翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# WorkSpaces Personal のディレクトリを作成する
WorkSpaces Personal では、Directory Service によって管理されるディレクトリを使用して、WorkSpace とユーザーの情報を格納し管理できます。WorkSpaces Personal のディレクトリを作成するには、次のオプションを使用します。
+ Simple AD ディレクトリを作成します。
+ AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD ともいいます) を作成します。
+ Active Directory Connector を使用して、既存の Active Directory に接続します。
+ AWS Managed Microsoft AD ディレクトリとオンプレミスドメイン間の信頼関係を作成します。
+ 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成します。
+ 専用のカスタム WorkSpaces ディレクトリを作成します。
**注記**
現在、共有ディレクトリは、Amazon WorkSpaces での使用はサポートされていません。
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリを設定する場合は、プライマリリージョンのディレクトリのみを Amazon WorkSpaces で使用するために登録できます。Amazon WorkSpaces で使用するためにレプリケートされたリージョンにディレクトリを登録しようとすると失敗します。AWS Managed Microsoft AD を使用したマルチリージョンレプリケーションは、レプリケートされたリージョン内での Amazon WorkSpaces での使用についてサポートされていません。
Simple AD および AD Connector は、WorkSpaces で無料で利用できます。Simple AD または AD Connector ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、 [AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。
## ディレクトリを作成する前に
+ WorkSpaces はすべてのリージョンで利用できるわけではありません。サポートされているリージョンを確認し、WorkSpaces のリージョンを選択します。サポートされるリージョンについては、[AWS リージョン別の WorkSpaces の料金](https://aws.amazon.com/workspaces/pricing/)を参照してください。
+ 少なくとも 2 つのプライベートサブネットを持つ Virtual Private Cloud を作成します。詳細については、「[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md)」を参照してください VPC は、仮想プライベートネットワーク (VPN) 接続または を通じてオンプレミスのネットワークに接続されている必要がありますDirect Connect 詳細については、*AWS Directory Service 管理ガイド*の[AD Connector の前提条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)を参照してください。
+ WorkSpace からインターネットにアクセスできます。詳細については、「[WorkSpaces Personal でのインターネットアクセス](amazon-workspaces-internet-access.md)」を参照してください。
空のディレクトリを削除する方法については、「[WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md)」を参照してください。Simple AD または AD Connector ディレクトリを削除した場合、WorkSpaces を再度ご使用になる際は、いつでも Simple AD または AD Connector を新たに作成できます。
**Topics**
+ [ディレクトリを作成する前に](#prereqs-tutorials)
+ [WorkSpaces Personal ディレクトリのコンピュータ名を特定する](wsp-directory-identify-computer.md)
+ [WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリを作成する](launch-workspace-microsoft-ad.md)
+ [WorkSpaces Personal で Simple AD ディレクトリを作成する](launch-workspace-simple-ad.md)
+ [WorkSpaces Personal の AD Connector を作成する](launch-workspace-ad-connector.md)
+ [WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリとオンプレミスドメインの間の信頼関係を作成する](launch-workspace-trusted-domain.md)
+ [WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する](launch-entra-id.md)
+ [WorkSpaces Personal で専用のカスタムディレクトリを作成する](launch-custom.md)
# WorkSpaces Personal ディレクトリのコンピュータ名を特定する
Amazon WorkSpaces コンソールに表示される WorkSpace の [**Computer Name**] (コンピュータ名) の値は、起動した WorkSpace の種類 (Amazon Linux、Ubuntu、Windows) によって異なります。WorkSpace のコンピュータ名には、次のいずれかの形式を使用できます。
+ **Amazon Linux**: A-*xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**: R-*xxxxxxxxxxxxx*
+ **Rocky Linux**: R-*xxxxxxxxxxxxx*
+ **Ubuntu**: U-*xxxxxxxxxxxxx*
+ **Windows**: IP-C*xxxxxx* または WSAMZN-*xxxxxxx* または EC2AMAZ-*xxxxxxx*
Windows WorkSpaces の場合、コンピュータ名の形式はバンドルの種類によって決定されます。パブリックバンドルから作成された WorkSpaces の場合、またはパブリックイメージに基づいてカスタムバンドルから作成された WorkSpaces の場合は、パブリックイメージが作成された時点までに決定されます。
2020 年 6 月 22 日以降、パブリックバンドルから起動された Windows WorkSpaces では、IP-C*xxxxxx* 形式ではなく、コンピュータ名に WSAMZN-*xxxxxxx* 形式が使用されます。
パブリックイメージに基づくカスタムバンドルでは、パブリックイメージが 2020 年 6 月 22 日より前に作成された場合、コンピュータ名は EC2AMAZ-*xxxxxxx* 形式になります。パブリックイメージが 2020 年 6 月 22 日以降に作成された場合、コンピュータ名は WSAMZN-*xxxxxxx* 形式になります。
Bring-Your-Own-License (BYOL) バンドルでは、デフォルトでコンピュータ名に DESKTOP-*xxxxxxx* または EC2AMAZ-*xxxxxxx* のいずれかの形式が使用されます。
カスタムバンドルまたは BYOL バンドル内のコンピュータ名にカスタム形式を指定した場合、カスタム形式はこれらの既定値を上書きします。カスタム形式を指定するには、[WorkSpaces Personal のカスタム WorkSpaces イメージとバンドルを作成する](create-custom-bundle.md)を参照してください。
**重要**
WorkSpace を作成したら、コンピュータ名を安全に変更できます。例えば、WorkSpace またはリモートでコマンド `Rename-Computer` を使用して PowerShell スクリプトを実行できます。更新されたコンピュータ名の値は、Amazon WorkSpaces コンソールの WorkSpace に表示されます。
# WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリを作成する
このチュートリアルでは、AWS Managed Microsoft AD ディレクトリを作成します。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。
まず、AWS Managed Microsoft AD ディレクトリを作成します。Directory Service は、VPC のプライベートサブネットにそれぞれ 2 つのディレクトリサーバーを作成します。最初はディレクトリにユーザーがいないことに注意してください。WorkSpace を起動したら、次のステップでユーザーを追加します。
**注記**
現在、共有ディレクトリは、Amazon WorkSpaces での使用はサポートされていません。
