すべてのプロダクト
Search

このプロダクト

    Elastic Desktop Service:ID とアクセスの管理

    ドキュメントセンター

    Elastic Desktop Service:ID とアクセスの管理

    最終更新日:Dec 06, 2025

    ID とアクセスの管理により、権限を持つ管理者とエンドユーザーのみが特定の Alibaba Cloud リソースにアクセスまたは操作できるようになり、不正または悪意のあるアクセスを防ぎます。これにより、コンプライアンスと監査の要件を満たすことができます。このトピックでは、セキュリティを強化するために Elastic Desktop Service (EDS) Enterprise が提供する ID とアクセスの管理機能について説明します。

    01 アカウント管理

    1.1 管理者アカウントとしての RAM ユーザーの使用

    過剰なアクセスに伴う潜在的なリスクを軽減するため、すべてのクラウドリソースへのフルアクセス権を持つ Alibaba Cloud アカウントを管理者アカウントとして使用することは避けてください。代わりに、管理者権限を持つ Resource Access Management (RAM) ユーザーを作成して EDS Enterprise コンソールにログインし、特定のビジネスニーズに応じてこの RAM ユーザーに権限を割り当ててください。

    • デフォルト状態:オフ

    • 構成責任:お客様

    • 機能費用:無料

    • 依存サービス:RAM

    • 条件:なし

    1.2 エンドユーザーアカウントのライフサイクル管理

    EDS Enterprise の管理者は、クラウドリソース (クラウドコンピューターなど) をエンドユーザーに割り当てることができます。アカウントのライフサイクル全体でセキュリティを維持するために、必要に応じて次の操作を実行してください:

    • エンドユーザーが使用しなくなったクラウドコンピューターは、速やかに回収してください。

    • 必要に応じて、エンドユーザーアカウントを無効化してください。

    • 不要になったアカウントは、速やかに削除してください。

    • 構成責任:お客様

    • 機能費用:無料

    • 依存サービス:なし

    • 条件:なし

    構成または使用方法

    未使用のクラウドコンピューターの回収

    1. Elastic Desktop Service Enterprise コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[リソース] > [クラウドコンピューター] を選択します。

    3. 上部のナビゲーションバーの左上で、リージョンを選択します。

    4. [クラウドコンピューター] ページで、割り当てるクラウドコンピューターを見つけ、[操作] 列の ⋮ アイコンをクリックします。次に、[ユーザーの表示/追加] をクリックします。

    5. [ユーザーの表示/追加] パネルで、[ユーザーの追加] をクリックします。

    6. [ユーザーの追加] ダイアログボックスで、クラウドコンピューターを割り当てる 1 人以上のユーザーを選択し、[OK] をクリックします。

      クラウドコンピューターが割り当てられたユーザーは、[追加されたユーザー] セクションに表示されます。特定のユーザーを削除する場合は、ユーザーを選択して [削除] をクリックします。表示されるメッセージで [OK] をクリックします。

    非アクティブなアカウントの無効化

    簡便アカウントを一時的に無効にするには、アカウントをロックします。

    • 管理者によってアクティベートされた簡便アカウントの場合、作成時に自動ロック日を設定するか、作成後にいつでも手動でロックできます。ユーザーによってアクティベートされた簡便アカウントの場合、作成後に手動でのみロックできます。

    • エンドユーザーが WUYING ターミナルにログインする際、パスワードを 10 回連続で間違えると、アカウントは 20 分間自動的にロックされます。20 分後にアカウントは自動的にロック解除されます。

    簡便アカウントを手動でロックするには、次の手順を実行します:

    1. 左側のナビゲーションウィンドウで、[ユーザー] > [ユーザー] を選択します。

    2. [ユーザー] ページの [ユーザー] タブで、必要に応じて次のいずれかの操作を実行します:

      • 単一操作:簡便アカウントを見つけ、[操作] 列の [ロック] をクリックします。

      • 一括操作:複数の簡便アカウントを選択し、リストの下部にある [ロック] をクリックします。

        説明

        一括操作は、同じアクティベーションタイプの簡便アカウントでのみサポートされます。

    3. 表示されるダイアログボックスで、[確認] をクリックします。

      重要

      ロックされた簡便アカウントを使用して、エンドユーザーは WUYING ターミナルにログインできません。この機能は注意して使用してください。

    不要なアカウントの削除

    1. 左側のナビゲーションウィンドウで、[ユーザー] > [ユーザー] を選択します。

    2. [ユーザー] ページの [ユーザー] タブで、必要に応じて次のいずれかの操作を実行します:

