Antes de empezar a usar Active Directory con AppStream la versión 2.0

Antes de usar los dominios de Microsoft Active Directory con AppStream 2.0, tenga en cuenta los siguientes requisitos y consideraciones.

Entorno de dominio de Active Directory

• Debe tener un dominio de Microsoft Active Directory al que unir las instancias de streaming. Si no tiene un dominio de Active Directory o quiere usar su entorno local de Active Directory, consulte la Guía de implementación de los servicios de dominio de Active Directory en la solución de AWS socios.

• Debe tener una cuenta de servicio de dominio con permisos para crear y administrar objetos informáticos en el dominio que vaya a utilizar con la AppStream versión 2.0. Para obtener información, consulte How to Create a Domain Account in Active Directory en la documentación de Microsoft.

  Cuando asocie este dominio de Active Directory a AppStream 2.0, proporcione el nombre y la contraseña de la cuenta de servicio. AppStream 2.0 usa esta cuenta para crear y administrar los objetos de equipo del directorio. Para obtener más información, consulte Concesión de permisos para crear y administrar objetos de equipo de Active Directory.

• Al registrar el dominio de Active Directory con la AppStream versión 2.0, debe proporcionar un nombre distintivo de la unidad organizativa (OU). Cree una OU con este fin. El contenedor de ordenadores predeterminado no es una unidad organizativa y AppStream 2.0 no lo puede utilizar. Para obtener más información, consulte Obtención del nombre distinguido de la unidad organizativa.

• Los directorios que planea usar con AppStream 2.0 deben estar accesibles a través de sus nombres de dominio completos (FQDN) a través de la nube privada virtual (VPC) en la que se lanzan las instancias de streaming. Para obtener más información, consulte Active Directory and Active Directory Domain Services Port Requirements en la documentación de Microsoft.

Instancias de streaming 2.0 unidas a un dominio AppStream

Se necesita una federación de usuarios basada en SAML 2.0 para la transmisión en streaming de aplicaciones desde las flotas de funcionamiento continuo y bajo demanda asociadas al dominio. No puede iniciar sesiones en instancias unidas a un dominio mediante la CreateStreamingURL o el AppStream grupo de usuarios 2.0.

Además, debe utilizar una imagen que permita asociar constructores de imágenes y flotas a un dominio de Active Directory. Todas las imágenes públicas publicadas a partir del 24 de julio de 2017 incluido admiten la incorporación a un dominio de Active Directory. Para obtener más información, consulte AppStream Notas de la versión 2.0 de la actualización de imágenes base e imágenes gestionadas y Tutorial: Configuración de Active Directory.

nota

Solo puede asociar las instancias de streaming de la flota de funcionamiento continuo y bajo demanda de Windows a un dominio de Active Directory.

Configuración de la política de grupo

Compruebe la configuración de las siguientes opciones de política de grupo. Si es necesario, actualiza la configuración tal y como se describe en esta sección para que no impida que AppStream 2.0 autentique e inicie sesión a los usuarios de tu dominio. De lo contrario, cuando los usuarios intenten iniciar sesión en la AppStream versión 2.0, es posible que el inicio de sesión no se realice correctamente. En su lugar, aparece un mensaje en el que se notifica a los usuarios que «se ha producido un error desconocido».

• Configuración del equipo > Plantillas administrativas > Componentes de Windows > Opciones de inicio de sesión de Windows > Desactivar o activar el software Secuencia de atención segura: establézcala en Habilitada para los servicios.

• Computer Configuration > Administrative Templates > System > Logon > Exclude credential providers: compruebe que el CLSID siguiente no figure en la lista: e7c1bab5-4b49-4e64-a966-8d99686f8c7c

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message text for users attempting to log on: establezca esta opción en No definido.

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message title for users attempting to log on: establezca esta opción en No definido.

Autenticación con tarjeta inteligente

AppStream La versión 2.0 admite el uso de contraseñas de dominio de Active Directory o tarjetas inteligentes como las tarjetas inteligentes Common Access Card (CAC) y Personal Identity Verification (PIV) para iniciar sesión con Windows en instancias de streaming AppStream 2.0. Para obtener información acerca de cómo configurar el entorno de Active Directory para permitir el inicio de sesión con tarjetas inteligentes mediante entidades de certificación (CA) de terceros, consulte las Guidelines for enabling smart card logon with third-party certification authorities en la documentación de Microsoft.

nota

AppStream La versión 2.0 también admite el uso de tarjetas inteligentes para la autenticación durante la sesión después de que el usuario inicie sesión en una instancia de streaming. Esta función solo es compatible con los usuarios que tengan instalado el cliente AppStream 2.0 para Windows, versión 1.1.257 o posterior. Para obtener información sobre los requisitos adicionales, consulte Tarjetas inteligentes.