为 WorkSpaces 个人创建目录 - Amazon WorkSpaces
识别计算机名称在开始创建目录之前创建一个 AWS 微软 AD 托管目录创建 Simple AD 目录创建 AD Connector建立信任关系创建专用的微软 Entra ID 目录创建专用的自定义目录

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 WorkSpaces 个人创建目录

个人 WorkSpaces 版允许您使用通过管理的目录 AWS Directory Service 为您 WorkSpaces 和用户存储和管理信息。以下是用于创建 WorkSpaces 个人目录的选项:

  • 创建 Simple AD 目录。

  • 创建一个 AWS 微软 Active Directory 的目录服务,也称为 AWS 托管微软 AD。

  • 使用 Active Directory Connector 连接到现有 Microsoft Active Directory。

  • 在你之间建立信任关系 AWS 托管 Microsoft AD 目录和你的本地域。

  • 创建专用的微软 Entra ID WorkSpaces 目录。

  • 创建专用的自定义 WorkSpaces 目录。

识别计算机名称

亚马逊 WorkSpaces 控制台 WorkSpace 中显示的计算机名称值会有所不同,具体取决于 WorkSpace 您启动的计算机类型(亚马逊 Linux、Ubuntu 或 Windows)。的计算机名称 WorkSpace 可以采用以下格式之一:

  • 亚马逊 Linux:A-xxxxxxxxxxxxx

  • 红帽企业 Linux:R-xxxxxxxxxxxxx

  • Ubuntu:U-xxxxxxxxxxxxx

  • Windows:IP-Cxxxxxx 或 WSAMZN-xxxxxxx 或 EC2AMAZ-xxxxxxx

对于 Windows WorkSpaces,计算机名称格式由分发包类型决定,如果是从公共分发包或基于公共映像的自定义分发包 WorkSpaces 创建的,则取决于创建公共映像的时间。

从 2020 年 6 月 22 日起,从公共捆绑包中 WorkSpaces 推出的 Windows 有-WSAMZNxxxxxxx 其计算机名称的格式而不是 IP-Cxxxxxx 格式的日期和时间。

对于基于公共镜像的自定义套件,如果公共镜像是在 2020 年 6 月 22 日之前创建的,则计算机名称位于-EC2AMAZxxxxxxx 格式的日期和时间。如果公共镜像是在 2020 年 6 月 22 日当天或之后创建的,则计算机名称位于 WSAMZN-xxxxxxx 格式的日期和时间。

对于 Bring Your Own License (BYOL) 捆绑包,可以使用-DESKTOPxxxxxxx 或者 EC2AMAZ-xxxxxxx 默认情况下,计算机名称使用格式。

如果您在自定义或BYOL捆绑包中为计算机名称指定了自定义格式,则您的自定义格式将覆盖这些默认格式。要指定自定义格式,请参阅为 WorkSpaces 个人版创建自定义 WorkSpaces 图片和捆绑包

重要

如果您 WorkSpace 通过 Windows 系统设置更改了的计算机名称,则将无法再访问 WorkSpace。

注意

  • 目前不支持在 Amazon 上使用共享目录 WorkSpaces。

  • 如果你配置你的 AWS 用于多区域复制的托管 Microsoft AD 目录,只能注册主区域中的目录以供亚马逊 WorkSpaces使用。尝试在复制区域中注册该目录以供在 Amazon 上使用 WorkSpaces 将失败。使用多区域复制 AWS 在复制的区域 WorkSpaces 内,不支持在亚马逊上使用托管 Microsoft AD。

  • Simple AD 和 AD Connector 可供你免费使用 WorkSpaces。如果连续 30 天没有 WorkSpaces 使用您的 Simple AD 或 AD Connector 目录,则该目录将自动取消注册以供亚马逊使用 WorkSpaces,并且将按照 AWS Directory Service 定价条款

以下教程向您展示如何创建 WorkSpaces 个人目录。

在开始创建目录之前

  • WorkSpaces 并非在每个地区都可用。验证支持的区域,然后为您选择一个区域 WorkSpaces。有关支持的区域的更多信息,请参阅WorkSpaces 定价依据 AWS 区域

  • 创建具有至少两个私有子网的 Virtual Private Cloud。有关更多信息,请参阅 为 WorkSpaces 个人配置 VPC。VPC必须通过虚拟专用网络 (VPN) 连接连接到您的本地网络,或者 AWS Direct Connect。 有关更多信息,请参阅《AD Connector 先决条件》中的 AWS Directory Service 管理指南

  • 提供从的互联网访问权限 WorkSpace。有关更多信息,请参阅 为 WorkSpaces 个人提供互联网接入

创建一个 AWS 微软 AD 托管目录

在本教程中,我们创建了一个 AWS 托管微软 AD 目录。要了解使用其他选项的教程,请参阅为 WorkSpaces 个人创建目录

首先,创建一个 AWS 托管微软 AD 目录。 AWS Directory Service 创建两个目录服务器,每个目录服务器位于您的VPC私有子网中。请注意,目录最初没有任何用户。在下一步中,您将在启动时添加用户 WorkSpace。

