Citrix DaaS for Amazon WorkSpaces Core(Technical Preview)
はじめに
この記事では、Citrix for Amazon WorkSpaces Coreを使用して展開を準備および作成する方法について説明します。Amazon WorkSpaces CoreはAmazon Web Services(AWS)内に存在します。
以下は、Citrix DaaSを使用したAWSの導入とその管理に関する画像です:
このPreviewについて
- このPreview期間中のサポートについては、AWSサポートまたはCitrixサポートにお問い合わせください。
- このPreview期間中にCitrix環境を管理するには、Citrix DaaSの [管理] コンソールのみを使用してください。このPreview期間中は、CitrixまたはAWS APIはサポートされません。(Citrixは、将来使用予定のAPIに関するフィードバックを歓迎いたします。)
展開の準備と作成
クイック展開インターフェイスの展開チェックリストには、手順1~5へのリンクが含まれています。
- はじめに、Citrix CloudとAWSの前提条件を完了してください。
- Citrix Cloudにリソースの場所を作成。(この手順も前提条件に含まれています。)
- AWSアカウントへの接続。この手順により、Citrix DaaSがAWSに接続できるように権限が有効になります。
- ディレクトリ接続の作成。この手順では、組織のActive Directoryへのアクセスを許可する接続を構成します。
- イメージのインポート。この手順により、ユーザー向けのデスクトップエクスペリエンスを作成できます。
- 展開の作成。この手順では、展開するマシンと、Citrix Workspaceを通じてそれらのマシンにアクセスできるユーザーを指定します。
はじめに
展開の準備と作成を開始する前に、次のタスクを完了していることを確認してください。
1つ例外があります。Citrix Cloudでのリソースの場所の作成が前提条件として記載されています。これは、展開チェックリストの最初の手順でもあります。したがって、前提条件の一部としてリソースの場所を作成する場合は、チェックリストの実行でその手順をスキップしてください。逆に、まだ実行していない場合は、チェックリストのこの手順を完了するようにしてください。
Citrix Cloudで完了するための前提条件
- Citrix Cloudアカウントを作成し、Citrix DaaSにサブスクライブします。Citrix担当者がこの作業をお手伝いします。また、担当者は、このプレビュー機能を有効にします。
- Citrix Cloudにリソースの場所を作成。(この手順は、クイック展開インターフェイスにもリンクされています。)
AWSで完了するための前提条件
- AWSユーザーアカウントを作成します。アカウントには以下が必要です:
- Citrix APIクライアントの役割権限。
- プログラムによるアクセスの権限。詳しくは、「AWSアカウントのプログラムによるアクセスの権限」を参照してください。
- workspaces_DefaultRoleの役割を作成します。詳しくは、「Create the workspaces_DefaultRole Role」を参照してください。
- Active Directory内:
- AD Connectorオプションを使用して、情報を保存および管理します。詳しくは、「AD Connector」を参照してください。
- 仮想マシンが作成されるOUを作成します。そのOUには、Cloud ConnectorおよびCitrix Cloudとの通信用のCitrixポリシーが必要です。詳しくは、リファレンスセクションを参照してください。
- Citrix Cloud Connector構成のグループポリシーを設定します:
- Citrixダウンロードサイトから、Citrixが提供する最新のグループポリシー管理コンソールをダウンロードします(CitrixGroupPolicyManagement_64.msi)。
- MSIをインストールします(このマシンには、Visual Studio 2015ランタイムをインストールしている必要があります)。次に、Controllerポリシー設定を含むCitrixポリシーを作成します。この設定では、Cloud Connectorアドレスを指定します。
- NATゲートウェイを作成するか、既存のNATゲートウェイを使用します。詳しくは、「NATゲートウェイ」を参照してください。
- Citrix Cloud Connectorが展開された仮想マシンと通信できるようにする1つ以上のセキュリティグループを作成するか、既存のセキュリティグループを使用します。詳しくは、「Control traffic to your AWS resources using security groups」を参照してください
-
AWSサポートチケットを開いて、アカウントでBYOLを有効にします。開始するには、AWSアカウントマネージャーまたは営業担当者に問い合わせるか、AWSサポートセンターにお問い合わせください。担当者がBYOLを確認して有効にします。詳しくは、「Enable BYOL for your account for BYOL using the Amazon WorkSpaces console」を参照してください。
注:
現在、Windows 10 NおよびWindows 11 NバージョンはBYOLではサポートされていません。
- Citrix DaaS for Amazon WorkSpaces Core機能を使用すると、AWS WorkSpaces CoreのBring Your Own Protocol(BYOP)機能が自動的に有効になります。
- 作成するデスクトップの十分なWindows 10ライセンスが必要です。詳しくは、「Bring Your Own Windows desktop licenses」を参照してください。
