Amazon での AWS AD Connector のロール WorkSpaces

AWS AD Connector は、Active AWS Directory のプロキシサービスとして機能する Directory Service です。ユーザーの認証情報は保存またはキャッシュされませんが、認証またはルックアップリクエストをオンプレミスまたは 上の Active Directory に転送します AWS。を使用していない限り AWS Managed Microsoft AD、Amazon () で使用するために Active Directory (オンプレミスまたは に拡張 AWS) を登録する唯一の方法でもあります WorkSpaces WorkSpaces。

AD Connector は、オンプレミスの Active Directory、 AWS (Amazon EC2 の AD ドメインコントローラー) に拡張された Active Directory、または を指すことができます AWS Managed Microsoft AD。

AD Connector は、以下のセクションで説明するほとんどのデプロイシナリオで重要な役割を果たします。で AD Connector を使用すると、次のような多くの利点 WorkSpaces があります。

• 会社の Active Directory を指すと、ユーザーは既存の会社の認証情報を使用して、 WorkSpaces や Amazon WorkDocs などの他の サービスにログオンできます。

• 既存のセキュリティポリシー (パスワードの有効期限、アカウントロックアウトなど) は、ユーザーがオンプレミスインフラストラクチャや などの のリソースにアクセスするかどうかにかかわらず AWS クラウド、一貫して適用できます WorkSpaces。

• AD Connector を使用すると、既存の RADIUS ベースの MFA インフラストラクチャと簡単に統合して、セキュリティをさらに強化できます。

• これにより、ユーザーの分離が可能になります。例えば、複数の AD Connector がユーザー認証のために Active Directory の同じドメインコントローラー (DNS サーバー) を指す可能性があるため、ビジネスユニットまたはペルソナごとに多数の WorkSpaces オプションを設定できます。

  • Active Directory グループポリシーオブジェクト (GPOsのターゲットアプリケーション用のターゲットドメインまたは組織単位

  • との間のトラフィックフローを制御するさまざまなセキュリティグループ WorkSpaces

  • さまざまなアクセスコントロールオプション (許可されたクライアントデバイス) と IP アクセスコントロールグループ (IP 範囲へのアクセスの制限）

  • ローカル管理者権限の選択的な有効化

  • さまざまなセルフサービスアクセス許可

  • Multi-Factor Authentication (MFA)の選択的な強制

  • 分離のための異なる VPCs またはサブネットへの WorkSpaces Elastic Network Interface (ENI) の配置

複数の AD Connector では、単一の小規模または大規模な AD Connector のパフォーマンス制限に達した場合、より多くのユーザーをサポートすることもできます。詳細については、のサイジング AWS Managed Microsoft AD「」セクションを参照してください。

で AD Connector を使用すること WorkSpaces は、小規模な AD Connector に 1 人以上のアクティブ WorkSpaces ユーザーがあり、大規模な AD Connector に 100 人以上のアクティブ WorkSpaces ユーザーがいれば、料金はかかりません。詳細については、AWS 「ディレクトリサービスの料金」ページを参照してください。

オンプレミスのアクティブディレクトリ AWS を使用した へのネットワークリンクの重要性

WorkSpaces は Active Directory への接続に依存しています。したがって、Active Directory へのネットワークリンクの可用性が最も重要です。例えば、シナリオ 1 のネットワークリンクがダウンしている場合、ユーザーは認証できず、その結果 を使用できなくなります WorkSpaces。

シナリオの一部としてオンプレミスの Active Directory を使用する場合は、 へのネットワークリンクの耐障害性、レイテンシー、トラフィックコストを考慮する必要があります AWS。マルチリージョン WorkSpaces デプロイでは、異なる AWS リージョンに複数のネットワークリンクがある場合や、オンプレミス AD に接続 AWS Transit Gatewayして AD トラフィックを VPC にルーティングするために、リージョン間でピアリングが確立されている複数の が含まれる場合があります。これらのネットワークリンクに関する考慮事項は、次のセクションで説明するほとんどのシナリオに適用されますが、AD Connector からの AD トラフィックと がオンプレミスの Active Directory に到達するためにネットワークリンクを経由 WorkSpaces する必要があるシナリオでは特に重要です。 シナリオ 1 では、いくつかの注意点に焦点を当てています。

での多要素認証の使用 WorkSpaces

でMulti-Factor Authentication (MFA) を使用する場合は WorkSpaces、AD Connector または を使用する必要があります AWS 。これらのサービスでのみ AWS Managed Microsoft AD、RADIUS WorkSpaces と RADIUS の設定で使用するディレクトリの登録が許可されるためです。RADIUS サーバーの配置については、オンプレミスのアクティブディレクトリ AWS を使用した へのネットワークリンクの重要性「」セクションで説明されているネットワークリンクに関する考慮事項が適用されます。

アカウントとリソースドメインの分離

セキュリティ上の理由から、または管理しやすくするために、アカウントドメインをリソースドメインから分離することをお勧めします。例えば、 WorkSpaces コンピュータオブジェクトを別のリソースドメインに配置し、ユーザーはアカウントドメインの一部になります。このような実装を使用すると、パートナー組織はリソースドメイン内の AD グループポリシーを使用して を管理 WorkSpacesできますが、コントロールを放棄したり、アカウントドメインへのアクセスを許可したりする必要はありません。これは、Active Directory Trust が設定された 2 つの Active Directory を使用することで実現できます。以下のセクションでこれについて詳しく説明します。

