翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# WorkSpaces Personal の使用と管理
<a name="managing-wsp-personal"></a>

WorkSpaces Personal では、個人に割り当てられた物理デスクトップコンピュータと同様に、高度にパーソナライズされた専用のデスクトップを必要とするユーザーに向けてカスタマイズされた永続的な仮想デスクトップをプロビジョニングします。

各 WorkSpace は、仮想プライベートクラウド (VPC) とディレクトリに関連付けられ、WorkSpace とユーザーの情報を保存して管理します。詳細については、「[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md)」を参照してください。ディレクトリは WorkSpaces サービス、または AWS Managed Microsoft AD とも呼ばれる Simple AD Directory Service、AD Connector、または AWS Directory Service for Microsoft Active Directory のいずれかのオプションを提供する によって管理されます。詳細については、[AWS Directory Service 管理ガイド](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/)を参照してください。

WorkSpaces は、IAM アイデンティティセンター (Amazon WorkSpaces によって管理されるディレクトリ用）、Simple AD、AD Connector、または AWS Managed Microsoft AD ディレクトリを使用してユーザーを認証します。ユーザーは、サポートされているデバイスからクライアントアプリケーションを使用するか、Windows WorkSpaces の場合はウェブブラウザから、WorkSpaces にアクセスし、ディレクトリの認証情報を使用してログインします。ログイン情報は認証ゲートウェイに送信され、認証ゲートウェイはトラフィックを WorkSpace のディレクトリに転送します。ユーザーが認証されると、ストリーミングゲートウェイを介してトラフィックのストリーミングが開始されます。

クライアントアプリケーションは、すべての認証およびセッション関連情報に対して、ポート 443 でHTTPSを使用します。クライアントアプリケーションは、WorkSpace へのピクセルストリーミングにポート 4172 (PCoIP) または 4195 (DCV) を使用し、ネットワークのヘルスチェックにポート 4172 と 4195 を使用します。詳細については、「[クライアントアプリケーションのポート](workspaces-port-requirements.md#client-application-ports)」を参照してください。

各 WorkSpace には、管理およびストリーミング用 (eth0) とプライマリネットワークインターフェイス (eth1) という 2 つの Elastic Network Interface が関連付けられています。プライマリネットワークインターフェイスでは、VPC によって提供された IP アドレスが、ディレクトリで使用されているのと同じサブネットから取得されます。これにより、WorkSpace からのトラフィックが簡単にディレクトリに到達できるようになります。VPC 内のリソースへのアクセスは、プライマリネットワークインターフェイスに割り当てられたセキュリティグループによって制御されます。詳細については、「[ネットワークインターフェイス](workspaces-port-requirements.md#network-interfaces)」を参照してください。

AD Connector を使用する WorkSpaces のアーキテクチャを次の図に示します。

![\[WorkSpaces architecture diagram showing user connections, gateways, and AWS のサービス integration.\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/architectural-diagram-new-2.png)


# WorkSpaces Personal で WorkSpace を作成するときのオプション
<a name="how-to-start"></a>

WorkSpace を作成するには、いくつかの方法があります。Quick Setup の手順や詳細設定の手順を使用できるほか、次のオプションから選択することもできます。
+ [WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリを作成する](launch-workspace-microsoft-ad.md)
+ [WorkSpaces Personal で Simple AD ディレクトリを作成する](launch-workspace-simple-ad.md)
+ [WorkSpaces Personal の AD Connector を作成する](launch-workspace-ad-connector.md)
+ [WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリとオンプレミスドメインの間の信頼関係を作成する](launch-workspace-trusted-domain.md)
+ [WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する](launch-entra-id.md)
+ [WorkSpaces Personal で専用のカスタムディレクトリを作成する](launch-custom.md)

## WorkSpaces Personal の使用を開始する
<a name="getting-started"></a>

WorkSpaces を初めて使用するユーザーは、Quick Setup または詳細設定で WorkSpaces Personal を設定できます。以下のチュートリアルでは、WorkSpaces と Directory Serviceを使用して *WorkSpace* と呼ばれるクラウドベースのデスクトップをプロビジョニングする方法について説明します。

**注記**  
WorkSpaces Pools の使用を開始する場合は、「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」を参照してください。

### WorkSpaces Personal の Quick Setup
<a name="getting-started-quick-setup"></a>

このチュートリアルでは、WorkSpaces と Directory Serviceを使用して、クラウドベースの Microsoft Windows、Amazon Linux 2、Ubuntu Linux、Rocky Linux、または Red Hat Enterprise Linux デスクトップ (*WorkSpace* とも呼ばれます) をプロビジョニングする方法を説明します。

このチュートリアルでは、Quick Setup オプションを使用して WorkSpace を起動します。このオプションは、WorkSpace を起動したことがない場合にのみ使用できます。または「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください｡

**注記**  
この Quick Setup オプションとチュートリアルは、WorkSpaces Pools には適用されません。

**注記**  
クイックセットアップは、次の AWS リージョンでサポートされています。  
米国東部 (バージニア北部)
米国西部 (オレゴン)
欧州 (アイルランド)
アジアパシフィック (シンガポール)
アジアパシフィック (シドニー)
アジアパシフィック (東京)
リージョンを変更するには、「[リージョンの選択](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)」を参照してください。

**Topics**
+ [開始する前に](#quick-setup-prereqs)
+ [Quick Setup の機能](#quick-setup-what-it-does)
+ [ステップ 1: WorkSpace の起動](#quick-setup-launch-workspace)
+ [ステップ 2: WorkSpace に接続する](#quick-setup-connect-workspace)
+ [ステップ 3: クリーンアップする (オプション)](#quick-setup-clean-up)
+ [次のステップ](#quick-setup-next-steps)

#### 開始する前に
<a name="quick-setup-prereqs"></a>

開始する前に、以下の前提条件を満たしていることを確認してください。
+ WorkSpace を作成または管理する AWS アカウントが必要です。ユーザーは、WorkSpaces に接続して使用するために AWS アカウントを必要としません。
+ WorkSpaces はすべてのリージョンで利用できるわけではありません。サポートされているリージョンを確認し、WorkSpaces の[リージョンを選択します](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)。サポートされているリージョンの詳細については、「[WorkSpaces AWS のリージョン別の料金](https://aws.amazon.com/workspaces/pricing/#Amazon_WorkSpaces_Pricing_by_AWS_Region)」を参照してください。

また、次に進む前に、以下について確認して理解しておくことが有益です。
+ WorkSpace を起動するときは、WorkSpace バンドルを選択する必要があります。詳細については、「[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)」および「[Amazon WorkSpaces の料金](https://aws.amazon.com/workspaces/pricing/)」を参照してください。
+ WorkSpace を起動するときは、バンドルで使用するプロトコル (PCoIP または DCV) を選択する必要があります。詳細については、「[WorkSpaces Personal のプロトコル](amazon-workspaces-networking.md#amazon-workspaces-protocols)」を参照してください。
+ WorkSpace を起動するときは、ユーザー名や E メールアドレスなどの、ユーザーのプロファイル情報を指定する必要があります。パスワードを指定してプロファイルを完成させます。WorkSpace とユーザーに関する情報はディレクトリに保存されます。詳細については、「[WorkSpaces Personal のディレクトリを管理する](manage-workspaces-directory.md)」を参照してください

#### Quick Setup の機能
<a name="quick-setup-what-it-does"></a>

Quick Setup が、代わりに次のタスクを完了します。
+ **IAM ロールを作成**して、WorkSpaces サービスが Elastic Network Interface を作成し、WorkSpaces ディレクトリの一覧を表示できるようにします。そのロールには、`workspaces_DefaultRole` という名前が付きます。
+ **仮想プライベートクラウド (VPC) を作成します。**代わりに既存の VPC を使用する場合は、[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md) に記載されている要件を満たしていることを確認し、[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md) に記載されているいずれかのチュートリアルの手順に従います。使用する Active Directory のタイプに対応するチュートリアルを選択します。
+ VPC で **Simple AD ディレクトリを設定**し、WorkDocs に対して有効にします。この Simple AD ディレクトリは、ユーザーと WorkSpace 情報を格納するために使用されます。クイックセットアップによって最初に AWS アカウント 作成されるのは管理者です AWS アカウント。† ディレクトリには管理者アカウントもあります。詳細については、*AWS Directory Service 管理ガイド*の「[作成されるもの](https://docs.aws.amazon.com/)」を参照してください。
+ **指定された AWS アカウント を作成し、 ディレクトリに追加します**。
+ **WorkSpacesを作成します**。各 WorkSpace には、インターネットアクセスを提供するためのパブリック IP アドレスが割り当てられます。実行モードは常時オンです。詳細については、「[WorkSpaces Personal の実行モードを管理する](running-mode.md)」を参照してください
+ **指定されたユーザーに招待 E メールを送信します**。ユーザが招待メールを受信しない場合は、[招待 E メールの送信](manage-workspaces-users.md#send-invitation) を参照してください。

† クイックセットアップによって最初に AWS アカウント 作成されるのは管理者 です AWS アカウント。WorkSpaces コンソール AWS アカウント からこれを更新することはできません。このアカウントの情報は、他の誰とも共有しないでください。WorkSpaces を使用するように他のユーザーを招待するには、新しいユーザー AWS アカウント を作成します。

#### ステップ 1: WorkSpace の起動
<a name="quick-setup-launch-workspace"></a>

Quick Setup を使用すると、最初の WorkSpace を数分で起動できます。

**WorkSpace を起動するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. [**Quick setup (クイック設定)**] を選択します。このボタンが表示されない場合は、このリージョンで既に WorkSpace を起動しているか、[Quick Setup をサポートするリージョン](#quick-setup-regions)を使用していないかのいずれかです。この場合は、[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md) を参照してください。  
![\[Amazon WorkSpaces dashboard showing service description and setup options.\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/quick-setup.png)

1. **[ユーザーの特定]** で **[ユーザーネーム]**、**[名]**、**[姓]**、**[E メール]** を入力します。次いで、**[次へ]** を選択します。
**注記**  
WorkSpaces を初めて使用する場合は、テスト目的でユーザを作成してみることをお勧めします。  
![\[User creation form for WorkSpaces with fields for username, first name, last name, and email.\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/identify-users.png)

1. **[バンドル]** で、該当するプロトコル (PCoIP または DCV) を使用するユーザーのバンドル (ハードウェアおよびソフトウェア) を選択します。Amazon WorkSpaces で利用できるさまざまなパブリックバンドルの詳細については、[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)を参照してください。  
![\[WorkSpaces bundle selection interface showing various Amazon Linux and Windows options with storage specifications.\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/select-bundle.png)

1. 情報を確認します。次に、**[Create WorkSpace]** (WorkSpace の作成) を選択します。

1. WorkSpace が起動するまでに約 20 分かかります。進行状況を監視するには、左側のナビゲーションペインに移動して [**ディレクトリ**] を選択します。ディレクトリが作成され、初期ステータスが `REQUESTED` と `CREATING` のディレクトリが表示されます。

   ディレクトリが作成され、ステータスが `ACTIVE` になったら、左側のナビゲーションペインで [**WorkSpaces**] を選択して、WorkSpace 起動プロセスの進行状況を監視できます。WorkSpace の最初のステータスは `PENDING` です。起動が完了すると、ステータスは `AVAILABLE` になり、各ユーザーに指定した E メールアドレスに招待状が送信されます。ユーザが招待メールを受信しない場合は、[招待 E メールの送信](manage-workspaces-users.md#send-invitation) を参照してください。

#### ステップ 2: WorkSpace に接続する
<a name="quick-setup-connect-workspace"></a>

招待メールを受け取ったら、選択したクライアントを使用して WorkSpace に接続できます。サインインすると、クライアントは WorkSpace デスクトップを表示します。

**WorkSpace に接続するには**

1. ユーザーの認証情報を設定していない場合は、招待メールのリンクを開き、指示に従います。WorkSpace に接続するために必要なパスワードを覚えておいてください。
**注記**  
パスワードは大文字と小文字が区別され、8〜64 文字の長さにする必要があります。パスワードには、小文字 (a〜z)、大文字 (A〜Z)、数字 (0〜9) の 3 つのカテゴリの少なくとも 1 つの文字と、セット \$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/ が含まれていなければなりません。

1. 各クライアントの要件の詳細については、*Amazon WorkSpaces ユーザーガイド*の [WorkSpaces クライアント](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)を確認し、次のいずれかの操作を行います。
   + プロンプトが表示されたら、クライアントアプリケーションの 1 つをダウンロードするか、**Web Access** を起動します。
   + プロンプトが表示されず、まだクライアントアプリケーションをインストールしていない場合は、[https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) を開き、いずれかのクライアントアプリケーションをダウンロードするか、**ウェブアクセス**を起動します。
**注記**  
ウェブブラウザ (Web Access) を使用して Amazon Linux WorkSpaces に接続することはできません。

1. クライアントを起動し、招待 E メールから登録コードを入力して、[**Register**] を選択します。

1. サインインするように求められたら、サインイン認証情報を入力し、**[Sign In]** (サインイン) を選択します。

1. （オプション）資格情報を保存するかどうかを確認するメッセージが表示されたら、[**Yes**] を選択します。

複数のモニターのセットアップや周辺機器の使用など、クライアントアプリケーションの使用方法の詳細については、*Amazon WorkSpaces ユーザーガイド*の[WorkSpaces クライアント](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)および[周辺機器のサポート](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html)を参照してください。

#### ステップ 3: クリーンアップする (オプション)
<a name="quick-setup-clean-up"></a>

このチュートリアルで作成した WorkSpace を終了した場合は、削除することができます。詳細については、「[WorkSpaces Personal で WorkSpace を削除する](delete-workspaces.md)」を参照してください

**注記**  
Simple AD は、WorkSpaces で無料でご利用になれます。Simple AD ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、[AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。  
空のディレクトリを削除するには、[WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md) を参照してください。Simple AD ディレクトリを削除した後に WorkSpaces を再度ご使用になる際は、いつでも新しいディレクトリを作成できます。

#### 次のステップ
<a name="quick-setup-next-steps"></a>

作成した WorkSpace は引き続きカスタマイズできます。たとえば、ソフトウェアをインストールして WorkSpace からカスタムバンドルを作成することができます。WorkSpaces および WorkSpaces ディレクトリに対してさまざまな管理タスクを実行することもできます。詳細については、次のドキュメントを参照してください。
+ [WorkSpaces Personal のカスタム WorkSpaces イメージとバンドルを作成する](create-custom-bundle.md)
+ [WorkSpaces Personal の管理](administer-workspaces.md)
+ [WorkSpaces Personal のディレクトリを管理する](manage-workspaces-directory.md)

追加の WorkSpaces を作成するには、次のいずれかの操作を行います。
+ Quick Setup で作成した VPC と Simple AD ディレクトリを引き続き使用する場合は、「Simple AD を使用して WorkSpace を起動する」チュートリアルの [WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md) セクションにあるステップに従い、追加ユーザー用の WorkSpaces を追加できます。
+ 別の種類のディレクトリ、または既存の Active Directory を使用する必要がある場合は、[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md) で関連チュートリアルを参照してください。

複数のモニターのセットアップや周辺機器の使用など、WorkSpaces クライアントアプリケーションの使用方法の詳細については、*Amazon WorkSpaces ユーザーガイド*の [WorkSpaces クライアント](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)および[周辺機器のサポート](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html)を参照してください。

### WorkSpaces Personal の詳細設定を開始する
<a name="getting-started-advanced"></a>

このチュートリアルでは、*WorkSpace* WorkSpacesおよび を使用して、WorkSpace と呼ばれる仮想クラウドベースの Microsoft Windows、Amazon Linux、Ubuntu Linux、または Red Hat Enterprise Linux デスクトップをプロビジョニングする方法について説明します Directory Service。

このチュートリアルでは、詳細設定オプションを使用して WorkSpace を起動します。

**注記**  
詳細設定は WorkSpaces のすべてのリージョンでサポートされています。

**Topics**
+ [[開始する前に]](#advanced-setup-prereqs)
+ [詳細設定を使用して WorkSpace を起動する](#advanced-setup-procedure)

#### [開始する前に]
<a name="advanced-setup-prereqs"></a>

開始する前に、WorkSpace の作成または管理に使用できる AWS アカウントがあることを確認してください。ユーザーは、WorkSpaces に接続して使用するために AWS アカウントを必要としません。

以下の概念を確認してから作業を進めてください。
+ WorkSpace を起動するときは、WorkSpace バンドルを選択する必要があります。詳細については、「[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)」を参照してください。
+ WorkSpace を起動するときは、バンドルで使用するプロトコル (PCoIP または DCV) を選択する必要があります。詳細については、「[WorkSpaces Personal のプロトコル](amazon-workspaces-networking.md#amazon-workspaces-protocols)」を参照してください。
+ WorkSpace を起動するときは、ユーザー名や E メールアドレスなどの、ユーザーのプロファイル情報を指定する必要があります。パスワードを指定してプロファイルを完成させます。WorkSpace とユーザーに関する情報はディレクトリに保存されます。詳細については、「[WorkSpaces Personal のディレクトリを管理する](manage-workspaces-directory.md)」を参照してください

#### 詳細設定を使用して WorkSpace を起動する
<a name="advanced-setup-procedure"></a>

**詳細設定を使用して WorkSpace を起動するには：**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. 次のいずれかのディレクトリタイプを選択してから、**[Next]** (次へ) をクリックします。
   + AWS Managed Microsoft AD
   + Simple AD
   + AD Connector

   

1. ディレクトリ情報の入力

1. 2 つの異なるアベイラビリティーゾーンのいずれかから VPC 内の 2 つのサブネットを選択します。詳細については、「[パブリックサブネットを持つ VPC の設定](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-vpc.html#configure-vpc-public-subnets)」を参照してください。

1. ディレクトリの情報を確認し、**[ディレクトリの作成]** を選択します。

# WorkSpaces Personal で WorkSpace を作成する
<a name="create-workspaces-personal"></a>

WorkSpaces を使用すると、*WorkSpaces* として知られている、ユーザー向けの仮想クラウドベースの Windows および Linux デスクトップを提供できます。

個人用 WorkSpace を作成する前に、次のいずれかを実行してディレクトリを作成します。
+ Simple AD ディレクトリを作成します。
+ Microsoft Active Directory 用の AWS Directory Service を作成します。これは AWS Managed Microsoft AD とも呼ばれます。
+ Active Directory Connector を使用して、既存の Active Directory に接続します。
+  AWS Managed Microsoft AD ディレクトリとオンプレミスドメイン間の信頼関係を作成します。
+ Microsoft Entra ID を (IAM アイデンティティセンター経由で) ID ソースとして使用する専用ディレクトリを作成します。ディレクトリ内の WorkSpaces は、Microsoft Windows Autopilot のユーザードリブンモードによってネイティブの Entra ID に参加し、Microsoft Intune に登録されます。
**注記**  
このようなディレクトリは、現在、Windows 10 および 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces のみをサポートしています。
+ 任意の ID プロバイダーを (IAM アイデンティティセンター経由で) ID ソースとして使用する専用ディレクトリを作成します。ディレクトリ内の WorkSpaces は、Microsoft Windows Autopilot のユーザードリブンモードによってネイティブの Entra ID に参加し、Microsoft Intune に登録されます。
**注記**  
このようなディレクトリは、現在、Windows 10 および 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces のみをサポートしています。

ディレクトリを作成したら、個人用 WorkSpace を作成できます。

**個人用 WorkSpace を作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. **[WorkSpaces を起動]**、**[個人]** を選択します。

1. **[Workspaces の作成]** を選択します。

1. **[オンボーディング]** (オプション) で、**[お客様のユースケースに基づいた推奨事項]**を選択すると、使用する WorkSpace のタイプに応じて推奨事項を取得できます。個人用 WorkSpaces を使用することがわかっている場合は、この手順を省略できます。

1. [**次へ**] を選択します。WorkSpaces が AD Connector を登録します。

1. **[WorkSpaces の設定]** で、次の情報を入力します。
   + **[バンドル]** で、WorkSpaces に使用するバンドルのタイプを以下から選択します。
     + **ベースの WorkSpaces バンドルを使用** - ドロップダウンからバンドルを 1 つ選択します。選択したバンドルタイプの詳細を確認するには、**[バンドルの詳細]** を選択します。プールに提供されるバンドルを比較するには、**[すべてのバンドルを比較]** を選択します。
     + **独自のカスタムバンドルまたは BYOL バンドルを使用** - 過去に作成したバンドルを選択します。カスタムバンドルを作成するには、「[WorkSpaces Personal のカスタム WorkSpaces イメージとバンドルを作成する](create-custom-bundle.md)」を参照してください。
**注記**  
各バンドルの推奨用途と仕様を確認して、ユーザーに最適なバンドルを選択できるようにしてください。各ユースケースの詳細については、「[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)」を参照してください。バンドルの仕様、推奨用途、および料金の詳細については、「[Amazon WorkSpaces の料金](https://aws.amazon.com/workspaces/pricing/)」を参照してください。
   + **[実行モード]** で、個人用 WorkSpaces をすぐに使用できるようにするかどうか、およびその支払い方法 (月単位または時間単位) を、以下から選択して設定します。
     + **AlwaysOn** — 月単位の固定料金で請求され、WorkSpaces を無制限に利用できます。このモードは、WorkSpace をプライマリデスクトップとしてフルタイムで使用するユーザーに最適です。
     + **AutoStop** — 時間単位で請求されます。このモードでは、WorkSpaces は指定された切断期間後に停止し、アプリケーションとデータの状態が保存されます。
   + **[タグ]** で、使用するキーペアの値を指定します。キーは、特定の関連値を持つ「プロジェクト」、「所有者」、「環境」などの一般的なカテゴリにすることができます。

1. **[ディレクトリを選択]** で、次の情報を入力します。
   + 作成したディレクトリを選択します｡ ディレクトリを作成するには、**[ディレクトリの作成]** を選択します。個人用ディレクトリを作成する方法の詳細については、「[WorkSpaces Personal に既存の Directory Service ディレクトリを登録する](register-deregister-directory.md)」を参照してください。
   + 以下を実行して、個人用 WorkSpaces をプロビジョニングするユーザーをそのディレクトリから選択します。

     1. **[ユーザーを作成]** を選択します。

     1. ユーザーの **[ユーザー名]**、**[名]**、**[姓]**、および **[E メール]** を入力します。ユーザーを追加するには、**[追加ユーザーの作成]** を選択し、情報を入力します。

1. **[カスタマイズ]** (オプション) で、すべてのユーザーまたは特定のユーザーのバンドル、ルートおよびユーザーボリュームの暗号化、ユーザーボリュームをカスタマイズできます。

1. [Workspaces の作成] を選択します。WorkSpace の最初のステータスは [PENDING] です。作成が完了すると、ステータスは [使用可能] になり、ユーザーに指定した E メールアドレスに招待状が送信されます。

1. 各ユーザーの E メールアドレスに招待状を送信します。詳細については、「[招待 E メールの送信](manage-workspaces-users.md#send-invitation)」を参照してください。
**注記**  
AD Connector または信頼関係を使用している場合、これらの招待状は自動的に送信されません。
ユーザーが既に Active Directory に存在する場合、招待メールは送信されません。代わりに、ユーザーに招待メールを手動で送信してください。詳細については、「[招待 E メールの送信](manage-workspaces-users.md#send-invitation)」を参照してください。
すべてのリージョンで、招待メールのテキストは英語 (米国) です。次のリージョンでは、英語テキストの前に以下の第 2 言語が付きます。  
アジアパシフィック (ソウル): 韓国語
アジアパシフィック (東京): 日本語
カナダ (中部): フランス語 (カナダ)
中国 (寧夏): 簡体字中国語

## WorkSpace に接続する
<a name="connect-workspace-ad-connector"></a>

任意のクライアントを使用して WorkSpace に接続できます。サインインすると、クライアントは WorkSpace デスクトップを表示します。

**WorkSpace に接続するには**

1. 招待メールでリンクを開きます。

1. 各クライアントの要件の詳細については、*Amazon WorkSpaces ユーザーガイド*の [WorkSpaces クライアント](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)を確認し、次のいずれかの操作を行います。
   + プロンプトが表示されたら、クライアントアプリケーションの 1 つをダウンロードするか、Web Access を起動します。
   + プロンプトが表示されず、まだクライアントアプリケーションをインストールしていない場合は、[https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) を開き、いずれかのクライアントアプリケーションをダウンロードするか、Web Access を起動します。
**注記**  
ウェブブラウザ (Web Access) を使用して Amazon Linux WorkSpaces に接続することはできません。

1. クライアントを起動し、招待 E メールから登録コードを入力して、[**Register**] を選択します。

1. サインインするように求められたら、ユーザーのサインイン認証情報を入力し、**[Sign In]** (サインイン) を選択します。

1. （オプション）資格情報を保存するかどうかを確認するメッセージが表示されたら、[**Yes**] を選択します。

**注記**  
AD Connector を使用しているため、ユーザーは自分のパスワードをリセットできません。([**パスワードを忘れた場合**] オプションは、WorkSpaces クライアントアプリケーションのログイン画面では使用できません。) ユーザーパスワードをリセットする方法については、[WorkSpaces Personal で Active Directory 管理ツールを設定する](directory_administration.md) を参照してください。

## 次のステップ
<a name="next-steps-ad-connector"></a>

作成した WorkSpace は引き続きカスタマイズできます。たとえば、ソフトウェアをインストールして WorkSpace からカスタムバンドルを作成することができます。WorkSpaces および WorkSpaces ディレクトリに対してさまざまな管理タスクを実行することもできます。WorkSpace の処理が終了したら、それを削除できます。詳細については、次のドキュメントを参照してください。
+ [WorkSpaces Personal のカスタム WorkSpaces イメージとバンドルを作成する](create-custom-bundle.md)
+ [WorkSpaces Personal の管理](administer-workspaces.md)
+ [WorkSpaces Personal のディレクトリを管理する](manage-workspaces-directory.md)
+ [WorkSpaces Personal で WorkSpace を削除する](delete-workspaces.md)

複数のモニターのセットアップや周辺機器の使用など、WorkSpaces クライアントアプリケーションの使用方法の詳細については、*Amazon WorkSpaces ユーザーガイド*の [WorkSpaces クライアント](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)および[周辺機器のサポート](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html)を参照してください。

# WorkSpaces Personal のネットワークプロトコルとアクセス
<a name="amazon-workspaces-networking"></a>

WorkSpace 管理者は、WorkSpaces のネットワークとアクセスの管理方法を理解しておく必要があります。まずは、プロトコルから見ていきましょう。

## WorkSpaces Personal のプロトコル
<a name="amazon-workspaces-protocols"></a>

Amazon WorkSpaces は PCoIP と DCV の 2 つのプロトコルをサポートしています。選択するプロトコルは、ユーザーが WorkSpaces にアクセスする際に使用するデバイスの種類、WorkSpaces 上のオペレーティングシステム、ユーザーのネットワーク条件、ユーザーが双方向の動画サポートを必要としているかどうかなど、いくつかの要因によって決まります。

### 要件
<a name="w2aac11c23b5b5"></a>

DCV WorkSpaces は、以下の最小要件でのみサポートされます。

ホストエージェントの要件:
+ Windows ホストエージェントバージョン 2.0.0.312 以降
+ Ubuntu ホストエージェントバージョン 2.1.0.501 以降
+ Amazon Linux 2 ホストエージェントバージョン 2.0.0.596 以降
+ Rocky Linux ホストエージェント、バージョン 2.1.0.1628 以降
+ Red Hat Enterprise Linux ホストエージェントバージョン 2.1.0.1628 以降

クライアント要件:
+ Windows ネイティブクライアントバージョン 5.1.0.329 またはそれ以降
+ macOS ネイティブクライアントバージョン 5.5.0 以降
+ Ubuntu 22.04 クライアントバージョン 2024.x 以降
+ Amazon WorkSpaces シンクライアント (詳細については、[Amazon WorkSpaces シンクライアントドキュメント](https://docs.aws.amazon.com/workspaces-thin-client/)を参照してください)
+ Web Access

WorkSpace クライアントのバージョンとホストエージェントのバージョンを確認する方法の詳細については、「[よくある質問](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20How%20do%20I%20find%20my%20WSP%20host%20agent%20version%3F)」を参照してください。

### DCV を使用する場合
<a name="w2aac11c23b5b7"></a>
+ エンドユーザーのネットワーク状態をサポートするために、損失/レイテンシーの許容値を高くする必要がある場合。例えば、グローバルに WorkSpaces にアクセスしているユーザーや、信頼性の低いネットワークを使用しているユーザーがいる場合です。
+ ユーザーがスマートカードで認証したり、セッション内でスマートカードを使用したりする必要がある場合。
+ セッション内でウェブカメラサポート機能が必要な場合。
+ Windows Server 2022 または Windows Server 2025 搭載の WorkSpaces バンドルで Web Access を使用する必要がある場合。
+ Ubuntu WorkSpaces を使用する必要がある場合。
+ Windows 11 BYOL WorkSpaces を使用する必要がある場合。
+ Windows で GPU 対応 WorkSpaces バンドルを使用する必要がある場合。
+ Windows GPU ベースのバンドル (Graphics.g6、Graphics.g4dn、GraphicsPro.g4dn) または Ubuntu GPU ベースのバンドル (Graphics.g4dnGraphicsPro.g4dn). を使用する必要がある場合。
+ YubiKey や Windows Hello などの WebAuthn 認証ツールを使用してセッション内でユーザー認証を行う必要がある場合。

### PCoIP を使用すべき場合
<a name="w2aac11c23b5b9"></a>
+ iPad または Android の Linux クライアントを使用する場合。
+ Teradici ゼロクライアントデバイスを使用する場合。
+ スマートカード以外のユースケースに Linux バンドルを使用する必要がある場合。
+ 中国 (寧夏) リージョンで WorkSpaces を使用する必要がある場合。

**注記**  
ディレクトリには、PCoIP WorkSpaces と DCV WorkSpaces を混在させることができます。
2 つの WorkSpaces が別々のディレクトリにある場合に限り、ユーザーは PCoIP WorkSpace と DCV WorkSpace の両方を持つことができます。同じユーザーが PCoIP WorkSpace と DCV WorkSpace を同じディレクトリ内に持つことはできません。ユーザーのための複数の WorkSpaces の作成の詳細については、[WorkSpaces Personal で 1 人のユーザーに対して複数の WorkSpaces を作成する](create-multiple-workspaces-for-user.md) を参照してください。
WorkSpaces 移行機能を使用して、2 つのプロトコル間で WorkSpace を移行できます。これを実行するためには、WorkSpace の再構築が必要です。詳細については、「[WorkSpaces Personal で WorkSpace を移行する](migrate-workspaces.md)」を参照してください。
WorkSpace を PCoIP バンドルで作成した場合は、ルートボリュームを保持したまま、再構築することなく 2 つのプロトコル間で移行するようにストリーミングプロトコルを変更できます。詳細については、「[プロトコルの変更](https://docs.aws.amazon.com/workspaces/latest/adminguide/modify-workspaces.html#modify_protocols)」を参照してください。
ビデオ会議を最大限に活用するには、Power、PowerPro、GeneralPurpose.4xlarge、または GeneralPurpose.8xlarge バンドルのみを使用することをお勧めします。

以降のトピックでは、WorkSpaces Personal のネットワークとアクセスを管理する方法について詳しく説明します。

# WorkSpaces Personal 用に VPC を設定する
<a name="amazon-workspaces-vpc"></a>

WorkSpaces は、仮想プライベートクラウド (VPC) で WorkSpaces を起動します。

WorkSpaces 用の 2 つのプライベートサブネットと、パブリックサブネット内の NAT ゲートウェイを持つ VPC を作成できます。または、WorkSpaces の 2 つのパブリックサブネットを持つ VPC を作成し、各 WorkSpace にパブリック ID アドレスまたは Elastic IP アドレスを関連付けることもできます。

VPC 設計の考慮事項の詳細については、「[Best Practices for VPCs and Networking in Amazon WorkSpaces Deployments](https://d1.awsstatic.com/whitepapers/best-practices-vpcs-networking-amazon-workspaces-deployments.pdf)」および「[Best Practices for Deploying WorkSpaces - VPC Design](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/vpc-design.html)」を参照してください。

**Topics**
+ [要件](#configure-vpc-requirements)
+ [プライベートサブネットの VPC および NAT ゲートウェイを設定する](#configure-vpc-nat-gateway)
+ [パブリックサブネットを持つ VPC を設定する](#configure-vpc-public-subnets)

## 要件
<a name="configure-vpc-requirements"></a>

VPC のサブネットは、WorkSpaces を起動するリージョンの異なるアベイラビリティーゾーンに存在する必要があります。アベイラビリティーゾーンとは、他のアベイラビリティーゾーンで発生した障害から切り離すために作られた場所です。個別のアベイラビリティーゾーンでインスタンスを起動することにより、1 つの場所で発生した障害からアプリケーションを保護できます。各サブネットが完全に 1 つのアベイラビリティーゾーン内に含まれている必要があります。1 つのサブネットが複数のゾーンにまたがることはできません。

**注記**  
Amazon WorkSpaces は、サポートされる各リージョンのアベイラビリティーゾーンのサブセットで利用できます。WorkSpaces で使用している VPC のサブネットに使用できるアベイラビリティーゾーンを確認するには、[WorkSpaces Personal のアベイラビリティーゾーン](azs-workspaces.md) を参照してください。

## プライベートサブネットの VPC および NAT ゲートウェイを設定する
<a name="configure-vpc-nat-gateway"></a>

 Directory Service を使用して AWS Managed Microsoft または Simple AD を作成する場合は、1 つのパブリックサブネットと 2 つのプライベートサブネットで VPC を設定することをお勧めします。プライベートサブネットで WorkSpace を起動するようにディレクトリを設定します。プライベートサブネット内の WorkSpaces にインターネットアクセスを提供するには、パブリックサブネットに NAT ゲートウェイを設定します。

![\[WorkSpaces VPC の設定\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/vpc-configuration-new.png)


**1 つのパブリックサブネットと、2 つのプライベートサブネットを作成するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. **[Create VPC（VPC の作成）]** を選択します。

1. **Resources to create** (作成するリソース) で、**VPC only** (VPC など) を選択します。

1. [**名前タグの自動生成**] に、VPC の名前を入力します。

1. サブネットを設定するには、次の操作を行います。

   1. [**アベイラビリティーゾーンの数**] で、ニーズに応じて [**1**] または [**2**] を選択します。

   1. [**AZ のカスタマイズ**] を展開し、アベイラビリティーゾーンを選択します。それ以外の場合は、 によって自動的に AWS 選択されます。適切な選択を行う方法については、「[WorkSpaces Personal のアベイラビリティーゾーン](azs-workspaces.md)」を参照してください。

   1. [**パブリックサブネットの数**] で、アベイラビリティーゾーンごとに 1 つのパブリックサブネットがあることを確認します。

   1. [**プライベートサブネットの数**] で、アベイラビリティーゾーンごとに 1 つのプライベートサブネットがあることを確認します。

   1. 各サブネットの CIDR ブロックに入力します。詳細については、*Amazon VPC ユーザーガイド*の「[サブネットのサイズ設定](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing)」を参照してください。

1. [**NAT ゲートウェイ**] には、[**1 per AZ**] (AZ あたり 1)を選択します。

1. **[Create VPC（VPC の作成）]** を選択します。

**IPv6 CIDR ブロック**  
IPv6 CIDR ブロックを VPC とそのサブネットに関連付け、新しく起動したインスタンスに IPv6 アドレスを自動的に割り当てるようにサブネットを設定できます。お客様が作成したサブネットの場合、IPv6 アドレスの自動割り当てはデフォルトで無効になっています。Amazon VPC コンソールでこの設定を表示または更新するには、ナビゲーションペインで「サブネット」を選択し、ターゲットサブネットを選択し、**「アクション**」、**「自動割り当て IP 設定の変更**」を選択します。

## パブリックサブネットを持つ VPC を設定する
<a name="configure-vpc-public-subnets"></a>

必要に応じて、2 つのパブリックサブネットを持つ VPC を作成できます。パブリックサブネット内の WorkSpaces へのインターネットアクセスを提供するには、ディレクトリを設定して Elastic IP アドレスを自動的に割り当てるか、手動で各 WorkSpace に Elastic IP アドレスを割り当てます。

**Topics**
+ [ステップ 1: VPC を作成する](#create-vpc-public-subnet)
+ [ステップ 2: WorkSpaces にパブリック IP アドレスを割り当てる](#assign-eip)

### ステップ 1: VPC を作成する
<a name="create-vpc-public-subnet"></a>

次のように、1 つのパブリックサブネットを持つVPCを作成します。

**VPC を作成するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. **[Create VPC（VPC の作成）]** を選択します。

1. **Resources to create** (作成するリソース) で、**VPC only** (VPC など) を選択します。

1. [**名前タグの自動生成**] に、VPC の名前を入力します。

1. サブネットを設定するには、次の操作を行います。

   1. [**アベイラビリティゾーンの数**] で、[**2**] を選択します。

   1. [**AZ のカスタマイズ**] を展開し、アベイラビリティーゾーンを選択します。それ以外の場合は、 によって自動的に AWS 選択されます。適切な選択を行う方法については、「[WorkSpaces Personal のアベイラビリティーゾーン](azs-workspaces.md)」を参照してください。

   1. **[Number of public subnets]** (パブリックサブネットの数) で **2** を選択します。

   1. **[Number of private subnets]** (プライベートサブネットの数) には、**[0]** を選択します。

   1. パブリックサブネットごとに CIDR ブロックを入力します。詳細については、*Amazon VPC ユーザーガイド*の「[サブネットのサイズ設定](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing)」を参照してください。

1. **[Create VPC（VPC の作成）]** を選択します。

**IPv6 CIDR ブロック**  
IPv6 CIDR ブロックを VPC とそのサブネットに関連付け、新しく起動したインスタンスに IPv6 アドレスを自動的に割り当てるようにサブネットを設定できます。お客様が作成したサブネットの場合、IPv6 アドレスの自動割り当てはデフォルトで無効になっています。Amazon VPC コンソールでこの設定を表示または更新するには、ナビゲーションペインでサブネットを選択し、ターゲットサブネットを選択し、**アクション**、**自動割り当て IP 設定の変更**を選択します。

### ステップ 2: WorkSpaces にパブリック IP アドレスを割り当てる
<a name="assign-eip"></a>

パブリック IP アドレスは、WorkSpaces に自動または手動で割り当てることができます。自動割り当てを使用するには、[WorkSpaces Personal の自動パブリック IP アドレスを設定する](automatic-assignment.md) を参照してください。パブリック IP アドレスを手動で割り当てるには、以下の手順を使用します。

**WorkSpace にパブリック IP アドレスを手動で割り当てるには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpace の行を展開 (矢印アイコンを選択) し、[**WorkSpace IP**] の値を書き留めます。これは WorkSpaceのプライマリプライベート IP アドレスです。

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで [**Elastic IP**] を選択してください。使用可能な Elastic IP アドレスがない場合は、[**Allocate Elastic IP address**] (Elastic IP アドレスの割り当て) を選択し、[**Amazon's pool of IPv4 addresses**] (Amazon の IPv4 アドレスプール) または [**Customer owned pool of IPv4 addresses**] (顧客所有の IPv4 アドレスのプール) を選択し、[**Allocate**] (割り当て) を選択します。新しい IP アドレスを書き留めます。

1. ナビゲーションペインで、[**Network Interfaces**] を選択してください。

1. WorkSpace のネットワークインターフェイスを選択します。WorkSpace のネットワークインターフェイスを検索するには、検索ボックスに [**WorkSpace IP**] 値 (前に書き留めた値) を入力し、**Enter** キーを押します。[**WorkSpace IP**] の値は、ネットワークインターフェイスのプライマリプライベート IPv4 IP アドレスと一致します。ネットワークインターフェイスの VPC ID 値は、WorkSpaces VPC の ID と一致することに注意してください。

1. [**Actions**]、[**Manage IP Addresses**] の順に選択します。[**Assign new IP (新しい IP を割り当てる)**] を選択し、[**Yes, Update (はい、更新します)**] を選択します。新しい IP アドレスを書き留めます。

1. [**Actions**]、[**Associate Address**] の順に選択します。

1. [**Associate Elastic IP Address (Elastic IP アドレスを関連付ける)**] ページで、[**Address (アドレス)**] から Elastic IP アドレスを選択します。[**Associate to private IP address (プライベート IP アドレスに関連付ける)**] で、新しいプライベート IP アドレスを指定し、[**Associate Address (アドレスを関連付ける)**] を選択します。

# WorkSpaces パーソナルの AWS Global Accelerator (AGA) を設定する
<a name="amazon-workspaces-aga"></a>

AWS Global Accelerator (AGA) は、WorkSpaces ディレクトリレベルまたは DCV プロトコルを実行している個々の WorkSpaces で有効にできます。有効にすると、サービスはストリーミングトラフィックを最も近い AWS エッジロケーションと AWS グローバルネットワーク経由で自動的にルーティングします。このグローバルネットワークは輻輳がなく冗長性が保たれています。これにより、より応答性が高く安定したストリーミングエクスペリエンスを実現できます。WorkSpaces サービスは AGA の使用を完全に管理し、アウトバウンドデータボリュームの制限の対象となります。

**Topics**
+ [要件](#configure-aga-requirements)
+ [制限](#configure-aga-limitations)
+ [アウトバウンドデータの制限](#configure-aga-outbound-data-limits)
+ [WorkSpaces ディレクトリの AGA を有効にする](#enabling-aga-directory)
+ [個々の WorkSpaces の AGA を有効にする](#enabling-aga-individual)

## 要件
<a name="configure-aga-requirements"></a>
+ WorkSpaces は、専用の AWS Global Accelerator (AGA) エンドポイントにさまざまなパブリック IPv4 アドレスを使用します。AGA 経由で WorkSpaces にアクセスするデバイスのファイアウォールポリシーを必ず設定してください。AGA エンドポイントがファイアウォールによってブロックされている場合、WorkSpaces ストリーミングトラフィックは AGA 経由でルーティングされません。各 AWS リージョンの AGA エンドポイント IP 範囲の詳細については、「[DCV ゲートウェイサーバー](workspaces-port-requirements.md#gateway_WSP)」を参照してください。
+ AGA 経由で WorkSpaces にアクセスするには、ユーザーは WorkSpaces クライアントバージョン 5.23 以降を使用する必要があります。

## 制限
<a name="configure-aga-limitations"></a>
+ DCV WorkSpaces に対してのみ AGA を有効にできます。WorkSpaces ディレクトリレベルで AGA を有効にすると、ディレクトリ内の DCV WorkSpaces にのみ適用されます。
+ FIPS と IP アクセスコントロールグループの両方が有効になっているディレクトリ (またはディレクトリ内の WorkSpaces) に対して AGA を有効にすることはできません。ディレクトリの AGA を有効にする前に、FIPS または IP アクセスコントロールグループを無効にする必要があります。

## アウトバウンドデータの制限
<a name="configure-aga-outbound-data-limits"></a>

WorkSpaces バンドルに適用されるデータボリュームの制限は次のとおりです。
+ **Value、Standard、Performance バンドル:** 1 ユーザーあたり 1 か月につき 20 GB の AGA アウトバウンドデータが含まれます。
+ **Power、PowerPro、Graphics バンドル:** 1 ユーザーあたり 1 か月につき 50 GB の AGA アウトバウンドデータが含まれます。

これらのアウトバウンドデータの制限は、WorkSpaces からストリーミングするユーザーのデータ使用量を対象とすることを目的としています。制限を超えると、WorkSpaces サービスは AGA の使用を制限し、ケースバイケースで WorkSpaces トラフィックを AGA からルーティングすることがあります。

## WorkSpaces ディレクトリの AGA を有効にする
<a name="enabling-aga-directory"></a>

AGA 設定は、ディレクトリレベルで設定できます。個々の WorkSpaces によって上書きされない限り、設定はディレクトリ内のすべての DCV WorkSpaces に適用されます。

**ディレクトリの AGA を有効にするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. **[ディレクトリ ID]** 列で、AGA 設定を構成するディレクトリのディレクトリ ID を選択します。

1. ディレクトリの詳細ページで、AWS Global Accelerator (AGA) 設定セクションまで下にスクロールし、**[編集]**を選択します。

1. 次に、**[AGA を有効にする (自動)]** を選択します。

1. **[AGA では常に TCP を使用]** がデフォルトで選択されます。選択を解除すると、WorkSpaces クライアントは、クライアントの DCV ストリーミングプロトコル設定に基づいて、TCP または UDP を AGA で使用するかどうかを判断します。

1. **[保存]** を選択します。

WorkSpaces ディレクトリの AGA を有効にすると、ディレクトリ内の DCV WorkSpaces は次のセッションからストリーミングに AGA を使用します。再起動は必要ありません。

## 個々の WorkSpaces の AGA を有効にする
<a name="enabling-aga-individual"></a>

個々の WorkSpaces の AGA 設定を構成できます。これにより、WorkSpaces が関連付けられているディレクトリから継承された設定が上書きされます。

**個々の WorkSpaces の AGA を有効にするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインの **[WorkSpaces]** で、**[個人]** を選択します。

1. **WorkSpace ID** 列で、AGA 設定を構成する WorkSpace の WorkSpace ID を選択します。

1. WorkSpaces の詳細ページで、AWS Global Accelerator (AGA) 設定セクションまで下にスクロールし、**[編集]**を選択します。

1. **[この WorkSpace の AGA 設定を手動で上書きする]** を選択します。

1. 次に、**[AGA を有効にする (自動)]** を選択します。

1. **[AGA では常に TCP を使用]** がデフォルトで選択されます。選択を解除すると、WorkSpaces クライアントは、クライアントの DCV ストリーミングプロトコル設定に基づいて、TCP または UDP を AGA で使用するかどうかを判断します。

1. **[保存]** を選択します。

# WorkSpaces Personal のアベイラビリティーゾーン
<a name="azs-workspaces"></a>

Amazon WorkSpaces で使用する仮想プライベートクラウド (VPC) を作成する場合、VPC のサブネットは WorkSpaces を起動するリージョンの異なるアベイラビリティーゾーンに存在する必要があります。アベイラビリティーゾーンとは、他のアベイラビリティーゾーンで発生した障害から切り離すために作られた場所です。個別のアベイラビリティーゾーンでインスタンスを起動することにより、1 つの場所で発生した障害からアプリケーションを保護できます。各サブネットが完全に 1 つのアベイラビリティーゾーン内に含まれている必要があります。1 つのサブネットが複数のゾーンにまたがることはできません。

アベイラビリティーゾーンは、リージョンコードとそれに続く文字識別子によって表されます (`us-east-1a` など)。リソースがリージョンの複数のアベイラビリティーゾーンに分散されるようにするために、アベイラビリティーゾーンは各 AWS アカウントの名前に個別にマッピングされます。例えば、`us-east-1a` アカウントのアベイラビリティーゾーン AWS の場所は、別の `us-east-1a` アカウントの AWS の場所と異なる可能性があります。

アカウント間でアベイラビリティーゾーンを調整するには、アベイラビリティーゾーンの一意で一貫性のある識別子である *AZ ID* を使用する必要があります。例えば、`use1-az2` は、`us-east-1` リージョンの AZ ID で、すべての AWS アカウントで同じ場所になります。

AZ ID を表示すると、あるアカウントのリソースの場所を別のアカウントのリソースに対して決定できます。たとえば、AZ ID `use1-az2` のアベイラビリティーゾーンにあるサブネットを別のアカウントと共有する場合、このサブネットは AZ ID が同じく `use1-az2` であるアベイラビリティーゾーンのそのアカウントでも利用できます。各 VPC とサブネットの AZ ID は Amazon VPC コンソールに表示されます。

Amazon WorkSpaces は、サポートされる各リージョンのアベイラビリティーゾーンのサブセットでのみ利用できます。次の表に、各リージョンで使用できる AZ ID を示します。アカウント内のアベイラビリティーゾーンへの AZ ID のマッピングを確認するには、*AWS RAM ユーザーガイド*の[リソースの AZ ID](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) を参照してください。


| リージョン名 | リージョンコード | サポートされる AZ ID | 
| --- | --- | --- | 
| 米国東部 (バージニア北部) | us-east-1 | use1-az2, use1-az4, use1-az6 | 
| 米国西部 (オレゴン) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 | 
| アジアパシフィック (ムンバイ) | ap-south-1 | aps1-az1, aps1-az2, aps1-az3 | 
| アジアパシフィック (ソウル) | ap-northeast-2 | apne2-az1, apne2-az3 | 
| アジアパシフィック (シンガポール) | ap-southeast-1 | apse1-az1, apse1-az2 | 
| アジアパシフィック (シドニー) | ap-southeast-2 | apse2-az1, apse2-az3 | 
| アジアパシフィック (東京) | ap-northeast-1 | apne1-az1, apne1-az4 | 
| カナダ (中部) | ca-central-1 | cac1-az1, cac1-az2 | 
| 欧州 (フランクフルト) | eu-central-1 | euc1-az2, euc1-az3 | 
| 欧州 (アイルランド) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 | 
| 欧州 (ロンドン) | eu-west-2 | euw2-az2, euw2-az3 | 
| 欧州 (パリ) | eu-west-3 | euw3-az1, euw3-az2, euw3-az3 | 
| 南米 (サンパウロ) | sa-east-1 | sae1-az1, sae1-az3 | 
| アフリカ (ケープタウン) | af-south-1 | afs1-az1, afs1-az2, afs1-az3 | 
| イスラエル (テルアビブ) | il-central-1 | ilc1-az1, ilc1-az2, ilc1-az3 | 
| AWS GovCloud (米国西部) | us-gov-west-1 | usgw1-az1, usgw1-az2, usgw1-az3 | 
| AWS GovCloud (米国東部) | us-gov-east-1 | usge1-az1, usge1-az2, usge1-az3 | 

アベイラビリティーゾーンと AZ ID の詳細については、「*Amazon EC2 ユーザーガイド*」で[リージョン、アベイラビリティーゾーン、およびローカルゾーン](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html)の説明を参照してください。

# WorkSpaces Personal の IP アドレスとポートの要件
<a name="workspaces-port-requirements"></a>

WorkSpaces に接続するには、WorkSpaces クライアントが接続されているネットワークで、さまざまな AWS サービス (サブセットにグループ化) の IP アドレス範囲に特定のポートが開いている必要があります。これらのアドレス範囲は AWS リージョンによって異なります。これらと同じポートが、クライアントで実行されているファイアウォールで開かれている必要があります。異なるリージョンの AWS IP アドレス範囲の詳細については、の[AWS 「IP アドレス範囲](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)」を参照してください*Amazon Web Services 全般のリファレンス*。

その他のアーキテクチャ図については、「[Amazon WorkSpaces のデプロイのベストプラクティス](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html)」を参照してください。

## クライアントアプリケーションのポート
<a name="client-application-ports"></a>

WorkSpaces クライアントアプリケーションは、次のポートでアウトバウンドのアクセスが必要です。

ポート 53 (UDP)  
このポートは、DNS サーバーにアクセスするために使用されます。クライアントがパブリックドメイン名を解決できるように、DNS サーバーの IP アドレスを公開している必要があります。ドメイン名の解決のために DNS サーバーを使用していない場合、このポート要件はオプションです。

ポート 443 (UDP と TCP)  
このポートは、クライアントアプリケーションの更新、登録、認証に使用されます。デスクトップクライアントアプリケーションはポート 443 (HTTPS) トラフィックのプロキシサーバーの使用をサポートします。プロキシサーバーの使用を有効にするには、クライアントアプリケーションを開き、[**Advanced Settings**] で、[**Use Proxy Server**] をオンにし、プロキシサーバーのアドレスとポートを指定して、[**Save**] を選択します。  
このポートは、次の IP アドレス範囲に開放する必要があります。  
+ `AMAZON` リージョンの `GLOBAL` サブセット。
+ WorkSpace が存在するリージョンの `AMAZON` サブセット。
+ `AMAZON` リージョンの `us-east-1` サブセット。
+ `AMAZON` リージョンの `us-west-2` サブセット。
+ `S3` リージョンの `us-west-2` サブセット。

ポート 4172 (UDP と TCP)  
このポートは、PCoIP WorkSpaces の WorkSpace デスクトップとヘルスチェックのストリーミングに使用します。このポートは、WorkSpace があるリージョンのヘルスチェックサーバーと PCoIP ゲートウェイに対して開く必要があります。詳細については、「[ヘルスチェックサーバー](#health_check)」および「[PCoIP ゲートウェイサーバー](#gateway_IP)」を参照してください。  
PCoIP WorkSpaces の場合、デスクトップクライアントアプリケーションは、UDP のポート 4172 トラフィック (デスクトップトラフィック) に対するプロキシサーバーの使用も、TLS の復号と検査もサポートしていません。ポート 4172 に直接接続する必要があります。

ポート 4195 (UDP と TCP)  
このポートは、DCV WorkSpaces の WorkSpace デスクトップとヘルスチェックのストリーミングに使用します。このポートは、WorkSpace があるリージョンの DCV ゲートウェイの IP アドレス範囲とヘルスチェックサーバーに対して開放する必要があります。詳細については、「[ヘルスチェックサーバー](#health_check)」および「[DCV ゲートウェイサーバー](#gateway_WSP)」を参照してください。  
DCV WorkSpaces の場合、WorkSpaces Windows クライアントアプリケーション (バージョン 5.1 以降) と macOS クライアントアプリケーション (バージョン 5.4 以降) は、ポート 4195 TCP トラフィックに対する HTTP プロキシサーバーの使用をサポートしていますが、プロキシの使用はお勧めしません。TLS の復号および検査はサポートしていません。詳細については、[Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy)、[Amazon Linux WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux)、および [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu) の「**インターネットアクセス用のデバイスプロキシサーバー設定を構成する**」を参照してください。

**注記**  
ファイアウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート (ダイナミックポートとも呼ばれる) が自動的に解放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポートを明示的に開放する必要があります。開く必要のある一時ポート範囲は、構成によって異なります。
プロキシサーバー機能は UDP トラフィックではサポートされていません。プロキシサーバーを使用する場合、クライアントアプリケーションが Amazon WorkSpaces サービスに対して行う API コールもプロキシされます。API コールとデスクトップトラフィックの両方が同じプロキシサーバーを通過する必要があります。
WorkSpaces クライアントアプリケーションは、パフォーマンスを最適化するために、まず UDP (QUIC) を使用してストリーミングを試みます。クライアントネットワークが TCP のみを許可する場合、TCP が使用されます。WorkSpaces ウェブクライアントは、TCP ポート 4195 または 443 経由で接続します。ポート 4195 がブロックされている場合、クライアントはポート 443 経由でのみ接続を試みます。

## Web Access のポート
<a name="web-access-ports"></a>

WorkSpaces Web Access は、次のポートでアウトバウンドアクセスする必要があります。

ポート 53 (UDP)  
このポートは、DNS サーバーにアクセスするために使用されます。クライアントがパブリックドメイン名を解決できるように、DNS サーバーの IP アドレスを公開している必要があります。ドメイン名の解決のために DNS サーバーを使用していない場合、このポート要件はオプションです。

ポート 80 (UDP と TCP)  
このポートは `https://clients.amazonworkspaces.com` への最初の接続に使用され、その後に HTTPS に切り替えられます。WorkSpace があるリージョンの `EC2` サブセット内の IP アドレス範囲をすべて開放する必要があります。

ポート 443 (UDP と TCP)  
このポートは、HTTPS を使用して登録および認証に使用されます。WorkSpace があるリージョンの `EC2` サブセット内の IP アドレス範囲をすべて開放する必要があります。

ポート 4195 (UDP と TCP)  
DCV 用に設定された WorkSpaces では、WorkSpaces デスクトップのストリーミングにこのポートが使用されます。このポートは、DCV ゲートウェイ の IP アドレス範囲に開放する必要があります。詳細については、「[DCV ゲートウェイサーバー](#gateway_WSP)」を参照してください。  
DCV の Web Access は、ポート 4195 の TCP トラフィックに対するプロキシサーバーの使用をサポートしていますが、お勧めしません。詳細については、[Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy)、[Amazon Linux WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux)、または [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu) の「**インターネットアクセス用のデバイスプロキシサーバー設定を構成する**」を参照してください。

**注記**  
ファイアウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート (ダイナミックポートとも呼ばれる) が自動的に解放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポートを明示的に開放する必要があります。解放する必要のある一時ポート範囲は、構成によって異なります。
WorkSpaces クライアントアプリケーションは、パフォーマンスを最適化するために、まず UDP (QUIC) を使用してストリーミングを試みます。クライアントネットワークが TCP のみを許可する場合、TCP が使用されます。WorkSpaces ウェブクライアントは、TCP ポート 4195 または 443 経由で接続します。ポート 4195 がブロックされている場合、クライアントはポート 443 経由でのみ接続を試みます。

通常、ウェブブラウザは、ストリーミングトラフィックに使用するために、高範囲のソースポートをランダムに選択します。WorkSpaces Web Access は、ブラウザが選択したポートを制御できません。このポートへのリターントラフィックが許可されていることを確認する必要があります。

## 許可リストに追加するドメインと IP アドレス
<a name="whitelisted_ports"></a>

WorkSpaces クライアントアプリケーションがサービスにアクセスできるようにするには、クライアントが WorkSpaces サービスにアクセスしようとしているネットワーク上の許可リストに、次のドメインと IP アドレスを追加する必要があります。


**許可リストに追加するドメインと IP アドレス**  

| カテゴリ | ドメインまたは IP アドレス | 
| --- | --- | 
| キャプチャ |  https://opfcaptcha-prod.s3.amazonaws.com/  | 
| クライアントの自動更新 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  |  https://fls-na.amazon.com/  | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| セッション前のスマートカード認証エンドポイント |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| ユーザーログインページ |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) https://*<directory ID>*.awsapps.com/ **<directory ID>** はお客様のドメインです。  AWS GovCloud (米国西部) および AWS GovCloud (米国東部) リージョンの場合: https://login.us-gov-home.awsapps.com/directory/*<directory ID>*/  **<directory ID>** はお客様のドメインです。  | 
| WS ブローカー |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| SAML シングルサインオン (SSO) 用の Workspaces エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**PCoIP の許可リストに追加するドメインと IP アドレス**  

| カテゴリ | ドメインまたは IP アドレス | 
| --- | --- | 
| PCoIP Session Gateway (PSG) | [PCoIP ゲートウェイサーバー](#gateway_IP) | 
| セッションブローカー（PCM） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| PCoIP のウェブアクセス TURN サーバー |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**DCV の許可リストに追加するドメインと IP アドレス**  

| Category | ドメインまたは IP アドレス | 
| --- | --- | 
| DCV セッションゲートウェイ (WSG) |  [DCV ゲートウェイサーバー](#gateway_WSP)  | 
| DCV の Web Access TURN サーバー |  [DCV ゲートウェイサーバー](#gateway_WSP)  | 

## ヘルスチェックサーバー
<a name="health_check"></a>

WorkSpaces クライアントアプリケーションは、ポート 4172 および 4195 でヘルスチェックを行います。これらのチェックで、TCP または UDP トラフィックが WorkSpaces サーバーからクライアントアプリケーションにストリーミングされるかどうかを検証します。これらのチェックが正常に完了するには、ファイアウォールポリシーで、以下のリージョン別ヘルスチェックサーバーの IP アドレスへのアウトバウンドトラフィックを許可する必要があります。


| リージョン | ヘルスチェックホスト名 | IP アドレス | 
| --- | --- | --- | 
| 米国東部 (バージニア北部) |  IPv4: drp-iad.amazonworkspaces.com IPv6: drp-workspaces.us-east-1.api.aws  |  IPv4: 3.209.215.252 3.212.50.30 3.225.55.35 3.226.24.234 34.200.29.95 52.200.219.150 IPv6: 2600:1f18:74e9:4400::/56  | 
| 米国西部 (オレゴン) |  IPv4: drp-pdx.amazonworkspaces.com IPv6: drp-workspaces.us-west-2.api.aws  |  IPv4: 34.217.248.177 52.34.160.80 54.68.150.54 54.185.4.125 54.188.171.18 54.244.158.140 IPv6: 2600:1f14:278e:5700::/56  | 
| アジアパシフィック (ムンバイ) |  IPv4: drp-bom.amazonworkspaces.com IPv6: drp-workspaces.ap-south-1.api.aws  |  IPv4: 13.127.57.82 13.234.250.73 IPv6: 2406:da1a:502:b800::/56  | 
| アジアパシフィック (ソウル) |  IPv4: drp-icn.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-2.api.aws  |  IPv4: 13.124.44.166 13.124.203.105 52.78.44.253 52.79.54.102 IPv6: 2406:da12:c8c:4900::/56  | 
| アジアパシフィック (シンガポール) |  IPv4: drp-sin.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-1.api.aws  |  IPv4: 3.0.212.144 18.138.99.116 18.140.252.123 52.74.175.118 IPv6: 2406:da18:991:4a00::/56  | 
| アジアパシフィック (シドニー) |  IPv4: drp-syd.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-2.api.aws  |  IPv4: 3.24.11.127 13.237.232.125 IPv6: 2406:da1c:9b5:9d00::/56  | 
| アジアパシフィック (東京) |  IPv4: drp-nrt.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-1.api.aws  |  IPv4: 18.178.102.247 54.64.174.128 IPv6: 2406:da14:785:5300::/56  | 
| カナダ (中部) |  IPv4: drp-yul.amazonworkspaces.com IPv6: drp-workspaces.ca-central-1.api.aws  |  IPv4: 52.60.69.16 52.60.80.237 52.60.173.117 52.60.201.0 IPv6: 2600:1f11:759:d900::/56  | 
| 欧州 (フランクフルト) |  IPv4: drp-fra.amazonworkspaces.com IPv6: drp-workspaces.eu-central-1.api.aws  |  IPv4: 52.59.191.224 52.59.191.225 52.59.191.226 52.59.191.227 IPv6: 2a05:d014:b5c:500::/56  | 
| 欧州 (アイルランド) |  IPv4: drp-dub.amazonworkspaces.com IPv6: drp-workspaces.eu-west-1.api.aws  |  IPv4: 18.200.177.86 52.48.86.38 54.76.137.224 IPv6: 2a05:d018:10ca:f400::/56  | 
| 欧州 (ロンドン) |  IPv4: drp-lhr.amazonworkspaces.com IPv6: drp-workspaces.eu-west-2.api.aws  |  IPv4: 35.176.62.54 35.177.255.44 52.56.46.102 52.56.111.36 IPv6: 2a05:d01c:263:f400::/56  | 
| 欧州 (パリ) |  IPv4: drp-cdg.amazonworkspaces.com IPv6: drp-workspaces.eu-west-3.api.aws  |  IPv4: 51.17.52.90 51.17.109.231 51.16.190.43 IPv6: 2a05:d012:16:8600::/56  | 
| 南米 (サンパウロ) |  IPv4: drp-gru.amazonworkspaces.com IPv6: drp-workspaces.sa-east-1.api.aws  |  IPv4: 18.231.0.105 52.67.55.29 54.233.156.245 54.233.216.234 IPv6: 2600:1f1e:bbf:fa00::/56  | 
| アフリカ (ケープタウン) |  IPv4: drp-cpt.amazonworkspaces.com/ IPv6: drp-workspaces.af-south-1.api.aws  |  IPv4: 13.244.128.155 13.245.205.255 13.245.216.116 IPv6: 2406:da11:685:2400::/56  | 
| イスラエル (テルアビブ) |  IPv4: drp-tlv.amazonworkspaces.com/ IPv6: drp-workspaces.il-central-1.api.aws  |  IPv4: 51.17.52.90 51.17.109.231 51.16.190.43 IPv6: 2a05:d025:c78:fc00::/56  | 
| AWS GovCloud (米国西部) |  IPv4: drp-pdt.amazonworkspaces.com IPv6: drp-workspaces.us-gov-west-1.api.aws  |  IPv4: 52.61.60.65 52.61.65.14 52.61.88.170 52.61.137.87 52.61.155.110 52.222.20.88 IPv6: 2600:1f12:28f:af00::/56  | 
| AWS GovCloud (米国東部) |  IPv4: drp-osu.amazonworkspaces.com IPv6: drp-workspaces.us-gov-east-1.api.aws  |  IPv4: 18.253.251.70 18.254.0.118 IPv6: 2600:1f15:a45:3e00::/56  | 

## PCoIP ゲートウェイサーバー
<a name="gateway_IP"></a>

WorkSpaces は、PCoIP を使用してポート 4172 を介してクライアントにデスクトップセッションをストリーミングします。PCoIP ゲートウェイサーバーの場合、WorkSpaces は狭い範囲の Amazon EC2 パブリック IPv4 および IPv6 アドレスを使用します。そのため、WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。IPv6 がサポートされ、ゲートウェイにアクセスできる場合、WorkSpaces クライアントは IPv6 接続を優先します。IPv6 を利用できない場合は、IPv4 を利用します。


| リージョン | リージョンコード | パブリック IP アドレス範囲 | 
| --- | --- | --- | 
| 米国東部 (バージニア北部) | us–east–1 |  3.217.228.0 - 3.217.231.255 3.235.112.0 - 3.235.119.255 52.23.61.0 - 52.23.62.255 2600:1f32:8000::/39   | 
| 米国西部 (オレゴン) | us-west-2 |  35.80.88.0 - 35.80.95.255 44.234.54.0 - 44.234.55.255 54.244.46.0 - 54.244.47.255 2600:1f32:4000::/39   | 
| アジアパシフィック (ムンバイ) | ap-south-1 |  13.126.243.0 - 13.126.243.255 2406:da32:a000::/40  | 
| アジアパシフィック (ソウル) | ap-northeast-2 |  3.34.37.0 - 3.34.37.255 3.34.38.0 - 3.34.39.255 13.124.247.0 - 13.124.247.255 2406:da32:2000::/40  | 
| アジアパシフィック (シンガポール) | ap-southeast-1 |  18.141.152.0 - 18.141.152.255 18.141.154.0 - 18.141.155.255 52.76.127.0 - 52.76.127.255 2406:da32:8000::/40  | 
| アジアパシフィック (シドニー) | ap-southeast-2 |  3.25.43.0 - 3.25.43.255 3.25.44.0 - 3.25.45.255 54.153.254.0 - 54.153.254.255 2406:da32:c000::/40  | 
| アジアパシフィック (東京) | ap-northeast-1 |  18.180.178.0 - 18.180.178.255 18.180.180.0 - 18.180.181.255 54.250.251.0 - 54.250.251.255 2406:da32:4000::/40  | 
| カナダ (中部) | ca-central-1 |  15.223.100.0 - 15.223.100.255 15.223.102.0 - 15.223.103.255 35.183.255.0 - 35.183.255.255 2600:1f32:1000::/40  | 
| 欧州 (フランクフルト) | eu-central-1 |  18.156.52.0 - 18.156.52.255 18.156.54.0 - 18.156.55.255 52.59.127.0 - 52.59.127.255 2a05:d032:4000::/40  | 
| 欧州 (アイルランド) | eu-west-1 |  3.249.28.0 - 3.249.29.255 52.19.124.0 - 52.19.125.255 2a05:d032:8000::/40  | 
| 欧州 (ロンドン) | eu-west-2 |  18.132.21.0 - 18.132.21.255 18.132.22.0 - 18.132.23.255 35.176.32.0 - 35.176.32.255 2a05:d032:c000::/40  | 
| 欧州 (パリ) | eu-west-3 |  51.44.204.0-51.44.207.255  | 
| 南米 (サンパウロ） | sa-east-1 |  18.230.103.0 - 18.230.103.255 18.230.104.0 - 18.230.105.255 54.233.204.0 - 54.233.204.255 2600:1f32:e000::/40  | 
| アフリカ (ケープタウン) | af-south-1 |  13.246.120.0 - 13.246.123.255 2406:da32:1000::/40  | 
| イスラエル (テルアビブ) | il-central-1 |   51.17.28.0-51.17.31.255 2a05:d032:5000::/40  | 
| AWS GovCloud (米国西部) | us-gov-west-1 |  52.61.193.0 - 52.61.193.255 2600:1f32:2000::/40  | 
| AWS GovCloud (米国東部) | us-gov-east-1 |  18.254.140.0 - 18.254.143.255 2600:1f32:5000::/40  | 

## DCV ゲートウェイサーバー
<a name="gateway_WSP"></a>

**重要**  
2020 年 6 月から、WorkSpaces は DCV WorkSpaces のデスクトップセッションをポート 4172 ではなくポート 4195 経由でクライアントにストリーミングします。DCV WorkSpaces を使用する場合は、ポート 4195 がトラフィックに対して開かれていることを確認してください。

**注記**  
BYOL 以外の WorkSpaces Pools の場合、IP アドレス範囲は保証されません。代わりに、DCV ゲートウェイドメイン名を許可リストに登録する必要があります。詳細については、「[DCV ゲートウェイドメイン名](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#dns-wsp)」を参照してください。

WorkSpaces は、DCV ゲートウェイサーバーに狭い範囲の Amazon EC2 パブリック IPv4 および IPv6 アドレスを使用します。そのため、WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。WorkSpaces は、専用の AWS Global Accelerator (AGA) エンドポイントに別の範囲のパブリック IPv4 アドレスを使用します。WorkSpaces で AGA を有効にする予定の場合は、IP 範囲を許可リストに登録するようにファイアウォールポリシーを設定してください。IPv6 がサポートされ、ゲートウェイにアクセスできる場合、WorkSpaces クライアントは IPv6 接続を優先します。IPv6 を利用できない場合は、IPv4 を利用します。

AGA \$1 IPv6 を使用する場合は、`GLOBALACCELERATOR` 範囲から IPv6 CIDR 範囲を許可リストに登録する必要があります。詳細については、「*AWS Global Accelerator 開発者ガイド*」の「[Global Accelerator エッジサーバーの場所と IP アドレス範囲](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-ip-ranges.html)」を参照してください。


| リージョン | リージョンコード | パブリック IP アドレス範囲 | 
| --- | --- | --- | 
| 米国東部 (バージニア北部) | us–east–1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 米国東部 (オハイオ) | us-east-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 米国西部 (オレゴン) | us-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| アジアパシフィック (ムンバイ) | ap-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| アジアパシフィック (ソウル) | ap-northeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| アジアパシフィック (シンガポール) | ap-southeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| アジアパシフィック (シドニー) | ap-southeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| アジアパシフィック (マレーシア) | ap-southeast-5 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| アジアパシフィック (東京) | ap-northeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| カナダ (中部) | ca-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 欧州 (フランクフルト) | eu-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 欧州 (アイルランド) | eu-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 欧州 (ロンドン) | eu-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 欧州 (パリ) | eu-west-3 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 南米 (サンパウロ） | sa-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| アフリカ (ケープタウン) | af-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| イスラエル (テルアビブ) | il-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud (米国西部) | us-gov-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud (米国東部) | us-gov-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 

## DCV ゲートウェイドメイン名
<a name="dns-wsp"></a>

次の表に、DCV WorkSpace ゲートウェイドメイン名を示します。WorkSpaces クライアントアプリケーションが WorkSpace DCV サービスにアクセスするためには、これらのドメインが接続可能である必要があります。


| リージョン | 分野 | 
| --- | --- | 
| 米国東部 (バージニア北部) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 米国西部 (オレゴン) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| アジアパシフィック (ムンバイ) | \$1.prod.ap-south-1.highlander.aws.a2z.com | 
| アジアパシフィック (ソウル) | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| アジアパシフィック (シンガポール) | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| アジアパシフィック (シドニー) | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| アジアパシフィック (東京) | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| カナダ (中部) | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| 欧州 (フランクフルト) | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| 欧州 (アイルランド) | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| 欧州 (ロンドン) | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| 欧州 (パリ) | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| 南米 (サンパウロ) | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| アフリカ (ケープタウン) | \$1.prod.af-south-1.highlander.aws.a2z.com | 
| イスラエル (テルアビブ) | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| AWS GovCloud (米国西部) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| AWS GovCloud (米国東部) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

## ネットワークインターフェイス
<a name="network-interfaces"></a>

各 WorkSpace に次のネットワークインターフェイスがあります。
+ プライマリネットワークインターフェイス (eth1) は、VPC およびインターネット内でのリソースへの接続を可能にし、WorkSpace とディレクトリとの結合に使用されます。
+ 管理ネットワークインターフェイス (eth0) は、セキュアな WorkSpaces 管理ネットワークに接続します。WorkSpaces クライアントへの WorkSpace デスクトップのインタラクティブなストリーミングと、WorkSpaces が WorkSpace を管理するために使用されます。

WorkSpaces は、WorkSpaces が作成されたリージョンに応じて、さまざまなアドレス範囲から管理ネットワークインターフェイス用の IP アドレスを選択します。ディレクトリが登録されるときに、WorkSpaces は VPC CIDR と VPC 内のルートテーブルをテストし、これらのアドレス範囲が競合するかどうかを確認します。リージョンで使用可能なすべてのアドレス範囲で競合が見つかった場合、エラーメッセージが表示され、ディレクトリは登録されません。ディレクトリが登録された後で VPC のルートテーブルを変更すると、競合が生じる可能性があります。

**警告**  
WorkSpace にアタッチされるネットワークインターフェイスを変更または削除しないでください。そうすると、WorkSpace にアクセスできなくなったり、インターネットにアクセスできなくなったりすることがあります。たとえば、ディレクトリレベルで [Elastic IP アドレスの自動割り当てを有効](automatic-assignment.md)にしている場合、(Amazon が提供するプールからの) [Elastic IP アドレス](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)は、起動時に WorkSpace に割り当てられます。ただし、所有している Elastic IP アドレスを WorkSpace に関連付けた後、その Elastic IP アドレスと WorkSpace との関連付けを解除すると、WorkSpace はパブリック IP アドレスを失い、Amazon が提供するプールから新しいアドレスを自動的に取得しません。  
Amazon が提供するプールからの新しいパブリック IP アドレスを WorkSpace に関連付けるには、[WorkSpace を再構築](rebuild-workspace.md)する必要があります。WorkSpace を再構築しない場合は、所有する別の Elastic IP アドレスを WorkSpace に関連付ける必要があります。

### 管理インターフェイスの IP 範囲
<a name="management-ip-ranges"></a>

次の表は、管理ネットワークインターフェイスで使用される IP アドレス範囲の一覧です。

**注記**  
**ライセンス持ち込み (BYOL) Windows WorkSpaces を使用している場合は**、次の表の IP アドレスの範囲は適用されません。代わりに、PCoIP BYOL WorkSpaces は、すべての AWS リージョンの管理インターフェイストラフィックに 54.239.224.0/20 IP アドレス範囲を使用します。DCV BYOL Windows WorkSpaces の場合、54.239.224.0/20 と 10.0.0.0/8 の両方の IP アドレス範囲がすべての AWS リージョンに適用されます。(これらの IP アドレス範囲は、BYOL WorkSpaces の管理トラフィック用に選択した /16 CIDR ブロックに加えて使用されます。)
**パブリックバンドルから作成された DCV WorkSpaces を使用している場合**、IP アドレス範囲 10.0.0.0/8 は、次の表に示す PCoIP/DCV 範囲に加えて、すべての AWS リージョンの管理インターフェイストラフィックにも適用されます。


| リージョン | IP アドレス範囲 | 
| --- | --- | 
| 米国東部 (バージニア北部) | PCoIP/WSP: 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16 WSP: 10.0.0.0/8 | 
| 米国西部 (オレゴン) | PCoIP/WSP: 172.31.0.0/16、192.168.0.0/16、および 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| アジアパシフィック (ムンバイ) | PCoIP/WSP: 192.168.0.0/16 WSP: 10.0.0.0/8 | 
| アジアパシフィック (ソウル) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| アジアパシフィック (シンガポール) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| アジアパシフィック (シドニー) | PCoIP/WSP: 172.31.0.0/16、192.168.0.0/16、および 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| アジアパシフィック (東京) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| カナダ (中部) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| 欧州 (フランクフルト) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| 欧州 (アイルランド) | PCoIP/WSP: 172.31.0.0/16、192.168.0.0/16、および 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| 欧州 (ロンドン) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| 欧州 (パリ) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| 南米 (サンパウロ) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| アフリカ (ケープタウン) | PCoIP/WSP: 172.31.0.0/16 and 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| イスラエル (テルアビブ) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| AWS GovCloud (米国西部) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 および 192.169.0.0/16 | 
| AWS GovCloud (米国東部) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 

### 管理インターフェイスポート
<a name="management_ports"></a>

次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要があります。
+ ポート 4172 のインバウンド TCP。これは、PCoIP プロトコルでストリーミング接続を確立するために使用されます。
+ ポート 4172 のインバウンド UDP。これは、PCoIP プロトコルでユーザー入力をストリーミングするために使用されます。
+ ポート 4489 のインバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。
+ ポート 8200 のインバウンド TCP。これは、WorkSpace の管理と設定に使用されます。
+ ポート 8201-8250 のインバウンド TCP。これらのポートは、ストリーミング接続の確立および DCV プロトコルでのユーザー入力のストリーミングに使用されます。
+ ポート 8220 のインバウンド UDP。このポートは、ストリーミング接続の確立および DCV プロトコルでのユーザー入力のストリーミングに使用されます。
+ ポート 8443 および 9997 のアウトバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。
+ ポート 3478、4172、および 4195 のアウトバウンド UDP。これはウェブクライアントを使用したアクセスに使用されます。
+ ポート 50002 および 55002 のアウトバウンド UDP。これはストリーミングに使用されます。ファイアウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート 50002 が自動的に開放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポート 49152～65535 を開放する必要があります。
+ EC2 メタデータサービスにアクセスするための、ポート 80 での IP アドレス 169.254.169.254 への送信 TCP (「[管理インターフェイスの IP 範囲](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#management-ip-ranges)」で定義)。WorkSpaces に割り当てられているすべての HTTP プロキシで、169.254.169.254 も除外されている必要があります。
+ パブリックバンドルに基づく WorkSpaces の Windows アクティベーション用の Microsoft KMS へのアクセスを許可する、ポート 1688 での IP アドレス 169.254.169.250 および 169.254.169.251 への送信 TCP。ライセンス持ち込み (BYOL) Windows WorkSpaces を使用している場合は、Windows アクティベーションのために独自の KMS サーバーへのアクセスを許可する必要があります。
+ ポート 1688 での IP アドレス 54.239.236.220 への送信 TCP を使用して、BYOL WorkSpaces の Office 用 Microsoft KMS のアクティベーションのためのアクセスを許可します。

  WorkSpaces パブリックバンドルの 1 つを通じて Office を使用している場合は、Office アクティベーション用の Microsoft KMS の IP アドレスは異なります。その IP アドレスを特定するには、WorkSpace の管理インターフェイスの IP アドレスを検索し、最後の 2 つのオクテットを `64.250` に置き換えます。例えば、管理インターフェイスの IP アドレスが 192.168.3.5 の場合、Microsoft KMS Office アクティベーションの IP アドレスは 192.168.64.250 です。
+ WorkSpace ホストがプロキシサーバーを使用するように設定されている場合における、DCV WorkSpaces 用の IP アドレス 127.0.0.2 への送信 TCP。
+ ループバックアドレス 127.0.01 から発信される通信。

通常の状況では、WorkSpaces サービスは WorkSpaces に対してこれらのポートを設定します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。

### プライマリインターフェイスポート
<a name="primary_ports"></a>

ディレクトリの種類にかかわらず、すべての WorkSpaces のプライマリネットワークインターフェイスで、次のポートが開いている必要があります。
+ インターネット接続の場合、次のポートがすべての宛先への送信と WorkSpaces VPC からの受信に対して開いている必要があります。これらのポートは、インターネットアクセスを許可する場合、WorkSpaces のセキュリティグループに手動で追加する必要があります。
  + TCP 80（HTTP）
  + TCP 443（HTTPS）
+ ディレクトリコントローラーと通信するには、WorkSpaces VPC とディレクトリコントローラーの間で次のポートが開かれている必要があります。Simple AD ディレクトリの場合、 によって作成されたセキュリティグループでは Directory Service 、これらのポートが正しく設定されます。AD Connector ディレクトリでは、VPC がそれらのポートを開くために、デフォルトのセキュリティグループの調整が必要になる場合があります。
  + TCP/UDP 53 - DNS
  + TCP/UDP 88 - Kerberos 認証
  + UDP 123 – NTP
  + TCP 135 - RPC
  + UDP 137-138 - Netlogon
  + TCP 139 - Netlogon
  + TCP/UDP 389 - LDAP
  + TCP/UDP 445 – SMB
  + TCP/UDP 636 - LDAPS (TLS/SSL 経由の LDAP)
  + TCP 1024-65535 - RPC 用ダイナミックポート
  + TTCP 3268-3269 – グローバルカタログ

  これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。

## リージョンごとの IP アドレスとポートの要件
<a name="ip-address-regions"></a>

### 米国東部 (バージニア北部)
<a name="us-east"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.us-east-1.amazonaws.com   | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン: https://ws-client-service.us-east-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| セッション前のスマートカード認証エンドポイント | https://smartcard.us-east-1.signin.aws | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: https://workspaces.us-east-1.amazonaws.com  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-iad.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| DCV ゲートウェイドメイン名 | \$1.prod.us-east-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 米国西部 (オレゴン)
<a name="us-west"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.us-west-2.amazonaws.com   | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン: https://ws-client-service.us-west-2.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| セッション前のスマートカード認証エンドポイント | https://smartcard.us-west-2.signin.aws | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-pdx.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 34.223.96.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.us-west-2.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### アジアパシフィック (ムンバイ)
<a name="ap-south"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.ap-south-1.amazonaws.com   | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン: https://ws-client-service.ap-south-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | Web Access は現在、アジアパシフィック (ムンバイ) リージョンではご利用いただけません。 | 
| ヘルスチェックホスト名 | drp-bom.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 | 13.126.243.0 - 13.126.243.255 | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 65.1.156.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.ap-south-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### アジアパシフィック (ソウル)
<a name="ap-northeast-2"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| デバイスメトリクス（1.0 以上および 2.0 以上の WorkSpaces クライアントアプリケーション用） | https://device-metrics-us-2.amazon.com/ | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.ap-northeast-2.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン: https://ws-client-service.ap-northeast-2.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-icn.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 3.35.160.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### アジアパシフィック (シンガポール)
<a name="ap-southeast-1"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.ap-southeast-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン: https://ws-client-service.ap-southeast-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-sin.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 13.212.132.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### アジアパシフィック (シドニー)
<a name="ap-southeast-2"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.ap-southeast-2.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.ap-southeast-2.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| セッション前のスマートカード認証エンドポイント | https://smartcard.ap-southeast-2.signin.aws | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-syd.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 3.25.248.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### アジアパシフィック (東京)
<a name="ap-northeast-1"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.ap-northeast-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.ap-northeast-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| セッション前のスマートカード認証エンドポイント | https://smartcard.ap-northeast-1.signin.aws | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-nrt.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 3.114.164.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### カナダ (中部)
<a name="ca-central-1"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.ca-central-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.ca-central-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-yul.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 3.97.20.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 欧州 (フランクフルト)
<a name="eu-central-1"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.eu-central-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.eu-central-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-fra.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 18.192.216.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 欧州 (アイルランド)
<a name="eu-west-1"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.eu-west-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.eu-west-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| セッション前のスマートカード認証エンドポイント | https://smartcard.eu-west-1.signin.aws | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-dub.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 3.248.176.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 欧州 (ロンドン)
<a name="eu-west-2"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.eu-west-2.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.eu-west-2.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-lhr.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 18.134.68.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 欧州 (パリ)
<a name="eu-west-3"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/Client  | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.eu-west-3.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.eu-west-3.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-cdg.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 |  51.17.72.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 南米 (サンパウロ)
<a name="sa-east-1"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.sa-east-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.sa-east-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-gru.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 15.228.64.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### アフリカ (ケープタウン)
<a name="sa-east-1"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.af-south-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.af-south-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-cpt.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 15.228.64.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.af-south-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### イスラエル (テルアビブ)
<a name="il-central-1"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: https://skylight-client-ds.il-central-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン:  https://ws-client-service.il-central-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP のウェブアクセス TURN サーバー | サーバー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-tlv.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 51.17.72.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud (米国西部) リージョン
<a name="govcloud-west-region"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: hhttps://skylight-client-ds.us-gov-west-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン: https://ws-client-service.us-gov-west-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| セッション前のスマートカード認証エンドポイント | https://smartcard.signin.amazonaws-us-gov.com | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://login.us-gov-home.awsapps.com/directory/<directory id>/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-pdt.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイドメイン名 | \$1.prod.us-gov-west-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud (米国東部) リージョン
<a name="govcloud-east-region"></a>


**許可リストに追加するドメインと IP アドレス**  

| Category | 詳細 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| クライアントの自動更新 |  https://s3.amazonaws.com/workspaces-client-updates/prod/osu/windows/WorkSpacesAppCast.xml  | 
| 接続の確認 |  https://connectivity.amazonworkspaces.com/  | 
| クライアントメトリクス（3.0 以上の WorkSpaces クライアントアプリケーション用） |  ドメイン: hhttps://skylight-client-ds.us-gov-east-1.amazonaws.com  | 
| ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用) |  ドメイン: https://ws-client-service.us-gov-east-1.amazonaws.com  | 
| ディレクトリ設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester Log Service  | https://fls-na.amazon.com/ | 
| ヘルスチェック (DRP) サーバー | [ヘルスチェックサーバー](#health_check) | 
| セッション前のスマートカード認証エンドポイント | https://smartcard.signin.amazonaws-us-gov.com | 
| 登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) | https://s3.amazonaws.com | 
| ユーザーログインページ | https://login.us-gov-home.awsapps.com/directory/<directory id>/ (<directory id> はお客様のドメイン)  | 
| WS ブローカー |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API エンドポイント |  ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| セッションブローカー（PCM） | ドメイン: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| ヘルスチェックホスト名 | drp-osu.amazonworkspaces.com | 
| ヘルスチェック IP アドレス |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV ゲートウェイサーバーの IP アドレス範囲 | 18.254.148.0/22 | 
| DCV ゲートウェイドメイン名 | \$1.prod.us-gov-east-1.highlander.aws.a2z.com | 
| 管理インターフェイスの IP アドレス範囲 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

# WorkSpaces Personal のクライアントネットワークの要件
<a name="workspaces-network-requirements"></a>

WorkSpaces ユーザーは、サポートされているデバイスのクライアントアプリケーションを使用して WorkSpaces に接続することができます。また、ウェブブラウザを使用して、このアクセス形式をサポートする WorkSpaces に接続することができます。ウェブブラウザのアクセスをサポートする WorkSpaces のリストについては、「ウェブアクセスはどの Amazon WorkSpaces バンドルでサポートされていますか?」を参照してください。[クライアントアクセス、Web アクセス、およびユーザーエクスペリエンス](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience)で。

**注記**  
ウェブブラウザを使用して Amazon Linux WorkSpaces に接続することはできません。

**重要**  
2020 年 10 月 1 日以降、お客様は Amazon WorkSpaces Web Access クライアントを使用して Windows 7 カスタム WorkSpaces または Windows 7 自分のライセンス使用 (BYOL) WorkSpaces に接続できなくなります。

ユーザーに WorkSpaces の優れた体験を提供するために、クライアントデバイスが以下のネットワーク要件を満たしていることを確認します。
+ クライアントデバイスには、ブロードバンドインターネット接続が必要です。480p ビデオウィンドウを視聴する同時ユーザーあたり 1 Mbps 以上を計画することをお勧めします。ビデオ解像度に対するユーザー品質の要件によっては、より多くの帯域幅が必要になる場合があります。
+ クライアントデバイスが接続されているネットワーク、およびクライアントデバイスのファイアウォールに、さまざまな AWS サービスの IP アドレス範囲に対して開かれている特定のポートが存在している必要があります。詳細については、「[WorkSpaces Personal の IP アドレスとポートの要件](workspaces-port-requirements.md)」を参照してください。
+ PCoIP のパフォーマンスを最大限に高めるには、クライアントネットワークから WorkSpaces があるリージョンまでのラウンドトリップ時間 (RTT) が 100ms 未満でなければなりません。RTT が 100 ミリ秒から 200 ミリ秒の間にある場合、ユーザーは WorkSpace にアクセスできますが、パフォーマンスに影響します。RTT が 200 ミリ秒～375 ミリ秒の間にある場合、パフォーマンスは低下します。RTT が 375 ミリ秒を超えると、WorkSpaces クライアント接続は終了します。

  DCV で最善のパフォーマンスを確保するためには、クライアントのネットワークから WorkSpaces があるリージョンまでの RTT が 250 ミリ秒未満でなければなりません。RTT が 250 ミリ秒から 400 ミリ秒の間にある場合、ユーザーは WorkSpace にアクセスできますが、パフォーマンスは低下します。

  自分の場所からさまざまな AWS リージョンへの RTT を確認するには、[Amazon WorkSpaces 接続ヘルスチェック](https://clients.amazonworkspaces.com/Health.html)を使用します。
+ DCV でウェブカメラを使用する場合、アップロードの帯域幅には最低 1 秒あたり 1.7 メガビットの確保が推奨されます。
+ ユーザーが仮想プライベートネットワーク（VPN）経由で WorkSpace にアクセスする場合は、少なくとも 1200 バイトの最大送信単位（MTU）をサポートする接続が必用です。
**注記**  
Virtual Private Cloud (VPC) に接続された VPN を介して WorkSpaces にアクセスすることはできません。VPN を使用して WorkSpaces にアクセスするには、[WorkSpaces Personal の IP アドレスとポートの要件](workspaces-port-requirements.md) で説明されているように、(VPN のパブリック IP アドレス経由の) インターネット接続が必要です。
+ クライアントには、サービスと Amazon Simple Storage Service (Amazon S3) がホストする WorkSpaces リソースへの HTTPS アクセスが必要です。クライアントは、アプリケーションレベルのプロキシリダイレクトをサポートしていません。ユーザーが登録を完了して Workspace にアクセスできるようにするには、HTTPS アクセスが必要です。
+ PCoIP ゼロクライアントデバイスからのアクセスを許可するには、WorkSpaces の PCoIP プロトコルバンドルを使用する必要があります。また、Teradici でネットワークタイムプロトコル (NTP) を有効にする必要があります。詳細については、「[WorkSpaces Personal で PCoIP ゼロクライアントを設定する](set-up-pcoip-zero-client.md)」を参照してください。

次の方法で､クライアントデバイスがネットワーキング要件を満たしていることを確認できます。

## 3.0 以上のクライアントのネットワーク要件を確認するには
<a name="verify-requirements-new-clients"></a>

1. WorkSpaces クライアントを開きます。クライアントを初めて開いた場合は、招待メールで受け取った登録コードを入力するよう求められます。

1. 使用しているクライアントに応じて、以下のいずれかを実行します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-network-requirements.html)

   クライアントアプリケーションによって、ネットワーク接続、ポート、ラウンドトリップ時間がテストされ、これらのテストの結果がレポートされます。

1. [**Network (ネットワーク)**] ダイアログボックスを閉じて、サインインページに戻ります。

## 1.0 以上および 2.0 以上のクライアントのネットワーク要件を確認するには
<a name="verify-requirements-legacy-clients"></a>

1. WorkSpaces クライアントを開きます。クライアントを初めて開いた場合は、招待メールで受け取った登録コードを入力するよう求められます。

1. クライアントアプリケーションの右下隅にある [**Network (ネットワーク)**] を選択します。クライアントアプリケーションによって、ネットワーク接続、ポート、ラウンドトリップ時間がテストされ、これらのテストの結果がレポートされます。

1. [**Dismiss**] を選択してサインインページに戻ります。

# WorkSpaces Personal で信頼されたデバイスへのアクセスを制限する
<a name="trusted-devices"></a>

デフォルトでは、ユーザーはインターネットに接続されているサポートされているデバイスから WorkSpaces にアクセスできます。会社が信頼されたデバイス（管理デバイスとも呼ばれます）への企業データアクセスを制限している場合、有効な証明書を使用して WorkSpaces へのアクセスを信頼されたデバイスに制限することができます。

**注記**  
この機能は現在、WorkSpaces Personal ディレクトリが Simple AD、AD Connector、AWS Managed Microsoft AD ディレクトリなどの Directory Service を通じて管理されている場合にのみ使用できます。

この機能を有効にすると、WorkSpaces は証明書ベースの認証を使用して、デバイスが信頼できるかどうかを判断します。WorkSpaces クライアントアプリケーションは、デバイスが信頼されていることを確認できない場合、デバイスへのログインまたは再接続をブロックします。

各ディレクトリにで、最大 2 つのルート証明書をインポートできます。2 つのルート証明書をインポートすると、WorkSpaces はそれらをクライアントに提示し、クライアントはいずれかのルート証明書にチェーンする最初の有効な一致証明書を見つけます。

**Supported Clients (サポートされるクライアント)**
+ Android、Android または Android 対応の Chrome OS システム
+ macOS
+ Windows

**重要**  
この機能は次のクライアントではサポートされていません。  
Linux、または iPad 用の WorkSpaces クライアントアプリケーション
サードパーティークライアント (Teradici PCoIP、RDP クライアント、リモートデスクトップアプリケーションを含みますが、これらに限定されません)。

**注記**  
特定のクライアントに対してアクセスを有効にする場合は、他の不要なデバイスタイプのアクセスをブロックしてください。これを行う方法については、ステップ 3 の手順 7 を参照してください。

## ステップ 1: 証明書を作成する
<a name="create-certificate"></a>

この機能には、内部認証局（CA）によって生成されるルート証明書と、ルート証明書に連鎖するクライアント証明書の 2 種類の証明書が必要です。

**要件**
+ ルート証明書は、Base64 でエンコードされた CRT、CERT、または PEM 形式の証明書ファイルである必要があります。
+ ルート証明書は、次の正規表現パターンを満たす必要があります。つまり、最後の行の横にあるすべてのエンコードされた行は、正確に 64 文字でなければなりません: `-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`。
+ デバイス証明書には共通名が含まれている必要があります。
+ デバイス証明書には、`Key Usage: Digital Signature` および`Enhanced Key Usage: Client Authentication` の拡張機能が含まれている必要があります。
+ デバイス証明書から信頼されたルート認証局へのチェーン内の、すべての証明書をクライアントデバイスにインストールする必要があります。
+ 証明書チェーンでサポートされている最大長は 4 です。
+ WorkSpaces は現在、クライアント証明書の証明書失効リスト (CRL) やオンライン証明書ステータスプロトコル (OCSP) などのデバイス失効メカニズムをサポートしていません。
+ 強力な暗号化アルゴリズムを使用します。SHA256 (RSA)、SHA256 (ECDSA)、SHA384 (ECDSA)、SHA512 (ECDSA) をお勧めします。
+ macOS の場合、デバイス証明書がシステムキーチェーンにある場合は、WorkSpaces クライアントアプリケーションがこれらの証明書にアクセスする権限を与えることをお勧めします。それ以外の場合は、ユーザーがログインまたは再接続するときに、キーチェーンの資格情報を入力する必要があります。

## ステップ 2: クライアント証明書を信頼されたデバイスにデプロイする
<a name="deploy-certificate"></a>

ユーザーの信頼されたデバイスで、デバイス証明書から信頼されたルート証明書認証へのチェーン内の、すべての証明書を含む証明書バンドルをインストールする必要があります。任意のソリューションを使用して、一連のクライアントデバイスに証明書をインストールすることができます。たとえば、SCCM（System Center Configuration Manager）や MDM（Mobile Device Management）などです。SCCM と MDM は、オプションでセキュリティポスチャ評価を実行して、デバイスが WorkSpaces にアクセスするための企業ポリシーを満たしているかどうかを判断できます。

WorkSpaces クライアントアプリケーションは、次のように証明書を検索します。
+ Android - **[設定]** に移動し、**[セキュリティと位置情報]**、**[認証情報]**、**[SD カードからインストール]** の順に選択します。
+ Android 対応 Chrome OS システム - Android の [設定] を開き、**[セキュリティと位置情報]**、**[認証情報]**、**[SD カードからインストール]** の順に選択します。
+ macOS - キーチェーンでクライアント証明書を検索します。
+ Windows - ユーザーストアとルート証明書ストアでクライアント証明書を探します。

## ステップ 3: 制限を設定する
<a name="configure-restriction"></a>

信頼されたデバイスにクライアント証明書をデプロイした後で、ディレクトリレベルでの制限付きアクセスを有効にすることができます。このため、WorkSpaces クライアントアプリケーションは、ユーザーが WorkSpaces にログインする前に、デバイス上の証明書を検証する必要があります。

**制限を設定するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Update Details**] の順に選択します。

1. [**Access Control Options**] を展開します｡

1. **[デバイスタイプごとに、WorkSpaces にアクセスできるデバイスを指定]** で、**[信頼されたデバイス]** を選択します。

1. 最大 2 つのルート証明書をインポートします。各ルート証明書について、次の操作を行います。

   1. [**Import**] を選択します。

   1. 証明書の本文をフォームにコピーします。

   1. [**Import**] を選択します。

1. 他のタイプのデバイスが WorkSpaces にアクセスできるかどうかを指定します。

   1. [**Other Platforms**] セクションまで下にスクロールします。デフォルトでは WorkSpaces Linux クライアントは無効になっており、ユーザーは iOS デバイス、Android デバイス、Web Access、Chromebook、および PCoIP ゼロクライアントデバイスから WorkSpaces にアクセスできます。

   1. 有効にするデバイスタイプを選択し、無効にするデバイスタイプをクリアします。

   1. 選択したすべてのデバイスタイプからのアクセスをブロックするには、[**Block**] を選択します。

1. [**Update and Exit**] を選択します。

# SAML 2.0 と WorkSpaces Personal の統合
<a name="amazon-workspaces-saml"></a>

**注記**  
SAML 2.0 は、WorkSpaces Personal ディレクトリが Simple AD、AD Connector、AWS Managed Microsoft AD ディレクトリなどの Directory Service を通じて管理されている場合にのみ使用できます。この機能は、Amazon WorkSpaces によって管理されるディレクトリには適用されません。このようなディレクトリでは、通常、SAML 2.0 フェデレーションではなく IAM アイデンティティセンターがユーザー認証に使用されます。

SAML 2.0 をデスクトップセッションの認証のために WorkSpaces と統合すると、ユーザーはデフォルトのウェブブラウザから既存の SAML 2.0 ID プロバイダー (IdP) 認証情報と認証方法を使用できるようになります。IdP を使用して WorkSpaces へのユーザーの認証を行うと、多要素認証やコンテキストに応じたアクセスポリシーなどの IdP 機能を採用することで、WorkSpaces を保護することができます。

## 認証ワークフロー
<a name="authentication-workflow"></a>

以下のセクションでは、WorkSpaces クライアントアプリケーション、WorkSpaces Web Access、および SAML 2.0 ID プロバイダー (IdP) によって開始される認証ワークフローについて説明します。
+ フローが IdP によって開始されるとき。たとえば、ユーザーが IdP ユーザーポータルのアプリケーションをウェブブラウザで選択したときです。
+ フローが WorkSpaces クライアントによって開始されるとき。たとえば、ユーザーがクライアントを開いてサインインしたときです。
+ フローが WorkSpaces Web Access によって開始されるとき。たとえば、ユーザーがブラウザで Web Access を開いてサインインしたときです。

これらの例では、ユーザーは「`user@example.com`」と入力して IdP にサインインします。IdP には、WorkSpaces ディレクトリ用に設定された SAML 2.0 サービスプロバイダーアプリケーションがあり、ユーザーは WorkSpaces SAML 2.0 アプリケーションに対して承認されています。ユーザーは、SAML 2.0 認証が有効になっているディレクトリにユーザー名 `user` の WorkSpace を作成します。さらに、ユーザーはデバイスに [WorkSpaces クライアントアプリケーション](https://clients.amazonworkspaces.com/)をインストールするか、ウェブブラウザで Web Access を使用します。

**クライアントアプリケーションを使用したID プロバイダー (IdP) 主導フロー**

IdP 主導のフローでは、ユーザーは WorkSpaces 登録コードを入力せずに、デバイスに WorkSpaces クライアントアプリケーションを自動的に登録できます。ユーザーは、IdP 主導のフローを使用して自身の WorkSpaces に対してサインインしません。WorkSpaces 認証は、クライアントアプリケーションから開始する必要があります。

1. ユーザーはウェブブラウザを使用して、IdP にサインインします。

1. IdP にサインインした後、ユーザーは IdP ユーザーポータルから WorkSpaces アプリケーションを選択します。

1. ユーザーはブラウザでこのページにリダイレクトされ、WorkSpaces クライアントアプリケーションが自動的に開きます。  
![\[WorkSpaces アプリケーションリダイレクトページを開く\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces クライアントアプリケーションが登録されました。ユーザーは、**[Continue to sign in to WorkSpaces]** (WorkSpaces へのサインインを続ける) をクリックして続行できます。

**ウェブアクセスを使用した ID プロバイダー (IdP) 主導フロー**

IdP 主導のウェブアクセスフローでは、ユーザーは WorkSpaces 登録コードを入力せずに、ウェブブラウザに WorkSpaces を自動的に登録できます。ユーザーは、IdP 主導のフローを使用して自身の WorkSpaces に対してサインインしません。WorkSpaces 認証は、ウェブアクセスから開始する必要があります。

1. ユーザーはウェブブラウザを使用して、IdP にサインインします。

1. IdP にサインインした後、ユーザーは IdP ユーザーポータルから WorkSpaces アプリケーションを選択します。

1. ユーザーはブラウザでこのページにリダイレクトされます。WorkSpaces を開くには、[**Amazon WorkSpaces in the browser**] (ブラウザでの Amazon WorkSpaces) を選択します。  
![\[WorkSpaces アプリケーションリダイレクトページを開く\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces クライアントアプリケーションが登録されました。ユーザーは、WorkSpaces Web Access からサインインを続行できます。

**WorkSpaces クライアント主導フロー**

クライアント主導のフローでは、ユーザーは IdP にサインインした後に WorkSpaces にサインインできます。

1. ユーザーが WorkSpaces クライアントアプリケーションを起動し (まだ実行されていない場合)、[**WorkSpaces へのサインインを続行**] をクリックします。

1. ユーザーはデフォルトのウェブブラウザにリダイレクトされ、IdP にサインインします。ユーザーがブラウザで既に IdP にサインインしている場合、再度サインインする必要はなく、このステップをスキップします。

1. IdP にサインインすると、ユーザーはポップアップにリダイレクトされます。プロンプトに従うと、ウェブブラウザーがクライアントアプリケーションを開くことができます。  
![\[クライアントアプリケーションのプロンプトを開きます。\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/saml-open-client-app.png)

1. ユーザーは WorkSpaces クライアントアプリケーションにリダイレクトされ、WorkSpace へのサインインが完了します。WorkSpaces のユーザー名は、IdP SAML 2.0 アサーションから自動的に入力されます。[証明書ベースの認証 (CBA)](certificate-based-authentication.md) を使用すると、ユーザーは自動的にサインインされます。

1. ユーザーは自分の WorkSpace にサインインしています。

**WorkSpaces Web Access 主導のフロー**

WorkSpaces Web Access 主導のフローでは、ユーザーは IdP にサインインした後に WorkSpaces にサインインできます。

1. ユーザーは WorkSpaces Web アクセスを起動して、[**サインイン**] を選択します。

1. 同じブラウザータブで、ユーザーは IdP ポータルにリダイレクトされます。ユーザーがブラウザで既に IdP にサインインしている場合、再度サインインする必要はなく、このステップをスキップできます。

1. IdP にサインインすると、ユーザーはブラウザでこのページにリダイレクトされ、**[Log in to WorkSpaces]** (WorkSpaces にログインする) をクリックします。

1. ユーザーは WorkSpaces クライアントアプリケーションにリダイレクトされ、WorkSpace へのサインインが完了します。WorkSpaces のユーザー名は、IdP SAML 2.0 アサーションから自動的に入力されます。[証明書ベースの認証 (CBA)](certificate-based-authentication.md) を使用すると、ユーザーは自動的にサインインされます。

1. ユーザーは自分の WorkSpace にサインインしています。

# WorkSpaces Personal で SAML 2.0 を設定する
<a name="setting-up-saml"></a>

SAML 2.0 を使用して ID フェデレーションを設定することにより、ユーザーの SAML 2.0 ID プロバイダー (IdP) 認証情報と認証方法を使用して WorkSpaces クライアントアプリケーションの登録と WorkSpaces へのサインインを有効にします。SAML 2.0 を使用した ID フェデレーションを設定するには、IAM ロールとリレーステート URL を使用して、IdP を設定し、 AWSを有効にします。これにより、フェデレーションユーザーに対して WorkSpaces ディレクトリへのアクセス権が付与されます。リレーステートは、 AWSに正常にサインインした後にユーザーが転送される WorkSpaces ディレクトリエンドポイントです。

**Topics**
+ [要件](#setting-up-saml-requirements)
+ [前提条件](#setting-up-saml-prerequisites)
+ [ステップ 1: IAM で SAML ID AWS プロバイダーを作成する](#create-saml-identity-provider)
+ [ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する](#create-saml-iam-role)
+ [ステップ 3: IAM ロールにインラインポリシーを埋め込む](#embed-inline-policy)
+ [ステップ 4: SAML 2.0 ID プロバイダーを設定する](#configure-saml-id-provider)
+ [ステップ 5: SAML 認証レスポンスのアサーションを作成する](#create-assertions-saml-auth)
+ [ステップ 6: フェデレーションのリレーステートを設定する](#configure-relay-state)
+ [ステップ 7: WorkSpaces ディレクトリで SAML 2.0 との統合を有効にする](#enable-integration-saml)

## 要件
<a name="setting-up-saml-requirements"></a>
+ SAML 2.0 認証は、以下のリージョンで使用できます。
  + 米国東部 (バージニア北部) リージョン
  + 米国西部 (オレゴン) リージョン
  + アフリカ (ケープタウン) リージョン
  + アジアパシフィック (ムンバイ) リージョン
  + アジアパシフィック (ソウル) リージョン
  + アジアパシフィック (シンガポール) リージョン
  + アジアパシフィック (シドニー) リージョン
  + アジアパシフィック (東京) リージョン
  + カナダ (中部) リージョン
  + 欧州 (フランクフルト) リージョン
  + 欧州 (アイルランド) リージョン
  + 欧州 (ロンドン) リージョン
  + 南米 (サンパウロ) リージョン
  + イスラエル (テルアビブ) リージョン
  + AWS GovCloud (米国西部)
  + AWS GovCloud (米国東部)
+ WorkSpaces で SAML 2.0 認証を使用する場合、IdP は、ディープリンクターゲットリソースまたはリレーステートエンドポイントの URL を使用して、未承諾の IdP を起点とする SSO をサポートする必要があります。IdP の例には、ADFS、Azure AD、Duo Single Sign-On、Okta、PingFederate、および PingOne などがあります。詳細については、IdP のユーザードキュメントを参照してください。
+ SAML 2.0 認証は、Simple AD を使用して起動された WorkSpaces で機能しますが、Simple AD は SAML 2.0 IdP と統合されないため、これは推奨されません。
+ SAML 2.0 認証は、次の WorkSpaces クライアントでサポートされています。SAML 2.0 認証は、他のクライアントバージョンではサポートされていません。Amazon WorkSpaces の [[クライアントダウンロード]](https://clients.amazonworkspaces.com/) を開いて、最新バージョンを確認します。
  + Windows クライアントアプリケーションのバージョン 5.1.0.3029 以降
  + macOS クライアントバージョン 5.x 以降
  + Ubuntu 22.04 バージョン 2024.1 以降、Ubuntu 20.04 バージョン 24.1 以降向けの Linux クライアント
  + Web Access

  他のクライアントバージョンは、フォールバックが有効になっていない限り、SAML 2.0 認証が有効になっている WorkSpaces に接続できません。詳細については、「[WorkSpaces ディレクトリで SAML 2.0 認証を有効にする](https://d1.awsstatic.com/workspaces-saml-guide.pdf)」を参照してください。

ADFS、Azure AD、Duo Single Sign-On、Okta、OneLogin、PingFederate、PingOne for Enterprise を使用して SAML 2.0 を WorkSpaces と統合する手順については、「[Amazon WorkSpaces SAML Authentication Implementation Guide](https://d1.awsstatic.com/workspaces-saml-guide.pdf)」を参照してください。

## 前提条件
<a name="setting-up-saml-prerequisites"></a>

WorkSpaces ディレクトリへの SAML 2.0 ID プロバイダー (IdP) 接続を設定する前に、以下の前提条件を満たしていることを確認してください。

1. WorkSpaces ディレクトリで使用する Microsoft Active Directory からのユーザー ID を統合するように IdP を設定します。WorkSpace を持つユーザーの場合、IdP を使用して WorkSpaces にサインインするには、Active Directory ユーザーおよび SAML クレーム値の **sAMAccountName** 属性と **email** 属性が一致している必要があります。Active Directory を IdP と統合する方法の詳細については、IdP のドキュメントを参照してください。

1.  AWSとの信頼関係を確立するために IdP を設定します。
   +  AWS フェデレーションの設定の詳細については、[「サードパーティーの SAML ソリューションプロバイダーと の統合 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html)」を参照してください。関連する例には、 AWS 管理コンソールにアクセスするための IdP と AWS IAM の統合が含まれます。
   + IdP を使用して、組織を IdP として定義するフェデレーションメタデータドキュメントを生成し、ダウンロードします。署名されたこの XML ドキュメントは、証明書利用者の信頼を確立するために使用されます。後で IAM コンソールからアクセスできる場所にこのファイルを保存します。

1. WorkSpaces 管理コンソールを使用して、WorkSpaces のディレクトリを作成または登録します。詳細については、「[WorkSpaces のディレクトリを管理する](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html)」を参照してください。WorkSpaces の SAML 2.0 認証は、次のディレクトリタイプでサポートされています。
   + AD Connector
   + AWS Managed Microsoft AD

1. サポートされているディレクトリタイプを使用して IdP にサインインできるユーザー用の WorkSpace を作成します。WorkSpaces 管理コンソール、 AWS CLI、または WorkSpaces API を使用して WorkSpace を作成できます。詳細については、「[WorkSpaces を使用して仮想デスクトップを起動する](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)」を参照してください。

## ステップ 1: IAM で SAML ID AWS プロバイダーを作成する
<a name="create-saml-identity-provider"></a>

まず、IAM で SAML IdP AWS を作成します。この IdP は、組織内の IdP ソフトウェアによって生成されたメタデータドキュメントを使用して、組織の IdP とAWS 信頼の関係を定義します。詳細については、「[SAML ID プロバイダーの作成と管理 (Amazon Web Services 管理コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)」を参照してください。 AWS GovCloud (米国西部) および GovCloud AWS GovCloud (米国東部) で SAML IdPs[AWS 「Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html)」を参照してください。

## ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する
<a name="create-saml-iam-role"></a>

次に、SAML 2.0 フェデレーション IAM ロールを作成します。この手順では、IAM と組織の IdP 間に、IdP をフェデレーションの信頼されるエンティティと識別する信頼関係を確立します。

SAML IdP への IAM ロールを作成するには

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで **[ロール]** を選択してから、**[ロールを作成する]** を選択します。

