翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# サポートされているソフトウェア製品の License Manager ユーザーベースのサブスクリプションを使用する
のユーザーベースのサブスクリプションでは AWS License Manager、完全準拠のライセンスソフトウェアサブスクリプションを購入できます。ライセンスは Amazon から提供され、ユーザーごとのサブスクリプション料金がかかります。Amazon EC2 は、サポート対象のソフトウェアを含む事前設定済みの Amazon マシンイメージ (AMI) と、ライセンス込みの Windows Server ライセンスを提供します。これらのライセンスは長期間のライセンス契約なしで使用できます。
ユーザーベースのサブスクリプションを使用するには、 [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) (AWS Managed Microsoft AD) またはセルフマネージド (オンプレミス) ドメインのユーザーを、ソフトウェアを提供する EC2 インスタンスに関連付けます。ライセンス取得済みソフトウェアを利用できるようにするには、ユーザーベースのサブスクリプションを作成し、事前設定された AMI から起動されたインスタンスに関連付ける必要があります。[AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) は、起動させるライセンス込みのインスタンスを設定し、強化します。ユーザーはリモートデスクトップソフトウェアに接続して、ソフトウェアを提供するインスタンスにアクセスする必要があります。
ライセンス込みのインスタンスに関連付けられたユーザーと [vCPU](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-optimize-cpu.html) にはそれぞれ料金が発生します。Amazon EC2 のリザーブドインスタンスと Savings Plans の料金モデルは、Amazon EC2 のコストを最適化するのに役立ちます。詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「[リザーブドインスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-reserved-instances.html)」を参照してください。ユーザーベースのサブスクリプションは、月の前半から月末までに請求されます。
**Topics**
+ [License Manager でユーザーベースのサブスクリプションを使用する際の考慮事項](#usubs-considerations)
+ [License Manager のサブスクリプション料金](#usubs-subscription-charges)
+ [License Manager でユーザーベースのサブスクリプションを作成するための前提条件](#usubs-prerequisites)
+ [License Manager のユーザーベースのサブスクリプションでサポートされているソフトウェア製品](#usubs-software)
+ [Active Directory](#ad-support)
+ [その他のソフトウェア](#usubs-software-additional)
+ [License Manager でユーザーベースのサブスクリプションの使用を開始する](user-based-subscriptions-getting-started.md)
+ [よりアクティブなリモートユーザーセッション用に Active Directory GPO を設定する](usubs-configure-gpo.md)
+ [共有 AWS License Manager を使用してクロスアカウントの使用を開始する AWS Managed Microsoft AD](license-cross-account.md)
+ [ライセンス込み AMI からインスタンスを起動する](usubs-launch-instance.md)
+ [RDP を使用してユーザーベースのサブスクリプションインスタンスに接続する](user-based-subscriptions-connect.md)
+ [Microsoft Office サブスクリプションのファイアウォール設定を変更する](usubs-modify-firewall.md)
+ [License Manager ユーザーベースのサブスクリプションのサブスクリプションユーザーを管理する](usubs-manage-users.md)
+ [License Manager の設定から Active Directory の登録を解除する](usubs-deregister-ad.md)
+ [License Manager でのユーザーベースのサブスクリプションのトラブルシューティング](user-based-subscriptions-troubleshoot.md)
## License Manager でユーザーベースのサブスクリプションを使用する際の考慮事項
License Manager でユーザーベースのサブスクリプションを使用する場合、次の考慮事項が適用されます。
+ ライセンス込み Microsoft リモートデスクトップサービス (`Win Remote Desktop Services SAL`) の AWS Marketplace サブスクリプションには、ユーザーごとの月額料金がかかり、按分はかかりません。
+ ユーザーベースのサブスクリプションを提供するインスタンスは、デフォルトで一度に最大 2 つのアクティブなユーザーセッションをサポートします。3 つ以上のアクティブなユーザーセッションを有効にするには、Active Directory グループポリシーオブジェクト (GPO) を設定し、Microsoft RDS ライセンスモードを に設定します`Per User`。詳細については、「」の前提条件を参照してください[よりアクティブなリモートユーザーセッション用に Active Directory GPO を設定する](usubs-configure-gpo.md)。
