クラウドインテグレーション事業部の池田(kiwi_clp)です。

EC2などでリモートデスクトップサービスをご利用かつSPLA(Services Provider License Agreement)形式でリモートデスクトップライセンス(RDS SAL)を利用している場合、AWS License Manager経由でのライセンス提供及び管理に移行する必要がありますので移行手順を説明します。

なぜAWS License Managerに移行しなければいけないのかを説明すると、Microsoftが2025年9月30日以降、AWS含むクラウド環境でSPLA形式でのライセンスをBYOL形式で持ち込み利用の許可をしないことを発表しました。
もともとSPLAは自社のデータセンターのサービスでMicrosoftライセンスを提供する目的であったが、他社のデータセンター(AWSなど)で利用する想定ではないと記載されており、本来の目的とそぐわない現状の提供を制限する目的なのかと理解しています。

発表の詳細については下記のURLをご確認ください。

New licensing benefits make bringing workloads and licenses to partners’ clouds easier(Microsoft)
https://partner.microsoft.com/en-US/blog/article/new-licensing-benefits-make-bringing-workloads-and-licenses-to-partners-clouds-easier/#:~:text=%E3%82%A2%E3%82%A6%E3%83%88%E3%82%BD%E3%83%BC%E3%82%B7%E3%83%B3%E3%82%B0%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%20SPLA%20%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0%E3%81%AE%E6%9B%B4%E6%96%B0

AWSの公式ドキュメントにも制限の記載がありますのでソースとしてご利用ください。

Microsoft ワークロードを に移行するためのオプション、ツール、ベストプラクティス AWS
https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-microsoft-workloads-aws/licensing-microsoft-workloads.html#:~:text=Microsoft%20%E3%81%AF%E3%80%812025,%E3%80%82

前提について

本記事は以下の環境を前提に記載しております。環境が異なる場合は適意読み替えてください。

  • セルフホストAD環境 Active Directoryサーバ2台構成(EC2)
  • 踏み台サーバ(リモートデスクトップサーバ)にSPLAライセンスをインストール済み
  • 踏み台サーバ(リモートデスクトップサーバ)にリモートデスクトップの機能をインストール、ライセンスマネージャーもインストールして1台構成
  • 利用中のRDS SALライセンスSPLAは指定事業者からのライセンス提供

※officeを利用する場合はセルフホストADではご利用出来ません。マネージドサービスのMicrosoft ADが必要となります。

検証構成図

  • Active Directory及び踏み台サーバ、AWS License Managerは同一AWSアカウント内で構成

ざっくりやること

  1. AWS Secrets ManagerへActiveDirectoryサーバの認識情報を登録
  2. AWS License Managerの設定
  3. AWS License ManagerとActiveDirectoryの接続
  4. AWS License Managerと接続を行うEndpointの設置
  5. SPLAライセンスを利用していたリモートデスクトップサーバの設定変更を行い、AWS License Managerからのライセンスを利用するように設定を行う。
  6. 既存SPLAライセンスの削除

移行手順

1.RDS SALのエンドポイントの名前解決が出来るようにAWS License Managerや踏み台サーバが稼働するVPCの名前解決を有効にする。

2.Secrets ManagerにセルフホストADのDomain Adminグループに所属しているユーザの認証情報を登録する。
シークレットのタイプは「その他のシークレットのタイプ」を選択し、キー、値は以下の通り。

キー
username 登録するユーザ名
password 登録するユーザのパスワード

Domain Adminの権限付与が出来ない場合は下記記事を参考に権限設定を行ってください。

https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html

ただしOUの作成、コンピュータのドメイン参加などの権限が必要で、制御の委任を行う必要があり複雑になります。

名前はlicense-manager-user-{任意の名前}で登録をします。
※license-manager-user-は必ず名前付けする必要があります。

ローテーションは設定せず次へ進んで作成してください。

3.Active DirectoryとAWS License Managerを接続を行いますのでAWS License Managerから接続出来るようにセルフホストADのSGに通信許可を行います。

ただし、AWS License ManagerのENIがどのIPが使われるか分かりませんので一旦サブネット単位などで許可してください。

通信許可は以下のページに記載のAD関連の通信で問題ないと思いますが検証はanyでの接続で許可を行っておりましたのでうまくいかない場合はanyで接続許可してみてください。

最終的にはAWS License ManagerのENIからのみ接続を絞ることも可能です。

https://jpwinsup.github.io/blog/2023/10/03/ActiveDirectory/Authentication/port/

AWS License Managerのサービスメニューに遷移して左ナビゲーションメニューの[ユーザベースのサブスクリプション]を選択し、[リモートデスクトップサービス(RDS)]を選択。
【Active Directoryを登録】を選択します。

この時サブスクライブが必要と出た場合はサブスクライブしてから同手順を実行してください。

 

登録画面が表示しますのでドメイン名、ドメインコントローラのIPを入力してください。

AWS License Managerのエンドポイントを配置するVPCとサブネットを選択して事前に作成したシークレットを選択して【登録】ボタンを選択します。

※オンプレミス等別ネットワークのADサーバを指定する場合はオンプレミスのADサーバと接続出来るVPC及びサブネットを選択してください。

登録を選択すると登録が進行します。

登録が完了すると以下のようにステータスが登録済みになります。

登録が完了するとAWS License ManagerのENIが作成されます。
このENIはSGにdefault SGが利用されるためdefaultの通信許可をany接続許可から絞っている場合は登録が失敗します。ADサーバとのAD関連の通信許可を設定してください。

