自分の Windows デスクトップライセンスを使用する - Amazon WorkSpaces

自分の Windows デスクトップライセンスを使用する

Microsoft とのライセンス契約で許可されていれば、WorkSpaces にお客様の Windows 10 Enterprise または Windows 10 Pro デスクトップライセンスを使用できます。そのためには、自分のライセンス使用 (BYOL) と、以下の要件を満たす Windows 10 ライセンスを用意する必要があります。Microsoft とのライセンス契約の要件を満たすにため、AWS は、AWS クラウド内の専有ハードウェアで BYOL WorkSpaces を実行します。独自のライセンスを持ち込むことで、ユーザーに一貫したエクスペリエンスを提供できます。詳細については、「Amazon WorkSpaces 料金表」を参照してください。

重要

イメージの作成は、あるバージョンの Windows 10 から新しいバージョンの Windows 10 にアップグレードされた Windows 10 システム (Windows の機能/バージョンのアップグレード) ではサポートされません。ただし、Windows の累積的な更新プログラムまたはセキュリティ更新プログラムは、WorkSpaces のイメージ作成プロセスでサポートされます。

開始するには、Amazon WorkSpaces コンソールを開き、[アカウント設定] を選択して、BYOL のアカウントを有効にします。

要件

開始する前に、以下の点を確認してください。

  • マイクロソフトの使用許諾契約書上、仮想ホスト環境で Windows を実行することができます。

  • GPU 非対応のバンドル (Graphics および GraphicsPro 以外のバンドル) を使用する場合は、200 以上の Amazon WorkSpaces を使用することになります。これらの 200 の WorkSpaces は、AlwaysOn WorkSpace と AutoStop WorkSpace の任意の組み合わせにすることができます。専有ハードウェアで Amazon WorkSpaces を実行するには、最低 200 の WorkSpaces を使用する必要があります。専有ハードウェアでの Amazon WorkSpaces の実行は、Microsoft とのライセンス契約の要件を満たすために必要です。専有ハードウェアは AWS 側でプロビジョニングされるため、VPC はデフォルトのテナンシーに留まることができます。

    GPU 対応の (Graphics および GraphicsPro) バンドルを使用する場合は、1 か月あたりリージョンごとに最低 4 つの AlwaysOn または 20 の AutoStop GPU 対応 WorkSpaces を専用ハードウェアで実行することを確認してください。

  • Amazon WorkSpaces では、IP アドレス範囲 /16 で管理インターフェイスを使用できます。この管理インターフェイスは、インタラクティブなストリーミング用にセキュアな Amazon WorkSpaces 管理ネットワークに接続されます。これにより、Amazon WorkSpaces が WorkSpaces を管理できるようになります。詳細については、「ネットワークインターフェイス」を参照してください。この目的のために、以下の IP アドレス範囲のうち少なくとも 1 つが使用可能である必要があります。

    • 10.0.0.0/8

    • 100.64.0.0/10

    • 172.16.0.0/12

    • 192.168.0.0/16

    • 198.18.0.0/15

  • サポートされている 64 ビットバージョンの Windows を実行する仮想マシン (VM) があります。サポートされているバージョンのリストについては、このトピックの BYOL でサポートされている Windows バージョン。 セクションを参照してください 。VM は、以下の条件も満たす必要があります。

    • Windows オペレーティングシステムは、キー管理サーバーに対してアクティブにする必要があります。

    • Windows オペレーティングシステムのメイン言語が [英語 (米国)] であることを確認してください。

    • Windows に付属していないソフトウェアを VM にインストールすることはできません。後でカスタムイメージを作成するときに、ウイルス対策ソリューションなどのソフトウェアを追加することができます。

    • イメージを作成する前に、デフォルトのユーザープロファイル (C:\Users\Default) をカスタマイズしたり、他のカスタマイズを行ったりしないでください。すべてのカスタマイズは、イメージの作成後に行う必要があります。グループポリシーオブジェクト (GPO) を使用してユーザープロファイルをカスタマイズし、イメージの作成後に適用することをお勧めします。これは、GPO を使用して行われたカスタマイズは簡単に変更またはロールバックでき、デフォルトのユーザープロファイルに対して行われたカスタマイズよりもエラーが発生しにくいためです。

    • イメージを共有する前に、ローカル管理者アクセスが許可された WorkSpaces_BYOL アカウントを作成することをお勧めします。このアカウントのパスワードは後で必要になる可能性があるため、メモしておいてください。