+ ユーザーベースのサブスクリプションを提供するインスタンスで管理者権限を持つローカルユーザーを作成すると、インスタンスのヘルスステータスが異常に変わる可能性があります。License Manager は、コンプライアンス違反により異常が発生したインスタンスを終了できます。詳細については、「[インスタンスのコンプライアンスに関するトラブルシューティング](user-based-subscriptions-troubleshoot.md#user-based-subscriptions-troubleshoot-instance-compliance)」を参照してください。
+ Microsoft Office 製品で Active Directory を設定する場合、VPC には少なくとも 1 つのサブネットに [VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)がプロビジョニングされている必要があります。License Manager によって作成されたすべての VPC エンドポイントリソースを削除する場合は、License Manager 設定から設定された Active Directory を削除する必要があります。詳細については、「[License Manager の設定から Active Directory の登録を解除する](usubs-deregister-ad.md)」を参照してください。
+ License Manager によってインスタンスに割り当てられた、値 `UserSubscriptions` を持つ `AWSLicenseManager` のタグキーは変更または削除しないでください。
+ サービスが期待どおりに機能するためには、License Manager 用に作成された 2 つのネットワークインターフェイスを変更または削除しないでください。
+ License Manager が AWS Managed Microsoft AD ディレクトリ**AWS の予約済み**組織単位 (OU) で作成するオブジェクトは、変更または削除しないでください。
+ ユーザーベースのサブスクリプション用にデプロイされたインスタンスは、 AWS Systems Manager によるマネージドノードであり、同じドメインに属する必要があります。Systems Manager によるインスタンスの継続的な管理については、このガイドの「[License Manager でのユーザーベースのサブスクリプションのトラブルシューティング](user-based-subscriptions-troubleshoot.md#user-based-subscriptions-troubleshoot-systems-manager-connectivity)」セクションを参照してください。
+ ユーザーの Microsoft Office または Visual Studio サブスクリプション料金の発生を停止するには、関連付けられているすべてのインスタンスからユーザーの関連付けを解除する必要があります。詳細については、「[License Manager ユーザーベースのサブスクリプションを提供するインスタンスからユーザーの関連付けを解除する](usubs-disassociate-users.md)」を参照してください。
## License Manager のサブスクリプション料金
License Manager のサブスクリプションと請求は、使用されているサブスクリプション製品によって異なります。
**Microsoft Office および Visual Studio サブスクリプション**
Microsoft Office および Visual Studio サブスクリプションの場合、サブスクリプション製品を提供するすべてのインスタンスからユーザーの関連付けを解除し、製品からサブスクリプションを解除すると、請求は直ちに停止します。
**Microsoft リモートデスクトップサービス (RDS) サブスクリプション**
Microsoft RDS は、ユーザーがサブスクリプション製品を提供するインスタンスに接続するときにライセンスサーバーから発行されたユーザーサブスクリプションとクライアントアクセスライセンス (CAL) トークンの組み合わせに基づいて、ユーザーごとに月単位で請求されます。
### License Manager での Microsoft RDS の請求
Microsoft RDS の請求は、Active Directory ユーザーが License Manager を通じてサブスクライブされたときに開始され、クライアントアクセスライセンス (CAL) トークンの有効期限が切れた後、発行日から 60 日後に終了します。一部の月は按分されません。ユーザーのサブスクリプションを解除しても、トークンの有効期限が切れるまで請求は継続されます。
サブスクライブしていないユーザーがライセンストークンの有効期限が切れた後もログインを続けると、自動的に再サブスクライブされ、再びサブスクライブが解除されてトークンの有効期限が切れるまで請求が続行されます。
同様に、一度もサブスクライブしたことがないが、ライセンスサーバーに関連付けられているインスタンスにログインすると、License Manager は自動的にサブスクライブし、RDS 請求を開始します。請求は、サブスクリプションが解除され、トークンの有効期限が切れるまで続行されます。
今月末にユーザーの請求を停止するには、サブスクリプションを解除する前に、ライセンスサーバー用に設定された Active Directory からそのユーザーを削除する必要があります。
**警告**
アクティブな Microsoft Office または Visual Studio サブスクリプションを保持している Active Directory ユーザーを削除すると、そのユーザーは関連付けられているインスタンスにアクセスできなくなります。
次のシナリオ例は、RDS 請求の仕組みを示しています。
#### シナリオ 1: 標準サブスクリプションと請求
次のシナリオは、12/15/2024 にサブスクライブされているが、サブスクリプションインスタンスにアクセスしない Active Directory (AD) ユーザーの請求に影響する標準的なアクションのセットを示しています。
*アクション:* ユーザーがサブスクリプションを解除しない場合、請求は無期限に続行されます。
| AD ユーザーがサブスクライブしました | 請求開始 | CAL 発行 | CAL の有効期限が切れる | サブスクライブ解除されたユーザー | AD から削除されたユーザー | 請求終了 |
