Personal のディレクトリを作成する WorkSpaces

Personal WorkSpaces では、 で管理されるディレクトリを使用できます。 AWS Directory Service は、 およびユーザーの情報を保存 WorkSpaces および管理します。以下は、 WorkSpaces Personal ディレクトリを作成するためのオプションです。

• Simple AD ディレクトリを作成します。

• を作成する AWS Directory Service for Microsoft Active Directory、別名 AWS Managed Microsoft AD。

• Active Directory Connector を使用して、既存の Active Directory に接続します。

• の間に信頼関係を作成する AWS Managed Microsoft AD ディレクトリとオンプレミスドメイン。

• 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成します。

• 専用のカスタム WorkSpaces ディレクトリを作成します。

コンピュータ名を特定する

Amazon WorkSpaces コンソール WorkSpace の に表示されるコンピュータ名値は、起動した のタイプ (Amazon Linux、Ubuntu、または Windows) WorkSpace によって異なります。のコンピュータ名は、次のいずれかの形式 WorkSpace になります。

• Amazon Linux: A-xxxxxxxxxxxxx

• Red Hat Enterprise Linux: R-xxxxxxxxxxxxx

• Ubuntu: U-xxxxxxxxxxxxx

• Windows : IP-Cxxxxxx または WSAMZN-xxxxxxx または EC2AMAZ-xxxxxxx

Windows の場合 WorkSpaces、コンピュータ名の形式はバンドルタイプによって決まります。パブリックバンドルまたはパブリックイメージに基づくカスタムバンドルから WorkSpaces 作成された場合は、パブリックイメージが作成された時点によって決まります。

2020 年 6 月 22 日以降、パブリックバンドルから WorkSpaces 起動された Windows の WSAMZN-xxxxxxx IP-C ではなくコンピュータ名の形式xxxxxx の形式で設定。

パブリックイメージに基づくカスタムバンドルの場合、パブリックイメージが 2020 年 6 月 22 日より前に作成された場合、コンピュータ名は EC2AMAZ- になります。xxxxxxx の形式で設定。パブリックイメージが 2020 年 6 月 22 日以降に作成された場合、コンピュータ名は WSAMZN- になります。xxxxxxx の形式で設定。

Bring Your Own License (BYOL) バンドルの場合は、 DESKTOP-xxxxxxx または EC2AMAZ-xxxxxxx 形式は、デフォルトでコンピュータ名に使用されます。

カスタムまたはBYOLバンドルのコンピュータ名にカスタム形式を指定した場合、カスタム形式はこれらのデフォルトを上書きします。カスタム形式を指定するには、 WorkSpaces Personal 用のカスタム WorkSpaces イメージとバンドルを作成するを参照してください。

重要

Windows システム設定を使用して WorkSpace のコンピュータ名を変更すると、 にアクセスできなくなります WorkSpace。

注記

• 共有ディレクトリは、現在 Amazon での使用はサポートされていません WorkSpaces。

• を設定した場合 AWS マルチリージョンレプリケーション用の Managed Microsoft AD ディレクトリでは、プライマリリージョンの ディレクトリのみを Amazon で使用するために登録できます WorkSpaces。Amazon で使用するレプリケートされたリージョンにディレクトリを登録しようとすると失敗 WorkSpaces します。を使用したマルチリージョンレプリケーション AWS Managed Microsoft AD は、レプリケートされたリージョン内の Amazon WorkSpaces での使用はサポートされていません。

• Simple AD および AD Connector は、 で無料で使用できます WorkSpaces。Simple AD または AD Connector ディレクトリで 30 日間連続して使用 WorkSpaces されていない場合、このディレクトリは Amazon で使用するために自動的に登録解除され WorkSpaces、 に従ってこのディレクトリに対して課金されます。 AWS Directory Service 料金条件 。

以下のチュートリアルでは、 WorkSpaces Personal ディレクトリを作成する方法を示します。

ディレクトリの作成を開始する前に

• WorkSpaces は、すべての リージョンで利用できるわけではありません。サポートされているリージョンを確認し、 のリージョンを選択します WorkSpaces。サポートされているリージョンの詳細については、「 によるWorkSpaces 料金」を参照してください。 AWS リージョン 。

• 少なくとも 2 つのプライベートサブネットを持つ Virtual Private Cloud を作成します。詳細については、「Personal 用の VPC WorkSpaces を設定する」を参照してください。VPC は、仮想プライベートネットワーク (VPN) 接続または AWS Direct Connect。 詳細については、「」の「AD Connector の前提条件」を参照してください。 AWS Directory Service 管理ガイド。

• からインターネットへのアクセスを提供します WorkSpace。詳細については、「 WorkSpaces Personal にインターネットアクセスを提供する」を参照してください。

を作成する AWS Managed Microsoft AD ディレクトリ

このチュートリアルでは、 を作成します。 AWS Managed Microsoft AD ディレクトリ。他のオプションを使用するチュートリアルについては、「Personal のディレクトリを作成する WorkSpaces 」を参照してください。

まず、 を作成します。 AWS Managed Microsoft AD ディレクトリ。 AWS Directory Service は 2 つのディレクトリサーバーを作成します。1 つは のプライベートサブネットごとに作成されますVPC。最初はディレクトリにユーザーがいないことに注意してください。を起動するときに、次のステップでユーザーを追加します WorkSpace。

注記

• 共有ディレクトリは、現在 Amazon での使用はサポートされていません WorkSpaces。

• の AWS Managed Microsoft AD ディレクトリはマルチリージョンレプリケーション用に設定されており、Amazon で使用できるのはプライマリリージョンのディレクトリのみです WorkSpaces。Amazon で使用するレプリケートされたリージョンにディレクトリを登録しようとすると失敗 WorkSpaces します。を使用したマルチリージョンレプリケーション AWS Managed Microsoft AD は、レプリケートされたリージョン内の Amazon WorkSpaces での使用はサポートされていません。

