翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# WorkSpaces Personal で Windows WorkSpaces を管理する
<a name="group_policy"></a>

グループポリシーオブジェクト (GPO) を使用して、Windows WorkSpaces または Windows WorkSpaces ディレクトリの一部であるユーザーを管理するための設定を適用できます。

**注記**  
Microsoft Entra ID またはカスタム WorkSpaces ディレクトリを使用する場合は、Microsoft Entra ID または ID プロバイダーを使用してユーザーとグループを管理できます。詳細については、「[WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する](launch-entra-id.md)」を参照してください。
Linux インスタンスはグループポリシーに従いません。Amazon Linux WorkSpaces の管理については、[WorkSpaces Personal で Amazon Linux 2 WorkSpaces を管理する](manage_linux_workspace.md) を参照してください。

Amazon では、WorkSpaces コンピュータオブジェクトの組織単位と WorkSpaces ユーザーオブジェクトの組織単位を作成することをお勧めします。

Amazon WorkSpaces に固有のグループポリシー設定を使用するには、使用しているプロトコル (PCoIP または DCV) のグループポリシー管理用テンプレートをインストールする必要があります。

**警告**  
グループポリシー設定は、WorkSpaces のユーザーエクスペリエンスに次のように影響する場合があります。  
**ログオンバナーを表示するためにインタラクティブなログオンメッセージを実装すると、ユーザーは自分の WorkSpaces にアクセスできなくなります。**現在、インタラクティブなログオンメッセージのグループポリシー設定は PCoIP WorkSpaces でサポートされていません。ログオンメッセージは DCV WorkSpaces でサポートされており、ユーザーはログオンバナーを承諾した後に再度ログインする必要があります。証明書ベースのログオンが有効になっている場合、ログオンメッセージはサポートされていません。
**グループポリシー設定を使用してリムーバブルストレージを無効にすると、ログインに失敗します**。ユーザーはドライブ D にアクセスできず、一時ユーザープロファイルにログインされます。
**グループポリシー設定を使用してリモートデスクトップユーザーのローカルグループからユーザーを削除すると、そのユーザーは WorkSpaces クライアントアプリケーションを使用して認証できなくなります**。このグループポリシー設定の詳細については、Microsoft のドキュメントの[リモートデスクトップサービスによるログオンを許可する](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-through-remote-desktop-services)を参照してください。
**組み込みの Users グループを [**Allow log on locally**] (ローカルログオンを許可) セキュリティポリシーから削除すると、PCoIP WorkSpaces ユーザーは WorkSpaces クライアントアプリケーションを介して WorkSpaces に接続できなくなります。**PCoIP WorkSpaces も、PCoIP エージェントソフトウェアの更新を受信しなくなります。PCoIP エージェントの更新には、セキュリティやその他の修正が含まれていたり、WorkSpaces の新機能を有効にするものであったりする場合があります。このセキュリティポリシーの使用方法の詳細については、Microsoft ドキュメントの[ローカルでログオンを許可する](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)を参照してください。
グループポリシー設定は、ドライブアクセスの制限に使用できます。**ドライブ C またはドライブ D へのアクセスを制限するようにグループポリシー設定を行うと、ユーザーは WorkSpaces にアクセスできません。**この問題を回避するために、ユーザーがドライブ C およびドライブ D にアクセスできることを確認します。
**WorkSpaces のオーディオ入力機能を使用するには、WorkSpaces 内のローカルログオンアクセスが必要です。**Windows WorkSpaces では、オーディオ入力機能はデフォルトで有効になっています。ただし、WorkSpaces でのユーザーのローカルログオンを制限するグループポリシー設定がある場合、オーディオ入力は WorkSpaces では機能しません。そのグループポリシー設定を削除すると、WorkSpaces の次回再起動後にオーディオ入力機能が有効になります。このグループポリシー設定の詳細については、Microsoft のドキュメントの[ローカルでのログオンを許可する](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)をご参照ください。  
オーディオ入力リダイレクトの有効化または無効化の詳細については、[PCoIP のオーディオ入力リダイレクトを設定する](#gp_audio) または [DCV のオーディオ入力リダイレクトを設定する](#gp_audio_in_wsp) を参照してください。
グループポリシーを使用して Windows の電源プランを [**Balanced**] (バランス) または [**Power saver**] (省電力) に設定すると、WorkSpaces がアイドル状態になると、WorkSpaces がスリープ状態になる場合があります。グループポリシーを使用して、Windows の電源プランを [**High performance**] (高パフォーマンス) に設定することを強くお勧めします。詳細については、「[Windows WorkSpace をアイドル状態のままにすると、スリープ状態になる](amazon-workspaces-troubleshooting.md#windows_workspace_sleeps_when_idle)」を参照してください 
グループポリシー設定によっては、セッションから切断されているときに、ユーザーが強制的にログオフされます。ユーザーが WorkSpaces で開いているすべてのアプリケーションが閉じられます。
DCV WorkSpaces では、「アクティブだがアイドル状態のリモートデスクトップサービスセッションの時間制限を設定する」は現在サポートされていません。DCV セッション中は使用しないでください。アクティビティがあり、セッションがアイドル状態でない場合でも切断が発生します。

Active Directory 管理ツールを使用して GPO を操作する方法については、[WorkSpaces Personal で Active Directory 管理ツールを設定する](directory_administration.md) を参照してください。

**Contents**
+ [DCV のグループポリシー管理用テンプレートファイルをインストールする](#gp_install_template_wsp)
+ [DCV のグループポリシー設定を管理する](#gp_configurations_dcv)
+ [PCoIP のグループポリシー管理用テンプレートをインストールする](#gp_install_template)
+ [PCoIP のグループポリシー設定を管理する](#gp_configurations_pcoip)
+ [Kerberos チケットの最大ライフタイムを設定する](#gp_kerberos_ticket)
+ [インターネットアクセス用のデバイスプロキシサーバー設定を構成する](#gp_device_proxy)
  + [デスクトップトラフィックのプロキシ](#w2aac11c31c11c27c15)
  + [プロキシサーバーの使用に関する推奨事項](#w2aac11c31c11c27c17)
+ [Zoom Meeting Media プラグインのサポートを有効にする](#zoom-integration)
  + [DCV の Zoom Meeting Media プラグインを有効にする](#zoom-wsp)
    + [前提条件](#zoom-integ-prerequisites-wsp)
    + [[開始する前に]](#zoom-begin-wsp)
    + [Zoom コンポーネントのインストール](#installing-zoom-wsp)
  + [PCoIP の Zoom Meeting Media プラグインを有効にする](#zoom-pcoip)
    + [前提条件](#zoom-integ-prerequisites-pcoip)
    + [Windows WorkSpaces ホストにレジストリキーを作成する](#zoom-integ-create-registry-key)
    + [トラブルシューティング](#zoom-integ-troubleshoot)

## DCV のグループポリシー管理用テンプレートファイルをインストールする
<a name="gp_install_template_wsp"></a>

DCV を使用しているときに WorkSpaces に固有のグループポリシー設定を使用するには、DCV 用のグループポリシー管理用テンプレートの `wsp.admx` ファイルと `wsp.adml` ファイルを、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアに追加する必要があります。`.admx` および `.adml` ファイルの詳細については、「[Windows でグループポリシー管理用テンプレートのセントラルストアを作成および管理する方法](https://support.microsoft.com/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra)」を参照してください。

次の手順では、セントラルストアを作成し、管理用テンプレートファイルをそのストアに追加する方法について説明します。ディレクトリ管理用の WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、次の手順を実行します。

**DCV のグループポリシー管理用テンプレートファイルをインストールするには**

1. 実行中の Windows WorkSpace から、`wsp.admx` ディレクトリの `wsp.adml` および `C:\Program Files\Amazon\WSP` ファイルのコピーを作成します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、Windows エクスプローラーを開き、アドレスバーに `\\example.com` のような組織の完全修飾ドメイン名 (FQDN) を入力します。

1. `sysvol` フォルダを開きます。

1. `{{FQDN}}` という名前のフォルダを開きます。

1. `Policies` フォルダを開きます。今、`\\{{FQDN}}\sysvol\{{FQDN}}\Policies` に入っているはずです。

1. まだ存在しない場合は、`PolicyDefinitions` という名前のフォルダを作成します。

1. `PolicyDefinitions` フォルダを開きます。

1. `wsp.admx` ファイルを `\\{{FQDN}}\sysvol\{{FQDN}}\Policies\PolicyDefinitions` フォルダにコピーします。

1. `PolicyDefinitions` フォルダに `en-US` という名前のフォルダを作成します。

1. `en-US` フォルダを開きます。

1. `wsp.adml` ファイルを `\\{{FQDN}}\sysvol\{{FQDN}}\Policies\PolicyDefinitions\en-US` フォルダにコピーします。<a name="verify-admin-template"></a>

**管理用テンプレートファイルが正しくインストールされていることを確認するには**

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:{{FQDN}}**]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。
**注記**  
WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、委任された権限を持つドメインコンテナの下に GPO を作成してリンクする必要があります。  
を使用してディレクトリを作成すると AWS Managed Microsoft AD、 は{{ドメインルートの下にドメイン名}}組織単位 (OU) Directory Service を作成します。この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、Directory DNS 名の最初の部分が使用されます (例えば、`corp.example.com` の場合、NetBIOS 名は `corp` となります)。  
GPO を作成するには、**デフォルトのドメインポリシー**を選択する代わりに、{{yourdomainname}} OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[**Create a GPO in this domain, and Link it here**] (このドメインに GPO を作成し、ここにリンクする) を選択します。  
{{yourdomainname}} OU の詳細については、*AWS Directory Service 管理ガイド*の[作成されるもの](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)を参照してください。

1. グループポリシー管理エディタで、**[コンピューターの構成]**、**[ポリシー]**、**[管理用テンプレート]**、**[Amazon]**、**[DCV]** の順に選択します。

1. これで、この **DCV** グループポリシーオブジェクトを使用して、DCV を使用しているときに WorkSpaces 固有のグループポリシー設定を変更できます。

## DCV のグループポリシー設定を管理する
<a name="gp_configurations_dcv"></a>

**グループポリシー設定を使って、DCV を使用する Windows WorkSpaces を管理するには**

1. [DCV の最新の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_wsp)が、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

1. 管理用テンプレートファイルが正しくインストールされていることを確認します。詳細については、「[管理用テンプレートファイルが正しくインストールされていることを確認するには](#verify-admin-template)」を参照してください。

### DCV のプリンターサポートを設定する
<a name="gp_local_printers_wsp"></a>

デフォルトでは、WorkSpaces は基本的なリモート印刷を可能にします。印刷の互換性を確実にするため、ホスト側の汎用プリンタードライバーを使用するため、提供される印刷機能は限られています。

Windows WorkSpaces に接続する Windows クライアント用の高度なリモート印刷では、両面印刷などのプリンターの特定の機能を使用できますが、ホスト側とクライアント側に一致するプリンタードライバーをインストールする必要があります。

