Amazon WorkSpacesとAD連携(1)

Amazon WorkSpacesとAD連携(1)

目次

はじめに
Amazon WorkSpacesとは
環境構成
セキュリティグループ設定
ActiveDirectory設定
次回予告

はじめに

テレワークの普及で、場所を問わず作業ができるような環境整備は皆さんもずいぶん力を入れている部分かと思います。今回は、AWSで提供されているAmazon WorkSpacesの利用する際に、ユーザー管理を既存のAD環境と連携できる仕組みをご紹介できればと思います。

Amazon WorkSpacesとは

AWSが提供する仮想デスクトップサービスになります。テレワークの促進で自宅やオフィス以外での作業場所でも会社PCを使う機会が増えてきましたが、PCの紛失などでデータの漏洩や紛失といった重大なアクシデントにつながるケースも少なくないと思います。そういった中で、インターネット接続できる環境と認証情報さえあれば、利用できる本サービスはとても便利なものです。

ユーザーごとに専用のディレクトリ領域があるため、セキュリティの担保もでき、かつAD連携が必要要件になっているので、管理がしやすいです。またクラウドの良さであるスケールアップ・ダウンが柔軟にできる点も大きいかと思います。

環境構成

今回は検証として、AWS上のEC2サーバーにAD環境を準備するところから説明していきたいと思います。
実現したい構成図は下記の通りとなります。

WorkSpacesを利用する上でAD環境は必ず必要ですが、利用できる環境としては、大きく分けて下記の3つのタイプがあります。

  • AWS Managed Microsoft AD
  • Simple AD
  • AD Connector

AWS Managed Microsoft AD

こちらはAWSが提供しているAD環境を利用するマネージドタイプのディレクトリサービスになります。WindowsServer2012 R2によって動作しており、ADの機能を全て利用できることが特徴の一つです。ただし、下記のような制約もありますので、用途によっては注意が必要です。

  • ドメイン管理者の権限ではなく、制限された管理者権限のみが付与される
  • ADサーバーに直接ログオンして管理を行うことが出来ない

サーバーに直接ログオンできない制約に対しては、別途管理ツールが用意されている為、管理用サーバーなどを立てて接続することは可能です

Simple AD

こちらのサービスもAWSがマネージドで提供しているディレクトリサービスになります。ただし、Windows Serverで動いているディレクトリサービスではなくSamba4ディレクトリベースで動いている為、ADのすべての機能を利用できるわけではないです。管理できるユーザー数が少なかったりするので、比較的小規模なユースケースに向いています。

AD Connecter

先に説明しました2つのケースとは異なり、こちらはActive Directoryの機能が提供されているわけではありません。構成図に書いたように、既存でAD環境を用意している場合に、中継サーバーのような形でWorkSpacesと連動することができるサービスとなります。今回はEC2でAD環境を事前に用意している為、こちらを利用したいと思います。

セキュリティグループ設定

まずAD環境が用意されているEC2のセキュリティグループ設定から見ていきます。今回ADサーバーに対して行う通信は、AD Connector及びWorkSpacesからの通信です。それぞれ開放しておく必要があるポートは下記の通りになります。

AD Connectorに必要な前提条件
  • TCP / UDP53-DNS
  • TCP / UDP88-Kerberos認証
  • TCP / UDP389-LDAP
Amazon WorkSpacesに必要な条件
  • UDP 123 – NTP
  • TCP 135 – RPC
  • UDP 137-138 – Netlogon
  • TCP 139 – Netlogon
  • TCP/UDP 445 – SMB
  • TCP 1024-65535 – Dynamic ports for RPC

上記のポートに対して、WorkSpaces及びADConnector属するサブネットのCIDR範囲を許可する設定をセキュリティグループで設定します。今回はAD Connectorで構成図にある二つのサブネットにまたがるように設定するので、VPCのCIDR範囲を指定します。セキュリティグループが作成できたら、ADサーバーに設定し完了です。

ActiveDirectory設定

次にAD ConnectorからADサーバーに接続できるようにActiveDirectory側の設定でグループを作ります 。「Active Directoryユーザーとコンピューター」を開きます。

赤枠で囲っているグループ追加のアイコンを選択します

「Connectors」というグループ名を入力し、スコープはグローバル、グループの種類はセキュリティで設定します

次にグループの権限を設定していきます。操作タブの中から「権限の委任」を選択します

追加を選択します

先程作成した「Connectors」のグループを入力し、OKを選択

選択したグループが表示されたので、「次へ」を選択

「委任するカスタムタスクを作成する」を選択し、「次へ」

「フォルダー内の次のオブジェクトのみ」を選択。赤枠のチェックボックス二つにチェックを入れ、「次へ」

赤枠のチェック箇所にすべてチェックを入れ、「次へ」

次はWorkSpacesで使用するユーザーを作成します。左メニューの「Users」フォルダ上で右クリックし、「新規作成」→「ユーザー」を選択

赤枠の入力箇所(姓、フルネーム、ユーザーログオン名)を入力し、「次へ」

パスワードを入力して、「次へ」

先程作成した「Connectors」グループを選択して、「OK」を押すと、グループ追加が完了します。これで、WorkSpacesにログインするユーザーの準備はできました。追加でユーザー登録する際は、ユーザー作成→「Connectors」に追加の流れを行ってください。

次回予告

今回は事前準備として、ネットワークの通信要件の設定とActive Directory側の設定を行いました。次回はAD Connectorの作成、WorkSpacesの構築・起動を行い、ログインできるところまでをご紹介します。次回もよろしくお願いします。