為個人建立 WorkSpaces 目錄 - Amazon WorkSpaces
識別電腦名稱開始建立目錄之前創建一個 AWS 管理 Microsoft AD 目錄建立 Simple AD 目錄建立 AD Connector建立信任關係創建一個專用的 Microsoft 項目 ID 目錄建立專用的自訂目錄

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為個人建立 WorkSpaces 目錄

「個人」 WorkSpaces 可讓您使用透過管理的目錄 AWS Directory Service 儲存和管理您和使用者 WorkSpaces 的資訊。以下是建立 WorkSpaces 個人目錄的選項:

  • 建立 Simple AD 目錄。

  • 創建一個 AWS Directory Service 的 Microsoft 活動目錄,也被稱為 AWS 管理 Microsoft AD。

  • 使用 Active Directory 連接器連線到現有的 Microsoft Active Directory。

  • 在您之間建立信任關係 AWS 受管理的 Microsoft AD 目錄和您的內部部署網域。

  • 創建一個專用的 Microsoft 項目 ID WorkSpaces 目錄。

  • 建立專用的「自訂」 WorkSpaces 目錄。

識別電腦名稱

在 Amazon WorkSpaces 控制台 WorkSpace 中顯示的計算機名稱值會有所不同,具體取決於 WorkSpace 您啟動的類型(Amazon Linux,Ubuntu 或 Windows)。a 的電腦名稱 WorkSpace 可以是下列格式之一:

  • Amazon Linux:A-xxxxxxxxxxxxx

  • 紅帽企業版 Linux:R-xxxxxxxxxxxxx

  • Ubuntu:U-xxxxxxxxxxxxx

  • 視窗:IP-Cxxxxxx 或 WSAMZN-xxxxxxx 或 EC2AMAZ-xxxxxxx

對於 Windows WorkSpaces,電腦名稱格式由套裝軟體類型決定,如果是從公用套裝軟體或根據公用映像自訂套裝軟體 WorkSpaces 建立,則由建立公用映像的時間決定。

從 2020 年 6 月 22 日起,從公開組合包中 WorkSpaces 啟動的視窗具有 WSAMZN-xxxxxxx 格式為他們的計算機名稱,而不是 IP-Cxxxxxx 格式。

對於以公開映像為基礎的自訂套裝軟體,如果公開映像檔是在 2020 年 6 月 22 日之前建立,則電腦名稱會列在下EC2AMAZ列位置:xxxxxxx 格式。如果公開映像檔是在 2020 年 6 月 22 日或之後建立的,則電腦名稱會列在 WSAMZN-xxxxxxx 格式。

對於自攜授權 (BYOL) 套裝軟體,可以是 DESKTOP-xxxxxxx 或 EC2AMAZ-xxxxxxx 預設情況下,電腦名稱會使用格式。

如果您已為自訂或BYOL套裝軟體中的電腦名稱指定自訂格式,則您的自訂格式會覆寫這些預設值。若要指定自訂格式,請參閱 為 WorkSpaces 個人建立自訂 WorkSpaces 映像檔和套裝軟體

重要

如果您 WorkSpace 透過 Windows 系統設定變更的電腦名稱,您將無法再存取 WorkSpace.

注意

  • 共用目錄目前不支援與 Amazon 搭配使用 WorkSpaces。

  • 如果您配置 AWS 適用於多區域複寫的受管 Microsoft AD 目錄,只有主要區域中的目錄才能註冊以與 Amazon WorkSpaces 搭配使用。嘗試在複寫區域中註冊目錄以與 Amazon 搭配使用 WorkSpaces 將會失敗。多區域複製 AWS 受管 Microsoft AD 不支援 WorkSpaces 在複寫區域內與 Amazon 搭配使用。

  • 簡單的 AD 和 AD 連接器可供您免費使用 WorkSpaces。如果您的 Simple AD 或 AD Connector 目錄連續 30 天沒有使用,則此目錄將自動取消註冊以與 Amazon 搭配使用 WorkSpaces, WorkSpaces 而且您需要支付此目錄的費用 AWS Directory Service 定價條款

下列自學課程說明如何建立個 WorkSpaces 人目錄。

開始建立目錄之前

創建一個 AWS 管理 Microsoft AD 目錄

在本自學課程中,我們將建立 AWS 管理 Microsoft AD 目錄。如需使用其他選項的教學課程,請參閱 為個人建立 WorkSpaces 目錄

首先,創建一個 AWS 管理 Microsoft AD 目錄。 AWS Directory Service 會建立兩個目錄伺服器,在您VPC的每個私人子網路中各一個目錄伺服器。請注意,目錄最初沒有任何使用者。當您啟動時,您將在下一個步驟中新增使用者 WorkSpace。

注意

  • 共用目錄目前不支援與 Amazon 搭配使用 WorkSpaces。

  • 如果您的 AWS 受管 Microsoft AD 目錄已設定為多區域複寫,只有主要區域中的目錄可以註冊以與 Amazon WorkSpaces 搭配使用。嘗試在複寫區域中註冊目錄以與 Amazon 搭配使用 WorkSpaces 將會失敗。多區域複製 AWS 受管 Microsoft AD 不支援 WorkSpaces 在複寫區域內與 Amazon 搭配使用。