一般的な準備
開始する前に、各手順を確認してください。これを実行することにより、プロセスを簡単に完了できます。
リソースの場所の作成
Citrix Cloudにリソースの場所を作成します。
- リソースの場所には、Citrix Cloudと通信するCloud Connectorが2つ以上含まれます。Cloud Connectorをインストールするサーバーは、EC2 VPC内に存在し、ドメインに参加しており、インターネットに接続されている必要があります。Cloud Connectorは、使用する予定のディレクトリと同じVPC内に存在する必要があります。
- Cloud Connectorについて詳しくは、「Citrix Cloud Connector」とプロビジョニング方法について参照してください。
- リソースの場所には、Active Directoryサーバーを含めることもできます。詳しくは、「Active DirectoryをCitrix Cloudに接続する」を参照してください。
AWSアカウントへの接続
この手順により、Citrix DaaSがAWSに接続できる権限が有効になります。
AWS WorkSpaces CoreのAssumeRoleを作成するには、次の手順を実行します:
- Citrix DaaSの [管理]>[クイック展開]>[アカウント] で [アカウントの接続] をクリックします。
- [AWSアカウントの接続] ページの [前提条件の確認] で、[AWS CloudFormationテンプレートのダウンロード] をクリックします。テンプレートがダウンロードされたら、[次へ] をクリックします。
- テンプレートをアップロードするには、「AWS Workspace Core統合用のAssumeRoleを作成する」を参照してください。
-
[アカウントの認証] ページで、[役割ID] フィールドで生成された Amazonリソースネーム(ARN)を追加し、[名前] フィールドで [次へ] をクリックします。[リージョンの選択] ページが開きます。
役割IDは、Citrixにリソースの管理を許可する役割のARNに対応します。役割IDは、AWS管理コンソールで [IAM]>[Roles] に移動すると確認できます。
CloudFormation
スクリプトを使用している場合は、CloudFormationに移動し、役割の作成に使用された対応するスタックをクリックします。[リソース] タブに移動し、LogicalIDCitrixAssumeRole
のリソースをクリックします。注:
同じAWSアカウントの同じリージョンにある2つのアカウントを接続することはできません。
-
[リージョンの選択] ページで、デスクトップを展開するリージョンを選択し、[次へ]をクリックします。
- [BYOLサポートの構成] ページでBYOLサポートを構成するには、安全なAmazonネットワークに接続されている管理ネットワークインターフェイスが必要です。このインターフェイスとして使用するために検索するIPアドレス範囲を選択します。次に、[使用可能なCIDRブロックを表示する]を選択します。選択した検索範囲に使用可能なCIDRブロックがある場合は、使用可能なCIDRブロックを選択します。検索のアドレス範囲と使用可能なCIDRブロックが正常に選択されると、確認のメッセージが表示されます。[次へ] をクリックします。
- [概要] ページで、指定した情報を確認します。前のページに戻ることができます。完了したら、[完了]をクリックします。 接続プロセスが完了するまでに数時間かかる場合があります。
AWS Workspace Core統合用のAssumeRoleを作成する
- ブラウザーウィンドウでAmazon Web Services Webサイトを開いてサインインします。
- [Search] フィールドに「cloudformation」と入力し、Enterキーを押します。
- [Services] で [CloudFormation] を選択します。[Stacks] ウィンドウが開きます。
- 右上隅の [Create stack]>[With new resources (standard) ] をクリックします。[Create stack] ウィンドウが開きます。
- [Prerequisite – Prepare template] で [Template is ready] を選択します。
- [Specify template] で [Upload a template file]>[Choose file] の順にクリックし、[Next] をクリックします。[Specify stack details] ペインが開きます。
- [Specify stack details] ペインで [Stack name] と [AssumeRoleName] を指定し、[Next] をクリックします。[Configure stack options] ペインが開きます。
注:
[Configure stack options] ペインで [Preserve successfully provisioned resources] オプションを選択します。このオプションは、正常にプロビジョニングされたリソースの状態を保存します。最後の安定した状態が不明のリソースは、次のスタック操作時に削除されます。
[Capabilities] ポップアップウィンドウで [I acknowledge that AWS CloudFormation might create IAM resources with custom names] チェックボックスを選択し、[Create stack] を選択します。 スタックの作成はworkspace_DefaultRoleが既に作成されているため、最終的に失敗する可能性があります。これはAssumeRoleの作成には影響しません。
- [Events] タブには、作成されたスタックのステータスが表示されます。
- [Resources] タブで、作成されたAssumeRoleに対応する物理IDを選択します。
