こんにちは、SRE3課の島村です。

今回はWorkSpacesでクリップボードのリダイレクトを制御する方法をご紹介します。

まずどのように実現するかをお伝えすると、グループポリシーによって制御します。 事前に必要な作業があるので、今回ご紹介します。

なお、今回はActive Directoryとして、AWS Managed Microsoft ADを使用します。

AWS Managed Microsoft ADの概要は以下から参照してください。

aws.amazon.com

AWS Managed Microsoft ADはマネージドサービスですので、管理するにはリモートサーバ管理ツールが必要なります。 今回はMSAD管理用のサーバは用意せず、WorkSpacesを管理サーバとして使用しますので、ついでに管理ツールの導入方法もご紹介しようと思います。

前提

今回はPCoIPプロトコルを使用したWorkSpaces向けの手順になります。 WSPプロトコルを利用している場合は手順が異なりますので注意してください。

リモート管理ツールの導入

サーバーマネージャを展開して、[役割と機能の追加]を選択します。

何も選択せず、そのまま次へ連続で押して、[機能]までいきます。 [リモートサーバー管理ツール]→[役割管理ツール]→[AD DSおよびAD LDSツール]にチェックを入れます。

次へを選択して、インストールを選択します。 インストール完了までしばらく待ちます。

インストールが終わりました。

同じ手順で、役割と機能をもう一度行い、今回の肝である[グループポリシーの管理]機能を導入します。

インストールが完了したら次のタスクを実施します。

管理テンプレートのインストール

PCoIP.admxとPCoIP.adml と管理テンプレートファイルを MSADのSYSVOLにコピーしていきます。

これらのファイルは、WorkSpacesの以下のパスに存在しています。

C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions\PCoIP.admx
C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions\en-US\PCoIP.adml

以下のパスをエクスプローラーで入力します。

\\ドメイン名l\SYSVOL\test.local\Policies

[PolicyDefinitions]というフォルダがない方は作成しましょう。 ちなみに私が作業した時にはありませんでした。

パスとしては以下の通りです。

\\ドメイン名\SYSVOL\test.local\Policies\PolicyDefinitions

※ユーザーに管理者権限がないとSYSVOL内で、フォルダの作成/ファイルのコピーができないので注意してください。

さらに[en-US]というフォルダを作成します。

\\ドメイン名\SYSVOL\test.local\Policies\PolicyDefinitions\en-US

WorkSpacesに存在している、PCoIP.admxとPCoIP.admlファイルをSYSVOLにコピーします。 それぞれの格納先は以下の通りです。

\\ドメイン名\SYSVOL\test.local\Policies\PolicyDefinitions\PCoIP.admx
\\ドメイン名\SYSVOL\test.local\Policies\PolicyDefinitions\en-US\PCoIP.adml 

最後に管理テンプレートが正しくインストールされているか確認していきます。

[グループポリシーの管理]展開し、GPOを作成します。 GPOの編集画面へいき、[コンピューターの管理]→[ポリシー]→[管理テンプレート]の順番で展開します。 [PCoIP Session Variales(PCoIPセッション変数)]というグループポリシーオブジェクトがあればOKです。

クリップボードの制御を行う

メインのクリップボードの制御をグループポリシーで行います。 ちなみに[PCoIP Session Variales(PCoIPセッション変数)]の中に2種類ありますが、GPOの内容としては一緒です。 違いは、管理者が設定したデフォルト値を変更できるかできないかの違いになります。

ユーザーによる設定上書きの許可は[Overridable Administrator Defaults] 許可しない場合は[Not Overridable Administrator Defaults]

今回は管理がクリップボードの制限を行うことを想定しているので、 [Not Overridable Administrator Defaults]で制御をしていきます。

クリップボードの制御は[Configure clipboard redirection (クリップボードのリダイレクトの設定)]で行えます。

有効を選択すると、ドロップダウンから4種類の項目が選べるようになります。

1.Disabled in both directions(双方向で無効)
2.Enabled in both directions(双方向で有効)
3.Elabled clinet to agent only(クライアントからエージェントのみ有効)
4.Elabled agent to client only(エージェントからクライアントのみ有効)

補足すると 3.はWorkSpace からローカルコンピュータにはコピー&ペーストができる 4.ローカルコンピュータから WorkSpaceにはコピー＆ペーストができる

となります。

各々要件に沿って、選択すると思うので自由に選択してください。

当記事では3.のWorkSpaceからローカルコンピュータにコピー&ペーストができる制御を試していきます。

それでは有効にして、ドロップダウンから選択した後にOUに対してGPOをリンクしてください。

グループポリシー をWorkSpacesに反映するには2種類あります。

1.再起動する。
2.gpupdate /forceを実行する。

今回は確実に適用したいので、再起動します。

※適用前にできなくなる動作が、可能か確認しておいてください。

再起動後、動作確認をしてみてください。 スクショではお伝えすることができませんが、コピペができないことが確認できました。 また、3のケースでもしっかりと動作していました。

まとめ

いかがでしたでしょうか。 新型コロナウィルスが蔓延して労働環境も変わりWorkSpacesを使われている方/運用される方も増えてきているかと思います。

クリップボードは非常に便利な反面、セキュリティインシデントにつながってしまうケースがありますので、 制御をしたいというセキュリティポリシーがあるところも少なくありません。 WorkSpacesでも各々のセキュリティポリシーに沿って柔軟に対応していきたいですね。