Windows WorkSpaces を管理する - Amazon WorkSpaces

Windows WorkSpaces を管理する

グループポリシーオブジェクト (GPO) を使用して、Windows WorkSpaces または Windows WorkSpaces ディレクトリの一部であるユーザーを管理するための設定を適用できます。

注記

Linux インスタンスはグループポリシーに従いません。Amazon Linux WorkSpaces の管理については、Amazon Linux WorkSpaces を管理する を参照してください。

WorkSpaces コンピュータオブジェクト用の組織単位と WorkSpaces ユーザーオブジェクト用の組織単位を作成することをお勧めします。

Amazon WorkSpaces に固有のグループポリシー設定を使用するには、使用しているプロトコル (PCoIP または WorkSpaces Streaming Protocol (WSP)) のグループポリシー管理用テンプレートをインストールする必要があります。

警告

グループポリシー設定は、WorkSpace のユーザーエクスペリエンスに次のように影響する場合があります。

  • ログオンバナーを表示するためにインタラクティブなログオンメッセージを実装すると、ユーザーは自分の WorkSpaces にアクセスできなくなります。 現在、インタラクティブのログオンメッセージのグループポリシー設定は WorkSpaces でサポートされていません。

  • グループポリシー設定を使用してリムーバブルストレージを無効にすると、ログインに失敗します。ユーザーはドライブ D にアクセスできず、一時ユーザープロファイルにログインされます。

  • グループポリシー設定を使用してリモートデスクトップユーザーのローカルグループからユーザーを削除すると、そのユーザーは WorkSpaces クライアントアプリケーションを使用して認証できなくなります。このグループポリシー設定の詳細については、Microsoft のドキュメントのリモートデスクトップサービスによるログオンを許可するを参照してください。

  • 組み込みの Users グループを [Allow log on locally] (ローカルログオンを許可) セキュリティポリシーから削除すると、PCoIP WorkSpaces ユーザーは WorkSpaces クライアントアプリケーションを介して WorkSpaces に接続できなくなります。 PCoIP WorkSpaces も、PCoIP エージェントソフトウェアの更新を受信しなくなります。PCoIP エージェントの更新には、セキュリティやその他の修正が含まれていたり、WorkSpaces の新機能を有効にするものであったりする場合があります。このセキュリティポリシーの使用方法の詳細については、Microsoft ドキュメントのローカルでログオンを許可するを参照してください。

  • グループポリシー設定は、ドライブアクセスの制限に使用できます。ドライブ C またはドライブ D へのアクセスを制限するようにグループポリシー設定を行うと、ユーザーは WorkSpaces にアクセスできません。 この問題を回避するために、ユーザーがドライブ C およびドライブ D にアクセスできることを確認します。

  • WorkSpaces のオーディオ入力機能を使用するには、WorkSpace 内のローカルログオンアクセスが必要です。 Windows WorkSpaces では、オーディオ入力機能はデフォルトで有効になっています。ただし、WorkSpaces でのユーザーのローカルログオンを制限するグループポリシー設定がある場合、オーディオ入力は WorkSpaces では機能しません。そのグループポリシー設定を削除すると、WorkSpace の次回再起動後にオーディオ入力機能が有効になります。このグループポリシー設定の詳細については、Microsoft のドキュメントのローカルでのログオンを許可するをご参照ください。

    オーディオ入力リダイレクトの有効化または無効化の詳細については、PCoIP のオーディオ入力リダイレクトを有効化/無効化する または WSP のオーディオ入力リダイレクトを有効化/無効化する を参照してください。

  • グループポリシーを使用して Windows の電源プランを [Balanced] (バランス) または [Power saver] (省電力) に設定すると、WorkSpaces がアイドル状態になると、WorkSpaces がスリープ状態になる場合があります。グループポリシーを使用して、Windows の電源プランを [High performance] (高パフォーマンス) に設定することを強くお勧めします。詳細については、「」を参照してくださいWindows WorkSpace をアイドル状態のままにすると、スリープ状態になる

  • グループポリシー設定によっては、セッションから切断されているときに、ユーザーが強制的にログオフされます。ユーザーが WorkSpaces で開いているすべてのアプリケーションが閉じられます。

Active Directory 管理ツールを使用して GPO を操作する方法については、WorkSpaces の Active Directory 管理ツールを設定する を参照してください。

PCoIP のグループポリシー管理用テンプレートをインストールする

PCoIP プロトコルを使用するときに Amazon WorkSpaces に固有のグループポリシー設定を使用するには、WorkSpaces で使用されている PCoIP エージェントのバージョン(32 ビットまたは 64 ビット)に適したグループポリシー管理用テンプレートを追加する必要があります。

