Microsoft Active Directory との統合 - Amazon AppStream 2.0 をデプロイするためのベストプラクティス
サービスオプションデプロイシナリオActive Directory サービスサイトトポロジActive Directory の組織単位Active Directory コンピュータオブジェクトのクリーンアップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Microsoft Active Directory との統合

Amazon AppStream 2.0 Image Builder とフリートは Microsoft Active Directory と統合できます。これにより、ユーザーの認証と許可を一元的に行うことができ、ドメインに参加している AppStream 2.0 インスタンスに Active Directory グループポリシーを適用できます。ドメインに参加した AppStream フリートを使用すると、オンプレミス環境と同じ管理上のメリットが得られます。これには、ネットワークファイル共有、ユーザーアプリの使用権限、ローミングプロファイル、プリンターアクセス、およびその他のポリシーベースの設定の一元管理が含まれます。

AppStream 2.0 環境を Active Directory と統合する場合、AppStream 2.0 スタックへの初期認証は引き続き SAML2.0 IdP によって管理されていることに注意することが重要です。ユーザーが IdP に対して正常に認証されると、ユーザーがセッションを起動するときに、Active Directory ドメインのドメインパスワードまたはスマートカード認証を入力する必要があります。

AppStream 2.0 で使用する Active Directory ドメインサービス (ADDS) 環境を設計する場合、2 つのサービスオプションがあり、利用できるさまざまなデプロイシナリオがあります。また、AppStream 2.0 のネットワークについては、必ず Active Directory サイトトポロジの所有者に確認してください。

サービスオプション

Active Directory は、AWSマネージド Microsoft Active Directory (AD) を使用して導入することもできます。AWSマネージド Microsoft AD は、Microsoft Active Directory を実行できるフルマネージドサービスです。Microsoft Active Directory は EC2 またはオンプレミスで実行されているセルフホスト環境でも使用できます。

デプロイシナリオ

以下のデプロイシナリオは、AppStream 2.0 と Microsoft マネージド AD、またはカスタマーのセルフマネージド Active Directory との統合オプションとして一般的に使用され、推奨されています。以下に示すアーキテクチャ図はすべて、Amazon のコアコンストラクトを使用しています。

  • Amazon 仮想プライベートクラウド (VPC) — 4 つの AZ にまたがる少なくとも 4 つのプライベートサブネットを備えた AppStream 2.0 サービス専用の Amazon VPC の作成。プライベートサブネットのうちの 2 つは AppStream フリートとイメージビルダーに使用されます。残りの 2 つのサブネットは、EC2 または Microsoft マネージド (AD) のドメインコントローラーに使用されます。

  • Dynamic Host Configuration Protocol (DHCP) オプションセット — VPC にプロビジョニングされる AppStream 2.0 フリートと Image Builder に設定情報を渡すための標準を提供します。DHCP オプションセットは VPC レベルで定義されます。これにより、カスタマーは、プロビジョニング時にインスタンス化される AppStream 2.0 で使用される特定のドメイン名と DNS 設定を定義できます。

  • AWS ディレクトリサービス — Amazon Microsoft マネージド AD は、AppStream 2.0 ワークロードと組み合わせて使用される 2 つのプライベートサブネットにデプロイできます。

  • AppStream 2.0 フリート — AppStream 2.0 フリートまたは Image Builder は AWS マネージド VPC でホストされます。AppStream 2.0 の各インスタンスには 2 つの Elastic Network Interface (ENI) があります。プライマリインターフェイス (eth0) は、管理目的と、ストリーミングゲートウェイ経由のインスタンスへのエンドユーザー接続の仲介に使用されます。セカンダリインターフェイス (eth1) はカスタマー VPC に挿入され、カスタム VPC またはオンプレミスの他のリソースにアクセスするために使用できます。

シナリオ 1: オンプレミスにデプロイされた Active Directory ドメインサービス (ADDS)

すべての認証トラフィックは、カスタマー VPC からカスタマーゲートウェイまで VPN または Direct Connect 接続を通過します。このシナリオのメリットは、カスタマー VPC に追加のドメインコントローラーをプロビジョニングしなくても、すでにデプロイされている可能性のある AD 環境を使用できることです。一方、デメリットは、AppStream 2.0 フリートのユーザーの認証と許可が VPN または Direct Connect のみに依存していることです。ネットワーク接続に問題があると、AppStream 2.0 フリートまたは Image Builder に直接影響が発生します。デュアル VPN トンネルまたは異なるパスの Direct Connect 接続を提供することで、この潜在的なリスクを軽減できます。

