Microsoft Active Directory との統合
Amazon WorkSpaces Applications Image Builder とフリートは Microsoft Active Directory と統合できます。これにより、ユーザーの認証と認可を一元的に行うことができ、ドメインに参加している WorkSpaces Applications インスタンスに Active Directory グループポリシーを適用できます。ドメインに参加した WorkSpaces Applications フリートを使用すると、オンプレミス環境と同じ管理上のメリットが得られます。これには、ネットワークファイル共有、ユーザーアプリの使用権限、ローミングプロファイル、プリンターアクセス、およびその他のポリシーベースの設定の一元管理が含まれます。
WorkSpaces Applications 環境を Active Directory と統合する場合、WorkSpaces Applications スタックへの初期認証は引き続き SAML2.0 IdP によって管理されていることに注意するのが重要です。ユーザーが IdP に対して正常に認証されると、ユーザーがセッションを起動するときに、Active Directory ドメインのドメインパスワードまたはスマートカード認証を入力する必要があります。
WorkSpaces Applications で使用する Active Directory ドメインサービス (ADDS) 環境を設計する場合、2 つのサービスオプションがあり、利用できるさまざまなデプロイシナリオがあります。また、WorkSpaces Applications のネットワークについては、必ず Active Directory サイトトポロジの所有者に確認してください。
サービスオプション
Active Directory は、AWSマネージド Microsoft Active Directory (AD) を使用して導入することもできます。AWSマネージド Microsoft AD は、Microsoft Active Directory を実行できるフルマネージドサービスです。Microsoft Active Directory は EC2 またはオンプレミスで実行されているセルフホスト環境でも使用できます。
デプロイシナリオ
以下のデプロイシナリオは、WorkSpaces Applications と Microsoft マネージド AD、またはお客様のセルフマネージド Active Directory との統合オプションとして一般的に使用され、推奨されています。以下に示すアーキテクチャ図はすべて、Amazon のコアコンストラクトを使用しています。
-
Amazon 仮想プライベートクラウド (VPC) – 4 つの AZ にまたがる少なくとも 4 つのプライベートサブネットを備えた WorkSpaces Applications サービス専用の Amazon VPC の作成。プライベートサブネットのうちの 2 つは、WorkSpaces Applications フリートと Image Builder に使用されます。残りの 2 つのサブネットは、EC2 または Microsoft マネージド (AD) のドメインコントローラーに使用されます。
-
Dynamic Host Configuration Protocol (DHCP) オプションセット – VPC にプロビジョニングされる WorkSpaces Applications フリートと Image Builder に設定情報を渡すための標準を提供します。DHCP オプションセットは VPC レベルで定義されます。これにより、お客様は、プロビジョニング時にインスタンス化される WorkSpaces Applications で使用される特定のドメイン名と DNS 設定を定義できます。
-
AWS ディレクトリサービス – Amazon Microsoft マネージド AD は、WorkSpaces Applications ワークロードと組み合わせて使用される 2 つのプライベートサブネットにデプロイできます。
-
WorkSpaces Applications フリート – WorkSpaces アプリケーションフリートまたは Image Builder は、AWS マネージド VPC でホストされます。WorkSpaces Applications の各インスタンスには 2 つの Elastic Network Interface (ENI) があります。プライマリインターフェイス (
eth0) は、管理目的と、ストリーミングゲートウェイ経由のインスタンスへのエンドユーザー接続の仲介に使用されます。セカンダリインターフェイス (eth1) はカスタマー VPC に挿入され、カスタム VPC またはオンプレミスの他のリソースにアクセスするために使用できます。
シナリオ 1: オンプレミスにデプロイされた Active Directory ドメインサービス (ADDS)
すべての認証トラフィックは、カスタマー VPC からカスタマーゲートウェイまで VPN または Direct Connect 接続を通過します。このシナリオのメリットは、カスタマー VPC に追加のドメインコントローラーをプロビジョニングしなくても、すでにデプロイされている可能性のある AD 環境を使用できることです。一方、デメリットは、WorkSpaces Applications フリートのユーザーの認証と認可が VPN または Direct Connect のみに依存していることです。ネットワーク接続に問題があると、WorkSpaces Applications フリートまたは Image Builder に直接影響が発生します。デュアル VPN トンネルまたは異なるパスの Direct Connect 接続を提供することで、この潜在的なリスクを軽減できます。