1.  [**ロールタイプ**] で [**SAML 2.0 フェデレーション**] を選択します。

1.  **[SAML プロバイダー]** で、作成した SAML IdP を選択します。
**重要**  
2 つの SAML 2.0 アクセスメソッド ([**プログラムによるアクセスのみを許可する**] または [**プログラムによるアクセスと Amazon Web Services マネジメントコンソールによるアクセスを許可する**]) のいずれも選択しないでください。

1. [**属性**] で 、[**SAML:sub\$1type**] を選択します。

1. **[値]** に「`persistent`」と入力します。この値は、値が persistent の SAML サブジェクトタイプアサーションを含む SAML ユーザーストリーミングリクエストへのロールアクセスを制限します。SAML:sub\$1type が persistent の場合、IdP は特定のユーザーからのすべての SAML リクエストで同じ一意の値を NameID 要素に送信します。SAML:sub\$1type アサーションの詳細については、[「API アクセスに AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)**SAML ベースのフェデレーションを使用する」の「SAML ベースのフェデレーションでユーザーを一意に識別**する」セクションを参照してください。

1. 正しい信頼されたエンティティおよび条件を確認して SAML 2.0 の信頼情報を確かめたら、[**次: アクセス許可**] を選択します。

1. [**アクセス権限ポリシーをアタッチする**] ページで、[**Next: Tags**] を選択します。

1. (オプション) 追加する各タグのキーと値を入力します。詳細については、「[IAM ユーザーとロールのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。

1. 終了したら、[**Next: Review**] を選択します。後でこのロールにインラインポリシーを作成して埋め込みます。

1. [**Role name**] (ロール名) に、このロールの目的を識別できる名前を入力します。なぜなら複数エンティティがロールを参照している可能性があります。ロールが作成された後のロールの名前の編集はできません。

1. (オプション) **[ロールの説明]** に、新しいロールの説明を入力します。

1. ロールの詳細を確認し、[**ロールの作成**] を選択します。

1. 新しい IAM ロールの信頼ポリシーに sts:TagSession アクセス権限を追加します。詳細については、「[AWS STSでのセッションタグの受け渡し](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。新しい IAM ロールの詳細ページで、**[Trust relationships]** (信頼関係) タブを選択してから、**[Edit trust relationship]** (信頼関係の編集) を選択します。信頼関係の編集ポリシーエディタが開いたら、**[sts:TagSession\$1]** アクセス許可を次のように設定します。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:aud": "https://signin.aws.amazon.com/saml"
                   }
               }
           }
       ]
   }
   ```

------

`IDENTITY-PROVIDER` をステップ 1 で作成した SAML IdP の名前で置き換えます。次に、[**Update Trust Policy**] (信頼ポリシーの更新) を選択します。

## ステップ 3: IAM ロールにインラインポリシーを埋め込む
<a name="embed-inline-policy"></a>

次に、作成したロールにインライン IAM ポリシーを埋め込みます。インラインポリシーを埋め込むと、ポリシーのアクセス許可が、間違ったプリンシパルエンティティにアタッチされることを回避できます。インラインポリシーは、フェデレーションユーザーに WorkSpaces ディレクトリへのアクセスを提供します。

**重要**  
ソース IP AWS に基づいて へのアクセスを管理する IAM ポリシーは、 `workspaces:Stream`アクションではサポートされていません。WorkSpaces の IP アクセスコントロールを管理するには、[IP アクセスコントロールグループ](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html)を使用します。さらに、SAML 2.0 認証を使用する場合は、SAML 2.0 IdP から利用可能な IP アクセスコントロールポリシーを使用できます。

1. 作成した IAM ロールの詳細で、**[Permissions]** (アクセス許可) タブを選択し、必要なアクセス許可を、ロールのアクセス許可ポリシーに追加します。**[Create policy wizard]** (ポリシーの作成ウィザード) が起動します。

1. [**ポリシーの作成**] で、[**JSON**] タブを選択します。

1. 次の JSON ポリシーを JSON ウィンドウにコピーして貼り付けます。次に、 AWS リージョンコード、アカウント ID、ディレクトリ ID を入力してリソースを変更します。以下のポリシーでは、`"Action": "workspaces:Stream"` は、WorkSpaces ディレクトリのデスクトップセッションに接続する権限を WorkSpaces ユーザーに提供するアクションです。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "workspaces:Stream",
               "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
               "Condition": {
                   "StringEquals": {
                       "workspaces:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   を WorkSpaces ディレクトリが存在する AWS リージョン`REGION-CODE`に置き換えます。`DIRECTORY-ID` を WorkSpaces 管理コンソールで確認できる WorkSpaces ディレクトリ ID に置換します。 AWS GovCloud (米国西部) または AWS GovCloud (米国東部) のリソースの場合、ARN には の形式を使用します`arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`。

1. 完了したら、[**ポリシーの確認**] をクリックします。構文エラーがある場合は、「[ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)」によってレポートされます。

## ステップ 4: SAML 2.0 ID プロバイダーを設定する
<a name="configure-saml-id-provider"></a>

次に、SAML 2.0 IdP によっては、[https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) の`saml-metadata.xml`ファイルを IdP にアップロードして、サービスプロバイダー AWS として信頼するように IdP を手動で更新する必要がある場合があります。このステップは、IdP のメタデータを更新します。一部の IdP では、すでに更新が設定されています。この場合は、次のステップに進みます。

IdP でこの更新がまだ設定されていない場合には、IdP から提供されるドキュメントでメタデータを更新する方法に関する情報を確認します。プロバイダーによっては、URL を入力し、また IdP によってファイルを取得してインストールするオプションが提供されます。また、URL からファイルをダウンロードし、ローカルファイルとして指定する必要があるプロバイダーもあります。

**重要**  
このとき、IdP のユーザーに、IdP で設定した WorkSpaces アプリケーションへのアクセスを許可することもできます。ディレクトリの WorkSpaces アプリケーションにアクセスする権限を与えられているユーザーに対して、自動的に WorkSpace が作成されるわけではありません。同様に、WorkSpace が作成されるユーザーに対して、自動的に WorkSpaces アプリケーションへのアクセス権が与えられるわけではありません。SAML 2.0 認証を使用して WorkSpace に正常に接続するには、ユーザーが IdP によって承認され、WorkSpace が作成されている必要があります。

**注記**  
エンドユーザーが同じ SAML 2.0 ID プロバイダー (IdP) を使用しているときに複数の異なる WorkSpaces ユーザー ID を頻繁に切り替える場合は、ログイン試行のたびに IdP が強制認証 (ForceAuthn) するように設定されていることを確認します。これにより、IdP が既存の SSO セッションを再利用できなくなり、ユーザーが別の WorkSpace に切り替えているときに認証が失敗する可能性があります。ForceAuthn (または同等のもの) 設定を有効にする方法については、IdP のドキュメントを参照してください。

## ステップ 5: SAML 認証レスポンスのアサーションを作成する
<a name="create-assertions-saml-auth"></a>

次に、IdP が認証レスポンスで SAML 属性 AWS として に送信する情報を設定します。IdP によっては、既に設定されています。その場合、「[ステップ 6: フェデレーションのリレーステートを設定する](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state)」へ進んでください。

この情報がまだ IdP で設定されていない場合は、次の操作を実行します。
+ **SAML Subject NameID (SAML サブジェクト名 ID)** – 署名するユーザーの一意の識別子。値は WorkSpaces ユーザー名と一致する必要があります。通常は、Active Directory ユーザー用の **sAMAccountName** 属性です。
+ **SAML Subject Type (SAML サブジェクトタイプ)** (値を `persistent` に設定) – 値を `persistent` に設定すると、特定のユーザーからのすべての SAML リクエストの `NameID` 要素に同じ一意の値を IdP が送信することを確保できます。[ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms)で説明されているように、SAML sub\$1type が `persistent` に設定されている SAML リクエストのみを許可する条件が IAM ポリシーに含まれていることを確認します。
+ **`Attribute` 要素 (`Name` 属性が `https://aws.amazon.com/SAML/Attributes/Role` に設定)** – この要素には、IdP によってマッピングされたユーザーの IAM ロールと SAML IdP を一覧表示する 1 つ以上の `AttributeValue` 要素が含まれます。このロールと IdP は、カンマ区切りの ARN のペアとして指定されます。予期される値の例は `arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME` です。
+ **`Attribute` `Name` 属性が に設定されている 要素 `https://aws.amazon.com/SAML/Attributes/RoleSessionName`** – この要素には、SSO 用に発行される AWS 一時的な認証情報の識別子を提供する `AttributeValue` 要素が 1 つ含まれています。`AttributeValue` 要素の値は 2～64 文字とし、英数字、アンダースコア、および **\$1 . : / = \$1 - @** のみを含めることができます。スペースを含めることはできません。値は通常、E メールアドレスまたはユーザープリンシパル名 (UPN) です。ユーザーの表示名のように、スペースを含む値とすることはできません。
+ **`Attribute` 要素 (`Name` 属性を `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` に設定)** – この要素には、ユーザーの E メールアドレスを指定する `AttributeValue` 要素が含まれます。この値は、WorkSpaces ディレクトリで定義されている WorkSpaces ユーザーの E メールアドレスと一致する必要があります。タグ値には、文字、数字、スペース、および特殊文字 (**\$1 . : / = \$1 - @**) の組み合わせを含めることができます。詳細については、IAM ユーザーガイドの「[IAM および AWS STSでのタグ付けの規則](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)」を参照してください。
+ **`Attribute` 要素 (`Name` 属性を `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` に設定) (オプション)** — この要素には、サインインしているユーザーの Active Directory `userPrincipalName` を指定する `AttributeValue` 要素が 1 つ含まれています。値は `username@domain.com` の形式で指定する必要があります。このパラメータは、証明書ベースの認証で、エンドユーザー証明書のサブジェクト代替名として使用します。詳細については、「証明書ベースの認証」を参照してください。
+ **`Attribute` 要素 (`Name` 属性を `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` に設定) (オプション)** — この要素には、サインインしているユーザーの Active Directory セキュリティ識別子 (SID) を指定する `AttributeValue` 要素が 1 つ含まれています。このパラメータを証明書ベースの認証で使用すると、Active Directory ユーザーへの強力なマッピングが可能になります。詳細については、「証明書ベースの認証」を参照してください。
+ **`Attribute` 要素 (`Name` 属性を `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` に設定) (オプション)** — この要素には、代替ユーザー名形式を指定する `AttributeValue` 要素が 1 つ含まれています。`corp\username`、`corp.example.com\username`、`username@corp.example.com` などのユーザー名形式を必要とするユースケースで、WorkSpaces クライアントを使用してログインする場合は、この属性を使用します。タグのキーと値には、文字、数字、スペース、特殊文字 (**\$1 : / . \$1 = @ -**) の任意の組み合わせを使用できます。詳細については、IAM ユーザーガイドの「[IAM および AWS STSでのタグ付けの規則](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)」を参照してください。`corp\username` または `corp.example.com\username` の形式を使用する場合は、SAML アサーションの **\$1** を **/** に置き換えてください。
+ **`Name` 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain (オプション) に設定された `Attribute` 要素** – この要素には、サインインしているユーザーの Active Directory DNS 完全修飾ドメイン名 (FQDN) を提供する `AttributeValue` 要素が 1 つ含まれています。このパラメータは、ユーザーの Active Directory `userPrincipalName` に代替サフィックスが含まれている場合に、証明書ベースの認証で使用されます。値は、サブドメインを含め、`domain.com` で指定する必要があります。
+ **`Attribute` 要素 (`Name` 属性が https://aws.amazon.com/SAML/Attributes/SessionDuration に設定) (オプション)** – この要素には、再認証が必要となる前にユーザーがアクティブでいられるフェデレーティッドストリーミングセッションの最大時間を特定する 1 つの `AttributeValue` 要素が含まれています。デフォルト値は 3600 秒 (60 分) です。SAML IdP の詳細については、「[SAML `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)」を参照してください。
**注記**  
`SessionDuration` はオプションの属性ですが、これを SAML レスポンスに含めることをお勧めします。この属性を指定しない場合、セッション継続時間はデフォルト値の 3,600 秒 (60 分) に設定されます。WorkSpaces デスクトップセッションは、セッションの有効期限が切れると切断されます。

これらの要素を設定する方法については、「*IAM ユーザーガイド*」の「[認証レスポンスの SAML アサーションを設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。IdP の特定の設定要件に関する詳細は、IdP のドキュメントを参照してください。

## ステップ 6: フェデレーションのリレーステートを設定する
<a name="configure-relay-state"></a>

次に、IdP を使用して WorkSpaces ディレクトリのリレーステートの URL を指すようにフェデレーションのリレーステートを設定します。による認証が成功すると AWS、ユーザーは WorkSpaces ディレクトリエンドポイントに誘導されます。このエンドポイントは、SAML 認証レスポンスでリレー状態として定義されます。

リレーステート URL は次の形式です。

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

WorkSpaces ディレクトリ登録コード、およびディレクトリが位置するリージョンと関連付けられたリレーステートのエンドポイントから、リレーステートの URL を構築します。登録コードは WorkSpaces 管理コンソールで確認できます。

必要に応じて、WorkSpaces でクロスリージョンリダイレクトを使用している場合は、登録コードをプライマリリージョンおよびフェイルオーバーリージョンのディレクトリに関連付けられた完全修飾ドメイン名 (FQDN) に置き換えることができます。詳細については、「[ Amazon WorkSpaces のクロスリージョンリダイレクト](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html)」を参照してください。クロスリージョンリダイレクトと SAML 2.0 認証を使用する場合、プライマリディレクトリとフェイルオーバーディレクトリの両方を SAML 2.0 認証に対して有効にし、各リージョンに関連付けられたリレーステートエンドポイントを使用して IdP で個別に設定する必要があります。これにより、ユーザーがサインインする前に WorkSpaces クライアントアプリケーションを登録するときに FQDN を正しく構成でき、フェイルオーバーイベント中にユーザーが認証できるようになります。

次の表は、WorkSpaces SAML 2.0 認証を利用できるリージョンのリレーステートエンドポイントを示しています。


**WorkSpaces SAML 2.0 認証が利用可能なリージョン**  

| リージョン | リレーステートのエンドポイント | 
| --- | --- | 
| 米国東部 (バージニア北部) リージョン | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html) | 
| 米国西部 (オレゴン) リージョン | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html) | 
| アフリカ (ケープタウン) リージョン | workspaces.euc-sso.af-south-1.aws.amazon.com | 
| アジアパシフィック (ムンバイ) リージョン | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| アジアパシフィック (ソウル) リージョン | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| アジアパシフィック (シンガポール) リージョン | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| アジアパシフィック (シドニー) リージョン | workspaces.euc-sso.ap-southeast-2.aws.amazon.com | 
| アジアパシフィック (東京) リージョン | workspaces.euc-sso.ap-northeast-1.aws.amazon.com | 
| カナダ (中部) リージョン | workspaces.euc-sso.ca-central-1.aws.amazon.com | 
| 欧州 (フランクフルト) リージョン | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| 欧州 (アイルランド) リージョン | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| 欧州 (ロンドン) リージョン | workspaces.euc-sso.eu-west-2.aws.amazon.com | 
| 南米 (サンパウロ) リージョン | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| イスラエル (テルアビブ) リージョン | workspaces.euc-sso.il-central-1.aws.amazon.com | 
| AWS GovCloud (米国西部) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html)  詳細については、「*AWS GovCloud (US) ユーザーガイド*」の「[Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)」を参照してください。   | 
| AWS GovCloud (米国東部) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html)  詳細については、「*AWS GovCloud (US) ユーザーガイド*」の「[Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)」を参照してください。   | 

ID プロバイダー (IdP) によって開始されるフローでは、SAML 2.0 フェデレーションに使用するクライアントを指定できます。これを行うには、リレー状態 URL の末尾の `&client=` の後に、`native` または `web` を指定します。このパラメータがリレー状態の URL で指定されている場合、対応するセッションは指定されたクライアントで自動的に開始されます。

## ステップ 7: WorkSpaces ディレクトリで SAML 2.0 との統合を有効にする
<a name="enable-integration-saml"></a>

WorkSpaces ディレクトリで SAML 2.0 認証を有効にするには、WorkSpaces コンソールを使用できます。

**SAML 2.0 との統合を有効にするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. WorkSpaces のディレクトリ ID を選択します。

1. **[Authentication]** (認証) で、**[Edit]** (編集) を選択します。

1. **[Edit SAML 2.0 Identity Provider]** (SAML 2.0 ID プロバイダーの編集) を選択します。

1. **[Enable SAML 2.0 authentication]** (SAML 2.0 認証の有効化) チェックボックスをオンにします。

1. **[User Access URL]** (ユーザーアクセス URL) と **[IdP deep link parameter name]** (IdP ディープリンクパラメータ名) には、ステップ 1 で設定した IdP とアプリケーションに該当する値を入力します。IdP ディープリンクパラメータ名を省略すると、デフォルトで「RelayState」という名前になります。次の表に、アプリケーションの ID プロバイダー別に固有のユーザーアクセス URL とパラメータ名を示します。  
**許可リストに追加するドメインと IP アドレス**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html)

   ユーザーアクセス URL は、通常、未承諾の IdP を起点とする SSO のプロバイダーによって定義されます。ユーザーはこの URL をウェブブラウザに入力して、SAML アプリケーションに直接フェデレートできます。IdP のユーザーアクセス URL とパラメータ値をテストするには、**[Test]** (テスト) を選択します。現在のブラウザまたは別のブラウザのプライベートウィンドウにテスト URL をコピーして貼り付け、現在の AWS 管理コンソールセッションを中断することなく SAML 2.0 ログオンをテストします。IdP を起点とするフローが開いたら、WorkSpaces クライアントを登録できます。詳細については、「[Identity provider (IdP)-initiated flow](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)」(ID プロバイダー (IdP) を起点とするフロー) を参照してください。

1. **[Allow clients that do not support SAML 2.0 to login]** (SAML 2.0 をサポートしていないクライアントにログインを許可する) チェックボックスをオンまたはオフにして、フォールバック設定を管理します。SAML 2.0 をサポートしていないクライアントタイプまたはバージョンを使用しているユーザーに WorkSpaces へのアクセスを引き続き提供する場合や、ユーザーが最新のクライアントバージョンにアップグレードする時間が必要な場合に、この設定をオンにします。
**注記**  
この設定により、ユーザーは SAML 2.0 ではなく、古いクライアントバージョンを使用したディレクトリ認証を通じてログインできます。

1. ウェブクライアントで SAML を使用するには、Web Access を有効にします。詳細については、「[Amazon WorkSpaces Web Access を有効化および設定する](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html)」を参照してください。
**注記**  
SAML を使用する PCoIP は Web Access ではサポートされていません。

1. **[保存]** を選択します。これで WorkSpaces ディレクトリで SAML 2.0 との統合が有効になりました。IdP およびクライアントアプリケーションを起点とするフローを使用して WorkSpaces クライアントアプリケーションを登録し、WorkSpaces にサインインできます。

# 証明書ベースの認証と WorkSpaces Personal
<a name="certificate-based-authentication"></a>

WorkSpaces で証明書ベースの認証を使用すると、Active Directory ドメインパスワードの入力を求めるユーザープロンプトを削除できます。Active Directory ドメインで証明書ベースの認証を使用すると、以下のことを行うことができます。
+ SAML 2.0 ID プロバイダーに依頼してユーザーを認証し、Active Directory 内のユーザーと一致する SAML アサーションを提供する。
+ ユーザープロンプトの回数を減らして、シングルサインオンでログオンできるようにする。
+ SAML 2.0 ID プロバイダーを使用して、パスワードなしの認証フローを有効にする。

証明書ベースの認証では、 AWSアカウントのAWS Private CAリソースを使用します。 は、ルート CA と下位 CAs を含むプライベート認証機関 (CA) 階層の作成AWS Private CAを有効にします。を使用するとAWS Private CA、独自の CA 階層を作成し、内部ユーザーを認証するための証明書を発行できます。詳細については、「[AWS Private Certificate Authority ユーザーガイド](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)」を参照してください。

証明書ベースの認証AWS Private CAに を使用する場合、WorkSpaces はセッション認証中にユーザーの証明書を自動的にリクエストします。ユーザーは、証明書によりプロビジョニングされた仮想スマートカードを使用して Active Directory に対して認証されます。

証明書ベースの認証は、最新の WorkSpaces Web Access、Windows クライアントアプリケーション、および macOS クライアントアプリケーションを使用している Windows WorkSpaces DCV バンドルでサポートされます。Amazon WorkSpaces の [[Client downloads]](https://clients.amazonworkspaces.com/) (クライアントダウンロード)を開いて、最新バージョンを確認します。
+ Windows クライアントバージョン 5.5.0 以降
+ macOS クライアントバージョン 5.6.0 以降

Amazon WorkSpaces を使用した証明書ベースの認証の設定の詳細については、[Amazon WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/how-to-configure-certificate-based-authentication-for-amazon-workspaces/) [ アプリケーションと WorkSpaces を使用したWorkSpaces」の規制の厳しい環境での設計上の考慮事項](https://aws.amazon.com/blogs/desktop-and-application-streaming/design-considerations-in-highly-regulated-environments-for-certificate-based-authentication-with-appstream-2-0-workspaces/)を参照してください。

## 前提条件
<a name="cert-based-auth-prerequesites"></a>

証明書ベースの認証を有効にする前に、次の手順を実行してください。

1. SAML 2.0 統合を使用して、証明書ベースの認証を使用するように WorkSpaces のディレクトリを設定します。詳細については、「[WorkSpaces と SAML 2.0 の統合](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)」を参照してください。

1. SAML アサーションの `userPrincipalName` 属性を設定します。詳細については、「[SAML 認証レスポンスのアサーションを作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth)」を参照してください。

1. SAML アサーションの `ObjectSid` 属性を設定します。これは、Active Directory ユーザーへの強力なマッピングを実施するために必要です。この属性が SAML\$1Subject `NameID` で指定したユーザーの Active Directory セキュリティ識別子 (SID) と一致しない場合、証明書ベースの認証は失敗します。詳細については、「[SAML 認証レスポンスのアサーションを作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth)」を参照してください。
**注記**  
[Microsoft KB5014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) によると、`ObjectSid` 属性は 2025 年 9 月 10 日以降、証明書ベースの認証で必須となります。

1. SAML 2.0 設定で使用している IAM ロールの信頼ポリシーに [sts:TagSession](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) アクセス許可がまだ存在しない場合は、これを追加します。このアクセス許可は、証明書ベースの認証を使用するために必要です。詳細については、「[SAML 2.0 フェデレーション IAM ロールを作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-saml-iam-role)」を参照してください。

1. Active Directory で設定AWS Private CAされていない場合は、 を使用してプライベート認証機関 (CA) を作成します。 AWS Private CAは証明書ベースの認証を使用する必要があります。詳細については、[AWS Private CA「デプロイの計画](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html)」と「ガイダンスに従って証明書ベースの認証用の CA を設定します。証明書ベースの認証のユースケースでは、次のAWS Private CA設定が最も一般的です。

   1. CA タイプオプション:

      1. 使用期間が短い証明書 CA 使用モード (証明書ベースの認証用のエンドユーザー証明書を発行するためだけに CA を使用する場合に推奨)

      1. ルート CA を含む単一レベルの階層 (既存の CA 階層と統合する場合は下位 CA を選択することも可能)

   1. 主要なアルゴリズムオプション: RSA 2048

   1. サブジェクト識別名オプション: 複数のオプションを自由に組み合わせて、Active Directory の信頼されたルート認証局ストア内の CA を識別します。

   1. 証明書失効オプション: CRL ディストリビューション
**注記**  
証明書ベースの認証には、デスクトップとドメインコントローラーからアクセスできるオンライン CRL ディストリビューションポイントが必要です。これには、プライベート CA CRL エントリ用に設定した Amazon S3 バケットへの認証されていないアクセスが必要です。S3 バケットがパブリックアクセスをブロックしている場合は、このバケットにアクセスできる CloudFront ディストリビューションが必要です。これらのオプションの詳細については、「[証明書失効リスト (CRL) を計画する](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html#s3-bpa)」を参照してください。

1. プライベート CA に `euc-private-ca` という名前でキーをタグ付けし、EUC 証明書ベースの認証で使用する CA を指定します。このキーには値が必要ありません。詳細については、「[プライベート CA のタグの管理](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)」を参照してください。

1. 証明書ベースの認証では、ログオンに仮想スマートカードを使用します。Active Directory で「[サードパーティの証明機関でスマートカードログオンを有効にするためのガイドライン](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)」に従って、次の手順を実行します。
   + ドメインコントローラー証明書を使用して、スマートカードユーザーを認証するようにドメインコントローラーを設定します。Active Directory 証明書サービスのエンタープライズ CA が Active Directory に設定されている場合、ドメインコントローラーに証明書が自動的に登録され、スマートカードによるログオンが可能になります。Active Directory 証明書サービスがない場合は、「[サードパーティ CA からのドメインコントローラー証明書の要件](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller)」を参照してください。ドメインコントローラー証明書は AWS Private CA で作成できます。その場合は、使用期間の短い証明書用に設定されたプライベート CA を使用しないでください。
**注記**  
を使用している場合はAWS Managed Microsoft AD、ドメインコントローラー証明書の要件を満たすように EC2 インスタンスで Certificate Services を設定できます。Active Directory Certificate Services で設定された のAWS Managed Microsoft ADデプロイ例[AWS Launch Wizard](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)については、「」を参照してください。AWSプライベート CA は、Active Directory Certificate Services CA の下位として設定することも、使用時に独自のルートとして設定することもできますAWS Managed Microsoft AD。  
AWS Managed Microsoft ADおよび Active Directory Certificate Services を使用した追加の設定タスクは、コントローラー VPC セキュリティグループから Certificate Services を実行している EC2 インスタンスへのアウトバウンドルールを作成して、TCP ポート 135 および 49152-65535 で証明書の自動登録を有効にすることです。さらに、実行中の EC2 インスタンスは、ドメインインスタンス (ドメインコントローラーを含む) からのインバウンドアクセスを同じポートで許可する必要があります。のセキュリティグループの検索の詳細については、「VPC [サブネットとセキュリティグループを設定する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc)AWS Managed Microsoft AD」を参照してください。
   + AWS Private CAコンソールまたは SDK または CLI を使用して CA を選択し、CA 証明書で CA プライベート証明書をエクスポートします。詳細については「[プライベート証明書のエクスポート](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)」を参照してください。
   + CA をアクティブディレクトリに公開します。ドメインコントローラーまたはドメインに参加しているマシンにログオンします。CA プライベート証明書を任意の `<path>\<file>` にコピーし、ドメイン管理者として次のコマンドを実行します。または、グループポリシーと Microsoft PKI Health Tool (PKIView) ツールを使用して CA を公開することもできます。詳細については、「[設定手順](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions)」を参照してください。

     ```
     certutil -dspublish -f <path>\<file> RootCA
     certutil -dspublish -f  <path>\<file> NTAuthCA
     ```

     コマンドが正常に完了したことを確認したら、プライベート証明書ファイルを削除します。Active Directory のレプリケーション設定によっては、CA がドメインコントローラーとデスクトップインスタンスに公開されるまでに数分かかる場合があります。
**注記**  
WorkSpaces デスクトップがドメインに参加している場合、Active Directory は、WorkSpaces デスクトップで、信頼されたルート認証局とエンタープライズ NTAuth ストアに CA を自動的に配布する必要があります。

## 証明書ベースの認証を有効にする
<a name="enable-cert-based-auth"></a>

証明書ベースの認証を有効にするには、次の手順を実行します。

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. WorkSpaces のディレクトリ ID を選択します。

1. **[Authentication]** (認証) で **[Edit]** (編集) をクリックします。

1. **[Edit Certificate-Based Authentication]** (証明書ベースの認証を編集) をクリックします。

1. **[Enable Certificate-Based Authentication]** (証明書ベースの認証を有効にする) チェックボックスをオンにします。

1. プライベート CA ARN がリストに関連付けられていることを確認します。プライベート CA は同じ AWSアカウントと にありAWS リージョン、リストに表示するには euc-private-ca という名前のキーでタグ付けする必要があります。

1. **[Save Changes]** (変更の保存) をクリックします。これで証明書ベースの認証が有効になりました。

1. Windows WorkSpaces DCV バンドルを再起動し、変更を反映します。詳細については、「[WorkSpaces の再起動](https://docs.aws.amazon.com/workspaces/latest/adminguide/reboot-workspaces.html)」を参照してください。

1. 再起動後、ユーザーがサポートされているクライアントを使用して SAML 2.0 経由で認証すると、ドメインパスワードの入力を求めるプロンプトが表示されなくなります。

**注記**  
証明書ベースの認証を有効にして WorkSpaces にサインインすると、多要素認証 (MFA) がディレクトリで有効になっていても、ユーザーは MFA を求められません。証明書ベースの認証を使用するときに、SAML 2.0 ID プロバイダーを通じて MFA を有効にすることができます。AWS Directory ServiceMFA の詳細については、[「多要素認証 (AD Connector)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)」または[「多要素認証を有効にするAWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html#supportedamazonapps)」を参照してください。

## 証明書ベースの認証の管理
<a name="manage-cert-based-auth"></a>

**CA 証明書**  
一般的な設定の場合、プライベート CA 証明書の有効期間は 10 年です。証明書の有効期限が切れた CA を置き換えたり、新しい有効期間で CA を再発行したりする方法の詳細については、「[プライベート CA ライフサイクルの管理](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html)」を参照してください。

**エンドユーザー証明書**  
WorkSpaces 証明書ベースの認証AWS Private CAのために によって発行されたエンドユーザー証明書は、更新や取り消しを必要としません。これらは使用期間が短い証明書です。WorkSpaces は 24 時間ごとに新しい証明書を自動的に発行します。これらのエンドユーザー証明書の有効期間は、一般的な AWS Private CACRL ディストリビューションよりも短くなります。そのため、エンドユーザー証明書を取り消さなくても、CRL に表示されなくなります。

**監査レポート**  
プライベート CA が発行または取り消したすべての証明書を一覧表示する監査報告書を作成できます。詳細については、「[プライベート CA での監査レポートの使用](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html)」を参照してください。

**ログ記録とモニタリング**  
を使用して[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)、WorkSpaces AWS Private CAによる への API コールを記録できます。詳細については、「[CloudTrail の使用](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html)」を参照してください。[CloudTrail イベント履歴](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)では、WorkSpaces の `EcmAssumeRoleSession` ユーザー名で作成した `acm-pca.amazonaws.com` イベントソースの `GetCertificate` および `IssueCertificate` イベント名を確認できます。これらのイベントは、EUC 証明書ベースの認証リクエストごとに記録されます。

## PCA のクロスアカウント共有を有効にする
<a name="enable-pca-sharing"></a>

 プライベート CA のクロスアカウント共有を使用する場合、一元的な CA を使用するアクセス許可を他のアカウントに付与できます。これにより、アカウントごとのプライベート CA は不要になります。CA は、[AWS Resource Access Manager](https://aws.amazon.com/ram/) を使用して証明書を生成および発行し、アクセス許可を管理できます。プライベート CA クロスアカウント共有は、同じAWSリージョン内の WorkSpaces 証明書ベースの認証 (CBA) で使用できます。

**WorkSpaces の CBA で共有プライベート CA リソースを使用するには**

1. 一元化されたAWSアカウントで CBA のプライベート CA を設定します。詳細については、「[証明書ベースの認証と WorkSpaces Personal](#certificate-based-authentication)」を参照してください。

1.  「How to use RAM to share your ACM Private CA cross-account」の手順に従って、WorkSpaces リソースAWSが CBA を利用するリソースアカウントとプライベート CA を共有します。 [AWS](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)ステップ 3 の証明書を作成する手順は実行する必要はありません。プライベート CA を個々のAWSアカウントと共有することも、AWSOrganizations を通じて共有することもできます。個々のアカウントと共有するには、Resource Access Manager (RAM) コンソールまたは API を使用して、リソースアカウントの共有プライベート CA を受け入れる必要があります。共有を設定するときは、リソースアカウントのプライベート CA の RAM リソース共有で `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` のマネージド型アクセス許可テンプレートが使用されていることを確認します。このテンプレートは、CBA 証明書の発行時に WorkSpaces サービスロールが使用する PCA テンプレートと一致しています。

1. 共有が成功すると、リソースアカウントのプライベート CA コンソールを使用して、共有プライベート CA を表示できるようになります。

1. API または CLI を使用して、プライベート CA の ARN を WorkSpaces ディレクトリプロパティの CBA に関連付けます。現時点では、WorkSpaces コンソールは共有プライベート CA の ARN の選択をサポートしていません。CLI コマンドの例を以下に示します。

   ```
   aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>
   ```

# Microsoft Entra ID に参加済みの WorkSpaces Personal にアクセスする
<a name="access-entra-id"></a>

Microsoft Entra ID に参加済みで Intune に登録されている、Windows 10 または 11 の BYOL 個人用 WorkSpaces を作成できます。詳細については、「[WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する](launch-entra-id.md)」を参照してください。

## 認証ワークフロー
<a name="authentication-workflow-entra"></a>

以下のセクションでは、WorkSpaces クライアントアプリケーション、WorkSpaces Web Access、および SAML 2.0 ID プロバイダー (IdP) の Microsoft Entra ID によって開始される認証ワークフローについて説明します。
+ フローが IdP によって開始されるとき。例えば、ユーザーが Entra ID ユーザーポータルのアプリケーションをウェブブラウザで選択したときです。
+ フローが WorkSpaces クライアントによって開始されるとき。たとえば、ユーザーがクライアントを開いてサインインしたときです。
+ フローが WorkSpaces Web Access によって開始されるとき。たとえば、ユーザーがブラウザで Web Access を開いてサインインしたときです。

これらの例では、ユーザーは「`user@example.onmicrosoft.com`」と入力して IdP にサインインします。Entra ID では、エンタープライズアプリケーションが IAM アイデンティティセンターと統合されるように設定されています。ユーザーは、IAM アイデンティティセンターを ID ソースとして使用して Entra ID テナントに接続するディレクトリに、ユーザー名の WorkSpace を作成します。さらに、ユーザーはデバイスに [WorkSpaces クライアントアプリケーション](https://clients.amazonworkspaces.com/)をインストールするか、ウェブブラウザで Web Access を使用します。

**クライアントアプリケーションを使用したID プロバイダー (IdP) 主導フロー**

IdP 主導のフローでは、ユーザーは WorkSpaces 登録コードを入力せずに、デバイスに WorkSpaces クライアントアプリケーションを自動的に登録できます。ユーザーは、IdP 主導のフローを使用して自身の WorkSpaces に対してサインインしません。WorkSpaces 認証は、クライアントアプリケーションから開始する必要があります。

1. ユーザーはウェブブラウザを使用して、IdP (Microsoft Entra ID) にサインインします 。

1. IdP にサインインした後、ユーザーは IdP ユーザーポータルから AWS IAM アイデンティティセンターアプリケーションを選択します。

1. ユーザーはブラウザで AWS アクセスポータルにリダイレクトされます。ここで WorkSpaces アイコンを選択します。

1. ユーザーはブラウザで以下に示すページにリダイレクトされ、WorkSpaces クライアントアプリケーションが自動的に開きます。クライアントアプリケーションが自動的に開かない場合は、**[Amazon WorkSpaces アプリを開く]** を選択します。  
![\[WorkSpaces アプリケーションリダイレクトページを開く\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces クライアントアプリケーションが登録されました。ユーザーは、**[Continue to sign in to WorkSpaces]** (WorkSpaces へのサインインを続ける) をクリックして続行できます。

**ウェブアクセスを使用した ID プロバイダー (IdP) 主導フロー**

IdP 主導のウェブアクセスフローでは、ユーザーは WorkSpaces 登録コードを入力せずに、ウェブブラウザに WorkSpaces を自動的に登録できます。ユーザーは、IdP 主導のフローを使用して自身の WorkSpaces に対してサインインしません。WorkSpaces 認証は、ウェブアクセスから開始する必要があります。

1. ユーザーはウェブブラウザを使用して、IdP にサインインします。

1. IdP にサインインした後、ユーザーは IdP ユーザーポータルから AWS IAM アイデンティティセンターアプリケーションをクリックします。

1. ユーザーはブラウザで AWS アクセスポータルにリダイレクトされます。ここで WorkSpaces アイコンを選択します。

1. ユーザーはブラウザでこのページにリダイレクトされます。WorkSpaces を開くには、[**Amazon WorkSpaces in the browser**] (ブラウザでの Amazon WorkSpaces) を選択します。  
![\[WorkSpaces アプリケーションリダイレクトページを開く\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces クライアントアプリケーションが登録されました。ユーザーは、WorkSpaces Web Access からサインインを続行できます。

**WorkSpaces クライアント主導フロー**

クライアント主導のフローでは、ユーザーは IdP にサインインした後に WorkSpaces にサインインできます。

1. ユーザーが WorkSpaces クライアントアプリケーションを起動し (まだ実行されていない場合)、[**WorkSpaces へのサインインを続行**] をクリックします。

1. ユーザーはデフォルトのウェブブラウザにリダイレクトされ、IdP にサインインします。ユーザーがブラウザで既に IdP にサインインしている場合、再度サインインする必要はなく、このステップをスキップします。

1. IdP にサインインすると、ユーザーはポップアップにリダイレクトされます。プロンプトに従うと、ウェブブラウザーがクライアントアプリケーションを開くことができます。

1. ユーザーは WorkSpaces クライアントアプリケーションの Windows ログイン画面にリダイレクトされます。

1. ユーザーは、Entra ID のユーザー名と認証情報を使用して Windows へのサインインを完了します。

**WorkSpaces Web Access 主導のフロー**

WorkSpaces Web Access 主導のフローでは、ユーザーは IdP にサインインした後に WorkSpaces にサインインできます。

1. ユーザーは WorkSpaces Web アクセスを起動して、[**サインイン**] を選択します。

1. 同じブラウザータブで、ユーザーは IdP ポータルにリダイレクトされます。ユーザーがブラウザで既に IdP にサインインしている場合、再度サインインする必要はなく、このステップをスキップできます。

1. IdP にサインインすると、ユーザーはブラウザでこのページにリダイレクトされ、**[Log in to WorkSpaces]** (WorkSpaces にログインする) をクリックします。

1. ユーザーは WorkSpaces クライアントアプリケーションの Windows ログイン画面にリダイレクトされます。

1. ユーザーは、Entra ID のユーザー名と認証情報を使用して Windows へのサインインを完了します。

## 初めてログインする場合
<a name="first-time-entra"></a>

Microsoft Entra ID に参加済みの Windows WorkSpaces に初めてログインする場合は、Out of Box Experience (OOBE) を実施する必要があります。OOBE の過程で、WorkSpaces が Entra ID に参加することになります。WorkSpaces 用に作成した Microsoft Intune デバイスグループに割り当てられた Autopilot プロファイルを設定することで、OOBE エクスペリエンスをカスタマイズできます。詳細については、「[ステップ 3: Windows Autopilot のユーザードリブンモードを設定する](launch-entra-id.md#entra-step-3)」を参照してください。

# WorkSpaces Personal での認証にスマートカードを使用する
<a name="smart-cards"></a>

Windows および Linux WorkSpaces DCV バンドルでは、認証に [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) および [Personal Identity Verification (PIV)](https://www.idmanagement.gov/university/piv/) スマートカードを使用できます。

Amazon WorkSpaces は、*セッション前認証*と*セッション内認証*の両方でスマートカードの使用をサポートします。セッション前認証とは、ユーザーが WorkSpaces にログインしている間に実行されるスマートカード認証をいいます。セッション内認証とは、ログイン後に実行される認証をいいます。

例えば、ユーザーは、ウェブブラウザやアプリケーションを操作しながら、セッション内認証にスマートカードを使用できます。また、管理アクセス許可が必要な操作にスマートカードを使用することもできます。例えば、ユーザーが Linux WorkSpace に対する管理アクセス許可を持っている場合、`sudo` および `sudo -i` コマンドの実行時にスマートカードを使用して自身を認証できます。

**Topics**
+ [要件](#smart-cards-requirements)
+ [制限事項](#smart-cards-limitations)
+ [ディレクトリ設定](#smart-cards-directory-config)
+ [Windows WorkSpaces のスマートカードを有効にする](#smart-cards-windows-workspaces)
+ [Ubuntu、Rocky Linux、Red Hat Enterprise Linux WorkSpaces のスマートカードを有効にする](#smart-cards-linux-workspaces)
+ [Amazon Linux 2 WorkSpaces のスマートカードを有効にする](#smart-cards-amazon-linux-workspaces)

## 要件
<a name="smart-cards-requirements"></a>
+ セッション前認証には、Active Directory Connector (AD Connector) ディレクトリが必要です。AD Connector は、証明書ベースの相互 Transport Layer Security (相互 TLS) 認証を使用し、ハードウェアまたはソフトウェアベースのスマートカード証明書を使用して Active Directory に対してユーザーを認証します。AD Connector およびオンプレミスのディレクトリを設定する方法の詳細については、[ディレクトリ設定](#smart-cards-directory-config) を参照してください。
+ Windows または Linux WorkSpace でスマートカードを使用するには、ユーザーは Amazon WorkSpaces Windows クライアントバージョン 3.1.1 以降、WorkSpaces macOS クライアントバージョン 3.1.5 以降、または WorkSpaces Ubuntu 22.04 クライアントバージョン 2024.1 以降を使用する必要があります (スマートカード認証は WorkSpaces Ubuntu 20.04 クライアントではサポートされていません）。Windows および MacOSクライアントでスマートカードを使用する方法の詳細については、*Amazon WorkSpaces ユーザーガイド*の[スマートカードのサポート](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html)を参照してください。
+ ルート CA 証明書およびスマートカード証明書は、特定の要件を満たしている必要があります。詳細については、 *AWS Directory Service 管理ガイド*の「[Enable mTLS authentication in AD Connector for use with smart cards](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)」および Microsoft のドキュメントの「[証明書の要件](https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-certificate-requirements-and-enumeration#certificate-requirements)」を参照してください。

  これらの要件に加えて、Amazon WorkSpaces へのスマートカード認証に使用されるユーザー証明書には、以下の属性を含める必要があります。
  + 証明書の subjectAltName (SAN) フィールドの AD ユーザーの userPrincipalName (UPN)。ユーザーのデフォルト UPN のスマートカード証明書を発行することをお勧めします。
**注記**  
Amazon Linux 2 WorkSpaces はcertificate-to-userマッピングに UPN に依存しています。Ubuntu、Rocky Linux、Red Hat Enterprise Linux WorkSpaces などの新しい Linux WorkSpaces は、より安全な[マッピング方法](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking)をサポートしています。
  + クライアント認証 (1.3.6.1.5.5.7.3.2) 拡張キー使用法 (EKU) 属性。
  + スマートカードログオン (1.3.6.1.4.1.311.20.2.2) EKU 属性。
+ セッション前認証では、証明書失効チェックにオンライン証明書状態プロトコル (OCSP) は必須です。セッション内認証では、OCSP を使用することをお勧めしますが、必須ではありません。
**注記**  
Ubuntu WorkSpaces、Rocky Linux WorkSpaces、Red Hat Enterprise Linux WorkSpaces では、デフォルトでセッション内認証に OCSP が必要であり、これらのシステムでの OCSP 検証では、再生攻撃を防ぐために OCSP レスポンダーが NONCE 拡張機能を有効にする必要があります。NONCE 拡張機能を無効にするには、セッション内 OCSP 検証を完全に無効にする必要があります。Ubuntu、Rocky Linux、Red Hat Enterprise Linux WorkSpaces で OCSP 検証を無効にするには、次の内容`/etc/sssd/conf.d/disable-ocsp.conf`の新しいファイルを作成します。  

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## 制限事項
<a name="smart-cards-limitations"></a>
+ 現在、スマートカード認証では、WorkSpaces Windows クライアントアプリケーションバージョン 3.1.1 以降、WorkSpaces macOS クライアントアプリケーションバージョン 3.1.5 以降、および WorkSpaces Ubuntu 22.04 クライアントアプリケーションバージョン 2024.1 以降のみがサポートされています。WorkSpaces Ubuntu 20.04 以前のクライアントアプリケーションは、スマートカード認証ではサポートされていません。
+ WorkSpaces Windows クライアントアプリケーション 3.1.1 以降では、クライアントが 64 ビットバージョンの Windows で実行されている場合にのみ、スマートカードがサポートされます。
+ 現在、スマートカード認証では、AD Connector ディレクトリのみがサポートされています。
+ セッション内認証は、DCV がサポートされているすべてのリージョンで利用可能です。セッション前認証は、以下のリージョンで使用できます。
  + アジアパシフィック (シドニー) リージョン
  + アジアパシフィック (東京) リージョン
  + 欧州 (アイルランド) リージョン
  + AWS GovCloud (米国東部) リージョン
  + AWS GovCloud (米国西部) リージョン
  + 米国東部 (バージニア北部) リージョン
  + 米国西部 (オレゴン) リージョン
+ 現在、Linux または Windows WorkSpaces でのセッション内認証およびセッション前認証では、一度に 1 つのスマートカードのみが許可されています。複数のカードを同時に使用することはできますが、サポートされていません。
+ 現在、セッション前認証において、スマートカード認証とサインイン認証の両方を同じディレクトリで有効にすることはサポートされていません。
+ 現時点では、CAC カードと PIV カードのみがサポートされています。他のタイプのハードウェアまたはソフトウェアベースのスマートカードも機能する可能性がありますが、DCV での使用は完全にはテストされていません。

## ディレクトリ設定
<a name="smart-cards-directory-config"></a>

スマートカード認証を有効にするには、AD Connector ディレクトリおよびオンプレミスのディレクトリを次の方法で設定する必要があります。

**AD Connector ディレクトリの設定**  
開始する前に、*AWS Directory Service 管理ガイド*の[ AD Connector の前提条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)の説明に従って AD Connector ディレクトリが設定されていることを確認します。特に、ファイアウォールで必要なポートを開いていることを確認してください。

AD Connector ディレクトリの設定を完了するには、*AWS Directory Service 管理ガイド*の「[スマートカードで使用する AD Connector で mTLS 認証を有効にする](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)」の手順に従います。

**注記**  
スマートカード認証が正しく機能するためには、Kerberos の制約付き委任 (KCD) が必要です。KCD では、AD Connector サービスアカウントのユーザー名部分が、同じユーザーの sAMAccountName と一致している必要があります。sAMAccountName は 20 文字を超えることはできません。

**オンプレミスのディレクトリの設定**  
AD Connector ディレクトリの設定に加えて、次の操作を行います。
+ オンプレミスディレクトリのドメインコントローラーに発行される証明書に「KDC Authentication」拡張キー使用量 (EKU) が設定されていることを確認します。これを行うには、Active Directory Domain Services (AD DS) のデフォルトの Kerberos 認証証明書テンプレートを使用します。ドメインコントローラー証明書テンプレートまたはドメインコントローラー認証証明書テンプレートには、スマートカード認証に必要な設定が含まれていないため、これらのテンプレートを使用しないでください。
+ Linux WorkSpaces の場合、スマートカード証明書を発行する CA の OCSP レスポンダーで NONCE 拡張機能が有効になっていることを確認します。有効にできない場合は、Ubuntu、Rocky Linux、Red Hat Enterprise Linux WorkSpaces でセッション内 OCSP 検証を無効にする必要があります。OCSP 検証を無効にするには、次の内容`/etc/sssd/conf.d/disable-ocsp.conf`の新しいファイルを作成します。

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## Windows WorkSpaces のスマートカードを有効にする
<a name="smart-cards-windows-workspaces"></a>

Windows でスマートカード認証を有効にする方法の一般的なガイダンスについては、Microsoft のドキュメントの「[サードパーティの証明機関でスマートカードログオンを有効にするためのガイドライン](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)」をご参照ください。

**Windows ロック画面を検出してセッションを切断するには**  
画面がロックされているときに、スマートカードのセッション前認証が有効になっている Windows WorkSpaces のロックをユーザーが解除できるようにするには、ユーザーのセッションで Windows ロック画面の検出を有効にします。Windows ロック画面が検出されると、WorkSpace セッションは切断され、ユーザーはスマートカードを使用して WorkSpaces クライアントから再接続できます。

 グループポリシー設定を使用して、Windows ロック画面が検出されたときに、セッションの切断を有効にできます。詳細については、「[DCV の画面ロックで切断セッションを設定する](group_policy.md#gp_lock_screen_in_wsp)」を参照してください。

**セッション内認証またはセッション前認証を有効にするには**  
デフォルトでは、Windows WorkSpaces は、セッション前認証またはセッション内認証にスマートカードの使用をサポートするために有効化されていません。必要に応じグループポリシー設定を使用して、Windows WorkSpaces のセッション前認証およびセッション内認証を有効にできます。詳細については、「[DCV のスマートカードリダイレクトを設定する](group_policy.md#gp_smart_cards_in_wsp)」を参照してください

セッション前認証を使用するには、グループポリシー設定の更新に加えて、AD Connector ディレクトリ設定からセッション前認証を有効にする必要があります。詳細については、*AWS Directory Service 管理ガイド*の「[スマートカードで使用する AD Connector で mTLS 認証を有効にする](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)」を参照してください。

**ユーザーがブラウザでスマートカードを使用できるようにするには**  
ユーザーが Chrome をブラウザとして使用している場合、スマートカードを使用するために特別な設定は必要ありません。

ユーザーが Firefox をブラウザとして使用している場合は、グループポリシーを通じて Firefox でスマートカードを使用できるように設定できます。GitHub では、これらの [Firefox グループポリシーテンプレート](https://github.com/mozilla/policy-templates/tree/master/windows)を使用できます。

例えば、PKCS \$111 をサポートするために、Windows 用 [OpenSC](https://github.com/OpenSC/OpenSC/wiki) の 64 ビットバージョンをインストールし、次のグループポリシー設定を使用できます。ここで、`NAME_OF_DEVICE` は PKCS \$111 の識別に使用する任意の値 (`OpenSC` など)、`PATH_TO_LIBRARY_FOR_DEVICE` は PKCS \$111 モジュールへのパスです。このパスは、.DLL 拡張子の付いたライブラリ (`C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll` など) をポイントする必要があります。

```
Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
```

**ヒント**  
OpenSC を使用している場合は、`pkcs11` プログラムを実行して OpenSC `pkcs11-register.exe` モジュールを Firefox にロードすることもできます。このプログラムを実行するには、`C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe` のファイルをダブルクリックするか、コマンドプロンプトウィンドウを開き、次のコマンドを実行します。  

```
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"
```
OpenSC `pkcs11` モジュールが Firefox にロードされたことを確認するには、次の操作を行います。  
Firefox が既に実行されている場合は、Firefox を終了します。
Firefox を開きます。右上のメニューボタン ![\[Firefox menu button\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/firefox-menu-button.png) を選択し、[**Options**] (オプション) を選択します。
[**about:preferences**] ページの左側のナビゲーションペインで、[**Privacy & Security**] (プライバシーとセキュリティ) を選択します。
[**Certificates**] (証明書) で、[**Security Devices**] (セキュリティデバイス) を選択します。
[**Device Manager**] (デバイスマネージャー) ダイアログボックスで、左側のナビゲーションに **OpenSC スマートカードフレームワーク (0.21)** が表示され、選択すると次の値が表示されます。  
**モジュール**: `OpenSC smartcard framework (0.21)`  
**パス**: `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`

**トラブルシューティング**  
スマートカードのトラブルシューティングについては、Microsoft のドキュメントの「[証明書と構成に関する問題](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#certificate-and-configuration-problems)」をご参照ください。

問題を引き起こす可能性のある一般的な問題は次のとおりです。
+ 証明書へのスロットのマッピングが正しくありません。
+ ユーザーと一致する複数の証明書がスマートカードにあること。証明書は、以下の基準を使用して照合されます。
  + 証明書のルート CA。
  + 証明書の `<KU>` フィールドおよび `<EKU>` フィールド。
  + 証明書のサブジェクトの UPN。
+ キーの使用に `<EKU>msScLogin` が含まれる複数の証明書を有していること。

一般的に、スマートカード認証のために、スマートカードの最初のスロットにマッピングされた証明書を 1 つだけ使用することがベストプラクティスです。

スマートカード上の証明書およびキーを管理するためのツール (証明書およびキーの削除または再マッピングなど) は、製造元によって異なる場合があります。詳細については、スマートカードの製造元から提供されているドキュメントをご参照ください。

## Ubuntu、Rocky Linux、Red Hat Enterprise Linux WorkSpaces のスマートカードを有効にする
<a name="smart-cards-linux-workspaces"></a>

Ubuntu、Rocky Linux、Red Hat Enterprise Linux WorkSpaces でスマートカードを使用できるようにするには、スマートカードを発行するすべての CA とドメインコントローラー証明書を発行するすべての CAs について、ルート CA 証明書とすべての中間 CAs証明書を WorkSpace イメージに含める必要があります。

**CA 証明書を取得するには:** いくつかの方法で CA 証明書を取得できます。
+ サードパーティー認証機関の CA 証明書バンドルを使用できます。
+ 独自の CA 証明書をエクスポートするには、 `http://ip_address/certsrv`または のいずれかのウェブ登録サイトを使用します。ここで`http://fqdn/certsrv`、 `ip_address` と `fqdn`は CA サーバーの IP アドレスと完全修飾ドメイン名 (FQDN) です。ウェブ登録サイトの使用の詳細については、Microsoft のドキュメントの「[ルート証明機関の証明書をエクスポートする方法](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate)」をご参照ください。
+ 次の手順を使用して、Active Directory Certificate Services (AD CS) を実行している CA サーバーから CA 証明書をエクスポートできます。AD CS のインストールの詳細については、Microsoft のドキュメントの「[証明機関をインストールする](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority)」をご参照ください。

  1. 管理者アカウントを使用して CA サーバーにログインします。

  1. Windows の [**Start**] (スタート) メニューから、コマンドプロンプトウィンドウ ([**Start**] (スタート) > [**Windows System**] (Windows システム) > [**Command Prompt**] (コマンドプロンプト)) を開きます。

  1. 次のコマンドを使用して、CA 証明書を新しいファイルにエクスポートします。ここで、 `rootca.cer`は新しいファイルの名前です。

     ```
     certutil -ca.cert rootca.cer
     ```

     certutil の実行の詳細については、Microsoft のドキュメントの「[certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil)」をご参照ください。

  1. 次の OpenSSL コマンドを使用して、エクスポートされた CA 証明書を DER 形式から PEM 形式に変換します。*rootca* は証明書の名前です。OpenSSL の詳細については、[www.openssl.org](https://www.openssl.org/) をご参照ください。

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**Linux WorkSpaces に CA 証明書を追加するには**

スマートカードの有効化を支援するために、Linux WorkSpaces DCV バンドルに `enable_smartcard`スクリプトを追加しました。このスクリプトは以下のアクションを実行します。
+ CA 証明書を Linux WorkSpaces の SSSD の信頼ルートを定義するプライベート PEM バンドルにインポートします）。
+ SSSD、PAM、および Kerberos 設定を更新します。これには、WorkSpace プロビジョニング中の `PKINIT` (パスワードではなく証明書を使用した Kerberos 認証) の有効化が含まれます。

次の手順では、 `enable_smartcard`スクリプトを使用して CA 証明書をインポートし、Linux WorkSpaces のスマートカード認証を有効にする方法について説明します。

1. DCV プロトコルを有効にして新しい Linux WorkSpace を作成します。Amazon WorkSpaceで WorkSpace を起動するときは、**バンドルの選択**ページでプロトコルの **DCV** を選択し、Linux WorkSpaces パブリックバンドルのいずれかを選択します。 Amazon WorkSpaces 

1. 新しく作成した WorkSpace で、 `/etc/skylight.conf` ファイルに `[features]`セクションの`pam_smartcard = true`行があることを確認します。

   ```
   [features]
   pam_smartcard = true
   ```
**注記**  
すべてのユーザーが強力な`altSecurityIdentities`証明書マッピングを使用するようにまだ設定されていない場合は、レガシーマッピングメソッド`/etc/skylight.conf`をサポートするために の同じ`[features]`セクションに`smartcard_weak_mapping = true`行を追加することもできますが、代わりにできるだけ早く強力なマッピングメソッドを使用するようにユーザーを移行することをお勧めします。

1. WorkSpace で、次のコマンドを root として実行します。ここで、、 `pem-path1` `pem-path2`などはファイルへのパスであり、それぞれにスマートカード証明書とドメインコントローラー証明書の信頼チェーン内の CA 証明書の 1 つが含まれています。これらのファイルはすべて PEM 形式であり、ファイルごとに 1 つの証明書が含まれている必要があります。Glob パターンを使用できます (例: `*.pem`)

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path1 pem-path2 pem-path3 ...
   ```
**注記**  
上記のコマンドを実行する前に、次のコマンドをルートとして使用して、追加の依存関係パッケージが WorkSpace にインストールされていることを確認してください。  
Rocky Linux および Red Hat Enterprise Linux WorkSpaces の場合:   

   ```
   dnf install sssd-dbus libsss_simpleifp sssd-tools krb5-pkinit opensc
   ```
 Ubuntu WorkSpaces の場合:   

   ```
   apt install krb5-pkinit opensc
   ```

1. WorkSpace で追加のカスタマイズを実行します。例えば、システム全体のポリシーを追加して、[ユーザーが Firefox でスマートカードを使用できるようにします](#smart-cards-firefox-linux)。(Chrome ユーザーは、ユーザー自身がスマートカードを有効にする必要があります。 詳細については、*Amazon WorkSpaces ユーザーガイド*の「[スマートカードのサポート](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html)」を参照してください。

1. WorkSpace から[カスタム WorkSpace イメージとバンドルを作成](create-custom-bundle.md)します。

1. 新しいカスタムバンドルを使用して、ユーザーの WorkSpaces を起動します。

Linux WorkSpace イメージに SecurityDevices ポリシーを追加することで、ユーザーが Firefox でスマートカードを使用できるようにすることができます。システム全体のポリシーの Firefox への追加の詳細については、GitHub の [Mozilla のポリシーテンプレート](https://github.com/mozilla/policy-templates/releases)をご参照ください。

**ユーザーが Firefox でスマートカードを使用できるようにするには**

1. WorkSpace イメージの作成に使用している WorkSpace で、 `policies.json`という名前の新しいファイルを作成します。ここで`PREFIX/firefox/distribution/`、 `/usr/lib64` `PREFIX`は Fedora ベースのシステム (Amazon Linux 2、Red Hat Enterprise Linux、Rocky Linux WorkSpaces) と Debian ベースのシステム (Ubuntu WorkSpaces) `/usr/lib`にあります。

1. JSON ファイルで、次の SecurityDevices ポリシーを追加します。ここで、`NAME_OF_DEVICE` は `pkcs` モジュールの識別に使用する任意の値です。例えば、`"OpenSC"` などの値を使用できます。

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "PREFIX/opensc-pkcs11.so"
           }
       }
   }
   ```

**トラブルシューティング**  
スマートカード認証のトラブルシューティングは、セッション前のパスワード認証を使用するように設定されている場合に容易になります。セッションプロビジョニング中に、Linux WorkSpaces は、使用されるセッション前の認証方法に応じて、オンホスト認証モードの設定をパスワードベースまたはスマートカードベースに自動的に切り替えます。スマートカード認証に問題がある場合、パスワードセッション前認証を使用して切断および再接続すると、ワークスペースはパスワードホスト時認証にリセットされます。Linux WorkSpaces インスタンスをスマートカード認証に手動で切り替えるには、コマンドをルート`/usr/lib/skylight/resume_smartcard`として実行します。

Linux WorkSpaces は、スマートカードを操作するために OpenSC ソフトウェアを使用します。このソフトウェアには、スマートカードに関する問題のトラブルシューティングに役立つ `pkcs11-tool`や `pkcs15-tool` などのツールが付属しています。これらのツールは、スマートカードリーダー、個々のトークン、および各スマートカードトークンの PIV スロットまたは証明書を検査するために使用できます。

`openssl` コマンドラインツールは、トラストチェーン、OCSP レスポンダー、または欠落している KUs/EKUs (キー使用量/拡張キー使用量) フラグに関する問題のトラブルシューティングに役立ちます。特に、スマートカードからパブリック証明書を抽出する `pkcs15-tool`の機能と組み合わせて使用できます。

一般的なトラブルシューティングオプション:
+ スマートカードから最初に (通常は PIV スロット 9A) 証明書を抽出し、 として保存します`card-cert.pem`。 `pkcs15-tool --read-certificate 1 > card-cert.pem`
+ WorkSpace の信頼データベースに対して抽出された証明書を検証します。 `openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem`
+ 抽出されたスマートカード証明書から OCSP URL を取得します。 `openssl x509 -noout -ocsp_uri -in card-cert.pem`
+ OCSP レスポンスが証明書が有効であることを示し、NONCE: が含まれていることを確認します。ここで`openssl ocsp -issuer /etc/sssd/pki/sssd_auth_ca_db.pem -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem -text -url OCSP_URI`、*OCSP\$1URI* は上記の OCSP URL です。
+ ドメインコントローラー証明書が信頼されていると見なされるかどうかを確認します。ここで`openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem`、*DC\$1HOSTNAME* は Active Directory ドメイン内のいずれかのドメインコントローラーのホスト名です。
+ ドメインコントローラー証明書に KDC 認証 EKU (拡張キーの使用) が設定されていることを確認します。 `openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl x509 -noout -text`
+ 手動 PKINIT を試行して、問題を絞り込むために使用できるエラーコードがあるかどうかを確認します。 の場合`KRB5_TRACE=/dev/stdout kinit -X X509_user_identity=PKCS11:opensc-pkcs11.so:certid=01 -V`、*01* はカード上の 4 つの主要な PIV スロットのうちの 1 つの数です。 `01` の場合は `9A`、 `02`の場合は `9C`などです。ほとんどのカードには、スロット 9A でのユーザー認証用の証明書があります。
+ システムがスマートカード証明書を AD ユーザー (ルートとして実行): にマッピングできるかどうかを確認します`dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe/Users org.freedesktop.sssd.infopipe.Users.FindByCertificate string:"$(<card-cert.pem)"`。これは、SSSD のデバッグログ記録の有効化と組み合わせることができます。

最も一般的な既知の問題:
+ スマートカード証明書の不完全な信頼チェーン - `enable_smartcard`スクリプトを使用して証明書をインポートする場合、すべてのルート CA 証明書と中間 CA 証明書の完全なリストを提供する必要があります。ルート CA 証明書のリストに がないためにインポートされた証明書がすべて信頼されていないと、`enable_smartcard`ツールにエラーが表示されますが、信頼チェーン全体またはいずれかの信頼チェーン内の最も内側の中間 CA 証明書が見つからない場合は検出できません。この場合、エラーなしで証明書をインポートしますが、スマートカード証明書またはドメインコントローラー証明書のいずれかが信頼されていないと見なされる可能性があります。
+ ドメインコントローラー証明書の信頼チェーンがない - ドメインコントローラー証明書がスマートカードとは異なる CA によって発行されている場合 ([共通アクセスカード (CAC)](https://www.cac.mil/Common-Access-Card) の場合など）、その CA 信頼チェーンをスマートカード発行 CA 証明書と一緒にインポートする必要があります。
+ OCSP レスポンダーでの NONCE 拡張機能のサポートの欠如 - Linux WorkSpaces では、スマートカード発行者の OCSP レスポンダーで NONCE 拡張機能が有効になっている必要があります。有効にできない場合は、OCSP 検証を完全に無効にする必要があります。
+ ドメインコントローラー証明書に `KDC Authentication` EKU (OID 1.3.6.1.5.2.3.1) がありません。ドメインコントローラー証明書を機能させるには、KDC 認証 EKU を含めるために再発行する必要があります。
+ ドメインコントローラー証明書の有効期限が切れています。ドメインコントローラー証明書を機能させるには、スマートカード認証up-to-date状態に保つ必要があります。
+ スマートカード証明書は、弱いマッピング方法を使用して AD のユーザーにマッピングされます。従来、 subjectAltName 属性の UPN フィールドは AD のユーザーに証明書をマッピングするために使用され、userPrincipalName 属性と一致することが予想されます。これは安全なマッピング方法とはみなされなくなり、デフォルトでは許可されません。引`--allow-weak-mapping`数を `enable_smartcard` コマンドに渡し、 `/etc/skylight.conf` ファイルの `[features]`セクションに`smartcard_weak_mapping = true`行を追加することで再有効化できますが、より適切な解決策は、強力なマッピング方法のいずれかを使用することです。詳細については、[「アカウントリンクのドキュメント](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking)」を参照してください。

スマートカード上の証明書およびキーを管理するためのツール (証明書およびキーの削除または再マッピングなど) は、製造元によって異なる場合があります。スマートカードの操作に使用できるその他のツールは次のとおりです。
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**デバッグログを有効にするには**
+ 各セクション`/etc/sssd/sssd.conf`に`debug_level = LEVEL`行を追加します。ここで、*LEVEL* は 1 から 10 までの希望する詳細レベルです。対応する各セクションのログは、 `/var/log/sssd/` ディレクトリにあります。詳細については、「SSSD ドキュメント[https://docs.pagure.org/sssd.sssd/users/troubleshooting.html#sssd-debug-logs](https://docs.pagure.org/sssd.sssd/users/troubleshooting.html#sssd-debug-logs)」および[https://sssd.io/troubleshooting/basics.html#sssd-debug-logs](https://sssd.io/troubleshooting/basics.html#sssd-debug-logs)「」を参照してください。

## Amazon Linux 2 WorkSpaces のスマートカードを有効にする
<a name="smart-cards-amazon-linux-workspaces"></a>

**注記**  
現在、DCV 上の Amazon Linux 2 WorkSpaces には次の制限があります。  
クリップボード、オーディオ入力、ビデオ入力、およびタイムゾーンのリダイレクトはサポートされていません。
マルチモニターはサポートされていません。

Amazon Linux 2 WorkSpaces でスマートカードを使用できるようにするには、WorkSpace イメージに PEM 形式のルート CA 証明書ファイルを含める必要があります。

**ルート CA 証明書を取得するには:** いくつかの方法でルート CA 証明書を取得できます。
+ サードパーティーの証明機関によって運用されるルート CA 証明書を使用できます。
+ ウェブ登録サイト (`http://ip_address/certsrv` または `http://fqdn/certsrv`) を使用して、独自のルート CA 証明書をエクスポートできます。ここで、`ip_address` および `fqdn` はルート証明書 CA サーバーの IP アドレスおよび完全修飾ドメイン名 (FQDN) です。ウェブ登録サイトの使用の詳細については、Microsoft のドキュメントの「[ルート証明機関の証明書をエクスポートする方法](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate)」をご参照ください。
+ 次の手順を使用して、Active Directory 証明書サービス (AD CS) を実行しているルート CA 証明書サーバーからルート CA 証明書をエクスポートできます。AD CS のインストールの詳細については、Microsoft のドキュメントの「[証明機関をインストールする](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority)」をご参照ください。

  1. 管理者アカウントを使用してルート CA サーバーにログインします。

  1. Windows の [**Start**] (スタート) メニューから、コマンドプロンプトウィンドウ ([**Start**] (スタート) > [**Windows System**] (Windows システム) > [**Command Prompt**] (コマンドプロンプト)) を開きます。

  1. 次のコマンドを使用して、ルート CA 証明書を新しいファイルにエクスポートします。ここで、`rootca.cer` は新しいファイルの名前です。

     ```
     certutil -ca.cert rootca.cer
     ```

     certutil の実行の詳細については、Microsoft のドキュメントの「[certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil)」をご参照ください。

  1. 次の OpenSSL コマンドを使用して、エクスポートされたルート CA 証明書を DER 形式から PEM 形式に変換します。ここで、*rootca* は証明書の名前です。OpenSSL の詳細については、[www.openssl.org](https://www.openssl.org/) をご参照ください。

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**Amazon Linux 2 WorkSpaces にルート CA 証明書を追加するには**

お客様がスマートカードを有効にするのをサポートするために、この `enable_smartcard` スクリプトを当社の Amazon Linux DCV バンドルに追加しました。このスクリプトは以下のアクションを実行します。
+ ルート CA 証明書を[ネットワークセキュリティサービス (NSS)](https://developer.mozilla.org/docs/Mozilla/Projects/NSS) データベースにインポートします。
+ PAM (Pluggable Authentication Module) 認証用の `pam_pkcs11` モジュールをインストールします。
+ WorkSpace プロビジョニング中の `pkinit` の有効化を含む、デフォルト設定を実行します。

次の手順では、 `enable_smartcard`スクリプトを使用してルート CA 証明書を Amazon Linux 2 WorkSpaces に追加し、Amazon Linux 2 WorkSpaces のスマートカードを有効にする方法について説明します。

1. DCV プロトコルを有効にして新しい Amazon Linux 2 WorkSpace を作成します。Amazon WorkSpaces コンソールで WorkSpace を起動する際に、**[バンドルを選択]** ページで、プロトコルとして **[DCV]** を選択し、いずれかの Amazon Linux 2 パブリックバンドルを選択します。

1. 新しい WorkSpace で、次のコマンドをルートとして実行します。ここで、`pem-path` は PEM 形式のルート CA 証明書ファイルへのパスです。

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path
   ```
**注記**  
Amazon Linux 2 WorkSpaces は、スマートカードの証明書が などのユーザーのデフォルトのユーザープリンシパル名 (UPN) に対して発行されていることを前提としています。ここで`sAMAccountName@domain`、 `domain` は完全修飾ドメイン名 (FQDN) です。  
代替 UPN サフィックスを使用するには、`run /usr/lib/skylight/enable_smartcard --help` をご参照ください。代替 UPN サフィックスのマッピングは、各ユーザーに固有です。したがって、そのマッピングは、各ユーザーの WorkSpace で個別に実行する必要があります。

1. (オプション) デフォルトでは、すべてのサービスで Amazon Linux 2 WorkSpaces でスマートカード認証を使用できます。特定のサービスについてのみスマートカード認証を使用できるようにするには、`/etc/pam.d/system-auth` を編集する必要があります。必要に応じて、`auth` の `pam_succeed_if.so` 行のコメントを解除し、サービスのリストを編集します。

   `auth` 行のコメントを解除した後、あるサービスについてスマートカード認証を使用できるようにするには、その行をリストに追加する必要があります。あるサービスにについてパスワード認証のみを使用するには、リストからそのサービスを削除する必要があります。

1. WorkSpace に追加のカスタマイズを実行します。例えば、システム全体のポリシーを追加して、[ユーザーが Firefox でスマートカードを使用できるようにします](#smart-cards-firefox-amazon-linux)。(Chrome ユーザーは、ユーザー自身がスマートカードを有効にする必要があります。 詳細については、*Amazon WorkSpaces ユーザーガイド*の「[スマートカードのサポート](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html)」を参照してください。

1. WorkSpace から[カスタム WorkSpace イメージとバンドルを作成](create-custom-bundle.md)します。

1. 新しいカスタムバンドルを使用して、ユーザーの WorkSpaces を起動します。

Amazon Linux 2 WorkSpace イメージに SecurityDevices ポリシーを追加することで、ユーザーが Firefox でスマートカードを使用できるようにします。システム全体のポリシーの Firefox への追加の詳細については、GitHub の [Mozilla のポリシーテンプレート](https://github.com/mozilla/policy-templates/releases)をご参照ください。

**ユーザーが Firefox でスマートカードを使用できるようにするには**

1. WorkSpace イメージの作成に使用している WorkSpace で、`policies.json` という名前の新しいファイルを `/usr/lib64/firefox/distribution/` で作成します。

1. JSON ファイルで、次の SecurityDevices ポリシーを追加します。ここで、`NAME_OF_DEVICE` は `pkcs` モジュールの識別に使用する任意の値です。例えば、`"OpenSC"` などの値を使用できます。

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so"
           }
       }
   }
   ```

**トラブルシューティング:** トラブルシューティングには、 `pkcs11-tools`ユーティリティを追加することをお勧めします。このユーティリティを使用すると、次のアクションを実行できます。
+ 各スマートカードを一覧表示します。
+ 各スマートカードのスロットを一覧表示します。
+ 各スマートカードの証明書を一覧表示します。

問題を引き起こす可能性のある一般的な問題は次のとおりです。
+ 証明書へのスロットのマッピングが正しくありません。
+ ユーザーと一致する複数の証明書がスマートカードにあること。証明書は、以下の基準を使用して照合されます。
  + 証明書のルート CA。
  + 証明書の `<KU>` フィールドおよび `<EKU>` フィールド。
  + 証明書のサブジェクトの UPN。
+ キーの使用に `<EKU>msScLogin` が含まれる複数の証明書を有していること。

一般的に、スマートカード認証のために、スマートカードの最初のスロットにマッピングされた証明書を 1 つだけ使用することがベストプラクティスです。

スマートカード上の証明書およびキーを管理するためのツール (証明書およびキーの削除または再マッピングなど) は、製造元によって異なる場合があります。スマートカードの操作に使用できるその他のツールは次のとおりです。
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**デバッグログを有効にするには**

`pam_pkcs11` および `pam-krb5` の設定のトラブルシューティングを行うには、デバッグのログを有効にします。

1. `/etc/pam.d/system-auth-ac` ファイルで、`auth` アクションを編集し、`nodebug` の `pam_pksc11.so` パラメータを `debug` に変更します。

1. `/etc/pam_pkcs11/pam_pkcs11.conf` ファイルで、`debug = false;` を `debug = true;` に変更します。`debug` オプションは、各マッパーモジュールに個別に適用されるので、`pam_pkcs11` セクションの直下と適切なマッパーセクション (デフォルトでは、これは `mapper generic`) の両方で変更する必要がある場合があります。

1. `/etc/pam.d/system-auth-ac` ファイルで、`auth` アクションを編集し、`debug` または `debug_sensitive` パラメータを `pam_krb5.so` に追加します。

デバッグのログを有効にすると、システムはアクティブな端末に直接 `pam_pkcs11` デバッグメッセージを出力します。`pam_krb5` からのメッセージは `/var/log/secure` でログインされます。

スマートカード証明書がマップされるユーザー名を確認するには、次の `pklogin_finder` コマンドを使用します。

```
sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf
```

プロンプトが表示されたら、スマートカードの PIN を入力します。`pklogin_finder` は、スマートカード証明書のユーザー名を `stdout` に `NETBIOS\username` 形式で出力します。このユーザー名は WorkSpace ユーザー名と一致する必要があります。

Active Directory Domain Services (AD DS) では、NetBIOS ドメイン名は Windows 2000 より前のドメイン名です。通常 (ただし、常にではありません)、NetBIOS ドメイン名はドメインネームシステム (DNS) ドメイン名のサブドメインです。例えば、DNS ドメイン名が `example.com` の場合、NetBIOS ドメイン名は通常 `EXAMPLE` です。DNS ドメイン名が `corp.example.com` の場合、NetBIOS ドメイン名は通常 `CORP` です。

例えば、`mmajor` ドメイン内のユーザー `corp.example.com` の場合、`pklogin_finder` からの出力は `CORP\mmajor` です。

**注記**  
メッセージ `"ERROR:pam_pkcs11.c:504: verify_certificate() failed"` を受け取った場合、このメッセージは、`pam_pkcs11` がユーザー名の条件に一致する証明書をスマートカード上に見つけたものの、マシンで認識されるルート CA 証明書に連鎖していないことを示します。この場合、`pam_pkcs11` は上記のメッセージを出力し、次の証明書を試します。認証を許可するのは、ユーザー名と一致し、かつ、認識されたルート CA 証明書まで連鎖する証明書が見つかった場合だけです。

`pam_krb5` 設定をトラブルシューティングするには、次のコマンドを使用して、デバッグモードで手動で `kinit` を起動できます。

```
KRB5_TRACE=/dev/stdout kinit -V
```

このコマンドは、Kerberos Ticket Granting Ticket (TGT) を正常に取得するはずです。失敗する場合は、正しい Kerberos プリンシパル名をコマンドに明示的に追加してみてください。例えば、ドメイン `mmajor` 内のユーザー `corp.example.com` の場合は、次のコマンドを使用します。

```
KRB5_TRACE=/dev/stdout kinit -V mmajor
```

このコマンドが成功した場合、WorkSpace ユーザー名から Kerberos プリンシパル名へのマッピングに問題がある可能性が最も高いです。`[appdefaults]/pam/mappings` ファイル内の `/etc/krb5.conf` セクションを確認してください。

このコマンドが成功せず、パスワードベースの `kinit` コマンドが成功した場合は、`pkinit_` ファイル内の `/etc/krb5.conf` に関連する設定を確認してください。例えば、スマートカードに複数の証明書が含まれている場合は、`pkinit_cert_match` に変更を加える必要がある場合があります。

# WorkSpaces Personal でのインターネットアクセス
<a name="amazon-workspaces-internet-access"></a>

オペレーティングシステムの更新をインストールしてアプリケーションをデプロイできるように、WorkSpaces はインターネットにアクセスできる必要があります。次のいずれかのオプションを使用して、Virtual Private Cloud (VPC) の WorkSpaces がインターネットにアクセスできるようにします。

**オプション**
+ プライベートサブネットで WorkSpaces を起動し、VPC のパブリックサブネットで NAT ゲートウェイを設定します。
+ パブリックサブネットで WorkSpaces を起動し、WorkSpaces にパブリック IP アドレスを自動的または手動で割り当てます。

これらのオプションの詳細については、[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md) の対応するセクションを参照してください。

これらのオプションのいずれかを使用して、WorkSpaces のセキュリティグループがすべての宛先（`0.0.0.0/0`）へのポート 80（HTTP）および 443（HTTPS）のアウトバウンドトラフィックを許可していることを確認する必要があります。

**Amazon Linux Extras Library**  
Amazon Linux リポジトリを使用している場合は、Amazon Linux WorkSpaces がインターネットにアクセスできるか、このリポジトリおよびメイン Amazon Linux リポジトリへの VPC エンドポイントを設定する必要があります。詳細については、[Amazon S3 のエンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html)の*例: Amazon Linux AMI リポジトリへのアクセスの有効化*のセクションを参照してください。Amazon Linux AMI リポジトリは、各リージョン内の Amazon S3 バケットです。VPC 内のインスタンスが、エンドポイント経由でリポジトリにアクセスできるようにする場合、それらのバケットへのアクセスを有効にするエンドポイントポリシーを作成します。次のポリシーでは、Amazon Linux リポジトリへのアクセスが許可されます。

```
{
  "Statement": [
    {
        "Sid": "AmazonLinux2AMIRepositoryAccess",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
        ]
    }
  ]
}
```

# WorkSpaces Personal のセキュリティグループ
<a name="amazon-workspaces-security-groups"></a>

WorkSpaces にディレクトリを登録すると、2 つのセキュリティグループが作成されます。1 つはディレクトリコントローラー用で、もう 1 つはディレクトリ内の WorkSpaces 用です。ディレクトリコントローラーのセキュリティグループの名前は、ディレクトリ識別子の後に **\$1controllers** が続きます (たとえば、d-12345678e1\$1controllers)。WorkSpaces のセキュリティグループの名前は、ディレクトリ識別子の後に **\$1workspacesMembers** が続きます (たとえば、d-123456fc11\$1workspacesMembers)。

**警告**  
**\$1controllers** および **\$1workspacesMembers** セキュリティグループを変更、削除、デタッチしないでください。これらのセキュリティグループを変更または削除する場合は注意が必要です。これらのグループを再作成したり、変更または削除した後に追加し直したりすることはできないからです。詳細は、「[Linux インスタンス用の Amazon EC2 セキュリティグループ](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2-security-groups.html)」または「[Windows インスタンス用 Amazon EC2 セキュリティグループ](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-security-groups.html)」を参照してください。

デフォルトの WorkSpaces セキュリティグループをディレクトリに追加できます。新しいセキュリティグループを WorkSpaces ディレクトリに関連付けると、新しい WorkSpaces を起動したときや、既存の WorkSpaces を再構築したときに、新しいセキュリティグループが追加されます。このトピックで後ほど説明するように、[既存の WorkSpaces を再構築することなく、この新しいデフォルトのセキュリティグループを追加する](#security_group_existing_workspace)こともできます。

複数のセキュリティグループを WorkSpaces ディレクトリに関連付けると、すべてのセキュリティグループのルールが効率的にまとめられて 1 つのルールセットが作成されます。セキュリティグループルールをできるだけ凝縮することをお勧めします。

VPC セキュリティグループの詳細については、*Amazon VPC ユーザーガイド*の [VPC のセキュリティグループ](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_SecurityGroups.html)を参照してください。

**WorkSpaces ディレクトリにセキュリティグループを追加するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Update Details**] の順に選択します。

1. [**Security Group**] を展開して、セキュリティグループを選択します。

1. [**Update and Exit**] を選択します。

既存の WorkSpaces を再構築せずにそこにセキュリティグループを追加するには、新しいセキュリティグループを WorkSpaces の Elastic Network Interface (ENI) に割り当てます。

**既存の WorkSpace にセキュリティグループを追加するには**

1. 更新が必要な各 WorkSpace の IP アドレスを確認します。

   1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

   1. 各 WorkSpace を展開し、その WorkSpace IP アドレスを記録します。

1. 各 WorkSpace の ENI を見つけ、セキュリティグループの割り当てを更新します。

   1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)) を開きます。

   1. [**ネットワークとセキュリティ**] で、[**ネットワークインターフェイス**] を選択します。

   1. ステップ 1 で記録した最初の IP アドレスを検索します。

   1. IP アドレスに関連付けられている ENI を選択し、[**アクション**]、[**セキュリティグループの変更**] の順に選択します。

   1. 新しいセキュリティグループを選択し、[**保存**] を選択します。

   1. 他の WorkSpaces についても、必要に応じてこのプロセスを繰り返します。

# WorkSpaces Personal の IP アクセスコントロールグループ
<a name="amazon-workspaces-ip-access-control-groups"></a>

Amazon WorkSpaces では、WorkSpaces にアクセスできる IP アドレスを制御できます。IP アドレスに基づくコントロールグループを使用すると、信頼できる IP アドレスのグループを定義および管理し、信頼できるネットワークに接続しているときにだけ WorkSpaces にアクセスできるようにすることができます。

*IP アクセスアクセスコントロールグループ*は、ユーザーが自分の WorkSpaces にアクセスできる IP アドレスを制御する仮想ファイアウォールとして機能します。CIDR アドレス範囲を指定するには、IP アクセスコントロールグループにルールを追加し、そのグループをディレクトリに関連付けます。IP アクセスコントロールグループごとに最大 30 個のルールを追加でき、各 IP アクセスコントロールグループを 1 つ以上のディレクトリに関連付けることができます。 AWS アカウントごとにリージョンごとに最大 140 個の IP アクセスコントロールグループを作成できます。ただし、1 つのディレクトリに関連付けることができる IP アクセスコントロールグループは最大 35 個のみです。

デフォルトの IP アクセスコントロールグループが各ディレクトリに関連付けられています。このデフォルトのグループには、ユーザーがどこからでも自分の WorkSpaces にアクセスできるようにするデフォルトのルールが含まれています。ディレクトリのデフォルトの IP アクセスコントロールグループを変更することはできません。IP アクセスコントロールグループをディレクトリに関連付けない場合は、デフォルトのグループが使用されます。IP アクセスコントロールグループをディレクトリに関連付けると、デフォルトの IP アクセスコントロールグループの関連付けが解除されます。

信頼できるネットワークのパブリック IP アドレスと IP アドレスの範囲を指定するには、IP アクセスコントロールグループにルールを追加します。ユーザーが NAT ゲートウェイまたは VPN 経由で WorkSpaces にアクセスする場合は、NAT ゲートウェイまたは VPN のパブリック IP アドレスからのトラフィックを許可するルールを作成する必要があります。

**注記**  
IP アクセスコントロールグループでは、NAT 用に動的 IP アドレスを使用することはできません。NAT を使用している場合は、動的 IP アドレスではなく静的 IP アドレスを使用するように設定します。WorkSpaces セッションの間、NAT がすべての UDP トラフィックを同じ静的 IP アドレス経由でルーティングするようにします。
IP アクセス制御グループは、ユーザーが WorkSpaces にストリーミングセッションを接続できる IP アドレスを制御します。ユーザーは、Amazon WorkSpaces パブリック API を使用して、任意の IP アドレスから再起動、再構築、シャットダウンなどの機能を実行できます。
ストリーミング用の VPC エンドポイントがディレクトリに設定されている場合、IP アクセスコントロールグループは適用されません。
IP アクセスコントロールを変更すると、アクティブなセッションはすぐには中断されません。変更は新しいセッションにのみ適用されます。

この機能は、Web Access、PCoIP ゼロクライアント、ならびに macOS、iPad、Windows、Chromebook、および Android 用のクライアントアプリケーションで使用できます。

## IP アクセスコントロールグループを作成する
<a name="create-ip-access-control-group"></a>

IP アクセスコントロールグループは、次のように作成できます。各 IP アクセスコントロールグループには、最大 30 個のルールを含めることができます。

**IP アクセスコントロールグループを作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**IP アクセスコントロール**] を選択します。

1. [**IP グループの作成**] を選択します。

1. [**IP グループの作成**] ダイアログボックスで、グループ名と説明を入力し、[**作成**] を選択します。

1. グループを選択してから、[**編集**] を選択します。

1. 各 IP アドレスで、[**Add Rule** (ルールの追加)] を選択します。[**Source** (送信元)] に IP アドレスまたは IP アドレスの範囲を入力します。[**説明**] に説明を入力します。ルールの追加を完了したら、[**保存**] を選択します。

## IP アクセスコントロールグループをディレクトリに関連付ける
<a name="associate-ip-access-control-group"></a>

IP アクセスコントロールグループをディレクトリに関連付けることで、信頼できるネットワークからのみ WorkSpaces にアクセスできるようにすることができます。

ルールを持たない IP アクセスコントロールグループをディレクトリに関連付けると、すべての WorkSpaces へのすべてのアクセスがブロックされます。

**IP アクセスコントロールグループをディレクトリに関連付けるには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Update Details**] の順に選択します。

1. [**IP アクセスコントロールグループ**] を展開し、1 つ以上の IP アクセスコントロールグループを選択します。

1. [**Update and Exit**] を選択します。

## IP アクセスコントロールグループをコピーする
<a name="copy-ip-access-control-group"></a>

既存の IP アクセスコントロールグループを新しい IP アクセスコントロールグループを作成するためのベースとして使用できます。

**既存の IP アクセスコントロールグループから新しいグループを作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**IP アクセスコントロール**] を選択します。

1. グループを選択して、[**アクション**]、[**コピーして新規作成**] の順に選択します。

1. [**IP グループのコピー**] ダイアログボックスで、新しいグループの名前と説明を入力し、[**グループのコピー**] を選択します。

1. (オプション) 元のグループからコピーしたルールを変更するには、新しいグループを選択し、[**編集**] を選択します。必要に応じてルールを追加、更新、または削除します。[**保存**] を選択します。

## IP アクセスコントロールグループを削除する
<a name="delete-ip-access-control-group"></a>

IP アクセスコントロールグループからいつでもルールを削除できます。WorkSpace への接続を許可するために使用されたルールを削除すると、そのユーザーは WorkSpace から切断されます。

IP アクセスコントロールグループを削除する前に、任意のディレクトリから関連付けを解除する必要があります。

**IP アクセスコントロールグループを削除するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. IP アクセスコントロールグループに関連付けられている各ディレクトリで、ディレクトリを選択し、[**アクション**]、[**更新の詳細**] の順に選択します。[**IP アクセスコントロールグループ**] を展開し、IP アクセスコントロールグループのチェックボックスをオフにして、[**更新と終了**] を選択します。

1. ナビゲーションペインで [**IP アクセスコントロール**] を選択します。

1. グループを選択し、[**アクション**]、[**IP グループの削除**] を選択します。

# WorkSpaces Personal で PCoIP ゼロクライアントを設定する
<a name="set-up-pcoip-zero-client"></a>

PCoIP ゼロクライアントは、PCoIP プロトコルを使用する WorkSpaces バンドルと互換性があります。

ゼロクライアントデバイスにファームウェアバージョン 6.0.0 以降がある場合、ユーザーは各自の WorkSpaces に直接接続できます。ユーザーが、ゼロクライアントデバイスを使用して WorkSpaces に直接接続する場合には、WorkSpaces ディレクトリに Multi-Factor Authentication (MFA) を使用することをお勧めします。ディレクトリに MFA を使用する方法については、次のドキュメントを参照してください。
+ **AWS Managed Microsoft AD** — *AWS Directory Service管理ガイド*の [AWS Managed Microsoft AD の多要素認証を有効にする](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)
+ **AD Connector** — *AWS Directory Service 管理ガイド*の [AD Connector の多要素認証を有効にする](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)および [WorkSpaces Personal の多要素認証 (AD Connector)](connect-mfa.md)
+ **信頼されたドメイン** — *AWS Directory Service 管理ガイド*の [AWS Managed Microsoft AD の多要素認証を有効にする](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)
+ **Simple AD** — 多要素認証は、Simple AD では使用できません。

2021 年 4 月 13 日以降、バージョンが 4.6.0～6.0.0 のゼロクライアントデバイスファームウェアでは、PCoIP Connection Manager の使用がサポートされなくなりました。バージョンが 6.0.0 以降ではないゼロクライアントファームウェアをご使用のお客様は、[https://www.teradici.com/desktop-access](https://www.teradici.com/desktop-access) の Desktop Access サブスクリプションを通じて最新のファームウェアをご入手いただけます。

**重要**  
Teradici PCoIP Administrative Web Interface (AWI) または Teradici PCoIP Management Console (MC) で、必ずネットワークタイムプロトコル (NTP) を有効にします。NTP ホストの DNS 名には **pool.ntp.org** を使用し、NTP ホストポートを **123** に設定します。NTP が有効になっていない場合、PCoIP ゼロクライアントユーザーに、「指定された証明書はタイムスタンプのため無効です」などの証明書の失敗エラーが表示されることがあります。
PCoIP エージェントのバージョン 20.10.4 以降、Amazon WorkSpaces は、Windows レジストリを介して USB リダイレクトをデフォルトで無効にします。このレジストリ設定は、ユーザーが PCoIP ゼロクライアントデバイスを使用して WorkSpaces に接続する場合の USB 周辺機器の動作に影響します。詳細については、「[PCoIP ゼロクライアントで USB プリンタと他の USB 周辺機器が動作しない](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb)」を参照してください。

PCoIP ゼロクライアントデバイスをセットアップし、接続する方法については、*Amazon WorkSpaces ユーザーガイド*の [PCoIP ゼロクライアント](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html)を参照してください。承認された PCoIP ゼロクライアントデバイスのリストについては、Teradici ウェブサイトの「[PCoIP Zero Clients](https://www.teradici.com/resource-center/product-service-finder/pcoip-zero-clients)」をご参照ください。

# WorkSpaces Personal で Chromebook 用の Android を設定する
<a name="set-up-android-chromebook"></a>

バージョン 2.4.13 は、Amazon WorkSpaces Chromebook クライアントアプリケーションの最終リリースです。[Google は Chrome アプリのサポートを段階的に廃止](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html)するため、WorkSpaces Chromebook クライアントアプリケーションはこれ以上更新されず、その使用はサポートされません。

[Android アプリケーションのインストールに対応している Chromebook](https://www.chromium.org/chromium-os/chrome-os-systems-supporting-android-apps/) では、代わりに [WorkSpaces Android クライアントアプリケーション](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html)を使用することをお勧めします。

2019 年より前に発売された一部の Chromebook では、ユーザーが Amazon WorkSpaces Android クライアントアプリケーションをインストールするには、事前に [Android アプリのインストール](https://support.google.com/chromebook/answer/7021273)を有効にする必要があります。詳細については、「[Chrome OS Systems Supporting Android Apps](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps)」を参照してください。

ユーザーの Chromebook で Android アプリをインストールできるようにリモート管理する方法については、「[Set up Android on Chrome devices](https://support.google.com/chrome/a/topic/9042368)」を参照してください。

# WorkSpaces Personal で WorkSpaces Web Access を有効にして設定する
<a name="web-access"></a>

ほとんどの WorkSpaces バンドルは、Amazon WorkSpaces Web Access をサポートしています。ウェブブラウザのアクセスをサポートする WorkSpaces のリストについては、「ウェブアクセスはどの Amazon WorkSpaces バンドルでサポートされていますか?」を参照してください。[クライアントアクセス、Web アクセス、およびユーザーエクスペリエンス](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience)で。

**注記**  
2025 年 11 月 7 日現在、Amazon WorkSpaces PCoIP Web Access は新規お客様に公開されていません。この機能は、今後重要な機能更新とセキュリティ更新のみを受け取ります。詳細については、「[Amazon WorkSpaces ユーザーガイド](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html)」を参照してください。
Windows および Ubuntu WorkSpaces の DCV による Web Access は、DCV WorkSpaces が利用可能なすべてのリージョンでサポートされています。Amazon Linux WorkSpaces の DCV は、 AWS GovCloud (米国西部) でのみ使用できます。
最高のストリーミング品質とユーザーエクスペリエンスを実現するために、DCV WorkSpaces で Web Access を使用することを強くお勧めします。PCoIP WorkSpaces で Web Access を使用する場合、次のような制限があります。  
PCoIP によるウェブアクセスは AWS GovCloud (US) Regions、、アジアパシフィック (ムンバイ）、アフリカ (ケープタウン）、欧州 (フランクフルト）、イスラエル (テルアビブ) ではサポートされていません。
PCoIP による Web Access は、Windows WorkSpaces でのみサポートされ、Amazon Linux または Ubuntu WorkSpaces ではサポートされません。
Web Access は、PCoIP プロトコルを使用する一部の Windows 10 WorkSpaces では使用できません。PCoIP WorkSpaces が Windows Server 2019 または 2022 を搭載している場合、Web Access は使用できません。
PCoIP による Web Access は、機能が制限されています。ビデオ出力、オーディオ出力、キーボード、マウスはサポートされていますが、ビデオ入力、オーディオ入力、クリップボードリダイレクト、ウェブカメラなど、多くの機能はサポートされていません。
VPN で macOS を使用し、Firefox ウェブブラウザを使用している場合、このウェブブラウザでは WorkSpaces Web Access を使用した PCoIP WorkSpaces のストリーミングはサポートされません。これは Firefox の WebRTC プロトコル実装における制限によるものです。

**重要**  
2020 年 10 月 1 日以降、お客様は Amazon WorkSpaces Web Access クライアントを使用して Windows 7 カスタム WorkSpaces または Windows 7 Bring-Your-Own-License (BYOL) WorkSpaces に接続できなくなります。

## ステップ 1: WorkSpaces で Web Access を有効にする
<a name="enable-web-access"></a>

WorkSpaces への Web Access は、ディレクトリレベルで制御します。Web Access クライアント経由のアクセスをユーザーに許可する WorkSpaces を含むディレクトリごとに、以下のステップを実行します。

**WorkSpaces への Web Access を有効にするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. **[Directory ID]** (ディレクトリ ID) 列で、Web Access を有効にするディレクトリのディレクトリ ID を選択します。

1. **[Directory Details]** (ディレクトリの詳細) ページで、**[Other platforms]** (その他のプラットフォーム) セクションまでスクロールし、**[Edit]** (編集) を選択します。

1. [**Web Access**] を選択します。

1. **[保存]** を選択します。

**注記**  
ウェブアクセスを有効にしたら、WorkSpace を再起動して変更を適用します。

## ステップ 2: Web Access 用のポートへのインバウンドおよびアウトバウンドアクセスを設定する
<a name="configure_inbound_outbound"></a>

Amazon WorkSpaces Web Access では、特定のポートに対するインバウンドおよびアウトバウンドアクセスが必要です。詳細については、「[Web Access のポート](workspaces-port-requirements.md#web-access-ports)」を参照してください。

## ステップ 3: グループポリシーとセキュリティポリシーの設定を構成してユーザーがログオンできるようにする
<a name="configure_group_policy"></a>

Amazon WorkSpaces では、ユーザーが Web Access クライアントから正常にログオンできるように、専用のログオン画面設定を使用しています。

Web Access ユーザーが WorkSpaces にログオンできるようにするには、グループポリシー設定と 3 つのセキュリティポリシー設定を構成する必要があります。これらの設定が正しく設定されていないと、ログオン時間が長くなったり、WorkSpaces にログオンする際にブラックスクリーンがユーザーに表示されたりする場合があります。これらの設定を構成するには、次の手順に従います。

グループポリシーオブジェクト (GPO) を使用して、Windows WorkSpaces または Windows WorkSpaces ディレクトリの一部であるユーザーを管理するための設定を適用できます。WorkSpaces コンピュータオブジェクト用の組織単位と WorkSpaces ユーザーオブジェクト用の組織単位を作成することをお勧めします。

Active Directory 管理ツールを使用して GPO を操作する方法の詳細については、*AWS Directory Service 管理ガイド*の [Active Directory 管理ツールのインストール](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)を参照してください。

**WorkSpaces ログオンエージェントを有効にしてユーザーを切り替えるには**

ほとんどの場合、ユーザーが WorkSpace にログオンする際、そのユーザーの名前にユーザー名フィールドがあらかじめ設定されています。ただし、管理者が WorkSpace への RDP 接続を確立してメンテナンスタスクを実行した場合、ユーザー名フィールドには管理者の名前が追加されます。

この問題を回避するには、グループポリシー設定の [**Hide entry points for Fast User Switching**] を無効にします。この設定を無効にすると、WorkSpaces ログオンエージェントで [**Switch User**] ボタンを使用して、ユーザー名フィールドに正しい名前を追加することができます。

1. グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに [WorkSpaces グループポリシー管理用テンプレート](group_policy.md#gp_install_template)がインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

1. メインメニューの [**Action**]、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Policies**]、[**Administrative Templates**]、[**System**]、[**Logon**] の順に選択します。

1. [**Hide entry points for Fast User Switching**] 設定を開きます。

1. [**Hide entry points for Fast User Switching**] ダイアログボックスで、[**無効**]、[**OK**] の順に選択します。

デフォルトでは、[**Switch User**] ボタンではなく、最後にログオンしたユーザーのリストが表示されます。WorkSpace の設定によって、このリストは [**Other User**] タイルに表示されない場合があります。リストが表示されない場合や、あらかじめ設定されたユーザー名が正しくない場合は、WorkSpaces ログオンエージェントを使用してフィールドに正しい名前を追加することはできません。

この問題を回避するには、セキュリティポリシー設定 [**Interactive logon: Don't display last signed-in**] または [**Interactive logon: Do not display last user name**] (使用している Windows のバージョンに応じて) を有効にします。

**最後にログオンしたユーザー名を非表示にするには**

1. グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに [WorkSpaces グループポリシー管理用テンプレート](group_policy.md#gp_install_template)がインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

1. メインメニューの [**Action**]、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Windows Settings**]、[**Security Settings**]、[**Local Policies**]、[**Security Options**] の順に選択します。

1. 次のいずれかの設定を開きます。
   + Windows 7 の場合 — **Interactive logon: Don't display last signed-in**
   + Windows 10 の場合 — **Interactive logon: Do not display last user name**

1. 該当する設定の [**プロパティ**] ダイアログボックスで、[**有効**]、[**OK**] の順に選択します。

**ユーザーがログオンするために Ctrl\$1Alt\$1Del キーを押すようにするには**

WorkSpaces Web Access では、ユーザーがログオンする前に Ctrl\$1Alt\$1Del キーを押す必要があります。ユーザーがログオンする前に Ctrl\$1Alt\$1Del キーを押すように要求すると、ユーザーがパスワードを入力するときに信頼されたパスを使用できるようになります。

1. グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに [WorkSpaces グループポリシー管理用テンプレート](group_policy.md#gp_install_template)がインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

1. メインメニューの [**Action**]、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Windows Settings**]、[**Security Settings**]、[**Local Policies**]、[**Security Options**] の順に選択します。

1. [**Interactive logon: Do not require CTRL\$1ALT\$1DEL**] 設定を開きます。

1. [**Local Security Setting**] タブで、[**Disabled**] を選択して [**OK**] を選択します。

**セッションがロックされているときにドメインとユーザー情報を表示するには**

WorkSpaces ログオンエージェントは、ユーザーの名前とドメインを検索します。この設定を構成すると、ロック画面にユーザーのフルネーム (Active Directory で指定されている場合)、ドメイン名、およびユーザー名が表示されます。

1. グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに [WorkSpaces グループポリシー管理用テンプレート](group_policy.md#gp_install_template)がインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

1. メインメニューの [**Action**]、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Windows Settings**]、[**Security Settings**]、[**Local Policies**]、[**Security Options**] の順に選択します。

1. [**Interactive logon: Display user information when the session is locked**] 設定を開きます。

1. [**Local Security Setting**] タブで、[**User display name, domain and user names**] を選択し、[**OK**] を選択します。

**グループポリシーとセキュリティポリシーの設定の変更を適用するには**  
グループポリシーおよびセキュリティポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。前の手順でグループポリシーとセキュリティポリシーの変更を適用するには、次のいずれかの操作を行います。
+ WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、[**Actions**] (アクション)、[**Reboot WorkSpaces**] (WorkSpaces の再起動) を選択します)。
+ 管理コマンドプロンプトから、**gpupdate /force** と入力します。

# WorkSpaces シンクライアントの設定
<a name="access-control-awstc"></a>

ほとんどの WorkSpaces バンドルは、Amazon WorkSpaces シンクライアントアクセスをサポートしています。ウェブブラウザのアクセスをサポートする WorkSpaces のリストについては、「Which Amazon WorkSpaces bundles support Thin Client Access?」を参照してください。[クライアントアクセス、Web アクセス、およびユーザーエクスペリエンス](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience)で。

## ステップ 1: Amazon WorkSpaces シンクライアントへのアクセスコントロールを有効にする
<a name="enable-access-control-awstc"></a>

ユーザーエージェントベースのアクセスコントロールを使用して、ディレクトリレベルで WorkSpaces へのシンクライアントアクセスを制御します。シンクライアントアクセスクライアント経由のアクセスをユーザーに許可する WorkSpaces を含むディレクトリごとに、以下のステップを実行します。

**WorkSpaces へのシンクライアントアクセスを有効にするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. **[ディレクトリ ID]** 列で、シンクライアントアクセスを有効にするディレクトリのディレクトリ ID を選択します。

1. **[Directory Details]** (ディレクトリの詳細) ページで、**[Other platforms]** (その他のプラットフォーム) セクションまでスクロールし、**[Edit]** (編集) を選択します。

1. **WorkSpaces シンクライアント**を選択します。

1. **[保存]** を選択します。

## ステップ 2: シンクライアントアクセス用のポートへのインバウンドおよびアウトバウンドアクセスを設定する
<a name="configure_inbound_outbound_awstc"></a>

Amazon WorkSpaces シンクライアントアクセスでは、特定のポートに対するインバウンドおよびアウトバウンドアクセスが必要です。詳細については、「[Web Access のポート](workspaces-port-requirements.md#web-access-ports)」を参照してください。

## ステップ 3: グループポリシーとセキュリティポリシーの設定を構成してユーザーがログオンできるようにする
<a name="configure_group_policy-awstc"></a>

Amazon WorkSpaces では、ユーザーがシンクライアントアクセスクライアントから正常にログオンできるように、専用のログオン画面設定を使用しています。

1. シンクライアントアクセスユーザーが WorkSpaces にログオンできるようにするには、グループポリシー設定と 3 つのセキュリティポリシー設定を構成する必要があります。これらの設定が正しく設定されていないと、ログオン時間が長くなったり、WorkSpaces にログオンする際にブラックスクリーンがユーザーに表示されたりする場合があります。これらの設定を構成するには、次の手順に従います。

1. グループポリシーオブジェクト (GPO) を使用して、Windows WorkSpaces または Windows WorkSpaces ディレクトリの一部であるユーザーを管理するための設定を適用できます。WorkSpaces コンピュータオブジェクト用の組織単位と WorkSpaces ユーザーオブジェクト用の組織単位を作成することをお勧めします。

1. Active Directory 管理ツールを使用して GPO を操作する方法の詳細については、*AWS Directory Service 管理ガイド*の [Active Directory 管理ツールのインストール](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)を参照してください。

1. ほとんどの場合、ユーザーが WorkSpace にログオンする際、そのユーザーの名前にユーザー名フィールドがあらかじめ設定されています。ただし、管理者が WorkSpace への RDP 接続を確立してメンテナンスタスクを実行した場合、ユーザー名フィールドには管理者の名前が追加されます。

1. この問題を回避するには、グループポリシー設定の [**Hide entry points for Fast User Switching**] を無効にします。この設定を無効にすると、WorkSpaces ログオンエージェントで [**Switch User**] ボタンを使用して、ユーザー名フィールドに正しい名前を追加することができます。

**WorkSpaces ログオンエージェントを有効にしてユーザーを切り替えるには**

1. グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに [WorkSpaces グループポリシー管理用テンプレート](group_policy.md#gp_install_template)がインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

1. メインメニューの [**Action**]、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Policies**]、[**Administrative Templates**]、[**System**]、[**Logon**] の順に選択します。

1. [**Hide entry points for Fast User Switching**] 設定を開きます。

1. [**Hide entry points for Fast User Switching**] ダイアログボックスで、[**無効**]、[**OK**] の順に選択します。

デフォルトでは、[**Switch User**] ボタンではなく、最後にログオンしたユーザーのリストが表示されます。WorkSpace の設定によって、このリストは [**Other User**] タイルに表示されない場合があります。リストが表示されない場合や、あらかじめ設定されたユーザー名が正しくない場合は、WorkSpaces ログオンエージェントを使用してフィールドに正しい名前を追加することはできません。

この問題を回避するには、セキュリティポリシー設定 [**Interactive logon: Don't display last signed-in**] または [**Interactive logon: Do not display last user name**] (使用している Windows のバージョンに応じて) を有効にします。

**最後にログオンしたユーザー名を非表示にするには**

1. グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに [WorkSpaces グループポリシー管理用テンプレート](group_policy.md#gp_install_template)がインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

1. メインメニューの [**Action**]、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Windows Settings**]、[**Security Settings**]、[**Local Policies**]、[**Security Options**] の順に選択します。

1. 次のいずれかの設定を開きます。
   + Windows 7 の場合 — **Interactive logon: Don't display last signed-in**
   + Windows 10 の場合 — **Interactive logon: Do not display last user name**

1. 該当する設定の [**プロパティ**] ダイアログボックスで、[**有効**]、[**OK**] の順に選択します。

WorkSpaces シンクライアントアクセスでは、ユーザーがログオンする前に Ctrl\$1Alt\$1Del キーを押す必要があります。ユーザーがログオンする前に Ctrl\$1Alt\$1Del キーを押すように要求すると、ユーザーがパスワードを入力するときに信頼されたパスを使用できるようになります。

**ユーザーがログオンするために Ctrl\$1Alt\$1Del キーを押すようにするには**

1. グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに [WorkSpaces グループポリシー管理用テンプレート](group_policy.md#gp_install_template)がインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

1. メインメニューの [**Action**]、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Windows Settings**]、[**Security Settings**]、[**Local Policies**]、[**Security Options**] の順に選択します。

1. [**Interactive logon: Do not require CTRL\$1ALT\$1DEL**] 設定を開きます。

1. [**Local Security Setting**] タブで、[**Disabled**] を選択して [**OK**] を選択します。

WorkSpaces ログオンエージェントは、ユーザーの名前とドメインを検索します。この設定を構成すると、ロック画面にユーザーのフルネーム (Active Directory で指定されている場合)、ドメイン名、およびユーザー名が表示されます。

**セッションがロックされているときにドメインとユーザー情報を表示するには**

1. グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces に使用するディレクトリのドメインまたはドメインコントローラーレベルで GPO に移動して選択します (ドメインに [WorkSpaces グループポリシー管理用テンプレート](group_policy.md#gp_install_template)がインストールされている場合は、WorkSpaces マシンアカウント用の WorkSpaces GPO を使用できます。)

1. メインメニューの [**Action**]、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Windows Settings**]、[**Security Settings**]、[**Local Policies**]、[**Security Options**] の順に選択します。

1. [**Interactive logon: Display user information when the session is locked**] 設定を開きます。

1. [**Local Security Setting**] タブで、[**User display name, domain and user names**] を選択し、[**OK**] を選択します。

グループポリシーおよびセキュリティポリシー設定の変更は、WorkSpace の次回のグループポリシーの更新後、および WorkSpace セッションの再起動後に有効になります。前の手順でグループポリシーとセキュリティポリシーの変更を適用するには、次のいずれかの操作を行います。

**グループポリシーとセキュリティポリシーの設定の変更を適用するには**

1. WorkSpaces を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[Actions]** (アクション)、**[Reboot WorkSpaces]** (WorkSpaces の再起動) を選択します)。

1. 管理コマンドプロンプトから、**gpupdate /force** と入力します。

# WorkSpaces Personal で FedRAMP 認証または DoD SRG コンプライアンスを設定する
<a name="fips-encryption"></a>

[Federal Risk and Authorization Management Program (FedRAMP)](https://aws.amazon.com/compliance/fedramp/) または [Department of Defense(DoD)Cloud Computing Security Requirements Guide (SRG)](https://aws.amazon.com/compliance/dod/) に準拠するには、ディレクトリレベルで連邦情報処理標準 (FIPS) エンドポイント暗号化を使用するように Amazon WorkSpaces を設定する必要があります。また、FedRAMP 認可を持っているか、DoD SRG に準拠している米国の AWS リージョンを使用する必要があります。

FedRAMP 認可レベル (Moderate または High) あるいは DoD SRG 影響レベル (2、4、または 5) は、Amazon WorkSpaces が使用されている米国の AWS リージョンによって異なります。

各リージョンに適用される FedRAMP 認可と DoD SRG コンプライアンスのレベルについては、「[コンプライアンスプログラムによる対象範囲内のAWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。

**注記**  
FIPS エンドポイント暗号化を使用するだけでなく、WorkSpaces を暗号化することもできます。詳細については、「[WorkSpaces Personal の暗号化された WorkSpaces](encrypt-workspaces.md)」を参照してください。

**要件**
+ WorkSpaces は、[FedRAMP 認可または DoD SRG 準拠の米国 AWS リージョン](https://aws.amazon.com/compliance/services-in-scope/)で作成する必要があります。
+ WorkSpaces ディレクトリは、エンドポイント暗号化に **FIPS 140-2 検証モード**を使用するように設定する必要があります。
**注記**  
**FIPS 140-2 検証モード** 設定を使用するには、WorkSpaces ディレクトリが新規であるか、ディレクトリ内の既存のすべての WorkSpaces がエンドポイント暗号化に **FIPS 140-2 検証モード**を使用している必要があります。それ以外の場合は、この設定を使用することはできません。したがって、作成する WorkSpaces は FedRAMP または DoD のセキュリティ要件に準拠しません。  
ディレクトリの検証方法の詳細については、以下の[ステップ 3](#step3-fips) を参照してください。
+ ユーザーは、次のいずれかの WorkSpaces クライアントアプリケーションから WorkSpaces にアクセスする必要があります。
  + Windows 2.4.3 以降
  + macOS: PCoIP WorkSpaces の場合は 2.4.3 以降、DCV WorkSpaces の場合は 5.21.0 以降
  + Linux: 3.0.0 以降
  + iOS 2.4.1 以降
  + Android: 2.4.1 以降
  + Fire タブレット: 2.4.1 以降
  + ChromeOS: 2.4.1 以降
  + Web Access

**FIPS エンドポイント暗号化を使用するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. FedRAMP 認証および DoD SRG 準拠の WorkSpaces を作成するディレクトリに、既存の WorkSpaces が関連付けられていないことを確認します。ディレクトリに関連付けられた WorkSpaces があり、そのディレクトリで FIPS 140-2 検証モードの使用がすでに有効になっていない場合は、WorkSpaces を終了するか、新しいディレクトリを作成します。

1. 上記の条件を満たすディレクトリを選択し、[**アクション**]、[**Update Details (詳細の更新)**] の順に選択します。

1. <a name="step3-fips"></a>[**Update Directory Details (ディレクトリ詳細の更新)**] ページで、矢印を選択して [**Access Control Options (アクセスコントロールのオプション)**] セクションを展開します。

1. [**Endpoint Encryption (エンドポイントの暗号化)**] で、[**TLS Encryption Mode (Standard) (TLS 暗号化モード (標準))**] ではなく [**FIPS 140-2 Validated Mode (FIPS 140-2 検証済みモード) **] を選択します。

1. [**Update and Exit**] を選択します。

1. FedRAMP 認証済みで DoD SRG に準拠した WorkSpaces をこのディレクトリから作成できるようになりました。これらの WorkSpaces にアクセスするには、前述の「[要件](#fedramp-requirements)」セクションにリストされているいずれかの WorkSpaces クライアントアプリケーションを使用する必要があります。

# WorkSpaces Personal で Linux WorkSpaces の SSH 接続を有効にする
<a name="connect-to-linux-workspaces-with-ssh"></a>

コマンドラインを使用して Linux WorkSpaces に接続する場合は、SSH 接続を使用します。SSH 接続は、ディレクトリのすべての WorkSpaces、またはディレクトリの各 WorkSpaces に対して有効にすることができます。

SSH 接続を有効にするには、新しいセキュリティグループを作成するか、既存のセキュリティグループを更新して、この目的でインバウンドトラフィックを許可するルールを追加します。セキュリティグループは、関連付けられたインスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコントロールします。セキュリティグループを作成または更新したら、ユーザーは、PuTTY などのターミナルを使用して、デバイスから Linux WorkSpaces に接続することができます。詳細については、「[WorkSpaces Personal のセキュリティグループ](amazon-workspaces-security-groups.md)」を参照してください。

ビデオチュートリアルについては、 AWS ナレッジセンターの[「SSH を使用して Linux Amazon WorkSpaces に接続するにはどうすればよいですか?](https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/)」を参照してください。このチュートリアルは Amazon Linux 2 WorkSpaces 専用です。

**Topics**
+ [Linux WorkSpaces に SSH 接続するための前提条件](#before-you-begin-enable-ssh-linux-workspaces)
+ [ディレクトリ内のすべての Linux WorkSpaces への SSH 接続を有効にする](#enable-ssh-directory-level-access-linux-workspaces)
+ [WorkSpaces でのパスワードベースの認証](#enable-ssh-access-old-version)
+ [特定の Linux WorkSpace への SSH 接続を有効にする](#enable-ssh-access-specific-linux-workspace)
+ [Linux または PuTTY を使用して Linux WorkSpace に接続する](#ssh-connection-linux-workspace-using-linux-or-putty)

## Linux WorkSpaces に SSH 接続するための前提条件
<a name="before-you-begin-enable-ssh-linux-workspaces"></a>
+ WorkSpace へのインバウンド SSH トラフィックを有効にする — 1 つ以上の Linux WorkSpaces へのインバウンド SSH トラフィックを許可するルールを追加するには、WorkSpaces への SSH 接続を必要とするデバイスのパブリック IP アドレスまたはプライベート IP アドレスがあることを確認してください。たとえば、Virtual Private Cloud (VPC) の外部にあるデバイスのパブリック IP アドレス、または WorkSpace と同じ VPC 内の別の EC2 インスタンスのプライベート IP アドレスを指定できます。

  ローカルデバイスから WorkSpace に接続する場合は、インターネットブラウザで「私の IP アドレスは何ですか?」と検索するか、[Check IP](https://checkip.amazonaws.com/) サービスを使用できます。
+ WorkSpace に接続する — デバイスから Linux WorkSpace への SSH 接続を開始するには、次の情報が必要です。
  + 接続先の Active Directory ドメインの NetBIOS 名。
  + WorkSpace のユーザー名。
  + 接続する WorkSpace の IP アドレス (パブリックまたはプライベート)。

    プライベート: VPC が企業のネットワークに接続されており、そのネットワークへのアクセス権がある場合は、WorkSpace のプライベート IP アドレスを指定することができます。

    パブリック: WorkSpace にパブリック IP アドレスが割り当てられている場合は、次の手順に示されているように、WorkSpaces コンソールを使用して、パブリック IP アドレスを見つけることができます。

**接続する Linux WorkSpace の IP アドレスとユーザー名を見つけるには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpaces のリストで、SSH 接続を有効にする WorkSpace を選択します。

1. [**実行モード**] 列で、WorkSpace ステータスが [**Available**] になっていることを確認します。

1. WorkSpace 名の左側にある矢印をクリックしてインラインの概要を表示し、次の情報を書き留めます。
   + **WorkSpace IP**。WorkSpace のプライベート IP アドレスです。

     WorkSpace が関連付けられている Elastic Network Interface の取得に必要なプライベート IP アドレス。ネットワークインターフェイスは、WorkSpace に関連付けられているセキュリティグループやパブリック IP アドレスなどの情報を取得するために必要です。
   + WorkSpace の [**ユーザー名**]。WorkSpace に接続するために指定するユーザー名。

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで、[**Network Interfaces**] を選択してください。

1. 検索ボックスに、ステップ 5 で書き留めた [**WorkSpace IP**] を入力します。

1. [**WorkSpace IP**] に関連付けられているネットワークインターフェイスを選択します。

1. WorkSpace にパブリック IP アドレスが割り当てられている場合は、[**IPv4 Public IP**] 列に表示されます。このパブリック IP アドレスを書き留めます (該当する場合) 。

**接続先の Active Directory ドメインの NetBIOS 名を見つけるには**

1. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) で Directory Service コンソールを開きます。

1. ディレクトリのリストで、WorkSpace のディレクトリの [**ディレクトリ ID**] リンクをクリックします。

1. [**ディレクトリの詳細**] セクションで、[**ディレクトリの NetBIOS 名**] を書き留めます。

## ディレクトリ内のすべての Linux WorkSpaces への SSH 接続を有効にする
<a name="enable-ssh-directory-level-access-linux-workspaces"></a>

ディレクトリ内のすべての Linux WorkSpaces への SSH 接続を有効にするには、以下の操作を行います。

**ディレクトリ内のすべての Linux WorkSpaces へのインバウンド SSH トラフィックを許可するルールを使用してセキュリティグループを作成するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで、[**Security Groups**] を選択してください。

1. [**Create Security Group** (セキュリティグループの作成)] を選択します。

1. 名前を入力します。また、オプションで説明およびセキュリティグループを入力します。

1. [**VPC**] で、SSH 接続を有効にする WorkSpaces を含む VPC を選択します。

1. [**インバウンド**] タブで [**ルールの追加**] を選択し、以下の操作を行います。
   + [**タイプ**] で [**SSH**] を選択します。
   + [**プロトコル**] で [**SSH**] を選択すると、自動的に TCP が指定されます。
   + [**ポート範囲**] で [**SSH**] を選択すると、自動的に 22 に指定されます。
   + [**ソース**] で、ユーザーが WorkSpaces への接続に使用するコンピュータのパブリック IP アドレスの CIDR 範囲を指定します。例えば、企業ネットワークやホームネットワークなどです。
   + [**説明**] (オプション) に、ルールの説明を入力します。

1. **[作成]** を選択します。

1. このセキュリティグループを WorkSpaces にアタッチします。このセキュリティグループを WorkSpaces に追加する詳しい方法については、「[WorkSpaces Personal のセキュリティグループ](amazon-workspaces-security-groups.md)」を参照してください。WorkSpaces に追加のセキュリティグループを自動的にアタッチする場合は、こちらの[ブログ記事](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/)を参照してください。

## WorkSpaces でのパスワードベースの認証
<a name="enable-ssh-access-old-version"></a>

**新しく作成された Linux WorkSpaces でパスワード認証を有効にするには**

1. WorkSpaces クライアントを起動し、WorkSpace にログインします。

1. ターミナルウィンドウを開きます。

1. ターミナルウィンドウで次のコマンドを実行し、cloud-init で SSH パスワード認証を有効にします。

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: true" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single --name set-passwords'
   ```

