2022.06.21 新旧Amazon WorkSpacesからローカルプリンターへのリダイレクト印刷を制御する方法とは?

Amazon WorkSpacesはAWSが提供する仮想デスクトップサービスです。場所にとらわれず接続が可能で、通信・接続元PCにも大切なデータを残さず、セキュアな業務体制を実現できます。

これを実現するには、しっかりとAmazon WorkSpacesの機能を制御する必要があります。たとえば、自宅でプリンターを使用している場合、デフォルト設定だとAmazon WorkSpaces上のデータをリダイレクトで印刷が可能であり、便利な反面、セキュリティーが強固とは言えません。

今回は、Amazon WorkSpacesのプリンターリダイレクト機能を制限する方法を紹介します。しっかりと機能を制御し、安心・安全なテレワーク生活を実現しましょう!

準備1:構築する環境を理解しておく

今回の作業を行う上で、必要なものは以下になります。

  • クライアントPC
  • 作業用(制御対象)Amazon WorkSpaces
  • 印刷を制御するActive Directoryサーバー
  • Active Directoryサーバーやポリシーの管理用サーバー(今回はAmazon EC2を使用)

これらを考慮した上で、今回の目標となるAWS構成図は以下となります。

Amazon WorkSpacesから自宅プリンターへのリダイレクト印刷を制限する構成図

現在、Amazon WorkSpacesの通信用プロトコルは、PCoIP(旧)とWSP(新)をサポートした2パターンに、大きく分かれています。

今回は同様の環境に、それぞれAmazon WorkSpacesを構築します。
Active Directoryを管理するサーバー(Amazon EC2)によってSimple ADにGPOを用意し、AmazonWorkSpacesのプリンターリダイレクトへの制限を反映します。

準備2:ローカル(自宅)環境にあるプリンターへリダイレクト印刷できる環境を用意

まず、Amazon WorkSpacesにローカルプリンターを接続し、リダイレクト機能で印刷できるかを確認しましょう。

下記の手順の前提として、ユーザーは作成済みかつドメイン参加済みとします。

手順1:検証用環境(Amazon WorkSpacesが利用できる初期環境)を構築する

AWS提供のディレクトリサービスSimple ADを建てて、Amazon WorkSpaces PCoIP版・WSP版の2台を各サブネットに配置します。

Amazon WorkSpaces WSP版
Amazon WorkSpaces PCoIP版

また、仮想マシンAmazon EC2(Windows Server 2019)を構築し、ドメイン参加を行います。
その後、AD管理・グループポリシー管理機能をインストールします。

  • ここまでの詳細手順は本テーマの前段の話になるため、省略します。
Amazon WorkSpaces PCoIP版・WSP版の2台を配置した構成図

手順2:ローカルプリンターとClient PCを接続する

次に、ローカルプリンターとClient PCを接続します。
以下図は、筆者の自宅でローカルプリンターとClient PCを接続した図です。
USB(赤枠①)を利用しClient PCと接続しました。
自動的にデバイスドライバのインストール(青枠)が、Amazon Workspaces上で開始されました。

  • Wi-Fi(赤枠②)でも接続しましたが、Amazon WorkSpaces上でデバイスドライバのインストールができました。
筆者の自宅でローカルプリンターとClient PCを接続した図

デバイスとプリンターの状況を確認すると、Client PCに接続したローカルプリンターが表示されました。

Client PCに接続したローカルプリンターが表示されている図

手順3:ローカルプリンターがAmazon WorkSpaces上で表示されるかを確認する

Client PCに接続したローカルプリンターが、Amazon WorkSpaces上のデバイスとプリンターで、表示されている(リダイレクトされている)ことを確認します。

  • Client PC上のその他のプリンターも、Amazon WorkSpaces上のデバイスとプリンターに表示されていました。
Amazon WorkSpaces上のデバイスとプリンターで表示されている図

手順4:Amazon WorkSpacesからローカルプリンターへ印刷を実施する

Amazon WorkSpaces上でリダイレクト表示されているプリンターで、テストプリントを実行します。
ローカルプリンターから印刷できました。

windowsプリンターテストページ
  • Amazon WorkSpaces上からのスキャン操作はできませんでした。

これで、プリンターリダイレクト機能が稼働している検証環境の準備が出来ました。

Amazon WorkSpaces PCoIP版からローカルプリンターへのリダイレクト印刷を制御する方法

ここからは、Amazon WorkSpaces PCoIP版に対して、ローカルプリンターへの印刷(リダイレクト印刷)を制限する方法をご紹介します。
手順としてまず、ローカルプリンターへのリダイレクトを制限するポリシーを作成します。
その後、Amazon WorkSpacesへ反映させます。詳しくご紹介していきます。

手順1:Amazon WorkSpacesからポリシー設定・定義ファイルを回収する

Amazon Workspaces上のADMXファイル(+ en-USフォルダ:中にADMLファイルあり)を回収します。

  • ADMXファイルとは、レジストリベースのポリシー設定を定義するファイルのことです。

Amazon Workspaces上のディレクトリ、
C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions
へアクセスします。