グループポリシー設定を使用して、必要に応じてプリンターのサポートを設定できます。


**ベーシック印刷とアドバンスト印刷**  

| 側面 | 基本的な印刷 | 高度な印刷 | 
| --- | --- | --- | 
| 使用するドライバー | 汎用 XPS ドライバー | プリンター固有のドライバー | 
| ドライバーのインストール | 自動 | 手動 (ホストとクライアント) | 
| 特徴 | 標準印刷のみ | プリンターのフル機能 (二重、紙トレイの選択、フィニッシングなど) | 

**高度な印刷を使用する場合: **- 両面 (二重) 印刷 - 特定の紙トレイの選択 - 仕上げオプション (ステープリング、ホールパンチ) - ラベル印刷 (例: ゼブラプリンター) - プリンターの色管理およびその他の高度な機能。

#### プリンタサポートの設定
<a name="w2aac11c31c11c19b5b1c13"></a>

**プリンターのサポートを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Configure remote printing**] 設定を開きます。

1. [**Configure remote printing (リモート印刷を設定)**] ダイアログボックスで、次のいずれかを実行します。
   + **基本的な印刷:** **Enabled** を選択します。クライアントコンピュータの現在のデフォルトプリンターを自動的に使用するには、**ローカルデフォルトプリンターをリモートホストにマッピングを選択します。 **
   + **詳細印刷:** **有効** を選択し、**詳細印刷を有効にする** を選択します。クライアントコンピュータの現在のデフォルトプリンターを自動的に使用するには、**ローカルデフォルトプリンターをリモートホストにマップを選択します**。ポリシーを有効にすると、一致するプリンタードライバーをホスト側とクライアント側にインストールする必要があります。
   + 印刷を無効にするには、**[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

#### 高度なプリンターリダイレクトを設定する
<a name="w2aac11c31c11c19b5b1c17"></a>

**前提条件**

1. **WorkSpaces ホストエージェント:** バージョン 2.2.0.2116 以降

1. **Windows クライアント:** バージョン 5.31.0 以降

1. **プリンタードライバー:** 一致するプリンタードライバーは WorkSpace とクライアントデバイスの両方にインストールする必要があります

**注記**  
高度な印刷は、Windows WorkSpaces に接続する Windows クライアントでのみサポートされています。MacOS、Linux、および Web クライアントは基本的な印刷を使用します。

#### ドライバーバージョンの一致
<a name="w2aac11c31c11c19b5b1c23"></a>

高度な印刷を選択すると、次の 3 つのドライバー検証モードがサポートされます。


**ドライバー検証モード**  

| モード | 行動 | 使用時 | 
| --- | --- | --- | 
| 名前のみ (デフォルト) | ドライバー名のみに一致し、バージョンは無視されます | 必要な最大互換性 | 
| 部分一致 | Major.Minor バージョン (10.6.x.x など) に一致 | 互換性と機能のバランシング | 
| 完全一致 | バージョンの完全一致が必要 | 専用プリンター (例: ゼブララベルプリンター) | 

**検証モードを設定するには、GPO **のプリンタードライバー検証ドロップダウンで名前のみ、部分一致、または完全一致を設定します。

**注記**  
ドライバーの検証に失敗すると、WorkSpaces は自動的に基本的な印刷に戻ります。

**設定を確認する**

1. WorkSpace に接続します。

1. **設定** > **デバイス** > **プリンターとスキャナー**を開きます。

1. ローカルプリンターが「リダイレクト済み」プレフィックスで表示されることを確認します。

1. テストドキュメントを印刷し、プリンターのプロパティをクリックして、高度なオプションが利用可能であることを確認します。

#### トラブルシューティング
<a name="w2aac11c31c11c19b5b1c27"></a>

**高度な機能は使用できません**: - GPO で「高度な印刷を有効にする」が選択されていることを確認する - 検証モードに従ってドライバーのバージョンが一致していることを確認する - 完全ではなく部分的な検証モードを使用することを検討してください。GPO の変更を有効にするには、必ず再起動してください。

**プリンターが表示されない**: - **リモート印刷の設定****が有効になっている**ことを確認する - プリンターがクライアントデバイスに接続されていることを確認する - WorkSpace セッションを再起動する

**印刷ジョブが失敗**する: - クライアントと WorkSpace の両方でドライバーのバージョンを確認する - ログを確認する: **C:\\ProgramData\\Amazon\\WSP\\Logs\\agentsession.log** - ログで「高度な印刷が有効になっている」を探します

詳細なログ記録を有効にする: グループポリシーで、**コンピュータ設定** > **ポリシー** > **管理テンプレート** > **Amazon** > **WSP** でデバッグするようにログの詳細を設定するを設定します。

### DCV のクリップボードリダイレクト (コピー/貼り付け) を設定する
<a name="gp_clipboard_wsp"></a>

デフォルトでは、WorkSpaces は双方向 (コピー/貼り付け) のクリップボードリダイレクトをサポートしています。Windows WorkSpaces の場合、グループポリシー設定を使用して、この機能を無効にしたり、クリップボードリダイレクトを許可する方向を設定したりできます。

**Windows WorkSpaces のクリップボードリダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Configure clipboard redirection**] 設定を開きます。

1. **[Configure clipboard redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

   **[Configure clipboard redirection]** を **[Enabled]** にすると、以下の **[Clipboard redirection options]** が使用可能になります。
   + **[Copy and Paste]** (コピーして貼り付ける) では、クリップボードのコピーと貼り付けの双方向リダイレクトを許可します。
   + **[Copy Only]** (コピーのみ) では、サーバーのクリップボードからクライアントのクリップボードへのデータのコピーのみを許可します。
   + **[Paste Only]** (貼り付けのみ) では、クライアントのクリップボードからサーバーのクリップボードへのデータの貼り付けのみを許可します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

**既知の制限事項**  
WorkSpaces でクリップボードのリダイレクトが有効になっていると、Microsoft Office アプリケーションから 890 KB よりも大きいコンテンツをコピーした場合に、アプリケーションが遅くなったり最大 5 秒応答しなくなったりすることがあります。

### DCV のセッション再開タイムアウトを設定する
<a name="gp_auto_resume_wsp"></a>

ネットワーク接続が切断されると、アクティブな WorkSpaces クライアントセッションが切断されます。Windows と macOS 用の WorkSpaces クライアントアプリケーションは、ネットワーク接続が一定時間内に復元すればセッションを自動的に再接続するように試行します。デフォルト設定のセッション再起動タイムアウトは 20 分 (1,200 秒) ですが、ドメインのグループポリシー設定で制御される WorkSpaces では、この値の変更ができます。

**自動セッション再起動タイムアウト値を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable automatic reconnect**] (自動再接続を有効/無効にする) 設定を開きます。

1. **[Enable/disable automatic reconnect]** ダイアログボックスで、**[Enabled]** を選択し、**[Reconnect timeout (seconds)]** を必要なタイムアウト (秒) に設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のビデオ入力リダイレクトを設定する
<a name="gp_video_in_wsp"></a>

デフォルトでは、WorkSpaces はローカルカメラから取得されたデータのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces のビデオ入力リダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable video-in redirection (ビデオ入力リダイレクトを有効/無効にする)**] 設定を開きます。

1. **[Enable/disable video-in redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のオーディオ入力リダイレクトを設定する
<a name="gp_audio_in_wsp"></a>

デフォルトでは、WorkSpaces では、ローカルマイクから取得されたデータのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces のオーディオ入力リダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable audio-in redirection (オーディオ入力リダイレクトを有効/無効にする)**] 設定を開きます。

1. **[Enable/disable audio-in redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のオーディオ出力リダイレクトを設定する
<a name="gp_audio_out_wsp"></a>

デフォルトでは、WorkSpaces はデータをローカルスピーカーにリダイレクトします。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces のオーディオ出力リダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[オーディオ出力リダイレクトを有効/無効にする]** 設定を開きます。

1. **[オーディオ出力リダイレクトを有効/無効にする]** ダイアログボックスで、**[有効]** または **[無効]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** の順に選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のタイムゾーンリダイレクトを無効化する
<a name="gp_time_zone_wsp"></a>

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。例えば、次のようになります。
+ 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
+ WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
+ よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces のタイムゾーンのリダイレクトを無効にするには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable time zone redirection (タイムゾーンリダイレクトを有効/無効にする)**] 設定を開きます。

1. **[Enable/disable time zone redirection]** ダイアログボックスで **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

1. WorkSpaces のタイムゾーンを目的のタイムゾーンに設定します。

WorkSpaces のタイムゾーンは静的になり、クライアントマシンのタイムゾーンは反映されなくなります。

### DCV のセキュリティ設定を構成する
<a name="wsp_security"></a>

DCV では、転送中のデータは TLS 1.2 暗号化を使用して暗号化されます。デフォルトでは、次の暗号はすべて暗号化に使用でき、クライアントとサーバーはどちらの暗号を使用するかをネゴシエートします。
+ ECDHE-RSA-AES128-GCM-SHA256
+ ECDHE-ECDSA-AES128-GCM-SHA256
+ ECDHE-RSA-AES256-GCM-SHA384
+ ECDHE-ECDSA-AES256-GCM-SHA384
+ ECDHE-RSA-AES128-SHA256
+ ECDHE-RSA-AES256-SHA384

Windows WorkSpaces では、グループポリシー設定を使用して TLS セキュリティモードを変更し、特定の暗号スイートを新規に追加またはブロックすることもできます。これらの設定とサポートされている暗号スイートの詳細については、**[PCoIP セキュリティ設定の構成]** グループポリシーダイアログボックスを参照してください。

**DCV のセキュリティ設定を構成するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[セキュリティ設定の構成]** を開きます。

1. **[セキュリティ設定の構成]** ダイアログボックスで、**[有効]** を選択します。許可する暗号スイートを追加し、ブロックする暗号スイートを削除します。これらの設定の詳細については、**[セキュリティ設定の構成]** ダイアログボックスに表示される説明を参照してください。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpaces を再起動するには、Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV の拡張機能を設定する
<a name="extensions"></a>

デフォルトでは、WorkSpaces 拡張機能のサポートは無効になっています。必要に応じて、以下の方法で拡張機能を使用するように WorkSpace を設定できます。
+ サーバーとクライアント – サーバーとクライアントの両方の拡張機能を有効にする
+ サーバーのみ – サーバーのみの拡張機能を有効にする
+ クライアントのみ – クライアントのみの拡張機能を有効にする

Windows WorkSpaces では、グループポリシー設定を使用して拡張機能の使用を設定できます。

**DCV の拡張機能を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[拡張機能の設定]** を開きます。

1. **[拡張機能の設定]** ダイアログボックスで、**[有効]** を選択し、必要なサポートオプションを設定します。**[クライアントのみ]**、**[サーバーとクライアント]**、または **[サーバーのみ]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のスマートカードリダイレクトを設定する
<a name="gp_smart_cards_in_wsp"></a>

