こんにちは、Enterprise Cloud部 技術1課 宮形 です。今回BLOGでは、Amazon WorkSpaces (以下 WorkSpaces と記) を管理するために、グループポリシーオブジェクトを利用するための設定手順をご紹介します。
WorkSpaces をご利用、評価されるお客様からよく頂くご質問として下記があります。
- ローカルPCとWorkSpaces間のクリップボードの許可・禁止を制御したい
- ローカルPCでの印刷の許可・禁止を制御したい
ご自宅や外出先のパソコンから WorkSpaces を通して社内リソースへアクセスする場合、どのような業種・規模のお客様でもご検討されるセキュリティ上考慮だと思います。これらはグループポリシーオブジェクトを利用することで実現できます。
Windows WorkSpaces を管理する - Amazon WorkSpaces
設定方法は↑公式ドキュメントに記載があるのですが、Windows Server や Active Directory をご利用されたことが無い方には理解しづらいところやハマってしまう箇所があるようです。本BLOGでは画面イメージをつけて設定方法をご紹介したいと思います。
なお、本BLOGでは WorkSpaces 用のグループポリシーテンプレートを入手して利用開始できるまでの手順を記載しています。その後のグループポリシーオブジェクト自体の設定手順や適用方法は割愛しています。ご承知ください。
環境について
- WorkSpaces の認証に利用する Directory Service は Managed Microsoft Active Directory (以下 Managed MSAD) とする
- Managed MSAD を管理するための EC2 を設置。OSは Windows Server 2019 とする
- WorkSpaces のOSは Windows Server 2019 ベースとする
- WorkSpaces のプロトコルは PCoIP、WSP 両方とする
設定手順
下記2つの環境での操作が必要となります。
- Managed MSAD を管理するための Windows Server のEC2 (AD管理用 EC2)
- WorkSpaces デスクトップ
AD管理用 EC2 へのグルーポリシー管理ツールのインストール
Managed MSAD を管理するために Windows Server のEC2を構成するケースが多いと思われます。グループポリシーを管理するツールは Windows Server OS 標準では含まれていませんので、追加でインストールする必要があります。
サーバーマネージャーから「役割と機能の追加」ウィザードを開始し、「機能の選択」の画面から「グループポリシーの管理」のチェックを入れて「次へ」「インストール」を行います。
AD管理用 EC2 へ共有フォルダの準備
後続の手順で、AD管理用 EC2 のサーバー上へファイルをコピーする必要があるため、共有フォルダを準備しておきます。この設定は必須ではなく、他の手法でファイルをコピーできるのであれば省いても問題ありません。
AD管理用 EC2 のデスクトップ上で任意フォルダを作成し、共有フォルダとして設定します。本例では C:\ドライブ直下に「テンプレートファイルコピー用」と命名してフォルダを作成し、Everyone(すべてのユーザー)に変更(書き取り&読み取り)できるようにしています。
Windows Server のファイアウォールでファイル共有プロトコルが通信許可されていることを確認します。 「管理ツール」-「セキュリティが強化された Windows Defender ファイアウォール」を開きます。 「受信の規則」のなかで「ファイルとプリンターの共有(SMB受信)」のチェックが有効であることを確認します。無効の場合は有効にします。
AD管理用 EC2 セキュリティグループへのファイル共有プロトコルの通信許可
AD管理用 EC2 セキュリティグループでのインバウンドルールに「タイプ:SMB」を追加します。ソースは WorkSpaces が配置されるVPCサブネットのCIDRとします。
WorkSpaces デスクトップ操作にてグループポリシー管理用テンプレートのファイル入手
ここから操作を AD管理用 EC2 から、WorkSpaces デスクトップに切り替えます。
WorkSpaces用のグループポリシー管理用テンプレートのファイル(拡張子 admx、adml) を入手します。Windows 版の WorkSpaces のCドライブ内に最初から用意されているので、これをコピーして入手します。プロトコルが PCoIPの場合と、WSPのの場合とでファイルが異なります。
WorkSpaces は標準ではエクスプローラーでC:\ドライブが表示されません。エクスプローラーのアドレスバーに直接 c:\ と入力することで開くことができます。
下記2つのファイルを、先ほど準備したAD管理用 EC2 の共有フォルダへコピーします。
| PCoIPの場合 | WSPの場合 |
|---|---|
| C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions\PCoIP.admx | C:\Program Files\Amazon\WSP\wsp.admx |
