOS デスクトップクライアントアプリケーションと WSP ウェブアクセスのみです。

注記

プロキシサーバーを使用することを選択した場合、クライアントアプリケーションが WorkSpaces サービスに対して行う API コールもプロキシされます。API コールとデスクトップトラフィックの両方が同じプロキシサーバーを通過する必要があります。

プロキシサーバーの使用に関する推奨事項

WorkSpaces デスクトップトラフィックでプロキシサーバーを使用することはお勧めしません。

Amazon WorkSpaces デスクトップトラフィックは既に暗号化されているため、プロキシによってセキュリティが強化されることはありません。プロキシを使用すると、ネットワークパスに余分なホップが発生してレイテンシーをもたらし、ストリーミング品質に影響する可能性があります。プロキシのサイズがデスクトップストリーミングトラフィックの処理に適切でない場合、プロキシによってスループットが低下する可能性もあります。さらに、ほとんどのプロキシは長時間実行される WebSocket (TCP) 接続をサポートするように設計されておらず、ストリーミングの品質と安定性に影響する可能性があります。

プロキシを使用する必要がある場合は、ストリーミングの品質と応答性に悪影響を及ぼす可能性のあるネットワークレイテンシーが発生しないように、プロキシサーバーを WorkSpaceクライアントにできるだけ近く、できれば同じネットワーク内に配置してください。

Amazon WorkSpaces for Zoom Meeting Media Plugin のサポートを有効にする

Active Directory への管理者アクセス許可を持つユーザーは、グループポリシーオブジェクト (GPO) を使用してレジストリキーを生成できます。これにより、ユーザーは強制更新を使用してドメイン WorkSpaces 内のすべての Windows にレジストリキーを送信できます。または、管理者権限を持つお客様は、ホストにレジストリキーを WorkSpaces個別にインストールすることもできます。

で Zoom を使用するための前提条件 WorkSpaces

サポートされている WorkSpaces クライアントバージョン: Windows: 5.4.0.xxxx 以降。

Windows WorkSpaces ホストでレジストリキーを作成する

Windows WorkSpaces ホストにレジストリキーを作成するには、以下の手順を実行します。Windows で Zoom を使用するには、レジストリキーが必要です WorkSpaces。

  1. 管理者として Windows レジストリエディタを開きます。

  2. \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Amazon に移動します。

  3. Extension キーが存在しない場合は、右クリックして [New] (新規) > [Key] (キー) を選択し、「Extension」という名前を付けます。

  4. 新しい Extension キーで右クリックし、[New] (新規) > [DWORD] を選択し、「enable」という名前を付けます。この名前は小文字にする必要があります。

  5. 新しい DWORD をクリックし、[Value] (値) を 1 に変更します。

  6. コンピュータを再起動してプロセスを完了します。

  7. WorkSpaces ホストで、最新の Zoom VDI クライアントをダウンロードしてインストールします。 WorkSpaces クライアント (5.4 以降) で、Amazon 用の最新の Zoom VDI クライアントプラグインをダウンロードしてインストールします WorkSpaces。詳細については、Zoom サポートウェブサイトの「VDI のリリースとダウンロード」を参照してください。

Zoom を起動してビデオ通話を開始します。

トラブルシューティング

Windows で Zoom のトラブルシューティングを行うには、次のアクションを実行します WorkSpaces。

  • レジストリキーがアクティブ化され、正しく適用されていることを確認します。

  • C:\ProgramData\Amazon\Amazon WorkSpaces Extension に移動します。wse_core_dll と表示されていることを確認します。

  • ホストとクライアントの間でバージョンが正しいこと、また一致していることを確認します。

それでも問題が解決しない場合は、 AWS Support センター AWS Support を使用して にお問い合わせください。

次の例を使用し、ディレクトリの管理者として GPO を適用できます。

WSE.adml:

<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions"> <!-- 'displayName' and 'description' don't appear anywhere. All Windows native GPO template files have them set like this. --> <displayName>enter display name here</displayName> <description>enter description here</description> <resources> <stringTable> <string id="SUPPORTED_ProductOnly">N/A</string> <string id="Amazon">Amazon</string> <string id="Amazon_Help">Amazon Group Policies</string> <string id="WorkspacesExtension">Workspaces Extension</string> <string id="WorkspacesExtension_Help">Workspace Extension Group Policies</string> <!-- Extension Itself --> <string id="ToggleExtension">Enable/disable Extension Virtual Channel</string> <string id="ToggleExtension_Help"> Allows two-way Virtual Channel data communication for multiple purposes By default, Extension is disabled.</string> </stringTable> </resources> </policyDefinitionResources>

WSE.admx

<?xml version="1.0" encoding="utf-8"?> <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions"> <policyNamespaces> <target prefix="WorkspacesExtension" namespace="Microsoft.Policies.Amazon.WorkspacesExtension" /> </policyNamespaces> <supersededAdm fileName="wse.adm" /> <resources minRequiredRevision="1.0" /> <supportedOn> <definitions> <definition name="SUPPORTED_ProductOnly" displayName="$(string.SUPPORTED_ProductOnly)"/> </definitions> </supportedOn> <categories> <category name="Amazon" displayName="$(string.Amazon)" explainText="$(string.Amazon_Help)" /> <category name="WorkspacesExtension" displayName="$(string.WorkspacesExtension)" explainText="$(string.WorkspacesExtension_Help)"> <parentCategory ref="Amazon" /> </category> </categories> <policies> <policy name="ToggleExtension" class="Machine" displayName="$(string.ToggleExtension)" explainText="$(string.ToggleExtension_Help)" key="Software\Policies\Amazon\Extension" valueName="enable"> <parentCategory ref="WorkspacesExtension" /> <supportedOn ref="SUPPORTED_ProductOnly" /> <enabledValue> <decimal value="1" /> </enabledValue> <disabledValue> <decimal value="0" /> </disabledValue> </policy> </policies> </policyDefinitions>