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリが設定されている場合は、プライマリリージョンのディレクトリのみを Amazon WorkSpaces で使用するために登録できます。Amazon WorkSpaces で使用するためにレプリケートされたリージョンにディレクトリを登録しようとすると失敗します。AWS Managed Microsoft AD を使用したマルチリージョンレプリケーションは、レプリケートされたリージョン内での Amazon WorkSpaces での使用についてサポートされていません。
**AWS Managed Microsoft AD ディレクトリを作成するには**
1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。
1. ナビゲーションペインで **[ディレクトリ]** を選択します。
1. [**Create directory**] (ディレクトリの作成) を選択します。
1. **[ディレクトリの作成]** ページの **[WorkSpaces タイプ]** で、**[個人]** を選択します。次に、**[WorkSpace デバイス管理]** で **[AWS Directory Service]** を選択します。
1. **[ディレクトリの作成]** を選択すると、AWS Directory Service で**[ディレクトリを設定]** ページが開きます。
1. **[AWS Managed Microsoft AD]** を選択し、**[次へ]** を選択します。
1. 以下のようにディレクトリを設定します。
1. [**Organization name**] には、ディレクトリの一意の組織名(例: my-demo-directory)を入力します。この名前は、長さが 4 文字以上で、英数字とハイフン(-)のみで構成され、ハイフン以外の文字で開始または終了している必要があります。
1. [**Directory DNS**] には、ディレクトリの完全修飾名を入力します(例: workspaces.demo.com)。
**重要**
WorkSpaces の起動後に DNS サーバーを更新する必要がある場合は、[WorkSpaces Personal の DNS サーバーを更新する](update-dns-server.md) の手順に従って WorkSpaces が正しく更新されていることを確認します。
1. [**NetBIOS name**] には、ディレクトリの短縮名を入力します(例: workspaces)。
1. [**Admin password**] と [**Confirm Password**] に、ディレクトリ管理者アカウントのパスワードを入力します。パスワードの要件に関する詳細については、*AWS Directory Service 管理ガイド*の [AWS Managed Microsoft AD ディレクトリを作成する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)を参照してください。
1. (オプション)[**Description**] に、ディレクトリの説明を入力します。
1. [**VPC **] では、作成した VPC を選択します。
1. [**Subnets**] で、2 つのプライベートサブネットを選択します(CIDR ブロック `10.0.1.0/24` および `10.0.2.0/24`)。
1. [**Next Step**] を選択します。
1. [**Create directory**] (ディレクトリの作成) を選択します。
1. WorkSpaces コンソールのディレクトリの作成ページに戻ります。ディレクトリの最初のステータスは `Requested` で、次に `Creating` となります。ディレクトリの作成が完了すると (これには数分かかる場合があります)、ステータスは `Active` になります。
AWS Managed Microsoft AD ディレクトリを作成したら、Amazon WorkSpaces に登録できます。詳細については、[WorkSpaces Personal に既存の Directory Service ディレクトリを登録する](register-deregister-directory.md)を参照してください。
# WorkSpaces Personal で Simple AD ディレクトリを作成する
このチュートリアルでは、Simple AD を使用する WorkSpace を起動します。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。
**注記**
Simple AD は、すべてのAWSリージョンで利用できるわけではありません。サポートされているリージョンを確認し、Simple AD ディレクトリの[リージョンを選択](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)します。Simple AD でサポートされているリージョンの詳細については、[AWS「 Directory Service のリージョンの可用性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)」を参照してください。
Simple AD は、WorkSpaces で無料でご利用になれます。Simple AD ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、[AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。
[Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) は現在、IPv4 アドレス指定のみをサポートしています。つまり、ディレクトリの作成時に、関連付けられた VPC は IPv4 CIDR ブロックで設定され、IPv6 ネットワークはサポートされません。
Simple AD ディレクトリを作成すると、 は VPC の各プライベートサブネットに 1 つずつ、2 つのディレクトリサーバーDirectory Serviceを作成します。最初はディレクトリにユーザーはいません。WorkSpace を作成した後で、ユーザーを追加します。詳細については、[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md)を参照してください。
**Simple AD ディレクトリを作成するには**
1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。
1. ナビゲーションペインで **[ディレクトリ]** を選択します。
1. [**Create directory**] (ディレクトリの作成) を選択します。
1. **[ディレクトリの作成]** ページの **[WorkSpaces タイプ]** で、**[個人]** を選択します。次に、**[WorkSpace デバイス管理]** で **[AWS Directory Service]** を選択します。
1. **ディレクトリの作成**を選択すると、AWSディレクトリサービスで**ディレクトリのセットアップ**ページが開きます。
1. **[Simple AD]** を選択して、**[次へ]** を選択します。
1. 以下のようにディレクトリを設定します。
1. [**Organization name**] には、ディレクトリの一意の組織名(例: my-example-directory)を入力します。この名前は、長さが 4 文字以上で、英数字とハイフン(-)のみで構成され、ハイフン以外の文字で開始または終了している必要があります。
1. [**Directory DNS name**] (ディレクトリの DNS 名) には、ディレクトリの完全修飾名を入力します (例: example.com)。
**重要**
WorkSpaces の起動後に DNS サーバーを更新する必要がある場合は、[WorkSpaces Personal の DNS サーバーを更新する](update-dns-server.md) の手順に従って WorkSpaces が正しく更新されていることを確認します。
1. [**NetBIOS name**] には、ディレクトリの短縮名を入力します(例: example)。
1. [**Admin password**] と [**Confirm Password**] に、ディレクトリ管理者アカウントのパスワードを入力します。パスワードの要件の詳細については、*AWS Directory Service 管理ガイド*の [Microsoft AD Directory の作成方法](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)を参照してください。
1. (オプション)[**Description**] に、ディレクトリの説明を入力します。
1. [**Directory size**] (ディレクトリのサイズ) で、[**Small**] (スモール) を選択します。
1. [**VPC **] では、作成した VPC を選択します。
1. [**Subnets**] で、2 つのプライベートサブネットを選択します(CIDR ブロック `10.0.1.0/24` および `10.0.2.0/24`)。
1. [**次へ**] を選択します。
1. [**Create directory**] (ディレクトリの作成) を選択します。
1. WorkSpaces コンソールのディレクトリの作成ページに戻ります。ディレクトリの最初のステータスは `Requested` で、次に `Creating` となります。ディレクトリの作成が完了すると (これには数分かかる場合があります)、ステータスは `Active` になります。