| --- | --- | --- | --- | --- | --- | --- |
| 12/15/2024 | 12/15/2024 | -- | 該当なし | -- | -- | -- |
*アクション:* ユーザーは 1/15/2025 にサブスクリプション解除されます。
| AD ユーザーがサブスクライブしました | 請求開始 | CAL 発行 | CAL の有効期限が切れる | サブスクライブ解除されたユーザー | AD から削除されたユーザー | 請求終了 |
| --- | --- | --- | --- | --- | --- | --- |
| 12/15/2024 | 12/15/2024 | -- | 該当なし | `1/15/2025` | `No` | `1/31/2025` |
#### シナリオ 2: ライセンストークンがユーザーのサブスクリプションと請求にどのように影響するか
次のシナリオは、ライセンストークンの有効期限が、9/15/2024 にサブスクライブし、ドメインに参加しているサブスクリプション製品インスタンスに同じ日にログインする Active Directory (AD) ユーザーのユーザーサブスクリプションにどのように影響するかを示しています。
*アクション:* AD ユーザーの初回サブスクリプションとログイン。
| AD ユーザーがサブスクライブしました | 請求開始 | CAL 発行 | CAL の有効期限が切れる | サブスクライブ解除されたユーザー | AD から削除されたユーザー | 請求終了 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | -- | -- | -- |
*アクション:* 同じ AD ユーザーが 10/19/2024 にサブスクリプション解除されました。ただし、ユーザーが ディレクトリから削除されなかったため、請求はライセンストークンの有効期限が切れる月末まで継続されます。
| AD ユーザーがサブスクライブしました | 請求開始 | CAL 発行 | CAL の有効期限が切れる | サブスクライブ解除されたユーザー | AD から削除されたユーザー | 請求終了 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | `10/19/2024` | -- | `11/30/2024` |
*代替アクション:* AD 管理者は 10/20/2024 にディレクトリからユーザーを削除し、翌日にユーザーのサブスクリプションを解除します。この場合、ユーザーがディレクトリから削除された月の月末に請求が停止します。
| AD ユーザーがサブスクライブしました | 請求開始 | CAL 発行 | CAL の有効期限が切れる | サブスクライブ解除されたユーザー | AD から削除されたユーザー | 請求終了 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | 10/21/2024 | `10/20/2024` | `10/31/2024` |
#### シナリオ 3: サブスクリプション解除されたユーザーが再サブスクライブされる
次のシナリオは、ライセンストークンの有効期限が切れたサブスクリプション解除された Active Directory (AD) ユーザーが、ドメインに参加しているサブスクリプション製品インスタンスにアクセスすると、自動的に再サブスクリプションされる方法を示しています。
*アクション:* AD ユーザーの初期サブスクリプションとログイン。
| AD ユーザーがサブスクライブしました | 請求開始 | CAL 発行 | CAL の有効期限が切れる | サブスクライブ解除されたユーザー | AD から削除されたユーザー | 請求終了 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | -- | -- | -- |
*アクション:* 同じ AD ユーザーが 10/19/2024 にサブスクリプション解除されました。ただし、ユーザーが ディレクトリから削除されなかったため、請求はライセンストークンの有効期限が切れる月末まで継続されます。
| AD ユーザーがサブスクライブしました | 請求開始 | CAL 発行 | CAL の有効期限が切れる | サブスクライブ解除されたユーザー | AD から削除されたユーザー | 請求終了 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | `10/19/2024` | -- | `11/30/2024` |
*アクション:* 前のライセンストークンの有効期限が切れた後、請求が終了する前に、同じ AD ユーザーがドメインに参加しているサブスクリプション製品インスタンスにアクセスします。請求は、ユーザーが再度サブスクリプションを解除され、新しいトークンの有効期限が切れるまで続きます。
| AD ユーザーがサブスクライブしました | 請求開始 | CAL 発行 | CAL の有効期限が切れる | サブスクライブ解除されたユーザー | AD から削除されたユーザー | 請求終了 |
| --- | --- | --- | --- | --- | --- | --- |
| `11/20/2024 (re-subscribed)` | `billing continues` | `11/20/2024` | `1/20/2025` | -- | -- | -- |
#### シナリオ 4: インスタンスアクセス時の自動サブスクリプション
次のシナリオは、RDS SAL にサブスクライブしたことのない Active Directory (AD) ユーザーが、ドメインに参加しているサブスクリプション製品インスタンスにログインしたときに自動的にサブスクライブされる方法を示しています。
*アクション:* RDS SAL にサブスクライブしたことがない AD ユーザーは、9/15/2024 にドメインに参加しているサブスクリプション製品インスタンスにログインし、自動サブスクライブされます。請求が開始され、ユーザーがサブスクリプションを解除され、新しいトークンの有効期限が切れるまで継続します。
| AD ユーザーがサブスクライブしました | 請求開始 | CAL 発行 | CAL の有効期限が切れる | サブスクライブ解除されたユーザー | AD から削除されたユーザー | 請求終了 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 (自動サブスクライブ) | 9/15/2024 | 9/15/2024 | 11/15/2024 | -- | -- | -- |
