AWSのOffice入りの３人以上接続可能なEC2インスタンスを起動する方法

#　AWSのリモートデスクトップサーバ（RDS）を立て、3人以上別セッションで接続可能にし、Office入りの環境を構築する手順を調べてみた。
※これは調査結果であり、実施記録ではない。

サイトの操作手順など下記の方のブログを参考にさせていただきました。
https://xp-cloud.jp/blog/2025/05/12/121345

作業目的

-Office入りの環境を構築する（AWSのマーケットプレイス版※EC2のライセンス認証）
-RDS（リモートデスクトップ）接続可能セッション数３以上（デフォルトは２名のみ※Microsoftによるライセンス発行停止に伴いAWS化が必要になった）
-WindowsServer2022 with officeを構築する
-インバウンドルール3360を設定
-アウトバウンドも適切に設定すること443を有効化
-IAM権限にも制限があるので守ること

前提条件として
VPCが自動でドメイン名を認証し接続できるEC2インスタンスが立ち上がる必要があります。
ライセンスマネージャにてステータスが一度失敗になると再起動などで処理がキックされることはありません。SystemManagerにてキックさせる方法があるようですが、調べるまでに至らず構築しなおしました。
Route53のリゾルバの設定が漏れていてうまく接続できない事象が発生しましたが、EC2インスタンスを作成しなおしドメインに自動で参加が起きるまで待機して接続成功した時点でサーバを構築しました。成功前に時間などを変更するとActiveDirectoryへの参加に問題が発生し、手動でドメインに参加してはいけないので、ここに注意してください。

AWS でのリモートデスクトップ環境構築について、Qiita の記事を基にした解説と作業手順をまとめます。Microsoft の SPLA 廃止にともない、クラウドでのリモートデスクトップ環境の構築を検討している方にとって、非常に役立つ情報となるでしょう。

---

AWS 上でのリモートデスクトップ環境構築：SPLA 廃止への対応

Microsoft が提供する SPLA (Service Provider License Agreement) 経由でのリモートデスクトップサービス (RDS) の提供が 2025 年 9 月 30 日をもって終了します。これにより、オンプレミスでのライセンス運用が難しくなるため、クラウドへの移行が喫緊の課題となっています。

ここでは、AWS Managed Microsoft AD と AWS License Manager のユーザーベースサブスクリプション機能を組み合わせることで、オンプレミスに依存せず、柔軟かつセキュアなリモートデスクトップ環境を AWS 上で構築する手順を解説します。

---

構築手順

1. Microsoft AD 管理者資格情報を保存するシークレットの作成

まず、Microsoft AD の管理者ユーザー名とパスワードを AWS Secrets Manager で安全に保存します。

2. Microsoft AD の作成

次に、ユーザー認証とリモートデスクトップライセンスの基盤となる Microsoft Active Directory (MSAD) を AWS 上に作成します。

• ディレクトリ名、ドメイン名、NetBIOS 名を設定します。後の構成でも使うため、分かりやすく一貫性のある名前を付けるのがおすすめです。
• ネットワーク構成を選択し、Secrets Manager に保存した管理者パスワードを入力します。
• 作成が完了すると、Microsoft AD のステータスが「アクティブ」になります。このディレクトリが、今後のリモートデスクトップ環境の中心となります。

3. Microsoft AD を License Manager に登録

作成した Managed Microsoft AD を AWS License Manager に登録します。これにより、ライセンスサーバー構成やユーザーごとのライセンス割り当てが可能になります。

• License Manager の「ユーザーベースのサブスクリプション」設定画面から、登録済みの MSAD を選択して登録を進めます。
• 登録には数分かかりますが、ステータスが「登録済み」になれば完了です。

4. Remote Desktop Services (RDS) をサブスクライブ

• シークレット名: license-manager-user- で始める必要があります。これは License Manager が認証情報を正しく認識するために AWS が定めた形式です。
• 作成後、Secrets Manager の一覧画面で登録された内容が表示されていることを確認しましょう。このシークレットは、後ほど License Manager から AD を登録・設定する際に使用されます。
  シークレット名は、AD管理者のNameとPassを定義する必要がある。10分程度で設定が完了する。

AWS License Manager の「ユーザーベースのサブスクリプション」セクションから、RDS 製品を AWS Marketplace からサブスクライブします。

• 数分後、製品一覧に「Microsoft Remote Desktop Services (RDS)」が表示され、「Marketplace サブスクリプションステータス」が「アクティブ」となっていれば準備完了です。
• この操作により、License Manager 経由で AD ユーザーに RDS ライセンスを割り当てられるようになります。

5. インスタンスの作成と RDS ライセンスサーバーの登録

今回はAWSのLicenseManagerにて自動でドメイン認証が動作するWindowsServer2022 with officeを選択し手起動します。AMIがいかにも選択できるかのように書かれたAMIがありますが、立ち上がるのは最新のOSになるので注意してください。

