WorkSpaces で 「パスワードが有効期限切れです」と言われたら?

Amazon WorkSpaces で "パスワードが有効期限切れです" と表示されてしまった際の、パスワードリセットを試してみました。
2019.08.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

みなさま Xin chao !

先日、社内のテスト環境に構築してあった Amazon WorkSpaces に、Amazon WorkSpaces クライアントを使って久しぶりにログインしようとしたところ、以下のような画面が表示され、ログインできませんでした。

パスワードが有効期限切れです

パスワードの有効期限が切れました。管理者に連絡してパスワードをリセットしてください。

この環境では、Amazon WorkSpaces のディレクトリに、AWS Managed Microsoft AD (以下 Microsoft AD) を使用しています。

自分で構築した環境なので、Amazon WorkSpaces 管理者側の視点で考えればこの状況を回避する方法はいくつかありますが、今回は Amazon WorkSpaces 利用者側の視点に立って、利用者側で可能なパスワードのリセットを試してみました。

パスワードをリセットしてみた

Amazon WorkSpaces クライアントで "パスワードを忘れた場合" をクリックします。 実際にはパスワードを忘れたわけではないのですが、”パスワードを忘れた場合” をクリックするのがポイントです。

 

※ 2020/3/24 追記 ここから ※

WorkSpaces でお使いのディレクトリサービスが AD Connector の場合、仕様により Amazon WorkSpaces クライアントからのパスワード変更は行うことはできず、以下のメッセージが表示されます。

Unsupported Operation
Your directory does not support this operation. Please contact your Administrator for more details.

パスワードを変更は、ディレクトリ管理者の方に依頼するか、ディレクトリに直接参加している PC や EC2 等から行う必要があります。

※ 2020/3/24 追記 ここまで ※

 

Amazon WorkSpaces にログインする際のユーザー名と、画面に表示されている文字を入力し、[パスワードの回復] をクリックします。

 

パスワードリセット用のメールが送信されます。 このメールはどこに届くのかというと、Amazon WorkSpaces のユーザー追加時に登録したメールアドレスになります。

 

メールアドレスは、AWS マネジメントコンソールの [WorkSpaces] → [WorkSpaces] → (WorkSpace を選択した状態で) [アクション] → [ユーザーの編集] で確認 / 更新することができますが、Amazon WorkSpaces の利用者側では確認 / 変更できませんので、メールアドレスが最新でない場合には Amazon WorkSpaces の管理者の方に依頼する必要があります。

 

届いたメールに記載されている "パスワードをリセットする" をクリックします。  もしメールが届いていない場合、迷惑メールとして隔離されていないか、念のためご確認ください (自分が試した際には、迷惑メールフォルダに隔離されていました...)。

 

新たに設定するパスワードを入力し、[パスワードのリセット] をクリックします。

 

パスワードが正常に変更された旨の画面表示と共に、先ほどのメールアドレスにメールが送信されます。

 

再度、Amazon WorkSpaces クライアントを使ってログインすると、ログインできました。

 

管理者視点でのパスワードリセット方法

ここまでは Amazon WorkSpaces 利用者側の視点でのリセット方法でしたが、Amazon WorkSpaces 管理者側の視点では、以下のようなパスワードリセット方法も考えられます。

  • Active Directory ユーザーとコンピューター で Microsoft AD に接続し、ユーザーのパスワードをリセットする
  • AWS マネジメントコンソールで、ユーザーのパスワードをリセットする ([Directory Service] → (対象のディレクトリを選択した状態で) [アクション] → [ユーザーパスワードのリセット])

パスワードの有効期限の管理

Amazon WorkSpaces ユーザーのパスワード有効期限は、Active Directory のグループポリシーにて管理されています。

Microsoft AD 利用時のパスワード有効期限の既定値、ならびに、パスワードポリシーの管理につきましては、以下のドキュメントや、弊社のブログをご参照ください。

AWS Managed Microsoft AD のパスワードポリシーを管理する - AWS Directory Service 管理ガイド

 

Microsoft AD(AWS Directory Service)でパスワードポリシーが管理できるようになりました

 

まとめ

久しぶりに Amazon WorkSpaces にログオンしようとしたところ、パスワードの有効期限切れと表示され、ログインできずに焦ってしまいました。

同じような思いをされた方の助けになれば幸いです。