WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する

1. 特にマルチアカウント環境を使用している場合は、AWS Organizations で IAM アイデンティティセンターを有効にします。IAM アイデンティティセンターのアカウントインスタンスを作成することもできます。IAM アイデンティティセンターの詳細については、「AWS IAM アイデンティティセンターを有効にする」を参照してください。WorkSpaces の各ディレクトリは、IAM アイデンティティセンターの 1 つのインスタンス、組織、またはアカウントに関連付けることができます。

   組織インスタンスを使用して、メンバーアカウントの 1 つに WorkSpaces ディレクトリを作成しようとしている場合は、次の IAM アイデンティティセンターのアクセス許可があることを確認してください。

   • "sso:DescribeInstance"

   • "sso:CreateApplication"

   • "sso:PutApplicationGrant"

   • "sso:PutApplicationAuthenticationMethod"

   • "sso:DeleteApplication"

   • "sso:DescribeApplication"

   • "sso:getApplicationGrant"

   詳細については、「IAM アイデンティティセンターリソースへのアクセス許可の管理の概要」を参照してください。また、これらのアクセス許可をブロックするサービスコントロールポリシー (SCP) がないことを確認してください。SCP の詳細については、「サービスコントロールポリシー (SCP)」を参照してください。

2. Entra ID テナントから選択したユーザーまたはすべてのユーザーを IAM アイデンティティセンターのインスタンスに自動的に同期するように、IAM アイデンティティセンターと Microsoft Entra ID を設定します。詳細については、「Microsoft Entra ID と IAM アイデンティティセンターを使用して SAML と SCIM を設定する」および「チュートリアル: 自動ユーザープロビジョニング用に AWS IAM アイデンティティセンターを構成する」を参照してください。

3. Microsoft Entra ID で設定したユーザーが AWS IAM アイデンティティセンターのインスタンスに正しく同期されていることを確認します。Microsoft Entra ID にエラーメッセージが表示された場合は、Entra ID のユーザーの設定が、IAM アイデンティティセンターでサポートされていないことを示しています。この問題はエラーメッセージによって識別できます。例えば、Entra ID のユーザーオブジェクトに、姓、名、または表示名がない場合、次のようなエラーメッセージが表示されます。"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"。詳細については、「特定のユーザーが外部 SCIM プロバイダーから IAM アイデンティティセンターに同期できない」を参照してください。

Autopilot のために Microsoft Intune を設定するには

1. Microsoft Intune 管理センターにサインインします。

2. 個人用 WorkSpaces 向けに新しい Autopilot のデバイスグループを作成します。詳細については、「Windows Autopilot のデバイスグループを作成する」を参照してください。

   1. [グループ]、[新しいグループ] の順に選択します。

   2. [Group type] (グループの種類) で、[Security] (セキュリティ) を選択します。

   3. [メンバーシップの種類] で [動的デバイス] を選択します。

   4. [Edit dynamic query] を選択して、動的メンバーシップルールを作成します。ルールは次のような形式になります。

      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))

      重要

      WorkSpacesDirectoryName は、ステップ 5 で作成する Entra ID WorkSpaces Personal ディレクトリのディレクトリ名と一致している必要があります。これは、WorkSpaces が仮想デスクトップを Autopilot に登録するときに、ディレクトリ名の文字列がグループタグとして使用されるためです。さらに、グループタグは Microsoft Entra デバイスの OrderID 属性にマッピングされます。

3. [デバイス]、[Windows]、[登録] の順に選択します。[登録オプション] で [自動登録] を選択します。[MDM ユーザースコープ] で [すべて] を選択します。

4. Autopilot デプロイプロファイルを作成します。詳細については、「Autopilot Deployment プロファイルを作成する」を参照してください。

   1. [Windows Autopilot] で [デプロイプロファイル]、[プロファイルの作成] の順に選択します。

   2. [Windows AutoPilot Deployment プロファイル] 画面で、[プロファイルの作成] ドロップダウンメニューを選択し、[Windows PC] を選択します。