- [Summary]ペインには、生成されたAmazonリソースネーム(ARN)が表示されます。
- AWSアカウントの接続の手順4から手順を再開します
ディレクトリ接続の作成
注:
この手順の始めに、AWSディレクトリの登録を解除します。Citrix DaaSでディレクトリ接続を作成すると、選択したディレクトリが登録され、Citrix DaaSでAmazon WorkSpacesが作成されます。
この手順では、組織のActive Directoryへのアクセスを許可する接続を構成します。
前提条件:
- 2つのCloud Connectorが含まれるリソースの場所。
- セキュリティグループ。
- Active Directory内のOU。
前提条件について詳しくは、「はじめに」を参照してください。
この手順は、次の2つの場所のいずれかから開始できます:
- 「はじめに」チェックリストのリンク。
- DaaSの [管理] コンソールから、左側のペインで [クイック展開] を選択し、[Amazon WorkSpaces Core] セクションの [ディレクトリ接続] を 選択します。次に、「ディレクトリ接続の作成」を選択します。
ディレクトリ接続の作成の手順を実行します:
- 前提条件の確認: 前提条件を完了している場合は、[次へ] をクリックします。
-
ディレクトリの接続: リソースの場所、アカウント、およびディレクトリを選択します。(選択したアカウントには少なくとも1つのディレクトリが必要です。)
- デスクトップマシンを展開する2つのサブネットを選択します。サブネットは、適切なアベイラビリティゾーン内に存在する必要があります。
- この接続のフレンドリ名を指定します。
- 完了したら、[次へ] をクリックします。
-
仮想マシンの設定: 選択した設定は、このディレクトリ接続を使用するすべての仮想マシンに適用されます。
- 選択したOUは、Citrixグループポリシーの対象となるOUと一致する必要があります。
- セキュリティグループを選択します。
- 仮想マシンに割り当てられた各ユーザーに管理者権限を与えるかどうかを指定します。
イメージのインポート
この手順により、ユーザー向けのデスクトップエクスペリエンスを作成できます。
イメージをインポートするための前提条件:
- EC2イメージである必要があります。
- Citrix Virtual Delivery Agent(VDA)がインストールされている必要があります。
- BYOLの準備が必要です。BYOLスクリプトはBYOLChecker.zipで入手できます。
イメージをインポートするには、次の手順を実行します:
- 前提条件の確認: 前提条件の手順の後は、[次へ] をクリックします。(BYOL用のイメージを準備していない場合は、このページからスクリプトをダウンロードできます。)詳しくは、「要件」を参照してください。
- イメージの選択後、そのイメージにフレンドリ名を付けます。アカウント、AMIを選択し、説明を追加します。[次へ] をクリックします。[概要]ページが開きます。
-
[概要] ページで、指定した情報を確認します。確認したら、[イメージのインポート] を選択します。
注:
イメージのインポートには数時間かかる場合があります。
イメージをインポートするときにMicrosoft Office 2019イメージを統合する
イメージをインポートするときにMicrosoft Office 2019イメージを統合するには:
- [Web Studio]>[クイック展開] で [イメージ] をクリックします。
- [マイイメージ] で [イメージのインポート] をクリックします。
- [イメージのインポート]>[前提条件] で [次へ:イメージの選択] をクリックします。
-
[イメージのインポート]>[イメージの選択]で:
- [アカウント] ドロップダウンからアカウントを選択します。
- [AMI] ドロップダウンからAMIを選択します。
- [名前] フィールドにイメージの名前を入力します。
- イメージで [イメージにMicrosoft Office 2019 Professional Plusを含めます] を選択します。
- [説明] フィールドに説明を入力します。
- [イメージのインポート]>[イメージの選択] で [次へ:概要] をクリックします。
- [イメージの選択]>[概要] で Microsoft Office 2019に [選択済み] が表示されるようにします。
- [マイイメージ] で [イメージのインポート] をクリックします。 インポート操作が完了するまで、最近展開されたイメージのステータスにはインポート中と表示されます。
- [マイイメージ] で、最近展開したイメージを選択し、[詳細の表示] をクリックします。
- [詳細] パネルの [Microsoft Office 2019] フィールドに 含めると表示されます。
注:
次のバージョンのOSのみが互換性があります:
- Windows 10バージョン21H2(2021年12月更新)
- Windows 10バージョン22H2(2022年11月更新)
- Windows 10 Enterprise LTSC 2019(1809)(1809)
- Windows 10 Enterprise LTSC 2021(21H2)(21H2)
- Windows 11バージョン22H2(2022年10月リリース)
展開の作成
展開とは、ユーザーがCitrix Workspaceからアクセスできるデスクトップのグループです。この手順では、デスクトップとして展開する仮想マシンの特性と、どのADユーザーがそれらを使用できるかを指定します。
前提条件
「展開の準備と作成」に記載されているすべての手順を完了します。
- [Web Studio]>[クイック展開] の [Amazon Web Services] で、[展開] をクリックします。[展開の作成] をクリックします。