注記

32 ビットと 64 ビットのエージェントの WorkSpaces が混在している場合は、32 ビットエージェント用のグループポリシー管理用テンプレートを使用できます。グループポリシー設定は 32 ビットと 64 ビットの両方のエージェントに適用されます。すべての WorkSpace が 64 ビットエージェントを使用している場合は、64 ビットエージェントの管理テンプレートを使用するように切り替えることができます。

WorkSpaces に 32 ビットエージェントがあるかどうか、 64 ビットのエージェントがあるかどうかを調べるには

  1. WorkSpace にログインし、[表示]、[Ctrl + Alt + Delete を送信] を選択するか、タスクバーを右クリックして [タスクマネージャ] を選択して、タスクマネージャを開きます。

  2. タスクマネージャで、[詳細] タブに移動し、列見出しを右クリックし、[列の選択] を選択します。

  3. [列の選択] ダイアログボックスで、[プラットフォーム] を選択し、[OK] をクリックします。

  4. [詳細] タブで、pcoip_agent.exe を探し、[プラットフォーム] 列でその値を確認し、PCoIP エージェントが 32 ビットであるか 64 ビットであるか判別します。(32 ビットと 64 ビットの WorkSpaces コンポーネントが混在している場合がありますが、これは正常です)。

PCoIP プロトコルを 32 ビット PCoIP エージェントで使用するとき、WorkSpaces に固有のグループポリシー設定を使用するには、PCoIP 用のグループポリシー管理用テンプレートをインストールする必要があります。ディレクトリの管理 WorkSpace またはディレクトリに結合されている Amazon EC2 インスタンスで、次の手順を実行します。

.adm ファイルの操作の詳細については、マイクロソフトのドキュメントの「グループポリシー管理用テンプレート (.adm) ファイルを管理するための推奨事項」を参照してください。

PCoIP のグループポリシー管理用テンプレートをインストールするには

  1. 実行中の Windows WorkSpace から、pcoip.adm ディレクトリの C:\Program Files (x86)\Teradici\PCoIP Agent\configuration ファイルのコピーを作成します。

  2. ディレクトリ管理用の WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、WorkSpaces マシンアカウントが含まれているドメイン内の組織単位に移動します。

  3. コンピュータアカウントの組織単位のコンテキスト(右クリック)メニューを開き、[Create a GPO in this domain, and link it here] を選択します。

  4. [New GPO] ダイアログボックスで、GPO のわかりやすい名前 (「WorkSpaces Machine Policies」など) を入力し、[Source Starter GPO] は [(none)] のままにします。[OK] を選択します。

  5. 新しい GPO のコンテキスト (右クリック) メニューを開き、[Edit] を選択します。

  6. グループポリシー管理エディタで、[Computer Configuration]、[Policies]、[Administrative Templates] の順に選択します。メインメニューから [Action]、[Add/Remove Templates] の順に選択します。

  7. [Add/Remove Templates] ダイアログボックスで、[Add] を選択し、先ほどコピーした pcoip.adm ファイルを選択したら、[Open]、[Close] の順に選択します。

  8. [Group Policy Management Editor] を終了します。これで、この GPO を使用して、WorkSpaces に固有のグループポリシーの設定を変更できます。

管理用テンプレートファイルが正しくインストールされていることを確認するには

  1. ディレクトリ管理用の WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、WorkSpaces マシンアカウントの WorkSpaces GPO に移動して選択します。メインメニューの [Action]、[Edit] を選択します。

  2. グループポリシー管理エディタで、[Computer Configuration]、[Policies]、[Administrative Templates]、[Classic Administrative Templates]、[PCoIP Session Variables] の順に選択します。

  3. これで、この PCoIP セッション変数グループポリシーオブジェクトを使用して、PCoIP を使用しているときに Amazon WorkSpaces に固有のグループポリシー設定を変更できるようになります。

    注記

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Defaults] を選択します。許可しない場合は、[Not Overridable Administrator Defaults] を選択します。

PCoIP プロトコルを使用しているときに WorkSpaces に固有のグループポリシー設定を使用するには、グループポリシー管理用テンプレート PCoIP.admx および PCoIP 用 PCoIP.adml ファイルを WorkSpaces ディレクトリのドメインコントローラーのセントラルストアに追加する必要があります。.admx および .adml ファイルの詳細については、「Windows でグループポリシー管理用テンプレートのセントラルストアを作成および管理する方法」を参照してください。

次の手順では、セントラルストアを作成し、管理用テンプレートファイルをそのストアに追加する方法について説明します。ディレクトリ管理用の WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、次の手順を実行します。

