YT
Uploaded byYoshikazu Tsuji
3,761 views

2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

2014.09.11にアマゾン大阪支社で開催した、よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」セミナーのプレゼン資料です。

Embed presentation

Downloaded 64 times
クラウドでのディレクトリ構築 〜~ Active Directory 連携 Amazon Data Services Japan株式会社 ⻄西⽇日本担当 Solution Architect 辻 義⼀一
ディレクトリとは ! ユーザに関わる各種情報を保管する仕組み • ユーザ名 • 姓・名、部署、電話番号 • メールアドレス • パスワード • グループ など ! ツリー状の構成とする事が多いことから、 ディレクトリと呼ばれる。 ! 関連⽤用語:LDAP、Active Directory、OpenLDAP
WorkSpacesのディレクトリ選択肢 Cloud Directory フルマネージドのディレクトリ サービス WorkSpaces用に独立したドメインを作成 Connect Directory 既存のディレクトリに接続 オンプレミスまたはVPC上の Active Directoryドメインと連携
1 Cloud Directory
Cloud Directory ! フルマネージド型のディレクトリサービス ! WorkSpaces/Zocalo⽤用でAWSだけで完結 ! 以下の情報をWebで指定するだけで簡単作成 • 組織名(AWS全体でユニークな名前) • ディレクトリDNS名 • NetBIOSドメイン名 • 管理理者パスワード • VPC • サブネット(アベイラビリティゾーンが異異なる2個以上) ! 簡単管理理、しかも無料料
作成されるCloud Directory環境 ! Active Directory互換のディレクトリ環境 ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される • ドメインコントローラ・DNSサーバとして機能する。 • コントローラはEC2インスタンスとして表⽰示されない。ENIは表⽰示される。 ! Active Directoryの管理理ツールから操作可能 例例) • Active Directory ユーザーとコンピュータ • グループポリシーの管理理 ドメインコントローラ (PCoIP⽤用のテンプレートあり) サブネット アベイラビリティゾーン -‐‑‒ A ドメインコントローラ サブネット アベイラビリティゾーン -‐‑‒ B
Cloud Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン WorkSpaces APIエンドポイント Public IP Public IP 個別ユーザの WorkSpace PCoIP Cloud Directory ドメイン参加・ ドメインログオン 認証
ユーザ管理理 ! Management ConsoleのWorkSpacesから • ユーザの追加 • ユーザの姓・名・メールアドレス変更更 ! Windows上にリモートサーバ管理理ツールをインストールして • ユーザの追加 • ユーザの性・名・メールアドレス変更更 • ユーザの削除 • ユーザのパスワードリセット ! WorkSpaces Clientからユーザ ⾃自⾝身でパスワードリセットも
Security Group ! デフォルトで設定されるSecurity Groupと 追加で指定できるSecurity Groupがある • ドメインコントローラ⽤用 ⎼ ⾃自動作成:directory id_̲controllers • WorkSpace⽤用 ⎼ ⾃自動作成:directory id_̲workspacesMembers ⎼ 追加指定:名前は任意 ! Management ConsoleのEC2から確認及び設定変更更が可能 ! WorkSpaceがドメインにログオンできるように、 ドメインコントローラとの通信はデフォルトで許可済み
ディレクトリ設定 ! Organizational Unit(OU)設定 • WorkSpaceのコンピュータアカウントが作成されるOUを指定 • デフォルトではComputersコンテナに作成される ! Security Group設定 • WorkSpaceのVPC内ENIに適⽤用されるSecurity Groupを指定 • デフォルトのSecurity Groupに加えて設定される
2 Connect Directory
Connect Directory ! 既存のActive Directoryと接続して、Active Directoryの ユーザでWorkSpaces/Zocaloでの認証を⾏行行える仕組み ! メリットがいろいろ • 社内のPCと同じユーザ名・パスワードを使⽤用できるので、 新しいユーザ名・パスワードを覚えずに済む。 • アカウントの管理理、パスワードのリセットなどの運⽤用が 追加にならないので、運⽤用コストを抑えられる。 • ファイルサーバなど既存のアクセス権をそのまま使える。
Connect Directoryの必要要件 ! Amazon VPC • インターネット ゲートウェイ • オンプレミス上のActive Directoryと連携させる場合、 VPN接続またはDirect Connect接続 ! ドメインアカウント • ユーザーとグループへの読み取り • コンピュータアカウントの作成 ! DNSサーバ(ドメインコントローラ)2台のIPアドレス ! Windows Server 2003以上の機能レベル
