WorkSpaces プールで Active Directory の使用を開始する前に - Amazon WorkSpaces
アクティブディレクトリドメイン環境 WorkSpaces プール WorkSpaces にドメイン参加グループポリシー設定スマートカード認証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

WorkSpaces プールで Active Directory の使用を開始する前に

WorkSpaces プールで Microsoft Active Directory ドメインを使用する前に、以下の要件と考慮事項に注意してください。

アクティブディレクトリドメイン環境

  • に参加する Microsoft Active Directory ドメインが必要です WorkSpaces。Active Directory ドメインがない場合、またはオンプレミスの Active Directory 環境を使用する場合は、AWS 「 クラウド上の Active Directory ドメインサービス: クイックスタートリファレンスデプロイ」を参照してください。

  • WorkSpaces プールで使用する予定のドメインにコンピュータオブジェクトを作成および管理するためのアクセス許可を持つドメインサービスアカウントが必要です。詳細については、Microsoft ドキュメントで How to Create a Domain Account in Active Directory を参照してください。

    この Active Directory ドメインを WorkSpaces プールに関連付けるときは、サービスアカウント名とパスワードを指定します。 WorkSpaces Pools はこのアカウントを使用して、ディレクトリ内のコンピュータオブジェクトを作成および管理します。詳細については、「アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与」を参照してください。

  • Active Directory ドメインを WorkSpaces プールに登録するときは、組織単位 (OU) の識別名を指定する必要があります。この目的のために OU を作成します。デフォルトのコンピュータコンテナは OU ではなく、 WorkSpaces プールでは使用できません。詳細については、「組織単位の識別子名を検索する」を参照してください。

  • WorkSpaces プールで使用する予定のディレクトリには、 WorkSpaces が起動される仮想プライベートクラウド (FQDNs) を介して、完全修飾ドメイン名 (VPC) からアクセス可能である必要があります。詳細については、Microsoft ドキュメントの Active Directory and Active Directory Domain Services Port Requirements を参照してください。

WorkSpaces プール WorkSpaces にドメイン参加

SAML ドメインに参加している からのアプリケーションストリーミングには、2.0 ベースのユーザーフェデレーションが必要です WorkSpaces。また、Active Directory ドメインへの結合をサポートする Windows イメージを使用する必要があります。2017 年 7 月 24 日以降に公開されたすべてのパブリックイメージはアクティブディレクトリドメインへの参加をサポートします。

グループポリシー設定

次のグループポリシー設定の内容を確認します。必要に応じて、このセクションの説明に従って設定を更新し、 WorkSpaces プールがドメインユーザーの認証とログインをブロックしないようにします。そうしないと、ユーザーがログインを試み WorkSpaces ても成功しない可能性があります。「不明なエラーが発生しました」というエラーメッセージが表示される場合があります。

  • [Computer Configuration] (コンピュータの構成) > [Administrative Templates] (管理用テンプレート) > [Windows Components] (Windows コンポーネント) > [Windows Logon Options] (Windows ログオンオプション) > [Disable or Enable software Secure Attention Sequence] (ソフトウェアの Secure Attention Sequence を無効または有効にする) から、[Services] (サービス) に対して [Enabled] (有効) に設定します。

  • コンピュータ設定 > 管理テンプレート > システム > ログオン > 認証情報プロバイダーを除外 — 以下CLSIDが表示されていないことを確認します。 e7c1bab5-4b49-4e64-a966-8d99686f8c7c

  • [Computer Configuration (コンピュータの構成)] > [Policies (ポリシー)] > [Windows Settings (Windows 設定)] > [Security Settings (セキュリティ設定)] > [Local Policies (ローカルポリシー)] > [Security Options (セキュリティオプション)] > [Interactive Logon (対話型ログオン)] > [Interactive Logon (対話型ログオン)]: ログオンしようとしているユーザーへのメッセージテキストから、この値を [Not defined (未定義)] に設定します。

  • [Computer Configuration (コンピュータの構成)] > [Policies (ポリシー)] > [Windows Settings (Windows 設定)] > [Security Settings (セキュリティ設定)] > [Local Policies (ローカルポリシー)] > [Security Options (セキュリティオプション)] > [Interactive Logon (対話型ログオン)] > [Interactive Logon (対話型ログオン)]: ログオンしようとしているユーザーへのメッセージタイトルから、この値を [Not defined (未定義)] に設定します。

スマートカード認証

WorkSpaces プールは、Active Directory ドメインパスワード、または Windows が WorkSpaces プール WorkSpaces の にサインインするための共通アクセスカード (CAC)個人識別検証 (PIV) スマートカードなどのスマートカードの使用をサポートします。サードパーティーの認証機関 (CAs) を使用してスマートカードサインインを有効にするように Active Directory 環境を設定する方法については、Microsoft ドキュメントの「サードパーティーの認証機関でスマートカードログオンを有効にするためのガイドライン」を参照してください。