その後、赤枠で囲んでいる対象フォルダ(en-USフォルダ、PCoIP.admxファイル)を回収します。
回収後、Active Directoryを管理しているAmazon EC2(以降、管理用Amazon EC2)へコピーします。デスクトップへコピーで構いません。

  • Amazon WorkSpacesからAmazon EC2へデータを持ち込む方法は、Amazon S3を経由するなど様々です。ご自身のやりやすい方法で実施してください。
Amazon WorkSpacesからポリシー設定・定義ファイルを回収する図

手順2:管理用Amazon EC2にGPOを作成する

管理用Amazon EC2へログイン後、windowsのスタート画面より「グループポリシーの管理」を起動します。

  • グループポリシー管理機能は、事前にインストールしていることを前提とし、GPO作成を進めます。

グループポリシーの管理を起動後「フォレスト」を開き、「ドメイン」より「Simple ADのドメイン(今回は、test.simplead01.com)」を開きます。
Simple ADのドメイン上で右クリックし「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。

管理用Amazon EC2にGPOを作成する図

名前に「適当なGPOの名前(今回はWorkSpaces GPO)」を入力し、「OK」をクリックします。
作成したGPOを選択すると、グループポリシー管理コンソールに関するメッセージが表示されます。「OK」をクリックします。

GPOの名前を設定する図

手順3:GPOにプリンターリダイレクトを制限するポリシーテンプレートを追加する(方法1)

GPOを右クリック後「編集」をクリックし、グループポリシー管理エディターを起動します。

  • デフォルト設定では、プリンターリダイレクトを制御するポリシーは追加されていません。
グループポリシー管理エディターを起動図

グループポリシー管理エディター起動後、「コンピューターの構成」より「ポリシー」を開きます。
ポリシーより「管理用テンプレート:ローカルコンピューターから取得したポリシー定義(ADMX)ファイルです。」を右クリックします。
「テンプレートの追加と削除」をクリック後、「追加」をクリックし、デスクトップ上に置いていたADMXファイルを選択します。

GPOにプリンターリダイレクトを制限するポリシーテンプレートを追加する図

ここで注意なのですが、ADMXファイルが認識されない可能性があります。

筆者は、拡張子をADMへ変更しましたが、エラーによりポリシーテンプレートを追加できませんでした。
同じような事象が発生した方のために、他の方法をご紹介します。

エラーによってポリシーテンプレートを追加できない図

(参考):GPOにプリンターリダイレクトを制限するポリシーテンプレートを追加する(方法2)

C:\Windows\PolicyDefinitions
ディレクトリには、以下がデフォルト設定で存在しています。

  • en-USフォルダ
  • PCoIP.admxファイル

デフォルトで存在しているフォルダ・ファイルを、手順1で回収した同フォルダ・ファイルで上書きします。

既存ファイルを同フォルダ・ファイルで上書きした図

再度グループポリシー管理エディターを起動すると、PCoIP Session Variablesを追加できました。

PCoIP Session Variablesを追加した図

手順4:プリンターリダイレクトを制限するポリシーを有効化する

グループポリシー管理エディターを起動後「PCoIP Session Variables」を開き、「Not Overridable Administrator Settings」をクリックします。

  • ユーザー側からの設定変更(上書き)を許可する場合は「Overridable Administrator Defaults」をクリックします。

クリック後「Configure remote printing」をダブルクリックします。

グループポリシー管理エディターを起動し、PCoIP Session Variablesを開いた図

Configure remote printingを開いた後、「有効」を選択します。
オプションより「Printing disabled」を選択し「OK」をクリックします。
Configure remote printingの状態が、有効になったことを確認します。

プリンターリダイレクトを制限するポリシーを有効化した図

手順5:Amazon WorkSpacesと管理用Amazon EC2を再起動する

プリンターリダイレクトを制限するポリシーの有効化が完了したので、GPOが反映されているか確認するため、Amazon WorkSpacesと管理用Amazon EC2を再起動します。

再起動後、Amazon WorkSpaces上のプリンターデバイスからリダイレクトされたプリンターが、すべて消えたことを確認できました。

再起動後、プリンターリダイレクトを制限するポリシーの有効化が完了した図

ここまでの流れを確認します。

管理用Amazon EC2にてGPOを作成しました。
その後、Amazon WorkSpacesから回収したポリシーテンプレートを反映しました。
最後にプリンターリダイレクトの制限ポリシーを有効化することで、PCoIP版Amazon WorkSpaces上からローカルプリンターへの印刷を制限できました。

Amazon WorkSpaces WSP版からのローカルプリンターへのリダイレクト印刷を制御する方法

続いてAmazon WorkSpaces WSP版について、プリンターリダイレクトの制御を実施します。

構築する環境は、ほぼPCoIP版のAmazon WorkSpacesと同内容(同じSimple AD、管理用Amazon EC2を流用)で、WSP用に新しいユーザー(今回の場合testuser02)を追加しました。

Amazon WorkSpaces WSP版のプリンターリダイレクト構成図
  • PCoIP版のGPO反映後にAmazon WorkSpaces WSP版にログインしました。

