WorkSpaces Personal の信頼されたデバイスへのアクセスを制限する - Amazon WorkSpaces

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

WorkSpaces Personal の信頼されたデバイスへのアクセスを制限する

デフォルトでは、ユーザーはインターネットに接続されているサポートされている WorkSpaces 任意のデバイスから にアクセスできます。会社が企業データへのアクセスを信頼できるデバイス (マネージドデバイスとも呼ばれます) に制限している場合、有効な証明書を使用して信頼できるデバイス WorkSpaces へのアクセスを制限できます。

注記

この機能は、現在、Simple AD、AD Connector、 AWS Managed Microsoft AD ディレクトリ AWS Directory Service を含む を介して WorkSpaces Personal ディレクトリが管理されている場合にのみ使用できます。

この機能を有効にすると、 は証明書ベースの認証 WorkSpaces を使用して、デバイスが信頼されているかどうかを判断します。 WorkSpaces クライアントアプリケーションは、デバイスが信頼されていることを検証できない場合、デバイスからのログインまたは再接続をブロックします。

各ディレクトリにで、最大 2 つのルート証明書をインポートできます。2 つのルート証明書をインポートすると、 は両方をクライアントに WorkSpaces 提示し、クライアントはいずれかのルート証明書に連鎖する最初の有効な一致証明書を見つけます。

Supported Clients (サポートされるクライアント)
  • Android、Android または Android 対応の Chrome OS システム

  • macOS

  • Windows

重要

この機能は次のクライアントではサポートされていません。

  • WorkSpaces Linux または 用の クライアントアプリケーション iPad

  • Teradici 、 クライアント、リモートデスクトップアプリケーションを含むが、これに限定されないサードパーティーPCoIPRDPクライアント。

注記

特定のクライアントに対してアクセスを有効にする場合は、他の不要なデバイスタイプのアクセスをブロックしてください。これを行う方法については、ステップ 3 の手順 7 を参照してください。

ステップ 1: 証明書を作成する

この機能には、内部認証局(CA)によって生成されるルート証明書と、ルート証明書に連鎖するクライアント証明書の 2 種類の証明書が必要です。

要件
  • ルート証明書は、、CRT、CERTまたは PEM形式の Base64-encodedされた証明書ファイルである必要があります。

  • ルート証明書は、次の正規表現パターンを満たす必要があります。つまり、最後の行の横にあるすべてのエンコードされた行は、正確に 64 文字でなければなりません: -{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)

  • デバイス証明書には共通名が含まれている必要があります。

  • デバイス証明書には、Key Usage: Digital Signature およびEnhanced Key Usage: Client Authentication の拡張機能が含まれている必要があります。

  • デバイス証明書から信頼されたルート認証局へのチェーン内の、すべての証明書をクライアントデバイスにインストールする必要があります。

  • 証明書チェーンでサポートされている最大長は 4 です。

  • WorkSpaces は現在、クライアント証明書の証明書失効リスト (CRL) やオンライン証明書ステータスプロトコル (OCSP) などのデバイス失効メカニズムをサポートしていません。

  • 強力な暗号化アルゴリズムを使用します。SHA256 では RSA、 SHA256では ECDSA、 SHA384では ECDSA、または SHA512では をお勧めしますECDSA。

  • macOS の場合、デバイス証明書がシステムキーチェーンにある場合は、 WorkSpaces クライアントアプリケーションがそれらの証明書にアクセスすることを許可することをお勧めします。それ以外の場合は、ユーザーがログインまたは再接続するときに、キーチェーンの資格情報を入力する必要があります。

ステップ 2: クライアント証明書を信頼されたデバイスにデプロイする

ユーザーの信頼されたデバイスで、デバイス証明書から信頼されたルート証明書認証へのチェーン内の、すべての証明書を含む証明書バンドルをインストールする必要があります。任意のソリューションを使用して、System Center Configuration Manager (SCCM) やモバイルデバイス管理 () などの証明書をクライアントデバイスのフリートにインストールできますMDM。SCCM および MDMは、オプションでセキュリティ体制評価を実行して、デバイスがアクセスする企業ポリシーを満たしているかどうかを判断できることに注意してください WorkSpaces。

WorkSpaces クライアントアプリケーションは、次のように証明書を検索します。

  • Android - [設定] に移動し、[セキュリティと位置情報][認証情報][SD カードからインストール] の順に選択します。

  • Android 対応 Chrome OS システム - Android の [設定] を開き、[セキュリティと位置情報][認証情報][SD カードからインストール] の順に選択します。

  • macOS - キーチェーンでクライアント証明書を検索します。

  • Windows - ユーザーストアとルート証明書ストアでクライアント証明書を探します。

ステップ 3: 制限を設定する

信頼されたデバイスにクライアント証明書をデプロイした後で、ディレクトリレベルでの制限付きアクセスを有効にすることができます。これには、ユーザーが にログインする前に、 WorkSpaces クライアントアプリケーションがデバイスで証明書を検証する必要があります WorkSpace。

制限を設定するには
  1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/

  2. ナビゲーションペインで [Directories] を選択します。

  3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。

  4. [Access Control Options] を展開します。

  5. 「各デバイスタイプ」で、 にアクセスできるデバイスを指定し WorkSpaces「信頼できるデバイス」を選択します。

  6. 最大 2 つのルート証明書をインポートします。各ルート証明書について、次の操作を行います。

    1. [インポート] を選択します。

    2. 証明書の本文をフォームにコピーします。

    3. [インポート] を選択します。

  7. 他のタイプのデバイスにアクセス権があるかどうかを指定します WorkSpaces。

    1. [Other Platforms] セクションまで下にスクロールします。デフォルトでは、 WorkSpaces Linux クライアントは無効になっており、ユーザーは WorkSpaces iOS デバイス、Android デバイス、Web Access、Chromebook、およびPCoIPゼロクライアントデバイスから にアクセスできます。

    2. 有効にするデバイスタイプを選択し、無効にするデバイスタイプをクリアします。

    3. 選択したすべてのデバイスタイプからのアクセスをブロックするには、[Block] を選択します。

  8. [Update and Exit] を選択します。