      • 単一操作:簡便アカウントを見つけます。[操作] 列で、⋮ アイコンをクリックし[削除] を選択します。

      • 一括操作:複数の簡便アカウントを選択し、リストの下部で [その他] > [削除] を選択します。

        説明

        一括操作は、同じアクティベーションタイプの簡便アカウントでのみサポートされます。

    3. 表示されるダイアログボックスで、[確認] をクリックします。

    1.3 パスワード有効期間の設定

    デフォルトでは、エンドユーザーアカウントのパスワードは無期限に有効です。ただし、パスワードの有効期間を 30 日から 365 日の間で設定できます。パスワードの有効期限が切れると、所有者は再度ログインする前にパスワードを変更する必要があります。

    • デフォルト状態:無期限に有効

    • 構成責任:お客様

    • 機能費用:無料

    • 依存サービス:なし

    • 条件: この機能は招待プレビューです。この機能を使用するには、チケットを送信する必要があります。

    構成または使用方法

    1. Elastic Desktop Service Enterprise コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ユーザー] > [ユーザー] を選択します。

    3. [ユーザーと組織]` ページの `[ユーザー]` タブで、パスワードの有効期間を変更したい簡便アカウントを見つけ、`[パスワードの有効期限 (N 日)] ` 列の ` アイコンをクリックします。

    4. 表示されるウィンドウで、新しい有効期間を入力し、[OK] をクリックします。

    02 権限管理

    2.1 RAM ベースの階層的な管理者アクセス制御

    EDS Enterprise では、Resource Access Management (RAM) を使用して権限を管理でき、異なる RAM ユーザーがクラウドコンピューターの特定の側面を処理できるようにします。これにより、詳細なアクセスの制御が可能になり、管理が効率化されます。

    • デフォルト状態:オフ

    • 構成責任:お客様

    • 機能費用:無料

    • 依存サービス:RAM

    • 条件:なし

    2.2 Alibaba Cloud Workspace アカウントシステムベースの階層的な管理者アクセス制御

    EDS コンソールへのログインに使用する Alibaba Cloud アカウントは、EDS の機能とリソースに対する完全な権限を持っています。企業が複雑な組織構造、複数の部門、多数の従業員とクラウドコンピューターを抱えている場合、1 人の管理者ですべてのタスクを管理するには不十分です。さらに、管理者が 1 人だけでは、ビジネスの権限隔離要件を満たせません。このシナリオでは、メイン管理者はタスクの管理を支援するために 1 人以上のサブ管理者を必要とします。この状況では、以下の要件を満たす必要があります:

    • サブ管理者ごとに権限レベルが異なります。たとえば、サブ管理者 A はユーザーの作成と管理はできますが、クラウドコンピューターの作成と管理はできず、サブ管理者 B はデータの表示のみ可能で、他の操作はできません。

    • 異なるデータへのアクセスは、特定の権限に制限されます。たとえば、サブ管理者 C は研究開発部門のクラウドコンピューターのみを表示および管理する権限を持ち、サブ管理者 D は設計部門のクラウドコンピューターのみを表示および管理する権限を持ちます。

    EDS Enterprise の権限管理モジュールは、前述の要件に対応します。

    • デフォルト状態:オフ

    • 構成責任:お客様

    • 機能費用:無料

    • 依存サービス:なし

    • 条件:なし

    構成または使用方法

    重要

    EDS Enterprise と Cloud Phone は同じ階層型アクセス制御モジュールを使用します。したがって、どちらかの製品コンソールで権限を付与すると、その変更は両方の製品に適用されます。

    1. 左側のナビゲーションウィンドウで、[セキュリティと監査] > [管理者権限] を選択します。

    2. [管理者権限] ページで、[管理者の作成] をクリックし、次のパラメーターを設定してから [OK] をクリックします。

      • RAM ユーザーとの関連付け:サブ管理者が管理タスクを完了するために EDS コンソールにログインする際に使用する Resource Access Management (RAM) ユーザー。次のいずれかの方法で RAM ユーザーをサブ管理者に関連付けます:

        • 現在の Alibaba Cloud アカウントに存在する RAM ユーザーを選択する:[既存の RAM ユーザー] をクリックし、ドロップダウンリストから RAM ロールを選択します。

