Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Netzwerkprotokolle und Zugriff für WorkSpaces Personal
<a name="amazon-workspaces-networking"></a>

Als WorkSpace Administrator müssen Sie wissen, wie WorkSpaces Netzwerke und Zugriffe verwaltet werden, angefangen bei den Protokollen.

## Protokolle für WorkSpaces Personal
<a name="amazon-workspaces-protocols"></a>

Amazon WorkSpaces unterstützt zwei Protokolle: PCo IP und DCV. Welches Protokoll Sie wählen, hängt von mehreren Faktoren ab, z. B. von der Art der Geräte, von denen WorkSpaces aus Ihre Benutzer auf sie zugreifen, welches Betriebssystem auf Ihrem Gerät installiert ist WorkSpaces, mit welchen Netzwerkbedingungen Ihre Benutzer konfrontiert werden und ob Ihre Benutzer bidirektionale Videounterstützung benötigen.

### Voraussetzungen
<a name="w2aac11c23b5b5"></a>

DCV WorkSpaces werden nur mit den folgenden Mindestanforderungen unterstützt.

Agentenanforderungen für den Host-Agent
+ Windows-Host-Agent Version 2.0.0.312 oder höher
+ Unbutu-Host-Agent Version 2.1.0.501 oder höher
+ Amazon-Linux-2-Host-Agent Version 2.0.0.596 oder höher
+ Rocky Linux Host Agent Version 2.1.0.1628 oder höher
+ Red Hat Enterprise Linux Host Agent Version 2.1.0.1628 oder höher

Clientanforderungen:
+ Nativer Windows-Client Version 5.1.0.329 oder höher
+ Nativer macOS-Client Version 5.5.0 oder höher
+ Ubuntu 22.04 Client-Version 2024.x oder höher
+ Amazon WorkSpaces Thin Client (Weitere Informationen finden Sie in der [Amazon WorkSpaces Thin Client-Dokumentation](https://docs.aws.amazon.com/workspaces-thin-client/))
+ Web Access

Weitere Informationen darüber, wie Sie Ihre WorkSpace Client-Version und Ihre Host-Agent-Version überprüfen können, finden Sie in den [häufig gestellten Fragen](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20How%20do%20I%20find%20my%20WSP%20host%20agent%20version%3F).

### Wann sollte DCV verwendet werden
<a name="w2aac11c23b5b7"></a>
+ Wenn Sie eine höhere loss/latency Toleranz benötigen, um die Netzwerkbedingungen Ihrer Endbenutzer zu unterstützen. Sie haben beispielsweise Benutzer, die WorkSpaces über globale Entfernungen auf sie zugreifen oder unzuverlässige Netzwerke verwenden.
+ Wenn Sie möchten, dass sich Ihre Benutzer mit Smartcards authentifizieren oder Smartcards während der Sitzung verwenden.
+ Wenn Sie Funktionen zur Unterstützung von Webcams während der Sitzung benötigen.
+ Wenn Sie Web Access mit dem Paket mit Windows Server 2022 oder Windows Server 2025 verwenden müssen. WorkSpaces 
+ Wenn Sie Ubuntu verwenden müssen. WorkSpaces
+ Wenn Sie Windows 11 BYOL WorkSpaces verwenden müssen.
+ Wenn Sie GPU-fähige WorkSpaces Bundles mit Windows verwenden müssen.
+ Wenn Sie GPU-basierte Windows-Bundles (Graphics.G6, Graphics.G4DN und .g4dn) oder GPU-basierte Ubuntu-Bundles (Graphics.g4dn und .g4dn) verwenden müssen. GraphicsPro GraphicsPro
+ Wenn Sie möchten, dass sich Ihre WebAuthn Benutzer während der Sitzung mit YubiKey Authentifikatoren wie Windows Hello authentifizieren.

### Wann sollte IP verwendet werden PCo
<a name="w2aac11c23b5b9"></a>
+ Wenn Sie die iPad- oder Android-Linux-Clients verwenden möchten.
+ Wenn Sie Teradici-Zero-Client-Geräte verwenden.
+ Wenn Sie ein Linux-Paket für Szenarien ohne Smartcard verwenden müssen.
+ Wenn Sie WorkSpaces in der Region China (Ningxia)

**Anmerkung**  
Ein Verzeichnis kann eine Mischung aus PCo IP und DCV enthalten WorkSpaces .
Ein Benutzer kann sowohl eine PCo IP als auch eine DCV haben, WorkSpace solange sich die beiden in getrennten WorkSpaces Verzeichnissen befinden. Derselbe Benutzer kann nicht eine PCo IP und eine DCV WorkSpace im selben Verzeichnis haben. Weitere Hinweise zum Erstellen mehrerer WorkSpaces für einen Benutzer finden Sie unter[Erstellen Sie mehrere WorkSpaces für einen Benutzer in WorkSpaces Personal](create-multiple-workspaces-for-user.md).
Sie können eine WorkSpace zwischen den beiden Protokollen migrieren, indem Sie die WorkSpaces Migrationsfunktion verwenden, wofür eine Neuerstellung des erforderlich ist WorkSpace. Weitere Informationen finden Sie unter [Migrieren Sie ein WorkSpace in WorkSpaces Personal](migrate-workspaces.md).
Wenn Ihr mit PCo IP-Bundles erstellt WorkSpace wurde, können Sie das Streaming-Protokoll so ändern, dass es zwischen den beiden Protokollen migriert, ohne dass eine Neuerstellung erforderlich ist, wobei das Root-Volume beibehalten wird. Weitere Informationen finden Sie unter [Protokolle ändern](https://docs.aws.amazon.com/workspaces/latest/adminguide/modify-workspaces.html#modify_protocols).
Für ein optimales Videokonferenzerlebnis empfehlen wir, nur Power- PowerPro, GeneralPurpose .4xlarge- oder GeneralPurpose .8xlarge-Pakete zu verwenden.

In den folgenden Themen finden Sie weitere Informationen zur Verwaltung von Netzwerken und Zugriffen für Personal: WorkSpaces 

# Konfiguration einer VPC für Personal WorkSpaces
<a name="amazon-workspaces-vpc"></a>

WorkSpaces startet Ihre WorkSpaces in einer virtuellen privaten Cloud (VPC).

Sie können eine VPC mit zwei privaten Subnetzen für Sie WorkSpaces und einem NAT-Gateway in einem öffentlichen Subnetz erstellen. Alternativ können Sie eine VPC mit zwei öffentlichen Subnetzen für Sie erstellen WorkSpaces und jedem eine öffentliche IP-Adresse oder Elastic IP-Adresse zuordnen. WorkSpace

Weitere Informationen zu Überlegungen zum VPC-Design finden Sie unter [Best Practices for VPCs and Networking in Amazon WorkSpaces Deployments](https://d1.awsstatic.com/whitepapers/best-practices-vpcs-networking-amazon-workspaces-deployments.pdf) und [Best Practices for Deployment WorkSpaces — VPC-Design](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/vpc-design.html).

**Topics**
+ [Voraussetzungen](#configure-vpc-requirements)
+ [Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway](#configure-vpc-nat-gateway)
+ [Konfigurieren einer VPC mit öffentlichen Subnetzen](#configure-vpc-public-subnets)

## Voraussetzungen
<a name="configure-vpc-requirements"></a>

Die Subnetze Ihrer VPC müssen sich in verschiedenen Availability Zones in der Region befinden, in der Sie starten. WorkSpaces Availability Zones sind unabhängige Standorte, die so aufgebaut sind, dass sie von Fehlern in anderen Availability Zones nicht betroffen sind. Indem Instances in separaten Availability Zones gestartet werden, können Sie Ihre Anwendungen vor den Fehlern eines einzelnen Standorts schützen. Jedes Subnetz muss sich vollständig innerhalb einer Availability Zone befinden und darf nicht mehrere Zonen umfassen.

**Anmerkung**  
Amazon WorkSpaces ist in einer Untergruppe der Availability Zones in jeder unterstützten Region verfügbar. Informationen darüber, welche Availability Zones Sie für die Subnetze der VPC verwenden können, für die Sie sie verwenden WorkSpaces, finden Sie unter. [Verfügbarkeitszonen für WorkSpaces Personal](azs-workspaces.md) 

## Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway
<a name="configure-vpc-nat-gateway"></a>

Wenn Sie Directory Service ein AWS Managed Microsoft oder Simple AD erstellen, empfehlen wir, die VPC mit einem öffentlichen Subnetz und zwei privaten Subnetzen zu konfigurieren. Konfigurieren Sie Ihr Verzeichnis so, dass Ihr Verzeichnis WorkSpaces in den privaten Subnetzen gestartet wird. Um den Internetzugang WorkSpaces in einem privaten Subnetz bereitzustellen, konfigurieren Sie ein NAT-Gateway im öffentlichen Subnetz.

![\[Konfigurieren Sie Ihre WorkSpaces VPC\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/vpc-configuration-new.png)


**So erstellen Sie eine VPC mit einem öffentlichen Subnetz und zwei privaten Subnetzen**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie **VPC erstellen** aus.

1. Wählen Sie unter **Resources to create** (Zu erstellende Ressourcen) die Option **VPC and more** (VPC und mehr) aus.

1. Geben Sie unter **Name tag auto-generation** (Automatische Generierung des Namens-Tags) einen Namen für die VPC ein.

1. Führen Sie zur Konfiguration der Subnetze folgende Schritte aus:

   1. Wählen Sie unter **Number of Availability Zones** (Anzahl der Availability Zones) je nach Bedarf **1** oder **2** aus.

   1. Erweitern Sie **Anpassen AZs** und wählen Sie Ihre Availability Zones aus. Andernfalls AWS wählt sie für Sie aus. Informationen zum Treffen einer geeigneten Auswahl finden Sie unter [Verfügbarkeitszonen für WorkSpaces Personal](azs-workspaces.md).

   1. Stellen Sie unter **Number of public subnets** (Anzahl der öffentlichen Subnetze) sicher, dass ein öffentliches Subnetz pro Availability Zone vorhanden ist.

   1. Stellen Sie unter **Anzahl der privaten Subnetze** sicher, dass ein privates Subnetz pro Availability Zone vorhanden ist.

   1. Geben Sie für jedes Subnetz einen CIDR-Block ein. Weitere Informationen finden Sie unter [Dimensionierung von Subnetzen](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) im *Amazon-VPC-Benutzerhandbuch*.

1. Wählen Sie für **NAT-Gateways** **1 pro AZ** aus.

1. Wählen Sie **VPC erstellen** aus.

**IPv6 CIDR-Blöcke**  
Sie können Ihrer VPC und ihren Subnetzen IPv6 CIDR-Blöcke zuordnen und diese Subnetze so konfigurieren, dass neu gestarteten Instances automatisch IPv6 Adressen zugewiesen werden. Für vom Kunden erstellte Subnetze ist die automatische IPv6 Adressierung standardmäßig deaktiviert. Um diese Einstellung in der Amazon VPC-Konsole anzuzeigen oder zu aktualisieren, wählen Sie im Navigationsbereich Subnetze, wählen Sie das Zielsubnetz aus und wählen Sie dann **Aktionen**, IP-Einstellungen für **automatische Zuweisung ändern**.

## Konfigurieren einer VPC mit öffentlichen Subnetzen
<a name="configure-vpc-public-subnets"></a>

Wenn Sie möchten, können Sie eine VPC mit zwei öffentlichen Subnetzen erstellen. Um den Internetzugang WorkSpaces in öffentlichen Subnetzen zu ermöglichen, konfigurieren Sie das Verzeichnis so, dass Elastic IP-Adressen automatisch zugewiesen werden, oder weisen Sie jedem manuell eine Elastic IP-Adresse zu. WorkSpace

**Topics**
+ [Schritt 1: Erstellen einer VPC](#create-vpc-public-subnet)
+ [Schritt 2: Weisen Sie Ihren öffentlichen IP-Adressen zu WorkSpaces](#assign-eip)

### Schritt 1: Erstellen einer VPC
<a name="create-vpc-public-subnet"></a>

Erstellen Sie wie folgt eine VPC mit einem öffentlichen Subnetz.

**So erstellen Sie die VPC**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie **VPC erstellen** aus.

1. Wählen Sie unter **Resources to create** (Zu erstellende Ressourcen) die Option **VPC and more** (VPC und mehr) aus.

1. Geben Sie unter **Name tag auto-generation** (Automatische Generierung des Namens-Tags) einen Namen für die VPC ein.

1. Führen Sie zur Konfiguration der Subnetze folgende Schritte aus:

   1. Wählen Sie für **Anzahl der Availability Zones** **2** aus.

   1. Erweitern Sie **Anpassen AZs** und wählen Sie Ihre Availability Zones aus. Andernfalls AWS wählt sie für Sie aus. Informationen zum Treffen einer geeigneten Auswahl finden Sie unter [Verfügbarkeitszonen für WorkSpaces Personal](azs-workspaces.md).

   1. Wählen Sie für **Number of public subnets** (Anzahl der öffentlichen Subnetze) **2** aus.

   1. Wählen Sie für **Anzahl der öffentlichen Subnetze** (Number of private subnets) **0** aus.

   1. Geben Sie für jedes öffentliche Subnetz einen CIDR-Block ein. Weitere Informationen finden Sie unter [Dimensionierung von Subnetzen](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) im *Amazon-VPC-Benutzerhandbuch*.

1. Wählen Sie **VPC erstellen** aus.

**IPv6 CIDR-Blöcke**  
Sie können Ihrer VPC und ihren Subnetzen IPv6 CIDR-Blöcke zuordnen und diese Subnetze so konfigurieren, dass neu gestarteten Instances automatisch IPv6 Adressen zugewiesen werden. Für vom Kunden erstellte Subnetze ist die automatische IPv6 Adressierung standardmäßig deaktiviert. Um diese Einstellung in der Amazon VPC-Konsole anzuzeigen oder zu aktualisieren, wählen Sie im Navigationsbereich Subnetze, wählen Sie das Zielsubnetz aus und wählen Sie dann **Aktionen**, IP-Einstellungen für **automatische Zuweisung ändern**.

### Schritt 2: Weisen Sie Ihren öffentlichen IP-Adressen zu WorkSpaces
<a name="assign-eip"></a>

Sie können Ihren WorkSpaces automatisch oder manuell öffentliche IP-Adressen zuweisen. Informationen zur Verwendung der automatischen Zuweisung finden Sie unter [Automatische öffentliche IP-Adressen für WorkSpaces Personal konfigurieren](automatic-assignment.md). Gehen Sie wie folgt vor, um öffentliche IP-Adressen manuell zuzuweisen.

**Um einer WorkSpace manuell eine öffentliche IP-Adresse zuzuweisen**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **WorkSpaces** aus.

1. **Erweitern Sie die Zeile (wählen Sie das Pfeilsymbol) für den WorkSpace und notieren Sie sich den Wert von WorkSpace IP.** Dies ist die primäre private IP-Adresse von WorkSpace.

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Elastic** aus IPs. Wenn Sie keine verfügbare Elastic IP-Adresse haben, wählen Sie **Allocate Elastic IP Address** und dann **Amazons IPv4 Adresspool** oder **Kundeneigener IPv4 Adresspool** und dann **Allocate** aus. Notieren Sie sich die neue IP-Adresse.

1. Wählen Sie im Navigationsbereich **Network Interfaces (Netzwerkschnittstellen)** aus.

1. Wählen Sie die Netzwerkschnittstelle für Ihre. WorkSpace Um die Netzwerkschnittstelle für Sie zu finden WorkSpace, geben Sie den **WorkSpace IP-Wert** (den Sie zuvor notiert haben) in das Suchfeld ein und drücken **Sie dann die Eingabetaste**. Der **WorkSpace IP-Wert** entspricht der primären privaten IPv4 Adresse für die Netzwerkschnittstelle. Beachten Sie, dass die VPC-ID der Netzwerkschnittstelle mit der ID Ihrer WorkSpaces VPC übereinstimmt.

1. Wählen Sie **Actions**, **Manage IP Addresses** aus. Wählen Sie **Assign new IP (Neue IP zuweisen)** und dann **Yes, Update (Ja, aktualisieren)** aus. Notieren Sie sich die neue IP-Adresse.

1. Wählen Sie **Aktionen**, **Adresse zuweisen** aus.

1. Wählen Sie auf der Seite **Associate Elastic IP Address (Elastic IP-Adresse zuordnen)** unter **Address (Adresse)** eine Elastic IP- Adresse aus. Geben Sie für **Associate to private IP address (Zu privater IP-Adresse zuordnen)** die neue private IP-Adresse an und wählen Sie dann **Associate Address (Adresse zuordnen)** aus.

# AWS Global Accelerator (AGA) für WorkSpaces Personal konfigurieren
<a name="amazon-workspaces-aga"></a>

Sie können AWS Global Accelerator (AGA) entweder auf WorkSpaces Verzeichnisebene oder für einzelne WorkSpaces ausgeführte DCV-Protokolle aktivieren. Wenn diese Option aktiviert ist, leitet der Dienst den Streaming-Verkehr automatisch über den nächstgelegenen AWS Edge-Standort und über das AWS globale Netzwerk weiter, das überlastungsfrei und redundant ist. Dies trägt zu einem reaktionsschnelleren und stabileren Streaming-Erlebnis bei. Der WorkSpaces Dienst verwaltet die AGA-Nutzung vollständig und unterliegt Beschränkungen für das ausgehende Datenvolumen.

**Topics**
+ [Voraussetzungen](#configure-aga-requirements)
+ [Einschränkungen](#configure-aga-limitations)
+ [Grenzwerte für ausgehende Daten](#configure-aga-outbound-data-limits)
+ [Aktivieren Sie AGA für ein WorkSpaces Verzeichnis](#enabling-aga-directory)
+ [Aktivieren Sie AGA für einzelne Benutzer WorkSpaces](#enabling-aga-individual)

## Voraussetzungen
<a name="configure-aga-requirements"></a>
+ WorkSpaces verwenden Sie eine Reihe von öffentlichen IPv4 Adressen für die speziellen AWS Global Accelerator (AGA) -Endpunkte. Stellen Sie sicher, dass Sie Ihre Firewall-Richtlinien für Geräte konfigurieren, die WorkSpaces über AGA darauf zugreifen. Wenn die AGA-Endpunkte durch die Firewall blockiert werden, wird der WorkSpaces Streaming-Verkehr nicht über AGA geleitet. Weitere Informationen zu den IP-Bereichen der AGA-Endpunkte in den einzelnen AWS Regionen finden Sie unter. [DCV-Gatewayserver](workspaces-port-requirements.md#gateway_WSP)
+ Für den Zugriff WorkSpaces über AGA müssen Benutzer die WorkSpaces Client-Versionen 5.23 oder höher verwenden.

## Einschränkungen
<a name="configure-aga-limitations"></a>
+ Sie können AGA nur für DCV WorkSpaces aktivieren. Wenn Sie AGA auf WorkSpaces Verzeichnisebene aktivieren, gilt dies nur für das DCV WorkSpaces im Verzeichnis.
+ Sie können AGA nicht für ein Verzeichnis (oder das WorkSpaces Verzeichnis) aktivieren, für das sowohl FIPS als auch IP-Zugriffskontrollgruppen aktiviert sind. Sie müssen FIPS oder IP-Zugriffskontrollgruppen deaktivieren, bevor Sie AGA für das Verzeichnis aktivieren können.