PCoIP版のGPOの影響を受けることなく、プリンターリダイレクトは制限されていないことを確認できました。

PCoIP版のGPO反映後に、プリンターリダイレクトが制限されていないことを確認した図

手順1:Amazon WorkSpacesからポリシー設定・定義ファイルを回収する

PCoIP版と同様にAmazon WorkSpacesからADMXファイル(+ ADMLファイル)を回収します。

Amazon WorkSpacesの
C:\Program Files\Amazon\WSP
へアクセスします。
対象フォルダ内より、wsp.admxおよびwsp.admlの両ファイルを回収してください。
回収後、管理用Amazon EC2へコピーします。

  • Amazon WorkSpacesからAmazon EC2へデータを持ち込む方法は、Amazon S3を経由するなど様々です。ご自身のやりやすい方法で実施してください。
Amazon WorkSpacesからポリシー設定・定義ファイルを回収した図

手順2:ADMXファイルを管理用Amazon EC2に配置する

管理用Amazon EC2へログイン後、Windowsエクスプローラを起動し、
\\【FQDN】\sysvol\【FQDN】\Policies
に移動します。

  • 【FQDN】=Simple ADのドメイン名を指します。(今回だと、test.simplead01.com)

移動後、PolicyDefinisionsフォルダを作成します。

PolicyDefinisionsフォルダを作成した図

作成したフォルダ(PolicyDefinisions)内に、wsp.admxファイルを配置します。
その後、同フォルダ内(PolicyDefinisions)に、en-USフォルダを作成し、wsp.admlファイルを配置します。

ADMXファイルを管理用Amazon EC2に配置した図

手順3:WSP用GPOを設定する

管理用Amazon EC2へログイン後、windowsのスタート画面より「グループポリシーの管理」を起動します。

グループポリシーの管理を起動後「フォレスト」を開き、「ドメイン」より「Simple ADのドメイン(今回は、test.simplead01.com)」を開きます。
「グループ ポリシー オブジェクト」を開き、「Default Domain Policy」を右クリックし、「編集」をクリックします。

グループポリシーを起動した図

グループポリシー管理エディター起動後、「コンピューターの構成」を開きます。
その後、「ポリシー」から「管理用テンプレート」を開き、「Amazon」から「WSP」をクリックします。

右フレームに表示された「Configure remote printing」を右クリックして、「編集」をクリックします。
その後「無効」を選択し、「OK」をクリックします。

※PCoIP版では「有効」、WSP版では「無効」を設定

プリンターリダイレクト機能をWSP版で無効にした図

手順4:GPO反映確認のため、Amazon WorkSpacesと管理用Amazon EC2を再起動する

プリンターのリダイレクトを制限するポリシー設定が完了したため、Amazon WorkSpacesと管理用Amazon EC2を再起動します。

再起動後、Amazon WorkSpaces上のデバイスとプリンターを確認すると、リダイレクトされたプリンターは表示されたままであり、見た目の変化を確認できません。

GPO反映確認のため再起動後、デバイスとプリンターを表示した図

しかし、試しにテストプリントを実施してみると、エラーが発生しリダイレクトプリンターによる印刷が制限されていました。

  • Group Policy objectsを「未構成」にすると、ローカルプリンターで印刷ができました。
リダイレクトプリンターによる印刷が制限された図

最終的な構成図は以下のようになりました。

Amazon WorkSpacesからリダイレクト制御を実行した構成図

Amazon WorkSpacesについて詳しく知りたい方は、以下の記事を参考にしてください。

Amazon WorkSpacesとは?その特長をまとめてみた | AWS活用法

まとめ:プリンターリダイレクト制御はセキュリティーに直結します、ぜひ設定しましょう!

今回は、Amazon WorkSpacesからプリンターリダイレクトの制御方法をご紹介しました。

本来はVPC作成から順に構築した流れや途中検証など、漏れなく掲載したかったのですが、蛇足となる部分が多くなるため、今回は泣く泣く削りました。

AWSでは、ユーザーとAWSそれぞれに割り当てられた範囲のセキュリティーを管理する、責任共有モデルが採用されています。
そのためユーザーの管理範囲でAWS利用中にリスクを感じた場合は、ユーザー自身の責任のもとで、
安全な環境の構築・設定を実施することが重要なポイントとなります。
ぜひ今回の事例も参考にいただいて、セキュリティ改善の一助にしていただければと思います。

また、AWSの構築や運用に不安がある方は、是非お気軽に当社までお問い合わせ 新規ウィンドウで開くください。

作者プロフィール

名前 森下
担当のAWS業務 マーケティング施策の実施、AWS営業支援
好きなAWSのサービス Decicated Host、AWS Client VPN
趣味 絵を描くこと、筋トレ、カラオケ、食べ放題
ひとこと みんなで焼肉食べ放題にいきたい

関連サービス

おすすめ記事

導入のお問い合わせはこちら

AWSやAmazon WorkSpacesの導入から接続回線、運用・保守まで何でもお任せください。

お問い合わせ・資料請求