作成されるConnect Directory環境 ! VPC内に認証⽤用のプロキシが作成される ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される Connect Directory サブネット アベイラビリティゾーン -‐‑‒ A Connect Directory サブネット アベイラビリティゾーン -‐‑‒ B Direct Connect/ VPN接続 オンプレミス 社内AD ドメイン コントローラ
Connect Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン A WorkSpaces ネットワーク VPN接続 Public IP Public IP オンプレミス 個別ユーザWorkSpace (社内AD参加) 社内AD PCoIP ユーザ情報確認 Connect Directory ドメイン参加・ ドメインログオン 認証
ユーザ管理理 ! これまでのActive Directoryのユーザ管理理と同じ • Management ConsoleのWorkSpacesからは⾏行行えない • WorkSpaces Clientのパスワードリセット機能は使えない
ディレクトリ設定 ! ドメイン・Organizational Unit(OU)設定 ! Security Group設定 ! Active Directoryへの接続に使⽤用するユーザ設定 ! Multi-‐‑‒Factor Authentication設定
3 Multi-‐‑‒Factor Authentication
多要素認証 Multi-‐‑‒Factor Authentication(MFA) ! Connect Directoryで利利⽤用可能 ! RADIUSサーバーを経由したMFAに対応 • ワンタイムパスワード等に対応 • スマートカードや証明書には未対応 • Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Serverでテスト済 ! 既にお使いのワンタイムトークンがそのまま 使える可能性もあり
(例例) Google Authenticatorを使った⽅方法 ! スマートフォンに無料料でインストールできる Google Authenticatorをソフトウェアトークンとして利利⽤用 ! 仮想マシンEC2にオープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させてRADIUSサーバを構築 ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
Demo ! ADでユーザ作成し、そのユーザにWorkSpaceを作成 ! スマホのGoogle Authenticatorで2要素認証してログイン
認証の流流れ -‐‑‒ 1 ! デバイスで初めて使う時、 招待メールに記載されていた 登録コードを⼊入⼒力力します。
認証の流流れ -‐‑‒ 2 ! Active Directoryで使っているのと 同じユーザ名とパスワード を⼊入⼒力力します。
認証の流流れ -‐‑‒ 3 ! トークンに表⽰示されている ワンタイムパスワードを 確認して⼊入⼒力力します。
まとめ ! Cloud Directory • ⾃自社にActive Directoryが無いユーザー向け • ディレクトリの管理理はAWSにお任せ • すぐにWorkSpacesを使いたい場合に利利⽤用 ! Connect Directory • 社内のActive Directoryと連携 • 既存のユーザーやセキュリティグループによる権限付与 • 多要素認証を利利⽤用
Tips – ソフトウェア配布 ! WSUSを使ってWindowsパッチ適⽤用を管理理 ! グループポリシーを使ったアプリ配布(.msi / .zap) http://docs.aws.amazon.com/workspaces/latest/adminguide/gpo_̲app_̲install.html ! ログオンスクリプトでインストール ! サードパーティソフトを使ってアプリ配布
Tips – デフォルトのWorkSpace環境 ! WorkSpaceには主に以下の内容のポリシーがデフォルトで 適⽤用済み • コンピューターの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ リモート デスクトップ サービス 例例)オーディオのリダイレクトを許可 -‐‑‒ システム • ユーザーの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ エクスプローラー 例例)Cドライブの⾮非表⽰示 -‐‑‒ コントロールパネル ! ユーザプロファイルはDドライブに保存される
Tips – Cloud Directoryの管理理⽅方法 ! Cloud Directoryのドメインに参加するEC2インスタンスを 作成して、Active Directory管理理ツールを使⽤用する。 • EC2インスタンスのネットワーク設定で、DNSサーバにはCloud DirectoryのDNSサーバを指定 • EC2インスタンスのドメイン参加操作時には、Cloud Directory作成時 に指定したAdministratorのパスワードを使⽤用する • 管理理作業が終われば、EC2インスタンスは停⽌止してOK
2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