**ディレクトリ作成時の動作**
WorkSpaces が、あなたの代わりに次のタスクを完了します。
+ IAM ロールを作成して、WorkSpaces サービスが Elastic Network Interface を作成し、WorkSpaces ディレクトリの一覧を表示できるようにします。そのロールには、`workspaces_DefaultRole` という名前が付きます。
+ ユーザーおよび WorkSpace 情報を格納するために使用される VPC の Simple AD ディレクトリをセットアップします。このディレクトリには、Administrator というユーザー名と指定されたパスワードを持つ管理者アカウントがあります。
+ 2 つのセキュリティグループを作成します。1 つはディレクトリコントローラー用で、もう 1 つはディレクトリ内の WorkSpaces 用です。
Simple AD ディレクトリを作成したら、Amazon WorkSpaces に登録できます。詳細については、[WorkSpaces Personal に既存の Directory Service ディレクトリを登録する](register-deregister-directory.md) を参照してください。
# WorkSpaces Personal の AD Connector を作成する
このチュートリアルでは、AD Connector を作成します。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。
## AD Connector を作成する
**注記**
AD Connector は、WorkSpaces で無料でご利用になれます。AD Connector ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、[AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。
空のディレクトリを削除するには、[WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md) を参照してください。AD Connector ディレクトリを削除した場合、WorkSpaces を再度ご使用になる際は、いつでも Simple AD または AD Connector を新たに作成できます。
**AD Connector を作成するには**
1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。
1. ナビゲーションペインで **[ディレクトリ]** を選択します。
1. [**Create directory**] (ディレクトリの作成) を選択します。
1. **[ディレクトリの作成]** ページの **[WorkSpaces タイプ]** で、**[個人]** を選択します。次に、**[WorkSpace デバイス管理]** で **[AWS Directory Service]** を選択します。
1. **[ディレクトリの作成]** を選択すると、AWS Directory Service で**[ディレクトリを設定]** ページが開きます。
1. **[AWS Managed Microsoft AD]** を選択し、**[次へ]** を選択します。
1. [**Organization name**] には、ディレクトリの一意の組織名(例: my-example-directory)を入力します。この名前は、長さが 4 文字以上で、英数字とハイフン(-)のみで構成され、ハイフン以外の文字で開始または終了している必要があります。
1. [**Connected directory DNS**] には、オンプレミスディレクトリの完全修飾名(例: example.com)を入力します。
1. [**Connected directory NetBIOS name**] には、オンプレミスディレクトリの短い名前(例: example)を入力します。
1. [**Connector account username**] では、オンプレミスディレクトリにユーザーのユーザー名を入力します。ユーザーには、ユーザーとグループの読み取り、コンピュータオブジェクトの作成、コンピュータのドメインへの参加を許可する必要があります。
1. **[Connector account password]** (Connector アカウントのパスワード) と **[Confirm password]** (パスワードの確認) に、オンプレミスユーザーのパスワードを入力します。
1. [**DNS address**] には、オンプレミスディレクトリ内の少なくとも 1 つの DNS サーバーの IP アドレスを入力します。
**重要**
WorkSpaces の起動後に DNS サーバーの IP アドレスを更新する必要がある場合は、[WorkSpaces Personal の DNS サーバーを更新する](update-dns-server.md) の手順 に従って WorkSpaces が正しく更新されていることを確認します。
1. (オプション)[**Description**] に、ディレクトリの説明を入力します。
1. [**Size**] を [**Small**] のままにします。
1. [**VPC**] で、自分の VPC を選択します。
1. [**Subnet**] で、サブネットを選択します。指定した DNS サーバーには、各サブネットからアクセスできる必要があります。
1. [**Create directory**] (ディレクトリの作成) を選択します。
1. WorkSpaces コンソールのディレクトリの作成ページに戻ります。ディレクトリの最初のステータスは `Requested` で、次に `Creating` となります。ディレクトリの作成が完了すると (これには数分かかる場合があります)、ステータスは `Active` になります。
# WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリとオンプレミスドメインの間の信頼関係を作成する
このチュートリアルでは、AWS Managed Microsoft AD ディレクトリとオンプレミスドメインの間の信頼関係を作成します。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。
**注記**
別の信頼されたドメインで AWS アカウントを使用して WorkSpaces を起動することは、AWS Managed Microsoft AD で可能です (この AD とオンプレミスのディレクトリとの信頼関係が設定されている場合)。ただし、Simple AD または AD Connector を使用する WorkSpaces では、信頼されたドメインのユーザーに対して WorkSpaces を起動することはできません。
**信頼関係をセットアップするには**
1. Virtual Private Cloud (VPC) に AWS Managed Microsoft AD を設定します。詳細については、*AWS Directory Service 管理ガイド*の[AWS Managed Microsoft AD ディレクトリを作成する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)を参照してください。
**注記**
現在、共有ディレクトリは、Amazon WorkSpaces での使用はサポートされていません。
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリが設定されている場合は、プライマリリージョンのディレクトリのみを Amazon WorkSpaces で使用するために登録できます。Amazon WorkSpaces で使用するためにレプリケートされたリージョンにディレクトリを登録しようとすると失敗します。AWS Managed Microsoft AD を使用したマルチリージョンレプリケーションは、レプリケートされたリージョン内での Amazon WorkSpaces での使用についてサポートされていません。
1. AWS Managed Microsoft AD とオンプレミスドメイン間の信頼関係を作成します。信頼が双方向の信頼として設定されていることを確認します。詳細については、*AWS Directory Service 管理ガイド*の[チュートリアル: AWS Managed Microsoft AD とオンプレミスドメイン間の信頼関係](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html)を作成を参照してください。
オンプレミスの認証情報を使用して WorkSpaces の管理と Workspaces による認証を行い、WorkSpaces をオンプレミスのユーザーとグループに対してプロビジョニングするために一方向または双方向の信頼を使用できます。詳細については、「[Deploy Amazon WorkSpaces using a One-Way Trust Resource Domain with AWS Directory Service](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/)」を参照してください。
