Antes de começar a usar o Active Directory com AppStream 2.0

Antes de usar os domínios do Microsoft Active Directory com AppStream 2.0, esteja ciente dos seguintes requisitos e considerações.

Ambiente de domínio do Active Directory

• Você precisa ter um domínio do Microsoft Active Directory no qual associar suas instâncias de streaming. Se você não tiver um domínio do Active Directory ou quiser usar seu ambiente local do Active Directory, consulte os Serviços de Domínio do Active Directory no Guia de Implantação da Solução de AWS Parceiros.

• Você deve ter uma conta de serviço de domínio com permissões para criar e gerenciar objetos de computador no domínio que você pretende usar com AppStream 2.0. Para obter mais informações, consulte Como criar uma conta de domínio no Active Directory na documentação da Microsoft.

  Ao associar esse domínio do Active Directory ao AppStream 2.0, forneça o nome e a senha da conta de serviço. AppStream 2.0 usa essa conta para criar e gerenciar objetos de computador no diretório. Para ter mais informações, consulte Conceder permissões para criar e gerenciar objetos de computador do Active Directory.

• Ao registrar seu domínio do Active Directory com AppStream 2.0, você deve fornecer um nome distinto de unidade organizacional (OU). Crie uma UO para essa finalidade. O contêiner Computers padrão não é uma UO e não pode ser usado pela AppStream versão 2.0. Para ter mais informações, consulte Localizar o nome distinto da unidade organizacional.

• Os diretórios que você planeja usar com a AppStream versão 2.0 devem estar acessíveis por meio de seus nomes de domínio totalmente qualificados (FQDNs) por meio da nuvem privada virtual (VPC) na qual suas instâncias de streaming são iniciadas. Para obter mais informações, consulte Requisitos da porta do Active Directory e do Active Directory Domain Services na documentação da Microsoft.

Instâncias de streaming 2.0 unidas ao domínio AppStream

A federação de usuários baseada no SAML 2.0 é necessária para streaming de aplicações em frotas sempre ativas e sob demanda associadas a um domínio. Você não pode iniciar sessões em instâncias associadas ao domínio usando o CreateStreamingURL ou o grupo de usuários AppStream 2.0.

Você deve usar uma imagem compatível com a associação de construtores de imagens e frotas a um domínio do Active Directory. Todas as imagens públicas publicadas em 24 de julho de 2017 ou depois oferecem suporte ao ingresso em um domínio do Active Directory. Para obter mais informações, consulte AppStream Notas de versão da atualização de imagem básica e imagem gerenciada 2.0 e Tutorial: Configuração do Active Directory.

nota

Só é possível associar instâncias de streaming de frotas do Windows sempre ativas e sob demanda a um domínio do Active Directory.

Configurações da política de grupo

Verifique sua configuração para as configurações de política de grupo a seguir. Se necessário, atualize as configurações conforme descrito nesta seção para que elas não bloqueiem a autenticação e o login dos usuários do seu domínio pela AppStream versão 2.0. Caso contrário, quando seus usuários tentarem fazer login no AppStream 2.0, o login poderá não ser bem-sucedido. Em vez disso, uma mensagem é exibida, notificando os usuários de que "An unknown error occurred" (Ocorreu um erro desconhecido).

• Computer Configuration > Administrative Templates > Windows Components > Windows Logon Options > Disable or Enable software Secure Attention Sequence: defina como Enabled em Services.

• Configuração do Computador > Modelos Administrativos > Sistema > Logon > Excluir provedores de credenciais – Certifique-se de que os seguintes CLSID não estejam listados: e7c1bab5-4b49-4e64-a966-8d99686f8c7c

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message text for users attempting to log on: defina como Not defined.

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message title for users attempting to log on: defina como Not defined.

Autenticação por cartão inteligente

AppStream 2.0 suporta o uso de senhas de domínio do Active Directory ou cartões inteligentes, como cartões inteligentes Common Access Card (CAC) e Personal Identity Verification (PIV) para login do Windows em instâncias de streaming AppStream 2.0. Para obter informações sobre como configurar seu ambiente do Active Directory a fim de habilitar o login por cartão inteligente usando autoridades de certificação (CAs) de terceiros, consulte Diretrizes para habilitar o logon de cartão inteligente com autoridades de certificação de terceiros na documentação da Microsoft.

nota

AppStream A versão 2.0 também suporta o uso de cartões inteligentes para autenticação em sessão depois que um usuário faz login em uma instância de streaming. Esse recurso é suportado somente para usuários que têm o cliente AppStream 2.0 para Windows versão 1.1.257 ou posterior instalado. Para obter informações sobre requisitos adicionais, consulte Cartões inteligentes.