## Grenzwerte für ausgehende Daten
<a name="configure-aga-outbound-data-limits"></a>

Im Folgenden sind die für WorkSpaces Bundles geltenden Datenvolumengrenzwerte aufgeführt.
+ **Paket „Value“, „Standard“ und „Performance“:** Beinhaltet 20 GB ausgehender AGA-Daten pro Benutzer und Monat.
+ **Strom- PowerPro, und Grafikpakete:** Beinhaltet 50 GB ausgehender AGA-Daten pro Benutzer und Monat.

Diese Grenzwerte für ausgehende Daten sollen die Datennutzung von Benutzern abdecken, die von ihrem Computer aus streamen. WorkSpaces Bei Überschreitung der Grenzwerte kann der WorkSpaces Dienst die Nutzung von AGA einschränken und den WorkSpaces Datenverkehr auf einer bestimmten case-by-case Grundlage von AGA abzweigen.

## Aktivieren Sie AGA für ein WorkSpaces Verzeichnis
<a name="enabling-aga-directory"></a>

Sie können die AGA-Einstellungen auf Verzeichnisebene konfigurieren. Die Einstellungen gelten für alle DCV WorkSpaces im Verzeichnis, sofern sie nicht von der Person überschrieben werden. WorkSpaces

**Um AGA für ein Verzeichnis zu aktivieren**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie in der Spalte **Verzeichnis-ID** die Verzeichnis-ID des Verzeichnisses aus, für das Sie die AGA-Einstellungen konfigurieren möchten.

1. Scrollen Sie auf der Seite mit den Verzeichnisdetails nach unten zum Konfigurationsabschnitt von AWS Global Accelerator (AGA) und wählen Sie **Bearbeiten**.

1. Wählen Sie „**AGA aktivieren“ (automatisch)**.

1. Die Option **Immer TCP mit AGA verwenden** ist standardmäßig ausgewählt. Wenn Sie diese Option deaktivieren, bestimmt Ihr WorkSpaces Client anhand der DCV-Streaming-Protokolleinstellungen auf Ihren Clients, ob TCP oder UDP mit AGA verwendet wird.

1. Wählen Sie **Speichern**.

Nachdem Sie AGA für ein WorkSpaces Verzeichnis aktiviert haben, verwendet DCV WorkSpaces im Verzeichnis ab der nächsten Sitzung AGA für das Streaming. Es ist kein Neustart erforderlich.

## Aktivieren Sie AGA für einzelne Benutzer WorkSpaces
<a name="enabling-aga-individual"></a>

Sie können AGA-Einstellungen für einzelne Benutzer konfigurieren WorkSpaces, wodurch die Einstellungen außer Kraft gesetzt werden, die aus dem Verzeichnis übernommen wurden, dem WorkSpaces sie zugeordnet sind.

**Um AGA für einzelne Benutzer zu aktivieren WorkSpaces**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. **Wählen Sie im Navigationsbereich die Option **WorkSpaces**Persönlich aus.**

1. Wählen Sie in der **WorkSpace ID-Spalte** die WorkSpace ID der Person aus, für die WorkSpace Sie die AGA-Einstellungen konfigurieren möchten.

1. Scrollen Sie auf der WorkSpaces Detailseite nach unten zum Konfigurationsabschnitt für AWS Global Accelerator (AGA) und wählen Sie **Bearbeiten** aus.

1. Wählen Sie **hierfür AGA-Konfigurationen manuell überschreiben** aus WorkSpace.

1. Wählen Sie **AGA aktivieren (automatisch)**.

1. Die Option **Immer TCP mit AGA verwenden** ist standardmäßig ausgewählt. Wenn Sie diese Option deaktivieren, bestimmt Ihr WorkSpaces Client anhand der DCV-Streaming-Protokolleinstellungen auf Ihren Clients, ob TCP oder UDP mit AGA verwendet wird.

1. Wählen Sie **Speichern**.

# Verfügbarkeitszonen für WorkSpaces Personal
<a name="azs-workspaces"></a>

Wenn Sie eine Virtual Private Cloud (VPC) für die Verwendung mit Amazon erstellen WorkSpaces, müssen sich die Subnetze Ihrer VPC in verschiedenen Availability Zones in der Region befinden, in der Sie starten. WorkSpaces Availability Zones sind unabhängige Standorte, die so aufgebaut sind, dass sie von Fehlern in anderen Availability Zones nicht betroffen sind. Indem Instances in separaten Availability Zones gestartet werden, können Sie Ihre Anwendungen vor den Fehlern eines einzelnen Standorts schützen. Jedes Subnetz muss sich vollständig innerhalb einer Availability Zone befinden und darf nicht mehrere Zonen umfassen.

Eine Availability Zone wird durch einen Regionscode gefolgt von einem Buchstaben als Bezeichner angegeben, z. B. `us-east-1a`. Um sicherzustellen, dass die Ressourcen auf die Availability Zones einer Region verteilt sind, ordnen wir Availability Zones unabhängig voneinander den Namen für jedes Konto zu. AWS Beispielsweise ist die Availability Zone `us-east-1a` für Ihr AWS Konto möglicherweise nicht derselbe Standort wie `us-east-1a` für ein anderes AWS Konto.

Um die Availability Zones kontenübergreifend zu koordinieren, müssen Sie die *AZ-ID* verwenden, die eine eindeutige und konsistente Kennung für eine Availability Zone ist. Dies `use1-az2` ist beispielsweise eine AZ-ID für die `us-east-1` Region und sie hat in jedem AWS Konto denselben Standort.

Wenn Sie AZ IDs anzeigen, können Sie den Standort der Ressourcen in einem Konto im Verhältnis zu den Ressourcen in einem anderen Konto bestimmen. Wenn Sie beispielsweise ein Subnetz in der Availability Zone mit der AZ-ID `use1-az2` mit einem anderen Konto teilen, steht dieses Subnetz dem Konto in der Availability Zone zur Verfügung, dessen AZ-ID ebenfalls `use1-az2` ist. Die AZ-ID für jede VPC und jedes Subnetz wird in der Amazon VPC-Konsole angezeigt.

Amazon WorkSpaces ist nur in einer Teilmenge der Availability Zones für jede unterstützte Region verfügbar. In der folgenden Tabelle sind die AZs aufgeführt IDs , die Sie für jede Region verwenden können. Informationen zur Zuordnung von AZ IDs zu Availability Zones in Ihrem Konto finden Sie unter [AZ IDs for Your Resources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) im *AWS RAM Benutzerhandbuch*.


| Name der Region | Regionscode | Unterstützt A-Z IDs | 
| --- | --- | --- | 
| USA Ost (Nord-Virginia) | us-east-1 | use1-az2, use1-az4, use1-az6 | 
| USA West (Oregon) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 | 
| Asia Pacific (Mumbai) | ap-south-1 | aps1-az1, aps1-az2, aps1-az3 | 
| Asia Pacific (Seoul) | ap-northeast-2 | apne2-az1, apne2-az3 | 
| Asien-Pazifik (Singapur) | ap-southeast-1 | apse1-az1, apse1-az2 | 
| Asien-Pazifik (Sydney) | ap-southeast-2 | apse2-az1, apse2-az3 | 
| Asien-Pazifik (Tokio) | ap-northeast-1 | apne1-az1, apne1-az4 | 
| Canada (Central) | ca-central-1 | cac1-az1, cac1-az2 | 
| Europe (Frankfurt) | eu-central-1 | euc1-az2, euc1-az3 | 
| Europa (Irland) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 | 
| Europa (London) | eu-west-2 | euw2-az2, euw2-az3 | 
| Europe (Paris) | eu-west-3 | euw3-az1, euw3-az2, euw3-az3 | 
| Südamerika (São Paulo) | sa-east-1 | sae1-az1, sae1-az3 | 
| Afrika (Kapstadt) | af-south-1 | afs1-az1, afs1-az2, afs1-az3 | 
| Israel (Tel Aviv) | il-central-1 | ilc1-az1, ilc1-az2, ilc1-az3 | 
| AWS GovCloud (US-West) | us-gov-west-1 | usgw1-az1, usgw1-az2, usgw1-az3 | 
| AWS GovCloud (US-Ost) | us-gov-east-1 | usge1-az1, usge1-az2, usge1-az3 | 

Weitere Informationen zu Availability Zones und AZ IDs finden Sie unter [Regionen, Availability Zones und Local Zones](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html) im * EC2 Amazon-Benutzerhandbuch*.

# Anforderungen an IP-Adresse und Port für WorkSpaces Personal
<a name="workspaces-port-requirements"></a>

Um eine Verbindung zu Ihrem herzustellen WorkSpaces, müssen in dem Netzwerk, mit dem Ihre WorkSpaces Clients verbunden sind, bestimmte Ports für die IP-Adressbereiche der verschiedenen AWS Dienste geöffnet sein (gruppiert in Teilmengen). Diese Adressbereiche variieren je nach AWS Region. Die gleichen Ports müssen auch in jeder Firewall geöffnet sein, die auf dem Client installiert ist. Weitere Informationen zu den AWS IP-Adressbereichen für verschiedene Regionen finden Sie unter [AWS IP-Adressbereiche](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html) im *Allgemeine Amazon Web Services-Referenz*.

Weitere Architekturdiagramme finden Sie unter [Best Practices for Deployment Amazon WorkSpaces](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html).

## Ports für Clientanwendungen
<a name="client-application-ports"></a>

Die WorkSpaces Client-Anwendung benötigt ausgehenden Zugriff auf die folgenden Ports:

Port 53 (UDP)  
Dieser Port wird für den Zugriff auf DNS-Server verwendet. Er muss für die IP-Adressen Ihrer DNS-Server geöffnet sein, damit der Client öffentliche Domänennamen auflösen kann. Diese Port-Anforderung ist optional, wenn Sie keine DNS-Server für die Domänennamenauflösung verwenden.

Port 443 (UDP und TCP)  
Dieser Port wird für die Aktualisierung, Registrierung und Authentifizierung der Client-Anwendung verwendet. Die Desktop-Client-Anwendungen unterstützen die Verwendung eines Proxyservers für den Datenverkehr über Port 443 (HTTPS). Öffnen Sie die Client-Anwendung, klicken Sie auf **Erweiterte Einstellungen**, wählen Sie **Proxyserver verwenden** aus, geben Sie die Adresse und den Port des Proxyservers ein und klicken Sie dann auf **Speichern**, um die Verwendung des Proxyservers zu aktivieren.  
Dieser Port muss für die folgenden IP-Adressbereiche geöffnet sein:  
+ Die `AMAZON`-Untergruppe in der Region `GLOBAL`.
+ Die `AMAZON` Teilmenge in der Region, in der sich der WorkSpace befindet.
+ Die `AMAZON`-Untergruppe in der Region `us-east-1`.
+ Die `AMAZON`-Untergruppe in der Region `us-west-2`.
+ Die `S3`-Untergruppe in der Region `us-west-2`.

Port 4172 (UDP und TCP)  
Dieser Port wird für das Streaming des WorkSpace Desktops und für PCo WorkSpaces IP-Integritätsprüfungen verwendet. Dieser Port muss für das PCo IP-Gateway und die Integritätsprüfserver in der Region geöffnet sein, in der er WorkSpace sich befindet. Weitere Informationen erhalten Sie unter [Server für die Zustandsprüfung](#health_check) und [PCoIP-Gateway-Server](#gateway_IP).  
Für PCo IP WorkSpaces unterstützen die Desktop-Client-Anwendungen weder die Verwendung eines Proxyservers noch die TLS-Entschlüsselung und Überprüfung von Port 4172-Verkehr in UDP (für Desktop-Verkehr). Sie benötigen eine direkte Verbindung mit dem Port 4172. 

Port 4195 (UDP und TCP)  
Dieser Port wird für das Streaming des WorkSpace Desktops und für Integritätsprüfungen für DCV verwendet. WorkSpaces Dieser Port muss für die IP-Adressbereiche des DCV-Gateways und die Integritätsprüfserver in der Region geöffnet sein, in der er WorkSpace sich befindet. Weitere Informationen erhalten Sie unter [Server für die Zustandsprüfung](#health_check) und [DCV-Gatewayserver](#gateway_WSP).  
Für DCV WorkSpaces unterstützen die WorkSpaces Windows-Client-Anwendung (Version 5.1 und höher) und die macOS-Client-Anwendung (Version 5.4 und höher) die Verwendung von HTTP-Proxyservern für den TCP-Verkehr nach Port 4195, aber die Verwendung eines Proxys wird nicht empfohlen. TLS-Entschlüsselung und -Inspektion werden nicht unterstützt. Weitere Informationen finden **Sie unter Konfiguration der Geräteproxy-Servereinstellungen für den Internetzugang** für [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy), [Amazon Linux WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) und [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu).

**Anmerkung**  
Wenn Ihre Firewall Stateful-Filterung verwendet, werden flüchtige (auch bekannt als dynamische) Ports automatisch geöffnet, um eine Rücksendung zu ermöglichen. Wenn Ihre Firewall mit Stateless-Filterung arbeitet, müssen Sie die flüchtigen Ports ausdrücklich für die zurückgesendete Kommunikation öffnen. Der erforderliche flüchtige Portbereich, den Sie öffnen müssen, hängt von Ihrer Konfiguration ab.
Die Proxyserverfunktion wird für UDP-Datenverkehr nicht unterstützt. Wenn Sie sich für die Verwendung eines Proxyservers entscheiden, werden die API-Aufrufe, die die Client-Anwendung an die WorkSpaces Amazon-Services sendet, ebenfalls per Proxy weitergeleitet. Sowohl API-Aufrufe als auch Desktop-Datenverkehr sollten über denselben Proxyserver geleitet werden.
Die WorkSpaces Client-Anwendung versucht zunächst, mithilfe von UDP (QUIC) zu streamen, um eine optimale Leistung zu erzielen. Wenn das Client-Netzwerk nur TCP zulässt, wird TCP verwendet. Der WorkSpaces Webclient stellt eine Verbindung über den TCP-Port 4195 oder 443 her. Wenn Port 4195 blockiert ist, versucht der Client nur, eine Verbindung über Port 443 herzustellen. 

## Ports für Internetzugang
<a name="web-access-ports"></a>

WorkSpaces Web Access erfordert ausgehenden Zugriff für die folgenden Ports:

Port 53 (UDP)  
Dieser Port wird für den Zugriff auf DNS-Server verwendet. Er muss für die IP-Adressen Ihrer DNS-Server geöffnet sein, damit der Client öffentliche Domänennamen auflösen kann. Diese Port-Anforderung ist optional, wenn Sie keine DNS-Server für die Domänennamenauflösung verwenden.

Port 80 (UDP und TCP)  
Dieser Port wird für erstmalige Verbindungen zu `https://clients.amazonworkspaces.com` verwendet. Die Verbindung wird anschließend auf HTTPS umgestellt. Es muss für alle IP-Adressbereiche in der `EC2` Teilmenge der Region geöffnet sein, in der WorkSpace sich das befindet. 

Port 443 (UDP und TCP)  
Dieser Port wird für die Registrierung und die Authentifizierung über HTTPS verwendet. Es muss für alle IP-Adressbereiche in der `EC2` Teilmenge in der Region geöffnet sein, in der WorkSpace sich das befindet.

Port 4195 (UDP und TCP)  
Bei Geräten WorkSpaces , die für DCV konfiguriert sind, wird dieser Port für das Streaming des WorkSpaces Desktop-Datenverkehrs verwendet. Dieser Port muss für die IP-Adressbereiche des DCV-Gateways geöffnet sein. Weitere Informationen finden Sie unter [DCV-Gatewayserver](#gateway_WSP).  
DCV-Webzugriff unterstützt die Verwendung eines Proxyservers für den TCP-Verkehr über Port 4195, dies wird jedoch nicht empfohlen. Weitere Informationen finden **Sie unter Konfiguration der Geräteproxy-Servereinstellungen für den Internetzugang** für [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy), [Amazon Linux WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) oder [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu).

**Anmerkung**  
Wenn Ihre Firewall Stateful-Filterung verwendet, werden flüchtige (auch bekannt als dynamische) Ports automatisch geöffnet, um eine Rücksendung zu ermöglichen. Wenn Ihre Firewall mit Stateless-Filterung arbeitet, müssen Sie die flüchtigen Ports ausdrücklich für die zurückgesendete Kommunikation öffnen. Der erforderliche flüchtige Portbereich, den Sie öffnen müssen, hängt von Ihrer Konfiguration ab.
Die WorkSpaces Client-Anwendung versucht zunächst, mithilfe von UDP (QUIC) zu streamen, um eine optimale Leistung zu erzielen. Wenn das Client-Netzwerk nur TCP zulässt, wird TCP verwendet. Der WorkSpaces Webclient stellt eine Verbindung über den TCP-Port 4195 oder 443 her. Wenn Port 4195 blockiert ist, versucht der Client nur, eine Verbindung über Port 443 herzustellen. 

In der Regel wählt der Webbrowser nach dem Zufallsprinzip einen Quellport im oberen Bereich aus, der für das Streamen von Datenverkehr verwendet werden soll. WorkSpaces Web Access hat keine Kontrolle über den Port, den der Browser auswählt. Sie müssen sicherstellen, dass zu diesem Port zurückfließender Datenverkehr zulässig ist.

## Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten
<a name="whitelisted_ports"></a>

Damit die WorkSpaces Client-Anwendung auf den WorkSpaces Dienst zugreifen kann, müssen Sie die folgenden Domänen und IP-Adressen zur Zulassungsliste des Netzwerks hinzufügen, von dem aus der Client versucht, auf den Dienst zuzugreifen.