6. RDS ライセンスサーバーに RDSH をインストール

ライセンスサーバーとして構成した EC2 インスタンスにリモートデスクトップでログインし、RDSH (Remote Desktop Session Host) をインストールします。

• インスタンス起動時に指定したキーペアを使用してパスワードを取得し、Administrator アカウントで接続します。
• ログイン後、PowerShell を管理者権限で開き、以下のコマンドを実行して RDSH をインストールします。

  Install-WindowsFeature -Name RDS-RD-Server –IncludeManagementTools
  

• インストール状況の確認には Get-WindowsFeature -Name RDS* | Where installed を使用します。

7. グループポリシーでライセンスサーバーとモードを指定

RDSH のインストールが完了したら、グループポリシーエディター (gpedit.msc) を使って、ライセンスサーバーとライセンスモードを構成します。

• gpedit.msc を起動し、以下のパスをたどります。
  コンピューターの構成 → 管理用テンプレート → Windows コンポーネント → リモート デスクトップ サービス → リモート デスクトップ セッション ホスト → ライセンス
• 「指定のリモートデスクトップライセンスサーバーを使用する」を開いて有効化し、License Manager 上で表示されたRDSサーバ設定で表示されるようになったエンドポイント ID を入力します。
• 「リモート デスクトップ ライセンス モードの設定」を開き、「ユーザー単位」を選択して有効化します。
• 設定を反映させるため、サーバーを再起動します。

8. Microsoft AD にユーザーを作成

リモートデスクトップ環境を利用するユーザーアカウントを Microsoft AD 上に作成します。

• AWS Directory Service のディレクトリ詳細画面にアクセスし、「ユーザーの作成」を選択します。
• ユーザー名（例：msaduser）やパスワードなどの必要情報を入力し、作成を完了させます。

9. Microsoft AD ユーザーにライセンスを割り当てる

作成した Microsoft AD ユーザーに対して Remote Desktop Services (RDS) のライセンスを割り当てます。

• AWS License Manager の「ユーザーベースのサブスクリプション」に移動し、「製品」タブを開きます。
• 対象のディレクトリを選択し、割り当てたいユーザー名を入力してサブスクライブを実行します。
• 数分後、ライセンスが有効になり、ユーザーはリモートデスクトップ環境にアクセスできるようになります。

10. ユーザーを Remote Desktop Users グループに追加

作成した Microsoft AD ユーザーを、リモートデスクトップ接続を許可するためのグループに追加します。

• ドメインに参加しているライセンスサーバーの EC2 インスタンスにログインし、PowerShell を管理者として開きます。
• 以下のコマンドを実行してユーザーをグループに追加します。

  net localgroup "Remote Desktop Users" "CORPAWS\msaduser" /add
  

• 正しく追加されたかを確認するには Get-LocalGroupMember -Group "Remote Desktop Users" を実行します。
• この操作により、該当ユーザーがリモートデスクトップ経由でサーバーへアクセスできるようになります。
• すべての操作が終了したら再起動が必要とダッシュボードに表示されていると思いますので再起動します。

再起動後、
サーバマネージャを起動し、サーバマネージャのリモートデスクトップの画面を表示すると、
エンドポイントがライセンスサーバとして機能していることがわかります。
その下には無限となったCALがWindowsServerのOS違いで表示されていることがわかります。
よく、CALを別途持ち込んで契約して二重契約にしてしまったりする人がいるので気を付けてください。
この作業で、ライセンスサーバとして参照するだけのサーバを有効化してしまった場合でも、再起動後うまく動作していたので大丈夫だとは思いますが、持ち込みライセンスは廃止となるので二重契約にならないように注意してください。

ライセンスサーバやCALの設定が、AWSのライセンスマネージャのRDS設定画面のエンドポイントで実施されており、ライセンスサーバとして設定するだけでCALが無限で有効となり、残りは製品のユーザー登録で課金対象となり、EC2のユーザー紐づけはログインの有効化を指します。
EC2にユーザーを紐づけない場合は、Officeの関係によりOtherユーザーと表示されログインできなくなります。
WithOfficeが関連している関係で通常の手動認証でのドメイン参加を実施するとおかしくなり、ライセンスも、RDS環境で3セッション以上を有効化すると、Officeのアカウントもログインするには必要になってしまうという落ちがあります。
Officeがいらないユーザーが大量に存在する場合はべつのEC2を構築して分けることをお勧めします。

---

まとめ

今回の手順で、AWS 上にセキュアでスケーラブルなユーザーベースのリモートデスクトップ環境が構築できました。

• AWS Managed Microsoft AD のセットアップ
• License Manager のユーザーベースサブスクリプション活用
• ユーザー単位で管理するリモートデスクトップ環境の構成

この仕組みは、ユーザー数が増えても柔軟に対応でき、グループポリシーによる詳細な制御も可能です。オンプレミスに頼らず、クラウドだけでセキュアな Windows 環境を整えたい方にとって、非常に有効な構成となるでしょう。

ご自身の環境に合わせて、これらの手順を参考にぜひリモートデスクトップ環境を構築してみてください。