inSyncによるAmazon Workspacesの保護
概要
Amazon WorkSpacesは、組織内のユーザーにデバイスと同様の仮想デスクトップ環境へのアクセスを提供する簡単で安全な方法です。
Amazon WorkSpacesのデータは、誤って削除した場合などに復元できるよう保護する必要があります。また、ランサムウェア攻撃を受けた場合、管理者は次のことができます。
- セキュリティテストのためにAmazon WorkSpacesで保護されたデータを活用する
- ユーザーがデバイス上のデータをAmazon WorkSpace上で利用できるようにし、業務を再開できるようにして事業活動を支援します。
Druvaを使用するとinSync管理者はWindowsでプロビジョニングされたAmazon WorkSpaces上でユーザーデータを設定および保護し、Druvaの機能を利用できます。また、Windowsドライブまたはパーティション上の保護されたデータをマッピングおよび復元して、ユーザーはデバイスとAmazon WorkSpacesアカウントの両方のデータにシームレスにアクセスできます。
Amazon WorkSpacesでデータを保護するための計画
Druvaを使用する予定に関して、次の事例から選択します。
-
追加の作業プラットフォームとしてユーザーに割り当てたAmazon WorkSpacesを保護 - WindowsでプロビジョニングされたAmazon WorkSpacesで作業しているユーザーのデータのみが保護されます。
デバイスとともに追加作業プラットフォームとしてAmazon WorkSpacesを使用する場合は、「追加作業プラットフォームとしてAmazon WorkSpacesを保護」を参照してください。 - Amazon WorkSpaces上でデータを利用できるようユーザーを支援し、後で元に戻す -
- Amazon WorkSpacesでユーザーの保護されたデータを復元または移行し、ユーザーがそのデータで作業できるようにします。
- リモートでの作業が完了した後、ユーザーは後ですべての更新データを使用して元のデバイスにフェールバックしたいと考えています。
ユーザーを支援する場合は、保存データをAmazon WorkSpaces上で利用できるようユーザーを支援を参照してください。
追加作業プラットフォームとしてAmazon WorkSpacesを保護
Amazon WorkSpacesは、Windows OSと同様の仮想デスクトップインターフェイスを提供します。inSync管理者は、ユーザーに割り当てられたAmazon WorkSpaces上にWindows OS用のinSyncクライアントをインストールできます。Amazon WorkSpacesのデータ保護は、他のWindows OSベースのデバイスと同様に機能します。Amazon WorkSpacesで生成されたデータはすべて、ユーザーに割り当てられたinSyncプロファイルで定義されたバックアップ設定に基づいてバックアップされます。最新のinSyncクライアントのインストールとアクティベートの詳細な手順については、「inSyncクライアントのインストールとアクティベート」を参照してください。
<重要>
- Amazon WorkSpaceでinSyncクライアントをアクティベートするときは、[ Activation ] ウィンドウで [ Add a new device ] オプションを選択して、Amazon WorkSpaceをデータ保護対象のワークスペースとして追加します。詳細については、inSyncアカウントに新しいデバイスを追加するを参照してください。
- ユーザーがActive Directory(AD)を使用して管理されている組織では、inSync管理者はAmazon WorkSpacesにinSyncクライアントを一括デプロイしてアクティベートできます。詳細については、inSyncクライアントの統合一括導入を参照してください。
保存データをAmazon WorkSpaces上で利用できるようユーザーを支援
この事例は、inSyncユーザーにAmazon WorkSpaces上のデバイスから保護されたデータへのアクセスを提供する要件に対処します。これは、デバイス紛失、遠隔地からの作業、デバイス更改作業が進行中、またはVPN接続の不具合(組織によって実施)などが原因で、ユーザーがデバイスにアクセスできない場合に役立ちます。
inSync管理者は、そのようなユーザーに対してAmazon WorkSpaceアカウントを展開し、業務を再開できるようにして事業活動を支援することができます。
ただし、inSync管理者がDruvaを使用してこの要件を実行するには、以下の要件を満たす必要があります。
考慮すべきこと -
Amazon WorkSpacesは、Windows OSと同様の仮想デスクトップインターフェイスを提供します。ただし、ストレージの論理パーティションに関しては、Windows OSと比較してAmazon WorkSpacesの柔軟性は低くなります。