ユーザー CALs[「リモートデスクトップデプロイのライセンス](https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-client-access-license)**CALs あたりの** 」セクションを参照してください。 **
## License Manager でユーザーベースのサブスクリプションを作成するための前提条件
ユーザーベースのサブスクリプションを作成する前に、以下の前提条件をご使用の環境に実装する必要があります。
**Contents**
+ [IAM ロールおよび許可](#usubs-prereq-iam)
+ [AWS KMS License Server 認証情報のキーポリシー](#usubs-prereq-iam-rdslic)
+ [Active Directory](#usubs-prereq-ad)
+ [セキュリティグループ](#usubs-prereq-sg)
+ [ネットワーク構成](#usubs-prereq-network)
+ [ユーザーベースのサブスクリプション製品を提供するインスタンス](#usubs-prereq-instance)
+ [Microsoft リモートデスクトップサービス](#usubs-prereq-rds)
+ [管理認証情報シークレット](#usubs-prereq-rds-secret)
### IAM ロールおよび許可
AWS アカウント をユーザーベースのサブスクリプションにオンボードするには、License Manager がサービスリンクロールを作成できるようにする必要があります。License Manager コンソールでは、ロールがまだ作成されていない場合、**ユーザーベースのサブスクリプション**にプロンプトが表示されます。プロンプトに応答し、License Manager にロールの作成を許可することに同意したら、**作成**を選択して続行します。詳細については、「[License Manager のサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
ユーザーベースのサブスクリプションを作成するには、ユーザーまたはロールに次のアクセス許可が必要です。
+ **Amazon EC2** – ネットワークインターフェイスとサブネットを使用します。
+ `ec2:CreateNetworkInterface`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DescribeSubnets`
+ **Directory Service** – アクティブディレクトリを管理します。
+ `ds:DescribeDirectories`
+ `ds:AuthorizeApplication`
+ `ds:UnauthorizeApplication`
+ `ds:GetAuthorizedApplicationDetails`
+ `ds:DescribeDomainControllers`
+ **Route 53** – ルーティングを設定します。
+ `route53:DeleteHealthCheck`
+ `route53:ChangeResourceRecordSets`
+ `route53:GetHostedZone`
+ `route53:ListHostedZonesByName`
+ `route53:ListHostedZones`
+ `route53:ListHostedZonesByVPC`
+ `route53:CreateHostedZone`
+ `route53:DeleteHostedZone`
+ `route53:ListResourceRecordSets`
+ `route53:GetHealthCheckCount`
+ `route53:AssociateVPCWithHostedZone`
Microsoft Office 製品のユーザーベースのサブスクリプションを作成するには、ユーザーまたはロールに次の追加のアクセス許可も必要です。
+ `ec2:CreateVpcEndpoint`
+ `ec2:DeleteVpcEndpoints`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:ModifyVpcEndpoint`
+ `ec2:DescribeSecurityGroups`
#### AWS KMS License Server 認証情報のキーポリシー
独自の KMS キーを使用して Microsoft RDS License Server の管理認証情報シークレットを暗号化および復号するには、License Manager オペレーションへのアクセスに使用するロールにポリシーをアタッチする必要があります。次の例は、Secrets Manager が KMS キーにアクセスして Microsoft RDS License Server 認証情報シークレットを暗号化および復号するためのアクセス許可を付与するポリシーを示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-policy",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/RoleName"
},
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com"
}
}
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-service-role/license-manager-user-subscriptions.amazonaws.com/AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService"
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com"
}
}
}
]
}
```
------
### Active Directory
License Manager ユーザーベースのサブスクリプションを使用するには、サブスクリプション製品ユーザーのユーザー情報を含む Active Directory (AD) を作成する必要があります。設定に応じて、 AWS Managed Microsoft AD、またはセルフマネージド AD を使用できます。