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Domain oder IP-Adresse | 
| --- | --- | 
| CAPTCHA |  https://opfcaptcha-prod.s3.amazonaws.com/https://opfcaptcha-prod.s3.cn-north-1.amazonaws.com  | 
| Automatische Aktualisierung des Clients |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Kunden-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Dynamischer Nachrichtendienst (für Client-Anwendungen oder höher als 3.0) WorkSpaces  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  |  https://fls-na.amazon.com/  | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Endpunkte für die Smartcard-Authentifizierung vor der Sitzung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Benutzer-Anmeldeseiten |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) https://*directory\$1id*.awsapps.com/ Die **Verzeichnis-ID** ist die Domain des Kunden. In den AWS GovCloud Regionen (US-West) und AWS GovCloud (US-Ost): https://login.us-gov-home.awsapps.com/directory/*directory id*/  Die **Verzeichnis-ID** ist die Domain des Kunden.  | 
| WS Broker |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpunkte für SAML Single Sign-On (SSO) |  Domains: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**Domänen und IP-Adressen, die Sie Ihrer Zulassungsliste für IP-Adressen hinzufügen möchten PCo**  

| Kategorie | Domain oder IP-Adresse | 
| --- | --- | 
| PCoIP-Sitzungsgateway (PSG) | [PCoIP-Gateway-Server](#gateway_IP) | 
| Sitzungs-Broker (PCM) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| TURN-Server für Webzugriff für IP PCo |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**Domänen und IP-Adressen, die Sie Ihrer Zulassungsliste für DCV hinzufügen möchten**  

| Kategorie | Domain oder IP-Adresse | 
| --- | --- | 
| DCV Session Gateway (WSG) |  [DCV-Gatewayserver](#gateway_WSP)  | 
| TURN-Server für Webzugriff für DCV |  [DCV-Gatewayserver](#gateway_WSP)  | 

## Server für die Zustandsprüfung
<a name="health_check"></a>

Die WorkSpaces Client-Anwendungen führen Integritätsprüfungen über die Ports 4172 und 4195 durch. Diese Prüfungen überprüfen, ob TCP- oder UDP-Verkehr von den WorkSpaces Servern zu den Client-Anwendungen fließt. Damit diese Prüfungen erfolgreich durchgeführt werden können, müssen die Firewall-Richtlinien ausgehenden Datenverkehr zu den IP-Adressen der folgenden regionalen Zustandsprüfungsserver zulassen.


| Region | Hostname der Systemzustandsprüfung | IP-Adressen | 
| --- | --- | --- | 
| USA Ost (Nord-Virginia) |  IPv4: drp-iad.amazonworkspaces.com IPv6: drp-workspaces.us-east-1.api.aws  |  IPv4: 3.209.215.252 3.212.50.30 3.225.55.35 3.226.24.234 34.200.29.95 52.200.219.150 IPv6: 2600:11 von 18:74 und 9:4400: :/56  | 
| USA West (Oregon) |  IPv4: drp-pdx.amazonworkspaces.com IPv6: drp-workspaces.us-west-2.api.aws  |  IPv4: 34.217.248.177 52.34.160.80 54.68.150.54 54.185.4.125 54.188.171.18 54.244.158.140 IPv6: 2600:1 f 14:278 e:5700: :/56  | 
| Asien-Pazifik (Mumbai) |  IPv4: drp-bom.amazonworkspaces.com IPv6: drp-workspaces.ap-south-1.api.aws  |  IPv4: 13,127,57,82 13,234,250,73 IPv6: 2406: da1a:502:b800: :/56  | 
| Asien-Pazifik (Seoul) |  IPv4: drp-icn.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-2.api.aws  |  IPv4: 13.124.44.166 13.124.203.105 52.78.44.253 52.79.54.102 IPv6: 2406: da12:c8c:4900: :/56  | 
| Asien-Pazifik (Singapur) |  IPv4: drp-sin.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-1.api.aws  |  IPv4: 3.0.212.144 18.138.99.116 18.140.252.123 52.74.175.118 IPv6: 2406:da 18:9:14 a00:/56  | 
| Asien-Pazifik (Sydney) |  IPv4: drp-syd.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-2.api.aws  |  IPv4: 3.24.11.127 13.237.232.125 IPv6: 2406: da1c:9b5:9 d00: :/56  | 
| Asien-Pazifik (Tokio) |  IPv4: drp-nrt.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-1.api.aws  |  IPv4: 18.178.102.247 54.64.174.128 IPv6: 2406:da 14:785:5300: :/56  | 
| Kanada (Zentral) |  IPv4: drp-yul.amazonworkspaces.com IPv6: drp-workspaces.ca-central-1.api.aws  |  IPv4: 52.60.69.16 52.60.80.237 52.60.173.117 52.60.201.0 IPv6: 2600:1 f 11:759:d900: :/56  | 
| Europa (Frankfurt) |  IPv4: drp-fra.amazonworkspaces.com IPv6: drp-workspaces.eu-central-1.api.aws  |  IPv4: 52.59.191.224 52.59.191.225 52.59.191.226 52.59.191.227 IPv6: 2a05:d014:b5c:500: :/56  | 
| Europa (Irland) |  IPv4: drp-dub.amazonworkspaces.com IPv6: drp-workspaces.eu-west-1.api.aws  |  IPv4: 18.200.177.86 52.48.86.38 54.76.137.224 IPv6: 2a05:d 018:10 caf:400: :/56  | 
| Europa (London) |  IPv4: drp-lhr.amazonworkspaces.com IPv6: drp-workspaces.eu-west-2.api.aws  |  IPv4: 35.176.62.54 35.177.255.44 52.56.46.102 52.56.111.36 IPv6: 2a05:d01c:263:f400: :/56  | 
| Europa (Paris) |  IPv4: drp-cdg.amazonworkspaces.com IPv6: drp-workspaces.eu-west-3.api.aws  |  IPv4: 51.17.52,90 51,17,109,231 51,16,190,43 IPv6: 2a05:d 012:16:8600: :/56  | 
| Südamerika (São Paulo) |  IPv4: drp-gru.amazonworkspaces.com IPv6: drp-workspaces.sa-east-1.api.aws  |  IPv4: 18.231.0.105 52.67.55.29 54.233.156.245 54.233.216.234 IPv6: 2600:1 f1e:bbf:fa00: :/56  | 
| Afrika (Kapstadt) |  IPv4: drp-cpt.amazonworkspaces.com/ IPv6: drp-workspaces.af-south-1.api.aws  |  IPv4: 13,244.128.155 13,245,205,255 13,245,216,116 IPv6: 2406:da 11:685:2400: :/56  | 
| Israel (Tel Aviv) |  IPv4: drp-tlv.amazonworkspaces.com/ IPv6: drp-workspaces.il-central-1.api.aws  |  IPv4: 51.17.52,90 51,17,109,231 51,16,190,43 IPv6: 2a05:d025:c78:fc00: :/56  | 
| AWS GovCloud (US-West) |  IPv4: drp-pdt.amazonworkspaces.com IPv6: drp-Arbeitsbereiche. us-gov-west-1.api.aws  |  IPv4: 52.61.60.65 52.61.65.14 52.61.88.170 52.61.137.87 52.61.155.110 52.222.20.88 IPv6: 2600:1 f 12:28 f:af00: :/56  | 
| AWS GovCloud (US-Ost) |  IPv4: drp-osu.amazonworkspaces.com IPv6: drp-Arbeitsbereiche. us-gov-east-1.api.aws  |  IPv4: 18.253.251,70 18,254.0,118 IPv6: 2600:1 f15:a 45:3 e00: /56  | 

## PCoIP-Gateway-Server
<a name="gateway_IP"></a>

WorkSpaces verwendet PCoIP, um die Desktop-Sitzung über Port 4172 an Clients zu streamen. WorkSpaces Verwendet für seine PCoIP-Gateway-Server einen kleinen Bereich von öffentlichen IPv4 Amazon EC2-Adressen. IPv6 Auf diese Weise können Sie detailliertere Firewall-Richtlinien für Geräte einstellen, die auf WorkSpaces zugreifen. Beachten Sie, dass der WorkSpaces Client IPv6 Verbindungen priorisiert, wenn dies unterstützt IPv6 wird und Gateways erreichbar sind. Wenn nicht verfügbar, IPv6 wird auf zurückgegriffen. IPv4


| Region | Regionscode | Öffentliche IP-Adressbereiche | 
| --- | --- | --- | 
| USA Ost (Nord-Virginia) | us-east-1 |  3.217.228.0 - 3.217.231.255 3.235.112.0 - 3.235.119.255 52.23.61.0 - 52.23.62.255 2600:1 f 32:8000: :/39   | 
| USA West (Oregon) | us-west-2 |  35,80,88,0 - 35,80,95,255 44.234.54.0 - 44.234.55.255 54.244.46.0 - 54.244.47.255 2600:1 f 32:4000: :/39   | 
| Asien-Pazifik (Mumbai) | ap-south-1 |  13,126,243,0 - 13,126,243,255 2406:da32:a000: :/40  | 
| Asien-Pazifik (Seoul) | ap-northeast-2 |  3.34.37.0 – 3.34.37.255 3.34.38.0 – 3.34.39.255 13.124.247.0 - 13.124.247.255 2406:da 32:2000: :/40  | 
| Asien-Pazifik (Singapur) | ap-southeast-1 |  18.141.152.0 – 18.141.152.255 18.141.154.0 – 18.141.155.255 52.76.127.0 - 52.76.127.255 2406:da 32:8000: :/40  | 
| Asien-Pazifik (Sydney) | ap-southeast-2 |  3.25.43.0 – 3.25.43.255 3.25.44.0 – 3.25.45.255 54.153.254.0 - 54.153.254.255 2406:da32:c000: :/40  | 
| Asien-Pazifik (Tokio) | ap-northeast-1 |  18.180.178.0 - 18.180.178.255 18.180.180.0 - 18.180.181.255 54.250.251.0 - 54.250.251.255 2406:da 32:4000: :/40  | 
| Kanada (Zentral) | ca-central-1 |  15.223.100.0 – 15.223.100.255 15.223.102.0 – 15.223.103.255 35.183.255.0 - 35.183.255.255 2600:1 f 32:1000: :/40  | 
| Europa (Frankfurt) | eu-central-1 |  18.156.52.0 – 18.156.52.255 18.156.54.0 – 18.156.55.255 52.59.127.0 - 52.59.127.255 2a05:d 032:4000: :/40  | 
| Europa (Irland) | eu-west-1 |  3.249.28.0 – 3.249.29.255 52.19.124.0 - 52.19.125.255 2a05:d 032:8000: :/40  | 
| Europa (London) | eu-west-2 |  18.132.21.0 – 18.132.21.255 18.132.22.0 – 18.132.23.255 35.176.32.0 - 35.176.32.255 2a05:d032:c000: :/40  | 
| Europa (Paris) | eu-west-3 |  51,44,204,0-51,44,207,255  | 
| Südamerika (São Paulo) | sa-east-1 |  18.230.103.0 – 18.230.103.255 18.230.104.0 – 18.230.105.255 54.233.204.0 – 54.233.204.255 2600:1 f32:e000: :/40  | 
| Afrika (Kapstadt) | af-south-1 |  13,246,120,0 - 13,246,123,255 2406:da 32:1000: :/40  | 
| Israel (Tel Aviv) | il-central-1 |   51,17,28,0-51,17,31,255 2a05:d 032:5000: :/40  | 
| AWS GovCloud (US-West) | us-gov-west-1 |  52.61.193.0 - 52.61.193.255 2600:1 f 32:2000: :/40  | 
| AWS GovCloud (US-Ost) | us-gov-east-1 |  18,254,140,0 - 18,254,143,255 2600:1 f 32:5000: :/40  | 

## DCV-Gatewayserver
<a name="gateway_WSP"></a>

**Wichtig**  
Ab Juni 2020 wird die Desktop-Sitzung für DCV über Port 4195 statt über Port 4172 WorkSpaces an Clients WorkSpaces gestreamt. Wenn Sie DCV verwenden möchten, stellen Sie sicher WorkSpaces, dass Port 4195 für den Datenverkehr geöffnet ist.

**Anmerkung**  
Für WorkSpaces Pools, die nicht von BYOL stammen, können IP-Adressbereiche nicht garantiert werden. Stattdessen müssen Sie die DCV-Gateway-Domänennamen zulassen. Weitere Informationen finden Sie unter [DCV-Gateway-Domänennamen](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#dns-wsp). 

WorkSpaces verwendet einen kleinen Bereich von öffentlichen Amazon IPv6 EC2-Adressen IPv4 und Adressen für seine DCV-Gateway-Server. Auf diese Weise können Sie detailliertere Firewall-Richtlinien für Geräte festlegen, die darauf zugreifen. WorkSpaces WorkSpaces verwenden Sie einen separaten Bereich von öffentlichen IPv4 Adressen für die dedizierten AWS Global Accelerator (AGA) -Endpunkte. Stellen Sie sicher, dass Sie Ihre Firewall-Richtlinien so konfigurieren, dass sie die IP-Bereiche zulassen, wenn Sie AGA für Ihre aktivieren möchten. WorkSpaces Beachten Sie, dass der WorkSpaces Client IPv6 Verbindungen priorisiert, wenn dies unterstützt IPv6 wird und Gateways erreichbar sind. Wenn nicht verfügbar, IPv6 wird auf zurückgegriffen. IPv4

Wenn Sie AGA\$1 verwenden IPv6, müssen Sie die IPv6 CIDR-Bereiche aus den `GLOBALACCELERATOR` Bereichen zulassen. Weitere Informationen finden Sie unter [Standort und IP-Adressbereiche der Global Accelerator Edge-Server](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-ip-ranges.html) im *AWS Global Accelerator Developer Guide*.


| Region | Regionscode | Öffentliche IP-Adressbereiche | 
| --- | --- | --- | 
| USA Ost (Nord-Virginia) | us-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| USA Ost (Ohio) | us-east-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| USA West (Oregon) | us-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Asien-Pazifik (Mumbai) | ap-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Asien-Pazifik (Seoul) | ap-northeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Asien-Pazifik (Singapur) | ap-southeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Asien-Pazifik (Sydney) | ap-southeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Asien-Pazifik (Malaysia) | ap-southeast-5 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Asien-Pazifik (Tokio) | ap-northeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Kanada (Zentral) | ca-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Europa (Frankfurt) | eu-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Europa (Irland) | eu-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Europa (London) | eu-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Europa (Paris) | eu-west-3 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Südamerika (São Paulo) | sa-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Afrika (Kapstadt) | af-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Israel (Tel Aviv) | il-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud (US-West) | us-gov-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud (US-Ost) | us-gov-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 

## DCV-Gateway-Domänennamen
<a name="dns-wsp"></a>

In der folgenden Tabelle sind die WorkSpace DCV-Gateway-Domänennamen aufgeführt. Diese Domänen müssen kontaktierbar sein, damit die WorkSpaces Client-Anwendung auf den WorkSpace DCV-Dienst zugreifen kann. 


| Region | Domain | 
| --- | --- | 
| USA Ost (Nord-Virginia) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| USA West (Oregon) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Asien-Pazifik (Mumbai) | \$1.prod.ap-süd-1.highlander.aws.a2z.com | 
| Asien-Pazifik (Seoul) | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| Asien-Pazifik (Singapur) | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| Asien-Pazifik (Sydney) | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| Asien-Pazifik (Tokio) | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| Kanada (Zentral) | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| Europa (Frankfurt) | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| Europa (Irland) | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| Europa (London) | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| Europa (Paris) | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| Südamerika (São Paulo) | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| Afrika (Kapstadt) | \$1.prod.af-süd-1.highlander.aws.a2z.com | 
| Israel (Tel Aviv) | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| AWS GovCloud (US-West) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| AWS GovCloud (US-Ost) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

## Netzwerkschnittstellen
<a name="network-interfaces"></a>

Jedes hat die folgenden Netzwerkschnittstellen: WorkSpace 
+ Die primäre Netzwerkschnittstelle (eth1) bietet Konnektivität zu den Ressourcen in Ihrer VPC und im Internet und wird verwendet, um sie mit dem Verzeichnis WorkSpace zu verbinden.
+ Die Verwaltungsnetzwerkschnittstelle (eth0) ist mit einem sicheren WorkSpaces-Verwaltungsnetzwerk verbunden. Sie wird für das interaktive Streaming des WorkSpace Desktops an WorkSpaces Clients und für deren Verwaltung verwendet. WorkSpaces WorkSpace

WorkSpaces wählt die IP-Adresse für die Verwaltungsnetzwerkschnittstelle aus verschiedenen Adressbereichen aus, abhängig von der Region, in der WorkSpaces sie erstellt wurden. Wenn ein Verzeichnis registriert ist, werden der VPC-CIDR und die Routing-Tabellen in Ihrer VPC WorkSpaces getestet, um festzustellen, ob diese Adressbereiche zu einem Konflikt führen. Bei einem Konflikt in allen verfügbaren Adressbereichen in der Region wird eine Fehlermeldung angezeigt, und das Verzeichnis wird nicht registriert. Wenn Sie die Routing-Tabellen in Ihrer VPC ändern, nachdem das Verzeichnis registriert wurde, können Sie einen Konflikt verursachen.

**Warnung**  
Ändern oder löschen Sie keine der Netzwerkschnittstellen, die an eine angeschlossen sind. WorkSpace Andernfalls können Sie möglicherweise nicht mehr erreichbar sein oder den Internetzugang verlieren. WorkSpace Wenn Sie beispielsweise die [automatische Zuweisung von Elastic IP-Adressen auf Verzeichnisebene aktiviert](automatic-assignment.md) haben, wird Ihrer WorkSpace beim Start eine [Elastic IP-Adresse](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) (aus dem von Amazon bereitgestellten Pool) zugewiesen. Wenn Sie jedoch eine Elastic IP-Adresse, die Sie besitzen WorkSpace, einer zuordnen und diese Elastic IP-Adresse später von der trennen WorkSpace, WorkSpace verliert diese ihre öffentliche IP-Adresse und sie erhält nicht automatisch eine neue aus dem von Amazon bereitgestellten Pool.  
Um eine neue öffentliche IP-Adresse aus dem von Amazon bereitgestellten Pool dem zuzuordnen WorkSpace, müssen Sie den [neu erstellen](rebuild-workspace.md). WorkSpace Wenn Sie die nicht neu erstellen möchten WorkSpace, müssen Sie der eine weitere Elastic IP-Adresse zuordnen, deren Eigentümer Sie sind. WorkSpace

### IP-Adressbereiche für Verwaltungsschnittstellen
<a name="management-ip-ranges"></a>

In der folgenden Tabelle werden die für die einzelnen IP-Adressbereiche für die Verwaltungsnetzwerkschnittstelle aufgeführt.