シナリオ 1 — オンプレミスでデプロイされた Active Directory ドメインサービス (ADDS)
シナリオ 2: Active Directory ドメインサービス (ADDS) AWS カスタマー VPC に拡張する
Active Directory はカスタマー VPC まで拡張されます。カスタマー VPC の新しいドメインコントローラーに対して Active Directory サイトを作成する必要があります。認証トラフィックは、VPN または Direct Connect 接続を経由する代わりに、AWS カスタマー VPC のドメインコントローラーにルーティングされます。
シナリオ 2 - Active Domain サービスの AWS カスタマー仮想プライベートクラウドへの拡張
シナリオ 3: AWS マネージド Microsoft Active Directory
AWS マネージド Microsoft AD は AWS クラウド にデプロイされ、WorkSpaces Applications フリートと Image Builder のアイデンティティおよびリソースドメインとして使用されます。
シナリオ 3 — AWS マネージド Active Directory
Active Directory サービスサイトトポロジ
Active Directory サービスサイトトポロジは、物理ネットワークを論理的に表現したものです。
サイトトポロジは、クライアントクエリと Active Directory レプリケーショントラフィックを効率的にルーティングするのに役立ちます。サイトトポロジを適切に設計および管理することで、組織は次のメリットが得られます。
-
オンプレミスと AWS クラウド を同期するときに Active Directory データを複製するコストを最小限に抑えます。
-
クライアントコンピューターがドメインコントローラーなどの最も近いリソースを検索する機能を最適化します。これにより、低速のワイドエリアネットワーク (WAN) リンクのネットワークトラフィックを減らし、ログオンとログオフのプロセスを改善し、リソースへのアクセスオペレーションをスピードアップできます。
WorkSpaces Applications サービスを導入するときは、WorkSpaces Applications インスタンスのサブネットに使用されるアドレス範囲が環境に適したサイトに割り当てられていることを確認してください。
シナリオ 1 とシナリオ 2 では、ログイン時間と Active Directory リソースへのアクセス時間において最適なユーザーエクスペリエンスを実現するには、サイトとサービスが重要になります。
サイトトポロジは、同じサイト内のドメインコントローラーや、サイトの境界を超えたドメインコントローラーの間で Active Directory レプリケーションを制御します。
正しいサイトトポロジを定義することで、クライアントアフィニティが保証されます。つまり、クライアント (この場合は WorkSpaces Applications ストリーミングインスタンス) は任意のローカルドメインコントローラを使用します。
Active Directory サイトとサービスの — クライアントアフィニティ
ヒント
ベストプラクティスとして、オンプレミスの AD DS と AWS クラウド間のサイトリンクには高いコストを設定します。上の図は、クライアントアフィニティがサイトに依存しないようにサイトリンクに割り当てる必要があるコスト (コスト 100) の一例です。
サイトトポロジの詳細については、「サイトトポロジの設計
Active Directory の組織単位
AWS では、設定した組織単位 (OU) を 1 つの WorkSpaces Applications Directory Config オブジェクトに保存することを推奨しています。WorkSpaces Applications スタックごとに独自の OU を持つことがベストプラクティスです。これにより、スタックごとに特定の GPO を柔軟に設定できます。WorkSpaces Applications 固有のポリシーがオンプレミスデスクトップと混同されないように、OU を必ず WorkSpaces Applications コンピュータオブジェクト専用にします。WorkSpaces Applications をデプロイする AWS リージョンごとに、サブ OU を使用することを検討してください。
Active Directory コンピュータオブジェクトのクリーンアップ
WorkSpaces Applications インスタンスは一時的です。フリートは、フリートがスケールアウトしたりスケールインしたりするときに Active Directory コンピュータオブジェクトを作成して再利用します。
AWS では、WorkSpaces Applications フリートが削除された後に存在する可能性のある古い Active Directory コンピュータオブジェクトを削除するため、AD クリーンアッププロセスを作成することを推奨しています。