AWS マネージドアクティブディレクトリとセルフマネージドアクティブディレクトリの両方を使用する場合は、ディレクトリ間で双方向のフォレスト信頼を確立する必要があります。詳細については、[「 管理ガイド」の「チュートリアル: AWS Managed Microsoft AD とセルフマネージド Active Directory ドメインの間に信頼関係を作成する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust.html)」を参照してください。 *AWS Directory Service *
**注記**
ディレクトリ用に設定されたサブネットはすべて、 の同じ VPC からのものである必要があります AWS アカウント。共有サブネットはサポートされていません。
AWS マネージドアクティブディレクトリには以下の制限があります。
+ 共有されているディレクトリは、ディレクトリが最初にプライマリアカウントでオンボーディングされている場合にのみサポートされ、共有アカウントでオンボーディングできます。
+ 多要素認証はサポートされていません
**タグベースのフィルターの前提条件**
Active Directory にタグベースのフィルターを使用する場合は、まず次のように AWS Resource Explorer サービスにオンボードする必要があります。
1. [https://resource-explorer.console.aws.amazon.com/resource-explorer](https://resource-explorer.console.aws.amazon.com/resource-explorer) で Resource Explorer コンソールを開きます。
1. **[Resource Explorer を有効にする]** を選択します。
1. **Resource Explorer のセットアップ**ページで、次のようにセットアップオプションを選択します。
**Quick Setup**
基本設定の場合は、このオプションを選択します。
**詳細設定**
カスタム設定の場合は、このオプションを選択します。少なくとも Active Directory が存在するリージョンのインデックスを作成してください。
1. **アグリゲータインデックスリージョンのリージョン**を選択します。
1. **Resource Explorer をオンに**して設定を保存します。
1. ナビゲーションペインで、**ビュー**を選択し、**ビューの作成**を選択します。
**注記**
ナビゲーションペインが表示されない場合は、メニューアイコン (3 つの水平バー) を選択します。
1.
1. **ビューの作成**ページで、**名前****license-manager-user-subscriptions-view**に と入力します。
1. **リソースフィルター**が**すべてのリソースを含める**に設定されていることを確認します。
1. 「リソース**属性の追加****」セクションで、タグ**チェックボックスが選択されていることを確認します。
1. **ビューの作成**を選択して終了します。
ディレクトリの作成 AWS Managed Microsoft AD の詳細については、「 *AWS Directory Service ユーザーガイド*」の[AWS Managed Microsoft AD 「前提条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)」と[AWS Managed Microsoft AD 「ディレクトリの作成](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)」を参照してください。
ユーザーを に関連付けるには AWS Managed Microsoft AD、 AWS Managed Microsoft AD ディレクトリにユーザーをプロビジョニングする必要があります。詳細については、「AWS Directory Service 管理ガイド」の「[AWS Managed Microsoft ADのユーザーとグループの管理](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)」を参照してください。
### セキュリティグループ
セキュリティグループは、ネットワーク上のリソースとの間で許可されるネットワークトラフィックを制御します。ユーザーベースのサブスクリプション環境のリソースが通信できるようにするには、セキュリティグループが次の基準を満たしている必要があります。
**VPC エンドポイントのセキュリティグループ**
**インバウンド** TCP ポート`1688`接続を許可するセキュリティグループを特定または作成します。VPC 設定を構成するときは、このセキュリティグループを指定します。詳細については、「[セキュリティグループの操作](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups)」を参照してください。
License Manager は、VPC の設定中にユーザーに代わって作成する VPC エンドポイントにこのセキュリティグループを関連付けます。VPC エンドポイントの詳細については、「AWS PrivateLink ガイド」の「[インターフェイス VPC エンドポイントを使用して AWS のサービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。
**Active Directory ドメインコントローラーのセキュリティグループ**
AD ドメインコントローラーに使用するセキュリティグループが、各ドメインコントローラーのネットワークインターフェイス IP アドレスへのアウトバウンドトラフィックを許可していることを確認します。さらに、ドメインコントローラーセキュリティグループは、TCP 9389 を含むすべての Active Directory 関連ポートでの通信を許可する必要があります。Active Directory PowerShell モジュールやその他の管理ツールがドメインコントローラーと通信するために使用する Active Directory Web Services (ADWS) には、ポート 9389 が必要です。