    • VM は、最大サイズが 70 GB、空き容量が 10 GB 以上の 1 つのボリューム上にあることが必要です。

    • VM は Windows PowerShell バージョン 4 以降を実行する必要があります。

  • このトピックの後半のステップ 2 で BYOL チェッカー PowerShell スクリプトを実行する前に、最新の Microsoft Windows パッチがインストールされていることを確認してください。

BYOL でサポートされている Windows バージョン。

VM は、次のいずれかの Windows バージョンで実行する必要があります。

  • Windows 10 Version 1803 (April 2018 Update)

  • Windows 10 バージョン 1809 (2018 年 10 月の更新)

  • Windows 10 バージョン 1903 (2019 年 5 月の更新)

  • Windows 10 Version 1909 (November 2019 Update)

サポートされているすべての OS バージョンは、WorkSpaces を使用している AWS リージョンで使用可能なすべてのコンピューティングタイプをサポートします。Microsoft でサポートされなくなった Windows のバージョンは、動作が保証されておらず、AWS サポートによってサポートされていません。

ステップ 1: Amazon WorkSpaces コンソールを使用してアカウントの BYOL を有効にする

アカウントの BYOL を有効にするには、管理ネットワークインターフェイスを指定する必要があります。このインターフェイスは、セキュアな Amazon WorkSpaces 管理ネットワークに接続されています。Amazon WorkSpaces クライアントへの WorkSpace デスクトップのインタラクティブなストリーミングと、Amazon WorkSpaces が WorkSpace を管理するために使用されます。

注記

この手順でアカウントの BYOL を有効にする手順は、アカウント、リージョン別に 1 度のみ実行する必要があります。

Amazon WorkSpaces コンソールを使用してアカウントの BYOL を有効にするには

  1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。

  2. ナビゲーションペインで [アカウント設定] を選択します。アカウントが現在 BYOL の対象になっていない場合は、次のステップに関するガイダンスがメッセージに表示されます。

  3. [自分のライセンス使用 (BYOL)] の [管理ネットワークインターフェイス IP アドレス範囲] エリアで、IP アドレス範囲を選択し、[使用可能な CIDR ブロックを表示] を選択します。

    Amazon WorkSpaces は、指定した範囲内で使用可能な IP アドレス範囲を IPv4 CIDR ブロックとして検索し、表示します。特定の IP アドレス範囲が必要な場合は、検索範囲を編集することができます。

    重要

    IP アドレス範囲を指定すると、変更することはできません。内部ネットワークによって使用される範囲と競合しない IP アドレス範囲が指定されていることを確認します。指定する範囲について質問がある場合は、続行する前に AWS アカウントマネージャーまたは営業担当者に連絡するか、AWS Support Center に連絡してください。

  4. 結果のリストから必要な CIDR ブロックを選択し、[BYOL を有効にする] を選択します。

    このプロセスには数時間かかることがあります。Amazon WorkSpaces によって、BYOL のアカウントが有効になっていれば、次のステップに進みます。

ステップ 2: Windows VM 上で BYOL Checker PowerShell スクリプトを実行する

アカウントの BYOL が有効になったら、VM が BYOL の要件を満たしていることを確認する必要があります。確認するには、以下のステップで、Amazon WorkSpaces BYOL Checker PowerShell スクリプトをダウンロードして実行します。このスクリプトでは、使用する VM 上で一連のテストを実行してイメージを作成します。

重要

BYOL で使用する前に、VM がすべてのテストにパスする必要があります。

BYOL Checker スクリプトをダウンロードするには

BYOL Checker スクリプトをダウンロードして実行する前に、Windows の最新セキュリティアップデートが VM にインストールされていることを確認してください。このスクリプトの実行中、Windows Update サービスは無効化されます。

  1. BYOL Checker スクリプトの .zip ファイルを https://tools.amazonworkspaces.com/BYOLChecker.zip から Downloads フォルダにダウンロードします。

  2. Downloads フォルダに、BYOL フォルダを作成します。

  3. BYOLChecker.zip からファイルを抽出し、Downloads\BYOL フォルダにコピーします。

  4. Downloads\BYOLChecker.zip フォルダを削除して、抽出されたファイルのみが残るようにします。

以下のステップで、BYOL Checker スクリプトを実行します。

BYOL Checker スクリプトを実行するには

  1. Windows デスクトップから、Windows PowerShell を開きます。Windows の [Start (スタート)] ボタンを選択して [Windows PowerShell] を右クリックし、[Run as administrator (管理者として実行)] を選択します。ユーザーアカウント制御によって、PowerShell がデバイスに変更を加えることを許可するかどうかを選択するメッセージが表示されたら、[はい] を選択します。