を作成するには AWS Managed Microsoft AD ディレクトリ

1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/。

2. ナビゲーションペインで [ディレクトリ] を選択します。

3. [Create directory] (ディレクトリの作成) を選択します。

4. ディレクトリの作成 ページで、 WorkSpaces タイプ に個人用 を選択します。次に、WorkSpace デバイス管理のために を選択します。 AWS Directory Service 。

5. ディレクトリの作成 を選択すると、 のディレクトリのセットアップページが開きます。 AWS Directory Service

6. 選択 AWS Managed Microsoft AD 、次に Next 。

7. 以下のようにディレクトリを設定します。

   1. 組織名 に、ディレクトリの一意の組織名 (例:) を入力します my-demo-directory。この名前は、長さが 4 文字以上で、英数字とハイフン（-）のみで構成され、ハイフン以外の文字で開始または終了している必要があります｡

   2. ディレクトリ DNSには、ディレクトリの完全修飾名 (workspaces.demo.com など) を入力します。

      重要

      の起動後にDNSサーバーを更新する必要がある場合は WorkSpaces、 WorkSpaces 「」の手順に従って WorkSpaces Personal のDNSサーバーを更新する、 が適切に更新されていることを確認します。

   3. NetBIOS name には、ディレクトリ (ワークスペースなど) の短縮名を入力します。

   4. [Admin password] と [Confirm Password] に､ディレクトリ管理者アカウントのパスワードを入力します。パスワード要件の詳細については、「 の作成」を参照してください。 AWS の Managed Microsoft AD Directory AWS Directory Service 管理ガイド。

   5. （オプション）[Description] に、ディレクトリの説明を入力します。

   6. でVPC、VPC作成した を選択します。

   7. サブネット で、2 つのプライベートサブネット ( CIDR ブロックと を含む10.0.2.0/24) 10.0.1.0/24 を選択します。

   8. ［Next Step］(次のステップ) をクリックします。

8. [Create directory] (ディレクトリの作成) を選択します。

9. WorkSpaces コンソールのディレクトリの作成ページに戻ります。ディレクトリの最初のステータスは Requested で､次に Creating となります。ディレクトリの作成が完了すると (これには数分かかる場合があります)、ステータスは Active になります。

を作成した後 AWS Managed Microsoft AD ディレクトリは、Amazon に登録できます WorkSpaces。詳細については、「既存の を登録する AWS Directory Service WorkSpaces 個人用の ディレクトリ」を参照してください

Simple AD ディレクトリを作成する

このチュートリアルでは、Simple AD を使用する を起動 WorkSpace します。他のオプションを使用するチュートリアルについては、「Personal のディレクトリを作成する WorkSpaces 」を参照してください。

注記

• Simple AD は、すべてのリージョンで利用できるわけではありません。サポートされているリージョンを確認し、Simple AD ディレクトリのリージョンを選択します。Simple AD でサポートされているリージョンの詳細については、「 のリージョンの可用性」を参照してください。 AWS Directory Service 。

• Simple AD は、 で無料で使用できます WorkSpaces。Simple AD ディレクトリで 30 日間連続して使用 WorkSpaces されていない場合、このディレクトリは Amazon で使用するために自動的に登録解除され WorkSpaces、 に従ってこのディレクトリに対して課金されます。 AWS Directory Service 料金条件 。

Simple AD ディレクトリを作成する場合。 AWS Directory Service は 2 つのディレクトリサーバーを作成します。1 つは のプライベートサブネットごとに作成されますVPC。最初はディレクトリにユーザーがいません。の作成後にユーザーを追加します WorkSpace。詳細については、「Personal WorkSpace で WorkSpaces を作成する」を参照してください

Simple AD ディレクトリを作成するには

1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/。

2. ナビゲーションペインで [ディレクトリ] を選択します。

3. [Create directory] (ディレクトリの作成) を選択します。

4. ディレクトリの作成 ページで、 WorkSpaces タイプ に個人用 を選択します。次に、WorkSpace デバイス管理のために を選択します。 AWS Directory Service 。

5. ディレクトリの作成 を選択すると、 のディレクトリのセットアップページが開きます。 AWS Directory Service

6. Simple AD を選択し、次に を選択します。

7. 以下のようにディレクトリを設定します。

   1. 組織名 に、ディレクトリの一意の組織名 (例:) を入力します my-example-directory。この名前は、長さが 4 文字以上で、英数字とハイフン（-）のみで構成され、ハイフン以外の文字で開始または終了している必要があります｡

   2. ディレクトリDNS名 には、ディレクトリの完全修飾名 (example.com など) を入力します。

      重要

      の起動後にDNSサーバーを更新する必要がある場合は WorkSpaces、 WorkSpaces 「」の手順に従って WorkSpaces Personal のDNSサーバーを更新する、 が適切に更新されていることを確認します。

   3. NetBIOS name には、ディレクトリの短縮名 (例: ) を入力します。

   4. [Admin password] と [Confirm Password] に､ディレクトリ管理者アカウントのパスワードを入力します。パスワード要件の詳細については、「」の「Microsoft AD ディレクトリの作成方法」を参照してください。 AWS Directory Service 管理ガイド。

   5. （オプション）[Description] に、ディレクトリの説明を入力します。

   6. [Directory size] (ディレクトリのサイズ) で、[Small] (スモール) を選択します。

   7. でVPC、VPC作成した を選択します。

   8. サブネット で、2 つのプライベートサブネット ( CIDR ブロックと を含む10.0.2.0/24) 10.0.1.0/24 を選択します。

   9. [Next (次へ)] を選択します。

8. [Create directory] (ディレクトリの作成) を選択します。

9. WorkSpaces コンソールのディレクトリの作成ページに戻ります。ディレクトリの最初のステータスは Requested で､次に Creating となります。ディレクトリの作成が完了すると (これには数分かかる場合があります)、ステータスは Active になります。

