はじめに
AWS と Microsoft の FAQ に記載されている通り、AWS 以外の第三者会社による SPLA ライセンスの提供は、2025 年 9 月 30 日より後に使用できなくなります。例を挙げると、EC2 インスタンス上で Excel や Word といった Office 製品を利用している場合、2025 年 9 月 30 日より後はライセンス違反となってしまうため、別の方法を検討する必要があります。
2025 年 9 月 30 日以降でも利用できる一つの選択肢として、Microsoft Office がインストールされている AMI を利用する方法があります。AWS Marketplace で提供されている AMI を利用することで、AWS 利用料の中に、Excel などの Office 製品やリモートデスクトップの SAL ライセンスが含まれている形で利用できます。
この記事では、Microsoft Office on Amazon EC2 の AMI を構築して実際に操作を行い、挙動の理解を深めていきます。
制限事項
構築手順を紹介する前に、2024 年 3 月時点での制限事項をリストアップします。
- Microsoft AD が必要
- 1 台の EC2 インスタンスあたり、リモートデスクトップの同時接続数は 2 人まで。10 人登録して、2 人が同時接続する、といったことは可能。例えば、、
- A さんと B さんの 2 人がリモートデスクトップで作業をしている
- C さんが 3 人目としてリモートデスクトップで接続すると、上限に達しているメッセージが表示される
- A さんがリモートデスクトップをやめると、C さんが接続できるようになる
- Windows Server の OS は、Windows Server 2022 のみ
- Microsoft Office のバージョンは、Microsoft Office LTSC Professional Plus 2021 のみ
- Word, Excel, PowerPoint, Outlook, Access, Publisher etc
- 管理者権限は、Microsoft AD 上の admin ユーザーでのみ利用可能
- 一般ユーザーが管理者権限を取得すると、admin ユーザーの ID とパスワードの入力を求められる
- Windows Server OS 内の言語は英語
もし上記の制限事項が難しい場合は、Workspaces の Office Bundle の利用も検討してみましょう。
前提条件 : Microsoft AD の構築
Microsoft AD が必要です。作業手順をざっくりスクリーンショットで紹介します。set up directory を選択します。
Microsoft AD を選択
適当に DNS name を指定
適当に VPC や Subnet を指定
Create Directory を押す
Status が Creating から Active に変わります。
Microsoft AD の IP アドレスを確認
10.29.136.20
10.29.149.218
DHCP Option set を作成し VPC に設定
VPC の DHCP Option set を作成して、DNS の宛先を Microsoft AD に設定します。Microsoft AD はデフォルトで外部の DNS サーバーを参照しているので、Internet 側の名前解決は引き続き可能です。
Create DHCP option set を選択します。
指定します。Microsoft AD に指定した Domain name や、Microsoft AD の IP アドレスを指定します。
sample.local
10.29.136.20, 10.29.149.218
Edit VPC settings で作成した DHCP Option set を指定します。
新規作成した DHCP Option set を指定
RSAT 用の EC2 インスタンスを作成
Microsoft AD 上のユーザー作成などを行うために、RSAT 用の EC2 インスタンスを適当に作成します。Internet に情報が多くあるため、適当にググって作ります。
License Manager と Microsoft AD の連携
ライセンスのサブスクリプションを管理する License Manager の設定をします。Microsoft AD と連携を行います。
User-based subscriptions から Configure を選択します。
以下を設定して、Configure を押します。
- 対象にする Microsoft AD を指定
- 利用する Product から、Office Professional Plus を指定
- VPC Endpoint を作成する 対象の VPC と Subnet を指定 (下の画像では、6 個の Subnet を選択しているが、AZ の重複はできないため、実際は最大でも 3 個の指定になる)
- VPC Endpoint に割り当てる Security Group を指定。ここで指定した Security Group から、
設定変更が発生し、ぐるぐる回ります。数分まちます。
Status が Configured に代わりました。
Marketplace で Office Professional Plus 及び RDS SAL のライセンスをサブスクライブする
Marketplace で、「Office Professional Plus」と「Win Remote Desktop Services SAL」をサブスクライブします。
マネジメントコンソールで Marketplace を開き、以下のキーワードで検索します。
Offce Professional Plus
Continue to Subscribe を選択します。
Accept Terms を押します。
Pending に変わります。
Pending から以下の見た目にかわりました。
License Manager のページで、Office Professional Plus が Inactive から Active に変わっています。
同様に RDS SAL をサブスクライブします。以下のキーワードで Marketplace を検索します。
Win Remote Desktop Services SAL
View purchase options を押します。
Subscribe を押します。
画面が変わりました。
License Manager 上で、RDS SAL も Active に変わりました。
Microsoft Office on Amazon EC2 の AMI を利用して EC2 インスタンスの起動
実際に Office がインストールされている EC2 インスタンスを作成していきます。EC2 インスタンスの設定ページで、Browse more AMIs を選択します。
以下のキーワードで検索して Select を押します。
Office LTSC Professional Plus 2021
