Amazon WorkSpaces
管理ガイド

信頼されたデバイスへの WorkSpaces アクセスを制限する

デフォルトでは、ユーザーはインターネットに接続されているサポートされているデバイスから WorkSpace にアクセスできます。会社が信頼されたデバイス(管理デバイスとも呼ばれます)への企業データアクセスを制限している場合、有効な証明書を使用して WorkSpace へのアクセスを信頼されたデバイスに制限することができます。

この機能を有効にすると、Amazon WorkSpaces は証明書ベースの認証を使用して、デバイスが信頼できるかどうかを判断します。WorkSpaces クライアントアプリケーションは、デバイスが信頼されていることを確認できない場合、デバイスへのログインまたは再接続をブロックします。

各ディレクトリにで、最大 2 つのルート証明書をインポートできます。2 つのルート証明書をインポートすると、Amazon WorkSpaces はそれらをクライアントに提示し、クライアントはいずれかのルート証明書にチェーンする最初の有効な一致証明書を見つけます。

重要

この機能は、Windows コンピュータと macOS のコンピュータでサポートされています。

ステップ 1: 証明書の作成

この機能には、内部認証局(CA)によって生成されるルート証明書と、ルート証明書に連鎖するクライアント証明書の 2 種類の証明書が必要です。

要件

  • 証明書は、Base64 でエンコードされた CRT、CERT、または PEM 形式の証明書ファイルである必要があります。

  • 証明書には共通名が含まれている必要があります。

  • サポートされている証明書チェーンの最大長は 4 です。

  • Amazon WorkSpaces は現在、クライアント証明書の証明書失効リスト (CRL) やオンライン証明書ステータスプロトコル (OCSP) などのデバイス失効メカニズムをサポートしていません。

  • 強力な暗号化アルゴリズムを使用します。SHA256 には RSA、SHA256 には ECDSA、SHA381 には ECDSA、SHA512 には ECDSA を推奨します。

  • パブリックキーに「key usage:Digital signature」が存在することを確認します。そうしないと、パブリックキーとプライベートキーがマシンと WorkSpaces コンソールに存在していても、デバイス認証は失敗します。

  • macOS の場合、デバイス証明書がシステムキーチェーンにある場合は、WorkSpaces クライアントアプリケーションがこれらの証明書にアクセスする権限を与えることをお勧めします。それ以外の場合は、ユーザーがログインまたは再接続するときに、キーチェーンの資格情報を入力する必要があります。

ステップ 2: クライアント証明書を信頼されたデバイスにデプロイする

信頼されたデバイスにクライアント証明書をインストールする必要があります。任意のソリューションを使用して、一連のクライアントデバイスに証明書をインストールすることができます。たとえば、SCCM(System Center Configuration Manager)や MDM(Mobile Device Management)などです。SCCM と MDM は、オプションでセキュリティポスチャ評価を実行して、デバイスが WorkSpace にアクセスするための企業ポリシーを満たしているかどうかを判断できます。

Windows では、WorkSpaces クライアントアプリケーションはユーザーストアとルート証明書ストアの両方でクライアント証明書を探します。MacOS では、WorkSpaces クライアントアプリケーションはキーチェーン全体でクライアント証明書を探します。

ステップ 3: 制限を設定する

信頼されたデバイスにクライアント証明書をデプロイした後で、ディレクトリレベルでの制限付きアクセスを有効にすることができます。このため、WorkSpace クライアントアプリケーションは、ユーザーが WorkSpace にログインする前に、デバイス上の証明書を検証する必要があります。

制限を設定するには

  1. Amazon WorkSpaces コンソール (https://console.aws.amazon.com/workspaces/) を開きます。

  2. ナビゲーションペインで [Directories] を選択します。

  3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。

  4. [Access Control Options] を展開します。

  5. [Windows] [信頼された Windows デバイスのみに WorkSpaces へのアクセスを許可] を選択します。

  6. [macOS] [信頼された macOS デバイスのみに WorkSpaces へのアクセスを許可] を選択します。

  7. 最大 2 つのルート証明書をインポートします。各ルート証明書について、次の操作を行います。

    1. [Import] を選択します。

    2. 証明書の本文をフォームにコピーします。

    3. [Import] を選択します。

  8. [Update and Exit] を選択します。