| C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions\en-US\PCoIP.adml | C:\Program Files\Amazon\WSP\wsp.adml |
WorkSpaces デスクトップでの操作はここまでです。続いて AD管理用 EC2 での操作を行います。
グループポリシー管理用テンプレートのファイルの配置
グループポリシー管理用テンプレートのファイル(拡張子 admx、adml) は、Windows の所定フォルダに配置することで利用可能となります。やり方が2通りあるので、それぞれご紹介します。
ローカルコンピューターに配置
AD管理用 EC2 のグループポリシー管理エディターでのみ利用する方法です。このサーバーでのみ作業する予定であればこの方法で十分です。
先ほど入手した共有フォルダへコピーした 拡張子 admx、adml のファイルをそれぞれ下記にコピーします。
| PCoIPの場合 | WSPの場合 |
|---|---|
| C:\Windows\PolicyDefinitions\PCoIP.admx | C:\Windows\PolicyDefinitions\wsp.admx |
| C:\Windows\PolicyDefinitions\en-US\PCoIP.adml | C:\Windows\PolicyDefinitions\en-US\wsp.adml |
(イメージはWSPの場合)
AD管理用 EC2 のデスクトップで「管理ツール」→「グループポリシーの管理」を開始します。 「グループポリシーオブジェクト」で「新規」をクリックします。
グループポリシー管理エディターで「コンピューターの構成 - ポリシー - 管理用テンプレート」の配下に、PCoIPの場合、WSPの場合それぞれのポリシー設定箇所が追加され、WorkSpaces のグループポリシーが設定できるようになります。
セントラルストアに配置
AWS公式ドキュメントにはこちらの方法が紹介されています。操作としては、AD管理用 EC2 のデスクトップで行えばOKです。
先ほど入手した共有フォルダへコピーした 拡張子 admx、adml のファイルを \\(ドメイン名)\SYSVOL\(ドメイン名)\Policies\PolicyDefinitions というADサーバー上に作られる共有フォルダにコピーします。PolicyDefinitions というフォルダは ManagedMSAD初期状態では無いので作成します。
下記のようにコピーします。
| PCoIPの場合 | WSPの場合 |
|---|---|
| \(ドメイン名)\SYSVOL(ドメイン名)\Policies\PolicyDefinitions\PCoIP.admx | \(ドメイン名)\SYSVOL(ドメイン名)\Policies\PolicyDefinitions\wsp.admx |
| \(ドメイン名)\SYSVOL(ドメイン名)\Policies\PolicyDefinitions\en-US\PCoIP.adml | \(ドメイン名)\SYSVOL(ドメイン名)\Policies\PolicyDefinitions\en-US\wsp.adml |
(イメージはWSPの場合)
グループポリシー管理エディターで「コンピューターの構成 - ポリシー - 管理用テンプレート」の配下に、PCoIPの場合、WSPの場合それぞれのポリシー設定箇所が追加され、WorkSpaces のグループポリシーが設定できるようになります。
(イメージはWSPの場合)
このやり方で注意すべきはエディター上の表示が WorkSpaces のポリシーだけになり、従来あった「Windowsコンポーネント」等が無くなってしまうことです。エディター上表記が無いだけであり、過去に設定したグループポリシーオブジェクトは問題無く利用できます。
この状態を修正するには、続けて下記のように C:\Windows\PolicyDefinitions フォルダ毎、\\(ドメイン名)\SYSVOL\(ドメイン名)\Policies\PolicyDefinitions に上書きコピーします。
グループポリシー管理エディターを開きなおすと、無事 従来のグループポリシーと WorkSpaces のグループポリシー両方が表示され、設定できるようになります。
セントラルストアの \\(ドメイン名)\SYSVOL\(ドメイン名)\Policies\PolicyDefinitions フォルダが存在していると必ずこちらが読み込まれ、ローカルコンピューターに配置した
拡張子 admx、adml のファイルは読み込まれなくなります。セントラルストアの利用は複数システム管理者や作業場所で操作するうえでメリットとなりますが、仕様を理解しておかないとトラブルの元になりますのでご注意ください。これはグループポリシー管理エディターだけの仕様であり、グループポリシーが適用されるWorkSpacesやサーバー・PCへは一切影響はありません。
まとめ
AWS公式ドキュメントだけだとわかりにくい設定手順かと思いましたので、イメージを多めにつけて解説させていただきました。 本BLOGが皆様のお役に立てれれば幸いです。