デフォルトでは、Amazon WorkSpaces は、*セッション前認証*または*セッション内認証*のいずれにもスマートカードの使用のサポートを有効化していません。セッション前認証とは、ユーザーが WorkSpaces にログインしている間に実行されるスマートカード認証をいいます。セッション内認証とは、ログイン後に実行される認証をいいます。

必要に応じグループポリシー設定を使用して、Windows WorkSpaces のセッション前認証およびセッション内認証を有効にします。セッション前認証は、**EnableClientAuthentication**API アクションまたは **enable-client-authentication** AWS CLI コマンドを使用して AD Connector ディレクトリ設定で有効にする必要があります。詳細については、*AWS Directory Service 管理ガイド*の [AD Connector のスマートカード認証を有効にする](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)を参照してください。

**注記**  
Windows WorkSpaces でスマートカードを使用できるようにするには、追加の手順が必要です。詳細については、「[WorkSpaces Personal での認証にスマートカードを使用する](smart-cards.md)」を参照してください。

**Windows WorkSpaces のスマートカードリダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable smart card redirection**] (スマートカードリダイレクトを有効/無効にする) 設定を開きます。

1. **[Enable/disable smart card redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシー設定の変更を適用するには、WorkSpace を再起動します (Amazon WorkSpaces コンソールで WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します)。

### DCV の WebAuthn (FIDO2) リダイレクト
<a name="gp_webauthn_fido2_in_wsp"></a>

デフォルトでは、Amazon WorkSpaces は WebAuthn リダイレクトを有効にし、ユーザーは WorkSpace 内で実行されているアプリケーションでローカル FIDO2 互換のセキュリティキーと生体認証を使用できます。この機能は WorkSpace のアプリケーションからユーザーのローカルデバイスに認証リクエストを安全にリダイレクトし、YubiKey や Windows Hello などの認証方法へのシームレスなアクセスを提供します。

Amazon WorkSpaces は、WebAuthn リダイレクトの 2 つのバージョンをサポートしています。
+ **標準 WebAuthn** – ブラウザベースのアプリケーションには、Windows および Linux WorkSpaces でサポートされているブラウザ拡張機能が必要です
+ **Enhanced WebAuthn** – ブラウザ拡張機能は必要なく、追加のネイティブアプリケーションサポートもあり、Windows WorkSpaces でのみサポートされます

#### 標準 WebAuthn リダイレクト
<a name="w2aac11c31c11c19b5c21b9"></a>

標準 WebAuthn リダイレクトでは、WebAuthn プロンプトのクライアントデバイスへのリダイレクトを容易にするためにブラウザ拡張機能が必要です。

##### バージョン要件
<a name="w2aac11c31c11c19b5c21b9b5"></a>
+ **Windows WorkSpaces**: DCV ホストエージェントバージョン 2.0.0.1425 以降
+ **クライアントのバージョン:**
  + Windows クライアント: 5.19.0 以降
  + Mac クライアント: 5.19.0 以降
  + Linux クライアント: 2024.0 以降

##### WorkSpaces でサポートされているブラウザ
<a name="w2aac11c31c11c19b5c21b9b7"></a>
+ Google Chrome 116 以降
+ Microsoft Edge 116 以降

#### Enhanced WebAuthn リダイレクト
<a name="w2aac11c31c11c19b5c21c11"></a>

Enhanced WebAuthn リダイレクトにより、ブラウザ拡張機能が不要になり、WebAuthn 認証をサポートするネイティブ Windows アプリケーションで WebAuthn 認証がサポートされます。

##### バージョン要件
<a name="w2aac11c31c11c19b5c21c11b5"></a>
+ **Windows WorkSpaces**: DCV ホストエージェントバージョン 2.1.0.2000 以降
+ **クライアントのバージョン:**
  + Windows クライアント: 5.29.0 以降
  + Mac クライアント: 5.29.0 以降

##### 主な利点
<a name="w2aac11c31c11c19b5c21c11b7"></a>
+ ブラウザ拡張機能は不要
+ パフォーマンスの向上
+ ネイティブ Windows アプリケーションでの WebAuthn のサポート
+ ブラウザとデスクトップアプリケーション間のシームレスな認証操作

##### WorkSpaces でサポートされているブラウザ
<a name="w2aac11c31c11c19b5c21c11b9"></a>
+ Google Chrome 116 以降
+ Microsoft Edge 116 以降

#### WebAuthn リダイレクトを設定する
<a name="w2aac11c31c11c19b5c21c13"></a>

**Windows WorkSpaces の WebAuthn リダイレクトを設定するには**

1. グループポリシー管理エディタで、**[コンピューターの構成]**、**[ポリシー]**、**[管理用テンプレート]**、**[Amazon]**、**[DCV]** の順に選択します。

1. **[Configure WebAuthn redirection]** 設定を開きます。

1. **[Configure WebAuthn redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
このグループポリシー設定により、WebAuthn リダイレクトが有効になります。使用するバージョン (Standard または Enhanced) は、ホストエージェントのバージョンとオペレーティングシステムのサポートによって異なります。

#### WebAuthn プロセスの互換性を設定する
<a name="w2aac11c31c11c19b5c21c15"></a>

WebAuthn リダイレクトを有効にすると、**[WebAuthn Process Compatibility List]** を通じて WebAuthn リダイレクトの使用を許可するアプリケーションとプロセスを設定できます。

##### デフォルトのプロセス互換性リスト
<a name="w2aac11c31c11c19b5c21c15b5"></a>

デフォルトでは、WebAuthn リダイレクトに対して次のプロセスが有効になっています。

```
['chrome.exe','msedge.exe','island.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe']
```

##### 標準 WebAuthn に必要なプロセス
<a name="w2aac11c31c11c19b5c21c15b7"></a>
+ `dcvwebauthnnativemsghost.exe` – このプロセスは標準 WebAuthn 機能に**必要**であり、標準 WebAuthn を使用するときは互換性リストに残っている必要があります。

**WebAuthn プロセスの互換性リストを設定するには**

1. グループポリシー管理エディタで、**[コンピューターの構成]**、**[ポリシー]**、**[管理用テンプレート]**、**[Amazon]**、**[DCV]** の順に選択します。

1. **[Configure WebAuthn Redirection]** 設定を開きます。

1. [**有効**] を選択します。

1. **[WebAuthn process compatibility list]** フィールドで、WebAuthn リダイレクトと互換性のあるプロセス名のリストを指定します。
   + デフォルトのリストを開始点として使用する
   + 必要に応じて環境に合わせてプロセス名を追加する

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。

##### プロセス互換性リストのガイドライン
<a name="w2aac11c31c11c19b5c21c15c11"></a>
+ **標準 WebAuthn の場合**: 常にリスト `dcvwebauthnnativemsghost.exe` に含める
+ **カスタムアプリケーション**: 環境で WebAuthn サポートが必要な `.exe` プロセス名を追加する
+ **形式**: カンマ区切りのプロセス名を角括弧で囲み、各プロセス名を一重引用符で囲む

##### カスタムプロセスリストの例
<a name="w2aac11c31c11c19b5c21c15c11b5"></a>

```
['chrome.exe','msedge.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe','myapp.exe','customapplication.exe']
```

#### Standard から Enhanced WebAuthn に移行する
<a name="w2aac11c31c11c19b5c21c17"></a>

標準 WebAuthn から Enhanced WebAuthn にアップグレードする場合、ユーザーは Enhanced WebAuthn を使用する前に、標準 WebAuthn 用に以前にインストールした **Amazon DCV WebAuthn リダイレクトブラウザ拡張機能をアンインストールまたは無効にする必要があります**。

##### このステップが重要である理由
<a name="w2aac11c31c11c19b5c21c17b5"></a>
+ Enhanced WebAuthn はブラウザ拡張機能なしでリダイレクトをネイティブに処理します
+ 拡張機能を有効にしたままにすると、デフォルトで標準 WebAuthn リダイレクトになります

#### Amazon DCV WebAuthn リダイレクト拡張機能をインストールする (標準 WebAuthn のみ)
<a name="installing_webauthn"></a>

**注記**  
このセクションは標準 WebAuthn にのみ適用されます。Enhanced WebAuthn では、ブラウザ拡張機能は必要ありません。

標準 WebAuthn を使用するには、機能が有効にされた後、ユーザーが Amazon DCV WebAuthn リダイレクト拡張機能をインストールする必要があります。次のいずれかの方法があります。
+ ブラウザでブラウザ拡張機能を有効にするように求めるプロンプトがユーザーに表示されます。
**注記**  
 これは 1 回限りのブラウザプロンプトです。DCV エージェントのバージョンを 2.0.0.1425 以降に更新すると、ユーザーに通知が送られます。エンドユーザーが WebAuthn リダイレクトを必要としない場合は、ブラウザから拡張機能を削除できます。GPO ポリシーを使用して、WebAuthn リダイレクト拡張機能のインストールプロンプトをブロックすることもできます。
+ GPO ポリシーを使用して、ユーザーのリダイレクト拡張機能を強制的にインストールできます。GPO ポリシーを有効にすると、ユーザーがサポートされているブラウザを起動したときに、インターネットアクセスを使って拡張機能が自動的にインストールされます。
+ ユーザーは、[Microsoft Edge アドオン](https://microsoftedge.microsoft.com/addons/detail/dcv-webauthn-redirection-/ihejeaahjpbegmaaegiikmlphghlfmeh)または [Chrome ウェブストア](https://chromewebstore.google.com/detail/dcv-webauthn-redirection/mmiioagbgnbojdbcjoddlefhmcocfpmn?pli=1)を使用して拡張機能を手動でインストールできます。

##### WebAuthn リダイレクト拡張機能のネイティブメッセージングについて
<a name="installing_webauthn-understand"></a>

Chrome および Edge ブラウザでの WebAuthn リダイレクトは、ブラウザ拡張機能とネイティブメッセージングホストを使用します。ネイティブメッセージングホストは、拡張機能とホストアプリケーション間の通信を許可するコンポーネントです。一般的な設定では、すべてのネイティブメッセージングホストはデフォルトでブラウザで許可されます。ただし、ネイティブメッセージングブロックリストを使用することを選択できます。\* の値は、明示的に許可されない限り、すべてのネイティブメッセージングホストが拒否されることを意味します。この場合、許可リスト `com.dcv.webauthnredirection.nativemessagehost` で値を明示的に指定して、Amazon DCV WebAuthn リダイレクトネイティブメッセージングホストを有効にする必要があります。

詳細については、ブラウザのガイダンスに従ってください。
+ Google Chrome については、「[許可されたネイティブ メッセージング ホスト](https://support.google.com/chrome/a/answer/2657289#zippy=%2Cnative-messaging-allowed-hosts)」を参照してください。
+ Microsoft Edge については、「[ネイティブ メッセージング](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#native-messaging)」を参照してください。