**Anmerkung**  
**Wenn Sie Windows mit Bring Your Own License (BYOL)** verwenden WorkSpaces, gelten die IP-Adressbereiche in der folgenden Tabelle nicht. Stattdessen WorkSpaces verwendet PCo IP-BYOL den IP-Adressbereich 54.239.224.0/20 für den Verwaltungsschnittstellenverkehr in allen Regionen. AWS Für DCV BYOL Windows gelten sowohl die IP-Adressbereiche WorkSpaces 54.239.224.0/20 als auch 10.0.0.0/8 in allen Regionen. AWS (Diese IP-Adressbereiche werden zusätzlich zu dem CIDR-Block /16 verwendet, den Sie für die Verwaltung des Datenverkehrs für Ihr BYOL auswählen.) WorkSpaces
**Wenn Sie DCV verwenden, das aus öffentlichen Paketen WorkSpaces erstellt wurde**, gilt der IP-Adressbereich 10.0.0.0/8 zusätzlich zu den in der folgenden Tabelle aufgeführten Bereichen auch für den Datenverkehr an der Verwaltungsschnittstelle in allen AWS Regionen. PCoIP/DCV 


| Region | IP-Adressbereich | 
| --- | --- | 
| USA Ost (Nord-Virginia) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16, 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| USA West (Oregon) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16 und 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Asien-Pazifik (Mumbai) | PCoIP/WSP: 192.168.0.0/16 WSP: 10.0.0.0/8 | 
| Asien-Pazifik (Seoul) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Asien-Pazifik (Singapur) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Asien-Pazifik (Sydney) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16 und 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Asien-Pazifik (Tokio) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Kanada (Zentral) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Europa (Frankfurt) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Europa (Irland) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16 und 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Europa (London) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Europa (Paris) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Südamerika (São Paulo) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Afrika (Kapstadt) | PCoIP/WSP: 172.31.0.0/16 und 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Israel (Tel Aviv) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| AWS GovCloud (US-West) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 und 192.169.0.0/16 | 
| AWS GovCloud (US-Ost) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 

### Ports für die Verwaltungsschnittstelle
<a name="management_ports"></a>

Die folgenden Ports müssen auf der Verwaltungsnetzwerkschnittstelle aller geöffnet sein WorkSpaces:
+ Eingehendes TCP an Port 4172. Dies wird für den Aufbau der Streaming-Verbindung über das PCo IP-Protokoll verwendet.
+ Eingehendes UDP an Port 4172. Dies wird für das Streaming von Benutzereingaben im PCo IP-Protokoll verwendet.
+ Eingehendes TCP an Port 4489. Dies dient dem Zugriff anhand des Webclients.
+ Eingehendes TCP an Port 8200. Dies wird für die Verwaltung und Konfiguration von verwendet WorkSpace.
+ Eingehendes TCP an den Ports 8201–8250. Diese Ports werden für den Aufbau der Streaming-Verbindung und für das Streaming von Benutzereingaben im DCV-Protokoll verwendet.
+ Eingehendes UDP an Port 8220. Dieser Port wird für den Aufbau der Streaming-Verbindung und für das Streaming von Benutzereingaben im DCV-Protokoll verwendet
+ Ausgehender TCP-Datenverkehr auf Ports 8443 und 9997. Dies dient dem Zugriff anhand des Webclients.
+ Ausgehender UDP-Datenverkehr auf Ports 3478, 4172 und 4195. Dies dient dem Zugriff anhand des Webclients.
+ Ausgehender UDP-Datenverkehr auf Ports 50002 und 55002. Dieser wird für das Streaming verwendet. Wenn Ihre Firewall mit Stateful-Filterung arbeitet, werden die flüchtigen Ports 50002 und 55002 automatisch für die zurückgesendete Kommunikation geöffnet. Wenn Ihre Firewall mit Stateless-Filterung arbeitet, müssen Sie die flüchtigen Ports 49152 – 65535 für die zurückgesendete Kommunikation öffnen.
+ Ausgehendes TCP auf Port 80, wie in [IP-Bereichen der Verwaltungsschnittstelle definiert, an die IP-Adresse](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#management-ip-ranges) 169.254.169.254 für den Zugriff auf den EC2-Metadatendienst. Jeder HTTP-Proxy, der Ihnen zugewiesen ist, muss auch 169.254.169.254 ausschließen. WorkSpaces 
+ Ausgehender TCP-Datenverkehr auf Port 1688 zu den IP-Adressen 169.254.169.250 und 169.254.169.251, um für die Aktivierung von Windows für WorkSpaces, die auf öffentlichen Bundles basieren, Zugriff auf Microsoft KMS zu gewähren. Wenn Sie Windows mit Bring Your Own License (BYOL) verwenden WorkSpaces, müssen Sie für die Windows-Aktivierung den Zugriff auf Ihre eigenen KMS-Server zulassen.
+ Ausgehendes TCP auf Port 1688 an die IP-Adresse 54.239.236.220, um den Zugriff auf Microsoft KMS für die Office-Aktivierung für BYOL zu ermöglichen. WorkSpaces

  Wenn Sie Office über eines der WorkSpaces öffentlichen Pakete verwenden, variiert die IP-Adresse für die Aktivierung von Microsoft KMS für Office. Um diese IP-Adresse zu ermitteln, suchen Sie nach der IP-Adresse für die Verwaltungsschnittstelle von und ersetzen Sie dann die letzten beiden k durch`64.250`. WorkSpace Wenn die IP-Adresse der Verwaltungsschnittstelle beispielsweise 192.168.3.5 ist, lautet die IP-Adresse für die Office-Aktivierung für Microsoft KMS 192.168.64.250.
+ Ausgehendes TCP an die IP-Adresse 127.0.0.2 für DCV, WorkSpaces wenn der WorkSpace Host für die Verwendung eines Proxyservers konfiguriert ist.
+ Kommunikation, die von der Loopback-Adresse 127.0.01 ausgeht.

Unter normalen Umständen konfiguriert der WorkSpaces Dienst diese Ports für Sie. WorkSpaces Wenn Sicherheits- oder Firewall-Software auf einem installiert ist WorkSpace , die einen dieser Ports blockiert, funktioniert er WorkSpace möglicherweise nicht richtig oder ist möglicherweise nicht erreichbar.

### Primäre Schnittstellen-Ports
<a name="primary_ports"></a>

Unabhängig davon, welchen Verzeichnistyp Sie verwenden, müssen die folgenden Ports an der primären Netzwerkschnittstelle von allen WorkSpaces offen sein:
+ Für Internetkonnektivität müssen die folgenden Ports für ausgehende Verbindungen zu allen Zielen und für eingehende Verbindungen von der WorkSpaces VPC geöffnet sein. Sie müssen diese manuell zur Sicherheitsgruppe für Sie hinzufügen, WorkSpaces wenn Sie möchten, dass sie Internetzugang haben.
  + TCP 80 (HTTP)
  + TCP 443 (HTTPS)
+ Um mit den Verzeichniscontrollern zu kommunizieren, müssen die folgenden Ports zwischen Ihrer WorkSpaces VPC und Ihren Verzeichniscontrollern geöffnet sein. Für ein Simple AD AD-Verzeichnis hat die Sicherheitsgruppe, Directory Service die von erstellt wurde, diese Ports korrekt konfiguriert. Bei einem AD-Connector-Verzeichnis müssen Sie die Standard-Sicherheitsgruppe für die VPC möglicherweise anpassen, um diese Ports zu öffnen.
  + TCP/UDP 53 – DNS
  + TCP/UDP 88 – Kerberos-Authentifizierung
  + UDP 123 – NTP
  + TCP 135 – RPC
  + UDP 137-138 – Netlogon
  + TCP 139 – Netlogon
  + TCP/UDP 389 – LDAP
  + TCP/UDP 445 – SMB
  + TCP/UDP 636 - LDAPS (LDAP over TLS/SSL)
  + TCP 1024-65535 – Dynamische Ports für RPC
  + TTCP 3268-3269 — Globaler Katalog

  Wenn Sicherheits- oder Firewall-Software auf einem installiert ist WorkSpace , die einen dieser Ports blockiert, funktioniert sie möglicherweise nicht richtig oder ist WorkSpace möglicherweise nicht erreichbar.

## IP-Adresse und Port-Anforderungen nach Region
<a name="ip-address-regions"></a>

### USA Ost (Nord-Virginia)
<a name="us-east"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für WorkSpaces Client-Anwendungen ab 3.0) |  Domain: https://skylight-client-ds.us-east-1.amazonaws.com   | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain: https://ws-client-service.us-east-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Endpunkte für die Smartcard-Authentifizierung vor der Sitzung | https://smartcard.us-east-1.signin.aws | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domains: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domains: https://workspaces.us-east-1.amazonaws.com  | 
| Sitzungs-Broker (PCM) | Domains: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-iad.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| DCV-Gateway-Domänenname | \$1.prod.us-east-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### USA West (Oregon)
<a name="us-west"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.us-west-2.amazonaws.com   | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain: https://ws-client-service.us-west-2.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Endpunkte für die Smartcard-Authentifizierung vor der Sitzung | https://smartcard.us-west-2.signin.aws | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domains: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domains: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domains: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-pdx.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 34.223.96.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.us-west-2.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Asien-Pazifik (Mumbai)
<a name="ap-south"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.ap-south-1.amazonaws.com   | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain: https://ws-client-service.ap-south-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Web Access ist derzeit in der Region Asien-Pazifik (Mumbai) nicht verfügbar | 
| Hostname der Systemzustandsprüfung | drp-bom.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern | 13.126.243.0 — 13.126.243.255 | 
| IP-Adressbereich der DCV-Gatewayserver | 65.1.156.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.ap-south-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Asien-Pazifik (Seoul)
<a name="ap-northeast-2"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Gerätemetriken (für Clientanwendungen ab Version 1.0 und 2.0) WorkSpaces  | https://device-metrics-us-2.amazon.com/ | 
| Client-Metriken (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain: https://skylight-client-ds.ap-northeast-2.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain: https://ws-client-service.ap-northeast-2.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-icn.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 3.35.160.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Asien-Pazifik (Singapur)
<a name="ap-southeast-1"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.ap-southeast-1.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domäne: https://ws-client-service.ap-southeast-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-sin.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 13.212.132.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Asien-Pazifik (Sydney)
<a name="ap-southeast-2"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.ap-southeast-2.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.ap-southeast-2.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Endpunkte für die Smartcard-Authentifizierung vor der Sitzung | https://smartcard.ap-southeast-2.signin.aws | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-syd.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 3.25.248.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Asien-Pazifik (Tokio)
<a name="ap-northeast-1"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.ap-northeast-1.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.ap-northeast-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Endpunkte für die Smartcard-Authentifizierung vor der Sitzung | https://smartcard.ap-northeast-1.signin.aws | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-nrt.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 3.114.164.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Kanada (Zentral)
<a name="ca-central-1"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.ca-central-1.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.ca-central-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-yul.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 3.97.20.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Europa (Frankfurt)
<a name="eu-central-1"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.eu-central-1.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.eu-central-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-fra.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 18.192.216.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Europa (Irland)
<a name="eu-west-1"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.eu-west-1.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.eu-west-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Endpunkte für die Smartcard-Authentifizierung vor der Sitzung | https://smartcard.eu-west-1.signin.aws | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-dub.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 3.248.176.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Europa (London)
<a name="eu-west-2"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Client-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.eu-west-2.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.eu-west-2.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-lhr.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 18.134.68.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Europa (Paris)
<a name="eu-west-3"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/Kunde | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Kunden-Metriken (für mehr als 3.0 WorkSpaces Client-Anwendungen) |  Domain: https://skylight-client-ds.eu-west-3.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.eu-west-3.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-cdg.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver |  51.17.72.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Südamerika (São Paulo)
<a name="sa-east-1"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Kunden-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.sa-east-1.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.sa-east-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-gru.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 15.228.64.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Afrika (Kapstadt)
<a name="sa-east-1"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Kunden-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.af-south-1.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.af-south-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-cpt.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 15.228.64.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.af-south-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Israel (Tel Aviv)
<a name="il-central-1"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Kunden-Metriken (für mehr als 3.0 Client-Anwendungen) WorkSpaces  |  Domain: https://skylight-client-ds.il-central-1.amazonaws.com  | 
| Dynamic Messaging Service (für mehr als 3,0 WorkSpaces Client-Anwendungen) |  Domain:  https://ws-client-service.il-central-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://<directory id>.awsapps.com/ (wobei <directory id> die Domain des Kunden ist)  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| TURN-Server für Webzugriff für IP PCo | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-tlv.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 51.17.72.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud Region (USA West)
<a name="govcloud-west-region"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Kunden-Metriken (für WorkSpaces Client-Anwendungen ab 3.0) |  Domain: h https://skylight-client-ds.us-gov-west-1.amazonaws.com  | 
| Dynamic Messaging Service (für WorkSpaces Clientanwendungen ab 3.0) |  Domain: https://ws-client-service.us-gov-west-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Endpunkte für die Smartcard-Authentifizierung vor der Sitzung | https://smartcard.signin.amazonaws-us-gov.com | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://login.us-gov-home.awsapps.com/directory//(wo ist die Domain des Kunden) <directory id><directory id>  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-pdt.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV-Gateway-Domänenname | \$1.prod. us-gov-west-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud Region (USA-Ost)
<a name="govcloud-east-region"></a>


**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**  

| Kategorie | Details | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Automatische Aktualisierung des Clients |  https://s3.amazonaws.com/workspaces-client-updates/prod/osu/windows/WorkSpacesAppCast.xml  | 
| Konnektivitätsprüfung |  https://connectivity.amazonworkspaces.com/  | 
| Kunden-Metriken (für WorkSpaces Client-Anwendungen ab 3.0) |  Domain: h https://skylight-client-ds.us-gov-east-1.amazonaws.com  | 
| Dynamic Messaging Service (für WorkSpaces Clientanwendungen ab 3.0) |  Domain: https://ws-client-service.us-gov-east-1.amazonaws.com  | 
| Verzeichniseinstellungen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester-Protokollservice  | https://fls-na.amazon.com/ | 
| Zustandsprüfungsserver (DRP) | [Server für die Zustandsprüfung](#health_check) | 
| Endpunkte für die Smartcard-Authentifizierung vor der Sitzung | https://smartcard.signin.amazonaws-us-gov.com | 
| Abhängigkeit von der Registrierung (für Web Access und Teradici PCo IP Zero Clients) | https://s3.amazonaws.com | 
| Benutzer-Anmeldeseiten | https://login.us-gov-home.awsapps.com/directory//(wo ist die Domain des Kunden) <directory id><directory id>  | 
| WS Broker |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API-Endpunkte |  Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Sitzungs-Broker (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Hostname der Systemzustandsprüfung | drp-osu.amazonworkspaces.com | 
| IP-Adressen für die Zustandsprüfung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoÖffentliche IP-Adressbereiche von IP-Gatewayservern |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| IP-Adressbereich der DCV-Gatewayserver | 18.254.148.0/22 | 
| DCV-Gateway-Domänenname | \$1.prod. us-gov-east-1.highlander.aws.a2z.com | 
| IP-Adressbereiche für Verwaltungsschnittstellen |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

# Client-Netzwerkanforderungen für WorkSpaces Personal
<a name="workspaces-network-requirements"></a>

Ihre WorkSpaces Benutzer können WorkSpaces mithilfe der Client-Anwendung für ein unterstütztes Gerät eine Verbindung zu ihren Geräten herstellen. Alternativ können sie einen Webbrowser verwenden, um eine Verbindung herzustellen WorkSpaces , die diese Form des Zugriffs unterstützen. Eine Liste der WorkSpaces unterstützten Webbrowser-Zugriffe finden Sie unter „Welche WorkSpaces Amazon-Bundles unterstützen den Webzugriff?“ in [Clientzugriff, Webzugriff und Benutzererfahrung](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).

**Anmerkung**  
Ein Webbrowser kann nicht verwendet werden, um eine Verbindung zu Amazon Linux herzustellen WorkSpaces.

**Wichtig**  
Ab dem 1. Oktober 2020 können Kunden den Amazon WorkSpaces Web Access-Client nicht mehr verwenden, um eine Verbindung zu Windows 7 Custom WorkSpaces oder zu Windows 7 Bring Your Own License (BYOL) WorkSpaces herzustellen.

Um Ihren Benutzern ein gutes Benutzererlebnis zu bieten, stellen Sie sicher WorkSpaces, dass ihre Client-Geräte die folgenden Netzwerkanforderungen erfüllen:
+ Das Client-Gerät muss über eine Breitband-Internetverbindung verfügen. Wir empfehlen die Planung für mindestens 1 Mbit/s pro gleichzeitigen Benutzer, der ein 480p-Videofenster ansieht. Abhängig von den Anforderungen der Benutzerqualität für die Videoauflösung ist möglicherweise mehr Bandbreite erforderlich.
+ Das Netzwerk, mit dem das Client-Gerät verbunden ist und jegliche Firewalls auf dem Client-Gerät müssen bestimmte Ports für die IP-Adressbereiche für verschiedene AWS -Services geöffnet haben. Weitere Informationen finden Sie unter [Anforderungen an IP-Adresse und Port für WorkSpaces Personal](workspaces-port-requirements.md).
+ Um die beste PCo IP-Leistung zu erzielen, sollte die Round-Trip-Zeit (RTT) vom Netzwerk des Clients zur Region, in der sie WorkSpaces sich befinden, weniger als 100 ms betragen. Wenn die RTT zwischen 100 ms und 200 ms liegt, kann der Benutzer auf die zugreifen, aber die Leistung wird beeinträchtigt WorkSpace. Wenn die Round-Trip-Zeit (RTT) zwischen 200 ms und 375 ms liegt, ist die Leistung beeinträchtigt. Wenn die RTT 375 ms überschreitet, wird die Client-Verbindung beendet. WorkSpaces 

  Um die beste Leistung für DCV zu erzielen, sollte die RTT-Geschwindigkeit zwischen dem Netzwerk des Clients und der Region, in der sie sich WorkSpaces befinden, weniger als 250 ms betragen. Wenn die RTT zwischen 250 ms und 400 ms liegt, kann der Benutzer auf die zugreifen, die Leistung ist jedoch WorkSpace beeinträchtigt.

  Verwenden Sie den [Amazon WorkSpaces Connection Health Check, um die RTT zu den verschiedenen AWS Regionen von Ihrem Standort aus zu überprüfen](https://clients.amazonworkspaces.com/Health.html).
+ Um Webcams mit DCV zu verwenden, empfehlen wir eine Upload-Bandbreite von mindestens 1,7 Megabit pro Sekunde.
+ Wenn Benutzer WorkSpaces über ein virtuelles privates Netzwerk (VPN) auf sie zugreifen, muss die Verbindung eine maximale Übertragungseinheit (MTU) von mindestens 1200 Byte unterstützen.
**Anmerkung**  
Sie können nicht WorkSpaces über ein VPN zugreifen, das mit Ihrer Virtual Private Cloud (VPC) verbunden ist. Für den Zugriff WorkSpaces über ein VPN ist eine Internetverbindung (über die öffentlichen IP-Adressen des VPN) erforderlich, wie unter beschrieben[Anforderungen an IP-Adresse und Port für WorkSpaces Personal](workspaces-port-requirements.md).
+ Die Clients benötigen HTTPS-Zugriff auf WorkSpaces Ressourcen, die vom Service und Amazon Simple Storage Service (Amazon S3) gehostet werden. Die Clients unterstützen keine Proxy-Umleitung auf Anwendungsebene. HTTPS-Zugriff ist erforderlich, damit Benutzer die Registrierung erfolgreich abschließen und auf ihre zugreifen können WorkSpaces.
+ Um den Zugriff von PCo IP-Zero-Client-Geräten aus zu ermöglichen, müssen Sie ein PCo IP-Protokollpaket für verwenden WorkSpaces. Sie müssen auch das Network Time Protocol (NTP) in Teradici aktivieren. Weitere Informationen finden Sie unter [PCoIP-Null-Clients für WorkSpaces Personal einrichten](set-up-pcoip-zero-client.md).

Sie können wie folgt überprüfen, ob ein Client-Gerät die Netzwerkanforderungen erfüllt.

## So überprüfen Sie die Netzwerkanforderungen für 3.0\$1 Clients
<a name="verify-requirements-new-clients"></a>

1. Öffnen Sie Ihren WorkSpaces Client. Wenn Sie den Client das erste Mal öffnen, werden Sie aufgefordert, den Registrierungscode einzugeben, den Sie in der Einladungs-E-Mail erhalten haben.