   このスクリプトは以下の処理を実行します。
   + cloud-init ディレクトリ `/etc/cloud/cloud.cfg.d/` に設定ファイルを作成します。
   + 設定ファイルを変更して、SSH パスワード認証を有効にするよう cloud-init に指定します。
   + `set-passwords` cloud-init モジュールをリセットして、再度実行できるようにします。
   + `set-passwords` cloud-init モジュールを単独で実行します。これにより、SSH パスワード認証を有効にするファイルが SSH 設定ディレクトリ `/etc/ssh/sshd_config.d/` に書き込まれ、SSHD が再起動されて、設定がすぐに有効になります。

 これで、SSH パスワード認証が WorkSpace で有効になり、カスタムイメージによって保持されます。cloud-init を設定せずに SSH 設定ファイルでのみ SSH パスワード認証を有効にすると、一部の Linux WorkSpaces ではイメージングによって設定が保持されません。詳細については、cloud-init ドキュメントの「[Set Passwords]()」を参照してください。

**既存の Linux WorkSpaces でパスワード認証を無効にするには**

1. WorkSpaces クライアントを起動し、WorkSpace にログインします。

1. ターミナルウィンドウを開きます。

1. ターミナルウィンドウで次のコマンドを実行し、cloud-init で SSH パスワード認証を無効にします。

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: false" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single —name set-passwords'
   ```

   このスクリプトは以下の処理を実行します。
   + cloud-init ディレクトリ `/etc/cloud/cloud.cfg.d/` に設定ファイルを作成します。
   + 設定ファイルを変更して、SSH パスワード認証を無効にするよう cloud-init に指定します。
   + `set-passwords` cloud-init モジュールをリセットして、再度実行できるようにします。
   + `set-passwords` cloud-init モジュールを単独で実行します。これにより、SSH パスワード認証を有効にするファイルが SSH 設定ディレクトリ `/etc/ssh/sshd_config.d/` に書き込まれ、SSHD が再起動されて、設定がすぐに有効になります。

これで、SSH が WorkSpace で直ちに無効になり、カスタムイメージによって保持されます。

## 特定の Linux WorkSpace への SSH 接続を有効にする
<a name="enable-ssh-access-specific-linux-workspace"></a>

特定の Linux WorkSpace への SSH 接続を有効にするには、以下の操作を行います。

**特定の Linux WorkSpace へのインバウンド SSH トラフィックを許可するルールを既存のセキュリティグループに追加するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインの [**Network & Security**] で、[**ネットワークインターフェイス**] を選択します。

1. 検索バーに、SSH 接続を有効にする WorkSpace のプライベート IP アドレスを入力します。

1. [**セキュリティグループ**] 列で、セキュリティグループのリンクをクリックします。

1. [**インバウンド**] タブで、[**編集**] を選択します。

1. [**ルールの追加**] を選択し、次の操作を行います。
   + [**タイプ**] で [**SSH**] を選択します。
   + [**プロトコル**] で [**SSH**] を選択すると、自動的に TCP が指定されます。
   + [**ポート範囲**] で [**SSH**] を選択すると、自動的に 22 に指定されます。
   + [**Source**] で、[**マイ IP**] または [**カスタム**] を選択し、単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します。例えば、IPv4 アドレスが `203.0.113.25` である場合、この単一の IPv4 アドレスを CIDR 表記で示すには `203.0.113.25/32` と指定します。会社が特定の範囲からアドレスを割り当てている場合、範囲全体 (`203.0.113.0/24`など) を指定します。
   + [**説明**] (オプション) に、ルールの説明を入力します。

1. **[保存]** を選択します。

## Linux または PuTTY を使用して Linux WorkSpace に接続する
<a name="ssh-connection-linux-workspace-using-linux-or-putty"></a>

セキュリティグループを作成または更新し、必要なルールを追加したら、ユーザーは、Linux または PuTTY を使用して、デバイスから WorkSpaces に接続することができます。

**注記**  
以下の手順のいずれかを完了する前に、以下の点について確認してください。  
接続先の Active Directory ドメインの NetBIOS 名。
WorkSpace への接続に使用するユーザー名。
接続する WorkSpace の IP アドレス (パブリックまたはプライベート)。
この情報の取得方法に関する手順については、このトピック前半の「Linux WorkSpaces に SSH 接続するための前提条件」を参照してください。

**Linux を使用して Linux WorkSpace に接続するには**

1. 管理者としてコマンドプロンプトを開き、次のコマンドを入力します。[*NetBIOS 名*]、[*ユーザー名*]、および [*WorkSpace IP*] に、適切な値を入力します。

   ```
   ssh "NetBIOS_NAME\Username"@WorkSpaceIP
   ```

   以下は、SSH コマンドの例です。ここで、
   + *NetBIOS\$1NAME* は anycompany
   + *Username* は janedoe
   + *WorkSpace IP* は 203.0.113.25

   ```
   ssh "anycompany\janedoe"@203.0.113.25
   ```

1. プロンプトが表示されたら、WorkSpaces クライアントで認証するときに使用するのと同じパスワード (Active Directory のパスワード) を入力します。

**PuTTY を使用して Linux WorkSpace に接続するには**

1. PuTTY を開きます。

1. [**PuTTY 設定**] ダイアログボックスで、次の操作を行います。
   + [**ホスト名 (または IP アドレス)**] には、次のコマンドを入力します。これらの値を、接続先の Active Directory ドメインの NetBIOS 名、WorkSpace への接続に使用するユーザー名、および接続する WorkSpace の IP アドレスに置き換えます。

     ```
     NetBIOS_NAME\Username@WorkSpaceIP
     ```
   + [**Port (ポート)**] に「**22**」と入力します。
   + [**接続タイプ**] で、[**SSH**] を選択します。

   SSH コマンドの例については、前の手順のステップ 1 を参照してください。

1.  [**Open (開く)**] を選択します。

1. プロンプトが表示されたら、WorkSpaces クライアントで認証するときに使用するのと同じパスワード (Active Directory のパスワード) を入力します。

# WorkSpaces Personal に必須の設定とサービスコンポーネント
<a name="required-service-components"></a>

WorkSpace 管理者は、必須の設定とサービスコンポーネントについて以下のことを理解する必要があります。
+ [必須のルーティングテーブルの設定](#routing-table-configuration)
+ [Windows 向けの必須のサービスコンポーネント](#required-service-components-windows)
+ [Linux 向けの必須のサービスコンポーネント](#required-service-components-linux)
+ [Ubuntu 向けの必須のサービスコンポーネント](#required-service-components-ubuntu)
+ [Rocky Linux 向けの必須のサービスコンポーネント](#required-service-components-rocky)
+ [Red Hat Enterprise Linux 向けの必須のサービスコンポーネント](#required-service-components-red-hat)

## 必須のルーティングテーブルの設定
<a name="routing-table-configuration"></a>

WorkSpace のオペレーティングシステムレベルのルーティングテーブルは変更しないことをお勧めします。WorkSpaces サービスでは、このテーブル内の事前設定済みルートが、システム状態のモニタリングとシステムコンポーネントの更新に必要です。組織でルーティングテーブルの変更が必要な場合は、変更を適用する前に AWS サポートまたは AWS アカウントチームにお問い合わせください。

## Windows 向けの必須のサービスコンポーネント
<a name="required-service-components-windows"></a>

Windows WorkSpaces では、サービスコンポーネントは以下の場所にインストールされています。これらのオブジェクトを削除、変更、ブロック、または隔離しないでください。そのような操作をした場合、WorkSpace は正しく機能しなくなります。

WorkSpace にウイルス対策ソフトウェアがインストールされている場合は、次の場所にインストールされているサービスコンポーネントと干渉しないようにしてください。
+ `C:\Program Files\Amazon`
+ `C:\Program Files\NICE`
+ `C:\Program Files\Teradici`
+ `C:\Program Files (x86)\Teradici`
+ `C:\ProgramData\Amazon`
+ `C:\ProgramData\NICE`
+ `C:\ProgramData\Teradici`

WorkSpaces Core にウイルス対策ソフトウェアがインストールされている場合は、次の場所にインストールされているサービスコンポーネントと干渉しないようにしてください。
+ C:\$1Program Files\$1Amazon
+ C:\$1ProgramData\$1Amazon

### 32 ビット PCoIP エージェント
<a name="pcoip-agent-32-bit-to-64-bit"></a>

2021 年 3 月 29 日より、PCoIP エージェントを 32 ビットから 64 ビットにアップデートしています。PCoIP プロトコルを使用している Windows WorkSpaces の場合、このことは Teradici ファイルの場所が `C:\Program Files (x86)\Teradici` から `C:\Program Files\Teradici` に変更されることを意味します。PCoIP エージェントは定期的なメンテナンス期間中に更新されたため、移行中、一部の WorkSpaces が他の WorkSpaces よりも長く 32 ビットエージェントを使用していた可能性があります。

ファイアウォールルール、ウイルス対策ソフトウェアの除外 (クライアント側とホスト側)、グループポリシーオブジェクト (GPO) の設定、または Microsoft システムセンター構成マネージャー (SCCM)、Microsoft エンドポイント構成マネージャーなどの構成管理ツールの設定を 32 ビットエージェントへのフルパスで行っていた場合は、64 ビットエージェントへのフルパスもこれらの設定に追加する必要があります。

**ビットの PCoIP コンポーネントへのパスをフィルタリングする場合は、64 ビットバージョンのコンポーネントにパスを追加してください。WorkSpaces がすべて同時に更新されるわけではないため、32 ビットパスを 64 ビットパスに置き換えないでください。置き換えると、WorkSpaces の一部が機能しない可能性があります。**たとえば、除外フィルターや通信フィルターを `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_server_win32.exe` に置いている場合は、`C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_server.exe` も追加する必要があります。同様に、除外フィルターや通信フィルターを `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_agent.exe` に置いている場合は、`C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_agent.exe` も追加する必要があります。

**PCoIP Arbiter サービスの変更** — WorkSpaces が 64 ビットエージェントを使用するように更新されると、PCoIP Arbiter サービス (`C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_arbiter_win32.exe`) が削除されることに注意してください。

**PCoIP ゼロクライアントと USB デバイス** — PCoIP エージェントのバージョン 20.10.4 以降、Amazon WorkSpaces は、Windows レジストリを通じて USB リダイレクトをデフォルトで無効にします。このレジストリ設定は、ユーザーが PCoIP ゼロクライアントデバイスを使用して WorkSpaces に接続する場合の USB 周辺機器の動作に影響します。詳細については、「[PCoIP ゼロクライアントで USB プリンタと他の USB 周辺機器が動作しない](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb)」を参照してください。

## Linux 向けの必須のサービスコンポーネント
<a name="required-service-components-linux"></a>

Amazon Linux WorkSpaces では、サービスコンポーネントは以下の場所にインストールされています。これらのオブジェクトを削除、変更、ブロック、または隔離しないでください。そのような操作をした場合、WorkSpace は正しく機能しなくなります。

**注記**  
`/etc/pcoip-agent/pcoip-agent.conf` 以外のファイルを変更すると、WorkSpaces の動作が停止し、再構築が必要になる場合があります。`/etc/pcoip-agent/pcoip-agent.conf` の変更の詳細については、[WorkSpaces Personal で Amazon Linux 2 WorkSpaces を管理する](manage_linux_workspace.md) を参照してください。
+ `/etc/dhcp/dhclient.conf`
+ `/etc/logrotate.d/pcoip-agent`
+ `/etc/logrotate.d/pcoip-server`
+ `/etc/os-release`
+ `/etc/pam.d/pcoip`
+ `/etc/pam.d/pcoip-session`
+ `/etc/pcoip-agent`
+ `/etc/profile.d/system-restart-check.sh`
+ `/etc/X11/default-display-manager`
+ `/etc/yum/pluginconf.d/halt_os_update_check.conf`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/lib/systemd/system/pcoip.service`
+ `/lib/systemd/system/pcoip-agent.service`
+ `/lib64/security/pam_self.so`
+ `/usr/bin/pcoip-fne-view-license`
+ `/usr/bin/pcoip-list-licenses`
+ `/usr/bin/pcoip-validate-license`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/firewalld/services/pcoip-agent.xml`
+ `/usr/lib/modules-load.d/usb-vhci.conf`
+ `/usr/lib/pcoip-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/pcoip.service`
+ `/usr/lib/systemd/system/pcoip.service.d/`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/tmpfiles.d/pcoip-agent.conf`
+ `/usr/lib/yum-plugins/halt_os_update_check.py`
+ `/usr/sbin/pcoip-agent`
+ `/usr/sbin/pcoip-register-host`
+ `/usr/sbin/pcoip-support-bundler`
+ `/usr/share/doc/pcoip-agent`
+ `/usr/share/pcoip-agent`
+ `/usr/share/selinux/packages/pcoip-agent.pp`
+ `/usr/share/X11`
+ `/var/crash/pcoip-agent`
+ `/var/lib/pcoip-agent`
+ `/var/lib/skylight`
+ `/var/log/pcoip-agent` 
+ `/var/log/skylight`
+ `/var/logs/wsp`
+ `/var/log/eucanalytics` 

## Ubuntu 向けの必須のサービスコンポーネント
<a name="required-service-components-ubuntu"></a>

Ubuntu WorkSpaces では、サービスコンポーネントは以下の場所にインストールされています。これらのオブジェクトを削除、変更、ブロック、または隔離しないでください。そのような操作をした場合、WorkSpace は正しく機能しなくなります。
+ `/etc/X11/default-display-manager`
+ `/etc/dcv`
+ `/etc/default/grub.d/zz-hibernation.cfg`
+ `/etc/netplan`
+ `/etc/os-release`
+ `/etc/pam.d/dcv`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/sssd/sssd.conf`
+ `/etc/wsp`
+ `/etc/systemd/system/euc-analytic-agent.service` 
+ `/lib64/security/pam_self.so`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/share/X11`
+ `/usr/bin/euc-analytics-agent`
+ `/var/lib/skylight`
+ `/var/log/skylight`
+ `/var/log/eucanalytics` 

## Rocky Linux 向けの必須のサービスコンポーネント
<a name="required-service-components-rocky"></a>

Red Hat Enterprise Linux WorkSpaces では、サービスコンポーネントは以下の場所にインストールされています。これらのオブジェクトを削除、変更、ブロック、または隔離しないでください。そのような操作をした場合、WorkSpace は正しく機能しなくなります。
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/lib/skylight`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`

## Red Hat Enterprise Linux 向けの必須のサービスコンポーネント
<a name="required-service-components-red-hat"></a>

Red Hat Enterprise Linux WorkSpaces では、サービスコンポーネントは以下の場所にインストールされています。これらのオブジェクトを削除、変更、ブロック、または隔離しないでください。そのような操作をした場合、WorkSpace は正しく機能しなくなります。
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`

# WorkSpaces Personal のディレクトリを管理する
<a name="manage-workspaces-directory"></a>

WorkSpaces は、ディレクトリを使用して、WorkSpaces とユーザーの情報を格納し管理します。次のオプションの 1 つを使用できます。
+ AD Connector - 既存のオンプレミス Microsoft Active Directory を使用します。ユーザーはオンプレミスの認証情報を使用して WorkSpaces にサインインし、自分の WorkSpaces からオンプレミスのリソースにアクセスできます。
+ AWS Managed Microsoft AD — でホストされる Microsoft Active Directory を作成します。AWS
+ Simple AD — Samba 4 を搭載し、 でホストされている Microsoft Active Directory と互換性のあるディレクトリを作成しますAWS
+ 相互信頼 — AWS Managed Microsoft AD ディレクトリとオンプレミスドメイン間の信頼関係を作成します。
+ Microsoft Entra ID — Microsoft Entra ID を (IAM アイデンティティセンター経由で) ID ソースとして使用するディレクトリを作成します。ディレクトリ内の個人用 WorkSpaces は、Microsoft Windows Autopilot のユーザードリブンモードによって、Microsoft Entra ネイティブ認証を用いて追加され、Microsoft Intune に登録されます。Microsoft Entra ID を使用するディレクトリは、Windows 10 および 11 の Bring Your Own License (BYOL) の WorkSpaces のみをサポートしています。
+ カスタム — ID プロバイダーを (IAM アイデンティティセンター経由で) ID ソースとして使用するディレクトリを作成します。ディレクトリ内の WorkSpaces は、JumpCloud などの任意のデバイス管理ソリューションを使用して管理されます。カスタム ID プロバイダーを使用するディレクトリは、Windows 10 および 11 の Bring Your Own License (BYOL) の WorkSpaces のみをサポートしています。

これらのディレクトリをセットアップする方法を示すチュートリアルと WorkSpaces の起動の詳細については、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。

**ヒント**  
さまざまなデプロイシナリオにおけるディレクトリおよび仮想プライベートクラウド (VPC) の設計上の考慮事項の詳細については、「[Amazon WorkSpaces のデプロイのベストプラクティス](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html)」を参照してください。

ディレクトリを作成したら、Active Directory 管理ツールなどのツールを使用して、ほとんどのディレクトリ管理タスクを実行します。グループポリシーを使用して WorkSpaces コンソールやその他のタスクを使用して、ディレクトリ管理タスクを実行できます。ユーザーとグループの管理の詳細については、[WorkSpaces Personal のユーザーを管理する](manage-workspaces-users.md) および [WorkSpaces Personal で Active Directory 管理ツールを設定する](directory_administration.md) を参照してください。

**注記**  
現在、共有ディレクトリは、Amazon WorkSpaces での使用はサポートされていません。
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリを設定する場合は、プライマリリージョンのディレクトリのみを Amazon WorkSpaces で使用するために登録できます。Amazon WorkSpaces で使用するためにレプリケートされたリージョンにディレクトリを登録しようとすると失敗します。AWS Managed Microsoft AD を使用したマルチリージョンレプリケーションは、レプリケートされたリージョン内での Amazon WorkSpaces での使用についてサポートされていません。
Simple AD および AD Connector は、WorkSpaces で無料で利用できます。Simple AD または AD Connector ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、 [AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。  
空のディレクトリを削除するには、[WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md) を参照してください。Simple AD または AD Connector ディレクトリを削除した場合、WorkSpaces を再度ご使用になる際は、いつでも Simple AD または AD Connector を新たに作成できます。

**Topics**
+ [WorkSpaces Personal に既存の Directory Service ディレクトリを登録する](register-deregister-directory.md)
+ [WorkSpaces Personal の組織単位を選択する](select-ou.md)
+ [WorkSpaces Personal の自動パブリック IP アドレスを設定する](automatic-assignment.md)
+ [WorkSpaces Personal のデバイスのアクセスコントロール](control-device-access.md)
+ [WorkSpaces Personal でローカル管理者のアクセス許可を管理する](local-admin-setting.md)
+ [WorkSpaces Personal の AD Connector アカウント (AD Connector) を更新する](connect-account.md)
+ [WorkSpaces Personal の多要素認証 (AD Connector)](connect-mfa.md)
+ [WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)
+ [WorkSpaces Personal の DNS サーバーを更新する](update-dns-server.md)
+ [WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md)
+ [WorkSpaces Personal で Active Directory 管理ツールを設定する](directory_administration.md)

# WorkSpaces Personal に既存の Directory Service ディレクトリを登録する
<a name="register-deregister-directory"></a>

WorkSpaces が既存の Directory Service ディレクトリを使用できるようにするには、WorkSpaces に登録する必要があります。ディレクトリを登録したら、 ディレクトリで WorkSpaces を起動できます。

**要件:** WorkSpaces で使用するディレクトリを登録するには、次の要件を満たしている必要があります。
+  AWS Managed Microsoft AD または Simple AD を使用している場合、ディレクトリが WorkSpaces がある VPC にアクセスできる限り、ディレクトリは専用のプライベートサブネットにあることができます。
+ ディレクトリと VPC 設計の詳細については、[https://d1.awsstatic.com/whitepapers/Best-Practices-for-Deploying-Amazon-WorkSpaces.pdf](https://d1.awsstatic.com/whitepapers/Best-Practices-for-Deploying-Amazon-WorkSpaces.pdf)ホワイトペーパーを参照してください。

**注記**  
Simple AD および AD Connector は、WorkSpaces で無料で利用できます。Simple AD または AD Connector ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、 [AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。  
空のディレクトリを削除するには、[WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md) を参照してください。Simple AD または AD Connector ディレクトリを削除した場合、WorkSpaces を再度ご使用になる際は、いつでも Simple AD または AD Connector を新たに作成できます。

**既存の AWS Directory Service ディレクトリを登録するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. [**Create directory**] (ディレクトリの作成) を選択します。

1. **[ディレクトリの作成]** ページの **[WorkSpaces タイプ]** で、**[個人]** を選択します。**[WorkSpace デバイス管理]** で **[AWS Directory Service]** を選択します。

1. **[ Directory Serviceのディレクトリ]** テーブルで登録するディレクトリを選択します。

1. 同じアベイラビリティーゾーンにない VPC の 2 つのサブネットを選択します。これらのサブネットは WorkSpaces の起動に使用されます。詳細については、「[WorkSpaces Personal のアベイラビリティーゾーン](azs-workspaces.md)」を参照してください。
**注記**  
選択するサブネットがわからない場合は、[**No Preference (指定なし)**] を選択します。

1. [**セルフサービスアクセス許可の有効化**] で [**はい**] を選択し、WorkSpaces の再構築、ボリュームサイズ/コンピューティングタイプ/実行モードの変更をユーザーに許可します。これにより、Amazon WorkSpaces の料金に影響する場合があります。それ以外の場合は [**いいえ**] を選択します。

1. [**Register**] を選択します。[**Registered**] の最初の値が `REGISTERING` されます。登録が完了した後、値は `Yes` となります。

 Directory Service ディレクトリを登録したら、個人用 WorkSpace を作成できます。詳細については、「[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md)」を参照してください。

WorkSpaces でディレクトリの使用が終了したら、登録を解除できます。ディレクトリを削除する前に、ディレクトリの登録を解除する必要があります。ディレクトリの登録を解除して削除する場合は、まず、ディレクトリに登録されているすべてのアプリケーションとサービスを検索して削除する必要があります。詳細については、*AWS Directory Service 管理ガイド*の[ディレクトリの削除](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html)を参照してください。

**ディレクトリの登録を解除するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択します｡

1. [**Actions**]、[**Deregister**] の順に選択します。

1. 確認を求められたら、[**確認**] を選択します。登録解除が完了すると、ディレクトリは登録が解除され、リストから削除されます。

# WorkSpaces Personal の組織単位を選択する
<a name="select-ou"></a>

**注記**  
この機能は、AD Connector、AWS Managed Microsoft AD、Simple AD など、AWS Directory Service を通じて管理されるディレクトリでのみ使用できます。

WorkSpaces コンピュータアカウントは、WorkSpaces ディレクトリのデフォルトの組織単位（OU）に配置されます。最初に、マシンアカウントは、ディレクトリのコンピュータ OU または AD Connector が接続されているディレクトリに配置されます。ディレクトリまたは接続されたディレクトリから別の OU を選択することも、別のターゲットドメインに OU を指定することもできます。ディレクトリにつき、1 つの OU しか選択できないことに注意してください。

新しい OU を選択すると、作成または再構築されたすべての WorkSpaces のマシンアカウントが、新しく選択された OU に配置されます。

**組織単位を選択するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択します。

1. [ターゲットドメインと組織単位] で、**[編集]** を選択します。

1. OU を検索するには、[ターゲットドメインと組織単位] で、OU 名の全部または一部の入力を開始し、使用する OU を選択します。

1. (オプション) OU の識別名を選択して、選択した OU をカスタム OU で上書きします。

1. **[保存]** を選択します。

1. （オプション）既存の WorkSpaces を再ビルドして OU を更新します。詳細については、「[WorkSpaces Personal の WorkSpace を再構築する](rebuild-workspace.md)」を参照してください。

# WorkSpaces Personal の自動パブリック IP アドレスを設定する
<a name="automatic-assignment"></a>

パブリック IP アドレスの自動割り当てを有効にすると、起動する各 WorkSpace に、Amazon が提供したパブリックアドレスのプールからパブリック IP アドレスが割り当てられます。パブリックサブネットの WorkSpace は、パブリック IP アドレスがある場合、インターネットゲートウェイを介してインターネットにアクセスできます。自動割り当てを有効にする前に既に存在している WorkSpaces は、それらを再構築するまでパブリックアドレスを受け取りません。

WorkSpaces がプライベートサブネットにあり、仮想プライベートクラウド (VPC) に NAT ゲートウェイを設定している場合、または WorkSpaces がパブリックサブネットにあり、Elastic IP アドレスを割り当てている場合は、パブリックアドレスの自動割り当てを有効にする必要はありません。詳細については、「[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md)」を参照してください。

**警告**  
所有している Elastic IP アドレスを WorkSpaces に関連付けた後、その Elastic IP アドレスと WorkSpaces との関連付けを解除すると、WorkSpaces はパブリック IP アドレスを失い、Amazon が提供するプールから新しいアドレスを自動的に取得しません。Amazon が提供するプールからの新しいパブリック IP アドレスを WorkSpaces に関連付けるには、[WorkSpaces を再構築](rebuild-workspace.md)する必要があります。WorkSpaces を再構築しない場合は、所有する別の Elastic IP アドレスを WorkSpaces に関連付ける必要があります。

**Elastic IP アドレスを設定するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**Directories**] を選択します。

1. WorkSpaces のディレクトリを選択します。

1. [**Actions**]、[**Update Details**] を選択します。

1. [**Access to Internet**] を展開し､[**Enable**]または [**Disable**] を選択します｡

1. [**更新**] を選択します。

# WorkSpaces Personal のデバイスのアクセスコントロール
<a name="control-device-access"></a>

デバイスのプラットフォームに基づいて、WorkSpaces にアクセスできるデバイスのタイプを指定できます。さらに、WorkSpaces へのアクセスを、信頼できるデバイス (マネージドデバイスとも呼ばれます) に限定することもできます。

**WorkSpaces へのデバイスアクセスを制御するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択します。

1. [アクセスコントロールオプション] で、**[編集]** を選択します。

1. [信頼されたデバイス] で、**[すべて許可]**、**[信頼されたデバイス]**、**[すべて拒否]** のいずれかを選択して、WorkSpaces にアクセスできるデバイスの種類を指定します。詳細については、「[WorkSpaces Personal で信頼されたデバイスへのアクセスを制限する](trusted-devices.md)」を参照してください。

1. **[保存]** を選択します。

# WorkSpaces Personal でローカル管理者のアクセス許可を管理する
<a name="local-admin-setting"></a>

**注記**  
この機能は、AD Connector、AWS Managed Microsoft AD、Simple AD など、AWS Directory Service を通じて管理されるディレクトリでのみ使用できます。

ユーザーが WorkSpaces でローカル管理者であるかどうかを指定して、アプリケーションをインストールして WorkSpaces で設定を変更できるようにすることができます。デフォルトでは､ユーザーはローカル管理者に設定されます。この設定を変更すると、作成したすべての新しいワークスペースと再ビルドしたワークスペースに変更が適用されます。

**ローカル管理者の権限を変更するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択します。

1. ローカル管理者設定で、**[編集]** を選択します。

1. ユーザーがローカル管理者であることを確認するには、**[ローカル管理者の設定を有効にする**] を選択します。

1. **[保存]** を選択します。

# WorkSpaces Personal の AD Connector アカウント (AD Connector) を更新する
<a name="connect-account"></a>

ユーザーとグループの読み取りに使用する AD Connector アカウントを更新し、WorkSpaces マシンアカウントを AD Connector ディレクトリに参加させることができます。

**AD Connector アカウントを更新するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択し、**[詳細を表示]** を選択します。

1. AD コネクタアカウントで、**[編集]** を選択します。

1. 新しいアカウントのサインイン認証情報を入力します。

1. **[保存]** を選択します。

# WorkSpaces Personal の多要素認証 (AD Connector)
<a name="connect-mfa"></a>

AD Connector ディレクトリで多要素認証 (MFA) を有効にすることができます。AWS Directory Service での多要素認証の使用の詳細については、[AD Connector の多要素認証を有効にする](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)および [AD Connector の前提条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)を参照してください。

**注記**  
RADIUS サーバーは AWS でホストすることも、オンプレミスでホストすることもできます。
ユーザー名は、Active Directory と RADIUS サーバー間で一致する必要があります。

**多要素認証を有効にするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**Directories**] を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Update Details**] の順に選択します。

1. [**Multi-Factor Authentication**] を展開し､[**Enable Multi-Factor Authentication**] を選択します。

1. [**RADIUS server IP address(es)**] に、カンマで区切られた RADIUS サーバーのエンドポイントの IP アドレスを入力するか、RADIUSサーバーのロードバランサーの IP アドレスを入力します。

1. [**Port**] に､RADIUS サーバーが通信で使用しているポートを入力します。オンプレミスネットワークでは、AD Connector からのデフォルトの RADIUS サーバーポート (UDP:1812) を介した受信トラフィックが許可されている必要があります。

1. [**Shared secret code**] と [**Confirm shared secret code**] に、RADIUS サーバーの共有シークレットコードを入力します。

1. [**Protocol**] で、RADIUS サーバープロトコルを選択します。

1. [**Server timeout**] に､RADIUS サーバーの応答を待つ時間を秒単位で入力します。この値は 1～50 の範囲の値にする必要があります。

1. [**Max retries**] に､RADIUS サーバーとの通信を試行する回数を入力します。この値は 0 ～ 10 の範囲の値にする必要があります。

1. [**Update and Exit**] を選択します。

多要素認証は、[**RADIUS Status**] が [**Enabled**] になると使用できます。多要素認証が設定されている間、ユーザーは WorkSpaces にログインできません。

# WorkSpaces Personal のディレクトリを作成する
<a name="launch-workspaces-tutorials"></a>

WorkSpaces Personal では、Directory Service によって管理されるディレクトリを使用して、WorkSpace とユーザーの情報を格納し管理できます。WorkSpaces Personal のディレクトリを作成するには、次のオプションを使用します。
+ Simple AD ディレクトリを作成します。
+ AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD ともいいます) を作成します。
+ Active Directory Connector を使用して、既存の Active Directory に接続します。
+ AWS Managed Microsoft AD ディレクトリとオンプレミスドメイン間の信頼関係を作成します。
+ 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成します。
+ 専用のカスタム WorkSpaces ディレクトリを作成します。

**注記**  
現在、共有ディレクトリは、Amazon WorkSpaces での使用はサポートされていません。
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリを設定する場合は、プライマリリージョンのディレクトリのみを Amazon WorkSpaces で使用するために登録できます。Amazon WorkSpaces で使用するためにレプリケートされたリージョンにディレクトリを登録しようとすると失敗します。AWS Managed Microsoft AD を使用したマルチリージョンレプリケーションは、レプリケートされたリージョン内での Amazon WorkSpaces での使用についてサポートされていません。
Simple AD および AD Connector は、WorkSpaces で無料で利用できます。Simple AD または AD Connector ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、 [AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。

## ディレクトリを作成する前に
<a name="prereqs-tutorials"></a>
+ WorkSpaces はすべてのリージョンで利用できるわけではありません。サポートされているリージョンを確認し、WorkSpaces のリージョンを選択します。サポートされるリージョンについては、[AWS リージョン別の WorkSpaces の料金](https://aws.amazon.com/workspaces/pricing/)を参照してください。
+ 少なくとも 2 つのプライベートサブネットを持つ Virtual Private Cloud を作成します。詳細については、「[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md)」を参照してください VPC は、仮想プライベートネットワーク (VPN) 接続または を通じてオンプレミスのネットワークに接続されている必要がありますDirect Connect 詳細については、*AWS Directory Service 管理ガイド*の[AD Connector の前提条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)を参照してください。
+ WorkSpace からインターネットにアクセスできます。詳細については、「[WorkSpaces Personal でのインターネットアクセス](amazon-workspaces-internet-access.md)」を参照してください。

空のディレクトリを削除する方法については、「[WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md)」を参照してください。Simple AD または AD Connector ディレクトリを削除した場合、WorkSpaces を再度ご使用になる際は、いつでも Simple AD または AD Connector を新たに作成できます。

**Topics**
+ [ディレクトリを作成する前に](#prereqs-tutorials)
+ [WorkSpaces Personal ディレクトリのコンピュータ名を特定する](wsp-directory-identify-computer.md)
+ [WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリを作成する](launch-workspace-microsoft-ad.md)
+ [WorkSpaces Personal で Simple AD ディレクトリを作成する](launch-workspace-simple-ad.md)
+ [WorkSpaces Personal の AD Connector を作成する](launch-workspace-ad-connector.md)
+ [WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリとオンプレミスドメインの間の信頼関係を作成する](launch-workspace-trusted-domain.md)
+ [WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する](launch-entra-id.md)
+ [WorkSpaces Personal で専用のカスタムディレクトリを作成する](launch-custom.md)

# WorkSpaces Personal ディレクトリのコンピュータ名を特定する
<a name="wsp-directory-identify-computer"></a>

Amazon WorkSpaces コンソールに表示される WorkSpace の [**Computer Name**] (コンピュータ名) の値は、起動した WorkSpace の種類 (Amazon Linux、Ubuntu、Windows) によって異なります。WorkSpace のコンピュータ名には、次のいずれかの形式を使用できます。
+ **Amazon Linux**: A-*xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**: R-*xxxxxxxxxxxxx*
+ **Rocky Linux**: R-*xxxxxxxxxxxxx*
+ **Ubuntu**: U-*xxxxxxxxxxxxx*
+ **Windows**: IP-C*xxxxxx* または WSAMZN-*xxxxxxx* または EC2AMAZ-*xxxxxxx*

Windows WorkSpaces の場合、コンピュータ名の形式はバンドルの種類によって決定されます。パブリックバンドルから作成された WorkSpaces の場合、またはパブリックイメージに基づいてカスタムバンドルから作成された WorkSpaces の場合は、パブリックイメージが作成された時点までに決定されます。

2020 年 6 月 22 日以降、パブリックバンドルから起動された Windows WorkSpaces では、IP-C*xxxxxx* 形式ではなく、コンピュータ名に WSAMZN-*xxxxxxx* 形式が使用されます。

パブリックイメージに基づくカスタムバンドルでは、パブリックイメージが 2020 年 6 月 22 日より前に作成された場合、コンピュータ名は EC2AMAZ-*xxxxxxx* 形式になります。パブリックイメージが 2020 年 6 月 22 日以降に作成された場合、コンピュータ名は WSAMZN-*xxxxxxx* 形式になります。

Bring-Your-Own-License (BYOL) バンドルでは、デフォルトでコンピュータ名に DESKTOP-*xxxxxxx* または EC2AMAZ-*xxxxxxx* のいずれかの形式が使用されます。

カスタムバンドルまたは BYOL バンドル内のコンピュータ名にカスタム形式を指定した場合、カスタム形式はこれらの既定値を上書きします。カスタム形式を指定するには、[WorkSpaces Personal のカスタム WorkSpaces イメージとバンドルを作成する](create-custom-bundle.md)を参照してください。

**重要**  
WorkSpace を作成したら、コンピュータ名を安全に変更できます。例えば、WorkSpace またはリモートでコマンド `Rename-Computer` を使用して PowerShell スクリプトを実行できます。更新されたコンピュータ名の値は、Amazon WorkSpaces コンソールの WorkSpace に表示されます。

# WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリを作成する
<a name="launch-workspace-microsoft-ad"></a>

このチュートリアルでは、AWS Managed Microsoft AD ディレクトリを作成します。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。

まず、AWS Managed Microsoft AD ディレクトリを作成します。Directory Service は、VPC のプライベートサブネットにそれぞれ 2 つのディレクトリサーバーを作成します。最初はディレクトリにユーザーがいないことに注意してください。WorkSpace を起動したら、次のステップでユーザーを追加します。

**注記**  
現在、共有ディレクトリは、Amazon WorkSpaces での使用はサポートされていません。
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリが設定されている場合は、プライマリリージョンのディレクトリのみを Amazon WorkSpaces で使用するために登録できます。Amazon WorkSpaces で使用するためにレプリケートされたリージョンにディレクトリを登録しようとすると失敗します。AWS Managed Microsoft AD を使用したマルチリージョンレプリケーションは、レプリケートされたリージョン内での Amazon WorkSpaces での使用についてサポートされていません。

**AWS Managed Microsoft AD ディレクトリを作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. [**Create directory**] (ディレクトリの作成) を選択します。

1. **[ディレクトリの作成]** ページの **[WorkSpaces タイプ]** で、**[個人]** を選択します。次に、**[WorkSpace デバイス管理]** で **[AWS Directory Service]** を選択します。

1. **[ディレクトリの作成]** を選択すると、AWS Directory Service で**[ディレクトリを設定]** ページが開きます。

1. **[AWS Managed Microsoft AD]** を選択し、**[次へ]** を選択します。

1. 以下のようにディレクトリを設定します。

   1. [**Organization name**] には、ディレクトリの一意の組織名（例: my-demo-directory）を入力します。この名前は、長さが 4 文字以上で、英数字とハイフン（-）のみで構成され、ハイフン以外の文字で開始または終了している必要があります｡

   1. [**Directory DNS**] には、ディレクトリの完全修飾名を入力します（例: workspaces.demo.com）。
**重要**  
WorkSpaces の起動後に DNS サーバーを更新する必要がある場合は、[WorkSpaces Personal の DNS サーバーを更新する](update-dns-server.md) の手順に従って WorkSpaces が正しく更新されていることを確認します。

   1. [**NetBIOS name**] には、ディレクトリの短縮名を入力します（例: workspaces）。

   1. [**Admin password**] と [**Confirm Password**] に､ディレクトリ管理者アカウントのパスワードを入力します。パスワードの要件に関する詳細については、*AWS Directory Service 管理ガイド*の [AWS Managed Microsoft AD ディレクトリを作成する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)を参照してください。

   1. （オプション）[**Description**] に、ディレクトリの説明を入力します。

   1. [**VPC **] では、作成した VPC を選択します。

   1. [**Subnets**] で､2 つのプライベートサブネットを選択します（CIDR ブロック `10.0.1.0/24` および `10.0.2.0/24`）。

   1. [**Next Step**] を選択します。

1. [**Create directory**] (ディレクトリの作成) を選択します。

1. WorkSpaces コンソールのディレクトリの作成ページに戻ります。ディレクトリの最初のステータスは `Requested` で､次に `Creating` となります。ディレクトリの作成が完了すると (これには数分かかる場合があります)、ステータスは `Active` になります。

AWS Managed Microsoft AD ディレクトリを作成したら、Amazon WorkSpaces に登録できます。詳細については、[WorkSpaces Personal に既存の Directory Service ディレクトリを登録する](register-deregister-directory.md)を参照してください。

# WorkSpaces Personal で Simple AD ディレクトリを作成する
<a name="launch-workspace-simple-ad"></a>

このチュートリアルでは、Simple AD を使用する WorkSpace を起動します。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。

**注記**  
Simple AD は、すべてのAWSリージョンで利用できるわけではありません。サポートされているリージョンを確認し、Simple AD ディレクトリの[リージョンを選択](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)します。Simple AD でサポートされているリージョンの詳細については、[AWS「 Directory Service のリージョンの可用性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)」を参照してください。
Simple AD は、WorkSpaces で無料でご利用になれます。Simple AD ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、[AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。
[Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) は現在、IPv4 アドレス指定のみをサポートしています。つまり、ディレクトリの作成時に、関連付けられた VPC は IPv4 CIDR ブロックで設定され、IPv6 ネットワークはサポートされません。

Simple AD ディレクトリを作成すると、 は VPC の各プライベートサブネットに 1 つずつ、2 つのディレクトリサーバーDirectory Serviceを作成します。最初はディレクトリにユーザーはいません。WorkSpace を作成した後で、ユーザーを追加します。詳細については、[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md)を参照してください。

**Simple AD ディレクトリを作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. [**Create directory**] (ディレクトリの作成) を選択します。

1. **[ディレクトリの作成]** ページの **[WorkSpaces タイプ]** で、**[個人]** を選択します。次に、**[WorkSpace デバイス管理]** で **[AWS Directory Service]** を選択します。

1. **ディレクトリの作成**を選択すると、AWSディレクトリサービスで**ディレクトリのセットアップ**ページが開きます。

1. **[Simple AD]** を選択して、**[次へ]** を選択します。

1. 以下のようにディレクトリを設定します。

   1. [**Organization name**] には、ディレクトリの一意の組織名（例: my-example-directory）を入力します。この名前は、長さが 4 文字以上で、英数字とハイフン（-）のみで構成され、ハイフン以外の文字で開始または終了している必要があります｡

   1. [**Directory DNS name**] (ディレクトリの DNS 名) には、ディレクトリの完全修飾名を入力します (例: example.com)。
**重要**  
WorkSpaces の起動後に DNS サーバーを更新する必要がある場合は、[WorkSpaces Personal の DNS サーバーを更新する](update-dns-server.md) の手順に従って WorkSpaces が正しく更新されていることを確認します。

   1. [**NetBIOS name**] には、ディレクトリの短縮名を入力します（例: example）。

   1. [**Admin password**] と [**Confirm Password**] に､ディレクトリ管理者アカウントのパスワードを入力します。パスワードの要件の詳細については、*AWS Directory Service 管理ガイド*の [Microsoft AD Directory の作成方法](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)を参照してください。

   1. （オプション）[**Description**] に、ディレクトリの説明を入力します。

   1. [**Directory size**] (ディレクトリのサイズ) で、[**Small**] (スモール) を選択します。

   1. [**VPC **] では、作成した VPC を選択します。

   1. [**Subnets**] で､2 つのプライベートサブネットを選択します（CIDR ブロック `10.0.1.0/24` および `10.0.2.0/24`）。

   1. [**次へ**] を選択します。

1. [**Create directory**] (ディレクトリの作成) を選択します。

1. WorkSpaces コンソールのディレクトリの作成ページに戻ります。ディレクトリの最初のステータスは `Requested` で､次に `Creating` となります。ディレクトリの作成が完了すると (これには数分かかる場合があります)、ステータスは `Active` になります。

**ディレクトリ作成時の動作**

WorkSpaces が、あなたの代わりに次のタスクを完了します。
+ IAM ロールを作成して、WorkSpaces サービスが Elastic Network Interface を作成し、WorkSpaces ディレクトリの一覧を表示できるようにします。そのロールには、`workspaces_DefaultRole` という名前が付きます。
+ ユーザーおよび WorkSpace 情報を格納するために使用される VPC の Simple AD ディレクトリをセットアップします。このディレクトリには、Administrator というユーザー名と指定されたパスワードを持つ管理者アカウントがあります。
+ 2 つのセキュリティグループを作成します。1 つはディレクトリコントローラー用で、もう 1 つはディレクトリ内の WorkSpaces 用です。

Simple AD ディレクトリを作成したら、Amazon WorkSpaces に登録できます。詳細については、[WorkSpaces Personal に既存の Directory Service ディレクトリを登録する](register-deregister-directory.md) を参照してください。

# WorkSpaces Personal の AD Connector を作成する
<a name="launch-workspace-ad-connector"></a>

このチュートリアルでは、AD Connector を作成します。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。

## AD Connector を作成する
<a name="create-ad-connector"></a>

**注記**  
AD Connector は、WorkSpaces で無料でご利用になれます。AD Connector ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、[AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。  
空のディレクトリを削除するには、[WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md) を参照してください。AD Connector ディレクトリを削除した場合、WorkSpaces を再度ご使用になる際は、いつでも Simple AD または AD Connector を新たに作成できます。

**AD Connector を作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. [**Create directory**] (ディレクトリの作成) を選択します。

1. **[ディレクトリの作成]** ページの **[WorkSpaces タイプ]** で、**[個人]** を選択します。次に、**[WorkSpace デバイス管理]** で **[AWS Directory Service]** を選択します。

1. **[ディレクトリの作成]** を選択すると、AWS Directory Service で**[ディレクトリを設定]** ページが開きます。

1. **[AWS Managed Microsoft AD]** を選択し、**[次へ]** を選択します。

1. [**Organization name**] には、ディレクトリの一意の組織名（例: my-example-directory）を入力します。この名前は、長さが 4 文字以上で、英数字とハイフン（-）のみで構成され、ハイフン以外の文字で開始または終了している必要があります｡

1. [**Connected directory DNS**] には、オンプレミスディレクトリの完全修飾名（例: example.com）を入力します。

1. [**Connected directory NetBIOS name**] には、オンプレミスディレクトリの短い名前（例: example）を入力します。

1. [**Connector account username**] では、オンプレミスディレクトリにユーザーのユーザー名を入力します。ユーザーには、ユーザーとグループの読み取り、コンピュータオブジェクトの作成、コンピュータのドメインへの参加を許可する必要があります。

1. **[Connector account password]** (Connector アカウントのパスワード) と **[Confirm password]** (パスワードの確認) に、オンプレミスユーザーのパスワードを入力します。

1. [**DNS address**] には､オンプレミスディレクトリ内の少なくとも 1 つの DNS サーバーの IP アドレスを入力します。
**重要**  
WorkSpaces の起動後に DNS サーバーの IP アドレスを更新する必要がある場合は、[WorkSpaces Personal の DNS サーバーを更新する](update-dns-server.md) の手順 に従って WorkSpaces が正しく更新されていることを確認します。

1. （オプション）[**Description**] に、ディレクトリの説明を入力します。

1. [**Size**] を [**Small**] のままにします｡

1. [**VPC**] で、自分の VPC を選択します。

1. [**Subnet**] で、サブネットを選択します。指定した DNS サーバーには、各サブネットからアクセスできる必要があります。

1. [**Create directory**] (ディレクトリの作成) を選択します。

1. WorkSpaces コンソールのディレクトリの作成ページに戻ります。ディレクトリの最初のステータスは `Requested` で､次に `Creating` となります。ディレクトリの作成が完了すると (これには数分かかる場合があります)、ステータスは `Active` になります。

# WorkSpaces Personal で AWS Managed Microsoft AD ディレクトリとオンプレミスドメインの間の信頼関係を作成する
<a name="launch-workspace-trusted-domain"></a>

このチュートリアルでは、AWS Managed Microsoft AD ディレクトリとオンプレミスドメインの間の信頼関係を作成します。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。

**注記**  
別の信頼されたドメインで AWS アカウントを使用して WorkSpaces を起動することは、AWS Managed Microsoft AD で可能です (この AD とオンプレミスのディレクトリとの信頼関係が設定されている場合)。ただし、Simple AD または AD Connector を使用する WorkSpaces では、信頼されたドメインのユーザーに対して WorkSpaces を起動することはできません。

**信頼関係をセットアップするには**

1. Virtual Private Cloud (VPC) に AWS Managed Microsoft AD を設定します。詳細については、*AWS Directory Service 管理ガイド*の[AWS Managed Microsoft AD ディレクトリを作成する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)を参照してください。
**注記**  
現在、共有ディレクトリは、Amazon WorkSpaces での使用はサポートされていません。
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリが設定されている場合は、プライマリリージョンのディレクトリのみを Amazon WorkSpaces で使用するために登録できます。Amazon WorkSpaces で使用するためにレプリケートされたリージョンにディレクトリを登録しようとすると失敗します。AWS Managed Microsoft AD を使用したマルチリージョンレプリケーションは、レプリケートされたリージョン内での Amazon WorkSpaces での使用についてサポートされていません。

1. AWS Managed Microsoft AD とオンプレミスドメイン間の信頼関係を作成します。信頼が双方向の信頼として設定されていることを確認します。詳細については、*AWS Directory Service 管理ガイド*の[チュートリアル: AWS Managed Microsoft AD とオンプレミスドメイン間の信頼関係](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html)を作成を参照してください。

オンプレミスの認証情報を使用して WorkSpaces の管理と Workspaces による認証を行い、WorkSpaces をオンプレミスのユーザーとグループに対してプロビジョニングするために一方向または双方向の信頼を使用できます。詳細については、「[Deploy Amazon WorkSpaces using a One-Way Trust Resource Domain with AWS Directory Service](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/)」を参照してください。

**注記**  
Red Hat Enterprise Linux、Rocky Linux、および Ubuntu WorkSpaces は Active Directory の統合に System Security Services Daemon (SSSD) を使用していますが、SSSD はフォレストの信頼性をサポートしていません。その代わりに外部信頼を設定してください。Amazon Linux、Ubuntu、Rocky Linux、および Red Hat Enterprise Linux WorkSpaces では、双方向の信頼が推奨されています。
ウェブブラウザ (Web Access) を使用して Linux WorkSpaces に接続することはできません。

# WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する
<a name="launch-entra-id"></a>

このチュートリアルでは、Microsoft Entra ID に参加し、Microsoft Intune に登録されている Bring Your Own License (BYOL) の Windows 10 および 11 個人用 WorkSpaces を作成します。このような WorkSpaces を作成する前に、まず Entra ID に参加している WorkSpaces 専用の WorkSpaces Personal ディレクトリを作成する必要があります。

**注記**  
Microsoft Entra に参加している個人用 WorkSpaces は、アフリカ (ケープタウン）、イスラエル (テルアビブ）、中国 (寧夏) を除く、Amazon WorkSpaces が提供されているすべての AWS リージョンで利用できます。

**Contents**
+ [概要:](#entra-overview)
+ [要件と制限](#entra-requirements-limitation)
+ [ステップ 1: IAM アイデンティティセンターを有効にして Microsoft Entra ID と同期する](#entra-step-1)
+ [ステップ 2: Microsoft Entra ID アプリケーションを登録して Windows Autopilot のアクセス許可を付与する](#entra-step-2)
+ [ステップ 3: Windows Autopilot のユーザードリブンモードを設定する](#entra-step-3)
+ [ステップ 4: AWS Secrets Manager シークレットを作成する](#entra-step-4)
+ [ステップ 5: 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成する](#entra-step-5)
+ [WorkSpaces ディレクトリの IAM アイデンティティセンターアプリケーションを設定する (オプション)](#configure-iam-directory)
+ [クロスリージョン IAM アイデンティティセンター統合を作成する (オプション)](#create-cross-region-iam-identity-integration)

## 概要:
<a name="entra-overview"></a>

Microsoft Entra ID 個人用 WorkSpaces ディレクトリには、Microsoft Entra ID で管理されているユーザーに割り当てられた Microsoft Entra ID 参加済みの WorkSpaces を起動するために必要なすべての情報が含まれます。ユーザー情報は、IAM Identity Center AWS を通じて WorkSpaces で利用できるようになります。IAM Identity Center は、従業員 ID を Entra ID から に持ち込むための ID ブローカーとして機能します AWS。WorkSpaces の Intune への登録と Entra への参加は、Microsoft Windows Autopilot のユーザードリブンモードを使って実行します。以下の図は、Autopilot のプロセスを示したものです。

![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/autopilot.jpg)


## 要件と制限
<a name="entra-requirements-limitation"></a>
+ Microsoft Entra ID P1 プラン以上。
+ Microsoft Entra ID と Intune が有効になっており、ロールが割り当てられていること。
+ Intune 管理者 - Autopilot デプロイプロファイルの管理に必要です。
+ グローバル管理者 - [ステップ 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) で作成されたアプリケーションに割り当てられる API アクセス許可に対して、管理者の同意を付与するために必要です。アプリケーションは、このアクセス許可なしで作成できます。ただし、グローバル管理者がアプリケーションのアクセス許可について管理者の同意を付与する必要があります。
+ WorkSpaces ユーザーに Windows 10/11 VDA E3 または E5 ユーザーサブスクリプションライセンスを割り当てます。
+ Entra ID ディレクトリは、Windows 10 または 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces のみをサポートします。サポートされているバージョンは次のとおりです。
  + Windows 10 バージョン 21H2 (2021 年 12 月更新)
  + Windows 10 バージョン 22H2 (2022 年 11 月更新)
  + Windows 11 Enterprise 23H2 (2023 年 10 月リリース)
  + Windows 11 Enterprise 22H2 (2022 年 10 月リリース)
  + Windows 11 Enterprise 24H2 (2024 年 10 月リリース)
  + Windows 11 Enterprise 25H2 (2025 年 9 月リリース)
+ Bring Your Own License (BYOL) が AWS アカウントで有効になっており、有効な Windows 10 または 11 BYOL イメージがアカウントにインポートされている。詳細については、「[WorkSpaces で自分の Windows デスクトップライセンスを使用する](byol-windows-images.md)」を参照してください。
+ Microsoft Entra ID ディレクトリは、Windows 10 または 11 の BYOL の個人用 WorkSpaces のみをサポートします。
+ Microsoft Entra ID ディレクトリは DCV プロトコルのみをサポートします。
+ WorkSpaces にファイアウォールを使用している場合は、Microsoft Intune と Windows Autopilot のエンドポイントへのアウトバウンドトラフィックがブロックされていないことを確認します。詳細については、「[Microsoft Intune のネットワーク エンドポイント - Microsoft Intune](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america)」および「[Windows Autopilot requirements](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking)」を参照してください。
+ Microsoft Entra ID ディレクトリは、Government Community Cloud High (GCCH) 環境および国防総省 (DoD) 環境の Microsoft Entra ID テナントをサポートしていません。

## ステップ 1: IAM アイデンティティセンターを有効にして Microsoft Entra ID と同期する
<a name="entra-step-1"></a>

Microsoft Entra ID に参加している個人用 WorkSpaces を作成して Entra ID ユーザーに割り当てるには、IAM Identity Center AWS を通じてユーザー情報を で使用できるようにする必要があります。IAM Identity Center は、 AWS リソースへのユーザーアクセスを管理するために推奨される AWS サービスです。詳細については、「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。これは 1 回限りの設定です。

WorkSpaces と統合する、既存の IAM アイデンティティセンターインスタンスがない場合は、WorkSpaces と同じリージョンにインスタンスを作成することをお勧めします。別のリージョンに既存の AWS Identity Center インスタンスがある場合は、クロスリージョン統合を設定できます。クロスリージョンのセットアップの詳細については、「[クロスリージョン IAM アイデンティティセンター統合を作成する (オプション)](#create-cross-region-iam-identity-integration)」を参照してください。

**注記**  
WorkSpaces と IAM アイデンティティセンター間のクロスリージョン統合は、 AWS GovCloud (US) Regionではサポートされていません。

1. 特にマルチアカウント環境を使用している場合は、 AWS Organizations で IAM Identity Center を有効にします。IAM アイデンティティセンターのアカウントインスタンスを作成することもできます。詳細については、[「IAM アイデンティティセンター AWS の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。WorkSpaces の各ディレクトリは、IAM アイデンティティセンターの 1 つのインスタンス、組織、またはアカウントに関連付けることができます。

   組織インスタンスを使用して、メンバーアカウントの 1 つに WorkSpaces ディレクトリを作成しようとしている場合は、次の IAM アイデンティティセンターのアクセス許可があることを確認してください。
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   詳細については、「[IAM アイデンティティセンターリソースへのアクセス許可の管理の概要](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)」を参照してください。また、これらのアクセス許可をブロックするサービスコントロールポリシー (SCP) がないことを確認してください。SCP の詳細については、「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。

1. Entra ID テナントから選択したユーザーまたはすべてのユーザーを IAM アイデンティティセンターのインスタンスに自動的に同期するように、IAM アイデンティティセンターと Microsoft Entra ID を設定します。詳細については、[「Microsoft Entra ID と IAM アイデンティティセンターで SAML と SCIM を設定する](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html)」および[「チュートリアル: 自動ユーザープロビジョニング用に AWS IAM アイデンティティセンターを設定する](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial)」を参照してください。

1. Microsoft Entra ID で設定したユーザーが IAM Identity Center AWS インスタンスに正しく同期されていることを確認します。Microsoft Entra ID にエラーメッセージが表示された場合は、Entra ID のユーザーの設定が、IAM アイデンティティセンターでサポートされていないことを示しています。この問題はエラーメッセージによって識別できます。例えば、Entra ID のユーザーオブジェクトに、姓、名、または表示名がない場合、次のようなエラーメッセージが表示されます。`"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"`。詳細については、「[特定のユーザーが外部 SCIM プロバイダーから IAM アイデンティティセンターに同期できない](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2)」を参照してください。

**注記**  
WorkSpaces は Entra ID の UserPrincipalName (UPN) 属性を使用して個々のユーザーを識別します。UPN の制限事項は次のとおりです。  
UPN の長さが 63 文字を超えることはできません。
WorkSpace をユーザーに割り当てた後に UPN を変更した場合、UPN を元に戻さない限り、ユーザーは WorkSpace に接続できません。

## ステップ 2: Microsoft Entra ID アプリケーションを登録して Windows Autopilot のアクセス許可を付与する
<a name="entra-step-2"></a>

WorkSpaces Personal は、Microsoft Windows Autopilot のユーザードリブンモードを使用して WorkSpaces を Microsoft Intune に登録し、Microsoft Entra ID に参加させます。

Amazon WorkSpaces で WorkSpaces Personal を Autopilot に登録できるようにするには、必要な Microsoft Graph API アクセス許可を付与する Microsoft Entra ID アプリケーションを登録する必要があります。Entra ID アプリケーションの登録の詳細については、「[クイック スタート: Microsoft ID プラットフォームにアプリケーションを登録する](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate)」を参照してください。

Entra ID アプリケーションで次の API アクセス許可を付与することをお勧めします。
+ Entra ID に参加させる新しい個人用 WorkSpace を作成する場合は、次の API アクセス許可が必要です。
  + `DeviceManagementServiceConfig.ReadWrite.All`
+ 個人用 WorkSpace を終了または再構築する場合は、次のアクセス許可が使用されます。
**注記**  
これらのアクセス許可を付与しなくても WorkSpace は終了できますが、Intune テナントおよび Entra ID テナントからは削除されないため、個別に削除する必要があります。
  + `DeviceManagementServiceConfig.ReadWrite.All`
  + `Device.ReadWrite.All`
  + `DeviceManagementManagedDevices.ReadWrite.All`
+ これらのアクセス許可には管理者の同意が必要です。詳細については、「[アプリケーションに対してテナント全体の管理者の同意を付与する](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)」を参照してください。

次に、Entra ID アプリケーションのクライアントシークレットを追加する必要があります。詳細については、「[資格情報を追加する](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials)」を参照してください。ステップ 4 で AWS Secrets Manager シークレットを作成するときに必要になるため、クライアントシークレットの文字列を必ず覚えておいてください。

## ステップ 3: Windows Autopilot のユーザードリブンモードを設定する
<a name="entra-step-3"></a>

Windows Autopilot のユーザードリブンモードによって Intune で Microsoft Entra への参加を実行する方法について、[チュートリアル](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow)をよく確認しておいてください。

**Autopilot のために Microsoft Intune を設定するには**

1. Microsoft Intune 管理センターにサインインします。

1. 個人用 WorkSpaces 向けに新しい Autopilot のデバイスグループを作成します。詳細については、「[Windows Autopilot のデバイスグループを作成する](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot)」を参照してください。

   1. **[グループ]**、**[新しいグループ]** の順に選択します。

   1. **[Group type]** (グループの種類) で、**[Security]** (セキュリティ) を選択します。

   1. **[メンバーシップの種類]** で **[動的デバイス]** を選択します。

   1. **[Edit dynamic query]** を選択して、動的メンバーシップルールを作成します。ルールは次のような形式になります。

      ```
      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      ```
**重要**  
`WorkSpacesDirectoryName` は、ステップ 5 で作成する Entra ID WorkSpaces Personal ディレクトリのディレクトリ名と一致している必要があります。これは、WorkSpaces が仮想デスクトップを Autopilot に登録するときに、ディレクトリ名の文字列がグループタグとして使用されるためです。さらに、グループタグは Microsoft Entra デバイスの `OrderID` 属性にマッピングされます。

1. **[デバイス]**、**[Windows]**、**[登録]** の順に選択します。**[登録オプション]** で **[自動登録]** を選択します。**[MDM ユーザースコープ]** で **[すべて]** を選択します。

1. Autopilot デプロイプロファイルを作成します。詳細については、「[Autopilot Deployment プロファイルを作成する](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile)」を参照してください。

   1. **[Windows Autopilot]** で **[デプロイプロファイル]**、**[プロファイルの作成]** の順に選択します。

   1. **[Windows AutoPilot Deployment プロファイル]** 画面で、**[プロファイルの作成]** ドロップダウンメニューを選択し、**[Windows PC]** を選択します。

   1. **[プロファイルの作成]** 画面の **[On the Out-of-box experience (OOBE)]** ページを開きます。**[配置モード]** で **[ユーザードリブン]** を選択します。**[Microsoft Entra ID に参加]** で **[Microsoft Entra 参加済み]** を選択します。Entra ID に参加済みの個人用 WorkSpaces でコンピュータ名をカスタマイズするには、**[デバイス名テンプレートを適用する]** で **[はい]** を選択し、登録時のデバイスの名前付けに使用するテンプレートを作成します。

   1. **[割り当て]** ページの **[割り当てる]** で、**[選択したグループ]** を選択します。**[含めるグループを選択する]** を選択し、2 で作成した Autopilot デバイスグループを選択します。

## ステップ 4: AWS Secrets Manager シークレットを作成する
<a name="entra-step-4"></a>

で作成した Entra ID アプリケーションのアプリケーション ID やクライアントシークレットなどの情報を安全に保存 AWS Secrets Manager するには、 にシークレットを作成する必要があります[ステップ 2: Microsoft Entra ID アプリケーションを登録して Windows Autopilot のアクセス許可を付与する](#entra-step-2)。これは 1 回限りの設定です。

**AWS Secrets Manager シークレットを作成するには**

1. カスタマーマネージドキーを [AWS Key Management Service](https://aws.amazon.com/kms/) で作成します。キーは後で AWS Secrets Manager シークレットの暗号化に使用されます。WorkSpaces サービスではデフォルトのキーにアクセスできないため、デフォルトのキーを使用してシークレットを暗号化しないでください。キーは以下の手順で作成します。

   1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。

   1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

   1. **[Create key]** (キーの作成) を選択します。

   1. **[キーを設定]** ページの **[キーのタイプ]** で、**[対称]** を選択します。**[キーの使用方法]** で **[暗号化および復号化]** を選択します。

   1. **[確認]** ページのキーポリシーエディタで、キーポリシーに次のアクセス許可が含まれ、WorkSpaces サービスのプリンシパル `workspaces.amazonaws.com` からキーへのアクセスが許可されていることを確認します。

      ```
      {
          "Effect": "Allow",
          "Principal": {
              "Service": [
                  "workspaces.amazonaws.com"
              ]
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey"
          ],
          "Resource": "*"
       }
      ```

1. 前のステップで作成した AWS KMS キーを使用して AWS Secrets Manager、 にシークレットを作成します。

   1. [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) から Secrets Manager コンソールを開きます。

   1. **[Store a new secret]** (新しいシークレットを保存する) を選択します｡

   1. [**シークレットタイプの選択**] ページの[**シークレットタイプ**] で[**その他のシークレットタイプ**] を選択します。

   1. **[キー/値のペア]** の キーボックスに「application\$1id」と入力し、値ボックスに[ステップ 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) の Entra ID アプリケーションの ID をコピーして貼り付けます。

   1. キーボックスで **[行を追加]** を選択して「application\$1password」と入力し、値ボックスに[ステップ 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) の Entra ID アプリケーションのクライアントシークレットをコピーして貼り付けます。

   1. 前のステップで作成した AWS KMS キーを**暗号化キー**のドロップダウンリストから選択します。

   1. [**次へ**] を選択します。

   1. **[シークレットを設定]** ページで、**[シークレットの名前]** と **[説明]** を入力します。

   1. **[リソースのアクセス許可]** セクションで、**[許可を編集]** を選択します。

   1. リソースのアクセス許可に次のリソースポリシーを含め、WorkSpaces サービスのプリンシパル `workspaces.amazonaws.com` にシークレットへのアクセスを必ず許可します。

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement" : [ {
          "Effect" : "Allow",
          "Principal" : {
            "Service" : [ "workspaces.amazonaws.com"]
          },
          "Action" : "secretsmanager:GetSecretValue",
          "Resource" : "*"
        } ]
      }
      ```

------

## ステップ 5: 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成する
<a name="entra-step-5"></a>

Microsoft Entra ID に参加済みの WorkSpaces および Entra ID ユーザーの情報を保存する専用の WorkSpaces ディレクトリを作成します。

**Entra ID WorkSpaces ディレクトリを作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. **[ディレクトリの作成]** ページの **[WorkSpaces タイプ]** で、**[個人]** を選択します。**[WorkSpace デバイス管理]** で **[Microsoft Entra ID]** を選択します。

1. **[Microsoft Entra のテナント ID]** に、ディレクトリの WorkSpaces を参加させる Microsoft Entra ID のテナント ID を入力します。ディレクトリの作成後にテナント ID を変更することはできません。

1. **Entra ID アプリケーション ID とパスワード**については、ドロップダウンリストから[ステップ 4 ](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4)で作成した AWS Secrets Manager シークレットを選択します。ディレクトリの作成後に、ディレクトリに関連付けられたシークレットを変更することはできません。ただし、Entra ID アプリケーション ID とそのパスワードを含むシークレットの内容は、[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) の AWS Secrets Manager コンソールからいつでも更新できます。

1. IAM Identity Center インスタンスが WorkSpaces ディレクトリと同じ AWS リージョンにある場合は、**ユーザー ID ソース**として、[ステップ 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) で設定した IAM Identity Center インスタンスをドロップダウンリストから選択します。ディレクトリの作成後に、ディレクトリに関連付けられた IAM アイデンティティセンターのインスタンスを変更することはできません。

   IAM Identity Center インスタンスが WorkSpaces ディレクトリとは異なる AWS リージョンにある場合は、**クロスリージョンを有効にする**を選択し、ドロップダウンリストからリージョンを選択します。
**注記**  
既存の IAM アイデンティティセンターインスタンスが別のリージョンにある場合は、クロスリージョン統合をセットアップするためにオプトインする必要があります。クロスリージョンのセットアップの詳細については、「[クロスリージョン IAM アイデンティティセンター統合を作成する (オプション)](#create-cross-region-iam-identity-integration)」を参照してください。

1. **[ディレクトリ名]** に、ディレクトリの一意の名前 (`WorkSpacesDirectoryName` など) を入力します。
**重要**  
ディレクトリ名は、[ステップ 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) で Microsoft Intune を使って作成した Autopilot デバイスグループの動的クエリを作成するのに使用される `OrderID` と一致している必要があります。ディレクトリ名の文字列は、個人用 WorkSpaces を Windows Autopilot に登録するときにグループタグとして使用されます。グループタグは、Microsoft Entra デバイスの `OrderID` 属性にマッピングされます。

1. （オプション）[**Description**] に、ディレクトリの説明を入力します。

1. **[VPC]** で、WorkSpaces の起動に使用した VPC を選択します。詳細については、「[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md)」を参照してください。

1. **[サブネット]** で、同じアベイラビリティーゾーンにない VPC の 2 つのサブネットを選択します。これらのサブネットは個人用 WorkSpaces の起動に使用されます。詳細については、「[WorkSpaces Personal のアベイラビリティーゾーン](azs-workspaces.md)」を参照してください。
**重要**  
サブネットで起動された WorkSpaces にインターネットアクセスがあることを確認します。インターネットアクセスは、ユーザーが Windows デスクトップにログインするときに必要です。詳細については、「[WorkSpaces Personal でのインターネットアクセス](amazon-workspaces-internet-access.md)」を参照してください。

1. **[設定]** で、**[専用 WorkSpace を有効化]** を選択します。専用の WorkSpaces Personal ディレクトリを作成して、Windows 10 または 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces を起動するには、これを有効にする必要があります。
**注記**  
**[設定]** に **[専用 WorkSpace を有効化]** オプションが表示されない場合、アカウントで BYOL が有効になっていません。アカウントで BYOL を有効にするには、「[WorkSpaces で自分の Windows デスクトップライセンスを使用する](byol-windows-images.md)」を参照してください。

1. (オプション) **[タグ]** で、ディレクトリ内の個人用 WorkSpaces に使用するキーペアの値を指定します。

1. ディレクトリの概要を確認し、**[ディレクトリの作成]** を選択します。ディレクトリが接続されるには数分かかります。ディレクトリの最初のステータスは `Creating` です。ディレクトリの作成が完了すると、ステータスが `Active` に変わります。

ディレクトリが作成されると、IAM アイデンティティセンターアプリケーションも自動的に作成されます。アプリケーションの ARN を検索するには、ディレクトリの概要ページに移動します。

これで、Microsoft Intune に登録され、Microsoft Entra ID に参加している Windows 10 または 11 の個人用 WorkSpaces を、ディレクトリを使用して起動できるようになりました。詳細については、「[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md)」を参照してください。

WorkSpaces Personal ディレクトリを作成したら、個人用 WorkSpaces を作成できます。詳細については、[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md)を参照してください。

## WorkSpaces ディレクトリの IAM アイデンティティセンターアプリケーションを設定する (オプション)
<a name="configure-iam-directory"></a>

ディレクトリが作成されると、対応する IAM アイデンティティセンターアプリケーションが自動的に作成されます。アプリケーションの ARN は、ディレクトリの詳細ページの [概要] セクションにあります。デフォルトでは、アイデンティティセンターインスタンスのすべてのユーザーは、対応するアイデンティティセンターアプリケーションを設定しなくても、割り当てられた WorkSpaces にアクセスできます。ただし、IAM アイデンティティセンターアプリケーションのユーザー割り当てを設定することで、ディレクトリ内の WorkSpaces へのユーザーアクセスを管理できます。

**IAM アイデンティティセンターアプリケーションのユーザー割り当てを設定するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. **[AWS マネージドアプリケーション]** タブで、WorkSpaces ディレクトリのアプリケーションを選択します。アプリケーション名は `WorkSpaces.wsd-xxxxx` の形式です。`wsd-xxxxx` は WorkSpaces ディレクトリ ID です。

1. **[アクション]**、**[詳細を編集]** の順に選択します。

1. **[ユーザーとグループの割り当て方法]** を、**[割り当ては不要]** から **[割り当てが必要]** に変更します。

1. **[Save changes]** (変更の保存) をクリックします。

この変更を行うと、アイデンティティセンターインスタンスのユーザーは、アプリケーションに割り当てられていない限り、割り当てられた WorkSpaces にアクセスできなくなります。ユーザーをアプリケーションに割り当てるには、 AWS CLI コマンドを使用してユーザーまたはグループをアプリケーションに`create-application-assignment`割り当てます。詳細については、『[AWS CLI コマンドリファレンス](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html)』を参照してください。

## クロスリージョン IAM アイデンティティセンター統合を作成する (オプション)
<a name="create-cross-region-iam-identity-integration"></a>

WorkSpaces と関連する IAM Identity Center インスタンスが同じ AWS リージョンにあることをお勧めします。ただし、WorkSpaces リージョンとは異なるリージョンで既に IAM アイデンティティセンターインスタンスが設定されている場合は、クロスリージョン統合を作成できます。クロスリージョン WorkSpaces と IAM アイデンティティセンターの統合を作成する際に、WorkSpaces を有効にしてクロスリージョン呼び出しを行い、IAM アイデンティティセンターインスタンスからユーザー属性やグループ属性などの情報にアクセスして保存します。

**重要**  
Amazon WorkSpaces は、組織レベルのインスタンスでのみ、クロスリージョン IAM アイデンティティセンターと WorkSpaces の統合をサポートします。WorkSpaces は、アカウントレベルのインスタンスに対するクロスリージョン IAM アイデンティティセンター統合をサポートしていません。IAM アイデンティティセンターインスタンスタイプとそのユースケースの詳細については、「[Understanding types of IAM Identity Center instances](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types)」を参照してください。

WorkSpaces ディレクトリと IAM アイデンティティセンターインスタンスの間にクロスリージョン統合を作成すると、クロスリージョン呼び出しにより、WorkSpaces をデプロイするときやログイン中にレイテンシーが高くなる可能性があります。レイテンシーの増大は、WorkSpaces リージョンと IAM アイデンティティセンターのリージョン間の距離に比例します。ユースケースごとにレイテンシーテストを実行することをお勧めします。

 クロスリージョンの IAM アイデンティティセンター接続は、「[ステップ 5: 専用の Microsoft Entra ID WorkSpaces ディレクトリを作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5)」で有効にできます。**[ユーザー ID ソース]** のドロップダウンリストから、「[ステップ 1: IAM アイデンティティセンターを有効にして Microsoft Entra ID と同期する](#entra-step-1)」で設定した IAM アイデンティティセンターインスタンスを選択します。

**重要**  
ディレクトリの作成後に、ディレクトリに関連付けられた IAM アイデンティティセンターインスタンスを変更することはできません。

# WorkSpaces Personal で専用のカスタムディレクトリを作成する
<a name="launch-custom"></a>

Windows 10 および 11 BYOL 個人用 WorkSpaces を作成し、IAM Identity Center Identity Providers (IdPs AWSで管理されているユーザーに割り当てる前に、専用のカスタム WorkSpaces ディレクトリを作成する必要があります。個人用 WorkSpaces が Microsoft Active Directory に参加していなくても、JumpCloud などの任意のモバイルデバイス管理 (MDM) ソリューションで管理できます。JumpCloud の詳細については、[こちらの記事](https://jumpcloud.com/support/integrate-with-aws-workspaces)を参照してください。他のオプションを使用するチュートリアルについては、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。

**注記**  
Amazon WorkSpaces では、カスタムディレクトリで起動された個人用 WorkSpaces でユーザーアカウントを作成したり管理したりすることはできません。ユーザーアカウントは管理者が管理する必要があります。
カスタム WorkSpaces ディレクトリは、アフリカ (ケープタウン）、イスラエル (テルアビブ）、中国 (寧夏) を除く、Amazon WorkSpaces が提供されているすべてのAWSリージョンで利用できます。
Amazon WorkSpaces では、カスタムディレクトリを使用した WorkSpaces でユーザーアカウントを作成したり管理したりすることはできません。使用している MDM エージェントソフトウェアによって Windows WorkSpaces でユーザープロファイルを作成できるようにするには、MDM ソリューションプロバイダーにお問い合わせください。ユーザープロファイルを作成すると、ユーザーは Windows ログイン画面から Windows デスクトップにサインインできます。

**Contents**
+ [要件と制限](#custom-requirements-limitations)
+ [ステップ 1: IAM アイデンティティセンター を有効にして ID プロバイダーに接続する](#custom-step-1)
+ [ステップ 2: 専用のカスタム WorkSpaces ディレクトリを作成する](#custom-step-2)

## 要件と制限
<a name="custom-requirements-limitations"></a>
+ WorkSpaces カスタムディレクトリは、Windows 10 または 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces のみをサポートします。
+ WorkSpaces カスタムディレクトリは DCV プロトコルのみをサポートします。
+ AWSアカウントで BYOL を有効にし、個人用 WorkSpaces が Windows 10 および 11 アクティベーションのためにアクセスできる独自のAWS KMSサーバーがあることを確認します。詳細については、「[WorkSpaces で自分の Windows デスクトップライセンスを使用する](byol-windows-images.md)」を参照してください。
+ AWSアカウントにインポートした BYOL イメージに MDM エージェントソフトウェアを事前にインストールしてください。

## ステップ 1: IAM アイデンティティセンター を有効にして ID プロバイダーに接続する
<a name="custom-step-1"></a>

ID プロバイダーで管理されているユーザーに WorkSpaces を割り当てるには、ユーザー情報を AWSIAM Identity Center AWSを通じて で使用できるようにする必要があります。IAM Identity Center を使用して、ユーザーの AWSリソースへのアクセスを管理することをお勧めします。詳細については、「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。これは 1 回限りの設定です。

**ユーザー情報を で利用できるようにするにはAWS**

1. で IAM アイデンティティセンターを有効にしますAWS。特にマルチアカウント環境を使用している場合は、AWS組織で IAM Identity Center を有効にできます。IAM アイデンティティセンターのアカウントインスタンスを作成することもできます。詳細については、[「IAM Identity Center AWSの有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。WorkSpaces の各ディレクトリは、IAM アイデンティティセンターの 1 つの組織またはアカウントインスタンスに関連付けることができます。IAM アイデンティティセンターの各インスタンスは、1 つ以上の WorkSpaces Personal ディレクトリに関連付けることができます。

   組織インスタンスを使用して、メンバーアカウントの 1 つに WorkSpaces ディレクトリを作成しようとしている場合は、次の IAM アイデンティティセンターのアクセス許可があることを確認してください。
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   詳細については、「[IAM アイデンティティセンターリソースへのアクセス許可の管理の概要](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)」を参照してください。これらのアクセス許可をブロックするサービスコントロールポリシー (SCP) がないことを確認してください。SCP の詳細については、「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html)」を参照してください。

1. ID プロバイダー (IdP) から IAM アイデンティティセンターのインスタンスにユーザーを自動的に同期するように、IAM アイデンティティセンター と IdP を設定します。詳細については、[入門チュートリアル](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)から、使用する IdP の特定のチュートリアルを選択してください。例えば、「[IAM アイデンティティセンターを使用して JumpCloud ディレクトリプラットフォームに接続する](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html)」を参照できます。

1. IdP で設定したユーザーが IAM Identity Center AWSインスタンスに正しく同期されていることを確認します。IdP の設定によっては、最初の同期に最大 1 時間かかる場合があります。

## ステップ 2: 専用のカスタム WorkSpaces ディレクトリを作成する
<a name="custom-step-2"></a>

個人用 WorkSpaces とユーザーに関する情報を保存する専用の WorkSpaces Personal ディレクトリを作成します。

**専用のカスタム WorkSpaces ディレクトリを作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. [**Create directory**] (ディレクトリの作成) を選択します。

1. **[ディレクトリの作成]** ページの **[WorkSpaces]** タイプで、**[個人]** を選択します。**[WorkSpace デバイス管理]** で、**[カスタム]** を選択します。

1. **[ユーザー ID ソース]** で、ドロップダウンリストから[ステップ 1](https://docs.aws.amazon.com/) で設定した IAM アイデンティティセンターのインスタンスを選択します。ディレクトリが作成されると、ディレクトリに関連付けられた IAM アイデンティティセンターのインスタンスは変更できなくなります。
**注記**  
ディレクトリには IAM アイデンティティセンターのインスタンスを指定する必要があります。指定しないと、WorkSpaces コンソールを使用してディレクトリで個人用 WorkSpaces を起動できません。アイデンティティセンターが関連付けられていない WorkSpaces ディレクトリは、WorkSpaces Core パートナーソリューションにだけ対応します。

1. **[ディレクトリ名]** に、ディレクトリの一意の名前を入力します。

1. **[VPC]** で、WorkSpaces の起動に使用した VPC を選択します。詳細については、「[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md)」を参照してください。

1. **[サブネット]** で、同じアベイラビリティーゾーンにない VPC の 2 つのサブネットを選択します。これらのサブネットは個人用 WorkSpaces の起動に使用されます。詳細については、「[WorkSpaces Personal のアベイラビリティーゾーン](azs-workspaces.md)」を参照してください。
**重要**  
サブネットで起動された WorkSpaces にインターネットアクセスがあることを確認します。インターネットアクセスは、ユーザーが Windows デスクトップにログインするときに必要です。詳細については、「[WorkSpaces Personal でのインターネットアクセス](amazon-workspaces-internet-access.md)」を参照してください。

1. **[設定]** で、**[専用 WorkSpace を有効化]** を選択します。専用の WorkSpaces Personal ディレクトリを作成して、Windows 10 または 11 の Bring Your Own License (BYOL) の個人用 WorkSpaces を起動するには、これを有効にする必要があります。

1. (オプション) **[タグ]** で、ディレクトリ内の個人用 WorkSpaces に使用するキーペアの値を指定します。

1. ディレクトリの概要を確認し、**[ディレクトリの作成]** を選択します。ディレクトリが接続されるには数分かかります。ディレクトリの最初のステータスは `Creating` です。ディレクトリの作成が完了すると、ステータスが `Active` に変わります。

ディレクトリが作成されると、IAM アイデンティティセンターアプリケーションも自動的に作成されます。アプリケーションの ARN を検索するには、ディレクトリの概要ページに移動します。

これで、Microsoft Intune に登録され、Microsoft Entra ID に参加している Windows 10 または 11 の個人用 WorkSpaces を、ディレクトリを使用して起動できるようになりました。詳細については、「[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md)」を参照してください。

WorkSpaces Personal ディレクトリを作成したら、個人用 WorkSpaces を作成できます。詳細については、[WorkSpaces Personal で WorkSpace を作成する](create-workspaces-personal.md) を参照してください。

# WorkSpaces Personal の DNS サーバーを更新する
<a name="update-dns-server"></a>

WorkSpaces の起動後に Active Directory の DNS サーバーの IP アドレスを更新する必要がある場合は、新しい DNS サーバー設定で WorkSpaces を更新する必要があります。

以下のいずれかの方法で、新しい DNS 設定で WorkSpaces を更新できます。
+ Active Directory の DNS 設定を更新する**前に**、WorkSpaces の DNS 設定を更新します。
+ Active Directory の DNS 設定を更新した**後**、WorkSpaces を再構築します。

Active Directory の DNS 設定を更新する前に、WorkSpaces の DNS 設定を更新することをお勧めします (以下の手順のステップ[ 1](#update-registry-dns) で説明しています)。

代わりに WorkSpaces を再構築する場合は、Active Directory の DNS サーバーの IP アドレスのいずれかを更新し ([ステップ 2](#update-dns-active-directory))、[WorkSpaces Personal の WorkSpace を再構築する](rebuild-workspace.md) の手順に従って WorkSpaces を再構築します。WorkSpaces を再構築したら、[ステップ 3](#test-updated-dns-settings) の手順に従って DNS サーバーの更新をテストします。このステップを完了したら、Active Directory の 2 番目の DNS サーバーの IP アドレスを更新し、WorkSpaces を再構築します。[ステップ 3](#test-updated-dns-settings) の手順に従って、2 番目の DNS サーバーの更新をテストしてください。「[ベストプラクティス](#update-dns-best-practices)」セクションで説明したように、DNS サーバーの IP アドレスを一度に 1 つずつ更新することをお勧めします。

## ベストプラクティス
<a name="update-dns-best-practices"></a>

DNS サーバーの設定を更新するときは、次のベストプラクティスをお勧めします。
+ ドメインリソースの切断やアクセス不能を避けるために、オフピーク時間または計画されたメンテナンス期間中に DNS サーバーの更新を実行することを強くお勧めします。
+ DNS サーバー設定の変更前の 15 分間、および 15 分間、新しい WorkSpaces を起動しないでください。
+ DNS サーバー設定を更新するときは、一度に 1 つの DNS サーバーの IP アドレスを変更します。2 番目の IP アドレスを更新する前に、最初の更新が正しいことを確認します。IP アドレスを 1 つずつ更新するには、次の手順 ([ステップ 1](#update-registry-dns)、[ステップ 2](#update-dns-active-directory)、[ステップ 3](#test-updated-dns-settings)) を 2 回実行することをお勧めします。

## ステップ 1: WorkSpaces の DNS サーバー設定を更新する
<a name="update-registry-dns"></a>

次の手順では、現在および新しい DNS サーバーの IP アドレス値を次のように参照します。
+ 現在の DNS IP アドレス: `OldIP1`, `OldIP2` 
+ 新しい DNS IP アドレス: `NewIP1`、`NewIP2`

**注記**  
 この手順を 2 回目に実行する場合は、`OldIP1`を `OldIP2` に、`NewIP1` を `NewIP2` に置き換えます。

### Windows WorkSpaces の DNS サーバー設定を更新する
<a name="update-registry-dns-windows"></a>

複数の WorkSpaces がある場合は、WorkSpaces の Active Directory OU にグループポリシーオブジェクト (GPO) を適用することで、次のレジストリ更新を WorkSpaces にデプロイできます。GPO を操作する方法については、[WorkSpaces Personal で Windows WorkSpaces を管理する](group_policy.md) を参照してください。

これらの更新プログラムは、レジストリエディタまたは Windows PowerShell を使用して行うことができます。どちらの手順も、このセクションで説明しています。

**レジストリエディタを使用して DNS レジストリ設定を更新するには**

1. Windows WorkSpace で、Windows 検索ボックスを開き、**registry editor** と入力してレジストリエディタ (**regedit.exe**) を開きます。

1. 「このアプリがデバイスに変更を加えることを許可しますか?」と尋ねられたら、[**はい**] を選択します。

1. レジストリエディターで、次のレジストリエントリに移動します。

   **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1SkyLight**

1. [**DomainJoinDns**] レジストリキーを開きます。`OldIP1` で `NewIP1` を更新し、[**OK**] を選択します。

1. レジストリエディタを閉じます。

1. WorkSpace を再起動するか、SkyLightWorkspaceConfigService サービスを再起動します。
**注記**  
SkyLightWorkspaceConfigService サービスを再起動した後、ネットワークアダプタが変更を反映するまでに最長 1 分かかる場合があります。

1. [ステップ 2](#update-dns-active-directory) に進み、Active Directory の DNS サーバー設定を更新して `OldIP1` を `NewIP1` に置き換えます。

**PowerShell を使用して DNS レジストリ設定を更新するには**

次の手順では、PowerShell コマンドを使用してレジストリを更新し、SkyLightWorkspaceConfigService サービスを再起動します。

1. Windows WorkSpace で、Windows 検索ボックスを開き、**powershell** と入力します。[**管理者として実行**] を選択します。

1. 「このアプリがデバイスに変更を加えることを許可しますか?」と尋ねられたら、[**はい**] を選択します。

1. PowerShell ウィンドウで、次のコマンドを実行して、現在の DNS サーバーの IP アドレスを取得します。

   ```
   Get-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS
   ```

   次のような出力が表示されます。

   ```
   DomainJoinDns : OldIP1,OldIP2
   PSPath        : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\SkyLight
   PSParentPath  : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon
   PSChildName   : SkyLight
   PSDrive       : HKLM
   PSProvider    : Microsoft.PowerShell.Core\Registry
   ```

1. PowerShell ウィンドウで、次のコマンドを実行して `OldIP1` を `NewIP1` に変更します。今のところ、`OldIP2` はそのままにしてください。

   ```
   Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "NewIP1,OldIP2"
   ```

1. 次のコマンドを実行して、SkyLightWorkspaceConfigService サービスを再起動します。

   ```
   restart-service -Name SkyLightWorkspaceConfigService
   ```
**注記**  
SkyLightWorkspaceConfigService サービスを再起動した後、ネットワークアダプタが変更を反映するまでに最長 1 分かかる場合があります。

1. [ステップ 2](#update-dns-active-directory) に進み、Active Directory の DNS サーバー設定を更新して `OldIP1` を `NewIP1` に置き換えます。

### Amazon Linux 2 WorkSpaces の DNS サーバー設定を更新する
<a name="update-registry-dns-linux"></a>

Amazon Linux 2 WorkSpace が複数ある場合は、設定管理ソリューションを使用してポリシーを配布し、適用することをお勧めします。例えば、[Ansible](https://www.ansible.com/) を使用できます。

**Amazon Linux 2 WorkSpace で DNS サーバー設定を更新するには**

1. Linux WorkSpace でターミナルウィンドウを開きます。

1. 次の Linux コマンドを使用して、`/etc/dhcp/dhclient.conf` ファイルを編集します。このファイルを編集するには、root ユーザー権限が必要です。`sudo -i` コマンドを使用して root になるか、次に示すように `sudo` を使用してすべてのコマンドを実行します。

   ```
   sudo vi /etc/dhcp/dhclient.conf
   ```

   この `/etc/dhcp/dhclient.conf` ファイルには、次の `prepend` コマンドが表示されます。ここで、`OldIP1` と `OldIP2` は DNS サーバーの IP アドレスです。

   ```
   prepend domain-name-servers OldIP1, OldIP2; # skylight
   ```

1. `OldIP1` を `NewIP1` に置き換えて、今のところ `OldIP2` はそのままにします。

1. 変更を `/etc/dhcp/dhclient.conf` に保存します。

1. WorkSpace を再起動します。

1. [ステップ 2](#update-dns-active-directory) に進み、Active Directory の DNS サーバー設定を更新して `OldIP1` を `NewIP1` に置き換えます。

### Ubuntu WorkSpaces の DNS サーバー設定を更新する
<a name="update-registry-dns-ubuntu"></a>

Ubuntu WorkSpace が複数ある場合は、設定管理ソリューションを使用してポリシーを配布し、適用することをお勧めします。例えば、[Landscape ](https://ubuntu.com/landscape)を使用できます。

**Ubuntu WorkSpace で DNS サーバー設定を更新するには**

1. Ubuntu WorkSpace でターミナルウィンドウを開き、次のコマンドを実行します。このファイルを編集するには、root ユーザー権限が必要です。`sudo -i` コマンドを使用して root になるか、次に示すように `sudo` を使用してすべてのコマンドを実行します。

   ```
   sudo vi /etc/netplan/zz-workspaces-domain.yaml
   ```

1. yaml ファイルに、次の `nameserver` コマンドが表示されます。

   ```
   nameservers:
       search:[Your domain FQDN]
       addresses:[OldIP1, OldIP2]
   ```

   `OldIP1` と `OldIP2` を `NewIP1` と `NewIP2` に置き換えます。

   複数の DNS サーバーの IP アドレスがある場合は、カンマで区切って値を追加します。例えば、`[NewDNSIP1, NewDNSIP2, NewDNSIP3]`。

1. yaml ファイルを保存します。

1. コマンド `sudo netplan apply` を実行して変更を適用します。

1. コマンド `resolvectl status` を実行して、新しい DNS IP アドレスが使用されていることを確認します。

1. [ステップ 2](#update-dns-active-directory) に進み、Active Directory の DNS サーバー設定を更新します。

### Red Hat Enterprise Linux WorkSpaces の DNS サーバー設定を更新する
<a name="update-registry-dns-rhel"></a>

Red Hat Enterprise Linux WorkSpace が複数ある場合は、設定管理ソリューションを使用してポリシーを配布し、適用することをお勧めします。例えば、[Ansible](https://www.ansible.com/) を使用できます。

**Red Hat Enterprise Linux WorkSpace で DNS サーバー設定を更新するには**

1. Red Hat Enterprise Linux WorkSpace でターミナルウィンドウを開き、次のコマンドを実行します。このファイルを編集するには、root ユーザー権限が必要です。`sudo -i` コマンドを使用して root になるか、次に示すように `sudo` を使用してすべてのコマンドを実行します。

   ```
   sudo nmcli conn modify CustomerNIC ipv4.dns 'NewIP1 NewIP2'
   ```

1. 以下のコマンドを実行してください。

   ```
   sudo systemctl restart NetworkManager
   ```

1. 更新された DNS とネットワーク設定を確認するために、次のコマンドを実行します。

   ```
   nmcli device show eth1
   ```

1. [ステップ 2](#update-dns-active-directory) に進み、Active Directory の DNS サーバー設定を更新します。

## ステップ 2: Active Directory の DNS サーバー設定を更新する
<a name="update-dns-active-directory"></a>

このステップでは、Active Directory の DNS サーバー設定を更新します。「[ベストプラクティス](#update-dns-best-practices)」セクションで説明したように、DNS サーバーの IP アドレスを一度に 1 つずつ更新することをお勧めします。

Active Directory の DNS サーバー設定を更新するには、 *AWS Directory Service 管理ガイド*の次のドキュメントを参照してください。
+ **AD Connector**: [ AD Connector の DNS アドレスを更新する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html)
+ **AWS Managed Microsoft AD**: [ オンプレミスドメインの DNS 条件付きフォワーダーを設定する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_onprem.html#tutorial_setup_trust_onprem_forwarder)
+ **Simple AD**: [ DNS を設定する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_dns.html)

DNS サーバーの設定を更新したら、[ステップ 3](#test-updated-dns-settings) に進みます。

## ステップ 3: 更新された DNS サーバー設定をテストする
<a name="test-updated-dns-settings"></a>

[ステップ 1](#update-registry-dns) と [ステップ 2](#update-dns-active-directory), を完了した後、次の手順を使用して、更新された DNS サーバー設定が期待どおりに機能していることを確認します。

次の手順では、現在および新しい DNS サーバーの IP アドレス値を次のように参照します。
+ 現在の DNS IP アドレス: `OldIP1`, `OldIP2` 
+ 新しい DNS IP アドレス: `NewIP1`、`NewIP2`

**注記**  
この手順を 2 回目に実行する場合は、`OldIP1`を `OldIP2` に、`NewIP1` を `NewIP2` に置き換えます。

### Windows WorkSpaces 用の更新された DNS サーバー設定をテストする
<a name="test-updated-dns-settings-windows"></a>

1. `OldIP1` DNS サーバーをシャットダウンします。

1. Windows WorkSpace にログインします。

1. Windows の [**スタート**] メニューで [**Windows システム**] を選択し、[**コマンドプロンプト**] を選択します。

1. 次のコマンドを実行します。`AD_Name` は、Active Directory の名前 (`corp.example.com` など) です。

   ```
   nslookup AD_Name
   ```

   `nslookup` コマンドは次の情報を返します。(この手順を 2 回目に実行する場合は、`NewIP2` の代わりに `OldIP2` を参照してください)。

   ```
   Server:  Full_AD_Name
   Address:  NewIP1
   