若要建立 AWS 管理 Microsoft AD 目錄

  1. 在開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在導覽窗格中,選擇目錄

  3. 選擇建立目錄

  4. 在 [建立目錄] 頁面上,針對WorkSpaces 類型選擇 [個人]。然後,對於WorkSpace 設備管理選擇 AWS Directory Service

  5. 選擇建立目錄,開啟 [設定目錄] 頁面 AWS Directory Service

  6. 選擇 AWS 管理 Microsoft AD,然後下一步

  7. 設定目錄,如下所示:

    1. 在「組織名稱」中,輸入目錄的唯一組織名稱 (例如, my-demo-directory)。此名稱的長度至少必須有 4 個字元,只能包含英數字元和連字號 (-),而且以非連字號的字元開頭或結尾。

    2. 在「目錄」中DNS,輸入目錄的完整名稱 (例如,工作區 .demo.com)。

      重要

      如果您需要在啟動DNS伺服器之後更新伺服器 WorkSpaces,請遵循中的程序,更新 WorkSpaces 個人DNS伺服器以確保您 WorkSpaces 已正確更新。

    3. 在「網路BIOS名稱」中,輸入目錄的簡短名稱 (例如,工作區)。

    4. 針對管理員密碼確認密碼,輸入目錄管理員帳戶的密碼。如需密碼需求的詳細資訊,請參閱建立您的 AWS 受管理的 Microsoft AD 目錄 AWS Directory Service 管理指南

    5. (選用) 針對描述,輸入目錄的描述。

    6. 對於 VPC,選取VPC您建立的。

    7. 對於子網路,選取兩個私用子網路 (包含CIDR區塊10.0.1.0/2410.0.2.0/24)。

    8. 選擇 Next Step (後續步驟)

  8. 選擇建立目錄

  9. 系統會將您帶回 WorkSpaces 主控台的 [建立目錄] 頁面。目錄的初始狀態為 Requested,然後是 Creating。目錄建立完成時 (這可能需要幾分鐘),狀態為 Active

建立完成之後 AWS 託管 Microsoft AD 目錄,你可以在 Amazon 註冊 WorkSpaces。如需詳細資訊,請參閱 註冊現有 AWS Directory Service 目錄與 WorkSpaces 個人

建立 Simple AD 目錄

在本教程中,我們啟動了 WorkSpace 使用 Simple AD。如需使用其他選項的教學課程,請參閱 為個人建立 WorkSpaces 目錄

注意

  • 並非每個區域都可以使用 Simple AD。確認支援的區域,然後為您的 Simple AD 目錄選取一個區域。如需 Simple AD 支援區域的詳細資訊,請參閱下列項目的區域可用性 AWS Directory Service

  • 簡單的 AD 是提供給你免費與使用 WorkSpaces. 如果您 WorkSpaces 的 Simple AD 目錄連續 30 天沒有使用,則此目錄將自動取消註冊以在 Amazon 上使用 WorkSpaces,並且您需要支付此目錄的費用 AWS Directory Service 定價條款

當您創建一個簡單的 AD 目錄。 AWS Directory Service 會建立兩個目錄伺服器,在您VPC的每個私人子網路中各一個目錄伺服器。目錄中最初沒有使用者。在建立之後新增使用者 WorkSpace。如需詳細資訊,請參閱 WorkSpace 在 WorkSpaces 個人中創建

建立 Simple AD 目錄

  1. 在開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在導覽窗格中,選擇目錄

  3. 選擇建立目錄

  4. 在 [建立目錄] 頁面上,針對WorkSpaces 類型選擇 [個人]。然後,對於WorkSpace 設備管理選擇 AWS Directory Service

  5. 選擇建立目錄,開啟 [設定目錄] 頁面 AWS Directory Service

  6. 選擇 S imple AD,然後選擇下一步

  7. 設定目錄,如下所示:

    1. 在「組織名稱」中,輸入目錄的唯一組織名稱 (例如, my-example-directory)。此名稱的長度至少必須有 4 個字元,只能包含英數字元和連字號 (-),而且以非連字號的字元開頭或結尾。

    2. 針對目錄DNS名稱,輸入目錄的完整名稱 (例如,example.com)。

      重要

      如果您需要在啟動DNS伺服器之後更新伺服器 WorkSpaces,請遵循中的程序,更新 WorkSpaces 個人DNS伺服器以確保您 WorkSpaces 已正確更新。

    3. 在「網路BIOS名稱」中,輸入目錄的簡短名稱 (例如,例如)。

    4. 針對管理員密碼確認密碼,輸入目錄管理員帳戶的密碼。如需有關密碼需求的詳細資訊,請參閱如何建立 Microsoft AD 目錄 AWS Directory Service 管理指南

    5. (選用) 針對描述,輸入目錄的描述。

    6. 針對目錄大小,選擇小型

    7. 對於 VPC,選取VPC您建立的。

    8. 對於子網路,選取兩個私用子網路 (包含CIDR區塊10.0.1.0/2410.0.2.0/24)。

    9. 選擇 Next (下一步)

  8. 選擇建立目錄

  9. 系統會將您帶回 WorkSpaces 主控台的 [建立目錄] 頁面。目錄的初始狀態為 Requested,然後是 Creating。目錄建立完成時 (這可能需要幾分鐘),狀態為 Active