1. Führen Sie je nachdem, welchen Client Sie verwenden, einen der folgenden Schritte aus.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/workspaces-network-requirements.html)

   Die Client-Anwendung testet die Netzwerkverbindung, Ports und die Umlaufzeit und erstellt einen Bericht mit den Ergebnissen dieser Tests.

1. Schließen Sie das Dialogfeld **Network (Netzwerk)** um zur Anmeldeseite zurückzukehren.

## So überprüfen Sie die Netzwerkanforderungen für 1.0\$1 und 2.0\$1 Clients
<a name="verify-requirements-legacy-clients"></a>

1. Öffnen Sie Ihren WorkSpaces Client. Wenn Sie den Client das erste Mal öffnen, werden Sie aufgefordert, den Registrierungscode einzugeben, den Sie in der Einladungs-E-Mail erhalten haben.

1. Klicken Sie auf **Network (Netzwerk)** in der unteren rechten Ecke der Client-Anwendung. Die Client-Anwendung testet die Netzwerkverbindung, Ports und die Umlaufzeit und erstellt einen Bericht mit den Ergebnissen dieser Tests.

1. Klicken Sie auf **Dismiss (Verwerfen)**, um auf die Anmeldeseite zurückzukehren.

# Beschränken Sie den Zugriff auf vertrauenswürdige Geräte für WorkSpaces Personal
<a name="trusted-devices"></a>

Standardmäßig können Benutzer von jedem unterstützten Gerät WorkSpaces aus, das mit dem Internet verbunden ist, auf sie zugreifen. Wenn Ihr Unternehmen den Zugriff auf Unternehmensdaten auf vertrauenswürdige Geräte (auch als verwaltete Geräte bezeichnet) beschränkt, können Sie den WorkSpaces Zugriff auf vertrauenswürdige Geräte mit gültigen Zertifikaten einschränken.

**Anmerkung**  
Diese Funktion ist derzeit nur verfügbar, wenn Ihre WorkSpaces persönlichen Verzeichnisse Directory Service unter anderem über Simple AD, AD Connector und AWS Managed Microsoft AD Directory verwaltet werden.

Wenn Sie diese Funktion aktivieren, WorkSpaces verwendet die zertifikatsbasierte Authentifizierung, um festzustellen, ob ein Gerät vertrauenswürdig ist. Wenn die WorkSpaces Client-Anwendung nicht überprüfen kann, ob ein Gerät vertrauenswürdig ist, blockiert sie Versuche, sich vom Gerät aus anzumelden oder erneut eine Verbindung herzustellen.

Für jedes Verzeichnis, können Sie bis zu zwei Root-Zertifikate importieren. Wenn Sie zwei Stammzertifikate importieren, WorkSpaces werden beide dem Client vorgelegt, und der Client findet das erste gültige passende Zertifikat, das mit einem der Stammzertifikate verknüpft ist.

**Unterstützte Clients**
+ Android auf Android- oder Android-kompatiblen Chrome-OS-Systemen
+ macOS
+ Windows

**Wichtig**  
Dieses Feature wird von den folgenden Clients nicht unterstützt:  
WorkSpaces Client-Anwendungen für Linux oder iPad
Clients von Drittanbietern, einschließlich, aber nicht beschränkt auf Teradici PCo IP, RDP-Clients und Remote-Desktop-Anwendungen.

**Anmerkung**  
Wenn Sie den Zugriff für bestimmte Clients aktivieren, stellen Sie sicher, dass Sie den Zugriff für andere Gerätetypen blockieren, die Sie nicht benötigen. Weitere Informationen dazu, wie Sie dies tun können, finden Sie unten in Schritt 3.7.

## Schritt 1: Erstellen der Zertifikate
<a name="create-certificate"></a>

Diese Funktion erfordert zwei Arten von Zertifikaten: Root-Zertifikate, die durch eine interne Zertifizierungsstelle (CA) erstellt wurden und Client-Zertifikate, die bis zu einem Root-Zertifikat verkettet sind.

**Voraussetzungen**
+ Stammzertifikate müssen Base64-kodierte Zertifikat-Dateien im CRT-, CERT oder PEM-Format sein.
+ Stammzertifikate müssen dem folgenden Muster für reguläre Ausdrücke entsprechen, was bedeutet, dass jede kodierte Zeile außer der letzten genau 64 Zeichen lang sein muss: `-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`.
+ Zertifikate müssen einen Common Name beinhalten.
+ Gerätezertifikate müssen die folgenden Erweiterungen enthalten: `Key Usage: Digital Signature` und `Enhanced Key Usage: Client Authentication`.
+ Alle Zertifikate in der Kette vom Gerätezertifikat bis zur vertrauenswürdigen Stammzertifizierungsstelle müssen auf dem Client-Gerät installiert sein.
+ Die maximal unterstützte Länge der Zertifikatskette ist 4.
+ WorkSpaces unterstützt derzeit keine Gerätesperrmechanismen wie Certificate Revocation Lists (CRL) oder Online Certificate Status Protocol (OCSP) für Clientzertifikate.
+ Verwenden Sie einen starken Verschlüsselungsalgorithmus. Wir empfehlen SHA256 mit RSA, mit ECDSA, SHA256 mit ECDSA oder SHA384 mit ECDSA. SHA512 
+ Wenn sich das Gerätezertifikat für macOS im Systemschlüsselbund befindet, empfehlen wir, dass Sie die WorkSpaces Client-Anwendung autorisieren, auf diese Zertifikate zuzugreifen. Andernfalls müssen Benutzer die Schlüsselketten-Anmeldeinformationen eingeben, wenn sie sich anmelden oder erneut verbinden.

## Schritt 2: Bereitstellen von Client-Zertifikaten auf vertrauenswürdigen Geräten
<a name="deploy-certificate"></a>

Auf den vertrauenswürdigen Geräten für Ihre Benutzer müssen Sie ein Zertifikatspaket installieren, das alle Zertifikate in der Kette vom Gerätezertifikat bis zur vertrauenswürdigen Stammzertifizierungsstelle enthält. Sie können Ihre bevorzugte Lösung für die Installation der Zertifikate für die Gruppe von Client-Geräten verwenden, z. B. System-Center-Konfigurationsmanager (SCCM) oder die Verwaltung mobiler Geräte (MDM). Beachten Sie, dass SCCM und MDM optional eine Sicherheitsbeurteilung durchführen können, um festzustellen, ob die Geräte Ihren Unternehmensrichtlinien für den Zugriff entsprechen. WorkSpaces

Die WorkSpaces Client-Anwendungen suchen wie folgt nach Zertifikaten:
+ Android – Gehen Sie zu **Einstellungen**, wählen Sie **Sicherheit und Speicherort**, **Anmeldeinformationen** und anschließend **Von SD-Karte installieren** aus.
+ Android-kompatible Chrome-OS-Systeme – Öffnen Sie die Android-Einstellungen und wählen Sie **Sicherheit und Speicherort**, **Anmeldeinformationen** und dann **Von SD-Karte installieren** aus.
+ macOS – Durchsucht die Schlüsselkette nach Client-Zertifikaten.
+ Windows – Durchsucht die Benutzer- und Stammzertifikatsspeicher nach Client-Zertifikaten.

## Schritt 3: Konfigurieren der Beschränkung
<a name="configure-restriction"></a>

Nachdem Sie die Client-Zertifikate auf den vertrauenswürdigen Geräten bereitgestellt haben, können Sie das Verzeichnis mit eingeschränktem Zugriff aktivieren. Dazu muss die WorkSpaces Client-Anwendung das Zertifikat auf einem Gerät validieren, bevor sich ein Benutzer bei einem anmelden kann WorkSpace.

**Konfigurieren der Beschränkung**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie das Verzeichnis aus und klicken Sie anschließend auf **Aktionen**, **Details zur Aktualisierung**.

1. Erweitern Sie **Zugriffskontrolloptionen**.

1. **Geben Sie unter Für jeden Gerätetyp an, welche Geräte darauf zugreifen können WorkSpaces**, und wählen Sie **Vertrauenswürdige** Geräte aus.

1. Importieren Sie bis zu zwei Root-Zertifikate. Für jedes Root-Zertifikat, gehen Sie wie folgt vor:

   1. Wählen Sie **Importieren** aus.

   1. Kopieren Sie Text des Zertifikats in das Formular.

   1. Wählen Sie **Importieren** aus.

1. Geben Sie an, ob andere Gerätetypen Zugriff auf haben WorkSpaces.

   1. Scrollen Sie nach unten zum Abschnitt **Other Platforms (Andere Plattformen)**. Standardmäßig sind WorkSpaces Linux-Clients deaktiviert, und Benutzer können WorkSpaces von ihren iOS-Geräten, Android-Geräten, Web Access, Chromebooks und PCo IP-Zero-Client-Geräten auf sie zugreifen.

   1. Wählen Sie die zu aktivierenden Gerätetypen aus und löschen Sie alle anderen.

   1. Um den Zugriff von allen ausgewählten Gerätetypen zu blockieren, wählen Sie **Block** aus.

1. Wählen Sie **Update and Exit** aus.

# Integrieren Sie SAML 2.0 mit Personal WorkSpaces
<a name="amazon-workspaces-saml"></a>

**Anmerkung**  
SAML 2.0 ist nur verfügbar, wenn Ihre WorkSpaces persönlichen Verzeichnisse Directory Service unter anderem über Simple AD, AD Connector und AWS Managed Microsoft AD Directory verwaltet werden. Die Funktion gilt nicht für Verzeichnisse, die von Amazon verwaltet werden WorkSpaces, die normalerweise IAM Identity Center für die Benutzerauthentifizierung anstelle des SAML 2.0-Verbunds verwenden.

Durch die Integration von SAML 2.0 in Ihre WorkSpaces Desktop-Sitzungsauthentifizierung können Ihre Benutzer ihre vorhandenen SAML 2.0-Identity Provider (IdP) -Anmeldeinformationen und Authentifizierungsmethoden über ihren Standard-Webbrowser verwenden. Indem Sie Ihren IdP zur Benutzerauthentifizierung verwenden, können Sie sich schützen WorkSpaces, WorkSpaces indem Sie IdP-Funktionen wie Multi-Faktor-Authentifizierung und kontextbezogene Zugriffsrichtlinien einsetzen.

## Authentifizierungs-Workflow
<a name="authentication-workflow"></a>

In den folgenden Abschnitten wird der Authentifizierungsworkflow beschrieben, der von der WorkSpaces Clientanwendung, WorkSpaces Web Access und einem SAML 2.0-Identitätsanbieter (IdP) initiiert wird:
+ Wenn der Flow vom IdP initiiert wird. Zum Beispiel, wenn Benutzer eine Anwendung im IdP-Portal für Benutzer in einem Webbrowser auswählen.
+ Wenn der Flow vom Client initiiert wird. WorkSpaces Zum Beispiel, wenn Benutzer die Clientanwendung öffnen und sich anmelden.
+ Wenn der Flow durch WorkSpaces Web Access initiiert wird. Zum Beispiel, wenn Benutzer Web Access in einem Browser öffnen und sich anmelden.

In diesen Beispielen geben Benutzer `user@example.com` ein, um sich beim IdP anzumelden. Der IdP hat eine SAML 2.0-Service Provider-Anwendung, die für ein WorkSpaces Verzeichnis konfiguriert ist, und Benutzer sind für die WorkSpaces SAML 2.0-Anwendung autorisiert. Benutzer erstellen WorkSpace für ihre Benutzernamen eine, in einem Verzeichnis`user`, das für die SAML 2.0-Authentifizierung aktiviert ist. Darüber hinaus installieren Benutzer die [WorkSpaces Client-Anwendung](https://clients.amazonworkspaces.com/) auf ihrem Gerät oder der Benutzer verwendet Web Access in einem Webbrowser.

**Vom Identitätsanbieter (IdP) initiierter Workflow mit der Clientanwendung**

Der vom IDP initiierte Ablauf ermöglicht es Benutzern, die WorkSpaces Client-Anwendung automatisch auf ihren Geräten zu registrieren, ohne einen WorkSpaces Registrierungscode eingeben zu müssen. Benutzer melden sich nicht WorkSpaces über den vom IdP initiierten Flow bei ihnen an. WorkSpaces Die Authentifizierung muss von der Client-Anwendung ausgehen.

1. Die Benutzer melden sich mit ihrem Webbrowser beim IdP an.

1. Nach der Anmeldung beim IdP wählen Benutzer die WorkSpaces Anwendung aus dem IdP-Benutzerportal aus.

1. Benutzer werden im Browser auf diese Seite umgeleitet und die WorkSpaces Client-Anwendung wird automatisch geöffnet.   
![\[Die Seite mit WorkSpaces der Anwendungsumleitung wird geöffnet\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/saml-redir.png)

1. Die WorkSpaces Client-Anwendung ist jetzt registriert und Benutzer können mit dem Signieren fortfahren, indem sie auf **Weiter klicken, um sich anzumelden**. WorkSpaces

**Vom Identitätsanbieter (IdP) initiierter Workflow mit Web Access**

Der vom IdP initiierte Webzugriffsablauf ermöglicht es Benutzern, ihre Daten automatisch WorkSpaces über einen Webbrowser zu registrieren, ohne einen WorkSpaces Registrierungscode eingeben zu müssen. Benutzer melden sich nicht WorkSpaces über den vom IdP initiierten Flow bei ihnen an. WorkSpaces Die Authentifizierung muss über Web Access erfolgen.

1. Die Benutzer melden sich mit ihrem Webbrowser beim IdP an.

1. Nach der Anmeldung beim IdP klicken Benutzer im IdP-Benutzerportal auf die WorkSpaces Anwendung.

1. Die Benutzer werden im Browser auf diese Seite umgeleitet. Wählen Sie zum Öffnen WorkSpaces **Amazon WorkSpaces im Browser** aus.  
![\[Die Seite mit WorkSpaces der Anwendungsumleitung wird geöffnet\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/saml-redir.png)

1. Die WorkSpaces Client-Anwendung ist jetzt registriert und Benutzer können sich weiterhin über WorkSpaces Web Access anmelden.

**WorkSpaces vom Client initiierter Flow**

Der vom Client initiierte Ablauf ermöglicht es Benutzern, sich WorkSpaces nach der Anmeldung bei einem IdP bei ihrem anzumelden.

1. Benutzer starten die WorkSpaces Client-Anwendung (sofern sie nicht bereits ausgeführt wird) und klicken auf **Weiter, um sich anzumelden**. WorkSpaces

1. Die Benutzer werden zu ihrem Standard-Webbrowser umgeleitet, um sich beim IdP anzumelden. Wenn die Benutzer in ihrem Browser bereits beim IdP angemeldet sind, müssen sie sich nicht erneut anmelden und überspringen diesen Schritt.

1. Sobald sie beim IdP angemeldet sind, werden die Benutzer zu einem Popup weitergeleitet. Sie folgen den Anweisungen, damit der Webbrowser die Clientanwendung öffnen kann.  
![\[Aufforderung zum Öffnen der Clientanwendung.\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/saml-open-client-app.png)

1. Benutzer werden zur WorkSpaces Client-Anwendung weitergeleitet, um die Anmeldung bei ihrer Anwendung abzuschließen WorkSpace. WorkSpaces Benutzernamen werden automatisch aus der IdP SAML 2.0-Assertion aufgefüllt. Wenn die Benutzer die [zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA](certificate-based-authentication.md)) verwenden, werden sie automatisch angemeldet.

1. Benutzer sind bei ihren angemeldet. WorkSpace

**WorkSpaces Vom Webzugriff initiierter Ablauf**

Der vom Webzugriff initiierte Ablauf ermöglicht es Benutzern, sich WorkSpaces nach der Anmeldung bei einem IdP bei ihrem anzumelden.

1. **Benutzer starten den WorkSpaces Webzugriff und wählen „Anmelden“.**

1. Die Benutzer werden in derselben Browser-Registerkarte zum IdP-Portal weitergeleitet. Wenn die Benutzer in ihrem Browser bereits beim IdP angemeldet sind, müssen sie sich nicht erneut anmelden und können diesen Schritt überspringen.

1. Nach der Anmeldung beim IdP wurden die Benutzer im Browser zu dieser Seite weitergeleitet und klicken auf **Anmelden bei**. WorkSpaces

1. Benutzer wurden zur WorkSpaces Client-Anwendung weitergeleitet, um die Anmeldung bei ihrer WorkSpace Anwendung abzuschließen. WorkSpaces Benutzernamen werden automatisch aus der IdP SAML 2.0-Assertion aufgefüllt. Wenn die Benutzer die [zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA](certificate-based-authentication.md)) verwenden, werden sie automatisch angemeldet.