   Name:    AD_Name
   Addresses:  OldIP2
             NewIP1
   ```

1. 出力が期待したものではない場合、またはエラーが表示された場合は、[ステップ 1](#update-registry-dns) を繰り返します。

1. 1 時間待ってから、ユーザーの問題が報告されていないことを確認します。`NewIP1` が DNS クエリを取得し、応答していることを確認します。

1. 最初の DNS サーバーが正常に動作していることを確認したら、[ステップ 1](#update-registry-dns) を繰り返して 2 番目の DNS サーバーを更新します。今回は `OldIP2` を `NewIP2` に置き換えます。次に、ステップ 2 とステップ 3 を繰り返します。

### Linux WorkSpaces 用の更新された DNS サーバー設定をテストする
<a name="test-updated-dns-settings-linux"></a>

1. `OldIP1` DNS サーバーをシャットダウンします。

1. Linux WorkSpace にログインします。

1. Linux WorkSpace でターミナルウィンドウを開きます。

1. DHCP 応答で返された DNS サーバーの IP アドレスは、WorkSpace 上のローカル `/etc/resolv.conf` ファイルに書き込まれます。`/etc/resolv.conf ` ファイルのコンテンツを表示するには、次のコマンドを実行します。

   ```
   cat /etc/resolv.conf
   ```

   次のような出力が表示されます。(この手順を 2 回目に実行する場合は、`NewIP2` の代わりに `OldIP2` を参照してください)。

   ```
   ; This file is generated by Amazon WorkSpaces
   ; Modifying it can make your WorkSpace inaccessible until reboot
   options timeout:2 attempts:5
   ; generated by /usr/sbin/dhclient-script
   search region.compute.internal
   nameserver NewIP1
   nameserver OldIP2
   nameserver WorkSpaceIP
   ```
**注記**  
`/etc/resolv.conf` ファイルを手動で変更した場合、WorkSpace を再起動すると、これらの変更は失われます。

1. 出力が期待したものではない場合、またはエラーが表示された場合は、[ステップ 1](#update-registry-dns) を繰り返します。

1. 実際の DNS サーバーの IP アドレスは `/etc/dhcp/dhclient.conf` ファイルに保存されます。このファイルの内容を表示するには、次のコマンドを実行します。

   ```
   sudo cat /etc/dhcp/dhclient.conf
   ```

   次のような出力が表示されます。(この手順を 2 回目に実行する場合は、`NewIP2` の代わりに `OldIP2` を参照してください)。

   ```
   # This file is generated by Amazon WorkSpaces
   # Modifying it can make your WorkSpace inaccessible until rebuild
   prepend domain-name-servers NewIP1, OldIP2; # skylight
   ```

1. 1 時間待ってから、ユーザーの問題が報告されていないことを確認します。`NewIP1` が DNS クエリを取得し、応答していることを確認します。

1. 最初の DNS サーバーが正常に動作していることを確認したら、[ステップ 1](#update-registry-dns) を繰り返して 2 番目の DNS サーバーを更新します。今回は `OldIP2` を `NewIP2` に置き換えます。次に、ステップ 2 とステップ 3 を繰り返します。

# WorkSpaces Personal でディレクトリを削除する
<a name="delete-workspaces-directory"></a>

**注記**  
Simple AD および AD Connector は、WorkSpaces で無料で利用できます。Simple AD または AD Connector ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、 [AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。  
Simple AD または AD Connector ディレクトリを削除した場合、WorkSpaces を再度ご使用になる際は、いつでも Simple AD または AD Connector を新たに作成できます。

**ディレクトリを削除するとどうなるか:** ディレクトリを削除すると、次のようになります。
+ Simple AD または AWS Directory Service for Microsoft Active Directory ディレクトリを削除すると、すべてのディレクトリデータとスナップショットが削除され、復元できなくなります。ディレクトリが削除されても、ディレクトリに結合されている Amazon EC2 インスタンスはすべてそのまま残ります。ただし、ディレクトリの認証情報を使用して、このインスタンスにログインすることはできません。インスタンスにローカル AWS アカウント な を使用して、これらのインスタンスにログインする必要があります。
+ AD Connector ディレクトリが削除されても、オンプレミスのディレクトリはそのまま残ります。ディレクトリに結合されている Amazon EC2 インスタンスもすべてそのまま残り、オンプレミスのディレクトリに結合された状態のまま変わりません。引き続き、ディレクトリの認証情報を使用して、このインスタンスにログインできます。

## Entra ID またはカスタム WorkSpaces ディレクトリを削除する
<a name="delete-entra-custom"></a>

Entra ID WorkSpaces ディレクトリを使用すると、Entra ID に参加している Windows 10 または 11 の BYOL WorkSpaces を作成できます。詳細については、「[WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する](launch-entra-id.md)」を参照してください。

カスタム WorkSpaces ディレクトリを使用すると、Active Directory ドメインに参加せずに、独自のデバイス管理ソフトウェアと IAM アイデンティティセンターを使用する WorkSpaces を作成できます。詳細については、「[WorkSpaces Personal で専用のカスタムディレクトリを作成する](launch-custom.md)」を参照してください。

**Entra ID またはカスタム WorkSpaces ディレクトリを削除するには**

1. ディレクトリ内のすべての WorkSpaces を削除します。詳細については、「[WorkSpaces Personal で WorkSpace を削除する](delete-workspaces.md)」を参照してください。

1. ナビゲーションペインで [**Directories**] を選択します。

1. ディレクトリを選択します｡

1. **[アクション]**、**[削除]** の順に選択します。

1. 確認を求められたら、**[削除]** をクリックします。

## AWS Directory Service ディレクトリを削除する
<a name="delete-aws-directory"></a>

WorkSpaces の AWS Directory Service ディレクトリは、他の WorkSpaces や WorkDocs Amazon WorkMail 、Amazon Chime などの他のアプリケーションで使用されなくなった場合に削除できます。ディレクトリを削除する前に、ディレクトリの登録を解除する必要があります。

**ディレクトリの登録を解除するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択します｡

1. [**Actions**]、[**Deregister**] の順に選択します。

1. 確認を求めるメッセージが表示されたら、[**Deregister**] を選択します。登録解除が完了すると、[**Registered**] の値は `No` になります。

**ディレクトリを削除するには**

1. ディレクトリ内のすべての WorkSpaces を削除します。詳細については、「[WorkSpaces Personal で WorkSpace を削除する](delete-workspaces.md)」を参照してください。

1. ディレクトリに登録されているすべてのアプリケーションとサービスを見つけて削除します。詳細については、*AWS Directory Service 管理ガイド*の[ディレクトリの削除](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html)を参照してください。

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Deregister**] の順に選択します。

1. 確認を求めるメッセージが表示されたら、[**Deregister**] を選択します。

1. ディレクトリをもう一度選択し、[**Actions**]、[**Delete**] の順に選択します。

1. 確認を求めるメッセージが表示されたら、[**Delete**] を選択します。
**注記**  
アプリケーション割り当ての削除には、予想以上に時間がかかる場合があります。次のエラーメッセージが表示された場合は、すべてのアプリケーションの割り当てを削除したことを確認し、30～60 分待ってから、ディレクトリの削除を再試行します。  

   ```
   An Error Has Occurred
   Cannot delete the directory because it still has authorized applications. 
   Additional directory details can be viewed at the Directory Service console.
   ```

1. (オプション) ディレクトリの Virtual Private Cloud (VPC) のすべてのリソースを削除した後で、VPC を削除し、NAT ゲートウェイで使用されている Elastic IP アドレスを解放できます。詳細については、*Amazon VPC ユーザーガイド*の [VPC の削除](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting)および [Elastic IP アドレスの使用](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs)を参照してください。

1. (オプション) 不要になったカスタムバンドルとイメージを削除するには、「[WorkSpaces Personal でカスタムバンドルまたはイメージを削除する](delete_bundle.md)」を参照してください。

# WorkSpaces Personal で Active Directory 管理ツールを設定する
<a name="directory_administration"></a>

WorkSpaces ディレクトリのほとんどの管理タスクは、Active Directory 管理ツールなどのディレクトリ管理ツールを使用して実行します。ただし、ディレクトリ関連のタスクの一部は WorkSpaces コンソールを使用して実行します。詳細については、「[WorkSpaces Personal のディレクトリを管理する](manage-workspaces-directory.md)」を参照してください。

5 つ以上の WorkSpaces を含む AWSManaged Microsoft AD または Simple AD でディレクトリを作成する場合は、Amazon EC2 インスタンスに管理を一元化することをお勧めします。ディレクトリ管理ツールは WorkSpace にインストールすることができますが、Amazon EC2 インスタンスを使用する方がより堅実なソリューションとなります。

**Active Directory 管理ツールを設定するには**

1. Amazon EC2 Windows インスタンスを起動し、次のいずれかのオプションを使用して WorkSpaces ディレクトリに結合します。
   + 既存の Amazon EC2 Windows インスタンスがない場合は、インスタンスの起動時に、そのインスタンスをディレクトリドメインに結合できます。詳細については、*AWS Directory Service 管理ガイド*の [Windows EC2 インスタンス](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)にシームレスに参加するを参照してください。
   + 既存の Amazon EC2 Windows インスタンスがある場合は、手動でディレクトリに結合できます。詳細については、*AWS Directory Service 管理ガイド*の [Windows インスタンスを手動で追加する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)を参照してください。

1. Amazon EC2 Windows インスタンスに Active Directory 管理ツールをインストールします。詳細については、*AWS Directory Service 管理ガイド*の [Active Directory 管理ツールのインストール](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/install_ad_tools.html)を参照してください。
**注記**  
Active Directory 管理ツールをインストールするときは、[**グループポリシーの管理**] も選択して、グループポリシー管理エディター (**gpmc.msc**) ツールをインストールします。

   機能のインストールが完了すると、**Windows 管理ツール**の Windows [**スタート**] メニューから、Active Directory ツールが使用できるようになります。

1. ディレクトリ管理者として､ツールを次のように実行します。

   1. Windows の [**スタート**] メニューで、[**Windows 管理ツール**] を開きます。

   1. Shift キーを押しながら、使用するツールへのショートカットを右クリックし、[**別のユーザーとして実行**] を選択します。

   1. 管理者のサインイン認証情報を入力します。Simple AD の場合、ユーザー名は **Administrator** で、 AWSManaged Microsoft AD の場合、管理者は です**Admin**。

使い慣れた Active Directory ツールを使用して、ディレクトリ管理タスクを実行できるようになりました。たとえば、Active Directory ユーザーとコンピュータツールを使用して、ユーザーの追加、ユーザーの削除、ディレクトリ管理者へのユーザーの昇格、またはユーザーパスワードのリセットを行うことができます。ディレクトリ内のユーザーを管理する権限を持つユーザーとして、Windows インスタンスにログインする必要があります。

**ユーザーをディレクトリ管理者に昇格するには**
**注記**  
この手順は、Simple AD で作成されたディレクトリにのみ適用され、 AWSManaged AD には適用されません。AWSManaged AD で作成されたディレクトリについては、[「 管理ガイド」の「Manage Users and Groups in AWSManaged Microsoft AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)」を参照してください。 *AWS Directory Service*

1. [Active Directory ユーザーとコンピュータ] ツールを開きます。

1. ドメインの下の **Users** フォルダに移動し、昇格するユーザーを選択します。

1. [**Action**]、[**Properties**] の順に選択します。

1. ***ユーザー名*プロパティ**のダイアログボックスで、[**メンバーとして追加**] をクリックします。

1. ユーザーを以下のグループに追加し、[**OK**] を選択します。
   + **Administrators**
   + **Domain Admins**
   + **Enterprise Admins**
   + **Group Policy Creator Owners**
   + **Schema Admins**

**ユーザーを追加または削除するには**  
Amazon WorkSpaces コンソールから新しいユーザーを作成できるのは、WorkSpace の起動プロセス中のみです。Amazon WorkSpaces コンソールからユーザーを削除することはできません。ユーザーグループの管理など、ほとんどのユーザー管理タスクは、ディレクトリで実行する必要があります。

**重要**  
ユーザーを削除する前に、ユーザーに割り当てられた WorkSpace を削除する必要があります。詳細については、「[WorkSpaces Personal で WorkSpace を削除する](delete-workspaces.md)」を参照してください

ユーザーとグループの管理に使用するプロセスは、使用しているディレクトリの種類によって異なります。
+ AWSManaged Microsoft AD を使用している場合は、[「 管理ガイド」の「Manage Users and Groups in AWSManaged Microsoft AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)」を参照してください。 *AWS Directory Service*
+ Simple AD を使用している場合は、*AWS Directory Service 管理ガイド*の[Simple AD でユーザーとグループを管理する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html)を参照してください。
+ AD Connector または信頼関係を使用して Microsoft Active Directory を使用する場合は、[Active Directory モジュール](https://docs.microsoft.com/powershell/module/activedirectory/)を使用してユーザーとグループを管理できます。

**ユーザーのパスワードをリセットするには**  
既存のユーザーのパスワードをリセットするときは、[**User must change password at next logon**] を設定しないでください。設定してしまうと、ユーザーは WorkSpace に接続できません。代わりに、安全な一時パスワードをユーザーに割り当てて、ユーザーが次回ログオンしたときに WorkSpace 内から手動でパスワードを変更するように依頼します。

**注記**  
AD Connector を使用している場合、またはユーザーが AWSGovCloud (米国西部) リージョンにいる場合、ユーザーは自分のパスワードをリセットできません。([**パスワードを忘れた場合**] オプションは、WorkSpaces クライアントアプリケーションのログイン画面では使用できません。)

# WorkSpaces Personal でユーザーを管理する
<a name="administer-workspace-users"></a>

各 WorkSpace は 1 人のユーザーに割り当てられており、複数のユーザーで共有することはできません。デフォルトでは、ディレクトリごとに 1 ユーザーあたり 1 つの WorkSpace のみ許可されます。

**Topics**
+ [WorkSpaces Personal のユーザーを管理する](manage-workspaces-users.md)
+ [WorkSpaces Personal で 1 人のユーザーに対して複数の WorkSpaces を作成する](create-multiple-workspaces-for-user.md)
+ [WorkSpaces Personal の WorkSpaces へのユーザーログイン方法をカスタマイズする](customize-workspaces-user-login.md)
+ [WorkSpaces Personal でユーザーを対象とした WorkSpaces の自己管理機能を有効にする](enable-user-self-service-workspace-management.md)
+ [WorkSpaces Personal でユーザーの Amazon Connect オーディオ最適化を有効にする](enable-amazon-connect-audio-optimization.md)
+ [WorkSpaces Personal で診断ログのアップロードを有効にする](enable-diagnostic-log-uploads.md)

# WorkSpaces Personal のユーザーを管理する
<a name="manage-workspaces-users"></a>

WorkSpaces の管理者は、WorkSpaces ユーザーを管理するために以下のタスクを実行します。

## ユーザー情報を編集する
<a name="edit-user"></a>

WorkSpaces コンソールを使用して、WorkSpace のユーザーの以下の情報を編集できます。

**注記**  
この機能は、 AWSManaged Microsoft AD または Simple AD を使用する場合にのみ使用できます。AD Connector または信頼関係を使用して Microsoft Active Directory を使用する場合は、[Active Directory モジュール](https://docs.microsoft.com/powershell/module/activedirectory/)を使用してユーザーとグループを管理できます。Microsoft Entra ID またはカスタム WorkSpaces ディレクトリを使用する場合は、Microsoft Entra ID または ID プロバイダーを使用してユーザーとグループを管理できます。

**ユーザー情報を編集するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. ユーザーを選択したら、**[Actions]** (アクション)、**[Edit User]** (ユーザーの編集) の順に選択します。

1. 必要に応じて､**[First Name]** (名)､**[Last Name]** (姓)､**[Email]** (E メール) を更新します

1. [**更新**] を選択します。

## ユーザーを追加または削除する
<a name="add-delete-user"></a>

Amazon WorkSpaces コンソールからユーザーを作成できるのは、WorkSpace の起動プロセス中のみです。Amazon WorkSpaces コンソールからユーザーを削除することはできません。ユーザーグループの管理など、ほとんどのユーザー管理タスクは、ディレクトリで実行する必要があります。

**ユーザーとグループを追加または削除するには**  
ユーザーとグループを追加、削除、または管理するには、ディレクトリを通じてこれを行う必要があります。WorkSpaces ディレクトリのほとんどの管理タスクは、Active Directory 管理ツールなどのディレクトリ管理ツールを使用して実行します。詳細については、「[WorkSpaces Personal で Active Directory 管理ツールを設定する](directory_administration.md)」を参照してください

**重要**  
ユーザーを削除する前に、ユーザーに割り当てられた WorkSpace を削除する必要があります。詳細については、「[WorkSpaces Personal で WorkSpace を削除する](delete-workspaces.md)」を参照してください

ユーザーとグループの管理に使用するプロセスは、使用しているディレクトリの種類によって異なります。
+ AWSManaged Microsoft AD を使用している場合は、[「 管理ガイド」の「Manage Users and Groups in AWSManaged Microsoft AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)」を参照してください。 *AWS Directory Service*
+ Simple AD を使用している場合は、*AWS Directory Service 管理ガイド*の[Simple AD でユーザーとグループを管理する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html)を参照してください。
+ AD Connector または信頼関係を使用して Microsoft Active Directory を使用する場合は、[Active Directory モジュール](https://docs.microsoft.com/powershell/module/activedirectory/)を使用してユーザーとグループを管理できます。

## 招待 E メールの送信
<a name="send-invitation"></a>

必要に応じて、手動で招待メールを送信することができます。

**注記**  
AD Connector または信頼されたドメインを使用している場合、招待メールはユーザーに自動的には送信されないため、手動で送信する必要があります。また、ユーザーが既に Active Directory に存在する場合も、招待メールは自動的に送信されません。

**招待 E メールを再送信するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. [**WorkSpace**] ページで、検索ボックスを使用して招待を送信するユーザーを検索し、検索結果から対応する WorkSpace を選択します。一度に選択できる WorkSpace は 1 つだけです。

1. **[Actions]** (アクション)、**[Invite User] ** (ユーザーを招待) の順に選択します。

1. **[Invite users to the WorkSpace]** (WorkSpace にユーザーを招待) ページで、**[Send invite]** (招待を送信) を選択します。

# WorkSpaces Personal で 1 人のユーザーに対して複数の WorkSpaces を作成する
<a name="create-multiple-workspaces-for-user"></a>

デフォルトでは、ディレクトリごとに 1 ユーザーあたり 1 つの WorkSpace のみ作成できます。ただし、必要に応じて、ディレクトリ設定に応じて、1 ユーザーに対して複数の WorkSpace を作成できます。
+ WorkSpaces 用のディレクトリが 1 つしかない場合は、そのユーザーに対して複数のユーザー名を作成します。たとえば、Mary Major という名前のユーザーは、mmajor1、mmajor2 などのユーザー名を持つことができます。各ユーザー名は、同じディレクトリ内の異なる WorkSpace に関連付けられますが、WorkSpaces がすべて同じ AWS リージョンの同じディレクトリに作成されている限り、WorkSpaces は同じ登録コードを持ちます。
+ WorkSpaces に複数のディレクトリがある場合は、ユーザーの WorkSpace を別々のディレクトリに作成します。複数のディレクトリで同じユーザー名を使用することも、ディレクトリで異なるユーザー名を使用することもできます。WorkSpace の登録コードは異なります。

**ヒント**  
ユーザー用に作成したすべての WorkSpaces を簡単に見つけることができるように、各 WorkSpace に同じ基本ユーザー名を使用します。  
例えば、Active Directory ユーザー名を mmajor とする Mary Major という名前のユーザーがある場合、mmajor、mmajor1、mmjor2、mmjor3 などのユーザー名や、mmjor\$1windows や mmmajor\$1linux などの多少変化させたものを使用して、当該ユーザーのための WorkSpaces を作成します。すべての WorkSpaces のベースユーザー名 (mmajor) の冒頭が同じであれば、WorkSpaces コンソールでユーザー名を並べ替えて、そのユーザーのすべての WorkSpaces をグループ化できます。

**重要**  
2 つの WorkSpaces が別々のディレクトリにある場合に限り、ユーザーは PCoIP WorkSpace と DCV WorkSpace の両方を持つことができます。同じユーザーが PCoIP WorkSpace と DCV WorkSpace を同じディレクトリ内に持つことはできません。
クロスリージョンリダイレクトで使用する複数の WorkSpaces を設定する場合は、異なる AWS リージョンの異なるディレクトリに WorkSpaces をセットアップし、各ディレクトリで同じユーザー名を使用する必要があります。クロスリージョンリダイレクトの詳細については、[WorkSpaces Personal のクロスリージョンリダイレクト](cross-region-redirection.md) を参照してください。

WorkSpaces 間で切り替えるには、特定のワークスペースに関連付けられたユーザー名と登録コードを使用してログインします。ユーザーが Windows、macOS、または Linux 用の WorkSpaces クライアントアプリケーションのバージョン 3.0 以降を使用している場合は、クライアントアプリケーションで [**設定**]、[**ログイン情報の管理**] の順に選択し、WorkSpace に異なる名前を割り当てることができます。

# WorkSpaces Personal の WorkSpaces へのユーザーログイン方法をカスタマイズする
<a name="customize-workspaces-user-login"></a>

Uniform Resource Identifier (URI) を使用して WorkSpaces へのユーザーのアクセスをカスタマイズして、組織内の既存のワークフローと統合された、簡素化されたログインエクスペリエンスを提供します。たとえば、WorkSpaces の登録コードを使用してユーザーを登録するログイン URI を自動的に生成できます。上の結果: 
+ ユーザーは手動登録プロセスを省略できます。
+ ユーザー名は、WorkSpaces クライアントのログインページに自動的に入力されます。
+ 組織内で多要素認証 (MFA) が使用されている場合、クライアントログインページに組織のユーザー名と MFA コードが自動的に入力されます。

URI アクセスは、リージョンベースの登録コード (`WSpdx+ABC12D` など) と完全修飾ドメイン名 (FQDN) ベースの登録コード (`desktop.example.com` など) の両方で動作します。FQDN ベースの登録コードの作成および使用の詳細については、[WorkSpaces Personal のクロスリージョンリダイレクト](cross-region-redirection.md) を参照してください。

サポートされている次のデバイス上でのクライアントアプリケーションの、WorkSpaces への URI アクセスを設定できます。
+ Windows コンピュータ
+ macOS コンピュータ
+ Ubuntu Linux 18.04、20.04、22.04 コンピュータ
+ iPad
+ Android デバイス

URI を使用して WorkSpaces にアクセスするには、まずユーザーが [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) を開き、手順に従って、デバイス用のクライアントアプリケーションをインストールする必要があります。

URI アクセスは、Windows および macOS コンピュータ上の Firefox および Chrome ブラウザ、Ubuntu Linux 18.04、20.04、および 22.04 コンピュータ上の Firefox ブラウザ、および Windows コンピュータ上の Internet Explorer および Microsoft Edge ブラウザでサポートされています。WorkSpaces クライアントの詳細については、*Amazon WorkSpaces ユーザーガイド*の [WorkSpaces クライアント](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)を参照してください。

**注記**  
Android デバイスでは、URI アクセスは Firefox ブラウザでのみ機能し、Google Chrome ブラウザでは機能しません。

WorkSpaces への URI アクセスを設定するには、次の表に説明するいずれかの URI 形式を使用します。

**注記**  
URI のデータコンポーネントに次の予約文字が含まれている場合、あいまいさを避けるために、データコンポーネントでパーセントエンコードを使用することをお勧めします。  
`@ : / ? & =`  
例えば、これらの文字のいずれかを含むユーザー名がある場合、その URI 内のユーザー名をパーセントでエンコードする必要があります。詳細については、「[Uniform Resource Identifier (URI): 一般的な構文](https://www.rfc-editor.org/rfc/rfc3986.txt)」を参照してください。


| サポートされている構文 | 説明 | 
| --- | --- | 
| workspaces:// | WorkSpaces クライアントアプリケーションを開きます。（注: workspaces:// 単独の使用は、現在 Linux クライアントアプリケーションではサポートされていません）。 | 
| workspaces://@registrationcode | WorkSpaces の登録コードを使用してユーザーを登録します。また、クライアントのログインページが表示されます。 | 
| workspaces://username@registrationcode | WorkSpaces の登録コードを使用してユーザーを登録します。また、クライアントログインページの [ユーザー名] フィールドにユーザー名を自動的に入力します。 | 
| workspaces://username@registrationcode?MFACode=mfa | WorkSpaces の登録コードを使用してユーザーを登録します。また、[ユーザー名] フィールドにユーザー名を入力し、クライアントログインページの [MFA コード] フィールドに多要素認証 (MFA) コードを自動的に入力します。 | 
| workspaces://@registrationcode?MFACode=mfa | WorkSpaces の登録コードを使用してユーザーを登録します。また、クライアントログインページの [MFA code] フィールドに Multi-Factor Authentication (MFA) コードを自動的に入力します。 | 

**注記**  
ユーザーがすでに Windows クライアントから WorkSpace に接続しているときに URI リンクを開くと、新しい WorkSpaces セッションが開き、元の WorkSpaces セッションが開いたままになります。ユーザーが macOS、iPad、または Android クライアントから WorkSpace に接続しているときに URI リンクを開くと、新しいセッションは開きません。元の WorkSpaces セッションのみが開いたままになります。

# WorkSpaces Personal でユーザーを対象とした WorkSpaces の自己管理機能を有効にする
<a name="enable-user-self-service-workspace-management"></a>

WorkSpaces で、ユーザーが自分のエクスペリエンスをより詳細に制御するには、WorkSpace 自己管理機能を使用します。WorkSpaces の IT サポートスタッフのワークロードを減らすこともできます。自己管理機能を有効にすると、ユーザーは WorkSpacesクライアントから直接、以下のタスクを 1 つ以上実行できるようになります。
+ 認証情報はクライアントにキャッシュされます。これにより、ユーザーは認証情報を再度入力することなく、WorkSpace に再接続することができます。
+ WorkSpace を再起動します。
+ WorkSpace 上のルートボリュームとユーザーボリュームのサイズを増やします。
+ WorkSpace のコンピューティングタイプ (バンドル) を変更します。
+ WorkSpace の実行モードを切り替えます。
+ WorkSpace を再構築します。

**Supported Clients (サポートされるクライアント)**
+ Android、Android または Android 対応の Chrome OS システム
+ Linux
+ macOS
+ Windows

**ユーザーの自己管理機能を有効にするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. セルフサービス管理機能を有効にするディレクトリを選択します。

1. [セルフサービスアクセス許可] まで下にスクロールし、**[編集]** を選択ます。ユーザーが自分のクライアントから実行できる WorkSpace 管理タスクを確認するために、必要に応じて次のオプションを有効または無効にします。
   + **Remember me** (このアカウントを記憶する) — ユーザーは、ログイン画面の [**Remember Me**] (このアカウントを記憶する) または [**Keep me logged in**] (ログイン状態を保つ) のチェックボックスを選択して、認証情報をクライアントにキャッシュするかどうかを選択できます。認証情報は、RAM にのみキャッシュされます。認証情報をキャッシュするように設定すると、ユーザーは認証情報を再入力することなく、WorkSpaces に再接続できます。ユーザーが認証情報をキャッシュできる期間を管理する方法については、[Kerberos チケットの最大ライフタイムを設定する](group_policy.md#gp_kerberos_ticket) を参照してください。
   + **Restart WorkSpace from client (WorkSpace をクライアントから再起動)** — ユーザーは、WorkSpace を再起動できます。再起動すると、WorkSpace からユーザーを切断してシャットダウンしてから、再起動します。ユーザーデータ、オペレーティングシステム、およびシステム設定には影響しません。
   + **Increase volume size (ボリュームサイズの拡張)** — ユーザーは、WorkSpace のルートボリュームとユーザーボリュームを指定のサイズに拡張できます。IT サポートに連絡する必要はありません。ユーザーは、ルートボリューム (Windows の場合は C: ドライブ、Linux の場合は /) のサイズを 175 GB まで、ユーザーボリューム (Windows の場合は D: ドライブ、Linux の場合は /home) のサイズを 100 GB まで増やすことができます。セットグループに付属の WorkSpace ルートボリュームおよびユーザーボリュームは変更できません。使用可能なボリュームは [ルート (GB)、ユーザー (GB)]: [80、10]、[80、50]、[80、100]、[175～2000、100～2000] です。詳細については、「[WorkSpaces Personal で WorkSpace を変更する](modify-workspaces.md)」を参照してください

     新しく作成された WorkSpace の場合、これらのドライブのサイズを拡張するには、6 時間ほど待機する必要があります。それ以降、6 時間に 1 度のみ行うことができます。ボリュームサイズを拡大中の場合でも、ユーザーは自分の WorkSpace でほとんどのタスクを実行できます。WorkSpace のコンピューティングタイプの変更、WorkSpace 実行モードの切り替え、WorkSpace の再起動、WorkSpace の再構築のタスクは実行できません。プロセスが終了したら、変更を有効にするために WorkSpace を再起動する必要があります。このプロセスには最長で 1 時間程度かかることがあります。
**注記**  
ユーザーが自分の WorkSpace のボリュームサイズを拡張すると、WorkSpace の請求レートも上がります。
   + **Change compute type** (コンピューティングタイプの変更) — ユーザーは、コンピューティングタイプ (バンドル) 間で WorkSpace を切り替えることができます。新しく作成された WorkSpace の場合、別のバンドルに切り替えるには、6 時間ほど待機する必要があります。それ以降は、6 時間に 1 度のみ大きなバンドルに切り替えるか、30 日間に 1 回小さなバンドルに切り替えることができます。WorkSpace コンピューティングタイプが変更中の場合、ユーザーは WorkSpace から切断されるため、WorkSpace を使用または変更することはできません。WorkSpace は、コンピューティングタイプの変更プロセス中に自動的に再起動されます。このプロセスには最長で 1 時間程度かかることがあります。
**注記**  
ユーザーが WorkSpace コンピューティングタイプを変更すると、WorkSpace の請求レートが変わります。
   + **Switch running mode** (実行モードの切り替え) — ユーザーは、[**AlwaysOn**] と [**AutoStop**] 実行モードの間で WorkSpace を切り替えることができます。詳細については、「[WorkSpaces Personal の実行モードを管理する](running-mode.md)」を参照してください
**注記**  
ユーザーが WorkSpace の実行モードを切り替えると、その WorkSpace の請求レートが変わります。
   + **Rebuild WorkSpace from client** (クライアントから WorkSpace を再構築する) — WorkSpace のオペレーティングシステムは、元の状態に再構築できます。WorkSpace を再構築すると、ユーザーボリューム (D: ドライブ) は、最新のバックアップから再作成されます。バックアップは、12 時間ごとに完了するため、ユーザーのデータには最大 12 時間分含まれます。新しく作成された WorkSpace の場合、WorkSpace を再構築するには、12 時間ほど待機する必要があります。WorkSpace の再構築が進行中の場合、ユーザーは WorkSpace から切断されるため、WorkSpace を使用したり、変更を加えたりすることはできません。このプロセスには最長で 1 時間程度かかることがあります。
   + **診断ログのアップロード** — ユーザーは、WorkSpaces クライアントの使用を中断することなく WorkSpaces クライアントのログファイルを直接 WorkSpaces にアップロードして、問題をトラブルシューティングできます。ユーザーの診断ログのアップロードを有効にするか、ユーザー自身でアップロードすると、ログファイルは自動的に WorkSpaces に送信されます。WorkSpaces ストリーミングセッション前またはセッション中に診断ログのアップロードを有効にできます。

1. **[保存]** を選択します。

# WorkSpaces Personal でユーザーの Amazon Connect オーディオ最適化を有効にする
<a name="enable-amazon-connect-audio-optimization"></a>

WorkSpaces 管理コンソールで、WorkSpaces フリートの Amazon Connect 問い合わせコントロールパネル (CCP) のオーディオ最適化を有効にして、セキュリティを強化し、ネイティブ品質のオーディオを有効にできます。CCP オーディオ最適化を有効にすると、CCP オーディオはクライアントエンドポイントによって処理されますが、WorkSpaces ユーザーは WorkSpaces 内から CCP と対話できます。

Amazon Connect の問い合わせコントロールパネル (CCP) のオーディオ最適化は、以下で機能します。
+ WorkSpaces Windows クライアント。
+ Amazon Linux と Windows WorkSpaces。
+ PCoIP または DCV を使用する WorkSpaces。

## 要件
<a name="amazon-connect-audio-optimization-requirements"></a>
+ Amazon Connect で設定する必要があります。
+ 呼び出し発信用のメディアを持たない CCP を作成することにより、Amazon Connect Stream API を使用してカスタム CCP を構築する必要があります。このように、メディアは標準の CCP を使用してローカルデスクトップ上で処理され、シグナリングおよびコール制御はメディアなしで CCP とのリモート接続で処理されます。Amazon Connect streams API の詳細については、GitHub リポジトリ ([https://github.com/aws/amazon-connect-streams](https://github.com/aws/amazon-connect-streams)) を参照してください。構築するカスタム CCP は、Amazon Connect エージェントが WorkSpaces 内で使用する CCP です。
+ WorkSpaces クライアントエンドポイントに、Amazon Connect でサポートされているウェブブラウザがインストールされている必要があります。サポートされているブラウザの一覧については、「[Amazon Connect でサポートされるブラウザ](https://docs.aws.amazon.com/connect/latest/adminguide/browsers.html)」を参照してください。
**注記**  
ユーザーがサポートされていないブラウザを使用している場合、CCP にログインしようとすると、サポートされているブラウザをダウンロードするように求められます。

## Amazon Connect オーディオ最適化を有効にする
<a name="enable-audio-optimization"></a>

Amazon Connect オーディオ最適化をユーザーに対して有効にするには:

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Update Details**] の順に選択します。

1. **[Amazon Connect Audio Optimization]** (Amazon Connect オーディオ最適化) を展開します。
**注記**  
Amazon Connect で設定する前に、**[Update]** (更新) をクリックして、以前に管理コンソールで行った未保存の変更を保存します。

1. **[Configure Amazon Connect]** (Amazon Connect を設定する) を選択します。

1. Amazon Connect の問い合わせコントロールパネル (CCP) の名前を入力します。
**注記**  
CCP を指定した名前は、ユーザーアドインメニューで使用されます。ユーザーにとって意味のある名前を選択してください。

1. Amazon Connect が生成した Amazon Connect の問い合わせコントロールパネルの URL を入力します。URL の取得の詳細については、「[問い合わせコントロールパネルへのアクセスを提供する](https://docs.aws.amazon.com/connect/latest/adminguide/amazon-connect-contact-control-panel.html)」を参照してください。

1. **[Create Amazon Connect]** (Amazon Connect を作成) を選択します。

## ディレクトリの Amazon Connect オーディオ最適化の詳細を更新する
<a name="update-audio-optimization"></a>

ディレクトリの Amazon Connect オーディオ最適化の詳細を更新するには:

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Update Details**] の順に選択します。

1. **[Amazon Connect Audio Optimization]** (Amazon Connect オーディオ最適化) を展開します。
**注記**  
Amazon Connect で設定する前に、**[Update]** (更新) をクリックして、以前に管理コンソールで行った未保存の変更を保存します。

1. **[Configure Amazon Connect]** (Amazon Connect を設定する) を選択します。

1. **[編集]** を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Update Details**] の順に選択します。

1. Amazon Connect の問い合わせコントロールパネル名と URL を更新します。

1. **[保存]** を選択します。

## ディレクトリの Amazon Connect オーディオ最適化を削除する
<a name="delete-audio-optimization"></a>

ディレクトリの Amazon Connect オーディオ最適化を削除するには:

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Update Details**] の順に選択します。

1. **[Amazon Connect Audio Optimization]** (Amazon Connect オーディオ最適化) を展開します。
**注記**  
Amazon Connect で設定する前に、**[Update]** (更新) をクリックして、以前に管理コンソールで行った未保存の変更を保存します。

1. **[Configure Amazon Connect]** (Amazon Connect を設定する) を選択します。

1. **[Amazon Connect]** を選択します。

詳細については、「[エージェントトレーニングガイド](https://docs.aws.amazon.com/connect/latest/adminguide/agent-user-guide.html)」を参照してください。

# WorkSpaces Personal で診断ログのアップロードを有効にする
<a name="enable-diagnostic-log-uploads"></a>

WorkSpaces クライアントの問題をトラブルシューティングするには、診断ログの自動アップロードを有効にします。これは、現在 Windows、macOS、Linux、および Web Access クライアントでサポートされています。

**注記**  
WorkSpaces クライアント診断ログのアップロード機能は、現在 AWS GovCloud (北米西部) リージョンでは利用できません。

## 診断ログのアップロード
<a name="diagnostic-log-uploads"></a>

診断ログのアップロードにより、WorkSpaces クライアントの使用を中断することなく WorkSpaces クライアントのログファイルを直接 WorkSpaces にアップロードして、問題をトラブルシューティングできます。ユーザーの診断ログのアップロードを有効にするか、ユーザー自身でアップロードすると、ログファイルは自動的に WorkSpaces に送信されます。WorkSpaces ストリーミングセッション前またはセッション中に診断ログのアップロードを有効にできます。

管理対象デバイスから診断ログを自動的にアップロードするには、診断アップロードをサポートする WorkSpaces クライアントをインストールします。ログのアップロードはデフォルトで有効になっています。設定は、次のいずれかの方法で変更できます。

### オプション 1: AWS コンソールを使用する
<a name="diagnostic-log-console"></a>

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. 診断ログを有効にするディレクトリ名を選択します。

1. **[セルフサービス許可]** までスクロールします。

1. **[詳細を表示]** を選択します。

1. **[編集]** を選択します。

1. **[診断ログのアップロード]** を選択します。

1. **[保存]** を選択します。

### オプション 2: API コールを使用する
<a name="diagnostic-log-api"></a>

ディレクトリ設定を編集して、WorkSpaces Windows、macOS、Linux クライアントによる API コールを使用した診断ログの自動アップロードを有効または無効にできます。有効にすると、クライアントで問題が発生すると、ユーザーの操作なしにログが WorkSpaces に送信されます。詳細については、「[WorkSpaces API リファレンス](https://docs.aws.amazon.com/workspaces/latest/api/API_ClientProperties.html)」を参照してください。

または、クライアントのインストール後に、診断ログの自動アップロードを有効にするかどうかをユーザーが選択できます。詳細については、「[WorkSpaces Windows クライアントアプリケーション](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html)」、「[WorkSpaces macOS クライアントアプリケーション](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html)」、および「[WorkSpaces Linux クライアントアプリケーション](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-linux-client.html)」を参照してください。

**注記**  
診断ログには機密情報は含まれません。ユーザーによって診断ログの自動アップロードをディレクトリレベルで無効にしたり、これらの機能を無効にしたりできます。
診断ログのアップロード機能にアクセスするには、次のバージョンの WorkSpaces クライアントをインストールする必要があります。  
Windows クライアントバージョン 5.4.0 以降
macOS クライアントバージョン 5.8.0 以降
Ubuntu 22.04 クライアント 2023.1
Ubuntu 20.04 クライアント 2023.1
Web Access クライアントでも診断ログのアップロード機能にアクセスできます。

# WorkSpaces Personal の管理
<a name="administer-workspaces"></a>

WorkSpaces コンソールを使用して WorkSpaces を管理できます。

ディレクトリ管理タスクを実行するには、「[WorkSpaces Personal で Active Directory 管理ツールを設定する](directory_administration.md)」を参照してください。

**注記**  
ENA、NVMe、PV ドライバーなど、WorkSpaces のネットワーク依存関係ドライバーを必ず更新してください。この作業は、少なくとも 6 か月に 1 回行う必要があります。詳細については、[Elastic Network Adapter (ENA) ドライバーのインストールまたはアップグレード](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[AWS NVMe ドライバー (Windows インスタンス)](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)、および [Windows インスタンスでの PV ドライバーのアップグレード](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)に関する説明を参照してください。
EC2Config、EC2Launch、および EC2Launch V2 エージェントを定期的に最新バージョンに更新してください。この作業は、少なくとも 6 か月に 1 回行う必要があります。詳細については、「[EC2Config および EC2Launch の更新](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)」を参照してください。

**Topics**
+ [WorkSpaces Personal で Windows WorkSpaces を管理する](group_policy.md)
+ [WorkSpaces Personal で Amazon Linux 2 WorkSpaces を管理する](manage_linux_workspace.md)
+ [WorkSpaces Personal で Ubuntu WorkSpaces を管理する](manage_ubuntu_workspace.md)
+ [Rocky Linux WorkSpaces を管理する](manage_rockylinux_workspace.md)
+ [Red Hat Enterprise Linux WorkSpaces の管理](manage_rhel_workspace.md)
+ [WorkSpaces Personal でリアルタイム通信用に WorkSpaces を最適化する](communication-optimization.md)
+ [WorkSpaces Personal の実行モードを管理する](running-mode.md)
+ [WorkSpaces Personal でアプリケーションを管理する](manage-applications.md)
+ [WorkSpaces Personal で WorkSpace を変更する](modify-workspaces.md)
+ [WorkSpaces Personal でブランドをカスタマイズする](customize-branding.md)
+ [WorkSpaces Personal でリソースにタグを付ける](tag-workspaces-resources.md)
+ [WorkSpaces Personal のメンテナンス](workspace-maintenance.md)
+ [WorkSpaces Personal の暗号化された WorkSpaces](encrypt-workspaces.md)
+ [WorkSpaces Personal の WorkSpace を再起動する](reboot-workspaces.md)
+ [WorkSpaces Personal の WorkSpace を再構築する](rebuild-workspace.md)
+ [WorkSpaces Personal の WorkSpace を復元する](restore-workspace.md)
+ [WorkSpaces Personal での Microsoft 365 Bring Your Own License (BYOL)](byol-microsoft365-licenses.md)
+ [WorkSpaces Personal で Windows BYOL WorkSpaces をアップグレードする](upgrade-windows-10-byol-workspaces.md)
+ [WorkSpaces Personal で WorkSpace を移行する](migrate-workspaces.md)
+ [WorkSpaces Personal で WorkSpace を削除する](delete-workspaces.md)

# WorkSpaces Personal で Windows WorkSpaces を管理する
<a name="group_policy"></a>

グループポリシーオブジェクト (GPO) を使用して、Windows WorkSpaces または Windows WorkSpaces ディレクトリの一部であるユーザーを管理するための設定を適用できます。

**注記**  
Microsoft Entra ID またはカスタム WorkSpaces ディレクトリを使用する場合は、Microsoft Entra ID または ID プロバイダーを使用してユーザーとグループを管理できます。詳細については、「[WorkSpaces Personal で専用の Microsoft Entra ID ディレクトリを作成する](launch-entra-id.md)」を参照してください。
Linux インスタンスはグループポリシーに従いません。Amazon Linux WorkSpaces の管理については、[WorkSpaces Personal で Amazon Linux 2 WorkSpaces を管理する](manage_linux_workspace.md) を参照してください。

Amazon では、WorkSpaces コンピュータオブジェクトの組織単位と WorkSpaces ユーザーオブジェクトの組織単位を作成することをお勧めします。

Amazon WorkSpaces に固有のグループポリシー設定を使用するには、使用しているプロトコル (PCoIP または DCV) のグループポリシー管理用テンプレートをインストールする必要があります。

**警告**  
グループポリシー設定は、WorkSpaces のユーザーエクスペリエンスに次のように影響する場合があります。  
**ログオンバナーを表示するためにインタラクティブなログオンメッセージを実装すると、ユーザーは自分の WorkSpaces にアクセスできなくなります。**現在、インタラクティブなログオンメッセージのグループポリシー設定は PCoIP WorkSpaces でサポートされていません。ログオンメッセージは DCV WorkSpaces でサポートされており、ユーザーはログオンバナーを承諾した後に再度ログインする必要があります。証明書ベースのログオンが有効になっている場合、ログオンメッセージはサポートされていません。
**グループポリシー設定を使用してリムーバブルストレージを無効にすると、ログインに失敗します**。ユーザーはドライブ D にアクセスできず、一時ユーザープロファイルにログインされます。
**グループポリシー設定を使用してリモートデスクトップユーザーのローカルグループからユーザーを削除すると、そのユーザーは WorkSpaces クライアントアプリケーションを使用して認証できなくなります**。このグループポリシー設定の詳細については、Microsoft のドキュメントの[リモートデスクトップサービスによるログオンを許可する](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-through-remote-desktop-services)を参照してください。
**組み込みの Users グループを [**Allow log on locally**] (ローカルログオンを許可) セキュリティポリシーから削除すると、PCoIP WorkSpaces ユーザーは WorkSpaces クライアントアプリケーションを介して WorkSpaces に接続できなくなります。**PCoIP WorkSpaces も、PCoIP エージェントソフトウェアの更新を受信しなくなります。PCoIP エージェントの更新には、セキュリティやその他の修正が含まれていたり、WorkSpaces の新機能を有効にするものであったりする場合があります。このセキュリティポリシーの使用方法の詳細については、Microsoft ドキュメントの[ローカルでログオンを許可する](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)を参照してください。
グループポリシー設定は、ドライブアクセスの制限に使用できます。**ドライブ C またはドライブ D へのアクセスを制限するようにグループポリシー設定を行うと、ユーザーは WorkSpaces にアクセスできません。**この問題を回避するために、ユーザーがドライブ C およびドライブ D にアクセスできることを確認します。
**WorkSpaces のオーディオ入力機能を使用するには、WorkSpaces 内のローカルログオンアクセスが必要です。**Windows WorkSpaces では、オーディオ入力機能はデフォルトで有効になっています。ただし、WorkSpaces でのユーザーのローカルログオンを制限するグループポリシー設定がある場合、オーディオ入力は WorkSpaces では機能しません。そのグループポリシー設定を削除すると、WorkSpaces の次回再起動後にオーディオ入力機能が有効になります。このグループポリシー設定の詳細については、Microsoft のドキュメントの[ローカルでのログオンを許可する](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)をご参照ください。  
オーディオ入力リダイレクトの有効化または無効化の詳細については、[PCoIP のオーディオ入力リダイレクトを設定する](#gp_audio) または [DCV のオーディオ入力リダイレクトを設定する](#gp_audio_in_wsp) を参照してください。
グループポリシーを使用して Windows の電源プランを [**Balanced**] (バランス) または [**Power saver**] (省電力) に設定すると、WorkSpaces がアイドル状態になると、WorkSpaces がスリープ状態になる場合があります。グループポリシーを使用して、Windows の電源プランを [**High performance**] (高パフォーマンス) に設定することを強くお勧めします。詳細については、「[Windows WorkSpace をアイドル状態のままにすると、スリープ状態になる](amazon-workspaces-troubleshooting.md#windows_workspace_sleeps_when_idle)」を参照してください 
グループポリシー設定によっては、セッションから切断されているときに、ユーザーが強制的にログオフされます。ユーザーが WorkSpaces で開いているすべてのアプリケーションが閉じられます。
DCV WorkSpaces では、「アクティブだがアイドル状態のリモートデスクトップサービスセッションの時間制限を設定する」は現在サポートされていません。DCV セッション中は使用しないでください。アクティビティがあり、セッションがアイドル状態でない場合でも切断が発生します。

Active Directory 管理ツールを使用して GPO を操作する方法については、[WorkSpaces Personal で Active Directory 管理ツールを設定する](directory_administration.md) を参照してください。

**Contents**
+ [DCV のグループポリシー管理用テンプレートファイルをインストールする](#gp_install_template_wsp)
+ [DCV のグループポリシー設定を管理する](#gp_configurations_dcv)
+ [PCoIP のグループポリシー管理用テンプレートをインストールする](#gp_install_template)
+ [PCoIP のグループポリシー設定を管理する](#gp_configurations_pcoip)
+ [Kerberos チケットの最大ライフタイムを設定する](#gp_kerberos_ticket)
+ [インターネットアクセス用のデバイスプロキシサーバー設定を構成する](#gp_device_proxy)
  + [デスクトップトラフィックのプロキシ](#w2aac11c29c11c27c15)
  + [プロキシサーバーの使用に関する推奨事項](#w2aac11c29c11c27c17)
+ [Zoom Meeting Media プラグインのサポートを有効にする](#zoom-integration)
  + [DCV の Zoom Meeting Media プラグインを有効にする](#zoom-wsp)
    + [前提条件](#zoom-integ-prerequisites-wsp)
    + [[開始する前に]](#zoom-begin-wsp)
    + [Zoom コンポーネントのインストール](#installing-zoom-wsp)
  + [PCoIP の Zoom Meeting Media プラグインを有効にする](#zoom-pcoip)
    + [前提条件](#zoom-integ-prerequisites-pcoip)
    + [Windows WorkSpaces ホストにレジストリキーを作成する](#zoom-integ-create-registry-key)
    + [トラブルシューティング](#zoom-integ-troubleshoot)

## DCV のグループポリシー管理用テンプレートファイルをインストールする
<a name="gp_install_template_wsp"></a>

DCV を使用しているときに WorkSpaces に固有のグループポリシー設定を使用するには、DCV 用のグループポリシー管理用テンプレートの `wsp.admx` ファイルと `wsp.adml` ファイルを、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアに追加する必要があります。`.admx` および `.adml` ファイルの詳細については、「[Windows でグループポリシー管理用テンプレートのセントラルストアを作成および管理する方法](https://support.microsoft.com/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra)」を参照してください。

次の手順では、セントラルストアを作成し、管理用テンプレートファイルをそのストアに追加する方法について説明します。ディレクトリ管理用の WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、次の手順を実行します。

**DCV のグループポリシー管理用テンプレートファイルをインストールするには**

1. 実行中の Windows WorkSpace から、`wsp.admx` ディレクトリの `wsp.adml` および `C:\Program Files\Amazon\WSP` ファイルのコピーを作成します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、Windows エクスプローラーを開き、アドレスバーに `\\example.com` のような組織の完全修飾ドメイン名 (FQDN) を入力します。

1. `sysvol` フォルダを開きます。

1. `FQDN` という名前のフォルダを開きます。

1. `Policies` フォルダを開きます。今、`\\FQDN\sysvol\FQDN\Policies` に入っているはずです。

1. まだ存在しない場合は、`PolicyDefinitions` という名前のフォルダを作成します。

1. `PolicyDefinitions` フォルダを開きます。

1. `wsp.admx` ファイルを `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions` フォルダにコピーします。

1. `PolicyDefinitions` フォルダに `en-US` という名前のフォルダを作成します。

1. `en-US` フォルダを開きます。

1. `wsp.adml` ファイルを `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US` フォルダにコピーします。<a name="verify-admin-template"></a>

**管理用テンプレートファイルが正しくインストールされていることを確認するには**

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:*FQDN***]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。
**注記**  
WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトのドメインポリシーを使用して GPO を作成することはできません。代わりに、委任された権限を持つドメインコンテナの下に GPO を作成してリンクする必要があります。  
を使用してディレクトリを作成すると AWS Managed Microsoft AD、 は*ドメインルートの下にドメイン名*組織単位 (OU) Directory Service を作成します。この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、Directory DNS 名の最初の部分が使用されます (例えば、`corp.example.com` の場合、NetBIOS 名は `corp` となります)。  
GPO を作成するには、**デフォルトのドメインポリシー**を選択する代わりに、*yourdomainname* OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[**Create a GPO in this domain, and Link it here**] (このドメインに GPO を作成し、ここにリンクする) を選択します。  
*yourdomainname* OU の詳細については、*AWS Directory Service 管理ガイド*の[作成されるもの](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)を参照してください。

1. グループポリシー管理エディタで、**[コンピューターの構成]**、**[ポリシー]**、**[管理用テンプレート]**、**[Amazon]**、**[DCV]** の順に選択します。

1. これで、この **DCV** グループポリシーオブジェクトを使用して、DCV を使用しているときに WorkSpaces 固有のグループポリシー設定を変更できます。

## DCV のグループポリシー設定を管理する
<a name="gp_configurations_dcv"></a>

**グループポリシー設定を使って、DCV を使用する Windows WorkSpaces を管理するには**

1. [DCV の最新の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_wsp)が、WorkSpaces ディレクトリのドメインコントローラーのセントラルストアにインストールされていることを確認します。

1. 管理用テンプレートファイルが正しくインストールされていることを確認します。詳細については、「[管理用テンプレートファイルが正しくインストールされていることを確認するには](#verify-admin-template)」を参照してください。

### DCV のプリンターサポートを設定する
<a name="gp_local_printers_wsp"></a>

デフォルトでは、WorkSpaces は基本的なリモート印刷を可能にします。印刷の互換性を確実にするため、ホスト側の汎用プリンタードライバーを使用するため、提供される印刷機能は限られています。

Windows WorkSpaces に接続する Windows クライアントの高度なリモート印刷では、両面印刷などのプリンターの特定の機能を使用できますが、ホスト側とクライアント側に一致するプリンタードライバーをインストールする必要があります。

グループポリシー設定を使用して、必要に応じてプリンターのサポートを設定できます。


**ベーシック印刷とアドバンスト印刷**  

| 側面 | 基本的な印刷 | 高度な印刷 | 
| --- | --- | --- | 
| 使用するドライバー | 汎用 XPS ドライバー | プリンター固有のドライバー | 
| ドライバーのインストール | 自動 | 手動 (ホストとクライアント) | 
| 特徴 | 標準印刷のみ | プリンターのフル機能 (二重、紙トレイの選択、フィニッシングなど) | 

**高度な印刷を使用する場合: **- 両面 (二重) 印刷 - 特定の紙トレイの選択 - フィニッシングオプション (ステープリング、ホールパンチ) - ラベル印刷 (例: ゼブラプリンター) - プリンターの色管理およびその他の高度な機能。

#### プリンタサポートの設定
<a name="w2aac11c29c11c19b5b1c13"></a>

**プリンターのサポートを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Configure remote printing**] 設定を開きます。

1. [**Configure remote printing (リモート印刷を設定)**] ダイアログボックスで、次のいずれかを実行します。
   + **基本的な印刷:** **Enabled** を選択します。クライアントコンピュータの現在のデフォルトプリンターを自動的に使用するには、**ローカルデフォルトプリンターをリモートホストにマッピングを選択します。 **
   + **詳細印刷:** **有効** を選択し、**詳細印刷を有効にする** を選択します。クライアントコンピュータの現在のデフォルトプリンターを自動的に使用するには、**ローカルデフォルトプリンターをリモートホストにマップを選択します**。ポリシーを有効にすると、一致するプリンタードライバーをホスト側とクライアント側にインストールする必要があります。
   + 印刷を無効にするには、**[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

#### 高度なプリンターリダイレクトを設定する
<a name="w2aac11c29c11c19b5b1c17"></a>

**前提条件**

1. **WorkSpaces ホストエージェント:** バージョン 2.2.0.2116 以降

1. **Windows クライアント:** バージョン 5.31.0 以降

1. **プリンタードライバー:** 一致するプリンタードライバーは WorkSpace とクライアントデバイスの両方にインストールする必要があります

**注記**  
高度な印刷は、Windows WorkSpaces に接続する Windows クライアントでのみサポートされています。MacOS、Linux、および Web クライアントは基本的な印刷を使用します。

#### ドライバーバージョンの一致
<a name="w2aac11c29c11c19b5b1c23"></a>

高度な印刷を選択すると、次の 3 つのドライバー検証モードがサポートされます。


**ドライバー検証モード**  

| モード | 行動 | 使用時 | 
| --- | --- | --- | 
| 名前のみ (デフォルト) | ドライバー名のみに一致し、バージョンは無視されます | 必要な最大互換性 | 
| 部分一致 | Major.Minor バージョン (10.6.x.x など) に一致 | 互換性と機能のバランス | 
| 完全一致 | バージョンが完全に一致する必要があります | 専用プリンター (例: ゼブララベルプリンター) | 

**検証モードを設定するには、GPO **のプリンタードライバー検証ドロップダウンで名前のみ、部分一致、または完全一致を設定します。

**注記**  
ドライバーの検証に失敗すると、WorkSpaces は自動的に基本的な印刷に戻ります。

**設定を確認する**

1. WorkSpace に接続します。

1. **設定** > **デバイス** > **プリンターとスキャナー**を開きます。

1. ローカルプリンターが「リダイレクト済み」プレフィックスで表示されることを確認します。

1. テストドキュメントを印刷し、プリンターのプロパティをクリックして、詳細オプションが利用可能であることを確認します。

#### トラブルシューティング
<a name="w2aac11c29c11c19b5b1c27"></a>

**高度な機能は利用できません**: - GPO で「高度な印刷を有効にする」が選択されていることを確認します - 検証モードに従ってドライバーのバージョンが一致していることを確認します - 完全ではなく部分的な検証モードを使用することを検討してください。GPO の変更を有効にするには、必ず再起動してください。

**プリンターが表示されない**: - **リモート印刷の設定****が有効になっている**ことを確認する - プリンターがクライアントデバイスに接続されていることを確認する - WorkSpace セッションを再起動する

**印刷ジョブが失敗**する: - クライアントと WorkSpace の両方でドライバーのバージョンを確認する - ログを確認する: **C:\$1ProgramData\$1Amazon\$1WSP\$1Logs\$1agentsession.log** - ログで「高度な印刷が有効になっている」を探します

詳細なログ記録を有効にする: グループポリシーで、**コンピュータ設定** > **ポリシー** > **管理テンプレート** > **Amazon** > **WSP** でログの詳細度を設定してデバッグします。

### DCV のクリップボードリダイレクト (コピー/貼り付け) を設定する
<a name="gp_clipboard_wsp"></a>

デフォルトでは、WorkSpaces は双方向 (コピー/貼り付け) のクリップボードリダイレクトをサポートしています。Windows WorkSpaces の場合、グループポリシー設定を使用して、この機能を無効にしたり、クリップボードリダイレクトを許可する方向を設定したりできます。

**Windows WorkSpaces のクリップボードリダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Configure clipboard redirection**] 設定を開きます。

1. **[Configure clipboard redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

   **[Configure clipboard redirection]** を **[Enabled]** にすると、以下の **[Clipboard redirection options]** が使用可能になります。
   + **[Copy and Paste]** (コピーして貼り付ける) では、クリップボードのコピーと貼り付けの双方向リダイレクトを許可します。
   + **[Copy Only]** (コピーのみ) では、サーバーのクリップボードからクライアントのクリップボードへのデータのコピーのみを許可します。
   + **[Paste Only]** (貼り付けのみ) では、クライアントのクリップボードからサーバーのクリップボードへのデータの貼り付けのみを許可します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

**既知の制限事項**  
WorkSpaces でクリップボードのリダイレクトが有効になっていると、Microsoft Office アプリケーションから 890 KB よりも大きいコンテンツをコピーした場合に、アプリケーションが遅くなったり最大 5 秒応答しなくなったりすることがあります。

### DCV のセッション再開タイムアウトを設定する
<a name="gp_auto_resume_wsp"></a>

ネットワーク接続が切断されると、アクティブな WorkSpaces クライアントセッションが切断されます。Windows と macOS 用の WorkSpaces クライアントアプリケーションは、ネットワーク接続が一定時間内に復元すればセッションを自動的に再接続するように試行します。デフォルト設定のセッション再起動タイムアウトは 20 分 (1,200 秒) ですが、ドメインのグループポリシー設定で制御される WorkSpaces では、この値の変更ができます。

**自動セッション再起動タイムアウト値を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable automatic reconnect**] (自動再接続を有効/無効にする) 設定を開きます。

1. **[Enable/disable automatic reconnect]** ダイアログボックスで、**[Enabled]** を選択し、**[Reconnect timeout (seconds)]** を必要なタイムアウト (秒) に設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のビデオ入力リダイレクトを設定する
<a name="gp_video_in_wsp"></a>

デフォルトでは、WorkSpaces はローカルカメラから取得されたデータのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces のビデオ入力リダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable video-in redirection (ビデオ入力リダイレクトを有効/無効にする)**] 設定を開きます。

1. **[Enable/disable video-in redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のオーディオ入力リダイレクトを設定する
<a name="gp_audio_in_wsp"></a>

デフォルトでは、WorkSpaces では、ローカルマイクから取得されたデータのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces のオーディオ入力リダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable audio-in redirection (オーディオ入力リダイレクトを有効/無効にする)**] 設定を開きます。

1. **[Enable/disable audio-in redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のオーディオ出力リダイレクトを設定する
<a name="gp_audio_out_wsp"></a>

デフォルトでは、WorkSpaces はデータをローカルスピーカーにリダイレクトします。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces のオーディオ出力リダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[オーディオ出力リダイレクトを有効/無効にする]** 設定を開きます。

1. **[オーディオ出力リダイレクトを有効/無効にする]** ダイアログボックスで、**[有効]** または **[無効]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** の順に選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のタイムゾーンリダイレクトを無効化する
<a name="gp_time_zone_wsp"></a>

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。例えば、次のようになります。
+ 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
+ WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
+ よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces のタイムゾーンのリダイレクトを無効にするには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable time zone redirection (タイムゾーンリダイレクトを有効/無効にする)**] 設定を開きます。

1. **[Enable/disable time zone redirection]** ダイアログボックスで **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

1. WorkSpaces のタイムゾーンを目的のタイムゾーンに設定します。

WorkSpaces のタイムゾーンは静的になり、クライアントマシンのタイムゾーンは反映されなくなります。

### DCV のセキュリティ設定を構成する
<a name="wsp_security"></a>

DCV では、転送中のデータは TLS 1.2 暗号化を使用して暗号化されます。デフォルトでは、次の暗号はすべて暗号化に使用でき、クライアントとサーバーはどちらの暗号を使用するかをネゴシエートします。
+ ECDHE-RSA-AES128-GCM-SHA256
+ ECDHE-ECDSA-AES128-GCM-SHA256
+ ECDHE-RSA-AES256-GCM-SHA384
+ ECDHE-ECDSA-AES256-GCM-SHA384
+ ECDHE-RSA-AES128-SHA256
+ ECDHE-RSA-AES256-SHA384

Windows WorkSpaces では、グループポリシー設定を使用して TLS セキュリティモードを変更し、特定の暗号スイートを新規に追加またはブロックすることもできます。これらの設定とサポートされている暗号スイートの詳細については、**[PCoIP セキュリティ設定の構成]** グループポリシーダイアログボックスを参照してください。

**DCV のセキュリティ設定を構成するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[セキュリティ設定の構成]** を開きます。

1. **[セキュリティ設定の構成]** ダイアログボックスで、**[有効]** を選択します。許可する暗号スイートを追加し、ブロックする暗号スイートを削除します。これらの設定の詳細については、**[セキュリティ設定の構成]** ダイアログボックスに表示される説明を参照してください。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpaces を再起動するには、Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV の拡張機能を設定する
<a name="extensions"></a>

デフォルトでは、WorkSpaces 拡張機能のサポートは無効になっています。必要に応じて、以下の方法で拡張機能を使用するように WorkSpace を設定できます。
+ サーバーとクライアント – サーバーとクライアントの両方の拡張機能を有効にする
+ サーバーのみ – サーバーのみの拡張機能を有効にする
+ クライアントのみ – クライアントのみの拡張機能を有効にする

Windows WorkSpaces では、グループポリシー設定を使用して拡張機能の使用を設定できます。

**DCV の拡張機能を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[拡張機能の設定]** を開きます。

1. **[拡張機能の設定]** ダイアログボックスで、**[有効]** を選択し、必要なサポートオプションを設定します。**[クライアントのみ]**、**[サーバーとクライアント]**、または **[サーバーのみ]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のスマートカードリダイレクトを設定する
<a name="gp_smart_cards_in_wsp"></a>

デフォルトでは、Amazon WorkSpaces は、*セッション前認証*または*セッション内認証*のいずれにもスマートカードの使用のサポートを有効化していません。セッション前認証とは、ユーザーが WorkSpaces にログインしている間に実行されるスマートカード認証をいいます。セッション内認証とは、ログイン後に実行される認証をいいます。

必要に応じグループポリシー設定を使用して、Windows WorkSpaces のセッション前認証およびセッション内認証を有効にします。セッション前認証は、**EnableClientAuthentication**API アクションまたは **enable-client-authentication** AWS CLI コマンドを使用して AD Connector ディレクトリ設定で有効にする必要があります。詳細については、*AWS Directory Service 管理ガイド*の [AD Connector のスマートカード認証を有効にする](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)を参照してください。

**注記**  
Windows WorkSpaces でスマートカードを使用できるようにするには、追加の手順が必要です。詳細については、「[WorkSpaces Personal での認証にスマートカードを使用する](smart-cards.md)」を参照してください。

**Windows WorkSpaces のスマートカードリダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable smart card redirection**] (スマートカードリダイレクトを有効/無効にする) 設定を開きます。

1. **[Enable/disable smart card redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシー設定の変更を適用するには、WorkSpace を再起動します (Amazon WorkSpaces コンソールで WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します)。

### DCV の WebAuthn (FIDO2) リダイレクト
<a name="gp_webauthn_fido2_in_wsp"></a>

デフォルトでは、Amazon WorkSpaces は WebAuthn リダイレクトを有効にし、ユーザーは WorkSpace 内で実行されているアプリケーションでローカル FIDO2 互換のセキュリティキーと生体認証を使用できます。この機能は WorkSpace のアプリケーションからユーザーのローカルデバイスに認証リクエストを安全にリダイレクトし、YubiKey や Windows Hello などの認証方法へのシームレスなアクセスを提供します。

Amazon WorkSpaces は、WebAuthn リダイレクトの 2 つのバージョンをサポートしています。
+ **標準 WebAuthn** – ブラウザベースのアプリケーションには、Windows および Linux WorkSpaces でサポートされているブラウザ拡張機能が必要です
+ **Enhanced WebAuthn** – ブラウザ拡張機能は必要なく、追加のネイティブアプリケーションサポートもあり、Windows WorkSpaces でのみサポートされます

#### 標準 WebAuthn リダイレクト
<a name="w2aac11c29c11c19b5c21b9"></a>

標準 WebAuthn リダイレクトでは、WebAuthn プロンプトのクライアントデバイスへのリダイレクトを容易にするためにブラウザ拡張機能が必要です。

##### バージョン要件
<a name="w2aac11c29c11c19b5c21b9b5"></a>
+ **Windows WorkSpaces**: DCV ホストエージェントバージョン 2.0.0.1425 以降
+ **クライアントのバージョン:**
  + Windows クライアント: 5.19.0 以降
  + Mac クライアント: 5.19.0 以降
  + Linux クライアント: 2024.0 以降

##### WorkSpaces でサポートされているブラウザ
<a name="w2aac11c29c11c19b5c21b9b7"></a>
+ Google Chrome 116 以降
+ Microsoft Edge 116 以降

#### Enhanced WebAuthn リダイレクト
<a name="w2aac11c29c11c19b5c21c11"></a>

Enhanced WebAuthn リダイレクトにより、ブラウザ拡張機能が不要になり、WebAuthn 認証をサポートするネイティブ Windows アプリケーションで WebAuthn 認証がサポートされます。

##### バージョン要件
<a name="w2aac11c29c11c19b5c21c11b5"></a>
+ **Windows WorkSpaces**: DCV ホストエージェントバージョン 2.1.0.2000 以降
+ **クライアントのバージョン:**
  + Windows クライアント: 5.29.0 以降
  + Mac クライアント: 5.29.0 以降

##### 主な利点
<a name="w2aac11c29c11c19b5c21c11b7"></a>
+ ブラウザ拡張機能は不要
+ パフォーマンスの向上
+ ネイティブ Windows アプリケーションでの WebAuthn のサポート
+ ブラウザとデスクトップアプリケーション間のシームレスな認証操作

##### WorkSpaces でサポートされているブラウザ
<a name="w2aac11c29c11c19b5c21c11b9"></a>
+ Google Chrome 116 以降
+ Microsoft Edge 116 以降

#### WebAuthn リダイレクトを設定する
<a name="w2aac11c29c11c19b5c21c13"></a>

**Windows WorkSpaces の WebAuthn リダイレクトを設定するには**

1. グループポリシー管理エディタで、**[コンピューターの構成]**、**[ポリシー]**、**[管理用テンプレート]**、**[Amazon]**、**[DCV]** の順に選択します。

1. **[Configure WebAuthn redirection]** 設定を開きます。

1. **[Configure WebAuthn redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
このグループポリシー設定により、WebAuthn リダイレクトが有効になります。使用するバージョン (Standard または Enhanced) は、ホストエージェントのバージョンとオペレーティングシステムのサポートによって異なります。

#### WebAuthn プロセスの互換性を設定する
<a name="w2aac11c29c11c19b5c21c15"></a>

WebAuthn リダイレクトを有効にすると、**[WebAuthn Process Compatibility List]** を通じて WebAuthn リダイレクトの使用を許可するアプリケーションとプロセスを設定できます。

##### デフォルトのプロセス互換性リスト
<a name="w2aac11c29c11c19b5c21c15b5"></a>

デフォルトでは、WebAuthn リダイレクトに対して次のプロセスが有効になっています。

```
['chrome.exe','msedge.exe','island.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe']
```

##### 標準 WebAuthn に必要なプロセス
<a name="w2aac11c29c11c19b5c21c15b7"></a>
+ `dcvwebauthnnativemsghost.exe` – このプロセスは標準 WebAuthn 機能に**必要**であり、標準 WebAuthn を使用するときは互換性リストに残っている必要があります。

**WebAuthn プロセスの互換性リストを設定するには**

1. グループポリシー管理エディタで、**[コンピューターの構成]**、**[ポリシー]**、**[管理用テンプレート]**、**[Amazon]**、**[DCV]** の順に選択します。

1. **[Configure WebAuthn Redirection]** 設定を開きます。

1. [**有効**] を選択します。

1. **[WebAuthn process compatibility list]** フィールドで、WebAuthn リダイレクトと互換性のあるプロセス名のリストを指定します。
   + デフォルトのリストを開始点として使用する
   + 必要に応じて環境に合わせてプロセス名を追加する

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。

##### プロセス互換性リストのガイドライン
<a name="w2aac11c29c11c19b5c21c15c11"></a>
+ **標準 WebAuthn の場合**: 常にリスト `dcvwebauthnnativemsghost.exe` に含める
+ **カスタムアプリケーション**: 環境で WebAuthn サポートが必要な `.exe` プロセス名を追加する
+ **形式**: カンマ区切りのプロセス名を角括弧で囲み、各プロセス名を一重引用符で囲む

##### カスタムプロセスリストの例
<a name="w2aac11c29c11c19b5c21c15c11b5"></a>

```
['chrome.exe','msedge.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe','myapp.exe','customapplication.exe']
```

#### Standard から Enhanced WebAuthn に移行する
<a name="w2aac11c29c11c19b5c21c17"></a>

標準 WebAuthn から Enhanced WebAuthn にアップグレードする場合、ユーザーは Enhanced WebAuthn を使用する前に、標準 WebAuthn 用に以前にインストールした **Amazon DCV WebAuthn リダイレクトブラウザ拡張機能をアンインストールまたは無効にする必要があります**。

##### このステップが重要である理由
<a name="w2aac11c29c11c19b5c21c17b5"></a>
+ Enhanced WebAuthn はブラウザ拡張機能なしでリダイレクトをネイティブに処理します
+ 拡張機能を有効にしたままにすると、デフォルトで標準 WebAuthn リダイレクトになります

#### Amazon DCV WebAuthn リダイレクト拡張機能をインストールする (標準 WebAuthn のみ)
<a name="installing_webauthn"></a>

**注記**  
このセクションは標準 WebAuthn にのみ適用されます。Enhanced WebAuthn では、ブラウザ拡張機能は必要ありません。

標準 WebAuthn を使用するには、機能が有効にされた後、ユーザーが Amazon DCV WebAuthn リダイレクト拡張機能をインストールする必要があります。次のいずれかの方法があります。
+ ブラウザでブラウザ拡張機能を有効にするように求めるプロンプトがユーザーに表示されます。
**注記**  
 これは 1 回限りのブラウザプロンプトです。DCV エージェントのバージョンを 2.0.0.1425 以降に更新すると、ユーザーに通知が送られます。エンドユーザーが WebAuthn リダイレクトを必要としない場合は、ブラウザから拡張機能を削除できます。GPO ポリシーを使用して、WebAuthn リダイレクト拡張機能のインストールプロンプトをブロックすることもできます。
+ GPO ポリシーを使用して、ユーザーのリダイレクト拡張機能を強制的にインストールできます。GPO ポリシーを有効にすると、ユーザーがサポートされているブラウザを起動したときに、インターネットアクセスを使って拡張機能が自動的にインストールされます。
+ ユーザーは、[Microsoft Edge アドオン](https://microsoftedge.microsoft.com/addons/detail/dcv-webauthn-redirection-/ihejeaahjpbegmaaegiikmlphghlfmeh)または [Chrome ウェブストア](https://chromewebstore.google.com/detail/dcv-webauthn-redirection/mmiioagbgnbojdbcjoddlefhmcocfpmn?pli=1)を使用して拡張機能を手動でインストールできます。

##### WebAuthn リダイレクト拡張機能のネイティブメッセージングについて
<a name="installing_webauthn-understand"></a>

Chrome および Edge ブラウザでの WebAuthn リダイレクトは、ブラウザ拡張機能とネイティブメッセージングホストを使用します。ネイティブメッセージングホストは、拡張機能とホストアプリケーション間の通信を許可するコンポーネントです。一般的な設定では、すべてのネイティブメッセージングホストはデフォルトでブラウザで許可されます。ただし、ネイティブメッセージングブロックリストを使用することを選択できます。\$1 の値は、明示的に許可されない限り、すべてのネイティブメッセージングホストが拒否されることを意味します。この場合、許可リスト `com.dcv.webauthnredirection.nativemessagehost` で値を明示的に指定して、Amazon DCV WebAuthn リダイレクトネイティブメッセージングホストを有効にする必要があります。

詳細については、ブラウザのガイダンスに従ってください。
+ Google Chrome については、「[許可されたネイティブ メッセージング ホスト](https://support.google.com/chrome/a/answer/2657289#zippy=%2Cnative-messaging-allowed-hosts)」を参照してください。
+ Microsoft Edge については、「[ネイティブ メッセージング](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#native-messaging)」を参照してください。

##### グループポリシーを使用してブラウザ拡張機能を管理およびインストールする
<a name="w2aac11c29c11c19b5c21c19c11"></a>

Amazon DCV WebAuthn リダイレクト拡張機能は、Active Directory (AD) ドメインに参加しているセッションホストの場合はドメインから一元的に、またはセッションホストごとにローカルグループポリシーエディタを使用してインストールできます。このプロセスは、使用しているブラウザによって異なります。

**Microsoft Edge の場合**

1. [Microsoft Edge 管理用テンプレート](https://learn.microsoft.com/en-us/deployedge/configure-microsoft-edge#1-download-and-install-the-microsoft-edge-administrative-template)をダウンロードしてインストールします。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:*FQDN***]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。

1. **[コンピューターの構成]**、**[管理用テンプレート]**、**[Microsoft Edge]**、**[拡張機能]** の順に選択します。

1. **[拡張機能の管理設定を構成する]** を開いて、**[有効]** に設定します。

1. **[拡張機能の管理設定を構成する]** に以下を入力します。

   ```
   {"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
   ```

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
次の構成管理設定を適用することで、拡張機能のインストールをブロックできます。  

```
{"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
```

**Google Chrome の場合**

1. Google Chrome 管理用テンプレートをダウンロードしてインストールします。詳細については、「[管理対象パソコンに Chrome ブラウザのポリシーを設定する](https://support.google.com/chrome/a/answer/187202#zippy=%2Cwindows)」を参照してください。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:*FQDN***]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。

1. **[コンピューターの構成]**、**[管理用テンプレート]**、**[Google Chrome]**、**[拡張機能]** の順に選択します。

1. **[拡張機能の管理設定を構成する]** を開いて、**[有効]** に設定します。

1. **[拡張機能の管理設定を構成する]** に以下を入力します。

   ```
   {"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
   ```

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
次の構成管理設定を適用することで、拡張機能のインストールをブロックできます。  

```
{"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}
```

### DCV の WebRTC リダイレクトを設定する
<a name="gp_webrtc_in_wsp"></a>

WebRTC リダイレクトでは、WorkSpaces からローカルクライアントにオーディオおよびビデオ処理をオフロードすることでリアルタイム通信が強化されるため、パフォーマンスが向上し、レイテンシーが低減します。ただし、WebRTC リダイレクトに汎用性はなく、サードパーティーのアプリケーションベンダーが WorkSpaces との固有の統合を開発する必要があります。デフォルトでは、WebRTC リダイレクトは WorkSpaces で有効になっていません。WebRTC リダイレクトを使用するには、以下を確認します。
+ サードパーティーアプリケーションベンダーによる統合
+ WorkSpaces 拡張機能が、グループポリシー設定を通じて有効になっていること
+ WebRTC リダイレクトが有効になっていること
+ WebRTC リダイレクトブラウザ拡張機能がインストールされ有効になっていること

**注記**  
このリダイレクトは拡張機能として実装されるため、グループポリシー設定を使用して WorkSpaces 拡張機能のサポートを有効にする必要があります。拡張機能が無効になっている場合、WebRTC リダイレクトは機能しません。

#### 要件
<a name="w2aac11c29c11c19b5c23b9"></a>

DCV の WebRTC リダイレクトには、以下が必要です。
+ DCV ホストエージェントバージョン 2.0.0.1622 以降
+ WorkSpaces クライアント
  + Windows 5.21.0 以降
  + ウェブクライアント
+ Amazon DCV WebRTC リダイレクト拡張機能を実行している WorkSpaces にインストールされているウェブブラウザ
  + Google Chrome 116 以降
  + Microsoft Edge 116 以降

#### Windows WorkSpaces の WebRTC リダイレクトを有効化/無効化する
<a name="w2aac11c29c11c19b5c23c11"></a>

必要に応じて、グループポリシー設定を使用して、Windows WorkSpaces の WebRTC リダイレクトのサポートを有効または無効にできます。この設定を無効にするか指定しない場合、WebRTC リダイレクトは無効になります。

この機能を有効にすると、Amazon WorkSpaces と統合されているウェブアプリケーションは、WebRTC API コールをローカルクライアントにリダイレクトできるようになります。

**Windows WorkSpaces の WebRTC リダイレクトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure WebRTC Redirection]** 設定を開きます。

1. **[Configure WebRTC Redirection]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

#### Amazon DCV WebRTC リダイレクト拡張機能をインストールする
<a name="installing_webrtc"></a>

WebRTC を使用するには、機能が有効にされた後、ユーザーが Amazon DCV WebRTC リダイレクト拡張機能をインストールする必要があります。次のいずれかの方法があります。
+ ブラウザでブラウザ拡張機能を有効にするように求めるプロンプトがユーザーに表示されます。
**注記**  
WebRTC リダイレクトを有効にすると、1 回限りのブラウザプロンプトとしてユーザーに通知が送られます。
+ 以下の GPO ポリシーを使用して、ユーザーのリダイレクト拡張機能を強制的にインストールできます。GPO ポリシーを有効にすると、ユーザーがサポートされているブラウザを起動したときに、インターネットアクセスを使って拡張機能が自動的にインストールされます。
+ ユーザーは、[Microsoft Edge アドオン](https://microsoftedge.microsoft.com/addons/detail/amazon-dcv-webrtc-redirec/kjbbkjjiecchbcdoollhgffghfjnbhef)または [Chrome ウェブストア](https://chromewebstore.google.com/detail/dcv-webrtc-redirection-ex/diilpfplcnhehakckkpmcmibmhbingnd?hl=en&authuser=0&pli=1)を使用して拡張機能を手動でインストールできます。

##### グループポリシーを使用してブラウザ拡張機能を管理およびインストールする
<a name="w2aac11c29c11c19b5c23c13b7"></a>

Amazon DCV WebRTC リダイレクト拡張機能は、Active Directory (AD) ドメインに参加しているセッションホストの場合はドメインから一元的に、またはセッションホストごとにローカルグループポリシーエディタを使用してインストールできます。このプロセスは、使用しているブラウザによって異なります。

**Microsoft Edge の場合**

1. [Microsoft Edge 管理用テンプレート](https://learn.microsoft.com/en-us/deployedge/configure-microsoft-edge#1-download-and-install-the-microsoft-edge-administrative-template)をダウンロードしてインストールします。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:*FQDN***]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。

1. **[コンピューターの構成]**、**[管理用テンプレート]**、**[Microsoft Edge]**、**[拡張機能]** の順に選択します。

1. **[拡張機能の管理設定を構成する]** を開いて、**[有効]** に設定します。

1. **[拡張機能の管理設定を構成する]** に以下を入力します。

   ```
   {"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
   ```

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
次の構成管理設定を適用することで、拡張機能のインストールをブロックできます。  

```
{"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
```

**Google Chrome の場合**

1. Google Chrome 管理用テンプレートをダウンロードしてインストールします。詳細については、「[管理対象パソコンに Chrome ブラウザのポリシーを設定する](https://support.google.com/chrome/a/answer/187202#zippy=%2Cwindows)」を参照してください。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:*FQDN***]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。

1. **[コンピューターの構成]**、**[管理用テンプレート]**、**[Google Chrome]**、**[拡張機能]** の順に選択します。

1. **[拡張機能の管理設定を構成する]** を開いて、**[有効]** に設定します。

1. **[拡張機能の管理設定を構成する]** に以下を入力します。

   ```
   {"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
   ```

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces セッションの再開後に有効になります。グループポリシーの変更を適用するには、Amazon WorkSpaces コンソールに移動し、WorkSpace を選択して WorkSpace を再起動します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

**注記**  
次の構成管理設定を適用することで、拡張機能のインストールをブロックできます。  

```
{"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}
```

### DCV の画面ロックで切断セッションを設定する
<a name="gp_lock_screen_in_wsp"></a>

必要に応じて、Windows ロック画面が検出されたときに、ユーザーの WorkSpaces セッションを切断できます。WorkSpaces クライアントから再接続するには、WorkSpaces で有効になっている認証の種類に応じて、ユーザーはパスワードまたはスマートカードを使用して自分自身を認証できます。

このグループポリシー設定は、デフォルトでは無効になっています。必要に応じて、グループポリシー設定を使用して、Windows WorkSpaces の Windows ロック画面が検出された場合におけるセッションの切断を有効にできます。

**注記**  
このグループポリシー設定は、パスワード認証セッションとスマートカード認証セッションの両方に適用されます。
Windows WorkSpaces でスマートカードを使用できるようにするには、追加の手順が必要です。詳細については、「[WorkSpaces Personal での認証にスマートカードを使用する](smart-cards.md)」を参照してください。

**Windows WorkSpaces の画面ロックにおけるセッションの切断を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. [**Enable/disable disconnect session on screen lock**] (画面ロックの場合のセッションの切断を有効/無効にする) 設定を開きます。

1. **[Enable/disable disconnect session on screen lock]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV の画面キャプチャ保護を設定する
<a name="screen_capture_protection"></a>

Screen Capture Protection は、ローカルクライアントツールからの WorkSpaces セッションのスクリーンショット、画面録画、画面共有を防止します。有効にすると、クライアント側から画面コンテンツをキャプチャしようとすると、背景または黒い長方形が表示され、機密情報が流出するのを防ぐのに役立ちます。

#### 要件
<a name="w2aac11c29c11c19b5c27b5"></a>

DCV の画面キャプチャ保護には、以下が必要です。
+ DCV ホストエージェントバージョン 2.2.0.2116 以降
+ WorkSpaces クライアント
  + Windows 5.30.2 以降
  + MacOS 5.30.2 以降

**注記**  
 この機能は Linux クライアント、ウェブアクセス、または PCoIP プロトコルではサポートされていません。
保護は、クライアントデバイスから開始されたキャプチャに適用されます。ユーザーは WorkSpace 自体内からスクリーンショットを撮ることができます。
この機能は、MS Teams での画面共有と互換性がありません。

#### 既知の制限事項
<a name="w2aac11c29c11c19b5c27b9"></a>
+ この機能は、物理的なカメラによる画面のキャプチャを妨げることはできません。
+ この機能は、ホストサーバーへの直接 RDP 接続から保護しません。
+ この機能は、コラボレーションツールやチャットツールの画面共有機能など、WorkSpace 自体内から開始されたキャプチャ試行から保護しません。
+ 有効にすると、すべてのキャプチャメソッドがブロックされます (選択的ブロックは使用できません）。
+ この機能が有効になっていてビデオキャプチャが試行された場合 (クライアントウィンドウを画面共有しようとするなど）、MacOS クライアントウィンドウがグレー表示されることがあります。

**Windows WorkSpaces の画面キャプチャ保護を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **画面キャプチャ保護の設定**を開きます。

1. **画面キャプチャ保護の設定**ダイアログボックスで、**有効**または**無効**を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

   1. WorkSpace を再起動します (WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。

   1. 管理コマンドプロンプトで、`gpupdate /force` と入力します。

### DCV の間接ディスプレイドライバー (IDD) を設定する
<a name="indirect_display_driver"></a>

デフォルトでは、WorkSpaces は間接ディスプレイドライバー (IDD) の使用をサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces の間接ディスプレイドライバー (IDD) を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. ** AWS 間接ディスプレイドライバーを有効にする** 設定を開きます。

1. Enable **the AWS Indirect Display Driver** ダイアログボックスで、**Enabled** または **Disabled** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。

   1. WorkSpace を再起動します (WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。

   1. 管理コマンドプロンプトで、`gpupdate /force` と入力します。

### DCV の表示設定を構成する
<a name="display_settings"></a>

WorkSpaces では、最大フレームレート、最小画質、最大画質、YUV エンコーディングなど、さまざまな表示設定を構成できます。これらの設定は、必要な画質、応答性、色精度に基づいて調整します。

デフォルトでは、最大フレームレートの値は 25 です。最大フレームレートの値は、1 秒あたりの最大許容フレーム数 (fps) を指定します。値を 0 にすると、無制限に設定されます。

デフォルトでは、最小画質の値は 30 です。最小画質は、最善の画像応答性、つまり最善の画質になるように最適化できます。最善の応答性を実現するには、最小品質を下げます。最善の品質を実現するには、最小品質を上げます。
+ 最善の応答性を実現する理想的な値は、30～90 です。
+ 最適な品質を実現する理想的な値は、60～90 です。

デフォルトでは、最低画質の値は 80 です。最大画質は画像の応答性や画質には影響しませんが、最大値を設定してネットワークの使用を制限します。

デフォルトでは、画像エンコーディングは YUV420 に設定されています。**[YUV444 エンコーディングを有効にする]** を選択すると、YUV444 エンコーディングが有効になり、高い色精度が得られます。

Windows WorkSpaces では、グループポリシー設定を使用して、最大フレームレート、最小画質、および最大画質の値を設定できます。

**Windows WorkSpaces の表示設定を構成するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[ディスプレイ設定の構成]** を開きます。

1. **[Configure display settings]** ダイアログボックスで **[Enabled]** を選択し、**[Maximum frame rate (fps)]**、**[minimum image quality]**、**[maximum image quality]** の各値を目的のレベルに設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpaces を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV の AWS 仮想ディスプレイ専用ドライバーの VSync を設定する
<a name="vsync"></a>

デフォルトでは、WorkSpaces は AWS 仮想ディスプレイ専用ドライバーの VSync 機能の使用をサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**Windows WorkSpaces に VSync を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. Virtual ** AWS Display Only Driver 設定の Enable VSync 機能**を開きます。

1. Virtual ** AWS Display Only Driver ダイアログボックスの Enable VSync 機能で**、**Enabled** または **Disabled** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、以下を実行します。

   1. 次のいずれかを実行して WorkSpace を再起動します。

      1. オプション 1 — WorkSpaces コンソールで、再起動する WorkSpace を選択します。次に、**[アクション]**、**[WorkSpaces を再起動]** の順に選択します。

      1. オプション 2 — 管理コマンドプロンプトで、`gpupdate /force` と入力します。

   1. 設定を適用するために WorkSpace に再接続します。

   1. WorkSpace をもう一度再起動します。

### DCV のログ詳細度を設定する
<a name="log_verbosity"></a>

デフォルトでは、DCV WorkSpaces のログ詳細度は **[情報]** に設定されています。ログレベルは、以下のように詳細度の低いものから最も詳細なものまで設定できます。
+ エラー – 最も低い詳細度
+ 警告
+ 情報 – デフォルト
+ デバッグ – 最も高い詳細度

Windows WorkSpaces では、グループポリシー設定を使用してログの詳細レベルを設定できます。

**Windows WorkSpaces のログ詳細度レベルを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[ログ詳細度の設定]** を開きます。

1. **[ログ詳細度の設定]** ダイアログボックスで、**[有効]** を選択し、ログの詳細度レベルを、**[デバッグ]**、**[エラー]**、**[情報]**、または **[警告]** に設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のアイドル切断タイムアウトを設定する
<a name="idle-disconnect"></a>

WorkSpaces では、WorkSpace への接続中にユーザーの非アクティブ状態が所定の長さに達したら接続を解除するように設定できます。ユーザーアクティビティ入力の例は次のとおりです。
+ キーボードイベント
+ マウスイベント (カーソルの移動、スクロール、クリック)
+ スタイラスイベント
+ タッチイベント (タッチスクリーン、タブレットのタップ)
+ ゲームパッドイベント
+ ファイルストレージオペレーション (アップロード、ダウンロード、ディレクトリ作成、リスト項目)
+ ウェブカメラストリーミング

オーディオ入力、オーディオ出力、ピクセルの変更は、ユーザーアクティビティにはなりません。

アイドル切断タイムアウトを有効にする場合、オプションで、アクティビティが発生しない限り、設定された時間内にセッションが切断されることをユーザーに通知できます。

デフォルトでは、アイドル切断タイムアウトは無効になっており、タイムアウト値は 0 分に設定され、通知は無効になっています。このポリシー設定を有効にすると、アイドル切断タイムアウトの値はデフォルトで 60 分、アイドル切断タイムアウト警告の値はデフォルトで 60 秒になります。Windows WorkSpaces では、グループポリシー設定を使用してこの機能を設定できます。

**Windows WorkSpaces のアイドル切断タイムアウトを設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure Idle Disconnect Timeout]** 設定を開きます。

1. **[Configure Idle Disconnect Timeout]** ダイアログボックスで **[Enabled]**を選択し、切断タイムアウトの値 (分単位) と、オプションの警告タイマーの値 (秒単位) を設定します。

1. [**適用**]、[**OK**] の順に選択します。

1. グループポリシー設定の変更は、変更を適用するとすぐに有効になります。

### DCV のファイル転送を設定する
<a name="gp-file-transfer"></a>

デフォルトでは、Amazon WorkSpaces のファイル転送機能は無効になっています。これを有効にすると、ユーザーはローカルコンピュータと WorkSpaces セッションの間でファイルをアップロードおよびダウンロードできます。ファイルは WorkSpaces セッションの **[ストレージ]** フォルダに保存されます。

**Windows WorkSpaces のファイル転送を有効にするには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure session storage]** 設定を開きます。

1. **[Configure Session Storage]** ダイアログボックスで、**[Enabled]** を選択します。

1. (オプション) セッションストレージのフォルダを指定します (`c:/session-storage` など)。指定しない場合、セッションストレージのデフォルトフォルダはホームフォルダになります。

1. WorkSpace は、次のいずれかのファイル転送オプションを使用して設定できます。
   + 双方向ファイル転送を許可する場合は、`Download and Upload` を選択します。
   + ローカルコンピュータから WorkSpaces セッションへのファイルアップロードのみを許可する場合は、`Upload Only` を選択します。
   + WorkSpaces セッションからローカルコンピュータへのファイルダウンロードのみを許可する場合は、`Download Only` を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV の USB リダイレクトを設定する
<a name="gp_dcv_usbredirection"></a>

#### 概要:
<a name="gp_dcv_usbredirection_overview"></a>

バージョン 2.2.0.2047 以降、Amazon WorkSpaces は DCV ベースの Windows WorkSpaces の汎用 USB リダイレクトをサポートしているため、ユーザーは仮想デスクトップ環境内のローカル USB デバイスにアクセスできます。この機能は、特定のデバイスクラスの既存の最適化されたリダイレクトソリューションを補完します。

**注記**  
Amazon では、最適化されたリダイレクトソリューションが利用できないデバイスにのみ汎用リダイレクトを使用することをお勧めします。利用可能な場合、最適化されたリダイレクトソリューションはパフォーマンスを向上させます。

#### 前提条件
<a name="gp_dcv_usbredirection_prerequisites"></a>
+ DCV プロトコルバージョン 2.2.0.2047 以降を使用する Windows WorkSpaces 
+ WorkSpaces Windows クライアントの最新バージョン (バージョン 5.30.0 以降)
+ グループポリシー設定を構成するための管理アクセス

#### 設定
<a name="gp_dcv_usbredirection_config"></a>

USB リダイレクトはデフォルトで無効になっています。この機能を有効にするには、グループポリシーオブジェクト (GPO) を使用します。この機能を有効にすると、リダイレクトのために許可リストにデバイスを追加できます。デフォルトでは、許可リストにないデバイスはリダイレクトできません。

##### グループポリシーの設定
<a name="gp_dcv_usbredirection_gpo"></a>

**グループポリシーを使用して DCV の USB リダイレクトを設定するには**

1. Windows WorkSpaces に接続します。

1. ポリシーテンプレートファイル (`wsp.admx` および `wsp.adml`) を `C:\Program Files\Amazon\WSP`フォルダからコピーします。

1. `C:\Windows\PolicyDefinitions` フォルダ`wsp.admx`に貼り付けます。

1. `C:\Windows\PolicyDefinitions\en-US` フォルダ`wsp.adml`に貼り付けます。

1. ローカル GPO エディタを起動します (**gpedit.msc**)。

1. **ローカルコンピュータポリシー** > **コンピュータ設定** > **管理テンプレート** > **Amazon** > **WSP** に移動します。

1. WSP 設定で **USB の有効化/無効化**を設定します。

1. **有効化** を選択して USB リダイレクトを有効にします。

**注記**  
この設定の変更は、次の接続に適用されます。

#### デバイスの管理
<a name="gp_dcv_usbredirection_device_mgmt"></a>

USB リダイレクトを有効にすると、GPO のデバイス許可リストを設定して、リダイレクトをサポートするデバイスを追加できます。

##### デバイス許可リストの設定
<a name="gp_dcv_usbredirection_allowlist"></a>

USB リダイレクトは、デフォルトの拒否オールセキュリティスタンスに従います。管理者は、次の形式を使用して GPO の許可リストに追加することで、デバイスを明示的に許可する必要があります。

```
Name, Base class, Subclass, Protocol, Id Vendor, Id Product, Support Auto-share, Skip reset
// Use * to skip any values
```

**例:**

**ベンダー ID/製品 ID を持つデバイスの追加:**

```
Credit Card Reader, *, *, *, 0x0483, 0x2016, 1, 0
// Allows Credit Card Reader with VID 0x0483 and PID 0x2016 with auto-share support
```

**クラス/サブクラスを使用したデバイスの追加:**

```
3D Mouse Devices, 03, 01, *, *, *, 1, 0
// Allows all 3D mice using HID class (03), boot interface subclass (01), with auto-share support
```

**注記**  
許可リストに追加する前に、デバイスの互換性とパフォーマンスをテストします。

#### セキュリティに関する考慮事項
<a name="gp_dcv_usbredirection_security"></a>

##### ベストプラクティス
<a name="gp_dcv_usbredirection_best_practices"></a>
+ 最適なパフォーマンスと互換性を実現するために、サポートされているデバイスで利用可能な場合は、専用のリダイレクト方法を使用します。たとえば、YubiKey などのセキュリティキーの場合は、代わりに WebAuthn リダイレクトを使用します。
+ 厳格なデバイス許可リストを実装します。
+ 監査ログを使用してデバイスアクセスをモニタリングします。
+ 新しいデバイスを許可する前に、データセキュリティへの影響を評価します。

### DCV のウェブカメラの解像度を設定する
<a name="gp-webcam-resolution"></a>

この設定を使用して、ウェブカメラの解像度を指定します。このポリシー設定を有効にすると、以下を指定できます。
+ ウェブカメラの最大解像度: 提供される解像度の中から、選択可能なウェブカメラの最大解像度を指定します。この値が欠落している、または (0, 0) の場合は、デフォルト値が使用されます。
+ 好ましいウェブカメラの解像度: クライアントによって提供される解像度のうち、優先するウェブカメラの解像度を指定します。指定した解像度がサポートされていない場合は、一致する解像度のうち最も近いものが選択されます。この値が欠落している、または (0, 0) の場合は、デフォルト値が使用されます。

このポリシー設定を無効にするか設定しない場合、デフォルトの解像度が使用されます。

**Windows WorkSpaces のウェブカメラの解像度を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure webcam resolution]** の設定を開きます。

1. **[Configure webcam resolution]** ダイアログボックスで、**[Enabled]** を選択し、**[Maximum webcam resolution]** (ピクセル単位) または **[Preferred webcam resolution]** (ピクセル単位) を設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### DCV のサーバーキーボードレイアウトの使用を設定する
<a name="gp-server-keyboard-layout"></a>

この設定は、デフォルトのクライアント側のキーボードレイアウトではなく、サーバー側のキーボードレイアウトをキー解釈に使用するかどうかを制御します。この設定の変更は、次の接続に適用されます。キーボード処理の詳細については、「*Amazon WorkSpaces User Guide*」を参照してください。

このポリシー設定を有効にすると、次のいずれかのオプションを選択できます。
+ **常にオフ** – 常にクライアントレイアウトを使用する
+ **常にオン** – 常にサーバーレイアウトを使用する

このポリシー設定を無効にするか設定しない場合、**常にオフ**オプションが使用されます。

**注記**  
この機能は、Amazon WorkSpaces Windows クライアントバージョン 5.29.2 以降、および Amazon WorkSpaces macOS クライアントバージョン 5.30.0 以降でサポートされています。

**Windows WorkSpaces のサーバーキーボードレイアウトの使用を設定するには**

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの設定)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Amazon**]、[**WSP**] の順に選択します。

1. **[Configure server keyboard layout usage]** 設定を開きます。

1. **[Configure server keyboard layout usage]** ダイアログボックスで、**[Enabled]** を選択し、**[Server keyboard layout option]** を設定します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します。Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces の再起動]** を選択します。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

## PCoIP のグループポリシー管理用テンプレートをインストールする
<a name="gp_install_template"></a>

PCoIP プロトコルを使用するときに Amazon WorkSpaces に固有のグループポリシー設定を使用するには、WorkSpaces で使用されている PCoIP エージェントのバージョン（32 ビットまたは 64 ビット）に適したグループポリシー管理用テンプレートを追加する必要があります。

**注記**  
32 ビットと 64 ビットのエージェントの WorkSpaces が混在している場合は、32 ビットエージェント用のグループポリシー管理用テンプレートを使用できます。グループポリシー設定は 32 ビットと 64 ビットの両方のエージェントに適用されます。すべての WorkSpaces が 64 ビットエージェントを使用している場合は、64 ビットエージェントの管理テンプレートを使用するように切り替えることができます。

**WorkSpaces に 32 ビットエージェントがあるかどうか、 64 ビットのエージェントがあるかどうかを調べるには**

1. WorkSpaces にログインし、**[表示]**、**[Ctrl \$1 Alt \$1 Delete で送信]** を選択するか、タスクバーを右クリックして **[タスクマネージャー]** を選択することで、タスクマネージャーを開きます。

1. タスクマネージャで、[**詳細**] タブに移動し、列見出しを右クリックし、[**列の選択**] を選択します。

1. [**列の選択**] ダイアログボックスで、[**プラットフォーム**] を選択し、[**OK**] をクリックします。

1. [**詳細**] タブで、`pcoip_agent.exe` を探し、[**プラットフォーム**] 列でその値を確認し、PCoIP エージェントが 32 ビットであるか 64 ビットであるか判別します。(32 ビットと 64 ビットの WorkSpaces コンポーネントが混在している場合がありますが、これは正常です)。

### PCoIP のグループポリシー管理用テンプレートをインストールする (32 ビット)
<a name="gp_install_template_pcoip_32_bit"></a>

PCoIP プロトコルを 32 ビット PCoIP エージェントで使用するとき、WorkSpaces に固有のグループポリシー設定を使用するには、PCoIP 用のグループポリシー管理用テンプレートをインストールする必要があります。ディレクトリの管理 WorkSpaces またはディレクトリに結合されている Amazon EC2 インスタンスで、次の手順を実行します。

.adm ファイルの操作の詳細については、マイクロソフトのドキュメントの「[グループポリシー管理用テンプレート (.adm) ファイルを管理するための推奨事項](https://docs.microsoft.com/troubleshoot/windows-server/group-policy/manage-group-policy-adm-file)」を参照してください。

**PCoIP のグループポリシー管理用テンプレートをインストールするには**

1. 実行中の Windows WorkSpaces から、`pcoip.adm` ディレクトリの `C:\Program Files (x86)\Teradici\PCoIP Agent\configuration` ファイルのコピーを作成します。

1. ディレクトリ管理用の WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces マシンアカウントが含まれているドメイン内の組織単位に移動します。

1. コンピュータアカウントの組織単位のコンテキスト（右クリック）メニューを開き、[**Create a GPO in this domain, and link it here**] を選択します。

1. [**New GPO**] ダイアログボックスで、GPO のわかりやすい名前 (**「WorkSpaces Machine Policies」など**) を入力し、[**Source Starter GPO**] は [**(none)**] のままにします。[**OK**] を選択してください。

1. 新しい GPO のコンテキスト (右クリック) メニューを開き、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Policies**]、[**Administrative Templates**] の順に選択します。メインメニューから **[Action]**、**[Add/Remove Templates]** の順に選択します。

1. **[Add/Remove Templates]** ダイアログボックスで、**[Add]** を選択し、先ほどコピーした `pcoip.adm` ファイルを選択したら、**[Open]**、**[Close]** の順に選択します。

1. [Group Policy Management Editor] を終了します。これで、この GPO を使用して、WorkSpaces に固有のグループポリシーの設定を変更できます。

**管理用テンプレートファイルが正しくインストールされていることを確認するには**

1. ディレクトリ管理用の WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、WorkSpaces マシンアカウントの WorkSpaces GPO に移動して選択します。メインメニューの **[Action]**、**[Edit]** を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration**]、[**Policies**]、[**Administrative Templates**]、[**Classic Administrative Templates**]、[**PCoIP Session Variables**] の順に選択します。

1. これで、この **PCoIP セッション変数**グループポリシーオブジェクトを使用して、PCoIP を使用しているときに Amazon WorkSpaces に固有のグループポリシー設定を変更できるようになります。
**注記**  
ユーザーによる設定の上書きを許可するには、[**Overridable Administrator Settings**] (上書き可能な管理者設定) を選択します。許可しない場合は、[**Not Overridable Administrator Settings**] (上書き可能でない管理者設定) を選択します。

### PCoIP のグループポリシー管理用テンプレートをインストールする (64 ビット)
<a name="gp_install_template_pcoip_64_bit"></a>

PCoIP プロトコルを使用しているときに WorkSpaces に固有のグループポリシー設定を使用するには、グループポリシー管理用テンプレート `PCoIP.admx` および PCoIP 用 `PCoIP.adml` ファイルを WorkSpaces ディレクトリのドメインコントローラーのセントラルストアに追加する必要があります。`.admx` および `.adml` ファイルの詳細については、「[Windows でグループポリシー管理用テンプレートのセントラルストアを作成および管理する方法](https://support.microsoft.com/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra)」を参照してください。

次の手順では、セントラルストアを作成し、管理用テンプレートファイルをそのストアに追加する方法について説明します。ディレクトリ管理用の WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、次の手順を実行します。

**PCoIP のグループポリシー管理用テンプレートファイルをインストールするには**

1. 実行中の Windows WorkSpace から、`PCoIP.admx` ディレクトリの `PCoIP.adml` および `C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions` ファイルのコピーを作成します。`PCoIP.adml`ファイルは、そのディレクトリの `en-US` サブフォルダにあります。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、Windows エクスプローラーを開き、アドレスバーに `\\example.com` のような組織の完全修飾ドメイン名 (FQDN) を入力します。

1. `sysvol` フォルダを開きます。

1. `FQDN` という名前のフォルダを開きます。

1. `Policies` フォルダを開きます。今、`\\FQDN\sysvol\FQDN\Policies` に入っているはずです。

1. まだ存在しない場合は、`PolicyDefinitions` という名前のフォルダを作成します。

1. `PolicyDefinitions` フォルダを開きます。

1. `PCoIP.admx` ファイルを `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions` フォルダにコピーします。

1. `PolicyDefinitions` フォルダに `en-US` という名前のフォルダを作成します。

1. `en-US` フォルダを開きます。

1. `PCoIP.adml` ファイルを `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US` フォルダにコピーします。

**管理用テンプレートファイルが正しくインストールされていることを確認するには**

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開きます。

1. フォレスト ([**フォレスト:*FQDN***]) を展開します。

1. [**ドメイン**] を展開します。

1. FQDN を展開します (`example.com` など)。

1. [**Group Policy Objects (グループポリシーオブジェクト)**] を展開します。

1. [**Default Domain Policy (デフォルトドメインポリシー)**] を選択し、コンテキスト (右クリック) メニューを開き、[**Edit (編集)**] を選択します。
**注記**  
WorkSpaces をバックアップするドメインが AWS Managed Microsoft AD ディレクトリの場合、デフォルトドメインポリシーを使用して GPO を作成することはできません。代わりに、委任された権限を持つドメインコンテナの下に GPO を作成してリンクする必要があります。  
を使用してディレクトリを作成すると AWS Managed Microsoft AD、 は*ドメインルートの下にドメイン名*組織単位 (OU) Directory Service を作成します。この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、Directory DNS 名の最初の部分が使用されます (例えば、`corp.example.com` の場合、NetBIOS 名は `corp` となります)。  
GPO を作成するには、**デフォルトのドメインポリシー**を選択する代わりに、*yourdomainname* OU (またはその下にある任意の OU) を選択し、コンテキスト (右クリック) メニューを開き、[**Create a GPO in this domain, and Link it here**] (このドメインに GPO を作成し、ここにリンクする) を選択します。  
*yourdomainname* OU の詳細については、*AWS Directory Service 管理ガイド*の[作成されるもの](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)を参照してください。

1. グループポリシー管理エディタで、[**コンピュータの設定**]、[**ポリシー**]、[**管理用テンプレート**]、[**PCoIP セッション変数**] の順に選択します。

1. これで、この **PCoIP セッション変数**グループポリシーオブジェクトを使用して、PCoIP を使用しているときに WorkSpaces に固有のグループポリシー設定を変更できるようになります。
**注記**  
ユーザーによる設定の上書きを許可するには、[**Overridable Administrator Settings**] (上書き可能な管理者設定) を選択します。許可しない場合は、[**Not Overridable Administrator Settings**] (上書き可能でない管理者設定) を選択します。

## PCoIP のグループポリシー設定を管理する
<a name="gp_configurations_pcoip"></a>

グループポリシー設定を使って、PCoIP を使用する Windows WorkSpaces を管理します。

### PCoIP のプリンタサポートを設定する
<a name="gp_local_printers"></a>

デフォルトでは、WorkSpaces は基本的なリモート印刷を可能にします。印刷の互換性を確実にするため、ホスト側の汎用プリンタードライバーを使用するため、提供される印刷機能は限られています。

Windows クライアントの高度なリモート印刷では、両面印刷など、プリンター固有の機能を使用できますが、ホスト側に一致するプリンタードライバーをインストールする必要があります。

リモート印刷は仮想チャネルとして実装されます。仮想チャネルが無効になっている場合、リモート印刷は機能しません。

Windows WorkSpaces の場合、グループポリシー設定を使用して、必要に応じてプリンターのサポートを設定できます。

**プリンターのサポートを設定するには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure remote printing**] 設定を開きます。

1. [**Configure remote printing (リモート印刷を設定)**] ダイアログボックスで、次のいずれかを実行します。
   + 高度なリモート印刷を有効にするには、**[Enabled]** を選択し、**[Options]** の **[Configure remote printing]** で **[Basic and Advanced printing for Windows clients]** を選択します。クライアントコンピュータの現在のデフォルトプリンターを自動的に使用するには、[ **Automatically set default printer (デフォルトプリンターを自動的に設定する)**] を選択します。
   + 印刷を無効にするには、**[Enabled]** を選択し、**[Options]** の **[Configure remote printing]** で **[Printing disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

デフォルトでは、ローカルプリンターへの自動リダイレクトは無効になっています。グループポリシーの設定を使用して、この機能を有効にすることができます。有効にすると、WorkSpaces に接続するたびに、ローカルプリンターがデフォルトプリンターとして設定されます。

**注記**  
ローカルプリンターのリダイレクトは Amazon Linux WorkSpaces ではご利用になれません。

**ローカルプリンターへの自動リダイレクトを有効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure remote printing**] 設定を開きます。

1. **[Enabled]** を選択し、**[Options]** の **[Configure remote printing]** で、次のいずれかを選択します。
   + **Basic and Advanced printing for Windows clients** (Windows クライアント用の基本印刷と高度な印刷)
   + **Basic printing** (基本印刷)

1. [**Automatically set default printer**] (デフォルトのプリンターを自動的に設定) を選択し、[**OK**] を選択します。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### PCoIP のクリップボードリダイレクト (コピー/貼り付け) を設定する
<a name="gp_clipboard"></a>

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**クリップボードのリダイレクトを有効または無効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure clipboard redirection**] 設定を開きます。

1. [**Configure clipboard redirection (クリップボードのリダイレクトの設定)**] ダイアログボックスで、[**有効**] を選択し、次のいずれかの設定を選択して、クリップボードのリダイレクトが許可される方向を決定します。終了したら、[**OK**] を選択します。
   + 双方向で無効
   + エージェントからクライアントのみ有効 (WorkSpaces からローカルコンピュータ)
   + クライアントからエージェントのみ有効 (ローカルコンピュータから WorkSpaces)
   + 双方向で有効 

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

**既知の制限事項**  
WorkSpaces でクリップボードのリダイレクトが有効になっていると、Microsoft Office アプリケーションから 890 KB よりも大きいコンテンツをコピーした場合に、アプリケーションが遅くなったり最大 5 秒応答しなくなったりすることがあります。

### PCoIP のセッション再開タイムアウトを設定する
<a name="gp_auto_resume"></a>

ネットワーク接続が切断されると、アクティブな WorkSpaces クライアントセッションが切断されます。Windows と macOS 用の WorkSpaces クライアントアプリケーションは、ネットワーク接続が一定時間内に回復すればセッションを自動的に再接続するように試行します。デフォルト設定のセッション再起動タイムアウトは 20 分ですが、ドメインのグループポリシー設定で制御される WorkSpaces では、この値の変更ができます。

**自動セッション再起動タイムアウト値を設定するには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure Session Automatic Reconnection Policy**] 設定を開きます。

1. **[Configure Session Automatic Reconnection Policy]** ダイアログボックスで **[Enabled]** を選択し、**[Configure Session Automatic Reconnection Policy]** オプションを必要なタイムアウト値 (分単位) に設定して、**[OK]** を選択します。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### PCoIP のオーディオ入力リダイレクトを設定する
<a name="gp_audio"></a>

デフォルトでは、Amazon WorkSpaces では、ローカルマイクから取得されたデータのリダイレクトをサポートしています。Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**注記**  
WorkSpaces でのユーザーのローカルログオンを制限するグループポリシー設定がある場合、オーディオ入力は WorkSpaces では機能しません。そのグループポリシー設定を削除すると、WorkSpaces の次回再起動後にオーディオ入力機能が有効になります。このグループポリシー設定の詳細については、Microsoft のドキュメントの「[ローカルでのログオンを許可する](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)」をご参照ください。

**オーディオ入力リダイレクトを有効または無効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Enable/disable audio in the PCoIP session**] (PCoIP セッションでのオーディオ入力を有効/無効にする) 設定を開きます。

1. **[Enable/disable audio in the PCoIP session]** ダイアログボックスで、**[Enabled]** または **[Disabled]** を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### PCoIP のタイムゾーンリダイレクトを無効化する
<a name="gp_time_zone"></a>

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。
+ 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
+ WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
+ よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Windows WorkSpaces では必要に応じて、グループポリシーの設定を使用し、この機能を無効にすることができます。

**タイムゾーンのリダイレクトを無効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure timezone redirection**] (タイムゾーンリダイレクトを構成) の設定を開きます。

1. [**Configure timezone redirection**] (タイムゾーンリダイレクトを設定) ダイアログボックスで [**Disabled**] (無効) を選択します。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

1. WorkSpaces のタイムゾーンを目的のタイムゾーンに設定します。

WorkSpaces のタイムゾーンは静的になり、クライアントマシンのタイムゾーンは反映されなくなります。

### PCoIP セキュリティ設定を構成する
<a name="gp_security"></a>

PCoIP については、転送中のデータは、TLS 1.2 暗号化と SigV4 リクエスト署名を使用して暗号化されます。PCoIP プロトコルは、AES で暗号化された UDP トラフィックをストリーミングピクセルに使用します。ポート 4172 (TCP および UDP) を使用するストリーミング接続は、AES-128 および AES-256 暗号を使用して暗号化されますが、暗号化はデフォルトで 128 ビットとなります。このデフォルトを 256 ビットに変更するには、[**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) グループポリシー設定を使用します。

このグループポリシー設定を使用して、TLS セキュリティモードを変更し、特定の暗号スイートをブロックすることもできます。これらの設定とサポートされている暗号スイートの詳細については、[**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) グループポリシーダイアログボックスを参照してください。

**PCoIP セキュリティ設定を構成するには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) の設定を開きます。

1. [**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) ダイアログボックスで、[**Enabled**] (有効) を選択します。ストリーミングトラフィックのデフォルトの暗号化を 256 ビットに設定するには、[**PCoIP Data Encryption Ciphers**] (PCoIP データ暗号化暗号) オプションに移動し、[**AES-256-GCM only**] (AES-256-GCM のみ) を選択します。

1. (オプション) **TLS セキュリティモード**の設定を調整し、ブロックする暗号スイートをリストします。これらの設定の詳細については、[**Configure PCoIP Security Settings**] (PCoIP セキュリティ設定を構成) ダイアログボックスに表示される説明を参照してください。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

### PCoIP の USB リダイレクトを設定する
<a name="gp_usbredirection"></a>

**注記**  
Amazon WorkSpaces は現在、YubiKey U2F に対してのみ USB リダイレクトをサポートしています。他のタイプの USB デバイスもリダイレクトされる場合がありますが、それらはサポートされていないため、正常に動作しない可能性があります。

**PCoIP の USB リダイレクトを有効にするには**

1. インストールした[PCoIP (32 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_32_bit)、または [PCoIP (64 ビット) 用の WorkSpaces グループポリシー管理用テンプレート](#gp_install_template_pcoip_64_bit)が最新であることを確認します。

1. ディレクトリ管理 WorkSpaces または WorkSpaces ディレクトリに参加している Amazon EC2 インスタンスで、グループポリシー管理ツール (**gpmc.msc**) を開き、**PCoIP セッション変数**に移動します。

1. [**Enable/disable USB in the PCOIP session**] (PCoIP セッションでの USB を有効/無効にする) 設定を開きます。

1.  [**Enabled**] (有効)、[**OK**] の順に選択します。

1. [**Configure PCoIP USB allowed and unallowed device rules**] (PCoIP USB の許可および許可されないデバイスのルール設定) を開きます。

1. **[有効]**を選択し、**[USB 認可テーブルを入力 (最大 10 個のルール)]**で、USB デバイスの許可リストルールを設定します。

   1. 承認ルール - 110500407。この値は、ベンダー ID (VID) と製品 ID (PID) の組み合わせです。VID/PID の組み合わせの形式は 1xxxxyyyy です。xxxx は 16 進形式の VID で、yyyy は 16 進形式の PID です。この例では、1050 が VID で、0407 が PID です。YubiKey USB の値の詳細については、[YubiKey USB ID Values](https://support.yubico.com/hc/en-us/articles/360016614920-YubiKey-USB-ID-Values) を参照してください。

1. **[USB 認可テーブルを入力 (最大 10 個のルール)]**で、USB デバイスのブロックリストルールを設定します。

   1. [**Unauthorization Rule**] (非承認ルール) に、空の文字列を設定します。これは、承認リスト内の USB デバイスだけが許可されることを意味します。
**注記**  
USB 承認ルールと USB 非承認ルールをそれぞれ最大 10 個定義することができます。複数のルールを区切るには、縦棒 (\$1) 文字を使用します。承認ルールと非承認ルールの詳細については、[Teradici PCoIP Standard Agent for Windows](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/#pcoip-usb-allowed-and-unallowed-device-rules) を参照してください。

1. [**OK**] を選択してください。

1. グループポリシー設定の変更は、WorkSpaces の次回のグループポリシーの更新後、および WorkSpaces セッションの再起動後に有効になります。グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (Amazon WorkSpaces コンソールで、WorkSpace を選択し、**[アクション]**、**[WorkSpaces を再起動]** を選択します)。
   + 管理コマンドプロンプトで、**gpupdate /force** と入力します。

この設定が有効になると、USB デバイスのルール設定で制限されていない限り、サポートされているすべての USB デバイスが WorkSpaces にリダイレクトできるようになります。

## Kerberos チケットの最大ライフタイムを設定する
<a name="gp_kerberos_ticket"></a>

Windows WorkSpaces の [**Remember Me**] (情報を記憶する) 機能を無効にしていない場合、WorkSpaces ユーザーは WorkSpaces クライアントアプリケーションの [**Remember Me**] (情報を記憶する) または [**Keep me logged in**] (ログイン状態を保つ) チェックボックスを使用して、認証情報を保存することができます。この機能により、ユーザーはクライアントアプリケーションが実行中であれば簡単に WorkSpaces に接続できます。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終了するまで安全にキャッシュに保存されます。

WorkSpaces で AD Connector ディレクトリを使用している場合は、Microsoft Windows ドキュメントの「[チケットの最長有効期間](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-user-ticket)」の手順に従って、グループポリシーを使用して WorkSpaces ユーザーの Kerberos チケットの最大有効期間を変更できます。

[**Remember Me**] (このアカウントを記憶する) 機能を有効または無効にする方法については、[WorkSpaces Personal でユーザーを対象とした WorkSpaces の自己管理機能を有効にする](enable-user-self-service-workspace-management.md) を参照してください。

## インターネットアクセス用のデバイスプロキシサーバー設定を構成する
<a name="gp_device_proxy"></a>

デフォルトでは、WorkSpaces クライアントアプリケーションは、デバイスオペレーティングシステム設定で HTTPS (ポート 443) トラフィック用に指定したプロキシサーバーを使用します。Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポートを使用します。

**注記**  
サインイン認証情報を使用した認証を必要とするプロキシサーバーはサポートされていません。

Microsoft ドキュメントの「[デバイスプロキシとインターネット接続の設定の構成](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)」の手順に従って、グループポリシーを通じて Windows WorkSpaces のデバイスプロキシサーバー設定を構成できます。

WorkSpaces Windows クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」の「[プロキシサーバー](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)」を参照してください。

WorkSpaces macOS クライアントアプリケーションでのプロキシ設定の構成の詳細については、「*Amazon WorkSpaces User Guide*」の「[Proxy Server](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)」を参照してください。

WorkSpaces Web Access クライアントアプリケーションでのプロキシ設定の構成の詳細については、「*Amazon WorkSpaces User Guide*」の「[Proxy Server](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)」を参照してください。

### デスクトップトラフィックのプロキシ
<a name="w2aac11c29c11c27c15"></a>

PCoIP WorkSpaces の場合、デスクトップクライアントアプリケーションは、UDP のポート 4172 トラフィック (デスクトップトラフィック) に対するプロキシサーバーの使用も、TLS の復号と検査もサポートしていません。ポート 4172 に直接接続する必要があります。

DCV WorkSpaces の場合、WorkSpaces Windows クライアントアプリケーション (バージョン 5.1 以降) と macOS クライアントアプリケーション (バージョン 5.4 以降) は、ポート 4195 TCP トラフィックに対する HTTP プロキシサーバーの使用をサポートしています。TLS の復号および検査はサポートしていません。

DCV は、UDP 経由のデスクトップトラフィックに対するプロキシの使用をサポートしていません。TCP トラフィックに対するプロキシの使用をサポートしているのは、WorkSpaces Windows および macOS デスクトップクライアントアプリケーションと Web Access のみです。

**注記**  
プロキシサーバーを使用する場合、クライアントアプリケーションが WorkSpaces サービスに対して行う API コールもプロキシされます。API コールとデスクトップトラフィックの両方が同じプロキシサーバーを通過する必要があります。

### プロキシサーバーの使用に関する推奨事項
<a name="w2aac11c29c11c27c17"></a>

WorkSpaces デスクトップトラフィックでのプロキシサーバーの使用はお勧めしません。

Amazon WorkSpaces デスクトップトラフィックは既に暗号化されているため、プロキシを使用してもセキュリティは向上しません。プロキシを使用すると、ネットワークパスに余分なホップが発生してレイテンシーをもたらし、ストリーミング品質に影響する可能性があります。プロキシのサイズがデスクトップストリーミングトラフィックの処理に適切でない場合、プロキシによってスループットが低下する可能性もあります。さらに、ほとんどのプロキシは長時間実行される WebSocket (TCP) 接続をサポートするようには設計されていないため、ストリーミングの品質と安定性に影響する可能性があります。

プロキシを使用する必要がある場合は、ストリーミングの品質と応答性に悪影響を及ぼす可能性のあるネットワークレイテンシーの増大を避けるため、プロキシサーバーを WorkSpace クライアントのできるだけ近く、できれば同じネットワーク内に配置してください。

## Amazon WorkSpaces で Zoom Meeting Media プラグインのサポートを有効にする
<a name="zoom-integration"></a>

Zoom は、Zoom VDI プラグインを使用して、Windows ベースの DCV および PCoIP WorkSpaces での最適化されたリアルタイム通信をサポートしています。クライアントとの直接通信によってビデオ通話はクラウドベースの仮想デスクトップを迂回できるため、ユーザーの WorkSpace 内で会議が行われていてもローカルのような Zoom エクスペリエンスを提供できます。

### DCV の Zoom Meeting Media プラグインを有効にする
<a name="zoom-wsp"></a>

Zoom VDI コンポーネントをインストールする前に、Zoom 最適化をサポートするように WorkSpaces 設定を更新します。

#### 前提条件
<a name="zoom-integ-prerequisites-wsp"></a>

プラグインを使用する前に、以下の要件を満たしていることを確認してください。
+ Windows WorkSpaces クライアントバージョン 5.10.0 以降と [Zoom VDI プラグイン](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT:~:text=Zoom%20Meeting%20client.-,Install%20the%20Zoom%20VDI%20plugin,-To%20complete%20your)バージョン 5.17.10 以降
+ WorkSpaces 内 — [VDI 版 Zoom Meeting](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0063810) クライアントバージョン 5.17.10 以降

#### [開始する前に]
<a name="zoom-begin-wsp"></a>

1. **[拡張機能]** グループポリシー設定を有効にします。詳細については、「[DCV の拡張機能を設定する](#extensions)」を参照してください。

1. **[自動再接続]** グループポリシー設定を無効にします。詳細については、「[DCV のセッション再開タイムアウトを設定する](#gp_auto_resume_wsp)」を参照してください。

#### Zoom コンポーネントのインストール
<a name="installing-zoom-wsp"></a>

Zoom 最適化を有効にするには、Zoom が提供する 2 つのコンポーネントを Windows WorkSpaces にインストールします。詳細については、「[Using Zoom for Amazon WorkSpaces](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT)」を参照してください。

1. WorkSpace に VDI 版 Zoom Meeting クライアントバージョン 5.12.6 以降をインストールします。

1. WorkSpace がインストールされているクライアントに Zoom VDI プラグイン (Windows ユニバーサルインストーラ) バージョン 5.12.6 以降をインストールします。

1. VDI 版 Zoom クライアントで VDI プラグインのステータスが **[接続済み]** として表示されることを確認して、プラグインが Zoom トラフィックを最適化していることを確認します。詳細については、「[How to confirm Amazon WorkSpaces optimization](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE1MA5YMYFX5B5XM873V1Y)」を参照してください。

### PCoIP の Zoom Meeting Media プラグインを有効にする
<a name="zoom-pcoip"></a>

Active Directory への管理者アクセス許可を持つユーザーは、グループポリシーオブジェクト (GPO) を使用してレジストリキーを生成できます。これにより、ユーザーは強制更新を使用してドメイン内のすべての Windows WorkSpaces にレジストリキーを送信できます。または、管理者権限を持つユーザーは、WorkSpaces ホストにレジストリキーを個別にインストールすることもできます。

#### 前提条件
<a name="zoom-integ-prerequisites-pcoip"></a>

プラグインを使用する前に、以下の要件を満たしていることを確認してください。
+ Windows WorkSpaces クライアントバージョン 5.4.0 以降と [Zoom VDI プラグイン](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT:~:text=Zoom%20Meeting%20client.-,Install%20the%20Zoom%20VDI%20plugin,-To%20complete%20your)バージョン 5.12.6 以降
+ WorkSpaces 内 — [VDI 版 Zoom Meeting](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0063810) クライアントバージョン 5.12.6 以降

#### Windows WorkSpaces ホストにレジストリキーを作成する
<a name="zoom-integ-create-registry-key"></a>

次の手順に従って、Windows WorkSpaces ホストにレジストリキーを作成します。Windows WorkSpaces で Zoom を使用するには、レジストリキーが必要です。

1. 管理者として Windows レジストリエディタを開きます。

1. `\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Amazon` に移動します。

1. **Extension** キーが存在しない場合は、右クリックして **[New]** (新規) > **[Key]** (キー) を選択し、「**Extension**」という名前を付けます。

1. 新しい **Extension** キーで右クリックし、**[New]** (新規) > **[DWORD]** を選択し、「**enable**」という名前を付けます。この名前は小文字にする必要があります。

1. 新しい **DWORD** をクリックし、**[値]** を **[1]** に変更します。

1. コンピュータを再起動してプロセスを完了します。

1. WorkSpaces ホストで、最新の Zoom VDI クライアントをダウンロードしてインストールします。WorkSpaces クライアント (5.4 以降) で、Amazon WorkSpaces 用の最新の Zoom VDI クライアントプラグインをダウンロードしてインストールします。詳細については、*Zoom サポートウェブサイト*の「[VDI releases and downloads](https://support.zoom.us/hc/en-us/articles/4415057249549-VDI-releases-and-downloads)」を参照してください。

Zoom を起動してビデオ通話を開始します。

#### トラブルシューティング
<a name="zoom-integ-troubleshoot"></a>

Windows WorkSpaces での Zoom のトラブルシューティングを行うには、以下のアクションを実行してください。
+ レジストリキーがアクティブ化され、正しく適用されていることを確認します。
+ `C:\ProgramData\Amazon\Amazon WorkSpaces Extension` に移動します。`wse_core_dll` と表示されていることを確認します。
+ ホストとクライアントの間でバージョンが正しいこと、また一致していることを確認します。

問題が解決しない場合は、 [サポート センター](https://console.aws.amazon.com/support/home#/) サポート を使用して にお問い合わせください。

次の例を使用し、ディレクトリの管理者として GPO を適用できます。
+ **WSE.adml**

