AD オフィスネットワークの設定方法 - Elastic Desktop Service

WUYING Workspace Enterprise Edition は、簡便アカウントとエンタープライズ Active Directory (AD) アカウントをサポートしています。オフィスネットワーク (旧ワークスペース) を作成するときに、簡便アカウントまたはエンタープライズ AD アカウントのいずれかを使用できます。このトピックでは、エンタープライズ AD アカウントを使用するオフィスネットワークを作成する方法について説明します。

課金に関する説明

エンタープライズ AD アカウントを使用するオフィスネットワークは、AD Connector を介してエンタープライズ AD に接続します。AD Connector は、従量課金制の有料サービスです。料金は、使用期間と単価に基づいて計算されます。AD Connector の単価は仕様によって異なります。詳細については、「AD Connector の料金」をご参照ください。

課金を停止するには、オフィスネットワークを削除します。詳細については、「オフィスネットワークの削除」をご参照ください。

前提条件

エンタープライズ AD をセットアップ済みであること。AD ドメインサーバと DNS サーバが異なるサーバにデプロイされている場合は、AD ドメインサーバの DNS が DNS サーバの IP アドレスを指していることを確認してください。
Cloud Enterprise Network インスタンスを作成し、エンタープライズ AD の VPC とオフィスネットワークの VPC を同じ Cloud Enterprise Network インスタンスにアタッチ済みであること。Cloud Enterprise Network インスタンスの作成方法の詳細については、「CEN インスタンスの作成」をご参照ください。
説明
AD ドメインサーバと DNS サーバがオンプレミスのデータセンターにデプロイされている場合は、まずオンプレミスネットワークをクラウドネットワークに接続する必要があります。Express Connect (専用回線) 、Smart Access Gateway (SAG) 、VPN Gateway などのプロダクトを使用できます。詳細については、「プライベート接続プロダクトの選択方法」をご参照ください。

必要なネットワークポートが開いていること。エンタープライズ AD アカウントを使用するオフィスネットワークの VPC は、AD ドメインの次のネットワークポートにアクセスできる必要があります。AD ドメインサーバ、DNS サーバ、またはセキュリティソフトウェアでこれらのポートを開いていることを確認してください。

プロトコルタイプ	ポート番号またはポート範囲	説明	承認オブジェクト
カスタム UDP	53	DNS	オフィスネットワークの IPv4 CIDR ブロック (例: 192.168.XX.XX/24) 。
	88	Kerberos
	123	Windows Time
	137	NETBIOS
	138	NETBIOS
	389	LDAP
	445	CIFS
	464	Kerberos パスワードの変更またはリセット
カスタム TCP	53	DNS	オフィスネットワークの IPv4 CIDR ブロック (例: 192.168.XX.XX/24) 。
	88	Kerberos
	135	レプリケーション
	389	LDAP
	443	HTTPS
	445	SMB/CIFS
	636	LDAP SSL
	9389	PowerShell
	49152 から 65535 の範囲のすべてのポート	RPC
	3268 から 3269	LDAP GC および LDAP GC SSL

オフィスネットワークの作成

Elastic Desktop Service Enterprise コンソールにログインします。
左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
左上のナビゲーションバーで、リージョンを選択します。
[オフィスネットワーク] ページで、[オフィスネットワークの作成] をクリックします。

[オフィスネットワークの作成] ステップで、[高度なオフィスネットワーク] を選択し、プロンプトに従ってパラメーターを設定してから、[次へ: アカウントシステムの設定] をクリックします。次の表にパラメーターを示します。