建立目錄期間發生的事

WorkSpaces 代表您完成下列工作:

  • 建立IAM角色以允許 WorkSpaces 服務建立彈性網路介面並列出您的 WorkSpaces 目錄。此角色具有名稱 workspaces_DefaultRole

  • 在中設定用來儲存使用者和WorkSpace 資訊的 Simple AD 目錄。VPC此目錄有一個具使用者名稱 Administrator 與指定密碼的管理員帳戶。

  • 建立兩個安全群組,一個用於目錄控制器,另一個用 WorkSpaces 於目錄中。

創建一個 Simple AD 目錄後,您可以在 Amazon 註冊它 WorkSpaces。如需詳細資訊,請參閱 註冊現有 AWS Directory Service 目錄與 WorkSpaces 個人

建立 AD Connector

在本教學課程中,我們會建立 AD Connector。如需使用其他選項的教學課程,請參閱 為個人建立 WorkSpaces 目錄

建立 AD Connector

注意

AD Connector 可供您免費使用 WorkSpaces。如果連續 30 天沒 WorkSpaces 有與 AD Connector 目錄使用,則此目錄將自動取消註冊以在 Amazon 上使用 WorkSpaces,並且您需要支付此目錄的費用 AWS Directory Service 定價條款

若要刪除空目錄,請參閱 刪除個 WorkSpaces 人目錄。如果您刪除 AD Connector 目錄,當您想要 WorkSpaces 再次開始使用時,隨時都可以建立新的 AD 連接器目錄。

建立 AD Connector

  1. 在開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在導覽窗格中,選擇目錄

  3. 選擇建立目錄

  4. 在 [建立目錄] 頁面上,針對WorkSpaces 類型選擇 [個人]。然後,對於WorkSpace 設備管理選擇 AWS Directory Service

  5. 選擇建立目錄,開啟 [設定目錄] 頁面 AWS Directory Service

  6. 選擇 AWS 管理 Microsoft AD,然後下一步

  7. 在「組織名稱」中,輸入目錄的唯一組織名稱 (例如, my-example-directory)。此名稱的長度至少必須有 4 個字元,只能包含英數字元和連字號 (-),而且以非連字號的字元開頭或結尾。

  8. 針對 [連線的目錄]DNS,輸入內部部署目錄的完整名稱 (例如 example.com)。

  9. 針對 [連線的目錄網路BIOS名稱],輸入內部部署目錄的簡短名稱 (例如,範例)。

  10. 針對連接器帳戶使用者名稱,輸入內部部署目錄中使用者的使用者名稱。使用者必須具有讀取使用者和群組、建立電腦物件以及將電腦加入網域的許可。

  11. 針對連接器帳戶密碼確認密碼,輸入內部部署使用者的密碼。

  12. 針對位DNS址,請輸入內部部署目錄中至少一部DNS伺服器的 IP 位址。

    重要

    如果您需要在啟動之後更新DNS伺服器 IP 位址 WorkSpaces,請遵循中的程序,更新 WorkSpaces 個人DNS伺服器以確保正確更新 WorkSpaces 您的伺服器 IP 位址。

  13. (選用) 針對描述,輸入目錄的描述。

  14. 大小保持為

  15. 對於 VPC,選取您的VPC.

  16. 針對子網路,選取您的子網路。您指定的DNS伺服器必須可從每個子網路存取。

  17. 選擇建立目錄

  18. 系統會將您帶回 WorkSpaces 主控台的 [建立目錄] 頁面。目錄的初始狀態為 Requested,然後是 Creating。目錄建立完成時 (這可能需要幾分鐘),狀態為 Active

在您之間建立信任關係 AWS 受管理的 Microsoft AD 目錄和您的內部部署網域

在本教程中,我們創建您之間的信任關係 AWS 受管理的 Microsoft AD 目錄和您的內部部署網域。如需使用其他選項的教學課程,請參閱 為個人建立 WorkSpaces 目錄

注意

WorkSpaces 使用啟動 AWS 帳戶 在一個單獨的受信任域中使用 AWS 受管理的 Microsoft AD (如果其設定為與內部部署目錄的信任關係)。不過, WorkSpaces 使用簡單 AD 或 AD Connector 無法 WorkSpaces 為來自信任網域的使用者啟動。

設定信任關係

  1. 設定 AWS 在您的虛擬私有雲(VPC)中託管 Microsoft AD。如需詳細資訊,請參閱建立您的 AWS 受管理的 Microsoft AD 目錄 AWS Directory Service 管理指南

    注意

    • 共用目錄目前不支援與 Amazon 搭配使用 WorkSpaces。

    • 如果您的 AWS 受管 Microsoft AD 目錄已設定為多區域複寫,只有主要區域中的目錄可以註冊以與 Amazon WorkSpaces 搭配使用。嘗試在複寫區域中註冊目錄以與 Amazon 搭配使用 WorkSpaces 將會失敗。多區域複製 AWS 受管 Microsoft AD 不支援 WorkSpaces 在複寫區域內與 Amazon 搭配使用。