ディレクトリ作成時の動作

WorkSpaces は、ユーザーに代わって次のタスクを完了します。

• IAM ロールを作成して、 WorkSpaces サービスが Elastic Network Interface を作成し、 WorkSpaces ディレクトリを一覧表示できるようにします。そのロールには、workspaces_DefaultRole という名前が付きます。

• ユーザーとWorkSpace 情報の保存に使用される Simple AD ディレクトリVPCを にセットアップします。このディレクトリには、Administrator というユーザー名と指定されたパスワードを持つ管理者アカウントがあります。

• ディレクトリコントローラー用と ディレクトリ WorkSpaces 内の 用の 2 つのセキュリティグループを作成します。

Simple AD ディレクトリを作成したら、Amazon に登録できます WorkSpaces。詳細については、「既存の を登録する AWS Directory Service WorkSpaces 個人用の ディレクトリ」を参照してください

AD Connector を作成する

このチュートリアルでは、AD Connector を作成します。他のオプションを使用するチュートリアルについては、「Personal のディレクトリを作成する WorkSpaces 」を参照してください。

AD Connector を作成する

注記

AD Connector は、 で無料で使用できます WorkSpaces。AD Connector ディレクトリで 30 日間連続して使用 WorkSpaces されていない場合、このディレクトリは Amazon での使用のために自動的に登録解除され WorkSpaces、 に従ってこのディレクトリに対して課金されます。 AWS Directory Service 料金条件 。

空のディレクトリを削除するには、 WorkSpaces Personal のディレクトリを削除する を参照してください。AD Connector ディレクトリを削除すると、 WorkSpaces 使用を再開するときにいつでも新しいディレクトリを作成できます。

AD Connector を作成するには

1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/。

2. ナビゲーションペインで [ディレクトリ] を選択します。

3. [Create directory] (ディレクトリの作成) を選択します。

4. ディレクトリの作成 ページで、 WorkSpaces タイプ に個人用 を選択します。次に、WorkSpace デバイス管理では、 AWS Directory Service 。

5. ディレクトリの作成 を選択すると、 のディレクトリのセットアップページが開きます。 AWS Directory Service

6. 選択 AWS Managed Microsoft AD 、次に Next 。

7. 組織名 に、ディレクトリの一意の組織名 (例:) を入力します my-example-directory。この名前は、長さが 4 文字以上で、英数字とハイフン（-）のみで構成され、ハイフン以外の文字で開始または終了している必要があります｡

8. 接続済みディレクトリ DNSには、オンプレミスディレクトリの完全修飾名 (example.com など) を入力します。

9. 接続済みディレクトリの NetBIOS name には、オンプレミスディレクトリの短縮名 (例: ) を入力します。

10. [Connector account username] では、オンプレミスディレクトリにユーザーのユーザー名を入力します。ユーザーには、ユーザーとグループの読み取り、コンピュータオブジェクトの作成、コンピュータのドメインへの参加を許可する必要があります。

11. [Connector account password] (Connector アカウントのパスワード) と [Confirm password] (パスワードの確認) に、オンプレミスユーザーのパスワードを入力します。

12. DNS アドレス には、オンプレミスディレクトリに少なくとも 1 つのDNSサーバーの IP アドレスを入力します。

    重要

    の起動後にDNSサーバー IP アドレスを更新する必要がある場合は WorkSpaces、 WorkSpaces 「」の手順に従って WorkSpaces Personal のDNSサーバーを更新する、 が適切に更新されていることを確認します。

13. （オプション）[Description] に、ディレクトリの説明を入力します。

14. [Size] を [Small] のままにします｡

15. にはVPC、 を選択しますVPC。

16. [Subnet] で、サブネットを選択します。指定したDNSサーバーは、各サブネットからアクセス可能である必要があります。

17. [Create directory] (ディレクトリの作成) を選択します。

18. WorkSpaces コンソールのディレクトリの作成ページに戻ります。ディレクトリの最初のステータスは Requested で､次に Creating となります。ディレクトリの作成が完了すると (これには数分かかる場合があります)、ステータスは Active になります。

の間に信頼関係を作成する AWS Managed Microsoft AD ディレクトリとオンプレミスドメイン

このチュートリアルでは、 の間に信頼関係を作成します。 AWS Managed Microsoft AD ディレクトリとオンプレミスドメイン。他のオプションを使用するチュートリアルについては、「Personal のディレクトリを作成する WorkSpaces 」を参照してください。

注記

WorkSpaces での起動 AWS アカウント 別の信頼されたドメインの は、 と連携します。 AWS Managed Microsoft AD がオンプレミスディレクトリとの信頼関係で設定されている場合。ただし、Simple AD WorkSpaces または AD Connector を使用すると、信頼されたドメインのユーザー WorkSpaces に対して を起動することはできません。

信頼関係をセットアップするには

1. セットアップする AWS 仮想プライベートクラウド (VPC) 内の Managed Microsoft AD。詳細については、「 の作成」を参照してください。 AWS の Managed Microsoft AD ディレクトリ AWS Directory Service 管理ガイド。

   注記

   • 共有ディレクトリは、現在 Amazon での使用はサポートされていません WorkSpaces。

   • の AWS Managed Microsoft AD ディレクトリはマルチリージョンレプリケーション用に設定されており、Amazon で使用できるのはプライマリリージョンのディレクトリのみです WorkSpaces。Amazon で使用するレプリケートされたリージョンにディレクトリを登録しようとすると失敗 WorkSpaces します。を使用したマルチリージョンレプリケーション AWS Managed Microsoft AD は、レプリケートされたリージョン内の Amazon WorkSpaces での使用はサポートされていません。