        • 新しい RAM ユーザーを作成する:[RAM ユーザーの作成] をクリックします。[RAM クイック権限付与] ページで、[権限付与] をクリックします。

          説明

          RAM ユーザーの名前と初期パスワードは、指定されたメールアドレスまたは携帯電話番号によってサブ管理者に送信されます。

      • ニックネーム:サブ管理者の表示名。

      • ロール:サブ管理者が果たすデフォルトまたはカスタムのロール。ロールは、サブ管理者に付与される権限を定義します。

      • メールアドレス:RAM ユーザーのログイン認証情報を受け取るために使用されるサブ管理者のメールアドレス。

      • 携帯電話番号:RAM ユーザーのログイン認証情報を受け取るために使用されるサブ管理者の携帯電話番号。このパラメーターはオプションです。

    3. [管理者] タブで、新しく作成されたサブ管理者を見つけ、[操作] 列の [権限付与の管理] をクリックします。

    4. [権限付与の管理] パネルで、権限付与の範囲を設定し、[確認] をクリックします。リソースタイプとリソースグループに基づいて権限を付与できます。最終的な権限付与の範囲は、これら 2 つのディメンションの組み合わせになります。

      1. リソースタイプ[クラウドコンピューター] または [ユーザー] を選択できます。

        重要

        サブ管理者に特定のリソースタイプを選択すると、サブ管理者はそのリソースタイプに対する完全な管理権限を持つことになります。これには、将来同じタイプのリソースも含まれます。たとえば、[クラウドコンピューター] を選択すると、サブ管理者は現在の Alibaba Cloud アカウント内のすべてのクラウドコンピューター (将来購入されるクラウドコンピューターを含む) に対する管理権限を持ちます。

      2. 利用可能なリソースグループ[利用可能なリソースグループ] セクションで、サブ管理者に権限を付与したいリソースグループを選択し、 アイコンをクリックして [権限が付与されたリソースグループ] セクションに移動します。

    03 ID 認証

    3.1 多要素認証 (MFA)

    多要素認証 (MFA) は、ユーザー名とパスワードだけに頼るのではなく、追加の保護層を加えるシンプルで効果的なセキュリティ対策です。管理者が EDS Enterprise コンソールにログインする際や、エンドユーザーがターミナルにアクセスする際に二次認証を要求することで、アカウントとクラウドリソースのセキュリティを強化します。このプロセスは、AccessKey ペアを使用した API 呼び出しには影響しません。

    • デフォルト状態:オフ

    • 構成責任:お客様

    • 機能費用:無料

    • 依存サービス:なし

    • 条件:なし

    • 関連ドキュメント:MFA の設定

    構成または使用方法

    Alibaba Cloud アカウントの MFA の有効化

    1. Alibaba Cloud アカウントでAlibaba Cloud 管理コンソールにログインします。

    2. コンソールの右上隅にあるプロフィール画像にポインターを合わせ、[セキュリティ設定] をクリックします。

    3. [セキュリティ設定] ページの [アカウント保護] セクションで、[編集] をクリックします。

      説明

      MFA は時間ベースのワンタイムパスワード (TOTP) に名称変更されました。

    4. [アカウント保護を有効にする] ページで、シナリオと [TOTP] 検証方法を選択します。次に、[送信] をクリックします。

    5. [ID の検証] ステップで、検証方法を選択します。

    6. [アプリケーションのインストール] ステップで、[次へ] をクリックします。

    7. モバイルデバイスで、仮想 MFA デバイスをバインドします。

      説明

      以下の例は、iOS を実行しているモバイルデバイスの Google Authenticator アプリで仮想 MFA デバイスをバインドする方法を示しています。

      1. Google Authenticator アプリを開きます。

      2. [開始] をクリックし、次のいずれかの方法を選択して仮想 MFA デバイスを有効にします:

        • Google Authenticator アプリで [QR コードをスキャン] をタップし、Alibaba Cloud マネジメントコンソールの [MFA を有効にする] ステップに表示される QR コードをスキャンします。この方法を推奨します。

        • [セットアップキーを入力] をタップし、アカウントとアカウントのキーを入力してから [追加] をタップします。

          説明

          Alibaba Cloud マネジメントコンソールの [MFA を有効にする] ステップで、[スキャンに失敗しました] にポインターを合わせると、アカウントとキーが表示されます。

    8. Alibaba Cloud マネジメントコンソールの [MFA を有効にする] ステップで、Google Authenticator アプリに表示される動的検証コードを入力します。次に、[次へ] をクリックしてアカウント保護設定を完了します。