##### グループポリシーを使用してブラウザ拡張機能を管理およびインストールする
<a name="w2aac11c31c11c19b5c21c19c11"></a>

Amazon DCV WebAuthn リダイレクト拡張機能は、Active Directory (AD) ドメインに参加しているセッションホストの場合はドメインから一元的に、またはセッションホストごとにローカルグループポリシーエディタを使用してインストールできます。このプロセスは、使用しているブラウザによって異なります。

**Microsoft Edge の場合**

1. [Microsoft Edge 管理用テンプレート](https://learn.microsoft.com/en-us/deployedge/configure-microsoft-edge#1-download-and-install-the-microsoft-edge-administrative-template)をダウンロードしてインストールします。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:{{FQDN}}**]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。

1. **[コンピューターの構成]**、**[管理用テンプレート]**、**[Microsoft Edge]**、**[拡張機能]** の順に選択します。

1. **[拡張機能の管理設定を構成する]** を開いて、**[有効]** に設定します。

1. **[拡張機能の管理設定を構成する]** に以下を入力します。

   ```
   {"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
   ```

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
次の構成管理設定を適用することで、拡張機能のインストールをブロックできます。  

```
{"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
```

**Google Chrome の場合**

1. Google Chrome 管理用テンプレートをダウンロードしてインストールします。詳細については、「[管理対象パソコンに Chrome ブラウザのポリシーを設定する](https://support.google.com/chrome/a/answer/187202#zippy=%2Cwindows)」を参照してください。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:{{FQDN}}**]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。

1. **[コンピューターの構成]**、**[管理用テンプレート]**、**[Google Chrome]**、**[拡張機能]** の順に選択します。

1. **[拡張機能の管理設定を構成する]** を開いて、**[有効]** に設定します。

1. **[拡張機能の管理設定を構成する]** に以下を入力します。

   ```
   {"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
   ```

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
次の構成管理設定を適用することで、拡張機能のインストールをブロックできます。  

```
{"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}
```

### DCV の WebRTC リダイレクトを設定する
<a name="gp_webrtc_in_wsp"></a>

WebRTC リダイレクトでは、WorkSpaces からローカルクライアントにオーディオおよびビデオ処理をオフロードすることでリアルタイム通信が強化されるため、パフォーマンスが向上し、レイテンシーが低減します。ただし、WebRTC リダイレクトに汎用性はなく、サードパーティーのアプリケーションベンダーが WorkSpaces との固有の統合を開発する必要があります。デフォルトでは、WebRTC リダイレクトは WorkSpaces で有効になっていません。WebRTC リダイレクトを使用するには、以下を確認します。
+ サードパーティーアプリケーションベンダーによる統合
+ WorkSpaces 拡張機能が、グループポリシー設定を通じて有効になっていること
+ WebRTC リダイレクトが有効になっていること
+ WebRTC リダイレクトブラウザ拡張機能がインストールされ有効になっていること

**注記**  
このリダイレクトは拡張機能として実装されるため、グループポリシー設定を使用して WorkSpaces 拡張機能のサポートを有効にする必要があります。拡張機能が無効になっている場合、WebRTC リダイレクトは機能しません。

#### 要件
<a name="w2aac11c31c11c19b5c23b9"></a>

DCV の WebRTC リダイレクトには、以下が必要です。
+ DCV ホストエージェントバージョン 2.0.0.1622 以降
+ WorkSpaces クライアント
  + Windows 5.21.0 以降
  + ウェブクライアント
+ Amazon DCV WebRTC リダイレクト拡張機能を実行している WorkSpaces にインストールされているウェブブラウザ
  + Google Chrome 116 以降
  + Microsoft Edge 116 以降

#### Windows WorkSpaces の WebRTC リダイレクトを有効化/無効化する
<a name="w2aac11c31c11c19b5c23c11"></a>

必要に応じて、グループポリシー設定を使用して、Windows WorkSpaces の WebRTC リダイレクトのサポートを有効または無効にできます。この設定を無効にするか指定しない場合、WebRTC リダイレクトは無効になります。

この機能を有効にすると、Amazon WorkSpaces と統合されているウェブアプリケーションは、WebRTC API コールをローカルクライアントにリダイレクトできるようになります。

**Windows WorkSpaces の WebRTC リダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure WebRTC Redirection]** 設定を開きます。

1. **[Configure WebRTC Redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

#### Amazon DCV WebRTC リダイレクト拡張機能をインストールする
<a name="installing_webrtc"></a>

WebRTC を使用するには、機能が有効にされた後、ユーザーが Amazon DCV WebRTC リダイレクト拡張機能をインストールする必要があります。次のいずれかの方法があります。
+ ブラウザでブラウザ拡張機能を有効にするように求めるプロンプトがユーザーに表示されます。
**注記**  
WebRTC リダイレクトを有効にすると、1 回限りのブラウザプロンプトとしてユーザーに通知が送られます。
+ 以下の GPO ポリシーを使用して、ユーザーのリダイレクト拡張機能を強制的にインストールできます。GPO ポリシーを有効にすると、ユーザーがサポートされているブラウザを起動したときに、インターネットアクセスを使って拡張機能が自動的にインストールされます。
+ ユーザーは、[Microsoft Edge アドオン](https://microsoftedge.microsoft.com/addons/detail/amazon-dcv-webrtc-redirec/kjbbkjjiecchbcdoollhgffghfjnbhef)または [Chrome ウェブストア](https://chromewebstore.google.com/detail/dcv-webrtc-redirection-ex/diilpfplcnhehakckkpmcmibmhbingnd?hl=en&authuser=0&pli=1)を使用して拡張機能を手動でインストールできます。

##### グループポリシーを使用してブラウザ拡張機能を管理およびインストールする
<a name="w2aac11c31c11c19b5c23c13b7"></a>

Amazon DCV WebRTC リダイレクト拡張機能は、Active Directory (AD) ドメインに参加しているセッションホストの場合はドメインから一元的に、またはセッションホストごとにローカルグループポリシーエディタを使用してインストールできます。このプロセスは、使用しているブラウザによって異なります。

**Microsoft Edge の場合**

1. [Microsoft Edge 管理用テンプレート](https://learn.microsoft.com/en-us/deployedge/configure-microsoft-edge#1-download-and-install-the-microsoft-edge-administrative-template)をダウンロードしてインストールします。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:{{FQDN}}**]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。

1. **[コンピューターの構成]**、**[管理用テンプレート]**、**[Microsoft Edge]**、**[拡張機能]** の順に選択します。

1. **[拡張機能の管理設定を構成する]** を開いて、**[有効]** に設定します。

1. **[拡張機能の管理設定を構成する]** に以下を入力します。

   ```
   {"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
   ```

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
次の構成管理設定を適用することで、拡張機能のインストールをブロックできます。  

```
{"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
```

**Google Chrome の場合**

1. Google Chrome 管理用テンプレートをダウンロードしてインストールします。詳細については、「[管理対象パソコンに Chrome ブラウザのポリシーを設定する](https://support.google.com/chrome/a/answer/187202#zippy=%2Cwindows)」を参照してください。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:{{FQDN}}**]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。

1. **[コンピューターの構成]**、**[管理用テンプレート]**、**[Google Chrome]**、**[拡張機能]** の順に選択します。

1. **[拡張機能の管理設定を構成する]** を開いて、**[有効]** に設定します。

1. **[拡張機能の管理設定を構成する]** に以下を入力します。

   ```
   {"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
   ```

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
次の構成管理設定を適用することで、拡張機能のインストールをブロックできます。  

```
{"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}
```

### DCV の画面ロックで切断セッションを設定する
<a name="gp_lock_screen_in_wsp"></a>

必要に応じて、Windows ロック画面が検出されたときに、ユーザーの WorkSpaces セッションを切断できます。WorkSpaces クライアントから再接続するには、WorkSpaces で有効になっている認証の種類に応じて、ユーザーはパスワードまたはスマートカードを使用して自分自身を認証できます。

このグループポリシー設定は、デフォルトでは無効になっています。必要に応じて、グループポリシー設定を使用して、Windows WorkSpaces の Windows ロック画面が検出された場合におけるセッションの切断を有効にできます。

**注記**  
このグループポリシー設定は、パスワード認証セッションとスマートカード認証セッションの両方に適用されます。
Windows WorkSpaces でスマートカードを使用できるようにするには、追加の手順が必要です。詳細については、「[WorkSpaces Personal での認証にスマートカードを使用する](smart-cards.md)」を参照してください。

**Windows WorkSpaces の画面ロックにおけるセッションの切断を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable disconnect session on screen lock**] (画面ロックの場合のセッションの切断を有効/無効にする) 設定を開きます。

1. **[Enable/disable disconnect session on screen lock]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV の画面キャプチャ保護を設定する
<a name="screen_capture_protection"></a>

Screen Capture Protection は、ローカルクライアントツールからの WorkSpaces セッションのスクリーンショット、画面録画、画面共有を防止します。有効にすると、クライアント側から画面コンテンツをキャプチャしようとすると、背景または黒の長方形が表示され、機密情報が流出するのを防ぐのに役立ちます。

#### 要件
<a name="w2aac11c31c11c19b5c27b5"></a>

DCV の画面キャプチャ保護には、以下が必要です。
+ DCV ホストエージェントバージョン 2.2.0.2116 以降
+ WorkSpaces クライアント
  + Windows 5.30.2 以降
  + MacOS 5.30.2 以降

**注記**  
 この機能は Linux クライアント、ウェブアクセス、または PCoIP プロトコルではサポートされていません。
保護は、クライアントデバイスから開始されたキャプチャに適用されます。ユーザーは WorkSpace 自体内からスクリーンショットを撮ることができます。
この機能は、MS Teams での画面共有と互換性がありません。

#### 既知の制限事項
<a name="w2aac11c31c11c19b5c27b9"></a>
+ この機能は、物理的なカメラによる画面のキャプチャを妨げることはできません。
+ この機能は、ホストサーバーへの直接 RDP 接続から保護しません。
+ この機能は、コラボレーションツールやチャットツールの画面共有機能など、WorkSpace 自体内から開始されたキャプチャ試行から保護しません。
+ 有効にすると、すべてのキャプチャメソッドがブロックされます (選択的ブロックは使用できません）。
+ この機能が有効になっていてビデオキャプチャが試行された場合 (クライアントウィンドウを画面共有しようとするなど）、MacOS クライアントウィンドウがグレー表示されることがあります。

**Windows WorkSpaces の画面キャプチャ保護を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **画面キャプチャ保護の設定**を開きます。

1. **画面キャプチャ保護の設定**ダイアログボックスで、**有効**または**無効**を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

   1. WorkSpace を再起動します (WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。

   1. 管理コマンドプロンプトで、`gpupdate /force` と入力します。

### DCV の間接ディスプレイドライバー (IDD) を設定する
<a name="indirect_display_driver"></a>

デフォルトでは、WorkSpaces は間接ディスプレイドライバー (IDD) の使用をサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces の間接ディスプレイドライバー (IDD) を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. ** AWS 間接ディスプレイドライバーを有効にする** 設定を開きます。

