【小ネタ】WorkSpacesで任意のアプリケーションのインストールを制限する方法
背景
WorkSpacesはデフォルトでは、ユーザ権限が「ローカルアドミン」になっています。
その為、この状態ではどんなアプリケーションでもインストールすることができますが、システム管理者としてアプリケーションの自由なインストールを制限したい、というシーンがあるかもしれません。
そこで今回は、ユーザによるアプリケーションのインストールを抑止する方法についてご紹介します。
ローカルアドミン権限の無効化
一言で言ってしまうと、「ユーザ権限がローカルアドミンであることが原因」なので、これを無効化することで解決します。 この設定は対象のDirectoryサービスの設定で変更することができます。
「Update Detail」をクリックして設定を変更します。
次の画面で「Local Administrator Setting」の項目を開いて、「Disable」を選択します。 「Update and Exit」をクリックして、変更を反映して終了します。
Directoryサービス側の設定は以上になります。
WorkSpacesのリビルド
Directory側の設定を反映させる為に、WorkSpaceをリビルドします。
リビルドすると作成時のバンドルのイメージから復元されることに注意して下さい。データドライブも自動スナップショット時の状態に上書きされる為、スナップショット後に作成、変更したデータは消えてしまうという点にも注意が必要です。(最大12時間以内のデータ)
WorkSpace の再構築 - Amazon WorkSpaces
また、リビルドを行う際は事前に再起動を推奨するメッセージが出るので、必要に応じて再起動して下さい。
アプリケーションのインストール可否を確認
リビルドが完了すれば改めてログインして確認してみます。
ローカルアドミンの権限がなくなったので、下記のようにドメイン管理者のユーザ名とパスワード入力が必要になります。WorkSpacesへのログイン情報ではインストールできないですね。
下記は、ローカルユーザのログイン情報でインストールしようとして失敗している様子です。(Windows7、Windows10のどちらのDesktop Experience環境でも同様です。)
最後に
働き方改革の一環として、WorkSpacesを検討されることも増えてきたのではと思います。一方で、システム管理者の視点で見るとVDI環境のセキュリティ対策は悩みどころだと思います。
グループポリシーやWorkSpacesの機能をうまく使って、適切な対応を取れるようにしていきましょう。
以上です。