パラメーター

パラメーター	説明
リージョン	オフィスネットワークを作成するリージョン。サポートされているリージョンと制限の詳細については、「リージョン」をご参照ください。
名前	オフィスネットワークの名前。画面の指示に従って名前を指定します。
IPv4 CIDR ブロック	オフィスネットワークにクラウドコンピュータを作成すると、システムはオフィスネットワークが使用する VPC の CIDR ブロックからクラウドコンピュータに IP アドレスを自動的に割り当てます。IP アドレスの数は CIDR ブロックによって異なります。詳細については、「CIDR ブロックの計画」をご参照ください。デフォルトでは、オフィスネットワークが使用する仮想プライベートクラウド (VPC) の CIDR ブロックを、次の IPv4 CIDR ブロックとそのサブネットのいずれかに指定できます。 192.168.0.0/16 10.0.0.0/12 172.16.0.0/12 カスタム IPv4 CIDR ブロックを使用する場合は、チケットを送信して Alibaba Cloud テクニカルサポートにお問い合わせください。
接続方法	オフィスネットワークを作成するときは、エンドユーザーが Alibaba Cloud Workspace 端末からクラウドコンピュータに接続するために使用する方法を指定する必要があります。次の接続方法が提供されています。インターネット (デフォルト): エンドユーザーはインターネット経由でのみクラウドコンピュータに接続できます。この方法を選択した場合、クラウドコンピュータへの接続に使用されるオンプレミスのマシンはインターネットにアクセスできる必要があります。 VPC: エンドユーザーは VPC 経由でのみクラウドコンピュータに接続できます。この方法を選択した場合は、オフィスネットワークを Cloud Enterprise Network (CEN) インスタンスにアタッチする必要があります。さらに、Express Connect、Smart Access Gateway (SAG) 、または VPN Gateway を使用して、オンプレミスネットワークとクラウドネットワーク間の接続を確立する必要があります。詳細については、「オフィスネットワークの CEN インスタンスへのアタッチとデタッチ」および「プライベートネットワークサービスの選択」をご参照ください。インターネットと VPC: エンドユーザーは VPC とインターネットの両方でクラウドコンピュータに接続できます。説明 Alibaba Cloud Workspace 端末をクラウドコンピュータに接続するために使用する方法。VPC 接続は PrivateLink に依存しており、これは無料です。[VPC] または [インターネットと VPC] を選択すると、システムは自動的に PrivateLink を有効にします。
CEN へのアタッチ	[接続方法] パラメーターを [VPC] に設定した場合は、このパラメーターを [はい] に設定する必要があります。VPC を CEN にアタッチするには、現在の Alibaba Cloud アカウント内または別の Alibaba Cloud アカウントから CEN インスタンスを選択できます。説明 Smart Access Gateway、Express Connect 、または VPN Gateway を使用してオンプレミスネットワークをクラウドに接続する場合は、オフィスネットワークをオンプレミスネットワークと同じ CEN インスタンスにアタッチする必要があります。オフィスネットワーク内のクラウドコンピュータが期待どおりに使用できることを確認するには、CEN インスタンスを指定した後に [チェック] をクリックします。システムは、CEN インスタンスのルートの CIDR ブロックがオフィスネットワークの IPv4 CIDR ブロックと重複しているかどうかをチェックします。CIDR ブロックが競合する場合は、[競合の詳細と推奨 CIDR ブロックの表示] をクリックします。次に、別の IPv4 CIDR ブロックまたは CEN インスタンスを指定します。

[アカウントシステムの設定] タブの [クラウドデスクトップアカウントタイプ] セクションで [エンタープライズ AD アカウント] を選択し、次の設定を完了してから、下部にある [作成] をクリックします。

設定項目

設定項目	説明
ドメイン名	エンタープライズ AD のドメイン名。例: example.com。インターフェイスでドメイン名が無効であると示された場合は、チケットを送信して Alibaba Cloud のテクニカルサポートを受けることができます。
ドメインコントローラーのホスト名	AD ドメインコントローラーに設定したホスト名。 AD ドメインサーバと DNS サーバが同じデバイスでない場合 (つまり、AD ドメインコントローラーと DNS が別々にデプロイされている場合) 、接続可能なドメインコントローラーサーバを指定するためにドメインコントローラーのホスト名を入力する必要があります。これにより、オフィスネットワークの作成成功率が向上します。 AD ドメインサーバと DNS サーバが同じデバイスにデプロイされている場合、このパラメーターはオプションです。
DNS アドレス	エンタープライズ AD に対応する DNS サーバの IP アドレス。 AD ドメインサーバと DNS サーバが同じ場合は、AD ドメインサーバの IP アドレスを直接入力できます。この IP アドレスが、前のステップで設定したオフィスネットワークからアクセスできることを確認してください。
スタンバイのドメインコントローラーのホスト名/スタンバイ DNS アドレス	[スタンバイのドメインコントローラーのホスト名]/[DNS アドレスの追加] をクリックして、別の [スタンバイのドメインコントローラーのホスト名] と [スタンバイ DNS アドレス] を設定します。この設定項目により、高可用性が確保されます。ドメインコントローラーの 1 つがシャットダウンされても、クラウドデスクトップの作成、AD アカウントへのクラウドデスクトップの割り当て、クライアントへのログインなどのシナリオの成功率には影響しません。
クラウドデスクトップのローカル管理者	クラウドデスクトップのローカル管理者は、ソフトウェアをダウンロードしてインストールしたり、ローカル管理者権限が必要なタスクを実行したりできます。 [エンタープライズ AD アカウントをクラウドデスクトップのローカル管理者として設定] を選択すると、オフィスネットワーク内のクラウドデスクトップの使用を承認されたすべてのユーザーがローカル管理者権限を持ちます。 AD ドメインサーバでローカル管理者を設定することもできます。詳細については、「クラウドデスクトップのローカル管理者を設定する」をご参照ください。
AD Connector の仕様	推定されるクラウドデスクトップの数に基づいて AD Connector の仕様を選択できます。汎用: クラウドデスクトップの数が 1,000 を超えないシナリオに適しています。高度: クラウドデスクトップの数が 1,000 を超えるシナリオに適しています。