  2. 在您之間建立信任關係 AWS 受管理的 Microsoft AD 和您的內部部署網域。確定信任已設定為雙向信任。如需詳細資訊,請參閱教學課程:在您之間建立信任關係 AWS 受管理的 Microsoft AD 和您的內部部署網域 AWS Directory Service 管理指南

單向或雙向信任可用於管理和驗證 WorkSpaces, WorkSpaces 以便佈建給內部部署使用者和群組。如需詳細資訊,請參閱 WorkSpaces 使用單向信任資源網域部署 Amazon AWS Directory Service

注意

  • RHEL 和 Ubuntu WorkSpaces 使用系統安全性服務程式 (SSSD) 進行使用中目錄整合,並且SSSD不支援樹系信任。請改為設定外部信任。建議在 Amazon Linux、Ubuntu 和紅帽企業 Linux 上使用雙向信任 WorkSpaces。

  • 您無法使用網頁瀏覽器 (網頁存取) 來連線到 Linux WorkSpaces。

使 WorkSpaces 用個人創建一個專用的 Microsoft 項目 ID 目錄

在本教程中,我們創建自己的許可證(BYOL)窗戶 10 和 11 個人 WorkSpaces 是 Microsoft 恩特拉 ID 加入並註冊到 Microsoft Intune。在創建這樣的 WorkSpaces,你需要首先創建一個專用的 WorkSpaces 個人目錄 Entra ID WorkSpaces 加入。

注意

Microsoft Entra 加入個人可 WorkSpaces 用在所有 AWS 提供 Amazon WorkSpaces 的地區除非洲 (開普敦)、以色列 (特拉維夫) 和中國 (寧夏)。

概要

Microsoft Entra ID 個人 WorkSpaces 目錄包含所有需要啟動 Microsoft Entra ID 加入分配給您 WorkSpaces 的用戶管理與 Microsoft Entra ID 的信息。使用者資訊可透 WorkSpaces 過 AWS IAM身分識別中心,充當身分識別代理人,可將您的員工身分從 Entra ID 帶到 AWS。 Microsoft Windows 自動駕駛儀使用者導向模式是用來完成 WorkSpaces Intune 註冊和 Entra 加入。下圖說明了自動駕駛儀的過程。

Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.

要求與限制

  • Microsoft 企業 ID P1 計劃或更高版本。

  • Microsoft 項目識別碼和 Intune 已啟用且具有角色指派。

  • Intune 系統管理員-管理自動輔助駕駛部署設定檔時所需。

  • 全域管理員-對於在步驟 3 中建立的應用程式所指派的API權限授與管理員同意時所需。未經此權限即可建立應用程式。不過,「全域管理員」必須提供應用程式權限的管理員同意。

  • 將 VDA E3/E5 使用者訂閱授權指派給使用者,以便他們的視窗 10 或 11 WorkSpaces 可以加入到項目識別碼。

  • 項目 ID 目錄僅支援視窗 10 或 11 個人攜帶您自己的授權 WorkSpaces。以下是受支援的版本。

    • Windows 10 版本 21H2 (2021 年 12 月更新)

    • Windows 10 版本 22H2 (2022 年 11 月更新)

    • 視窗 11 企業下半年二十三月 (2023 年 10 月版本)

    • 視窗 11 企業 22 下半年 (2022 年 10 月版本)

  • 使用您自己的授權 (BYOL) 已啟用 AWS 帳戶,並且您在您的帳戶中導入了有效的 Windows 10 或 11 BYOL 圖像。如需詳細資訊,請參閱使用您自己的 Windows 桌面版授權 WorkSpaces

  • Microsoft 恩特拉 ID 目錄僅支持窗戶 10 或 11 BYOL 個人 WorkSpaces.

  • Microsoft 恩特拉 ID 目錄僅支持WSP協議。

步驟 1:啟用IAM身分識別中心,並與 Microsoft Entra ID 同步

要創建 Microsoft Entra ID 加入個人 WorkSpaces 並將其分配給您的 Entra ID 用戶,您必須將用戶信息提供給 AWS 透過IAM身分識別中心。IAM建議使用身分識別中心 AWS 用於管理使用者存取權的服務 AWS 的費用。如需詳細資訊,請參閱什麼是IAM身分識別中心? 。這是一次性設定。

注意

個 WorkSpaces 人目錄及其關聯的IAM身分識別中心執行個體必須位於相同 AWS 區域。

  1. 啟用IAM身分識別中心 AWS Organizations,尤其是在您使用多帳戶環境時。您也可以建立IAM身分識別中心的帳戶執行個體。若要深入瞭解,請參閱啟用 AWS IAM身分識別中心。每個 WorkSpaces 目錄都可以與一個IAM身分識別中心執行個體、組織或帳戶相關聯。

    如果您正在使用組織執行個體,並嘗試在其中一個成員帳戶中建立 WorkSpaces 目錄,請確定您具有下列 IAM Identity Center 權限。

    • "sso:DescribeInstance"

    • "sso:CreateApplication"

    • "sso:PutApplicationGrant"

    • "sso:PutApplicationAuthenticationMethod"

    • "sso:DeleteApplication"

    • "sso:DescribeApplication"

    • "sso:getApplicationGrant"

    如需詳細資訊,請參閱管理IAM身分識別中心資源存取權限概觀。此外,請確保沒有服務控制策略(SCPs)阻止這些權限。若要深入了解SCPs,請參閱服務控制原則 (SCPs)