**注記**
Red Hat Enterprise Linux、Rocky Linux、および Ubuntu WorkSpaces は Active Directory の統合に System Security Services Daemon (SSSD) を使用していますが、SSSD はフォレストの信頼性をサポートしていません。その代わりに外部信頼を設定してください。Amazon Linux、Ubuntu、Rocky Linux、および Red Hat Enterprise Linux WorkSpaces では、双方向の信頼が推奨されています。
ウェブブラウザ (Web Access) を使用して Linux WorkSpaces に接続することはできません。
# WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する
このチュートリアルでは、Microsoft Entra ID に参加し、Microsoft Intune に登録されている Bring Your Own License (BYOL) の Windows 10 および 11 個人用 WorkSpaces を作成します。このような WorkSpaces を作成する前に、まず Entra ID に参加している WorkSpaces 専用の WorkSpaces Personal ディレクトリを作成する必要があります。
**注記**
Microsoft Entra に参加している個人用 WorkSpaces は、アフリカ (ケープタウン)、イスラエル (テルアビブ)、中国 (寧夏) を除く、Amazon WorkSpaces が提供されているすべての AWS リージョンで利用できます。
**Contents**
+ [概要:](#entra-overview)
+ [要件と制限](#entra-requirements-limitation)
+ [ステップ 1: IAM アイデンティティセンターを有効にして Microsoft Entra ID と同期する](#entra-step-1)
+ [ステップ 2: Microsoft Entra ID アプリケーションを登録して Windows Autopilot のアクセス許可を付与する](#entra-step-2)
+ [ステップ 3: Windows Autopilot のユーザードリブンモードを設定する](#entra-step-3)
+ [ステップ 4: AWS Secrets Manager シークレットを作成する](#entra-step-4)
+ [ステップ 5: 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成する](#entra-step-5)
+ [WorkSpaces ディレクトリの IAM アイデンティティセンターアプリケーションを設定する (オプション)](#configure-iam-directory)
+ [クロスリージョン IAM アイデンティティセンター統合を作成する (オプション)](#create-cross-region-iam-identity-integration)
## 概要:
Microsoft Entra ID 個人用 WorkSpaces ディレクトリには、Microsoft Entra ID で管理されているユーザーに割り当てられた Microsoft Entra ID 参加済みの WorkSpaces を起動するために必要なすべての情報が含まれます。ユーザー情報は、IAM Identity Center AWS を通じて WorkSpaces で利用できるようになります。IAM Identity Center は、従業員 ID を Entra ID から に持ち込むための ID ブローカーとして機能します AWS。WorkSpaces の Intune への登録と Entra への参加は、Microsoft Windows Autopilot のユーザードリブンモードを使って実行します。以下の図は、Autopilot のプロセスを示したものです。
![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/autopilot.jpg)
## 要件と制限
+ Microsoft Entra ID P1 プラン以上。
+ Microsoft Entra ID と Intune が有効になっており、ロールが割り当てられていること。
+ Intune 管理者 - Autopilot デプロイプロファイルの管理に必要です。
+ グローバル管理者 - [ステップ 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) で作成されたアプリケーションに割り当てられる API アクセス許可に対して、管理者の同意を付与するために必要です。アプリケーションは、このアクセス許可なしで作成できます。ただし、グローバル管理者がアプリケーションのアクセス許可について管理者の同意を付与する必要があります。
+ WorkSpaces ユーザーに Windows 10/11 VDA E3 または E5 ユーザーサブスクリプションライセンスを割り当てます。
+ Entra ID ディレクトリは、Windows 10 または 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces のみをサポートします。サポートされているバージョンは次のとおりです。
+ Windows 10 バージョン 21H2 (2021 年 12 月更新)
+ Windows 10 バージョン 22H2 (2022 年 11 月更新)
+ Windows 11 Enterprise 23H2 (2023 年 10 月リリース)
+ Windows 11 Enterprise 22H2 (2022 年 10 月リリース)
+ Windows 11 Enterprise 24H2 (2024 年 10 月リリース)
+ Windows 11 Enterprise 25H2 (2025 年 9 月リリース)
+ Bring Your Own License (BYOL) が AWS アカウントで有効になっており、有効な Windows 10 または 11 BYOL イメージがアカウントにインポートされている。詳細については、「[WorkSpaces で自分の Windows デスクトップライセンスを使用する](byol-windows-images.md)」を参照してください。
+ Microsoft Entra ID ディレクトリは、Windows 10 または 11 の BYOL の個人用 WorkSpaces のみをサポートします。
+ Microsoft Entra ID ディレクトリは DCV プロトコルのみをサポートします。
+ WorkSpaces にファイアウォールを使用している場合は、Microsoft Intune と Windows Autopilot のエンドポイントへのアウトバウンドトラフィックがブロックされていないことを確認します。詳細については、「[Microsoft Intune のネットワーク エンドポイント - Microsoft Intune](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america)」および「[Windows Autopilot requirements](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking)」を参照してください。
+ Microsoft Entra ID ディレクトリは、Government Community Cloud High (GCCH) 環境および国防総省 (DoD) 環境の Microsoft Entra ID テナントをサポートしていません。
## ステップ 1: IAM アイデンティティセンターを有効にして Microsoft Entra ID と同期する
Microsoft Entra ID に参加している個人用 WorkSpaces を作成して Entra ID ユーザーに割り当てるには、IAM Identity Center AWS を通じてユーザー情報を で使用できるようにする必要があります。IAM Identity Center は、 AWS リソースへのユーザーアクセスを管理するために推奨される AWS サービスです。詳細については、「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。これは 1 回限りの設定です。
WorkSpaces と統合する、既存の IAM アイデンティティセンターインスタンスがない場合は、WorkSpaces と同じリージョンにインスタンスを作成することをお勧めします。別のリージョンに既存の AWS Identity Center インスタンスがある場合は、クロスリージョン統合を設定できます。クロスリージョンのセットアップの詳細については、「[クロスリージョン IAM アイデンティティセンター統合を作成する (オプション)](#create-cross-region-iam-identity-integration)」を参照してください。
**注記**
WorkSpaces と IAM アイデンティティセンター間のクロスリージョン統合は、 AWS GovCloud (US) Regionではサポートされていません。
1. 特にマルチアカウント環境を使用している場合は、 AWS Organizations で IAM Identity Center を有効にします。IAM アイデンティティセンターのアカウントインスタンスを作成することもできます。詳細については、[「IAM アイデンティティセンター AWS の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。WorkSpaces の各ディレクトリは、IAM アイデンティティセンターの 1 つのインスタンス、組織、またはアカウントに関連付けることができます。