注意

  • 目前不支持在 Amazon 上使用共享目录 WorkSpaces。

  • 如果您的 AWS 托管 Microsoft AD 目录已配置为多区域复制,只有主区域中的目录可以注册以便在亚马逊 WorkSpaces上使用。尝试在复制区域中注册该目录以供在 Amazon 上使用 WorkSpaces 将失败。使用多区域复制 AWS 在复制的区域 WorkSpaces 内,不支持在亚马逊上使用托管 Microsoft AD。

要创建 AWS 微软 AD 托管目录

  1. 打开 WorkSpaces 控制台,网址为https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 选择创建目录

  4. 在 “创建目录” 页面上,为WorkSpaces 类型选择 “个人”。然后,要进行WorkSpace 设备管理,请选择 AWS 目录 Service

  5. 选择创建目录,这将打开上的 “设置目录” 页面 AWS 目录服务

  6. 选择 AWS 管理 Microsoft AD,然后是 Nex t。

  7. 按以下说明配置目录:

    1. 组织名称中,输入目录的唯一组织名称(例如, my-demo-directory)。此名称的字符数不得少于 4 个,仅包含字母数字字符和连字符 (-),并以连字符以外的其他字符开头或结尾。

    2. 目录中 DNS,输入目录的完全限定名称(例如 workspaces.demo.com)。

      重要

      如果您需要在启动DNS服务器后更新服务器 WorkSpaces,请按照中的步骤进行操作,更新 WorkSpaces 个人版DNS服务器以确保正确更新 WorkSpaces 您的服务器。

    3. 网络BIOS名称中,输入目录的短名称(例如,工作区)。

    4. 对于 Admin 密码确认密码,输入目录管理员账户的密码。有关密码要求的更多信息,请参阅创建你的 AWS 托管的 Microsoft AD 目录位AWS Directory Service 管理指南

    5. (可选)对于描述,输入目录的描述。

    6. 对于 VPC,请选择VPC您创建的。

    7. 对于子网,请选择两个私有子网(CIDR块10.0.1.0/2410.0.2.0/24)。

    8. 选择下一步

  8. 选择创建目录

  9. 您将返回到 WorkSpaces 控制台上的 “创建目录” 页面。目录的初始状态是 Requested,然后是 Creating。目录创建完成后(这可能需要几分钟),状态会变为 Active

在你创建之后 AWS 托管微软 AD 目录,你可以将其注册到亚马逊 WorkSpaces。有关更多信息,请参阅 注册现有的 AWS Directory Service 带 WorkSpaces 个人的目录

创建 Simple AD 目录

在本教程中,我们将启动使用 Sim WorkSpace ple AD 的。要了解使用其他选项的教程,请参阅为 WorkSpaces 个人创建目录

注意

  • 并非所有区域都提供 Simple AD。请查看受支持的区域,并为您的 Simple AD 目录选择一个区域。有关 Simple AD 支持的区域的更多信息,请参阅区域可用性 AWS 目录 Service

  • Simple AD 可供您免费使用 WorkSpaces。如果连续 30 天没有 WorkSpaces 使用您的 Simple AD 目录,则该目录将自动取消注册以供亚马逊使用 WorkSpaces,并且将根据该目录向您收取费用 AWS Directory Service 定价条款

创建 Simple AD 目录时。 AWS Directory Service 创建两个目录服务器,每个目录服务器位于您的VPC私有子网中。最初目录中没有用户。在创建用户之后添加用户 WorkSpace。有关更多信息,请参阅 WorkSpace 在 WorkSpaces 个人版中创建

创建 Simple AD 目录

  1. 打开 WorkSpaces 控制台,网址为https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 选择创建目录

  4. 在 “创建目录” 页面上,为WorkSpaces 类型选择 “个人”。然后,要进行WorkSpace 设备管理,请选择 AWS 目录 Service

  5. 选择创建目录,这将打开上的 “设置目录” 页面 AWS 目录服务

  6. 选择 S imple AD,然后选择 Ne xt

  7. 按以下说明配置目录:

    1. 组织名称中,输入目录的唯一组织名称(例如, my-example-directory)。此名称的字符数不得少于 4 个,仅包含字母数字字符和连字符 (-),并以连字符以外的其他字符开头或结尾。

    2. 目录DNS名称中,输入目录的完全限定名称(例如,example.com)。

      重要

      如果您需要在启动DNS服务器后更新服务器 WorkSpaces,请按照中的步骤进行操作,更新 WorkSpaces 个人版DNS服务器以确保正确更新 WorkSpaces 您的服务器。

    3. 网络BIOS名称中,输入目录的短名称(例如,)。

    4. 对于 Admin 密码确认密码,输入目录管理员账户的密码。有关密码要求的更多信息,请参阅《如何创建 Microsoft AD 目录》中的 AWS Directory Service 管理指南