PCoIP のグループポリシー管理用テンプレートファイルをインストールするには

  1. 実行中の Windows WorkSpace から、PCoIP.admx ディレクトリの PCoIP.adml および C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions ファイルのコピーを作成します。PCoIP.admlファイルは、そのディレクトリの en-US サブフォルダにあります。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、Windows エクスプローラーを開き、アドレスバーに \\example.com のような組織の完全修飾ドメイン名 (FQDN) を入力します。

  3. sysvol フォルダを開きます。

  4. FQDN という名前のフォルダを開きます。

  5. Policies フォルダを開きます。あなたは今、\\FQDN\sysvol\FQDN\Policies に入っているはずです。

  6. まだ存在しない場合は、PolicyDefinitions という名前のフォルダを作成します。

  7. PolicyDefinitions フォルダを開きます。

  8. PCoIP.admx ファイルを \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions フォルダにコピーします。

  9. en-US フォルダに PolicyDefinitions という名前のフォルダを作成します。

  10. en-US フォルダを開きます。

  11. PCoIP.adml ファイルを \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US フォルダにコピーします。

管理用テンプレートファイルが正しくインストールされていることを確認するには

  1. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  2. フォレスト ([フォレスト:FQDN]) を展開します。

  3. [ドメイン] を展開します。

  4. FQDN を展開します (example.com など)。

  5. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  6. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、委任された権限を持つドメインコンテナの下に GPO を作成してリンクする必要があります。

    AWS Managed Microsoft AD を使用してディレクトリを作成すると、AWS Directory Service は、ドメインルートの下に yourdomainname 組織単位 (OU) を作成します。この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、Directory DNS 名の最初の部分が使用されます (例えば、corp.example.com の場合、NetBIOS 名は corp となります)。

    GPO を作成するには、デフォルトのドメインポリシーを選択する代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。

    yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  7. グループポリシー管理エディタで、[コンピュータの設定]、[ポリシー]、[管理用テンプレート]、[PCoIP セッション変数] の順に選択します。

  8. これで、この PCoIP セッション変数グループポリシーオブジェクトを使用して、PCoIP を使用しているときに WorkSpaces に固有のグループポリシー設定を変更できるようになります。

    注記

    ユーザーによる設定の上書きを許可するには、[管理者デフォルトの上書き可] を選択します。許可しない場合は、[管理者デフォルトの上書き不可] を選択します。

PCoIP のプリンタサポートを設定する

デフォルトでは、WorkSpaces は基本的なリモート印刷を可能にします。印刷の互換性を確実にするため、ホスト側の汎用プリンタードライバーを使用するため、提供される印刷機能は限られています。

Windows クライアントの高度なリモート印刷では、両面印刷など、プリンター固有の機能を使用できますが、ホスト側に一致するプリンタードライバーをインストールする必要があります。

リモート印刷は仮想チャネルとして実装されます。仮想チャネルが無効になっている場合、リモート印刷は機能しません。

Windows WorkSpaces の場合、グループポリシー設定を使用して、必要に応じてプリンターのサポートを設定できます。

プリンターのサポートを設定するには

  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数に移動します。

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Defaults] を選択します。許可しない場合は、[Not Overridable Administrator Defaults] を選択します。

  3. [Configure remote printing] 設定を開きます。

  4. [Configure remote printing (リモート印刷を設定)] ダイアログボックスで、次のいずれかを実行します。

    • 高度なリモート印刷を有効にするには、[Enabled (有効)] を選択し、[Options (オプション)] の [Configure remote printing (リモート印刷を設定)] で [Basic and Advanced printing for Windows clients (Windows クライアントの基本印刷と高度な印刷)] を選択します。クライアントコンピュータの現在のデフォルトプリンターを自動的に使用するには、[ Automatically set default printer (デフォルトプリンターを自動的に設定する)] を選択します。

    • 印刷を無効にするには、[Enabled (有効)] を選択し、[Options (オプション)] の [Configure remote printing (リモート印刷を設定)] で [printing disabled (印刷無効)] を選択します。

  5. [OK] を選択します。

  6. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

デフォルトでは、ローカルプリンターへの自動リダイレクトは無効になっています。グループポリシーの設定を使用して、この機能を有効にすることができます。有効にすると、WorkSpace に接続するたびに、ローカルプリンターがデフォルトプリンターとして設定されます。

注記

ローカルプリンターのリダイレクトは Amazon Linux WorkSpaces ではご利用になれません。

ローカルプリンターへの自動リダイレクトを有効にするには

  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数に移動します。

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Defaults] を選択します。許可しない場合は、[Not Overridable Administrator Defaults] を選択します。

  3. [Configure remote printing] 設定を開きます。

  4. [Enabled] (有効) を選択し、[Options] (オプション) の [Configure remote printing] (リモート印刷を設定) で、次のいずれかを選択します。

