Le rôle de l' AWS AD Connector auprès d'Amazon WorkSpaces

L'AWS AD Connector est un service d' AWS annuaire qui agit comme un service proxy pour un Active Directory. Il ne stocke ni ne met en cache les informations d'identification utilisateur, mais transmet les demandes d'authentification ou de recherche à votre Active Directory, sur site ou sur site. AWS À moins que vous ne l'utilisiez AWS Managed Microsoft AD, c'est également le seul moyen d'enregistrer votre Active Directory (sur site ou étendu à AWS) pour une utilisation avec Amazon WorkSpaces (WorkSpaces).

Un AD Connector peut pointer vers votre Active Directory local, vers un Active Directory étendu à AWS (contrôleurs de domaine AD sur Amazon EC2) ou vers un. AWS Managed Microsoft AD

L'AD Connector joue un rôle important dans la plupart des scénarios de déploiement décrits dans les sections suivantes. L'utilisation de l'AD Connector WorkSpaces offre de nombreux avantages :

• Lorsqu'ils sont dirigés vers l'Active Directory de votre entreprise, il permet à vos utilisateurs d'utiliser leurs informations d'identification professionnelles existantes pour se connecter à WorkSpaces d'autres services, tels qu'Amazon WorkDocs.

• Vous pouvez appliquer de manière cohérente les politiques de sécurité existantes (expiration des mots de passe, verrouillage des comptes, etc.), que vos utilisateurs accèdent aux ressources de votre infrastructure sur site ou dans une infrastructure telle que. AWS Cloud WorkSpaces

• L'AD Connector permet une intégration simple à votre infrastructure MFA existante basée sur Radius afin de fournir un niveau de sécurité supplémentaire.

• Il permet de séparer vos utilisateurs. Par exemple, il permet de configurer un certain nombre d' WorkSpaces options par unité commerciale ou par personne, étant donné que plusieurs connecteurs AD peuvent pointer vers les mêmes contrôleurs de domaine (serveurs DNS) d'Active Directory pour l'authentification des utilisateurs :

  • Domaine cible ou unité organisationnelle pour une application ciblée des objets de stratégie de groupe (GPO) Active Directory

  • Différents groupes de sécurité pour contrôler le flux de trafic vers/depuis WorkSpaces

  • Différentes options de contrôle d'accès (appareils clients autorisés) et groupes de contrôle d'accès IP (limite d'accès aux plages d'adresses IP)

  • Activation sélective des autorisations d'administrateur local

  • Différentes autorisations en libre-service

  • Application sélective de l'authentification multifactorielle (MFA)

  • Placement de vos interfaces réseau WorkSpaces élastiques (ENI) dans différents VPC ou sous-réseaux à des fins d'isolation

Les connecteurs AD multiples permettent également de prendre en charge un plus grand nombre d'utilisateurs, si vous atteignez la limite de performance d'un seul connecteur AD, petit ou grand. Reportez-vous à la Dimensionnement de AWS Managed Microsoft AD section pour plus de détails.

L'utilisation d'AD Connector WorkSpaces est gratuite, à condition que vous ayez au moins un WorkSpaces utilisateur actif dans un petit AD Connector et au moins 100 WorkSpaces utilisateurs actifs dans un grand AD Connector. Pour plus d'informations, consultez la page de tarification des services d'AWS annuaire.

L'importance de votre lien réseau AWS avec un Active Directory sur site

WorkSpaces repose sur la connectivité à votre Active Directory. Par conséquent, la disponibilité du lien réseau vers votre Active Directory est de la plus haute importance. Par exemple, si votre liaison réseau dans le scénario 1 est en panne, vos utilisateurs ne pourront pas s'authentifier et ne pourront donc pas utiliser leur WorkSpaces.