    5. (可选)对于描述,输入目录的描述。

    6. 对于目录大小,选择

    7. 对于 VPC,请选择VPC您创建的。

    8. 对于子网,请选择两个私有子网(CIDR块10.0.1.0/2410.0.2.0/24)。

    9. 选择下一步

  8. 选择创建目录

  9. 您将返回到 WorkSpaces 控制台上的 “创建目录” 页面。目录的初始状态是 Requested,然后是 Creating。目录创建完成后(这可能需要几分钟),状态会变为 Active

在目录创建期间发生的情况

WorkSpaces 代表您完成以下任务:

  • 创建IAM角色以允许 WorkSpaces 服务创建弹性网络接口并列出您的 WorkSpaces 目录。此角色的名称为 workspaces_DefaultRole

  • 在中设置一个 Simple AD 目录VPC,用于存储用户和WorkSpace 信息。此目录的管理员账户具有用户名 Administrator 和指定的密码。

  • 创建两个安全组,一个用于目录控制器,另一个用于目录 WorkSpaces 中。

创建 Simple AD 目录后,您可以将其注册到亚马逊 WorkSpaces。有关更多信息,请参阅 注册现有的 AWS Directory Service 带 WorkSpaces 个人的目录

创建 AD Connector

在本教程中,我们将创建一个 AD Connector。要了解使用其他选项的教程,请参阅为 WorkSpaces 个人创建目录

创建 AD Connector

注意

AD Connector 可供您免费使用 WorkSpaces。如果连续 30 天没有 WorkSpaces 与您的 AD Connector 目录一起使用,则该目录将自动取消注册以供亚马逊使用 WorkSpaces,并且将根据该目录向您收取费用 AWS Directory Service 定价条款

要删除空目录,请参阅删除 WorkSpaces 个人版的目录。如果您删除了 AD Connector 目录,则在想要 WorkSpaces 重新开始使用时可以随时创建一个新目录。

创建 AD Connector

  1. 打开 WorkSpaces 控制台,网址为https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 选择创建目录

  4. 在 “创建目录” 页面上,为WorkSpaces 类型选择 “个人”。然后,要进行WorkSpace 设备管理,请选择 AWS 目录 Service

  5. 选择创建目录,这将打开上的 “设置目录” 页面 AWS 目录服务

  6. 选择 AWS 管理 Microsoft AD,然后是 Nex t。

  7. 组织名称中,输入目录的唯一组织名称(例如, my-example-directory)。此名称的字符数不得少于 4 个,仅包含字母数字字符和连字符 (-),并以连字符以外的其他字符开头或结尾。

  8. 已连接目录中 DNS,输入本地目录的完全限定名称(例如 example.com)。

  9. 连接的目录网络BIOS名称中,输入本地目录的短名称(例如,示例)。

  10. 对于 Connector 账户用户名,输入您的本地目录中的一个用户的用户名。该用户必须有权读取用户和组、创建计算机对象并将其加入到域中。

  11. 对于 Connector 账户密码确认密码,输入本地用户的密码。

  12. 对于DNS地址,请输入本地目录中至少一DNS台服务器的 IP 地址。

    重要

    如果您在启动后需要更新DNS服务器 IP 地址 WorkSpaces,请按照中的步骤进行操作,更新 WorkSpaces 个人版DNS服务器以确保正确更新 WorkSpaces 您的服务器 IP 地址。

  13. (可选)对于描述,输入目录的描述。

  14. 保持 SizeSmall

  15. 对于 VPC,请选择您的VPC。

  16. 对于 Subnets,选择您的子网。必须可以从每个子网访问您指定的DNS服务器。

  17. 选择创建目录

  18. 您将返回到 WorkSpaces 控制台上的 “创建目录” 页面。目录的初始状态是 Requested,然后是 Creating。目录创建完成后(这可能需要几分钟),状态会变为 Active

在你之间建立信任关系 AWS 托管微软 AD 目录和你的本地域

在本教程中,我们创建了您之间的信任关系 AWS 托管 Microsoft AD 目录和你的本地域。要了解使用其他选项的教程,请参阅为 WorkSpaces 个人创建目录

注意

启动时 WorkSpaces 使用 AWS 账户 在单独的可信域中使用 AWS 在 Microsoft AD 配置了与本地目录的信任关系时对其进行托管。但是,来自可信域的用户无法 WorkSpaces 使用 Simple AD 或 AD Connector 启动 WorkSpaces 。

设置信任关系

  1. 设置 AWS 在你的虚拟私有云中托管 Microsoft AD(VPC)。有关更多信息,请参阅创建你的 AWS 托管的 Microsoft AD 目录位AWS Directory Service 管理指南