  ```
  <?xml version="1.0" encoding="utf-8"?>
  <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <!-- 'displayName' and 'description' don't appear anywhere. All Windows native GPO template files have them set like this. -->
      <displayName>enter display name here</displayName>
      <description>enter description here</description>
  
      <resources>
      <stringTable>
          <string id="SUPPORTED_ProductOnly">N/A</string>
          <string id="Amazon">Amazon</string>
          <string id="Amazon_Help">Amazon Group Policies</string>
          <string id="WorkspacesExtension">Workspaces Extension</string>
          <string id="WorkspacesExtension_Help">Workspace Extension Group Policies</string>
  
          <!-- Extension Itself -->
          <string id="ToggleExtension">Enable/disable Extension Virtual Channel</string>
          <string id="ToggleExtension_Help">
  Allows two-way Virtual Channel data communication for multiple purposes
  
  By default, Extension is disabled.</string>
  
      </stringTable>
      </resources>
  </policyDefinitionResources>
  ```
+ **WSE.admx**

  ```
  <?xml version="1.0" encoding="utf-8"?>
  <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <policyNamespaces>
          <target prefix="WorkspacesExtension" namespace="Microsoft.Policies.Amazon.WorkspacesExtension" />
      </policyNamespaces>
      <supersededAdm fileName="wse.adm" />
      <resources minRequiredRevision="1.0" />
      <supportedOn>
          <definitions>
              <definition name="SUPPORTED_ProductOnly" displayName="$(string.SUPPORTED_ProductOnly)"/>
          </definitions>
      </supportedOn>
      <categories>
          <category name="Amazon" displayName="$(string.Amazon)" explainText="$(string.Amazon_Help)" />
          <category name="WorkspacesExtension" displayName="$(string.WorkspacesExtension)" explainText="$(string.WorkspacesExtension_Help)">
              <parentCategory ref="Amazon" />
          </category>
      </categories>
  
      <policies>
          <policy name="ToggleExtension" class="Machine" displayName="$(string.ToggleExtension)" explainText="$(string.ToggleExtension_Help)" key="Software\Policies\Amazon\Extension" valueName="enable">
              <parentCategory ref="WorkspacesExtension" />
              <supportedOn ref="SUPPORTED_ProductOnly" />
              <enabledValue>
                  <decimal value="1" />
              </enabledValue>
              <disabledValue>
                  <decimal value="0" />
              </disabledValue>
          </policy>
      </policies>
  </policyDefinitions>
  ```

# WorkSpaces Personal で Amazon Linux 2 WorkSpaces を管理する
<a name="manage_linux_workspace"></a>

RPM Package Manager (RPM) を必要とするワークロードの場合は、[Red Hat Enterprise Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage_rhel_workspace.html) または [Rocky Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage_rockylinux_workspace.html) を使用することをお勧めします。Amazon Linux 2 では、Firefox や glibc など、必要な一部のアプリケーションやライブラリの最新バージョンが提供されない場合があります。

Linux インスタンスはグループポリシーに従っていないため、設定管理ソリューションを使用してポリシーの配信と適用を行うことをお勧めします。例えば、[Ansible](https://www.ansible.com/) を使用できます。

**注記**  
ローカルプリンターのリダイレクトは Amazon Linux WorkSpaces ではご利用になれません。

## Amazon Linux WorkSpaces で DCV の動作を制御する
<a name="wsp_agent_linux"></a>

DCV の動作は、`/etc/wsp/` ディレクトリにある `wsp.conf` ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Amazon Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。

**注記**  
誤った変更またはサポートされていない変更を `wsp.conf` ファイルに加えた場合、ポリシー変更は WorkSpaces に新たに確立された接続に適用されない場合があります。
現在、Amazon Linux WorkSpaces DCV バンドルには、次の制限があります。  
現在、 AWS GovCloud (米国西部) および AWS GovCloud (米国東部) でのみ利用可能です。
動画入力はサポートされていません。
画面ロック時のセッション切断はサポートされていません。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。

## DCV Amazon Linux WorkSpaces のクリップボードリダイレクトを設定する
<a name="wsp_linux_clipboard"></a>

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を設定します。この設定は、WorkSpace を切断して再接続したときに有効になります。

**DCV Amazon Linux WorkSpaces のクリップボードリダイレクトを設定するには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 

   ```
   clipboard = X
   ```

   *X* に指定できる値は以下のとおりです。

   `enabled` – クリップボードリダイレクトは両方向ともに有効です (デフォルト)

   `disabled` – クリップボードリダイレクトは両方向ともに無効です

   `paste-only` – クリップボードリダイレクトは有効ですが、ローカルクライアントデバイスからコンテンツをコピーし、リモートホストデスクトップに貼り付けることのみが可能です。

   `copy-only` – クリップボードリダイレクトは有効ですが、リモートホストデスクトップからコンテンツをコピーし、ローカルクライアントデバイスに貼り付けることのみが可能です。

## DCV Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にする
<a name="wsp_linux_audio"></a>

デフォルトでは、WorkSpaces はオーディオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。この設定は、WorkSpace を切断して再接続したときに有効になります。

**DCV Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. ファイルの末尾に次の行を追加します。

   ```
   audio-in = X
   ```

   *X* に指定できる値は以下のとおりです。

   `enabled` – オーディオ入力リダイレクトは有効です (デフォルト)

   `disabled` – オーディオ入力リダイレクトは無効です

## DCV Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効または無効にする
<a name="linux_time_zone_wsp"></a>

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のような理由から、タイムゾーンのリダイレクトをオフにすることもできます。
+ 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
+ WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
+ よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

必要に応じて、DCV 設定ファイルを使用してこの機能を設定します。この設定は、WorkSpace を切断して再接続した後に有効になります。

**DCV Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp-agent/wsp.conf
   ```

1. ファイルの末尾に次の行を追加します。

   ```
   timezone_redirect= X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – タイムゾーンのリダイレクトは有効です (デフォルト)

   **disabled** – タイムゾーンのリダイレクトは無効です

## Amazon Linux WorkSpaces で PCoIP エージェントの動作を制御する
<a name="pcoip_agent_linux"></a>

PCoIP Agent の動作は、`pcoip-agent.conf` ディレクトリにある `/etc/pcoip-agent/` ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Amazon Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。エージェントを再起動すると、開いている接続がすべて終了されウィンドウマネージャーが再起動されます。変更を適用するには、WorkSpace を再起動することをお勧めします。

**注記**  
`pcoip-agent.conf` ファイルに正しくない変更またはサポートされていない変更を加えた場合、WorkSpace が動作しなくなる可能性があります。WorkSpace が動作しなくなった場合は、[SSH を使用して WorkSpace に接続](connect-to-linux-workspaces-with-ssh.md)して変更をロールバックするか、[WorkSpace を再構築](rebuild-workspace.md)する必要がある場合があります。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。利用可能な設定の一覧については、Amazon Linux WorkSpace のターミナルから `man pcoip-agent.conf` を実行します。

## PCoIP Amazon Linux WorkSpaces のクリップボードリダイレクトを設定する
<a name="linux_clipboard"></a>

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、WorkSpace を再起動したときに有効になります。

**PCoIP Amazon Linux WorkSpaces のクリップボードリダイレクトを設定するには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `pcoip-agent.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
   ```

1. ファイルの末尾に次の行を追加します。

   ```
   pcoip.server_clipboard_state = X
   ```

   *X* に指定できる値は以下のとおりです。

   0 – クリップボードリダイレクトは両方向ともに無効です

   1 – クリップボードリダイレクトは両方向ともに有効です

   2 – クリップボードリダイレクトはクライアントからエージェントへのみ有効です (ローカルクライアントデバイスからリモートホストデスクトップへのコピーと貼り付けのみを許可)

   3 – クリップボードリダイレクトはエージェントからクライアントへのみ有効です (リモートホストデスクトップからローカルクライアントデバイスへのコピーと貼り付けのみを許可)

**注記**  
クリップボードのリダイレクトは仮想チャネルとして実装されます。仮想チャンネルが無効になっている場合、クリップボードのリダイレクトは機能しません。仮想チャネルを有効にするには、Teradici のドキュメントの「[PCoIP Virtual Channels](https://www.teradici.com/web-help/pcoip_agent/standard_agent/linux/20.07/admin-guide/configuring/configuring/#pcoip-virtual-channels)」をご参照ください。

## PCoIP Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効化/無効化する
<a name="linux_audio"></a>

デフォルトでは、WorkSpaces はオーディオインリダイレクトをサポートしています。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、WorkSpace を再起動したときに有効になります。

**PCoIP Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効化/無効化するには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `pcoip-agent.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
   ```

1. ファイルの末尾に次の行を追加します。

   ```
   pcoip.enable_audio = X
   ```

   *X* に指定できる値は以下のとおりです。

   0 – オーディオ入力リダイレクトは無効です

   1 – オーディオ入力リダイレクトは有効です

## PCoIP Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効化/無効化する
<a name="linux_time_zone"></a>

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のような理由から、タイムゾーンのリダイレクトをオフにすることもできます。
+ 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
+ WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
+ よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Linux WorkSpaces のために必要な場合は、PCoIP エージェントの設定を使用してこの機能を無効にすることができます。この設定は、WorkSpace を再起動したときに有効になります。

**PCoIP Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効化/無効化するには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `pcoip-agent.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
   ```

1. ファイルの末尾に次の行を追加します。

   ```
   pcoip.enable_timezone_redirect= X
   ```

   *X* に指定できる値は以下のとおりです。

   0 – タイムゾーンのリダイレクトは無効です

   1 – タイムゾーンのリダイレクトは有効です

## Amazon Linux WorkSpaces 管理者に SSH アクセスを付与する
<a name="linux_ssh"></a>

デフォルトでは、割り当て済みユーザーおよびドメイン管理者グループのアカウントのみが SSH を使用して Amazon Linux WorkSpaces に接続できます。

Active Directory で Amazon Linux WorkSpaces 管理者専用の管理者グループを作成することをお勧めします。

**Linux\$1Workspaces\$1Admins Active Directory グループのメンバーの sudo アクセスを有効にするには**

1. 次の例に示すように、`sudoers` を使用して `visudo` ファイルを編集します。

   ```
   [example\username@workspace-id ~]$ sudo visudo
   ```

1. 次の行を追加します。

   ```
   %example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL 
   ```

専用の管理者グループを作成したら、次のステップに従ってグループのメンバーのログインを有効にします。

**Linux\$1WorkSpaces\$1Admins Active Directory グループのメンバーのログインを有効にするには**

1. 昇格された権限で `/etc/security/access.conf` を編集します。

   ```
   [example\username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 次の行を追加します。

   ```
   +:(example\Linux_WorkSpaces_Admins):ALL 
   ```

SSH 接続の有効化の詳細については、[WorkSpaces Personal で Linux WorkSpaces の SSH 接続を有効にする](connect-to-linux-workspaces-with-ssh.md) を参照してください。

## Amazon Linux WorkSpaces のデフォルトシェルを上書きする
<a name="linux_shell"></a>

Linux WorkSpaces のデフォルトシェルを上書きするには、ユーザーの `~/.bashrc` ファイルを編集することをお勧めします。たとえば、`Z shell` シェルの代わりに `Bash` を使用するには、`/home/username/.bashrc` に次の行を追加します。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注記**  
この変更を行った後、WorkSpace を再起動するか (切断だけでなく) WorkSpace からログアウトし、再度ログインして変更を有効にする必要があります。

## 不正なアクセスからカスタムリポジトリを保護する
<a name="password_protect_repos"></a>

カスタムリポジトリへのアクセスを制御するには、パスワードではなく、Amazon Virtual Private Cloud (Amazon VPC) に組み込まれているセキュリティ機能を使用することをお勧めします。たとえば、ネットワークアクセスコントロールリスト (ACL) とセキュリティグループを使用します。これらの機能の詳細については、*Amazon VPC ユーザーガイド*の[セキュリティ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)を参照してください。

リポジトリを保護するためにパスワードを使用する必要がある場合は、Fedora ドキュメントの「[リポジトリ定義ファイル](https://docs.fedoraproject.org/en-US/Fedora_Core/3/html/Software_Management_Guide/sn-writing-repodefs.html)」に示されているように、`yum` リポジトリ定義ファイルを作成してください。

## Amazon Linux Extras Library リポジトリを使用する
<a name="linux_extras"></a>

Amazon Linux では、Extras Library を使用してアプリケーションおよびソフトウェア更新をインスタンスにインストールできます。Extras Library の使用については、*Linux インスタンス用 Amazon EC2 ユーザーガイド*の [Extras Library (Amazon Linux)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#extras-library) を参照してください。

**注記**  
Amazon Linux リポジトリを使用している場合は、Amazon Linux WorkSpaces がインターネットにアクセスできるか、このリポジトリおよびメイン Amazon Linux リポジトリへの仮想プライベートクラウド (VPC) エンドポイントを設定する必要があります。詳細については、「[WorkSpaces Personal でのインターネットアクセス](amazon-workspaces-internet-access.md)」を参照してください。

## Linux WorkSpaces での認証にスマートカードを使用する
<a name="linux_smart_cards"></a>

Linux WorkSpaces DCV バンドルでは、認証に [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) および [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/) スマートカードを使用できます。詳細については、「[WorkSpaces Personal での認証にスマートカードを使用する](smart-cards.md)」を参照してください。

## インターネットアクセス用のデバイスプロキシサーバー設定を構成する
<a name="gp_device_proxy_linux"></a>

デフォルトでは、WorkSpaces クライアントアプリケーションは、デバイスオペレーティングシステム設定で HTTPS (ポート 443) トラフィック用に指定したプロキシサーバーを使用します。Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポートを使用します。

**注記**  
サインイン認証情報を使用した認証を必要とするプロキシサーバーはサポートされていません。

Microsoft ドキュメントの「[デバイスプロキシとインターネット接続の設定の構成](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)」の手順に従って、グループポリシーを通じて Linux WorkSpaces のデバイスプロキシサーバー設定を構成できます。

WorkSpaces Windows クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」の[プロキシサーバー](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)を参照してください。

WorkSpaces macOS クライアントアプリケーションでのプロキシ設定の構成の詳細については、「*Amazon WorkSpaces User Guide*」の「[Proxy Server](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)」を参照してください。

WorkSpaces Web Access クライアントアプリケーションでのプロキシ設定の構成の詳細については、「*Amazon WorkSpaces User Guide*」の「[Proxy Server](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)」を参照してください。

### デスクトップトラフィックのプロキシ
<a name="w2aac11c29c13c35c15"></a>

PCoIP WorkSpaces の場合、デスクトップクライアントアプリケーションは、UDP のポート 4172 トラフィック (デスクトップトラフィック) に対するプロキシサーバーの使用も、TLS の復号と検査もサポートしていません。ポート 4172 に直接接続する必要があります。

DCV WorkSpaces の場合、WorkSpaces Windows クライアントアプリケーション (バージョン 5.1 以降) と macOS クライアントアプリケーション (バージョン 5.4 以降) は、ポート 4195 TCP トラフィックに対する HTTP プロキシサーバーの使用をサポートしています。TLS の復号および検査はサポートしていません。

DCV は、UDP 経由のデスクトップトラフィックに対するプロキシの使用をサポートしていません。TCP トラフィックに対するプロキシの使用をサポートしているのは、WorkSpaces Windows および macOS デスクトップクライアントアプリケーションと Web Access のみです。

**注記**  
プロキシサーバーを使用する場合、クライアントアプリケーションが WorkSpaces サービスに対して行う API コールもプロキシされます。API コールとデスクトップトラフィックの両方が同じプロキシサーバーを通過する必要があります。

### プロキシサーバーの使用に関する推奨事項
<a name="w2aac11c29c13c35c17"></a>

WorkSpaces デスクトップトラフィックでのプロキシサーバーの使用はお勧めしません。

Amazon WorkSpaces デスクトップトラフィックは既に暗号化されているため、プロキシを使用してもセキュリティは向上しません。プロキシを使用すると、ネットワークパスに余分なホップが発生してレイテンシーをもたらし、ストリーミング品質に影響する可能性があります。プロキシのサイズがデスクトップストリーミングトラフィックの処理に適切でない場合、プロキシによってスループットが低下する可能性もあります。さらに、ほとんどのプロキシは長時間実行される WebSocket (TCP) 接続をサポートするようには設計されていないため、ストリーミングの品質と安定性に影響する可能性があります。

プロキシを使用する必要がある場合は、ストリーミングの品質と応答性に悪影響を及ぼす可能性のあるネットワークレイテンシーの増大を避けるため、プロキシサーバーを WorkSpace クライアントのできるだけ近く、できれば同じネットワーク内に配置してください。

# WorkSpaces Personal で Ubuntu WorkSpaces を管理する
<a name="manage_ubuntu_workspace"></a>

Ubuntu WorkSpaces バンドルには、Canonical からの Ubuntu Pro のサブスクリプションが含まれています。Windows や Amazon Linux WorkSpaces と同様に、Ubuntu WorkSpaces はドメイン結合されているため、Active Directory ユーザーとグループを使用して以下を実行できます。
+ Ubuntu WorkSpaces を管理する
+ ユーザーにこれらの WorkSpaces へのアクセスを許可する

AdSys を使用することで、グループポリシーで Ubuntu WorkSpaces を管理できます。Active Directory 統合の詳細については、「[Ubuntu Active Directory の統合に関するよくある質問](https://ubuntu.com/blog/new-active-directory-integration-features-in-ubuntu-22-04-faq)」を参照してください。[Landscape](https://ubuntu.com/landscape) や [Ansible](https://www.ansible.com/) など、他の構成および管理ソリューションを使用することもできます。

## Ubuntu WorkSpaces で DCV の動作を制御する
<a name="wsp_ubuntu"></a>

DCV の動作は、`/etc/wsp/` ディレクトリにある `wsp.conf` ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Ubuntu をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。

**注記**  
誤った変更またはサポートされていない変更を加えた場合、WorkSpace に新たに確立された接続に `wsp.conf` ポリシーが適用されない場合があります。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。

## Ubuntu WorkSpaces のクリップボードのリダイレクトの有効化または無効化
<a name="ubuntu_clipboard"></a>

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Ubuntu WorkSpaces のクリップボードのリダイレクトを有効化または無効化するには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   clipboard = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – クリップボードリダイレクトは両方向ともに有効です (デフォルト)

   **disabled** – クリップボードリダイレクトは両方向ともに無効です

   **[paste-only]** (ペーストのみ) — クリップボードのリダイレクトが有効で、ローカルクライアントデバイスからコンテンツをコピーし、リモートホストデスクトップにペーストするのみが可能です。

   **[copy-only]** (コピーのみ) — クリップボードのリダイレクトが有効で、リモートホストのデスクトップからコンテンツをコピーし、ローカルのクライアントデバイスにペーストするのみが可能です。

## Ubuntu WorkSpaces のオーディオインリダイレクトの有効化または無効化
<a name="ubuntu_audio"></a>

デフォルトでは、WorkSpaces はオーディオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Ubuntu WorkSpaces のオーディオインリダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   audio-in = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – オーディオ入力リダイレクトは有効です (デフォルト)

   **disabled** – オーディオ入力リダイレクトは無効です

## Ubuntu WorkSpaces のビデオインリダイレクトの有効化または無効化
<a name="ubuntu_video"></a>

デフォルトでは、WorkSpaces はビデオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Ubuntu WorkSpaces のビデオインリダイレクトを有効化または無効化するには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   video-in = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – ビデオ入力リダイレクトは有効です (デフォルト)

   **disabled** – ビデオ入力リダイレクトは無効です

## Ubuntu WorkSpaces のタイムゾーンのリダイレクトの有効化または無効化
<a name="ubuntu-time-zone"></a>

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のような理由から、タイムゾーンのリダイレクトをオフにすることもできます。
+ 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
+ WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
+ よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

必要に応じて、DCV 設定ファイルを使用してこの機能を設定します。

**Ubuntu WorkSpaces のタイムゾーンのリダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   timezone-redirection = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – タイムゾーンのリダイレクトは有効です (デフォルト)

   **disabled** – タイムゾーンのリダイレクトは無効です

## Ubuntu WorkSpaces のプリンターリダイレクトの有効化または無効化
<a name="ubuntu_printer"></a>

デフォルトでは、WorkSpaces はプリンターリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Ubuntu WorkSpaces のプリンターリダイレクトを有効化または無効化するには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   remote-printing = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – プリンターリダイレクトは有効です (デフォルト)

   **disabled** – プリンターリダイレクトは無効です

## DCV の画面ロック時におけるセッションの切断を有効または無効にする
<a name="ubuntu_screenlock"></a>

画面ロック時におけるセッションの切断を有効にすると、ロック画面が検出されたときにユーザーが WorkSpaces セッションを終了できます。WorkSpaces クライアントから再接続するには、WorkSpaces で有効になっている認証の種類に応じて、ユーザーはパスワードまたはスマートカードを使用して自分自身を認証できます。

デフォルトでは、WorkSpaces は画面ロックによるセッションの切断をサポートしていません。必要に応じて、DCV 設定ファイルを使用してこの機能を有効にします。

**Ubuntu WorkSpaces の画面ロック時におけるセッションの切断を有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   disconnect-on-lock = X
   ```

   *X* に指定できる値は以下のとおりです。

   **有効** — 画面ロック時の接続解除が有効です

   **disabled** – 画面ロック時の接続解除は無効です (デフォルト)

## Ubuntu WorkSpaces 管理者に SSH アクセスを付与する
<a name="grant_ssh_access_ubuntu"></a>

デフォルトでは、割り当て済みユーザーおよびドメイン管理者グループのアカウントのみが SSH を使用して Ubuntu WorkSpaces に接続できます。SSH を使用して他のユーザーやアカウントが Ubuntu WorkSpaces に接続できるようにするには、Active Directory で Ubuntu WorkSpaces 管理者専用の管理者グループを作成することをお勧めします。

**`Linux_WorkSpaces_Admins` Active Directory グループのメンバーの sudo アクセスを有効にするには**

1. 次の例に示すように、`sudoers` を使用して `visudo` ファイルを編集します。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 次の行を追加します。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

専用の管理者グループを作成したら、次のステップに従ってグループのメンバーのログインを有効にします。

**`Linux_WorkSpaces_Admins` Active Directory グループのメンバーのログインを有効にするには**

1. 昇格された権限で `etc/security/access.conf` を編集します。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 次の行を追加します。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 Ubuntu WorkSpaces では、SSH 接続のユーザー名を指定する際にドメイン名を追加する必要はなく、パスワード認証はデフォルトで無効になっています。SSH 経由で接続するには、Ubuntu WorkSpace の `$HOME/.ssh/authorized_keys` に SSH パブリックキーを追加するか、`/etc/ssh/sshd_config` を編集して `yes` に PasswordAuthentication を設定する必要があります。SSH 接続の有効化の詳細については、「[Linux WorkSpace で SSH 接続を有効化する](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-to-linux-workspaces-with-ssh.html)」を参照してください。

## Ubuntu WorkSpace のデフォルトシェルを無効にする
<a name="override_default_shell_ubuntu"></a>

Ubuntu WorkSpace のデフォルトシェルを無効にするには、ユーザーの `~/.bashrc` ファイルを編集することをお勧めします。たとえば、`Z shell` シェルの代わりに `Bash` を使用するには、`/home/username/.bashrc` に次の行を追加します。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注記**  
この変更を行った後、WorkSpace を再起動するか (切断だけでなく) WorkSpace からログアウトし、再度ログインして変更を有効にする必要があります。

## Ubuntu WorkSpaces での認証にスマートカードを使用する
<a name="linux_smart_cards"></a>

Ubuntu WorkSpaces バンドルでは、認証に [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) および [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/) スマートカードを使用できます。詳細については、「[WorkSpaces Personal での認証にスマートカードを使用する](smart-cards.md)」を参照してください。

## インターネットアクセス用のデバイスプロキシサーバー設定を構成する
<a name="gp_device_proxy_ubuntu"></a>

デフォルトでは、WorkSpaces クライアントアプリケーションは、デバイスオペレーティングシステム設定で HTTPS (ポート 443) トラフィック用に指定したプロキシサーバーを使用します。Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポートを使用します。

**注記**  
サインイン認証情報を使用した認証を必要とするプロキシサーバーはサポートされていません。

Microsoft ドキュメントの「[デバイスプロキシとインターネット接続の設定の構成](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)」の手順に従って、グループポリシーを通じて Ubuntu WorkSpaces のデバイスプロキシサーバー設定を構成できます。

WorkSpaces Windows クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」の「[プロキシサーバー](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)」を参照してください。

WorkSpaces macOS クライアントアプリケーションでのプロキシ設定の構成の詳細については、「*Amazon WorkSpaces User Guide*」の「[Proxy Server](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)」を参照してください。

WorkSpaces Web Access クライアントアプリケーションでのプロキシ設定の構成の詳細については、「*Amazon WorkSpaces User Guide*」の「[Proxy Server](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)」を参照してください。

### デスクトップトラフィックのプロキシ
<a name="w2aac11c29c15c29c15"></a>

PCoIP WorkSpaces の場合、デスクトップクライアントアプリケーションは、UDP のポート 4172 トラフィック (デスクトップトラフィック) に対するプロキシサーバーの使用も、TLS の復号と検査もサポートしていません。ポート 4172 に直接接続する必要があります。

DCV WorkSpaces の場合、WorkSpaces Windows クライアントアプリケーション (バージョン 5.1 以降) と macOS クライアントアプリケーション (バージョン 5.4 以降) は、ポート 4195 TCP トラフィックに対する HTTP プロキシサーバーの使用をサポートしています。TLS の復号および検査はサポートしていません。

DCV は、UDP 経由のデスクトップトラフィックに対するプロキシの使用をサポートしていません。TCP トラフィックに対するプロキシの使用をサポートしているのは、WorkSpaces Windows および macOS デスクトップクライアントアプリケーションと Web Access のみです。

**注記**  
プロキシサーバーを使用する場合、クライアントアプリケーションが WorkSpaces サービスに対して行う API コールもプロキシされます。API コールとデスクトップトラフィックの両方が同じプロキシサーバーを通過する必要があります。

### プロキシサーバーの使用に関する推奨事項
<a name="w2aac11c29c15c29c17"></a>

WorkSpaces デスクトップトラフィックでのプロキシサーバーの使用はお勧めしません。

Amazon WorkSpaces デスクトップトラフィックは既に暗号化されているため、プロキシを使用してもセキュリティは向上しません。プロキシを使用すると、ネットワークパスに余分なホップが発生してレイテンシーをもたらし、ストリーミング品質に影響する可能性があります。プロキシのサイズがデスクトップストリーミングトラフィックの処理に適切でない場合、プロキシによってスループットが低下する可能性もあります。さらに、ほとんどのプロキシは長時間実行される WebSocket (TCP) 接続をサポートするようには設計されていないため、ストリーミングの品質と安定性に影響する可能性があります。

プロキシを使用する必要がある場合は、ストリーミングの品質と応答性に悪影響を及ぼす可能性のあるネットワークレイテンシーの増大を避けるため、プロキシサーバーを WorkSpace クライアントのできるだけ近く、できれば同じネットワーク内に配置してください。

# Rocky Linux WorkSpaces を管理する
<a name="manage_rockylinux_workspace"></a>

Rocky Linux WorkSpaces は、[Ansible](https://www.ansible.com/) などの設定および管理ソリューションを使用して管理できます。

**注記**  
Rocky Linux ソフトウェアに含まれる著作権、商標、またはその他の所有権もしくは機密性に関する通知を削除、変更、または隠蔽することはできません。

## Rocky Linux WorkSpaces で DCV の動作を制御する
<a name="wsp_rockylinux"></a>

DCV の動作は、`/etc/wsp/` ディレクトリにある `wsp.conf` ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Rocky Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。

**注記**  
誤った変更またはサポートされていない変更を加えた場合、WorkSpace に新たに確立された接続に `wsp.conf` ポリシーが適用されない場合があります。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。

## Rocky Linux WorkSpaces のクリップボードリダイレクトを有効化/無効化する
<a name="rockylinux_clipboard"></a>

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Rocky Linux WorkSpaces のクリップボードリダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   clipboard = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – クリップボードリダイレクトは両方向ともに有効です (デフォルト)

   **disabled** – クリップボードリダイレクトは両方向ともに無効です

   **[paste-only]** (ペーストのみ) — クリップボードのリダイレクトが有効で、ローカルクライアントデバイスからコンテンツをコピーし、リモートホストデスクトップにペーストするのみが可能です。

   **[copy-only]** (コピーのみ) — クリップボードのリダイレクトが有効で、リモートホストのデスクトップからコンテンツをコピーし、ローカルのクライアントデバイスにペーストするのみが可能です。

## Rocky Linux WorkSpaces のオーディオ入力リダイレクトを有効化/無効化する
<a name="rockylinux_audio"></a>

デフォルトでは、WorkSpaces はオーディオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Rocky Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   audio-in = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – オーディオ入力リダイレクトは有効です (デフォルト)

   **disabled** – オーディオ入力リダイレクトは無効です

## Rocky Linux WorkSpaces のビデオ入力リダイレクトを有効化または無効化する
<a name="rockylinux_video"></a>

デフォルトでは、WorkSpaces はビデオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Rocky Linux WorkSpaces のビデオ入力リダイレクトを有効化または無効化するには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   video-in = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – ビデオ入力リダイレクトは有効です (デフォルト)

   **disabled** – ビデオ入力リダイレクトは無効です

## Rocky Linux WorkSpaces のタイムゾーンのリダイレクトを有効化/無効化する
<a name="rockylinux-time-zone"></a>

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のような理由から、タイムゾーンのリダイレクトをオフにすることもできます。
+ 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
+ WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
+ よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

必要に応じて、DCV 設定ファイルを使用してこの機能を設定します。

**Rocky Linux WorkSpaces のタイムゾーンのリダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   timezone-redirection = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – タイムゾーンのリダイレクトは有効です (デフォルト)

   **disabled** – タイムゾーンのリダイレクトは無効です

## Rocky Linux WorkSpaces のプリンターリダイレクトを有効化または無効化する
<a name="rockylinux_printer"></a>

デフォルトでは、WorkSpaces はプリンターリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Rocky Linux WorkSpaces のプリンターリダイレクトを有効化または無効化するには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   remote-printing = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – プリンターリダイレクトは有効です (デフォルト)

   **disabled** – プリンターリダイレクトは無効です

## DCV の画面ロック時におけるセッションの切断を有効または無効にする
<a name="rockylinux_screenlock"></a>

画面ロック時におけるセッションの切断を有効にすると、ロック画面が検出されたときにユーザーが WorkSpaces セッションを終了できます。WorkSpaces クライアントから再接続するには、WorkSpaces で有効になっている認証の種類に応じて、ユーザーはパスワードまたはスマートカードを使用して自分自身を認証できます。

デフォルトでは、WorkSpaces は画面ロックによるセッションの切断をサポートしていません。必要に応じて、DCV 設定ファイルを使用してこの機能を有効にします。

**Rocky Linux WorkSpaces の画面ロック時におけるセッションの切断を有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   disconnect-on-lock = X
   ```

   *X* に指定できる値は以下のとおりです。

   **有効** — 画面ロック時の接続解除が有効です

   **disabled** – 画面ロック時の接続解除は無効です (デフォルト)

## Rocky Linux WorkSpaces 管理者に SSH アクセスを付与する
<a name="grant_ssh_access_rockylinux"></a>

デフォルトでは、割り当て済みユーザーおよびドメイン管理者グループのアカウントのみが SSH を使用して Rocky Linux WorkSpaces に接続できます。SSH を使用して他のユーザーやアカウントが Rocky Linux WorkSpaces に接続できるようにするには、Active Directory で Rocky Linux WorkSpaces 管理者専用の管理者グループを作成することをお勧めします。

**`Linux_WorkSpaces_Admins` Active Directory グループのメンバーの sudo アクセスを有効にするには**

1. 次の例に示すように、`sudoers` を使用して `visudo` ファイルを編集します。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 次の行を追加します。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

専用の管理者グループを作成したら、次のステップに従ってグループのメンバーのログインを有効にします。

**`Linux_WorkSpaces_Admins` Active Directory グループのメンバーのログインを有効にするには**

1. 昇格された権限で `etc/security/access.conf` を編集します。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 次の行を追加します。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 Rocky Linux WorkSpaces では、SSH 接続のユーザー名を指定する際にドメイン名を追加する必要はなく、パスワード認証はデフォルトで無効になっています。SSH 経由で接続するには、Rocky Linux WorkSpace の `$HOME/.ssh/authorized_keys` に SSH パブリックキーを追加するか、`/etc/ssh/sshd_config` を編集して PasswordAuthentication を `yes` に設定する必要があります。SSH 接続の有効化の詳細については、「[Linux WorkSpace で SSH 接続を有効化する](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-to-linux-workspaces-with-ssh.html)」を参照してください。

## Rocky Linux WorkSpaces のデフォルトシェルを上書きする
<a name="override_default_shell_rockylinux"></a>

Rocky Linux WorkSpaces のデフォルトシェルを上書きするには、ユーザーの `~/.bashrc` ファイルを編集することをお勧めします。たとえば、`Z shell` シェルの代わりに `Bash` を使用するには、`/home/username/.bashrc` に次の行を追加します。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注記**  
この変更を行った後、WorkSpace を再起動するか (切断だけでなく) WorkSpace からログアウトし、再度ログインして変更を有効にする必要があります。

## Rocky Linux WorkSpaces での認証にスマートカードを使用する
<a name="linux_smart_cards"></a>

Rocky Linux WorkSpaces バンドルでは、認証に [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) と [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/) スマートカードを使用できます。詳細については、「[WorkSpaces Personal での認証にスマートカードを使用する](smart-cards.md)」を参照してください。

# Red Hat Enterprise Linux WorkSpaces の管理
<a name="manage_rhel_workspace"></a>

Ansible などの設定および管理ソリューションを使用して、Red Hat Enterprise Linux WorkSpaces を管理できます。 [https://www.ansible.com/](https://www.ansible.com/)

## Red Hat Enterprise Linux WorkSpaces で DCV の動作を制御する
<a name="wsp_rhel"></a>

DCV の動作は、`/etc/wsp/` ディレクトリにある `wsp.conf` ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Red Hat Enterprise Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。

**注記**  
誤った変更またはサポートされていない変更を加えた場合、WorkSpace に新たに確立された接続に `wsp.conf` ポリシーが適用されない場合があります。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。

## Red Hat Enterprise Linux WorkSpaces のクリップボードのリダイレクトを有効または無効にする
<a name="rhel_clipboard"></a>

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Red Hat Enterprise Linux WorkSpaces のクリップボードのリダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   clipboard = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – クリップボードリダイレクトは両方向ともに有効です (デフォルト)

   **disabled** – クリップボードリダイレクトは両方向ともに無効です

   **[paste-only]** (ペーストのみ) — クリップボードのリダイレクトが有効で、ローカルクライアントデバイスからコンテンツをコピーし、リモートホストデスクトップにペーストするのみが可能です。

   **[copy-only]** (コピーのみ) — クリップボードのリダイレクトが有効で、リモートホストのデスクトップからコンテンツをコピーし、ローカルのクライアントデバイスにペーストするのみが可能です。

## Red Hat Enterprise Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にする
<a name="rhel_audio"></a>

デフォルトでは、WorkSpaces はオーディオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Red Hat Enterprise Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   audio-in = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – オーディオ入力リダイレクトは有効です (デフォルト)

   **disabled** – オーディオ入力リダイレクトは無効です

## Red Hat Enterprise Linux WorkSpaces のビデオ入力リダイレクトを有効または無効にする
<a name="rhel_video"></a>

デフォルトでは、WorkSpaces はビデオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Red Hat Enterprise Linux WorkSpaces のビデオ入力リダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   video-in = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – ビデオ入力リダイレクトは有効です (デフォルト)

   **disabled** – ビデオ入力リダイレクトは無効です

## Red Hat Enterprise Linux WorkSpaces のタイムゾーンのリダイレクトを有効または無効にする
<a name="rhel-time-zone"></a>

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のような理由から、タイムゾーンのリダイレクトをオフにすることもできます。
+ 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
+ WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
+ よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

必要に応じて、DCV 設定ファイルを使用してこの機能を設定します。

**Red Hat Enterprise Linux WorkSpaces のタイムゾーンのリダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   timezone-redirection = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – タイムゾーンのリダイレクトは有効です (デフォルト)

   **disabled** – タイムゾーンのリダイレクトは無効です

## Red Hat Enterprise Linux WorkSpaces のプリンターリダイレクトを有効または無効にする
<a name="rhel_printer"></a>

デフォルトでは、WorkSpaces はプリンターリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

**Red Hat Enterprise Linux WorkSpaces のプリンターリダイレクトを有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   remote-printing = X
   ```

   *X* に指定できる値は以下のとおりです。

   **enabled** – プリンターリダイレクトは有効です (デフォルト)

   **disabled** – プリンターリダイレクトは無効です

## DCV の画面ロック時におけるセッションの切断を有効または無効にする
<a name="rhel_screenlock"></a>

画面ロック時におけるセッションの切断を有効にすると、ロック画面が検出されたときにユーザーが WorkSpaces セッションを終了できます。WorkSpaces クライアントから再接続するには、WorkSpaces で有効になっている認証の種類に応じて、ユーザーはパスワードまたはスマートカードを使用して自分自身を認証できます。

デフォルトでは、WorkSpaces は画面ロックによるセッションの切断をサポートしていません。必要に応じて、DCV 設定ファイルを使用してこの機能を有効にします。

**Red Hat Enterprise Linux WorkSpaces の画面ロック時におけるセッションの切断を有効または無効にするには**

1. 次のコマンドを使用して、昇格された権限を持つエディタで `wsp.conf` ファイルを開きます。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. `[policies]` グループの末尾に次の行を追加します。

   ```
   disconnect-on-lock = X
   ```

   *X* に指定できる値は以下のとおりです。

   **有効** — 画面ロック時の接続解除が有効です

   **disabled** – 画面ロック時の接続解除は無効です (デフォルト)

## Red Hat Enterprise Linux WorkSpaces 管理者に SSH アクセスを付与する
<a name="grant_ssh_access_rhel"></a>

デフォルトでは、割り当て済みユーザーおよびドメイン管理者グループのアカウントのみが SSH を使用して Red Hat Enterprise Linux WorkSpaces に接続できます。SSH を使用して他のユーザーやアカウントが Red Hat Enterprise Linux WorkSpaces に接続できるようにするには、Active Directory で Red Hat Enterprise Linux WorkSpaces 管理者専用の管理者グループを作成することをお勧めします。

**`Linux_WorkSpaces_Admins` Active Directory グループのメンバーの sudo アクセスを有効にするには**

1. 次の例に示すように、`sudoers` を使用して `visudo` ファイルを編集します。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 次の行を追加します。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

専用の管理者グループを作成したら、次のステップに従ってグループのメンバーのログインを有効にします。

**`Linux_WorkSpaces_Admins` Active Directory グループのメンバーのログインを有効にするには**

1. 昇格された権限で `etc/security/access.conf` を編集します。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 次の行を追加します。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 Red Hat Enterprise Linux WorkSpaces では、SSH 接続のユーザー名を指定する際にドメイン名を追加する必要はなく、パスワード認証はデフォルトで無効になっています。SSH 経由で接続するには、Red Hat Enterprise Linux WorkSpace の `$HOME/.ssh/authorized_keys` に SSH パブリックキーを追加するか、`/etc/ssh/sshd_config` を編集して PasswordAuthentication を `yes` に設定する必要があります。SSH 接続の有効化の詳細については、「[Linux WorkSpace で SSH 接続を有効化する](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-to-linux-workspaces-with-ssh.html)」を参照してください。

## Red Hat Enterprise Linux WorkSpaces のデフォルトシェルを上書きする
<a name="override_default_shell_rhel"></a>

Red Hat Enterprise Linux WorkSpaces のデフォルトシェルを上書きするには、ユーザーの `~/.bashrc` ファイルを編集することをお勧めします。たとえば、`Z shell` シェルの代わりに `Bash` を使用するには、`/home/username/.bashrc` に次の行を追加します。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注記**  
この変更を行った後、WorkSpace を再起動するか (切断だけでなく) WorkSpace からログアウトし、再度ログインして変更を有効にする必要があります。

## Red Hat Enterprise Linux WorkSpaces での認証にスマートカードを使用する
<a name="linux_smart_cards"></a>

Red Hat Enterprise Linux WorkSpaces バンドルでは、認証に [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) および [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/) スマートカードを使用できます。詳細については、「[WorkSpaces Personal での認証にスマートカードを使用する](smart-cards.md)」を参照してください。

# WorkSpaces Personal でリアルタイム通信用に WorkSpaces を最適化する
<a name="communication-optimization"></a>

Amazon WorkSpaces には、Microsoft Teams、Zoom、Webex などのユニファイドコミュニケーション (UC) アプリケーションのデプロイを円滑化するさまざまな手法が用意されています。現代のアプリケーション環境では、ほとんどの UC アプリケーションに、1:1 チャットルーム、共同グループチャットチャネル、シームレスなファイルストレージと交換、ライブイベント、ウェビナー、ブロードキャスト、インタラクティブな画面共有と制御、ホワイトボード、オフラインのオーディオ/ビデオメッセージング機能などのさまざまな機能が備わっています。この機能のほとんどは、追加の微調整や機能強化が不要で、WorkSpaces で標準機能としてシームレスに使用できます。ただし、リアルタイムのコミュニケーション要素、特に 1 対 1 の通話と集合的なグループ会議は、この規則の例外となるため注意してください。このような機能を適切に組み込むには、しばしば、WorkSpaces のデプロイプロセス中に目的達成に特化した重点的な取り組みと計画が求められます。

Amazon WorkSpaces での UC アプリケーションのリアルタイム通信機能の実装を計画する場合、3 つの異なるリアルタイム通信 (RTC) 設定モードを選択できます。選択するモードは、ユーザーに提供される 1 つまたは複数の特定のアプリケーションと、使用する予定のクライアントデバイスによって異なります。

このドキュメントでは、Amazon WorkSpaces で最も一般的な UC アプリケーションのユーザーエクスペリエンスの最適化に焦点を当てています。WorkSpaces Core 固有の最適化については、パートナー固有のドキュメントを参照してください。

**Topics**
+ [メディア最適化モードの概要](#media-optimization-modes-overview)
+ [使用する RTC 最適化モードについて](#choosing-optimization-mode)
+ [RTC 最適化ガイダンス](#rtc-optimization-guidance)

## メディア最適化モードの概要
<a name="media-optimization-modes-overview"></a>

使用可能なメディア最適化オプションは次のとおりです。

### オプション 1: メディア最適化リアルタイム通信 (メディア最適化 RTC)
<a name="media-optimized-rtc"></a>

このモードでは、サードパーティの UC および VoIP アプリケーションがリモート WorkSpace で実行され、直接通信のためにメディアフレームワークはサポートされるクライアントにオフロードされます。以下の UC アプリケーションは、Amazon WorkSpaces でこのアプローチを使用しています。
+ [Zoom Meetings](https://support.zoom.us/hc/en-us/articles/10372235268749-Using-Zoom-for-Amazon-WorkSpaces)
+ [Cisco Webex Meetings](https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cloudCollaboration/wbxt/vdi/wbx-vdi-deployment-guide.html)
+ [Microsoft Teams 2.0 (パブリックプレビュー)](https://learn.microsoft.com/en-us/microsoftteams/vdi-2)

メディア最適化 RTC モードが機能するには、UC アプリケーションベンダーは、[DCV 拡張機能 SDK](https://docs.aws.amazon.com/dcv/latest/extsdkguide/what-is.html) などの入手可能な Software Development Kits (SDK) のいずれかを使用して、WorkSpaces との統合を開発する必要があります。このモードでは、UC コンポーネントをクライアントデバイスにインストールする必要があります。

このモードの設定の詳細については、「[メディア最適化 RTC の設定](#configure-media-optimized-rtc)」を参照してください。

### オプション 2: セッション中最適化リアルタイム通信 (セッション中最適化 RTC)
<a name="in-session-optimized-rtc"></a>

このモードでは、未変更の UC アプリケーションが WorkSpace 上で実行され、オーディオとビデオのトラフィックが DCV を経由してクライアントデバイスに送られます。マイクからのローカルオーディオとウェブカメラからのビデオストリームは、WorkSpace にリダイレクトされ、UC アプリケーションで使用されます。このモードは幅広いアプリケーション互換性を備えており、UC アプリケーションをリモート WorkSpace からさまざまなクライアントプラットフォームに効率的に配信します。UC アプリケーションコンポーネントをクライアントデバイスにデプロイする必要はありません。

このモードの設定の詳細については、「[セッション中最適化 RTC の設定](#configure-in-session-optimized-rtc)」を参照してください。

### オプション 3: 直接リアルタイム通信 (直接 RTC)
<a name="direct-rtc"></a>

このモードでは、WorkSpace 内で動作するアプリケーションが、ユーザーのデスクまたはクライアント OS にある物理電話セットまたは仮想電話セットを制御します。これにより、音声トラフィックは、ユーザーのワークステーションの物理電話またはクライアントデバイス上で動作する仮想電話からリモートコールピアに直接トラバースします。このモードで機能するアプリケーションの注目すべき例には以下が含まれます。
+ [Amazon WorkSpaces 向けの Amazon Connect の最適化](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/connect-optimization.html)
+ [Genesys Cloud WebRTC Media Helper](https://help.mypurecloud.com/articles/about-webrtc-media-helper/)
+ [Microsoft Teams SIP ゲートウェイ](https://learn.microsoft.com/en-us/microsoftteams/sip-gateway-plan)
+ [Microsoft Teams 卓上電話機と Teams ディスプレイ](https://www.microsoft.com/en-us/microsoft-teams/across-devices/devices/category/desk-phones-teams-displays/34)
+ UC アプリケーションのダイヤルインまたは「dial my phone」機能による音声会議への参加。

このモードの設定の詳細については、「[直接 RTC の設定](#configure-direct-rtc)」を参照してください。

## 使用する RTC 最適化モードについて
<a name="choosing-optimization-mode"></a>

異なる RTC 最適化モードを同時に使用することも、フォールバックとして互いに補完するように設定することもできます。たとえば、Cisco Webex Meetings 向けにディア最適化 RTC を有効にするとします。この構成により、ユーザーがデスクトップクライアントから WorkSpace にアクセスするときの通信が最適化されます。ただし、UC 最適化コンポーネントが組み込まれていない共有インターネットキオスクから Webex にアクセスするシナリオでは、Webex はセッション中最適化 RTC モードにシームレスに移行して機能を維持します。ユーザーが複数の UC アプリケーションを使用する場合は、RTC 設定モードがユーザー固有の要件に基づいて異なる場合があります。

以下の表に UC アプリケーションの一般的な機能を示します。ここでは、どの RTC 設定モードが最良の結果をもたらすかが定義されています。


| 機能 | 直接 RTC | メディア最適化 RTC | セッション中最適化 RTC | 
| --- | --- | --- | --- | 
| **1:1 チャット** | RTC 設定は不要 | 
| **グループチャットルーム** | RTC 設定は不要 | 
| **グループオーディオ会議** | Best |  = ベスト | 良好 | 
| **グループビデオ会議** | 良好 |  = ベスト | 良好 | 
| **1 対 1 のオーディオ通話** | Best |  = ベスト | 良好 | 
| **1 対 1 のビデオ通話** | 良好 |  = ベスト | 良好 | 
| **ホワイトボード** | RTC 設定は不要 | 
| **オーディオ/ビデオクリップ/メッセージング** | 該当しない | 良好 | Best | 
| **ファイル共有** | 該当しない | UC アプリケーションによって異なる | Best | 
| **画面の共有と制御** | 該当しない | UC アプリケーションによって異なる | Best | 
| **ウェビナー/イベントのブロードキャスト** | 該当しない | 良好 | Best | 

## RTC 最適化ガイダンス
<a name="rtc-optimization-guidance"></a>

### メディア最適化 RTC の設定
<a name="configure-media-optimized-rtc"></a>

メディア最適化 RTC モードは、Amazon によって提供される SDK を使用する UC アプリケーションベンダーによって設定されます。このアーキテクチャでは、UC ベンダーが UC 固有のプラグインまたは拡張機能を開発し、それをクライアントにデプロイする必要があります。

SDK には、DCV Extension SDK やカスタマイズされたプライベートバージョンなどの公開オプションが含まれています。SDK によって、WorkSpace 内で動作する UC アプリケーションモジュールとクライアント側のプラグイン間で制御チャネルが確立されます。通常、この制御チャネルはクライアント拡張機能に通話の開始または通話への参加を指示します。クライアント側拡張機能を通じて通話が確立されると、UC プラグインはマイクからの音声とウェブカメラからのビデオをキャプチャし、それらを UC クラウドまたはコールピアに直接送信します。受信した音声はローカルで再生され、ビデオはリモートクライアント UI にオーバーレイされます。制御チャネルは通話のステータスを伝達します。

![\[メディア最適化 RTC の設定を示す図。\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/media-optimized-rtc.png)


Amazon WorkSpaces は現在、メディア最適化 RTC モードでは以下のアプリケーションをサポートしています。
+ [Zoom Meetings](https://support.zoom.us/hc/en-us/articles/10372235268749-Using-Zoom-for-Amazon-WorkSpaces) (PCoIP および DCV WorkSpaces)
+ [Cisco Webex Meetings](https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cloudCollaboration/wbxt/vdi/wbx-vdi-deployment-guide.html) (DCV WorkSpaces のみ)
+ [Microsoft Teams 2.0 (パブリックプレビュー)](https://learn.microsoft.com/en-us/microsoftteams/vdi-2) (DCV WorkSpaces のみ)

リストに含まれていないアプリケーションを使用する場合は、アプリケーションベンダーに連絡し、WorkSpaces メディア最適化 RTC のサポートをリクエストすることをお勧めします。このプロセスをより迅速に行うには、[aws-av-offloading@amazon.com](mailto:aws-av-offloading@amazon.com) にお問い合わせください。

メディア最適化 RTC モードにすると通話パフォーマンスが向上し、WorkSpace リソースの使用率が最小限に抑えられますが、一定の制限があります。
+ UC クライアント拡張機能をクライアントデバイスにインストールする必要があります。
+ UC クライアント拡張機能は、独立した管理と更新が必要です。
+ UC クライアント拡張機能は、モバイルプラットフォームやウェブクライアントなど、特定のクライアントプラットフォームでは使用できない場合があります。
+ このモードでは、画面共有の動作が異なる場合があるなど、UC アプリケーションの機能の一部が制限されることがあります。
+ クライアント側拡張機能の使用は、Bring-Your-Own-Device (BYOD) や共有キオスクなどのシナリオには適さない場合があります。

メディア最適化 RTC モードがユーザーの環境に適さない場合や、特定のユーザーがクライアント拡張機能をインストールできない場合は、フォールバックオプションとしてセッション中最適化 RTC モードを設定することをお勧めします。

### セッション中最適化 RTC の設定
<a name="configure-in-session-optimized-rtc"></a>

セッション中最適化 RTC モードでは、何も変更を行わなくとも UC アプリケーションが WorkSpace 上で動作し、ローカルのようなエクスペリエンスを提供します。アプリケーションによって生成されたオーディオストリームとビデオストリームは、DCV によってキャプチャされ、クライアント側に送信されます。クライアントでは、マイク (DCV と PCoIP WorkSpaces の両方) とウェブカメラ (DCV WorkSpaces のみ) の信号がキャプチャされ、WorkSpace にリダイレクトされて、シームレスに UC アプリケーションに渡されます。

特に、このオプションはレガシーアプリケーションとの互換性が非常に高く、アプリケーションのオリジンに関係なく一貫したユーザーエクスペリエンスを提供できます。セッション中最適化はウェブクライアントでも機能します。

![\[セッション中最適化 RTC の設定を示す図。\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/in-session-optimized-rtc.png)


DCV は、リモート RTC モードのパフォーマンスを高めるために細心の注意を払って最適化されています。最適化手段には以下が含まれます。
+ アダプティブ UDP ベース QUIC トランスポートを利用し、効率的なデータ転送を保証します。
+ 低遅延オーディオパスを確立し、高速なオーディオ入出力を容易にします。
+ 音声用に最適化されたオーディオコーデックを実装することで、CPU とネットワークの使用量を抑えながらオーディオ品質を維持します。
+ ウェブカメラのリダイレクト。ウェブカメラ機能を統合できるようになります。
+ パフォーマンスを最適化するためのウェブカメラの解像度の設定。
+ 速度と画質のバランスをとる適応型ディスプレイコーデックの統合。
+ オーディオジッター補正。スムーズなオーディオ伝送を保証します。

これらの最適化により、リモート RTC モードでの堅牢でスムーズなエクスペリエンスが実現します。

#### 推奨サイズ
<a name="sizing-recommendations"></a>

リモート RTC モードを効果的にサポートするには、Amazon WorkSpaces のサイズを適切に設定することが重要です。リモート WorkSpace は、それぞれのユニファイドコミュニケーション (UC) アプリケーションのシステム要件を満たすか、それを上回る必要があります。次の表は、一般的な UC アプリケーションをビデオ通話や音声通話に使用する場合の WorkSpaces の最小サポート設定と推奨設定の概要を示しています。


|   | ビデオ通話 | 音声通話 |   | アプリケーション | RTC アプリの CPU 要件 | RTC アプリの RAM 要件 | 最低限のサポート対象 WorkSpace | 推奨 WorkSpace | 最低限のサポート対象 WorkSpace | 推奨 WorkSpace | リファレンス | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Microsoft Teams | 2 コア (必須)、4 コア (推奨) | 4.0 GB RAM | Power (4 vCPU、16 GB メモリ) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/communication-optimization.html)  | Performance (2 vCPU、8 GB メモリ) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/communication-optimization.html)  | [Microsoft Teams のハードウェア要件](https://learn.microsoft.com/en-us/microsoftteams/hardware-requirements-for-the-teams-app) | 
| Zoom | 2 コア (必須)、4 コア (推奨) | 4.0 GB RAM | Power (4 vCPU、16 GB メモリ) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/communication-optimization.html)  | Performance (2 vCPU、8 GB メモリ) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/communication-optimization.html)  | [Zoom システム要件: Windows、macOS、Linux](https://support.zoom.us/hc/en-us/articles/201362023-Zoom-system-requirements-Windows-macOS-Linux) | 
| Webex | 2 コア (必須) | 4.0 GB RAM | Power (4 vCPU、16 GB メモリ) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/communication-optimization.html)  | Performance (2 vCPU、8 GB メモリ) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/communication-optimization.html)  | [Webex サービスのシステム要件](https://help.webex.com/en-us/article/fz1e4b/System-requirements-for-Webex-services) | 

ビデオ会議では、ビデオのエンコードとデコードに大量のリソースが使用されることに注意してください。物理マシンのシナリオでは、これらのタスクは GPU にオフロードされます。GPU 以外の WorkSpaces では、これらのタスクはリモートプロトコルエンコーディングと同時に CPU 上で実行されます。したがって、動画ストリーミングやビデオ通話を定期的に行うユーザーには、PowerPro 以上の構成を選択することを強くお勧めします。

また、画面共有はリソースを大量に消費します。解像度が高くなると、リソースの消費量も増加します。その結果、GPU 以外の WorkSpaces で、画面共有はより低いフレームレートに制限されることがよくあります。

#### UDP ベースの QUIC トランスポートを DCV に活用する
<a name="leaverage-udp-based-quic-transport"></a>

UDP トランスポートは、特に RTC アプリケーションの送信に適しています。効率を最大化するには、QUIC トランスポートを DCV に活用するようにネットワークを設定してください。UDP ベースのトランスポートはネイティブクライアントでしか使用できないことに注意してください。

#### WorkSpaces 用の UC アプリケーションの設定
<a name="configure-uc-application"></a>

背景ぼかし、仮想背景、リアクション、ライブイベントのホスティングなど、強化されたビデオ処理機能を使用する場合は、最適なパフォーマンスを実現するために GPU 対応の WorkSpace を選択することが不可欠です。

ほとんどの UC アプリケーションには、GPU 以外の WorkSpaces の CPU 使用率を低減させるために、高度なビデオ処理を無効にするガイダンスが用意されています。

詳細については、以下のリソースを参照してください。
+ Microsoft Teams: [仮想デスクトップ インフラストラクチャ用の Teams](https://https://learn.microsoft.com/en-us/microsoftteams/vdi-2)
+ Zoom Meetings: [Managing the user experience for incompatible VDI plugins](https://support.zoom.us/hc/en-us/articles/4411856902285-Managing-the-user-experience-for-incompatible-VDI-plugins-)
+ Webex: [Deployment guide for Webex App for Virtual Desktop Infrastructure (VDI) - Manage and troubleshoot Webex App for VDI [Webex App]](https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cloudCollaboration/wbxt/vdi/wbx-vdi-deployment-guide/manage-teams-vdi.html#id_138538)
+ Google Meet: [Using VDI](https://support.google.com/a/answer/1279090?hl=en#VDI)

#### オーディオとウェブカメラの双方向リダイレクトを有効にする
<a name="enable-bi-directional-audio-webcam-redirection"></a>

Amazon WorkSpaces は本質的に、オーディオ入力、オーディオ出力、ビデオインによるカメラリダイレクトをデフォルトでサポートしています。ただし、特定の理由でこれらの機能が無効になっている場合、提供されているガイダンスに従ってリダイレクトを再度有効にできます。詳細については、「*Amazon WorkSpaces 管理ガイド*」の「[DCV のビデオ入力リダイレクトを有効または無効にする](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_video_in_wsp)」を参照してください。ユーザーは接続後にセッションで使用したいカメラを選択する必要があります。詳細については、Amazon WorkSpaces ユーザーガイドの「[ウェブカメラおよびその他のビデオデバイス](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html#devices-webcams)」を参照してください**。

#### ウェブカメラの最大解像度を制限する
<a name="limit-maximum-webcam-resolution"></a>

ビデオ会議に Power、PowerPro、GeneralPurpose.4xlarge、または GeneralPurpose.8xlarge WorkSpaces を使用する場合、リダイレクトされるウェブカメラの最大解像度を制限することを強くお勧めします。PowerPro、GeneralPurpose.4xlarge または GeneralPurpose.8xlarge の場合、推奨される最大解像度は幅 640 ピクセル、高さ 480 ピクセルです。Power の場合は、推奨最大解像度は幅 320 ピクセル、高さ 240 ピクセルです。

次の手順を実行して、ウェブカメラの最大解像度を設定します。

1. Windows レジストリエディタを開きます。

1. 以下のレジストリパスに移動します。

   ```
   HKEY_USERS/S-1-5-18/Software/GSettings/com/nicesoftware/dcv/webcam
   ```

1. `max-resolution` という名前の文字列値を作成し、`(X,Y)` フォーマットで希望する解像度に設定します。このとき、`X` は水平方向のピクセル数 (幅) を表し、`Y` は垂直方向のピクセル数 (高さ) を表します。たとえば、次のように指定します。幅 640 ピクセル、高さ 480 ピクセルの解像度を表すには、`(640,480)` と指定します。

#### 音声用に最適化されたオーディオ設定の有効化
<a name="enable-voice-optimized-audio-configuration"></a>

WorkSpaces は 7.1 の高音質オーディオを WorkSpaces からクライアントに配信するようにデフォルトで設定されており、優れた音楽再生品質が保証されています。ただし、主な用途に音声会議またはビデオ会議が含まれている場合は、オーディオコーデックプロファイルを音声用に最適化された設定に変更することで、CPU とネットワークリソースを節約できます。

次の手順を実行して、オーディオプロファイルを最適化された音声に設定します。

1. Windows レジストリエディタを開きます。

1. 以下のレジストリパスに移動します。

   ```
   HKEY_USERS/S-1-5-18/Software/GSettings/com/nicesoftware/dcv/audio
   ```

1. `default-profile` と言う名前の文字列値の名前を作成し、`voice` に設定します。

#### 音声通話やビデオ通話には高品質のヘッドセットを使用してください。
<a name="use-good-quality-headsets"></a>

オーディオ体験を向上させ、エコーを防ぐには、高品質のヘッドセットを使用することが重要です。デスクトップスピーカーを使用すると、通話のリモートエンドでエコーの問題が発生する可能性があります。

### 直接 RTC の設定
<a name="configure-direct-rtc"></a>

直接 RTC モードの設定は、特定のユニファイドコミュニケーション (UC) アプリケーションによって異なり、WorkSpaces の設定を変更する必要はありません。以下のリストは、さまざまな UC アプリケーションの最適化を完全に網羅したものではありません。

![\[メディア最適化 RTC の設定を示す図。\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/direct-rtc.png)

+ Microsoft Teams：
  + [SIP ゲートウェイの計画](https://learn.microsoft.com/en-us/microsoftteams/sip-gateway-plan)
  + [Microsoft 365 での音声会議](https://learn.microsoft.com/en-us/microsoftteams/audio-conferencing-in-office-365)
  + [Microsoft Teams での音声ソリューションの計画](https://learn.microsoft.com/en-us/microsoftteams/cloud-voice-landing-page)
+ Zoom Meetings:
  + [Enabling or disabling toll call dial-in numbers](https://support.zoom.us/hc/en-us/articles/360060920371-Enabling-or-disabling-toll-call-dial-in-numbers)
  + [Using desk phone call control](https://support.zoom.us/hc/en-us/articles/4912628206477-Using-desk-phone-call-control)
  + [Desk phone companion mode](https://support.zoom.us/hc/en-us/articles/360049007912-Desk-phone-companion-mode)
+ Webex:
  + [Webex App \$1 Make calls with your desk phone](https://help.webex.com/en-us/article/5mgmmb/Webex-App-%7C-Make-calls-with-your-desk-phone)
  + [Webex App \$1 Supported calling options](https://help.webex.com/en-us/article/xga73p/Webex-App-%7C-Supported-calling-options)
+ BlueJeans
  + [Dialing into a Meeting from a Desk Telephone](https://support.bluejeans.com/s/article/Dialing-into-a-meeting-from-a-Desk-Telephone)
+ Genesys:
  + [Genesys Cloud WebRTC Media Helper](https://help.mypurecloud.com/articles/about-webrtc-media-helper/)
+ Amazon Connect:
  + [Amazon WorkSpaces 向けの Amazon Connect の最適化](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/connect-optimization.html)
+ Google Meet:
  + [Use a phone for audio in a video meeting](https://support.google.com/meet/answer/9518557?hl=en)

# WorkSpaces Personal の実行モードを管理する
<a name="running-mode"></a>

WorkSpace は、*実行モード*によって、すぐに使用できるかどうかとお支払い方法 (月単位または時間単位) が異なります。WorkSpace の作成時に、以下のいずれかの実行モードを選択できます。
+ **AlwaysOn** — 固定月額料金で WorkSpaces を無制限にご利用いただけます。このモードは、WorkSpace をプライマリデスクトップとしてフルタイム使用するユーザー用に最適です。
+ **AutoStop** — WorkSpaces のご利用に対し、時間単位で料金が発生します。このモードでは、アプリおよびデータを保存した状態と指定の長さの切断が発生した後、WorkSpaces が停止します。

詳細については、[WorkSpaces の料金](https://aws.amazon.com/workspaces/pricing/)を参照してください。

## AutoStop WorkSpaces
<a name="autostop-workspaces"></a>

自動停止時間を設定するには、Amazon WorkSpaces コンソールで WorkSpace を選択し、[**Actions**] (アクション)、[**Modify Running Mode Properties**] (実行モードプロパティの変更) の順に選択し、[**AutoStop Time (hours)**] (自動停止時間 (時間)) を設定します。デフォルトでは、**[AutoStop Time (hours)]** (自動停止時間 (時間)) は 1 時間に設定されています。つまり、WorkSpace は、切断されてから 1 時間後に自動的に停止することになります。

WorkSpace が切断され、自動停止時間が経過すると、WorkSpace が自動的に停止するまでさらに数分かかる場合があります。ただし、自動停止期間が経過するとすぐに請求が停止し、その追加時間に対しては課金されません。

WorkSpaces が休止をサポートしている場合、デスクトップの状態は WorkSpace のルートボリュームに保存されます。WorkSpace は、ユーザーがログインすると再開されます。開いているすべてのドキュメントと実行中のプログラムは、休止をサポートするすべての WorkSpaces オペレーティングシステムで保存状態に戻ります。

AutoStop GPU 対応 WorkSpaces および GeneralPurpose.4xlarge または GeneralPurpose.8xlarge は、休止をサポートしていません。アプリケーション/データの状態は保持されません。データ損失を避けるため、WorkSpaces の使用が終了したら毎回作業を保存することをお勧めします。

Bring-Your-Own-License (BYOL) AutoStop WorkSpaces では、多数の同時ログインによって、WorkSpaces が使用可能になるまでの時間が長引く可能性があります。BYOL AutoStop WorkSpaces に多くのユーザーが同時にログインすることが想定される場合は、アカウントマネージャーにご相談ください。

**重要**  
AutoStop WorkSpaces は、WorkSpaces が切断されている場合にのみ自動的に停止します。

WorkSpace は、次の場合にのみ切断されます。
+ ユーザーが WorkSpace から手動で切断するか、Amazon WorkSpaces クライアントアプリケーションを終了する場合。
+ クライアントデバイスがシャットダウンされる場合。
+ 20 分を超える時間にわたって、クライアントデバイスと WorkSpace の間に接続がない場合。

ベストプラクティスとして、AutoStop WorkSpace ユーザーは、日々、使用が終了したら、WorkSpaces から手動で切断すべきです。手動で切断するには、Linux、macOS、または Windows 用の WorkSpaces クライアントアプリケーションの **Amazon WorkSpaces** メニューから、[**Disconnect WorkSpace**] (WorkSpace を切断) または [**Quit Amazon WorkSpaces**] (Amazon WorkSpaces を終了) を選択します。Android または iPad の場合は、サイドバーメニューから [**Disconnect**] (切断) を選択します。

**次のような場合、AutoStop WorkSpaces が自動的に停止しないことがあります。**
+ クライアントデバイスがシャットダウンされるのではなく、ロック状態、スリープ状態、またはその他の非アクティブ状態 (ノートパソコンのカバーが閉じられている、など) にある場合は、WorkSpaces アプリケーションがバックグラウンドで引き続き実行されている可能性があります。WorkSpaces アプリケーションが引き続き実行中である限り、WorkSpace は切断されない可能性があるため、自動的に停止しない場合があります。
+ WorkSpaces は、ユーザーが WorkSpaces クライアントを使用している場合にのみ切断を検出できます。ユーザーがサードパーティーのクライアントを使用している場合は、WorkSpaces が切断状態を検出できない可能性があり、WorkSpaces が自動的に停止せず、請求が中断しない場合があります。

## 実行モードを変更する
<a name="modify-running-mode"></a>

実行モードは、いつでも切り替えることができます。

**WorkSpace の実行モードを変更するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. 変更する WorkSpace を選択し、**[Actions]** (アクション)、**[Modify Running Mode]** (実行モードの変更) の順に選択します。

1. 新しい実行モード **[AlwaysOn]** (常にオン) または **[AutoStop]** (自動停止) を選択し、次に **[Save]** (保存) をクリックします。

**を使用して WorkSpace の実行モードを変更するには AWS CLI**  
[modify-workspace-properties](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-properties.html) コマンドを使用します。

## AutoStop WorkSpace を停止/開始する
<a name="stop-start-workspace"></a>

AutoStop WorkSpaces が切断されている場合、切断されてから指定された時間が経過した後に自動的に停止し、時間単位の請求は一時停止します。コストをさらに最適化するには、AutoStop の WorkSpace に関連付けられている時間あたりの使用料金を手動で中断することができます。WorkSpace が停止し、ユーザーが次に WorkSpace にログオンする場合に備えて、すべてのアプリケーションやデータが保存されます。

停止中の WorkSpace にユーザーが再接続すると、通常は 90 秒未満で、前回の状態から再開されます。

AutoStop の WorkSpaces は、使用可能状態であってもエラー状態であっても再起動できます。

**自動停止 WorkSpace を停止するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. 停止する WorkSpace を選択したら、**[Actions]** (アクション)、**[Stop WorkSpaces]** (WorkSpaces の停止) の順に選択します。

1. 確認を求めるメッセージが表示されたら、**[Stop]** (停止) を選択します。

**AutoStop WorkSpace を開始するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. 開始する WorkSpace を選択したら、**[Actions]** (アクション)、**[Start WorkSpaces]** (WorkSpaces の起動) の順に選択します。

1. 確認を求めるメッセージが表示されたら、**[Start WorkSpace]** (WorkSpace の起動) を選択します。

AutoStop WorkSpaces に関連付けられた固定インフラストラクチャコストを削除するには、アカウントから WorkSpace を削除します。詳細については、「[WorkSpaces Personal で WorkSpace を削除する](delete-workspaces.md)」を参照してください。

**を使用して AutoStop WorkSpace を停止および開始するには AWS CLI**  
[stop-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/stop-workspaces.html) コマンドと [start-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/start-workspaces.html) コマンドを使用します。

# WorkSpaces Personal でアプリケーションを管理する
<a name="manage-applications"></a>

WorkSpace を起動すると、WorkSpace に関連付けられているすべてのアプリケーションバンドルのリストが、WorkSpaces コンソールに表示されます。

**WorkSpace に関連付けられているすべてのアプリケーションバンドルのリストを表示するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. 左のナビゲーションペインの **[WorkSpaces]** を選択します。

1. WorkSpace を選択したら、**[詳細の表示]** を選択します。

1. **[アプリケーション]** の下に、この WorkSpace に関連付られているアプリケーションの一覧が、インストールのステータスと共に表示されます。

**WorkSpace のアプリケーションバンドルは、次の方法で更新できます。**
+ WorkSpace にアプリケーションバンドルをインストールする
+ WorkSpace からアプリケーションバンドルをアンインストールする
+ WorkSpace にアプリケーションバンドルをインストールし、別のアプリケーションバンドルセットをアンインストールする

**注記**  
アプリケーションバンドルを更新するには、WorkSpace のステータスが `AVAILABLE` または `STOPPED` である必要があります。
[アプリケーションの管理] は Windows WorkSpaces でのみ使用できます。
[アプリケーションの管理] は、 AWSを通じてサブスクライブされたアプリケーションバンドルでのみ使用できます。

## [アプリケーションの管理] でサポートされているバンドル
<a name="w2aac11c29c25c11"></a>

[アプリケーションの管理] では、WorkSpaces で次のアプリケーションをインストールおよびアンインストールできます。Microsoft Office 2016 バンドルとMicrosoft Office 2019 の場合は、アンインストールのみが可能です。
+ Microsoft Office LTSC Professional Plus 2024
+ Microsoft Visio LTSC Professional 2024
+ Microsoft Project Professional 2024
+ Microsoft Office LTSC Standard 2024
+ Microsoft Visio LTSC Standard 2024
+ Microsoft プロジェクトスタンダード 2024
+ Microsoft Office LTSC Professional Plus 2021
+ Microsoft Visio LTSC Professional 2021
+ Microsoft Project Professional 2021
+ Microsoft Office LTSC Standard 2021
+ Microsoft Visio LTSC Standard 2021
+ Microsoft Project Standard 2021
+ Microsoft Visual Studio Professional 2022
+ Microsoft Visual Studio Enterprise 2022

次の表は、サポートされているアプリケーションとオペレーティングシステムの組み合わせと、サポートされていない組み合わせの一覧です。


|  | Microsoft Office Professional Plus 2016 (32 ビット) | Microsoft Office Professional Plus 2019 (64 ビット) | Microsoft LTSC Office Professional Plus / Standard 2024 (64 ビット) | Microsoft Project Professional/Standard 2024 (64 ビット) | Microsoft Visio Professional/Standard 2024 (64 ビット) | Microsoft LTSC Office Professional Plus / Standard 2021 (64 ビット) | Microsoft Project Professional / Standard 2021 (64 ビット) | Microsoft LTSC Visio Professional / Standard 2021 (64 ビット) | Microsoft Visual Studio Professional / Enterprise 2022 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Windows Server 2016 | アンインストール | サポートされません | サポートされません | サポートされません | サポートされません | サポートされません | サポートされません | サポートされません | サポートされません | 
| Windows Server 2019 | サポートされていません | アンインストール | サポートされません | サポートされません | サポートされません | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | サポートされていません | 
| Windows Server 2022 | サポートされていません | アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | 
| Windows Server 2025 | サポートされていません | アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | サポートされません | サポートされません | サポートされません | インストール/アンインストール | 
| Windows 10 | アンインストール | アンインストール | サポートされません | サポートされません | サポートされません | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | 
| Windows 11 | アンインストール | アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | インストール/アンインストール | 

**重要**  
Microsoft Office/Visio/Project は、同じエディションとする必要があります。例えば、Standard アプリケーションと Professional アプリケーションを混在させることはできません。
Microsoft Office/Visio/Project は同じバージョンとする必要があります。例えば、2019 アプリケーションと 2021 アプリケーションを混在させることはできません。
Microsoft Office/Visio/Project 2021 および 2024 Standard/Professional は、Value、Graphics、GraphicsPro WorkSpaces バンドルではサポートされていません。
Microsoft Office/Visio/Project バージョン 2010 および 2013 (Standard または Professional エディション) はサポートされなくなりました。
Office 2016 または Office 2019 の Plus アプリケーションバンドルは、2025 年 10 月 14 日以降はサポートされなくなります。Office 2021 または Office 2024 を使用するには、それらの Office バージョンで WorkSpaces バンドルを移行することをお勧めします。詳細については、[WorkSpaces Personal でアプリケーションを管理する](manage-applications)」を参照してください。
Microsoft Office、Project、Visio では、2024 バージョンでは最大 25 GB、2021 バージョンでは最大 20 GB の空き容量が必要です。
Value、Standard、Graphics、および GraphicsPro WorkSpaces バンドルは、Visual Studio 2022 Enterprise/Professional ではサポートされていません。Performance バンドルは、リソースの消費量が少ない Visual Studio ワークロードに使用できます。ただし、最善の結果を得るには、クアッドコア以上のバンドルタイプで Visual Studio を使用することをお勧めします。バンドルタイプ Power、PowerPro、汎用.4xlarge、汎用.8xlarge、Graphics.g6、Graphics.g4dn、GraphicsPro.g4dn はこの要件を満たしています。詳細については、「[Visual Studio 2022 製品ファミリのシステム要件](https://learn.microsoft.com/en-us/visualstudio/releases/2022/system-requirements)」を参照してください。
WorkSpaces から **Microsoft Office 2016 用の Plus アプリケーションバンドル**をアンインストールすると、その Amazon WorkSpaces バンドルの一部として含まれていた Trend Micro のソリューションを利用できなくなります。Amazon WorkSpaces で Trend Micro のソリューションを引き続き使用したい場合は、[AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-u2in6sa3igl7c) で個別に購入できます。
Microsoft 365 アプリケーションをインストール/アンインストールするには、独自のツールとインストーラーを用意する必要があります。[アプリケーションの管理] ワークフローでは、Microsoft 365 アプリケーションをインストール/アンインストールすることはできません。
アプリケーションの管理を通じてインストール/アンインストールされたアプリケーションを含む、WorkSpaces のカスタムイメージを作成できます。
アフリカ (ケープタウン) などのオプトインリージョンでは、WorkSpaces インターネット接続をディレクトリレベルで有効にする必要があります。

## WorkSpace のアプリケーションバンドルを更新する
<a name="w2aac11c29c25c13"></a>

1. 

   [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpace を選択し、**[アクション]**、**[アプリケーションの管理]** の順に選択します。

1. **[現在のアプリケーション]** には、この WorkSpace に既にインストールされているアプリケーションバンドルのリストが表示され、**[アプリケーションの選択]** には、この WorkSpace にインストールできるアプリケーションバンドルのリストが表示されます。

1. この WorkSpace でアプリケーションバンドルをインストールするには:

   1. この WorkSpace にインストールするアプリケーションバンドルを選択し、**[関連付け]** を選択します。

   1. 前のステップを繰り返して、他のアプリケーションバンドルをインストールします。

   1. アプリケーションバンドルのインストール中は、**[現在のアプリケーション]** の下に `Pending install deployment` ステータスが表示されます。

1. この WorkSpace からアプリケーションバンドルをアンインストールするには:

   1. **[アプリケーションの選択]** で、アンインストールするアプリケーションバンドルを選択し、**[関連付け解除]** を選択します。

   1. 前のステップを繰り返して、他のアプリケーションバンドルをアンインストールします。

   1. アプリケーションバンドルのアンインストール中は、**[現在のアプリケーション]** の下で、`Pending uninstall deployment` 状態でバンドルが表示されます。

1. バンドルのインストールまたはインストール状態を元に戻すには、次のいずれかを実行します。
   + バンドルを `Pending uninstall deployment` 状態から戻す場合は、元に戻すアプリケーションを選択し、**[関連付け]** を選択します。
   + バンドルを `Pending install deployment` 状態から戻す場合は、元に戻すアプリケーションを選択し、**[関連付け解除]** を選択します。

1. インストールまたはアンインストールを選択したアプリケーションバンドルが保留状態になったら、**[アプリケーションのデプロイ]** を選択します。
**重要**  
**[アプリケーションのデプロイ]** を選択すると、エンドユーザーセッションは終了し、アプリケーションのインストールまたはアンインストール中は WorkSpaces にアクセスできなくなります。

1. アクションを確認するには、「**確認**」と入力します。**[強制]** を選択して、**[エラー]** 状態のアプリケーションバンドルをインストールまたはアンインストールします。

1. アプリケーションバンドルの進行状況をモニターリングするには:

   1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

   1. ナビゲーションペインで [**WorkSpaces**] を選択します。**[ステータス]** には、次のようなステータスが表示されます。
      + **更新中** – アプリケーションバンドルの更新はまだ進行中です。
      + **使用可能/停止中** – アプリケーションバンドルの更新が完了し、WorkSpace は元の状態に戻っています。

   1. アプリケーションバンドルのインストールまたはアンインストールのステータスをモニタリングするには、WorkSpace を選択し、**[詳細を表示]** を選択します。**[アプリケーション]** の **[ステータス]** には、`Pending install`、`Pending uninstall`、`Installed` などのステータスが表示されます。
**注記**  
[アプリケーションの管理] を通じて新しくインストールしたアプリケーションバンドルがライセンス認証されていないことにユーザーが気付いた場合は、WorkSpace を手動で再起動できます。ユーザーは、再起動後にこれらのアプリケーションの使用を開始できます。その他のサポートについては、[AWS サポート](https://console.aws.amazon.com/support/home#/)にお問い合わせください。

## WorkSpace で Microsoft Visual Studio 2022 ワークロードを更新する
<a name="w2aac11c29c25c15"></a>

デフォルトでは、Microsoft Visual Studio 2022 は次のワークロードとともにインストールされ、18 GB のハードディスク容量が必要となります。
+ Visual Studio コアエディタ
+ Azure 開発
+ データストレージと処理
+ .NET デスクトップ開発
+ NET マルチプラットフォームアプリケーション UI 開発
+ ASP.NET およびウェブ開発
+ Node.js 開発

ユーザーはワークロードや個々のコンポーネントを柔軟に追加または削除できるため、特定の要件に合わせてアプリケーションを調整できます。追加のワークロードをインストールするには、より多くのディスク領域が必要になることに注意してください。ワークロード設定の詳細については、「[Visual Studio のワークロード、コンポーネント、および言語パックを変更する](https://learn.microsoft.com/en-us/visualstudio/install/modify-visual-studio?view=vs-2022)」を参照してください。

## [アプリケーションの管理] を使用して変更された WorkSpaces の管理
<a name="w2aac11c29c25c17"></a>

WorkSpaces にアプリケーションバンドルをインストールまたはアンインストールした後、次のアクションは既存の設定に影響を与える可能性があります。
+ **WorkSpace の復元** – WorkSpace を復元すると、WorkSpace が正常であったときに作成したこれらのボリュームの最新スナップショットに基づいて、ルートボリュームとユーザーボリュームの両方が再作成されます。WorkSpace の完全なスナップショットは、12 時間ごとに作成されます。詳細については、「[WorkSpaces の復元](https://docs.aws.amazon.com/workspaces/latest/adminguide/restore-workspace.html)」を参照してください。[アプリケーションの管理] を使用して変更した WorkSpaces を復元する前に、少なくとも 12 時間待機してください。[アプリケーションの管理] を使用して変更された WorkSpaces を、次の完全なスナップショットの前に復元すると、次の結果になります。
  +  [アプリケーションの管理] ワークフローを使用して WorkSpaces にインストールされたアプリケーションバンドルは WorkSpaces から削除されますが、ライセンスは引き続きアクティブ化され、それらのアプリケーションに対して WorkSpaces の料金が発生します。これらのアプリケーションバンドルを WorkSpaces に戻すには、[アプリケーションの管理] ワークフローを再度実行し、アプリケーションをアンインストールして最初からやり直した後で、もう一度インストールする必要があります。
  +  [アプリケーションの管理] ワークフローを使用して WorkSpaces から削除されたアプリケーションバンドルは、WorkSpaces に戻ります。ただし、ライセンスのアクティブ化が行われないため、これらのアプリケーションバンドルは正しく動作しません。これらのアプリケーションバンドルを削除するには、それらのアプリケーションバンドルを WorkSpaces から手動でアンインストールします。
+ **WorkSpace の再構築** – WorkSpace を再構築すると、ルートボリュームが再作成されます。詳細については、「[WorkSpaces の再構築](https://docs.aws.amazon.com/workspaces/latest/adminguide/rebuild-workspace.html)」を参照してください。[アプリケーションの管理] を使用して変更した WorkSpaces を再構築すると、次の結果になります。
  +  [アプリケーションの管理] ワークフローを使用して WorkSpaces にインストールされたアプリケーションバンドルは WorkSpaces から削除され、非アクティブになります。これらのアプリケーションを WorkSpaces に戻すには、[アプリケーションの管理] ワークフローを再度実行する必要があります。
  +  [アプリケーションの管理] ワークフローを使用して WorkSpaces から削除されたアプリケーションバンドルは WorkSpaces にインストールされ、アクティブになります。これらのアプリケーションバンドルを WorkSpaces から削除するには、[アプリケーションの管理] ワークフローを再度実行する必要があります。
+ **WorkSpace の移行** – 移行プロセスでは、ターゲットバンドルイメージからの新しいルートボリュームと、元の WorkSpace の最後に利用可能なスナップショットからのユーザーボリュームを使用して WorkSpace を再作成します。新しい WorkSpace ID を持つ新しい WorkSpace が作成されます。詳細については、「[WorkSpace の移行](https://docs.aws.amazon.com/workspaces/latest/adminguide/migrate-workspaces.html)」を参照してください。[アプリケーションの管理] を使用して変更した WorkSpaces を移行すると、次の結果になります。
  +  移行元 WorkSpaces のすべてのアプリケーションバンドルが削除され、非アクティブになります。新しい移行先 WorkSpaces は、移行先の WorkSpaces バンドルからアプリケーションを継承します。移行元の WorkSpaces アプリケーションバンドルは 1 か月分の請求になりますが、移行先バンドルのアプリケーションバンドルには日割り計算が適用されます。

# WorkSpaces Personal で WorkSpace を変更する
<a name="modify-workspaces"></a>

WorkSpace の起動後に、以下の 3 つの方法で設定を変更できます。
+ ルートボリューム (Windows の場合はドライブ C、Linux の場合は /)、およびユーザーボリューム (Windows の場合はドライブ D、Linux の場合は /home) のサイズを変更できます。
+ コンピューティングタイプを変更して、新しいバンドルを選択できます。
+ WorkSpace が PCoIP AWS バンドルで作成された場合は、CLI または Amazon WorkSpace API を使用してストリーミングプロトコルを変更できます。 Amazon WorkSpaces 

WorkSpace の現在の変更状態を表示するには、矢印を選択して WorkSpace の詳細を表示します。[**状態**] に表示される値は、[**コンピューティングの変更**]、[**ストレージの変更**]、および [**なし**] です。

WorkSpace を修正する場合は、ステータスが `AVAILABLE` または `STOPPED` である必要があります。ボリュームサイズとコンピューティングタイプを同時に変更することはできません。

WorkSpace のボリュームサイズまたはコンピューティングタイプを変更すると、WorkSpace の請求レートが変更されます。

ユーザーがボリュームとコンピューティングタイプを変更できるようにするには、[WorkSpaces Personal でユーザーを対象とした WorkSpaces の自己管理機能を有効にする](enable-user-self-service-workspace-management.md) を参照してください。

## ボリュームサイズの変更
<a name="modify_volume_sizes"></a>

WorkSpace のルートボリュームとユーザーボリュームのサイズを、それぞれ 2000 GB まで増やすことができます。セットグループに付属の WorkSpace ルートボリュームおよびユーザーボリュームは変更できません。使用可能なグループは以下のとおりです。


| [ルート (GB)、ユーザー (GB)] | 
| --- | 
| [80, 10] | 
| [80, 50] | 
| [80, 100] | 
| [175 〜 2,000、100 〜 2,000] | 

ルートボリュームとユーザーボリュームは、暗号化されているかどうかにかかわらず拡張できます。両方のボリュームとも、6 時間に 1 回拡張できます。ただし、ルートボリュームとユーザーボリュームのサイズを同時に増やすことはできません。詳細については、「[Limitations for Increasing Volumes](#limitations_increasing_volumes)」を参照してください。

**注記**  
WorkSpace のボリュームを拡張すると、WorkSpaces により Windows または Linux 内でボリュームのパーティションが自動的に拡張されます。プロセスが終了したら、変更を有効にするために WorkSpace を再起動する必要があります。

データを確実に保持するために、WorkSpace の起動後はルートやユーザーボリュームのサイズを縮小できなくなります。代わりに、WorkSpace を起動するときに、これらのボリュームの最小サイズを指定してください。
+ Value、Standard、Performance、Power、PowerPro のいずれかの WorkSpace は、最小 80 GB のルートボリュームおよび 10 GB のユーザーボリュームで起動できます。
+ GeneralPurpose.4xlarge または GeneralPurpose.8xlarge WorkSpace は、最低 175 GB のルートボリュームおよび最低 100 GB のユーザーボリュームで起動できます。
+ Graphics.g6、Graphics.g4dn、GraphicsPro.g4dn,または GraphicsPro WorkSpace は、ルートボリュームの場合は最低 100 GB、ユーザーボリュームの場合は最低 100 GB で起動できます。ボリュームのサイズ設定要件は、より大きなグラフィックスインスタンスタイプによって異なります。

WorkSpace のディスクサイズを拡大中の場合でも、ユーザーは自分の WorkSpace でほとんどのタスクを実行できます。ただし、WorkSpace コンピューティングタイプの変更、WorkSpace 実行モードの切り替え、WorkSpace の再構築、WorkSpace の再起動を行うことはできません。

**注記**  
ディスクサイズの拡大中にユーザーが自身の WorkSpaces を使用できるようにするには、WorkSpaces のボリュームのサイズを変更する前に、WorkSpaces のステータスが `AVAILABLE` ではなく `STOPPED` であることを確認します。WorkSpaces が `STOPPED` となっている場合、ディスクサイズの拡大中にその WorkSpaces を起動することはできません。

多くの場合、ディスクサイズの拡大プロセスには最長で 2 時間かかります。ただし、多数の WorkSpaces でボリュームサイズを変更している場合には、このプロセスが顕著に長くなることもあります。変更する WorkSpaces が多数ある場合は、 に連絡してサポート AWS サポート を受けることをお勧めします。

**ボリューム増加の制限**
+ サイズ変更できるのは SSD ボリュームのみです。
+ WorkSpace を起動するときは、6 時間待ってからボリュームのサイズを変更する必要があります。
+ ルートボリュームとユーザーボリュームのサイズを同時に増やすことはできません。ルートボリュームを増やすには、まずユーザーボリュームを 100 GB に変更する必要があります。この変更を行った後、ルートボリュームを 175～2000 GB の任意の値に更新できます。ルートボリュームを 175～2000 GB の任意の値に変更した後、ユーザーボリュームを 100～2000 GB の任意の値にさらに更新できます。
**注記**  
両方のボリュームを増やす場合は、最初の操作が終了するまで 20～30 分待ってから 2 番目の操作を開始する必要があります。
+ ユーザーボリュームが 100 GB の場合、Non-GPU-enabled WorkSpaces のルートボリュームを 175 GB 未満にすることはできません。GPU 対応 WorkSpaces のストレージ要件は、インスタンスのサイズ設定に比例してスケーリングされます。より大きな GPU 対応 WorkSpaces 設定を選択するときは、最適なパフォーマンスを維持し、ワークロードの需要の増加に対応するために、対応するより大きなストレージボリュームを割り当てる必要があります。最小インスタンスサイズの場合は、次のストレージ割り当てから始めます。ルート: 100 GB、ユーザー: 100 GB。GPU 対応 WorkSpaces は、ルートボリュームでは最低 100 GB、ユーザーボリュームでは最低 100 GB をサポートします。
+ ユーザーボリュームが 50 GB の場合、ルートボリュームを 80 GB 以外に更新することはできません。ルートボリュームが 80 GB の場合、ユーザーボリュームは 10、50、または 100 GB のみに設定できます。

**WorkSpace のルートボリュームを変更するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpace を選択して、**[アクション]**、**[ルートボリュームを変更]** の順に選択します。

1. **[Root volume sizes]** (ルートボリュームサイズ) でボリュームサイズを選択するか、**[Custom]** (カスタム) を選択してカスタムボリュームサイズを入力します。

1. **[変更の保存]** をクリックします。

1. ディスクサイズの増加が完了したら、[WorkSpace を再起動](reboot-workspaces.md)して変更を反映する必要があります。データの損失を避けるために、WorkSpace を再起動する前に、開いているファイルを必ず保存してください。

**WorkSpace のユーザーボリュームを変更するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpace を選択して、**[アクション]**、**[ユーザーボリュームを変更]** の順に選択します。

1. **[User volume sizes]** (ユーザーボリュームサイズ) でボリュームサイズを選択するか、**[Custom]** (カスタム) を選択してカスタムボリュームサイズを入力します。

1. **[Save changes]** (変更の保存) をクリックします。

1. ディスクサイズの増加が完了したら、[WorkSpace を再起動](reboot-workspaces.md)して変更を反映する必要があります。データの損失を避けるために、WorkSpace を再起動する前に、開いているファイルを必ず保存してください。

**WorkSpace のボリュームサイズを変更するには**  
`RootVolumeSizeGib` または `UserVolumeSizeGib` プロパティを使用して [modify-workspace-properties](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-properties.html) コマンドを使用します。

## コンピューティングタイプの変更
<a name="modify_compute"></a>

WorkSpace では、Standard、Power、Performance、PowerPro、GeneralPurpose.4xlarge、と GeneralPurpose.8xlarge のコンピューティングタイプに切り替えできます。これらのコンピューティングタイプの詳細については、「[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/features/#Amazon_WorkSpaces_Bundles)」を参照してください。

**注記**  
ソースオペレーティングシステムが Windows Server 2022 または Windows 11 以外の場合は、コンピューティングタイプを PowerPro から GeneralPurpose に変更することはできません。
非 GPU 対応バンドルから GeneralPurpose.4xlarge または GeneralPurpose.8xlarge にコンピューティングタイプを変更する場合、WorkSpaces は最小ルートボリュームサイズ 175 GB、ユーザーボリュームサイズ 100 GB を満たす必要があります。WorkSpaces のボリュームサイズを増やすには、「[ボリュームサイズの変更](#modify_volume_sizes)」を参照してください。
GPU 対応 WorkSpaces は、同じインスタンスファミリー内のコンピューティングタイプの変更をサポートしていますが、ファミリー間の変更をサポートしていません。たとえば、G4dn インスタンス間または G6 インスタンス間でコンピューティングタイプを変更できますが、G4dn インスタンスから G6 インスタンスファミリーに変更することはできません。異なるインスタンスファミリーを搭載した GPU 対応 WorkSpace バンドル間を移動するには、WorkSpace の移行機能を使用します。詳細については、[WorkSpaces Personal で WorkSpace を移行する](migrate-workspaces.md)を参照してください。
GraphicsPro バンドルは 2025 年 10 月 31 日にサポート終了となります。GraphicsPro WorkSpaces をお使いの場合、2025 年 10 月 31 日までに、サポートされているバンドルに移行することをお勧めします。詳細については、「[WorkSpaces Personal で WorkSpace を移行する](migrate-workspaces.md)」を参照してください。
Graphics および GraphicsPro のコンピューティングタイプは他の値に変更できません。

コンピューティングの変更をリクエストすると、WorkSpaces は新しいコンピューティングタイプを使用して WorkSpace を再起動します。WorkSpaces は、WorkSpace のオペレーティングシステム、アプリケーション、データ、およびストレージの設定を保持します。

より大きなコンピューティングタイプは 6 時間に 1 回、より小さなコンピューティングタイプは 30 日に 1 回リクエストできます。新規の WorkSpace については、より大きなバンドルをリクエストするには 6 時間待機する必要があります。

WorkSpace コンピューティングタイプが変更中の場合、ユーザーは WorkSpace から切断されるため、WorkSpace を使用または変更することはできません。WorkSpace は、コンピューティングタイプの変更プロセス中に自動的に再起動されます。

**重要**  
データの損失を避けるため、WorkSpace のコンピューティングタイプを変更する前に、開いているドキュメントやその他のアプリケーションファイルを必ず保存してください。

コンピューティングタイプの変更プロセスには、最大 1 時間かかる場合があります。

**WorkSpace のコンピューティングタイプを変更するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpace を選択して、**[アクション]**、**[コンピューティングタイプを変更]** の順に選択します。

1. **[Compute type]** (コンピューティングタイプ) で、コンピューティングタイプを選択します。

1. **[Save changes]** (変更の保存) をクリックします。

**WorkSpace のコンピューティングタイプを変更するには**  
`ComputeTypeName` プロパティを使用して [modify-workspace-properties](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-properties.html) コマンドを使用します。

## プロトコルの変更
<a name="modify_protocols"></a>

 WorkSpace が PCoIP バンドルで作成されている場合は、CLI または Amazon WorkSpaces API AWS を使用してストリーミングプロトコルを変更できます。これにより、WorkSpace 移行機能を使用せずに、既存の WorkSpace を使用してプロトコルを移行できます。また、これにより、移行プロセス中に既存の PCoIP WorkSpaces を再作成しなくても、DCV を使用してルートボリュームを維持できます。
+ プロトコルを変更できるのは、WorkSpace が PCoIP バンドルで作成されていて、GPU 対応の WorkSpace でない場合のみです。
+ プロトコルを DCV に変更する前に、WorkSpace が DCV WorkSpace の以下の要件を満たしていることを確認してください。
  + WorkSpaces クライアントが DCV をサポートしている。
  + WorkSpace のデプロイ先のリージョンが DCV をサポートしている。
  + DCV の IP アドレスとポートの要件が公開されている。詳細については、「[WorkSpaces の IP アドレスとポートの要件](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html)」を参照してください。
  + 現在のバンドルが DCV で確実に利用できる。
  + ビデオ会議を最大限に活用するには、Power、PowerPro、GeneralPurpose.4xlarge、または GeneralPurpose.8xlarge のみを使用することをお勧めします。

**注記**  
プロトコルの変更を開始する前に、本番環境以外の WorkSpaces でテストすることを強くお勧めします。
プロトコルを PCoIP から DCV に変更した後で PCoIP に戻すと、Web Access 経由で WorkSpaces に接続できなくなります。

**WorkSpace のプロトコルを変更するには**

1. (オプション) WorkSpace を再起動し、`AVAILABLE` 状態になるまで待ってからプロトコルを変更します。

1. (オプション) `describe-workspaces` コマンドを使用して WorkSpace のプロパティを一覧表示します。それが `AVAILABLE` 状態にあり、現在の `Protocol` が正しいことを確認します。

1. `modify-workspace-properties` コマンドを使用して、`Protocols` プロパティを `PCOIP` から`DCV` に、またはその逆に変更します。

   ```
   aws workspaces modify-workspace-properties
   --workspace-id <value>
   --workspace-properties "Protocols=[WSP]"
   ```
**重要**  
`Protocols` プロパティは、大文字と小文字が区別されます。`PCOIP` または `DCV` を必ず使用してください。

1. コマンドを実行した後で、WorkSpace が再起動して必要な設定を完了するまでには最大 20 分かかります。

1. `describe-workspaces` コマンドをもう一度使用して WorkSpace のプロパティを一覧表示し、それが `AVAILABLE` 状態にあり、現在の `Protocols` プロパティが正しいプロトコルに変更されていることを確認します。
**注記**  
WorkSpace のプロトコルを変更しても、コンソールのバンドルの表示は更新されません。**[Launch Bundle]** (バンドルの起動) という表示は変わりません。
20 分経っても WorkSpace が `UNHEALTHY` 状態のままである場合は、コンソールで WorkSpace を再起動します。

1. これで WorkSpace に接続できるようになりました。

# WorkSpaces Personal でブランドをカスタマイズする
<a name="customize-branding"></a>

Amazon WorkSpaces では、API を使用して独自のブランドロゴ、IT サポート情報、パスワードを忘れた場合のリンク、ログインメッセージなど、WorkSpace のログインページをカスタマイズすることで、ユーザーに親しみやすい WorkSpaces エクスペリエンスを作成できます。WorkSpace ログインページには、デフォルトの WorkSpaces ブランドに代わり、お客様のブランドがユーザーに表示されます。

以下のクライアントをサポートしています。
+ Server 
+ Linux
+ Android
+ macOS
+ iOS
+ Web Access

## カスタムブランドのインポート
<a name="import-custom-branding"></a>

クライアントのカスタムブランドをインポートするには、`ImportClientBranding` のアクションを使用します。アクションには以下の要素が含まれます。詳細については、「[ API リファレンスの ImportClientBranding](https://docs.aws.amazon.com/workspaces/latest/api/API_ImportClientBranding.html)」を参照してください。

**重要**  
クライアントのブランド属性は公開されています。機密情報が含まれないようにしてください。

ディレクトリがレガシーユーザーログインフローを使用しているか新しいユーザーログインフローを使用しているかに応じて、以下のスクリーンショットに示すように、ユーザーにはカスタムクライアントブランド属性が表示されます。


|  |  | 
| --- |--- |
|  ![\[WorkSpaces クライアントサインイン画面 - レガシーログインフロー\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/client-cobranding-legacy.png)  |  ![\[WorkSpaces クライアントサインイン画面 - 新しいログインフロー\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/client-cobranding-new.png)  | 

1. サポートリンク

1. Logo

1. パスワードを忘れた場合のリンク

1. ログインメッセージ


**カスタムブランドの要素**  

| ブランド要素 | 説明 | 要件と推奨事項 | 
| --- | --- | --- | 
| サポートリンク | ユーザーが WorkSpaces に関するヘルプを問い合わせるためのサポート E メールリンクを指定できます。SupportEmail 属性を使用するか、SupportLink 属性を使用してサポートページへのリンクを提供することで指定できます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/customize-branding.html) | 
| Logo | Logo 属性を使用して、組織のロゴをカスタマイズできます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/customize-branding.html) | 
| パスワードを忘れた場合のリンク | ForgotPasswordLink 属性を使用してウェブアドレスを追加し、これによりユーザーが WorkSpace のパスワードを忘れた場合に移動できます。 | 長さの制限：最小長 1、最大長は 200 です。 | 
| ログインメッセージ | LoginMessage 属性を使用して、サインイン画面のメッセージをカスタマイズできます。 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/customize-branding.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/customize-branding.html)  | 

以下は、ImportClientBranding を使用するためのサンプルコードスニペットです。

### AWS CLI バージョン 2
<a name="import-client-branding-cli"></a>

**警告**  
カスタムブランディングをインポートすると、カスタムデータで指定したプラットフォーム内の属性が上書きされます。また、デフォルトのカスタムブランディング属性値で指定していない属性も上書きされます。上書きしたくない属性のデータを含める必要があります。

```
aws workspaces import-client-branding \
--cli-input-json file://~/Downloads/import-input.json \
--region us-west-2
```

インポート JSON ファイルは、以下のようなサンプルコードになります。

```
{
    "ResourceId": "<directory-id>",
    "DeviceTypeOsx": {
        "Logo": "iVBORw0KGgoAAAANSUhEUgAAAAIAAAACCAYAAABytg0kAAAAC0lEQVR42mNgQAcAABIAAeRVjecAAAAASUVORK5CYII=",
        "ForgotPasswordLink": "https://amazon.com/",
        "SupportLink": "https://amazon.com/",
        "LoginMessage": {
            "en_US": "Hello!!"
        }
    }
}
```

次のサンプル Java コードスニペットは、ロゴイメージを base64 でエンコードされた文字列に変換します。

```
// Read image as BufferImage
BufferedImage bi = ImageIO.read(new File("~/Downloads/logo.png"));
   
// convert BufferedImage to byte[]
ByteArrayOutputStream baos = new ByteArrayOutputStream();
ImageIO.write(bi, "png", baos);
byte[] bytes = baos.toByteArray();
       
//convert byte[] to base64 format and print it
String bytesBase64 = Base64.encodeBase64String(bytes);
System.out.println(bytesBase64);
```

次のサンプル Python コードスニペットは、ロゴイメージを base64 でエンコードされた文字列に変換します。

```
# Read logo into base64-encoded string
with open("~/Downloads/logo.png", "rb") as image_file:
    f = image_file.read()
    base64_string = base64.b64encode(f)
    print(base64_string)
```

### Java
<a name="import-client-branding-java"></a>

**警告**  
カスタムブランディングをインポートすると、カスタムデータで指定したプラットフォーム内の属性が上書きされます。また、デフォルトのカスタムブランディング属性値で指定していない属性も上書きされます。上書きしたくない属性のデータを含める必要があります。

```
// Create WS Client
WorkSpacesClient client = WorkSpacesClient.builder().build();

// Read image as BufferImage
BufferedImage bi = ImageIO.read(new File("~/Downloads/logo.png"));

// convert BufferedImage to byte[]
ByteArrayOutputStream baos = new ByteArrayOutputStream();
ImageIO.write(bi, "png", baos);
byte[] bytes = baos.toByteArray();
    
// Create import attributes for the plateform 
DefaultImportClientBrandingAttributes attributes =
        DefaultImportClientBrandingAttributes.builder()
                .logo(SdkBytes.fromByteArray(bytes))
                .forgotPasswordLink("https://aws.amazon.com/")
                .supportLink("https://aws.amazon.com/")
                .build();
                    
// Create import request
ImportClientBrandingRequest request = 
        ImportClientBrandingRequest.builder()
                .resourceId("<directory-id>")
                .deviceTypeOsx(attributes)
                .build();
                    
// Call ImportClientBranding API
ImportClientBrandingResponse response = client.importClientBranding(request);
```

### Python
<a name="import-client-branding-python"></a>

**警告**  
カスタムブランディングをインポートすると、カスタムデータで指定したプラットフォーム内の属性が上書きされます。また、デフォルトのカスタムブランディング属性値で指定していない属性も上書きされます。上書きしたくない属性のデータを含める必要があります。

```
import boto3

# Read logo into bytearray
with open("~/Downloads/logo.png", "rb") as image_file:
    f = image_file.read()
    bytes = bytearray(f)

# Create WorkSpaces client
client = boto3.client('workspaces')

# Call import API
response = client.import_client_branding(
    ResourceId='<directory-id>',
    DeviceTypeOsx={
        'Logo': bytes,
        'SupportLink': 'https://aws.amazon.com/',
        'ForgotPasswordLink': 'https://aws.amazon.com/',
        'LoginMessage': {
            'en_US': 'Hello!!'
        }
    }
)
```

### PowerShell
<a name="import-client-branding-powershell"></a>

```
#Requires -Modules @{ ModuleName="AWS.Tools.WorkSpaces"; ModuleVersion="4.1.56"}

# Specify Image Path
$imagePath = "~/Downloads/logo.png"

# Create Byte Array from image file
$imageByte = ([System.IO.File]::ReadAllBytes($imagePath))

# Call import API
Import-WKSClientBranding -ResourceId <directory-id> `
    -DeviceTypeLinux_LoginMessage @{en_US="Hello!!"} `
    -DeviceTypeLinux_Logo $imageByte `
    -DeviceTypeLinux_ForgotPasswordLink "https://aws.amazon.com/" `
    -DeviceTypeLinux_SupportLink "https://aws.amazon.com/"
```

ログインページをプレビューするには、WorkSpaces アプリケーションまたはウェブログインページを起動します。

**注記**  
変更が表示されるまでに最大 1 分程度かかる場合があります。

## カスタムブランドの説明
<a name="describe-custom-branding"></a>

現在使用しているクライアントブランドのカスタマイズの詳細を表示するには、`DescribeCustomBranding` のアクションを使用します。以下は、DescribeClientBranding を使用するためのサンプルスクリプトです。詳細については、「[ API リファレンスの DescribeClientBranding](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeClientBranding.html)」を参照してください。

```
aws workspaces describe-client-branding \
--resource-id <directory-id> \
--region us-west-2
```