More Related Content

PDF
AWS Black Belt Techシリーズ Amazon Workspaces
byAmazon Web Services Japan
 
PDF
Amazon WorkSpaces Deep Dive
byGenta Watanabe
 
PDF
AWS Black Belt Techシリーズ AWS Directory Service
byAmazon Web Services Japan
 
PDF
Amazon WorkSpacesによるワークスタイル改革
byGenta Watanabe
 
PDF
Amazon WorkSpacesをつかってみた
byGenta Watanabe
 
PDF
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
byAmazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデート
byAmazon Web Services Japan
 
PDF
[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon Workspaces
byAmazon Web Services Japan
 
Amazon WorkSpaces Deep Dive
byGenta Watanabe
 
AWS Black Belt Techシリーズ AWS Directory Service
byAmazon Web Services Japan
 
Amazon WorkSpacesによるワークスタイル改革
byGenta Watanabe
 
Amazon WorkSpacesをつかってみた
byGenta Watanabe
 
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデート
byAmazon Web Services Japan
 
[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)
byAmazon Web Services Japan
 

What's hot

PDF
COD2012 九州会場 Active Directory 障害対策
bywintechq
 
PDF
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
byAmazon Web Services Japan
 
PDF
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~
byGenta Watanabe
 
PDF
AWS OpsWorksハンズオン
byAmazon Web Services Japan
 
PDF
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューション
byAmazon Web Services Japan
 
PDF
WebサービスStartUP向け AWSスケーラブルな構成例
byAmazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ AWS Data Pipeline
byAmazon Web Services Japan
 
PDF
Amazon Glacierのご紹介(機能編)
byAmazon Web Services Japan
 
PDF
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
byAmazon Web Services Japan
 
PDF
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編
byAmazon Web Services Japan
 
PPTX
Lv1から始めるWebサービスのインフラ構築
by伊藤 祐策
 
PDF
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編
byAmazon Web Services Japan
 
PDF
AWS IoT アップデート 2016.02.16
byAmazon Web Services Japan
 
PDF
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
byAmazon Web Services Japan
 
PDF
ゲームプラットフォーム on AWS
byAmazon Web Services Japan
 
PDF
AWS Blackbelt 2015シリーズ RDS
byAmazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ Amazon ElastiCache
byAmazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ AWS Elastic Beanstalk
byAmazon Web Services Japan
 
PPTX
MongoDB on AWSクラウドという選択
byYasuhiro Matsuo
 
PDF
AWS Black Belt Tech シリーズ 2016 - WorkSpaces
byAmazon Web Services Japan
 
COD2012 九州会場 Active Directory 障害対策
bywintechq
 
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
byAmazon Web Services Japan
 
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~
byGenta Watanabe
 
AWS OpsWorksハンズオン
byAmazon Web Services Japan
 
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューション
byAmazon Web Services Japan
 
WebサービスStartUP向け AWSスケーラブルな構成例
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Data Pipeline
byAmazon Web Services Japan
 
Amazon Glacierのご紹介(機能編)
byAmazon Web Services Japan
 
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
byAmazon Web Services Japan
 
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編
byAmazon Web Services Japan
 
Lv1から始めるWebサービスのインフラ構築
by伊藤 祐策
 
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編
byAmazon Web Services Japan
 
AWS IoT アップデート 2016.02.16
byAmazon Web Services Japan
 
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
byAmazon Web Services Japan
 