    注意

    • 目前不支持在 Amazon 上使用共享目录 WorkSpaces。

    • 如果您的 AWS 托管 Microsoft AD 目录已配置为多区域复制,只有主区域中的目录可以注册以便在亚马逊 WorkSpaces上使用。尝试在复制区域中注册该目录以供在 Amazon 上使用 WorkSpaces 将失败。使用多区域复制 AWS 在复制的区域 WorkSpaces 内,不支持在亚马逊上使用托管 Microsoft AD。

  2. 在你之间建立信任关系 AWS 托管 Microsoft AD 和你的本地域。确保该信任关系配置为双向信任。有关更多信息,请参阅教程:在您之间创建信任关系 AWS 托管 Microsoft AD 和你的本地域名AWS Directory Service 管理指南

可以使用单向或双向信任来管理和进行身份验证 WorkSpaces,以便 WorkSpaces 可以将其配置给本地用户和群组。有关更多信息,请参阅 WorkSpaces 使用单向信任资源域部署 Amazon AWS 目录 Service

注意

  • 红帽企业 Linux 和 Ubuntu WorkSpaces 使用系统安全服务守护程序 (SSSD) 进行 Active Directory 集成,并且SSSD不支持林信任。改为配置外部信任。建议亚马逊 Linux、Ubuntu 和红帽企业 Linux 使用双向信任。 WorkSpaces

  • 您不能使用网络浏览器(网络访问)连接到 Linux WorkSpaces。

使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces

在本教程中,我们创建了自带许可证 (BYOL) Windows 10 和 11 个人版 WorkSpaces ,它们是加入并注册微软 Intune 的微软 Entra ID。在创建此类目录之前 WorkSpaces,您需要先为 Entra ID- WorkSpaces joined 创建一个专用的 WorkSpaces 个人目录。

注意

Microsoft Entra 加入个人 WorkSpaces 版全部可用 AWS 除非洲(开普敦)、以色列(特拉维夫)和中国(宁夏)外,亚马逊 WorkSpaces 提供服务的区域。

概述

微软 Entra ID 个人 WorkSpaces 目录包含启动已加入的 Microsoft Entra ID 所需的所有信息 WorkSpaces ,这些信息已分配给使用微软 Entra ID 管理的用户。用户信息可 WorkSpaces 通过以下方式获得 AWS IAMIdentity Center,它充当身份代理,将你的员工身份从 Entra ID 带到 AWS。 微软 Windows Autopilot 用户驱动模式用于完成 WorkSpaces Intune 注册和 Entra 加入。下图说明了自动驾驶仪的过程。

要求和限制

  • 微软 Entra ID P1 套餐或更高版本。

  • Microsoft Entra ID 和 Intune 已启用并具有角色分配。

  • Intune 管理员-管理自动驾驶仪部署配置文件所必需的。

  • 全局管理员-为分配给步骤 3 中创建的应用程序的API权限授予管理员同意时所必需的。无需此权限即可创建应用程序。但是,全局管理员需要提供管理员对应用程序权限的同意。

  • 向用户分配 VDA E3/E5 用户订阅许可证,这样他们的 Windows 10 或 11 WorkSpaces 就可以加入 Entra ID。

  • Entra ID 目录仅支持 Windows 10 或 11 个人 WorkSpaces自带许可证。以下是支持的版本。

    • Windows 10 版本 21H2(2021 年 12 月更新)

    • Windows 10 版本 22H2(2022 年 11 月更新)

    • Windows 11 Enterprise 23H2(2023 年 10 月发布)

    • Windows 11 Enterprise 22H2(2022 年 10 月发布)

  • 您的 “自带许可证” (BYOL) 已启用 AWS 帐户,并且您的帐户中已导入有效的 Windows 10 或 11 BYOL 映像。有关更多信息,请参阅 带上你自己的 Windows 桌面许可证 WorkSpaces

  • 微软 Entra ID 目录仅支持 Windows 10 或 11 BYOL 个人 WorkSpaces版。

  • 微软 Entra ID 目录仅支持WSP协议。

第 1 步:启用IAM身份中心并与 Microsoft Entra ID 同步

要创建 Microsoft Entra ID 加入 Microsoft Entra ID 的个人信息 WorkSpaces 并将其分配给你的 Entra ID 用户,你必须将用户信息提供给 AWS 通过IAM身份中心。IAM推荐使用身份中心 AWS 用于管理用户访问权限的服务 AWS 资源的费用。有关更多信息,请参阅什么是IAM身份中心? 。这是一次性设置。

注意

WorkSpaces 个人目录及其关联的 Ident IAM ity Center 实例必须位于同一目录中 AWS 区域。

  1. 使用您的 “IAM身份中心” AWS Organizations,尤其是在您使用多账户环境的情况下。您也可以创建 Ident IAM ity Center 的账户实例。要了解更多信息,请参阅启用 AWS IAM身份中心。每个 WorkSpaces 目录可以与一个 Ident IAM ity Center 实例、组织或账户相关联。

    如果您正在使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录,请确保您拥有以下 Ident IAM ity Center 权限。

