【小ネタ】WorkSpacesで任意のアプリケーションのインストールを制限する方法

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

背景

WorkSpacesはデフォルトでは、ユーザ権限が「ローカルアドミン」になっています。

その為、この状態ではどんなアプリケーションでもインストールすることができますが、システム管理者としてアプリケーションの自由なインストールを制限したい、というシーンがあるかもしれません。

そこで今回は、ユーザによるアプリケーションのインストールを抑止する方法についてご紹介します。

ローカルアドミン権限の無効化

一言で言ってしまうと、「ユーザ権限がローカルアドミンであることが原因」なので、これを無効化することで解決します。
この設定は対象のDirectoryサービスの設定で変更することができます。

01-select-directory

「Update Detail」をクリックして設定を変更します。

02-update

次の画面で「Local Administrator Setting」の項目を開いて、「Disable」を選択します。
「Update and Exit」をクリックして、変更を反映して終了します。

03-change-local-admin

Directoryサービス側の設定は以上になります。

WorkSpacesのリビルド

Directory側の設定を反映させる為に、WorkSpaceをリビルドします。

リビルドすると作成時のバンドルのイメージから復元されることに注意して下さい。データドライブも自動スナップショット時の状態に上書きされる為、スナップショット後に作成、変更したデータは消えてしまうという点にも注意が必要です。(最大12時間以内のデータ)

WorkSpace の再構築 - Amazon WorkSpaces

05-rebuild

また、リビルドを行う際は事前に再起動を推奨するメッセージが出るので、必要に応じて再起動して下さい。

04-rebuild-reboot

アプリケーションのインストール可否を確認

リビルドが完了すれば改めてログインして確認してみます。

ローカルアドミンの権限がなくなったので、下記のようにドメイン管理者のユーザ名とパスワード入力が必要になります。WorkSpacesへのログイン情報ではインストールできないですね。

100-install-app-under-disable-localadmin

下記は、ローカルユーザのログイン情報でインストールしようとして失敗している様子です。(Windows7、Windows10のどちらのDesktop Experience環境でも同様です。)

130-localadmin-faiil

最後に

働き方改革の一環として、WorkSpacesを検討されることも増えてきたのではと思います。一方で、システム管理者の視点で見るとVDI環境のセキュリティ対策は悩みどころだと思います。

グループポリシーやWorkSpacesの機能をうまく使って、適切な対応を取れるようにしていきましょう。

以上です。