ゲームプラットフォーム on AWS
byAmazon Web Services Japan
 
AWS Blackbelt 2015シリーズ RDS
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon ElastiCache
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Elastic Beanstalk
byAmazon Web Services Japan
 
MongoDB on AWSクラウドという選択
byYasuhiro Matsuo
 
AWS Black Belt Tech シリーズ 2016 - WorkSpaces
byAmazon Web Services Japan
 

Similar to 2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

PDF
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
byAmazon Web Services Japan
 
PDF
Ad設計
byNaoki Abe
 
PDF
AD設計の基礎から読み解くIaaS On AD
byNaoki Abe
 
PDF
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
byMicrosoft Azure Japan
 
PDF
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
byjunichi anno
 
PDF
初心者でもわかるActive directoryの基本
bySho Okada
 
PDF
クラウドで始めるActive Directory
bySuguru Kunii
 
PPTX
今さら聞けない! Active Directoryドメインサービス入門
byTetsuya Yokoyama
 
PDF
四国クラウドお遍路20141004
byGenta Watanabe
 
PPTX
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
byTetsuya Yokoyama
 
PDF
active directory-slideshare
byTrainocate Japan, Ltd.
 
PDF
JAWS-UG CLI #32 - AWS Directory Service 入門
byNobuhiro Nakayama
 
PDF
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
bySORACOM, INC
 
PDF
ハイブリッド時代のID基盤構成の基礎
byNaohiro Fujie
 
PDF
20120201 aws meister-reloaded-iam-and-billing-public
byAmazon Web Services Japan
 
PPTX
Active Directoryドメインを作る準備 ~AD DSとDNSサーバーのインストール~
byMichio Koyama
 
PDF
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
byNobuhiro Nakayama
 
PDF
20240412_HCCJP での Windows Server 2025 Active Directory
byosamut
 
PDF
今さら聞けない!Active Directoryドメインサービス入門
byTrainocate Japan, Ltd.
 
PPT
サーバーとは(社内で利用されるサーバー)
byHiroshi Oyamada
 
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
byAmazon Web Services Japan
 
Ad設計
byNaoki Abe
 
AD設計の基礎から読み解くIaaS On AD
byNaoki Abe
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
byMicrosoft Azure Japan
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
byjunichi anno
 
初心者でもわかるActive directoryの基本
bySho Okada
 
クラウドで始めるActive Directory
bySuguru Kunii
 
今さら聞けない! Active Directoryドメインサービス入門
byTetsuya Yokoyama
 
四国クラウドお遍路20141004
byGenta Watanabe
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
byTetsuya Yokoyama
 
active directory-slideshare
byTrainocate Japan, Ltd.
 
JAWS-UG CLI #32 - AWS Directory Service 入門
byNobuhiro Nakayama
 
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
bySORACOM, INC
 
ハイブリッド時代のID基盤構成の基礎
byNaohiro Fujie
 
20120201 aws meister-reloaded-iam-and-billing-public
byAmazon Web Services Japan
 
Active Directoryドメインを作る準備 ~AD DSとDNSサーバーのインストール~
byMichio Koyama
 
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
byNobuhiro Nakayama
 
20240412_HCCJP での Windows Server 2025 Active Directory
byosamut
 
今さら聞けない!Active Directoryドメインサービス入門
byTrainocate Japan, Ltd.
 