2. の間に信頼関係を作成する AWS Managed Microsoft AD とオンプレミスドメイン。信頼が双方向の信頼として設定されていることを確認します。詳細については、「チュートリアル: 間の信頼関係を作成する」を参照してください。 AWS の Managed Microsoft AD とオンプレミスドメイン AWS Directory Service 管理ガイド。

一方向または双方向の信頼を使用して を管理および認証し WorkSpaces WorkSpaces 、 をオンプレミスのユーザーおよびグループにプロビジョニングできます。詳細については、「 で一方向信頼リソースドメインを使用して Amazon WorkSpaces をデプロイする」を参照してください。 AWS Directory Service 。

注記

• Red Hat Enterprise Linux と Ubuntu SSSDは、Active Directory 統合に System Security Services Daemon (SSSD) WorkSpaces を使用し、フォレストの信頼をサポートしていません。その代わりに外部信頼を設定してください。Amazon Linux、Ubuntu、Red Hat Enterprise Linux には双方向の信頼をお勧めします WorkSpaces。

• ウェブブラウザ (Web Access) を使用して Linux に接続することはできません WorkSpaces。

WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する

このチュートリアルでは、Microsoft Entra ID が参加して Microsoft Intune に登録 WorkSpaces されている Bring Your Own License (BYOL) Windows 10 および 11 Personal を作成します。このような を作成する前に WorkSpaces、まず Entra ID に参加している 専用の WorkSpaces Personal ディレクトリを作成する必要があります WorkSpaces。

注記

Microsoft Entra に参加している個人 WorkSpaces は、すべての で利用できます。 AWS アフリカ (ケープタウン）、イスラエル (テルアビブ）、中国 (寧夏) を除く Amazon が WorkSpaces 提供されている リージョン。

内容

• 概要
• 要件と制限
• ステップ 1: IAM Identity Center を有効にして Microsoft Entra ID と同期する
• ステップ 2: Microsoft Entra ID アプリケーションを登録して Windows Autopilot のアクセス許可を付与する
• ステップ 3: Windows Autopilot ユーザー主導モードを設定する
• ステップ 4: を作成する AWS Secrets Manager シークレット
• ステップ 5: 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成する
• WorkSpaces ディレクトリの IAM Identity Center アプリケーションを設定する (オプション）

概要

Microsoft Entra ID の個人用 WorkSpaces ディレクトリには、Microsoft Entra ID で管理 WorkSpaces されているユーザーに割り当てられた Microsoft Entra ID に参加している を起動するために必要なすべての情報が含まれています。ユーザー情報は、 WorkSpaces を通じて で利用できるようになります。 AWS IAM Identity Center。これは、従業員 ID を Entra ID から に持ち込むための ID ブローカーとして機能します。 AWS。 Microsoft Windows Autopilot ユーザー駆動モードは、Intune WorkSpaces 登録と Entra 結合を実行するために使用されます。次の図は、Autopilot プロセスを示しています。

要件と制限

• Microsoft Entra ID P1 プラン以上。

• Microsoft Entra ID と Intune は有効になっており、ロールの割り当てがあります。

• Intune 管理者 - Autopilot デプロイプロファイルを管理するために必要です。

• グローバル管理者 - ステップ 3 で作成したアプリケーションに割り当てられたAPIアクセス許可に対する管理者の同意を付与するために必要です。アプリケーションは、このアクセス許可なしで作成できます。ただし、グローバル管理者は、アプリケーションのアクセス許可について管理者の同意を提供する必要があります。

• Windows 10 または 11 を Entra ID に参加できるように WorkSpaces 、VDAE3/E5 ユーザーサブスクリプションライセンスをユーザーに割り当てます。

• Entra ID ディレクトリは、Windows 10 または 11 Bring Your Own License Personal のみをサポートします WorkSpaces。サポートされているバージョンは次のとおりです。

  • Windows 10 バージョン 21H2 (2021 年 12 月更新)

  • Windows 10 バージョン 22H2 (2022 年 11 月更新)

  • Windows 11 Enterprise 23H2 (2023 年 10 月リリース）

  • Windows 11 Enterprise 22H2 (2022 年 10 月リリース）

• の Bring Your Own License (BYOL) が有効になっている AWS アカウントで、有効な Windows 10 または 11 BYOLイメージがアカウントにインポートされている。詳細については、「で独自の Windows デスクトップライセンスを使用する WorkSpaces」を参照してください。

• Microsoft Entra ID ディレクトリは、Windows 10 または 11 のBYOL個人用 のみをサポートします WorkSpaces。

• Microsoft Entra ID ディレクトリはWSPプロトコルのみをサポートします。

ステップ 1: IAM Identity Center を有効にして Microsoft Entra ID と同期する

Microsoft Entra ID に参加している個人を作成して Entra ID ユーザー WorkSpaces に割り当てるには、ユーザー情報を で利用できるようにする必要があります。 AWS IAM Identity Center 経由。IAM Identity Center が推奨されます AWS へのユーザーアクセスを管理するための サービス AWS リソースの使用料金を見積もることができます。詳細については、IAM「Identity Center とは」を参照してください。これは 1 回限りのセットアップです。

注記

WorkSpaces Personal ディレクトリとそれに関連付けられた IAM Identity Center インスタンスは、同じ にある必要があります AWS リージョン。

1. で IAM Identity Center を有効にする AWS 特にマルチアカウント環境を使用している場合は、組織。IAM Identity Center のアカウントインスタンスを作成することもできます。詳細については、「 の有効化」を参照してください。 AWS IAM Identity Center 。各 WorkSpaces ディレクトリは、1 つの IAM Identity Center インスタンス、組織、またはアカウントに関連付けることができます。

   組織インスタンスを使用していて、メンバーアカウントの 1 つに WorkSpaces ディレクトリを作成しようとする場合は、次の IAM Identity Center アクセス許可があることを確認してください。

   • "sso:DescribeInstance"

