![[アップデート] Amazon WorkSpaces PersonalでMicrosoft Entra ID(Microsoft Entra Join)のサポートが追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-acc3ac1234c3f431604b3ef32a527e4a/ef41ff2367e43f0b972b2ceec4893544/amazon-workspaces-family)
[アップデート] Amazon WorkSpaces PersonalでMicrosoft Entra ID(Microsoft Entra Join)のサポートが追加されました
2024.08.28しばたです。
本日AWSより「Amazon WorkSpacesでMicrosoft Entra IDとMicrosoft Intuneのサポートを追加した」旨のアナウンスがありました。
調べてみたところ少しクセのある内容だったので可能な範囲で解説したいと思います。
はじめに
はじめに残念なお知らせとなるのですが、今回の更新は各WorkSpaceのOSがWindows 10またはWindows 11のクライアントOSである必要があります。
つまりBYOLが必須となります。
Microsoftライセンスの制限によりWindowsクライアントOSをAWSへBYOLするには
- Dedicated Hostを使用する必要があり、Amazon WorkSpacesにおいては最低100WorkSpace[1]の利用を確約する必要がある
- クライアントOSでVDIをするため、利用者数に応じたWindows VDA E3/E5ユーザーライセンスが必要
といった条件があり、率直に言って導入のハードルは非常に高く私も実際に試すことができません...
まずは誰もが使える機能ではない事をご承知おきください。
なお、ライセンス周りの詳細は以下のドキュメントをご確認ください。
- Bring Your Own Windows desktop licenses in WorkSpaces Personal
- Amazon Web Services and Microsoft : Frequently Asked Questions
更新内容について
単純にAmazon WorkSpacesとMicrosoft Entra ID(以後Entra ID)を連携させるという話であれば、以前からSAML 2.0統合の形でサポートされています。
こちらはざっくり言ってしまうと
- ソースとなるIdPはActive Directoryであり、Entra IDに対してID同期を行う前提
- 認証はSAML 2.0を使ったものと通常のActive Directoryの二段階認証
であり下図の様な構成を要します。
従来のSAML2.0統合によるMicrosoft Entra IDの利用
対して今回の更新では
- ソースとなるIdPはEntra IDとなり、AWS側管理の都合上IAM Identity Centerを使う
- アイデンティティソースをEntra IDとし「Entra ID → IAM Identity Center」のID同期を行う
- Entra IDに各WorkSpaceをデバイス登録し、Microsoft IntuneやWindows Autopilotを使った初期設定を行う
- 認証にはMicrosoft Entra Join(旧Azure AD Join)を使う
という形で、よりクラウドネイティブな構成を採ることが可能となりました。
ざっくり下図のイメージです。
新たにサポートされたMicrosoft Entra IDをネイティブに利用する構成
認証にEntra Joinを使うためWindows Serverは利用できずクライアントOSのBYOLが必須となります。
(残念ながら現時点でAzure Virtual DesktopにおけるAADLoginForWindows拡張と同等の機能は無い模様です)
構築方法など
環境構築の概要についてはAWSのこちらのブログを見て頂くと良いでしょう。
より具体的な手順については以下のページにまとまっています。
実際にこの手順を試すことはできませんが、ドキュメントの内容を抜粋して雰囲気だけでもお伝えしようと思います。
前提条件
今回の環境を実現するにあたり以下の前提条件を満たす必要があるそうです。
- Microsoft Entra IDはP1かそれ以上のプランを契約していること
- これはIntuneを利用するためと推測されます
- Microsoft Entra IDとIntuneが利用可能でロールが割り当てられていること
- Intune administrator, Global administratorロールが必要な模様
- サポート対象OSは以下となり、Windows Serverは使えない
- Windows 10 Version 21H2 (December 2021 Update)
- Windows 10 Version 22H2 (November 2022 Update)
- Windows 11 Enterprise 23H2 (October 2023 release)
- Windows 11 Enterprise 22H2 (October 2022 release)
- AWSアカウント側でBYOL可能になっていること
- サポートされるプロトコルはWSPのみ
1. IAM Identity Centerの設定
IAM Identity CenterのアイデンティティソースをEntra IDに設定してID同期を行います。
IAM Identity Centerは「アカウントインスタンス」でも構わないそうです。
2. Microsoft Entra IDアプリケーションの設定
Amazon WorkSpacesをEntra IDアプリケーションとして登録し、IntuneやWindows Autopilotで初期設定できる様にします。
この際に認証情報としてClient Secretを追加し、AWS Secrets Managerに保存して使います。
3. Windows Autopilotユーザー駆動(ユーザードリブン)モードの設定
各WorkSpace環境をWindows Autopilotで初期セットアップするためのプロファイル設定などを行います。
Entra Joinのための一般的な設定と変わらない様です。
4. AWS Secrets Managerの追加
AWSからEntra IDアプリケーションを操作するための認証情報をSecrets Managerに登録します。
登録する内容は以下となります。
| キー | 値 |
|---|---|
| application_id | Entra IDアプリケーションのID |
| application_password | Entra IDアプリケーションのClient Secret |
5. Microsoft Entra IDディレクトリの作成
最後にAmazon WorkSpaces上でディレクトリを作成します。
これまでに準備した「Entra IDのテナントID」、「Secrets Manager」、「IAM Identity Center」を指定し、
あとはディレクトリを配置するVPC情報などを設定してやれば作成できるはずです。
実際に試すことができないので本記事ではここまでとなります。
余談 : カスタムディレクトリ
最後に今回の更新でMicrosoft Entra IDディレクトリの他に「カスタム」ディレクトリも追加されています。
こちらはMicrosoft Entra ID以外の非Active Directory認証を想定したものとなっており、本日時点ではJumpCloudのみ対応しているそうです。
具体的な設定手順はこちらになります。
終わりに
以上となります。
更新内容だけみるとかなり嬉しい機能なんですが導入のハードルが高いのがネックです。
もし現時点でBYOL WorkSpaces環境をご利用の方は導入を検討してみるのも良いのではないでしょうか。
2024年8月時点の非GPU環境における台数。以前は最低200WorkSpaceだった。 ↩︎