- Windows OSで実行されているユーザーデバイスには、C:\ 以外の複数の論理パーティションまたはドライブがあり、データ配置を改善したり、ワークスペースと個人データを分離したりできます。
- Amazon WorkSpaceには、C:\ と D:\ の2つのパーティションしかありません。WindowsでプロビジョニングされたAmazon WorkSpacesでは、ルートボリュームは C:\ ドライブにマッピングされ、ユーザーボリュームは D:\ ドライブにマッピングされます。
デバイスをユーザーデバイスからAmazon WorkSpaceアカウントに置き換え
ユーザーがAmazon WorkSpaceアカウント上でデータを操作できるようにするには、デバイスから Amazon WorkSpace アカウントにデータを復元する必要があります。
次の手順に従って、ユーザーがAmazon WorkSpace上でデバイスのデータにアクセスできるようにします。
手順1 - すべてのドライブをバックアップするようユーザーデバイスを設定
以下の状態を仮定します。
- ユーザーのWindowsデバイスには、C:\、D:\、E:\、F:\ の4つのドライブがあります。
- C:\ ドライブはユーザーのプロファイルデータを保持します。
- D:\、E:\、および F:\ ドライブは、ユーザーの他のデータを保持します。
Amazon WorkSpaceのユーザーのD:\ ドライブにこれらドライブのデータを復元できるようにするには、すべてのドライブをバックアップ対象として設定する必要があります。
- Amazon WorkSpaceには C:\ および D:\ ドライブがあるため、C:\ および D:\ ドライブ上のユーザーのデータは簡単にマッピングおよび復元できます。
- E:\ および F:\ ドライブからデータをバックアップおよび復元するには、NTFSジャンクションポイントを作成します。
次のコマンドを実行して、D:\ドライブにNTFSジャンクションポイントを作成します-
E:\ドライブのジャンクションポイント作成方法
C:\> mklink /J D:\E_Data E:\
F:\ドライブのジャンクションポイント作成方法
C:\> mklink /J D:\F_Data F:\
<重要>
- Amazon WorkSpaceのユーザーボリュームにマッピングするため、D:\にNTFSジャンクションポイントを作成します。
- E_DataおよびF_Dataは、デモ目的で使用したサンプル名です。ガイドラインに従って、任意の名前を指定できます。
- コマンドを使用して、データをAmazon WorkSpaceに移行するすべてのドライブのジャンクションポイントを作成します。
手順2 - ユーザーに関連付けられたinSyncプロファイルの更新
inSync管理者としてユーザーに割り当てられたプロファイルを更新して、すべてのドライブをバックアップします。
プロファイルを編集するには以下を行います。
- inSync管理コンソールのメニューバーで、Profilesをクリックします。
- [ Manage Profile ] ページで、更新するプロファイルを選択します。
- ユーザーデバイスのバックアップ用に以下を構成します-
- %userprofile% をバックアップ対象のカスタムフォルダーとして構成します。
これにより、C:\ドライブ、つまりユーザープロファイルを、Amazon Workspace上のユーザープロファイル(D:\ドライブ)に移動します。詳細な手順については、「バックアップ用のカスタムフォルダーを構成する」を参照してください。 - D:\ドライブをバックアップ対象に構成します
- 前の手順で作成したNTFSジャンクションポイントをバックアップ対象として構成します。
- D:\ F_Data
- D:\ E_Data
また、別のNTFSジャンクションポイントを作成した場合は追加します。
- %userprofile% をバックアップ対象のカスタムフォルダーとして構成します。
<重要> バックアップ対象のカスタムフォルダーを構成する場合は、プロファイルに関連付けられているユーザーのすべてのデバイスにこれらのカスタムフォルダーがあることを確認してください。そうでない場合、それらのデバイスのinSyncクライアントは「Misconfigured folder (誤って設定されたフォルダ)」アラートを生成します。
手順3 - ユーザーデバイスのバックアップ
ユーザーデバイスを設定し、inSyncプロファイルでバックアップ対象フォルダーを追加したら、ユーザーデバイスでバックアップを開始します。バックアップが完了したら、手順4に進みます。
手順4 - Druva inSyncをインストールし、保護されたデータをAmazon WorkSpaceアカウントに移行
-