1. Enable **the AWS Indirect Display Driver** ダイアログボックスで、**Enabled** または **Disabled** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

   1. WorkSpace を再起動します (WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。

   1. 管理コマンドプロンプトで、`gpupdate /force` と入力します。

### DCV の表示設定を構成する
<a name="display_settings"></a>

WorkSpaces では、最大フレームレート、最小画質、最大画質、YUV エンコーディングなど、さまざまな表示設定を構成できます。これらの設定は、必要な画質、応答性、色精度に基づいて調整します。

デフォルトでは、最大フレームレートの値は 25 です。最大フレームレートの値は、1 秒あたりの最大許容フレーム数 (fps) を指定します。値を 0 にすると、無制限に設定されます。

デフォルトでは、最小画質の値は 30 です。最小画質は、最善の画像応答性、つまり最善の画質になるように最適化できます。最善の応答性を実現するには、最小品質を下げます。最善の品質を実現するには、最小品質を上げます。
+ 最善の応答性を実現する理想的な値は、30～90 です。
+ 最適な品質を実現する理想的な値は、60～90 です。

デフォルトでは、最低画質の値は 80 です。最大画質は画像の応答性や画質には影響しませんが、最大値を設定してネットワークの使用を制限します。

デフォルトでは、画像エンコーディングは YUV420 に設定されています。**[YUV444 エンコーディングを有効にする]** を選択すると、YUV444 エンコーディングが有効になり、高い色精度が得られます。

Windows WorkSpaces では、グループポリシー設定を使用して、最大フレームレート、最小画質、および最大画質の値を設定できます。

**Windows WorkSpaces の表示設定を構成するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[ディスプレイ設定の構成]** を開きます。

1. **[Configure display settings]** ダイアログボックスで **[Enabled]** を選択し、**[Maximum frame rate (fps)]**、**[minimum image quality]**、**[maximum image quality]** の各値を目的のレベルに設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpaces を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV の AWS 仮想ディスプレイ専用ドライバーの VSync を設定する
<a name="vsync"></a>

デフォルトでは、WorkSpaces は AWS 仮想ディスプレイ専用ドライバーの VSync 機能の使用をサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces に VSync を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. Virtual ** AWS Display Only Driver 設定の Enable VSync 機能**を開きます。

1. Virtual ** AWS Display Only Driver ダイアログボックスの Enable VSync 機能で**、**Enabled** または **Disabled** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、以下を実行します。

   1. 次のいずれかを実行して WorkSpace を再起動します。

      1. オプション 1 — WorkSpaces コンソールで、再起動する WorkSpace を選択します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

      1. オプション 2 — 管理コマンドプロンプトで、`gpupdate /force` と入力します。

   1. 設定を適用するために WorkSpace に再接続します。

   1. WorkSpace をもう一度再起動します。

### DCV のログ詳細度を設定する
<a name="log_verbosity"></a>

デフォルトでは、DCV WorkSpaces のログ詳細度は **[情報]** に設定されています。ログレベルは、以下のように詳細度の低いものから最も詳細なものまで設定できます。
+ エラー – 最も低い詳細度
+ 警告
+ 情報 – デフォルト
+ デバッグ – 最も高い詳細度

Windows WorkSpaces では、グループポリシー設定を使用してログの詳細レベルを設定できます。

**Windows WorkSpaces のログ詳細度レベルを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[ログ詳細度の設定]** を開きます。

1. **[ログ詳細度の設定]** ダイアログボックスで、**[有効]** を選択し、ログの詳細度レベルを、**[デバッグ]**、**[エラー]**、**[情報]**、または **[警告]** に設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のアイドル切断タイムアウトを設定する
<a name="idle-disconnect"></a>

WorkSpaces では、WorkSpace への接続中にユーザーの非アクティブ状態が所定の長さに達したら接続を解除するように設定できます。ユーザーアクティビティ入力の例は次のとおりです。
+ キーボードイベント
+ マウスイベント (カーソルの移動、スクロール、クリック)
+ スタイラスイベント
+ タッチイベント (タッチスクリーン、タブレットのタップ)
+ ゲームパッドイベント
+ ファイルストレージオペレーション (アップロード、ダウンロード、ディレクトリ作成、リスト項目)
+ ウェブカメラストリーミング

オーディオ入力、オーディオ出力、ピクセルの変更は、ユーザーアクティビティにはなりません。

アイドル切断タイムアウトを有効にする場合、オプションで、アクティビティが発生しない限り、設定された時間内にセッションが切断されることをユーザーに通知できます。

デフォルトでは、アイドル切断タイムアウトは無効になっており、タイムアウト値は 0 分に設定され、通知は無効になっています。このポリシー設定を有効にすると、アイドル切断タイムアウトの値はデフォルトで 60 分、アイドル切断タイムアウト警告の値はデフォルトで 60 秒になります。Windows WorkSpaces では、グループポリシー設定を使用してこの機能を設定できます。

**Windows WorkSpaces のアイドル切断タイムアウトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure Idle Disconnect Timeout]** 設定を開きます。

1. **[Configure Idle Disconnect Timeout]** ダイアログボックスで **[Enabled]**を選択し、切断タイムアウトの値 (分単位) と、オプションの警告タイマーの値 (秒単位) を設定します。

1. [**適用**]、[**OK**] の順に選択します。

1. グループポリシー設定の変更は、変更を適用するとすぐに有効になります。

### DCV のファイル転送を設定する
<a name="gp-file-transfer"></a>

デフォルトでは、Amazon WorkSpaces のファイル転送機能は無効になっています。これを有効にすると、ユーザーはローカルコンピュータと WorkSpaces セッションの間でファイルをアップロードおよびダウンロードできます。ファイルは WorkSpaces セッションの **[ストレージ]** フォルダに保存されます。

**Windows WorkSpaces のファイル転送を有効にするには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure session storage]** 設定を開きます。

1. **[Configure Session Storage]** ダイアログボックスで、**[Enabled]** を選択します。

1. (オプション) セッションストレージのフォルダを指定します (`c:/session-storage` など)。指定しない場合、セッションストレージのデフォルトフォルダはホームフォルダになります。

1. WorkSpace は、次のいずれかのファイル転送オプションを使用して設定できます。
   + 双方向ファイル転送を許可する場合は、`Download and Upload` を選択します。
   + ローカルコンピュータから WorkSpaces セッションへのファイルアップロードのみを許可する場合は、`Upload Only` を選択します。
   + WorkSpaces セッションからローカルコンピュータへのファイルダウンロードのみを許可する場合は、`Download Only` を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV の USB リダイレクトを設定する
<a name="gp_dcv_usbredirection"></a>

#### 概要
<a name="gp_dcv_usbredirection_overview"></a>

バージョン 2.2.0.2047 以降、Amazon WorkSpaces は DCV ベースの Windows WorkSpaces の汎用 USB リダイレクトをサポートしており、ユーザーは仮想デスクトップ環境内のローカル USB デバイスにアクセスできます。この機能は、特定のデバイスクラスの既存の最適化されたリダイレクトソリューションを補完します。

**注記**  
Amazon では、最適化されたリダイレクトソリューションが利用できないデバイスに対してのみ汎用リダイレクトを使用することをお勧めします。利用可能な場合、最適化されたリダイレクトソリューションはパフォーマンスを向上させます。

#### 前提条件
<a name="gp_dcv_usbredirection_prerequisites"></a>
+ DCV プロトコルバージョン 2.2.0.2047 以降を使用する Windows WorkSpaces 
+ WorkSpaces Windows クライアントの最新バージョン (バージョン 5.30.0 以降)
+ グループポリシー設定を構成するための管理アクセス

#### 設定
<a name="gp_dcv_usbredirection_config"></a>

USB リダイレクトはデフォルトで無効になっています。この機能を有効にするには、グループポリシーオブジェクト (GPO) を使用します。この機能を有効にすると、リダイレクトのために許可リストにデバイスを追加できます。デフォルトでは、許可リストにないデバイスはリダイレクトできません。

##### グループポリシーの設定
<a name="gp_dcv_usbredirection_gpo"></a>

**グループポリシーを使用して DCV の USB リダイレクトを設定するには**

1. Windows WorkSpaces に接続します。

1. ポリシーテンプレートファイル (`wsp.admx` および `wsp.adml`) を `C:\Program Files\Amazon\WSP`フォルダからコピーします。

1. `C:\Windows\PolicyDefinitions` フォルダ`wsp.admx`に貼り付けます。

1. `C:\Windows\PolicyDefinitions\en-US` フォルダ`wsp.adml`に貼り付けます。

1. ローカル GPO エディタを起動します (**gpedit.msc**)。

1. **ローカルコンピュータポリシー** > **コンピュータ設定** > **管理テンプレート** > **Amazon** > **WSP** に移動します。

1. WSP 設定で **USB の有効化/無効化**を設定します。

1. **有効化** を選択して USB リダイレクトを有効にします。

**注記**  
この設定の変更は、次の接続に適用されます。

#### デバイスの管理
<a name="gp_dcv_usbredirection_device_mgmt"></a>

USB リダイレクトを有効にすると、GPO のデバイス許可リストを設定して、リダイレクトをサポートするデバイスを追加できます。

##### デバイス許可リストの設定
<a name="gp_dcv_usbredirection_allowlist"></a>

USB リダイレクトは、デフォルトの拒否オールセキュリティスタンスに従います。管理者は、次の形式を使用して GPO の許可リストに追加することで、デバイスを明示的に許可する必要があります。

```
Name, Base class, Subclass, Protocol, Id Vendor, Id Product, Support Auto-share, Skip reset
// Use * to skip any values
```

**例:**

**ベンダー ID/製品 ID を持つデバイスの追加:**

```
Credit Card Reader, *, *, *, 0x0483, 0x2016, 1, 0
// Allows Credit Card Reader with VID 0x0483 and PID 0x2016 with auto-share support
```

**クラス/サブクラスを使用してデバイスを追加する:**

```
3D Mouse Devices, 03, 01, *, *, *, 1, 0
// Allows all 3D mice using HID class (03), boot interface subclass (01), with auto-share support
```

**注記**  
許可リストに追加する前に、デバイスの互換性とパフォーマンスをテストします。

#### セキュリティに関する考慮事項
<a name="gp_dcv_usbredirection_security"></a>

##### ベストプラクティス
<a name="gp_dcv_usbredirection_best_practices"></a>
+ 最適なパフォーマンスと互換性を実現するために、サポートされているデバイスで利用可能な場合は、専用のリダイレクト方法を使用します。たとえば、YubiKey などのセキュリティキーの場合は、代わりに WebAuthn リダイレクトを使用します。
+ 厳格なデバイス許可リストを実装します。
+ 監査ログを使用してデバイスアクセスをモニタリングします。
+ 新しいデバイスを許可する前に、データセキュリティへの影響を評価します。