Si un Active Directory sur site doit être utilisé dans le cadre du scénario, vous devez tenir compte de la résilience, de la latence et du coût du trafic de votre liaison réseau. AWS Dans un WorkSpaces déploiement multirégional, cela peut impliquer plusieurs liaisons réseau dans différentes AWS régions, ou plusieurs liaisons réseau avec AWS Transit Gateway un peering établi entre elles pour acheminer votre trafic AD vers le VPC connecté à votre AD sur site. Ces considérations relatives aux liens réseau s'appliquent à la plupart des scénarios décrits dans les sections suivantes, mais elles sont particulièrement importantes pour les scénarios dans lesquels votre trafic AD en provenance des connecteurs AD WorkSpaces doit traverser le lien réseau pour atteindre votre Active Directory sur site. Le scénario 1 met en évidence certaines des mises en garde.

Utilisation de l'authentification multifactorielle avec WorkSpaces

Si vous envisagez d'utiliser la Multi-Factor Authentication (MFA) WorkSpaces avec, vous devez utiliser un AD AWS Connector ou AWS Managed Microsoft AD un AD Connector, car seuls ces services autorisent l'enregistrement de l'annuaire à utiliser WorkSpaces et à configurer RADIUS. Pour le placement de vos serveurs RADIUS, les considérations relatives aux liaisons réseau abordées dans la L'importance de votre lien réseau AWS avec un Active Directory sur site section s'appliquent.

Séparer le compte du domaine de ressources

Pour des raisons de sécurité ou pour une meilleure gestion, il peut être souhaitable de séparer le domaine du compte du domaine des ressources. Par exemple, placez les objets WorkSpaces informatiques dans un domaine de ressources distinct, tandis que les utilisateurs font partie du domaine du compte. Une telle implémentation peut être utilisée pour permettre à une organisation partenaire de gérer l' WorkSpacesutilisation des politiques de groupe AD dans le domaine des ressources, sans pour autant renoncer au contrôle ni accorder l'accès au domaine du compte. Cela peut être accompli en utilisant deux Active Directory avec un Active Directory Trust configuré. Les sections suivantes traitent de cette question plus en détail :

• Scénario 4 : AWS Microsoft AD et une confiance transitive bidirectionnelle vers les environnements locaux

• Scénario 6 : AWS Microsoft AD, VPC à services partagés et confiance unidirectionnelle sur site

Déploiements Active Directory de grande envergure

Vous devez vous assurer qu'Active Directory Sites & Services est configuré en conséquence. Cela est particulièrement important si votre Active Directory est composé d'un grand nombre de contrôleurs de domaine situés dans différentes zones géographiques. Votre Windows WorkSpaces utilise le mécanisme standard de Microsoft pour découvrir son contrôleur de domaine pour le site Active Directory auquel il est affecté. Ce processus DC Locator repose sur le DNS et peut être considérablement prolongé si une longue liste de contrôleurs de domaine dont la priorité et le poids ne sont pas spécifiques est renvoyée au début du processus DC Locator. Plus important encore, si WorkSpaces vous êtes « épinglé » sur un contrôleur de domaine sous-optimal, toutes les communications ultérieures avec ce contrôleur de domaine peuvent être affectées par une latence réseau accrue et une réduction de la bande passante lorsque vous traversez des liaisons réseau étendues. Cela ralentira toute communication avec le contrôleur de domaine, y compris le traitement d'un nombre potentiellement important d'objets de stratégie de groupe (GPO) et les transferts de fichiers depuis le contrôleur de domaine. En fonction de la topologie du réseau, cela peut également augmenter vos coûts de mise en réseau, car les données échangées entre WorkSpaces les contrôleurs de domaine peuvent emprunter inutilement un chemin réseau plus coûteux. Reportez-vous aux Considérations relatives à la conception sections Conception en VPC et pour obtenir des conseils sur le DHCP et le DNS dans le cadre de la conception de votre VPC, ainsi que sur les sites et services Active Directory.

