Amazon WorkSpaces Web Access を有効化および設定する - Amazon WorkSpaces
ステップ 1: WorkSpaces で Web Access を有効にするステップ 2: Web Access 用のポートへのインバウンドおよびアウトバウンドアクセスを設定するステップ 3: グループポリシーとセキュリティポリシーの設定を構成してユーザーがログオンできるようにする

Amazon WorkSpaces Web Access を有効化および設定する

ほとんどの WorkSpaces バンドルは、Amazon WorkSpaces Web Access をサポートしています。ウェブブラウザのアクセスをサポートする WorkSpaces のリストについては、「ウェブアクセスはどの Amazon WorkSpaces バンドルでサポートされていますか?」を参照してください。クライアントアクセス、Web アクセス、およびユーザーエクスペリエンスで。

注記

  • Web Access は、PCoIP プロトコルを使用する一部の Windows 10 WorkSpaces では使用できません。PCoIP WorkSpace が Windows Server 2019 に搭載されている場合、Web Access は使用できません。

  • ウェブブラウザを使用して Amazon Linux WorkSpaces に接続することはできません。

  • AWS GovCloud (US) Regionでは、Web Access を使用して WSP WorkSpaces に接続できます。ウェブアクセスを介した PCoIP WorkSpaces への接続は、AWS GovCloud (US) Region、アジアパシフィック (ムンバイ)、およびアフリカ (ケープタウン) ではサポートされていません。

重要

2020 年 10 月 1 日以降、お客様は Amazon WorkSpaces Web Access クライアントを使用して Windows 7 カスタム WorkSpaces または Windows 7 Bring-Your-Own-License (BYOL) WorkSpaces に接続できなくなります。

ステップ 1: WorkSpaces で Web Access を有効にする

WorkSpaces への Web Access は、ディレクトリレベルで制御します。Web Access クライアント経由のアクセスをユーザーに許可する WorkSpaces を含むディレクトリごとに、以下のステップを実行します。

WorkSpaces への Web Access を有効にするには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. ナビゲーションペインで [Directories] を選択します。

  3. [Directory ID] (ディレクトリ ID) 列で、Web Access を有効にするディレクトリのディレクトリ ID を選択します。

  4. [Directory Details] (ディレクトリの詳細) ページで、[Other platforms] (その他のプラットフォーム) セクションまでスクロールし、[Edit] (編集) を選択します。

  5. [Web Access] を選択します。

  6. [Save (保存)] を選択します。

注記

ウェブアクセスを有効にしたら、WorkSpace を再起動して変更を適用します。

ステップ 2: Web Access 用のポートへのインバウンドおよびアウトバウンドアクセスを設定する

Amazon WorkSpaces Web Access では、特定のポートに対するインバウンドおよびアウトバウンドアクセスが必要です。詳細については、「Web Access のポート」を参照してください。

ステップ 3: グループポリシーとセキュリティポリシーの設定を構成してユーザーがログオンできるようにする

Amazon WorkSpaces では、ユーザーが Web Access クライアントから正常にログオンできるように、専用のログオン画面設定を使用しています。

Web Access ユーザーが WorkSpaces にログオンできるようにするには、グループポリシー設定と 3 つのセキュリティポリシー設定を構成する必要があります。これらの設定が正しく設定されていないと、ログオン時間が長くなったり、WorkSpaces にログオンする際にブラックスクリーンがユーザーに表示されたりする場合があります。これらの設定を構成するには、次の手順に従います。

グループポリシーオブジェクト (GPO) を使用して、Windows WorkSpaces または Windows WorkSpaces ディレクトリの一部であるユーザーを管理するための設定を適用できます。WorkSpaces コンピュータオブジェクト用の組織単位と WorkSpaces ユーザーオブジェクト用の組織単位を作成することをお勧めします。

Active Directory 管理ツールを使用して GPO を操作する方法の詳細については、AWS Directory Service 管理ガイドActive Directory 管理ツールのインストールを参照してください。

WorkSpaces ログオンエージェントを有効にしてユーザーを切り替えるには

ほとんどの場合、ユーザーが WorkSpace にログオンする際、そのユーザーの名前にユーザー名フィールドがあらかじめ設定されています。ただし、管理者が WorkSpace への RDP 接続を確立してメンテナンスタスクを実行した場合、ユーザー名フィールドには管理者の名前が追加されます。