  2. 設定IAM身分識別中心和 Microsoft Entra ID,以自動將選取的或所有使用者從您的 Entra ID 租用戶同步至您的IAM身分識別中心執行個體。如需詳細資訊,請參閱設定SAML和SCIM使用 Microsoft Entra ID 和IAM身分識別中心和教學課程:設定 AWS IAM自動使用者佈建的身分識別中心

  3. 確認您在 Microsoft Entra ID 上設定的使用者已正確同步處理至 AWS IAM身分識別中心實例。如果您看到來自 Microsoft Entra ID 的錯誤訊息「要求無法剖析、語法上不正確或違反結構描述」,則表示 Entra ID 中的使用者是以身分識別中心不支援的方式設定。IAM例如,Entra ID 中的使用者物件缺少名字、姓氏和/或顯示名稱。如需詳細資訊,請參閱特定使用者無法從外部SCIM提供者同步處理至 IAM Identity Center

注意

WorkSpaces 使用 Entra ID UserPrincipalName (UPN) 屬性來識別個別使用者,以下是其限制:

  • UPNs長度不能超過 63 個字元。

  • 如果您在將使用者指派給使用者之UPN後變更了,除非您將UPN回變更為先前的狀態, WorkSpace 否則使用者將無法連線到他們。 WorkSpace

步驟 2:註冊一個 Microsoft 恩特拉 ID 應用程序授予 Windows 自動駕駛儀的權限

WorkSpaces 個人使用 Microsoft 視窗自動駕駛儀的使用者導向模式 WorkSpaces 來註冊 Microsoft Intune,並將他們加入到 Microsoft Entra ID。

要允許 Amazon WorkSpaces 註冊 WorkSpaces 個人到自動駕駛儀,您必須註冊一個授予必要的 Microsoft 圖形API許可的 Microsoft Entra ID 應用程序。如需註冊 Entra ID 應用程式的詳細資訊,請參閱快速入門:向 Microsoft 身分識別平台註冊應用程式

我們建議您在 Entra ID 應用程式中提供下列API權限。

  • 要創建一個需 WorkSpace 要加入 Entra ID 的新個人,需要以下API權限。

    • DeviceManagementServiceConfig.ReadWrite.All

  • 當您終止個人 WorkSpace 或重建它時,會使用下列權限。

    注意

    如果您未提供這些權限, WorkSpace 將會終止,但不會從您的 Intune 和 Entra ID 租用戶中移除,您必須個別移除它們。

    • DeviceManagementServiceConfig.ReadWrite.All

    • Device.ReadWrite.All

    • DeviceManagementManagedDevices.ReadWrite.All

  • 這些權限需要管理員同意。如需詳細資訊,請參閱授予應用程式承租人範圍的管理員同意

接下來,您必須為 Entra ID 應用程式新增用戶端密碼。如需詳細資訊,請參閱新增認證。確保您記住了客戶端密鑰字符串,因為在創建時將需要它 AWS Secrets Manager 在步驟 4 中的秘密。

步驟 3:設定 Windows 自動輔助駕駛使用者導向模式

請確定您熟悉 Windows 自動駕駛儀使用者導向 Microsoft Entra 加入 Intune 中的逐步教學課程

若要設定您的 Microsoft Intune 自動輔助駕駛

  1. 登入 Microsoft Intune 系統管理中心

  2. 建立新的個 WorkSpaces人自動輔助駕駛裝置群組。如需詳細資訊,請參閱為 Windows 自動輔助駕駛儀建立裝置群組

    1. 選擇群組新群組

    2. 針對 Group type (群組類型),選擇 Security (安全性)。

    3. 對於會員類型,選擇動態裝置

    4. 選擇 [編輯動態查詢] 以建立動態成員資格規則。規則應採用下列格式:

      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      重要

      WorkSpacesDirectoryName應該符合您在步驟 5 中建立的 Entra ID 個 WorkSpaces 人目錄的目錄名稱。這是因為在將虛擬桌面 WorkSpaces 註冊到 Autopilot 自動輔助駕駛時,目錄名稱字串會用作群組標記。此外,群組標記會對應至 Microsoft Entra 裝置上的OrderID屬性。

  3. 選擇裝置視窗註冊。針對註冊選項,選自動註冊。針對MDM使用者範圍,選取全部

  4. 建立自動輔助駕駛部署設定檔。如需詳細資訊,請參閱建立 Autopilot 部署設定檔

    1. 對於 Windows 自動輔助駕駛,請選擇部署設定檔 > 建立設定檔

    2. Windows 自動輔助駕駛部署設定檔畫面中,選取 [建立設定檔] 下拉式功能表,然後選取 [Windows 電腦]。

    3. 在「建立設定檔」畫面的 「O ut-of-box 體驗」(OOBE) 頁面上。對於部署模式,選取使用者驅動。對於加入 Microsoft 項目 ID,選擇 Microsoft 項目加入。您可以針對已加入 Entra ID 的個人 WorkSpaces 自訂電腦名稱,方法是針對套用裝置名稱範本選取是,以建立在註冊期間命名裝置時使用的範本。