    • Basic and Advanced printing for Windows clients (Windows クライアント用の基本印刷と高度な印刷)

    • Basic printing (基本印刷)

  5. [Automatically set default printer] (デフォルトのプリンターを自動的に設定) を選択し、[OK] を選択します。

  6. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

PCoIP のクリップボードリダイレクトを有効化/無効化する

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

クリップボードのリダイレクトを有効または無効にするには

  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数に移動します。

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Defaults] を選択します。許可しない場合は、[Not Overridable Administrator Defaults] を選択します。

  3. [Configure clipboard redirection] 設定を開きます。

  4. [Configure clipboard redirection (クリップボードのリダイレクトの設定)] ダイアログボックスで、[有効] を選択し、次のいずれかの設定を選択して、クリップボードのリダイレクトが許可される方向を決定します。終了したら、[OK] を選択します。

    • 双方向で無効

    • エージェントからクライアントのみ有効 (WorkSpace からローカルコンピュータ)

    • クライアントからエージェントのみ有効 (ローカルコンピュータから WorkSpace)

    • 双方向で有効

  5. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

既知の制限事項

WorkSpace でクリップボードのリダイレクトが有効になっていると、Microsoft Office アプリケーションから 890 KB よりも大きいコンテンツをコピーした場合に、アプリケーションが遅くなったり最大 5 秒応答しなくなったりすることがあります。

PCoIP のセッション再開タイムアウトを設定する

WorkSpaces クライアントアプリケーションを使用中にネットワーク接続が停止すると、現行のセッションは切断されます。これはノートパソコンの蓋を閉じた場合やワイヤレスネットワーク接続の喪失から発生する場合があります。Windows および macOS 用の WorkSpaces クライアントアプリケーションは、ネットワーク接続がある程度の時間内に回復すればセッションを自動的に再接続するよう試みます。デフォルト設定のセッション再起動タイムアウトは 20 分ですが、ドメインのグループポリシー設定で制御される WorkSpace では、この値の変更ができます。

自動セッション再起動タイムアウト値を設定するには

  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数に移動します。

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Defaults] を選択します。許可しない場合は、[Not Overridable Administrator Defaults] を選択します。

  3. [Configure Session Automatic Reconnection Policy] 設定を開きます。

  4. [Configure Session Automatic Reconnection Policy] ダイアログボックスで [Enabled] を選択し、[Configure Session Automatic Reconnection Policy] オプションを必要なタイムアウト値(分単位)に設定して、[OK] を選択します。

  5. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

PCoIP のオーディオ入力リダイレクトを有効化/無効化する

デフォルトでは、Amazon WorkSpaces では、ローカルマイクから取得されたデータのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

注記

WorkSpaces でのユーザーのローカルログオンを制限するグループポリシー設定がある場合、オーディオ入力は WorkSpaces では機能しません。そのグループポリシー設定を削除すると、WorkSpace の次回再起動後にオーディオ入力機能が有効になります。このグループポリシー設定の詳細については、Microsoft のドキュメントの「ローカルでのログオンを許可する」をご参照ください。

オーディオ入力リダイレクトを有効または無効にするには

  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数に移動します。

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Defaults] を選択します。許可しない場合は、[Not Overridable Administrator Defaults] を選択します。

  3. [Enable/disable audio in the PCoIP session] (PCoIP セッションでのオーディオ入力を有効/無効にする) 設定を開きます。

  4. [Enable/disable audio in the PCoIP session] (PCoIP セッションでのオーディオ入力を有効/無効にする) ダイアログボックスで、[Enabled] (有効) または [Disabled] (無効) を選択します。

  5. [OK] を選択します。

  6. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

PCoIP のタイムゾーンリダイレクトを無効化する

デフォルトでは、WorkSpace 内の時間は、WorkSpace への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。

  • 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。

  • WorkSpace で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。

  • よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

タイムゾーンのリダイレクトを無効にするには

  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数に移動します。

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Defaults] を選択します。許可しない場合は、[Not Overridable Administrator Defaults] を選択します。

  3. [Configure timezone redirection] (タイムゾーンリダイレクトを構成) の設定を開きます。

  4. [Configure timezone redirection] (タイムゾーンリダイレクトを設定) ダイアログボックスで [Disabled] (無効) を選択します。