   • "sso:CreateApplication"

   • "sso:PutApplicationGrant"

   • "sso:PutApplicationAuthenticationMethod"

   • "sso:DeleteApplication"

   • "sso:DescribeApplication"

   • "sso:getApplicationGrant"

   詳細については、IAM「Identity Center リソースへのアクセス許可の管理の概要」を参照してください。また、サービスコントロールポリシー (SCPs) がこれらのアクセス許可をブロックしていないことを確認してください。の詳細についてはSCPs、「サービスコントロールポリシー (SCPs）」を参照してください。

2. IAM Entra ID テナントから選択したユーザーまたはすべてのユーザーを Identity Center インスタンスに自動的に同期するように IAM Identity Center と Microsoft Entra ID を設定します。詳細については、「Microsoft Entra ID SAMLと IAM Identity Center SCIMを使用した と の設定」および「チュートリアル: 設定」を参照してください。 AWS IAM の自動ユーザープロビジョニングのための Identity Center。

3. Microsoft Entra ID で設定したユーザーが に正しく同期されていることを確認します。 AWS IAM Identity Center インスタンス。Microsoft Entra ID から「リクエストが解析不能、構文的に正しくない、またはスキーマに違反している」というエラーメッセージが表示された場合は、Entra ID のユーザーが IAM Identity Center がサポートしていないように設定されていることを示します。例えば、Entra ID のユーザーオブジェクトには、名、姓、および/または表示名がありません。詳細については、「特定のユーザーが外部SCIMプロバイダー から IAM Identity Center への同期に失敗する」を参照してください。

注記

WorkSpaces は Entra ID UserPrincipalName （UPN) 属性を使用して個々のユーザーを識別します。その制限は次のとおりです。

• UPNs は 63 文字を超えることはできません。

• WorkSpace をユーザーに割り当てUPNた後に を変更した場合、 を以前の状態に戻さない限り、ユーザーは WorkSpace UPNに接続できません。

ステップ 2: Microsoft Entra ID アプリケーションを登録して Windows Autopilot のアクセス許可を付与する

WorkSpaces Personal は、Microsoft Windows Autopilot ユーザー駆動型モードを使用して Microsoft Intune WorkSpaces に登録し、Microsoft Entra ID に結合します。

Amazon WorkSpaces が WorkSpaces Personal を Autopilot に登録できるようにするには、必要な Microsoft Graph アクセスAPI許可を付与する Microsoft Entra ID アプリケーションを登録する必要があります。Entra ID アプリケーションの登録の詳細については、「クイックスタート: Microsoft ID プラットフォーム にアプリケーションを登録する」を参照してください。

Entra ID アプリケーションで次のAPIアクセス許可を付与することをお勧めします。

• Entra ID に参加 WorkSpace する必要がある新しい個人を作成するには、次のAPIアクセス許可が必要です。

  • DeviceManagementServiceConfig.ReadWrite.All

• 個人用を終了 WorkSpace したり、再構築したりすると、次のアクセス許可が使用されます。

  注記

  これらのアクセス許可を指定しない場合、 WorkSpace は終了しますが、Intune および Entra ID テナントからは削除されないため、個別に削除する必要があります。

  • DeviceManagementServiceConfig.ReadWrite.All

  • Device.ReadWrite.All

  • DeviceManagementManagedDevices.ReadWrite.All

• これらのアクセス許可には管理者の同意が必要です。詳細については、「テナント全体の管理者にアプリケーション への同意を付与する」を参照してください。

次に、Entra ID アプリケーションのクライアントシークレットを追加する必要があります。詳細については、「認証情報の追加」を参照してください。クライアントシークレット文字列は、 の作成時に必要になるため、必ず覚えておいてください。 AWS Secrets Manager ステップ 4 の シークレット。

ステップ 3: Windows Autopilot ユーザー主導モードを設定する

Intune の Windows Autopilot ユーザー主導の Microsoft Entra 参加に関するステップバイステップのチュートリアルに精通していることを確認してください。

Microsoft Intune for Autopilot を設定するには

1. Microsoft Intune 管理センターにサインインする

2. 個人用の 用に新しい Autopilot デバイスグループを作成します WorkSpaces。詳細については、「Windows Autopilot 用のデバイスグループを作成する」を参照してください。

   1. グループ 、新しいグループを選択する

   2. [Group type] (グループの種類) で、[Security] (セキュリティ) を選択します。

   3. メンバーシップタイプ で、動的デバイス を選択します。

   4. 動的クエリの編集 を選択して、動的メンバーシップルールを作成します。ルールは次の形式である必要があります。

      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))

      重要

      WorkSpacesDirectoryName は、ステップ 5 で作成した Entra ID WorkSpaces Personal ディレクトリのディレクトリ名と一致する必要があります。これは、 が仮想デスクトップを Autopilot に登録するときに WorkSpaces 、ディレクトリ名の文字列がグループタグとして使用されるためです。さらに、グループタグは Microsoft Entra デバイスの OrderID 属性にマッピングされます。

3. デバイス 、Windows 、登録 を選択します。登録オプション で、自動登録 を選択します。MDM ユーザースコープ で、すべて を選択します。

4. Autopilot デプロイプロファイルを作成します。詳細については、「Autopilot デプロイプロファイルの作成」を参照してください。

   1. Windows Autopilot で、デプロイプロファイル 、プロファイルの作成 を選択します。

   2. Windows Autopilot デプロイプロファイル画面で、プロファイルの作成ドロップダウンメニューを選択し、Windows PC を選択します。

   3. 「プロファイルの作成」画面の「O ut-of-box エクスペリエンス (OOBE）」ページ。デプロイモード で、ユーザー主導の を選択します。Microsoft Entra ID に参加 で、Microsoft Entra 参加 を選択します。Entra ID に参加している個人のコンピュータ名をカスタマイズするには、「デバイス名の適用」テンプレート WorkSpaces を選択し、登録時にデバイスに名前を付けるときに使用するテンプレートを作成します。