ユーザーのAmazon WorkSpaceアカウントにinSyncクライアントをインストールします。詳細な手順については、「WindowsにinSyncクライアントをインストールする」を参照してください。
- ユーザーがActive Directory(AD)を使用して管理されている組織では、inSync管理者はAmazon WorkSpacesにinSyncクライアントを一括デプロイしてアクティベートできます。詳細については、inSyncクライアントの統合された大規模展開を参照してください。
- inSyncクライアントをアクティベートし、アクティベーション中にReplace an Existing Deviceオプションを選択します。また、Restore Nowを選択して、保護されたデータをユーザーデバイスからAmazon WorkSpaceアカウントに復元します。詳細な手順については inSyncアカウントにリンクされたデバイスのリプレイスを参照してください。
- Druvaは、[ Replace an Existing Device ] オプションを使用してAmazon WorkSpaceをアクティベートすることを推奨します。
- [ Replace an Existing Device ] オプションを使用してAmazon WorkSpaceでinSyncクライアントをアクティベートすると、ユーザーデバイスのinSyncクライアントがアクティベート解除されます。したがって、inSyncクライアントのアクティベート解除後に元デバイスのデータに加えられた変更は、inSyncクラウドでは更新されません。
[ Restore Now ] オプションを選択すると、inSyncはユーザーのAmazon WorkSpaceアカウント上に以下のデータを復元します。
- ユーザーボリューム(D:ドライブ)にUSERPROFILEを復元します
- Amazon WorkspaceのD:\ D_DataフォルダーのD:\ドライブの内容を復元します。
- Amazon WorkspaceのD:\ E_DataフォルダーのE:\ドライブの内容を復元します。
- F:\ドライブの内容をAmazon WorkspaceのD:\ F_Dataフォルダーに復元します。
- 他のドライブを設定している場合、Amazon WorkspaceのD:\にあるフォルダーの内容を復元します。
データの復元が完了したら、ユーザーは目的のデータにアクセスして作業を開始できます。inSyncクライアントは、新しく作成されたデータと更新されたデータをinSyncクラウドにバックアップします。
Amazon WorkSpaceアカウントからユーザーの元デバイスへのフェールバック
inSyncユーザーがデバイス紛失後にITから新しいデバイスを入手した、 デバイス更新作業が終わった、VPNネットワークへのアクセスが復旧した、などでデバイスにアクセスできるようになると、Amazon WorkSpaceアカウント上で作業する必要性がなくなります。
この場合inSync管理者は、ユーザーのAmazon WorkSpaceアカウントからユーザーのデバイス上のマップされたデバイスドライブにデータを移動できます。
以下の手順に従って、ユーザーの元のデバイスを再びプライマリデバイスにして、すべてのドライブの最新データを復元します。
<重要> 次の手順は、以前に作成されたNTFS接合点がデバイスで使用できることを前提としています。
手順1-ユーザーデバイスからinSyncクライアントをアンインストール
inSync管理者として、すでにアクティベート解除された状態のinSyncクライアントをユーザーデバイスからアンインストールします。詳細な手順については、「inSyncクライアントのアンインストール」を参照してください。
<重要> 必ずクリーンアンインストールを実行してください。つまり、デバイスでの構成情報も削除します。
手順2 - 最新のinSyncクライアントをデバイスにインストール
詳細な手順については、「WindowsにinSyncクライアントをインストールする」を参照してください。
手順3 - デバイスでinSyncクライアントをアクティベート
アクティベート中に [ Replace an Existing Device ] オプションを選択します。データを復元するように求められたら、[ Restore Now ] を選択して、Amazon WorkSpaceアカウントからユーザーデバイスの保護されたデータを復元します。詳細な手順については、inSyncアカウントにリンクされたデバイスを交換するを参照してください。
[ Restore Now ] オプションを選択すると、inSyncは次のデータをユーザーのデバイスに復元します-
- USERPROFILEのデータは、ユーザーデバイスのC:\Users\<username>に復元されます。
- Amazon WorkSpaceのD:\ドライブ上のデータは、ユーザーデバイスのD:\に復元されます。