   3. [プロファイルの作成] 画面の [On the Out-of-box experience (OOBE)] ページを開きます。[配置モード] で [ユーザードリブン] を選択します。[Microsoft Entra ID に参加] で [Microsoft Entra 参加済み] を選択します。Entra ID に参加済みの個人用 WorkSpaces でコンピュータ名をカスタマイズするには、[デバイス名テンプレートを適用する] で [はい] を選択し、登録時のデバイスの名前付けに使用するテンプレートを作成します。

   4. [割り当て] ページの [割り当てる] で、[選択したグループ] を選択します。[含めるグループを選択する] を選択し、2 で作成した Autopilot デバイスグループを選択します。

AWS Secrets Manager シークレットを作成するには

1. カスタマーマネージドキーを AWS Key Management Service で作成します。このキーは後で AWS Secrets Manager シークレットの暗号化に使用されます。WorkSpaces サービスではデフォルトのキーにアクセスできないため、デフォルトのキーを使用してシークレットを暗号化しないでください。キーは以下の手順で作成します。

   1. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

   2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

   3. [Create key] (キーの作成) を選択します。

   4. [キーを設定] ページの [キーのタイプ] で、[対称] を選択します。[キーの使用方法] で [暗号化および復号化] を選択します。

   5. [確認] ページのキーポリシーエディタで、キーポリシーに次のアクセス許可が含まれ、WorkSpaces サービスのプリンシパル workspaces.amazonaws.com からキーへのアクセスが許可されていることを確認します。

      {
          "Effect": "Allow",
          "Principal": {
              "Service": [
                  "workspaces.amazonaws.com"
              ]
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey"
          ],
          "Resource": "*"
       }

2. 前の手順で作成した AWS KMS キーを使用して、AWS Secrets Manager でシークレットを作成します。

   1. Secrets Manager のコンソール (https://console.aws.amazon.com/secretsmanager/) を開きます。

   2. [Store a new secret] (新しいシークレットを保存する) を選択します｡

   3. [シークレットタイプの選択] ページの[シークレットタイプ] で[その他のシークレットタイプ] を選択します。

   4. [キー/値のペア] の キーボックスに「application_id」と入力し、値ボックスにステップ 2 の Entra ID アプリケーションの ID をコピーして貼り付けます。

   5. キーボックスで [行を追加] を選択して「application_password」と入力し、値ボックスにステップ 2 の Entra ID アプリケーションのクライアントシークレットをコピーして貼り付けます。

   6. 前の手順で作成した AWS KMS キーを [暗号化キー] ドロップダウンリストで選択します。

   7. [次へ] を選択します。

   8. [シークレットを設定] ページで、[シークレットの名前] と [説明] を入力します。

   9. [リソースのアクセス許可] セクションで、[許可を編集] を選択します。

   10. リソースのアクセス許可に次のリソースポリシーを含め、WorkSpaces サービスのプリンシパル workspaces.amazonaws.com にシークレットへのアクセスを必ず許可します。

       JSON

       {
         "Version":"2012-10-17",		 	 	 
         "Statement" : [ {
           "Effect" : "Allow",
           "Principal" : {
             "Service" : [ "workspaces.amazonaws.com"]
           },
           "Action" : "secretsmanager:GetSecretValue",
           "Resource" : "*"
         } ]
       }
       

Entra ID WorkSpaces ディレクトリを作成するには

1. https://console.aws.amazon.com/workspaces/v2/home で WorkSpaces コンソールを開きます。

2. ナビゲーションペインで [ディレクトリ] を選択します。

3. [ディレクトリの作成] ページの [WorkSpaces タイプ] で、[個人] を選択します。[WorkSpace デバイス管理] で [Microsoft Entra ID] を選択します。

4. [Microsoft Entra のテナント ID] に、ディレクトリの WorkSpaces を参加させる Microsoft Entra ID のテナント ID を入力します。ディレクトリの作成後にテナント ID を変更することはできません。

