当社でテレワーク端末として Chromebookを導入いただくお客様のおよそ 1/3 が、VDI ( DaaS )も一緒に検討されています。前回はその VDI のなかでも特に引き合いの多い Amazon Workspaces の用途やメリット、課金体系についての記事を投稿いたしました。今回は 認証や構築など、具体的に情報システム部門の担当者さまが Amazon Workspaces 導入時に検証しておくべきポイントをお伝えいたします。
本稿では、認証まわりやサービス開始手順やといった、導入検証についてメインでお伝えするとともに、Chromebook と組み合わせたときに出る特有の事象(2020.7.1現在)や、Amazon Workspaces のスペック、バンドルソフトウェアの選択時の注意事項も併せてレポートいたしました。
参考程度となりますが、弊社にて構築をした際に課題となった点や、販売に伴い確認を行った点をダウンロード資料としておまとめしております。
どちらも、他では読めない内容となっておりますので必見です。
まずは、ユーザー認証について検討・検証しよう
新たなシステムやサービスの導入を検討する際に情シス担当者が避けては通れないのが、ユーザ認証をどうするか。という問題ではないでしょうか。
Amazon Workspaces の場合、認証の基盤は Microsoft Active Directory (以下、AD)との連携になります。もし、サードパーティ製( Onelogin など)のアクセス管理サービスをご利用の場合は、 Active Directory と連携させる必要があるので、注意が必要です。
また、AD を AWS のサービスと併用するためには、AWS Directory Service が必要となります。AWS Directory Service は、既存の AD やその他の LDAP 対応のアプリケーションをクラウド上で使用するユーザー向けに複数のディレクトリオプション〈 SimpleAD・AWS Managed Microsoft AD・AD Connector〉を提供※しており、目的に応じて使い分けることができます。
※ここでは開発向けの Amazon Cognito の説明については割愛いたします。
Simple AD
| 主な機能 | アカウントの作成 |
| よくある用途 | とりあえず検証で使いたい等 |
Simple AD は、その名の通り機能が非常にシンプルに制限された、クラウド内のスタンドアロンディレクトリで、ユーザーアイデンティティの作成や管理、アプリケーションへのアクセス管理を行うことができます。
ただし、実際の AD の機能が必要となる場合や RDS SQL Server でのディレクトリの使用を計画する場合、AWS Managed Microsoft AD が必要となります。その他、サポートしていない機能も多く、実運用というよりは検証などに利用されることが多い印象です。
【Simple AD がサポートしていないもの】
- Amazon AppStream 2.0
- Amazon Chime
- Amazon RDS (SQL Server)
- 多要素認証 (MFA)
- DNS 動的更新
- LDAPS を介した通信
- AD コマンドレット
- FSMO ロールの転送
- AWS シングルサインオン
- 他のドメインとの信頼関係
- Active Directory 管理センター
- PowerShell
- Active Directory ごみ箱
- グループ管理サービスアカウント
- POSIX および Microsoft アプリケーションのスキーマ拡張
AWS Managed Microsoft AD
| 主な機能 | ADのセキュリティポリシー設定など |
| よくある用途 | 利用人数が少ない場合の本番環境利用 |
AWS Managed Microsoft AD( AWS Directory Service for Microsoft Active Directory )は、5000名以下での企業利用で最適化されたスタンダードと、それ以上の規模向けのエンタープライズ、 2 つのエディションが用意されており、実際の AD の機能が必要な場合で、既存の AD と連携する必要がない場合には、こちらをおすすめしています。また、AWS クラウドで Office 365 をサポートするスタンドアロンの AD が必要な場合や Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも利用されています。ご利用いただいているお客様からは、『既存の AD とイコールの設定ではないが、少人数で利用する分にはそれほど困らない』というお声をいただいております。
【できること(ディレクトリ作成後)】
- ユーザーとグループの管理
- アプリケーションおよびサービスへのシングルサインオン
- グループポリシーの作成と適用
- Amazon EC2 Linux および Windows インスタンスへの安全な接続
- クラウドベースの Linux および Microsoft Windows ワークロードのデプロイメントと管理の簡素化
- 多要素認証の有効化と追加のセキュリティレイヤーの提供
AD Connector
| 主な機能 | 既存のADと常に同期しリダイレクトする |
| よくある用途 | (既存のADと同期させて)本番環境で全社的に利用 |
AD Connector は、クラウドの情報をキャッシュせずに既存の AD へリダイレクトさせるために必要なディレクトリゲートウェイです。
すべてのユーザーは、もともと利用していた既存 AD の認証情報で Amazon 環境へログインすることができます。一方でユーザー管理においては、既存 AD で一元的に行うことが可能になり、パスワード有効期限・履歴およびアカウントロックなど既存のセキュリティポリシーをそのままを適用させることができます。
また AD Connector にはスモールとラージの 2 サイズあり、柔軟にスケールすることで、複数の AD Connector 間での負荷を分散させることができます。(なお、適用されるユーザー制限や接続制限はありません。)
【 できること 】
- 既存 AD の認証情報での Amazon 環境へのログイン
- IAM リソースまたは AWS マネジメントコンソール バケットの管理
- 既存 AD 上でのセキュリティポリシーの一元管理
- 多要素認証を有効化とセキュリティレイヤーの提供
利用開始手順を確認しよう
認証まわりの確認が済んだところで、Amazon WorkSpaces そのものの検証に移りましょう。
わずか数クリックでデプロイ完了!