**「アクティブディレクトリを登録する」ステップのセキュリティグループの要件**
Active Directory を License Manager にオンボーディングするときに、指定されたサブネットにネットワークインターフェイスが作成され、VPC のデフォルトのセキュリティグループでタグ付けされます。このセキュリティグループが Active Directory ドメインコントローラーへのアクセスを許可されていることを確認してください。これは、オンボーディングが完了した後も任意のグループに置き換えることができますが、ドメインコントローラーへのネットワークアクセスは引き続き必要です。
**「RDS ライセンスサーバーの設定」ステップのセキュリティグループ要件**
ライセンスサーバーの設定中に、License Manager は指定したサブネットに 2 つのネットワークインターフェイスを作成します。これらのネットワークインターフェイスには、必要なすべてのポート設定を含む新しく作成されたセキュリティグループが自動的にタグ付けされます。Active Directory ドメインコントローラーのセキュリティグループが、TCP ポート 9389 を含むすべての Active Directory 関連ポートのサブネット CIDRs からの双方向トラフィックを許可していることを確認します。Active Directory PowerShell モジュールやその他の管理ツールがドメインコントローラーと通信するために使用する Active Directory Web Services (ADWS) には、ポート 9389 が必要です。
**ユーザーベースのサブスクリプションインスタンスのセキュリティグループ**
インスタンスとの間で以下のアクセスを許可するセキュリティグループを特定または作成します。詳細については、「[セキュリティグループの操作](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups)」を参照してください。
+ 承認された`3389`接続ソースからの**インバウンド** TCP ポート接続。
+ VPC エンドポイントに到達し、通信するための**アウトバウンド** TCP ポート`1688`接続 AWS Systems Manager。
### ネットワーク構成
License Manager は、 AWS Managed Microsoft AD がプロビジョニングされている VPC のデフォルトのセキュリティグループを使用する 2 つのネットワークインターフェイスを作成します。これらのインターフェイスは、サービスがディレクトリとやり取りするために使用されます。詳細については、「AWS Directory Service 管理ガイド」の「[ステップ 2: License Manager に Active Directory を登録する](user-based-subscriptions-getting-started.md#user-based-subscriptions-configure-ad)」および「[作成される対象](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)」を参照してください。
プロビジョニングプロセスが完了したら、License Manager によって作成されたインターフェイスに別のセキュリティグループを関連付けることができます。
**DNS 解決**
ユーザーベースのサブスクリプションに登録した Active Directory は、License Manager の設定で設定した VPCs とサブネットからアクセスできる必要があります。Active Directory ノードにアクセスできるようにするには、DNS 解決を次のように設定します。
+ ユーザーベースのサブスクリプションの License Manager 設定で設定された VPCs とアクティブディレクトリ間の DNS 転送を設定します。DNS 転送には Amazon Route 53 または別の DNS サービスを使用できます。詳細については、ブログ記事「[Integrating your Directory Service’s DNS resolution with Amazon Route 53 Resolvers](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-your-directory-services-dns-resolution-with-amazon-route-53-resolvers/)」を参照してください。
+ VPC で **[DNS 解決]** と **[DNS ホスト名]** を有効にします。詳細については、「[VPC の DNS 属性の表示と更新](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)」を参照してください。
### ユーザーベースのサブスクリプション製品を提供するインスタンス
ユーザーベースのサブスクリプションインスタンスが期待どおりに機能するには、次の前提条件を満たす必要があります。
+ 「」の説明に従って、インスタンスのセキュリティグループを設定します[セキュリティグループ](#usubs-prereq-sg)。
+ Microsoft Office でユーザーベースのサブスクリプションを提供するために起動されたインスタンスに、VPC エンドポイントがプロビジョニングされているサブネットへのルートがあることを確認します。
+ ユーザーベースのサブスクリプションを提供するインスタンスは、正常なステータスを得るために AWS Systems Manager によって管理される必要があります。さらに、ライセンスのアクティベーション後もインスタンスがコンプライアンスを維持するには、ユーザーベースのサブスクリプションライセンスをアクティブ化できる必要があります。
**注記**
License Manager は異常のあるインスタンスの復旧を試みますが、正常な状態に戻すことができないインスタンスは終了されます。Systems Manager によるインスタンスの継続的な管理とインスタンスのコンプライアンスに関するトラブルシューティング情報については、このガイドの「[License Manager でのユーザーベースのサブスクリプションのトラブルシューティング](user-based-subscriptions-troubleshoot.md)」セクションを参照してください。