    4. [指派] 頁面上,對於指派對象,選擇選取的群組。選擇 [選取要包含的群組],然後選取您剛在 2 中建立的 Autopilot 裝置群組。

步驟 4:建立 AWS Secrets Manager 秘密

您必須在中建立密碼 AWS Secrets Manager 安全地儲存您在步驟 2:註冊一個 Microsoft 恩特拉 ID 應用程序授予 Windows 自動駕駛儀的權限中建立之 Entra ID 應用程式的資訊,包括應用程式 ID 和用戶端密碼。這是一次性設定。

若要建立 AWS Secrets Manager 秘密

  1. 在上建立客戶管理的金鑰 AWS Key Management Service。 該密鑰稍後將用於加密 AWS Secrets Manager 秘密。不要使用默認密鑰來加密您的密鑰,因為默認密鑰不能被 WorkSpaces 服務訪問。請依照下列步驟建立金鑰。

    1. 打開 AWS KMS 控制台在 https://console.aws.amazon.com/公里

    2. 若要變更 AWS 區域,使用頁面右上角的「地區」選取器。

    3. 選擇建立金鑰

    4. 在 [設定金鑰] 頁面上,針對 [金鑰類型] 選擇 [對稱]。對於金鑰使用,請選擇加密並解密

    5. 在 [檢閱] 頁面的 [金鑰原則編輯器] 中,透過在金鑰原則中包含下列權限,確定您允許 WorkSpaces 服務的主體workspaces.amazonaws.com存取金鑰。

      {
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "workspaces.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
 }

  2. 在上建立密碼 AWS Secrets Manager,使用 AWS KMS 在上一個步驟中建立的金鑰。

    1. 開啟 Secrets Manager 主控台,位於https://console.aws.amazon.com/secretsmanager/

    2. 選擇儲存新機密

    3. 在 [選擇密碼類型] 頁面上,對於 [密碼類型],選取 [其他密碼類型]。

    4. 對於金鑰/值組,在索引鍵方塊中,在金鑰方塊中輸入「application_id」,然後從步驟 2 複製 Entra ID 應用程式 ID 並將其貼到值方塊中。

    5. 選擇新增列,在金鑰方塊中輸入「application_password」,然後從步驟 2 複製 Entra ID 應用程式用戶端密碼,並將其貼到值方塊中。

    6. 選擇 AWS KMS 您在上一個步驟中從「加密金鑰」下拉式清單建立的金鑰

    7. 選擇 Next (下一步)

    8. [設定密碼] 頁面上,輸入密碼名稱說明

    9. 在 [資源權限] 區段中,選擇 [編輯權限]。

    10. 請確定您允許 WorkSpaces 服務的主體workspaces.amazonaws.com存取密碼,方法是在資源權限中包含下列資源原則。

      {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "Service" : [ "workspaces.amazonaws.com"]
    },
    "Action" : "secretsmanager:GetSecretValue",
    "Resource" : "*"
  } ]
}

第 5 步:創建一個專用的 Microsoft 項目 ID WorkSpaces 目錄

創建一個專用 WorkSpaces 目錄,用於存儲您的 Microsoft Entra ID 加入 WorkSpaces 和 Entra ID 用戶的信息。

若要建立項目 ID WorkSpaces 目錄

  1. 在開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在導覽窗格中,選擇目錄

  3. 在 [建立目錄] 頁面上,針對WorkSpaces 類型選擇 [個人]。對於WorkSpace 設備管理,請選擇 Microsoft 項目 ID

  4. WorkSpace 若為 Microsoft 租用戶識別碼,請輸入您希望目錄加入的 Microsoft 企業識別碼租用戶識別碼。建立目錄後,您將無法變更租用戶識別碼。

  5. 對於 Entra ID 應用程式 ID 和密碼,請選取 AWS Secrets Manager 您在下拉列表中的步驟 4 中創建的秘密。建立目錄後,您將無法變更與目錄相關聯的密碼。但是,您可以隨時更新密碼的內容,包括 Entra ID 應用程式 ID 及其密碼 AWS Secrets Manager 控制台位於https://console.aws.amazon.com/secretsmanager/

  6. 對於使用者身分識別來源,從下拉式清單中選取您在步驟 1 中設定的IAM身分識別中心執行個體。建立目錄後,您將無法變更與目錄相關聯的 IAM Identity Center 執行個體。

  7. 在目錄名稱中,輸入目錄的唯一名稱 (例如,WorkSpacesDirectoryName)。

    重要

    目錄名稱應與您在驟 3 中OrderID使用 Microsoft Intune 建立的自動輔助駕駛裝置群組建構動態查詢時所使用的名稱相符。將個人註冊 WorkSpaces 到 Windows 自動輔助駕駛時,會使用目錄名稱字串做為群組標記。群組標記會對應至 Microsoft Entra 裝置上的OrderID屬性。

  8. (選用) 針對描述,輸入目錄的描述。

  9. 對於 VPC,選VPC取您用來啟動 WorkSpaces. 如需詳細資訊,請參閱為 WorkSpaces 個人設定 VPC

  10. 對於子網路,請選取不是來自VPC相同可用區域的兩個子網路。這些子網路將用來啟動您的個人 WorkSpaces網路。如需詳細資訊,請參閱 WorkSpaces 個人的可用區域