組織インスタンスを使用して、メンバーアカウントの 1 つに WorkSpaces ディレクトリを作成しようとしている場合は、次の IAM アイデンティティセンターのアクセス許可があることを確認してください。
+ `"sso:DescribeInstance"`
+ `"sso:CreateApplication"`
+ `"sso:PutApplicationGrant"`
+ `"sso:PutApplicationAuthenticationMethod"`
+ `"sso:DeleteApplication"`
+ `"sso:DescribeApplication"`
+ `"sso:getApplicationGrant"`
詳細については、「[IAM アイデンティティセンターリソースへのアクセス許可の管理の概要](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)」を参照してください。また、これらのアクセス許可をブロックするサービスコントロールポリシー (SCP) がないことを確認してください。SCP の詳細については、「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
1. Entra ID テナントから選択したユーザーまたはすべてのユーザーを IAM アイデンティティセンターのインスタンスに自動的に同期するように、IAM アイデンティティセンターと Microsoft Entra ID を設定します。詳細については、[「Microsoft Entra ID と IAM アイデンティティセンターで SAML と SCIM を設定する](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html)」および[「チュートリアル: 自動ユーザープロビジョニング用に AWS IAM アイデンティティセンターを設定する](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial)」を参照してください。
1. Microsoft Entra ID で設定したユーザーが IAM Identity Center AWS インスタンスに正しく同期されていることを確認します。Microsoft Entra ID にエラーメッセージが表示された場合は、Entra ID のユーザーの設定が、IAM アイデンティティセンターでサポートされていないことを示しています。この問題はエラーメッセージによって識別できます。例えば、Entra ID のユーザーオブジェクトに、姓、名、または表示名がない場合、次のようなエラーメッセージが表示されます。`"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"`。詳細については、「[特定のユーザーが外部 SCIM プロバイダーから IAM アイデンティティセンターに同期できない](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2)」を参照してください。
**注記**
WorkSpaces は Entra ID の UserPrincipalName (UPN) 属性を使用して個々のユーザーを識別します。UPN の制限事項は次のとおりです。
UPN の長さが 63 文字を超えることはできません。
WorkSpace をユーザーに割り当てた後に UPN を変更した場合、UPN を元に戻さない限り、ユーザーは WorkSpace に接続できません。
## ステップ 2: Microsoft Entra ID アプリケーションを登録して Windows Autopilot のアクセス許可を付与する
WorkSpaces Personal は、Microsoft Windows Autopilot のユーザードリブンモードを使用して WorkSpaces を Microsoft Intune に登録し、Microsoft Entra ID に参加させます。
Amazon WorkSpaces で WorkSpaces Personal を Autopilot に登録できるようにするには、必要な Microsoft Graph API アクセス許可を付与する Microsoft Entra ID アプリケーションを登録する必要があります。Entra ID アプリケーションの登録の詳細については、「[クイック スタート: Microsoft ID プラットフォームにアプリケーションを登録する](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate)」を参照してください。
Entra ID アプリケーションで次の API アクセス許可を付与することをお勧めします。
+ Entra ID に参加させる新しい個人用 WorkSpace を作成する場合は、次の API アクセス許可が必要です。
+ `DeviceManagementServiceConfig.ReadWrite.All`
+ 個人用 WorkSpace を終了または再構築する場合は、次のアクセス許可が使用されます。
**注記**
これらのアクセス許可を付与しなくても WorkSpace は終了できますが、Intune テナントおよび Entra ID テナントからは削除されないため、個別に削除する必要があります。
+ `DeviceManagementServiceConfig.ReadWrite.All`
+ `Device.ReadWrite.All`
+ `DeviceManagementManagedDevices.ReadWrite.All`
+ これらのアクセス許可には管理者の同意が必要です。詳細については、「[アプリケーションに対してテナント全体の管理者の同意を付与する](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)」を参照してください。
次に、Entra ID アプリケーションのクライアントシークレットを追加する必要があります。詳細については、「[資格情報を追加する](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials)」を参照してください。ステップ 4 で AWS Secrets Manager シークレットを作成するときに必要になるため、クライアントシークレットの文字列を必ず覚えておいてください。
## ステップ 3: Windows Autopilot のユーザードリブンモードを設定する
Windows Autopilot のユーザードリブンモードによって Intune で Microsoft Entra への参加を実行する方法について、[チュートリアル](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow)をよく確認しておいてください。
**Autopilot のために Microsoft Intune を設定するには**
1. Microsoft Intune 管理センターにサインインします。
1. 個人用 WorkSpaces 向けに新しい Autopilot のデバイスグループを作成します。詳細については、「[Windows Autopilot のデバイスグループを作成する](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot)」を参照してください。
1. **[グループ]**、**[新しいグループ]** の順に選択します。
1. **[Group type]** (グループの種類) で、**[Security]** (セキュリティ) を選択します。
1. **[メンバーシップの種類]** で **[動的デバイス]** を選択します。
1. **[Edit dynamic query]** を選択して、動的メンバーシップルールを作成します。ルールは次のような形式になります。
```
(device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
```
**重要**
`WorkSpacesDirectoryName` は、ステップ 5 で作成する Entra ID WorkSpaces Personal ディレクトリのディレクトリ名と一致している必要があります。これは、WorkSpaces が仮想デスクトップを Autopilot に登録するときに、ディレクトリ名の文字列がグループタグとして使用されるためです。さらに、グループタグは Microsoft Entra デバイスの `OrderID` 属性にマッピングされます。
1. **[デバイス]**、**[Windows]**、**[登録]** の順に選択します。**[登録オプション]** で **[自動登録]** を選択します。**[MDM ユーザースコープ]** で **[すべて]** を選択します。
1. Autopilot デプロイプロファイルを作成します。詳細については、「[Autopilot Deployment プロファイルを作成する](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile)」を参照してください。
1. **[Windows Autopilot]** で **[デプロイプロファイル]**、**[プロファイルの作成]** の順に選択します。
1. **[Windows AutoPilot Deployment プロファイル]** 画面で、**[プロファイルの作成]** ドロップダウンメニューを選択し、**[Windows PC]** を選択します。