オンプレミスにデプロイされた Active Directory ドメインサービス (ADDS) の図

シナリオ 1 — オンプレミスでデプロイされた Active Directory ドメインサービス (ADDS)

シナリオ 2: Active Directory ドメインサービス (ADDS) AWS カスタマー VPC に拡張する

Active Directory はカスタマー VPC まで拡張されます。カスタマー VPC の新しいドメインコントローラーに対して Active Directory サイトを作成する必要があります。認証トラフィックは、VPN または Direct Connect 接続を経由する代わりに、AWS カスタマー VPC のドメインコントローラーにルーティングされます。

Active Domain サービスの AWS カスタマー仮想プライベートクラウドへの拡張を示す図

シナリオ 2 - Active Domain サービスの AWS カスタマー仮想プライベートクラウドへの拡張

シナリオ 3: AWS マネージド Microsoft Active Directory

AWS マネージド Microsoft AD は AWS クラウド にデプロイされ、AppStream 2.0 フリートと Image Builder のアイデンティティおよびリソースドメインとして使用されます。

AWS マネージド Active Directory の図

シナリオ 3 — AWS マネージド Active Directory

Active Directory サービスサイトトポロジ

Active Directory サービスサイトトポロジは、物理ネットワークを論理的に表現したものです。

サイトトポロジは、クライアントクエリと Active Directory レプリケーショントラフィックを効率的にルーティングするのに役立ちます。サイトトポロジを適切に設計および管理することで、組織は次のメリットが得られます。

  • オンプレミスと AWS クラウド を同期するときに Active Directory データを複製するコストを最小限に抑えます。

  • クライアントコンピューターがドメインコントローラーなどの最も近いリソースを検索する機能を最適化します。これにより、低速のワイドエリアネットワーク (WAN) リンクのネットワークトラフィックを減らし、ログオンとログオフのプロセスを改善し、リソースへのアクセスオペレーションをスピードアップできます。

AppStream 2.0 サービスを導入するときは、AppStream 2.0 インスタンスのサブネットに使用されるアドレス範囲が環境に適したサイトに割り当てられていることを確認してください。

シナリオ 1 とシナリオ 2 では、ログイン時間と Active Directory リソースへのアクセス時間において最適なユーザーエクスペリエンスを実現するには、サイトとサービスが重要になります。

サイトトポロジは、同じサイト内のドメインコントローラーや、サイトの境界を超えたドメインコントローラーの間で Active Directory レプリケーションを制御します。

正しいサイトトポロジを定義することで、クライアントアフィニティが保証されます。つまり、クライアント (この場合は AppStream 2.0 ストリーミングインスタンス) は任意のローカルドメインコントローラを使用します。

Active Directory サイトとサービス — クライアントアフィニティの AD 図

Active Directory サイトとサービスの — クライアントアフィニティ

ヒント

ベストプラクティスとして、オンプレミスの AD DS と AWS クラウド間のサイトリンクには高いコストを設定します。上の図は、クライアントアフィニティがサイトに依存しないようにサイトリンクに割り当てる必要があるコスト (コスト 100) の一例です。

サイトトポロジの詳細については、「サイトトポロジの設計」を参照してください。

Active Directory の組織単位

AWS では、設定した組織単位 (OU) を 1 つの AppStream 2.0 Directory Config オブジェクトに保存することを推奨しています。AppStream 2.0 スタックごとに独自の OU を持つことがベストプラクティスです。これにより、スタックごとに特定の GPO を柔軟に設定できます。AppStream 2.0 固有のポリシーがオンプレミスデスクトップと混同されないように、OU を必ず AppStream 2.0 コンピュータオブジェクト専用にします。AppStream 2.0 をデプロイする AWS リージョン こごに、サブ OU を使用することを検討してください。

Active Directory コンピュータオブジェクトのクリーンアップ

AppStream 2.0 インスタンスは一時的なものです。フリートは、フリートがスケールアウトしたりスケールインしたりするときに Active Directory コンピュータオブジェクトを作成して再利用します。

AWS では、AppStream フリートが削除された後に存在する可能性のある古い Active Directory コンピュータオブジェクトを削除するため、AD クリーンアッププロセスを作成することを推奨しています。