• シナリオ 4: AWS Microsoft AD とオンプレミスへの双方向の推移的信頼

• シナリオ 6: AWS Microsoft AD、共有サービス VPC、オンプレミスへの一方向の信頼

大規模な Active Directory デプロイ

Active Directory サイトとサービスが適切に設定されていることを確認する必要があります。これは、Active Directory が地理的に異なる場所にある多数のドメインコントローラーで構成されている場合に特に重要です。Windows WorkSpaces は、標準の Microsoft メカニズムを使用して、割り当てられている Active Directory サイトのドメインコントローラーを検出します。この DC Locator プロセスは DNS に依存しており、DC Locator プロセスの早い段階で特定の優先度と重みの異なるドメインコントローラーの長いリストが返された場合、大幅に長くなる可能性があります。さらに重要なのは、最適でないドメインコントローラーに WorkSpaces 「ピン留め」された場合、このドメインコントローラーとのそれ以降の通信はすべて、広域ネットワークリンクを通過するときに、ネットワークレイテンシーが増加し、帯域幅が減るのに悩む可能性があります。これにより、多数のグループポリシーオブジェクト (GPOsの処理やドメインコントローラーからのファイル転送など、ドメインコントローラーとの通信が遅くなります。ネットワークトポロジによっては、 WorkSpaces とドメインコントローラー間で交換されるデータが不必要にコストがかかるネットワークパスを通過する可能性があるため、ネットワークコストが増加する可能性があります。VPC 設計の DHCP と DNS、VPC の設計および Active Directory サイトとサービスに関するガイダンスについては、「」と設計上の考慮事項「」セクションを参照してください。

での Microsoft Azure Active Directory または Active Directory ドメインサービスの使用 WorkSpaces

で Microsoft Azure Active Directory を使用する場合は WorkSpaces、Azure AD Connect を使用して、オンプレミスの Active Directory または の Active Directory AWS (Amazon EC2 または のドメインコントローラー) と ID を同期できます AWS Managed Microsoft AD。ただし、これにより Azure Active Directory WorkSpaces に参加することはできません。詳細については、Microsoft Azure ドキュメントの「Microsoft Hybrid Identity Documentation」を参照してください。

を Azure Active Directory に結合する場合は、Microsoft Azure Active Directory Domain Services (Azure AD DS) WorkSpaces をデプロイし、 AWS と Azure 間の接続を確立し、Azure AWS AD DS ドメインコントローラーを指す AD Connector を使用する必要があります。これを設定する方法の詳細については、「Azure Active Directory Domain Services を使用して Azure AD WorkSpaces に を追加する」ブログ記事を参照してください。

AWS Directory Serviceで を使用する場合は WorkSpaces、 AWS Directory Service を適切にサイズ設定するために、デプロイのサイズ WorkSpacesと予想される増加を考慮する必要があります。このセクションでは、 AWS Directory Service で使用する のサイズ設定に関するガイダンスを提供します WorkSpaces。AD Connector のベストプラクティスと、 AWS Directory Service 管理ガイドの「 のベストプラクティス AWS Managed Microsoft AD」セクションも確認することをお勧めします。

を使用した AD Connector のサイズ設定 WorkSpaces

Active Directory Connector (AD Connector) には、Small と Large の 2 つのサイズがあります。ユーザーまたは接続の制限は適用されませんが、最大 500 WorkSpaces 人の権限を持つユーザーには小さな AD Connector を使用し、最大 5000 人の WorkSpaces 権限を持つユーザーには大きな AD Connector を使用することをお勧めします。アプリケーションの負荷を複数の AD Connector に分散して、パフォーマンスのニーズに合わせてスケールできます。例えば、1500 人の WorkSpaces ユーザーをサポートする必要がある場合は、それぞれ 500 人のユーザーをサポートする 3 つの小さな AD Connector に を WorkSpaces 均等に分散できます。すべてのユーザーが同じドメインに存在する場合、AD Connector はすべて Active Directory ドメインを解決する同じ DNS サーバーのセットを指すことができます。

小規模な AD Connector で開始し、時間の経過とともに WorkSpaces デプロイが増大する場合は、サポートチケットを引き上げて、 WorkSpaces AD Connector のサイズを小規模から大規模に変更して、資格のあるユーザーの数を増やすことができます。

のサイジング AWS Managed Microsoft AD

AWS Managed Microsoft AD では、Microsoft Active Directory をマネージドサービスとして実行できます。サービスの起動時に、Standard Edition と Enterprise Edition のいずれかを選択できます。Standard Edition は、最大 5,000 人のユーザーを持つ小規模および中規模のビジネスに推奨され、ユーザー、グループ、コンピュータなど、最大 30,000 個のディレクトリオブジェクトをサポートします。Enterprise Edition は、最大 500,000 個のディレクトリオブジェクトをサポートするように設計されており、マルチリージョンレプリケーション などの追加機能も提供します。

500,000 を超えるディレクトリオブジェクトをサポートする必要がある場合は、Amazon EC2 に Microsoft Active Directory ドメインコントローラーをデプロイすることを検討してください。これらのドメインコントローラーのサイズ設定については、Microsoft の「Active Directory Domain Services の容量計画」ドキュメントを参照してください。