### DCV のウェブカメラの解像度を設定する
<a name="gp-webcam-resolution"></a>

この設定を使用して、ウェブカメラの解像度を指定します。このポリシー設定を有効にすると、以下を指定できます。
+ ウェブカメラの最大解像度: 提供される解像度の中から、選択可能なウェブカメラの最大解像度を指定します。この値が欠落している、または (0, 0) の場合は、デフォルト値が使用されます。
+ 好ましいウェブカメラの解像度: クライアントによって提供される解像度のうち、優先するウェブカメラの解像度を指定します。指定した解像度がサポートされていない場合は、一致する解像度のうち最も近いものが選択されます。この値が欠落している、または (0, 0) の場合は、デフォルト値が使用されます。

このポリシー設定を無効にするか設定しない場合、デフォルトの解像度が使用されます。

**Windows WorkSpaces のウェブカメラの解像度を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure webcam resolution]** の設定を開きます。

1. **[Configure webcam resolution]** ダイアログボックスで、**[Enabled]** を選択し、**[Maximum webcam resolution]** (ピクセル単位) または **[Preferred webcam resolution]** (ピクセル単位) を設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のサーバーキーボードレイアウトの使用を設定する
<a name="gp-server-keyboard-layout"></a>

この設定は、デフォルトのクライアント側のキーボードレイアウトではなく、サーバー側のキーボードレイアウトをキー解釈に使用するかどうかを制御します。この設定の変更は、次の接続に適用されます。キーボード処理の詳細については、「*Amazon WorkSpaces User Guide*」を参照してください。

このポリシー設定を有効にすると、次のいずれかのオプションを選択できます。
+ **常にオフ** – 常にクライアントレイアウトを使用する
+ **常にオン** – 常にサーバーレイアウトを使用する

このポリシー設定を無効にするか設定しない場合、**常にオフ**オプションが使用されます。

**注記**  
この機能は、Amazon WorkSpaces Windows クライアントバージョン 5.29.2 以降、および Amazon WorkSpaces macOS クライアントバージョン 5.30.0 以降でサポートされています。

**Windows WorkSpaces のサーバーキーボードレイアウトの使用を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure server keyboard layout usage]** 設定を開きます。

1. **[Configure server keyboard layout usage]** ダイアログボックスで、**[Enabled]** を選択し、**[Server keyboard layout option]** を設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

## PCoIP のグループポリシー管理用テンプレートをインストールする
<a name="gp_install_template"></a>

PCoIP プロトコルを使用するときに Amazon WorkSpaces に固有のグループポリシー設定を使用するには、WorkSpaces で使用されている PCoIP エージェントのバージョン（32 ビットまたは 64 ビット）に適したグループポリシー管理用テンプレートを追加する必要があります。

**注記**  
32 ビットと 64 ビットのエージェントの WorkSpaces が混在している場合は、32 ビットエージェント用のグループポリシー管理用テンプレートを使用できます。グループポリシー設定は 32 ビットと 64 ビットの両方のエージェントに適用されます。すべての WorkSpaces が 64 ビットエージェントを使用している場合は、64 ビットエージェントの管理テンプレートを使用するように切り替えることができます。

**WorkSpaces に 32 ビットエージェントがあるかどうか、 64 ビットのエージェントがあるかどうかを調べるには**

1. WorkSpaces にログインし、**[表示]**、**[Ctrl \+ Alt \+ Delete で送信]** を選択するか、タスクバーを右クリックして **[タスクマネージャー]** を選択することで、タスクマネージャーを開きます。

1. タスクマネージャで、[**詳細**] タブに移動し、列見出しを右クリックし、[**列の選択**] を選択します。

1. [**列の選択**] ダイアログボックスで、[**プラットフォーム**] を選択し、[**OK**] をクリックします。

1. [**詳細**] タブで、`pcoip_agent.exe` を探し、[**プラットフォーム**] 列でその値を確認し、PCoIP エージェントが 32 ビットであるか 64 ビットであるか判別します。(32 ビットと 64 ビットの WorkSpaces コンポーネントが混在している場合がありますが、これは正常です)。

### PCoIP のグループポリシー管理用テンプレートをインストールする (32 ビット)
<a name="gp_install_template_pcoip_32_bit"></a>

PCoIP プロトコルを 32 ビット PCoIP エージェントで使用するとき、WorkSpaces に固有のグループポリシー設定を使用するには、PCoIP 用のグループポリシー管理用テンプレートをインストールする必要があります。ディレクトリの管理 WorkSpaces またはディレクトリに結合されている Amazon EC2 インスタンスで、次の手順を実行します。

.adm ファイルの操作の詳細については、マイクロソフトのドキュメントの「[グループポリシー管理用テンプレート (.adm) ファイルを管理するための推奨事項](https://docs.microsoft.com/troubleshoot/windows-server/group-policy/manage-group-policy-adm-file)」を参照してください。

**PCoIP のグループポリシー管理用テンプレートをインストールするには**

1. 実行中の Windows WorkSpaces から、`pcoip.adm` ディレクトリの `C:\Program Files (x86)\Teradici\PCoIP Agent\configuration` ファイルのコピーを作成します。

1. ディレクトリ管理用の WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces マシンアカウントが含まれているドメイン内の組織単位に移動します。

1. コンピュータアカウントの組織単位のコンテキスト（右クリック）メニューを開き、[**Create a GPO in this domain, and link it here**] を選択します。

1. [**New GPO**] ダイアログボックスで、GPO のわかりやすい名前 (**「WorkSpaces Machine Policies」など**) を入力し、[**Source Starter GPO**] は [**(none)**] のままにします。[**OK**] を選択してください。

1. 新しい GPO のコンテキスト (右クリック) メニューを開き、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Policies**]、[**Administrative Templates**] の順に選択します。メインメニューから **[Action]**、**[Add/Remove Templates]** の順に選択します。

1. **[Add/Remove Templates]** ダイアログボックスで、**[Add]** を選択し、先ほどコピーした `pcoip.adm` ファイルを選択したら、**[Open]**、**[Close]** の順に選択します。

1. [Group Policy Management Editor] を終了します。これで、この GPO を使用して、WorkSpaces に固有のグループポリシーの設定を変更できます。

**管理用テンプレートファイルが正しくインストールされていることを確認するには**

1. ディレクトリ管理用の WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces マシンアカウントの WorkSpaces GPO に移動して選択します。メインメニューの **[Action]**、**[Edit]** を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Policies**]、[**Administrative Templates**]、[**Classic Administrative Templates**]、[**PCoIP Session Variables**] の順に選択します。

1. これで、この **PCoIP セッション変数**グループポリシーオブジェクトを使用して、PCoIP を使用しているときに Amazon WorkSpaces に固有のグループポリシー設定を変更できるようになります。
**注記**  
ユーザーによる設定の上書きを許可するには、[**Overridable Administrator Settings**] (上書き可能な管理者設定) を選択します。許可しない場合は、[**Not Overridable Administrator Settings**] (上書き可能でない管理者設定) を選択します。

### PCoIP のグループポリシー管理用テンプレートをインストールする (64 ビット)
<a name="gp_install_template_pcoip_64_bit"></a>

PCoIP プロトコルを使用しているときに WorkSpaces に固有のグループポリシー設定を使用するには、グループポリシー管理用テンプレート `PCoIP.admx` および PCoIP 用 `PCoIP.adml` ファイルを WorkSpaces ディレクトリのドメインコントローラーのセントラルストアに追加する必要があります。`.admx` および `.adml` ファイルの詳細については、「[Windows でグループポリシー管理用テンプレートのセントラルストアを作成および管理する方法](https://support.microsoft.com/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra)」を参照してください。

次の手順では、セントラルストアを作成し、管理用テンプレートファイルをそのストアに追加する方法について説明します。ディレクトリ管理用の WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、次の手順を実行します。

**PCoIP のグループポリシー管理用テンプレートファイルをインストールするには**

1. 実行中の Windows WorkSpace から、`PCoIP.admx` ディレクトリの `PCoIP.adml` および `C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions` ファイルのコピーを作成します。`PCoIP.adml`ファイルは、そのディレクトリの `en-US` サブフォルダにあります。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、Windows エクスプローラーを開き、アドレスバーに `\\example.com` のような組織の完全修飾ドメイン名 (FQDN) を入力します。

1. `sysvol` フォルダを開きます。

1. `{{FQDN}}` という名前のフォルダを開きます。

1. `Policies` フォルダを開きます。今、`\\{{FQDN}}\sysvol\{{FQDN}}\Policies` に入っているはずです。

1. まだ存在しない場合は、`PolicyDefinitions` という名前のフォルダを作成します。

1. `PolicyDefinitions` フォルダを開きます。

1. `PCoIP.admx` ファイルを `\\{{FQDN}}\sysvol\{{FQDN}}\Policies\PolicyDefinitions` フォルダにコピーします。

1. `PolicyDefinitions` フォルダに `en-US` という名前のフォルダを作成します。

1. `en-US` フォルダを開きます。

1. `PCoIP.adml` ファイルを `\\{{FQDN}}\sysvol\{{FQDN}}\Policies\PolicyDefinitions\en-US` フォルダにコピーします。

**管理用テンプレートファイルが正しくインストールされていることを確認するには**

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:{{FQDN}}**]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。
**注記**  
WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、委任された権限を持つドメインコンテナの下に GPO を作成してリンクする必要があります。  
を使用してディレクトリを作成すると AWS Managed Microsoft AD、 は{{ドメインルートの下にドメイン名}}組織単位 (OU) Directory Service を作成します。この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、Directory DNS 名の最初の部分が使用されます (例えば、`corp.example.com` の場合、NetBIOS 名は `corp` となります)。  
GPO を作成するには、**デフォルトのドメインポリシー**を選択する代わりに、{{yourdomainname}} OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[**Create a GPO in this domain, and Link it here**] (このドメインに GPO を作成し、ここにリンクする) を選択します。  
{{yourdomainname}} OU の詳細については、*AWS Directory Service 管理ガイド*の[作成されるもの](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)を参照してください。

1. グループポリシー管理エディタで、[**コンピュータの設定**]、[**ポリシー**]、[**管理用テンプレート**]、[**PCoIP セッション変数**] の順に選択します。

1. これで、この **PCoIP セッション変数**グループポリシーオブジェクトを使用して、PCoIP を使用しているときに WorkSpaces に固有のグループポリシー設定を変更できるようになります。
**注記**  
ユーザーによる設定の上書きを許可するには、[**Overridable Administrator Settings**] (上書き可能な管理者設定) を選択します。許可しない場合は、[**Not Overridable Administrator Settings**] (上書き可能でない管理者設定) を選択します。

## PCoIP のグループポリシー設定を管理する
<a name="gp_configurations_pcoip"></a>

グループポリシー設定を使って、PCoIP を使用する Windows WorkSpaces を管理します。

### PCoIP のプリンタサポートを設定する
<a name="gp_local_printers"></a>

デフォルトでは、WorkSpaces は基本的なリモート印刷を可能にします。印刷の互換性を確実にするため、ホスト側の汎用プリンタードライバーを使用するため、提供される印刷機能は限られています。