1. **[プロファイルの作成]** 画面の **[On the Out-of-box experience (OOBE)]** ページを開きます。**[配置モード]** で **[ユーザードリブン]** を選択します。**[Microsoft Entra ID に参加]** で **[Microsoft Entra 参加済み]** を選択します。Entra ID に参加済みの個人用 WorkSpaces でコンピュータ名をカスタマイズするには、**[デバイス名テンプレートを適用する]** で **[はい]** を選択し、登録時のデバイスの名前付けに使用するテンプレートを作成します。
1. **[割り当て]** ページの **[割り当てる]** で、**[選択したグループ]** を選択します。**[含めるグループを選択する]** を選択し、2 で作成した Autopilot デバイスグループを選択します。
## ステップ 4: AWS Secrets Manager シークレットを作成する
で作成した Entra ID アプリケーションのアプリケーション ID やクライアントシークレットなどの情報を安全に保存 AWS Secrets Manager するには、 にシークレットを作成する必要があります[ステップ 2: Microsoft Entra ID アプリケーションを登録して Windows Autopilot のアクセス許可を付与する](#entra-step-2)。これは 1 回限りの設定です。
**AWS Secrets Manager シークレットを作成するには**
1. カスタマーマネージドキーを [AWS Key Management Service](https://aws.amazon.com/kms/) で作成します。キーは後で AWS Secrets Manager シークレットの暗号化に使用されます。WorkSpaces サービスではデフォルトのキーにアクセスできないため、デフォルトのキーを使用してシークレットを暗号化しないでください。キーは以下の手順で作成します。
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. **[Create key]** (キーの作成) を選択します。
1. **[キーを設定]** ページの **[キーのタイプ]** で、**[対称]** を選択します。**[キーの使用方法]** で **[暗号化および復号化]** を選択します。
1. **[確認]** ページのキーポリシーエディタで、キーポリシーに次のアクセス許可が含まれ、WorkSpaces サービスのプリンシパル `workspaces.amazonaws.com` からキーへのアクセスが許可されていることを確認します。
```
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. 前のステップで作成した AWS KMS キーを使用して AWS Secrets Manager、 にシークレットを作成します。
1. [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) から Secrets Manager コンソールを開きます。
1. **[Store a new secret]** (新しいシークレットを保存する) を選択します。
1. [**シークレットタイプの選択**] ページの[**シークレットタイプ**] で[**その他のシークレットタイプ**] を選択します。
1. **[キー/値のペア]** の キーボックスに「application\$1id」と入力し、値ボックスに[ステップ 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) の Entra ID アプリケーションの ID をコピーして貼り付けます。
1. キーボックスで **[行を追加]** を選択して「application\$1password」と入力し、値ボックスに[ステップ 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) の Entra ID アプリケーションのクライアントシークレットをコピーして貼り付けます。
1. 前のステップで作成した AWS KMS キーを**暗号化キー**のドロップダウンリストから選択します。
1. [**次へ**] を選択します。
1. **[シークレットを設定]** ページで、**[シークレットの名前]** と **[説明]** を入力します。
1. **[リソースのアクセス許可]** セクションで、**[許可を編集]** を選択します。
1. リソースのアクセス許可に次のリソースポリシーを含め、WorkSpaces サービスのプリンシパル `workspaces.amazonaws.com` にシークレットへのアクセスを必ず許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"Service" : [ "workspaces.amazonaws.com"]
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}
```
------
## ステップ 5: 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成する
Microsoft Entra ID に参加済みの WorkSpaces および Entra ID ユーザーの情報を保存する専用の WorkSpaces ディレクトリを作成します。
**Entra ID WorkSpaces ディレクトリを作成するには**
1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。
1. ナビゲーションペインで **[ディレクトリ]** を選択します。
1. **[ディレクトリの作成]** ページの **[WorkSpaces タイプ]** で、**[個人]** を選択します。**[WorkSpace デバイス管理]** で **[Microsoft Entra ID]** を選択します。
1. **[Microsoft Entra のテナント ID]** に、ディレクトリの WorkSpaces を参加させる Microsoft Entra ID のテナント ID を入力します。ディレクトリの作成後にテナント ID を変更することはできません。
1. **Entra ID アプリケーション ID とパスワード**については、ドロップダウンリストから[ステップ 4 ](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4)で作成した AWS Secrets Manager シークレットを選択します。ディレクトリの作成後に、ディレクトリに関連付けられたシークレットを変更することはできません。ただし、Entra ID アプリケーション ID とそのパスワードを含むシークレットの内容は、[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) の AWS Secrets Manager コンソールからいつでも更新できます。
1. IAM Identity Center インスタンスが WorkSpaces ディレクトリと同じ AWS リージョンにある場合は、**ユーザー ID ソース**として、[ステップ 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) で設定した IAM Identity Center インスタンスをドロップダウンリストから選択します。ディレクトリの作成後に、ディレクトリに関連付けられた IAM アイデンティティセンターのインスタンスを変更することはできません。
IAM Identity Center インスタンスが WorkSpaces ディレクトリとは異なる AWS リージョンにある場合は、**クロスリージョンを有効にする**を選択し、ドロップダウンリストからリージョンを選択します。
**注記**
既存の IAM アイデンティティセンターインスタンスが別のリージョンにある場合は、クロスリージョン統合をセットアップするためにオプトインする必要があります。クロスリージョンのセットアップの詳細については、「[クロスリージョン IAM アイデンティティセンター統合を作成する (オプション)](#create-cross-region-iam-identity-integration)」を参照してください。
1. **[ディレクトリ名]** に、ディレクトリの一意の名前 (`WorkSpacesDirectoryName` など) を入力します。
**重要**
ディレクトリ名は、[ステップ 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) で Microsoft Intune を使って作成した Autopilot デバイスグループの動的クエリを作成するのに使用される `OrderID` と一致している必要があります。ディレクトリ名の文字列は、個人用 WorkSpaces を Windows Autopilot に登録するときにグループタグとして使用されます。グループタグは、Microsoft Entra デバイスの `OrderID` 属性にマッピングされます。
1. (オプション)[**Description**] に、ディレクトリの説明を入力します。
1. **[VPC]** で、WorkSpaces の起動に使用した VPC を選択します。詳細については、「[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md)」を参照してください。
1. **[サブネット]** で、同じアベイラビリティーゾーンにない VPC の 2 つのサブネットを選択します。これらのサブネットは個人用 WorkSpaces の起動に使用されます。詳細については、「[WorkSpaces Personal のアベイラビリティーゾーン](azs-workspaces.md)」を参照してください。
