翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon WorkSpaces アプリケーションで Active Directory の使用を開始する前に
WorkSpaces アプリケーションで Microsoft Active Directory ドメインを使用する前に、以下の要件と考慮事項に注意してください。
**Topics**
+ [アクティブディレクトリドメイン環境](active-directory-prerequisites-domain-environment.md)
+ [ドメイン参加 WorkSpaces アプリケーションストリーミングインスタンス](active-directory-prerequisites-streaming-instances.md)
+ [グループポリシー設定](active-directory-prerequisites-group-policy-settings.md)
+ [スマートカード認証](active-directory-prerequisites-smart-card-authentication.md)
# アクティブディレクトリドメイン環境
Active Directory ドメイン環境は、以下の要件を満たしている必要があります。
+ ストリーミングインスタンスを参加させる Microsoft アクティブディレクトリドメインが必要です。Active Directory ドメインがない場合、またはオンプレミスの Active Directory 環境を使用する場合は、「 [AWS パートナーソリューションデプロイガイド」の「Active Directory ドメインサービス](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/)」を参照してください。
+ WorkSpaces アプリケーションで使用するドメイン内のコンピュータオブジェクトを作成および管理するためのアクセス許可を持つドメインサービスアカウントが必要です。詳細については、Microsoft ドキュメントで [How to Create a Domain Account in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx) を参照してください。
この Active Directory ドメインを WorkSpaces アプリケーションに関連付けるときは、サービスアカウント名とパスワードを指定します。WorkSpaces Applications はこのアカウントを使用して、 ディレクトリにコンピュータオブジェクトを作成および管理します。詳細については、「[アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与](active-directory-permissions.md)」を参照してください。
+ Active Directory ドメインを WorkSpaces アプリケーションに登録するときは、組織単位 (OU) 識別名を指定する必要があります。この目的のために OU を作成します。デフォルトのコンピュータコンテナは OU ではなく、WorkSpaces アプリケーションでは使用できません。詳細については、「[組織単位の識別子名を検索する](active-directory-oudn.md)」を参照してください。
+ WorkSpaces アプリケーションで使用するディレクトリは、ストリーミングインスタンスが起動される Virtual Private Cloud (VPC) を介して、完全修飾ドメイン名 (FQDNs) からアクセス可能である必要があります。詳細については、Microsoft ドキュメントの [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx) を参照してください。
+ ドメインコントローラーへのアクセスは IPv6 経由でサポートすることもでき、[DHCP オプションセットの更新](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)が必要です。
# ドメイン参加 WorkSpaces アプリケーションストリーミングインスタンス
ドメイン参加済みの常時オンおよびオンデマンドフリートからのアプリケーションのストリーミングには SAML 2.0 ベースのユーザーフェデレーションが必要です。[CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) または WorkSpaces Applications ユーザープールを使用して、ドメインに参加しているインスタンスにセッションを起動することはできません。
また、Image Builder とフリートのアクティブディレクトリドメインへの参加をサポートするイメージを使用する必要があります。2017 年 7 月 24 日以降に公開されたすべてのパブリックイメージはアクティブディレクトリドメインへの参加をサポートします。詳細については、「[WorkSpaces アプリケーションベースイメージとマネージドイメージ更新リリースノート](base-image-version-history.md)」および「[チュートリアル: アクティブディレクトリのセットアップ](active-directory-directory-setup.md)」を参照してください。
**注記**
Always-On およびオンデマンドフリートストリーミングインスタンスを Active Directory ドメインに参加させることができます。サポートされているオペレーティングシステムには、Windows、Red Hat Enterprise Linux、Rocky Linux などがあります。
# グループポリシー設定
次のグループポリシー設定の内容を確認します。必要に応じて、このセクションの説明に従って設定を更新し、WorkSpaces アプリケーションがドメインユーザーの認証とログインをブロックしないようにします。そうしないと、ユーザーが WorkSpaces アプリケーションにログインしようとすると、ログインが成功しない可能性があります。「不明なエラーが発生しました」というエラーメッセージが表示される場合があります。
+ **[Computer Configuration] (コンピュータの構成) > [Administrative Templates] (管理用テンプレート) > [Windows Components] (Windows コンポーネント) > [Windows Logon Options] (Windows ログオンオプション) > [Disable or Enable software Secure Attention Sequence]** (ソフトウェアの Secure Attention Sequence を無効または有効にする) から、[**Services**] (サービス) に対して [**Enabled**] (有効) に設定します。
+ [**コンピュータの構成] > [管理用テンプレート] > [システム] > [ログオン] > [認証情報プロバイダーを除外する**] – `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` および `f148bAed-5f7f-40c9-8D48-51e24e571825` の各 CLSID が一覧に*ない*ことを確認します。
+ [**Computer Configuration (コンピュータの構成)] > [Policies (ポリシー)] > [Windows Settings (Windows 設定)] > [Security Settings (セキュリティ設定)] > [Local Policies (ローカルポリシー)] > [Security Options (セキュリティオプション)] > [Interactive Logon (対話型ログオン)] > [Interactive Logon (対話型ログオン)]: ログオンしようとしているユーザーへのメッセージテキスト**から、この値を [**Not defined (未定義)**] に設定します。
+ [**Computer Configuration (コンピュータの構成)] > [Policies (ポリシー)] > [Windows Settings (Windows 設定)] > [Security Settings (セキュリティ設定)] > [Local Policies (ローカルポリシー)] > [Security Options (セキュリティオプション)] > [Interactive Logon (対話型ログオン)] > [Interactive Logon (対話型ログオン)]: ログオンしようとしているユーザーへのメッセージタイトル**から、この値を [**Not defined (未定義)**] に設定します。
+ **[コンピュータの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [ローカルポリシー] > [ユーザー権限の割り当て] > [ローカルのログオンを許可]** – これを **[未定義]** に設定するか、ドメインユーザー/グループをこのリストに追加します。
+ **[コンピュータの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [ローカルポリシー] > [ユーザー権限の割り当て] > [ローカルのログオンを拒否]** – これを **[未定義]** に設定するか、ドメインユーザー/グループがリストに含まれていないことを確認します。
マルチセッションフリートを使用している場合は、上記の設定に加えて、以下のグループポリシー設定も必要です。
+ **[コンピュータの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [ローカルポリシー] > [ユーザー権限の割り当て] > [リモートデスクトップサービスを介したログオンを許可]** – これを**[未定義]** に設定するか、ドメインユーザー/グループをこのリストに追加します。
+ **[コンピュータの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [ローカルポリシー] > [ユーザー権限の割り当て] > [リモートデスクトップサービスを介したログオンを拒否]** – これを **[未定義]** に設定するか、ドメインユーザー/グループがリストに含まれていないことを確認します。
# スマートカード認証
WorkSpaces Applications は、WorkSpaces Applications ストリーミングインスタンスへの Windows サインインに、Active Directory ドメインパスワードや[、Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) や [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/) スマートカードなどのスマートカードの使用をサポートしています。サードパーティーの証明機関 (CA) を使用してスマートカードサインインを有効にするようにアクティブディレクトリ環境を構成する詳細方法については、Microsoft ドキュメントの [Guidelines for enabling smart card logon with third-party certification authorities](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) を参照してください。
**注記**
WorkSpaces アプリケーションは、ユーザーがストリーミングインスタンスにサインインした後のセッション内認証にスマートカードの使用もサポートしています。この機能は、Windows バージョン 1.1.257 以降の WorkSpaces アプリケーションクライアントがインストールされているユーザーでのみサポートされています。その他の要件については、[スマートカード](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards) を参照してください。