    • "sso:DescribeInstance"

    • "sso:CreateApplication"

    • "sso:PutApplicationGrant"

    • "sso:PutApplicationAuthenticationMethod"

    • "sso:DeleteApplication"

    • "sso:DescribeApplication"

    • "sso:getApplicationGrant"

    有关更多信息,请参阅管理您的 Ident IAM ity Center 资源的访问权限概述。此外,请确保没有服务控制策略 (SCPs) 阻止这些权限。要了解更多信息SCPs,请参阅服务控制策略 (SCPs)

  2. 将 IAM Identity Center 和 Microsoft Entra ID 配置为自动将您的 Entra ID 租户中的选定或所有用户同步到您的IAM身份中心实例。有关更多信息,请参阅配置SAML和使用 Micros SCIM oft Entra ID 和IAM身份中心以及教程:配置 AWS IAM用于自动配置用户的身份中心

  3. 验证你在 Microsoft Entra ID 上配置的用户是否已正确同步到 AWS IAM身份中心实例。如果你看到来自 Microsoft Entra ID 的错误消息 “请求无法解析、语法不正确或违反架构”,则表示 Entra ID 中的用户是以身份中心不支持的方式配置的。IAM例如,Entra ID 中的用户对象缺少名字、姓氏和/或显示名称。有关更多信息,请参阅特定用户无法从外部SCIM提供商同步到 IAM Identity Cent er。

注意

WorkSpaces 使用 Entra ID UserPrincipalName (UPN) 属性来识别单个用户,其局限性如下:

  • UPNs长度不能超过 63 个字符。

  • 如果您在为用户分配UPN后 WorkSpace 进行更改,则 WorkSpace 除非您将其更改UPN回以前的状态,否则用户将无法连接到他们的。

第 2 步:注册微软 Entra ID 应用程序以授予 Windows 自动驾驶的权限

WorkSpaces Personal 使用微软 Windows Autopilot 用户驱动模式注册 WorkSpaces 微软 Intune 并加入微软 Entra ID。

要允许亚马逊 WorkSpaces 在 Autopilot 中注册 WorkSpaces 个人版,你必须注册一个授予必要的 Microsoft Graph API 权限的 Microsoft Entra ID 应用程序。有关注册 Entra ID 应用程序的更多信息,请参阅快速入门:在 Microsoft 身份平台上注册应用程序

我们建议在您的 Entra ID 应用程序中提供以下API权限。

  • 要创建需要加入 Entra ID 的新个 WorkSpace 人,需要API获得以下许可。

    • DeviceManagementServiceConfig.ReadWrite.All

  • 当您终止个人 WorkSpace 或重建个人时,将使用以下权限。

    注意

    如果您不提供这些权限,则 WorkSpace 会被终止,但不会将其从您的 Intune 和 Entra ID 租户中删除,您必须分别将其删除。

    • DeviceManagementServiceConfig.ReadWrite.All

    • Device.ReadWrite.All

    • DeviceManagementManagedDevices.ReadWrite.All

  • 这些权限需要管理员同意。有关更多信息,请参阅授予整个租户对应用程序的管理员同意。

接下来,您必须为 Entra ID 应用程序添加客户端密钥。有关更多信息,请参阅添加凭证。请务必记住客户机密字符串,因为在创建时需要它 AWS Secrets Manager 步骤 4 中的秘密。

第 3 步:配置 Windows 自动驾驶用户驱动模式

确保你熟悉 Windows Autopilot 分步教程用户驱动的 Microsoft Entra 在 Intune 中加入

将你的 Microsoft Intune 配置为自动驾驶

  1. 登录微软 Intune 管理中心

  2. 为个人 WorkSpaces创建新的自动驾驶设备组。有关更多信息,请参阅为 Windows 自动驾驶仪创建设备组

    1. 选择群组新建群组

    2. 对于 Group type,选择 Security

    3. 对于会员类型,请选择动态设备

    4. 选择编辑动态查询以创建动态成员资格规则。该规则应采用以下格式:

      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      重要

      WorkSpacesDirectoryName应与您在步骤 5 中创建的 Entra ID WorkSpaces 个人目录的目录名一致。这是因为在将虚拟桌面 WorkSpaces 注册到 Autopilot 时,目录名称字符串用作组标签。此外,群组标签会映射到 Microsoft E OrderID ntra 设备上的属性。

  3. 选择 “设备”、“Windows”、“注册”。在 “注册选项” 中,选择 “自动注册”。对于MDM用户范围,请选择 “全部”。

  4. 创建自动驾驶仪部署配置文件。有关更多信息,请参阅创建 Autopilot 部署配置文件

    1. 对于 Windows 自动驾驶,选择部署配置文件创建配置文件

    2. Windows Autopilot 部署配置文件屏幕中,选择 “创建配置文件” 下拉菜单,然后选择 Windows PC

    3. 在 “创建个人资料” 屏幕上,在 O ut-of-box 体验 (OOBE) 页面上。对于部署模式,选择用户驱动要加入微软 Entra ID,请选择微软 Entra 已加入。您可以为已加入 Entra ID 的个人 WorkSpaces 自定义计算机名称,方法是在 “应用设备名称模板” 中选择 “”,创建在注册期间命名设备时使用的模板。