- 名前と接続: このマシンのグループのフレンドリ名を入力します。名前は一意である必要があります。ディレクトリ接続を選択し、[次へ:イメージとパフォーマンス] をクリックします。
- イメージとパフォーマンス: オペレーティングシステムとマシンのパフォーマンスを選択します。ルートボリュームとユーザーボリュームのデフォルトのサイズを指定します。 このグループでデスクトップを起動した後は、ボリュームのサイズは変更できません。したがって、必要と思われる最大サイズを指定してください。次のページで、ユーザーごとにこれらのサイズを指定することもできます。[次へ:ユーザー] をクリックします。
- ユーザー: デスクトップへのアクセスを許可するユーザーを検索して選択します。 ユーザーのボリュームサイズをカスタマイズする場合は、[ユーザーとルートのボリュームサイズを編集する] を選択し、サイズを指定します。[次へ:概要] をクリックします。
- 概要: 提供した情報を確認し、[展開を作成] をクリックします。
Microsoft 365 Windowsアプリの統合
Microsoft 365アプリを統合するには、「Microsoft 365 Apps for enterpriseがAmazon WorkSpacesサービスで利用可能に」および「Microsoft 365 Bring Your Own License (BYOL)」を参照してください。
展開内のマシンの管理
「マシンカタログの管理」で説明されているマシン管理機能に加えて、一部のアクションでは、展開から管理するマシンを選択できます。
展開内のマシンを管理するには:
- [Web Studio]>[クイック展開] で [展開] を選択します。
- [展開] ペインで、管理するマシンを含む展開を選択します。
- [詳細の表示] をクリックします。
- [展開の詳細] ペインで、管理するマシンを選択します。
- 表示されたアクションから、マシン上で実行するアクションを選択します:
- [ボリュームサイズの編集] をクリックして、マシンのボリュームサイズを変更します。
- [削除] をクリックして、展開およびAWSからマシンを削除します。マシンがデリバリーグループに含まれている場合、メンテナンスモードの場合にのみ削除できます。
- [メンテナンスモードをオン/オフにします] をクリックして選択したマシンのメンテナンスモードをオン(オフの場合)またはオフ(オンの場合)にします。
リファレンス
AWSアカウントのプログラムによるアクセスの権限
AWSユーザーアカウントには、AWSリソースレイヤーへのAPI呼び出しを行うために、特定のプログラムによるアクセスの権限が必要です。プログラムによるアクセスでは、アクセスキーIDとシークレットアクセスキーが作成されます。 IAMコンソールでこれらの権限を含むポリシーを作成できます。次の図に示すように、ビジュアルエディター(権限を1つずつ追加)またはJSON(以下のスニペットを追加)を使用できます。 詳しくは、「Creating an IAM user in your AWS account」を参照してください。
- [Visual editor] タブで、権限を1つずつ追加します。
- [JSON] タブで、次の図の後に記載されているスニペットを追加します。
必要な権限
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workdocs:DeregisterDirectory",
"workdocs:RegisterDirectory",
"workdocs:AddUserToGroup",
"ec2:ImportInstance",
"ec2:DescribeImages",
"ec2:DescribeImageAttribute"
"ec2:CreateKeyPair",
"ec2:DescribeKeyPairs",
"ec2:ModifyImageAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:RunInstances",
"ec2:DescribeSecurityGroups",
"ec2:CreateTags",
"ec2:DescribeRouteTables",
"ec2:DescribeInternetGateways",
"ec2:CreateSecurityGroup",
"ec2:DescribeInstanceTypes",
"servicequotas:ListServices",
"servicequotas:GetRequestedServiceQuotaChange",
"servicequotas:ListTagsForResource",
"servicequotas:GetServiceQuota",
"servicequotas:GetAssociationForServiceQuotaTemplate",
"servicequotas:ListAWSDefaultServiceQuotas",
"servicequotas:ListServiceQuotas",
"servicequotas:GetAWSDefaultServiceQuota",
"servicequotas:GetServiceQuotaIncreaseRequestFromTemplate",
"servicequotas:ListServiceQuotaIncreaseRequestsInTemplate",
"servicequotas:ListRequestedServiceQuotaChangeHistory",
"servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
"sts:DecodeAuthorizationMessage",
"ds:*",
"workspaces:*",
"iam:GetRole",
"iam:GetContextKeysForPrincipalPolicy",
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->