この問題を回避するには、グループポリシー設定の [Hide entry points for Fast User Switching] を無効にします。この設定を無効にすると、WorkSpaces ログオンエージェントで [Switch User] ボタンを使用して、ユーザー名フィールドに正しい名前を追加することができます。

  1. グループポリシー管理ツール (gpmc.msc) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに WorkSpaces グループポリシー管理用テンプレートがインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

  2. メインメニューの [Action]、[Edit] を選択します。

  3. グループポリシー管理エディタで、[Computer Configuration]、[Policies]、[Administrative Templates]、[System]、[Logon] の順に選択します。

  4. [Hide entry points for Fast User Switching] 設定を開きます。

  5. [Hide entry points for Fast User Switching] ダイアログボックスで、[無効]、[OK] の順に選択します。

最後にログオンしたユーザー名を非表示にするには

デフォルトでは、[Switch User] ボタンではなく、最後にログオンしたユーザーのリストが表示されます。WorkSpace の設定によって、このリストは [Other User] タイルに表示されない場合があります。リストが表示されない場合や、あらかじめ設定されたユーザー名が正しくない場合は、WorkSpaces ログオンエージェントを使用してフィールドに正しい名前を追加することはできません。

この問題を回避するには、セキュリティポリシー設定 [Interactive logon: Don't display last signed-in] または [Interactive logon: Do not display last user name] (使用している Windows のバージョンに応じて) を有効にします。

  1. グループポリシー管理ツール (gpmc.msc) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに WorkSpaces グループポリシー管理用テンプレートがインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

  2. メインメニューの [Action]、[Edit] を選択します。

  3. グループポリシー管理エディタで、[Computer Configuration]、[Windows Settings]、[Security Settings]、[Local Policies]、[Security Options] の順に選択します。

  4. 次のいずれかの設定を開きます。

    • Windows 7 の場合 — Interactive logon: Don't display last signed-in

    • Windows 10 の場合 — Interactive logon: Do not display last user name

  5. 該当する設定の [プロパティ] ダイアログボックスで、[有効]、[OK] の順に選択します。

ユーザーがログオンするために Ctrl+Alt+Del キーを押すようにするには

WorkSpaces Web Access では、ユーザーがログオンする前に Ctrl+Alt+Del キーを押す必要があります。ユーザーがログオンする前に Ctrl+Alt+Del キーを押すように要求すると、ユーザーがパスワードを入力するときに信頼されたパスを使用できるようになります。

  1. グループポリシー管理ツール (gpmc.msc) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに WorkSpaces グループポリシー管理用テンプレートがインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

  2. メインメニューの [Action]、[Edit] を選択します。

  3. グループポリシー管理エディタで、[Computer Configuration]、[Windows Settings]、[Security Settings]、[Local Policies]、[Security Options] の順に選択します。

  4. [Interactive logon: Do not require CTRL+ALT+DEL] 設定を開きます。

  5. [Local Security Setting] タブで、[Disabled] を選択して [OK] を選択します。

セッションがロックされているときにドメインとユーザー情報を表示するには

WorkSpaces ログオンエージェントは、ユーザーの名前とドメインを検索します。この設定を構成すると、ロック画面にユーザーのフルネーム (Active Directory で指定されている場合)、ドメイン名、およびユーザー名が表示されます。

  1. グループポリシー管理ツール (gpmc.msc) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに WorkSpaces グループポリシー管理用テンプレートがインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

  2. メインメニューの [Action]、[Edit] を選択します。

  3. グループポリシー管理エディタで、[Computer Configuration]、[Windows Settings]、[Security Settings]、[Local Policies]、[Security Options] の順に選択します。

  4. [Interactive logon: Display user information when the session is locked] 設定を開きます。

  5. [Local Security Setting] タブで、[User display name, domain and user names] を選択し、[OK] を選択します。

グループポリシーとセキュリティポリシーの設定の変更を適用するには

グループポリシーおよびセキュリティポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。前の手順でグループポリシーとセキュリティポリシーの変更を適用するには、次のいずれかの操作を行います。

  • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[Actions] (アクション)、[Reboot WorkSpaces] (WorkSpaces の再起動) を選択します)。

  • 管理コマンドプロンプトから、gpupdate /force と入力します。