こんにちは、石川です。
はじめに
Windows版のAWS WorkSpacesでは、ローカル端末とWorkSpaces間のコピー&ペーストを利用できます。
普段の運用では便利な機能ですが、業務データや機密情報を扱う環境では、「端末側へ情報を簡単に持ち出せてしまう」という点が気になることもあります。
特に、利用者ごとに端末の管理レベルが異なる環境では、WorkSpaces側であらかじめ制御しておきたい場面もあると思います。
今回は、Windows WorkSpacesで端末とWorkSpaces間のコピペを禁止する方法を、できるだけシンプルに整理します。
内容
設定は、ActiveDirectoryのグループポリシー(GPO)から行います。
確認する設定箇所は以下です。
Computer Configuration
→ Policies
→ Administrative Templates
→ Amazon
→ WSP
→ Configure clipboard redirection
この項目でDisabledを設定すると、端末とWorkSpaces間のコピー&ペーストを禁止できます。
そのため、ローカル端末からWorkSpacesへ文字列を貼り付けたり、逆にWorkSpaces上の情報を端末側へコピーしたりといった操作を抑止したい場合に有効です。
また、すべてを禁止するだけでなく、運用に応じて制御を細かく分けることもできます。
Enabledを選択した場合は、以下のような設定が可能です。
- Copy and Paste:双方向で許可
- Copy Only:WorkSpacesから端末へのコピーのみ許可
- Paste Only:端末からWorkSpacesへの貼り付けのみ許可
たとえば、端末からの入力は許可しつつ、WorkSpaces内の情報を外へ持ち出しにくくしたい場合は、片方向だけ許可する構成も考えられます。
一方で、まずは分かりやすく制御したい場合は、Disabledで完全に禁止する設定が取り入れやすいと思います。
なお、設定変更後はすぐに反映されない場合があります。
そのため、必要に応じてgpupdate /forceを実行するか、WorkSpacesを再起動して反映を確認すると安心です。
設定を変えたのに動作が変わらないように見える場合は、反映タイミングを先に疑うと切り分けしやすくなります。
まとめ
Windows版AWS WorkSpacesで端末とWorkSpaces間のコピペを禁止したい場合は、
GPOの「Configure clipboard redirection」をDisabledに設定します。
設定自体はシンプルですが、情報持ち出し対策としては分かりやすく、有効な方法です。
WorkSpacesを業務利用している環境では、利便性とセキュリティのバランスを見ながら、一度設定方針を確認しておくとよいと思います。