4.続いてRDS SALのライセンスサーバを設定します。

【RDSライセンスサーバーを設定】を選択してください。

シークレットは作成済みのシークレットを指定してください。

10分ほどでプロビジョニング済みに変わります。

プロビジョニング済みになるとRDS SAL用のENIが2個作られます。

RDS SAL用のENIに自動作成されるSGがアタッチされています。ソースがanyになっているので絞る場合はSGを編集してください。

RDSライセンスサーバーのエンドポイントIDのリンクを選択し、Microsoft RDSライセンスサーバーエンドポイントをコピーしておいてください。
後ほど利用します。

5.続いてユーザのサブスクリプションを行います。

左ナビゲーションの[ユーザーベースのサブスクリプション]の[製品]を選択し、Microsoft Remote Desktop Services (RDS)のリンクを選択してください。

[ユーザをサブスクライブ]を選択します。

登録したドメインを選択し、リモートデスクトップ接続するユーザを登録します。

グループポリシーオブジェクトの登録案内が表示されますが、後ほどローカルポリシーで設定を行いますのでそのままサブスクライブしてください。

ユーザがサブスクライブされると以下のような表記となります。

本手順で手動サブスクライブしていないユーザでログインすると自動的にサブスクライブに追加されます。

6.続いて踏み台サーバのローカルポリシーを編集してリモートデスクトップのライセンスサーバをMicrosoft RDSライセンスサーバーエンドポイントを指定します。

踏み台サーバの管理者権限でログインし、ローカルポリシーを開き【ローカルコンピュータポリシー】→【管理用テンプレート】→【Windowsコンポーネント】→【リモートデスクトップ】→【リモートデスクトップセッションホスト】→【ライセンス】→【指定のリモートデスクトップライセンスサーバを使用する】を編集、控えておいたMicrosoft RDSライセンスサーバーエンドポイントを設定します。

もしライセンスモードがデバイスに設定されている場合は接続ユーザ数に変更します。

踏み台サーバでRDライセンス診断機能を開き、利用可能なライセンスが19999などの数に増えてライセンスサーバの指定がMicrosoft RDSライセンスサーバーエンドポイントになっていることを確認します。

AWS Secrets Managerで指定したユーザ以外で踏み台サーバにログインしている場合は資格情報が「利用不可」となりますが問題ありません。
可能であればAWS Secrets Managerで指定したユーザで踏み台サーバにログインして資格情報が「利用可能」になっていることを確認してください。
※AWS Secrets Managerで指定したユーザでログインすると自動的にユーザがサブスクライブされるのでご注意ください。課金対象となります。

7.最後に利用していた持ち込みのSPLAライセンスを解除します。RDライセンスマネージャーの【ライセンスサーバーデータベースを再構築する】から再構築して削除してください。

ライセンスの再入力はキャンセルでOKです。

削除後の画面は以下の通りとなりました。

AWS Secrets Managerで指定したユーザで踏み台サーバにログインしたあとにRDライセンスマネージャーでMicrosoft RDSライセンスサーバーエンドポイントに接続すると以下のようにライセンス数などが表示されます。
※エンドポイント名で表示しない場合はAWS License Manager→ユーザーベースのサブスクリプション: 製品→Microsoft Remote Desktop Services (RDS)にアクセスして表示されているサーバIPで接続してください。

手動でサブスクライブしていないユーザでログインすると以下のように自動サブスクライブされます。

一時的に接続したユーザなどは【ユーザーのサブスクリプションを解除】を選択してサブスクリプションの解除をしてください。サブスクライブされている状態ですと課金が発生します。
※サブスクリプションを解除しても最低60日は課金が発生します。

以上でSPLAで利用しているリモートデスクトップライセンスをAWS License Managerに移行完了です。

事前のお客様との調整事項

  • 踏み台サーバ(リモートデスクトップサーバ)の再起動調整
    • ライセンスの変更に伴うローカルポリシーの反映がgpupdateでできない場合の再起動などが必要な場合がある。
  • AWS Secrets Managerに登録するADユーザの払い出し
    • Domain Adminグループ所属のユーザ払い出しを調整する。
    • 設定時のみではなく恒久的にユーザが有効である必要がある。
  • ENIが3個新規作成されるため、IP管理をされている場合は事前に申請する。
  • AWS License Managerのサブスクリプションからユーザを削除する運用を事前に依頼しておく。
  • サブスクリプション解除しても2-3ヶ月は課金が発生する旨の説明をしておく。

注意事項

  • サブスクリプションを解除する場合、Active Directoryのユーザ削除を行ってからサブスクリプションを解除しないと2-3ヶ月ライセンス請求が行われてしまう。
    • ユーザ削除してサブスクリプションを解除したが課金は2ヶ月ほど発生したので要検証。
  • シングルラベルドメイン(example.localではなくexampleのようなドメイン)はAWSのLicence ManagerでのSPLA提供ができない。
  • ライセンスモードはユーザモードのみです。
  • 自動サブスクライブされ、マネージドコンソール上に反映する時間は数時間ほどかかる場合がある。
  • defaultのSGをany接続から変更している場合は登録に失敗する。

8月に入り2025年9月30日まで残り2ヶ月を切りましたのでまだ移行が出来ていない方は本記事を参考に移行を進めてもらえますと幸いです。