Windows クライアントの高度なリモート印刷では、両面印刷など、プリンター固有の機能を使用できますが、ホスト側に一致するプリンタードライバーをインストールする必要があります。

リモート印刷は仮想チャネルとして実装されます。仮想チャネルが無効になっている場合、リモート印刷は機能しません。

Windows WorkSpaces の場合、グループポリシー設定を使用して、必要に応じてプリンターのサポートを設定できます。

**プリンターのサポートを設定するには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure remote printing**] 設定を開きます。

1. [**Configure remote printing (リモート印刷を設定)**] ダイアログボックスで、次のいずれかを実行します。
   + 高度なリモート印刷を有効にするには、**[Enabled]** を選択し、**[Options]** の **[Configure remote printing]** で **[Basic and Advanced printing for Windows clients]** を選択します。クライアントコンピュータの現在のデフォルトプリンターを自動的に使用するには、[ **Automatically set default printer (デフォルトプリンターを自動的に設定する)**] を選択します。
   + 印刷を無効にするには、**[Enabled]** を選択し、**[Options]** の **[Configure remote printing]** で **[Printing disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

デフォルトでは、ローカルプリンターへの自動リダイレクトは無効になっています。グループポリシーの設定を使用して、この機能を有効にすることができます。有効にすると、WorkSpaces に接続するたびに、ローカルプリンターがデフォルトプリンターとして設定されます。

**注記**  
ローカルプリンターのリダイレクトは Amazon Linux WorkSpaces ではご利用になれません。

**ローカルプリンターへの自動リダイレクトを有効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure remote printing**] 設定を開きます。

1. **[Enabled]** を選択し、**[Options]** の **[Configure remote printing]** で、次のいずれかを選択します。
   + **Basic and Advanced printing for Windows clients** (Windows クライアント用の基本印刷と高度な印刷)
   + **Basic printing** (基本印刷)

1. [**Automatically set default printer**] (デフォルトのプリンターを自動的に設定) を選択し、[**OK**] を選択します。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### PCoIP のクリップボードリダイレクト (コピー/貼り付け) を設定する
<a name="gp_clipboard"></a>

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**クリップボードのリダイレクトを有効または無効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure clipboard redirection**] 設定を開きます。

1. [**Configure clipboard redirection (クリップボードのリダイレクトの設定)**] ダイアログボックスで、[**有効**] を選択し、次のいずれかの設定を選択して、クリップボードのリダイレクトが許可される方向を決定します。終了したら、[**OK**] を選択します。
   + 双方向で無効
   + エージェントからクライアントのみ有効 (WorkSpaces からローカルコンピュータ)
   + クライアントからエージェントのみ有効 (ローカルコンピュータから WorkSpaces)
   + 双方向で有効 

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

**既知の制限事項**  
WorkSpaces でクリップボードのリダイレクトが有効になっていると、Microsoft Office アプリケーションから 890 KB よりも大きいコンテンツをコピーした場合に、アプリケーションが遅くなったり最大 5 秒応答しなくなったりすることがあります。

### PCoIP のセッション再開タイムアウトを設定する
<a name="gp_auto_resume"></a>

ネットワーク接続が切断されると、アクティブな WorkSpaces クライアントセッションが切断されます。Windows と macOS 用の WorkSpaces クライアントアプリケーションは、ネットワーク接続が一定時間内に回復すればセッションを自動的に再接続するように試行します。デフォルト設定のセッション再起動タイムアウトは 20 分ですが、ドメインのグループポリシー設定で制御される WorkSpaces では、この値の変更ができます。

**自動セッション再起動タイムアウト値を設定するには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure Session Automatic Reconnection Policy**] 設定を開きます。

1. **[Configure Session Automatic Reconnection Policy]** ダイアログボックスで **[Enabled]** を選択し、**[Configure Session Automatic Reconnection Policy]** オプションを必要なタイムアウト値 (分単位) に設定して、**[OK]** を選択します。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### PCoIP のオーディオ入力リダイレクトを設定する
<a name="gp_audio"></a>

デフォルトでは、Amazon WorkSpaces では、ローカルマイクから取得されたデータのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**注記**  
WorkSpaces でのユーザーのローカルログオンを制限するグループポリシー設定がある場合、オーディオ入力は WorkSpaces では機能しません。そのグループポリシー設定を削除すると、WorkSpaces の次回再起動後にオーディオ入力機能が有効になります。このグループポリシー設定の詳細については、Microsoft のドキュメントの「[ローカルでのログオンを許可する](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)」をご参照ください。

**オーディオ入力リダイレクトを有効または無効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Enable/disable audio in the PCoIP session**] (PCoIP セッションでのオーディオ入力を有効/無効にする) 設定を開きます。

1. **[Enable/disable audio in the PCoIP session]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### PCoIP のタイムゾーンリダイレクトを無効化する
<a name="gp_time_zone"></a>

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。
+ 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
+ WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
+ よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**タイムゾーンのリダイレクトを無効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure timezone redirection**] (タイムゾーンリダイレクトを構成) の設定を開きます。

1. [**Configure timezone redirection**] (タイムゾーンリダイレクトを設定) ダイアログボックスで [**Disabled**] (無効) を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

1. WorkSpaces のタイムゾーンを目的のタイムゾーンに設定します。

WorkSpaces のタイムゾーンは静的になり、クライアントマシンのタイムゾーンは反映されなくなります。

### PCoIP セキュリティ設定を構成する
<a name="gp_security"></a>

PCoIP については、転送中のデータは、TLS 1.2 暗号化と SigV4 リクエスト署名を使用して暗号化されます。PCoIP プロトコルは、AES で暗号化された UDP トラフィックをストリーミングピクセルに使用します。ポート 4172 (TCP および UDP) を使用するストリーミング接続は、AES-128 および AES-256 暗号を使用して暗号化されますが、暗号化はデフォルトで 128 ビットとなります。このデフォルトを 256 ビットに変更するには、[**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) グループポリシー設定を使用します。

このグループポリシー設定を使用して、TLS セキュリティモードを変更し、特定の暗号スイートをブロックすることもできます。これらの設定とサポートされている暗号スイートの詳細については、[**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) グループポリシーダイアログボックスを参照してください。

**PCoIP セキュリティ設定を構成するには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) の設定を開きます。

1. [**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) ダイアログボックスで、[**Enabled**] (有効) を選択します。ストリーミングトラフィックのデフォルトの暗号化を 256 ビットに設定するには、[**PCoIP Data Encryption Ciphers**] (PCoIP データ暗号化暗号) オプションに移動し、[**AES-256-GCM only**] (AES-256-GCM のみ) を選択します。

1. (オプション) **TLS セキュリティモード**の設定を調整し、ブロックする暗号スイートをリストします。これらの設定の詳細については、[**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) ダイアログボックスに表示される説明を参照してください。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### PCoIP の USB リダイレクトを設定する
<a name="gp_usbredirection"></a>

**注記**  
Amazon WorkSpaces は現在、YubiKey U2F に対してのみ USB リダイレクトをサポートしています。他のタイプの USB デバイスもリダイレクトされる場合がありますが、それらはサポートされていないため、正常に動作しない可能性があります。

**PCoIP の USB リダイレクトを有効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Enable/disable USB in the PCOIP session**] (PCoIP セッションでの USB を有効/無効にする) 設定を開きます。

1.  [**Enabled**] (有効)、[**OK**] の順に選択します。

1. [**Configure PCoIP USB allowed and unallowed device rules**] (PCoIP USB の許可および許可されないデバイスのルール設定) を開きます。

1. **[有効]**を選択し、**[USB 認可テーブルを入力 (最大 10 個のルール)]**で、USB デバイスの許可リストルールを設定します。

   1. 承認ルール - 110500407。この値は、ベンダー ID (VID) と製品 ID (PID) の組み合わせです。VID/PID の組み合わせの形式は 1xxxxyyyy です。xxxx は 16 進形式の VID で、yyyy は 16 進形式の PID です。この例では、1050 が VID で、0407 が PID です。YubiKey USB の値の詳細については、[YubiKey USB ID Values](https://support.yubico.com/hc/en-us/articles/360016614920-YubiKey-USB-ID-Values) を参照してください。

1. **[USB 認可テーブルを入力 (最大 10 個のルール)]**で、USB デバイスのブロックリストルールを設定します。

   1. [**Unauthorization Rule**] (非承認ルール) に、空の文字列を設定します。これは、承認リスト内の USB デバイスだけが許可されることを意味します。
**注記**  
USB 承認ルールと USB 非承認ルールをそれぞれ最大 10 個定義することができます。複数のルールを区切るには、縦棒 (\|) 文字を使用します。承認ルールと非承認ルールの詳細については、[Teradici PCoIP Standard Agent for Windows](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/#pcoip-usb-allowed-and-unallowed-device-rules) を参照してください。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

この設定が有効になると、USB デバイスのルール設定で制限されていない限り、サポートされているすべての USB デバイスが WorkSpaces にリダイレクトできるようになります。

## Kerberos チケットの最大ライフタイムを設定する
<a name="gp_kerberos_ticket"></a>

Windows WorkSpaces の [**Remember Me**] (情報を記憶する) 機能を無効にしていない場合、WorkSpaces ユーザーは WorkSpaces クライアントアプリケーションの [**Remember Me**] (情報を記憶する) または [**Keep me logged in**] (ログイン状態を保つ) チェックボックスを使用して、認証情報を保存することができます。この機能により、ユーザーはクライアントアプリケーションが実行中であれば簡単に WorkSpaces に接続できます。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終了するまで安全にキャッシュに保存されます。

WorkSpaces で AD Connector ディレクトリを使用している場合は、Microsoft Windows ドキュメントの「[チケットの最長有効期間](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-user-ticket)」の手順に従って、グループポリシーを使用して WorkSpaces ユーザーの Kerberos チケットの最大有効期間を変更できます。

[**Remember Me**] (このアカウントを記憶する) 機能を有効または無効にする方法については、[WorkSpaces Personal でユーザーを対象とした WorkSpaces の自己管理機能を有効にする](enable-user-self-service-workspace-management.md) を参照してください。

## インターネットアクセス用のデバイスプロキシサーバー設定を構成する
<a name="gp_device_proxy"></a>

デフォルトでは、WorkSpaces クライアントアプリケーションは、デバイスオペレーティングシステム設定で HTTPS (ポート 443) トラフィック用に指定したプロキシサーバーを使用します。Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポートを使用します。

**注記**  
サインイン認証情報を使用した認証を必要とするプロキシサーバーはサポートされていません。

Microsoft ドキュメントの「[デバイスプロキシとインターネット接続の設定の構成](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)」の手順に従って、グループポリシーを通じて Windows WorkSpaces のデバイスプロキシサーバー設定を構成できます。