+ ユーザーベースのサブスクリプション製品を提供するインスタンスには、インスタンスプロファイルロールをアタッチする必要があり、これによって AWS Systems Managerによるリソースの管理が可能になります。詳細については、「AWS Systems Manager ユーザーガイド」の「[Systems Manager の IAM インスタンスプロファイルを作成する](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)」を参照してください。
+ インスタンスを終了する[インスタンスからユーザーの関連付けを解除する](usubs-disassociate-users.md)前に、 を終了する必要があります。
### Microsoft リモートデスクトップサービス
Microsoft Remote Desktop Services ライセンスサーバーには、関連付けられた Active Directory で定義されている管理ユーザーが必要です。そのユーザーは、次のタスクを実行できる必要があります。
+ Active Directory ドメインで OU を作成する
+ 作成された OU 内のドメイン結合インスタンス (コンピュータの作成)
+ Active Directory ドメイン内のターミナルサーバーグループにコンピュータオブジェクトを追加する
+ ライセンスサーバーレポートを生成するために、Active Directory ドメイン内のユーザーオブジェクトがターミナルサーバーのライセンスサーバーを読み書きする制御を委任します。
委任の詳細については、[「Active Directory ドメインサービスでの制御の委任](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/delegation-control-wizard)」を参照してください。
#### 管理認証情報シークレット
License Manager は AWS Secrets Manager を使用して、Microsoft Remote Desktop Services ライセンスサーバーのユーザー管理タスクに必要な認証情報を管理します。ライセンスサーバーをセットアップする前に、ライセンスサーバーでユーザー管理タスクを実行するユーザーの認証情報を含むシークレットを Secrets Manager で作成する必要があります。ライセンスサーバーの設定を行うときは、作成したシークレットの ID を指定する必要があります。
**注記**
これは、RDS ライセンスサーバーレポートの生成に定義したのと同じユーザーである必要があります。
シークレットを作成するには、Secrets Manager ユーザーガイドの[AWS Secrets Manager 「シークレットの作成](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)」ページの詳細な手順に従い、License Manager に固有の以下の設定を行います。 **
**重要**
シークレットを使用するには、License Manager は、次のリストで指定されている正確なキー名、ユーザー名値、暗号化キーによって異なります。シークレット名はプレフィックス で始まる必要があります`license-manager-user-`。
**[シークレットのタイプを選択]** ページで以下を行います。
+ **シークレットタイプ** – **その他のタイプのシー**クレットを選択します。
+ **キーと値のペア** – シークレットに保存する次のキーペアを指定します。
ユーザー名
+ キー: `username`
+ 値: `Administrator`
[パスワード]
+ キー: `password`
+ 値: *パスワード*
+ **暗号化キー** – キー以外の KMS `aws/secretsmanager`キーを指定するには、License Manager オペレーションへのアクセスに使用するロールにポリシーをアタッチする必要があります。詳細については、「[IAM ロールおよび許可](#usubs-prereq-iam)」を参照してください。
**シークレットの設定**ページで、次の操作を行います。
+ **シークレット名** – License Manager がライセンスサーバーの認証情報シークレットを識別するために使用するプレフィックスで始まるシークレットの名前を指定します。例えば、次のようになります。
```
license-manager-user-admin-credentials
```
この手順では、 を使用してシークレットを作成することを前提 AWS マネジメントコンソール としています。Secrets Manager ユーザーガイドには、他の方法の詳細な手順も含まれています。Secrets Manager の詳細については、[「Secrets Manager とは](https://docs.aws.amazon.com/secretsmanager/latest/userguide/)」を参照してください。特にコストに関連する情報については、Secrets Manager ユーザーガイドの[「 の料金 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html#asm_pricing)」を参照してください。 **
## License Manager のユーザーベースのサブスクリプションでサポートされているソフトウェア製品
AWS License Manager は、Microsoft Visual Studio および Microsoft Office のユーザーベースのサブスクリプションをサポートしています。サポートされるソフトウェア使用率は License Manager によって追跡されます。ユーザーベースのサブスクリプション製品を提供するライセンス込みのインスタンスに各ユーザーがアクセスするには、Windows Server Remote Desktop Services のサブスクライバーアクセスライセンス (RDS SAL) の単一サブスクリプションが必要です。詳細については、「[License Manager でユーザーベースのサブスクリプションの使用を開始する](user-based-subscriptions-getting-started.md)」を参照してください。
