Restreindre WorkSpaces l'accès aux appareils fiables - Amazon WorkSpaces
Étape 1 : Créer des certificatsÉtape 2 : Déployer les certificats clients vers les appareils approuvésÉtape 3 : Configurer la restriction

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Restreindre WorkSpaces l'accès aux appareils fiables

Par défaut, les utilisateurs peuvent y accéder WorkSpaces depuis n'importe quel appareil compatible connecté à Internet. Si votre entreprise limite l'accès aux données d'entreprise aux appareils fiables (également appelés appareils administrés), vous pouvez restreindre WorkSpaces l'accès aux appareils fiables dotés de certificats valides.

Lorsque vous activez cette fonctionnalité, elle WorkSpaces utilise l'authentification basée sur des certificats pour déterminer si un appareil est fiable. Si l'application WorkSpaces cliente ne parvient pas à vérifier qu'un appareil est fiable, elle bloque les tentatives de connexion ou de reconnexion depuis l'appareil.

Pour chaque annuaire, vous pouvez importer jusqu'à deux certificats racines. Si vous importez deux certificats racines, WorkSpaces présentez-les tous les deux au client et celui-ci trouve le premier certificat valide correspondant à l'un ou l'autre des certificats racines.

Clients pris en charge

  • Android, fonctionnant sur Android ou sur des systèmes Chrome OS compatibles avec Android

  • macOS

  • Windows

Important

Cette fonctionnalité n'est prise en charge que pour les clients suivants :

  • WorkSpaces applications clientes pour Linux ou iPad

  • Clients tiers, y compris, mais sans s'y limiter, PCoIP Teradici, les clients RDP et les applications de bureau à distance

Note

Lorsque vous activez l'accès pour des clients spécifiques, assurez-vous de bloquer l'accès pour les autres types d'appareils dont vous n'avez pas besoin. Pour plus d'informations sur la procédure à suivre, reportez-vous à l'étape 3.7 ci-dessous.

Étape 1 : Créer des certificats

Cette fonctionnalité nécessite deux types de certificats : les certificats racines générés par une autorité de certification et les certificats clients qui se lient à un certificat racine.

Prérequis

  • Les certificats racine doivent être des fichiers encodés en Base64 au format CRT, CERT ou PEM.

  • Les certificats racine doivent satisfaire au modèle d'expression régulière suivant, ce qui signifie que chaque ligne codée, à part la dernière, doit comporter exactement 64 caractères : -{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A).

  • Les certificats d'appareil doivent inclure un nom commun.

  • Les certificats d'appareil doivent inclure les extensions suivantes : Key Usage: Digital Signature et Enhanced Key Usage: Client Authentication.

  • Tous les certificats de la chaîne, du certificat d'appareil à l'autorité de certification racine approuvée, doivent être installés sur l'appareil client.

  • La longueur maximale de chaîne de certificats prise en charge est 4.

  • WorkSpaces ne prend actuellement pas en charge les mécanismes de révocation des appareils, tels que les listes de révocation de certificats (CRL) ou le protocole OCSP (Online Certificate Status Protocol), pour les certificats clients.

  • Utilisez un algorithme de chiffrement puissant. Nous vous recommandons SHA256 avec RSA, SHA256 avec ECDSA, SHA384 avec ECDSA ou SHA512 avec ECDSA.

  • Pour macOS, si le certificat de l'appareil se trouve dans le trousseau du système, nous vous recommandons d'autoriser l'application WorkSpaces cliente à accéder à ces certificats. Sinon, les utilisateurs doivent saisir les informations d'identification du trousseau lorsqu'ils se connectent ou se reconnectent.

Étape 2 : Déployer les certificats clients vers les appareils approuvés

Sur les appareils approuvés pour les utilisateurs, vous devez installer un ensemble de certificats qui inclut tous les certificats de la chaîne, du certificat de l'appareil à l'autorité de certification racine approuvée. Vous pouvez utiliser votre solution préférée pour installer des certificats dans votre flotte d'appareils clients ; par exemple, System Center Configuration Manager (SCCM) ou la gestion des périphériques mobiles (MDM). Notez que le SCCM et le MDM peuvent éventuellement effectuer une évaluation du niveau de sécurité afin de déterminer si les appareils répondent aux politiques d'accès de votre entreprise. WorkSpaces

Les applications WorkSpaces clientes recherchent les certificats comme suit :

  • Android : accédez à Paramètres, choisissez Sécurité et localisation, Informations d'identification, puis choisissez Installer depuis une carte SD.

  • Systèmes Chrome OS compatibles avec Android : ouvrez les paramètres Android et choisissez Sécurité et localisation, Informations d'identification, puis choisissez Installer depuis une carte SD.

  • macOS : recherche les certificats clients dans le trousseau.

  • Windows : recherche les certificats clients dans les magasins de certificats utilisateur et racine.

Étape 3 : Configurer la restriction

Après avoir déployé les certificats clients sur les appareils approuvés, vous pouvez activer un accès restreint au niveau de l'annuaire. Cela nécessite que l'application WorkSpaces cliente valide le certificat sur un appareil avant d'autoriser un utilisateur à se connecter à un WorkSpace.

Pour configurer la restriction

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Dans le volet de navigation, choisissez Directories (Annuaires).

  3. Sélectionnez l'annuaire et choisissez Actions, Mettre à jour les détails.

  4. Développez Options de contrôle d'accès.

  5. Sous Pour chaque type d'appareil, spécifiez les appareils auxquels il est possible d'accéder WorkSpaces, puis sélectionnez Appareils sécurisés.

  6. Importez jusqu'à deux certificats racines. Pour chaque certificat racine, procédez comme suit :

    1. Choisissez Import (Importer).

    2. Copiez le corps du certificat dans le formulaire.

    3. Choisissez Import (Importer).

  7. Spécifiez si d'autres types d'appareils ont accès à WorkSpaces.

    1. Faites défiler la page jusqu'à la section Autres plateformes. Par défaut, les clients WorkSpaces Linux sont désactivés et les utilisateurs peuvent y accéder WorkSpaces depuis leurs appareils iOS, Android, Web Access, Chromebooks et appareils clients PCoIP zéro.

    2. Sélectionnez les types d'appareils à activer et effacez ceux à désactiver.

    3. Pour bloquer l'accès à partir de tous les types d'appareils sélectionnés, choisissez Bloc.

  8. Choisissez Update and Exit (Mettre à jour et quitter).