5. [Entra ID アプリケーション ID とパスワード] で、ドロップダウンリストからステップ 4 で作成した AWS Secrets Manager シークレットを選択します。ディレクトリの作成後に、ディレクトリに関連付けられたシークレットを変更することはできません。ただし、Entra ID アプリケーション ID とそのパスワードを含むシークレットの内容は、https://console.aws.amazon.com/secretsmanager/ の AWS Secrets Manager コンソールからいつでも更新できます。

6. IAM アイデンティティセンターインスタンスが WorkSpaces ディレクトリと同じ AWS リージョンにある場合は、[ユーザー ID ソース] として、ステップ 1 で設定した IAM アイデンティティセンターインスタンスをドロップダウンリストから選択します。ディレクトリの作成後に、ディレクトリに関連付けられた IAM アイデンティティセンターのインスタンスを変更することはできません。

   IAM アイデンティティセンターインスタンスが WorkSpaces ディレクトリとは異なる AWS リージョンにある場合は、[クロスリージョンを有効にする] を選択し、ドロップダウンリストからリージョンを選択します。

   注記

   既存の IAM アイデンティティセンターインスタンスが別のリージョンにある場合は、クロスリージョン統合をセットアップするためにオプトインする必要があります。クロスリージョンのセットアップの詳細については、「 クロスリージョン IAM アイデンティティセンター統合を作成する (オプション)」を参照してください。

7. [ディレクトリ名] に、ディレクトリの一意の名前 (WorkSpacesDirectoryName など) を入力します。

   重要

   ディレクトリ名は、ステップ 3 で Microsoft Intune を使って作成した Autopilot デバイスグループの動的クエリを作成するのに使用される OrderID と一致している必要があります。ディレクトリ名の文字列は、個人用 WorkSpaces を Windows Autopilot に登録するときにグループタグとして使用されます。グループタグは、Microsoft Entra デバイスの OrderID 属性にマッピングされます。

8. （オプション）[Description] に、ディレクトリの説明を入力します。

9. [VPC] で、WorkSpaces の起動に使用した VPC を選択します。詳細については、「WorkSpaces Personal 用に VPC を設定する」を参照してください。

10. [サブネット] で、同じアベイラビリティーゾーンにない VPC の 2 つのサブネットを選択します。これらのサブネットは個人用 WorkSpaces の起動に使用されます。詳細については、「WorkSpaces Personal のアベイラビリティーゾーン」を参照してください。

    重要

    サブネットで起動された WorkSpaces にインターネットアクセスがあることを確認します。インターネットアクセスは、ユーザーが Windows デスクトップにログインするときに必要です。詳細については、「WorkSpaces Personal でのインターネットアクセス」を参照してください。

11. [設定] で、[専用 WorkSpace を有効化] を選択します。専用の WorkSpaces Personal ディレクトリを作成して、Windows 10 または 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces を起動するには、これを有効にする必要があります。

    注記

    [設定] に [専用 WorkSpace を有効化] オプションが表示されない場合、アカウントで BYOL が有効になっていません。アカウントで BYOL を有効にするには、「WorkSpaces で自分の Windows デスクトップライセンスを使用する」を参照してください。

12. (オプション) [タグ] で、ディレクトリ内の個人用 WorkSpaces に使用するキーペアの値を指定します。

13. ディレクトリの概要を確認し、[ディレクトリの作成] を選択します。ディレクトリが接続されるには数分かかります。ディレクトリの最初のステータスは Creating です。ディレクトリの作成が完了すると、ステータスが Active に変わります。

IAM アイデンティティセンターアプリケーションのユーザー割り当てを設定するには

1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. [AWS マネージドアプリケーション] タブで、WorkSpaces ディレクトリのアプリケーションを選択します。アプリケーション名は WorkSpaces.wsd-xxxxx の形式です。wsd-xxxxx は WorkSpaces ディレクトリ ID です。

3. [アクション]、[詳細を編集] の順に選択します。

4. [ユーザーとグループの割り当て方法] を、[割り当ては不要] から [割り当てが必要] に変更します。

5. [Save changes] (変更の保存) をクリックします。