  5. [OK] を選択します。

  6. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

  7. WorkSpaces のタイムゾーンを目的のタイムゾーンに設定します。

WorkSpaces のタイムゾーンは静的になり、クライアントマシンのタイムゾーンは反映されなくなります。

PCoIP セキュリティ設定を構成する

PCoIP については、転送中のデータは、TLS 1.2 暗号化と SigV4 リクエスト署名を使用して暗号化されます。PCoIP プロトコルは、AES で暗号化された UDP トラフィックをストリーミングピクセルに使用します。ポート 4172 (TCP および UDP) を使用するストリーミング接続は、AES-128 および AES-256 暗号を使用して暗号化されますが、暗号化はデフォルトで 128 ビットとなります。このデフォルトを 256 ビットに変更するには、[Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) グループポリシー設定を使用します。

このグループポリシー設定を使用して、TLS セキュリティモードを変更し、特定の暗号スイートをブロックすることもできます。これらの設定とサポートされている暗号スイートの詳細については、[Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) グループポリシーダイアログボックスを参照してください。

PCoIP セキュリティ設定を構成するには

  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数に移動します。

    ユーザーによる設定の上書きを許可するには、[Overridable Administrator Defaults] を選択します。許可しない場合は、[Not Overridable Administrator Defaults] を選択します。

  3. [Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) の設定を開きます。

  4. [Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) ダイアログボックスで、[Enabled] (有効) を選択します。ストリーミングトラフィックのデフォルトの暗号化を 256 ビットに設定するには、[PCoIP Data Encryption Ciphers] (PCoIP データ暗号化暗号) オプションに移動し、[AES-256-GCM only] (AES-256-GCM のみ) を選択します。

  5. (オプション) TLS セキュリティモードの設定を調整し、ブロックする暗号スイートをリストします。これらの設定の詳細については、[Configure PCoIP Security Settings] (PCoIP セキュリティ設定を構成) ダイアログボックスに表示される説明を参照してください。

  6. [OK] を選択します。

  7. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

YubiKey U2F の USB リダイレクトを有効にする

注記

Amazon WorkSpaces は現在、YubiKey U2F に対してのみ USB リダイレクトをサポートしています。他のタイプの USB デバイスもリダイレクトされる場合がありますが、それらはサポートされていないため、正常に動作しない可能性があります。

YubiKey U2F の USB リダイレクトを有効にするには

  1. インストールしたPCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート、または PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレートが最新であることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開き、PCoIP セッション変数に移動します。

  3. ユーザーによる設定の上書きを許可する場合には、[Overridable Administrator Defaults] (上書き可能な管理者のデフォルト) を選択します。それ以外の場合は、[Not Overridable Administrator Defaults] (上書き不可の管理者のデフォルト) を選択します。

  4. [Enable/disable USB in the PCOIP session] (PCoIP セッションでの USB を有効/無効にする) 設定を開きます。

  5. [Enabled] (有効)、[OK] の順に選択します。

  6. [Configure PCoIP USB allowed and unallowed device rules] (PCoIP USB の許可および許可されないデバイスのルール設定) を開きます。

  7. [Enabled] (有効) を選択し、[Enter the USB authorization table (maximum ten rules)] (USB 認証テーブルを入力 (最大 10 個のルール)) で、USB デバイスの許可リストルールを設定します。

    1. 承認ルール - 110500407。この値は、ベンダー ID (VID) と製品 ID (PID) の組み合わせです。VID/PID の組み合わせの形式は 1xxxxyyyy です。xxxx は 16 進形式の VID で、yyyy は 16 進形式の PID です。この例では、1050 が VID で、0407 が PID です。YubiKey USB の値の詳細については、YubiKey USB ID Values を参照してください。

  8. [Enter the USB authorization table (maximum ten rules)] (USB 認証テーブルを入力 (最大 10 個のルール)) で、USB デバイスのブロックリストルールを設定します。

    1. [Unauthorization Rule] (非承認ルール) に、空の文字列を設定します。これは、承認リスト内の USB デバイスだけが許可されることを意味します。

    注記

    USB 承認ルールと USB 非承認ルールをそれぞれ最大 10 個定義することができます。複数のルールを区切るには、縦棒 (|) 文字を使用します。承認ルールと非承認ルールの詳細については、Teradici PCoIP Standard Agent for Windows を参照してください。

  9. [OK] を選択します。

  10. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

この設定が有効になると、USB デバイスのルール設定で制限が設定されていない限り、サポートされているすべての USB デバイスを WorkSpaces にリダイレクトできるようになります。

WorkSpaces Streaming Protocol (WSP) 用のグループポリシー管理テンプレートファイルをインストールする

WorkSpaces Streaming Protocol (WSP) プロトコルを使用しているときに WorkSpaces に固有のグループポリシー設定を使用するには、グループポリシー管理用テンプレート wsp.admx および WSP 用 wsp.adml ファイルを WorkSpaces ディレクトリのドメインコントローラーのセントラルストアに追加する必要があります。.admx および .adml ファイルの詳細については、「Windows でグループポリシー管理用テンプレートのセントラルストアを作成および管理する方法」を参照してください。