1. Benutzer sind bei ihren angemeldet. WorkSpace

# SAML 2.0 für WorkSpaces Personal einrichten
<a name="setting-up-saml"></a>

Ermöglichen Sie WorkSpaces für Ihre Benutzer die Registrierung und Anmeldung von WorkSpaces Client-Anwendungen mithilfe ihrer SAML 2.0-Identitätsanbieter (IdP) -Anmeldeinformationen und Authentifizierungsmethoden, indem Sie einen Identitätsverbund mit SAML 2.0 einrichten. Verwenden Sie eine IAM-Rolle und eine Relay-State-URL, um Ihren IdP zu konfigurieren und AWS zu aktivieren, um einen Identitätsverbund mit SAML 2.0 einzurichten. Dadurch erhalten Ihre Verbundbenutzer Zugriff auf ein Verzeichnis. WorkSpaces Der Relay-Status ist der WorkSpaces Verzeichnisendpunkt, an den Benutzer nach erfolgreicher Anmeldung weitergeleitet werden. AWS

**Topics**
+ [Voraussetzungen](#setting-up-saml-requirements)
+ [Voraussetzungen](#setting-up-saml-prerequisites)
+ [Schritt 1: Erstellen Sie einen SAML-Identitätsanbieter in IAM AWS](#create-saml-identity-provider)
+ [Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund](#create-saml-iam-role)
+ [Schritt 3: Einbetten einer eingebundenen Richtlinie für die IAM-Rolle](#embed-inline-policy)
+ [Schritt 4: Konfigurieren des SAML-2.0-Identitätsanbieters](#configure-saml-id-provider)
+ [Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](#create-assertions-saml-auth)
+ [Schritt 6: Konfigurieren des Relay-Status für den Verbund](#configure-relay-state)
+ [Schritt 7: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem Verzeichnis WorkSpaces](#enable-integration-saml)

## Voraussetzungen
<a name="setting-up-saml-requirements"></a>
+ Die SAML-2.0-Authentifizierung ist in folgenden Regionen verfügbar:
  + Region USA Ost (Nord-Virginia)
  + Region USA West (Oregon)
  + Region Afrika (Kapstadt)
  + Region Asien-Pazifik (Mumbai)
  + Asia Pacific (Seoul) Region
  + Region Asien-Pazifik (Singapur)
  + Region Asien-Pazifik (Sydney)
  + Region Asien-Pazifik (Tokio)
  + Region Kanada (Zentral)
  + Region Europa (Frankfurt)
  + Region Europa (Irland)
  + Region Europa (London)
  + Region Südamerika (São Paulo)
  + Region Israel (Tel Aviv)
  + AWS GovCloud (US-West)
  + AWS GovCloud (US-Ost)
+ Um die SAML 2.0-Authentifizierung mit verwenden zu können WorkSpaces, muss der IdP unaufgefordertes, vom IdP initiiertes SSO mit einer Deep-Link-Zielressource oder einer Relay-State-Endpunkt-URL unterstützen. Beispiele hierfür IdPs sind ADFS, Azure AD, Duo Single Sign-On, Okta und. PingFederate PingOne Weitere Informationen finden Sie in der IdP-Dokumentation.
+ Die SAML 2.0-Authentifizierung funktioniert, wenn sie mit Simple AD WorkSpaces gestartet wurde. Dies wird jedoch nicht empfohlen, da Simple AD nicht in SAML 2.0 integriert werden kann. IdPs
+ Die SAML 2.0-Authentifizierung wird auf den folgenden Clients unterstützt. WorkSpaces Andere Client-Versionen werden für die SAML-2.0-Authentifizierung nicht unterstützt. Öffnen Sie Amazon WorkSpaces [Client Downloads](https://clients.amazonworkspaces.com/), um die neuesten Versionen zu finden:
  + Windows-Client, Version 5.1.0.3029 oder höher
  + macOS-Client, Version 5.x oder höher
  + Linux-Client für Ubuntu 22.04 Version 2024.1 oder höher, Ubuntu 20.04 Version 24.1 oder höher
  + Web Access

  Andere Client-Versionen können keine Verbindung zur Authentifizierung herstellen, die für SAML 2.0 WorkSpaces aktiviert ist, sofern Fallback nicht aktiviert ist. Weitere Informationen finden Sie unter [Aktivieren der SAML 2.0-Authentifizierung](https://d1.awsstatic.com/workspaces-saml-guide.pdf) für das Verzeichnis. WorkSpaces 

 step-by-stepAnweisungen zur Integration von SAML 2.0 WorkSpaces mit ADFS, Azure AD, Duo Single Sign-On, Okta PingFederate und PingOne für Unternehmen finden Sie im [Amazon WorkSpaces SAML](https://d1.awsstatic.com/workspaces-saml-guide.pdf) Authentication Implementation Guide. OneLogin

## Voraussetzungen
<a name="setting-up-saml-prerequisites"></a>

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-Identity Provider-Verbindung (IdP) zu einem WorkSpaces Verzeichnis konfigurieren.

1. Konfigurieren Sie Ihren IdP so, dass Benutzeridentitäten aus dem Microsoft Active Directory integriert werden, das mit dem WorkSpaces Verzeichnis verwendet wird. Für einen Benutzer mit a WorkSpace müssen die Attribute **s AMAccount Name** und **E-Mail** für den Active Directory-Benutzer und die SAML-Anspruchswerte übereinstimmen, damit sich der Benutzer WorkSpaces mit dem IdP anmelden kann. Weitere Informationen zur Integration von Active Directory mit Ihrem IdP finden Sie in Ihrer IdP-Dokumentation.

1. Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS.
   + Weitere Informationen [zur Konfiguration des Verbunds finden Sie unter Integration von SAML-Lösungsanbietern von Drittanbietern mit AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html). AWS Zu den relevanten Beispielen gehört die IdP-Integration mit AWS IAM für den Zugriff auf die AWS Managementkonsole.
   + Nutzen Sie Ihren IdP, um ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, zu generieren und laden Sie es herunter. Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung für die vertrauenden Seiten einzurichten. Speichern Sie diese Datei an einem Standort, auf den Sie später von der IAM-Konsole aus zugreifen können.

1. Erstellen oder registrieren Sie WorkSpaces mithilfe der WorkSpaces Managementkonsole ein Verzeichnis für. Weitere Informationen finden Sie unter [Verzeichnisse verwalten für WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html). Die SAML 2.0-Authentifizierung für WorkSpaces wird für die folgenden Verzeichnistypen unterstützt:
   + AD Connector
   + AWS Verwaltetes Microsoft AD

1. Erstellen Sie eine WorkSpace für einen Benutzer, der sich mit einem unterstützten Verzeichnistyp beim IdP anmelden kann. Sie können einen WorkSpace mithilfe der WorkSpaces Managementkonsole oder der WorkSpaces API erstellen. AWS CLI Weitere Informationen finden Sie unter [Starten eines virtuellen Desktops mit WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html). 

## Schritt 1: Erstellen Sie einen SAML-Identitätsanbieter in IAM AWS
<a name="create-saml-identity-provider"></a>

Erstellen Sie zunächst einen SAML-IdP in AWS IAM. Dieser IdP definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. Weitere Informationen finden Sie unter [Erstellen und Verwalten eines SAML-Identitätsanbieters (Amazon-Web-Services-Managementkonsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console). Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US-West) und AWS GovCloud (US-Ost) finden Sie unter [AWS Identity and](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) Access Management. 

## Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund
<a name="create-saml-iam-role"></a>

Anschließend erstellen Sie eine IAM-Rolle für den SAML-2.0-Verbund. Dieser Schritt stellt eine Vertrauensstellung zwischen IAM und dem IdP Ihrer Organisation her, die Ihren IdP als vertrauenswürdige Entität für den Verbund identifiziert.

So erstellen Sie eine IAM-Rolle für den SAML-IdP

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** und **Rolle erstellen** aus.

1.  Wählen Sie für **Role type** (Rollentyp) die Option **SAML 2.0 federation** (SAML 2.0 Verbund). 

1.  Wählen Sie für **SAML-Anbieter** den erstellten SAML-Identitätsanbieter aus. 
**Wichtig**  
Wählen Sie keine der beiden SAML-2.0-Zugriffsmethoden (**Nur programmgesteuerten Zugriff erlauben** oder **Programmgesteuerten Zugriff und Zugriff über Amazon Web Services Management Console erlauben**).

1. Für **Attribut** wählen Sie **SAML:sub\$1type**.

1. Geben Sie für **Wert** `persistent` ein. Dieser Wert schränkt den Rollenzugriff auf Streaming-Anfragen von SAML-Benutzern ein, die eine SAML-Subjekttypangabe mit dem Wert „persistent“ enthalten. Wenn der SAML:sub\$1type „persistent“ ist, sendet Ihr IdP denselben eindeutigen Wert für das NameID-Element in allen SAML-Anfragen von einem bestimmten Benutzer. [Weitere Informationen zur Behauptung SAML:sub\$1type finden Sie im Abschnitt **Eindeutige Identifizierung von Benutzern in einem SAML-basierten Verbund unter Verwenden eines SAML-basierten** Verbunds für den API-Zugriff auf. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)

1. Überprüfen Sie Ihre SAML 2.0-Vertrauensinformationen, um die richtige vertrauenswürdige Entität und Bedingung sicherzustellen, und wählen Sie dann **Next: Permissions** (Weiter: Berechtigungen). 

1. Wählen Sie auf der Seite **Attach permissions policies (Berechtigungsrichtlinien hinzufügen)** **Next: Tags (Weiter: Tags)** aus.

1. (Optional) Geben Sie einen Schlüssel und einen Wert für jedes Tag ein, das Sie hinzufügen möchten. Weitere Informationen finden Sie unter [Markieren von IAM-Benutzern und -Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).

1. Klicken Sie abschließend auf **Weiter: Überprüfen**. Sie erstellen später eine eingebundene Richtlinie für diese Rolle und betten diese ein.

1. Geben Sie unter **Rollenname** einen Rollennamen ein, der Ihnen hilft, den Zweck dieser Rolle zu identifizieren. Da verschiedene Entitäten möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nach der Erstellung nicht mehr bearbeiten.

1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung für die neue Rolle ein.