  2. PowerShell コマンドプロンプトで、BYOL Checker スクリプトが配置されているディレクトリに移動します。たとえば、スクリプトが Downloads\BYOL ディレクトリにある場合は、以下のコマンドを入力し、Enter キーを押します。

    cd C:\Users\username\Downloads\BYOL

  3. 次のコマンドを入力して、コンピュータ上の PowerShell 実行ポリシーを更新します。これにより、BYOL Checker スクリプトで以下を実行できるようになります。

    Set-ExecutionPolicy Unrestricted

  4. PowerShell 実行ポリシーを変更するかどうかの確認を求められたら、A と入力することで、すべての項目に「はい」を指定します。

  5. 次のコマンドを入力して、BYOL Checker スクリプトを実行します。

    .\BYOLChecker.ps1

  6. セキュリティ通知が表示されたら、R キーを押して 1 回実行します。

  7. [Amazon WorkSpaces イメージ検証] ダイアログボックスで、[Begin Tests (テストの開始)] を選択します。

  8. 各テストが完了したら、テストのステータスを表示できます。いずれかのテストで [Failed (失敗)] ステータスが表示された場合は、[Info (情報)] を選択して、失敗の原因となった問題の解決方法に関する情報を表示します。いずれかのテストで [WARNING (警告)] ステータスが表示された場合は、[Fix All Warnings (すべての警告の修正)] ボタンを選択します。

  9. 該当する場合は、テストのエラーや警告の原因となる問題を解消し、VM がすべてのテストにパスするまでステップ 7 と 8 を繰り返します。VM をエクスポートする前に、エラーや警告はすべて解消する必要があります。

  10. BYOL スクリプトチェッカーによって 2 種類のログファイル (BYOLPrevalidationlogYYYY-MM-DD_HHmmss.txt および ImageInfo.text) が生成されます。これらのファイルは、BYOL Checker スクリプトファイルを含むディレクトリにあります。

    ヒント

    これらのファイルを削除しないでください。問題が発生した場合、それらのファイルはトラブルシューティングに役立つことがあります。

  11. VM がすべてのテストに合格すると、「Validation Successful (検証に成功しました)」というメッセージが表示されます。ツールに表示される VM のロケール設定を確認します。ロケール設定を更新するには、Microsoft ドキュメントのこちらの手順に従って、BYOL Checker スクリプトを再実行します。

  12. VM をシャットダウンし、そのスナップショットを作成します。

  13. [Run Sysprep] を選択します。Sysprep が成功した場合、ステップ 12 の後にエクスポートした VM を EC2 にインポートできます。それ以外の場合は、Sysprep ログを確認し、ステップ 12 で作成したスナップショットにロールバックして、レポートされた問題を解決します。その後、新しいスナップショットを作成して、BYOL Checker スクリプトを再度実行します。

    Sysprep が失敗する最も一般的な原因は、Modern Appx Packages がすべてのユーザーに対してインストールされていないことです。Remove-AppxPackage PowerShell コマンドレットを使用して、AppX パッケージを削除します。

  14. イメージが正常に作成されたら、WorkSpaces_BYOL アカウントを削除できます。

ステップ 3: VM を仮想化環境からエクスポートする

BYOL のイメージを作成するには、まず仮想化環境から VM をエクスポートします。VM は、最大サイズが 70 GB、空き容量が 10 GB 以上の 1 つのボリューム上にあることが必要です。詳細については、仮想化環境に関するドキュメント、およびVM Import/Export ユーザーガイドの「VM をその仮想化環境からエクスポートする」を参照してください。

ステップ 4: イメージとして VM を EC2 にインポートする

VM をエクスポートしたら、VM から Windows オペレーティングシステムをインポートするための要件を確認します。必要に応じてアクションを実行します。詳細については、「VM Import/Export 要件」を参照してください。

注記

暗号化されたディスクを持つ VM のインポートはサポートされていません。

Amazon マシンイメージ (AMI) として VM を Amazon EC2 にインポートします。次のいずれかの方法を使用します。

  • AWS Command Line Interface (AWS CLI) で import-image コマンドを使用します。詳細については、AWS CLI Command Reference の「import-image」を参照してください。

  • ImportImage API オペレーションを使用します。詳細については、Amazon EC2 API Reference の「ImportImage」を参照してください。