[オフィスネットワークの作成] パネルで、[閉じる] をクリックします。次に、[オフィスネットワーク] ページで、オフィスネットワークの [ステータス] 列を確認します。
- ステータスが [ユーザーの設定] の場合、オフィスネットワークは作成されています。オフィスネットワーク ID をクリックします。オフィスネットワークの詳細ページの [基本情報] セクションで、[ステータス] の横にある [設定] をクリックします。
- ステータスが [ドメイン情報の設定] の場合、ドメイン情報が正しくありません。たとえば、ドメイン名または DNS アドレスが正しくない可能性があります。オフィスネットワーク ID をクリックします。オフィスネットワークの詳細ページの [AD 設定] セクションで設定を変更します。
- ステータスが [登録中] のままである場合は、オフィスネットワークと AD ドメインサーバ間の接続を確認します。ネットワーク接続が正常な場合は、[再試行] をクリックしてオフィスネットワークの作成を再試行します。詳細については、「AD オフィスネットワークに関するよくある質問」をご参照ください。

ユーザーの設定

左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
左上のナビゲーションバーで、リージョンを選択します。
[オフィスネットワーク] ページで、管理するオフィスネットワークを見つけて、その ID をクリックします。
オフィスネットワークの詳細ページで、次のいずれかの操作を実行します。
- [基本情報] セクションで、[ステータス] の横にある [設定] をクリックします。
- [AD 設定] セクションで、[ドメインユーザー名] の横にある [設定] をクリックします。
[AD ドメイン設定] パネルで、ドメインのユーザー名とパスワードを入力し、パスワードを確認してから、[OU 情報を確認して取得] をクリックします。
説明
入力するドメインユーザーは、AD ドメインを追加し、AD ドメイン上のユーザーのプロパティを読み取る権限を持っている必要があります。これにより、システムはこのオフィスネットワーク内のクラウドデスクトップを AD ドメインサーバに追加し、ユーザーに割り当てることができます。
検証が成功したら、[AD ドメインの組織単位 (OU)] ドロップダウンリストから組織単位 (OU) を選択します。次に、[閉じる] をクリックします。

オフィスネットワークのステータスが [登録済み] に変わります。これで、このオフィスネットワークにクラウドデスクトップまたはマルチセッション弾性クラウドデスクトップを作成できます。

ドメインコントローラーサーバの変更

AD オフィスネットワークを作成した後、ドメインコントローラーサーバのアドレスが変更された場合は、AD オフィスネットワークのドメインコントローラーのホスト名または DNS アドレスを変更できます。

左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
左上のナビゲーションバーで、リージョンを選択します。
[オフィスネットワーク] ページで、管理するオフィスネットワークを見つけて、その ID をクリックします。
[AD 設定] セクションで、[ドメインコントローラーのホスト名/DNS アドレス] の横にある [編集] をクリックし、新しいドメインコントローラーのホスト名または DNS アドレスを入力して、[OK] をクリックします。
説明
変更に失敗した場合、ドメインコントローラーのホスト名と DNS アドレスは以前の設定にロールバックされます。

クラウドデスクトップのローカル管理者を設定する

クラウドデスクトップのローカル管理者は、ソフトウェアをダウンロードしてインストールしたり、ローカル管理者権限が必要なその他のタスクを実行したりできます。オフィスネットワークの作成時にクラウドデスクトップのローカル管理者を有効にするか、AD ドメインサーバでローカル管理者を設定できます。

ローカル管理者を設定する方法	長所	短所
オフィスネットワーク作成時にローカル管理者を設定する	AD オフィスネットワークを作成するときに、1 回の操作でオフィスネットワーク内のすべての承認済みクラウドデスクトップユーザーにローカル管理者権限を付与できます。これにより、プロセスが簡素化されます。	権限はオフィスネットワークレベルで設定されます。これは、オフィスネットワーク内のすべてのクラウドデスクトップがローカル管理者権限を持つことを意味し、詳細なアクセスの制御はできません。
AD ドメインサーバでクラウドデスクトップのローカル管理者を設定する	ユーザーレベルでクラウドデスクトップのローカル管理者権限を設定できます。これにより、必要に応じてユーザーにローカル管理者権限を付与し、詳細なアクセスの制御を実装できます。	AD ドメインでクラウドデスクトップのローカル管理者権限を手動で設定する必要があります。これには複数のステップが含まれます。

AD ドメインでローカル管理者を設定する方法の詳細については、「AD ドメインでローカル管理者を設定する方法」をご参照ください。

オフィスネットワークの管理

オフィスネットワークを作成した後、次の一般的な管理操作を実行できます。

オフィスネットワークの削除

オフィスネットワークは、その中のすべてのクラウドデスクトップリソースがリリースされた後にのみ削除できます。エンタープライズ AD アカウントを使用するオフィスネットワークを削除すると、AD Connector は課金されなくなります。

警告

オフィスネットワークを削除する前に、オフィスネットワーク内の重要なリソースとデータをバックアップしたことを確認してください。オフィスネットワークが削除されると、リソースとデータは回復できません。注意して進めてください。

左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
左上のナビゲーションバーで、リージョンを選択します。
[オフィスネットワーク] ページで、ターゲットのオフィスネットワークを見つけ、[アクション] 列の [削除] をクリックします。
確認ダイアログボックスで、メッセージを読み、[削除の確認] をクリックします。

次のステップ

オフィスネットワークを作成した後、次の一般的な操作を実行できます。