   4. 「割り当て」ページの「 に割り当てる」で、「選択したグループ」を選択します。を含めるグループを選択を選択し、2 で作成した Autopilot デバイスグループを選択します。

ステップ 4: を作成する AWS Secrets Manager シークレット

でシークレットを作成する必要があります AWS Secrets Manager で作成した Entra ID アプリケーションのアプリケーション ID やクライアントシークレットなどの情報を安全に保存する ステップ 2: Microsoft Entra ID アプリケーションを登録して Windows Autopilot のアクセス許可を付与する。これは 1 回限りのセットアップです。

を作成するには AWS Secrets Manager シークレット

1. でカスタマーマネージドキーを作成する AWS Key Management Service。 キーは後で の暗号化に使用されます。 AWS Secrets Manager シークレット。サービスではデフォルトキーにアクセスできないため、デフォルトキーを使用してシークレットを暗号化しないでください WorkSpaces 。以下の手順に従ってキーを作成します。

   1. を開く AWS KMS https://console.aws.amazon.com/kms の コンソール。

   2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

   3. [Create key] (キーの作成) を選択します。

   4. 「キーの設定」ページの「キータイプ」で「対称」を選択します。キーの使用状況 で、暗号化と復号 を選択します。

   5. レビューページのキーポリシーエディタで、キーポリシーに次のworkspaces.amazonaws.comアクセス許可を含めることで、 WorkSpaces サービスのプリンシパルにキーへのアクセスを許可していることを確認します。

      {
          "Effect": "Allow",
          "Principal": {
              "Service": [
                  "workspaces.amazonaws.com"
              ]
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey"
          ],
          "Resource": "*"
       }

2. でシークレットを作成する AWS Secrets Managerを使用した AWS KMS 前のステップで作成した キー。

   1. で Secrets Manager コンソールを開きますhttps://console.aws.amazon.com/secretsmanager/。

   2. [新しいシークレットを保存] を選択します。

   3. [シークレットタイプの選択] ページの[シークレットタイプ] で[その他のシークレットタイプ] を選択します。

   4. キーと値のペア の場合、キーボックスに「application_id」と入力し、ステップ 2 の Entra ID アプリケーション ID をコピーして値ボックスに貼り付けます。

   5. 「行を追加」を選択し、キーボックスに「application_password」と入力し、ステップ 2 から Entra ID アプリケーションクライアントのシークレットをコピーして、値ボックスに貼り付けます。

   6. [ AWS KMS 暗号化キードロップダウンリストから前のステップで作成した キー。

   7. [Next (次へ)] を選択します。

   8. シークレットの設定ページで、シークレット名 と説明 を入力します。

   9. 「リソースのアクセス許可」セクションで、「アクセス許可の編集」を選択します。

   10. リソースworkspaces.amazonaws.comのアクセス許可に次のリソースポリシーを含めることで、 WorkSpaces サービスのプリンシパルがシークレットにアクセスできるようにします。

       {
         "Version" : "2012-10-17",
         "Statement" : [ {
           "Effect" : "Allow",
           "Principal" : {
             "Service" : [ "workspaces.amazonaws.com"]
           },
           "Action" : "secretsmanager:GetSecretValue",
           "Resource" : "*"
         } ]
       }

ステップ 5: 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成する

Microsoft Entra ID に参加しているユーザー WorkSpaces と Entra ID ユーザーの情報を保存する専用 WorkSpaces ディレクトリを作成します。

Entra ID WorkSpaces ディレクトリを作成するには

1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/。

2. ナビゲーションペインで [ディレクトリ] を選択します。

3. ディレクトリの作成 ページで、 WorkSpaces タイプ に個人用 を選択します。WorkSpace デバイス管理 で、Microsoft Entra ID を選択します。

4. Microsoft Entra テナント ID には、ディレクトリの WorkSpace 参加先となる Microsoft Entra ID テナント ID を入力します。ディレクトリの作成後にテナント ID を変更することはできません。

5. Entra ID アプリケーション ID とパスワード で、 AWS Secrets Manager ステップ 4 で作成したシークレットをドロップダウンリストから作成します。ディレクトリの作成後にディレクトリに関連付けられたシークレットを変更することはできません。ただし、Entra ID アプリケーション ID とそのパスワードを含むシークレットのコンテンツは、 を通じていつでも更新できます。 AWS Secrets Manager の コンソールhttps://console.aws.amazon.com/secretsmanager/。

6. ユーザー ID ソース で、ステップ 1 で設定した IAM Identity Center インスタンスをドロップダウンリストから選択します。 https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1ディレクトリの作成後に、ディレクトリに関連付けられた IAM Identity Center インスタンスを変更することはできません。

7. ディレクトリ名 には、ディレクトリの一意の名前を入力します (例: WorkSpacesDirectoryName）。

   重要

   ディレクトリ名は、ステップ 3 で Microsoft Intune で作成した Autopilot デバイスグループの動的クエリの構築OrderIDに使用した と一致する必要があります。ディレクトリ名の文字列は、個人を WorkSpaces Windows Autopilot に登録するときにグループタグとして使用されます。グループタグは、Microsoft Entra デバイスの OrderID 属性にマッピングされます。

8. （オプション）[Description] に、ディレクトリの説明を入力します。

9. VPC でVPC、 の起動に使用した を選択します WorkSpaces。詳細については、「Personal 用の VPC WorkSpaces を設定する」を参照してください。

10. サブネット で、同じアベイラビリティーゾーンからVPCではない のサブネットを 2 つ選択します。これらのサブネットは、個人用の を起動するために使用されます WorkSpaces。詳細については、「 WorkSpaces Personal のアベイラビリティーゾーン」を参照してください。

