在你开始在 AppStream 2.0 中使用活动目录之前 - 亚马逊 AppStream 2.0

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在你开始在 AppStream 2.0 中使用活动目录之前

在 AppStream 2.0 中使用 Microsoft Active Directory 域名之前,请注意以下要求和注意事项。

Active Directory 域环境

已加入域名的 2.0 流式传输实例 AppStream

从加入域的 Always-On 和 On-Demand 实例集进行应用程序流式传输需要基于 SAML 2.0 的用户联合身份验证。您无法使用 CreateStreamingURL 或 AppStream 2.0 用户池启动与已加入域的实例的会话。

另外,必须使用支持将映像生成器和实例集加入 Active Directory 域的映像。所有在 2017 年 7 月 24 日或之后发布的公有映像都支持加入 Active Directory 域。有关更多信息,请参阅 AppStream 2.0 基础映像和托管映像更新发行说明教程:设置 Active Directory

注意

只能将 Windows Always-On 和 On-Demand 实例集流实例加入 Active Directory 域。

组策略设置

验证以下组策略设置的配置。如果需要,请按照本节所述更新设置,这样它们就不会阻止 AppStream 2.0 对您的域用户进行身份验证和登录。否则,当您的用户尝试登录到 AppStream 2.0 时,登录可能无法成功。相反,会显示一条消息,通知用户“发生未知错误”。

  • 计算机配置 > 管理模板 > Windows 组件 > Windows 登录选项 > 禁用或启用软件安全注意序列 – 对于服务,将此项设置为启用

  • 计算机配置 > 管理模板 > 系统 > 登录 > 排除凭据提供程序 – 确保以下 CLSID 列出:e7c1bab5-4b49-4e64-a966-8d99686f8c7c

  • 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息文本 – 将此项设置为未定义

  • 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息标题 – 将此项设置为未定义

智能卡身份验证

AppStream 2.0 支持使用 Active Directory 域密码或智能卡,例如通用访问卡 (CAC)个人身份验证 (PIV) 智能卡,用于登录 AppStream 2.0 流媒体实例。有关如何将 Active Directory 环境配置为使用第三方证书颁发机构(CA)启用智能卡登录的信息,请参阅 Microsoft 文档中的 Guidelines for enabling smart card logon with third-party certification authorities

注意

AppStream 2.0 还支持在用户登录流媒体实例后使用智能卡进行会话内身份验证。只有安装了 Windows 版本 1.1.257 或更高版本的 AppStream 2.0 客户端的用户才支持此功能。有关其他要求的信息,请参阅智能卡