サーバーとは(社内で利用されるサーバー)
byHiroshi Oyamada
 

2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

  • 1.
    クラウドでのディレクトリ構築 〜~ ActiveDirectory 連携 Amazon Data Services Japan株式会社 ⻄西⽇日本担当 Solution Architect 辻 義⼀一
  • 2.
    ディレクトリとは ! ユーザに関わる各種情報を保管する仕組み • ユーザ名 • 姓・名、部署、電話番号 • メールアドレス • パスワード • グループ など ! ツリー状の構成とする事が多いことから、 ディレクトリと呼ばれる。 ! 関連⽤用語:LDAP、Active Directory、OpenLDAP
  • 3.
    WorkSpacesのディレクトリ選択肢 Cloud Directory フルマネージドのディレクトリ サービス WorkSpaces用に独立したドメインを作成 Connect Directory 既存のディレクトリに接続 オンプレミスまたはVPC上の Active Directoryドメインと連携
  • 4.
  • 5.
    Cloud Directory !フルマネージド型のディレクトリサービス ! WorkSpaces/Zocalo⽤用でAWSだけで完結 ! 以下の情報をWebで指定するだけで簡単作成 • 組織名(AWS全体でユニークな名前) • ディレクトリDNS名 • NetBIOSドメイン名 • 管理理者パスワード • VPC • サブネット(アベイラビリティゾーンが異異なる2個以上) ! 簡単管理理、しかも無料料
  • 6.
    作成されるCloud Directory環境 !Active Directory互換のディレクトリ環境 ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される • ドメインコントローラ・DNSサーバとして機能する。 • コントローラはEC2インスタンスとして表⽰示されない。ENIは表⽰示される。 ! Active Directoryの管理理ツールから操作可能 例例) • Active Directory ユーザーとコンピュータ • グループポリシーの管理理 ドメインコントローラ (PCoIP⽤用のテンプレートあり) サブネット アベイラビリティゾーン -‐‑‒ A ドメインコントローラ サブネット アベイラビリティゾーン -‐‑‒ B
  • 7.
    Cloud Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン WorkSpaces APIエンドポイント Public IP Public IP 個別ユーザの WorkSpace PCoIP Cloud Directory ドメイン参加・ ドメインログオン 認証
  • 8.
    ユーザ管理理 ! ManagementConsoleのWorkSpacesから • ユーザの追加 • ユーザの姓・名・メールアドレス変更更 ! Windows上にリモートサーバ管理理ツールをインストールして • ユーザの追加 • ユーザの性・名・メールアドレス変更更 • ユーザの削除 • ユーザのパスワードリセット ! WorkSpaces Clientからユーザ ⾃自⾝身でパスワードリセットも
  • 9.
    Security Group !デフォルトで設定されるSecurity Groupと 追加で指定できるSecurity Groupがある • ドメインコントローラ⽤用 ⎼ ⾃自動作成:directory id_̲controllers • WorkSpace⽤用 ⎼ ⾃自動作成:directory id_̲workspacesMembers ⎼ 追加指定:名前は任意 ! Management ConsoleのEC2から確認及び設定変更更が可能 ! WorkSpaceがドメインにログオンできるように、 ドメインコントローラとの通信はデフォルトで許可済み
  • 10.
    ディレクトリ設定 ! OrganizationalUnit(OU)設定 • WorkSpaceのコンピュータアカウントが作成されるOUを指定 • デフォルトではComputersコンテナに作成される ! Security Group設定 • WorkSpaceのVPC内ENIに適⽤用されるSecurity Groupを指定 • デフォルトのSecurity Groupに加えて設定される
  • 11.
  • 12.
    Connect Directory !既存のActive Directoryと接続して、Active Directoryの ユーザでWorkSpaces/Zocaloでの認証を⾏行行える仕組み ! メリットがいろいろ • 社内のPCと同じユーザ名・パスワードを使⽤用できるので、 新しいユーザ名・パスワードを覚えずに済む。 • アカウントの管理理、パスワードのリセットなどの運⽤用が 追加にならないので、運⽤用コストを抑えられる。 • ファイルサーバなど既存のアクセス権をそのまま使える。
  • 13.
    Connect Directoryの必要要件 !Amazon VPC • インターネット ゲートウェイ • オンプレミス上のActive Directoryと連携させる場合、 VPN接続またはDirect Connect接続 ! ドメインアカウント • ユーザーとグループへの読み取り • コンピュータアカウントの作成 ! DNSサーバ(ドメインコントローラ)2台のIPアドレス ! Windows Server 2003以上の機能レベル
  • 14.