次の手順では、セントラルストアを作成し、管理用テンプレートファイルをそのストアに追加する方法について説明します。ディレクトリ管理用の WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、次の手順を実行します。

WSP のグループポリシー管理用テンプレートファイルをインストールするには

  1. 実行中の Windows WorkSpace から、wsp.admx ディレクトリの wsp.adml および C:\Program Files\Amazon\WSP ファイルのコピーを作成します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、Windows エクスプローラーを開き、アドレスバーに \\example.com のような組織の完全修飾ドメイン名 (FQDN) を入力します。

  3. sysvol フォルダを開きます。

  4. FQDN という名前のフォルダを開きます。

  5. Policies フォルダを開きます。あなたは今、\\FQDN\sysvol\FQDN\Policies に入っているはずです。

  6. まだ存在しない場合は、PolicyDefinitions という名前のフォルダを作成します。

  7. PolicyDefinitions フォルダを開きます。

  8. wsp.admx ファイルを \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions フォルダにコピーします。

  9. en-US フォルダに PolicyDefinitions という名前のフォルダを作成します。

  10. en-US フォルダを開きます。

  11. wsp.adml ファイルを \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US フォルダにコピーします。

管理用テンプレートファイルが正しくインストールされていることを確認するには

  1. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  2. フォレスト ([フォレスト:FQDN]) を展開します。

  3. [ドメイン] を展開します。

  4. FQDN を展開します (example.com など)。

  5. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  6. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、委任された権限を持つドメインコンテナの下に GPO を作成してリンクする必要があります。

    AWS Managed Microsoft AD を使用してディレクトリを作成すると、AWS Directory Service は、ドメインルートの下に yourdomainname 組織単位 (OU) を作成します。この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、Directory DNS 名の最初の部分が使用されます (例えば、corp.example.com の場合、NetBIOS 名は corp となります)。

    GPO を作成するには、デフォルトのドメインポリシーを選択する代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。

    yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  7. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  8. これで、この WSP グループポリシーオブジェクトを使用して、WSP を使用しているときに WorkSpaces に固有のグループポリシーの設定を変更できます。

WSP のプリンターサポートを設定する

デフォルトでは、WorkSpaces は基本的なリモート印刷を可能にします。印刷の互換性を確実にするため、ホスト側の汎用プリンタードライバーを使用するため、提供される印刷機能は限られています。

Windows クライアントの高度なリモート印刷 (WSP では使用できません) では、両面印刷など、プリンター固有の機能を使用できますが、ホスト側に一致するプリンタードライバーをインストールする必要があります。

リモート印刷は仮想チャネルとして実装されます。仮想チャネルが無効になっている場合、リモート印刷は機能しません。

Windows WorkSpaces の場合、グループポリシー設定を使用して、必要に応じてプリンターのサポートを設定できます。

プリンターのサポートを設定するには

  1. WSP の最新の WorkSpaces グループポリシー管理用テンプレートが、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Configure remote printing] 設定を開きます。

  10. [Configure remote printing (リモート印刷を設定)] ダイアログボックスで、次のいずれかを実行します。

    • ローカルプリンタのリダイレクトを有効にするには、[Enabled (有効)] を選択し、[Printing options (印刷オプション)] で [Basic (基本)] を選択します。クライアントコンピュータの現在のデフォルトプリンタを自動的に使用するには、[Map local default printer to the remote host (ローカルデフォルトプリンタをリモートホストにマップする)] を選択します。

    • 印刷を無効にするには、[Disabled (無効)] を選択します。

  11. [OK] を選択します。

  12. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

WSP のクリップボードリダイレクトを有効化/無効化する

デフォルトでは、WorkSpaces は双方向 (コピー/貼り付け) のクリップボードリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

Windows WorkSpaces のクリップボードのリダイレクトを有効または無効にするには

  1. WSP の最新の WorkSpaces グループポリシー管理用テンプレートが、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable clipboard redirection (クリップボードリダイレクトを有効/無効にする)] 設定を開きます。

  10. [Enable/disable clipboard redirection (クリップボードリダイレクトを有効/無効にする)] ダイアログボックスで、[Enabled (有効)] または [Disabled (無効)] を選択します。

  11. [OK] を選択します。

  12. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

既知の制限事項

WorkSpace でクリップボードのリダイレクトが有効になっていると、Microsoft Office アプリケーションから 890 KB よりも大きいコンテンツをコピーした場合に、アプリケーションが遅くなったり最大 5 秒応答しなくなったりすることがあります。