## カスタムブランドの削除
<a name="delete-custom-branding"></a>

クライアントブランドのカスタマイズを削除するには、`DeleteCustomBranding` のアクションを使用します。以下は、DeleteClientBranding を使用するためのサンプルスクリプトです。詳細については、「[ API リファレンスの DeleteClientBranding](https://docs.aws.amazon.com/workspaces/latest/api/API_DeleteClientBranding.html)」を参照してください。

```
aws workspaces delete-client-branding \ 
--resource-id <directory-id> \
--platforms DeviceTypeAndroid DeviceTypeIos \  
--region us-west-2
```

**注記**  
変更が表示されるまでに最大 1 分程度かかる場合があります。

# WorkSpaces Personal でリソースにタグを付ける
<a name="tag-workspaces-resources"></a>

WorkSpaces のリソースは、*タグ*形式で各リソースに独自のメタデータを割り当てることによって整理および管理できます。タグごとに*キー*と*値*を指定します。キーは、特定の関連値を持つ「プロジェクト」、「所有者」、「環境」などの一般的なカテゴリにすることができます。タグを使用することは、 AWS リソースを管理し、請求データを含むデータを整理するためのシンプルで強力な方法です。

既存のリソースにタグを追加すると、これらのタグは翌月の初日までコスト配分レポートに表示されません。例えば、7 月 15 日に既存の WorkSpace にタグを追加した場合、8 月 1 日までタグはコスト配分レポートに表示されません。詳細については、*AWS Billing * の「[コスト配分タグの使用](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)」を参照してください。

**注記**  
Cost Explorer で WorkSpaces リソースタグを表示するには、*AWS Billing ユーザーガイド*の「[ユーザー定義コスト配分タグのアクティブ化](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html)」の手順に従って、WorkSpaces リソースに適用したタグをアクティブにする必要があります。  
タグはアクティベーション後 24 時間後に表示されますが、これらのタグに関連付けられた値が Cost Explorer に表示されるまでに 4～5 日かかる場合があります。さらに、Cost Explorer でコストデータを表示して提供するには、タグ付けされた WorkSpaces リソースにその期間中に料金が発生する必要があります。[Cost Explorer] には、タグが有効化されてからそれまでのコストデータのみが表示されます。現時点では、履歴データはありません。

**タグ付けできるリソース**
+ WorkSpaces、インポートされたイメージ、および IP アクセスコントロールグループの各リソースは、作成時にタグを追加できます。
+ 既存のリソースタイプ (WorkSpaces、登録されたディレクトリ、カスタムバンドル、イメージ、および IP アクセスコントロールグループ) にタグを追加できます。

**タグの制限**
+ リソースあたりのタグの最大数 – 50
+ キーの最大長 – 127 文字 (Unicode)
+ 値の最大長 – 255 文字 (Unicode)
+ タグのキーと値は大文字と小文字が区別されます。使用できる文字は、UTF-8 で表現できる文字、スペース、および数字と、特殊文字 (\$1、-、=、.、\$1、:、/、@) です。ただし、先頭または末尾にはスペースを使用しないでください。
+ タグ名`aws:`または値に または `aws:workspaces:`プレフィックスを使用しないでください。これらは AWS 使用のために予約されています。これらのプレフィックスが含まれるタグの名前または値は編集または削除できません。

**コンソール (ディレクトリ、WorkSpaces、または IP アクセスコントロールグループ) を使用して既存のリソースのタグを更新するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで、**ディレクトリ**、**WorkSpaces**、または **IP アクセスコントロール** のいずれかのリソースタイプを選択します。

1. リソースを選択して、詳細ページを開きます。

1. 次の 1 つ以上の操作を行います。
   + タグを更新するには、**[キー]** と **[値]** の値を編集します。
   + 新しいタグを追加するには、[**Add Tag**] を選択し、[**Key**] と [**Value**] の値を編集します。
   + タグを削除するには、タグの横にある削除アイコン (X) を選択します。

1. タグの更新を完了したら、**[Save]** (保存) を選択します。

**コンソールを使用して既存のリソースのタグを更新するには (イメージまたはバンドル)**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで、[**Bundles**] (バンドル) または [**Images**] (イメージ) のうち、いずれかのリソースタイプを選択します。

1. リソースを選択して、詳細ページを開きます。

1. [**タグ**] で、[**タグの管理**] を選択します。

1. 次の 1 つ以上の操作を行います。
   + タグを更新するには、**[キー]** と **[値]** の値を編集します。
   + 新しいタグを追加するには、[**Add new tag**] (新しいタグの追加) を選択し、**[キー]** と **[値]** の値を編集します。
   + タグを削除するには、タグの横にある [**削除**] を選択します。

1. タグの更新を完了したら、[**Save changes**] (変更の保存) を選択します。

**を使用して既存のリソースのタグを更新するには AWS CLI**  
[create-tags](https://docs.aws.amazon.com/cli/latest/reference/workspaces/create-tags.html) および [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/workspaces/delete-tags.html) コマンドを使用します。

# WorkSpaces Personal のメンテナンス
<a name="workspace-maintenance"></a>

WorkSpaces を定期的にメンテナンスすることをお勧めします。WorkSpaces は、WorkSpaces のデフォルトのメンテナンスウィンドウをスケジュールします。メンテナンスウィンドウ中に、WorkSpace は必要に応じて重要な更新を Amazon WorkSpaces からインストールして再起動します。オペレーティングシステムの更新プログラム (利用可能な場合) は、WorkSpace が使用するように設定されている OS アップデートサーバーからもインストールされます。メンテナンス中は、WorkSpaces が使用できないことがあります。

デフォルトでは、Windows WorkSpaces は Windows Update から更新プログラムを受信するように設定されています。ユーザー独自の Windows 自動更新メカニズムを設定する方法については、[Windows Server Update Services (WSUS)](https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/deploy-windows-server-update-services) および [Configuration Manager](https://docs.microsoft.com/configmgr/sum/deploy-use/deploy-software-updates) のドキュメントを参照してください。

**要件**  
オペレーティングシステムの更新をインストールしてアプリケーションをデプロイできるように、WorkSpaces はインターネットにアクセスできる必要があります。詳細については、「[WorkSpaces Personal でのインターネットアクセス](amazon-workspaces-internet-access.md)」を参照してください。

## AlwaysOn WorkSpaces のメンテナンスウィンドウ
<a name="alwayson-maintenance"></a>

AlwaysOn WorkSpaces では、メンテナンスウィンドウはオペレーティングシステムの設定によって決まります。デフォルトは、WorkSpace のタイムゾーンの、毎週日曜日午前 0:00～4:00 の 4 時間です。デフォルトでは、AlwaysOn WorkSpace のタイムゾーンは、WorkSpace の AWS リージョンのタイムゾーンです。ただし、別のリージョンから接続し、タイムゾーンリダイレクトが有効にされた後に切断した場合は、WorkSpace のタイムゾーンは、接続元リージョンのタイムゾーンに更新されます。

グループポリシーを使用して、[Windows WorkSpaces のタイムゾーンリダイレクトを無効](group_policy.md#gp_time_zone)にすることができます。[Linux WorkSpaces のタイムゾーンのリダイレクトを無効にする](manage_linux_workspace.md#linux_time_zone)には、PCoIP エージェントの設定を使用します。

Windows WorkSpaces には、グループポリシーを使用してメンテナンスウィンドウを設定できます。「[自動更新のためのグループポリシーの設定](https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/4-configure-group-policy-settings-for-automatic-updates)」を参照してください。Linux WorkSpaces のメンテナンスウィンドウを設定することはできません。

## AutoStop WorkSpaces のメンテナンスウィンドウ
<a name="autostop-maintenance"></a>

AutoStop WorkSpaces は重要な更新をインストールするために月に 1 度自動的に開始されます。その月の第 3 月曜日から開始して、2 週間、WorkSpace の AWS リージョンのタイムゾーンの毎日 0:00～5:00 に、メンテナンスウィンドウが開かれます。WorkSpace はメンテナンスウィンドウのいずれかの日に保守されます。このウィンドウでは、7 日間を超えて経過した WorkSpaces のみが保守されます。

WorkSpace のメンテナンス期間中、WorkSpace の状態は `MAINTENANCE` に設定されます。

AutoStop WorkSpaces のメンテナンスに使用するタイムゾーンを変更することはできませんが、以下のようにして AutoStop WorkSpaces のメンテナンスウィンドウを無効にすることはできます。メンテナンスモードを無効にすると、WorkSpaces は再起動されず、`MAINTENANCE` 状態になりません。

**メンテナンスモードを無効にするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. ディレクトリを選択し、[**Actions**]、[**Update Details**] の順に選択します。

1. [**メンテナンスモード**] を展開します。

1. 自動更新を有効にするには、[**Enabled**] を選択します。更新を手動で管理する場合は、[**無効**] を選択します。

1. [**Update and Exit**] を選択します。

## 手動メンテナンス
<a name="admin-maintenance"></a>

必要に応じて、独自のスケジュールで WorkSpaces を管理できます。メンテナンスタスクを実行する場合は、WorkSpace の状態を **[Maintenance]** (メンテナンス) に変更することをお勧めします。完了したら、WorkSpace の状態を **[Available]** (使用可能) に変更します。

WorkSpace が **[Maintenance]** (メンテナンス) 状態の場合、以下の動作が発生します。
+ WorkSpace は、再起動、停止、起動、再構築には対応しません。
+ ユーザーは WorkSpace にログインできません。
+ AutoStop WorkSpace は、休止状態ではありません。

**コンソールを使用して WorkSpace の状態を変更するには**
**注記**  
WorkSpace の状態を変更するには、WorkSpace のステータスが **[Available]** (使用可能) である必要があります。WorkSpace が **[Available]** (使用可能) 状態ではない場合、**[Modify state]** (変更状態) の設定は使用できません。

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpace を選択して、**[Actions]** (アクション)、**[Modify state]** (状態の変更) の順に選択します。

1. **[Modify state]** (状態の変更) で、**[Available]** (使用可能) または **[Maintenance]** (メンテナンス) を選択します。

1. **[保存]** を選択します。

**AWS CLI を使用して WorkSpace の状態を変更するには**  
[modify-workspace-state](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-state.html) コマンドを使用します。

# WorkSpaces Personal の暗号化された WorkSpaces
<a name="encrypt-workspaces"></a>

WorkSpaces は AWS Key Management Service () と統合されていますAWS KMS。これにより、 AWS KMS キーを使用して WorkSpaces のストレージボリュームを暗号化できます。WorkSpace を起動する際に、ルートボリューム (Microsoft Windows の場合は C ドライブ、Linux の場合は /) およびユーザーボリューム (Windows の場合は D ドライブ、Linux の場合は /home) を暗号化できます。これにより、保管時のデータ、ボリュームへのディスク I/O、ボリュームから作成されたスナップショットを暗号化することができます。

**注記**  
WorkSpaces の暗号化に加えて、特定の AWS 米国リージョンで FIPS エンドポイント暗号化を使用することもできます。詳細については、「[WorkSpaces Personal で FedRAMP 認証または DoD SRG コンプライアンスを設定する](fips-encryption.md)」を参照してください。
Windows BitLocker 暗号化は Amazon WorkSpaces ではサポートされていません。  Amazon WorkSpaces は、該当する場合、すべての Windows オペレーティングシステムで起動中に検出されたボリュームの復号を試みます。  WorkSpace 上の任意のボリュームでパスワード、ピン、または起動キーの組み合わせが有効になっていると、起動プロセス中にボリュームが応答しなくなり、異常が発生して正しく起動できなくなる可能性があります。

**Topics**
+ [前提条件](#encryption_prerequisites)
+ [制限](#encryption_limits)
+ [を使用した WorkSpaces 暗号化の概要 AWS KMS](#kms-workspaces-overview)
+ [WorkSpaces 暗号化コンテキスト](#kms-workspaces-encryption-context)
+ [ユーザーに代わって KMS キーを使用する許可を WorkSpaces に付与する](#kms-workspaces-permissions)
+ [WorkSpace を暗号化します。](#encrypt_workspace)
+ [暗号化された WorkSpaces を表示する](#maintain_encryption)

## 前提条件
<a name="encryption_prerequisites"></a>

暗号化プロセスを開始する前に、 AWS KMS キーが必要です。この KMS キーは、AmazonWorkSpaces の [AWS 管理 KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)（**aws/workspaces**）または対称[カスタマー管理の KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)のいずれかになります。
+ **AWS マネージド KMS キー** – リージョンの WorkSpace sコンソールから暗号化されていない WorkSpaces を初めて起動すると、Amazon WorkSpaces はアカウントに AWS マネージド KMS キー (**aws/workspaces**) を自動的に作成します。この AWS マネージド KMS キーを選択して、WorkSpace のユーザーボリュームとルートボリュームを暗号化できます。詳細については、「[を使用した WorkSpaces 暗号化の概要 AWS KMS](#kms-workspaces-overview)」を参照してください。

  この AWS マネージド KMS キーは、ポリシーと許可を含めて表示でき、 AWS CloudTrail ログでの使用を追跡できますが、この KMS キーを使用または管理することはできません。Amazon WorkSpaces は、この KMS キーを作成および管理します。Amazon WorkSpaces だけがこの KMS を使用でき、WorkSpaces はアカウント内の WorkSpaces リソースの暗号化だけに使用できます。

  AWS Amazon WorkSpaces がサポートする マネージド KMS キーは、毎年ローテーションされます。詳細については、「 *AWS Key Management Service デベロッパーガイド*」の[「ローテーション AWS KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。
+ **カスタマーマネージド KMS キー** – または、 を使用して作成した対称カスタマーマネージド KMS キーを選択できます AWS KMS。ポリシーの設定を含め、この KMS キーを表示、使用、管理できます。KMS キーの作成の詳細については、 *AWS Key Management Service デベロッパーガイド*の [キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) を参照してください。 AWS KMS API を使用して KMS キーを作成する方法の詳細については、「 *AWS Key Management Service デベロッパーガイド*」の[「キーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/programming-keys.html)」を参照してください。

  自動キー更新を有効にしない限り、カスタマー管理の KMS キー は自動的に更新されません。詳細については、「 *AWS Key Management Service デベロッパーガイド*」の[AWS KMS 「キーのローテーション](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。

**重要**  
KMS キーを手動でローテーションする場合は、元の KMS キーと新しい KMS キーの両方を有効にして、 AWS KMS が元の KMS キーが暗号化した WorkSpaces を復号できるようにする必要があります。元の KMS キーを有効にしたくない場合は、WorkSpaces を再作成し、新しい KMS キーを使用して暗号化する必要があります。

 AWS KMS キーを使用して WorkSpaces を暗号化するには、次の要件を満たす必要があります。
+ **KMS キーは対称である必要があります。**Amazon WorkSpaces では、非対称 KMS キーがサポートされていません。対称 KMS キーと非対称 KMS キーの区別については、「*AWS Key Management Service デベロッパーガイド*」の「[対称および非対称 KMS キーを識別する](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html)」を参照してください。
+ **KMS キーを有効にする必要があります。**KMS キーが有効になっているかどうかを確認する方法については、「*AWS Key Management Service デベロッパーガイド*」の 「[コンソールで KMS キーを表示する](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)」を参照してください。
+ **KMS キーに正しいアクセス権限とポリシーを関連付ける必要があります。**詳細については、「[パート 2: IAM ポリシーを使用して WorkSpaces 管理者に追加の許可を付与する](#kms-permissions-iam-policy)」を参照してください。

## 制限
<a name="encryption_limits"></a>
+ 既存の WorkSpace は暗号化できません。WorkSpace を起動するときは、暗号化する必要があります。
+ 暗号化された WorkSpace からのカスタムイメージの作成は、サポートされていません。
+ 暗号化された WorkSpace の暗号化を無効にすることは、現在サポートされていません。
+ ルートボリュームの暗号化を有効にした状態で起動された WorkSpaces では、プロビジョニングに最大 1 時間かかる場合があります。
+ 暗号化された WorkSpace を再起動または再構築するには、 AWS KMS キーが有効であることを最初に確認します。有効ではない場合、WorkSpace は使用できません。KMS キーが有効になっているかどうかを確認する方法については、「*AWS Key Management Service デベロッパーガイド*」の 「[コンソールで KMS キーを表示する](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)」を参照してください。

## を使用した WorkSpaces 暗号化の概要 AWS KMS
<a name="kms-workspaces-overview"></a>

暗号化されたボリュームで WorkSpaces を作成すると、WorkSpaces は Amazon Elastic Block Store (Amazon EBS) を使用してこれらのボリュームを作成および管理します。Amazon EBS は､業界標準の AES-256 アルゴリズムを使用してデータキーでボリュームを暗号化します。Amazon EBS と Amazon WorkSpaces の両方が KMS キーを使用して暗号化されたボリュームを操作します。EBS ボリューム暗号化の詳細については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EBS 暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)」を参照してください。

暗号化されたボリュームを使用するWorkSpaces を起動すると、エンドツーエンドの処理が次のように行われます。

1. 暗号化に使用する KMS キーと、WorkSpace のユーザーとディレクトリを指定します。このアクションにより、この WorkSpaces (指定されたユーザーとディレクトリに関連付けられた WorkSpace )にのみ KMS キーの使用を許可する[権限](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)が作成されます。

1. WorkSpaces は、WorkSpace の暗号化された EBS ボリュームを作成し、使用する KMS キーとボリュームのユーザーおよびディレクトリを指定します。このアクションにより、Amazon EBS が WorkSpace とボリューム (指定されたユーザーとディレクトリに関連付けられた WorkSpace および指定されたボリューム) にのみ KMS キーを使用できるようにする権限が作成されます。

1. <a name="WSP-EBS-requests-encrypted-volume-data-key"></a>Amazon EBS は、KMS キーによって暗号化されたボリュームデータキーをリクエストし、WorkSpace ユーザーの Active Directory セキュリティ識別子 (SID) および AWS Directory Service ディレクトリ ID、ならびに[暗号化コンテキスト](#kms-workspaces-encryption-context)としての Amazon EBS ボリューム ID を指定します。

1. <a name="WSP-KMS-creates-data-key"></a>AWS KMS は新しいデータキーを作成し、KMS キーで暗号化してから、暗号化されたデータキーを Amazon EBS に送信します。

1. <a name="WSP-uses-EBS-to-attach-encrypted-volume"></a>WorkSpaces は、Amazon EBS を使用して、暗号化されたボリュームを WorkSpace にアタッチします。Amazon EBS は、暗号化されたデータキーを [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエスト AWS KMS とともに に送信し、暗号化コンテキストとして使用される WorkSpace ユーザーの SID、ディレクトリ ID、ボリューム ID を指定します。

1. AWS KMS は KMS キーを使用してデータキーを復号し、プレーンテキストのデータキーを Amazon EBS に送信します。

1. Amazon EBS は、プレーンテキストデータキーを使用して、暗号化されたボリュームを出入りするすべてのデータを暗号化します。Amazon EBS は、ボリュームが WorkSpace にアタッチされている限り、プレーンテキストデータキーをメモリ内に保持します。

1. Amazon EBS は、暗号化されたデータキー ([Step 4](#WSP-KMS-creates-data-key) で受け取ったデータキー) とボリュームメタデータを保存し、後で WorkSpace を再起動または再構築した場合に使用できるようにします。

1. を使用して WorkSpace AWS マネジメントコンソール を削除する (または WorkSpaces API で [https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html](https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html)アクションを使用する) と、WorkSpaces と Amazon EBS は、その WorkSpace の KMS キーの使用を許可した許可を廃止します。

## WorkSpaces 暗号化コンテキスト
<a name="kms-workspaces-encryption-context"></a>

WorkSpaces は暗号化オペレーション ([https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)、、 など) [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)に KMS キーを直接使用しません。つまり[https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、WorkSpaces は[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) AWS KMS を含む にリクエストを送信しません。ただし、Amazon EBS が、WorkSpaces の暗号化されたボリュームに対して暗号化されたデータキーをリクエストする場合 ([Step 3](#WSP-EBS-requests-encrypted-volume-data-key) の [を使用した WorkSpaces 暗号化の概要 AWS KMS](#kms-workspaces-overview)) と、そのデータキーのプレーンテキストコピーをリクエストする場合 ([Step 5](#WSP-uses-EBS-to-attach-encrypted-volume)) には、リクエストに暗号化コンテキストが含まれます。

 暗号化コンテキストは、データの整合性を確保するために が AWS KMS 使用する[追加の認証済みデータ](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) (AAD) を提供します。暗号化コンテキストは AWS CloudTrail ログファイルにも書き込まれるため、特定の KMS キーが使用された理由を理解するのに役立ちます。Amazon EBS では、暗号化コンテキストとして次のものが使用されます。
+ WorkSpace に関連付けられている Active Directory ユーザーのセキュリティ識別子 (SID)
+ WorkSpace に関連付けられているディレクトリの AWS Directory Service ディレクトリ ID
+ 暗号化されたボリュームの Amazon EBS ボリューム ID

次の例は、Amazon EBS が使用する暗号化コンテキストの JSON 表現を示しています。

```
{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}
```

## ユーザーに代わって KMS キーを使用する許可を WorkSpaces に付与する
<a name="kms-workspaces-permissions"></a>

WorkSpace sの AWS マネージド KMS キー (**aws/workspaces**) またはカスタマーマネージド KMS キーで WorkSpaces データを保護できます。カスタマー管理 KMS キーを使用する場合は、アカウントの WorkSpaces 管理者に代わって KMS キーを使用する WorkSpaces 許可を与える必要があります。WorkSpaces の AWS マネージド KMS キーには、デフォルトで必要なアクセス許可があります。

WorkSpaces で使用する KNS キーを準備するには、次の手順を実行します。

1. [KMS キーのキーポリシーでキーユーザーのリストに WorkSpaces 管理者を追加する](#kms-permissions-key-users)

1. [IAM ポリシーによって WorkSpaces 管理者に追加のアクセス許可を付与する](#kms-permissions-iam-policy)

WorkSpaces 管理者には、WorkSpaces を使用する許可も必要です。これらのアクセス許可の詳細については、[WorkSpaces の Identity and Access Management](workspaces-access-control.md) にアクセスしてください。

### パート 1: WorkSpaces の管理者をキーユーザーとして追加する
<a name="kms-permissions-key-users"></a>

WorkSpaces 管理者に必要なアクセス許可を付与するには、 AWS マネジメントコンソール または AWS KMS API を使用できます。

#### KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (コンソール)
<a name="kms-permissions-users-consoleAPI"></a>

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、[**Customer managed keys**] (カスタマー管理型のキー) を選択します。

1. 任意のカスタマーマネージドキーの KMS キーのキー ID またはエイリアスを選択する

1. [**キーポリシー**] タブを選択します。[**Key users**] (キーユーザー) で [**Add**] (追加) を選択します。

1. IAM ユーザーとロールのリストで、WorkSpaces 管理者に対応するユーザーとロールを選択し、[**Add**] (追加) を選択します。

#### KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには ( API)
<a name="kms-permissions-users-api"></a>

1. [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) オペレーションを使用して既存のキーポリシードキュメントを取得し、キーポリシードキュメントをファイルに保存します。

1. 任意のテキストエディタでポリシードキュメントを開きます。WorkSpaces 管理者に対応する IAM ユーザーとロールを、[キーユーザーにアクセス許可を付与する](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)ポリシーステートメントに追加します。その後、ファイルを保存します。

1. [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) オペレーションを使用して、KMS キーにキーポリシーを適用します。

### パート 2: IAM ポリシーを使用して WorkSpaces 管理者に追加の許可を付与する
<a name="kms-permissions-iam-policy"></a>

カスタマー管理の KMS キーを選択して暗号化に使用する場合は、アカウントで暗号化された WorkSpaces を起動する IAM ユーザーの代わりに、Amazon WorkSpaces で KMS キーの使用を許可する IAM ポリシーを確立する必要があります。また、そのユーザーにも、Amazon WorkSpaces を使用するための許可が必要です。IAM ユーザーポリシーの作成と編集の詳細については、*IAM ユーザーガイド*の [IAM ポリシーを管理する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)および [WorkSpaces の Identity and Access Management](workspaces-access-control.md) を参照してください。

WorkSpaces の暗号化では、KMS キーへのアクセスを制限する必要があります。以下は、使用できるサンプルキーのポリシーです。このポリシーにより、 AWS KMS キーを管理できるプリンシパルと、このキーを使用できるプリンシパルが分離されます。このサンプルキーポリシーを使用する前に、サンプルアカウント ID と IAM ユーザー名を、アカウントの実際の値に置き換えてください。

最初のステートメントは、デフォルトの AWS KMS キーポリシーと一致します。これにより、IAM ポリシーを使用して KMS キーへのアクセスを制御するためのアクセス許可がアカウントに付与されます。2 番目と 3 番目のステートメントは、キーを管理および使用できる AWS プリンシパルをそれぞれ定義します。4 番目のステートメントでは、 と統合された AWS サービスが AWS KMS 、指定されたプリンシパルに代わって キーを使用できます。このステートメントは、 AWS のサービスが許可を作成、管理できるようにします。ステートメントは、KMS キーに対する許可を、アカウントのユーザーに代わって AWS のサービスによって行われた許可に制限する条件要素を使用します。

**注記**  
WorkSpaces 管理者が を使用して暗号化されたボリュームを持つ WorkSpaces AWS マネジメントコンソール を作成する場合、管理者はエイリアスとリストキー ( `"kms:ListAliases"` および のアクセス許可) を一覧表示するアクセス`"kms:ListKeys"`許可が必要です。WorkSpaces 管理者が (コンソールではなく) Amazon WorkSpaces API のみを使用する場合は、`"kms:ListAliases"` および `"kms:ListKeys"` のアクセス許可を省略できます。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}
```

------

WorkSpace を暗号化しているロールまたはユーザーに適用する IAM ポリシーには、カスタマー管理の KMS キーを使用するためのアクセス許可と WorkSpaces へのアクセス権が必要です。IAM ユーザーまたはロールに WorkSpaces のアクセス許可を付与するには、以下のサンプルポリシーを IAM ユーザーまたはロールにアタッチします。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}
```

------

ユーザーが を使用するには、次の IAM ポリシーが必要です AWS KMSこれにより、KMS キーへの読み取り専用アクセスと、許可を作成する能力がユーザーに付与されます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

ポリシーで KMS キーを指定する場合は、次のような IAM ポリシーを使用します。サンプルKMS キー ARN を有効なものに置き換えます。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## WorkSpace を暗号化します。
<a name="encrypt_workspace"></a>

**WorkSpace を暗号化するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. [**Launch WorkSpaces**] を選択し､最初の 3 つの手順を完了します。

1. [**WorkSpaces Configuration**] のステップで､以下を行います｡

   1. 暗号化するボリュームを選択します。[**Root Volume**]、[**User Volume**]、または両方のボリュームとなります。

   1. **暗号化キー**で、Amazon WorkSpaces によって作成された AWS マネージド KMS キーまたは作成した KMS キー AWS KMS のいずれかのキーを選択します。選択する KMS キーは対称である必要があります。Amazon WorkSpaces では、非対称 KMS キーがサポートされていません。

   1. [**Next Step**] を選択します。

1. [**Launch WorkSpaces**] を選択します。

## 暗号化された WorkSpaces を表示する
<a name="maintain_encryption"></a>

どの WorkSpaces とボリュームが WorkSpaces コンソールから暗号化されたのかを表示するには、左のナビゲーションバーから [**WorkSpaces**] を選択します。[**Volume Encryption**] 列に、各 WorkSpace で暗号化が有効になっているか無効になっているかが表示されます。特定のボリュームが暗号化されているかどうかを表示するには、WorkSpace エントリを展開して [**Encrypted Volumes**] フィールドを確認します。

# WorkSpaces Personal の WorkSpace を再起動する
<a name="reboot-workspaces"></a>

場合によっては、WorkSpace を手動で再起動する必要があります。WorkSpace を再起動すると、ユーザーが切断され、WorkSpace のシャットダウンと再起動が実行されます。データの損失を避けるため、WorkSpace を再起動する前に、開いているドキュメントやその他のアプリケーションファイルを必ず保存してください。ユーザーデータ、オペレーティングシステム、およびシステム設定には影響しません。

**警告**  
暗号化された WorkSpace を再起動するには、AWS KMS キーが有効であることを最初に確認します。有効でない場合、WorkSpace は使用できません。KMS キーが有効になっているかどうかを確認する方法については、「*AWS Key Management Service デベロッパーガイド*」の 「[コンソールで KMS キーを表示する](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)」を参照してください。

**WorkSpace を再起動するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. 再起動する WorkSpaces を選択したら、**[Actions] ** (アクション)、**[Reboot WorkSpaces]** (WorkSpaces の再起動) の順に選択します。

1. 確認を求めるメッセージが表示されたら、[**Reboot WorkSpaces**] を選択します。

**を使用して WorkSpace を再起動するにはAWS CLI**  
[reboot-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/reboot-workspaces.html) コマンドを使用します。

**WorkSpaces を一括再起動するには**  
[amazon-workspaces-admin-module](https://github.com/aws-samples/amazon-workspaces-admin-module/tree/main) を使用します。

# WorkSpaces Personal の WorkSpace を再構築する
<a name="rebuild-workspace"></a>

WorkSpace を再構築すると、WorkSpace の起動元のバンドルの最新イメージのルートボリューム、ユーザーボリューム、およびプライマリ Elastic Network Interface が再作成されます。WorkSpace を再構築すると、WorkSpace を復元するよりも多くのデータが削除されますが、必要なのはユーザーボリュームのスナップショットだけです。WorkSpace を復元するには、「[WorkSpaces Personal の WorkSpace を復元する](restore-workspace.md)」を参照してください。

WorkSpace を再構築すると、次の状況が発生します。
+ ルートボリューム (Microsoft Windows の場合はドライブ C、Linux の場合は /) は、WorkSpace の作成元のバンドルの最新のイメージで更新されます。WorkSpace の作成後にインストールされたアプリケーション、または変更されたシステム設定は失われます。
+ ユーザーボリューム (Microsoft Windows の場合は D: ドライブ、Linux の場合は /home) が、最新のスナップショットから再作成されます。ユーザーボリュームの現在の内容は上書きされます。

  WorkSpace を再構築するときに使用する自動スナップショットは、12 時間ごとにスケジュールされます。ユーザーボリュームのこれらのスナップショットは、WorkSpace の正常性に関係なく取得されます。[**Actions**] (アクション)、[**Rebuild / Restore WorkSpace**] (WorkSpace のリビルドとリストア) を選択すると、最新のスナップショットの日付と時刻が表示されます。

  WorkSpace を再構築すると、再構築が完了した直後に (多くの場合 30 分以内に) 新しいスナップショットも作成されます。
+ プライマリ Elastic Network Interface が再作成されます。WorkSpace は新しいプライベート IP アドレスを受け取ります。

**重要**  
2020 年 1 月 14 日以降、パブリック Windows 7 バンドルから作成された WorkSpaces を再構築することはできません。Windows 7 の WorkSpaces については、Windows 10 への移行を検討することをお勧めします。詳細については、「[WorkSpaces Personal で WorkSpace を移行する](migrate-workspaces.md)」を参照してください。

WorkSpace を再構築できるのは、次の条件が満たされている場合のみです。
+ WorkSpace の状態は、`AVAILABLE`、`ERROR`、`UNHEALTHY`、`STOPPED`、または `REBOOTING` である必要があります。`REBOOTING` 状態の WorkSpace を再構築するには、[RebuildWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_RebuildWorkspaces.html) API オペレーションまたは [rebuild-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/rebuild-workspaces.html) AWS CLI コマンドを使用する必要があります。
+ ユーザーボリュームのスナップショットが存在する必要があります。

**WorkSpace を再構築するには**
**警告**  
暗号化された WorkSpace を再構築するには、AWS KMS キーが有効であることを最初に確認します。有効でない場合、WorkSpace は使用できません。KMS キーが有効になっているかどうかを確認する方法については、「*AWS Key Management Service デベロッパーガイド*」の 「[コンソールで KMS キーを表示する](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)」を参照してください。

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. 再ビルドする WorkSpace を選択したら、**[Actions]** (アクション)、**[Rebuild / Restore WorkSpace]** (WorkSpace の再ビルド / 復元) の順に選択します。

1. **[Snapshot]** (スナップショット) で、スナップショットのタイムスタンプを選択します。

1. [**Rebuild**] を選択します。

**AWS CLI を使用して WorkSpace を再構築するには**  
[rebuild-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/rebuild-workspaces.html) コマンドを使用します。

**トラブルシューティング**  
Active Directory でユーザーの **sAMAccountName** ユーザー命名属性を変更した後に WorkSpace を再構築すると、次のエラーメッセージが表示されることがあります。

```
"ErrorCode": "InvalidUserConfiguration.Workspace"
"ErrorMessage": "The user was either not found or is misconfigured."
```

この問題を回避するには、ユーザー命名属性を元に戻してから再ビルドをするか、そのユーザー用に新しい WorkSpace を作成します。

**Microsoft Entra ID に参加済みの WorkSpaces を再構築する**  
ユーザーが再構築後に初めて WorkSpace にログインするときは、新しい WorkSpace が割り当てられたときと同様に、Out of Box Experience (OOBE) を再度実行する必要があります。その結果、WorkSpace に新しいユーザープロファイルフォルダが作成され、元のユーザープロファイルフォルダが上書きされます。したがって、Entra に参加している WorkSpace の再構築中、元のユーザープロファイルフォルダのコンテンツは再構築された WorkSpace の `D:\Users\<USERNAME%MMddyyTHHmmss%.NotMigrated>` に保存されます。デスクトップアイコン、ショートカット、データファイルを含むすべてのユーザープロファイルデータを復元するには、ユーザーが元のプロファイルコンテンツを `D:\Users\<USERNAME%MMddyyTHHmmss%.NotMigrated>` からユーザーのプロファイルフォルダ D:\$1Users\$1<USERNAME> にコピーする必要があります。

**注記**  
Microsoft Entra ID に参加している WorkSpaces では、可能な場合は常に、WorkSpaces の再構築ではなく WorkSpaces の復元を使用することをお勧めします。

# WorkSpaces Personal の WorkSpace を復元する
<a name="restore-workspace"></a>

WorkSpace を復元すると、WorkSpace が正常であったときに取得された各ボリュームのスナップショットを使用して、ルートボリュームとユーザーボリュームの両方が再作成されます。WorkSpace を復元すると、ルートボリュームとユーザーボリュームの両方のデータが、スナップショットが作成された時点までロールバックされます。WorkSpace を再構築すると、ユーザーボリュームのデータのみがロールバックされます。つまり、WorkSpace の再構築にはユーザーボリュームのスナップショットのみが必要であるのに対して、復元にはルートボリュームとユーザーボリュームの両方のスナップショットが必要になります。WorkSpace を再構築するには、「[WorkSpaces Personal の WorkSpace を再構築する](rebuild-workspace.md)」を参照してください。

WorkSpace を復元すると、次の状況が発生します。
+ ルートボリューム (Microsoft Windows の場合はドライブ C、Linux の場合は /) は、スナップショットを使用して、指定された日時で復元されます。スナップショットが作成された後にインストールされたアプリケーション、または変更されたシステム設定は失われます。
+ ユーザーボリューム (Microsoft Windows の場合は D ドライブ、Linux の場合は /home) は、スナップショットを使用して、指定された日時で再作成されます。ユーザーボリュームの現在の内容は上書きされます。

**復元ポイント**  
**[アクション]**、**[WorkSpace のリビルドとリストア]** の順に選択すると、操作に使用されるスナップショットの日付と時刻が表示されます。操作に使用されるスナップショットの日付と時刻を AWS CLI で確認するには、[describe-workspace-snapshots](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-snapshots.html) コマンドを使用します。

**スナップショットが作成される場合**  
ルートボリュームとユーザーボリュームのスナップショットは、次の基準で取得されます。
+ **WorkSpace が最初に作成された後** — 通常、ルートボリュームとユーザーボリュームの最初のスナップショットは、WorkSpace の作成後すぐに (多くの場合 30 分以内に) 作成されます。AWS リージョンによっては、WorkSpace の作成後に最初のスナップショットが作成されるまで数時間かかる場合があります。

  最初のスナップショットが作成される前に WorkSpace が異常になった場合、WorkSpace を復元することはできません。その場合は、[WorkSpace の再構築](rebuild-workspace.md)を試みるか、AWS Support にお問い合わせください。
+ **通常使用中** — WorkSpace の復元時に使用する自動スナップショットは、12 時間ごとにスケジュールされます。WorkSpace が正常であれば、ルートボリュームとユーザーボリュームの両方のスナップショットがほぼ同時に作成されます。WorkSpace に不具合がある場合、スナップショットはユーザーボリュームに対してのみ作成されます。
+ **WorkSpace が復元された後** — WorkSpace を復元すると、復元が完了した直後に (多くの場合 30 分以内に) 新しいスナップショットが作成されます。AWS リージョンによっては、WorkSpace の復元後にこれらのスナップショットが作成されるまで数時間かかる場合があります。

  WorkSpace を復元した後、新しいスナップショットを作成する前に WorkSpace が異常になった場合、WorkSpace を再び復元することはできません。その場合は、[WorkSpace の再構築](rebuild-workspace.md)を試みるか、AWS Support にお問い合わせください。

WorkSpace を復元できるのは、次の条件が満たされている場合のみです。
+ WorkSpace の状態は、`AVAILABLE`、`ERROR`、`UNHEALTHY`、または `STOPPED` である必要があります。
+ ルートボリュームとユーザーボリュームのスナップショットが存在する必要があります。

**WorkSpace を復元するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. 復元する WorkSpace を選択したら、**[Actions]** (アクション)、**[Rebuild / Restore WorkSpace]** (WorkSpace の再ビルド / 復元) の順に選択します。

1. **[Snapshot]** (スナップショット) で、スナップショットのタイムスタンプを選択します。

1. **[復元]** を選択します。

**AWS CLI を使用して WorkSpace を復元するには**  
[restore-workspace](https://docs.aws.amazon.com/cli/latest/reference/workspaces/restore-workspace.html) コマンドを使用します。

# WorkSpaces Personal での Microsoft 365 Bring Your Own License (BYOL)
<a name="byol-microsoft365-licenses"></a>

Amazon WorkSpaces では、Microsoft のライセンス要件を満たしていれば、独自の Microsoft 365 ライセンスを持ち込むことができます。これらのライセンスにより、以下のオペレーティングシステムを搭載した WorkSpaces に Microsoft 365 Apps for enterprise ソフトウェアをインストールしてアクティブ化することができます。
+ Windows 10 (Bring Your Own License)
+ Windows 11 (Bring Your Own License)
+ Windows Server 2016
+ Windows Server 2019
+ Windows Server 2022
+ Windows Server 2025

WorkSpaces で Microsoft 365 Apps for enterprise を使用するには、Microsoft 365 E3/E5、Microsoft 365 A3/A5、Microsoft 365 G3/G5、または Microsoft 365 Business Premium のサブスクリプションが必要です。

Amazon WorkSpaces では、Microsoft 365 ライセンスを使用して、以下を含む Microsoft 365 Apps for enterprise をインストールおよびアクティブ化できます。
+ Microsoft Word
+ Microsoft Excel
+ Microsoft PowerPoint
+ Microsoft Outlook
+ Microsoft OneDrive

詳細については、[Microsoft 365 Apps for enterprise の詳細なリスト](https://www.microsoft.com/en/microsoft-365/enterprise/microsoft-365-apps-for-enterprise-product?activetab=pivot%3Aoverviewtab&market=af&ranMID=24542&ranEAID=QKfOgZNb5HA&ranSiteID=QKfOgZNb5HA-uvIr8evP5gLQf8n3Z0NLJA&epi=QKfOgZNb5HA-uvIr8evP5gLQf8n3Z0NLJA&irgwc=1&OCID=AIDcmm549zy227_aff_7593_1243925&tduid=%28ir__caugvllhggkfbgesuvvv2g21je2xb3afmz3ilkpl00%29%287593%29%281243925%29%28QKfOgZNb5HA-uvIr8evP5gLQf8n3Z0NLJA%29%28%29&irclickid=_caugvllhggkfbgesuvvv2g21je2xb3afmz3ilkpl00)を参照してください。

Microsoft 365 に含まれていない Microsoft アプリケーション (Microsoft Project、Microsoft Visio、Microsoft Power Automate など) を WorkSpaces にインストールすることもできますが、自分の追加ライセンスを用意する必要があります。

プライマリ WorkSpaces とフェイルオーバー WorkSpaces には[マルチリージョンレジリエンス](https://docs.aws.amazon.com/workspaces/latest/adminguide/multi-region-resilience.html)を使用して、Microsoft 365 やその他の Microsoft アプリケーションをインストールして使用できます。

**Topics**
+ [Microsoft 365 Apps for enterprise でワークスペースを作成](#create-workspaces-microsoft365)
+ [既存の WorkSpaces を移行して、Microsoft 365 Apps for enterprise を使用する](#migrate-workspaces-microsoft365)
+ [WorkSpaces で Microsoft 365 Apps for enterprise を更新する](#microsoft365-update)

## Microsoft 365 Apps for enterprise でワークスペースを作成
<a name="create-workspaces-microsoft365"></a>

Microsoft 365 Apps for enterprise で WorkSpaces を作成するには、アプリケーションをインストールしたカスタムイメージを作成し、それを使用してカスタムバンドルを作成する必要があります。このバンドルを使用して、アプリケーションがインストールされた新しい WorkSpaces を起動できます。WorkSpaces では、Microsoft 365 Apps for enterprise のパブリックバンドルは提供していません。

**Microsoft 365 Apps for enterprise で WorkSpace を作成するには:**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. 他の Microsoft アプリケーション WorkSpaces のイメージとして使用する WorkSpace を起動します。ここに Microsoft アプリケーションをインストールします。WorkSpaces の起動の詳細については、「[WorkSpaces を使用して仮想デスクトップを起動する](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)」を参照してください。

1. [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) でクライアントアプリケーションを起動し、招待メールに記載されている登録コードを入力して、**[登録]** を選択します。

1. サインインするように求められたら、ユーザーのサインイン認証情報を入力し、**[Sign In]** (サインイン) を選択します。

1. Microsoft 365 Apps for enterprise をインストールして設定します。

1. WorkSpace からカスタムイメージを作成し、それを使用してカスタムバンドルを作成します。カスタムイメージとバンドルの作成の詳細については、「[カスタムの WorkSpaces イメージとバンドルの作成](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-custom-bundle.html)」を参照してください。

1. 作成したカスタムバンドルを使用して WorkSpaces を起動します。これらの WorkSpaces には、Microsoft 365 Apps for enterprise がインストールされています。

## 既存の WorkSpaces を移行して、Microsoft 365 Apps for enterprise を使用する
<a name="migrate-workspaces-microsoft365"></a>

WorkSpaces に による Microsoft Office ライセンスがない場合は AWS、WorkSpaces に Microsoft 365 Apps for enterprise をインストールして設定できます。

 WorkSpaces に を通じて Microsoft Office ライセンスがある場合は AWS、エンタープライズ用 Microsoft 365 Apps をインストールする前に、まず Microsoft Office ライセンスの登録を解除する必要があります。

**重要**  
WorkSpaces から Microsoft Office アプリケーションをアンインストールしても、ライセンスは登録解除されません。Microsoft Office ライセンスの料金が発生しないようにするには、次のいずれか AWS を実行して、 を使用して Microsoft Office アプリケーションから WorkSpaces を登録解除します。  
 **アプリケーションの管理** (推奨) – Microsoft Office バージョンのライセンスを WorkSpaces からアンインストールできます。詳細については、「[アプリケーションの管理](manage-applications)」を参照してください。アンインストール後は、WorkSpaces に Microsoft 365 Apps for enterprise をインストールできます。
 **WorkSpace の移行** – ユーザーボリューム上のデータを保持しながら、1 つのバンドルから別のバンドルに WorkSpace を移行できます。  
WorkSpaces を Microsoft Office サブスクリプションのないイメージを含むバンドルに移行します。移行が完了すると、WorkSpaces に Microsoft 365 Apps for enterprise をインストールできます。
または、イメージに既に Microsoft 365 Apps for enterprise がインストールされているカスタム WorkSpaces イメージとバンドルを作成してから、WorkSpaces をこの新しいカスタムバンドルに移行します。移行が完了すると、WorkSpaces ユーザーは Microsoft 365 Apps for enterprise の使用を開始できます。
WorkSpaces の移行方法の詳細については、「[WorkSpace の移行](migrate-workspaces)」を参照してください。

## WorkSpaces で Microsoft 365 Apps for enterprise を更新する
<a name="microsoft365-update"></a>

デフォルトでは、Microsoft Windows オペレーティングシステムで実行されている WorkSpaces は Windows Update から更新プログラムを受信するように設定されています。ただし、Microsoft 365 Apps for enterprise の更新プログラムは Windows Update ではご利用いただけません。更新を Office CDN から自動的に実行するように設定するか、Windows Server Update Services (WSUS) を Microsoft Configuration Manager と組み合わせて使用して Microsoft 365 Apps for enterprise を更新します。詳細については、「[Microsoft Configuration Manager を使用して Microsoft 365 Apps の更新プログラムを管理する](https://learn.microsoft.com/en-us/deployoffice/updates/manage-microsoft-365-apps-updates-configuration-manager)」を参照してください。Microsoft 365 アプリケーションの更新頻度を設定するには、更新チャネルを指定し、Microsoft 365 on WorkSpaces のライセンスポリシーに準拠するように、[現在のチャネル] または [月次エンタープライズチャネル] に設定します。

# WorkSpaces Personal で Windows BYOL WorkSpaces をアップグレードする
<a name="upgrade-windows-10-byol-workspaces"></a>

Windows Bring-Your-Own-License (BYOL) WorkSpaces では、インプレースアップグレードプロセスを使用して新しいバージョンの Windows にアップグレードできます。アップグレードするには、このトピックの手順に従います。

インプレースアップグレードプロセスは、Windows 10 および 11 の BYOL WorkSpaces にのみ適用されます。

**重要**  
アップグレード済みの WorkSpace で Sysprep を実行しないでください。その場合、Sysprep が終了できないエラーが発生することがあります。Sysprep を実行する予定の場合は、アップグレードされていない WorkSpace のみで使用してください。

**注記**  
このプロセスを使用して Windows 10 および 11 の WorkSpaces を新しいバージョンにアップグレードできます。ただし、このプロセスを使用して Windows 10 WorkSpaces を Windows 11 にアップグレードすることはできません。

**Topics**
+ [前提条件](#upgrade_byol_prerequisites)
+ [考慮事項](#upgrade_byol_important_considerations)
+ [既知の制限事項](#byol-known-limitations)
+ [レジストリキー設定の概要](#upgrade_byol_registry_summary)
+ [インプレースアップグレードの実行](#upgrade_byol_procedure)
+ [トラブルシューティング](#byol-troubleshooting)
+ [PowerShell スクリプトを使用して WorkSpace レジストリを更新する](#update-windows-10-byol-script)

## 前提条件
<a name="upgrade_byol_prerequisites"></a>
+ グループポリシーや System Center Configuration Manager (SCCM) を使用して Windows 10 および 11 のアップグレードを延期または一時停止した場合は、Windows 10 および 11 の WorkSpaces に対してオペレーティングシステムのアップグレードを有効にします。
+ WorkSpace が自動停止 WorkSpace である場合は、AlwaysOn WorkSpace に変更してからインプレースアップグレードプロセスを開始し、更新の適用中に自動停止しないようにします。詳細については、「[実行モードを変更する](running-mode.md#modify-running-mode)」を参照してください。WorkSpace を AutoStop に設定したままにする場合は、アップグレードの実行中に自動停止時間を 3 時間以上に変更します。
+ インプレースアップグレードプロセスでは、Default User (`C:\Users\Default`) という名前の特別なプロファイルのコピーを作成することで、ユーザープロファイルを再作成します。このデフォルトのユーザープロファイルを使用してカスタマイズを行わないでください。代わりに、グループポリシーオブジェクト (GPO) を使用してユーザープロファイルをカスタマイズすることをお勧めします。GPO を使用して行ったカスタマイズは変更やロールバックが容易なため、エラーが発生しにくくなります。
+ インプレースアップグレードプロセスでは、1 つのユーザープロファイルだけをバックアップおよび再作成できます。ドライブ D に複数のユーザープロファイルがある場合は、必要なプロファイルを除くすべてのプロファイルを削除します。

## 考慮事項
<a name="upgrade_byol_important_considerations"></a>

インプレースアップグレードプロセスでは、2 つのレジストリスクリプト (`enable-inplace-upgrade.ps1` および `update-pvdrivers.ps1`) を使用して、Windows Update プロセスの実行に必要な変更を WorkSpaces に加えます。これらの変更には、ドライブ D ではなくドライブ C に (一時的な) ユーザープロファイルを作成することが含まれます。ユーザープロファイルがドライブ D にすでに存在する場合、その元のユーザープロファイルのデータはドライブ D に残ります。

デフォルトでは、WorkSpaces は `D:\Users\%USERNAME%` にユーザープロファイルを作成します。`enable-inplace-upgrade.ps1` スクリプトは、`C:\Users\%USERNAME%` に新しいユーザープロファイルを作成するように Windows を設定し、ユーザーシェルフォルダを `D:\Users\%USERNAME%` にリダイレクトします。この新しいユーザープロファイルは、ユーザーが初めてログオンしたときに作成されます。

インプレースアップグレード後、ユーザープロファイルをドライブ C に残して、ユーザーが今後に Windows Update プロセスを使用してマシンをアップグレードできるようにすることが可能です。ただし、ドライブ C にプロファイルが保存されている WorkSpaces は、再構築または移行すると、自分でデータをバックアップして復元しない限り、ユーザープロファイルのすべてのデータは失われます。ドライブ C にプロファイルを残す場合は、このトピックで後述するように、**UserShellFoldersRedirection** レジストリキーを使用して、ユーザーシェルフォルダをドライブ D にリダイレクトできます。

WorkSpaces を確実に再構築または移行できるようにしたり、ユーザーシェルフォルダのリダイレクトに関する起こり得る問題を回避したりするには、インプレースアップグレード後にユーザープロファイルをドライブ D に復元することをお勧めします。そのためには、このトピックで後述するように、**PostUpgradeRestoreProfileOnD** レジストリキーを使用します。

## 既知の制限事項
<a name="byol-known-limitations"></a>
+ ドライブ D からドライブ C へのユーザープロファイルの場所の変更は、WorkSpace の再構築または移行中には行われません。Windows 10 および 11 の BYOL WorkSpace でインプレースアップグレードを実行してから、その WorkSpace を再構築または移行すると、新しい WorkSpace のドライブ D にユーザープロファイルが作成されます。
**警告**  
インプレースアップグレード後にユーザープロファイルをドライブ C に残しておくと、ドライブ C に保存されているユーザープロファイルデータは、再構築または移行前にユーザープロファイルデータを手動でバックアップし、再構築または移行後に手動で復元しない限り、再構築または移行中に失われます。
+ また、デフォルトの BYOL バンドル内のイメージが旧リリースの Windows 10 および 11 に基づいている場合は、WorkSpace の再構築または移行後に再度インプレースアップグレードを実行する必要があります。

## レジストリキー設定の概要
<a name="upgrade_byol_registry_summary"></a>

インプレースアップグレードプロセスを有効にして、アップグレード後にユーザープロファイルを配置する場所を指定するには、複数のレジストリキーを設定する必要があります。


**レジストリパス: **HKLM:\$1Software\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1****  

| レジストリキー | タイプ | 値 | 
| --- | --- | --- | 
| 有効 | DWORD |  **0** – (デフォルト) インプレースアップグレードを無効にする **1** – インプレースアップグレードを有効にする  | 
| PostUpgradeRestoreProfileOnD | DWORD |  **0** – (デフォルト) インプレースアップグレード後にユーザープロファイルパスの復元を試みない **1** – インプレースアップグレード後にユーザープロファイルパス (**ProfileImagePath**) を復元する  | 
| UserShellFoldersRedirection | DWORD |  **0** – ユーザーシェルフォルダのリダイレクトを有効にしない **1** – (デフォルト) ユーザープロファイルが `D:\Users\%USERNAME%` で再生成された後、`C:\Users\%USERNAME%` へのユーザーシェルフォルダのリダイレクトを有効にする  | 
| NoReboot | DWORD |  **0** – (デフォルト) ユーザープロファイルのレジストリを変更した後、再起動するタイミングを制御することを許可する **1** – ユーザープロファイルのレジストリを変更した後、スクリプトが WorkSpace を再起動することを許可しない  | 


**レジストリパス: **HKLM:\$1Software\$1Amazon\$1WorkSpacesConfig\$1update-pvdrivers.ps1****  

| レジストリキー | タイプ | 値 | 
| --- | --- | --- | 
| 有効 | DWORD |  **0** – (デフォルト) AWS PV ドライバーの更新を無効にします **1** – PV AWS ドライバーの更新を有効にする  | 

## インプレースアップグレードの実行
<a name="upgrade_byol_procedure"></a>

BYOL WorkSpaces でインプレース Windows アップグレードを有効にするには、以下の手順で説明するように、特定のレジストリキーを設定する必要があります。また、特定のレジストリキーを設定して、インプレースアップグレードの完了後にユーザープロファイルを配置するドライブ (C または D) を指定する必要があります。

これらのレジストリの変更は手動で行うことができます。複数の WorkSpaces を更新する場合は、グループポリシーまたは SCCM を使用して PowerShell スクリプトをプッシュできます。サンプルの PowerShell スクリプトについては、[PowerShell スクリプトを使用して WorkSpace レジストリを更新する](#update-windows-10-byol-script) を参照してください。

**Windows 10 および 11 のインプレースアップグレードを実行するには**

1. 更新する Windows 10 および 11 の BYOL WorkSpaces で現在実行されている Windows のバージョンを確認し、システムを再起動します。

1. 以下の Windows システムレジストリキーを更新し、[**有効**] の値データを **0** から **1** に変更します。これらのレジストリ変更により、WorkSpace のインプレースアップグレードが有効になります。
   + **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1**
   + **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1update-pvdrivers.ps1**
**注記**  
これらのキーが存在しない場合は、WorkSpace を再起動します。システムを再起動すると、キーが追加されます。

   (オプション) SCCM Task Sequences などのマネージド型ワークフローを使用してアップグレードを実行する場合は、次のキー値を **1** に設定してコンピュータが再起動しないようにします。

   **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1\$1NoReboot**

1. インプレースアップグレードプロセス後にユーザープロファイルを配置するドライブを決定し (詳細については「[考慮事項](#upgrade_byol_important_considerations)」を参照)、以下のようにレジストリキーを設定します。
   + アップグレード後にドライブ C にユーザープロファイルが必要な場合の設定:

     **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1**

     キー名: **PostUpgradeRestoreProfileOnD**

     キー値: **0**

     キー名: **UserShellFoldersRedirection**

     キー値: **1**
   + アップグレード後にドライブ D にユーザープロファイルが必要な場合の設定:

     **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1**

     キー名: **PostUpgradeRestoreProfileOnD**

     キー値: **1**

     キー名: **UserShellFoldersRedirection**

     キー値: **0**

1. レジストリに変更を保存したら、再び WorkSpace を再起動して変更を適用します。
**注記**  
再起動後に WorkSpace にログインすると、新しいユーザープロファイルが作成されます。[**スタート**] メニューにプレースホルダーアイコンが表示される場合があります。この動作は、インプレースアップグレードが完了すると自動的に解決されます。
WorkSpace のブロックが解除されるまで約 10 分かかります。

   (オプション) 次のキー値が **1** に設定されていることを確認します。この設定で、WorkSpace がブロック解除され、更新可能になります。

   **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1\$1profileImagePathDeleted**

1. インプレースアップグレードを実行します。必要に応じて、SCCM、ISO、Windows Update (WU) のいずれの方法も使用できます。元の Windows 10 および 11 バージョンとインストール済みのアプリ数に応じて、このプロセスの所要時間は 40 〜 120 分です。
**注記**  
インプレースアップグレードプロセスには、最低 1 時間かかる可能性があります。WorkSpace インスタンスの状態は、アップグレード中に `UNHEALTHY` として表示されることがあります。

1. 更新プロセスが完了したら、Windows のバージョンが更新されていることを確認します。
**注記**  
インプレースアップグレードが失敗すると、Windows は自動的にロールバックし、アップグレードを開始する前に存在していた Windows 10 および 11 バージョンを使用します。トラブルシューティングの詳細については、[Microsoft の関連ドキュメント](https://docs.microsoft.com/en-us/windows/deployment/upgrade/resolve-windows-10-upgrade-errors)を参照してください。

   (オプション) 更新スクリプトが正常に実行されたことを確認するには、次のキー値が **1** に設定されていることを確認します。

   **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1\$1scriptExecutionComplete**

1. AlwaysOn に設定するか、自動停止時間を変更することで WorkSpace の実行モードを変更し、インプレースアップグレードプロセスを中断することなく実行できるようにした場合は、実行モードを元の設定に戻します。詳細については、「[実行モードを変更する](running-mode.md#modify-running-mode)」を参照してください。

**PostUpgradeRestoreProfileOnD** レジストリキーを **1** に設定していない場合、ユーザープロファイルは Windows によって再生成され、インプレースアップグレード後に `C:\Users\%USERNAME%` に配置されるため、今後の Windows 10 および 11 のインプレースアップグレードで上記の手順を再度実行する必要はありません。デフォルトでは、`enable-inplace-upgrade.ps1` スクリプトは以下のシェルフォルダをドライブ D にリダイレクトします。
+ `D:\Users\%USERNAME%\Downloads`
+ `D:\Users\%USERNAME%\Desktop`
+ `D:\Users\%USERNAME%\Favorites`
+ `D:\Users\%USERNAME%\Music`
+ `D:\Users\%USERNAME%\Pictures`
+ `D:\Users\%USERNAME%\Videos`
+ `D:\Users\%USERNAME%\Documents`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Network Shortcuts`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\SendTo`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Templates`

シェルフォルダを WorkSpaces の他の場所にリダイレクトする場合は、インプレースアップグレード後に WorkSpaces で必要な操作を実行してください。

## トラブルシューティング
<a name="byol-troubleshooting"></a>

更新中に問題が発生した場合は、以下の項目をチェックしてトラブルシューティングに役立てます。
+ Windows ログ。デフォルトでは、以下の場所にあります。

  `C:\Program Files\Amazon\WorkSpacesConfig\Logs\`

  `C:\Program Files\Amazon\WorkSpacesConfig\Logs\TRANSMITTED`
+ Windows イベントビューア。

  Windows ログ > Application > Source: Amazon WorkSpaces

**ヒント**  
インプレースアップグレード中にデスクトップの一部のアイコンのショートカットが正常に動作しなくなった場合、アップグレードの準備のために WorkSpaces によってドライブ D のユーザープロファイルがドライブ C に移動されたことが原因です。アップグレードが完了すると、ショートカットは正常に動作します。

### ISO エラー解決を使用した Windows 11 24H2 のアップグレード
<a name="upgrade-iso-resolution"></a>

Windows 11 24H2 のアップグレードプロセスでは、2 番目の起動フェーズ中に重大な起動エラーが発生する可能性があります (具体的には、エラーコード 0xC1900101 - 0x40017 が表示されます)。通常このエラーは、ブートオペレーションフェーズ中に、システムドライバーファイルが存在しないか破損していることが原因でインストールを正常に完了できないために発生します。

*エラーコード:* 0xC1900101 - 0x40017

*エラーの説明:* SECOND\$1BOOT フェーズ中の BOOT オペレーションエラーによるインストール失敗

1. Windows 11 24H2 の ISO ファイルがあることを確認します。

1. 管理者としてコマンドプロンプトを開きます。

1. 次のコマンドを使用して、必要なシステムファイルをコピーします。

   ```
   copy "ISO-Drive:\Sources\WinSetupMon.sys" "C:\Windows\System32\Drivers\"
   ```

   **ISO-Drive** を ISO ドライブ情報に置き換えます。

1. 次を使用してファイルのコピーを検証します。

   ```
   C:\Windows\System32\Drivers\
   ```

1. ISO ファイルを使用して Windows 11 24H2 アップグレードを開始します。

## PowerShell スクリプトを使用して WorkSpace レジストリを更新する
<a name="update-windows-10-byol-script"></a>

次のサンプルの PowerShell スクリプトを使用して WorkSpaces のレジストリを更新し、インプレースアップグレードを有効にすることができます。[インプレースアップグレードの実行](#upgrade_byol_procedure) に従いますが、このスクリプトを使用して各 WorkSpace のレジストリを更新します。

```
# AWS WorkSpaces 1.28.20
# Enable In-Place Update Sample Scripts
# These registry keys and values will enable scripts to run on the next reboot of the WorkSpace.
 
$scriptlist = ("update-pvdrivers.ps1","enable-inplace-upgrade.ps1")
$wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig"
$Enabled = 1
$script:ErrorActionPreference = "Stop"
 
foreach ($scriptName in $scriptlist)
{
    $scriptRegKey = "$wsConfigRegistryRoot\$scriptName"
    
    try
    {
        if (-not(Test-Path $scriptRegKey))
        {        
            Write-Host "Registry key not found. Creating registry key '$scriptRegKey' with 'Update' enabled."
            New-Item -Path $wsConfigRegistryRoot -Name $scriptName | Out-Null
            New-ItemProperty -Path $scriptRegKey -Name Enabled -PropertyType DWord -Value $Enabled | Out-Null
            Write-Host "Value created. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"
        }
        else
        {
            Write-Host "Registry key is already present with value '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"
            if((Get-ItemProperty -Path $scriptRegKey).Enabled -ne $Enabled)
            {
                Set-ItemProperty -Path $scriptRegKey -Name Enabled -Value $Enabled
                Write-Host "Value updated. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"
            }
        }
    }
    catch
    {
        write-host "Stopping script, the following error was encountered:" `r`n$_ -ForegroundColor Red
        break
    }
}
```

# WorkSpaces Personal で WorkSpace を移行する
<a name="migrate-workspaces"></a>

**注記**  
 AWS を通じてWorkSpace から Microsoft Office バージョンのライセンスをサブスクリプション解除またはアンインストールする場合は、[[アプリケーションの管理](manage-applications)] を使用することをお勧めします。

ユーザーボリューム上のデータを保持しながら、1 つのバンドルから別のバンドルに WorkSpace を移行できます。サンプルシナリオを以下に示します。
+ Windows 7 デスクトップエクスペリエンスから Windows 10 デスクトップエクスペリエンスに WorkSpaces を移行できます。
+ WorkSpaces を PCoIP プロトコルから DCV に移行できます。
+ Windows Server 2016 搭載の WorkSpaces に 32 ビットの Microsoft Office が付属したバンドルから、Windows Server 2019 および Windows Server 2022 搭載の WorkSpaces に 64 ビットの Microsoft Office が付属したバンドルに、WorkSpaces を移行できます。
+ また、あるパブリックバンドルまたはカスタムバンドルから別のバンドルに WorkSpaces を移行することもできます。たとえば、GPU 対応 (Graphics.g6、Graphics.g4dn。 GraphicsPro.g4dn,Graphics、GraphicsPro) バンドルを non-GPU-enabledバンドルにバンドルします。
+ WorkSpaces を Windows 10 BYOL から Windows 11 BYOL に移行することはできますが、Windows 11 から Windows 10 への移行はサポートされていません。
+ バリューバンドルは Windows 11 ではサポートされていません。Windows 7 または 10 のバリューバンドル WorkSpaces を Windows 11 に移行するには、まずバリュー WorkSpaces をより大きなバンドルサービスに切り替える必要があります。
+ WorkSpaces を Windows 7 から Windows 11 に移行する前に、Windows 10 に移行する必要があります。Windows 11 に移行する前に、Windows 10 WorkSpace に少なくとも 1 回ログインしてください。Windows 7 WorkSpaces から Windows 11 への直接の移行はサポートされていません。
+ を通じて Microsoft Office を使用する Windows WorkSpaces AWS を、Microsoft 365 アプリケーションを使用するカスタム WorkSpaces バンドルに移行できます。移行後、WorkSpaces は Microsoft Office からサブスクリプション解除されます。
+ Microsoft Office を使用する Windows WorkSpaces AWS を、Office 2016/2019 サブスクリプションなしで WorkSpaces バンドルに移行できます。移行後、WorkSpaces は Microsoft Office からサブスクリプション解除されます。
+ BYOL BYOP WorkSpaces を Windows 10 から Windows 11 に移行し、ライセンス込みの BYOP WorkSpaces を Windows Server 2019 から Windows Server 2022 に移行できます。
+ Windows Server を搭載した WorkSpace バンドルは、Windows Server 2025 に移行できます。移行後、DCV ストリーミングプロトコルを使用して、グラフィックを多用するアプリケーションでも、さまざまなネットワーク条件でも、より強力なクライアントデバイスでも、高性能のリモートデスクトップストリーミングを有効にします。
+ Windows Server ライセンスに含まれている BYOP WorkSpace バンドルを BYOP Windows Server 2025 に移行できます。

Amazon WorkSpaces バンドルの詳細については、[WorkSpaces Personal のバンドルとイメージ](amazon-workspaces-bundles.md) を参照してください。

移行プロセスでは、ターゲットバンドルイメージからの新しいルートボリュームと、元の WorkSpace の最後に利用可能なスナップショットからのユーザーボリュームを使用して WorkSpace を再作成します。移行中に新しいユーザープロファイルが生成され、互換性が向上します。古いユーザープロファイルの名前が変更され、古いユーザープロファイル内の特定のファイルが新しいユーザープロファイルに移動されます (移動対象の詳細については、[移行中の動作](#during-migration) を参照してください。)

移行プロセスには、WorkSpace ごとに最大 1 時間かかります。移行プロセスを開始すると、新しい WorkSpace が作成されます。移行の成功を妨げるエラーが発生した場合、元の WorkSpace が復旧されて元の状態に戻り、新しい WorkSpace が終了します。

**Contents**
+ [移行の制限](#migration-limits)
+ [移行シナリオ](#migration-scenarios)
+ [移行中の動作](#during-migration)
+ [ベストプラクティス](#migration-best-practices)
+ [トラブルシューティング](#migration_troubleshooting)
+ [請求への影響](#migration-billing)
+ [WorkSpace の移行](#migration-workspaces)

## 移行の制限
<a name="migration-limits"></a>
+ パブリックまたはカスタムの Windows 7 デスクトップエクスペリエンスバンドルに移行することはできません。また、Bring-Your-Own-License (BYOL) Windows 7 バンドルに移行することもできません。
+ BYOL WorkSpaces は、他の BYOL バンドルにのみ移行できます。BYOL WorkSpace を PCoIP から DCV に移行するには、最初に DCV プロトコルを使用して BYOL バンドルを作成する必要があります。その後、PCoIP BYOL WorkSpaces をその DCV BYOL バンドルに移行できます。
+ パブリックバンドルまたはカスタムバンドルから作成された WorkSpace を BYOL バンドルに移行することはできません。
+ DCV プロトコルは、Windows で Graphics G6 バンドル、Graphics.g4dn、GraphicsPro.g4dn をサポートしています。Ubuntu では、Graphics.g4dn と GraphicsPro.g4dn のみを使用できます。
+ PCoIP プロトコルは、Windows でのみ Graphics.g4dn および GraphicsPro.g4dn バンドルをサポートしています。
+ Linux WorkSpaces の移行は現在サポートされていません。
+ 複数の言語をサポートする AWS リージョンでは、言語バンドル間で WorkSpaces を移行できます。
+ ソースバンドルとターゲットバンドルは異なっている必要があります (ただし、複数の言語をサポートするリージョンでは、言語が異なる限り、同じ Windows 10 バンドルに移行できます)。同じバンドルを使用して WorkSpace を更新する場合は、代わりに [WorkSpace を再構築します](rebuild-workspace.md)。
+ リージョン間で WorkSpaces を移行することはできません。
+ 場合によっては、移行が正常に完了しない場合、エラーメッセージが表示されず、移行プロセスが開始されなかったように見えることがあります。移行の試行後 1 時間経過しても WorkSpace バンドルが同じである場合、移行は失敗します。[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にアクセスしてサポートをお求めください。
+ BYOP WorkSpaces を PCoIP または DCV WorkSpaces に移行することはできません。
+ Active Directory ドメインに参加している WorkSpaces を Microsoft Entra に参加している WorkSpaces に移行することはできません。

## 移行シナリオ
<a name="migration-scenarios"></a>

次の表に、可能な移行シナリオを示します。


| 移行元 OS | 移行先 OS | 使用可能 | 
| --- | --- | --- | 
|  パブリックまたはカスタムバンドル Windows 7  |  パブリックまたはカスタムバンドル Windows 10  |  はい  | 
|  カスタムバンドル Windows 7  |  パブリックバンドル Windows 7  |  いいえ  | 
|  カスタムバンドル Windows 7  |  カスタムバンドル Windows 7  |  いいえ  | 
|  パブリックバンドル Windows 7  |  カスタムバンドル Windows 7  |  いいえ  | 
|  パブリックまたはカスタムバンドル Windows 10  |  パブリックまたはカスタムバンドル Windows 7  |  いいえ  | 
|  パブリックまたはカスタムバンドル Windows 10  |  カスタムバンドル Windows 10  |  はい  | 
|  Windows 7 の BYOL バンドル  |  Windows 7 の BYOL バンドル  | いいえ | 
| Windows 7 の BYOL バンドル |  Windows 10 の BYOL バンドル  |  はい  | 
|  Windows 10 の BYOL バンドル  |  Windows 7 の BYOL バンドル  |  いいえ  | 
|  Windows 10 の BYOL バンドル  |  Windows 10 の BYOL バンドル  |  はい  | 
|  Windows Server 2016 搭載のパブリック Windows 10 バンドル  |  Windows Server 2019 搭載のパブリック Windows 10 バンドル  |  はい  | 
|  Windows Server 2019 搭載のパブリック Windows 10 バンドル  |  Windows Server 2016 搭載のパブリック Windows 10 バンドル  |  はい  | 
|  Windows 10 の BYOL バンドル  |  Windows 11 の BYOL バンドル  |  はい  | 
|  Windows 11 の BYOL バンドル  |  Windows 10 の BYOL バンドル  |  いいえ  | 
|  Windows Server 2016 搭載のカスタム Windows 10 バンドル  |  Windows Server 2019 搭載のパブリック Windows 10 バンドル  |  はい  | 
|  Windows Server 2016 搭載のカスタム Windows 10 バンドル  |  Windows Server 2022 搭載のパブリック Windows 10 バンドル  |  はい  | 
|  Windows Server 2019 搭載のカスタム Windows 10 バンドル  |  Windows Server 2022 搭載のパブリック Windows 10 バンドル  |  はい  | 
| Windows 10 BYOP BYOL | Windows 11 BYOP BYOL | はい | 
| Windows 11 BYOP BYOL | Windows 10 BYOP BYOL | いいえ | 
| Windows Server 2019 搭載のパブリック BYOP  | Windows Server 2022 搭載のパブリック BYOP  | はい | 
| Windows Server 2022 搭載のパブリック BYOP  | Windows Server 2019 搭載のパブリック BYOP  | いいえ | 
| Windows Server 2019 搭載のパブリック BYOP  | Windows Server 2025 搭載のパブリック BYOP  | はい | 
| Windows Server 2025 搭載のパブリック BYOP  | Windows Server 2019 搭載のパブリック BYOP  | いいえ | 
| Windows Server 2022 搭載のパブリック BYOP  | Windows Server 2025 搭載のパブリック BYOP  | はい | 
| Windows Server 2025 搭載のパブリック BYOP  | Windows Server 2022 搭載のパブリック BYOP  | いいえ | 
| Windows Server 2019 搭載のパブリック Windows 10 バンドル  | Windows Server 2025 搭載のパブリック BYOP  | はい | 
| Windows Server 2019 搭載のカスタム Windows 10 バンドル  | Windows Server 2025 搭載のパブリック BYOP  | はい | 
| Windows Server 2022 搭載のパブリック Windows 10 バンドル  | Windows Server 2025 搭載のパブリック BYOP  | はい | 
| Windows Server 2022 搭載のカスタム Windows 10 バンドル  | Windows Server 2025 搭載のパブリック BYOP  | はい | 

**注記**  
Windows Server 2019 搭載のパブリック Windows 10 バンドル PCoIP ブランチでは、Web Access は使用できません。

## 移行中の動作
<a name="during-migration"></a>

移行中は、ユーザーボリューム (ドライブ D) 上のデータは保持されますが、ルートボリューム (ドライブ C) 上のすべてのデータは失われます。つまり、インストールされているアプリケーション、設定、およびレジストリの変更は、いずれも保持されません。古いユーザープロファイルフォルダの名前が `.NotMigrated` サフィックスで変更され、新しいユーザープロファイルが作成されます。

移行プロセスでは、元のユーザーボリュームの最後のスナップショットに基づいてドライブ D が再作成されます。新しい WorkSpace の初回起動時に、移行プロセスで元の `D:\Users\%USERNAME%` フォルダが `D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` という名前のフォルダに移動されます。新しい OS によって新しい `D:\Users\%USERNAME%\` フォルダが生成されます。

新しいユーザープロファイルが作成されると、次のユーザーシェルフォルダ内のファイルが古い `.NotMigrated` プロファイルから新しいプロファイルに移動します。
+ `D:\Users\%USERNAME%\Desktop`
+ `D:\Users\%USERNAME%\Documents`
+ `D:\Users\%USERNAME%\Downloads`
+ `D:\Users\%USERNAME%\Favorites`
+ `D:\Users\%USERNAME%\Music`
+ `D:\Users\%USERNAME%\Pictures`
+ `D:\Users\%USERNAME%\Videos`

**重要**  
移行プロセスでは、古いユーザープロファイルから新しいプロファイルへのファイルの移動が試みられます。移行中に移動されなかったファイルは、`D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` フォルダ内に残ります。移行が成功すると、どのファイルが移動されたかを `C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs` で確認できます。自動的に移動されなかったファイルは、手動で移動できます。  
デフォルトでは、パブリックバンドルではローカル検索インデックス作成が無効になっています。有効にすると、デフォルトでは `C:\Users` ではなく `D:\Users` を検索する設定となるため、それも調整する必要があります。ローカル検索インデックス作成を `D:\Users\username` に設定し、`D:\Users` に設定していない場合、`D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` フォルダ内のユーザーファイルの移行後にローカル検索インデックス作成が機能しないことがあります。

元の WorkSpace に割り当てられたタグは移行中に引き継がれ、WorkSpace の実行モードは保持されます。ただし、新しい WorkSpace は、新しい WorkSpace ID、コンピュータ名、および IP アドレスを取得します。

## ベストプラクティス
<a name="migration-best-practices"></a>

WorkSpace を移行する前に、次の操作を行います。
+ ドライブ C の重要なデータを別の場所にバックアップします。ドライブ C 上のすべてのデータは、移行中に消去されます。
+ ユーザーボリュームのスナップショットが作成されたことを確認するために、移行中の WorkSpace の経過時間が 12 時間以上であることを確認します。Amazon WorkSpaces コンソールの [**Migrate WorkSpaces**] (WorkSpace の移行) ページで、最後のスナップショットの時刻を確認できます。最後のスナップショット以降に作成されたデータは、移行中に失われます。
+ データの損失を避けるために、ユーザーがWorkSpaces からログアウトし、移行プロセスが完了するまでログインし直さないようにしてください。WorkSpaces が `ADMIN_MAINTENANCE` モードになっている場合は移行できないことに注意してください。
+ 移行する WorkSpaces のステータスが、`AVAILABLE`、`STOPPED`、または `ERROR` であることを確認します。
+ 移行する WorkSpaces に十分な IP アドレスがあることを確認します。移行中に、新しい IP アドレスが WorkSpaces に割り当てられます。
+ スクリプトを使用して WorkSpaces を移行する場合、一度に移行できる WorkSpace のバッチの最大数は 25 です。

## トラブルシューティング
<a name="migration_troubleshooting"></a>
+ 移行後にファイルが見つからないことについてユーザーから報告があった場合は、移行プロセス中にユーザープロファイルファイルが移動されなかったかどうかを確認します。どのファイルが移動されたかは、`C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs` で確認できます。移動されなかったファイルは、`D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` フォルダに配置されます。自動的に移動されなかったファイルは、手動で移動できます。
+ API を使用して WorkSpaces を移行し、移行が成功しなかった場合、API によって返されたターゲット WorkSpace ID は使用されず、WorkSpace で元の WorkSpace ID が保持されます。
+ 移行が正常に完了しない場合は、Active Directory で、適切にクリーンアップされたかどうかを確認します。不要になった WorkSpaces は、手動による削除が必要になる場合があります。

## 請求への影響
<a name="migration-billing"></a>

移行が発生する月に、新しい WorkSpaces と元の WorkSpaces の両方に比例配分された金額が請求されます。たとえば、5 月 10 日に WorkSpace A を WorkSpace B に移行すると、5 月 1 日から 5 月 10 日まで WorkSpace A の料金が請求され、5 月 11 日から 5 月 30 日まで WorkSpace B の料金が請求されます。

**注記**  
WorkSpace を別のバンドルタイプに移行する場合 (例えば、Performance から Power へ、または Value から Standard へ)、移行プロセス中にルートボリューム (ドライブ C) とユーザーボリューム (ドライブ D) のサイズが増加する可能性があります。必要に応じて、ルートボリュームは、新しいバンドルのデフォルトのルートボリュームサイズに合わせて増加します。ただし、ユーザーボリュームに対して、元のバンドルのデフォルトとは異なるサイズ (高いサイズまたは低いサイズ) をすでに指定していた場合、移行プロセス中も同じユーザーボリュームサイズが保持されます。それ以外の場合、移行元の WorkSpace ユーザーボリュームサイズとデフォルトのユーザーボリュームサイズのうち、大きい方が使用されます。

## WorkSpace の移行
<a name="migration-workspaces"></a>

WorkSpaces は、Amazon WorkSpaces コンソール、、 AWS CLI または Amazon WorkSpaces API を使用して移行できます。

**WorkSpace を移行するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpace を選択したら、[**アクション**]、[**Migrate WorkSpaces (WorkSpace の移行)**] の順に選択します。

1. **[Bundle]** (バンドル) で、WorkSpace の移行先のバンドルを選択します。
**注記**  
BYOL WorkSpace を PCoIP から DCV に移行するには、最初に DCV プロトコルを使用して BYOL バンドルを作成する必要があります。その後、PCoIP BYOL WorkSpaces をその DCV BYOL バンドルに移行できます。

1. [**Migrate WorkSpaces (WorkSpace の移行)**] を選択します。

   Amazon WorkSpaces コンソールに、ステータスが `PENDING` の新しい WorkSpace が表示されます。移行が完了すると、元の WorkSpace が終了し、新しい WorkSpace のステータスが `AVAILABLE` に設定されます。

1. (オプション) 不要になったカスタムバンドルとイメージを削除する方法については、[WorkSpaces Personal でカスタムバンドルまたはイメージを削除する](delete_bundle.md) を参照してください。

を通じて WorkSpaces を移行するには AWS CLI、[migrate-workspace](https://docs.aws.amazon.com/cli/latest/reference/workspaces/migrate-workspace.html) コマンドを使用します。Amazon WorkSpaces API を使用して WorkSpaces を移行するには、*Amazon WorkSpaces API リファレンス*の [MigrateWorkSpace](https://docs.aws.amazon.com/workspaces/latest/api/API_MigrateWorkspace.html) を参照してください。

# WorkSpaces Personal で WorkSpace を削除する
<a name="delete-workspaces"></a>

不要になった WorkSpace は、削除することができます。関連リソースも削除できます。

**警告**  
WorkSpace の削除は永続的なアクションであり、元に戻すことはできません。WorkSpace ユーザーのデータは保持されず、破棄されます。ユーザーデータのバックアップに関するヘルプについては、AWS Support にお問い合わせください。

**注記**  
Simple AD および AD Connector は、WorkSpaces で無料で利用できます。Simple AD または AD Connector ディレクトリで 30 日間連続使用されている WorkSpaces がない場合、そのディレクトリは Amazon WorkSpaces での使用から自動的に登録解除され、 [AWS Directory Service 料金の条件](https://aws.amazon.com/directoryservice/pricing/)に従って課金されるようになります。  
空のディレクトリを削除するには、[WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md) を参照してください。Simple AD または AD Connector ディレクトリを削除した場合、WorkSpaces を再度ご使用になる際は、いつでも Simple AD または AD Connector を新たに作成できます。

**WorkSpace を削除するには**

状態が **[Suspended]** (一時停止) 以外の WorkSpace は削除できます。

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpace を選択し、**[Delete]** (削除) を選択します。

1. 確認を求めるメッセージが表示されたら、**[Delete WorkSpace]** (WorkSpace の削除) を選択します。WorkSpace が削除されるまで約 5 分かかります。削除中、WorkSpace の状態は **[Terminating]** (終了中) に設定されます。削除が完了すると、コンソールから WorkSpace が消えます。

1. （オプション）不要になったカスタムバンドルとイメージを削除するには、「[WorkSpaces Personal でカスタムバンドルまたはイメージを削除する](delete_bundle.md)」を参照してください。

1. （オプション）ディレクトリのすべての WorkSpaces を削除した後で、ディレクトリを削除することができます。詳細については、「[WorkSpaces Personal でディレクトリを削除する](delete-workspaces-directory.md)」を参照してください。

1. (オプション) ディレクトリの Virtual Private Cloud (VPC) のすべてのリソースを削除した後で、VPC を削除し、NAT ゲートウェイで使用されている Elastic IP アドレスを解放できます。詳細については、*Amazon VPC ユーザーガイド*の [VPC の削除](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting)および [Elastic IP アドレスの使用](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs)を参照してください。

**を使用して WorkSpace を削除するにはAWS CLI**  
[terminate-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/terminate-workspaces.html) コマンドを使用します。

# WorkSpaces Personal のバンドルとイメージ
<a name="amazon-workspaces-bundles"></a>

*WorkSpace バンドル*は、オペレーティングシステム、ストレージ、コンピューティング、およびソフトウェアリソースの組み合わせです。WorkSpace を起動するときに、必要に応じてバンドルを選択します。WorkSpaces で使用できるデフォルトのバンドルは*パブリックバンドル*と呼ばれます。WorkSpaces で利用可能なさまざまな公開バンドルの詳細については、[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)を参照してください。

Windows または Linux WorkSpace を起動してカスタマイズした場合は、その WorkSpace からカスタムイメージを作成できます。

*カスタムイメージ*には、WorkSpace の OS、ソフトウェア、設定のみが含まれます。*カスタムバンドル*は、WorkSpace の起動元になるカスタムイメージとハードウェアの両方を組み合わせたものです。

カスタムイメージを作成したら、カスタム WorkSpace イメージと、選択した基盤となるコンピューティングおよびストレージ設定を組み合わせたカスタムバンドルを構築できます。その後、新しい WorkSpaces を起動するときにこのカスタムバンドルを指定して、新しい WorkSpaces が同じ一貫した構成 (ハードウェアとソフトウェア) になるようにします。

WorkSpaces にソフトウェアの更新や追加ソフトウェアのインストールが必要な場合は、カスタムバンドルを更新し、そのバンドルにより WorkSpaces を再構築できます。

WorkSpaces は、複数の異なるオペレーティングシステム (OS)、ストリーミングプロトコル、バンドルをサポートしています。次の表は、各 OS でサポートされているライセンス、ストリーミングプロトコル、バンドルに関する情報を示しています。


| オペレーティングシステム | ライセンス | ストリーミングプロトコル | サポート対象バンドル | ライフサイクルポリシー/サポート終了日 | 
| --- | --- | --- | --- | --- | 
| Windows Server 2016 | 含まれる | DCV、PCoIP | Value、Standard、Performance、Power、PowerPro、GraphicsPro、Graphics G4dn | [2027 年 1 月 12 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2016) | 
| Windows Server 2019 | 含まれる | DCV、PCoIP | Value、Standard、Performance、Power、PowerPro、GraphicsPro、Graphics G4dn | [2029 年 1 月 9 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2019) | 
| Windows Server 2022 | 含まれる | DCV、PCoIP | Standard、Performance、Power、PowerPro、GeneralPurpose、 Graphics G4dn、Graphics G6 | [2031 年 10 月 14 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2022) | 
| Windows Server 2025 | 含まれる | DCV | Standard、Performance、Power、PowerPro、GeneralPurpose、 Graphics G4dn、Graphics G6 | [2034 年 11 月 14 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2025) | 
| Windows 10 | Bring-Your-Own-License (BYOL) | DCV、PCoIP | Value、Standard、Performance、Power、PowerPro、GraphicsPro、Graphics G4dn | [サポート中](https://learn.microsoft.com/en-us/windows/release-health/release-information) | 
| Windows 11 | Bring-Your-Own-License (BYOL) | DCV | Standard、Performance、Power、PowerPro、GeneralPurpose、 Graphics G4dn、Graphics G6 | [サポート中](https://learn.microsoft.com/en-us/windows/release-health/windows11-release-information) | 
| Amazon Linux 2 | 含まれる | DCV、PCoIP | Value、Standard、Performance、Power、PowerPro | [サポート中](https://aws.amazon.com/amazon-linux-2/faqs/) | 
| Ubuntu 22.04 LTS | 含まれる | DCV | Value、Standard、Performance、Power、PowerPro、Graphics G4dn | [2032 年 6 月](https://ubuntu.com/about/release-cycle) | 
| Rocky Linux 8 | 含まれる | DCV | Value、Standard、Performance、Power、PowerPro | [2029 年 5 月 31 日](https://ciq.com/services/long-term-support/) | 
| Red Hat Enterprise Linux 8 | 含まれる | DCV | Value、Standard、Performance、Power、PowerPro | [2029 年 5 月 31 日](https://access.redhat.com/support/policy/updates/errata) | 

**注記**  
ベンダーによってサポートされなくなったオペレーティングシステムのバージョンは動作する保証はなく、 AWS サポートによってもサポートされません。
Windows オペレーティングシステムで実行されている WorkSpaces の場合、Graphics バンドルは PCoIP ストリーミングプロトコルのみをサポートします。

**Topics**
+ [WorkSpaces Personal のバンドルオプション](bundle-options.md)
+ [WorkSpaces Personal のカスタム WorkSpaces イメージとバンドルを作成する](create-custom-bundle.md)
+ [WorkSpaces Personal のカスタムバンドルを更新する](update-custom-bundle.md)
+ [WorkSpaces Personal でカスタムイメージをコピーする](copy-custom-image.md)
+ [WorkSpaces Personal でカスタムイメージを共有または共有解除する](share-custom-image.md)
+ [WorkSpaces Personal でカスタムバンドルまたはイメージを削除する](delete_bundle.md)

# WorkSpaces Personal のバンドルオプション
<a name="bundle-options"></a>

バンドルを選択する前に、選択するバンドルが WorkSpaces のプロトコル、オペレーティングシステム、ネットワーク、およびコンピューティングタイプと互換性があることを確認します。プロトコルの詳細については、「[Amazon WorkSpaces のプロトコル](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-protocols.html)」を参照してください。ネットワークの詳細については、「[Amazon WorkSpaces クライアントネットワーク要件](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-network-requirements.html)」を参照してください。

**注記**  
PCoIP WorkSpaces の最大ネットワークレイテンシーが 250 ミリ秒を超えないようにすることをお勧めします。PCoIP WorkSpaces のユーザーエクスペリエンスを最大限に高めるには、ネットワークレイテンシーを 100 ミリ秒未満に抑えることをお勧めします。ラウンドトリップ時間 (RTT) が 375 ミリ秒を超えると、WorkSpaces クライアント接続はシャットダウンします。DCV の最適なユーザーエクスペリエンスを実現するには、RTT を 250 ミリ秒未満に抑えることをお勧めします。RTT が 250 ms と 400 ms の間にある場合、ユーザーは WorkSpace にアクセスできますが、パフォーマンスは大きく低下します。
テスト環境で選択するバンドルのパフォーマンスのテストでは、ユーザーの日常タスクをレプリケートするアプリケーションを実行して使用することをお勧めします。
BYOP (Bring Your Own Protocol) バンドルは WorkSpaces Core 用です。Amazon WorkSpaces が提供する BYOP バンドルには、WorkSpaces が提供するストリーミングプロトコルがインストールされていません。WorkSpaces クライアントまたはゲートウェイを使用して接続することはできません。Amazon WorkSpaces Core の責任共有モデルについては、「[Amazon WorkSpaces Core 向けのテクノロジーパートナー統合ガイド](chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://docs.aws.amazon.com/pdfs/workspaces-core/latest/pg/workspacescore-pg.pdf)」を参照してください。詳細については、[Amazon WorkSpaces Core](https://aws.amazon.com/workspaces-family/core/) を参照してください。

**重要**  
GraphicsPro バンドルは 2025 年 10 月 31 日にサービスが終了します。GraphicsPro WorkSpaces をお使いの場合、2025 年 10 月 31 日までに、サポートされているバンドルに移行することをお勧めします。詳細については、「[WorkSpaces Personal で WorkSpace を移行する](migrate-workspaces.md)」を参照してください。
2023 年 11 月 30 日以降、Graphics バンドルはサポートされなくなります。WorkSpaces でサポートされている GPU 対応バンドルに切り替えることをお勧めします。
グラフィックスおよび GraphicsPro バンドルは、現在アジアパシフィック (ムンバイ) リージョンでは利用できません。
Office 2016 または Office 2019 の Plus アプリケーションバンドルは、2025 年 10 月 14 日以降はサポートされなくなります。Office 2021 または Office 2024 を使用するには、それらの Office バージョンで WorkSpaces バンドルを移行することをお勧めします。詳細については、「[WorkSpaces Personal でアプリケーションを管理する](manage-applications)」を参照してください。

WorkSpaces が提供するバンドルは次のとおりです。WorkSpaces でのバンドルの詳細については、「[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)」を参照してください。

## Value バンドル
<a name="value"></a>

このバンドルは、以下に最適です。
+ 基本的なテキスト編集とデータ入力
+ 使用量の少ないウェブブラウジング
+ インスタントメッセージング

このバンドルは、言語処理、音声およびビデオ会議、画面共有、ソフトウェア開発ツール、ビジネスインテリジェンスアプリケーション、およびグラフィックアプリケーションにはお勧めしません。

## Standard バンドル
<a name="standard"></a>

このバンドルは、以下に最適です。
+ 基本的なテキスト編集とデータ入力
+ ウェブブラウジング
+ インスタントメッセージング
+ E メール

このバンドルは、音声会議やビデオ会議、画面共有、言語処理、ソフトウェア開発ツール、ビジネスインテリジェンスアプリケーション、およびグラフィックアプリケーションにはお勧めしません。

## Performance バンドル
<a name="performance"></a>

このバンドルは、以下に最適です。
+ ウェブブラウジング
+ 言語処理
+ インスタントメッセージング
+ E メール
+ スプレッドシート
+ オーディオ処理
+ コースウェア

このバンドルは、ビデオ会議、画面共有、ソフトウェア開発ツール、ビジネスインテリジェンスアプリケーション、およびグラフィックアプリケーションにはお勧めしません。

## Power バンドル
<a name="power"></a>

このバンドルは、以下に最適です。
+ ウェブブラウジング
+ 言語処理
+ E メール
+ インスタントメッセージング
+ スプレッドシート
+ オーディオ処理
+ ソフトウェア開発 (統合開発環境 (IDE))
+ 中級レベルのデータ処理への参入
+ 音声会議とビデオ会議

このバンドルは、画面共有、ソフトウェア開発ツール、ビジネスインテリジェンスアプリケーション、およびグラフィックアプリケーションにはお勧めしません。

## PowerPro バンドル
<a name="powerpro"></a>

このバンドルは、以下に最適です。
+ ウェブブラウジング
+ 言語処理
+ E メール
+ インスタントメッセージング
+ スプレッドシート
+ オーディオ処理
+ ソフトウェア開発 (統合開発環境 (IDE))
+ データウェアハウス
+ ビジネスインテリジェンスアプリケーション
+ 音声会議とビデオ会議

このバンドルは、機械学習モデルトレーニング、およびグラフィックアプリケーションにはお勧めしません。

## 汎用バンドル
<a name="generalpurpose"></a>

GeneralPurpose.4xlarge および GeneralPurpose.8xlarge をはじめとするこれらのバンドルは、以下に適しています。
+ ウェブブラウジング
+ 言語処理
+ E メール
+ インスタントメッセージング
+ スプレッドシート
+ オーディオ処理
+ ソフトウェア開発 (統合開発環境 (IDE))
+ データウェアハウス
+ ビジネスインテリジェンスアプリケーション
+ 音声会議とビデオ会議
+ Batch 処理
+ CPU ベースの機械学習 (ML) モデルトレーニング

このバンドルは、3D レンダリング、実写のようなリアルなデザイン、ゲームストリーミング、複雑なモデルの ML モデルトレーニングにはお勧めしません。

## グラフィックス G6 バンドル
<a name="graphicsg6"></a>

G6 WorkSpace バンドルは、第 3 世代 AMD EPYC (ミラノ) プロセッサを搭載した NVIDIA L4 GPUs を使用し、G6, Gr6、G6f の 3 つのバリアントで利用できます。G6 WorkSpaces は、標準の 1:4 vCPU-to-memory比を備えており、一般的なグラフィックスワークロード用にバランスの取れたコンピューティングリソースとメモリリソースを提供します。Gr6 WorkSpaces は vCPU-to-memoryの比率が 1:8 で、メモリ要件が高いグラフィックアプリケーションでは vCPU あたりのメモリが 2 倍になります。G6f WorkSpaces は GPU 割り当てが小数であるため、計算負荷の高いオペレーションに完全な GPU 処理能力を必要としないワークロードに適しています。詳細については、[Amazon EC2 G6 インスタンス」ページ](https://aws.amazon.com/ec2/instance-types/g6/)を参照してください。G6 WorkSpace バンドルは、日常的なタスク、データ処理と分析、音声会議、ソフトウェア開発など、既存のバンドルがサポートするすべてのユースケースをサポートします。さらに、次のユースケースも有効にします。
+ グラフィックスデザイン
+ CAD/CAM (コンピューター支援設計/コンピューター支援製造)
+ 動画トランスコーディング
+ 3D レンダリング
+ ゲームストリーミング
+ 機械学習 (ML) モデルのトレーニングと ML 推論

## Graphics.g4dn バンドル
<a name="graphicsg4dn"></a>

このバンドルは、WorkSpaces の高いレベルのグラフィックパフォーマンスと、中程度のレベルの CPU パフォーマンスおよびメモリを提供し、以下に最適です。
+ ウェブブラウジング
+ 言語処理
+ E メール
+ スプレッドシート
+ インスタントメッセージング
+ オーディオ会議
+ ソフトウェア開発 (統合開発環境 (IDE))
+ 中級レベルのデータ処理への参入
+ データウェアハウス
+ ビジネスインテリジェンスアプリケーション
+ グラフィックスデザイン
+ CAD/CAM (コンピューター支援設計/コンピューター支援製造)

このバンドルは、音声会議やビデオ会議、3D レンダリング、実写のようなリアルなデザイン、および機械学習モデルトレーニングにはお勧めしません。

## GraphicsPro.g4dn バンドル
<a name="graphicsprog4dn"></a>

このバンドルは、WorkSpaces の高いレベルのグラフィックパフォーマンス、CPU パフォーマンス、およびメモリを提供し、以下に最適です。
+ ウェブブラウジング
+ 言語処理
+ E メール
+ スプレッドシート
+ インスタントメッセージング
+ オーディオ会議
+ ソフトウェア開発 (統合開発環境 (IDE))
+ 中級レベルのデータ処理への参入
+ データウェアハウス
+ ビジネスインテリジェンスアプリケーション
+ グラフィックスデザイン
+ CAD/CAM (コンピューター支援設計/コンピューター支援製造)
+ 動画トランスコーディング
+ 3D レンダリング
+ 実写のようなリアルなデザイン
+ ゲームストリーミング
+ 機械学習 (ML) モデルのトレーニングと ML 推論

このバンドルは、音声会議やビデオ会議にはお勧めしません。

# WorkSpaces Personal のカスタム WorkSpaces イメージとバンドルを作成する
<a name="create-custom-bundle"></a>

Windows または Linux WorkSpace を起動してカスタマイズした場合は、その WorkSpace からカスタムイメージとカスタムバンドルを作成できます。

*カスタムイメージ*には、WorkSpace の OS、ソフトウェア、設定のみが含まれます。*カスタムバンドル*は、WorkSpace の起動元になるカスタムイメージとハードウェアの両方を組み合わせたものです。

**注記**  
バンドルを削除した後で同じ名前の新しいバンドルを作成する場合は、削除してから少なくとも 2 時間待ってください。

カスタムイメージを作成したら、カスタムイメージと、選択した基盤となるコンピューティングおよびストレージ設定を組み合わせたカスタムバンドルを構築できます。その後、新しい WorkSpaces を起動するときにこのカスタムバンドルを指定して、新しい WorkSpaces が同じ一貫した構成 (ハードウェアとソフトウェア) になるようにします。

バンドルごとに異なるコンピューティングオプションとストレージオプションを選択することで、同じカスタムイメージを使用してさまざまなカスタムバンドルを作成できます。<a name="important_note"></a>

**重要**  
Windows 10 WorkSpace からイメージを作成する場合、あるバージョンの Windows 10 から新しいバージョンの Windows 10 にアップグレードされた Windows 10 システム (Windows の機能/バージョンのアップグレード) では、イメージの作成はサポートされないことに注意してください。ただし、Windows の累積的な更新プログラムまたはセキュリティ更新プログラムは、WorkSpaces のイメージ作成プロセスでサポートされます。
2020 年 1 月 14 日以降、パブリック Windows 7 バンドルからイメージを作成することはできません。Windows 7 の WorkSpaces については、Windows 10 への移行を検討することをお勧めします。詳細については、「[WorkSpaces Personal で WorkSpace を移行する](migrate-workspaces.md)」を参照してください。
Graphics バンドルは 2023 年 11 月 30 日にサポートされなくなり、GraphicsPro バンドルは 2025 年 10 月 31 日にend-of-lifeとなります。WorkSpaces をサポートされている GPU バンドルに移行することをお勧めします。詳細については、「[WorkSpaces Personal で WorkSpace を移行する](migrate-workspaces.md)」を参照してください。
GraphicsPro バンドルは 2025 年 10 月 31 日にサポート終了となります。GraphicsPro WorkSpaces は、2025 年 10 月 31 日より前にサポートされている GPU バンドルに移行することをお勧めします。詳細については、「[WorkSpaces Personal で WorkSpace を移行する](migrate-workspaces.md)」を参照してください。
カスタムバンドルのストレージボリュームは、イメージストレージボリュームよりも小さくすることはできません。
Office 2016 または Office 2019 の Plus アプリケーションバンドルは、2025 年 10 月 14 日以降はサポートされなくなります。これらの Office バージョンの WorkSpaces バンドルから移行し、Office 2021 を使用することをお勧めします。詳細については、「[WorkSpaces Personal でアプリケーションを管理する](manage-applications)」を参照してください。

カスタムバンドルのコストは、作成元であるパブリックバンドルと同じです。料金の詳細については、 [ Amazon WorkSpaces の料金 ](https://aws.amazon.com/workspaces/pricing/) を参照してください。

**Topics**
+ [Windows カスタムイメージを作成するための要件](#windows_custom_image_requirements)
+ [Linux カスタムイメージを作成するための要件](#linux_custom_image_requirements)
+ [ベストプラクティス](#custom_image_best_practices)
+ [(オプション) ステップ 1: イメージのカスタムコンピュータ名の形式を指定する](#custom_computer_name)
+ [ステップ 2: Image Checker を実行する](#run_image_checker)
+ [ステップ 3: カスタムイメージとカスタムバンドルを作成する](#create_custom_image_bundle)
+ [Windows WorkSpaces カスタムイメージに含まれるアイテム](#image_creation_windows)
+ [Linux WorkSpace カスタムイメージに含まれるもの](#image_creation_linux)

## Windows カスタムイメージを作成するための要件
<a name="windows_custom_image_requirements"></a>

**注記**  
現在、Windows では 1 GB を 1,073,741,824 バイトと定義しています。お客様が WorkSpace のイメージを作成するには、C ドライブに 12,884,901,888 バイト (または 12 GiB) を超える空き容量があり、ユーザープロファイルが 10,737,418,240 バイト (または 10 GiB) 未満であることを確認する必要があります。
+ WorkSpace のステータスが [**利用可能**] で、変更の状態が [**なし**] であることが必要です。
+ WorkSpaces イメージのすべてのアプリケーションとユーザープロファイルは、Microsoft Sysprep と互換性がある必要があります。
+ イメージに含めるすべてのアプリケーションは、`C` ドライブにインストールする必要があります。
+ Windows 7 WorkSpaces では、その合計サイズ (ファイルとデータ) は 10 GB 未満である必要があります。
+ Windows 7 WorkSpaces では、`C` ドライブには 12 GB 以上の空き容量が必要です。
+ WorkSpace 上で実行されるすべてのアプリケーションサービスは、ドメインユーザー資格情報の代わりにローカルシステムアカウントを使用する必要があります。たとえば、ドメインユーザーの認証情報を使用して、インストール済みの Microsoft SQL Server Express を実行することはできません。
+ WorkSpace は暗号化しないでください。暗号化された WorkSpace からのイメージの作成は現在サポートされていません。
+ 以下のコンポーネントがイメージに必要です。これらのコンポーネントがないと、イメージから起動する WorkSpaces は正しく機能しません。詳細については、「[WorkSpaces Personal に必須の設定とサービスコンポーネント](required-service-components.md)」を参照してください。
  + Windows PowerShell バージョン 3.0 以降
  + リモートデスクトップサービス
  + AWS PV ドライバー
  + Windows Remote Management (WinRM)
  + Teradici PCoIP エージェントおよびドライバー
  + STXHD エージェントおよびドライバー
  + AWS および WorkSpaces 証明書
  + Skylight エージェント

## Linux カスタムイメージを作成するための要件
<a name="linux_custom_image_requirements"></a>
+ WorkSpace のステータスが [**利用可能**] で、変更の状態が [**なし**] であることが必要です。
+ イメージに含めるすべてのアプリケーションは、ユーザーボリューム (`/home` ディレクトリ) の外にインストールする必要があります。
+ ルートボリューム (/) の使用率は 97% 未満である必要があります。
+ WorkSpace は暗号化しないでください。暗号化された WorkSpace からのイメージの作成は現在サポートされていません。
+ 以下のコンポーネントがイメージに必要です。これらのコンポーネントがないと、イメージから起動する WorkSpaces は正しく機能しません。
  + Cloud-init
  + Teradici PCoIP または DCV エージェントおよびドライバー
  + Skylight エージェント

## ベストプラクティス
<a name="custom_image_best_practices"></a>

WorkSpace からイメージを作成する前に、以下を実行します。
+ 本番稼働用環境に接続されていない別の VPC を使用します。
+ WorkSpace をプライベートサブネットにデプロイし、アウトバウンドトラフィックに NAT インスタンスを使用します。
+ 小さい Simple AD ディレクトリを使用します。
+ ソース WorkSpace の最小ボリュームサイズを使用し、カスタムバンドルの作成時に必要に応じてボリュームサイズを調整します。
+ すべてのオペレーティングシステムの更新プログラム (Windows の機能/バージョンの更新プログラムを除く) とすべてのアプリケーション更新プログラムを WorkSpace にインストールします。詳細については、このトピックの冒頭にある「[重要な注意点](#important_note)」を参照してください。
+ バンドルに含めるべきでない WorkSpace からキャッシュされたデータを削除します (たとえば、ブラウザの履歴、キャッシュされたファイル、ブラウザの Cookie など)。
+ バンドルに含めるべきではない WorkSpace から構成設定を削除します (E メールプロファイルなど)。
+ DHCP を使用して、動的 IP アドレス設定に切り替えます。
+ リージョンで許可されている WorkSpace イメージのクォータを超えていないことを確認します。デフォルトでは、リージョンごとに 40 の WorkSpace イメージが許可されます。このクォータに達した場合、新しいイメージを作成しようとすると失敗します。クォータの引き上げをリクエストするには、[WorkSpaces 制限のフォーム](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=workspaces)を使用します。
+ 暗号化された WorkSpace からイメージを作成しようとしていないことを確認します。暗号化された WorkSpace からのイメージの作成は現在サポートされていません。
+ WorkSpace でウイルス対策ソフトウェアを実行している場合は、イメージの作成時に無効にします。
+ WorkSpace でファイアウォールを有効にしている場合は、ファイアウォールによって必要なポートがブロックされていないことを確認します。詳細については、「[WorkSpaces Personal の IP アドレスとポートの要件](workspaces-port-requirements.md)」を参照してください。
+ Windows WorkSpaces の場合、イメージを作成する前にグループポリシーオブジェクト (GPO) を設定しないでください。
+ Windows WorkSpaces の場合、イメージを作成する前にデフォルトのユーザープロファイル (`C:\Users\Default`) をカスタマイズしないでください。GPO を使用してユーザープロファイルをカスタマイズし、イメージの作成後に適用することをお勧めします。GPO を使用して行ったカスタマイズは変更やロールバックが容易なため、デフォルトのユーザープロファイルに対して行ったカスタマイズよりもエラーが発生しにくくなります。
+ Linux WorkSpaces については、ホワイトペーパー「[Linux イメージ用に Amazon WorkSpaces を準備するためのベストプラクティス](https://docs.aws.amazon.com/whitepapers/latest/workspaces-linux-best-practices/welcome.html)」も参照してください。
+ DCV を有効にした状態で Linux WorkSpace でスマートカードを使用する場合、イメージを作成する前に Linux WorkSpace に対して行う必要があるカスタマイズについては、「[WorkSpaces Personal での認証にスマートカードを使用する](smart-cards.md)」を参照してください。
+ ENA、NVMe、PV ドライバーなど、WorkSpaces のネットワーク依存関係ドライバーを必ず更新してください。この作業は、少なくとも 6 か月に 1 回行う必要があります。詳細については、[Elastic Network Adapter (ENA) ドライバーのインストールまたはアップグレード](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[AWS NVMe ドライバー (Windows インスタンス)](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)、および [Windows インスタンスでの PV ドライバーのアップグレード](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)に関する説明を参照してください。
+ EC2Config、EC2Launch、および EC2Launch V2 エージェントを定期的に最新バージョンに更新してください。この作業は、少なくとも 6 か月に 1 回行う必要があります。詳細については、「[EC2Config および EC2Launch の更新](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)」を参照してください。

## (オプション) ステップ 1: イメージのカスタムコンピュータ名の形式を指定する
<a name="custom_computer_name"></a>

カスタムイメージまたはライセンス持ち込み (BYOL) イメージから起動した WorkSpaces の場合、[デフォルトのコンピュータ名の形式](launch-workspaces-tutorials.md)を使用する代わりに、コンピュータ名の形式にカスタムプレフィックスを指定できます。カスタムプレフィックスを指定するには、イメージタイプに応じた適切な手順に従います。

### カスタムイメージのカスタムコンピュータ名の形式を指定するには
<a name="custom_computer_name_custom_image"></a>

**注記**  
デフォルトでは、Windows 10 WorkSpaces のコンピュータ名の形式は `DESKTOP-XXXXX` であり、Windows 11 WorkSpaces のコンピュータ名の形式は `WORKSPA-XXXXX` です。

1. カスタムイメージの作成に使用している WorkSpace で、メモ帳または別のテキストエディタで `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep\Unattend.xml` を開きます。`Unattend.xml` ファイルの操作の詳細については、Microsoft のドキュメントの「[応答ファイル (unattend.xml)](https://docs.microsoft.com/windows-hardware/manufacture/desktop/update-windows-settings-and-scripts-create-your-own-answer-file-sxs)」をご参照ください。
**注記**  
WorkSpace の Windows エクスプローラーから C: ドライブにアクセスするには、アドレスバーに **C:\$1** と入力します。

1. `<settings pass="specialize">` セクションで、`<ComputerName>` がアスタリスク (`*`) に設定されていることを確認します。`<ComputerName>` が他の値に設定されている場合、カスタムコンピュータ名の設定は無視されます。`<ComputerName>` 設定の詳細については、Microsoft のドキュメントの「[ComputerName](https://docs.microsoft.com/windows-hardware/customize/desktop/unattend/microsoft-windows-shell-setup-computername)」をご参照ください。

1. `<settings pass="specialize">` セクションで、`<RegisteredOrganization>` および `<RegisteredOwner>` を任意の値に設定します。

   Sysprep では、`<RegisteredOwner>` および `<RegisteredOrganization>` に指定した値が連結され、結合された文字列の最初の 7 文字を使用してコンピュータ名が作成されます。例えば、`<RegisteredOrganization>` に **Amazon.com** を指定し、`<RegisteredOwner>` に **EC2** を指定したとします。Windows 10 ベースのイメージの場合、カスタムバンドルを使用する WorkSpaces のコンピュータ名は EC2AMAZ-*xxxxxxx* で始まります。Windows 11 ベースのイメージの場合、カスタムバンドルを使用する WorkSpaces のコンピュータ名は WORKSPA-*xxxxxxx* で始まります。
**注記**  
`<RegisteredOrganization>` セクション内の `<RegisteredOwner>` および `<settings pass="oobeSystem">` の値は、Sysprep では無視されます。
<RegisteredOrganization> と <RegisteredOwner> はいずれも必須の値です。

1. 変更を `Unattend.xml` ファイルに保存します。

### BYOL イメージのカスタムコンピュータ名の形式を指定するには
<a name="custom_computer_name_byol"></a>

1. Windows 10 を使用している場合は、メモ帳または別のテキストエディタで `C:\Program Files\Amazon\Ec2ConfigService\Sysprep2008.xml` を開きます。Windows 11 を使用している場合は、`C:\ProgramData\Amazon\EC2Launch\sysprep\OOBE_unattend.xml` を開きます。

1. Windows 10 を使用している場合は、`<settings pass="specialize">` セクションで `<ComputerName>*</ComputerName>` のコメントを解除します。Windows 11 を使用している場合は、このセクションのコメントを解除する必要はありません。`<ComputerName>` がアスタリスク (`*`) に設定されていることを確認します。`<ComputerName>` が他の値に設定されている場合、カスタムコンピュータ名の設定は無視されます。`<ComputerName>` 設定の詳細については、Microsoft のドキュメントの「[ComputerName](https://docs.microsoft.com/windows-hardware/customize/desktop/unattend/microsoft-windows-shell-setup-computername)」をご参照ください。

1. `<settings pass="specialize">` セクションには、Windows 10 の場合も Windows 11 の場合も `<RegisteredOrganization>` フィールドが表示されます。`<RegisteredOwner>` タグは、デフォルトでは Windows 10 にのみ表示されます。Windows 11 を使用している場合は、このタグを追加する必要があります。`<RegisteredOrganization>` および `<RegisteredOwner>` を任意の値に設定します。