    重要

    確保在子網絡中 WorkSpaces 啟動的具有互聯網訪問權限,這是用戶登錄到 Windows 桌面時需要的。如需詳細資訊,請參閱為 WorkSpaces 個人提供網際網路存取

  11. 對於組態,選取啟用專用 WorkSpace。您必須啟用它才能建立專用的 WorkSpaces 個人目錄,才能啟動「攜帶您自己的授權」(BYOL) Windows 10 或 11 個人 WorkSpaces。

    注意

    如果您在 [設定] 下方沒有看到 [啟用專] WorkSpace 選項,表示您的帳戶尚未啟用BYOL。若要BYOL為您的帳戶啟用,請參閱使用您自己的 Windows 桌面版授權 WorkSpaces

  12. (選擇性) 對於標籤,請指定您要在目錄中用於個人 WorkSpaces 的 key pair 值。

  13. 檢閱目錄摘要,然後選擇 [建立目錄]。連線您的目錄需要幾分鐘的時間。目錄的初始狀態為 Creating。目錄建立完成時,狀態為 Active

建立目錄後,IAM身分識別中心應用程式也會代表您自動建立。要查找應用程序,請ARN轉到目錄的摘要頁面。

您現在可以使用該目錄來啟動 Windows 10 或 11 個人 WorkSpaces 已註冊到 Microsoft Intune 並加入到 Microsoft 項目識別碼。如需詳細資訊,請參閱 WorkSpace 在 WorkSpaces 個人中創建

建立個 WorkSpaces 人目錄後,您可以建立個人目錄 WorkSpace。如需詳細資訊,請參閱 WorkSpace 在 WorkSpaces 個人中創建

設定 WorkSpaces 目錄的IAM身分識別中心應用程式 (選擇性)

建立目錄後,系統會自動建立對應的IAM身分識別中心應用程式。您可以在目錄詳細資訊頁面ARN的 [摘要] 區段中找到應用程式。根據預設,Identity Center 執行個體中的所有使用者都可以存取他們的指派, WorkSpaces 而無需設定對應的 Identity Center 應用 但是,您可以透過設定 IAM Identity Center 應用程 WorkSpaces 式的使用者指派來管理目錄中的使用者存取權限。

設定IAM身分識別中心應用程式的使用者指派

  1. 在開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在「」AWS 管理的應用程式索引標籤上,選擇 WorkSpaces 目錄的應用程式。應用程式名稱的格式如下:WorkSpaces.wsd-xxxxx,其中wsd-xxxxx是 WorkSpaces 目錄 ID。

  3. 選擇「操作」「編輯詳細信

  4. [使用者和群組指派方法] 從 [不需要指派] 變更為 [需要指派]

  5. 選擇 Save changes (儲存變更)。

進行此變更後,Identity Center 執行個體中的使用者將失去其指派的存取權, WorkSpaces 除非他們已指派給應用程式。若要將您的使用者指派給應用程式,請使用 AWS CLI 指令create-application-assignment,將使用者或群組指派給應用程式。如需詳細資訊,請參閱 AWS CLI 指令參考

使用 WorkSpaces 個人創建專用的自定義目錄

在您創建 Windows 10 和 11 BYOL 個人 WorkSpaces 並將其分配給您的用戶之前,通過以下方式進行管理 AWS IAM身分識別中心身分識別提供者 (IdPs),您必須建立專用的自訂 WorkSpaces 目錄。個人不 WorkSpaces 會加入任何 Microsoft Active Directory,但可以使用您選擇的行動裝置管理 (MDM) 解決方案進行管理,例如 JumpCloud。如需詳細資訊 JumpCloud,請參閱這篇文章。如需使用其他選項的教學課程,請參閱 為個人建立 WorkSpaces 目錄

注意

  • Amazon WorkSpaces 無法在自定義目錄中 WorkSpaces 啟動的個人上創建或管理用戶帳戶。作為管理員,您將必須對其進行管理。

  • 自定義 WorkSpaces 目錄在所有 AWS 提供 Amazon WorkSpaces 的地區除非洲 (開普敦)、以色列 (特拉維夫) 和中國 (寧夏)。

  • Amazon WorkSpaces 無法 WorkSpaces 使用自定義目錄創建或管理用戶帳戶。若要確保您使用的MDM代理程式軟體可以在 Windows 上建立使用者設定檔 WorkSpaces,請連絡MDM解決方案提供者。建立使用者設定檔可讓您的使用者從 Windows 登入畫面登入 Windows 桌面。

要求與限制

  • 自訂 WorkSpaces 目錄僅支援 Windows 10 或 11 使用您自己的授權個人使用授權 WorkSpaces。

  • 自訂 WorkSpaces 目錄僅支援WSP通訊協定。

  • 確保您啟BYOL用 AWS 帳戶,你有你自己的 AWS KMS 您的個人 WorkSpaces 可以訪問的服務器窗戶 10 和 11 激活。如需詳細資訊,請參閱 使用您自己的 Windows 桌面版授權 WorkSpaces