WSP のセッション再開タイムアウトを設定する

WorkSpaces クライアントアプリケーションを使用中にネットワーク接続が停止すると、現行のセッションは切断されます。これはノートパソコンの蓋を閉じた場合やワイヤレスネットワーク接続の喪失から発生する場合があります。Windows および macOS 用の WorkSpaces クライアントアプリケーションは、ネットワーク接続がある程度の時間内に回復すればセッションを自動的に再接続するよう試みます。デフォルト設定のセッション再起動タイムアウトは 20 分 (1,200 秒) ですが、ドメインのグループポリシー設定で制御される WorkSpaces では、この値の変更ができます。

自動セッション再起動タイムアウト値を設定するには

  1. WSP の最新の WorkSpaces グループポリシー管理用テンプレートが、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable automatic reconnect] (自動再接続を有効/無効にする) 設定を開きます。

  10. [Enable/disable automatic reconnect] (自動再接続を有効化/無効化) ダイアログボックスで、[Enabled] (有効) を選択し、[Reconnect timeout (seconds)] (再接続タイムアウト (秒)) を必要なタイムアウト (秒) に設定します。

  11. [OK] を選択します。

  12. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

WSP の動画入力リダイレクトを有効化/無効化する

デフォルトでは、WorkSpaces はローカルカメラから取得されたデータのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

Windows WorkSpaces のビデオ入力リダイレクトを有効または無効にするには

  1. WSP の最新の WorkSpaces グループポリシー管理用テンプレートが、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable video-in redirection (ビデオ入力リダイレクトを有効/無効にする)] 設定を開きます。

  10. [Enable/disable video-in redirection (ビデオ入力リダイレクトを有効/無効にする)] ダイアログボックスで、[Enabled (有効)] または [Disabled (無効)] を選択します。

  11. [OK] を選択します。

  12. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

WSP のオーディオ入力リダイレクトを有効化/無効化する

デフォルトでは、WorkSpaces では、ローカルマイクから取得されたデータのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

Windows WorkSpaces のオーディオ入力リダイレクトを有効または無効にするには

  1. WSP の最新の WorkSpaces グループポリシー管理用テンプレートが、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable audio-in redirection (オーディオ入力リダイレクトを有効/無効にする)] 設定を開きます。

  10. [Enable/disable audio-in redirection (オーディオ入力リダイレクトを有効/無効にする)] ダイアログボックスで、[Enabled (有効)] または [Disabled (無効)] を選択します。

  11. [OK] を選択します。

  12. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

WSP のタイムゾーンリダイレクトを無効化する

デフォルトでは、WorkSpace 内の時間は、WorkSpace への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。

  • 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。

  • WorkSpace で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。

  • よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

Windows WorkSpaces のタイムゾーンのリダイレクトを無効にするには

  1. WSP の最新の WorkSpaces グループポリシー管理用テンプレートが、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable time zone redirection (タイムゾーンリダイレクトを有効/無効にする)] 設定を開きます。

  10. [Enable/disable time zone redirection (タイムゾーンリダイレクトを有効/無効にする)] ダイアログボックスで [Disabled (無効)] を選択します。

  11. [OK] を選択します。

  12. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

  13. WorkSpaces のタイムゾーンを目的のタイムゾーンに設定します。

WorkSpaces のタイムゾーンは静的になり、クライアントマシンのタイムゾーンは反映されなくなります。

WSP のスマートカードリダイレクトを有効化/無効化する

デフォルトでは、Amazon WorkSpaces は、セッション前認証またはセッション内認証のいずれにもスマートカードの使用のサポートを有効化していません。セッション前認証とは、ユーザーが WorkSpaces にログインしている間に実行されるスマートカード認証をいいます。セッション内認証とは、ログイン後に実行される認証をいいます。

必要に応じグループポリシー設定を使用して、Windows WorkSpaces のセッション前認証およびセッション内認証を有効にします。EnableClientAuthentication API アクションまたは enable-client-authentication AWS CLI コマンドを使用して、AD Connector ディレクトリ設定を通じてセッション前認証も有効にする必要があります。詳細については、AWS Directory Service 管理ガイドAD Connector のスマートカード認証を有効にするを参照してください。

注記

Windows WorkSpaces でスマートカードを使用できるようにするには、追加の手順が必要です。詳細については、「」を参照してください認証にスマートカードを使用する

Windows WorkSpaces のスマートカードのリダイレクトを有効または無効にするには

  1. WSP の最新の WorkSpaces グループポリシー管理用テンプレートが、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable smart card redirection] (スマートカードリダイレクトを有効/無効にする) 設定を開きます。

  10. [Enable/disable smart card redirection] (スマートカードリダイレクトを有効/無効にする) ダイアログボックスで、[Enabled] (有効) または [Disabled] (無効) を選択します。