    4. 在 “任务” 页面上,对于 “分配给”,选择 “选定小组”。选择 “选择要包含的群组”,然后选择您刚刚在 2 中创建的 Autopilot 设备群组。

步骤 4:创建一个 AWS Secrets Manager secret

您必须在中创建密钥 AWS Secrets Manager 安全地存储您在中创建的 Entra ID 应用程序的信息,包括应用程序 ID 和客户端密钥。第 2 步:注册微软 Entra ID 应用程序以授予 Windows 自动驾驶的权限这是一次性设置。

要创建 AWS Secrets Manager secret

  1. 在上创建客户管理的密钥 AWS Key Management Service。 稍后将使用该密钥来加密 AWS Secrets Manager 秘密。请勿使用默认密钥来加密您的密钥,因为 WorkSpaces 服务无法访问默认密钥。按照以下步骤创建密钥。

    1. 打开 AWS KMS 控制台位于 https://console.aws.amazon.com/kms。

    2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

    3. 选择 Create key

    4. 配置密钥页面上,为密钥类型选择对称。对于密钥的使用,请选择加密和解密

    5. 在 “查看” 页面的密钥策略编辑器中,通过在密钥策略中包含以下权限,确保允许 WorkSpaces 服务的委托人workspaces.amazonaws.com访问密钥。

      {
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "workspaces.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
 }

  2. 在上创建密钥 AWS Secrets Manager,使用 AWS KMS 在上一步中创建的密钥。

    1. 打开 Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/

    2. 选择 存储新密钥

    3. 选择密钥类型页面上,为密钥类型选择其他密钥类型

    4. 对于键/值对,在密钥框中,在密钥框中输入 “application_id”,然后复制步骤 2 中的 Entra ID 应用程序 ID 并将其粘贴到值框中。

    5. 选择添加行,在密钥框中输入 “application_password”,然后复制步骤 2 中的 Entra ID 应用程序客户端密钥并将其粘贴到值框中。

    6. 选择 AWS KMS 您在上一步中从加密密钥下拉列表中创建的密钥

    7. 选择下一步

    8. 配置密钥页面上,输入密钥名称描述

    9. 资源权限部分,选择编辑权限

    10. 通过在资源权限中包含以下资源策略,确保允许 WorkSpaces 服务委托人workspaces.amazonaws.com访问密钥。

      {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "Service" : [ "workspaces.amazonaws.com"]
    },
    "Action" : "secretsmanager:GetSecretValue",
    "Resource" : "*"
  } ]
}

第 5 步:创建专用的微软 Entra ID 目录 WorkSpaces

创建一个专门的 WorkSpaces 目录,用于存储已加入 Microsoft Entra ID WorkSpaces 和 Entra ID 的用户的信息。

创建 Entra ID 目录 WorkSpaces

  1. 打开 WorkSpaces 控制台,网址为https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 在 “创建目录” 页面上,为WorkSpaces 类型选择 “个人”。要进行WorkSpace 设备管理,请选择微软 Entra ID。

  4. 对于 Microsoft Entra 租户 ID,请输入你希望目录加入的 WorkSpace 微软 Entra ID 租户 ID。创建目录后,您将无法更改租户 ID。

  5. 对于 Entra ID 应用程序 ID 和密码,请选择 AWS Secrets Manager 您在步骤 4 中从下拉列表中创建的密钥。创建目录后,您将无法更改与该目录关联的密钥。但是,您可以随时通过以下方式更新密钥的内容,包括 Entra ID 应用程序 ID 及其密码 AWS Secrets Manager 控制台位于https://console.aws.amazon.com/secretsmanager/

  6. 对于用户身份源,请从下拉列表中选择您在步骤 1 中配置的 Ident IAM ity Center 实例。创建目录后,您将无法更改与该目录关联的 Ident IAM ity Center 实例。

  7. 目录名称中,输入目录的唯一名称(例如,WorkSpacesDirectoryName)。

    重要

    目录名称应与您在步骤 3 中OrderID使用 Microsoft Intune 创建的自动驾驶设备组构建动态查询时使用的目录名称一致。将个人注册 WorkSpaces 到 Windows Autopilot 时,目录名称字符串用作群组标签。组标签映射到 Microsoft E OrderID ntra 设备上的属性。

  8. (可选)对于描述,输入目录的描述。

  9. 对于 VPCVPC,请选择您用来启动的 WorkSpaces。有关更多信息,请参阅 为 WorkSpaces 个人配置 VPC

  10. 对于子网,请选择您的两个不VPC属于同一可用区的子网。这些子网将用于启动您的个人 WorkSpaces网络。有关更多信息,请参阅 WorkSpaces 个人可用区

