皆様こんにちは！

ネットワールド SEの服部です。

私が担当するHorizon製品と連携可能なWorkspaces Coreと呼ばれるソリューションについて検証しました。

Workspaces Coreについて詳しく知りたい方は以下の投稿をご確認ください。

Amazon WorkSpaces検証 Part1：AWSベースの仮想デスクトップ基盤を探る - ネットワールド らぼ

ざっくり以下のイメージで覚えてください！

Amazon Workspaces = AWSのVDIソリューション

Amazon Workspaces Core = サードパーティー製品(Omnissa Horizon / Citrix)からAWSにVDIを展開するためのソリューション

 

Omnissa  Horizon8 on Amazon Workspaces Core のポイントはこちらです。

 

■構築手順

構築の手順は以下の通りです。

 

1.事前準備

2.Horizon Connection Serverインストール

3.Horizon エッジレスアクティベーション or Horizon Edge Gateway構築、ライセンス認証 ※いずれか一方を実施

4.Amazon WorkSpaces Core をキャパシティプロバイダーとして登録

5.Horizonグローバル設定

6.マスターイメージ用WorkSpacesの作成

7.マスターイメージ用WorkSpacesへのHorizon Agentのインストール

8.Horizon Connection ServerとHorizon Agentのペアリング(マシンの登録)

9.イメージの作成

10.バンドル作成

11.自動プールの作成

 

■1.事前準備

構築を行う前に以下の環境を準備する必要があります。

【Horizon Cloud】

• Horizon Cloudの組織を作成(Universalライセンスがアクティベーションされていることを確認)
  
  今回はすでに作成済みの環境を使用するため省略します。
  Horizon Edge を使用しない Horizon 8 でのサブスクリプション ライセンスのアクティブ化
  
  Omnissa Horizonのライセンス体系としてはTermとSubscriptionがありますが、2025年8月現在、Workspaces Coreを使用する場合はHorizon Universal Subscriptionのみ利用可能です。
  Compare offerings with the Omnissa Horizon SaaS matrix
  

  

   

【AWS】

• EC2インスタンスとしてADDSを構築（ドメイン構成、OU構成、GPO設定など）
  特段注意点はなく、普通にEC2インスタンスとしてWindows Server OSを立ててADDDをインストールしてください。OUは分けたほうがHorizonのグループポリシー設定を適用する際に便利です。
  
  
• ディレクトリの作成(AD Connectorを使用)、ディレクトリの登録
  Amazon Consoleにログインし、[Directory Service] > [ディレクトリ] > [ディレクトリをセットアップ ]の順にクリックします。
  

  

   

  
  
  ADDSの情報を入力し、[ディレクトリの作成]をクリックします。

  

  
  作成後、[Amazon WorkSpaces] > [ディレクトリ] >[ディレクトリの作成] の順にクリックし、Amazon Workspacesに先ほど作成したディレクトリを登録します。

  

   

  

  
  ディレクトリが登録されたことを確認します。

  
  
  [Amazon WorkSpaces] > [ディレクトリ] >[対象のディレクトリ] > [ターゲットドメインと組織単位を編集] の順にクリックし、WorkSpacesマシンが所属するOUを指定します。

  

   

• セキュリティグループおよびルーティングテーブルを調整
  

  Horizon 8 with Amazon WorkSpaces Coreに関する通信ポートの記載があるドキュメントを見つけられず

  
  基本的にはオンプレミス環境に構築する場合のHorizon Connection Serverの通信要件(ADDS,DNS,NTP等)に加え、ラインセンス認証のためインターネット上のHorizon Cloudコントロールプレーンへの443、AWS Cloudへの443を開放すればOKです。
  Workspacesマシン展開用のマスターイメージのカスタマイズをするために、踏み台(今回はADを利用)からマスターイメージへリモートデスクトップ接続できるように接続経路を考えておきましょう。
  
  検証環境の構成としては、以下のように2つのサブネット、各サブネットごとにセキュリティグループを作成し、Connection Server/AD Connectorがインターネット接続可能なようにNAT Gatewayを配置しました。外部接続用にUAGも作成しました。
  

  

  
  
• EC2にHorizon Connection Server用インスタンスを作成(IP固定化/ドメイン参加)
  Horizon Connection Server用インスタンス作成時にIPを固定化しておかないと、インストール時にエラーとなりインストールできないので注意してください。
  

  

  
  
• IAM Roleの作成、 Horizon Connection Server用インスタンスへの適用
  Amazon Consoleにログインし、[EC2] > [ロール] >[ロールを作成] の順にクリックします。
  

  

   

  

  
  [AmazonWorkSpacesAdmin], [AmazonSSMDirectoryServiceAccess] , [AmazonSSMManagedInstanceCore] を検索しチェックを入れ、[次へ]をクリックします。

  

  任意のロール名を入力し、[ロールを作成]をクリックします。

  

   

  

  
  作成されたIAMロールを選択し、[許可を追加] > [インラインポリシーを作成]をクリックします。
  [Jason]を選択し、以下のように変更し、[次へ]をクリックします。
   "Action": "workspaces:DescribeWorkspaceimages",
   "Resource": "*"

  

   

  

   

  IAMロールに以下4つのポリシーが許可されていることを確認します。

  

  
  [EC2] > [インスタンス] > [Horizon Connection Server用インスタンス] の順にクリックします。[アクション] > [セキュリティ] > [IAMロールを変更]をクリックしIAMロールを変更します。

  

  
  
• AWSサポートチケットを開いて、アカウントでBYOLの有効化
  ※今回はサーバOS利用のため不要
  
  
• Windows 10 / 11ライセンスを用意
  ※今回はサーバOS利用のため不要

以上で事前準備まで完了しました。

次回は[2.Horizon Connection Serverインストール]から実施したいと思います。