詳細については、VM Import/Export ユーザーガイドの「イメージとして VM をインポートする」を参照してください。

ステップ 5: Amazon WorkSpaces コンソールを使用して BYOL イメージを作成する

以下のステップで、Amazon WorkSpaces BYOL イメージを作成します。

注記

この手順を実行するには、以下を行うアクセス許可があることを確認します。

  • Amazon WorkSpaces ImportWorkspaceImage の呼び出し。

  • BYOL イメージを作成するために使用する EC2 イメージの EC2 DescribeImages の呼び出し。

  • BYOL イメージを作成するために使用する EC2 イメージの EC2 ModifyImageAttribute の呼び出し。

詳細については、『IAM ユーザーガイド』の「IAM ユーザーのアクセス許可の変更」を参照してください。

イメージから Graphics または GraphicsPro バンドルを作成するには、AWS Support Center サポートに連絡して、アカウントを許可リストに追加してもらいます。アカウントが許可リストに追加されたら、AWS CLI import-workspace-image コマンドを使用して Graphics または GraphicsPro イメージを取り込むことができます。詳細については、AWS CLI Command Reference の「import-workspace-image」を参照してください。

Windows VM からイメージを作成するには

  1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。

  2. ナビゲーションペインで [ Images] を選択します。

  3. [アクション]、[BYOL イメージの作成] の順に選択します。

  4. [BYOL イメージの作成] ダイアログボックスで、次の操作を行います。

    • [AMI ID] で、[EC2 コンソール] リンクをクリックし、前のセクション (ステップ 4: イメージとして VM を EC2 にインポートする) で説明されているとおりに、インポートした EC2 イメージを選択します。イメージ名は ami- に、AMI の ID が続いた文字列で構成されています (例: ami-5731123e)。

    • [BYOL イメージ名] に、イメージの一意の名前を入力します。

    • [イメージの説明] に、イメージをすばやく識別できるような説明を入力します。

    • [Ingestion process (取り込みプロセス)] に、適切なバンドルタイプ ([Regular]、[Graphics]、または [GraphicsPro]) を選択します。GPU 対応でないバンドル (Graphics または GraphicsPro 以外のバンドル) の場合は、[Regular] を選択します。

  5. [作成] を選択します。

    イメージの作成中、イメージのステータスは、コンソールのイメージレジストリに [Pending (保留中)] と表示されます。イメージの検証が成功しない場合は、エラーコードがコンソールに表示されます。イメージの作成が完了すると、ステータスは [Available] に変わります。

ステップ 6: BYOL イメージからカスタムバンドルを作成する

BYOL イメージが作成されたら、イメージを使用してカスタムバンドルを作成できます。詳細については、カスタム WorkSpaces イメージとバンドルの作成 を参照してください。

ステップ 7: 専用 WorkSpaces のディレクトリを登録する

WorkSpaces の BYOL イメージを使用するには、この目的でディレクトリを登録する必要があります。そのためには、以下の手順を実行します。

専用 WorkSpaces のディレクトリを登録するには

  1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。

  2. ナビゲーションペインで [Directories] を選択します。

  3. ディレクトリを選択後、[アクション]、[登録] の順に選択します。

  4. [ディレクトリの登録] ダイアログボックスの [専用 WorkSpaces の有効化] で、[はい] を選択します。

  5. [Register] を選択します。

専用ハードウェアで実行されていない WorkSpaces の Microsoft Active Directory (Enterprise Edition) 用の AWS Directory Service または AD Connector ディレクトリをすでに登録している場合は、この目的のために新しい Microsoft Active Directory または AD Connector ディレクトリを設定することができます。また、ディレクトリを登録解除してから、専用 WorkSpaces のディレクトリとして登録し直すこともできます。そのためには、以下の手順を実行します。

注記

ディレクトリに関連付けられている WorkSpaces がない場合は、以下の手順のみ実行することができます。

ディレクトリを登録解除して、専用 WorkSpaces 用に再登録するには

  1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。

  2. 既存の WorkSpaces を終了します。

  3. ナビゲーションペインで [Directories] を選択します。

  4. ディレクトリを選択し、[Actions]、[Deregister] の順に選択します。

  5. 確認を求めるメッセージが表示されたら、[Deregister] を選択します。

  6. ディレクトリを再度選択後、[アクション]、[登録] の順に選択します。

  7. [ディレクトリの登録] ダイアログボックスの [専用 WorkSpaces の有効化] で、[はい] を選択します。

  8. [Register] を選択します。

ステップ 8: BYOL WorkSpaces を起動する

専用 WorkSpaces のディレクトリを登録したら、このディレクトリで BYOL WorkSpaces を起動することができます。WorkSpaces の起動方法については、「Amazon WorkSpaces を使用して仮想デスクトップを起動します。」を参照してください。