    重要

    确保子网中 WorkSpaces 启动的用户可以访问互联网,这是用户登录到 Windows 桌面时所必需的。有关更多信息,请参阅 为 WorkSpaces 个人提供互联网接入

  11. 在 “配置” 中,选择 “启用专用” WorkSpace。你必须启用它才能创建专用的 WorkSpaces 个人目录才能启动 “自带许可证” (BYOL) Windows 10 或 11 个人版 WorkSpaces。

    注意

    如果您未在 “配置 WorkSpace” 下看到 “启用专用” 选项,则说明您的账户尚未启用BYOL。要BYOL为您的账户启用,请参阅带上你自己的 Windows 桌面许可证 WorkSpaces

  12. (可选)在 “标签” 中,指定要在目录 WorkSpaces 中用于个人的 key pair 值。

  13. 查看目录摘要,然后选择创建目录。连接目录需要几分钟时间。目录的初始状态是 Creating。目录创建完毕后,状态会变为 Active

创建目录后,还会自动代表您创建 Ident IAM ity Center 应用程序。要查找应用程序,ARN请转到目录的摘要页面。

现在,你可以使用该目录启动已注册微软 Intune 并加入微软 Entra ID 的 Windows 10 或 11 个人 WorkSpaces 版。有关更多信息,请参阅 WorkSpace 在 WorkSpaces 个人版中创建

创建 WorkSpaces 个人目录后,您可以创建个人目录 WorkSpace。有关更多信息,请参阅 WorkSpace 在 WorkSpaces 个人版中创建

为 WorkSpaces 目录配置IAM身份中心应用程序(可选)

创建目录后,会自动创建相应的IAM身份中心应用程序。您可以在目录详细信息页面的 “摘要” 部分ARN中找到该应用程序。默认情况下,Identity Center 实例中的所有用户 WorkSpaces 无需配置相应的 Identity Center 应用程序即可访问其分配的用户。但是,您可以通过为 Ident IAM ity Center 应用程序配置用户分配来管理用户对目录的访问权限。 WorkSpaces

为 Ident IAM ity Center 应用程序配置用户分配

  1. 打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在存储库的 AWS “托管应用程序” 选项卡,为 WorkSpaces 目录选择应用程序。应用程序名称采用以下格式:WorkSpaces.wsd-xxxxx,其中wsd-xxxxx是 WorkSpaces 目录 ID。

  3. 选择 “操作”、“编辑详细信息”

  4. 用户和小组分配方法从 “不需要分配” 更改为 “需要分配”

  5. 选择 Save changes(保存更改)

进行此更改后,Identity Center 实例中的用户将失去其分配的访问权限, WorkSpaces 除非他们被分配给应用程序。要将您的用户分配给应用程序,请使用 AWS CLI 命令create-application-assignment将用户或组分配给应用程序。有关更多信息,请参阅 。AWS CLI 命令参考

使用 “个 WorkSpaces 人” 创建专用的自定义目录

在创建 Windows 10 和 11 BYOL 个人版 WorkSpaces 并将其分配给您的用户之前,请使用进行管理 AWS IAMIdentity Center 身份提供商 (IdPs),您必须创建一个专用的自定义 WorkSpaces 目录。个人版 WorkSpaces 未加入任何 Microsoft Active Directory,但可以使用你选择的移动设备管理 (MDM) 解决方案进行管理,例如 JumpCloud。有关的更多信息 JumpCloud,请参阅这篇文章。要了解使用其他选项的教程,请参阅为 WorkSpaces 个人创建目录

注意

  • Amazon WorkSpaces 无法创建或管理在自定义目录中 WorkSpaces 启动的个人用户账户。作为管理员,您必须对其进行管理。

  • 自定义 WorkSpaces 目录在所有目录中都可用 AWS 除非洲(开普敦)、以色列(特拉维夫)和中国(宁夏)外,亚马逊 WorkSpaces 提供服务的区域。

  • Amazon WorkSpaces 无法 WorkSpaces 使用自定义目录创建或管理用户账户。要确保您使用的MDM代理软件可以在 Windows 上创建用户配置文件 WorkSpaces,请与MDM解决方案提供商联系。创建用户配置文件允许你的用户从 Windows 登录屏幕登录 Windows 桌面。

要求和限制

  • 自定义 WorkSpaces 目录仅支持 Windows 10 或 11 个人自带许可证 WorkSpaces。

  • 自定义 WorkSpaces 目录仅支持WSP协议。

  • 确保BYOL为自己启用 AWS 你有自己的账户 AWS KMS 您的个人 WorkSpaces 可以访问的服务器以激活 Windows 10 和 11。有关详细信息,请参阅带上你自己的 Windows 桌面许可证 WorkSpaces