Utilisation de Microsoft Azure Active Directory ou des services de domaine Active Directory avec WorkSpaces

Si vous avez l'intention d'utiliser Microsoft Azure Active Directory avec WorkSpaces, vous pouvez utiliser Azure AD Connect pour synchroniser votre identité avec votre Active Directory local ou avec votre Active Directory sur AWS (contrôleur de domaine sur Amazon EC2 AWS Managed Microsoft AD ou). Toutefois, cela ne vous permettra pas de WorkSpaces rejoindre votre Azure Active Directory. Pour plus d'informations, consultez la documentation Microsoft Hybrid Identity dans la documentation Microsoft Azure.

Si vous souhaitez vous connecter WorkSpaces à Azure Active Directory, vous devez déployer les services de domaine Microsoft Azure Active Directory (Azure AD DS), établir une connectivité entre Azure AWS et Azure et utiliser un connecteur AWS AD pointant vers vos contrôleurs de domaine Azure AD DS. Pour plus d'informations sur la façon de configurer cela, consultez le billet de blog Ajouter votre WorkSpaces compte à Azure AD à l'aide des services de domaine Azure Active Directory.

Lorsque vous utilisez AWS Directory Service s with WorkSpaces, vous devez tenir compte de la taille de votre WorkSpaces déploiement et de sa croissance attendue afin de déterminer la taille AWS Directory Service appropriée. Cette section fournit des conseils sur le dimensionnement AWS Directory Service à utiliser avec WorkSpaces. Nous vous recommandons également de consulter les meilleures pratiques pour AD Connector et les meilleures pratiques pour les AWS Managed Microsoft AD sections du Guide d'AWS Directory Service administration.

Dimensionnement de l'AD Connector avec WorkSpaces

Le connecteur Active Directory (AD Connector) est disponible en deux tailles, petite et grande. Bien qu'aucune limite d'utilisateur ou de connexion ne soit imposée, nous recommandons d'utiliser un petit AD Connector pour un maximum de 500 utilisateurs WorkSpaces autorisés, et un AD Connector de grande taille pour un maximum de 5 000 utilisateurs WorkSpaces autorisés. Vous pouvez répartir la charge des applications sur plusieurs AD Connector afin de répondre à vos besoins en termes de performances. Par exemple, si vous devez prendre en charge 1 500 WorkSpaces utilisateurs, vous pouvez répartir le vôtre de WorkSpaces manière égale sur trois petits AD Connector, chacun prenant en charge 500 utilisateurs. Si tous vos utilisateurs résident dans le même domaine, l'AD Connector peut tous pointer vers le même ensemble de serveurs DNS résolvant votre domaine Active Directory.

Remarque : si vous avez commencé avec un petit AD Connector et que votre WorkSpaces déploiement s'étoffe au fil du temps, vous pouvez créer un ticket d'assistance pour faire passer la taille de votre AD Connector de petite taille à grande afin de prendre en charge le plus grand nombre d'utilisateurs WorkSpaces autorisés.

Dimensionnement de AWS Managed Microsoft AD

AWS Managed Microsoft ADvous permet d'exécuter Microsoft Active Directory en tant que service géré. Vous pouvez choisir entre l'édition Standard et l'édition Enterprise lorsque vous lancez le service. L'édition Standard est recommandée pour les petites et moyennes entreprises comptant jusqu'à 5 000 utilisateurs et prend en charge environ 30 000 objets de répertoire, tels que des utilisateurs, des groupes et des ordinateurs. L'édition Enterprise est conçue pour prendre en charge jusqu'à 500 000 objets de répertoire et propose également une fonctionnalité supplémentaire, telle que la réplication multirégionale.

Si vous devez prendre en charge plus de 500 000 objets d'annuaire, envisagez de déployer des contrôleurs de domaine Microsoft Active Directory sur Amazon EC2. Pour le dimensionnement de ces contrôleurs de domaine, reportez-vous au document de planification des capacités pour les services de domaine Active Directory de Microsoft.