WorkSpaces Windows クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」の「[プロキシサーバー](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)」を参照してください。

WorkSpaces macOS クライアントアプリケーションでのプロキシ設定の構成の詳細については、「*Amazon WorkSpaces User Guide*」の「[Proxy Server](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)」を参照してください。

WorkSpaces Web Access クライアントアプリケーションでのプロキシ設定の構成の詳細については、「*Amazon WorkSpaces User Guide*」の「[Proxy Server](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)」を参照してください。

### デスクトップトラフィックのプロキシ
<a name="w2aac11c31c11c27c15"></a>

PCoIP WorkSpaces の場合、デスクトップクライアントアプリケーションは、UDP のポート 4172 トラフィック (デスクトップトラフィック) に対するプロキシサーバーの使用も、TLS の復号と検査もサポートしていません。ポート 4172 に直接接続する必要があります。

DCV WorkSpaces の場合、WorkSpaces Windows クライアントアプリケーション (バージョン 5.1 以降) と macOS クライアントアプリケーション (バージョン 5.4 以降) は、ポート 4195 TCP トラフィックに対する HTTP プロキシサーバーの使用をサポートしています。TLS の復号および検査はサポートしていません。

DCV は、UDP 経由のデスクトップトラフィックに対するプロキシの使用をサポートしていません。TCP トラフィックに対するプロキシの使用をサポートしているのは、WorkSpaces Windows および macOS デスクトップクライアントアプリケーションと Web Access のみです。

**注記**  
プロキシサーバーを使用する場合、クライアントアプリケーションが WorkSpaces サービスに対して行う API コールもプロキシされます。API コールとデスクトップトラフィックの両方が同じプロキシサーバーを通過する必要があります。

### プロキシサーバーの使用に関する推奨事項
<a name="w2aac11c31c11c27c17"></a>

WorkSpaces デスクトップトラフィックでのプロキシサーバーの使用はお勧めしません。

Amazon WorkSpaces デスクトップトラフィックは既に暗号化されているため、プロキシを使用してもセキュリティは向上しません。プロキシを使用すると、ネットワークパスに余分なホップが発生してレイテンシーをもたらし、ストリーミング品質に影響する可能性があります。プロキシのサイズがデスクトップストリーミングトラフィックの処理に適切でない場合、プロキシによってスループットが低下する可能性もあります。さらに、ほとんどのプロキシは長時間実行される WebSocket (TCP) 接続をサポートするようには設計されていないため、ストリーミングの品質と安定性に影響する可能性があります。

プロキシを使用する必要がある場合は、ストリーミングの品質と応答性に悪影響を及ぼす可能性のあるネットワークレイテンシーの増大を避けるため、プロキシサーバーを WorkSpace クライアントのできるだけ近く、できれば同じネットワーク内に配置してください。

## Amazon WorkSpaces で Zoom Meeting Media プラグインのサポートを有効にする
<a name="zoom-integration"></a>

Zoom は、Zoom VDI プラグインを使用して、Windows ベースの DCV および PCoIP WorkSpaces での最適化されたリアルタイム通信をサポートしています。クライアントとの直接通信によってビデオ通話はクラウドベースの仮想デスクトップを迂回できるため、ユーザーの WorkSpace 内で会議が行われていてもローカルのような Zoom エクスペリエンスを提供できます。

### DCV の Zoom Meeting Media プラグインを有効にする
<a name="zoom-wsp"></a>

Zoom VDI コンポーネントをインストールする前に、Zoom 最適化をサポートするように WorkSpaces 設定を更新します。

#### 前提条件
<a name="zoom-integ-prerequisites-wsp"></a>

プラグインを使用する前に、以下の要件を満たしていることを確認してください。
+ Windows WorkSpaces クライアントバージョン 5.10.0 以降と [Zoom VDI プラグイン](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT:~:text=Zoom%20Meeting%20client.-,Install%20the%20Zoom%20VDI%20plugin,-To%20complete%20your)バージョン 5.17.10 以降
+ WorkSpaces 内 — [VDI 版 Zoom Meeting](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0063810) クライアントバージョン 5.17.10 以降

#### [開始する前に]
<a name="zoom-begin-wsp"></a>

1. **[拡張機能]** グループポリシー設定を有効にします。詳細については、「[DCV の拡張機能を設定する](#extensions)」を参照してください。

1. **[自動再接続]** グループポリシー設定を無効にします。詳細については、「[DCV のセッション再開タイムアウトを設定する](#gp_auto_resume_wsp)」を参照してください。

#### Zoom コンポーネントのインストール
<a name="installing-zoom-wsp"></a>

Zoom 最適化を有効にするには、Zoom が提供する 2 つのコンポーネントを Windows WorkSpaces にインストールします。詳細については、「[Using Zoom for Amazon WorkSpaces](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT)」を参照してください。

1. WorkSpace に VDI 版 Zoom Meeting クライアントバージョン 5.12.6 以降をインストールします。

1. WorkSpace がインストールされているクライアントに Zoom VDI プラグイン (Windows ユニバーサルインストーラ) バージョン 5.12.6 以降をインストールします。

1. VDI 版 Zoom クライアントで VDI プラグインのステータスが **[接続済み]** として表示されることを確認して、プラグインが Zoom トラフィックを最適化していることを確認します。詳細については、「[How to confirm Amazon WorkSpaces optimization](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE1MA5YMYFX5B5XM873V1Y)」を参照してください。

### PCoIP の Zoom Meeting Media プラグインを有効にする
<a name="zoom-pcoip"></a>

Active Directory への管理者アクセス許可を持つユーザーは、グループポリシーオブジェクト (GPO) を使用してレジストリキーを生成できます。これにより、ユーザーは強制更新を使用してドメイン内のすべての Windows WorkSpaces にレジストリキーを送信できます。または、管理者権限を持つユーザーは、WorkSpaces ホストにレジストリキーを個別にインストールすることもできます。

#### 前提条件
<a name="zoom-integ-prerequisites-pcoip"></a>

プラグインを使用する前に、以下の要件を満たしていることを確認してください。
+ Windows WorkSpaces クライアントバージョン 5.4.0 以降と [Zoom VDI プラグイン](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT:~:text=Zoom%20Meeting%20client.-,Install%20the%20Zoom%20VDI%20plugin,-To%20complete%20your)バージョン 5.12.6 以降
+ WorkSpaces 内 — [VDI 版 Zoom Meeting](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0063810) クライアントバージョン 5.12.6 以降

#### Windows WorkSpaces ホストにレジストリキーを作成する
<a name="zoom-integ-create-registry-key"></a>

次の手順に従って、Windows WorkSpaces ホストにレジストリキーを作成します。Windows WorkSpaces で Zoom を使用するには、レジストリキーが必要です。

1. 管理者として Windows レジストリエディタを開きます。

1. `\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Amazon` に移動します。

1. **Extension** キーが存在しない場合は、右クリックして **[New]** (新規) > **[Key]** (キー) を選択し、「**Extension**」という名前を付けます。

1. 新しい **Extension** キーで右クリックし、**[New]** (新規) > **[DWORD]** を選択し、「**enable**」という名前を付けます。この名前は小文字にする必要があります。

1. 新しい **DWORD** をクリックし、**[値]** を **[1]** に変更します。

1. コンピュータを再起動してプロセスを完了します。

1. WorkSpaces ホストで、最新の Zoom VDI クライアントをダウンロードしてインストールします。WorkSpaces クライアント (5.4 以降) で、Amazon WorkSpaces 用の最新の Zoom VDI クライアントプラグインをダウンロードしてインストールします。詳細については、*Zoom サポートウェブサイト*の「[VDI releases and downloads](https://support.zoom.us/hc/en-us/articles/4415057249549-VDI-releases-and-downloads)」を参照してください。

Zoom を起動してビデオ通話を開始します。

#### トラブルシューティング
<a name="zoom-integ-troubleshoot"></a>

Windows WorkSpaces での Zoom のトラブルシューティングを行うには、以下のアクションを実行してください。
+ レジストリキーがアクティブ化され、正しく適用されていることを確認します。
+ `C:\ProgramData\Amazon\Amazon WorkSpaces Extension` に移動します。`wse_core_dll` と表示されていることを確認します。
+ ホストとクライアントの間でバージョンが正しいこと、また一致していることを確認します。

問題が解決しない場合は、 [サポート センター](https://console.aws.amazon.com/support/home#/) サポート を使用して にお問い合わせください。

次の例を使用し、ディレクトリの管理者として GPO を適用できます。
+ **WSE.adml**

  ```
  <?xml version="1.0" encoding="utf-8"?>
  <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <!-- 'displayName' and 'description' don't appear anywhere. All Windows native GPO template files have them set like this. -->
      <displayName>enter display name here</displayName>
      <description>enter description here</description>
  
      <resources>
      <stringTable>
          <string id="SUPPORTED_ProductOnly">N/A</string>
          <string id="Amazon">Amazon</string>
          <string id="Amazon_Help">Amazon Group Policies</string>
          <string id="WorkspacesExtension">Workspaces Extension</string>
          <string id="WorkspacesExtension_Help">Workspace Extension Group Policies</string>
  
          <!-- Extension Itself -->
          <string id="ToggleExtension">Enable/disable Extension Virtual Channel</string>
          <string id="ToggleExtension_Help">
  Allows two-way Virtual Channel data communication for multiple purposes
  
  By default, Extension is disabled.</string>
  
      </stringTable>
      </resources>
  </policyDefinitionResources>
  ```
+ **WSE.admx**

  ```
  <?xml version="1.0" encoding="utf-8"?>
  <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <policyNamespaces>
          <target prefix="WorkspacesExtension" namespace="Microsoft.Policies.Amazon.WorkspacesExtension" />
      </policyNamespaces>
      <supersededAdm fileName="wse.adm" />
      <resources minRequiredRevision="1.0" />
      <supportedOn>
          <definitions>
              <definition name="SUPPORTED_ProductOnly" displayName="$(string.SUPPORTED_ProductOnly)"/>
          </definitions>
      </supportedOn>
      <categories>
          <category name="Amazon" displayName="$(string.Amazon)" explainText="$(string.Amazon_Help)" />
          <category name="WorkspacesExtension" displayName="$(string.WorkspacesExtension)" explainText="$(string.WorkspacesExtension_Help)">
              <parentCategory ref="Amazon" />
          </category>
      </categories>
  
      <policies>
          <policy name="ToggleExtension" class="Machine" displayName="$(string.ToggleExtension)" explainText="$(string.ToggleExtension_Help)" key="Software\Policies\Amazon\Extension" valueName="enable">
              <parentCategory ref="WorkspacesExtension" />
              <supportedOn ref="SUPPORTED_ProductOnly" />
              <enabledValue>
                  <decimal value="1" />
              </enabledValue>
              <disabledValue>
                  <decimal value="0" />
              </disabledValue>
          </policy>
      </policies>
  </policyDefinitions>
  ```