**サポートされる Windows オペレーティングシステム (OS) プラットフォーム**
次の Windows OS プラットフォームの RDS SAL ライセンスの対象となる製品を含む Windows AMIs があります。
+ Windows Server 2025
+ Windows Server 2022
+ Windows Server 2019
### ユーザーベースのサブスクリプションでサポートされるソフトウェア
**Contents**
+ [Microsoft Visual Studio](#user-subs-visual-studio)
+ [Microsoft Office](#user-subs-ms-office)
#### Microsoft Visual Studio
Microsoft Visual Studio は、開発者がアプリケーションを作成、編集、デバッグ、および公開できるようにする統合開発環境 (IDE) です。提供されている Microsoft Visual Studio AMI には、[AWS Toolkit for .NET Refactoring](https://docs.aws.amazon.com/tk-dotnet-refactoring/latest/userguide/what-is-tk-dotnet-refactoring.html) と [AWS Toolkit for Visual Studio](https://aws.amazon.com/visualstudio/) が含まれています。
**サポートされるエディション**
+ Visual Studio Professional 2022
+ Visual Studio Enterprise 2022
次の表は、License Manager のユーザーベースのサブスクリプションの API オペレーションに使用されるソフトウェアサブスクリプション名と、それに関連する製品価値の詳細を示しています。
| ソフトウェアサブスクリプション名 | 製品価値 |
| --- | --- |
| Visual Studio Enterprise 2022 | `VISUAL_STUDIO_ENTERPRISE` |
| Visual Studio Professional 2022 | `VISUAL_STUDIO_PROFESSIONAL` |
#### Microsoft Office
Microsoft Office は、ドキュメント、スプレッドシート、スライドショーのプレゼンテーションの操作など、生産性を向上させるさまざまなユースケース向けに Microsoft が開発したソフトウェアのコレクションです。
**サポートされるエディション**
+ Office LTSC Professional Plus 2021
+ Office LTSC Professional Plus 2024
+ Office LTSC Professional Plus 2021 32 ビット (x86)
+ Office LTSC Professional Plus 2024 32 ビット (x86)
次の表は、License Manager のユーザーベースのサブスクリプションの API オペレーションに使用されるソフトウェアサブスクリプション名と、それに関連する製品価値の詳細を示しています。
| ソフトウェアサブスクリプション名 | 製品価値 |
| --- | --- |
| Office LTSC Professional Plus 2021 | `OFFICE_PROFESSIONAL_PLUS` |
| Office LTSC Professional Plus 2024 | `OFFICE_PROFESSIONAL_PLUS` |
## Active Directory
License Manager は、Microsoft Visual Studio、Microsoft Office、リモートデスクトップサービスサブスクライバーアクセスライセンス (RDS SAL) のユーザーベースのサブスクリプションをサポートしています。製品は、 AWS Managed Microsoft AD 環境内にデプロイされているか、 AWS 環境内の VPC へのネットワーク接続を持つ、 またはセルフマネージドアクティブディレクトリのいずれかをサポートする場合があります AWS 。
この表は、ユーザーベースのサブスクリプションで使用すると、各ソフトウェア製品でサポートされている Active Directory のタイプを示しています。
| ソフトウェア製品 | AWS Managed Microsoft AD | セルフマネージド AD |
| --- | --- | --- |
| Microsoft Visual Studio | サポート | サポートされていません |
| Microsoft Office | サポート | サポートされていません |
| RDS SAL 製品 | サポート対象 | サポート |
## その他のソフトウェア
ユーザーベースのサブスクリプションでは使用できない追加のソフトウェアをインスタンスにインストールできます。追加のソフトウェアインストールは、License Manager では追跡されません。これらのインストールは、Active Directory の管理アカウントを使用して実行する必要があります。を使用する場合 AWS Managed Microsoft AD、管理アカウント (Admin) はデフォルトで ディレクトリに作成されます。詳細については、「Directory Service 管理ガイド」の「[管理者アカウントのアクセス権限](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_admin_account.html)」を参照してください。
Active Directory 管理アカウントを使用して追加のソフトウェアをインストールするには、以下を実行する必要があります。
+ インスタンスが提供する製品に管理アカウントをサブスクライブします。
+ 管理アカウントをインスタンスに関連付けます。
+ 管理アカウントを使用してインスタンスに接続し、インストールを実行します。
詳細については、「[License Manager でユーザーベースのサブスクリプションの使用を開始する](user-based-subscriptions-getting-started.md)」を参照してください。