**重要**
サブネットで起動された WorkSpaces にインターネットアクセスがあることを確認します。インターネットアクセスは、ユーザーが Windows デスクトップにログインするときに必要です。詳細については、「[WorkSpaces Personal でのインターネットアクセス](amazon-workspaces-internet-access.md)」を参照してください。
1. **[設定]** で、**[専用 WorkSpace を有効化]** を選択します。専用の WorkSpaces Personal ディレクトリを作成して、Windows 10 または 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces を起動するには、これを有効にする必要があります。
**注記**
**[設定]** に **[専用 WorkSpace を有効化]** オプションが表示されない場合、アカウントで BYOL が有効になっていません。アカウントで BYOL を有効にするには、「[WorkSpaces で自分の Windows デスクトップライセンスを使用する](byol-windows-images.md)」を参照してください。
1. (オプション) **[タグ]** で、ディレクトリ内の個人用 WorkSpaces に使用するキーペアの値を指定します。
1. ディレクトリの概要を確認し、**[ディレクトリの作成]** を選択します。ディレクトリが接続されるには数分かかります。ディレクトリの最初のステータスは `Creating` です。ディレクトリの作成が完了すると、ステータスが `Active` に変わります。
ディレクトリが作成されると、IAM アイデンティティセンターアプリケーションも自動的に作成されます。アプリケーションの ARN を検索するには、ディレクトリの概要ページに移動します。
これで、Microsoft Intune に登録され、Microsoft Entra ID に参加している Windows 10 または 11 の個人用 WorkSpaces を、ディレクトリを使用して起動できるようになりました。詳細については、「[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md)」を参照してください。
WorkSpaces Personal ディレクトリを作成したら、個人用 WorkSpaces を作成できます。詳細については、[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md)を参照してください。
## WorkSpaces ディレクトリの IAM アイデンティティセンターアプリケーションを設定する (オプション)
ディレクトリが作成されると、対応する IAM アイデンティティセンターアプリケーションが自動的に作成されます。アプリケーションの ARN は、ディレクトリの詳細ページの [概要] セクションにあります。デフォルトでは、アイデンティティセンターインスタンスのすべてのユーザーは、対応するアイデンティティセンターアプリケーションを設定しなくても、割り当てられた WorkSpaces にアクセスできます。ただし、IAM アイデンティティセンターアプリケーションのユーザー割り当てを設定することで、ディレクトリ内の WorkSpaces へのユーザーアクセスを管理できます。
**IAM アイデンティティセンターアプリケーションのユーザー割り当てを設定するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[AWS マネージドアプリケーション]** タブで、WorkSpaces ディレクトリのアプリケーションを選択します。アプリケーション名は `WorkSpaces.wsd-xxxxx` の形式です。`wsd-xxxxx` は WorkSpaces ディレクトリ ID です。
1. **[アクション]**、**[詳細を編集]** の順に選択します。
1. **[ユーザーとグループの割り当て方法]** を、**[割り当ては不要]** から **[割り当てが必要]** に変更します。
1. **[Save changes]** (変更の保存) をクリックします。
この変更を行うと、アイデンティティセンターインスタンスのユーザーは、アプリケーションに割り当てられていない限り、割り当てられた WorkSpaces にアクセスできなくなります。ユーザーをアプリケーションに割り当てるには、 AWS CLI コマンドを使用してユーザーまたはグループをアプリケーションに`create-application-assignment`割り当てます。詳細については、『[AWS CLI コマンドリファレンス](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html)』を参照してください。
## クロスリージョン IAM アイデンティティセンター統合を作成する (オプション)
WorkSpaces と関連する IAM Identity Center インスタンスが同じ AWS リージョンにあることをお勧めします。ただし、WorkSpaces リージョンとは異なるリージョンで既に IAM アイデンティティセンターインスタンスが設定されている場合は、クロスリージョン統合を作成できます。クロスリージョン WorkSpaces と IAM アイデンティティセンターの統合を作成する際に、WorkSpaces を有効にしてクロスリージョン呼び出しを行い、IAM アイデンティティセンターインスタンスからユーザー属性やグループ属性などの情報にアクセスして保存します。
**重要**
Amazon WorkSpaces は、組織レベルのインスタンスでのみ、クロスリージョン IAM アイデンティティセンターと WorkSpaces の統合をサポートします。WorkSpaces は、アカウントレベルのインスタンスに対するクロスリージョン IAM アイデンティティセンター統合をサポートしていません。IAM アイデンティティセンターインスタンスタイプとそのユースケースの詳細については、「[Understanding types of IAM Identity Center instances](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types)」を参照してください。
WorkSpaces ディレクトリと IAM アイデンティティセンターインスタンスの間にクロスリージョン統合を作成すると、クロスリージョン呼び出しにより、WorkSpaces をデプロイするときやログイン中にレイテンシーが高くなる可能性があります。レイテンシーの増大は、WorkSpaces リージョンと IAM アイデンティティセンターのリージョン間の距離に比例します。ユースケースごとにレイテンシーテストを実行することをお勧めします。
クロスリージョンの IAM アイデンティティセンター接続は、「[ステップ 5: 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5)」で有効にできます。**[ユーザー ID ソース]** のドロップダウンリストから、「[ステップ 1: IAM アイデンティティセンターを有効にして Microsoft Entra ID と同期する](#entra-step-1)」で設定した IAM アイデンティティセンターインスタンスを選択します。
**重要**
ディレクトリの作成後に、ディレクトリに関連付けられた IAM アイデンティティセンターインスタンスを変更することはできません。
# WorkSpaces Personal で専用のカスタムディレクトリを作成する
Windows 10 および 11 BYOL 個人用 WorkSpaces を作成し、IAM Identity Center Identity Providers (IdPs AWSで管理されているユーザーに割り当てる前に、専用のカスタム WorkSpaces ディレクトリを作成する必要があります。個人用 WorkSpaces が Microsoft Active Directory に参加していなくても、JumpCloud などの任意のモバイルデバイス管理 (MDM) ソリューションで管理できます。JumpCloud の詳細については、[こちらの記事](https://jumpcloud.com/support/integrate-with-aws-workspaces)を参照してください。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。
**注記**
Amazon WorkSpaces では、カスタムディレクトリで起動された個人用 WorkSpaces でユーザーアカウントを作成したり管理したりすることはできません。ユーザーアカウントは管理者が管理する必要があります。
カスタム WorkSpaces ディレクトリは、アフリカ (ケープタウン)、イスラエル (テルアビブ)、中国 (寧夏) を除く、Amazon WorkSpaces が提供されているすべてのAWSリージョンで利用できます。
Amazon WorkSpaces では、カスタムディレクトリを使用した WorkSpaces でユーザーアカウントを作成したり管理したりすることはできません。使用している MDM エージェントソフトウェアによって Windows WorkSpaces でユーザープロファイルを作成できるようにするには、MDM ソリューションプロバイダーにお問い合わせください。ユーザープロファイルを作成すると、ユーザーは Windows ログイン画面から Windows デスクトップにサインインできます。