    作成されるConnect Directory環境 !VPC内に認証⽤用のプロキシが作成される ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される Connect Directory サブネット アベイラビリティゾーン -‐‑‒ A Connect Directory サブネット アベイラビリティゾーン -‐‑‒ B Direct Connect/ VPN接続 オンプレミス 社内AD ドメイン コントローラ
  • 15.
    Connect Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン A WorkSpaces ネットワーク VPN接続 Public IP Public IP オンプレミス 個別ユーザWorkSpace (社内AD参加) 社内AD PCoIP ユーザ情報確認 Connect Directory ドメイン参加・ ドメインログオン 認証
  • 16.
    ユーザ管理理 ! これまでのActiveDirectoryのユーザ管理理と同じ • Management ConsoleのWorkSpacesからは⾏行行えない • WorkSpaces Clientのパスワードリセット機能は使えない
  • 17.
    ディレクトリ設定 ! ドメイン・OrganizationalUnit(OU)設定 ! Security Group設定 ! Active Directoryへの接続に使⽤用するユーザ設定 ! Multi-‐‑‒Factor Authentication設定
  • 18.
  • 19.
    多要素認証 Multi-‐‑‒Factor Authentication(MFA) ! Connect Directoryで利利⽤用可能 ! RADIUSサーバーを経由したMFAに対応 • ワンタイムパスワード等に対応 • スマートカードや証明書には未対応 • Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Serverでテスト済 ! 既にお使いのワンタイムトークンがそのまま 使える可能性もあり
  • 20.
    (例例) Google Authenticatorを使った⽅方法 ! スマートフォンに無料料でインストールできる Google Authenticatorをソフトウェアトークンとして利利⽤用 ! 仮想マシンEC2にオープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させてRADIUSサーバを構築 ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
  • 21.
    Demo ! ADでユーザ作成し、そのユーザにWorkSpaceを作成 ! スマホのGoogle Authenticatorで2要素認証してログイン
  • 22.
    認証の流流れ -‐‑‒ 1 ! デバイスで初めて使う時、 招待メールに記載されていた 登録コードを⼊入⼒力力します。
  • 23.
    認証の流流れ -‐‑‒ 2 ! Active Directoryで使っているのと 同じユーザ名とパスワード を⼊入⼒力力します。
  • 24.
    認証の流流れ -‐‑‒ 3 ! トークンに表⽰示されている ワンタイムパスワードを 確認して⼊入⼒力力します。
  • 25.
    まとめ ! CloudDirectory • ⾃自社にActive Directoryが無いユーザー向け • ディレクトリの管理理はAWSにお任せ • すぐにWorkSpacesを使いたい場合に利利⽤用 ! Connect Directory • 社内のActive Directoryと連携 • 既存のユーザーやセキュリティグループによる権限付与 • 多要素認証を利利⽤用
  • 26.
    Tips – ソフトウェア配布 ! WSUSを使ってWindowsパッチ適⽤用を管理理 ! グループポリシーを使ったアプリ配布(.msi / .zap) http://docs.aws.amazon.com/workspaces/latest/adminguide/gpo_̲app_̲install.html ! ログオンスクリプトでインストール ! サードパーティソフトを使ってアプリ配布
  • 27.
    Tips – デフォルトのWorkSpace環境 ! WorkSpaceには主に以下の内容のポリシーがデフォルトで 適⽤用済み • コンピューターの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ リモート デスクトップ サービス 例例)オーディオのリダイレクトを許可 -‐‑‒ システム • ユーザーの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ エクスプローラー 例例)Cドライブの⾮非表⽰示 -‐‑‒ コントロールパネル ! ユーザプロファイルはDドライブに保存される
  • 28.
    Tips – CloudDirectoryの管理理⽅方法 ! Cloud Directoryのドメインに参加するEC2インスタンスを 作成して、Active Directory管理理ツールを使⽤用する。 • EC2インスタンスのネットワーク設定で、DNSサーバにはCloud DirectoryのDNSサーバを指定 • EC2インスタンスのドメイン参加操作時には、Cloud Directory作成時 に指定したAdministratorのパスワードを使⽤用する • 管理理作業が終われば、EC2インスタンスは停⽌止してOK