    重要

    サブネットで WorkSpaces 起動された にインターネットアクセスがあることを確認します。これは、ユーザーが Windows デスクトップにログインするときに必要です。詳細については、「 WorkSpaces Personal にインターネットアクセスを提供する」を参照してください。

11. 設定 で、専用 を有効にする WorkSpaceを選択します。Bring Your Own License (BYOL) Windows 10 または 11 Personal を起動する専用の WorkSpaces Personal ディレクトリを作成するには、このディレクトリを有効にする必要があります WorkSpaces。

    注記

    設定 に専用を有効にする WorkSpaceオプションが表示されない場合、アカウントは に対して有効になっていませんBYOL。アカウントBYOLで を有効にするには、「」を参照してくださいで独自の Windows デスクトップライセンスを使用する WorkSpaces。

12. （オプション) タグ で、 ディレクトリ WorkSpaces で個人用に使用するキーペアの値を指定します。

13. ディレクトリの概要を確認し、ディレクトリの作成 を選択します。ディレクトリが接続されるには数分かかります。ディレクトリの最初のステータスは Creating です。ディレクトリの作成が完了すると、ステータスが Active に変わります。

また、ディレクトリが作成されると、ユーザーに代わって IAM Identity Center アプリケーションが自動的に作成されます。アプリケーションの を検索するには、ディレクトリの概要ページARNに移動します。

ディレクトリを使用して、Microsoft Intune WorkSpaces に登録され、Microsoft Entra ID に参加している Windows 10 または 11 の個人を起動できるようになりました。詳細については、「Personal WorkSpace で WorkSpaces を作成する」を参照してください。

Personal WorkSpaces ディレクトリを作成したら、個人用 を作成できます WorkSpace。詳細については、「Personal WorkSpace で WorkSpaces を作成する」を参照してください

WorkSpaces ディレクトリの IAM Identity Center アプリケーションを設定する (オプション）

ディレクトリが作成されると、対応する IAM Identity Center アプリケーションが自動的に作成されます。アプリケーションの は、ディレクトリの詳細ページの「概要」セクションARNにあります。デフォルトでは、Identity Center インスタンスのすべてのユーザーは、対応する Identity Center アプリケーションを設定 WorkSpaces せずに、割り当てられた にアクセスできます。ただし、IAMIdentity Center アプリケーションのユーザー割り当てを設定することで、ディレクトリ WorkSpaces 内の へのユーザーアクセスを管理できます。

IAM Identity Center アプリケーションのユーザー割り当てを設定するには

1. でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/。

2. リポジトリの []AWS マネージドアプリケーションタブで、 WorkSpaces ディレクトリのアプリケーションを選択します。アプリケーション名は の形式です。ここでWorkSpaces.wsd-xxxxx、 wsd-xxxxxは WorkSpaces ディレクトリ ID です。

3. アクション 、詳細の編集 を選択します。

4. ユーザーとグループの割り当て方法を「割り当てを必要としない」から「割り当てを要求する」に変更します。

5. [Save changes] (変更の保存) をクリックします。

この変更を行うと、Identity Center インスタンスのユーザーは、アプリケーションに割り当てられ WorkSpaces ていない限り、割り当てにアクセスできなくなります。ユーザーをアプリケーションに割り当てるには、 を使用します。 AWS CLI ユーザーまたはグループcreate-application-assignmentをアプリケーションに割り当てる コマンド。詳細については、『』を参照してください。AWS CLI コマンドリファレンス 。

Personal で専用のカスタムディレクトリを作成する WorkSpaces

Windows 10 および 11 のBYOL個人用 を作成してユーザー WorkSpaces に割り当てる前に、 で管理します。 AWS IAM Identity Center Identity Providers (IdPs) では、専用のカスタム WorkSpaces ディレクトリを作成する必要があります。Personal WorkSpaces は Microsoft Active Directory に参加していませんが、 などの任意のモバイルデバイス管理 (MDM) ソリューションで管理できます JumpCloud。の詳細については JumpCloud、この記事「」を参照してください。他のオプションを使用するチュートリアルについては、「Personal のディレクトリを作成する WorkSpaces 」を参照してください。

注記

• Amazon WorkSpaces は、カスタムディレクトリで WorkSpaces 起動された個人用のユーザーアカウントを作成または管理することはできません。管理者として、管理する必要があります。

• カスタム WorkSpaces ディレクトリはすべての で使用できます。 AWS アフリカ (ケープタウン）、イスラエル (テルアビブ）、中国 (寧夏) を除く Amazon が WorkSpaces 提供されている リージョン。

• Amazon WorkSpaces は、カスタムディレクトリ WorkSpaces を使用して でユーザーアカウントを作成または管理することはできません。使用するMDMエージェントソフトウェアが Windows でユーザープロファイルを作成できるようにするには WorkSpaces、MDMソリューションプロバイダーにお問い合わせください。ユーザープロファイルを作成すると、ユーザーは Windows ログイン画面から Windows デスクトップにサインインできます。

内容

• 要件と制限
• ステップ 1: IAM Identity Center を有効にして ID プロバイダーに接続する
• ステップ 2: 専用のカスタム WorkSpaces ディレクトリを作成する

要件と制限

• カスタム WorkSpaces ディレクトリは、Windows 10 または 11 Bring Your Own License Personal のみをサポートします WorkSpaces。

• カスタム WorkSpaces ディレクトリはWSPプロトコルのみをサポートします。

• BYOL で を有効にしていることを確認します。 AWS アカウントと独自の を持っている AWS KMS Windows 10 WorkSpaces および 11 のアクティベーションのために個人がアクセスできる サーバー。詳細については、「で独自の Windows デスクトップライセンスを使用する WorkSpaces」を参照してください。