Subscribe Now を選択します。
AMI が選択されています。
Network や Storage などを適当に選択します。今回は手順を Simple にするために Public Subnet を指定しますが、実際は Private Subnet と Sessions Manager との併用も検討しましょう。
EC2 インスタンスに付与する IAM Role は重要です。Systems Manager と通信を許可する IAM Role を設定します。これを設定しないと構築に失敗します。次のように、EC2 を信頼するように Trust relationships も必要です。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
次の Document の「Systems Manager マネージドインスタンスのインスタンスプロファイルを作成するには (コンソール)」の欄を参考に IAM Role を作成し、指定しましょう。
作成した EC2 インスタンスが無事立ち上がったので、試しにローカルの Administrator でリモートデスクトップをしてみます。
こうなりました。ローカルの Administrator は Remote Desktop を禁止されています。
Microsoft AD でユーザーを作成
Microsoft AD 上でリモートデスクトップをおこなう User を作成します。
こんな感じの user001 で適当に作成します。
License Manager でユーザーを紐づけ
License Manager で Microsoft AD 上のユーザーと EC2 インスタンスとの紐づけ作業を行います。EC2 インスタンスを作成してから、すぐに紐づけができるわけではなく最大 20 分くらい待機する必要があります。
製品を購読したら、その製品を含む AWS Marketplace AMI からユーザーが接続するためのインスタンスを起動する必要があります。AWS Systems Managerインスタンスを起動すると、そのインスタンスをドメインに参加させ、リソースの追加設定と強化を試みます。インスタンスを使用できるようにするための設定は、完了するまでに約 20 分かかることがあります。License Manager コンソールのユーザー関連付けページで、インスタンスのHealth ステータスが Active であることを確認することで、リソースが使用可能な状態になっていることを確認できます。
以下のように、Instance configuration status が Preparing の場合は完了まで待ちます。
この裏側では、Systems Manager の Inventry に登録されていて、Run Command が実行されている様子が確認できます。もしエラーになった場合は、このあたりも確認してみましょう。
自分の環境では 約 10 分ほど待機すると、License Manager 上で Active になっていることが確認できます。Subscribe & associate users を選択します。
Microsoft AD 上のユーザー名を指定して、Subscribe & associate users を選択します。
Associated が 1 に変わりました。
紐づけている User の一覧を確認できます。
対象の EC2 インスタンスにリモートデスクトップしてみましょう。
以下のユーザーを指定して RDP 接続します。
sample.local\admin
リモートデスクトップができて、Office 製品がインストールされています。
- Access
- Excel
- Outlook
- PowerPoint
- Word
- など
Microsoft Office LTSC Professional Plus 2021 が利用されています。制限事項にあるとおり、言語は英語です。
2 台目のインスタンスを立ち上げ
動作確認のため、2 台目の EC2 インスタンスを立ち上げたあと、associate してみます。
user 名を指定して Subscribe & associate users を選択します。
2 台目に紐づけられました。2 台目も無事に 同じユーザー sample.local\user001 でRemote Desktop ができました。
6 個のユーザーを 1 個の EC2 インスタンスに紐づける
1 台の EC2 インスタンスに 複数のユーザーを紐づけてみましょう。
Active Directory に以下の 5 名のユーザーを新たに作成して、6 名のユーザーを作成した状態にしています。
- sample.local\user002
- sample.local\user003
- sample.local\user004
- sample.local\user005
- sample.local\user006
Subscribe を押します。
複数のユーザーを紐づけます。紐づけ操作は同時に 5 人まで指定可能です。
Progress している様子が見えます。ちょっと時間がかかります。
一定時間後、正常に 6 人分紐づけができました。
試してみると、user001 と user002 を利用して、同時に 2 人のリモートデスクトップ接続ができました。
この状態で user003 で接続すると、既存で 2 つの Session が利用されている画面が表示されます。3 人目のユーザーの視点で、既存のリモートデスクトップのセッションを奪うアクションが可能です。
user001 側の奪われる側の視点では、画面に「Remote Desktop のセッションを切断して、明け渡してもいい?」と聞かれます。OK を押すことで、user003 側に渡すことができます。30 秒クリックしないと自動的に切断もされます。
OK ボタンを押すと、user001 側が切断され
user003 が接続できました。
仮に、user001 の画面で Cancel を押してみると、
user003 の画面では、拒否された旨が表示されます。
付録1 : 管理者権限について
- 管理者権限について
- user でログインして、管理者権限を求められたときに、以下のような画面が表示される。
- この画面で admin とそれに紐づくパスワードを入れれば、管理者権限を取得可能。
- ただ、ドメインの管理者権限を渡しちゃうようなものなので、かなり厳しいと想像する。
付録2 : 1 人のユーザーを 2 台の EC2 インスタンスに紐づけたときの料金について
1 人のユーザーを 2 台の EC2 インスタンスに紐づけても、SAL Subscribe の料金が増えるわけではない。あくまで、User ベースの料金となるため、EC2 インスタンスの台数が増えても、それが直接 SAL Subscribe の料金には影響はしない。(EC2 や EBS の料金は増える)
1 人が 1 個の EC2 インスタンスにサブスクライブしているときの見え方
1 人が 2 個の EC2 インスタンスにサブスクライブしているときの見え方。上と同じ。
参考 URL