  • 請務必在匯入的BYOL映像上預先安裝MDM代理程式軟體 AWS 帳戶。

步驟 1:啟用IAM身分識別中心並與您的身分提供者連線

若要指派 WorkSpaces 給您的身分識別提供者管理的使用者,必須將使用者資訊提供給 AWS 通過 AWS IAM身分識別中心。我們建議您使用IAM身分識別中心來管理您的使用者存取 AWS 的費用。如需詳細資訊,請參閱什麼是IAM身分識別中心? 。這是一次性設定。

將使用者資訊提供給 AWS

  1. 啟用IAM身分識別中心 AWS。 您可以啟用IAM身分識別中心 AWS 組織,尤其是在您使用多帳戶環境時。您也可以建立IAM身分識別中心的帳戶執行個體。如需詳細資訊,請參閱啟用 AWS IAM身分識別中心。每個 WorkSpaces 目錄都可以與一個IAM身分識別中心組織或帳戶實例相關聯。每個IAM身分識別中心執行個體都可以與一或多 WorkSpaces 個個人目錄相關聯。

    如果您正在使用組織執行個體,並嘗試在其中一個成員帳戶中建立 WorkSpaces 目錄,請確定您具有下列 IAM Identity Center 權限。

    • "sso:DescribeInstance"

    • "sso:CreateApplication"

    • "sso:PutApplicationGrant"

    • "sso:PutApplicationAuthenticationMethod"

    • "sso:DeleteApplication"

    • "sso:DescribeApplication"

    • "sso:getApplicationGrant"

    如需詳細資訊,請參閱管理IAM身分識別中心資源存取權限概觀。確定沒有任何服務控制原則 (SCPs) 封鎖這些權限。若要深入了解SCPs,請參閱服務控制原則 (SCPs)

  2. 設定IAM身分識別中心和您的身分識別提供者 (IdP),以自動將使用者從 IdP 同步至您的IAM身分識別中心執行個體。如需詳細資訊,請參閱入門自學課程,並為您要使用的 IdP 選擇特定自學課程。例如,使用IAM身分識別中心與您的 JumpCloud 目錄平台連線

  3. 確認您在 IdP 上設定的使用者已正確同步至 AWS IAM身分識別中心實例。第一次同步處理最多可能需要一個小時,具體取決於 IdP 的組態。

步驟 2:建立專用的自訂 WorkSpaces 目錄

創建一個專用的 WorkSpaces 個人目錄,用於存儲有關您的個人 WorkSpaces 和用戶的信息。

建立專用的自訂 WorkSpaces 目錄

  1. 在開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在導覽窗格中,選擇目錄

  3. 選擇建立目錄

  4. 在 [建立目錄] 頁面上,選擇 [個人] 做為WorkSpaces類型。若要管理WorkSpace 裝置,請選擇 [自訂]。

  5. 對於使用者身分識別來源,請從下拉式清單中選取您在步驟 1 中設定的IAM身分識別中心執行個體。建立目錄後,您將無法變更與目錄相關聯的 IAM Identity Center 執行個體。

    注意

    您必須為目錄指定 IAM Identity Center 執行個體,否則您將無法使用 WorkSpaces 主控台 WorkSpaces 透過目錄啟動個人資料。 WorkSpaces 沒有關聯身分識別中心的目錄只能與 WorkSpaces 核心合作夥伴解決方案相容。

  6. 在目錄名稱中,輸入目錄的唯一名稱。

  7. 對於 VPC,選VPC取您用來啟動 WorkSpaces. 如需詳細資訊,請參閱為 WorkSpaces 個人設定 VPC

  8. 對於子網路,請選取不是來自VPC相同可用區域的兩個子網路。這些子網路將用來啟動您的個人 WorkSpaces網路。如需詳細資訊,請參閱 WorkSpaces 個人的可用區域

    重要

    確保在子網絡中 WorkSpaces 啟動的具有互聯網訪問權限,這是用戶登錄到 Windows 桌面時需要的。如需詳細資訊,請參閱為 WorkSpaces 個人提供網際網路存取

  9. 對於組態,選取啟用專用 WorkSpace。您必須啟用它才能建立專用的 WorkSpaces 個人目錄,才能啟動「攜帶您自己的授權」(BYOL) Windows 10 或 11 個人 WorkSpaces。

  10. (選擇性) 對於標籤,請指定您要在目錄中用於個人 WorkSpaces 的 key pair 值。

  11. 檢閱目錄摘要,然後選擇 [建立目錄]。連線您的目錄需要幾分鐘的時間。目錄的初始狀態為 Creating。目錄建立完成時,狀態為 Active

建立目錄後,IAM身分識別中心應用程式也會代表您自動建立。要查找應用程序,請ARN轉到目錄的摘要頁面。

您現在可以使用該目錄來啟動 Windows 10 或 11 個人 WorkSpaces 已註冊到 Microsoft Intune 並加入到 Microsoft 項目識別碼。如需詳細資訊,請參閱 WorkSpace 在 WorkSpaces 個人中創建

建立個 WorkSpaces 人目錄後,您可以建立個人目錄 WorkSpace。如需詳細資訊,請參閱 WorkSpace 在 WorkSpaces 個人中創建

若要刪除空目錄,請參閱 刪除個 WorkSpaces 人目錄。如果您刪除 Simple AD 或 AD Connector 目錄,當您想要 WorkSpaces 重新開始使用時,隨時都可以建立新的目錄。