利用を開始する際は、AWS マネジメントコンソールから、わずか数クリックで、クラウドにデスクトップをデプロイすることが可能です。全ての設定を終えて、ステータスが PENDING から AVAILABLE に変われば(最大20分程度かかる場合がありますが)、もう利用できます。
ユーザーへメール通知
起動が完了すると、指定した E メールアドレスに招待メールが送信されます。ユーザーは招待メールの案内に従ってサービスに接続します。ユーザー認証情報を既存の AD と統合しない場合、ユーザーは初回接続時にパスワードを設定する必要がありますが、AD Connector を利用している場合、ユーザーは既存 AD と同じパスワードをログインに用いることになります。後者の場合、ユーザーがパスワードを忘れてしまった際には、管理者による手動でのパスワード再設定が必要となるため、注意が必要です。
アプリの動作確認
デフォルトの設定では、ユーザーは自分の WorkSpaces のローカル管理者となっており、自由にソフトをインストールできるようになっていますが、管理者はこの設定を変更し、制限することができます。
また、デスクトップ上のアプリが正常に動作するか否かは、実際にアプリをインストールして試してみる必要があります。
Windows の場合、管理者が WorkSpace でテストを行ってから、ユーザーに配信することをお勧めします。フリーソフトのように正常にインストールできるか不明なものもあれば、Office365 など、ユーザーであっても権利の関係で VDI 上にインストールできないものもありますので、注意が必要です。
また、管理者は事前にカスタムイメージとカスタムバンドルを作成することで、任意のマシン環境をユーザーに配布することができます。カスタムイメージとは、意図するマシンの構成( WorkSpace 上の OS・ソフトウェア・各種設定およびデータの)ファイルのことで、カスタムバンドルは、カスタムイメージとバンドル( WorkSpace のハードウェアのスペック)を紐付けたものです。配布されたユーザーは、カスタムバンドルから WorkSpaces を立ち上げることで、ソフトウェアのインストールを含めた初期設定が省略可能になります。そのため、ユーザー側は初回ログイン後の負荷が、管理者側はユーザーからの問い合わせ対応やマニュアル作成などのサポートにかかる負荷が低減されます。カスタムイメージは複製可能なので、複数の環境を一気に!全社展開できるメリットがあります。同一の環境を複数個作るのであれば、この方法がおすすめです。
Windows OS の環境はどうするのか
Amazon WorkSpaces では、見かけはWindows 10 が動いていますが、実はWindows Server 2016が稼働しています。そのため、利用の前にアプリの確認が必要と前節でご説明をしています。Windows 10 そのものでないため、Microsft Edge はプリインストールされていません。
利用シーン次第ですが、社内で自作しているシステム(.exeや.net)があるようならば、動作の確認が必要となります。
その他注意点とまとめ
その他の注意点としては、細かいことではありますが下記のような事象が発生しており、お客様から当社にご連絡いただきました。
◎Chrome アプリ版で「¥」「_ 」が入力できないことがある
Amazon Workspaces とChromebook の日本語キーボード端末の組み合わせで以前発生する問題で「¥」(全角円記号)と「_ 」(全角アンダーライン)が入力できない場合があります。Android 版のアプリでは問題ないのですが、Chrome Web Storeから入手するアプリの場合にはこの事象が発生します。
また、Amazon Workspaces の5つのバンドルで、どれを選んだら良いか分からないという趣旨のご質問をよく受けます。
◎スペック決めるときは何を基準に選定すればよいか?
正直、用途によるとしか言えないところなのですが、下記表内で一番安価で低スペックな“バリュー”バンドルは、かなり挙動が重いため、当社では推奨しておりません。Linux 環境であれば限定的な利用方法もあるかと思いますが、Windows 環境においては、ぜひともスタンダード以上でのご利用をオススメいたします。
【Windows 環境】
|
Value |
Standard |
Performance |
Power |
Power Pro |
|
|
Spec |
1 vCPU 2 GiB メモリ ルート80G ユーザ領域 10G |
2 vCPU 4 GiB メモリ ルート80G ユーザ領域10G |
2 vCPU 7.5 GiB メモリ ルート80G ユーザ領域10G |
2 vCPU 7.5 GiB メモリ ルート80G ユーザ領域10G |
8 vCPU 32 GiB メモリ ルート80G ユーザ領域10G |
|
従量Plan |
1,100円 + 33円/時間 |
1,100円 + 44円/時間 |
1,100円 + 67円/時間 |
1,100円 + 98円/時間 |
1,100円 + 202円/時間 |
|
固定Plan |
3,740円 |
4,950円 |
6,490円 |
11,880円 |
17,710円 |
※円(税抜)、1$=110円換算
いかがでしたでしょうか? Amazon Workspaces へのサービスインそのものは、拍子抜けするくらい簡単だったかと思います。一方、重ための認証まわりではありますが、既存の AD があるのであれば、AD Connector を利用することで、管理者にとってもユーザーアイデンティティを一元管理することができ、エンドユーザーにとってもログインに普段使っているID・パスワードを使うことができるので、運用にかかる負荷が低く良いこと尽くめです。
参考程度となりますが、電算システムにて構築をした際に課題となった点や、販売に伴い確認を行った点をダウンロード資料としておまとめしております。これを見ればすべてわかる、と言った内容ではありませんが、弊社がいかに Amazon Workspaces について取り組んでいるか、導入についての相談を依頼するに値するかどうかを判断いただけるのでは無いかと思います。ぜひ、こちらもご一読ください。