   Sysprep では、`<RegisteredOwner>` および `<RegisteredOrganization>` に指定した値が連結され、結合された文字列の最初の 7 文字を使用してコンピュータ名が作成されます。例えば、**Amazon.com** に `<RegisteredOrganization>`、**EC2** に `<RegisteredOwner>` を指定した場合、カスタムバンドルから作成された WorkSpaces のコンピュータ名は EC2AMAZ-*xxxxxxx* で始まります。
**注記**  
`<RegisteredOrganization>` セクション内の `<RegisteredOwner>` および `<settings pass="oobeSystem">` の値は、Sysprep では無視されます。
<RegisteredOrganization> と <RegisteredOwner> はいずれも必須の値です。

1. Windows 10 を使用している場合は、変更内容を `Sysprep2008.xml` ファイルに保存します。Windows 11 を使用している場合は、変更内容を `OOBE_unattend.xml` に保存します。

## ステップ 2: Image Checker を実行する
<a name="run_image_checker"></a>

**注記**  
Image Checker は Windows WorkSpaces でのみ使用できます。Linux WorkSpace からイメージを作成する場合は、[ステップ 3: カスタムイメージとカスタムバンドルを作成する](#create_custom_image_bundle) に進みます。

Windows WorkSpace がイメージ作成の要件を満たしていることを確認するには、Image Checker を実行することをお勧めします。Image Checker は、イメージの作成に使用する WorkSpace で一連のテストを実行し、検出された問題を解決する方法に関するガイダンスを提供します。

**重要**  
WorkSpace は、Image Checker によって実行されるすべてのテストに合格した後に、イメージの作成に使用できます。
Image Checker を実行する前に、WorkSpace に最新の Windows セキュリティと累積更新プログラムがインストールされていることを確認します。

Image Checker を入手するには、以下のいずれかを実行します。
+ [WorkSpace を再起動します](reboot-workspaces.md)。Image Checker は再起動時に自動的にダウンロードされ、`C:\Program Files\Amazon\ImageChecker.exe` にインストールされます。
+ [https://tools.amazonworkspaces.com/ImageChecker.zip](https://tools.amazonworkspaces.com/ImageChecker.zip) から Amazon WorkSpaces Image Checker をダウンロードし、 `ImageChecker.exe` ファイルを抽出します。このファイルを `C:\Program Files\Amazon\` にコピーします。

**Image Checker を実行するには**

1. `C:\Program Files\Amazon\ImageChecker.exe` ファイルを開きます。

1. [**Amazon WorkSpaces Image Checker**] ダイアログボックスで、[**Run (実行)**] を選択します。

1. 各テストが完了したら、テストのステータスを表示できます。

   いずれかのテストで [**Failed (失敗)**] ステータスが表示された場合は、[**Info (情報)**] を選択して、失敗の原因となった問題の解決方法に関する情報を表示します。これらの問題を解決する方法の詳細については、[Image Checker によって検出された問題を解決するためのヒント](#image_checker_tips) を参照してください。

   いずれかのテストで [**WARNING (警告)**] ステータスが表示された場合は、[**Fix All Warnings (すべての警告の修正)**] ボタンを選択します。

   このツールは、Image Checker が配置されているのと同じディレクトリに出力ログファイルを生成します。デフォルトでは、このファイルは `C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log` にあります。
**ヒント**  
このログファイルは削除しないでください。問題が発生した場合、このログファイルはトラブルシューティングに役立つことがあります。

1. 該当する場合は、テストの失敗と警告の原因となる問題を解決し、WorkSpace がすべてのテストに合格するまで Image Checker の実行プロセスを繰り返します。イメージを作成する前に、すべての失敗と警告が解決されている必要があります。

1. WorkSpace がすべてのテストに合格すると、「**Validation Successful (検証に成功しました)**」というメッセージが表示されます。これで、カスタムバンドルを作成する準備ができました。

### Image Checker によって検出された問題を解決するためのヒント
<a name="image_checker_tips"></a>

Image Checker によって検出された問題を解決するための以下のヒントを参照するほか、`C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log` で Image Checker のログファイルも確認してください。<a name="tips_powershell"></a>

#### PowerShell バージョン 3.0 以降がインストールされていることが必要
<a name="tips_powershell"></a>

最新バージョンの [Microsoft Windows PowerShell](https://docs.microsoft.com/powershell) をインストールします。

**重要**  
WorkSpace の PowerShell 実行ポリシーは、**RemoteSigned** スクリプトを許可するように設定する必要があります。実行ポリシーを確認するには、**Get-ExecutionPolicy** PowerShell コマンドを実行します。実行ポリシーが **Unrestricted** または **RemoteSigned** に設定されていない場合は、**Set-ExecutionPolicy –ExecutionPolicy RemoteSigned** コマンドを実行して、実行ポリシーの値を変更します。**RemoteSigned** 設定では、イメージの作成に必要な Amazon WorkSpaces でスクリプトを実行できます。<a name="tips_local_drives"></a>

#### C および D ドライブのみが存在できる
<a name="tips_local_drives"></a>

イメージの作成に使用される WorkSpace には、`C` および `D` ドライブのみが存在できます。仮想ドライブを含め他のすべてのドライブを削除します。<a name="tips_pending_updates"></a>

#### Windows Update による保留中の再起動は検出できない
<a name="tips_pending_updates"></a>
+ Windows を再起動してセキュリティまたは累積更新プログラムのインストールが完了するまで、イメージ作成プロセスは実行できません。Windows を再起動してこれらの更新を適用し、保留中の他の Windows セキュリティまたは累積更新プログラムをインストールする必要がないことを確認します。
+ イメージの作成は、あるバージョンの Windows 10 から新しいバージョンの Windows 10 にアップグレードされた Windows 10 システム (Windows の機能/バージョンのアップグレード) ではサポートされません。ただし、Windows の累積的な更新プログラムまたはセキュリティ更新プログラムは、WorkSpaces のイメージ作成プロセスでサポートされます。<a name="tips_blank_sysprep"></a>

#### Sysprep ファイルは存在する必要があり、空白にすることはできない
<a name="tips_blank_sysprep"></a>

Sysprep ファイルに問題がある場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)に連絡して EC2Config または EC2Launch の修復を依頼します。<a name="tips_profile_missing"></a>

#### ユーザープロファイルのサイズは 10 GB 未満であることが必要
<a name="tips_profile_missing"></a>

Windows 7 WorkSpaces では、ユーザープロファイル (`D:\Users\username`) は合計で 10 GB 未満である必要があります。必要に応じてファイルを削除して、ユーザープロファイルのサイズを小さくします。<a name="tips_drive_c_full"></a>

#### ドライブ C には十分な空き容量が必要
<a name="tips_drive_c_full"></a>

Windows 7 WorkSpaces では、ドライブ `C` には 12 GB 以上の空き容量が必要です。必要に応じてファイルを削除し、ドライブ `C` の空き容量を増やします。Windows 10 WorkSpaces では、`FAILED` メッセージが表示され、ディスク容量が 2 GB を超えている場合は、無視できます。<a name="tips_services_domain_accounts"></a>

#### ドメインアカウントで実行できるサービスがない
<a name="tips_services_domain_accounts"></a>

イメージ作成プロセスを実行するために、WorkSpace にドメインアカウントで実行できるサービスがありません。すべてのサービスがローカルアカウントで実行されている必要があります。

**ローカルアカウントでサービスを実行するには**

1. `C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log` を開き、ドメインアカウントで実行されているサービスのリストを見つけます。

1. Windows の検索ボックスに「**services.msc**」と入力して、Windows サービスマネージャーを開きます。

1. [**ログオン方法**] で、ドメインアカウントで実行されているサービスを探します。([**ローカルシステム**]、[**ローカルサービス**]、または [**ネットワークサービス**] として実行されているサービスは、イメージの作成を妨げません) 

1. ドメインアカウントで実行されているサービスを選択し、**[Action]**、**[Properties]** の順に選択します。

1. [**ログオン**] タブを開きます。[**ログオン方法**] で、[**ローカルシステムアカウント**] を選択します。

1. **[OK]** を選択します。<a name="tips_static_ip"></a>

#### DHCP を使用するように WorkSpace を設定することが必要
<a name="tips_static_ip"></a>

静的 IP アドレスの代わりに DHCP を使用するように、WorkSpace のすべてのネットワークアダプターを設定する必要があります。

**DHCP を使用するようにすべてのネットワークアダプターを設定するには**

1. Windows の検索ボックスに「**control panel**」と入力して、コントロールパネルを開きます。

1. [**ネットワークとインターネット**] を選択します。

1. [**ネットワークと共有センター**] を選択します。

1. [**アダプター設定の変更**] を選択し、アダプターを選択します。

1. [**この接続の設定を変更する**] を選択します。

1. [**ネットワーク**] タブで、[**インターネットプロトコルバージョン 4 (TCP/IPv4)**] を選択し、[**プロパティ**] を選択します。

1. [**インターネットプロトコルバージョン 4 (TCP/IPv4) のプロパティ**] ダイアログボックスで、[**IP アドレスを自動的に取得する**] を選択します。

1. [**OK**] を選択してください。

1. WorkSpace 上のすべてのネットワークアダプターに対してこのプロセスを繰り返します。<a name="tips_enable_rds"></a>

#### リモートデスクトップサービスを有効にすることが必要
<a name="tips_enable_rds"></a>

イメージ作成プロセスでは、リモートデスクトップサービスを有効にする必要があります。

**リモートデスクトップサービスを有効にするには**

1. Windows の検索ボックスに「**services.msc**」と入力して、Windows サービスマネージャーを開きます。

1. [**名前**] 列で、[**リモートデスクトップサービス**] を見つけます。

1. **[Remote Desktop Services]** を選択し、**[Action]**、**[Properties]** の順に選択します。

1. [**全般**] タブの [**スタートアップの種類**] で、[**手動**] または [**自動**] を選択します。

1. [**OK**] を選択してください。<a name="tips_user_profile_missing"></a>

#### ユーザープロファイルが存在することが必要
<a name="tips_user_profile_missing"></a>

イメージの作成に使用する WorkSpace には、ユーザープロファイル (`D:\Users\username`) が必要です。このテストに失敗した場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。<a name="tips_environment_variables"></a>

#### 環境変数のパスを適切に設定することが必要
<a name="tips_environment_variables"></a>

ローカルマシンの環境変数のパスに、System32 と Windows PowerShell のエントリがありません。これらのエントリは、[イメージの作成] を実行するために必要です。

**環境変数のパスを設定するには**

1. Windows の検索ボックスに「**environment variables**」と入力し、[**システム環境変数の編集**] を選択します。

1. [**システムのプロパティ**] ダイアログボックスで、[**詳細設定**] タブを開き、[**環境変数**] を選択します。

1. [**環境変数**] ダイアログボックスの [**システム変数**] で、[**パス**] エントリを選択し、[**編集**] を選択します。

1. [**新規**] を選択し、以下のパスを追加します。

   `C:\Windows\System32`

1. もう一度 [**新規**] を選択し、以下のパスを追加します。

   `C:\Windows\System32\WindowsPowerShell\v1.0\`

1. [**OK**] を選択してください。

1. WorkSpace を再起動します。
**ヒント**  
環境変数のパスに項目が表示される順序が重要です。正しい順序を決定するために、WorkSpace の環境変数のパスを、新しく作成された WorkSpace または新しい Windows インスタンスのパスと比較できます。<a name="tips_enable_wmi"></a>

#### Windows モジュールインストーラーを有効にすることが必要
<a name="tips_enable_wmi"></a>

イメージ作成プロセスでは、Windows モジュールインストーラーサービスを有効にする必要があります。

**Windows モジュールインストーラーサービスを有効にするには**

1. Windows の検索ボックスに「**services.msc**」と入力して、Windows サービスマネージャーを開きます。

1. [**名前**] 列で、[**Windows モジュールインストーラー**] を見つけます。

1. **[Windows Modules Installer]** を選択し、**[Action]**、**[Properties]** の順に選択します。

1. [**全般**] タブの [**スタートアップの種類**] で、[**手動**] または [**自動**] を選択します。

1. [**OK**] を選択してください。<a name="tips_disable_ssm"></a>

#### Amazon SSM Agent を無効にすることが必要
<a name="tips_disable_ssm"></a>

イメージの作成プロセスでは、Amazon SSM Agent サービスを無効にする必要があります。

**Amazon SSM Agent サービスを無効にするには**

1. Windows の検索ボックスに「**services.msc**」と入力して、Windows サービスマネージャーを開きます。

1. [**名前**] 列で、[**Amazon SSM Agent**] を見つけます。

1. **[Amazon SSM Agent]** を選択し、**[Action]**、**[Properties]** の順に選択します。

1. [**全般**] タブの [**スタートアップの種類**] で、[**無効**] を選択します。

1. [**OK**] を選択してください。<a name="tips_enable_ssl_tls"></a>

#### SSL および TLS バージョン 1.2 を有効にする必要があります
<a name="tips_enable_ssl_tls"></a>

Windows に SSL/TLS を設定するには、Microsoft Windows ドキュメントの「[How to Enable TLS 1.2](https://docs.microsoft.com/configmgr/core/plan-design/security/enable-tls-1-2)」を参照してください。<a name="tips_remove_extra_profiles"></a>

#### WorkSpace に存在できるユーザープロファイルは 1 つのみ
<a name="tips_remove_extra_profiles"></a>

イメージの作成に使用している WorkSpace に存在できる WorkSpaces ユーザープロファイル (`D:\Users\username`) は 1 つのみです。WorkSpace の対象ユーザーに属していないユーザープロファイルを削除します。

イメージの作成用に、WorkSpace に 3 つのユーザープロファイルのみを含めることができます。
+ WorkSpace の対象ユーザーのユーザープロファイル (`D:\Users\username`)
+ デフォルトのユーザープロファイル (デフォルトプロファイルとも呼ばれます)
+ 管理者ユーザープロファイル

追加のユーザープロファイルがある場合は、Windows コントロールパネルの詳細システムプロパティを使用して削除できます。

**ユーザープロファイルを削除するには**

1. 詳細システムプロパティにアクセスするには、以下のいずれかを実行します。
   + **Windows \$1 Pause Break キー**を押し、**[コントロールパネル]** > **[システムとセキュリティ]** > **[システム]** ダイアログボックスの左側のペインで **[システムの詳細設定]** を選択します。
   + Windows の検索ボックスに「**control panel**」と入力します。コントロールパネルで、**[システムとセキュリティ]**、[システム] の順に選択し、**[コントロールパネル]** > **[システムとセキュリティ]** > **[システム]** ダイアログボックスの左側のペインで **[システムの詳細設定]** を選択します。

1. [**システムのプロパティ**] ダイアログボックスの [**詳細設定**] タブで、[**ユーザープロファイル**] の [**設定**] を選択します。

1. 管理者プロファイル、デフォルトプロファイル、および対象の WorkSpaces ユーザープロファイル以外のプロファイルが一覧表示されている場合は、その追加のプロファイルを選択し、[**削除**] を選択します。

1. プロファイルを削除するかどうか尋ねられたら、[**はい**] を選択します。

1. 必要に応じて、ステップ 3 と 4 を繰り返し、WorkSpace に属していない他のプロファイルを削除します。

1. [**OK**] を 2 回選択し、コントロールパネルを閉じます。

1. WorkSpace を再起動します。<a name="tips_unstage_appx"></a>

#### AppX パッケージがステージング状態になることはない
<a name="tips_unstage_appx"></a>

1 つ以上の AppX パッケージがステージング状態になっています。これにより、イメージの作成中に Sysprep エラーが発生する可能性があります。

**ステージングされたすべての AppX パッケージを削除するには**

1. Windows の検索ボックスに「**powershell**」と入力します。[**管理者として実行**] を選択します。

1. 「このアプリがデバイスに変更を加えることを許可しますか?」と尋ねられたら、[**はい**] を選択します。

1. Windows PowerShell ウィンドウで、以下のコマンドを入力して、ステージングされたすべての AppX パッケージを一覧表示し、それぞれの後に Enter キーを押します。

   ```
   $workSpaceUserName = $env:username
   ```

   ```
   $allAppxPackages = Get-AppxPackage -AllUsers
   ```

   ```
   $packages = $allAppxPackages |    Where-Object { `
                                   (($_.PackageUserInformation -like "*S-1-5-18*" -and !($_.PackageUserInformation -like "*$workSpaceUserName*")) -and `
                                   ($_.PackageUserInformation -like "*Staged*" -or $_.PackageUserInformation -like "*Installed*")) -or `
                                   ((!($_.PackageUserInformation -like "*S-1-5-18*") -and $_.PackageUserInformation -like "*$workSpaceUserName*") -and `
                                   $_.PackageUserInformation -like "*Staged*")
                                   }
   ```

1. 昇格された SYSTEM 権限で次のコマンドを実行して、ステージングされた AppX パッケージプロビジョニングエントリをすべて削除し、Enter キーを押します。

   ```
   $packages | Remove-AppxPackage -ErrorAction SilentlyContinue
   ```

1. Image Checker を再度実行します。それでもこのテストに失敗する場合は、以下のコマンドを入力して、すべての AppX パッケージを削除し、それぞれの後に Enter キーを押します。

   ```
   Get-AppxProvisionedPackage -Online | Remove-AppxProvisionedPackage -Online -ErrorAction SilentlyContinue
   ```

   ```
   Get-AppxPackage -AllUsers | Remove-AppxPackage -ErrorAction SilentlyContinue
   ```<a name="tips_version_upgrade"></a>

#### Windows が以前のバージョンからアップグレードされていないこと
<a name="tips_version_upgrade"></a>

イメージの作成は、あるバージョンの Windows 10 から新しいバージョンの Windows 10 にアップグレードされた Windows システム (Windows の機能/バージョンのアップグレード) ではサポートされません。

イメージを作成するには、Windows の機能/バージョンのアップグレードを行っていない WorkSpace を使用します。<a name="tips_reset_rearm_count"></a>

#### Windows リアームカウントが 0 でないこと
<a name="tips_reset_rearm_count"></a>

リアーム機能を使用すると、Windows の試用バージョンのアクティベーション期間を延長できます。イメージ作成プロセスでは、リアームカウントを 0 以外の値にする必要があります。

**Windows リアームカウントを確認するには**

1. Windows の [**スタート**] メニューで [**Windows システム**] を選択し、[**コマンドプロンプト**] を選択します。

1. [コマンドプロンプト] ウィンドウで、以下のコマンドを入力し、Enter キーを押します。

   `cscript C:\Windows\System32\slmgr.vbs /dlv`

リアームカウントを 0 以外の値にリセットするには、Microsoft Windows ドキュメントの「[Sysprep (Generalize) a Windows installation](https://docs.microsoft.com/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation)」を参照してください。

#### トラブルシューティングに関するその他のヒント
<a name="images_troubleshooting_tips"></a>

Image Checker で実行されるすべてのテストに WorkSpace が合格したにもかかわらず、WorkSpace からイメージを作成できない場合は、以下の点を確認します。
+ WorkSpace が **Domain Guests** グループ内のユーザーに割り当てられていないことを確認します。ドメインアカウントがあるかどうかを確認するには、以下の PowerShell コマンドを実行します。

  ```
  Get-WmiObject -Class Win32_Service | Where-Object { $_.StartName -like "*$env:USERDOMAIN*" }
  ```
+ Windows 7 WorkSpaces のみ: イメージの作成中にユーザープロファイルをコピーしているときに問題が発生した場合は、以下の点を確認します。
  + プロファイルパスが長いと、イメージ作成エラーが発生する可能性があります。ユーザープロファイル内のすべてのフォルダのパスが 261 文字未満であることを確認します。
  + システムとすべてのアプリケーションパッケージに、プロファイルフォルダに対する完全なアクセス許可を必ず付与してください。
  + ユーザープロファイルのファイルがプロセスによってロックされているか、イメージの作成中に使用されている場合、プロファイルのコピーが失敗する可能性があります。
+ 一部のグループポリシーオブジェクト (GPO) では、Windows インスタンスの設定中に EC2Config サービスまたは EC2Launch スクリプトによって RDP 証明書のサムプリントへのアクセスがリクエストされると、そのアクセスは制限されます。イメージを作成しようとする前に、継承がブロックされて GPO が適用されていない新しい組織単位 (OU) に、WorkSpace を移動します。
+ Windows Remote Management (WinRM) サービスが自動的に開始するように設定されていることを確認します。次の作業を行います。

  1. Windows の検索ボックスに「**services.msc**」と入力して、Windows サービスマネージャーを開きます。

  1. [**名前**] 列で、[**Windows リモート管理 (WS-Management)**] を見つけます。

  1. **[Windows Remote Management (WS-Management)]** を選択し、**[Action]**、**[Properties]** の順に選択します。

  1. [**全般**] タブの [**スタートアップの種類**] で、[**自動**] を選択します。

  1. [**OK**] を選択してください。

## ステップ 3: カスタムイメージとカスタムバンドルを作成する
<a name="create_custom_image_bundle"></a>

WorkSpace イメージを検証したら、カスタムイメージとカスタムバンドルの作成に進むことができます。

**カスタムイメージとカスタムバンドルを作成するには**

1. まだ WorkSpace に接続している場合は、WorkSpaces クライアントアプリケーションで [**Amazon Workspaces**]、[**Disconnect**] (切断) の順に選択して切断します。

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. <a name="step_create_image"></a>WorkSpace を選択して詳細ページを開き、**[Create image]** (イメージ) の作成を選択します。WorkSpace の状態が **[Stopped]** (停止) の場合、**[Actions]** (アクション)、**[Start WorkSpaces]** (WorkSpaces の起動) の順に選択してから、**[Actions]** (アクション)、**[Create Image]** (イメージの作成) を選択する必要があります。
**注記**  
プログラムによってイメージを作成するには、CreateWorkspaceImage API アクションを使用します。詳細については、「*Amazon WorkSpaces API リファレンス*」の「[CreateWorkspaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaceImage.html)」を参照してください。

1. 続行する前に WorkSpace を再起動するように求めるメッセージが表示されます。WorkSpace を再起動すると、Amazon WorkSpaces ソフトウェアが最新バージョンに更新されます。

   メッセージを閉じて、[WorkSpaces Personal の WorkSpace を再起動する](reboot-workspaces.md) のステップに従って WorkSpace を再起動します。完了したら、この手順の [Step 4](#step_create_image) を繰り返します。ただし、再起動メッセージが表示されたら、[**次へ**] を選択します。イメージを作成するには、WorkSpace のステータスが [**利用可能**]で、変更の状態が [**なし**] である必要があります。

1. イメージを識別するのに役立つイメージの名前と説明を入力し、[**イメージの作成**] を選択します。イメージが作成されている間、WorkSpace のステータスは [**Suspended (停止)**] となり、WorkSpace は使用できません。
**注記**  
イメージの説明を入力するときは、特殊文字「-」を使用しないでください。使用するとエラーが発生します。

1. ナビゲーションペインで [** Images**] を選択します。WorkSpace のステータスが [**Available**] (使用可能) に変わると、イメージは完成です (これには最長 45 分かかる場合があります)。

1. イメージを選択し、[**Actions**] (アクション)、[**Create bundle**] (バンドルの作成) を選択します。
**注記**  
プログラムによりバンドルを作成するには、**CreateWorkspaceBundle** API アクションを使用します。詳細については、*Amazon WorkSpaces API リファレンス*の [CreateWorkspaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaceBundle.html) を参照してください。

1. バンドル名と説明を入力し、次の操作を行います。
   + [**Bundle hardware type**] (バンドルハードウェアタイプ) で、このカスタムバンドルから WorkSpaces を起動するときに使用するハードウェアを選択します。
   + [**Storage settings**] (ストレージ設定) で、ルートボリュームとユーザーボリュームサイズのデフォルトの組み合わせのいずれかを選択するか、[**Custom**] (カスタム) を選択し、[**Root volume size**] (ルートボリュームサイズ) と [**User volume size**] (ユーザーボリュームサイズ) に値 (最大 2000 GB) を入力します。

     デフォルトのルートボリューム (Microsoft Windows の場合は `C` ドライブ、Linux の場合は /) およびユーザーボリューム (Windows の場合は `D` ドライブ、Linux の場合は /home) で使用できるサイズの組み合わせは以下のとおりです。
     + ルート: 80 GB、ユーザー: 10 GB、50 GB、または 100 GB
     + ルート: 175 GB、ユーザー: 100 GB
     + GPU 対応 WorkSpaces のストレージ要件は、インスタンスのサイズ設定に比例してスケーリングされます。より大きな GPU 対応 WorkSpaces 設定を選択するときは、最適なパフォーマンスを維持し、ワークロードの需要の増加に対応するために、対応するより大きなストレージボリュームを割り当てる必要があります。最小インスタンスサイズの場合は、次のストレージ割り当てから始めます。ルート: 100 GB、ユーザー: 100 GB

     または、ルートボリュームとユーザーボリュームをそれぞれ 2,000 GB まで拡張できます。
**注記**  
データを確実に保持するために、WorkSpace の起動後はルートやユーザーボリュームのサイズを縮小できなくなります。代わりに、WorkSpace を起動するときに、これらのボリュームの最小サイズを指定してください。  
Value、Standard、Performance、Power、PowerPro のいずれかの WorkSpace は、最小 80 GB のルートボリュームおよび 10 GB のユーザーボリュームで起動できます。
GeneralPurpose.4xlarge または GeneralPurpose.8xlarge WorkSpace は、最低 175 GB のルートボリュームおよび最低 100 GB のユーザーボリュームで起動できます。

1. [**Create bundle**] (バンドルの作成) を選択します。

1. バンドルが作成されたことを確認するには、[**Bundles**] (バンドル) を選択し、バンドルが表示されていることを確認します。

## Windows WorkSpaces カスタムイメージに含まれるアイテム
<a name="image_creation_windows"></a>

Windows 7、Windows 10、または Windows 11 の WorkSpace からイメージを作成すると、`C` ドライブの内容全体が含まれます。

Windows 10 または 11 の WorkSpaces の場合、`D:\Users\username` のユーザープロファイルはカスタムイメージに含まれません。

Windows 7 WorkSpaces の場合、以下のものを除いて、`D:\Users\username` のユーザープロファイルの内容全体が含まれます。
+ 連絡先
+ ダウンロード
+ 音楽
+ 画像
+ ゲームのセーブデータ
+ 動画
+ ポッドキャスト
+ 仮想マシン
+ .virtualbox
+ トレース
+ appdata\$1local\$1temp
+ appdata\$1roaming\$1apple computer\$1mobilesync\$1
+ appdata\$1roaming\$1apple computer\$1logs\$1
+ appdata\$1roaming\$1apple computer\$1itunes\$1iphone software updates\$1
+ appdata\$1roaming\$1macromedia\$1flash player\$1macromedia.com\$1support\$1flashplayer\$1sys\$1
+ appdata\$1roaming\$1macromedia\$1flash player\$1\$1sharedobjects\$1
+ appdata\$1roaming\$1adobe\$1flash player\$1assetcache\$1
+ appdata\$1roaming\$1microsoft\$1windows\$1recent\$1
+ appdata\$1roaming\$1microsoft\$1office\$1recent\$1
+ appdata\$1roaming\$1microsoft office\$1live meeting
+ appdata\$1roaming\$1microsoft shared\$1livemeeting shared\$1
+ appdata\$1roaming\$1mozilla\$1firefox\$1crash reports\$1
+ appdata\$1roaming\$1mcafee\$1common framework\$1
+ appdata\$1local\$1microsoft\$1feeds cache
+ appdata\$1local\$1microsoft\$1windows\$1temporary internet files\$1
+ appdata\$1local\$1microsoft\$1windows\$1history\$1
+ appdata\$1local\$1microsoft\$1internet explorer\$1domstore\$1
+ appdata\$1local\$1microsoft\$1internet explorer\$1imagestore\$1
+ appdata\$1locallow\$1microsoft\$1internet explorer\$1iconcache\$1
+ appdata\$1locallow\$1microsoft\$1internet explorer\$1domstore\$1
+ appdata\$1locallow\$1microsoft\$1internet explorer\$1imagestore\$1
+ appdata\$1local\$1microsoft\$1internet explorer\$1recovery\$1
+ appdata\$1local\$1mozilla\$1firefox\$1profiles\$1

## Linux WorkSpace カスタムイメージに含まれるもの
<a name="image_creation_linux"></a>

Amazon Linux WorkSpace からイメージを作成すると、ユーザーボリューム (/home) の内容はすべて削除されます。ルートボリューム (/) の内容は含まれますが、以下に該当するフォルダとキーは削除されます。
+ /tmp
+ /var/spool/mail
+ /var/tmp
+ /var/lib/dhcp
+ /var/lib/cloud
+ /var/cache
+ /var/backups
+ /etc/sudoers.d
+ /etc/udev/rules.d/70-persistent-net.rules
+ /etc/network/interfaces.d/50-cloud-init.cfg
+ /var/log/amazon/ssm
+ /var/log/pcoip-agent
+ /var/log/skylight
+ /var/lock/.skylight.domain-join.lock
+ /var/lib/skylight/domain-join-status
+ /var/lib/skylight/configuration-data
+ /var/lib/skylight/config-data.json
+ /home
+ /etc/default/grub.d/zz-hibernation.cfg
+ /etc/netplan/zz-workspaces-domain.yaml
+ /etc/netplan/yy-workspaces-base.yaml
+ /var/lib/AccountsService/users

以下のキーは、カスタムイメージの作成中に破棄されます。
+ /etc/ssh/ssh\$1host\$1\$1\$1key
+ /etc/ssh/ssh\$1host\$1\$1\$1key.pub
+ /var/lib/skylight/tls.\$1
+ /var/lib/skylight/private.key
+ /var/lib/skylight/public.key

# WorkSpaces Personal のカスタムバンドルを更新する
<a name="update-custom-bundle"></a>

既存のカスタム WorkSpaces バンドルを更新するには、バンドルに基づいて WorkSpace を変更し、WorkSpace からイメージを作成し、新しいイメージでバンドルを更新します。更新されたバンドルを使用して新しい WorkSpaces を起動できます。

**重要**  
既存の WorkSpaces は、基になっているバンドルを更新しても自動的に更新されません。更新済みのバンドルに基づく既存の WorkSpaces を更新するには、WorkSpaces を再構築するか、一旦削除してから再作成する必要があります。

**コンソールを使用してバンドルを更新するには**

1. バンドルに基づく WorkSpace に接続し、必要な変更を加えます。たとえば、最新のオペレーティングシステムとアプリケーションのパッチを適用し、追加のアプリケーションをインストールすることができます。

   または、バンドルの作成や変更に使用したイメージと同じ基本ソフトウェアパッケージ (Plus または Standard) を使用して新しい WorkSpace を作成することもできます。

1. まだ WorkSpace に接続している場合は、WorkSpaces クライアントアプリケーションで [**Amazon Workspaces**]、[**Disconnect**] (切断) の順に選択して切断します。

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. WorkSpace を選択し、[**Actions**]、[**Create Image**] を選択します。WorkSpace のステータスが `STOPPED` の場合、[**Actions**] (アクション)、[**Create Image**] (イメージの作成) を選択する前に、まずそれを開始する必要があります ([**Actions**] (アクション)、[**Start WorkSpaces**] (WorkSpaces の起動) の順に選択)。

1. イメージ名と説明を入力して、[**イメージの作成**] を選択します。イメージが作成されている間、WorkSpace は使用できません。イメージ作成プロセスの詳細については、[WorkSpaces Personal のカスタム WorkSpaces イメージとバンドルを作成する](create-custom-bundle.md) を参照してください。

1. ナビゲーションペインで [** Bundles**] を選択します。

1. バンドルを選択して詳細ページを開き、[**Source image**] (ソースイメージ) で [**Edit**] (編集) を選択します。

1. [**Update source image**] (ソースイメージの更新) ページで、作成したイメージを選択し、[**Update bundle**] (バンドルの更新) を選択します。

1. 必要に応じて、バンドルに基づく既存の WorkSpaces を更新します。更新するには、WorkSpaces を再構築するか、これを削除してから再作成します。詳細については、「[WorkSpaces Personal の WorkSpace を再構築する](rebuild-workspace.md)」を参照してください。

**プログラムによりバンドルを更新するには**  
プログラムによりバンドルを更新するには、**UpdateWorkspaceBundle** API アクションを使用します。詳細については、*Amazon WorkSpaces API リファレンス*の [UpdateWorkspaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_UpdateWorkspaceBundle.html) を参照してください。

# WorkSpaces Personal でカスタムイメージをコピーする
<a name="copy-custom-image"></a>

カスタム WorkSpaces イメージは、リージョン内またはAWSリージョン間でコピーできます。イメージをコピーすると、独自の識別子の付いた同一のイメージを作成したことになります。

コピー先のリージョンで BYOL が有効になっている限り、自分のライセンス使用 (BYOL) イメージを別のリージョンにコピーできます。関係するすべてのアカウントとリージョンで BYOL が有効になっていることを確認してください。

**注記**  
中国 (寧夏) リージョンでは、同じリージョン内でのみイメージをコピーできます。  
AWS GovCloud (US) Regionで、他のAWSリージョンとの間でイメージをコピーするには、 AWSサポートにお問い合わせください。  
オプトインリージョンでイメージを他のリージョンにコピーするには、 AWSサポートにお問い合わせください。オプトインリージョンの詳細については、「[利用できるリージョン](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions)」を参照してください。

別のAWSアカウントによって共有されたイメージをコピーすることもできます。共有イメージの詳細については、[WorkSpaces Personal でカスタムイメージを共有または共有解除する](share-custom-image.md) を参照してください。

リージョン間のイメージのコピーに追加料金はかかりません。ただし、コピー先リージョンでのイメージ数のクォータは適用されます。Amazon WorkSpaces クォータの詳細については、 [Amazon WorkSpaces のクォータ](workspaces-limits.md) を参照してください。

**イメージをコピーするための IAM 許可**  
IAM ユーザーを使用してイメージをコピーする場合、ユーザーには `workspaces:DescribeWorkspaceImages` および `workspaces:CopyWorkspaceImage` のアクセス許可が必要です。

次のポリシー例では、指定したイメージを、指定したリージョンの指定したアカウントにコピーすることをユーザーに許可します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:DescribeWorkspaceImages",
        "workspaces:CopyWorkspaceImage"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:workspaceimage/wsi-a1bcd2efg"
      ]
    }
  ]
}
```

------

**重要**  
イメージを所有していないアカウントの共有イメージをコピーするための IAM ポリシーを作成する場合は、ARN でアカウント ID を指定できません。代わりに、次のポリシー例に示すように、アカウント ID には `*` を使用する必要があります。  

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:DescribeWorkspaceImages",
        "workspaces:CopyWorkspaceImage"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:workspaceimage/wsi-a1bcd2efg"
      ]
    }
  ]
}
```
ARN でアカウント ID を指定できるのは、コピーするイメージをそのアカウントが所有している場合だけです。

IAM の操作方法の詳細については、[WorkSpaces の Identity and Access Management](workspaces-access-control.md) を参照してください。

**イメージの一括コピー**  
コンソールを使用して、イメージを 1 つずつコピーできます。イメージを一括コピーするには、 **CopyWorkspaceImage** API オペレーションまたは AWS Command Line Interface() の **copy-workspace-image** コマンドを使用しますAWS CLI。詳細については、*Amazon WorkSpaces API リファレンス*の [CopyWorkspaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_CopyWorkspaceImage.html) または *AWS CLI コマンドリファレンス*の [copy-workspace-image](https://docs.aws.amazon.com/cli/latest/reference/workspaces/copy-workspace-image.html) を参照してください。

**重要**  
共有イメージをコピーする前に、共有イメージが正しいAWSアカウントから共有されていることを確認します。イメージが共有されているかどうかを判断し、イメージを所有している AWS アカウント ID を確認するには、[DescribeWorkSpaceImages](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImages.html) および [DescribeWorkspaceImagePermissions](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html) API オペレーションを使用するか、AWS CLI で [describe-workspace-images](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-images.html) および [describe-workspace-image-permissions](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html) コマンドを使用します。

**コンソールを使用してイメージをコピーするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [** Images**] を選択します。

1. イメージを選択し、[**Actions**] (アクション)、[**Copy image**] (イメージをコピー) の順に選択します。

1. **Select destination** で、イメージのコピー先のAWSリージョンを選択します。

1. [**Name of the copy**] (コピーの名前) で、コピーしたイメージの新しい名前を入力し、[**Description**] (説明) で、コピーしたイメージの説明を入力します。

1. (オプション) [**Tags**] (タグ) で、コピーしたイメージのタグを入力します。詳細については、「[WorkSpaces Personal でリソースにタグを付ける](tag-workspaces-resources.md)」を参照してください。

1. [**Copy image**] (イメージのコピー) を選択します。

# WorkSpaces Personal でカスタムイメージを共有または共有解除する
<a name="share-custom-image"></a>

WorkSpaces のカスタムイメージは、同じ AWS リージョン内の AWS アカウント間で共有できます。イメージの共有後、受取人アカウントは、必要に応じてイメージを他の AWS リージョンにコピーできます。イメージのコピーの詳細については、[WorkSpaces Personal でカスタムイメージをコピーする](copy-custom-image.md) を参照してください。

**注記**  
中国 (寧夏) リージョンでは、同じリージョン内でのみイメージをコピーできます。  
AWS GovCloud (US) Regionで他の AWS リージョンとの間でイメージをコピーするには、AWS サポートにお問い合わせください。

イメージの共有に追加料金はかかりません。ただし、AWS リージョンでのイメージ数のクォータは適用されます。共有イメージは、受信者がイメージをコピーするまで、受信者アカウントのクォータにはカウントされません。Amazon WorkSpaces クォータの詳細については、 [Amazon WorkSpaces のクォータ](workspaces-limits.md) を参照してください。

共有イメージを削除するには、そのイメージを削除する前に共有を解除する必要があります。

**ライセンス持ち込みのイメージを共有する**  
Bring-Your-Own-License (BYOL) イメージは、BYOL が有効になっている AWS アカウントとのみ共有できます。BYOL イメージを共有する先の AWS アカウントも、同じ組織の一部である (同じ支払いアカウントに属する) 必要があります。

**注記**  
AWS GovCloud (米国西部) および AWS GovCloud (米後東部) リージョンでは、AWS アカウント間での BYOL イメージの共有は、現時点ではサポートされていません。AWS GovCloud (米国西部) および AWS GovCloud (米国東部) リージョンのアカウント間で BYOL イメージを共有する場合は、AWS サポートにお問い合わせください。

**自分に共有されたイメージ**  
自分にイメージが共有された場合は、コピーできます。その後、共有イメージのコピーを使用して、新しい WorkSpaces を起動するためのバンドルを作成できます。

**重要**  
共有イメージをコピーする前に、正しい AWS アカウントから共有されていることを確認します。イメージが共有されているかどうかをプログラムで判断するには、[DescribeWorkSpaceImages](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImages.html) および [DescribeWorkspaceImagePermissions](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html) API オペレーションを使用するか、AWS コマンドラインインターフェイス (CLI) で [describe-workspace-images](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-images.html) および [describe-workspace-image-permissions](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html) コマンドを使用します。

自分に共有されたイメージに対して表示される作成日は、イメージが最初に作成された日付であり、イメージが自分に共有された日付ではありません。

自分にイメージが共有されている場合、そのイメージを他のアカウントと共有することはできません。

**イメージを共有するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [** Images**] を選択します。

1. イメージを選択して、詳細ページを開きます。

1. イメージの詳細ページの [**Shared accounts (共有アカウント)**] セクションで、[**Add account (アカウントの追加)**] を選択します。

1. [**Add account (アカウントの追加)**] ページの [**Add account to share with (共有するアカウントの追加**] で、イメージの共有先のアカウントのアカウント ID を入力します。
**重要**  
イメージを共有する前に、共有先の AWS アカウントの ID が正しいことを確認してください。

1. [**Share image (イメージの共有)**] を選択します。
**注記**  
共有イメージを使用するには、まず受信者アカウントで[イメージをコピー](copy-custom-image.md)する必要があります。その後、受取人アカウントは、共有イメージのコピーを使用して新しい WorkSpaces を起動するためのバンドルを作成できます。

**イメージの共有を停止するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [** Images**] を選択します。

1. イメージを選択して、詳細ページを開きます。

1. イメージの詳細ページの [**Shared accounts (共有アカウント)**] セクションで、共有を停止する AWS アカウントを選択し、[**Unshare (共有解除)**] を選択します。

1. イメージの共有解除を確認するメッセージが表示されたら、[**Unshare (共有解除)**] を選択します。
**注記**  
共有を解除した後にイメージを削除する場合、まず共有されているすべてのアカウントからそのイメージの共有を解除する必要があります。

イメージの共有を解除すると、受信者アカウントはイメージのコピーを作成できなくなります。ただし、受取人アカウント内に既に存在する共有イメージのコピーは、このアカウント内に残り、これらのコピーから新しい WorkSpaces を起動できます。

**プログラムによりイメージを共有または共有解除するには**  
プログラムによりイメージを共有または共有を解除するには、[UpdateWorkspaceImagePermission](https://docs.aws.amazon.com/workspaces/latest/api/API_UpdateWorkspaceImagePermission.html) APIオペレーションまたは [update-workspace-image-permission](https://docs.aws.amazon.com/cli/latest/reference/workspaces/update-workspace-image-permission.html) AWS Command Line Interface ( AWS CLI ) コマンドを使用します。イメージが共有されているかどうかを確認するには、[DescribeWorkspaceImagePermissions](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html) API オペレーションまたは [describe-workspace-image-permissions](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html) CLI コマンドを使用します。

# WorkSpaces Personal でカスタムバンドルまたはイメージを削除する
<a name="delete_bundle"></a>

必要に応じて、未使用のカスタムバンドルまたはカスタムイメージを削除できます。

## バンドルを削除する
<a name="delete_bundle_console"></a>

バンドルを削除するには、最初にバンドルに基づくすべての WorkSpaces を削除する必要があります。

**コンソールを使用してバンドルを削除するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [** Bundles**] を選択します。

1. バンドルを選択し、[**Delete**] (削除) を選択します。

1. 確認を求めるメッセージが表示されたら、[**Delete**] を選択します。

**プログラムによりバンドルを削除するには**  
プログラムによりバンドルを削除するには、**DeleteWorkspaceBundle** API アクションを使用します。詳細については、*Amazon WorkSpaces API リファレンス*の [DeleteWorkspaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_DeleteWorkspaceBundle.html) を参照してください。

**注記**  
バンドルを削除した後で同じ名前の新しいバンドルを作成する場合は、削除してから少なくとも 2 時間待ってください。

## イメージを削除します。
<a name="delete_images"></a>

カスタムバンドルを削除した後で、バンドルの作成または更新に使用したイメージを削除できます。

イメージを削除するには、まずそのイメージに関連付けられているバンドルを削除するか、別のソースイメージを使用するようにそれらのバンドルを更新する必要があります。また、他のアカウントと共有されている場合は、イメージの共有を解除する必要があります。また、イメージは [**Pending**] (保留中) または [**Validating**] (検証中) 状態になることもできません。

**コンソールを使用してイメージを削除するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [** Images**] を選択します。

1. イメージを選択し、[**Delete**] (削除) を選択します。

1. 確認を求めるメッセージが表示されたら、[**Delete**] を選択します。

**プログラムによりイメージを削除するには**  
プログラムによりイメージを削除するには、**DeleteWorkspaceImage** API アクションを使用します。詳細については、*Amazon WorkSpaces API リファレンス*の [DeleteWorkspaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_DeleteWorkspaceImage.html) を参照してください。

# WorkSpaces Personal のモニタリング
<a name="amazon-workspaces-monitoring"></a>

WorkSpaces をモニタリングするには、次の機能を使用することができます。

**CloudWatch メトリクス**  
Amazon WorkSpaces は、WorkSpaces に関するデータポイントを Amazon CloudWatch に発行します。CloudWatch では、それらのデータポイントについての統計を、(*メトリクス*と呼ばれる) 順序付けられた時系列データのセットとして取得できます。これらのメトリクスを使用して、WorkSpaces が正常に実行されていることを確認できます。詳細については、「」を参照してください[CloudWatch メトリクスを使用した WorkSpaces のモニタリング](cloudwatch-metrics.md)

**CloudWatch Events**  
ユーザーが WorkSpaces にログインするときに Amazon WorkSpaces から Amazon CloudWatch Events にイベントを送信できます。その結果、イベント発生時に応答できるようになります。詳細については、「」を参照してください[Amazon EventBridge を使用して WorkSpace をモニタリングする](cloudwatch-events.md)

**CloudTrail ログ**  
AWS CloudTrail は、WorkSpacesのユーザー、ロール、または AWS のサービスによって実行されたアクションのレコードを提供します。CloudTrail で収集された情報を使用して、WorkSpaces に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。詳細については、「[Logging WorkSpaces API Calls by Using CloudTrail](https://docs.aws.amazon.com/workspaces/latest/api/cloudtrail_logging.html)」を参照してください。スマートカードユーザーの成功したサインインと失敗したサインインが AWS CloudTrail によってログに記録されます。詳細については、「[スマートカードユーザーの AWS サインインイベントについて](signin-events.md)」を参照してください。

**CloudWatch Internet Monitor**  
Amazon CloudWatch Internet Monitor は、AWS でホストされているアプリケーションとエンドユーザーの間で、インターネットの問題がパフォーマンスや可用性にどのように影響しているかを可視化します。CloudWatch Internet Monitor は、次の目的にも使用できます。  
+ 1 つ以上の WorkSpace ディレクトリのモニターを作成する。
+ インターネットのパフォーマンスをモニタリングする。
+ エンドユーザーの都市ネットワーク (ロケーションと ASN (通常はインターネットサービスプロバイダー (ISP)) と WorkSpace リージョン間の問題に関するアラームを取得する。
Internet Monitor では、AWS のグローバルネットワークのフットプリントから接続データを取得します。そして、インターネット向けトラフィックのパフォーマンスと可用性に関するベースラインの計算に使用します。現在のところ、Internet Monitor は個々のエンドユーザーにインターネットパフォーマンスを提供することはできませんが、都市レベルや ISP レベルでは提供できます。

**Amazon S3 アクセスログ**  
ユーザーがアプリケーション設定データまたはホームフォルダのデータを Amazon S3 バケットに保存している場合は、Amazon S3 サーバーアクセスログを表示してアクセスをモニタリングすることを検討してください。これらのログでは、バケットに対して行われたリクエストの詳細なレコードが提供されます。サーバーアクセスのログは、多くのアプリケーションに役立ちます。例えば、アクセスのログ情報は、セキュリティやアクセスの監査に役立ちます。詳細については、*Amazon Simple Storage Service ユーザーガイド*の「[Amazon S3 Server Access Logging](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html)」を参照してください。

# CloudWatch 自動ダッシュボードを使用して WorkSpaces の状態をモニタリングする
<a name="cloudwatch-dashboard"></a>

CloudWatch 自動ダッシュボードを使って WorkSpaces をモニタリングすることで、raw データを収集し、リアルタイムに近い読み取り可能なメトリクスに加工することができます。メトリクスは、履歴情報にアクセスしてウェブアプリケーションまたはサービスのパフォーマンスをモニタリングするために、15 か月間保持されます。また、特定のしきい値を監視するアラームを設定し、これらのしきい値に達したときに通知を送信したりアクションを実行したりできます。詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)」を参照してください。

 AWS アカウントを使用して WorkSpaces を設定すると、CloudWatch ダッシュボードが自動的に作成されます。ダッシュボードを使用すると、状態やパフォーマンスなどの WorkSpaces のメトリクスを、リージョンをまたいでモニタリングできます。ダッシュボードは、次の目的でも使用できます。
+ 異常な WorkSpace インスタンスを特定する。
+ WorkSpace インスタンスに異常がある実行モード、プロトコル、オペレーティングシステムを特定する。
+ 時間の経過に伴う重要なリソースの使用率を表示する。
+ トラブルシューティングに役立つ異常を特定する。

WorkSpaces CloudWatch 自動ダッシュボードは、すべての AWS 商用リージョンで利用できます。

**WorkSpaces の CloudWatch 自動ダッシュボードを使用するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. ナビゲーションペインで、**ダッシュボード**を選択します。

1. **[自動ダッシュボード]** タブを選択します。

1. **[WorkSpaces]** を選択します。

## WorkSpaces の CloudWatch 自動ダッシュボードについて
<a name="understanding-cloudwatch-dashboard"></a>

CloudWatch 自動ダッシュボードでは、WorkSpaces のリソースのパフォーマンスを把握し、パフォーマンスの問題を特定できます。

![\[WorkSpaces クライアントサインイン画面\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/cw_dashboard_withcallouts.png)


**ダッシュボードは、次の機能で構成されます。**

1. 時間および日付範囲コントロールを使用して履歴データを表示する。

1. カスタマイズされたダッシュボードビューを CloudWatch カスタムダッシュボードに追加する。

1. 以下を実行して、WorkSpaces の全体的な状態と使用率のステータスをモニタリングする。

   1. プロビジョニングされた WorkSpaces の合計数、接続されたユーザー数、異常および正常な WorkSpace インスタンスの数を表示する。

   1. 異常な WorkSpaces と、そのさまざまな変数 (プロトコルやコンピューティングモードなど) を表示する。

   1. 折れ線グラフにカーソルを合わせて、特定のプロトコルと実行モードでの一定期間における正常/異常な WorkSpace インスタンスの数を表示する。

   1. 省略記号メニューを選択し、**[メトリクスで表示]** を選択して、タイムスケールチャートでメトリクスを表示する。

1. 指定した時点での WorkSpaces 環境の接続メトリクスとそのさまざまな変数 (接続試行回数、成功した接続の回数、失敗した接続の回数など) を表示する。

1. ラウンドトリップタイム (RTT) など、ユーザーのエクスペリエンスに影響を与えるセッション内レイテンシーを表示して、接続の正常性とパケット損失を特定し、ネットワークの状態をモニタリングする。

1. ホストのパフォーマンスとリソース使用率を表示して、潜在的なパフォーマンスの問題を特定し、トラブルシューティングを行う。

# CloudWatch メトリクスを使用した WorkSpaces のモニタリング
<a name="cloudwatch-metrics"></a>

WorkSpaces と Amazon CloudWatch が統合され、パフォーマンスメトリクスを収集して分析できるようになりました。これらのメトリクスは、CloudWatch コンソールまたは CloudWatch コマンドラインインターフェイスを使用して、あるいはプログラムによって CloudWatch API を使用してモニタリングできます。CloudWatch では、メトリックスの指定したしきい値に到達したときのアラームを設定することもできます。

CloudWatchとアラームの使用の詳細については、[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)を参照してください。

**前提条件**  
CloudWatch メトリクスを取得するには、`us-east-1` リージョンにある `AMAZON` サブセットのポート 443 へのアクセスを有効にします。詳細については、「」を参照してください[WorkSpaces Personal の IP アドレスとポートの要件](workspaces-port-requirements.md)

**Topics**
+ [WorkSpaces メトリクス](#wsp-metrics)
+ [WorkSpaces メトリックスのディメンション](#wsp-metric-dimensions)
+ [モニタリングの例](#monitoring_example)

## WorkSpaces メトリクス
<a name="wsp-metrics"></a>

`AWS/WorkSpaces` 名前空間には、次のメトリクスが含まれます。


| メトリクス | 説明 | ディメンション | 統計 | 単位 | 
| --- | --- | --- | --- | --- | 
| `Available`1 |  正常な状態を返した WorkSpaces の数。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `Unhealthy`1 |  正常でない状態を返した WorkSpaces の数。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `ConnectionAttempt`2 |  接続試行の数。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `ConnectionSuccess`2 |  成功した接続の数。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `ConnectionFailure`2 |  失敗した接続の数。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `SessionLaunchTime`2,6 | WorkSpaces セッションを開始するためにかかる時間。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 秒 (時間) | 
| `InSessionLatency`2,6 | WorkSpaces クライアントと WorkSpaces 間のラウンドトリップ時間。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | ミリ秒 (時間) | 
| `SessionDisconnect`2,6 | ユーザーが開始して失敗した接続を含む、閉じられた接続の数。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `UserConnected`3 | ユーザーが接続されている WorkSpaces の数。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `Stopped` | 停止中の WorkSpaces の数。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `Maintenance`4 | メンテナンス中の WorkSpaces の数。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `TrustedDeviceValidationAttempt`5,6 | デバイス認証シグニチャ検証の試行回数。 |  `DirectoryId`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `TrustedDeviceValidationSuccess`5,6 | 成功したデバイス認証シグニチャ検証の数。 |  `DirectoryId`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `TrustedDeviceValidationFailure`5,6 | 失敗したデバイス認証シグニチャ検証の数。  |  `DirectoryId`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `TrustedDeviceCertificateDaysBeforeExpiration`6 | ディレクトリに関連付けられたルート証明書の有効期限が切れるまでの日数。 |  `CertificateId`  | Average、Sum、Maximum、Minimum、Data Samples | カウント | 
| `CPUUsage` | 使用された CPU リソースの割合。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Maximum、Minimum | 割合 (%) | 
| `MemoryUsage` | マシンのメモリの使用率。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Maximum、Minimum | 割合 (%) | 
| `RootVolumeDiskUsage` | ルートディスクボリュームの使用率。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Maximum、Minimum | 割合 (%) | 
| `UserVolumeDiskUsage` | ユーザーディスクボリュームの使用率。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Maximum、Minimum | 割合 (%) | 
| `UDPPacketLossRate`7 | クライアントとゲートウェイの間でドロップしたパケットの割合。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Maximum、Minimum、Data Samples | 割合 (%) | 
| `UpTime` | WorkSpace の最後の再起動からの時間。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Maximum、Minimum、Data Samples | [秒] | 

1 WorkSpacesは定期的にステータスリクエストを WorkSpaces に送信します。WorkSpaces は、これらのリクエストに応答すると `Available` とマークされ、リクエストに応答できないと `Unhealthy` とマークされます。これらのメトリクスは WorkSpaces レベルの粒度で利用でき、組織のすべての WorkSpaces で集計されます。

2 WorkSpaces は、各 WorkSpaces に対して行われた接続のメトリクスを記録します。これらのメトリクスは、ユーザーが WorkSpaces クライアント経由で正常に認証され、クライアントがセッションを開始した後で出力されます。メトリクスは WorkSpaces レベルの粒度で利用でき、ディレクトリのすべての WorkSpaces で集計されます。

 3WorkSpaces は定期的に接続ステータスのリクエストを WorkSpaces に送信します。ユーザーは、能動的にセッションを使用している場合、接続済みとしてレポートされます。このメトリクスは WorkSpaces レベルの粒度で利用でき、組織のすべての WorkSpaces で集計されます。

4 このメトリクスは、AutoStop 実行モードで設定された WorkSpaces に適用されます。WorkSpaces のメンテナンスを有効にしている場合、このメトリクスは、現在メンテナンス中の WorkSpaces の数を記録します。このメトリクスは、WorkSpaces レベルの粒度で利用でき、WorkSpaces がメンテナンスに入った時期と削除された時期を示します。

5 ディレクトリに対して信頼されたデバイスの機能が有効になっている場合、Amazon WorkSpaces は証明書ベースの認証を使用して、デバイスが信頼されているかどうかを判断します。ユーザーが自分の WorkSpaces にアクセスしようとすると、これらのメトリクスが出力され、信頼されたデバイスの認証が成功したか失敗したかが示されます。これらのメトリクスは、Amazon WorkSpaces の Windows と MacOS クライアントアプリケーションでのみ、ディレクトリレベルの粒度で使用できます。

6 WorkSpaces Web Access ではご利用いただけません。

7 このメトリクスは、パケットの平均損失を測定します。
+ **PCoIP**: クライアントからゲートウェイへの UDP パケットの平均損失を測定します。
**注記**  
これはゲートウェイで測定されます。
+ **DCV**: ゲートウェイからクライアントへの UDP パケットの損失を測定します。
**注記**  
これはゲートウェイで測定されます。

## WorkSpaces メトリックスのディメンション
<a name="wsp-metric-dimensions"></a>

メトリクスデータをフィルタリングするために以下のディメンションを使用します。


| ディメンション | 説明 | 
| --- | --- | 
| `DirectoryId` | 指定したディレクトリの WorkSpaces に、メトリクスデータをフィルタリングします。ディレクトリ ID の形式は `d-XXXXXXXXXX` です。 | 
| `WorkspaceId` | 指定した WorkSpaces に対してメトリクスデータをフィルタリングします。WorkSpaces ID の形式は `ws-XXXXXXXXXX` です。 | 
| `CertificateId` | メトリクスデータをフィルタリングして、ディレクトリに関連付けられている指定されたルート証明書にします。証明書 ID の形式は `wsc-XXXXXXXXX` です。 | 
| `RunningMode` | メトリクスデータを WorkSpaces の実行モード別にフィルタリングします。実行モードの形式は AutoStop または AlwaysOn です。 | 
| `BundleId` | メトリクスデータを WorkSpaces のプロトコル別にフィルタリングします。バンドルの形式は `wsb-XXXXXXXXXX` です。 | 
| `ComputeType` | メトリクスデータを WorkSpaces のコンピューティングタイプ別にフィルタリングします。 | 
| `Protocol` | メトリクスデータを WorkSpaces のプロトコルタイプ別にフィルタリングします。 | 
| `UserName` |  メトリクスデータを WorkSpaces のユーザー名別にフィルタリングします。  `UserName` に次のような非 ASCII 文字を使うことはできません。  アクセント文字: é、à、ö、ñ など。 非ラテン文字 記号: ©️、®️、€、£、μ、¥ など。    | 
| `ComputerName` | 指定した WorkSpaces に対してメトリクスデータをフィルタリングします。[WorkSpaces コンピュータ名]( https://docs.aws.amazon.com/workspaces/latest/adminguide/wsp-directory-identify-computer.html)の各種形式をご確認ください。 | 

## モニタリングの例
<a name="monitoring_example"></a>

次の例では、AWS CLI を使用して CloudWatch アラームに応答し、ディレクトリ内で接続障害を起こした WorkSpaces を特定する方法を示します。

**CloudWatch アラームに応答するには**

1. [describe-alarms](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/describe-alarms.html) コマンドを使用して、アラームの対象になっているディレクトリを特定します。

   ```
   aws cloudwatch describe-alarms --state-value "ALARM"
   
   {
     "MetricAlarms": [
       {
         ...
         "Dimensions": [
           {
             "Name": "DirectoryId",
             "Value": "directory_id"
           }
         ],
         ...
       }
     ]
   }
   ```

1. [describe-WorkSpaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspaces.html) コマンドを使用して、指定したディレクトリの WorkSpaces のリストを取得します。

   ```
   aws workspaces describe-workspaces --directory-id directory_id
   
   {
     "Workspaces": [
       {
         ...
         "WorkspaceId": "workspace1_id",
         ...
       },
       {
         ...
         "WorkspaceId": "workspace2_id",
         ...
       },
       {
         ...
         "WorkspaceId": "workspace3_id",
         ...
       }
     ]
   }
   ```

1. [get-metric-statistics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html) コマンドを使用して、ディレクトリ内の各 WorkSpaces の CloudWatch メトリクスを取得します。

   ```
   aws cloudwatch get-metric-statistics \
   --namespace AWS/WorkSpaces \
   --metric-name ConnectionFailure \
   --start-time 2015-04-27T00:00:00Z \
   --end-time 2015-04-28T00:00:00Z \
   --period 3600 \
   --statistics Sum \
   --dimensions "Name=WorkspaceId,Value=workspace_id"
   
   {
     "Datapoints" : [
       {
         "Timestamp": "2015-04-27T00:18:00Z",
         "Sum": 1.0,
         "Unit": "Count"
       },
       {
         "Timestamp": "2014-04-27T01:18:00Z",
         "Sum": 0.0,
         "Unit": "Count"
       }
     ],
     "Label" : "ConnectionFailure"
   }
   ```

# Amazon EventBridge を使用して WorkSpace をモニタリングする
<a name="cloudwatch-events"></a>

Amazon WorkSpaces のイベントを使用することで、WorkSpaces への正常なログインを表示、検索、ダウンロード、アーカイブ、分析し、これに対して応答することができます。たとえば、次の目的でイベントを使用できます。
+ 後に参照できるよう WorkSpaces のログインイベントをログとして保存またはアーカイブし、ログを分析してパターンを探して、それらのパターンに基づいてアクションを実行します。
+ WAN IP アドレスを使用してユーザーのログイン元を特定し、ポリシーを使用して、`WorkSpaces Access` のイベントタイプで見つかったアクセス基準を満たす WorkSpaces のファイルまたはデータにのみアクセスすることを許可します。
+ を使用してログインデータを分析し、自動アクションを実行します AWS Lambda。
+ ポリシー制御を使用して、権限のない IP アドレスからのファイルやアプリケーションへのアクセスをブロックします。
+ WorkSpaces への接続に使用される WorkSpaces クライアントのバージョンを確認します。

Amazon WorkSpaces は、ベストエフォートベースでこれらのイベントを発行します。EventBridge からのイベントは、ほぼリアルタイムに EventBridge に提供されます。EventBridge では、イベントに応答してプログラムによるアクションをトリガーするルールを作成できます。例えば、SNS トピックを呼び出して E メール通知を送信するルールや、Lambda 関数を呼び出して何らかのアクションを実行するルールを設定できます。詳細については、[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/)を参照してください。

## WorkSpaces アクセスイベント
<a name="workspaces-event-types"></a>

ユーザーが正常に WorkSpace にログインすると、WorkSpaces クライアントアプリケーションが `WorkSpaces Access` イベントを送信します。これらのイベントは、すべての WorkSpaces クライアントより送信されます。

DCV を使用して WorkSpaces に対して発行されるイベントには、バージョン 4.0.1 以降の WorkSpaces クライアントアプリケーションが必要です。

イベントは、JSON オブジェクトとして表されます。以下は `WorkSpaces Access` イベントのサンプルデータです。

```
{
    "version": "0",
    "id": "64ca0eda-9751-dc55-c41a-1bd50b4fc9b7",
    "detail-type": "WorkSpaces Access",
    "source": "aws.workspaces",
    "account": "123456789012",
    "time": "2023-04-05T16:13:59Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "clientIpAddress": "192.0.2.3",
        "actionType": "successfulLogin",
        "workspacesClientProductName": "WorkSpacesWebClient",
        "loginTime": "2023-04-05T16:13:37.603Z",
        "clientPlatform": "Windows",
        "directoryId": "domain/d-123456789",
        "clientVersion": "5.7.0.3472",
        "workspaceId": "ws-xyskdga"
    }
}
```イベント固有のフィールド

`clientIpAddress`  
クライアントアプリケーションの WAN IP アドレス。PCoIP ゼロクライアントの場合は、Teradici auth クライアントの IP アドレスを表します。

`actionType`  
この値は常に `successfulLogin` です。

`workspacesClientProductName`  
次の値では大文字と小文字が区別されます。  
+ `WorkSpaces Desktop client` Windows、MacOS、Linux クライアント
+ `Amazon WorkSpaces Mobile client` iOS クライアント
+ `WorkSpaces Mobile Client` Android クライアント
+ `WorkSpaces Chrome Client` Chromebook クライアント
+ `WorkSpacesWebClient` Web Access クライアント
+ `AmazonWorkSpacesThinClient` Amazon WorkSpaces シンクライアントデバイス
+ `Teradici PCoIP Zero Client, Teradici PCoIP Desktop Client, or Dell Wyse PCoIP Client ` ゼロクライアント

`loginTime`  
ユーザーが WorkSpaces にログインした時間。

`clientPlatform`  
+ `Android`
+ `Chrome`
+ `iOS`
+ `Linux`
+ `OSX`
+ `Windows`
+ `Teradici PCoIP Zero Client and Tera2`
+ `Web`

`directoryId`  
WorkSpaces のディレクトリの識別子。`domain/` にはディレクトリ識別子を前置する必要があります。例えば、`"domain/d-123456789"`。

`clientVersion`  
WorkSpaces への接続に使用される WorkSpaces クライアントのバージョン。

`workspaceId`  
WorkSpaces の識別子。

## WorkSpaces イベントを処理するルールを作成する
<a name="create-event-rule"></a>

WorkSpaces イベントを処理する ルールを作成するには、次の手順を使用します。

**前提条件**

E メール通知を受信するには、Amazon Simple Notification Service トピックを作成します。

1. Amazon SNS コンソールの[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)を開いてください。

1. ナビゲーションペインで、**[トピック]** を選択してください。

1. **[トピックの作成]** を選択してください。

1. [**Type (タイプ)**] で、[**Standard (標準)**] を選択してください。

1. **[Name]** (名前) で、トピックの名前を入力してください。

1. **[トピックの作成]** を選択してください。

1. [**Create subscription**] を選択してください。

1. [**Protocol (プロトコル)**] として [**Email (E メール)**] を選択してください。

1. **[Endpoint]** (エンドポイント) で、通知を受信するメールアドレスを入力してください。

1. [**Create subscription**] を選択してください。

1. 次の件名の E メールメッセージが届きます: AWS Notification - Subscription Confirmation。指示に沿って操作し、登録を確認します。

**WorkSpaces イベントを処理するルールを作成するには**

1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。

1. [**Create rule**] を選択してください。

1. [**Name**] (名前) に、ルールの名前を入力してください。

1. **[ルールタイプ]** で、**[イベントパターンを持つルール]** を選択してください。

1. [**Next**] を選択してください。

1. **[Event pattern]** (イベントパターン) の場合は次のいずれかを実行します。

   1. **イベントソース** で **AWS のサービス** を選択してください。

   1. [**AWS のサービス**] で、[**WorkSpaces**] を選択します。

   1. [**イベントタイプ**] で、[**WorkSpaces Access**] (WorkSpaces のアクセス) を選択します。

   1. デフォルトでは、すべてのイベントに通知が送信されます。必要に応じて、特定のクライアントまたはワークスペースのイベントをフィルタリングするイベントパターンを作成できます。

1. [**次へ**] を選択します。

1. 次のようにターゲットを指定します。

   1. **[Target types]** (ターゲットタイプ) には**[AWS のサービス]** を選択してください。

   1. **[Select a target]** (ターゲットの選択) には**[SNS topic]** (SNS トピック) を選択してください。

   1. [**トピック**] で、通知用に作成した SNS トピックを選択します。

1. [**次へ**] を選択します。

1. (オプション) ルールにタグを追加します。

1. [**Next**] を選択してください。

1. **[‬Create rule‭]** (ルールの作成) を選択します。

# スマートカードユーザーの AWS サインインイベントについて
<a name="signin-events"></a>

AWS CloudTrail は、スマートカードユーザーのサインインイベントの成功と失敗を記録します。これには、ユーザーが特定の資格情報のチャレンジや要素を解決するよう求められるたびにキャプチャされるサインインイベントに加えて、その特定の認証情報の検証リクエストのステータスが含まれます。必要な認証情報のチャレンジをすべて完了したユーザーだけがサインインを許可され、`UserAuthentication` イベントがログに記録されます。

次の表は、サインインの CloudTrail イベント名とその目的を示します。


| イベント名 | イベントの目的 | 
| --- | --- | 
| `CredentialChallenge` |   AWS サインインがユーザーに特定の認証情報チャレンジの解決をリクエストしたことを通知し、`CredentialType`必要な を指定します (例: SMARTCARD)。  | 
| `CredentialVerification` |  ユーザーが特定の `CredentialChallenge` リクエストの解決を試みたことを通知し、その認証情報が成功したか失敗したかを指定します。  | 
| `UserAuthentication` |  要求されたすべての認証要件をユーザーが正常に完了し、正常にサインインしたことを通知します。ユーザーが必要な認証情報のチャレンジを正常に完了できなかった場合、`UserAuthentication` イベントはログに記録されません。  | 

次の表は、特定のサインイン CloudTrail イベント内に含まれる追加の有用なイベントデータフィールドを示します。


| イベント名 | イベントの目的 | サインインイベントの適用性 | 値の例 | 
| --- | --- | --- | --- | 
| `AuthWorkflowID` |  サインインシーケンス全体で発生するすべてのイベントを相関させます。各ユーザーサインインで、 AWS サインインによって複数のイベントが送信されることがあります。  |  `CredentialChallenge`, `CredentialVerification`, `UserAuthentication`  |  "AuthWorkflowID": "9de74b32-8362-4a01-a524-de21df59fd83"  | 
| `CredentialType` |  ユーザーが特定の `CredentialChallenge` リクエストの解決を試みたことを通知し、その認証情報が成功したか失敗したかを指定します。  |  `CredentialChallenge`, `CredentialVerification`, `UserAuthentication`  |  CredentialType": "SMARTCARD" (possible values today: SMARTCARD)  | 
| `LoginTo` |  要求されたすべての認証要件をユーザーが正常に完了し、正常にサインインしたことを通知します。ユーザーが必要な認証情報のチャレンジを正常に完了できなかった場合、`UserAuthentication` イベントはログに記録されません。  |  `UserAuthentication`  |  "LoginTo": "https://skylight.local“  | 

## AWS サインインシナリオのイベント例
<a name="example-event-signin"></a>

以下の例は、さまざまなサインインシナリオで予想される CloudTrail イベントのシーケンスを示します。

**Topics**
+ [スマートカードを使用した認証での正常なサインイン](#successful-signin)
+ [スマートカードを使用した認証での失敗したサインイン](#failed-signin)

### スマートカードを使用した認証での正常なサインイン
<a name="successful-signin"></a>

次の一連のイベントは、正常に完了したスマートカードサインインの例を示します。

**CredentialChallenge**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:29Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialChallenge", 
    "awsRegion": "us-east-1", 
    "sourceIPAddress": "AWS Internal", 
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "65551a6d-654a-4be8-90b5-bbfef7187d3a",
    "eventID": "fb603838-f119-4304-9fdc-c0f947a82116",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        CredentialChallenge": "Success"
    }
}
```

**正常に完了した CredentialVerification**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:39Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialVerification",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5",
    "eventID": "84c0a2ff-413f-4d0f-9108-f72c90a41b6c",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "509318101470",
    "serviceEventDetails": {
        CredentialVerification": "Success"
    }
}
```

**正常に完了した UserAuthentication**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:39Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "UserAuthentication", 
    "awsRegion": "us-east-1", 
    "sourceIPAddress": "AWS Internal", 
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e", 
        "LoginTo": "https://skylight.local", 
        "CredentialType": "SMARTCARD"
    },
    "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5", 
    "eventID": "acc0dba8-8e8b-414b-a52d-6b7cd51d38f6", 
    "readOnly": false,
    "eventType": "AwsServiceEvent", 
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        UserAuthentication": "Success"
    }
}
```

### スマートカードを使用した認証での失敗したサインイン
<a name="failed-signin"></a>

次の一連のイベントは、正常に完了しなかったスマートカードサインインの例を示します。

**CredentialChallenge**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:06Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialChallenge", 
    "awaRegion": "us-east-1", 
    "sourceIPAddress": "AWS Internal", 
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "73eb499d-91a8-4c18-9c5d-281fd45ab50a",
    "eventID": "f30a50ec-71cf-415a-a5ab-e287edc800da",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        CredentialChallenge": "Success"
    }
}
```

**失敗した CredentialVerification**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:13Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialVerification",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "051ca316-0b0d-4d38-940b-5fe5794fda03",
    "eventID": "4e6fbfc7-0479-48da-b7dc-e875155a8177",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        CredentialVerification": "Failure"
    }
}
```

# CloudFormation テンプレートを使用してカスタム CloudWatch ダッシュボードを作成する
<a name="cloudformation-templates"></a>

AWS には、WorkSpaces のカスタム CloudWatch ダッシュボードを作成するために使用できる CloudFormation テンプレートが用意されています。コンソールで WorkSpaces のカスタムダッシュボードを作成するには、次の CloudFormation テンプレートオプションから選択します CloudFormation 。

## 開始する前に考慮すべき点
<a name="before-starting-custom-cw-templates"></a>

カスタム CloudWatch ダッシュボードの作成を開始する前に、次の点を考慮してください。
+ モニタリングするデプロイされた WorkSpaces AWS リージョン と同じ にダッシュボードを作成します。
+ CloudWatch コンソールを使用してカスタムダッシュボードを作成することもできます。
+ コストは、カスタム CloudWatch ダッシュボードに関連付けられる場合があります。料金の詳細については、「[Amazon CloudWatch 料金表](https://aws.amazon.com/cloudwatch/pricing)」を参照してください。

## ヘルプデスク用ダッシュボード
<a name="help-desk-dashboard"></a>

ヘルプデスク用ダッシュボードには、特定の WorkSpace の次のメトリクスが表示されます。
+ CPU の使用
+ メモリ使用量
+ セッション内レイテンシー
+ ルートボリューム
+ ユーザーボリューム
+ パケットロス
+ ディスク使用量

以下は、ヘルプデスク用ダッシュボードの例です。

![\[CloudWatch のヘルプデスク用ダッシュボードのサンプル。\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/help-desk.png)


 CloudFormationを使用して CloudWatch でカスタムダッシュボードを作成するには、次の手順を実行します。

1. [CloudFormation コンソールでスタックの作成ページを開きます](https://console.aws.amazon.com/cloudformation/home#/stacks/new?stackName=YourStackName&templateURL=https://cfn-templates-global-prod-iad.s3.us-east-1.amazonaws.com/cfn-templates/workspaces_helpdesk_dashboard.yaml)。このリンクをクリックすると、ヘルプデスク用カスタム CloudWatch ダッシュボードテンプレートの Amazon S3 バケットの場所があらかじめ入力された状態で、ページが開きます。

1. **[スタックの作成]** ページでデフォルトの選択を確認します。**Amazon S3 URL **フィールドには、 CloudFormation テンプレートの Amazon S3 バケットの場所が事前に入力されていることに注意してください。

1. [**次へ**] を選択します。

1. **[スタック名]** ボックスに、スタックの名前を入力します。

   スタック名は、スタックのリストから特定のスタックを見つけるために役立つ識別子です。スタック名には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字はアルファベット文字である必要があります。また、128 文字より長くすることはできません。

1. **[ダッシュボード名]** テキストボックスに、ダッシュボードに付ける名前を入力します。

   ダッシュボード名には、英数字、ダッシュ (`–`)、アンダースコア (`_`) のみを使用できます。

1. [**次へ**] を選択します。

1. **[スタックオプションの設定]** ページでデフォルトの選択内容を確認し、**[次へ]** を選択します。

1. **[変換では、アクセス機能が必要になる場合があります]** まで下にスクロールし、確認のチェックボックスをオンにします。次に、**[送信]** を選択してスタックとカスタム CloudWatch ダッシュボードを作成します。
**重要**  
コストは、カスタム CloudWatch ダッシュボードに関連付けられる場合があります。料金の詳細については、「[Amazon CloudWatch 料金表](https://aws.amazon.com/cloudwatch/pricing)」を参照してください。

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左のナビゲーションバーの **[ダッシュボード]** を選択します。

1. **[カスタムダッシュボード]** で、この手順の前半で入力したダッシュボード名を持つダッシュボードを選択します。

1. ヘルプデスク用のサンプルテンプレートを使用して、データを監視する WorkSpace のユーザー名を入力します。

## 接続インサイト用ダッシュボード
<a name="connection-insights-dashboard"></a>

接続インサイト用ダッシュボードには、WorkSpaces に接続されているクライアントバージョン、プラットフォーム、IP アドレスが表示されます。このダッシュボードを使用すると、ユーザーがどのように接続しているかをよく理解できるため、古いクライアントを使用しているユーザーに対して事前に通知できます。動的変数を使用することで、IP アドレスまたは特定のディレクトリの詳細を監視できます。

以下は、接続インサイト用ダッシュボードの例です。

![\[CloudWatch の接続インサイト用ダッシュボードの例。\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/connection-insights.png)


 CloudFormationを使用して CloudWatch でカスタムダッシュボードを作成するには、次の手順を実行します。

1. [CloudFormation コンソールでスタックの作成ページを開きます](https://console.aws.amazon.com/cloudformation/home#/stacks/new?stackName=YourStackName&templateURL=https://cfn-templates-global-prod-iad.s3.us-east-1.amazonaws.com/cfn-templates/workspaces_connection_insights_dashboard.yaml)。このリンクをクリックすると、接続インサイト用カスタム CloudWatch ダッシュボードテンプレートの Amazon S3 バケットの場所があらかじめ入力された状態で、ページが開きます。

1. **[スタックの作成]** ページでデフォルトの選択を確認します。**Amazon S3 URL **フィールドには、 CloudFormation テンプレートの Amazon S3 バケットの場所が事前に入力されていることに注意してください。

1. [**次へ**] を選択します。

1. **[スタック名]** ボックスに、スタックの名前を入力します。

   スタック名は、スタックのリストから特定のスタックを見つけるために役立つ識別子です。スタック名には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字はアルファベット文字である必要があります。また、128 文字より長くすることはできません。

1. **[ダッシュボード名]** テキストボックスに、ダッシュボードに付ける名前を入力します。関連する他の CloudWatch アクセスグループの設定情報を入力します。

   ダッシュボード名には、英数字、ダッシュ (`–`)、アンダースコア (`_`) のみを使用できます。

1. **[ログの保持期間]** で、LogGroup を保持する日数を入力します。

1. **[EventBridge の設定]** で、WorkSpaces のアクセスログを取得するために EventBridge ルールをデプロイするかどうかを選択します。

1. **[WorkSpace アクセスログ名]** に、WorkSpace アクセスログを持つ CloudWatch LogGroup の名前を入力します。

1. [**次へ**] を選択します。

1. **[スタックオプションの設定]** ページでデフォルトの選択内容を確認し、**[次へ]** を選択します。

1. **[変換では、アクセス機能が必要になる場合があります]** まで下にスクロールし、確認のチェックボックスをオンにします。次に、**[送信]** を選択してスタックとカスタム CloudWatch ダッシュボードを作成します。
**重要**  
コストは、カスタム CloudWatch ダッシュボードに関連付けられる場合があります。料金の詳細については、「[Amazon CloudWatch 料金表](https://aws.amazon.com/cloudwatch/pricing)」を参照してください。

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左のナビゲーションバーの **[ダッシュボード]** を選択します。

1. **[カスタムダッシュボード]** で、この手順の前半で入力したダッシュボード名を持つダッシュボードを選択します。

1. これで、接続インサイト用ダッシュボードを使用して WorkSpaces のデータをモニタリングできるようになりました。

## インターネットモニタリング用ダッシュボード
<a name="cloudwatch-internet-monitoring-dashboard"></a>

インターネットモニタリング用ダッシュボードには、ユーザーが WorkSpaces インスタンスに接続するときに使用するインターネットサービスプロバイダー (ISP) の詳細が表示されます。都市、州、ASN、ネットワーク名、接続された WorkSpaces の数、パフォーマンス、エクスペリエンススコアに関する詳細を提供します。特定の IP アドレスを使用して、特定の場所から接続しているユーザーの詳細を取得することもできます。CloudWatch Internet Monitor をデプロイして ISP データ情報を取得します。詳細については、「[Amazon CloudWatch Internet Monitor の使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-InternetMonitor.html)」を参照してください。

以下は、インターネットモニタリング用ダッシュボードの例です。

![\[CloudWatch のインターネットモニタリング用ダッシュボードの例。\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/cw-internet-monitor.png)


**を使用して CloudWatch でカスタムダッシュボードを作成するには CloudFormation**
**注記**  
カスタムダッシュボードを作成する前に、CloudWatch Internet Monitor でインターネットモニターを作成してください。詳細については、「[コンソールを使用して Amazon CloudWatch Internet Monitor でモニターを作成する](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/CloudWatch-IM-get-started.create.html)」を参照してください。

1. [CloudFormation コンソールでスタックの作成ページを開きます](https://console.aws.amazon.com/cloudformation/home#/stacks/new?stackName=YourStackName&templateURL=https://cfn-templates-global-prod-iad.s3.us-east-1.amazonaws.com/cfn-templates/workspaces_cloudwatch_internet_monitor_dashboard.yaml)。このリンクをクリックすると、インターネットモニタリング用カスタム CloudWatch ダッシュボードテンプレートの Amazon S3 バケットの場所があらかじめ入力された状態で、ページが開きます。

1. **[スタックの作成]** ページでデフォルトの選択を確認します。**Amazon S3 URL **フィールドには、 CloudFormation テンプレートの Amazon S3 バケットの場所が事前に入力されていることに注意してください。

1. [**次へ**] を選択します。

1. **[スタック名]** ボックスに、スタックの名前を入力します。

   スタック名は、スタックのリストから特定のスタックを見つけるために役立つ識別子です。スタック名には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字はアルファベット文字である必要があります。また、128 文字より長くすることはできません。

1. **[ダッシュボード名]** テキストボックスに、ダッシュボードに付ける名前を入力します。関連する他の CloudWatch アクセスグループの設定情報を入力します。

   ダッシュボード名には、英数字、ダッシュ (`–`)、アンダースコア (`_`) のみを使用できます。

1. **[監視するリソース]** で、インターネットモニタリングを有効にしたディレクトリのディレクトリ ID を入力します。

1. **[モニター名]** で、使用するインターネットモニターの名前を入力します。

1. [**次へ**] を選択します。

1. **[スタックオプションの設定]** ページでデフォルトの選択内容を確認し、**[次へ]** を選択します。

1. **[変換では、アクセス機能が必要になる場合があります]** まで下にスクロールし、確認のチェックボックスをオンにします。次に、**[送信]** を選択してスタックとカスタム CloudWatch ダッシュボードを作成します。
**重要**  
コストは、カスタム CloudWatch ダッシュボードに関連付けられる場合があります。料金の詳細については、「[Amazon CloudWatch 料金表](https://aws.amazon.com/cloudwatch/pricing)」を参照してください。

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左のナビゲーションバーの **[ダッシュボード]** を選択します。

1. **[カスタムダッシュボード]** で、この手順の前半で入力したダッシュボード名を持つダッシュボードを選択します。

1. これで、インターネットモニタリング用ダッシュボードを使用して WorkSpaces のデータをモニタリングできるようになりました。

# WorkSpaces Personal のビジネス継続性
<a name="business-continuity"></a>

Amazon WorkSpaces は、AWS リージョンとアベイラビリティーゾーンに編成された AWS グローバルインフラストラクチャ上に構築されています。これらのリージョンとアベイラビリティーゾーンは、物理的な分離とデータの冗長性の両方の観点から回復力を提供します。詳細については、「」を参照してください[Amazon WorkSpaces の耐障害性](disaster-recovery-resiliency.md)

Amazon WorkSpaces は、ドメインネームシステム (DNS) ルーティングポリシーと連携して、プライマリ WorkSpaces が利用できない場合に WorkSpaces ユーザーを別の WorkSpaces にリダイレクトする機能であるクロスリージョンリダイレクトも提供します。たとえば、DNS フェイルオーバールーティングポリシーを使用すると、プライマリリージョンの WorkSpaces にアクセスできない場合に、指定したフェイルオーバーリージョンの WorkSpaces にユーザーを接続できます。

リージョン間リダイレクトを使用すると、リージョンの復元性と高可用性を実現できます。また、メンテナンス期間中のトラフィックのディストリビューションや代替の WorkSpaces の提供など、他の目的に使用することもできます。DNS 設定に Amazon Route 53 を使用する場合は、Amazon CloudWatch アラームを監視するヘルスチェックを利用できます。

Amazon WorkSpaces マルチリージョンレジリエンスは、セカンダリ WorkSpaces リージョンに自動化された冗長的な仮想デスクトップインフラストラクチャを提供し、プライマリリージョンが障害でアクセスできない場合にユーザーをセカンダリリージョンにリダイレクトする処理を合理化します。

WorkSpaces マルチリージョンレジリエンスとクロスリージョンリダイレクトを使用すると、セカンダリ WorkSpaces リージョンに冗長的な仮想デスクトップインフラストラクチャをデプロイし、破壊的なイベントに備えたクロスリージョンフェイルオーバー戦略を設計できます。このソリューションは、トラフィックのディストリビューションや、メンテナンス期間中の代替の WorkSpaces の提供など、他の目的に使用することもできます。DNS 設定に Route 53 を使用する場合は、CloudWatch アラームをモニタリングするヘルスチェックを利用できます。

**Topics**
+ [WorkSpaces Personal のクロスリージョンリダイレクト](cross-region-redirection.md)
+ [WorkSpaces Personal のマルチリージョンレジリエンス](multi-region-resilience.md)

# WorkSpaces Personal のクロスリージョンリダイレクト
<a name="cross-region-redirection"></a>

Amazon WorkSpaces のクロスリージョンリダイレクト機能を使用すると、WorkSpaces の登録コードとして完全修飾ドメイン名 (FQDN) を使用できます。クロスリージョンリダイレクトは、ドメインネームシステム (DNS) ルーティングポリシーと連携して、プライマリ WorkSpaces が利用できない場合に WorkSpaces ユーザーを別の WorkSpaces にリダイレクトします。たとえば、DNS フェイルオーバールーティングポリシーを使用すると、プライマリ AWS リージョンの WorkSpaces にアクセスできない場合に、指定したフェイルオーバーリージョンの WorkSpaces にユーザーを接続できます。

リージョン間のリダイレクトを DNS フェイルオーバールーティングポリシーとともに使用して、リージョンの耐障害性と高可用性を実現できます。この機能は、トラフィックのディストリビューションや、メンテナンス期間中の代替の WorkSpaces の提供など、他の目的に使用することもできます。DNS 設定に Amazon Route 53 を使用する場合は、Amazon CloudWatch アラームを監視するヘルスチェックを利用できます。

この機能を使用するには、2 つの (またはそれ以上の) AWS リージョンでユーザーの WorkSpaces を設定する必要があります。また、*接続エイリアス*と呼ばれる特別な FQDN ベースの登録コードを作成する必要があります。これらの接続エイリアスは、WorkSpaces ユーザーのリージョン固有の登録コードを置き換えます。(リージョン固有の登録コードは有効なままです。ただし、リージョン間リダイレクトが機能するためには、ユーザーは登録コードとして代わりに FQDN を使用する必要があります)。

接続エイリアスを作成するには、`www.example.com` または `desktop.example.com` などの FQDN である*接続文字列*を指定します。このドメインをクロスリージョンリダイレクトで使用するには、ドメインレジストラに登録し、ドメインの DNS サービスを構成する必要があります。

接続エイリアスを作成したら、これらを異なるリージョンの WorkSpaces ディレクトリに関連付けて、*関連付けペア*を作成します。関連付けペアごとに、プライマリリージョンと 1 つ以上のフェイルオーバーリージョンがあります。プライマリリージョンで停止が発生した場合、DNS フェイルオーバールーティングポリシーにより、WorkSpaces ユーザーはフェイルオーバーリージョンで設定した WorkSpaces にリダイレクトされます。

プライマリリージョンとフェイルオーバーリージョンを指定するには、DNS フェイルオーバールーティングポリシーを設定するときに、リージョンの優先順位 (プライマリまたはセカンダリ) を定義します。

**Topics**
+ [前提条件](#cross-region-redirection-prerequisites)
+ [制限事項](#cross-region-redirection-limitations)
+ [ステップ 1: 接続エイリアスを作成する](#cross-region-redirection-create-connection-aliases)
+ [(オプション) ステップ 2: 接続エイリアスを別のアカウントと共有する](#cross-region-redirection-share-connection-alias)
+ [ステップ 3: 接続エイリアスを各リージョンのディレクトリに関連付ける](#cross-region-redirection-associate-connection-aliases)
+ [ステップ 4: DNS サービスを設定し、DNS ルーティングポリシーを設定する](#cross-region-redirection-configure-DNS-routing)
+ [ステップ 5: 接続文字列を WorkSpaces ユーザーに送信する](#cross-region-redirection-send-connection-string-to-users)
+ [クロスリージョンリダイレクトアーキテクチャ図](#cross-region-redirection-architecture-diagram)
+ [クロスリージョンリダイレクトを開始する](#initiate-cross-region-redirection)
+ [クロスリージョンリダイレクト時の動作](#cross-region-redirection-what-happens)
+ [ディレクトリからの接続エイリアスの関連付けを解除する](#cross-region-redirection-disassociate-connection-alias)
+ [接続エイリアスの共有を解除する](#cross-region-redirection-unshare-connection-alias)
+ [接続エイリアスを削除する](#cross-region-redirection-delete-connection-alias)
+ [接続エイリアスを関連付けおよび関連付け解除するための IAM 許可](#cross-region-redirection-iam)
+ [クロスリージョンリダイレクトの使用を停止する場合のセキュリティ上の考慮事項](#cross-region-redirection-security-considerations)

## 前提条件
<a name="cross-region-redirection-prerequisites"></a>
+ 接続エイリアスで FQDN として使用するドメインを所有し、登録する必要があります。別のドメインレジストラをまだ使用していない場合は、Amazon Route 53 を使用してドメインを登録できます。詳細については、*Amazon Route 53 デベロッパーガイド*の [Amazon Route 53 を使用したドメイン名の登録](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)を参照してください。
**重要**  
Amazon WorkSpaces とともに使用するドメイン名を使用するには、必要なすべての権限が必要です。お客様は、ドメイン名が第三者の法的権利を侵害または侵害しないこと、または適用法に違反しないことに同意するものとします。

  ドメイン名の長さの合計は 255 文字を超えることはできません。ドメイン名の詳細については、*Amazon Route 53 デベロッパーガイド*の [DNS ドメイン名の形式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DomainNameFormat.html)を参照してください。

  クロスリージョンリダイレクトは、パブリックドメイン名とプライベート DNS ゾーンのドメイン名の両方で機能します。プライベート DNS ゾーンを使用している場合は、WorkSpaces を含む仮想プライベートクラウド (VPC) への仮想プライベートネットワーク (VPN) 接続を提供する必要があります。WorkSpaces ユーザーがパブリックインターネットからプライベート FQDN を使用しようとすると、WorkSpaces クライアントアプリケーションは次のエラーメッセージを返します。

  `"We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."`
+ DNS サービスをセットアップし、必要な DNS ルーティングポリシーを設定する必要があります。クロスリージョンリダイレクトは DNS ルーティングポリシーと連携して動作し、必要に応じて WorkSpaces ユーザーをリダイレクトします。
+ クロスリージョンリダイレクトを設定する各プライマリリージョンとフェイルオーバーリージョンで、ユーザー用の WorkSpaces を作成します。各リージョンの各 WorkSpaces ディレクトリで同じユーザー名を使用していることを確認してください。Active Directory ユーザーデータの同期を維持するには、AD Connector を使用して、ユーザー用に WorkSpaces を設定した各リージョンで同じ Active Directory をポイントすることをお勧めします。WorkSpaces の作成の詳細については、「[WorkSpaces の起動](launch-workspaces-tutorials.md)」を参照してください。
**重要**  
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリを設定する場合、プライマリリージョンのディレクトリのみを Amazon WorkSpaces で使用するために登録できます。Amazon WorkSpaces で使用するためにレプリケートされたリージョンにディレクトリを登録しようとすると失敗します。 AWS Managed Microsoft AD によるマルチリージョンレプリケーションは、レプリケートされたリージョン内の Amazon WorkSpaces での使用はサポートされていません。

  クロスリージョンリダイレクトの設定が完了したら、WorkSpaces ユーザーがプライマリリージョンにリージョンベースの登録コード (`WSpdx+ABC12D` など) ではなく FQDN ベースの登録コードを使用していることを確認する必要があります。これを行うには、[ステップ 5: 接続文字列を WorkSpaces ユーザーに送信する](#cross-region-redirection-send-connection-string-to-users) の手順を使用して、FQDN 接続文字列を含む E メールを送信する必要があります。
**注記**  
Active Directory でユーザーを作成するのではなく、WorkSpaces コンソールでユーザーを作成すると、新しい WorkSpace を起動するたびにリージョンベースの登録コードが記載された招待メールがユーザーに自動的に送信されます。つまり、フェイルオーバーリージョンでユーザー用に WorkSpaces を設定すると、これらのフェイルオーバー WorkSpaces の E メールも自動的に受信されます。リージョンベースの登録コードを含む E メールを無視するようにユーザーに指示する必要があります。

## 制限事項
<a name="cross-region-redirection-limitations"></a>
+ クロスリージョンリダイレクトでは、プライマリリージョンへの接続が失敗したかどうかを自動的にチェックせず、WorkSpaces を別のリージョンにフェイルオーバーします。つまり、自動フェイルオーバーは発生しません。

  自動フェイルオーバーシナリオを実装するには、リージョン間リダイレクトと組み合わせて他のメカニズムを使用する必要があります。例えば、プライマリリージョンで CloudWatch アラームをモニタリングする Route 53 ヘルスチェックと組み合わせた Amazon Route 53 フェイルオーバー DNS ルーティングポリシーを使用できます。プライマリリージョンの CloudWatch アラームがトリガーされると、DNS フェイルオーバールーティングポリシーによって、WorkSpaces ユーザーがフェイルオーバーリージョンで設定した WorkSpaces にリダイレクトされます。
+ クロスリージョンリダイレクトは、バージョン 3.0.9 以降の Linux、macOS、および Windows WorkSpaces クライアントアプリケーションでのみサポートされます。ウェブアクセスでクロスリージョンリダイレクトを使用することもできます。
+ クロスリージョンリダイレクトは、 AWS GovCloud (US) Regionおよび中国 (寧夏) リージョンを除く、[AWS Amazon WorkSpaces が利用可能な](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)すべての リージョンで使用できます。

## ステップ 1: 接続エイリアスを作成する
<a name="cross-region-redirection-create-connection-aliases"></a>

同じ AWS アカウントを使用して、クロスリージョンリダイレクトを設定するプライマリリージョンとフェイルオーバーリージョンごとに接続エイリアスを作成します。

**接続エイリアスを作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. <a name="step_select_region_create_alias"></a>コンソールの右上隅で、WorkSpaces のプライマリ AWS リージョンを選択します。

1. ナビゲーションペインで [**アカウント設定**] を選択します。

1. [**クロスリージョンリダイレクト**] で、[**接続エイリアスの作成**] を選択します。

1. [**接続文字列**] に、`www.example.com` または `desktop.example.com` などの FQDN を入力します。接続文字列は最大 255 文字です。使用できる文字は、文字 (A～Z および a～z)、数字 (0～9)、および次の文字のみです: .-
**重要**  
接続文字列を作成すると、常に AWS アカウントに関連付けられます。元のアカウントからすべてのインスタンスを削除しても、同じ接続文字列を別のアカウントで再作成することはできません。接続文字列は、アカウント用にグローバルに予約されています。

1. (オプション) [**タグ**] で、接続エイリアスと関連付けるタグを指定します。

1. [**接続エイリアスの作成**] を選択します。

1. 上記のステップを繰り返しますが、[Step 2](#step_select_region_create_alias) では、WorkSpaces のフェイルオーバーリージョンを必ず選択してください。複数のフェイルオーバーリージョンがある場合は、フェイルオーバーリージョンごとにこれらのステップを繰り返します。各フェイルオーバーリージョンで接続エイリアスを作成するには、必ず同じ AWS アカウントを使用してください。

## (オプション) ステップ 2: 接続エイリアスを別のアカウントと共有する
<a name="cross-region-redirection-share-connection-alias"></a>

接続エイリアスは、同じ AWS リージョン内の他の 1 つの AWS アカウントと共有できます。接続エイリアスを別のアカウントと共有すると、そのエイリアスを同じリージョン内のそのアカウントが所有するディレクトリに関連付けたり、関連付けを解除したりするアクセス許可がそのアカウントに付与されます。接続エイリアスを所有するアカウントだけが、エイリアスを削除できます。

**注記**  
接続エイリアスは、 AWS リージョンごとに 1 つのディレクトリにのみ関連付けることができます。接続エイリアスを別の AWS アカウントと共有する場合、エイリアスをそのリージョンのディレクトリに関連付けることができるのは 1 つのアカウント (アカウントまたは共有アカウント) のみです。

**接続エイリアスを別の AWS アカウントと共有するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. コンソールの右上隅で、接続エイリアスを別の AWS アカウントと共有する AWS リージョンを選択します。

1. ナビゲーションペインで [**アカウント設定**] を選択します。

1. [**クロスリージョンリダイレクトの関連付け**] で、接続文字列を選択し、[**アクション**]、[**接続エイリアスの共有/共有解除**] を選択します。

   接続エイリアスの詳細ページからエイリアスを共有することもできます。これを行うには、[**共有アカウント**] で、[**接続エイリアスの共有**] を選択します。

1. **「接続エイリアスの共有/共有解除**」ページの**「アカウントとの共有**」の下に、この AWS リージョンで接続エイリアスを共有する AWS アカウント ID を入力します。

1. [**Share**] を選択します。

## ステップ 3: 接続エイリアスを各リージョンのディレクトリに関連付ける
<a name="cross-region-redirection-associate-connection-aliases"></a>

同じ接続エイリアスを複数のリージョンの WorkSpaces ディレクトリに関連付けると、ディレクトリ間に関連付けペアが作成されます。関連付けペアごとに、プライマリリージョンと 1 つ以上のフェイルオーバーリージョンがあります。

例えば、プライマリリージョンが米国西部 (オレゴン) リージョンの場合、米国西部 (オレゴン) リージョンの WorkSpaces ディレクトリと、米国東部 (バージニア北部) リージョンの WorkSpaces ディレクトリをペアにすることができます。プライマリリージョンで停止が発生した場合、クロスリージョンリダイレクトは DNS フェイルオーバールーティングポリシーと、米国西部 (オレゴン) リージョンに配置したヘルスチェックと連携して動作し、米国東部 (バージニア北部) リージョンで設定した WorkSpaces にユーザーをリダイレクトします。クロスリージョンリダイレクトのエクスペリエンスの詳細については、[クロスリージョンリダイレクト時の動作](#cross-region-redirection-what-happens) を参照してください。

**注記**  
WorkSpaces ユーザーがフェイルオーバーリージョンからかなり離れている (たとえば、数千マイル離れている) 場合、WorkSpaces のエクスペリエンスの反応は通常より低くなることがあります。ロケーションからさまざまな AWS リージョンへの往復時間 (RTT) を確認するには、[Amazon WorkSpaces Connection Health Check](https://clients.amazonworkspaces.com/Health.html) を使用します。

**接続エイリアスをディレクトリに関連付けるには**

接続エイリアスは、 AWS リージョンごとに 1 つのディレクトリにのみ関連付けることができます。接続エイリアスを別の AWS アカウントと共有している場合、エイリアスをそのリージョンのディレクトリに関連付けることができるアカウント (アカウントまたは共有アカウント) は 1 つだけです。

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. <a name="step_select_region_associate_alias"></a>コンソールの右上隅で、WorkSpaces のプライマリ AWS リージョンを選択します。

1. ナビゲーションペインで [**アカウント設定**] を選択します。

1. [**クロスリージョンリダイレクトの関連付け**] で、接続文字列を選択し、[**アクション**]、[**関連付け/関連付け解除**] を選択します。

   接続エイリアスの詳細ページから、接続エイリアスをディレクトリに関連付けることもできます。これを行うには、[**関連付けられたディレクトリ**] で、[**ディレクトリを関連付ける**] を選択します。

1. **関連付け/関連付け解除**ページの**ディレクトリへの関連付け**で、この AWS リージョンで接続エイリアスを関連付けるディレクトリを選択します。
**注記**  
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリを設定する場合、Amazon WorkSpaces で使用できるのはプライマリリージョンのディレクトリのみです。Amazon WorkSpaces でレプリケートされたリージョンのディレクトリを使用しようとすると失敗します。 AWS Managed Microsoft AD によるマルチリージョンレプリケーションは、レプリケートされたリージョン内の Amazon WorkSpaces での使用はサポートされていません。

1. [**Associate**] を選択します。

1. 上記のステップを繰り返しますが、[Step 2](#step_select_region_associate_alias) では、WorkSpaces のフェイルオーバーリージョンを必ず選択してください。複数のフェイルオーバーリージョンがある場合は、フェイルオーバーリージョンごとにこれらのステップを繰り返します。各フェイルオーバーリージョンのディレクトリに、同じ接続エイリアスを関連付けてください。

## ステップ 4: DNS サービスを設定し、DNS ルーティングポリシーを設定する
<a name="cross-region-redirection-configure-DNS-routing"></a>

接続エイリアスと接続エイリアスの関連付けのペアを作成したら、接続文字列で使用したドメインの DNS サービスを設定できます。この目的には、任意の DNS サービスプロバイダーを使用できます。優先 DNS サービスプロバイダーをまだお持ちでない場合は、Amazon Route 53 を使用できます。詳細については、*Amazon Route 53 デベロッパーガイド*の [Amazon Route 53 を DNS サービスとして設定する](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring.html)を参照してください。

ドメインの DNS サービスを設定したら、クロスリージョンリダイレクトに使用する DNS ルーティングポリシーを設定する必要があります。例えば、Amazon Route 53 ヘルスチェックを使用して、ユーザーが特定のリージョンの WorkSpaces に接続できるかどうかを判断できます。ユーザーが接続できない場合は、DNS フェイルオーバーポリシーを使用して、あるリージョンから別のリージョンに DNS トラフィックをルーティングできます。

DNS ルーティングポリシーの選択の詳細については、*Amazon Route 53 デベロッパーガイド*の[ルーティングポリシーの選択](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)を参照してください。Amazon Route 53 ヘルスチェックの詳細については、*Amazon Route 53 デベロッパーガイド*の [Amazon Route 53 によるリソースのヘルスチェック方法](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html)を参照してください。

DNS ルーティングポリシーを設定するときは、接続エイリアスとプライマリリージョンの WorkSpaces ディレクトリとの間の関連付けの*接続識別子*が必要になります。また、フェイルオーバーリージョンまたはリージョン内の接続エイリアスと WorkSpaces ディレクトリ間の関連付けの接続識別子も必要です。

**注記**  
接続識別子が接続エイリアス ID と同じ**ではありません**。接続エイリアス ID は `wsca-` で始まります。

**接続エイリアスの関連付けの接続識別子を見つけるには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. <a name="step_select_region_connection_id"></a>コンソールの右上隅で、WorkSpaces のプライマリ AWS リージョンを選択します。

1. ナビゲーションペインで [**アカウント設定**] を選択します。

1. [**クロスリージョンリダイレクトの関連付け**] で、接続文字列テキスト (FQDN) を選択し、接続エイリアスの詳細ページを表示します。

1. 接続エイリアスの詳細ページの [**関連付けられたディレクトリ**] で、[**接続識別子**] に表示される値をメモします。

1. 上記のステップを繰り返しますが、[Step 2](#step_select_region_connection_id) では、WorkSpaces のフェイルオーバーリージョンを必ず選択してください。複数のフェイルオーバーリージョンがある場合は、これらのステップを繰り返して、各フェイルオーバーリージョンの接続 ID を調べます。

**例: Route 53 を使用して DNS フェイルオーバールーティングポリシーを設定するには**

次の例では、ドメインのパブリックホストゾーンを設定します。ただし、パブリックホストゾーンまたはプライベートホストゾーンを設定できます。ホストゾーンの設定の詳細については、*Amazon Route 53 デベロッパーガイド*の[ホストゾーンの使用](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-working-with.html)を参照してください。

この例では、フェイルオーバールーティングポリシーも使用します。クロスリージョンリダイレクト戦略には、他のルーティングポリシータイプを使用できます。DNS ルーティングポリシーの選択の詳細については、*Amazon Route 53 デベロッパーガイド*の[ルーティングポリシーの選択](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)を参照してください。

Route 53 でフェイルオーバールーティングポリシーを設定する場合、プライマリリージョンのヘルスチェックが必要です。Route 53 でのヘルスチェックの作成の詳細については、*Amazon Route 53 デベロッパーガイド*の [Amazon Route 53 ヘルスチェックの作成と DNS フェイルオーバーの設定](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)および[ ヘルスチェックの作成、更新、および削除](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)を参照してください。

Route 53 ヘルスチェックで Amazon CloudWatch アラームを使用する場合は、プライマリリージョンのリソースを監視する CloudWatch アラームも設定する必要があります。CloudWatch の詳細については、*Amazon CloudWatch ユーザーガイド*の [Amazon CloudWatch とは](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)を参照してください。Route 53 がヘルスチェックで CloudWatch アラームを使用する方法の詳細については、*Amazon Route 53 デベロッパーガイド*の [Route 53 が CloudWatch アラームをモニタリングするヘルスチェックの状態を決定する方法](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-determining-health-of-endpoints.html#dns-failover-determining-health-of-endpoints-cloudwatch)および [CloudWatch アラームをモニタリングする](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-cloudwatch)を参照してください。

Route 53 で DNS フェイルオーバールーティングポリシーを設定するには、まずドメインのホストゾーンを作成する必要があります。

1. Route 53 コンソール ([https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)) を開きます。

1. ナビゲーションペインで、[**ホストゾーン**] を選択し、[**ホストゾーンの作成**] を選択します。

1. [**作成されたホストゾーン**] ページで、[**ドメイン名**] にドメイン名 (`example.com` など) を入力します。

1. [**タイプ**] で、[**パブリックホストゾーン**] を選択します。

1. [**ホストゾーンの作成**] を選択します。

次に、プライマリリージョンのヘルスチェックを作成します。

1. Route 53 コンソール ([https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)) を開きます。

1. ナビゲーションペインで、[**ヘルスチェック**] を選択し、[**ヘルスチェックの作成**] を選択します。

1. [**ヘルスチェックの設定**] ページで、ヘルスチェックの名前を入力します。

1. [**監視対象**] で、[**エンドポイント**]、[**他のヘルスチェックのステータス (計算されたヘルスチェック)**]、または [**CloudWatch アラームの状態**] のいずれかを選択します。

1. 前のステップで選択した内容に応じて、ヘルスチェックを設定し、[**次へ**] を選択します。

1. [**ヘルスチェックが失敗したときに通知を受け取る**] ページの [**アラームの作成**] で、[**はい**] または [**いいえ**] を選択します。

1. [**ヘルスチェックの作成**] を選択します。

ヘルスチェックを作成したら、DNS フェイルオーバーレコードを作成できます。

1. Route 53 コンソール ([https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)) を開きます。

1. ナビゲーションペインで [**Hosted zones**] を選択します。

1. [**ホストゾーン**] ページで、ドメイン名を選択します。

1. ドメイン名の詳細ページで、[**レコードの作成**] を選択します。

1. [**ルーティングポリシーの選択**] ページで、[**フェイルオーバー**] を選択し、[**次へ**] を選択します。

1. [**レコードの設定**] ページの [**基本設定**] で、[**レコード名**] にサブドメイン名を入力します。たとえば、FQDN が `desktop.example.com` の場合は、**desktop** と入力します。
**注記**  
ルートドメインを使用する場合は、[**レコード名**] を空白のままにします。ただし、WorkSpaces でのみ使用するようにドメインを設定していない限り、`desktop` または `workspaces` などのサブドメインを使用することをお勧めします。

1. [**レコードのタイプ**] で、[**TXT – E メールの送信者の確認およびアプリケーション固有の値の確認に使用します**] を選択します。

1. [**TTL 秒**] の設定はデフォルトのままにします。

1. [***your\$1domain\$1name*に追加するフェイルオーバーレコード**] で、[**フェイルオーバーレコードの定義**] を選択します。

次に、プライマリリージョンとフェイルオーバーリージョンのフェイルオーバーレコードを設定する必要があります。

**例: プライマリリージョンのフェイルオーバーレコードを設定するには**

1. [**フェイルオーバーレコードの定義**] ダイアログボックスの [**値/トラフィックのルーティング先**] で、[**レコードのタイプに応じた IP アドレスまたは別の値**] を選択します。

1. サンプルテキストエントリを入力するためのボックスが開きます。プライマリリージョンの接続エイリアスの関連付けの接続識別子を入力します。

1. [**フェイルオーバーレコードタイプ**] で、[**プライマリ**] を選択します。

1. [**ヘルスチェック**] で、プライマリリージョン用に作成したヘルスチェックを選択します。

1. [**レコード ID**] に、このレコードを識別するための説明を入力します。

1. [**フェイルオーバーレコードの定義**] を選択します。新しいフェイルオーバーレコードは、[***your\$1domain\$1name* に追加するフェイルオーバーレコード**] の下に表示されます。

**例: フェイルオーバーリージョンのフェイルオーバーレコードを設定するには**

1. [***your\$1domain\$1name*に追加するフェイルオーバーレコード**] で、[**フェイルオーバーレコードの定義**] を選択します。

1. [**フェイルオーバーレコードの定義**] ダイアログボックスの [**値/トラフィックのルーティング先**] で、[**レコードのタイプに応じた IP アドレスまたは別の値**] を選択します。

1. サンプルテキストエントリを入力するためのボックスが開きます。フェイルオーバーリージョンの接続エイリアスの関連付けの接続識別子を入力します。

1. [**フェイルオーバーレコードタイプ**] で、[**セカンダリ**] を選択します。

1. (オプション) [**ヘルスチェック**] に、フェイルオーバーリージョン用に作成したヘルスチェックを入力します。

1. [**レコード ID**] に、このレコードを識別するための説明を入力します。

1. [**フェイルオーバーレコードの定義**] を選択します。新しいフェイルオーバーレコードは、[***your\$1domain\$1name* に追加するフェイルオーバーレコード**] の下に表示されます。

プライマリリージョンに設定したヘルスチェックが失敗した場合、DNS フェイルオーバールーティングポリシーによって WorkSpaces ユーザーがフェイルオーバーリージョンにリダイレクトされます。Route 53 は引き続きプライマリリージョンのヘルスチェックを監視し、プライマリリージョンのヘルスチェックが失敗しなくなった場合、Route 53 は WorkSpaces ユーザーをプライマリリージョンの WorkSpaces に自動的にリダイレクトします。

DNS レコードの作成の詳細については、*Amazon Route 53 デベロッパーガイド*の [Amazon Route 53 コンソールを使用したレコードの作成](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)を参照してください。DNS TXT レコードの設定の詳細については、*Amazon Route 53 デベロッパーガイド*の [TXT レコードタイプ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#TXTFormat)を参照してください。

## ステップ 5: 接続文字列を WorkSpaces ユーザーに送信する
<a name="cross-region-redirection-send-connection-string-to-users"></a>

停止中にユーザーの WorkSpaces を必要に応じてリダイレクトするには、接続文字列 (FQDN) をユーザーに送信する必要があります。既に WorkSpaces ユーザーにリージョンベースの登録コード (`WSpdx+ABC12D` など) を発行している場合、これらのコードは有効なままです。ただし、クロスリージョンリダイレクトが機能するためには、WorkSpaces ユーザーが WorkSpaces クライアントアプリケーションに WorkSpaces を登録するときに、登録コードとして接続文字列を使用する必要があります。

**重要**  
Active Directory でユーザーを作成するのではなく、WorkSpaces コンソールでユーザーを作成すると、新しい WorkSpace を起動するたびに、リージョンベースの登録コード (`WSpdx+ABC12D` など) が記載された招待 E メールがユーザーに自動的に送信されます。クロスリージョンリダイレクトをすでに設定している場合でも、新しい WorkSpaces 用に自動的に送信される招待 E メールには、接続文字列ではなく、このリージョンベースの登録コードが含まれています。  
WorkSpaces ユーザーがリージョンベースの登録コードの代わりに接続文字列を使用していることを確認するには、以下の手順に従って、接続文字列を含む別の E メールを送信する必要があります。

**接続文字列を WorkSpaces ユーザーに送信するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. コンソールの右上隅で、WorkSpaces のプライマリ AWS リージョンを選択します。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. [**WorkSpaces**] ページで、検索ボックスを使用して招待を送信するユーザーを検索し、検索結果から対応する WorkSpace を選択します。一度に選択できる WorkSpace は 1 つだけです。

1. [**アクション**]、[**Invite User (ユーザーを招待)**] の順に選択します。

1. [**WorkSpaces にユーザーを招待する**] ページに、ユーザーに送信する E メールテンプレートが表示されます。

1. (オプション) WorkSpaces ディレクトリに複数の接続エイリアスが関連付けられている場合は、[**接続エイリアス文字列**] リストからユーザーが使用する接続文字列を選択します。E メールテンプレートが更新され、選択した文字列が表示されます。

1. メールアプリケーションを使用して、E メールテンプレートテキストをコピーしユーザー宛のメールに貼り付けます。E メールアプリケーションでは、必要に応じてテキストを変更できます。招待 E メールの準備ができたら、ユーザーに送信します。

## クロスリージョンリダイレクトアーキテクチャ図
<a name="cross-region-redirection-architecture-diagram"></a>

次の図は、クロスリージョンリダイレクトのデプロイプロセスを示しています。

![\[クロスリージョンリダイレクト\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/Doppel-admin-LT-MRR.png)


**注記**  
クロスリージョンリダイレクトでは、クロスリージョンのフェイルオーバーとフォールバックのみが円滑化されます。セカンダリリージョンで WorkSpaces を容易に作成、維持できるわけではなく、クロスリージョンのデータレプリケーションも許可されません。プライマリリージョンとセカンダリリージョンの両方の WorkSpaces は個別に管理する必要があります。

## クロスリージョンリダイレクトを開始する
<a name="initiate-cross-region-redirection"></a>

障害が発生した場合、DNS レコードを手動で更新するか、ヘルスチェックに基づく自動ルーティングポリシーを使用して、フェイルオーバーリージョンを決定できます。「[Creating Disaster Recovery Mechanisms Using Amazon Route 53](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)」で説明されているディザスタリカバリメカニズムに従うことをお勧めします。

## クロスリージョンリダイレクト時の動作
<a name="cross-region-redirection-what-happens"></a>

リージョンのフェイルオーバー中、WorkSpaces ユーザーはプライマリリージョンの WorkSpaces から切断されます。再接続しようとすると、次のエラーメッセージが表示されます。

`We can't connect to your WorkSpace. Check your network connection, and then try again.`

その後、ユーザーは再度ログインするように求められます。登録コードとして FQDN を使用している場合、再ログインすると、DNS フェイルオーバールーティングポリシーによって、フェイルオーバーリージョンで設定した WorkSpaces にリダイレクトされます。

**注記**  
場合によっては、ユーザーが再度ログインしたときに再接続できないことがあります。この現象が発生した場合は、WorkSpaces クライアントアプリケーションを閉じて再起動してから、再度ログインを試みる必要があります。

## ディレクトリからの接続エイリアスの関連付けを解除する
<a name="cross-region-redirection-disassociate-connection-alias"></a>

ディレクトリから接続エイリアスの関連付けを解除できるのは、ディレクトリを所有するアカウントだけです。

接続エイリアスを別のアカウントと共有していて、そのアカウントがそのアカウントが所有するディレクトリに接続エイリアスを関連付けている場合は、そのアカウントを使用して接続エイリアスとディレクトリとの関連付けを解除する必要があります。

**ディレクトリから接続エイリアスの関連付けを解除するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. コンソールの右上で、関連付けを解除する接続エイリアスを含む AWS リージョンを選択します。

1. ナビゲーションペインで [**アカウント設定**] を選択します。

1. [**クロスリージョンリダイレクトの関連付け**] で、接続文字列を選択し、[**アクション**]、[**関連付け/関連付け解除**] を選択します。

   接続エイリアスの詳細ページから接続エイリアスの関連付けを解除することもできます。これを行うには、[**関連付けられたディレクトリ**] で、[**関連付け解除**] を選択します。

1. [**関連付け/関連付け解除**] ページで、[**関連付けを解除**] を選択します。

1. 関連付けの解除を確認するダイアログボックスで、[**関連付けを解除**] を選択します。

## 接続エイリアスの共有を解除する
<a name="cross-region-redirection-unshare-connection-alias"></a>

接続エイリアスの所有者だけがエイリアスを共有解除できます。接続エイリアスをアカウントと共有解除すると、そのアカウントは接続エイリアスをディレクトリに関連付けることができなくなります。

**接続エイリアスを共有解除するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. コンソールの右上隅で、共有を解除する接続エイリアスを含む AWS リージョンを選択します。

1. ナビゲーションペインで [**アカウント設定**] を選択します。

1. [**クロスリージョンリダイレクトの関連付け**] で、接続文字列を選択し、[**アクション**]、[**接続エイリアスの共有/共有解除**] を選択します。

   接続エイリアスの詳細ページから接続エイリアスの共有を解除することもできます。これを行うには、[**共有アカウント**] で [**共有解除**] を選択します。

1. [**接続の共有/共有解除**] ページで、[**共有解除**] を選択します。

1. 接続エイリアスの共有解除を確認するダイアログボックスで、[**共有解除**] を選択します。

## 接続エイリアスを削除する
<a name="cross-region-redirection-delete-connection-alias"></a>

接続エイリアスは、アカウントによって所有され、ディレクトリに関連付けられていない場合にのみ、削除できます。

接続エイリアスを別のアカウントと共有していて、そのアカウントがそのアカウントが所有するディレクトリに接続エイリアスを関連付けている場合、接続エイリアスを削除する前に、そのアカウントと接続エイリアスをディレクトリから関連付け解除する必要があります。

**重要**  
接続文字列を作成すると、常に AWS アカウントに関連付けられます。元のアカウントからすべてのインスタンスを削除しても、同じ接続文字列を別のアカウントで再作成することはできません。接続文字列は、アカウント用にグローバルに予約されています。

**警告**  
**WorkSpaces ユーザーの登録コードとして FQDN を使用しなくなった場合は、セキュリティ上の問題を防ぐために一定の予防措置を講じる必要があります。**詳細については、「[クロスリージョンリダイレクトの使用を停止する場合のセキュリティ上の考慮事項](#cross-region-redirection-security-considerations)」を参照してください。

**接続エイリアスを削除するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. コンソールの右上隅で、削除する接続エイリアスを含む AWS リージョンを選択します。

1. ナビゲーションペインで [**アカウント設定**] を選択します。

1. [**クロスリージョンリダイレクトの関連付け**] で、接続文字列を選択し、[**削除**] を選択します。

   接続エイリアスの詳細ページから接続エイリアスを削除することもできます。これを行うには、ページの右上の [**削除**] を選択します。
**注記**  
[**削除**] ボタンが無効になっている場合は、そのエイリアスの所有者であることを確認し、エイリアスがディレクトリに関連付けられていないことを確認します。

1. 削除の確認を求めるダイアログボックスで、[**削除**] を選択します。

## 接続エイリアスを関連付けおよび関連付け解除するための IAM 許可
<a name="cross-region-redirection-iam"></a>

IAM ユーザーを使用して接続エイリアスを関連付け、または関連付けを解除する場合、ユーザーには `workspaces:AssociateConnectionAlias` および `workspaces:DisassociateConnectionAlias` のアクセス許可が必要です。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
```