  • 确保在导入的BYOL映像上预安装MDM代理软件 AWS account。

步骤 1:启用IAM身份中心并与您的身份提供商连接

WorkSpaces 要将用户信息分配给由您的身份提供商管理的用户,必须将用户信息提供给 AWS 通过 AWS IAM身份中心。我们建议您使用 Ident IAM ity Center 来管理您的用户对以下内容的访问权限 AWS 资源的费用。有关更多信息,请参阅什么是IAM身份中心? 。这是一次性设置。

将用户信息提供给 AWS

  1. 启用IAM身份中心 AWS。 您可以使用您的IAM身份中心启用身份中心 AWS 组织,尤其是在您使用多账户环境时。您也可以创建 Ident IAM ity Center 的账户实例。有关更多信息,请参阅启用 AWS IAM身份中心。每个 WorkSpaces 目录可以与一个 Ident IAM ity Center 组织或账户实例关联。每个 IAM Identity Center 实例都可以与一个或多个 WorkSpaces 个人目录相关联。

    如果您正在使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录,请确保您拥有以下 Ident IAM ity Center 权限。

    • "sso:DescribeInstance"

    • "sso:CreateApplication"

    • "sso:PutApplicationGrant"

    • "sso:PutApplicationAuthenticationMethod"

    • "sso:DeleteApplication"

    • "sso:DescribeApplication"

    • "sso:getApplicationGrant"

    有关更多信息,请参阅管理您的 Ident IAM ity Center 资源的访问权限概述。确保没有服务控制策略 (SCPs) 阻止这些权限。要了解更多信息SCPs,请参阅服务控制策略 (SCPs)

  2. 将 Ident IAM ity Center 和您的身份提供商 (IdP) 配置为自动将用户从您的 IdP 同步到您的IAM身份中心实例。有关更多信息,请参阅入门教程并选择要使用的 IdP 的特定教程。例如,使用IAM身份中心连接您的 JumpCloud 目录平台

  3. 验证您在 IdP 上配置的用户是否已正确同步到 AWS IAM身份中心实例。第一次同步可能需要长达一个小时,具体取决于您的 IdP 的配置。

步骤 2:创建专用的自定义 WorkSpaces 目录

创建专门的 WorkSpaces 个人目录,用于存储有关您的个人 WorkSpaces 和用户的信息。

创建专用的自定义 WorkSpaces 目录

  1. 打开 WorkSpaces 控制台,网址为https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 选择创建目录

  4. 在 “创建目录” 页面上,对于WorkSpaces类型,选择 “个人”。要进行WorkSpace 设备管理,请选择自定义

  5. 对于用户身份源,请从下拉列表中选择您在步骤 1 中配置的 Ident IAM ity Center 实例。目录创建后,您将无法更改与该目录关联的 Ident IAM ity Center 实例。

    注意

    您必须为该目录指定 Ident IAM ity Center 实例,否则您将无法使用 WorkSpaces 控制台启动 WorkSpaces 带有该目录的个人版。 WorkSpaces 没有关联身份中心的目录仅与 WorkSpaces 核心合作伙伴解决方案兼容。

  6. 目录名称中,输入目录的唯一名称。

  7. 对于 VPCVPC,请选择您用来启动的 WorkSpaces。有关更多信息,请参阅 为 WorkSpaces 个人配置 VPC

  8. 对于子网,请选择您的两个不VPC属于同一可用区的子网。这些子网将用于启动您的个人 WorkSpaces网络。有关更多信息,请参阅 WorkSpaces 个人可用区

    重要

    确保子网中 WorkSpaces 启动的用户可以访问互联网,这是用户登录到 Windows 桌面时所必需的。有关更多信息,请参阅 为 WorkSpaces 个人提供互联网接入

  9. 在 “配置” 中,选择 “启用专用” WorkSpace。你必须启用它才能创建专用的 WorkSpaces 个人目录才能启动 “自带许可证” (BYOL) Windows 10 或 11 个人版 WorkSpaces。

  10. (可选)在 “标签” 中,指定要在目录 WorkSpaces 中用于个人的 key pair 值。

  11. 查看目录摘要,然后选择创建目录。连接目录需要几分钟时间。目录的初始状态是 Creating。目录创建完毕后,状态会变为 Active

创建目录后,还会自动代表您创建 Ident IAM ity Center 应用程序。要查找应用程序,ARN请转到目录的摘要页面。

现在,你可以使用该目录启动已注册微软 Intune 并加入微软 Entra ID 的 Windows 10 或 11 个人 WorkSpaces 版。有关更多信息,请参阅 WorkSpace 在 WorkSpaces 个人版中创建

创建 WorkSpaces 个人目录后,您可以创建个人目录 WorkSpace。有关更多信息,请参阅 WorkSpace 在 WorkSpaces 个人版中创建

要删除空目录,请参阅删除 WorkSpaces 个人版的目录。如果你删除了 Simple AD 或 AD Connector 目录,那么当你想 WorkSpaces 重新开始使用时,你可以随时创建一个新的目录。