AppStream 2.0 でアクティブディレクトリの使用を開始する前に - Amazon AppStream 2.0

AppStream 2.0 でアクティブディレクトリの使用を開始する前に

AppStream 2.0 で Microsoft アクティブディレクトリドメインを使用する前に、次の要件と考慮事項に注意してください。

アクティブディレクトリドメイン環境

  • ストリーミングインスタンスを参加させる Microsoft アクティブディレクトリドメインが必要です。アクティブディレクトリドメインがない場合、またはオンプレミスのアクティブディレクトリ環境を使用する場合は、Active Directory Domain Services on the AWS Cloud: Quick Start Reference Deployment を参照してください。

  • AppStream 2.0 で使用するドメインでコンピュータオブジェクトを作成および管理するためのアクセス許可を持つドメインサービスアカウントが必要です。詳細については、Microsoft ドキュメントで「How to Create a Domain Account in Active Directory」を参照してください。

    このアクティブディレクトリドメインを AppStream 2.0 に関連付けるときは、サービスアカウント名とパスワードを入力します。AppStream 2.0 はこのアカウントを使用して、ディレクトリ内にコンピュータオブジェクトを作成して管理します。詳細については、「アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与」を参照してください。

  • AppStream 2.0 にアクティブディレクトリドメインを登録するときは、組織単位 (OU) 識別名を提供する必要があります。この目的のために OU を作成します。デフォルトのコンピュータコンテナは OU ではなく、AppStream 2.0 で使用することはできません。詳細については、「組織単位の識別子名を検索する」を参照してください。

  • AppStream 2.0 で使用予定のディレクトリは、完全修飾ドメイン名 (FQDN) を使用して、ストリーミングインスタンスを起動する Virtual Private Cloud (VPC) 経由でアクセスできる必要があります。詳細については、Microsoft ドキュメントの「Active Directory and Active Directory Domain Services Port Requirements」を参照してください。

ドメイン参加済みの AppStream 2.0 ストリーミングインスタンス

ドメイン参加済みの常時オンおよびオンデマンドフリートからのアプリケーションのストリーミングには SAML 2.0 ベースのユーザーフェデレーションが必要です。CreateStreamingURL または AppStream 2.0 ユーザープールを使用して、ドメイン参加済みインスタンスに対してセッションを起動することはできません。

また、Image Builder とフリートのアクティブディレクトリドメインへの参加をサポートするイメージを使用する必要があります。2017 年 7 月 24 日以降に公開されたすべてのパブリックイメージはアクティブディレクトリドメインへの参加をサポートします。詳細については、「AppStream 2.0 ベースイメージとマネージド型イメージの更新に関するリリースノート」および「チュートリアル: アクティブディレクトリのセットアップ」を参照してください。

注記

アクティブディレクトリドメインに参加させることができるのは、常時オンおよびオンデマンドフリートのストリーミングインスタンスのみです。

グループポリシー設定

次のグループポリシー設定の内容を確認します。AppStream 2.0 がドメインユーザーの認証とログインをブロックしないように、必要に応じて、次のセクションで説明するように設定を更新します。更新しないと、ユーザーが AppStream 2.0 にログインしようとしたときに、ログインに失敗する場合があります。「不明なエラーが発生しました」というエラーメッセージが表示される場合があります。

  • [Computer Configuration (コンピュータの構成)] > [Administrative Templates (管理用テンプレート)] > [Windows Components (Windows コンポーネント)] > [Windows Logon Options (Windows ログオンオプション)] > [Disable or Enable software Secure Attention Sequence (ソフトウェアの Secure Attention Sequence を無効または有効にする)] から、[Services (サービス)] に対して [Enabled (有効)] に設定する必要があります。

  • [Computer Configuration (コンピュータの構成)] > [Administrative Templates (管理用テンプレート)] > [System (システム)] > [Logon (ログオン)] > [Exclude credential providers (認証情報プロバイダーを除外する)] から、次の CLSID が一覧にないことを確認します。e7c1bab5-4b49-4e64-a966-8d99686f8c7c

  • [Computer Configuration (コンピュータの構成)] > [Policies (ポリシー)] > [Windows Settings (Windows 設定)] > [Security Settings (セキュリティ設定)] > [Local Policies (ローカルポリシー)] > [Security Options (セキュリティオプション)] > [Interactive Logon (対話型ログオン)] > [Interactive Logon (対話型ログオン)]: ログオンしようとしているユーザーへのメッセージテキストから、この値を [Not defined (未定義)] に設定します。

  • [Computer Configuration (コンピュータの構成)] > [Policies (ポリシー)] > [Windows Settings (Windows 設定)] > [Security Settings (セキュリティ設定)] > [Local Policies (ローカルポリシー)] > [Security Options (セキュリティオプション)] > [Interactive Logon (対話型ログオン)] > [Interactive Logon (対話型ログオン)]: ログオンしようとしているユーザーへのメッセージタイトルから、この値を [Not defined (未定義)] に設定します。

スマートカード認証

AppStream 2.0 では、アクティブディレクトリドメインパスワード、または AppStream 2.0 ストリーミングインスタンスへの Windows サインイン用の共通アクセスカード (CAC)個人識別検証 (PIV) スマートカードなどのスマートカードの使用をサポートしています。サードパーティーの証明機関 (CA) を使用してスマートカードサインインを有効にするようにアクティブディレクトリ環境を構成する詳細方法については、Microsoft ドキュメントの「Guidelines for enabling smart card logon with third-party certification authorities」を参照してください。

注記

AppStream 2.0 は、ユーザーがストリーミングインスタンスにサインインした後でのセッション内認証用のスマートカードの使用もサポートしています。この機能がサポートされるのは、Windows バージョン 1.1.257 以降向けの AppStream 2.0 クライアントをインストールしたユーザーのみです。その他の要件については、「スマートカード」を参照してください。