      説明

      Google Authenticator アプリの検証コードは 30 秒間隔で更新されます。

    エンドユーザーアカウント (組織 ID) の MFA の有効化

    1. Elastic Desktop Service Enterprise コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ユーザー] > [ログイン設定] を選択します。

    3. [ログイン設定] ページの [ログインセキュリティ] タブで、[MFA] スイッチをオンにします。

    エンドユーザーアカウント (オフィスネットワーク) の MFA の有効化

    1. Elastic Desktop Service Enterprise コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。

    3. 上部のナビゲーションバーの左上で、リージョンを選択します。

    4. [オフィスネットワーク] ページで、管理したい オフィスネットワークを見つけ、オフィスネットワークの ID をクリックします。

    5. [その他の情報] セクションで、[MFA] スイッチをオンにします。表示されるメッセージで、[OK] をクリックします。

      説明

      [クライアントログイン検証][SSO] スイッチがオフになっていることを確認してください。

    3.2 許可されたターミナルの指定

    各端末には、UUID と呼ばれる一意で改ざん不可能な識別子があり、これが信頼できる ID として機能します。この UUID はグローバルに一意であり、偽造できないため、安全な認証が保証されます。管理者は信頼できるデバイス認証を有効にして、エンドユーザーのログインを指定された端末のみに制限できます。信頼できるデバイス認証が有効になると、エンドユーザーは許可されていない端末からクラウドコンピューターにアクセスできなくなります。

    構成または使用方法

    1. 左側のナビゲーションウィンドウで、[ユーザー] > [ユーザー] を選択します。

    2. [ユーザー] ページの [ユーザー] タブで、ユーザーを見つけます。[操作] 列で、⋮ アイコンをクリックし[ログインターミナルの表示/制限] を選択します。

    3. [ログインターミナルの表示/指定] パネルで、[ターミナルの追加] をクリックします。

    4. [ターミナルの追加] ダイアログボックスで、ログイン制限ターミナルとして追加するソフトウェアクライアント (デスクトップおよびモバイル) を選択し、[OK] をクリックします。

      ログイン制限ターミナルを削除するには、対象のクライアントの [操作] 列にある [削除] をクリックし、確認ダイアログボックスで [OK] をクリックします。

    3.3 クライアントログイン検証

    この機能はデフォルトで無効になっています。この機能を有効にすると、エンドユーザーが新しいデバイスから WUYING ターミナルにログインする際に、メールの検証コードを使用して検証を完了する必要があります。検証が成功した場合にのみ、ユーザーは正常にログインできます。

    • デフォルト状態:オフ

    • 構成責任:お客様

    • 機能費用:無料

    • 依存サービス:なし

    • 条件:

      説明

      この機能は、接続タイプがインターネットの場合にのみ簡便アカウントに対して有効になります。

    • 関連ドキュメント:クライアントログイン検証

    構成または使用方法

    組織 ID のクライアントログイン検証の有効化

    1. Elastic Desktop Service Enterprise コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ユーザー] > [ログイン設定] を選択します。

    3. [ログイン] ページの [セキュリティ設定] タブで、[クライアントログイン検証] スイッチをオンにします。

    4. ポップアップウィンドウで、メッセージの情報を確認し、[OK] をクリックします。

    オフィスネットワークのクライアントログイン検証の有効化

    1. Elastic Desktop Service Enterprise コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。

    3. 上部のナビゲーションバーの左上で、リージョンを選択します。

    4. [オフィスネットワーク] ページで、対象の オフィスネットワークを見つけ、オフィスネットワーク ID をクリックします。

    5. オフィスネットワーク詳細ページの下部にある [その他の情報] セクションで、[クライアントログイン検証] スイッチをオンにします。

      説明

      SSO 設定、MFA、およびクライアントログイン検証は相互に排他的です。特定の時点で、オフィスネットワークに対してこれらのログイン検証方法のいずれか 1 つのみを有効にできます。組織 ID の場合、これらの機能は相互に排他的ではなく、同時に有効にすることができます。

    6. ポップアップウィンドウで、メッセージの情報を確認し、[OK] をクリックします。

    04 アクセスの制御

    4.1 ターミナルアクセスの制御

    クラウドコンピューターポリシーを使用すると、ログイン方法の制御と IP アドレスのホワイトリストを通じてターミナルアクセスを管理できます。セキュリティを強化するために、これらのポリシーを設定して、エンドユーザーがクラウドコンピューターにアクセスする際に特定のターミナルタイプと承認された IP アドレス範囲に制限することを推奨します。