1. Prüfen Sie die Rollendetails und wählen Sie **Create Role** (Rolle erstellen).

1. Fügen Sie die Berechtigung sts: zur Vertrauensrichtlinie Ihrer neuen IAM-Rolle TagSession hinzu. Weitere Informationen finden Sie unter [Übergeben von Sitzungs-Tags in AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). Wählen Sie auf der Detailseite für Ihre neue IAM-Rolle die Registerkarte **Vertrauensbeziehungen** und anschließend **Vertrauensbeziehung bearbeiten**. Wenn der Richtlinieneditor „Trust Relationship bearbeiten“ geöffnet wird, fügen Sie die **sts: TagSession \$1-Berechtigung** wie folgt hinzu:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:aud": "https://signin.aws.amazon.com/saml"
                   }
               }
           }
       ]
   }
   ```

------

Ersetzen Sie `IDENTITY-PROVIDER` durch den Namen des SAML-IdP, den Sie in Schritt 1 erstellt haben. Wählen Sie **Vertrauensrichtlinie aktualisieren** aus.

## Schritt 3: Einbetten einer eingebundenen Richtlinie für die IAM-Rolle
<a name="embed-inline-policy"></a>

Anschließend betten Sie eine IAM-Richtlinie für die erstellte Rolle ein. Bei der Einbettung einer eingebundenen Richtlinie können die Berechtigungen der Richtlinie nicht versehentlich an die falsche Prinzipal-Entität angefügt werden. Die Inline-Richtlinie gewährt Verbundbenutzern Zugriff auf das WorkSpaces Verzeichnis.

**Wichtig**  
IAM-Richtlinien zur Verwaltung des Zugriffs auf der AWS Grundlage der Quell-IP werden für diese Aktion nicht unterstützt. `workspaces:Stream` Verwenden Sie [IP-Zugriffskontrollgruppen WorkSpaces, um IP-Zugriffskontrollen](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html) für zu verwalten. Wenn Sie die SAML 2.0-Authentifizierung verwenden, können Sie außerdem IP-Zugriffskontrollrichtlinien verwenden, sofern diese von Ihrem SAML 2.0-IdP verfügbar sind.

1. Wählen Sie in den Details für die IAM-Rolle, die Sie erstellt haben, die Registerkarte **Berechtigungen** aus und fügen Sie dann die erforderlichen Berechtigungen zur Berechtigungsrichtlinie der Rolle hinzu. Der **Assistent zum Erstellen von Richtlinien** wird gestartet.

1. Wählen Sie unter **Create policy (Richtlinie erstellen)** die Registerkarte **JSON**.

1. Kopieren Sie die folgende JSON-Richtlinie und fügen Sie sie in das JSON-Fenster ein. Ändern Sie dann die Ressource, indem Sie Ihren AWS Regionalcode, Ihre Konto-ID und Ihre Verzeichnis-ID eingeben. In der folgenden Richtlinie erhalten Ihre WorkSpaces Benutzer die Berechtigung, `"Action": "workspaces:Stream"` eine Verbindung zu ihren Desktopsitzungen im WorkSpaces Verzeichnis herzustellen.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "workspaces:Stream",
               "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
               "Condition": {
                   "StringEquals": {
                       "workspaces:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   `REGION-CODE`Ersetzen Sie es durch die AWS Region, in der Ihr WorkSpaces Verzeichnis existiert. `DIRECTORY-ID`Ersetzen Sie es durch die WorkSpaces Verzeichnis-ID, die Sie in der WorkSpaces Managementkonsole finden. Verwenden Sie für Ressourcen in AWS GovCloud (US-West) oder AWS GovCloud (US-Ost) das folgende Format für den ARN:. `arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`

1. Klicken Sie abschließend auf **Review policy (Richtlinie überprüfen)**. Die [Richtlinienvalidierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) meldet mögliche Syntaxfehler.

## Schritt 4: Konfigurieren des SAML-2.0-Identitätsanbieters
<a name="configure-saml-id-provider"></a>

Als Nächstes müssen Sie, abhängig von Ihrem SAML 2.0-IdP, Ihren IdP möglicherweise manuell aktualisieren, damit er AWS als Dienstanbieter vertrauenswürdig ist, indem Sie die `saml-metadata.xml` Datei unter [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) auf Ihren IdP hochladen. Dieser Schritt aktualisiert die Metadaten Ihres IdP. Für einige ist das Update IdPs möglicherweise bereits konfiguriert. In diesem Fall fahren Sie mit dem nächsten Schritt fort.

Wenn diese Aktualisierung in Ihrem IdP noch nicht konfiguriert ist, lesen Sie in der Dokumentation Ihres IdP nach, wie die Metadaten zu aktualisieren sind. Bei einigen Anbietern können Sie die URL eingeben, woraufhin der Identitätsanbieter die Datei für Sie abruft und installiert. Bei anderen Anbietern müssen Sie die Datei über eine URL herunterladen und dann als lokale Datei bereitstellen.

**Wichtig**  
Zu diesem Zeitpunkt können Sie auch Benutzer in Ihrem IdP autorisieren, auf die WorkSpaces Anwendung zuzugreifen, die Sie in Ihrem IdP konfiguriert haben. Für Benutzer, die berechtigt sind, auf die WorkSpaces Anwendung für Ihr Verzeichnis zuzugreifen, wird nicht automatisch eine für sie WorkSpace erstellt. Ebenso sind Benutzer, die eine für sie WorkSpace erstellt haben, nicht automatisch autorisiert, auf die WorkSpaces Anwendung zuzugreifen. Um erfolgreich eine Verbindung WorkSpace mit einer SAML 2.0-Authentifizierung herzustellen, muss ein Benutzer vom IdP autorisiert sein und eine WorkSpace erstellte haben.

**Anmerkung**  
Wenn Ihre Endbenutzer häufig zwischen mehreren verschiedenen WorkSpaces Benutzeridentitäten wechseln, während sie denselben SAML 2.0-Identitätsanbieter (IdP) verwenden, stellen Sie sicher, dass Ihr IdP so konfiguriert ist, dass bei jedem Anmeldeversuch die Authentifizierung (ForceAuthn) erzwungen wird. Dadurch wird verhindert, dass Ihr IdP eine bestehende SSO-Sitzung wiederverwendet, was andernfalls zu Authentifizierungsfehlern führen kann, wenn Ihre Benutzer zu einer anderen wechseln. WorkSpace Anleitungen zur Aktivierung der ForceAuthn (oder einer gleichwertigen) Einstellung finden Sie in der Dokumentation Ihres IdP.

## Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort
<a name="create-assertions-saml-auth"></a>

Als Nächstes konfigurieren Sie die Informationen, an die Ihr IdP sendet, AWS als SAML-Attribute in seiner Authentifizierungsantwort. Abhängig von Ihrem IdP ist dies bereits konfiguriert. Überspringen Sie diesen Schritt und fahren Sie mit [Schritt 6: Konfigurieren des Relay-Status Ihres Verbunds](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state) fort.

Wenn diese Informationen in Ihrem Identitätsanbieter noch nicht konfiguriert sind, führen Sie die folgenden Schritte aus:
+ **SAML Subject NameID** – Die eindeutige ID für den Benutzer, der sich anmeldet. Der Wert muss mit dem WorkSpaces Benutzernamen übereinstimmen und ist in der Regel das **AMAccountName-Attribut s** für den Active Directory-Benutzer.
+ **SAML-Subjekttyp** (mit dem Wert `persistent`) – Durch Verwendung des Werts `persistent` stellen Sie sicher, dass Ihr IdP in allen SAML-Anfragen von einem bestimmten Benutzer dasselbe `NameID`-Element sendet. Stellen Sie sicher, dass Ihre IAM-Richtlinie eine Bedingung enthält, um ausschließlichen SAML-Anfragen mit dem SAML sub\$1type `persistent` zuzulassen, wie in [Erstellen einer IAM-Rolle für den SAML-2.0-Verbund](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms) beschrieben.
+ **`Attribute`-Element mit dem `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/Role`** – Dieses Element enthält ein oder mehrere `AttributeValue`-Elemente, die die IAM-Rollen und den SAML IdP auflisten, denen der Benutzer durch Ihren IdP zugeordnet ist. Die Rolle und der IdP werden als kommagetrenntes Paar von angegeben. ARNs Ein Beispiel für den erwarteten Wert ist `arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`.
+ **`Attribute`Element, bei dem das `Name` Attribut auf gesetzt** ist `https://aws.amazon.com/SAML/Attributes/RoleSessionName` — Dieses Element enthält ein `AttributeValue` Element, das eine Kennung für die AWS temporären Anmeldeinformationen bereitstellt, die für SSO ausgestellt werden. Der Wert des `AttributeValue`-Elements muss zwischen 2 und 64 Zeichen lang sein und darf nur alphanumerische Zeichen, Unterstriche und die folgenden Zeichen enthalten: **\$1 . : / = \$1 - @**. Leerzeichen dürfen nicht enthalten sein. Der Wert ist in der Regel eine E-Mail-Adresse oder ein User Principle Name (UPN). Er sollte kein Wert mit einem Leerzeichen (z. B. der Anzeigename eines Benutzers) sein.
+ **`Attribute`-Element, bei dem das `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` ist** – Dieses Element enthält ein `AttributeValue`-Element, das die E-Mail-Adresse des/der Benutzer:in angibt. Der Wert muss mit der WorkSpaces Benutzer-E-Mail-Adresse übereinstimmen, wie sie im WorkSpaces Verzeichnis definiert ist. Tag-Werte können Kombinationen aus Buchstaben, Zahlen, Leerzeichen sein und die folgenden Zeichen enthalten: **\$1 . : / = \$1 - @** Weitere Informationen finden Sie unter [Regeln zum Markieren in IAM und AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) im *IAM-Benutzerhandbuch*.
+ **`Attribute`-Element, bei dem das `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` ist (optional)** – Dieses Element enthält ein `AttributeValue`-Element, das die Active-Directory-`userPrincipalName` für den Benutzer bereitstellt, der sich anmeldet. Das Format des von Ihnen angegebenen Wertes muss `username@domain.com` sein. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung als alternativer Name des Subjekts im Endbenutzerzertifikat verwendet. Weitere Informationen finden Sie unter „Zertifikatbasierte Authentifizierung“.
+ **`Attribute`-Element, bei dem das `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` ist (optional)** – Dieses Element enthält ein `AttributeValue`-Element, das die Active-Directory-SID (Security Identifier) für den/die Benutzer:in bereitstellt, der/die sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen. Weitere Informationen finden Sie unter „Zertifikatbasierte Authentifizierung“.
+ **`Attribute`-Element, bei dem das `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` ist (optional)** – Dieses Element enthält ein `AttributeValue`-Element, das ein alternatives Benutzernamenformat bereitstellt. Verwenden Sie dieses Attribut, wenn Sie Anwendungsfälle haben, in denen Benutzernamenformate wie `corp\username``corp.example.com\username`, oder `username@corp.example.com` die Anmeldung über den WorkSpaces Client erforderlich sind. Tag-Schlüssel und -Werte können eine beliebige Kombination aus Buchstaben, Zahlen, Leerzeichen sein und die Zeichen **\$1 : / . \$1 = @ -** enthalten. Weitere Informationen finden Sie unter [Regeln zum Markieren in IAM und AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) im *IAM-Benutzerhandbuch*. Ersetzen Sie**\$1** in der SAML-Assertion durch**/**, um `corp\username`- oder `corp.example.com\username`-Formate anzugeben.
+ **`Attribute`Element, bei dem das `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/:Domain gesetzt ist PrincipalTag (optional) —** Dieses Element enthält ein Element`AttributeValue`, das den vollqualifizierten DNS-Domänennamen (FQDN) für Benutzer bereitstellt, die sich anmelden. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, wenn die Active-Directory-`userPrincipalName` für die Benutzer ein alternatives Suffix enthält. Der Wert muss in der `domain.com` angegeben werden, einschließlich aller Unterdomains.
+ **`Attribute`Element, bei dem das `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt ist SessionDuration (optional)** — Dieses Element enthält ein `AttributeValue` Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert liegt bei 3600 Sekunden (60 Minuten). Weitere Informationen finden Sie unter [SAML `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration). 
**Anmerkung**  
Auch wenn es sich bei `SessionDuration` um ein optionales Attribut handelt, wird empfohlen, es in die SAML-Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird die Sitzungsdauer auf einen Standardwert von 3600 Sekunden (60 Minuten) festgelegt. WorkSpaces Desktop-Sitzungen werden nach Ablauf ihrer Sitzungsdauer getrennt.

Weitere Informationen über die Konfiguration dieser Elemente finden Sie unter [Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

## Schritt 6: Konfigurieren des Relay-Status für den Verbund
<a name="configure-relay-state"></a>

Verwenden Sie als Nächstes Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf die WorkSpaces Directory-Relay-Status-URL verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum WorkSpaces Verzeichnisendpunkt weitergeleitet, der in der SAML-Authentifizierungsantwort als Relay-Status definiert ist.

Der Relay-Status-URL hat das folgende Format:

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

Konstruieren Sie Ihre Relay-State-URL aus Ihrem WorkSpaces Verzeichnisregistrierungscode und dem Relay-State-Endpunkt, der der Region zugeordnet ist, in der sich Ihr Verzeichnis befindet. Den Registrierungscode finden Sie in der WorkSpaces Managementkonsole.

Wenn Sie die regionsübergreifende Umleitung für verwenden WorkSpaces, können Sie den Registrierungscode optional durch den vollqualifizierten Domainnamen (FQDN) ersetzen, der Verzeichnissen in Ihren primären Regionen und in Ihren Failover-Regionen zugeordnet ist. Weitere Informationen finden Sie unter [Regionalübergreifende Umleitung für Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html). WorkSpaces Wenn Sie die regionsübergreifende Umleitung und die SAML-2.0-Authentifizierung verwenden, müssen sowohl das Primär- als auch das Failover-Verzeichnis für die SAML-2.0-Authentifizierung aktiviert und unabhängig voneinander mit dem IdP konfiguriert werden, wobei der Relay-Status-Endpunkt verwendet wird, der jeder Region zugeordnet ist. Auf diese Weise kann der FQDN korrekt konfiguriert werden, wenn Benutzer ihre WorkSpaces Client-Anwendungen vor der Anmeldung registrieren, und Benutzer können sich während eines Failover-Ereignisses authentifizieren.

In der folgenden Tabelle sind die Relay-State-Endpunkte für die Regionen aufgeführt, in denen die WorkSpaces SAML 2.0-Authentifizierung verfügbar ist.


**Regionen, in denen die WorkSpaces SAML 2.0-Authentifizierung verfügbar ist**  

| Region | RelayState-Endpunkt | 
| --- | --- | 
| Region USA Ost (Nord-Virginia) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html) | 
| Region USA West (Oregon) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html) | 
| Region Afrika (Kapstadt) | workspaces.euc-sso.af-south-1.aws.amazon.com | 
| Region Asien-Pazifik (Mumbai) | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| Region Asien-Pazifik (Seoul) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| Region Asien-Pazifik (Singapur) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| Region Asien-Pazifik (Sydney) | workspaces.euc-sso.ap-southeast-2.aws.amazon.com | 
| Region Asien-Pazifik (Tokio) | workspaces.euc-sso.ap-northeast-1.aws.amazon.com | 
| Region Kanada (Zentral) | workspaces.euc-sso.ca-central-1.aws.amazon.com | 
| Region Europa (Frankfurt) | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| Region Europa (Irland) | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| Region Europa (London) | workspaces.euc-sso.eu-west-2.aws.amazon.com | 
| Region Südamerika (São Paulo) | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| Region Israel (Tel Aviv) | workspaces.euc-sso.il-central-1.aws.amazon.com | 
| AWS GovCloud (US-West) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html)  Weitere Informationen zu finden Sie unter [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) im *Benutzerhandbuch AWS GovCloud (USA)*.   | 
| AWS GovCloud (USA-Ost) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html)  Weitere Informationen zu finden Sie unter [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) im *Benutzerhandbuch AWS GovCloud (USA)*.   | 

Bei einem vom Identitätsanbieter (IdP) initiierten Flow können Sie den Client angeben, den Sie für den SAML 2.0-Verbund verwenden möchten. Geben Sie dazu entweder `native` oder `web` am Ende der Relay-Status-URL danach an. `&client=` Wenn der Parameter in einer Relay-State-URL angegeben ist, werden die entsprechenden Sitzungen automatisch auf dem angegebenen Client gestartet.

## Schritt 7: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem Verzeichnis WorkSpaces
<a name="enable-integration-saml"></a>

Sie können die WorkSpaces Konsole verwenden, um die SAML 2.0-Authentifizierung für das WorkSpaces Verzeichnis zu aktivieren.

**So aktivieren Sie die Integration mit SAML 2.0**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie die Verzeichnis-ID für Ihre. WorkSpaces

1. Wählen Sie unter **Authentifizierung** die Option **Bearbeiten** aus.

1. Wählen Sie **SAML-2.0-Identitätsanbieter bearbeiten** aus.

1. Aktivieren Sie das Kontrollkästchen **SAML-2.0-Authentifizierung aktivieren**.

1. Geben Sie für die **Benutzerzugriffs-URL** und **Name des IdP-Deep-Link-Parameters** Werte ein, die für Ihren IdP und die Anwendung gelten, die Sie in Schritt 1 konfiguriert haben. Der Standardwert für den IdP-Deep-Link-Parameternamen ist „RelayState„, wenn Sie diesen Parameter weglassen. In der folgenden Tabelle sind URLs und Parameternamen für den Benutzerzugriff aufgeführt, die für verschiedene Identitätsanbieter für Anwendungen eindeutig sind.   
**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html)

   Die Benutzerzugriffs-URL wird normalerweise vom Anbieter für unaufgefordertes, vom IdP initiiertes SSO definiert. Ein Benutzer kann diese URL in einen Webbrowser eingeben, um sich direkt mit der SAML-Anwendung zu verbinden. Wählen Sie **Testen** aus, um die Benutzerzugriffs-URL und die Parameterwerte für Ihren IdP zu testen. Kopieren Sie die Test-URL und fügen Sie sie in ein privates Fenster in Ihrem aktuellen Browser oder einem anderen Browser ein, um die SAML 2.0-Anmeldung zu testen, ohne Ihre aktuelle AWS Verwaltungskonsolensitzung zu unterbrechen. Wenn der vom IDP initiierte Flow geöffnet wird, können Sie Ihren WorkSpaces Client registrieren. Weitere Informationen finden Sie unter [Vom Identitätsanbieter (IdP) initiierter Flow](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html).

1. Aktivieren oder deaktivieren Sie die Option **Anmeldung für Clients zulassen, die SAML 2.0 nicht unterstützen**, um die Fallback-Einstellungen zu verwalten. Aktivieren Sie diese Einstellung, um Ihren Benutzern weiterhin Zugriff auf die WorkSpaces Verwendung von Clienttypen oder Versionen zu gewähren, die SAML 2.0 nicht unterstützen, oder wenn Benutzer Zeit für ein Upgrade auf die neueste Client-Version benötigen.
**Anmerkung**  
Diese Einstellung ermöglicht es Benutzern, SAML 2.0 zu umgehen und sich mithilfe der Verzeichnisauthentifizierung mit älteren Client-Versionen anzumelden.

1. Aktivieren Sie Web Access, um SAML mit dem Webclient zu verwenden. Weitere Informationen finden Sie unter [Amazon WorkSpaces Web Access aktivieren und konfigurieren](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html).
**Anmerkung**  
PCoIP mit SAML wird von Web Access nicht unterstützt.

1. Wählen Sie **Speichern**. Ihr WorkSpaces Verzeichnis ist jetzt mit der SAML 2.0-Integration aktiviert. Sie können die IdP-initiierten und die von Client-Anwendungen initiierten Flows verwenden, um WorkSpaces Client-Anwendungen zu registrieren und sich anzumelden. WorkSpaces

# Zertifikatsbasierte Authentifizierung und Personal WorkSpaces
<a name="certificate-based-authentication"></a>

Sie können die zertifikatsbasierte Authentifizierung mit verwenden, um die Benutzeraufforderung WorkSpaces zur Eingabe des Active Directory-Domänenkennworts zu entfernen. Durch die Verwendung der zertifikatbasierten Authentifizierung mit Ihrer Active Directory-Domain können Sie Folgendes erreichen:
+ Sie können den SAML-2.0-Identitätsanbieter zur Authentifizierung der Benutzer und Bereitstellung der SAML-Zusicherungen für die Benutzer in Active Directory verwenden.
+ Ermöglichen Sie eine Single-Sign-On-Anmeldung mit weniger Benutzeraufforderungen.
+ Aktivieren Sie passwortlose Authentifizierungsabläufe mit Ihrem SAML-2.0-Identitätsanbieter.

Bei der zertifikatsbasierten Authentifizierung werden AWS Private CA Ressourcen in Ihrem Konto verwendet. AWS AWS Private CAermöglicht die Erstellung von Hierarchien privater Zertifizierungsstellen (CA), einschließlich Stamm- und untergeordneter Zertifizierungsstellen. CAs Mit AWS Private CA können Sie Ihre eigene CA-Hierarchie erstellen und damit Zertifikate zur Authentifizierung interner Benutzer ausstellen. Weitere Informationen finden Sie im [AWS Private Certificate Authority-Benutzerhandbuch](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).

AWS Private CABei Verwendung der zertifikatsbasierten Authentifizierung WorkSpaces werden bei der Sitzungsauthentifizierung automatisch Zertifikate für Ihre Benutzer angefordert. Die Benutzer werden mit einer virtuellen Smartcard, die mit den Zertifikaten bereitgestellt wird, bei Active Directory authentifiziert.

Die zertifikatsbasierte Authentifizierung wird mit Windows WorkSpaces on DCV-Paketen unterstützt, die die neuesten WorkSpaces Web Access-, Windows- und macOS-Clientanwendungen verwenden. Öffnen Sie Amazon WorkSpaces [Client-Downloads](https://clients.amazonworkspaces.com/), um die neuesten Versionen zu finden: 
+ Windows-Client, Version 5.5.0 oder höher
+ macOs-Client, Version 5.6.0 oder höher

Weitere Informationen zur Konfiguration der zertifikatsbasierten Authentifizierung bei Amazon WorkSpaces finden Sie unter [So konfigurieren Sie die zertifikatsbasierte Authentifizierung für Amazon WorkSpaces und Überlegungen zum](https://aws.amazon.com/blogs/desktop-and-application-streaming/how-to-configure-certificate-based-authentication-for-amazon-workspaces/) [Design in stark regulierten Umgebungen für die zertifikatsbasierte Authentifizierung](https://aws.amazon.com/blogs/desktop-and-application-streaming/design-considerations-in-highly-regulated-environments-for-certificate-based-authentication-with-appstream-2-0-workspaces/) mit Anwendungen und. WorkSpaces WorkSpaces

## Voraussetzungen
<a name="cert-based-auth-prerequesites"></a>

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

1. Konfigurieren Sie Ihr WorkSpaces Verzeichnis mit der SAML 2.0-Integration, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter [WorkSpacesIntegration mit](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html) SAML 2.0.

1. Konfigurieren Sie das `userPrincipalName` Attribut in Ihrer SAML-Zusicherung. Weitere Informationen finden Sie unter [Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth).

1. Konfigurieren Sie das `ObjectSid` Attribut in Ihrer SAML-Zusicherung. Dies ist erforderlich, um eine starke Zuordnung zum Active Directory-Benutzer durchzuführen. Die zertifikatbasierte Authentifizierung schlägt fehl, wenn das Attribut nicht mit der Active-Directory-Sicherheitskennung (SID) für den im SAML\$1Subject `NameID` angegebenen Benutzern übereinstimmt. Weitere Informationen finden Sie unter [Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth).
**Anmerkung**  
Laut [Microsoft KB5 014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) wird das `ObjectSid` Attribut nach dem 10. September 2025 für die zertifikatsbasierte Authentifizierung verpflichtend. 