• にインポートしたBYOLイメージにMDMエージェントソフトウェアをプリインストールしていることを確認します。 AWS アカウント。

ステップ 1: IAM Identity Center を有効にして ID プロバイダーに接続する

ID プロバイダーで管理されているユーザーに WorkSpaces を割り当てるには、ユーザー情報を で利用できるようにする必要があります。 AWS から AWS IAM Identity Center。IAM Identity Center を使用して、 へのユーザーのアクセスを管理することをお勧めします。 AWS リソースの使用料金を見積もることができます。詳細については、IAM「Identity Center とは」を参照してください。これは 1 回限りのセットアップです。

ユーザー情報を で利用できるようにするには AWS

1. で IAM Identity Center を有効にする AWS。 で IAM Identity Center を有効にできます。 AWS 特にマルチアカウント環境を使用している場合は、 組織。IAM Identity Center のアカウントインスタンスを作成することもできます。詳細については、「 の有効化」を参照してください。 AWS IAM Identity Center 。各 WorkSpaces ディレクトリは、1 つの IAM Identity Center 組織またはアカウントインスタンスに関連付けることができます。各 IAM Identity Center インスタンスは、1 つ以上の WorkSpaces Personal ディレクトリに関連付けることができます。

   組織インスタンスを使用していて、メンバーアカウントの 1 つに WorkSpaces ディレクトリを作成しようとする場合は、次の IAM Identity Center アクセス許可があることを確認してください。

   • "sso:DescribeInstance"

   • "sso:CreateApplication"

   • "sso:PutApplicationGrant"

   • "sso:PutApplicationAuthenticationMethod"

   • "sso:DeleteApplication"

   • "sso:DescribeApplication"

   • "sso:getApplicationGrant"

   詳細については、IAM「Identity Center リソースへのアクセス許可の管理の概要」を参照してください。サービスコントロールポリシー (SCPs) がこれらのアクセス許可をブロックしていないことを確認します。の詳細についてはSCPs、「サービスコントロールポリシー (SCPs）」を参照してください。

2. IAM Identity Center と Identity Provider (IdP ) を設定して、IdP から IAM Identity Center インスタンスにユーザーを自動的に同期させます。詳細については、「入門チュートリアル」を参照し、使用する IdP の特定のチュートリアルを選択します。例えば、IAMIdentity Center を使用して JumpCloud ディレクトリプラットフォーム に接続します。

3. IdP で設定したユーザーが に正しく同期されていることを確認します。 AWS IAM Identity Center インスタンス。IdP の設定によっては、最初の同期に最大 1 時間かかる場合があります。

ステップ 2: 専用のカスタム WorkSpaces ディレクトリを作成する

個人 WorkSpaces とユーザーに関する情報を保存する専用の WorkSpaces Personal ディレクトリを作成します。

専用のカスタム WorkSpaces ディレクトリを作成するには

1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/。

2. ナビゲーションペインで [ディレクトリ] を選択します。

3. [Create directory] (ディレクトリの作成) を選択します。

4. ディレクトリの作成ページの WorkSpacesタイプで、個人用 を選択します。WorkSpace デバイス管理 で、カスタム を選択します。

5. ユーザー ID ソース で、ステップ 1 で設定した IAM Identity Center インスタンスをドロップダウンリストから選択します。 ディレクトリが作成されると、ディレクトリに関連付けられた IAM Identity Center インスタンスを変更することはできません。

   注記

   ディレクトリに IAM Identity Center インスタンスを指定する必要があります。指定しないと、 WorkSpaces コンソールを使用してディレクトリ WorkSpaces で個人用を起動できません。Identity Center が関連付けられていない WorkSpaces ディレクトリは、 WorkSpaces Core パートナーソリューションとのみ互換性があります。

6. ディレクトリ名 に、ディレクトリの一意の名前を入力します。

7. VPC でVPC、 の起動に使用した を選択します WorkSpaces。詳細については、「Personal 用の VPC WorkSpaces を設定する」を参照してください。

8. サブネット で、同じアベイラビリティーゾーンからVPCではない のサブネットを 2 つ選択します。これらのサブネットは、個人用の を起動するために使用されます WorkSpaces。詳細については、「 WorkSpaces Personal のアベイラビリティーゾーン」を参照してください。

   重要

   サブネットで WorkSpaces 起動された にインターネットアクセスがあることを確認します。これは、ユーザーが Windows デスクトップにログインするときに必要です。詳細については、「 WorkSpaces Personal にインターネットアクセスを提供する」を参照してください。

9. 設定 で、専用 を有効にする WorkSpaceを選択します。Bring Your Own License (BYOL) Windows 10 または 11 Personal を起動する専用の WorkSpaces Personal ディレクトリを作成するには、このディレクトリを有効にする必要があります WorkSpaces。

10. （オプション) タグ で、 ディレクトリ WorkSpaces で個人用に使用するキーペアの値を指定します。

11. ディレクトリの概要を確認し、ディレクトリの作成 を選択します。ディレクトリが接続されるには数分かかります。ディレクトリの最初のステータスは Creating です。ディレクトリの作成が完了すると、ステータスが Active に変わります。

また、ディレクトリが作成されると、ユーザーに代わって IAM Identity Center アプリケーションが自動的に作成されます。アプリケーションの を検索するには、ディレクトリの概要ページARNに移動します。

ディレクトリを使用して、Microsoft Intune WorkSpaces に登録され、Microsoft Entra ID に参加している Windows 10 または 11 の個人を起動できるようになりました。詳細については、「Personal WorkSpace で WorkSpaces を作成する」を参照してください。

Personal WorkSpaces ディレクトリを作成したら、個人用 を作成できます WorkSpace。詳細については、「Personal WorkSpace で WorkSpaces を作成する」を参照してください

空のディレクトリを削除するには、 WorkSpaces Personal のディレクトリを削除する を参照してください。Simple AD または AD Connector ディレクトリを削除すると、 WorkSpaces 使用を再開するときにいつでも新しいディレクトリを作成できます。