------

**重要**  
接続エイリアスを所有していないアカウントの接続エイリアスを関連付け、または関連付けを解除するための IAM ポリシーを作成する場合は、ARN でアカウント ID を指定できません。代わりに、次のポリシー例に示すように、アカウント ID には `*` を使用する必要があります。  

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
```
ARN でアカウント ID を指定できるのは、関連付け、または関連付けを解除する接続エイリアスをそのアカウントが所有している場合だけです。

IAM の操作方法の詳細については、[WorkSpaces の Identity and Access Management](workspaces-access-control.md) を参照してください。

## クロスリージョンリダイレクトの使用を停止する場合のセキュリティ上の考慮事項
<a name="cross-region-redirection-security-considerations"></a>

WorkSpaces ユーザーの登録コードとして FQDN を使用しなくなった場合は、潜在的なセキュリティ上の問題を防ぐために、次の予防措置を講じる必要があります。
+ WorkSpaces ユーザーに WorkSpaces ディレクトリのリージョン固有の登録コード (`WSpdx+ABC12D` など) を発行し、登録コードとして FQDN の使用を停止するように指示してください。
+ **まだこのドメインを所有している場合は**、フィッシング攻撃で悪用されないように、DNS TXT レコードを更新してこのドメインを削除してください。DNS TXT レコードからこのドメインを削除し、WorkSpaces ユーザーが登録コードとして FQDN を使用しようとすると、接続試行は無害に失敗します。
+ **このドメインを所有しなくなった場合**、WorkSpaces ユーザーはリージョン固有の登録コードを使用する**必要があります**。登録コードとして FQDN を使用し続けると、接続試行が悪意のあるサイトにリダイレクトされる可能性があります。

# WorkSpaces Personal のマルチリージョンレジリエンス
<a name="multi-region-resilience"></a>

Amazon WorkSpaces マルチリージョンレジリエンス (MRR) を使用すると、破壊的なイベントが原因でプライマリ WorkSpaces リージョンにアクセスできなくなった場合に、ユーザーをセカンダリ WorkSpaces にリダイレクトできます。ユーザーは登録コードを切り替えることなく、スタンバイ WorkSpaces にログインできます。スタンバイ WorkSpaces は、スタンバイデプロイの作成と管理を効率化する Amazon WorkSpaces マルチリージョンレジリエンスの機能です。セカンダリリージョンにユーザーディレクトリを設定したら、スタンバイ WorkSpace を作成する対象であるプライマリリージョン内の WorkSpace を選択します。システムは、プライマリ WorkSpace のバンドルイメージをセカンダリリージョンに自動的にミラーリングします。次に、セカンダリリージョンで新しいスタンバイ WorkSpace を自動的にプロビジョニングします。

Amazon WorkSpaces マルチリージョンレジリエンスは、DNS ヘルスチェック機能とフェイルオーバー機能を活用するクロスリージョンリダイレクトに基づいて構築されています。WorkSpaces 登録コードとして完全修飾ドメイン名 (FQDN) を使用できます。ユーザーが WorkSpaces にログインすると、FQDN のドメインネームシステム (DNS) ポリシーに基づいて、サポートされている WorkSpaces リージョン間でユーザーをリダイレクトできます。Amazon Route 53 を使用する場合は、WorkSpaces のクロスリージョンリダイレクト戦略を確立するときに、ヘルスチェックを使用して Amazon CloudWatch アラームをモニタリングすることをお勧めします。詳細については、「*Amazon Route 53 デベロッパーガイド*」で [Amazon Route 53 ヘルスチェックの作成と DNS フェイルオーバーの設定](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)に関する説明を参照してください。

データレプリケーションは、プライマリリージョンからセカンダリリージョンの一方向にデータをレプリケートするスタンバイ WorkSpaces のアドオン機能です。データレプリケーションを有効にすると、システムボリュームとユーザーボリュームの EBS スナップショットが 12 時間ごとに作成されます。マルチリージョンレジリエンスによって新しいスナップショットが定期的にチェックされ、スナップショットが見つかると、セカンダリリージョンにコピーが開始されます。コピーがセカンダリリージョンに到着すると、そのコピーでセカンダリ WorkSpace が更新されます。

**Topics**
+ [前提条件](#multi-region-resilience-prerequisites)
+ [制限事項](#multi-region-resilience-limitations)
+ [マルチリージョンレジリエンスのスタンバイ WorkSpace を設定する](#multi-region-resilience-congfigurations)
+ [スタンバイ WorkSpace の作成](#create-standby-workspace)
+ [スタンバイ WorkSpace の管理](#manage-standby-workspace)
+ [スタンバイ WorkSpace の削除](#delete-standby-workspace)
+ [スタンバイ WorkSpaces の一方向データレプリケーション](#one-way-data-replication)
+ [復旧用に Amazon EC2 のキャパシティー予約を計画する](#mrr-ec2-recovery)

## 前提条件
<a name="multi-region-resilience-prerequisites"></a>
+ スタンバイ WorkSpaces を作成する前に、プライマリリージョンにユーザー用の WorkSpaces を作成する必要があります。WorkSpaces 作成の詳細については、「[WorkSpaces Personal のディレクトリを作成する](launch-workspaces-tutorials.md)」を参照してください。
+ スタンバイ WorkSpaces でデータレプリケーションを有効にするには、スタンバイリージョンにレプリケートするようにセルフマネージド Active Directory または AWS Managed Microsoft AD を設定する必要があります。詳細については、[AWS 「 Managed Microsoft AD ディレクトリの作成](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)」および「レ[プリケートされたリージョンの追加](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-add-region.html)」を参照してください。
+ ENA、NVMe、PV ドライバーなど、プライマリ WorkSpaces のネットワーク依存関係ドライバーを必ず更新してください。この作業は、少なくとも 6 か月に 1 回行う必要があります。詳細については、[Elastic Network Adapter (ENA) ドライバーのインストールまたはアップグレード](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[AWS NVMe ドライバー (Windows インスタンス)](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)、および [Windows インスタンスでの PV ドライバーのアップグレード](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)に関する説明を参照してください。
+ EC2Config、EC2Launch、および EC2Launch V2 エージェントを定期的に最新バージョンに更新してください。この作業は、少なくとも 6 か月に 1 回行う必要があります。詳細については、「[EC2Config および EC2Launch の更新](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)」を参照してください。
+ 適切なデータレプリケーションを行うために、プライマリリージョンとセカンダリリージョンの Active Directory で FQDN、OU、ユーザー SID が同期していることを確認します。
+ スタンバイ WorkSpaces のデフォルトのクォータ (制限) は 0 です。スタンバイ WorkSpace を作成する前に、サービスクォータの引き上げをリクエストする必要があります。詳細については、「[Amazon WorkSpaces のクォータ](workspaces-limits.md)」を参照してください。
+ プライマリ WorkSpaces とスタンバイ WorkSpaces の両方の暗号化に、[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)を使用していることを確認します。単一リージョンキーと[マルチリージョンキー](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)のいずれかを使用して、プライマリおよびスタンバイ WorkSpaces を暗号化できます。

## 制限事項
<a name="multi-region-resilience-limitations"></a>
+ スタンバイ WorkSpaces は、プライマリ WorkSpaces のバンドルイメージのみをコピーし、プライマリ WorkSpaces のシステムボリューム (ドライブ C) やユーザーボリューム (ドライブ D) はコピーしません。システムボリューム (ドライブ C) やユーザーボリューム (ドライブ D) をプライマリ WorkSpaces からスタンバイ WorkSpaces にコピーするには、データレプリケーションを有効にする必要があります。
+ スタンバイ WorkSpace を直接変更、再構築、復元、または移行することはできません。
+ クロスリージョンリダイレクトのフェイルオーバーは、DNS 設定で制御します。自動フェイルオーバーシナリオを実装するには、クロスリージョンリダイレクトと組み合わせて別のメカニズムを使用する必要があります。例えば、プライマリリージョンで CloudWatch アラームをモニタリングする Route 53 ヘルスチェックと組み合わせた Amazon Route 53 フェイルオーバー DNS ルーティングポリシーを使用できます。プライマリリージョンで CloudWatch アラームが呼び出されると、DNS フェイルオーバールーティングポリシーにより、WorkSpaces ユーザーは、フェイルオーバーリージョンでユーザー用に設定した WorkSpaces にリダイレクトされます。
+ データレプリケーションは、プライマリリージョンからセカンダリリージョンへの 1 方向のみでデータをコピーします。スタンバイ WorkSpaces のフェイルオーバー中は、12 ～ 24 時間前のデータとアプリケーションにアクセスできます。障害の発生後は、セカンダリ WorkSpace で作成したデータを手動でバックアップし、ログアウトします。プライマリ WorkSpace からデータにアクセスできるよう、作業内容はネットワークドライブなどの外付けドライブに保存することをお勧めします。
+ データレプリケーションは AWS Simple AD をサポートしていません。
+ スタンバイ WorkSpaces でデータレプリケーションを有効にすると、プライマリ WorkSpaces (ルートボリュームとシステムボリュームの両方) の EBS スナップショットが 12 時間ごとに作成されます。特定のデータボリュームの初回スナップショットはフルコピーで、それ以降のスナップショットは増分コピーです。そのため、特定の WorkSpace の初回レプリケーションは、それ以降のレプリケーションよりも時間がかかります。スナップショットは WorkSpaces 内部のスケジュールで開始され、ユーザーがタイミングを制御することはできません。
+ プライマリ WorkSpace とスタンバイ WorkSpace が同じドメインを使用して参加している場合は、ドメインコントローラーとの接続が失われないように、特定の時点でプライマリ WorkSpace とスタンバイ WorkSpace のいずれかにのみ接続することをお勧めします。
+ マルチリージョンレプリケーション AWS Managed Microsoft AD 用に を設定する場合、WorkSpaces で使用できるのはプライマリリージョンのディレクトリのみです。レプリケート先のリージョンのディレクトリを登録して WorkSpaces で使用しようとすると失敗します。を使用したマルチリージョンレプリケーション AWS Managed Microsoft AD は、レプリケートされたリージョン内の WorkSpaces での使用ではサポートされていません。
+ 既にクロスリージョンリダイレクトを設定し、スタンバイ WorkSpaces を使用せずにプライマリージョンとセカンダリリージョンの両方に WorkSpaces を作成している場合は、セカンダリリージョンの既存の WorkSpace をスタンバイ WorkSpace に直接変換することはできません。代わりに、セカンダリリージョンの WorkSpace をシャットダウンし、スタンバイ WorkSpace を作成する対象である、プライマリリージョンの WorkSpace を選択して、スタンバイ WorkSpaces を使用してスタンバイ WorkSpace を作成する必要があります。
+ 障害の発生後は、セカンダリ WorkSpace で作成したデータを手動でバックアップし、ログアウトします。プライマリ WorkSpace からデータにアクセスできるよう、作業内容はネットワークドライブなどの外付けドライブに保存することをお勧めします。
+ WorkSpaces マルチリージョンレジリエンスは、現在以下のリージョンで利用できます。
  + 米国東部 (バージニア北部) リージョン
  + 米国西部 (オレゴン) リージョン
  + 欧州 (フランクフルト) リージョン
  + 欧州 (アイルランド) リージョン
+ WorkSpaces マルチリージョンレジリエンスは、バージョン 3.0.9 以降の Linux、macOS、および Windows WorkSpaces クライアントアプリケーションでのみサポートされます。ウェブアクセスでマルチリージョンレジリエンスを使用することもできます。
+ WorkSpaces マルチリージョンレジリエンスは、Windows WorkSpaces と Bring-Your-Own-License (BYOL) WorkSpaces をサポートしています。Amazon Linux 2、Ubuntu、Red Hat Enterprise Linux、GeneralPurpose.4xlarge,GeneralPurpose.8xlarge,または GPU 対応 WorkSpaces (Graphics G6、Graphics.g4dn、GraphicsPro.g4dn).
+ フェイルオーバーまたはフェイルバックが完了したら、15 ～ 30 分待ってから WorkSpace に接続します。

## マルチリージョンレジリエンスのスタンバイ WorkSpace を設定する
<a name="multi-region-resilience-congfigurations"></a>

**マルチリージョンレジリエンスのスタンバイ WorkSpace を設定するには**

1. プライマリリージョンとセカンダリリージョンの両方にユーザーディレクトリを設定します。各リージョンの各 WorkSpaces ディレクトリで必ず同じユーザー名を使用します。

   Active Directory ユーザーデータの同期を維持するには、AD Connector を使用して、ユーザー用に WorkSpaces を設定した各リージョンで同じ Active Directory をポイントすることをお勧めします。ディレクトリの作成の詳細については、「[WorkSpaces でディレクトリを登録する](https://docs.aws.amazon.com/workspaces/latest/adminguide/register-deregister-directory.html)」を参照してください。
**重要**  
マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリを設定する場合、WorkSpaces で使用できるように登録できるのは、プライマリリージョンのディレクトリのみです。レプリケートしたリージョンのディレクトリを登録して WorkSpaces で使用しようとすると失敗します。 AWS Managed Microsoft AD を使用したマルチリージョンレプリケーションは、レプリケート先のリージョン内の WorkSpaces では使用できません。

1. プライマリリージョンにユーザー用の WorkSpaces を作成します。WorkSpaces の作成の詳細については、「[WorkSpaces の起動](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)」を参照してください。

1. セカンダリリージョンにスタンバイ WorkSpace を作成します。スタンバイ WorkSpace の作成については、「[スタンバイ WorkSpace を作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/multi-region-resilience.html#create-standby-workspace)」を参照してください。

1. 接続文字列 (FQDN) を作成して、プライマリリージョンとセカンダリリージョンのユーザーディレクトリに関連付けます。

   スタンバイ WorkSpaces はクロスリージョンリダイレクトに基づいて構築されるため、アカウントでクロスリージョンリダイレクトを有効にする必要があります。「[Amazon WorkSpaces のクロスリージョンリダイレクト](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-create-connection-aliases)」のステップ 1 ～ 3 に従ってください。

1. DNS サービスを設定し、DNS ルーティングポリシーを設定します。

   [DNS サービスをセットアップし、必要な DNS ルーティングポリシーを設定](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-configure-DNS-routing)する必要があります。クロスリージョンリダイレクトは DNS ルーティングポリシーと連携して動作し、必要に応じて WorkSpaces ユーザーをリダイレクトします。

1. クロスリージョンリダイレクトの設定が完了したら、FQDN 接続文字列を記載したメールをユーザーに送信する必要があります。詳細については、「[ステップ 5: 接続文字列を WorkSpaces ユーザーに送信する](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-send-connection-string-to-users)」を参照してください。WorkSpaces ユーザーがプライマリリージョンでリージョンベースの登録コード (WSpdx\$1ABC12D など) ではなく FQDN ベースの登録コードを使用していることを確認してください。
**重要**  
Active Directory でユーザーを作成するのではなく、WorkSpaces コンソールでユーザーを作成すると、新しい WorkSpace を起動するたびにリージョンベースの登録コードが記載された招待メールがユーザーに自動的に送信されます。つまり、セカンダリリージョンでユーザー用に WorkSpaces を設定すると、ユーザーは、これらのセカンダリ WorkSpaces 用の E メールも自動的に受信します。リージョンベースの登録コードを含む E メールを無視するようにユーザーに指示する必要があります。
リージョン固有の登録コードは有効なままです。ただし、クロスリージョンリダイレクトが機能するためには、ユーザーが登録コードとして代わりに FQDN を使用する必要があります。

## スタンバイ WorkSpace の作成
<a name="create-standby-workspace"></a>

スタンバイ WorkSpace を作成する前に、プライマリリージョンとセカンダリリージョンの両方でのユーザーディレクトリの作成、プライマリリージョンでのユーザー用の WorkSpaces のプロビジョニング、アカウントでのクロスリージョンリダイレクトの設定、Service Quotas によるスタンバイ WorkSpaces の制限の引き上げリクエストなど、前提条件を満たしていることを確認してください。

**スタンバイ WorkSpace を作成するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. コンソールの右上隅で、WorkSpaces のプライマリ AWS リージョンを選択します。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. スタンバイ WorkSpace を作成したい WorkSpace を選択します。

1. **[アクション]** を選択し、**[Standby WorkSpace を作成]** を選択します。

1. スタンバイ WorkSpace を作成するセカンダリリージョンを選択し、**[Next]** (次へ) を選択します。

1. セカンダリリージョンのユーザーディレクトリを選択し、**[Next]** (次へ) を選択します。

1. (オプション) 暗号化キーを追加し、データ暗号化を有効にして、タグを管理します。
   + 暗号化キーを追加するには、入力暗号化キーにキーを入力します。
   + データレプリケーションを有効にするには、**[データレプリケーションを有効にする]** を選択します。次に、チェックボックスをオンにして、毎月の追加料金を承認していることを確定します。
   + タグを追加するには、**[新しいタグを追加]** を選択します。

   その後、**[Next]** を選択します。
**注記**  
元の WorkSpace が暗号化されている場合、このフィールドは事前入力されています。ただし、独自の暗号化キーで置き換えることもできます。
データレプリケーションのステータスの更新には数分かかります。
スタンバイ WorkSpace がプライマリ WorkSpace のスナップショットで正常に更新されると、**[復旧スナップショット]** でスナップショットのタイムスタンプを確認できます。

1. スタンバイ WorkSpaces の設定を確認して、**[Create]** (作成) を選択します。
**注記**  
スタンバイ WorkSpaces に関する情報を表示するには、プライマリ WorkSpace の詳細ページに移動します。
スタンバイ WorkSpace は、プライマリ WorkSpace のバンドルイメージのみをコピーし、プライマリ WorkSpaces のシステムボリューム (ドライブ C) やユーザーボリューム (ドライブ D) はコピーしません。デフォルトでは、データレプリケーションはオフになっています。システムボリューム (ドライブ C) やユーザーボリューム (ドライブ D) をプライマリ WorkSpaces からスタンバイ WorkSpaces にコピーするには、データレプリケーションを有効にする必要があります。

## スタンバイ WorkSpace の管理
<a name="manage-standby-workspace"></a>

スタンバイ WorkSpace を直接変更、再構築、復元、または移行することはできません。

**スタンバイ WorkSpace のデータレプリケーションを有効にするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. プライマリリージョンに移動し、プライマリ WorkSpace の ID を選択します。

1. [スタンバイ状態の WorkSpace] セクションまで下にスクロールし、**[スタンバイ状態の WorkSpace を編集]** を選択します。

1. **[データレプリケーションを有効にする]** を選択します。次に、チェックボックスをオンにして、毎月の追加料金を承認していることを確定します。次に、**[保存]** を選択します。

**注記**  
スタンバイ WorkSpaces は休止状態にできません。スタンバイ WorkSpace を停止すると、未保存の作業は保持されません。スタンバイ WorkSpaces を終了する前に、必ず作業内容を保存することをお勧めします。
スタンバイ WorkSpaces でデータレプリケーションを有効にするには、スタンバイリージョンにレプリケートするようにセルフマネージド Active Directory または AWS Managed Microsoft AD を設定する必要があります。ディレクトリを設定するには、[Amazon WorkSpaces と AWS Directory Services とのビジネス継続性の構築](https://aws.amazon.com/blogs/desktop-and-application-streaming/building-for-business-continuity-with-amazon-workspaces-and-aws-directory-services/#:~:text=Region(s).-,Walkthrough,-Step%201%3A%20Provision)」のチュートリアルセクションのステップ 1～3 に従うか、[Amazon WorkSpaces でのマルチリージョン AWS マネージド Active Directory の使用](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/using-multi-region-aws-managed-active-directory-with-amazon-workspaces.html)」を参照してください。マルチリージョンレプリケーションがサポートされているのは、 AWS Managed Microsoft AD の Enterprise Edition のみです。
データレプリケーションのステータスの更新には数分かかります。
スタンバイ WorkSpace がプライマリ WorkSpace のスナップショットで正常に更新されると、**[復旧スナップショット]** でスナップショットのタイムスタンプを確認できます。

## スタンバイ WorkSpace の削除
<a name="delete-standby-workspace"></a>

スタンバイ WorkSpace は、通常の WorkSpace を終了するのと同じ方法で終了できます。

**スタンバイ WorkSpace を削除するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. コンソールの右上隅で、WorkSpaces のプライマリ AWS リージョンを選択します。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. スタンバイ WorkSpace を選択し、**[Delete]** (削除) を選択します。スタンバイ WorkSpace が削除されるまで約 5 分かかります。削除中のスタンバイ WorkSpace のステータスは **[終了中]** に設定されます。削除が完了すると、スタンバイ WorkSpace がコンソールから消えます。

**注記**  
スタンバイ WorkSpace の削除は、永続的なアクションであり、元に戻すことはできません。スタンバイ WorkSpace ユーザーのデータは保持されず、破棄されます。ユーザーデータのバックアップについては、 AWS サポートにお問い合わせください。

## スタンバイ WorkSpaces の一方向データレプリケーション
<a name="one-way-data-replication"></a>

マルチリージョンレジリエンスでデータレプリケーションを有効にすると、プライマリリージョンからセカンダリリージョンにデータをレプリケートできます。安定した状態では、マルチリージョンレジリエンスによって 12 時間ごとにプライマリ WorkSpaces のシステム (C ドライブ) とデータ (D ドライブ) のスナップショットが作成されます。これらのスナップショットがセカンダリリージョンに転送され、スタンバイ WorkSpaces の更新に使用されます。デフォルトでは、スタンバイ WorkSpaces のデータレプリケーションは無効になっています。

スタンバイ WorkSpaces でデータレプリケーションを有効にすると、特定のデータボリュームの初回スナップショットは完全コピーとなり、それ以降のスナップショットは増分コピーとなります。そのため、特定の WorkSpace の初回レプリケーションは、それ以降のレプリケーションよりも時間がかかります。スナップショットは WorkSpaces 内部の所定の間隔でトリガーされ、ユーザーがタイミングを制御することはできません。

![\[スタンバイ WorkSpaces の一方向データレプリケーション\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/Doppel-admin-LT-one-way.png)


フェイルオーバー中にユーザーがセカンダリリージョンにリダイレクトされると、スタンバイ WorkSpaces で 12 ～ 24 時間前のデータとアプリケーションにアクセスできます。ユーザーがスタンバイ WorkSpaces を使用している間は、マルチリージョンレジリエンスによってユーザーがスタンバイ WorkSpaces からのログアウトを強制されたり、プライマリリージョンのスナップショットでスタンバイ WorkSpaces が更新されたりすることはありません。

障害の発生後は、ユーザーがスタンバイ WorkSpaces からログアウトする前に、セカンダリ WorkSpaces で作成したデータを手動でバックアップする必要があります。再度ログインすると、ユーザーはプライマリリージョンのプライマリ WorkSpaces に誘導されます。

## 復旧用に Amazon EC2 のキャパシティー予約を計画する
<a name="mrr-ec2-recovery"></a>

Amazon マルチリージョンレジリエンス (MRR) では、デフォルトで、Amazon EC2 オンデマンドプールが使用されます。特定の Amazon EC2 インスタンスタイプで復旧に対応できない場合、MRR は使用可能なインスタンスタイプが見つかるまでインスタンスのスケールアップを自動的に繰り返し試行しますが、極端な状況では、インスタンスが常に使用できるとは限りません。最も重要な WorkSpaces に必要なインスタンスタイプの可用性を高めるには、 AWS サポートにお問い合わせください。キャパシティープランニングを支援します。

# WorkSpaces Personal に関する問題のトラブルシューティング
<a name="amazon-workspaces-troubleshooting"></a>

以下の情報は、WorkSpaces の問題のトラブルシューティングに役立ちます。

## 高度なログ記録の有効化
<a name="advanced-logging"></a>

任意の Amazon WorkSpaces クライアントに対して高度なログ記録を有効にして、ユーザーが直面する可能性のある問題のトラブルシューティングに役立てることができます。

高度なログ記録では、診断情報とデバッグレベルの詳細 (詳細なパフォーマンスデータなど) を含むログファイルが生成されます。1.0 以降および 2.0 以降のクライアントの場合、これらの高度なログファイルは のデータベースに自動的にアップロードされます AWS。

**注記**  
高度なログファイル AWS を確認し、WorkSpaces クライアントに関する問題のテクニカルサポートを受けるには、 にお問い合わせください AWS サポート。詳細については、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)を参照してください。

### Web Access で高度なログ記録を有効にするには
<a name="logging-web-access"></a>

**Web Access で高度なログ記録を有効にするには**

1. Amazon WorkSpaces Web Access クライアントを開きます。

1. WorkSpaces サインインページの上部で、**[診断ログ]** を選択します。

1. ポップアップダイアログボックスで、**[診断ログ]** が有効になっていることを確認します。

1. **[ログレベル]** で **[高度なログ記録]** を選択します。

**Google Chrome、Microsoft Edge、および Firefox でログファイルにアクセスするには**

1. ブラウザでコンテキスト (右クリック) メニューを開くか、キーボードの **Ctrl** \$1 **Shift** \$1 **I** (Mac の場合は **command** \$1 **option** \$1 **I**) を押して、開発者ツールパネルを開きます。

1. 開発者ツールパネルで、**[コンソール]** タブを選択してログファイルを見つけます。

**Safari でログファイルにアクセスするには**

1. **[Safari]**、**[設定]** の順に選択します。

1. **[設定]** セクションで、**[詳細]** を選択します。

1. **[メニューバーに "開発" メニューを表示]** を選択します。

1. メニューバーの **[開発]** タブから、**[開発]** > **[Web インスペクターを表示]** を選択します。

1. Safari の [Web インスペクター] パネルで、**[コンソール]** タブを選択してログファイルを見つけます。

### 4.0 以上のクライアントで高度なログ記録を有効にするには
<a name="logging-new-clients"></a>

**Topics**

Windows クライアントのログは、次の場所に保存されています。

`%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs`

**Windows クライアントで高度なログ記録を有効にするには**

1. Amazon WorkSpaces クライアントを閉じます。

1. コマンドプロンプトアプリを開きます。

1. `-l3` フラグを指定して WorkSpaces クライアントを起動します。

   `c:`

   `cd "C:\Program Files\Amazon Web Services, Inc\Amazon WorkSpaces"`

   `workspaces.exe -l3`
**注記**  
WorkSpaces が、すべてのユーザーではなく 1 人のユーザーに対してインストールされている場合は、次のコマンドを使用します。  
`c:`  
`cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"`  
`workspaces.exe -l3`

**Topics**

macOS クライアントのログは次の場所に保存されます。

`~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs`

**macOS クライアントで高度なログ記録を有効にするには**

1. Amazon WorkSpaces クライアントを閉じます。

1. ターミナルを開きます。

1. 以下のコマンドを実行してください。

   `open -a workspaces --args -l3`

**Topics**

**Android くらいで高度なログ記録を有効にするには**

1. Amazon WorkSpaces クライアントを閉じます。

1. Android クライアントメニューを開きます。

1. **[Support]** (サポート) を選択します。

1. **[Logging settings]** (ログ記録設定) を選択します。

1. **[Enable advanced logging]** (高度なログ記録の有効化) を選択します。

**高度なログを有効にした後に Android クライアントのログを取得するには**
+ **[Extract log]** (ログの抽出) をクリックして、圧縮したログをローカルに保存します。

**Topics**

Linux クライアントのログは、次の場所に保存されます。

`~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs`

**Linux クライアントで高度なログ記録を有効にするには**

1. Amazon WorkSpaces クライアントを閉じます。

1. ターミナルを開きます。

1. 以下のコマンドを実行してください。

   `/opt/workspacesclient/workspacesclient -l3`

### 3.0 以上のクライアントで高度なログ記録を有効にするには
<a name="logging-new-clients"></a>

**Topics**

Windows クライアントのログは、次の場所に保存されています。

`%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs`

**Windows クライアントで高度なログ記録を有効にするには**

1. Amazon WorkSpaces クライアントを閉じます。

1. コマンドプロンプトアプリを開きます。

1. `-l3` フラグを指定して WorkSpaces クライアントを起動します。

   `c:`

   `cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"`

   `workspaces.exe -l3`
**注記**  
WorkSpaces が、すべてのユーザーではなく 1 人のユーザーに対してインストールされている場合は、次のコマンドを使用します。  
`c:`  
`cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"`  
`workspaces.exe -l3`

**Topics**

macOS クライアントのログは次の場所に保存されます。

`~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs`

**macOS クライアントで高度なログ記録を有効にするには**

1. Amazon WorkSpaces クライアントを閉じます。

1. ターミナルを開きます。

1. 以下のコマンドを実行してください。

   `open -a workspaces --args -l3`

**Topics**

**Android くらいで高度なログ記録を有効にするには**

1. Amazon WorkSpaces クライアントを閉じます。

1. Android クライアントメニューを開きます。

1. **[Support]** (サポート) を選択します。

1. **[Logging settings]** (ログ記録設定) を選択します。

1. **[Enable advanced logging]** (高度なログ記録の有効化) を選択します。

**高度なログを有効にした後に Android クライアントのログを取得するには**
+ **[Extract log]** (ログの抽出) をクリックして、圧縮したログをローカルに保存します。

**Topics**

Linux クライアントのログは、次の場所に保存されます。

`~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs`

**Linux クライアントで高度なログ記録を有効にするには**

1. Amazon WorkSpaces クライアントを閉じます。

1. ターミナルを開きます。

1. 次のコマンドを実行します。

   `/opt/workspacesclient/workspacesclient -l3`

### 1.0 以上および 2.0 以上のクライアントで高度なログ記録を有効にするには
<a name="logging-legacy-clients"></a>

1. WorkSpaces クライアントを開きます。

1. クライアントアプリケーションの右上隅にある歯車アイコンを選択します。

1. [**Advanced Settings (詳細設定)**] を選択します。

1. [**Enable Advanced Logging (高度なログ記録を有効にする)**] チェックボックスをオンにします。

1. **[Save]** (保存) を選択します。

Windows クライアントのログは、次の場所に保存されています。

`%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs`

macOS クライアントのログは次の場所に保存されます。

`~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0`

## 固有の問題のトラブルシューティング
<a name="troubleshooting-specific-issues"></a>

以下の情報は、WorkSpaces に固有の問題のトラブルシューティングに役立ちます。

**Topics**
+ [ユーザー名に無効な文字があるため Amazon Linux WorkSpace を作成できません](#linux_workspace_provision_fail_username)
+ [Amazon Linux WorkSpace のシェルを変更しましたが、PCoIP セッションをプロビジョニングできません](#linux_workspace_provision_fail_shell_override)
+ [Amazon Linux WorkSpaces が起動しない](#linux_workspace_provision_fail_pcoip_agent_upgrade)
+ [接続したディレクトリの WorkSpaces の起動にたびたび失敗する](#provision_fail)
+ [内部エラーにより WorkSpaces の起動に失敗する](#launch-failure-ipv6)
+ [ディレクトリを登録しようとすると、登録が失敗し、ディレクトリが ERROR 状態のままになります](#cannot-register-directory)
+ [ユーザーがインタラクティブなログオンバナーで Windows WorkSpace に接続できない](#logon_banner)
+ [ユーザーが Windows WorkSpace に接続できない](#gpo_security_user_rights)
+ [ユーザーが WorkSpaces Web Access から WorkSpaces にログオンしようとすると問題が発生する](#byol_logon_issues)
+ [Amazon WorkSpaces クライアントで、グレーの「ロード中...」画面がしばらく表示されてからログイン画面に戻る。他のエラーメッセージは表示されない。](#loading_screen)
+ [ユーザーに「WorkSpace Status: Unhealthy。We were unable to connect you to your WorkSpace。Please try again in a few minutes.」というメッセージが表示される。](#unhealthy_cant_connect)
+ [ユーザーに「This device is not authorized to access the WorkSpace。Please contact your administrator for assistance.」というメッセージが表示される。](#device_not_authorized)
+ [ユーザーが DCV WorkSpace に接続しようとすると、「ネットワークがありません。ネットワーク接続が失われました ネットワーク接続を確認するか、管理者に問い合わせてください。」 というメッセージが表示される。](#no_network)
+ [WorkSpaces クライアントがネットワークエラーを返しますが、デバイス上の他のネットワーク対応アプリケーションは使用できます](#network_error)
+ [WorkSpace ユーザーに、「デバイスは登録サービスに接続できません。ネットワーク設定を確認してください」というエラーが表示されます。](#registration_service_failure)
+ [PCoIP ゼロクライアントユーザーに、「指定された証明書はタイムスタンプのために無効です」というエラーが表示される](#pcoip_zero_client_ntp)
+ [PCoIP ゼロクライアントで USB プリンタと他の USB 周辺機器が動作しない](#pcoip_zero_client_usb)
+ [ユーザーが Windows または macOS クライアントアプリケーションの更新をスキップしても、最新バージョンをインストールするように求められない](#client_update_skipped)
+ [ユーザーが Chromebook に Android クライアントアプリケーションをインストールできない](#install_android_chromebook)
+ [ユーザーに招待 E メールまたはパスワードリセット E メールが届かない](#welcome_emails)
+ [クライアントのログイン画面でユーザーに [パスワードを忘れた場合] が表示されません。](#forgot_password)
+ [Windows WorkSpace にアプリケーションをインストールしようとすると、「システム管理者がポリシーを設定してこのインストールを禁止しています」というメッセージが表示される](#msi_wont_install)
+ [ディレクトリのいずれの WorkSpaces もインターネットに接続できない](#no_internet)
+ [WorkSpace がインターネットにアクセスできなくなった](#lost_internet_access)
+ [オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示される](#dns_unavailable)
+ [オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」というエラーが表示される](#connectivity_issues_detected)
+ [オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示される](#srv_record_not_found)
+ [Windows WorkSpace をアイドル状態のままにすると、スリープ状態になる](#windows_workspace_sleeps_when_idle)
+ [WorkSpace の一部のステータスに `UNHEALTHY` と表示されます](#unhealthy)
+ [WorkSpace が予期せずクラッシュまたは再起動する](#crash_web_access)
+ [同じユーザー名に対応する複数の WorkSpace があるが、そのユーザーはいずれかの WorkSpaces にしかログインできない](#multiple_workspaces_same_username)
+ [Amazon WorkSpaces で Docker の使用がうまくいかない](#docker_support)
+ [一部の API コールで ThrottlingException エラーが表示される](#throttled-api-calls)
+ [WorkSpace をバックグラウンドで実行させておくと、接続が何度も切断される](#workspaces-disconnecting)
+ [SAML 2.0 フェデレーションが動作していません。ユーザーには、WorkSpaces デスクトップをストリーミングする権限がありません。](#saml-federation-not-working)
+ [ユーザーが 60 分ごとに WorkSpaces セッションから切断されます。](#disconnected-workspace)
+ [ユーザーが SAML 2.0 ID プロバイダー (IdP) 主導のフローを使用してフェデレートすると、ユーザーにリダイレクト URI エラーが発生します。または、IdP にフェデレートした後、クライアントからサインインを試みるたびに、WorkSpaces クライアントアプリケーションの追加インスタンスが開始されます。](#invalid-redirect-uri)
+ [ユーザーが IdP にフェデレートした後に WorkSpace Spaces クライアントアプリケーションにサインインしようとすると、「Something went wrong: An error occurred while launching your WorkSpace」(問題が発生しました: WorkSpace の起動中にエラーが発生しました) というメッセージが表示されます。](#federating-error-message)
+ [ユーザーが IdP にフェデレートした後に WorkSpaces クライアントアプリケーションにサインインしようとすると、「Unable to validate tags」(タグを検証できません) というメッセージが表示されます。](#unable-to-validate-tags)
+ [「The client and the server cannot communicate, because they do not possess a common algorithm」(クライアントとサーバーは共通のアルゴリズムを所有していないため、通信できません) というメッセージがユーザーに表示されます。](#no-common-algorithm)
+ [マイクまたはウェブカメラが Windows WorkSpaces で動作しません。](#microphone-not-working)
+ [私のユーザーは証明書ベースの認証を使用してログインできず、デスクトップセッションに接続するときに WorkSpaces クライアントまたは Windows サインオン画面でパスワードの入力を求められます。](#cert-based-auth-troubleshooting)
+ [Windows インストールメディアを必要とする処理を実行しようとしていますが、WorkSpaces がメディアを提供しません。](#install-media-troubleshooting)
+ [サポートされていない WorkSpaces リージョンで作成された既存の AWS Managed Directory を使用して WorkSpaces を起動したい。](#unsupported-regions-troubleshooting)
+ [Amazon Linux 2 で Firefox をアップデートしたいと考えています。](#firefox_al2)
+ [ユーザーは、設定されているきめ細かなパスワードポリシー (FFGP) 設定を無視して、WorkSpaces クライアントを使用してパスワードをリセットできます AWS Managed Microsoft AD。](#password-setting-mad)
+ [ユーザーが Web Access を使用して Windows/Linux WorkSpace にアクセスしようとすると、「この OS/プラットフォームは WorkSpace へのアクセスを許可されていません」という内容のエラーメッセージが表示されます。](#os-authorized-access)
+ [停止状態となっている AutoStop WorkSpace に接続した後、ユーザーの WorkSpace が異常と表示される](#autostop-unhealthy)
+ [ログイン後、WorkSpaces Ubuntu バンドルで Gnome がクラッシュする](#gnome-crashes-ubuntu)

### ユーザー名に無効な文字があるため Amazon Linux WorkSpace を作成できません
<a name="linux_workspace_provision_fail_username"></a>

Amazon Linux WorkSpaces の場合、ユーザー名: 
+ 最大 20 文字を含めることができます。
+ UTF-8 で表現可能な文字、スペース、および数字を含めることができます。
+ 次の特殊文字を含めることができます: \$1.-\$1
+ ダッシュ記号 (-) をユーザー名の 1 文字目として使用することはできません。

**注記**  
これらの制限は、Windows WorkSpaces には適用されません。Windows WorkSpaces では、ユーザー名のすべての文字で @ および - 記号をサポートしています。

### Amazon Linux WorkSpace のシェルを変更しましたが、PCoIP セッションをプロビジョニングできません
<a name="linux_workspace_provision_fail_shell_override"></a>

Linux WorkSpaces のデフォルトシェルを上書きするには、「[Amazon Linux WorkSpaces のデフォルトシェルを上書きする](manage_linux_workspace.md#linux_shell)」を参照してください。

### Amazon Linux WorkSpaces が起動しない
<a name="linux_workspace_provision_fail_pcoip_agent_upgrade"></a>

2020 年 7 月 20 日以降、Amazon Linux WorkSpaces は新しいライセンス証明書を使用する予定です。これらの新しい証明書は、PCoIP エージェントの 2.14.1.1、2.14.7、2.14.9、および 20.10.6以降のバージョンでのみ互換性があります。

サポートされていないバージョンの PCoIP エージェントを使用している場合は、最新のバージョン (20.10.6) にアップグレードする必要があります。このバージョンでは、新しい証明書と互換性のある最新の修正とパフォーマンスが向上できます。7 月 20 日までにこれらのアップグレードを行わないと、Linux WorkSpaces のセッションプロビジョニングが失敗し、エンドユーザーは WorkSpaces に接続できなくなります。

**PCoIP エージェントを最新バージョンにアップグレードするには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. ナビゲーションペインで [**WorkSpaces**] を選択します。

1. Linux WorkSpace を選択し、[**アクション**]、[**WorkSpaces の再起動**] の順に選択して再起動します。WorkSpace ステータスが `STOPPED` の場合は、[**アクション**]、[**WorkSpaces を起動**] の順に選択し、ステータスが `AVAILABLE` になるまで待ってから再起動する必要があります。

1. <a name="step_maintenance_mode"></a>WorkSpace が再起動され、ステータスが `AVAILABLE` になったら、このアップグレードの実行中に WorkSpace のステータスを `ADMIN_MAINTENANCE` に変更することをお勧めします。完了したら、WorkSpace の状態を `AVAILABLE` に変更します。`ADMIN_MAINTENANCE` モードの詳細については、「[手動メンテナンス](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html#admin-maintenance)」を参照してください。

   WorkSpace のステータスを `ADMIN_MAINTENANCE` に変更するには、次の操作を行います。

   1. WorkSpace を選択して、[**Actions**]、[**Modify WorkSpace**] の順に選択します。

   1. [**Modify State (状態の変更)**] を選択します。

   1. [**想定される状態**] で、[**ADMIN\$1MAINTENANCE**] を選択します。

   1. [**Modify**] を選択します。

1. SSH 経由で Linux WorkSpace に接続します。詳細については、「[WorkSpaces Personal で Linux WorkSpaces の SSH 接続を有効にする](connect-to-linux-workspaces-with-ssh.md)」を参照してください。

1. PCoIP エージェントを更新するには、次のコマンドを実行します。

   ```
   sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6
   ```

1. エージェントのバージョンを確認し、更新が成功したことを確認するには、次のコマンドを実行します。

   ```
   rpm -q pcoip-agent-standard
   ```

   検証コマンドは、次の結果を生成する必要があります。

   ```
   pcoip-agent-standard-20.10.6-1.el7.x86_64
   ```

1. WorkSpace から切断し、再度再起動します。

1. WorkSpace のステータスを [Step 4](#step_maintenance_mode) の `ADMIN_MAINTENANCE` に設定した場合は、[Step 4](#step_maintenance_mode) を繰り返し、**意図した状態**を `AVAILABLE` に設定します。

PCoIP エージェントをアップグレードしても Linux WorkSpace が起動しない場合は、 AWS サポートにお問い合わせください。

### 接続したディレクトリの WorkSpaces の起動にたびたび失敗する
<a name="provision_fail"></a>

オンプレミスのディレクトリの 2 つの DNS サーバーまたはドメインコントローラーが、ディレクトリに接続したときに指定した各サブネットからアクセス可能であることを確認します。各サブネットでAmazon EC2 インスタンスを起動し、2 つの DNS サーバーの IP アドレスを使用してディレクトリにインスタンスを結合することで、この接続を確認できます。

### 内部エラーにより WorkSpaces の起動に失敗する
<a name="launch-failure-ipv6"></a>

サブネットが、サブネット内で起動されたインスタンスに IPv6 アドレスを自動的に割り当てるように設定されているかどうかを確認します。この設定を確認するには、Amazon VPC コンソールを開き、サブネットを選択し、[**Subnet Actions**] を選択して、次に [**Modify auto-assign IP settings**] を選択します。この設定を有効にすると、Performance バンドルまたは Graphics バンドルを使用して WorkSpace を起動することはできません。代わりに、この設定を無効にし、インスタンスを起動するときに IPv6 アドレスを手動で指定します。

### ディレクトリを登録しようとすると、登録が失敗し、ディレクトリが ERROR 状態のままになります
<a name="cannot-register-directory"></a>

この問題は、マルチリージョンレプリケーション用に設定された AWS Managed Microsoft AD ディレクトリを登録しようとしている場合に発生する可能性があります。プライマリリージョンのディレクトリは Amazon WorkSpaces で使用するために正常に登録できますが、レプリケートされたリージョンにディレクトリを登録しようとすると失敗します。 AWS Managed Microsoft AD によるマルチリージョンレプリケーションは、レプリケートされたリージョン内の Amazon WorkSpaces での使用はサポートされていません。

### ユーザーがインタラクティブなログオンバナーで Windows WorkSpace に接続できない
<a name="logon_banner"></a>

ログオンバナーを表示するためにインタラクティブなログオンメッセージが実装されると、これによりユーザーは自分の Windows WorkSpaces にアクセスできなくなります。現在、インタラクティブなログオンメッセージのグループポリシー設定は PCoIP WorkSpaces でサポートされていません。**Interactive logon: Message text for users attempting to log on** グループポリシーが適用されていない組織単位 (OU) に WorkSpaces を移動します。ログオンメッセージは DCV WorkSpaces でサポートされており、ユーザーはログオンバナーを承諾した後に再度ログインする必要があります。

### ユーザーが Windows WorkSpace に接続できない
<a name="gpo_security_user_rights"></a>

ユーザーが Windows WorkSpace に接続しようとすると、次のエラーが表示されます。

```
"An error occurred while launching your WorkSpace. Please try again."
```

このエラーは、WorkSpace が PCoIP を使用して Windows デスクトップを読み込めない場合によく発生します。以下を確認してください。
+ このメッセージは、Windows 向けの PCoIP Standard Agent サービスが実行されていない場合に表示されます。[RDP を使用して接続](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)し、サービスが実行されていること、サービスが自動的に開始されるように設定されていること、および管理インターフェイス (eth0) 経由で通信できることを確認します。
+ PCoIP エージェントがアンインストールされた場合は、Amazon WorkSpaces コンソールから WorkSpace を再起動して、自動的に再インストールします。
+ [WorkSpaces セキュリティグループ](amazon-workspaces-security-groups.md)がアウトバウンドトラフィックを制限するように変更された場合も、長時間の遅延後にこのエラーが Amazon WorkSpaces クライアントで発生する可能性があります。送信トラフィックを制限すると、Windows はディレクトリコントローラーと通信してログインできなくなります。セキュリティグループで WorkSpaces がプライマリネットワークインターフェイスを介して[必要なすべてのポート](workspaces-port-requirements.md)でディレクトリコントローラーと通信できることを確認します。

このエラーの別の原因として、ユーザー権利の割り当てグループポリシーに関連がある場合があります。次のグループポリシーが正しく設定されていない場合、ユーザーは自分の Windows WorkSpace にアクセスできなくなります。

**コンピュータ構成\$1Windows Settings\$1Security Settings\$1Local Policies\$1User Rights Assignment**
+ **正しくないポリシー:**

  ポリシー: **ネットワークからこのコンピュータにアクセスする**

  設定: *ドメイン名*\$1ドメインコンピュータ

  優先される GPO: ファイルアクセスを許可する
+ **正しいポリシー:**

  ポリシー: **ネットワークからこのコンピュータにアクセスする**

  設定: *ドメイン名*\$1ドメインユーザー

  優先される GPO: ファイルアクセスを許可する

**注記**  
このポリシー設定は、**ドメインコンピュータ**の代わりに**ドメインユーザー**に適用する必要があります。

詳細については、Microsoft Windows のドキュメントの「[ネットワークセキュリティポリシーの設定からこのコンピュータにアクセスする](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/access-this-computer-from-the-network)」および「[セキュリティポリシー設定を構成する](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)」を参照してください。

### ユーザーが WorkSpaces Web Access から WorkSpaces にログオンしようとすると問題が発生する
<a name="byol_logon_issues"></a>

Amazon WorkSpaces では、ユーザーが Web Access クライアントから正常にログオンできるように、専用のログオン画面設定を使用しています。

Web Access ユーザーが WorkSpaces にログオンできるようにするには、グループポリシー設定と 3 つのセキュリティポリシー設定を構成する必要があります。これらの設定が正しく設定されていないと、ログオン時間が長くなったり、WorkSpaces にログオンする際にブラックスクリーンがユーザーに表示されたりする場合があります。これらの設定を構成するには、「[WorkSpaces Personal で WorkSpaces Web Access を有効にして設定する](web-access.md)」を参照してください。

**重要**  
2020 年 10 月 1 日以降、お客様は Amazon WorkSpaces Web Access クライアントを使用して Windows 7 カスタム WorkSpaces または Windows 7 自分のライセンス使用 (BYOL) WorkSpaces に接続できなくなります。

### Amazon WorkSpaces クライアントで、グレーの「ロード中...」画面がしばらく表示されてからログイン画面に戻る。他のエラーメッセージは表示されない。
<a name="loading_screen"></a>

通常、この動作が発生する場合、WorkSpaces クライアントはポート 443 経由で認証できますが、ポート 4172 (PCoIP) または 4195 (DCV) 経由でストリーミング接続を確立できないことを示しています。この状況は、[ネットワークの前提条件](workspaces-port-requirements.md)が満たされていない場合に発生する可能性があります。クライアント側の問題により、クライアントでのネットワークチェックが失敗することがよくあります。どのヘルスチェックが失敗しているかを確認するには、ネットワークチェックアイコン (通常、2.0\$1 クライアントのログイン画面の右下隅に感嘆符が付いた赤い三角形、または 3.0\$1 クライアントの右上隅にあるネットワークアイコン ![\[Network icon\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/network-icon.png)) を選択します。

**注記**  
この問題の最も一般的な原因は、クライアント側のファイアウォールまたはプロキシがポート 4172 または 4195 (TCP および UDP) 経由のアクセスを防止していることです。このヘルスチェックが失敗した場合は、ローカルのファイアウォール設定を確認してください。

ネットワークチェックに合格した場合は、WorkSpace のネットワーク設定に問題がある可能性があります。たとえば、Windows ファイアウォールの規則により、管理インターフェイス上のポート UDP 4172 または 4195 がブロックされる場合があります。[ リモートデスクトッププロトコル (RDP) クライアントを使用して WorkSpace に接続](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)し、WorkSpace が必要な[ポート要件](workspaces-port-requirements.md)を満たしていることを確認します。

### ユーザーに「WorkSpace Status: Unhealthy。We were unable to connect you to your WorkSpace。Please try again in a few minutes.」というメッセージが表示される。
<a name="unhealthy_cant_connect"></a>

このエラーは通常、SkyLightWorkSpacesConfigService サービスがヘルスチェックに応答していないことを示します。

WorkSpace を再起動または起動したばかりの場合は、数分待ってからもう一度お試しください。

WorkSpace がしばらくの間実行されていてもこのエラーが表示される場合は、[RDP を使用して接続](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)し、SkyLightWorkSpacesConfigService サービスについて次のことを確認します。
+ 実行中である。
+ 自動的に開始するように設定されている。
+ 管理インターフェイス (eth0) を介して通信できる。
+ サードパーティー製のウイルス対策ソフトウェアによってブロックされていない。

### ユーザーに「This device is not authorized to access the WorkSpace。Please contact your administrator for assistance.」というメッセージが表示される。
<a name="device_not_authorized"></a>

このエラーは、次のいずれかが発生している可能性があることを示しています。
+ WorkSpace ディレクトリで [IP アクセスコントロールグループ](amazon-workspaces-ip-access-control-groups.md)は設定されているが、クライアント IP アドレスが許可リストに登録されていない。

  ディレクトリの設定を確認します。ユーザーが接続しているパブリック IP アドレスで WorkSpace へのアクセスが許可されていることを確認します。
+ **[信頼されたデバイス]** オプションを使用する際、アクセスコントロールでデバイスのオペレーティングシステムが信頼されたデバイスとして許可されていないか、適切な証明書がデバイスにインストールされていない。以下を実行して、使用しているデバイスのタイプを信頼されたデバイスとして追加します。

  1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

  1. ナビゲーションペインで **[ディレクトリ]** を選択します。

  1. 使用しているディレクトリを選択します。

  1. **[アクセスコントロールオプション]** まで下にスクロールし、**[編集]**を選択します。

  1. **[信頼されたデバイス]** で、アクセスを許可するデバイスタイプについて、ドロップダウンから **[すべて許可]** を選択します。クライアント証明書がインストールされているデバイスに制限する場合は、**[信頼されたデバイス]** を選択します。

  1. 前の手順で **[信頼されたデバイス]** を選択した場合は、少なくとも 1 つのルート証明書をインポートしてあること、さらに、ルート証明機関 (CA) によって発行されたクライアント証明書がクライアントにインストールされていることを確認します。ルート証明書の作成、デプロイ、インポートの詳細については、「[WorkSpaces Personal で信頼されたデバイスへのアクセスを制限する](trusted-devices.md)」を参照してください。

  1. **[保存]** を選択します。
+ 使用しているデバイスのタイプに WorkSpaces へのアクセス許可が付与されていない。以下を実行して、デバイスのタイプにアクセス許可を付与します。

  1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

  1. ナビゲーションペインで **[ディレクトリ]** を選択します。

  1. 使用しているディレクトリを選択します。

  1. **[他のプラットフォーム]** まで下にスクロールし、**[編集]** を選択します。

  1. WorkSpaces へのアクセスを許可するデバイスタイプを次から 1 つ選んで、チェックボックスをオンにします。
     + ChromeOS
     + iOS
     + Linux
     + Web Access
     + ゼロクライアント

  1. **[保存]** を選択します。



### ユーザーが DCV WorkSpace に接続しようとすると、「ネットワークがありません。ネットワーク接続が失われました ネットワーク接続を確認するか、管理者に問い合わせてください。」 というメッセージが表示される。
<a name="no_network"></a>

このエラーが発生したが、ユーザーに接続の問題が発生していない場合は、ネットワークのファイアウォールでポート 4195 が開いていることを確認してください。DCV を使用する WorkSpaces の場合、クライアントセッションのストリーミングに使用されるポートが 4172 から 4195 に変更されています。

### WorkSpaces クライアントがネットワークエラーを返しますが、デバイス上の他のネットワーク対応アプリケーションは使用できます
<a name="network_error"></a>

WorkSpaces のクライアントアプリケーションは AWSクラウド内のリソースへのアクセスに依存しているため、最低 1 Mbps のダウンロード帯域幅を提供する接続が必要です。デバイスがネットワークに断続的に接続している場合、WorkSpaces クライアントアプリケーションがネットワークに関する問題を報告することがあります。

WorkSpaces は、2018 年 5 月の時点で Amazon Trust Services により発行されたデジタル証明書の使用を適用します。Amazon Trust Services は、WorkSpaces でサポートされているオペレーティングシステムですでに信頼されたルート CA になっています。オペレーティングシステムのルート CA リストが最新でない場合、デバイスは WorkSpaces に接続できず、クライアントからネットワークエラーが返されます。

**証明書の失敗による接続の問題を認識するには**
+ PCoIP ゼロクライアント - 次のエラーメッセージが表示されます。

  ```
  Failed to connect. The server provided a certificate that is invalid. See below for details:
  - The supplied certificate is invalid due to timestamp
  - The supplied certificate is not rooted in the devices local certificate store
  ```
+ その他のクライアント – ヘルスチェックは、**インターネット**の赤い三角形の警告が表示されて失敗します。

**Topics**
+ [Windows クライアントアプリケーション](#certificate-issues-windows)
+ [PCoIP ゼロクライアント](#certificate-issues-zero-clients)
+ [その他のクライアントアプリケーション](#certificate-issues-other)

#### Windows クライアントアプリケーション
<a name="certificate-issues-windows"></a>

証明書が失敗した場合は、次のいずれかの解決策を使用します。

**解決策 1: クライアントアプリケーションを更新する**  
[https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) から、最新の Windows クライアントアプリケーションをダウンロードしてインストールします。クライアントアプリケーションは、インストール中に、Amazon Trust Services によって発行された証明書をオペレーティングシステムが信頼するようにします。

**解決策 2: Amazon Trust Services をローカルのルート CA リストに追加する**

1. [https://www.amazontrust.com/repository/](https://www.amazontrust.com/repository/) を開きます。

1. DER 形式の Starfield 証明書 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92) をダウンロードします。

1. Microsoft マネジメントコンソールを開きます。 (コマンドプロンプトから、**mmc** を実行します。)

1. [**ファイル**]、[**スナップインの追加と削除**]、[**証明書**]、[**追加**] の順に選択します。

1. [**証明書スナップイン**] ページで、[**コンピュータ アカウント**] を選択し、[**次へ**] を選択します。デフォルトの [** ローカル コンピュータ**] のままにします。[**Finish**] を選択してください。[**OK**] を選択してください。

1. [**証明書 (ローカル コンピュータ)**] を展開し、[**信頼されたルート証明機関**] を選択します。[**アクション**]、[**すべてのタスク**]、[**インポート**] の順に選択します。

1. ウィザードに従って、ダウンロードした証明書をインポートします。

1. WorkSpaces クライアントアプリケーションを終了し、再起動します。

**解決策 3: グループポリシーを使用して Amazon Trust Services を信頼された CA としてデプロイする**  
グループポリシーを使用して、ドメインの信頼されたルート CA に Starfield 証明書を追加します。詳細については、「[Use Policy to Distribute Certificates](https://docs.microsoft.com/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc772491(v=ws.11))」を参照してください。

#### PCoIP ゼロクライアント
<a name="certificate-issues-zero-clients"></a>

ファームウェアバージョン 6.0 以降を使用して WorkSpace に直接接続するには、Amazon Trust Services が発行した証明書をダウンロードしてインストールします。

**Amazon Trust Services を信頼されたルート CA として追加するには**

1.  [https://certs.secureserver.net/repository/](https://certs.secureserver.net/repository/) を開きます。

1. [**Starfield Certificate Chain**] で、サムプリント 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 の証明書をダウンロードします。

1. 証明書をゼロクライアントにアップロードします。詳細については、Teradici ドキュメントの「[Uploading Certificates](https://www.teradici.com/web-help/TER1504003/6.0/default.htm#05_Managing/04_UploadCertificate.htm)」を参照してください。

#### その他のクライアントアプリケーション
<a name="certificate-issues-other"></a>

[Amazon Trust Services](https://www.amazontrust.com/repository/) から、Starfield 証明書 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92) を追加します。ルート CA の追加方法の詳細については、以下のドキュメントを参照してください。
+ Android: [証明書の追加と削除](https://support.google.com/nexus/answer/2844832)
+ Chrome OS: [Chrome 端末でのクライアント証明書の管理](https://support.google.com/chrome/a/answer/6080885)
+ macOS および iOS: [Installing a CA's Root Certificate on Your Test Device](https://developer.apple.com/library/content/qa/qa1948/_index.html#/apple_ref/doc/uid/DTS40017603-CH1-SECINSTALLING)

### WorkSpace ユーザーに、「デバイスは登録サービスに接続できません。ネットワーク設定を確認してください」というエラーが表示されます。
<a name="registration_service_failure"></a>

登録サービスでエラーが発生すると、[**Connection Health Check**] ページに次のメッセージが WorkSpace ユーザーに表示されます: 「ご使用のデバイスは WorkSpaces 登録サービスに接続できません。このデバイスを WorkSpaces に登録することはできません。ネットワーク設定を確認してください」というエラーメッセージが表示されることがあります。

このエラーは、WorkSpaces クライアントアプリケーションが登録サービスにアクセスできない場合に発生します。通常、これは、WorkSpaces ディレクトリが削除された場合に発生します。このエラーを解決するには、登録コードが有効で、 AWS クラウドで実行中のディレクトリに対応していることを確認してください。

### PCoIP ゼロクライアントユーザーに、「指定された証明書はタイムスタンプのために無効です」というエラーが表示される
<a name="pcoip_zero_client_ntp"></a>

Teradici でネットワークタイムプロトコル (NTP) が有効になっていない場合、PCoIP ゼロクライアントユーザーに証明書の失敗エラーが表示されることがあります。NTP を設定するには、「[WorkSpaces Personal で PCoIP ゼロクライアントを設定する](set-up-pcoip-zero-client.md)」を参照してください。

### PCoIP ゼロクライアントで USB プリンタと他の USB 周辺機器が動作しない
<a name="pcoip_zero_client_usb"></a>

PCoIP エージェントのバージョン 20.10.4 以降、Amazon WorkSpaces は、Windows レジストリを介して USB リダイレクトをデフォルトで無効にします。このレジストリ設定は、ユーザーが PCoIP ゼロクライアントデバイスを使用して WorkSpaces に接続する場合の USB 周辺機器の動作に影響します。

WorkSpaces でバージョン 20.10.4 以降の PCoIP エージェントを使用している場合は、USB リダイレクトを有効にしない限り、USB 周辺デバイスは PCoIP ゼロクライアントデバイスで動作しません。

**注記**  
32 ビット仮想プリンタードライバーを使用している場合は、それらのドライバーを 64 ビット版に更新する必要があります。

**PCoIP ゼロクライアントデバイスの USB リダイレクトを有効にするには**

グループポリシーを介してこれらのレジストリの変更をWorkSpacesにプッシュすることをお勧めします。詳細については、「Teradiciのマニュアル」から[エージェントの設定](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/)および[環境の設定](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/#enabledisable-usb-in-the-pcoip-session)を参照してください。

1. 次のレジストリキーの値を 1 (有効) に設定します。

   KeyPath =**HKEY\$1LOCAL\$1MACHINE\$1 SOFTWARE\$1 ソフトウェア\$1 ポリシー\$1 Teradici\$1 PCoIP\$1 pcoip\$1admin**

   KeyName = **pcoip.enable\$1usb**

   KeyType = **DWORD**

   KeyValue = **1**

1. 次のレジストリキーの値を 1 (有効) に設定します。

   KeyPath =**HKEY\$1LOCAL\$1MACHINE\$1 SOWARE\$1 ソフトウェア\$1 ポリシー\$1 Teradici\$1 PCoIP\$1 pcoIP\$1 pcoip\$1admin**

   KeyName = **pcoip.enable\$1usb**

   KeyType = **DWORD**

   KeyValue = **1**

1. まだ行っていない場合は、WorkSpace からログアウトしてから、再度ログインします。これで USB デバイスが動作するはずです。

### ユーザーが Windows または macOS クライアントアプリケーションの更新をスキップしても、最新バージョンをインストールするように求められない
<a name="client_update_skipped"></a>

ユーザーが Amazon WorkSpaces Windows クライアントアプリケーションの更新をスキップすると、**SkipThisVersion** レジストリキーが設定されます。そのため、新しいバージョンのクライアントがリリースされたときに、クライアントを更新するように求められなくなります。最新バージョンに更新するには*Amazon WorkSpacesユーザーガイド* の[「WorkSpaces Windows クライアントアプリケーションを新しいバージョンに更新する」](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_setup)の説明に従って、レジストリを編集できます。以下の PowerShell コマンドを実行することもできます。

```
Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"
```

ユーザーが Amazon WorkSpaces MacOS クライアントアプリケーションの更新をスキップすると、`SUSkippedVersion` 設定が定義されます。そのため、クライアントの新しいバージョンがリリースされたときに、クライアントを更新するように求められなくなります。最新バージョンに更新するには、*Amazon WorkSpaces ユーザーガイド* の[「WorkSpaces macOS クライアントアプリケーションを新しいバージョンに更新する」](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_setup)の説明に従って、この設定をリセットできます。

### ユーザーが Chromebook に Android クライアントアプリケーションをインストールできない
<a name="install_android_chromebook"></a>

バージョン 2.4.13 は、Amazon WorkSpaces Chromebook クライアントアプリケーションの最終リリースです。[Google は Chrome アプリのサポートを段階的に廃止](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html)するため、WorkSpaces Chromebook クライアントアプリケーションはこれ以上更新されず、その使用はサポートされません。

[Android アプリケーションのインストールに対応している Chromebook](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps) では、代わりに [WorkSpaces Android クライアントアプリケーション](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html)を使用することをお勧めします。

場合によっては、ユーザーの Chromebook で Android アプリケーションのインストールを有効にする必要があります。詳細については、「[WorkSpaces Personal で Chromebook 用の Android を設定する](set-up-android-chromebook.md)」を参照してください。

### ユーザーに招待 E メールまたはパスワードリセット E メールが届かない
<a name="welcome_emails"></a>

AD Connector または信頼できるドメインを使用して作成された WorkSpaces のウェルカム E メールまたはパスワードリセット E メールは、ユーザーに自動的には届きません。また、ユーザーが既に Active Directory に存在する場合も、招待メールは自動的に送信されません。

これらのユーザーに招待 E メールを手動で送信するには、「[招待 E メールの送信](manage-workspaces-users.md#send-invitation)」を参照してください 。

ユーザーパスワードをリセットするには、「[WorkSpaces Personal で Active Directory 管理ツールを設定する](directory_administration.md)」を参照してください。

### クライアントのログイン画面でユーザーに [パスワードを忘れた場合] が表示されません。
<a name="forgot_password"></a>

AD Connector または信頼できるドメインを使用している場合、ユーザーは自分のパスワードをリセットできません。([**パスワードを忘れた場合**] オプションは、WorkSpaces クライアントアプリケーションのログイン画面では使用できません。) ユーザーパスワードをリセットする方法については、[WorkSpaces Personal で Active Directory 管理ツールを設定する](directory_administration.md) を参照してください。

### Windows WorkSpace にアプリケーションをインストールしようとすると、「システム管理者がポリシーを設定してこのインストールを禁止しています」というメッセージが表示される
<a name="msi_wont_install"></a>

この問題に対処するには、Windows インストーラのグループポリシー設定を変更します。ディレクトリ内の複数の WorkSpaces にこのポリシーをデプロイするには、ドメイン結合された EC2 インスタンスから WorkSpaces 組織単位 (OU) にリンクされたグループポリシーオブジェクトに、この設定を適用します。AD Connector を使用している場合は、ドメインコントローラーからこれらの変更を行うことができます。Active Directory 管理ツールを使用してグループポリシーオブジェクトを操作する方法の詳細については、*AWS Directory Service 管理ガイド*の「[Active Directory 管理ツールのインストール](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)」を参照してください。

次の手順は、WorkSpaces グループポリシーオブジェクトの Windows インストーラ設定を構成する方法を示しています。

1. ドメインに [WorkSpaces グループポリシー管理用テンプレート](group_policy.md#gp_install_template) がインストールされていることを確認します。

1. Windows WorkSpace クライアントでグループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントの WorkSpaces グループポリシーオブジェクトに移動して選択します。メインメニューの [**Action**]、[**Edit**] を選択します。

1. グループポリシー管理エディタで、[**Computer Configuration (コンピュータの構成)**]、[**Policies (ポリシー)**]、[**Administrative Templates (管理用テンプレート)**]、[**Classic Administrative Templates (従来の管理用テンプレート)**]、[**Windows Components (Windows コンポーネント)**]、[**Windows Installer (Windows インストーラ)**] の順に選択します。

1. [**Turn Off Windows Installer (Windows インストーラをオフ)**] 設定を開きます。

1. [**Turn Off Windows Installer (Windows インストーラをオフ)**] ダイアログボックスで、[**Not Configured (未構成)**] を [**Enabled (有効)**] に変更し、[**Disable Windows Installer (Windows インストーラを無効にする**] を [**Never (しない)**] に設定します。

1. [**OK**] を選択してください。

1. グループポリシーの変更を適用するには、次のいずれかを実行します。
   + WorkSpace を再起動します (WorkSpaces コンソールで、WorkSpace を選択し、[**Actions**] (アクション)、[**Reboot WorkSpaces**] (WorkSpaces の再起動) を選択します)。
   + 管理コマンドプロンプトから、**gpupdate /force** と入力します。

### ディレクトリのいずれの WorkSpaces もインターネットに接続できない
<a name="no_internet"></a>

WorkSpaces はデフォルトではインターネットと通信することができません。明示的にインターネットアクセスを許可する必要があります。詳細については、「[WorkSpaces Personal でのインターネットアクセス](amazon-workspaces-internet-access.md)」を参照してください。

### WorkSpace がインターネットにアクセスできなくなった
<a name="lost_internet_access"></a>

WorkSpace がインターネットにアクセスできなくなり、[RDP を使用して WorkSpace に接続](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)できない場合は、おそらく WorkSpace のパブリック IP アドレスが失われたことが原因と考えられます。ディレクトリレベルで [Elastic IP アドレスの自動割り当てを有効](automatic-assignment.md)にしている場合、(Amazon が提供するプールからの) [Elastic IP アドレス](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)は、起動時に WorkSpace に割り当てられます。ただし、所有している Elastic IP アドレスを WorkSpace に関連付けた後、その Elastic IP アドレスと WorkSpace との関連付けを解除すると、WorkSpace はパブリック IP アドレスを失い、Amazon が提供するプールから新しいアドレスを自動的に取得しません。

Amazon が提供するプールからの新しいパブリック IP アドレスを WorkSpace に関連付けるには、[WorkSpace を再構築](rebuild-workspace.md)する必要があります。WorkSpace を再構築しない場合は、所有する別の Elastic IP アドレスを WorkSpace に関連付ける必要があります。

WorkSpace の起動後は、WorkSpace の Elastic Network Interface を変更しないことをお勧めします。Elastic IP アドレスが WorkSpace に割り当てられると、WorkSpace は同じパブリック IP アドレスを保持します (WorkSpace が再構築された場合を除く。その場合は新しいパブリック IP アドレスを取得します)。

### オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示される
<a name="dns_unavailable"></a>

オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

```
DNS unavailable (TCP port 53) for IP: dns-ip-address
```

AD Connectorは、ポート 53 上で TCP および UDP によってオンプレミス DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の TCP および UDP 通信を許可していることを確認します。

### オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」というエラーが表示される
<a name="connectivity_issues_detected"></a>

オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

```
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
Please ensure that the listed ports are available and retry the operation.
```

AD Connectorは、以下のポート上で TCP および UDP によってオンプレミスドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。
+ 88 (Kerberos)
+ 389 (LDAP)

### オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示される
<a name="srv_record_not_found"></a>

オンプレミスディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。

```
SRV record for LDAP does not exist for IP: dns-ip-address

SRV record for Kerberos does not exist for IP: dns-ip-address
```

AD Connector は、ディレクトリに接続するときに、`_ldap._tcp.dns-domain-name` および `_kerberos._tcp.dns-domain-name` SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。DNS サーバーにこれらの SRV レコードが含まれていることを確認します。詳細については、Microsoft TechNet の「[SRV リソースレコード](https://technet.microsoft.com/en-us/library/cc961719.aspx)」を参照してください。

### Windows WorkSpace をアイドル状態のままにすると、スリープ状態になる
<a name="windows_workspace_sleeps_when_idle"></a>

この問題を解決するには、WorkSpace に接続し、次の手順を使用して電源プランを [**High performance (高パフォーマンス)**] に変更します。

1. WorkSpace から **[コントロールパネル]** を開き、**[ハードウェア]** もしくは **[ハードウェアとサウンド]** を選択します (Windows のバージョンによっては、名前が異なる場合があります)。

1. [**Power Options (電源オプション)**] で [**Choose a power plan (電源プランを選択)**] を選択します。

1. **[Choose or customize a power plan]** (電力プランの選択あるいはカスタマイズ) ペインで **[High performance]** (高パフォーマンス) 電力プランを選択し、**[Change plan settings]** (プラン設定の変更)を選択します。
   + オプションで、[**High performance**](高パフォーマンス) 電力プランの選択が無効になっている場合は、[**現在利用できない設定を変更する**] を選択してから、[**高パフォーマンス**] 電力プランを選択します。
   + そのファイルに[**高パフォーマンス**]プランが非表示になっている場合は、[**追加プランを表示**]の右側にある矢印を選択して表示するか、もしくは左のナビゲーションで[**電源プランを作成する**]から[**高パフォーマンス**]を選択し、電源プランに名前を付けたうえで、[**次へ**] を選択します。

1. [**プランの設定を変更する:高パフォーマンス**]ページでは、[**ディスプレイをオフにする**]および（利用可能な場合）[**コンピュータをスリープ状態にする**]などについて[**Never**](決してしない）を選択してあることを確認してください。

1. 高パフォーマンスプランに変更した場合は、[**変更の保存**] を選択します。(または新しいプランを作成するのであれば[**作成**]を選択します)。

上記の手順で問題を解決できない場合は、次の操作を行います。

1. WorkSpace から **[コントロールパネル]** を開き、**[ハードウェア]** もしくは **[ハードウェアとサウンド]** を選択します (Windows のバージョンによっては、名前が異なる場合があります)。

1. [**Power Options (電源オプション)**] で [**Choose a power plan (電源プランを選択)**] を選択します。

1. **[電源プランの選択またはカスタマイズ]** ペインで、**[高パフォーマンス]** 電源プランの右側にある **[プラン設定の変更]** リンクを選択して、**[詳細な電源設定の変更]** リンクを選択します。

1. 設定リストの [**Power Options (電源オプション)**] ダイアログボックスで、[**Hard disk (ハードディスク)**] の左側にあるプラス記号を選択して関連する設定を表示します。

1. [**Plugged in (プラグイン)**] の [**Turn off hard disk after (経過後にハードディスクを切断する)**] 値が、[**On battery (バッテリー使用時)**] よりも大きいことを確認します (デフォルト値は 20 分)。

1. [**PCI Express**] の左側にあるプラス記号を選択し、[**Link State Power Management (ステート電力管理リンク)**] でも同様の選択を行います。

1. [**Link State Power Management (ステート電力管理リンク)**] 設定が [**オフ**] であることを確認します。

1. [**OK**] (あるいは、設定を変更した場合には [**適用**]) を選択して、ダイアログボックスを閉じます。

1. 設定を変更した場合には、[**Change settings for the plan (プランの設定変更)**] ペインで [**変更の保存**] を選択します。

### WorkSpace の一部のステータスに `UNHEALTHY` と表示されます
<a name="unhealthy"></a>

WorkSpaces サービスは定期的にステータスリクエストを WorkSpace に送信します。このリクエストに応答しない WorkSpace は、"`UNHEALTHY`" と表示されます。この問題に対する一般的な原因は次のとおりです。
+ WorkSpace のアプリケーションがネットワークポートをブロックして、WorkSpace によるステータスリクエストへの応答を妨げています。
+ 高 CPU 使用率は、WorkSpace によるステータスリクエストへの応答を一時的に防ぐことがあります。
+ WorkSpace のコンピュータ名が変更された場合。これにより、 WorkSpaces と WorkSpace の間に確立されるべき安全な交信が妨げられます。

次の方法を使用して、この状況を修正するよう試みることができます。
+  WorkSpaces コンソールから WorkSpace を再起動します。
+ トラブルシューティングの目的でのみ使用する必要がある次の手順を使用して、不具合のある WorkSpace に接続します。

  1. 不具合のある WorkSpace と同じディレクトリ内の動作している WorkSpace に接続します。

  1. 動作している WorkSpace から、Remote Desktop Protocol（RDP）を使って、不具合のある WorkSpace の IP アドレスから不具合のある WorkSpace に接続します。問題の規模により、不具合のある WorkSpace に接続できない場合もあります。

  1. 不具合のある WorkSpace で最低限の[ポート要件](workspaces-port-requirements.md)が満たされていることを確認します。
+ SkylightWorkspacesConfigService サービスがヘルスチェックに応答できることを確認します。この問題のトラブルシューティングについては、「[ユーザーに「WorkSpace Status: Unhealthy。We were unable to connect you to your WorkSpace。Please try again in a few minutes.」というメッセージが表示される。](#unhealthy_cant_connect)」を参照してください。
+  WorkSpaces コンソールから WorkSpace を再構築します。WorkSpace の再構築ではデータ損失が発生する可能性があるため、その他のすべての問題対処方法が失敗した場合にのみ、このオプションを実行してください。

### WorkSpace が予期せずクラッシュまたは再起動する
<a name="crash_web_access"></a>

PCoIP に対応した WorkSpace が繰り返しクラッシュまたは再起動し、エラーログやクラッシュダンプで `spacedeskHookKmode.sys` または `spacedeskHookUmode.dll` の問題が示されている場合、あるいは次のエラーメッセージが表示される場合は、WorkSpace へのウェブアクセスの無効化が必要になる場合があります。

```
The kernel power manager has initiated a shutdown transition.
Shutdown reason: Kernel API
```

```
The computer has rebooted from a bugcheck.
```

**注記**  
これらのトラブルシューティングステップは、DCV 用に設定された WorkSpaces には適用されません。これらは、PCoIP に対応した WorkSpaces にのみ適用されます。
Web Access を無効にするのは、ユーザーに Web Access の使用を許可しない場合だけです。

WorkSpace に対して Web Access を無効にするには、WorkSpaces ディレクトリで Web Access を無効にし、WorkSpace を再起動する必要があります。

### 同じユーザー名に対応する複数の WorkSpace があるが、そのユーザーはいずれかの WorkSpaces にしかログインできない
<a name="multiple_workspaces_same_username"></a>

最初に WorkSpace を削除せずに Active Directory (AD) でユーザーを削除してから、そのユーザーを Active Directory に再度追加し、そのユーザーの新しい WorkSpace を作成すると、同じユーザー名に対応する 2 つの WorkSpaces が同じディレクトリに作成されます。ただし、そのユーザーが元の WorkSpace に接続しようとすると、以下のエラーが表示されます。

```
"Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."
```

さらに、Amazon WorkSpaces コンソールでそのユーザー名を検索すると、両方の WorkSpaces がまだ存在していても、新しい WorkSpace のみが返されます (ユーザー名の代わりに WorkSpace ID を検索すると、元の WorkSpace を見つけることができます)。

この動作は、最初に WorkSpace を削除せずに Active Directory でユーザーの名前を変更した場合にも見られることがあります。その場合、ユーザー名を元のユーザー名に戻し、そのユーザーの新しい WorkSpace を作成すると、同じユーザー名に対応する 2 つの WorkSpaces が同じディレクトリに作成されます。

この問題は、Active Directory がユーザー名ではなくユーザーのセキュリティ識別子 (SID) を使用してユーザーを一意に識別するために発生します。ユーザーを削除して Active Directory で再作成すると、ユーザー名が同じであっても、そのユーザーに新しい SID が割り当てられます。ユーザー名の検索中に、Amazon WorkSpaces コンソールは SID を使用して Active Directory で一致する名前を見つけます。Amazon WorkSpaces クライアントも SID を使用して、WorkSpaces に接続しようとするユーザーを識別します。

この問題を解決するには、以下のいずれかの操作を行います。
+ ユーザーが削除されて Active Directory で再作成されたためにこの問題が発生した場合は、[Active Directory のごみ箱機能](https://docs.microsoft.com/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-)を有効にすると、削除された元のユーザーオブジェクトを復元できる可能性があります。元のユーザーオブジェクトを復元できる場合は、そのユーザーが元の WorkSpace に接続できることを確認してください。確認できれば、ユーザーデータを手動でバックアップして新しい WorkSpace から元の WorkSpace に転送した後、[新しい WorkSpace を削除](delete-workspaces.md)できます (必要に応じて)。
+ 元のユーザーオブジェクトを復元できない場合は、[そのユーザーの元の WorkSpace を削除](delete-workspaces.md)します。そのユーザーは、代わりに新しい WorkSpace に接続し、その WorkSpace を使用できるようになります。必ずユーザーデータを手動でバックアップし、元の WorkSpace から新しい WorkSpace に転送してください。
**警告**  
WorkSpace の削除は永続的なアクションであり、元に戻すことはできません。WorkSpace ユーザーのデータは保持されず、破棄されます。ユーザーデータのバックアップに関するヘルプについては、 AWS Support にお問い合わせください。

### Amazon WorkSpaces で Docker の使用がうまくいかない
<a name="docker_support"></a>

**Windows WorkSpaces**  
ネストされた仮想化 (Docker の使用を含む) は、Windows WorkSpaces ではサポートされていません。詳細については、「[Docker ドキュメント](https://docs.docker.com/docker-for-windows/troubleshoot/#running-docker-desktop-in-nested-virtualization-scenarios)」を参照してください。

**Linux WorkSpaces**  
Linux WorkSpaces で Docker を使用するには、Docker によって使用される CIDR ブロックが、WorkSpace に関連付けられている 2 つの Elastic Network Interface (ENI) で使用される CIDR ブロックと重複しないようにしてください。Linux WorkSpaces で Docker を使用する際に問題が発生した場合、Docker にお問い合わせください。

### 一部の API コールで ThrottlingException エラーが表示される
<a name="throttled-api-calls"></a>

WorkSpaces API コールのデフォルトの許容レートは、1 秒あたり 2 回の API コールの一定のレートで、許可される最大「バースト」レートは 1 秒あたり 5 回の API コールです。次の表は、API リクエストのバーストレート制限がどのように機能するかを示しています。


| 秒 | 送信されたリクエストの数 | 許可されたネットリクエスト | 詳細 | 
| --- | --- | --- | --- | 
|  1  |  0  |  5  |  最初の 1 秒（1 秒目）の間は、1 秒あたり最大 5 回の呼び出しのバーストレートまで、5 つのリクエストが許可されます。  | 
|  2  |  2  |  5  |  1 秒目で発行されたコール数が 2 つ以下であるため、5 つのコールのフルバーストキャパシティーを引き続き利用できます。  | 
|  3  |  5  |  5  |  2 秒目で発行された呼び出しは 2 つだけであるため、5 つの呼び出しのフルバーストキャパシティーを引き続き利用できます。  | 
|  4  |  2  |  2  |  バーストキャパシティーが 3 秒目にいっぱいまで使用されたため、1 秒あたり 2 回の呼び出しの一定のレートのみが使用できます。  | 
|  5  |  3  |  2  |  バースト容量が残っていないため、現時点では許可される呼び出しは 2 つだけです。これは、3 つの API コールの 1 つが調整されることを意味します。1 つの調整された呼び出しは、短い遅延後に応答します。  | 
|  6  |  0  |  1  |  5 秒目からの呼び出しの 1 つが 6 秒目で再試行されるため、6 秒目の追加の呼び出しは 1 つだけです。これは、1 秒あたり 2 回の呼び出しが一定のレート制限であるためです。  | 
|  7  |  0  |  3  |  キューに調整された API コールがないため、レート制限はバーストレート制限が 5 回まで引き上げられます。  | 
|  8  |  0  |  5  |  7 秒目には呼び出しが発行されなかったため、リクエストの最大数が許可されます。  | 
|  9  |  0  |  5  |  8 秒目には呼び出しが発行されませんが、レート制限は 5 つを超えることはありません。  | 

### WorkSpace をバックグラウンドで実行させておくと、接続が何度も切断される
<a name="workspaces-disconnecting"></a>

Mac ユーザーの場合は、Power Nap 機能がオンになっていないかどうかをチェックしてください。オンになっている場合は、オフにします。Power Nap をオフにするには、ターミナルを開いて、以下のコマンドを実行します。

```
defaults write com.amazon.workspaces NSAppSleepDisabled -bool YES
```

### SAML 2.0 フェデレーションが動作していません。ユーザーには、WorkSpaces デスクトップをストリーミングする権限がありません。
<a name="saml-federation-not-working"></a>

このエラーは、SAML 2.0 フェデレーションの IAM ロール用に埋め込まれているインラインポリシーに、ディレクトリの Amazon リソースネーム (ARN) からストリーミングするためのアクセス許可が含まれていないことが原因で発生する可能性があります。この IAM ロールは、WorkSpaces ディレクトリにアクセスしているフェデレーションユーザーによって引き受けられます。ロールのアクセス許可を編集してディレクトリ ARN を含め、ユーザーがディレクトリに WorkSpace を持っていることを確認します。詳細については、[「SAML 2.0 Authentication](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html) and [Troubleshooting SAML 2.0 Federation with AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html)」を参照してください。

### ユーザーが 60 分ごとに WorkSpaces セッションから切断されます。
<a name="disconnected-workspace"></a>

WorkSpaces に SAML 2.0 認証を設定している場合、ID プロバイダー (IdP) によっては、認証レスポンス AWS の一部として IdP が SAML 属性として渡す情報を設定する必要がある場合があります。これには、[**Attribute**] 要素の設定として、`SessionDuration` 属性を `https://aws.amazon.com/SAML/Attributes/SessionDuration` に設定することが含まれます。

`SessionDuration` は、再認証が必要となるまでに、ユーザーのフェデレーティッドストリーミングセッションをアクティブにしておくことができる最大時間を指定します。`SessionDuration` はオプションの属性ですが、これを SAML 認証レスポンスに含めることをお勧めします。この属性を指定しない場合、セッション時間はデフォルトで 60 分に設定されます。

この問題を解決するには、SAML 認証レスポンスに `SessionDuration` 値を含めるように IdP を設定し、必要に応じた値を設定します。詳細については、「[ステップ 5: SAML 認証レスポンスのアサーションを作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth)」を参照してください。

### ユーザーが SAML 2.0 ID プロバイダー (IdP) 主導のフローを使用してフェデレートすると、ユーザーにリダイレクト URI エラーが発生します。または、IdP にフェデレートした後、クライアントからサインインを試みるたびに、WorkSpaces クライアントアプリケーションの追加インスタンスが開始されます。
<a name="invalid-redirect-uri"></a>

このエラーが発生するのは、リレーステートの URL が正しい形式でないためです。IdP フェデレーションのセットアップでリレーステートが正しいこと、および WorkSpaces ディレクトリプロパティで、ユーザーアクセス URL とリレーステートパラメータ名が IdP フェデレーションに対して正しく設定されていることを確認します。それらが有効で、問題が解決しない場合は、 AWS サポートにお問い合わせください。詳細については、「[SAML のセットアップ](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml)」を参照してください。

### ユーザーが IdP にフェデレートした後に WorkSpace Spaces クライアントアプリケーションにサインインしようとすると、「Something went wrong: An error occurred while launching your WorkSpace」(問題が発生しました: WorkSpace の起動中にエラーが発生しました) というメッセージが表示されます。
<a name="federating-error-message"></a>

フェデレーションの SAML 2.0 アサーションを確認します。[**SAML Subject NameID**] (SAML サブジェクト名 ID) 値は WorkSpaces ユーザー名と一致する必要があります。通常は、Active Directory ユーザーの **sAMAccountName** 属性と同じです。さらに、`PrincipalTag:Email` 属性が `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` に設定された [**Attribute**] (属性) 要素は、WorkSpaces ディレクトリで定義されている WorkSpaces ユーザーの E メールアドレスと一致する必要があります。詳細については、「[SAML のセットアップ](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml)」を参照してください。

### ユーザーが IdP にフェデレートした後に WorkSpaces クライアントアプリケーションにサインインしようとすると、「Unable to validate tags」(タグを検証できません) というメッセージが表示されます。
<a name="unable-to-validate-tags"></a>

`https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` など、フェデレーションの SAML 2.0 アサーションの `PrincipalTag` 属性値を確認します。タグ値には、`_ . : / = + - @` の各文字、英数字、およびスペースの組み合わせを含めることができます。詳細については、[「IAM でのタグ付けのルール」および AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)「」を参照してください。

### 「The client and the server cannot communicate, because they do not possess a common algorithm」(クライアントとサーバーは共通のアルゴリズムを所有していないため、通信できません) というメッセージがユーザーに表示されます。
<a name="no-common-algorithm"></a>

この問題は、TLS 1.2 を有効にしていない場合に発生する可能性があります。

### マイクまたはウェブカメラが Windows WorkSpaces で動作しません。
<a name="microphone-not-working"></a>

[Start] (スタート) メニューを開いてプライバシー設定を確認してください
+ **[Start]** (スタート) > **[Settings]** (設定) > **[Privacy]** (プライバシー) > **[Camera]** (カメラ)
+ **[Start]** (スタート) > **[Settings]** (設定)> **[Privacy]** (プライバシー) > **[Microphone]** (マイク)

オフになっている場合は、オンにします。

または、WorkSpaces 管理者は、必要に応じてグループポリシーオブジェクト (GPO) を作成して、マイクやウェブカメラを有効にできます。

### 私のユーザーは証明書ベースの認証を使用してログインできず、デスクトップセッションに接続するときに WorkSpaces クライアントまたは Windows サインオン画面でパスワードの入力を求められます。
<a name="cert-based-auth-troubleshooting"></a>

このセッションでは、証明書ベースの認証が失敗しました。問題が続く場合、証明書ベースの認証が失敗するのは、次のいずれかの問題が原因である可能性があります。
+ WorkSpaces またはクライアントがサポートされていません。証明書ベースの認証は、最新の WorkSpaces Windows クライアントアプリケーションを使用している Windows WorkSpaces DCV バンドルでサポートされます。
+ WorkSpaces ディレクトリで証明書ベースの認証を有効にしたら、WorkSpaces を再起動する必要があります。
+ WorkSpaces が証明書と通信できなかったか AWS Private CA、証明書を発行 AWS Private CA しませんでした。[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/) で証明書が発行されたかどうかを確認してください。詳細については、「[証明書ベースの認証の管理](certificate-based-authentication.md#manage-cert-based-auth)」を参照してください。
+ ドメインコントローラーには、スマートカードログオン用のドメインコントローラー証明書がないか、有効期限が切れています。詳細については、「[前提条件](certificate-based-authentication.md#cert-based-auth-prerequesites)」のステップ 7「*Configure domain controllers with a domain controller certificate to authenticate smart card users*」(ドメインコントローラー証明書を使用して、スマートカードユーザーを認証するようにドメインコントローラーを設定する) を参照してください。
+ 証明書が信頼されていません。詳細については、「[前提条件](certificate-based-authentication.md#cert-based-auth-prerequesites)」のステップ 7「*Publish the CA to Active Directory*」(CA を Active Directory に公開する) を参照してください。ドメインコントローラーで `certutil –viewstore –enterprise NTAuth` を実行して、CA が公開されていることを確認します。
+ キャッシュに証明書はありますが、証明書を無効にしたユーザーの属性が変更されています。証明書の有効期限が切れる (24 時間) 前にキャッシュをクリア サポート するには、 にお問い合わせください。詳細については、[サポート センター](https://console.aws.amazon.com/support/home#/)を参照してください。
+ SAML 属性 `UserPrincipalName` の userPrincipalName 形式が正しくフォーマットされていないか、ユーザーの実際のドメインに解決されていません。詳細については、「[前提条件](certificate-based-authentication.md#cert-based-auth-prerequesites)」のステップ 1 を参照してください。
+ SAML アサーションの `ObjectSid` 属性 (オプション) が、SAML\$1Subject `NameID` で指定したユーザーの Active Directory セキュリティ識別子 (SID) と一致しません。SAML フェデレーションの属性マッピングが正しいこと、および SAML ID プロバイダーが Active Directory ユーザーの SID 属性を同期していることを確認してください。
+ スマートカードログオンのデフォルトの Active Directory 設定を変更したり、スマートカードがスマートカードリーダーから取り外された場合にアクションを実行したりするグループポリシー設定があります。これらの設定により、上記のエラー以外にも予期しない動作が発生する可能性があります。証明書ベースの認証では、仮想スマートカードがインスタンスのオペレーティングシステムに提示され、ログオンの完了後にそれが削除されます。「[Primary Group Policy settings for smart cards](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#primary-group-policy-settings-for-smart-cards)」(スマートカードのプライマリグループポリシー設定) と「[Additional smart card Group Policy settings and registry keys](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#additional-smart-card-group-policy-settings-and-registry-keys)」(その他のスマートカードのグループポリシー設定とレジストリキー) (スマートカード取り出し時の動作を含む) を参照してください。
+ プライベート CA の CRL ディストリビューションポイントがオンラインになっていないか、WorkSpaces からもドメインコントローラーからもアクセスできません。詳細については、「[前提条件](certificate-based-authentication.md#cert-based-auth-prerequesites)」のステップ 5 を参照してください。
+ ドメインまたはフォレストに古い CA があるかどうかを確認するには、CA で `PKIVIEW.msc` を実行します。古い CA がある場合は、`PKIVIEW.msc` mmc を使用して手動で削除します。
+ Active Directory レプリケーションが機能しているかどうか、およびドメインに古いドメインコントローラーがないかどうかを確認するには、`repadmin /replsum` を実行します。

トラブルシューティングのその他のステップには、WorkSpaces インスタンスの Windows イベントログを確認することが含まれます。ログオンの失敗を確認する一般的なイベントは、Windows セキュリティログの「[イベント 4625: アカウントがログオンに失敗しました](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625)」です。

問題が解決しない場合は、 にお問い合わせください サポート。詳細については、[サポート センター](https://console.aws.amazon.com/support/home#/)を参照してください。

### Windows インストールメディアを必要とする処理を実行しようとしていますが、WorkSpaces がメディアを提供しません。
<a name="install-media-troubleshooting"></a>

 AWSが提供するパブリックバンドルを使用している場合は、必要に応じて Amazon EC2 が提供する Windows Server OS インストールメディア EBS スナップショットを使用できます。

 これらのスナップショットから EBS ボリュームを作成して Amazon EC2 にアタッチし、ファイルを必要とする WorkSpace にファイルを転送します。WorkSpaces の BYOL で Windows 10 を使用していて、インストールメディアが必要な場合は、独自のインストールメディアを用意する必要があります。詳細については、「[インストールメディアを使用した Windows コンポーネントの追加](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/windows-optional-components.html#adding-windows-components-console)」を参照してください。EBS ボリュームは WorkSpace に直接アタッチできないため、Amazon EC2 インスタンスにアタッチしてからファイルをコピーする必要があります。

### サポートされていない WorkSpaces リージョンで作成された既存の AWS Managed Directory を使用して WorkSpaces を起動したい。
<a name="unsupported-regions-troubleshooting"></a>

WorkSpaces で現在サポートされていないリージョンのディレクトリを使用して Amazon WorkSpaces を起動するには、以下の手順に従ってください。

**注記**  
 AWS Command Line Interface コマンドの実行時にエラーが発生した場合は、最新バージョンを使用していることを確認してください AWS CLI 。詳細については、「[最新バージョンの AWS CLIを実行していることを確認する](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html#general-latest)」を参照してください。

#### ステップ 1: アカウント内の別の仮想プライベートクラウド (VPC) との VPC ピアリングを作成します。
<a name="w2aac11c37b7c93b7"></a>

1. 異なるリージョンの VPC との VPC ピアリング接続を作成するには 詳細については、「[同じアカウントの異なるリージョンにある VPC を使用して作成する](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#same-account-different-region)」を参照してください。

1. VPC ピアリング接続を承認します。詳細については、「[VPC ピアリング接続を承認する](https://docs.aws.amazon.com/vpc/latest/peering/accept-vpc-peering-connection.html)」を参照してください。

1. VPC ピアリング接続をアクティブ化すると、Amazon VPC コンソール、、 AWS CLIまたは API を使用して VPC ピアリング接続を表示できます。

#### ステップ 2: 両方のリージョンで VPC ピアリングのルートテーブルを更新する
<a name="w2aac11c37b7c93b9"></a>

 ルートテーブルを更新して、IPv4 または IPv6 を介したピア VPC との通信を有効にします。詳細については、「[VPC ピアリング接続のルートテーブルを更新する](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-routing.html)」を参照してください 

#### ステップ 3: AD Connector を作成し、Amazon WorkSpaces を登録する
<a name="w2aac11c37b7c93c11"></a>

1.  AD Connector の前提条件を確認するには、「[AD Connector の前提条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)」を参照してください。

1.  既存のディレクトリを AD Connector と接続します。詳細については、「[AD Connector を作成する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html)」を参照してください。

1. AD Connectorのステータスが **[アクティブ]** に変わったら、[AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservice)を開き、**ディレクトリ ID** のハイパーリンクを選択します。

1.  AWS アプリケーションとサービスの場合は、**Amazon WorkSpaces** を選択して、このディレクトリの WorkSpaces へのアクセスを有効にします。

1. WorkSpaces でディレクトリを登録する 詳細については、「[WorkSpaces でディレクトリを登録する](https://docs.aws.amazon.com/workspaces/latest/adminguide/register-deregister-directory.html)」を参照してください。

### Amazon Linux 2 で Firefox をアップデートしたいと考えています。
<a name="firefox_al2"></a>

#### ステップ 1: 自動更新が有効になっていることを確認する
<a name="w2aac11c37b7c95b3"></a>

自動更新が有効になっていることを確認するには、WorkSpace でコマンド `systemctl status *os-update-mgmt.timer | grep enabled` を実行します。出力に、`enabled` という単語を含む行が 2 行あるはずです。

#### ステップ 2: 更新を開始する
<a name="w2aac11c37b7c95b5"></a>

通常、Firefox はメンテナンスウィンドウ中に、システム内の他のすべてのソフトウェアパッケージと共に Amazon Linux 2 WorkSpaces で自動更新されます。ただし、これはお使いの WorkSpaces のタイプによって異なります。
+ AlwaysOn WorkSpaces の場合、毎週のメンテナンスウィンドウは、ワークスペースのタイムゾーンの日曜日 0:00～4:00 です。
+ AutoStop WorkSpaces の場合。毎月第 3 月曜日から最大 2 週間、メンテナンスウィンドウは WorkSpace の AWS リージョンのタイムゾーンで毎日午前 0 時から午後 5 時まで開かれます。

メンテナンスウィンドウの詳細については、「[WorkSpace のメンテナンス](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html)」を参照してください。

WorkSpace を再起動して 15 分後に再接続することで、すぐに更新サイクルを開始することもできます。「`sudo yum update`」と入力して更新を開始することもできます。Firefox 専用の更新を開始するには、「`sudo yum install firefox`」と入力します。

 Amazon Linux 2 リポジトリへのアクセスを設定できず、Mozilla によって構築されたバイナリを使用して Firefox をインストールする場合は、Mozilla のサポートで「[Mozilla ビルドの Firefox をインストールする](https://support.mozilla.org/en-US/kb/install-firefox-linux#w_install-firefox-from-mozilla-builds)」を参照してください。誤って古いバージョンを実行しないように、RPM パッケージ版の Firefox を完全にアンインストールすることをお勧めします。`sudo yum remove firefox` コマンドを実行して Firefox をアンインストールできます。

別のマシンで `yumdownloader firefox` コマンドを実行して、Amazon Linux 2 リポジトリから必要な RPM パッケージをダウンロードすることもできます。次に、リポジトリをWorkSpaces にサイドロードします。WorkSpaces では、`sudo yum install firefox-102.11.0-2.amzn2.0.1.x86_64.rpm` のような標準 `YUM` コマンドでインストールできます。

**注記**  
正確なファイル名は、パッケージのバージョンによって変わります。

#### ステップ 3: Firefox リポジトリが使用されていることを確認する
<a name="w2aac11c37b7c95b7"></a>

Amazon Linux Extras は、Amazon Linux 2 WorkSpaces 向けの Firefox アップデートを自動的に提供します。2023 年 7 月 31 日以降に作成された Amazon Linux 2 WorkSpaces では、Firefox Extra リポジトリが既にアクティブ化されています。WorkSpace が Firefox Extra リポジトリを使用していることを確認するには、次のコマンドを実行します。

```
yum repolist | grep amzn2extra-firefox
```

コマンド出力は、Firefox Extra リポジトリが使用されている場合、`amzn2extra-firefox/2/x86_64 Amazon Extras repo for firefox 10` と類似したものになります。Firefox Extra リポジトリが使用されていない場合は、空になります。Firefox Extra リポジトリが使用されていない場合は、次のコマンドを使用して手動でアクティブ化を試みることができます。

```
sudo amazon-linux-extras install firefox
```

それでも Firefox Extra リポジトリのアクティブ化に失敗する場合は、インターネット接続を確認し、VPC エンドポイントが設定されていないことを確認してください。YUM リポジトリ経由で Amazon Linux 2 WorkSpaces 向けの Firefox アップデートを継続的に受け取るには、WorkSpaces が Amazon Linux 2 リポジトリにアクセスできることを確認します。インターネットに接続することなく Amazon Linux 2 リポジトリにアクセスする方法の詳細については、[こちらのナレッジセンター記事](https://repost.aws/knowledge-center/ec2-al1-al2-update-yum-without-internet)を参照してください。

### ユーザーは、設定されているきめ細かなパスワードポリシー (FFGP) 設定を無視して、WorkSpaces クライアントを使用してパスワードをリセットできます AWS Managed Microsoft AD。
<a name="password-setting-mad"></a>

ユーザーの WorkSpaces クライアントが に関連付けられている場合 AWS Managed Microsoft AD、デフォルトの複雑さ設定を使用してパスワードをリセットする必要があります。

 デフォルトの複雑さのパスワードは大文字と小文字が区別され、8 〜 64 文字の長さにする必要があります。パスワードには、次の各カテゴリから少なくとも 1 文字を含める必要があります。
+ 英小文字（a～z）
+ 英大文字（A～Z）
+ 番号 (0〜9)
+ 英数字以外の文字(\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

パスワードには、空白、キャリッジリターン、タブ、改行、null 文字など、印刷不可能な Unicode 文字が含まれていないことを確認してください。

WorkSpaces に FFGP を適用することを組織から求められている場合は、Active Directory 管理者に連絡して、WorkSpaces クライアントではなく Active Directory から直接ユーザーのパスワードをリセットしてください。

### ユーザーが Web Access を使用して Windows/Linux WorkSpace にアクセスしようとすると、「この OS/プラットフォームは WorkSpace へのアクセスを許可されていません」という内容のエラーメッセージが表示されます。
<a name="os-authorized-access"></a>

ユーザーが使用しようとしているオペレーティングシステムのバージョンに、WorkSpaces の Web Access との互換性がありません。WorkSpace ディレクトリの **[他のプラットフォーム]** 設定で Web Access を有効にしてください。WorkSpaces の Web Access を有効にする方法の詳細については、「[WorkSpaces Personal で WorkSpaces Web Access を有効にして設定する](web-access.md)」を参照してください。

### 停止状態となっている AutoStop WorkSpace に接続した後、ユーザーの WorkSpace が異常と表示される
<a name="autostop-unhealthy"></a>

ユーザーは、休止状態から再開するときにネットワークインターフェイスに問題を引き起こすことが判明しているソフトウェアを使用している可能性があります。例えば、WorkSpace に NPCAP 1.1 アプリケーションがインストールされている場合は、バージョン 1.2 以降に更新することで問題を解決できます。

### ログイン後、WorkSpaces Ubuntu バンドルで Gnome がクラッシュする
<a name="gnome-crashes-ubuntu"></a>

`ubuntu` ユーザー名を使用して WorkSpace を起動すると、デフォルトで存在する `ubuntu` ユーザーとの競合が発生します。これにより、Gnome でクラッシュが発生し、他のパフォーマンスが低下する可能性があります。この問題を回避するには、Ubuntu WorkSpaces をプロビジョニングするときに `ubuntu` ユーザー名を指定しないでください。

# WorkSpaces Personal の DCV ホストエージェントのバージョン
<a name="workspaces-release-notes"></a>

DCV ホストエージェントは、WorkSpace 内で実行されるホストエージェントです。WorkSpace のピクセルをクライアントアプリケーションにストリーミングし、双方向の音声とビデオ、印刷などのセッション内の機能を備えています。DCV の詳細については、「[Amazon WorkSpaces のプロトコル](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-protocols.html)」を参照してください。

ホストエージェントソフトウェアは常に最新バージョンに更新しておくことをお勧めします。WorkSpaces を手動で再起動して DCV ホストエージェントを更新できます。DCV ホストエージェントは、通常の WorkSpaces のデフォルトメンテナンスウィンドウ中にも自動的に更新されます。メンテナンスウィンドウの詳細については、「[WorkSpace のメンテナンス](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html)」を参照してください。これらの機能の中には、最新の WorkSpaces クライアントバージョンを必要とするものがあります。最新のクライアントバージョンの詳細については、「[WorkSpaces クライアント](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)」を参照してください。



次の表に、WorkSpaces Personal の DCV ホストエージェントの各バージョンの変更をまとめています。


| リリース | 日付 | 変更 | 
| --- | --- | --- | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2026 年 1 月 26 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 10 月 1 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 8 月 30 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 7 月 7 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 5 月 1 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 4 月 10 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 3 月 19 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 11 月 19 日 | パフォーマンス向上とバグ修正が行われています。 | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 10 月 31 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 8 月 19 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 7 月 29 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 5 月 15 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 2 月 29 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 2 月 22 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 1 月 11 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 11 月 16 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 10 月 13 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 8 月 18 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 6 月 30 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 6 月 8 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 5 月 16 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 5 月 8 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/workspaces-release-notes.html)  | 



**注記**  
ホストエージェントのバージョンを確認する方法については、「[DCV の最新バージョンでサポートされているクライアントとホストのオペレーティングシステムは何ですか?](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20What%20client%20and%20host%20operating%20systems%20are%20supported%20by%20the%20latest%20version%20of%20WSP%3F)」を参照してください。
ホストエージェントのバージョンを更新する方法については、「[既に DCV WorkSpace を持っている場合、どのように更新すればよいですか?](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20If%20I%20already%20have%20a%20WSP%20WorkSpace%2C%20how%20do%20I%20update%20it%3F)」を参照してください。
DCV macOS クライアントバージョンのリリースノートについては、「WorkSpaces ユーザーガイド」で、WorkSpaces macOS クライアントアプリケーションのセクションの「[リリースノート](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx-release-notes)」を参照してください。
DCV Windows クライアントバージョンのリリースノートについては、「WorkSpaces ユーザーガイド」で、WorkSpaces Windows クライアントアプリケーションのセクションの「[リリースノート](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows-release-notes)」を参照してください。