**Contents**
+ [要件と制限](#custom-requirements-limitations)
+ [ステップ 1: IAM アイデンティティセンター を有効にして ID プロバイダーに接続する](#custom-step-1)
+ [ステップ 2: 専用のカスタム WorkSpaces ディレクトリを作成する](#custom-step-2)
## 要件と制限
+ WorkSpaces カスタムディレクトリは、Windows 10 または 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces のみをサポートします。
+ WorkSpaces カスタムディレクトリは DCV プロトコルのみをサポートします。
+ AWSアカウントで BYOL を有効にし、個人用 WorkSpaces が Windows 10 および 11 アクティベーションのためにアクセスできる独自のAWS KMSサーバーがあることを確認します。詳細については、「[WorkSpaces で自分の Windows デスクトップライセンスを使用する](byol-windows-images.md)」を参照してください。
+ AWSアカウントにインポートした BYOL イメージに MDM エージェントソフトウェアを事前にインストールしてください。
## ステップ 1: IAM アイデンティティセンター を有効にして ID プロバイダーに接続する
ID プロバイダーで管理されているユーザーに WorkSpaces を割り当てるには、ユーザー情報を AWSIAM Identity Center AWSを通じて で使用できるようにする必要があります。IAM Identity Center を使用して、ユーザーの AWSリソースへのアクセスを管理することをお勧めします。詳細については、「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。これは 1 回限りの設定です。
**ユーザー情報を で利用できるようにするにはAWS**
1. で IAM アイデンティティセンターを有効にしますAWS。特にマルチアカウント環境を使用している場合は、AWS組織で IAM Identity Center を有効にできます。IAM アイデンティティセンターのアカウントインスタンスを作成することもできます。詳細については、[「IAM Identity Center AWSの有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。WorkSpaces の各ディレクトリは、IAM アイデンティティセンターの 1 つの組織またはアカウントインスタンスに関連付けることができます。IAM アイデンティティセンターの各インスタンスは、1 つ以上の WorkSpaces Personal ディレクトリに関連付けることができます。
組織インスタンスを使用して、メンバーアカウントの 1 つに WorkSpaces ディレクトリを作成しようとしている場合は、次の IAM アイデンティティセンターのアクセス許可があることを確認してください。
+ `"sso:DescribeInstance"`
+ `"sso:CreateApplication"`
+ `"sso:PutApplicationGrant"`
+ `"sso:PutApplicationAuthenticationMethod"`
+ `"sso:DeleteApplication"`
+ `"sso:DescribeApplication"`
+ `"sso:getApplicationGrant"`
詳細については、「[IAM アイデンティティセンターリソースへのアクセス許可の管理の概要](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)」を参照してください。これらのアクセス許可をブロックするサービスコントロールポリシー (SCP) がないことを確認してください。SCP の詳細については、「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html)」を参照してください。
1. ID プロバイダー (IdP) から IAM アイデンティティセンターのインスタンスにユーザーを自動的に同期するように、IAM アイデンティティセンター と IdP を設定します。詳細については、[入門チュートリアル](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)から、使用する IdP の特定のチュートリアルを選択してください。例えば、「[IAM アイデンティティセンターを使用して JumpCloud ディレクトリプラットフォームに接続する](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html)」を参照できます。
1. IdP で設定したユーザーが IAM Identity Center AWSインスタンスに正しく同期されていることを確認します。IdP の設定によっては、最初の同期に最大 1 時間かかる場合があります。
## ステップ 2: 専用のカスタム WorkSpaces ディレクトリを作成する
個人用 WorkSpaces とユーザーに関する情報を保存する専用の WorkSpaces Personal ディレクトリを作成します。
**専用のカスタム WorkSpaces ディレクトリを作成するには**
1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。
1. ナビゲーションペインで **[ディレクトリ]** を選択します。
1. [**Create directory**] (ディレクトリの作成) を選択します。
1. **[ディレクトリの作成]** ページの **[WorkSpaces]** タイプで、**[個人]** を選択します。**[WorkSpace デバイス管理]** で、**[カスタム]** を選択します。
1. **[ユーザー ID ソース]** で、ドロップダウンリストから[ステップ 1](https://docs.aws.amazon.com/) で設定した IAM アイデンティティセンターのインスタンスを選択します。ディレクトリが作成されると、ディレクトリに関連付けられた IAM アイデンティティセンターのインスタンスは変更できなくなります。
**注記**
ディレクトリには IAM アイデンティティセンターのインスタンスを指定する必要があります。指定しないと、WorkSpaces コンソールを使用してディレクトリで個人用 WorkSpaces を起動できません。アイデンティティセンターが関連付けられていない WorkSpaces ディレクトリは、WorkSpaces Core パートナーソリューションにだけ対応します。
1. **[ディレクトリ名]** に、ディレクトリの一意の名前を入力します。
1. **[VPC]** で、WorkSpaces の起動に使用した VPC を選択します。詳細については、「[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md)」を参照してください。
1. **[サブネット]** で、同じアベイラビリティーゾーンにない VPC の 2 つのサブネットを選択します。これらのサブネットは個人用 WorkSpaces の起動に使用されます。詳細については、「[WorkSpaces Personal のアベイラビリティーゾーン](azs-workspaces.md)」を参照してください。
**重要**
サブネットで起動された WorkSpaces にインターネットアクセスがあることを確認します。インターネットアクセスは、ユーザーが Windows デスクトップにログインするときに必要です。詳細については、「[WorkSpaces Personal でのインターネットアクセス](amazon-workspaces-internet-access.md)」を参照してください。
1. **[設定]** で、**[専用 WorkSpace を有効化]** を選択します。専用の WorkSpaces Personal ディレクトリを作成して、Windows 10 または 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces を起動するには、これを有効にする必要があります。
1. (オプション) **[タグ]** で、ディレクトリ内の個人用 WorkSpaces に使用するキーペアの値を指定します。
1. ディレクトリの概要を確認し、**[ディレクトリの作成]** を選択します。ディレクトリが接続されるには数分かかります。ディレクトリの最初のステータスは `Creating` です。ディレクトリの作成が完了すると、ステータスが `Active` に変わります。
ディレクトリが作成されると、IAM アイデンティティセンターアプリケーションも自動的に作成されます。アプリケーションの ARN を検索するには、ディレクトリの概要ページに移動します。
これで、Microsoft Intune に登録され、Microsoft Entra ID に参加している Windows 10 または 11 の個人用 WorkSpaces を、ディレクトリを使用して起動できるようになりました。詳細については、「[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md)」を参照してください。
WorkSpaces Personal ディレクトリを作成したら、個人用 WorkSpaces を作成できます。詳細については、[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md) を参照してください。