※本記事はAmazon WorkSpaces Personal(DCVプロトコル)が対象となります。
※作業メモとなりますので、かなり読みづらいです。ご容赦いただきますようお願いいたします…
0.はじめに
2024年10月より、Amazon WorkSpacesにてファイル転送がサポートされました。
具体的には以下の公式ドキュメントに沿って、ファイル転送を行うようです。
https://docs.aws.amazon.com/ja_jp/workspaces/latest/userguide/file-transfer.html
ドキュメントによると、WorkSpacesのクライアントアプリケーションの上部メニューに[File Transfer]なるものが現れるようですが、デフォルトではそのような表示は見つかりませんでした。
[File Transfer]を利用するためにはいくつか事前準備や設定が必要となるので、その際の作業メモを記載します。おまけでコピーペーストの拒否設定や、OUを利用した特定ユーザのみにファイル転送許可を設定する方法についても触れていきます。
1.準備
WorkSpacesを管理するADサーバもしくは管理権限を持つWorkspacesからグループポリシーの設定を行います。
詳細は以下の公式ドキュメントに記載がありますので、詳細は割愛し、ここでは補足のみとします。
https://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/group_policy.html
①DCV のグループポリシー管理用テンプレートファイルをインストールする
起動中のWorkSpacesから管理者テンプレートファイルをコピーし、WorkSpacesを管理しているADサーバもしくは管理権限を持つWorkSpacesに移動します。
今回はADサーバがファイルサーバを兼ねていたため、共有フォルダを作成し、指定のフォルダ(\"FQDN"\sysvol"FQDN"\Policies\PolicyDefinitions\en-US)へファイルを転送しました。
②管理プレートファイルが正しくインストールされているか確認する
グループポリシー管理エディタを開き、[ドメイン]>[コンピューターの構成]>[ポリシー]>[Administrative Templates]>[Amazon]>[DCV]の順に展開できるか確認します。
ドキュメントでは[DCV]となっていますが、環境によっては[WSP]と表示されます。
2.グループポリシーの設定(ファイル転送)
ここでは管理しているすべてのWorkSpacesにファイル転送を許可する設定と一部のユーザ(組織)にのみ許可する設定についてご紹介します。
基本的なやり方は先ほどと同様の公式ドキュメントにて記載されているため、適宜確認しながら進めましょう。
①すべてのWorkSpacesにファイル転送機能を許可する
-グループポリシー管理エディタを開き、[ドメイン]>[Default Domain Policy]もしくは、[ドメイン]>[Domain Controllers]>[Default Domain Policy]を選択し、右クリックから[編集]を選択します。
-新しくウインドウが開かれるので、[コンピューターの構成]>[ポリシー]>[Administrative Templates]>[Amazon]>[WSP]を選択します。
-一覧の中にある[Configure Session Storage]をクリックし、有効化を行います。
デフォルトでは[Not Configured]が選択されているため、[Enable]を選択しましょう。下部のoptionではダウンロード/アップデート/両方の許可を選択できます。
-[Apply]>[OK]の順にクリックし、ポリシーを適用します。
-後はWorkSpacesを再起動し、クライアントアプリケーション上部メニューに[File Transfer]が表示されていることを確認し、完了となります。
②特定のユーザのみWorkSpacesにファイル転送機能を許可する
※今回はOUを活用し、適用します。
-ADサーバにてサーバーマネージャーを起動し、[ツール]>[Active Directory ユーザとコンピュータ]を選択します。
-[ドメイン]を右クリックし、[新規作成]>[組織単位(OU)]の順に選択し、新規のOUを作成します。
-[Active Directory ユーザとコンピュータ]から[ドメイン]>[Computers]を選択し、管理しているWorkSpacesの一覧を表示します。一覧の中から対象となるWorkSpacesを右クリックし、[移動]から先ほど作成した新規OUへ移動します。
-グループポリシー管理エディタから[ドメイン]>[グループポリシーオブジェクト]を選択し、右クリック。[新規]から新規のGPOを作成します。ここでは仮に「FileTransferGPO」とします。
-先ほど作成した新規GPOにて、ファイル転送許可のポリシーを設定します。[FileTransferGPO]を右クリックし、[編集]を選択。
[コンピューターの構成]>[ポリシー]>[Administrative Templates]>[Amazon]>[WSP]の順に選択し、①同様に一覧から[Configure Session Storage]を有効化します。
-グループポリシー管理エディタに戻り、対象のOUを右クリックし、[既存のGPOをリンク]を選択します。GPOの一覧が表示されますので、先ほど作成した[FileTransferGPO]をクリックし、[OK]を選択します。
-対象のWorkSpacesを再起動し、クライアントアプリケーション上部メニューに[File Transfer]が表示されていることを確認し、完了となります。
3.グループポリシーの設定(コピーペースト)
Amazon WorkSpacesではデフォルト状態でクライアントとのコピーペーストが許可されています。しかし、セキュリティを考慮し、コピーペーストを禁止したい場合もあるかと思います。その場合は先ほどのファイル転送同様、グループポリシーからコピーペーストの設定を行うことができます。
-コピーペーストの設定を行いたいGPOを選択し、[コンピューターの構成]>[ポリシー]>[Administrative Templates]>[Amazon]>[WSP]の順でクリックします。
-一覧の中にある[Configure clipboard redirection]をクリックし、無効化を行います。
デフォルトでは[Not Configured]が選択されているため、[Disabled]を選択します。
-対象のWorkSpacesを再起動し、クライアントとのコピーペーストができないことを確認します。
4.おわりに
以上がAmazon WorkSpacesにおけるファイル転送、コピーペーストの許可を設定するための手順でした。
今回は組織単位(OU)で特定ユーザへの許可設定を行いましたが、ほかにも良い方法があるかもしれません。
大変読みづらい作業メモでしたが、ここまで読んでいただきありがとうございました。