    • [ログイン方法の制御] パラメーターを設定して、エンドユーザーが使用できる Alibaba Cloud Workspace ターミナルのタイプを選択できます。

      例:企業のセキュリティを確保するため、管理者はこのパラメーターを Windows クライアントmacOS クライアントに設定します。

    • [CIDR ブロックのホワイトリスト] パラメーターを設定して、Alibaba Cloud Workspace ターミナルからクラウドコンピューターへのアクセスが許可される CIDR ブロックを指定できます。

      例:企業のセキュリティを強化するため、管理者はすべてのオフィスベースの Alibaba Cloud Workspace ターミナルの CIDR ブロックをホワイトリストに追加します。これにより、従業員はこれらのホワイトリストに登録された Alibaba Cloud Workspace ターミナルからのみクラウドコンピューターに接続できるようになります。

    • デフォルト状態:オフ

    • 構成責任:お客様

    • 機能費用:無料

    • 依存サービス:なし

    • 条件:なし

    構成または使用方法

    1. Elastic Desktop Service Enterprise コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[運用と保守] > [ポリシー] を選択します。

    3. [ポリシー] ページで、[ポリシーの作成] をクリックします。

    4. [ポリシーの作成] ページで、プロンプトに従って [ポリシー名] パラメーターを設定し、ビジネス要件に基づいてポリシー構成を変更してから、[OK] をクリックします。

      カスタムポリシーを作成した後、[ポリシー] ページでポリシーを表示できます。

    パラメーター

    説明

    ログイン方法の制御

    エンドユーザーがクラウドコンピューターに接続するために使用できる Alibaba Cloud Workspace ターミナルのタイプ。以下のタイプの Alibaba Cloud Workspace ターミナルがサポートされています:

    • Windows クライアント

    • macOS クライアント

    • iOS クライアント

    • Android クライアント

    • Web クライアント

    デフォルトでは、すべてのタイプが選択されています。ビジネス要件に基づいてこのパラメーターを設定してください。

    CIDR ブロックのホワイトリスト

    Alibaba Cloud Workspace ターミナルがクラウドコンピューターにアクセスできる許可された IP 範囲 (CIDR ブロック)。

    [CIDR ブロックの追加] をクリックします。[CIDR ブロックの追加] ダイアログボックスで、ビジネス要件に基づいて CIDR ブロックを入力し、[OK] をクリックします。

    例:192.0.XX.XX/32 および 10.0.XX.XX/8

    4.2 タイムアウトによる自動ログアウト

    デフォルトでは、タイムアウトによる自動ログアウトは無効になっています。この機能を有効にすると、エンドユーザーが指定されたタイムアウト期間内にクラウドコンピューター、アプリケーション、電話、エンタープライズドライブなどのクラウドリソースに接続しない場合、Alibaba Cloud Workspace ターミナルは自動的にエンドユーザーをログオフします。この機能は、非アクティブなセッションを速やかに終了させることで、データセキュリティを強化します。

    • デフォルト状態:オフ

    • 構成責任:お客様

    • 機能費用:無料

    • 依存サービス:なし

    • 条件:なし

    構成または使用方法

    1. Elastic Desktop Service Enterprise コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ユーザー] > [ログイン設定] を選択します。

    3. [ログイン] ページの [一般設定] タブで、[ログイン設定] の右側にある [ログイン設定の変更] をクリックします。

    4. [ログイン設定の変更] パネルで、以下の設定を完了し、[OK] をクリックします。

      設定項目

      説明

      タイムアウト時の自動ログアウト

      これを有効または無効にできます。

      タイムアウト期間

      エンドユーザーが WUYING ターミナル上のどのクラウドリソースにも接続していない期間。このオプションは、[タイムアウト時の自動ログアウト] が有効な場合に表示されます。

      有効なターミナル

      この機能が有効になる WUYING ターミナル。

      説明

      [WUYING 自社開発ハードウェアターミナル] を選択した場合、この機能は V7.5 以降のハードウェアターミナルでのみ有効になることに注意してください。ハードウェアターミナルにパスワードなしのログインが設定されている場合、タイムアウトによる自動ログアウトは有効になりません。

      説明

      • クライアントのタイムアウトによる自動ログアウトを設定した後、設定はエンドユーザーが次にクライアントにログインしたときに有効になります。

      • タイムアウト期間に達する前に、エンドユーザーにリマインダーが届きます。エンドユーザーはプロセスを停止することを選択できます。ただし、エンドユーザーが何もしない場合、クライアントは自動的にログアウトします。