  11. [OK] を選択します。

  12. グループポリシー設定の変更は、WorkSpace セッションの再開後に有効になります。グループポリシー設定の変更を適用するには、WorkSpace を再起動します (Amazon WorkSpaces コンソールで WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) の順に選択します)。

WSP の画面ロックの場合のセッションの切断を有効化/無効化する

必要に応じて、Windows ロック画面が検出されたときに、ユーザーの WorkSpaces セッションを切断できます。WorkSpaces クライアントから再接続するには、WorkSpaces で有効になっている認証の種類に応じて、ユーザーはパスワードまたはスマートカードを使用して自分自身を認証できます。

このグループポリシー設定は、デフォルトでは無効になっています。必要に応じて、グループポリシー設定を使用して、Windows WorkSpaces の Windows ロック画面が検出された場合におけるセッションの切断を有効にできます。

注記
  • このグループポリシー設定は、現時点では AWS GovCloud (米国西部) リージョンでのみ使用できます。

  • このグループポリシー設定は、パスワード認証セッションとスマートカード認証セッションの両方に適用されます。

  • Windows WorkSpaces でスマートカードを使用できるようにするには、追加の手順が必要です。詳細については、「」を参照してください認証にスマートカードを使用する

Windows WorkSpaces の画面ロックの場合のセッションの切断を有効または無効にするには

  1. WSP の最新の WorkSpaces グループポリシー管理用テンプレートが、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

  2. ディレクトリ管理 WorkSpace または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (gpmc.msc) を開きます。

  3. フォレスト ([フォレスト:FQDN]) を展開します。

  4. [ドメイン] を展開します。

  5. FQDN を展開します (example.com など)。

  6. [Group Policy Objects (グループポリシーオブジェクト)] を展開します。

  7. [Default Domain Policy (デフォルトドメインポリシー)] を選択し、コンテキスト (右クリック) メニューを開き、[Edit (編集)] を選択します。

    注記

    WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、yourdomainname OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, and Link it here] (このドメインに GPO を作成し、ここにリンクする) を選択します。yourdomainname OU の詳細については、AWS Directory Service 管理ガイド作成されるものを参照してください。

  8. グループポリシー管理エディタで、[Computer Configuration (コンピュータの設定)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Amazon]、[WSP] の順に選択します。

  9. [Enable/disable disconnect session on screen lock] (画面ロックの場合のセッションの切断を有効/無効にする) 設定を開きます。

  10. [Enable/disable disconnect session on screen lock] (画面ロックの場合のセッションの切断を有効/無効にする) ダイアログボックスで、[Enabled] (有効) または [Disabled] (無効) を選択します。

  11. [OK] を選択します。

  12. グループポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

    • 管理コマンドプロンプトで、gpupdate /force と入力します。

Kerberos チケットの最大ライフタイムを設定する

Windows WorkSpaces の [Remember Me] (情報を記憶する) 機能を無効にしていない場合、WorkSpace ユーザーは WorkSpaces クライアントアプリケーションの [Remember Me] (情報を記憶する) または [Keep me logged in] (ログイン状態を保つ) チェックボックスを使用して、認証情報を保存することができます。この機能により、ユーザーはクライアントアプリケーションが実行中であれば簡単に WorkSpaces に接続できます。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終了するまで安全にキャッシュに保存されます。

WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft Windows ドキュメントの「チケットの最長有効期間」の手順に従って、グループポリシーを使用して WorkSpaces ユーザーの Kerberos チケットの最大有効期間を変更できます。

[Remember Me] (このアカウントを記憶する) 機能を有効または無効にする方法については、ユーザーを対象とした WorkSpace の自己管理機能を有効にする を参照してください。

インターネットアクセス用のデバイスプロキシサーバー設定を構成する

デフォルトでは、WorkSpaces Windows クライアントアプリケーションは、HTTPS (ポート 443) トラフィックのデバイスオペレーティングシステム設定で指定されたプロキシサーバーを使用します。Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポートを使用します。

注記
  • WorkSpace へのデスクトップストリーミング接続では、ポート 4172 と 4195 を有効にする必要があり、プロキシサーバーを経由しません。

  • ユーザー名とパスワードによる認証を必要とするプロキシサーバーはサポートされていません。

Microsoft のドキュメントの「デバイスプロキシとインターネット接続の設定の構成」の手順に従って、グループポリシーを通じて Windows WorkSpaces のデバイスプロキシサーバー設定を構成できます。

WorkSpaces Windows クライアントアプリケーションでのプロキシ設定の構成の詳細については、Amazon WorkSpaces ユーザーガイドプロキシサーバーを参照してください。