1. Fügen Sie Ihrer IAM-Rollenvertrauensrichtlinie, die mit Ihrer SAML 2.0-Konfiguration verwendet wird, die [sts: TagSession](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) -Berechtigung hinzu, falls sie noch nicht vorhanden ist. Diese Berechtigung ist erforderlich, um die zertifikatbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter [Erstellen einer IAM-Rolle für den SAML-2.0-Verbund](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-saml-iam-role).

1. Erstellen Sie eine private Zertifizierungsstelle (CA), AWS Private CA falls Sie noch keine mit Ihrem Active Directory konfiguriert haben. AWS Private CAist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter [Planung Ihrer AWS Private CA Bereitstellung](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). Folgen Sie den Anweisungen zur Konfiguration einer Zertifizierungsstelle für die zertifikatsbasierte Authentifizierung. Die folgenden AWS Private CA Einstellungen werden am häufigsten für Anwendungsfälle der zertifikatsbasierten Authentifizierung verwendet:

   1. Optionen für den CA-Typ:

      1. CA-Verwendungsmodus für kurzlebige Zertifikate (empfohlen, wenn Sie die CA nur zur Ausstellung von Endbenutzerzertifikaten für die zertifikatbasierte Authentifizierung verwenden)

      1. Einstufige Hierarchie mit einer Stammzertifizierungsstelle (wählen Sie alternativ eine untergeordnete Zertifizierungsstelle aus, wenn Sie eine Integration in eine bestehende Zertifizierungsstellenhierarchie vornehmen möchten)

   1. Optionen für den Schlüsselalgorithmus: RSA 2048

   1. Optionen für den definierten Namen des Antragstellers: Verwenden Sie eine beliebige Kombination von Optionen, um die Zertifizierungsstelle in Ihrem Active-Directory-Speicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren.

   1. Optionen zum Widerruf von Zertifikaten: CRL-Verteilung
**Anmerkung**  
Für die zertifikatbasierte Authentifizierung ist ein Online-CRL-Verteilungspunkt erforderlich, auf den von Desktops und dem Domain-Controller aus zugegriffen werden kann. Dies erfordert einen nicht authentifizierten Zugriff auf den Amazon S3 S3-Bucket, der für private CA-CRL-Einträge konfiguriert ist, oder eine CloudFront Distribution, die Zugriff auf den S3-Bucket hat, wenn sie den öffentlichen Zugriff blockiert. Weitere Informationen finden Sie unter [Planen einer Zertifikatsperrliste (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html#s3-bpa).

1. Taggen Sie Ihre private Zertifizierungsstelle mit einem Schlüssel, der berechtigt ist, die CA für die Verwendung mit `euc-private-ca` auf EUC-Zertifikaten basierenden Authentifizierung zu kennzeichnen. Für den Schlüssel ist kein Wert erforderlich. Weitere Informationen finden Sie unter [Verwalten von Tags für Ihre private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html).

1. Bei der zertifikatbasierten Authentifizierung werden virtuelle Smartcards für die Anmeldung verwendet. Folgen Sie den [Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) in Active Directory und führen Sie die folgenden Schritte durch:
   + Konfigurieren Sie Domain-Controller mit einem Domain-Controllerzertifikat zur Authentifizierung von Smartcard-Benutzern. Wenn Sie in Ihrem Active Directory eine Unternehmenszertifizierungsstelle für Active-Directory-Zertifikatsdienste konfiguriert haben, werden Domain-Controller automatisch mit Zertifikaten registriert, um die Smartcard-Anmeldung zu ermöglichen. Wenn Sie nicht über Active-Directory-Zertifikatsdienste verfügen, finden Sie weitere Informationen unter [Anforderungen für Domain-Controllerzertifikate von einer Drittanbieter-Zertifizierungsstelle](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). Sie können ein Domain-Controllerzertifikat mit AWS Private CA erstellen. Verwenden Sie in diesem Fall keine private Zertifizierungsstelle, die für kurzlebige Zertifikate konfiguriert ist.
**Anmerkung**  
Wenn Sie dies verwendenAWS Managed Microsoft AD, können Sie Certificate Services auf einer EC2 Instance konfigurieren, um die Anforderungen an Domain-Controller-Zertifikate zu erfüllen. Sehen Sie sich [AWS Launch Wizard](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)beispielsweise Bereitstellungen von mit Active Directory AWS Managed Microsoft AD konfigurierten Zertifikatsdiensten an. AWSEine private Zertifizierungsstelle kann als untergeordnete Zertifizierungsstelle der Active Directory-Zertifikatsdienste-Zertifizierungsstelle konfiguriert werden oder sie kann bei der Verwendung als eigene Stammzertifizierungsstelle konfiguriert werden. AWS Managed Microsoft AD  
Eine zusätzliche Konfigurationsaufgabe mit AWS Managed Microsoft AD Active Directory-Zertifikatsdiensten besteht darin, ausgehende Regeln von der VPC-Sicherheitsgruppe des Controllers zu der EC2 Instanz zu erstellen, auf der die Zertifikatsdienste ausgeführt werden, sodass die TCP-Ports 135 und 49152-65535 die automatische Registrierung von Zertifikaten ermöglichen. Darüber hinaus muss die ausgeführte EC2 Instanz eingehenden Zugriff auf dieselben Ports von Domäneninstanzen, einschließlich Domänencontrollern, zulassen. Weitere Informationen zum Auffinden der Sicherheitsgruppe AWS Managed Microsoft AD finden [Sie unter Konfigurieren Ihrer VPC-Subnetze und Sicherheitsgruppen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).
   + Wählen Sie auf der AWS Private CA Konsole oder mithilfe des SDK oder der CLI Ihre CA aus und exportieren Sie unter dem CA-Zertifikat das private CA-Zertifikat. Weitere Informationen finden Sie unter [Exportieren eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).
   + Veröffentlichen Sie die CA in Active Directory. Melden Sie sich an einem Domain-Controller oder einem Computer an, der Domain-Mitglied ist. Kopieren Sie das private CA-Zertifikat in einen beliebigen `<path>\<file>` und führen Sie die folgenden Befehle als Domain-Administrator aus. Alternativ können Sie Gruppenrichtlinien und das Microsoft PKI Health Tool (PKIView) Tool verwenden, um die CA zu veröffentlichen. Weitere Informationen finden Sie in den [Konfigurationsanweisungen](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

     ```
     certutil -dspublish -f <path>\<file> RootCA
     certutil -dspublish -f  <path>\<file> NTAuthCA
     ```

     Stellen Sie sicher, dass die Befehle erfolgreich ausgeführt wurden. Entfernen Sie dann die private Zertifikatsdatei. Abhängig von den Einstellungen für die Active-Directory-Replikation kann es einige Minuten dauern, bis die Zertifizierungsstelle auf Ihren Domain-Controllern und Desktop-Instances veröffentlicht wird.
**Anmerkung**  
Es ist erforderlich, dass Active Directory die Zertifizierungsstelle automatisch an die vertrauenswürdigen Stammzertifizierungsstellen und NTAuth Unternehmensspeicher für WorkSpaces Desktops verteilt, wenn diese der Domäne hinzugefügt werden. 

## Aktivieren der zertifikatbasierten Authentifizierung
<a name="enable-cert-based-auth"></a>

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie die Verzeichnis-ID für Ihre. WorkSpaces

1. Klicken Sie unter **Authentifizierung** auf **Bearbeiten**.

1. Klicken Sie auf **Zertifikatbasierte Authentifizierung bearbeiten**.

1. Aktivieren Sie die Option **Zertifikatbasierten Authentifizierung aktivieren**.

1. Vergewissern Sie sich, dass Ihr privater CA-ARN in der Liste zugeordnet ist. Die private CA sollte sich im selben AWS Konto befinden und mit einem Schlüssel versehen seinAWS-Region, der berechtigt ist, in der Liste angezeigt euc-private-ca zu werden.

1. Klicken Sie auf **Save Changes (Änderungen speichern)**. Die zertifikatbasierte Authentifizierung ist nun aktiviert.

1. Starten Sie Windows WorkSpaces auf DCV-Bundles neu, damit die Änderungen wirksam werden. Weitere Informationen finden Sie unter [Reboot a. WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/reboot-workspaces.html)

1. Wenn sich Benutzer nach dem Neustart über SAML 2.0 mit einem unterstützten Client authentifizieren, werden sie nicht mehr zur Eingabe des Domain-Passworts aufgefordert.

**Anmerkung**  
Wenn die zertifikatsbasierte Authentifizierung für die Anmeldung aktiviert ist WorkSpaces, werden Benutzer nicht zur Multi-Faktor-Authentifizierung (MFA) aufgefordert, selbst wenn sie im Verzeichnis aktiviert ist. Wenn Sie die zertifikatbasierte Authentifizierung verwenden, kann MFA über Ihren SAML-2.0-Identitätsanbieter aktiviert werden. Weitere Informationen zu AWS Directory Service MFA finden Sie unter [Multi-Faktor-Authentifizierung (AD Connector)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) oder [Multi-Faktor-Authentifizierung aktivieren](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html#supportedamazonapps) für. AWS Managed Microsoft AD 

## Verwalten der zertifikatbasierten Authentifizierung
<a name="manage-cert-based-auth"></a>

**CA-Zertifikat**  
In einer typischen Konfiguration hat das private CA-Zertifikat eine Gültigkeitsdauer von 10 Jahren. Weitere Informationen zum Ersetzen einer Zertifizierungsstelle mit einem abgelaufenen Zertifikat oder zur Neuausstellung der Zertifizierungsstelle mit einem neuen Gültigkeitszeitraum finden Sie unter [Verwalten des Lebenszyklus einer privaten Zertifizierungsstelle](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html).

**Endbenutzerzertifikate**  
Endbenutzerzertifikate, die von AWS Private CA für die WorkSpaces zertifikatsbasierte Authentifizierung ausgestellt wurden, müssen nicht erneuert oder gesperrt werden. Diese Zertifikate sind kurzlebig. WorkSpacesstellt automatisch alle 24 Stunden ein neues Zertifikat aus. Diese Endbenutzerzertifikate haben eine kürzere Gültigkeitsdauer als eine typische AWS Private CA CRL-Distribution. Daher müssen Endbenutzerzertifikate nicht gesperrt werden und erscheinen auch nicht in einer CRL.

**Prüfberichte**  
Sie können einen Auditbericht erstellen, der die Zertifikate auflistet, die ihre private CA ausgestellt oder widerrufen hat. Weitere Informationen finden Sie unter [Verwenden von Prüfberichten mit Ihrer privaten CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).

**Protokollieren und Überwachen**  
Sie können verwenden [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/), um API-Aufrufe AWS Private CA von WorkSpaces aufzuzeichnen. Weitere Informationen finden Sie unter [Verwenden CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html). Im [CloudTrailEreignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) können Sie die Namen `GetCertificate` und Namen der `IssueCertificate` Ereignisse aus der `acm-pca.amazonaws.com` Ereignisquelle einsehen, die anhand des WorkSpaces `EcmAssumeRoleSession` Benutzernamens erstellt wurden. Diese Ereignisse werden für jede auf einem EUC-Zertifikat basierende Authentifizierungsanfrage aufgezeichnet.

## Aktivieren Sie kontoübergreifendes PCA-Sharing
<a name="enable-pca-sharing"></a>

 Wenn Sie die kontoübergreifende Nutzung von privaten Zertifizierungsstellen verwenden, können Sie anderen Konten Berechtigungen zur Nutzung einer zentralen Zertifizierungsstelle gewähren, sodass nicht mehr für jedes Konto eine private Zertifizierungsstelle erforderlich ist. Die Zertifizierungsstelle kann Zertifikate generieren und ausstellen, indem sie [AWSResource Access Manager](https://aws.amazon.com/ram/) zur Verwaltung von Berechtigungen verwendet. Die kontoübergreifende gemeinsame Nutzung von privaten Zertifizierungsstellen kann zusammen mit der WorkSpaces zertifikatsbasierten Authentifizierung (CBA) innerhalb derselben Region verwendet werden. AWS 

**Um eine gemeinsam genutzte private CA-Ressource mit CBA zu verwenden WorkSpaces**

1. Konfigurieren Sie die private Zertifizierungsstelle für CBA in einem zentralen AWS Konto. Weitere Informationen finden Sie unter [Zertifikatsbasierte Authentifizierung und Personal WorkSpaces](#certificate-based-authentication).

1.  Teilen Sie die private CA mit den AWS Ressourcenkonten, bei denen WorkSpaces Ressourcen CBA verwenden, indem Sie die Schritte unter [So verwenden Sie AWS RAM für die kontoübergreifende gemeinsame Nutzung Ihrer ACM Private](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) CA befolgen. Sie müssen Schritt 3 nicht abschließen, um ein Zertifikat zu erstellen. Sie können die private CA entweder mit einzelnen AWS Konten oder über AWS Organizations teilen. Um die Daten für einzelne Konten freizugeben, müssen Sie die gemeinsam genutzte private Zertifizierungsstelle in Ihrem Ressourcenkonto akzeptieren, indem Sie die Resource Access Manager (RAM) -Konsole verwenden oder APIs. Stellen Sie bei der Konfiguration der Freigabe sicher, dass die RAM-Ressourcenfreigabe für die private CA im Ressourcenkonto die Vorlage für `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` verwaltete Berechtigungen verwendet. Diese Vorlage entspricht der PCA-Vorlage, die von der WorkSpaces Servicerolle bei der Ausstellung von CBA-Zertifikaten verwendet wird. 

1. Nach erfolgreicher Freigabe sollten Sie die gemeinsam genutzte private Zertifizierungsstelle mithilfe der privaten CA-Konsole im Ressourcenkonto anzeigen können.

1. Verwenden Sie die API oder CLI, um den Private CA ARN mit CBA in Ihren WorkSpaces Verzeichniseigenschaften zu verknüpfen. Derzeit unterstützt die WorkSpaces Konsole die Auswahl einer gemeinsam genutzten privaten CA ARNs nicht. Beispiele für CLI-Befehle:

   ```
   aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>
   ```

# Greifen Sie auf Microsoft Entra ID-Joined Personal WorkSpaces zu
<a name="access-entra-id"></a>

Sie können Windows 10 oder 11 BYOL Personal erstellen WorkSpaces , die mit einer Microsoft Entra ID verknüpft und bei Intune registriert sind. Weitere Details finden Sie unter [Erstellen Sie mit Personal ein dediziertes Microsoft Entra ID-Verzeichnis WorkSpaces](launch-entra-id.md). 

## Authentifizierungs-Workflow
<a name="authentication-workflow-entra"></a>

In den folgenden Abschnitten wird der Authentifizierungsworkflow beschrieben, der von der WorkSpaces Clientanwendung, WorkSpaces Web Access und einem SAML 2.0-Identitätsanbieter (IdP), Microsoft Entra ID, initiiert wird:
+ Wenn der Flow vom IdP initiiert wird. Zum Beispiel, wenn Benutzer eine Anwendung im Benutzerportal der Entra ID in einem Webbrowser auswählen.
+ Wenn der Flow vom WorkSpaces Client initiiert wird. Zum Beispiel, wenn Benutzer die Clientanwendung öffnen und sich anmelden.
+ Wenn der Flow durch WorkSpaces Web Access initiiert wird. Zum Beispiel, wenn Benutzer Web Access in einem Browser öffnen und sich anmelden.

In diesen Beispielen geben Benutzer `user@example.onmicrosoft.com` ein, um sich beim IdP anzumelden. Auf Entra ID ist eine Unternehmensanwendung für die Integration mit IAM Identity Center konfiguriert. Benutzer erstellen eine WorkSpace für ihre Benutzernamen in einem Verzeichnis, das IAM Identity Center als Identitätsquelle verwendet, um eine Verbindung zu einem Entra ID-Mandanten herzustellen. Darüber hinaus installieren Benutzer die [WorkSpaces Client-Anwendung](https://clients.amazonworkspaces.com/) auf ihrem Gerät oder der Benutzer verwendet Web Access in einem Webbrowser.

**Vom Identitätsanbieter (IdP) initiierter Workflow mit der Clientanwendung**

Der vom IDP initiierte Ablauf ermöglicht es Benutzern, die WorkSpaces Client-Anwendung automatisch auf ihren Geräten zu registrieren, ohne einen WorkSpaces Registrierungscode eingeben zu müssen. Benutzer melden sich nicht WorkSpaces über den vom IdP initiierten Flow bei ihnen an. WorkSpaces Die Authentifizierung muss von der Client-Anwendung ausgehen.

1. Benutzer melden sich mit ihrem Webbrowser beim IdP (Microsoft Entra ID) an.

1. Nach der Anmeldung beim IdP wählen Benutzer die AWS IAM Identity Center-Anwendung aus dem IdP-Benutzerportal aus.

1. Benutzer werden im Browser zum AWS Zugriffsportal weitergeleitet. Anschließend wählen die Benutzer das WorkSpaces Symbol.

1. Benutzer werden auf die unten stehende Seite weitergeleitet und die WorkSpaces Client-Anwendung wird automatisch geöffnet. Wählen Sie ** WorkSpaces Amazon-App öffnen**, wenn die Client-Anwendung nicht automatisch geöffnet wird.  
![\[Seite mit WorkSpaces der Anwendungsumleitung öffnen\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/saml-redir.png)

1. Die WorkSpaces Client-Anwendung ist jetzt registriert und Benutzer können mit dem Signieren fortfahren, indem sie auf **Weiter klicken, um sich anzumelden**. WorkSpaces

**Vom Identitätsanbieter (IdP) initiierter Workflow mit Web Access**

Der vom IdP initiierte Webzugriffsablauf ermöglicht es Benutzern, ihre Daten automatisch WorkSpaces über einen Webbrowser zu registrieren, ohne einen WorkSpaces Registrierungscode eingeben zu müssen. Benutzer melden sich nicht WorkSpaces über den vom IdP initiierten Flow bei ihnen an. WorkSpaces Die Authentifizierung muss über Web Access erfolgen.

1. Die Benutzer melden sich mit ihrem Webbrowser beim IdP an.

1. Nach der Anmeldung beim IdP klicken Benutzer im IdP-Benutzerportal auf die AWS IAM Identity Center-Anwendung.

1. Benutzer werden im Browser zum AWS Zugriffsportal weitergeleitet. Anschließend wählen die Benutzer das WorkSpaces Symbol.

1. Die Benutzer werden im Browser auf diese Seite umgeleitet. Wählen Sie zum Öffnen WorkSpaces **Amazon WorkSpaces im Browser** aus.  
![\[Die Seite mit WorkSpaces der Anwendungsumleitung wird geöffnet\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/saml-redir.png)

1. Die WorkSpaces Client-Anwendung ist jetzt registriert und Benutzer können sich weiterhin über WorkSpaces Web Access anmelden.

**WorkSpaces vom Client initiierter Flow**

Der vom Client initiierte Ablauf ermöglicht es Benutzern, sich WorkSpaces nach der Anmeldung bei einem IdP bei ihrem anzumelden.

1. Benutzer starten die WorkSpaces Client-Anwendung (sofern sie nicht bereits ausgeführt wird) und klicken auf **Weiter, um sich anzumelden**. WorkSpaces

1. Die Benutzer werden zu ihrem Standard-Webbrowser umgeleitet, um sich beim IdP anzumelden. Wenn die Benutzer in ihrem Browser bereits beim IdP angemeldet sind, müssen sie sich nicht erneut anmelden und überspringen diesen Schritt.

1. Sobald sie beim IdP angemeldet sind, werden die Benutzer zu einem Popup weitergeleitet. Sie folgen den Anweisungen, damit der Webbrowser die Clientanwendung öffnen kann.

1. Benutzer werden auf dem Windows-Anmeldebildschirm zur WorkSpaces Client-Anwendung umgeleitet.

1. Benutzer schließen die Anmeldung bei Windows mit ihrem Entra-ID-Benutzernamen und ihren Anmeldeinformationen ab.

**WorkSpaces Vom Webzugriff initiierter Ablauf**

Der vom Webzugriff initiierte Ablauf ermöglicht es Benutzern, sich WorkSpaces nach der Anmeldung bei einem IdP bei ihrem anzumelden.

1. **Benutzer starten den WorkSpaces Webzugriff und wählen „Anmelden“.**

1. Die Benutzer werden in derselben Browser-Registerkarte zum IdP-Portal weitergeleitet. Wenn die Benutzer in ihrem Browser bereits beim IdP angemeldet sind, müssen sie sich nicht erneut anmelden und können diesen Schritt überspringen.

1. Nach der Anmeldung beim IdP wurden die Benutzer im Browser auf diese Seite umgeleitet und klicken auf **Anmelden bei**. WorkSpaces

1. Benutzer werden auf dem Windows-Anmeldebildschirm zur WorkSpaces Client-Anwendung umgeleitet.

1. Benutzer schließen die Anmeldung bei Windows mit ihrem Entra-ID-Benutzernamen und ihren Anmeldeinformationen ab.

## Benutzererfahrung beim ersten Mal
<a name="first-time-entra"></a>

Wenn Sie sich zum ersten Mal bei einem Windows anmelden, das mit einer Microsoft Entra ID verknüpft ist WorkSpaces, müssen Sie das out-of-box Erlebnis (OOBE) durchlaufen. Während der OOBE werden sie mit Entra WorkSpaces ID verknüpft. Sie können das OOBE-Erlebnis anpassen, indem Sie das Autopilot-Profil konfigurieren, das der Microsoft Intune-Gerätegruppe zugewiesen ist, die Sie für Ihr erstellen. WorkSpaces Weitere Informationen finden Sie unter [Schritt 3: Konfigurieren Sie den benutzergesteuerten Windows Autopilot-Modus](launch-entra-id.md#entra-step-3).

# Smartcards für die Authentifizierung in WorkSpaces Personal verwenden
<a name="smart-cards"></a>

Die DCV-Pakete für Windows und Linux WorkSpaces ermöglichen die Verwendung von [Common Access Card- (CAC)](https://www.cac.mil/Common-Access-Card) und [PIV-Smartcards (Personal Identity Verification)](https://www.idmanagement.gov/university/piv/) für die Authentifizierung.

Amazon WorkSpaces unterstützt die Verwendung von Smartcards sowohl für die Authentifizierung *vor der Sitzung als auch für die Authentifizierung* *während der Sitzung*. Die Authentifizierung vor der Sitzung bezieht sich auf die Smartcard-Authentifizierung, die durchgeführt wird, während sich Benutzer bei ihrem anmelden. WorkSpaces Die Authentifizierung während der Sitzung bezieht sich auf die Authentifizierung, die durchgeführt wird, nachdem Sie sich angemeldet haben.

Beispielsweise können Sie Smartcards für die Authentifizierung während der Sitzung verwenden, während Sie mit Webbrowsern und Anwendungen arbeiten. Sie können Smartcards auch für Aktionen verwenden, für die Administratorberechtigungen erforderlich sind. Wenn der Benutzer beispielsweise über Administratorberechtigungen für sein Linux verfügt, kann er Smartcards verwenden WorkSpace, um sich bei der Ausführung `sudo` von Befehlen zu authentifizieren. `sudo -i` 

**Topics**
+ [Voraussetzungen](#smart-cards-requirements)
+ [Einschränkungen](#smart-cards-limitations)
+ [Verzeichniskonfiguration](#smart-cards-directory-config)
+ [Aktivieren Sie Smartcards für Windows WorkSpaces](#smart-cards-windows-workspaces)
+ [Aktivieren Sie Smartcards für Ubuntu, Rocky Linux und Red Hat Enterprise Linux WorkSpaces](#smart-cards-linux-workspaces)
+ [Smartcards für Amazon Linux 2 aktivieren WorkSpaces](#smart-cards-amazon-linux-workspaces)

## Voraussetzungen
<a name="smart-cards-requirements"></a>
+ Für die Authentifizierung vor der Sitzung ist ein Active-Directory-Connector-(AD-Connector)-Verzeichnis erforderlich. AD Connector verwendet die zertifikatbasierte gegenseitige Transport-Layer-Security-Authentifizierung (mutual TLS), um Benutzer mit hardware- oder softwarebasierten Smartcard-Zertifikaten bei Active Directory zu authentifizieren. Weitere Informationen zum Konfigurieren Ihres AD Connector und Ihres On-Premises-Verzeichnisses finden Sie unter [Verzeichniskonfiguration](#smart-cards-directory-config).
+ Um eine Smartcard mit Windows oder Linux zu verwenden WorkSpace, muss der Benutzer den Amazon WorkSpaces Windows-Client Version 3.1.1 oder höher, den WorkSpaces macOS-Client Version 3.1.5 oder höher oder WorkSpaces Ubuntu 22.04 Client Version 2024.1 oder höher verwenden (Smartcard-Authentifizierung wird mit WorkSpaces dem Ubuntu 20.04-Client nicht unterstützt). Weitere Informationen zur Verwendung von Smartcards mit Windows- und macOS-Clients finden Sie unter [Smartcard-Support](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) im * WorkSpaces Amazon-Benutzerhandbuch*. 
+ Die Stammzertifizierungsstelle und die Smartcard-Zertifikate müssen bestimmte Anforderungen erfüllen. Weitere Informationen finden Sie unter [Aktivieren der mTLS-Authentifizierung in AD Connector für die Verwendung mit Smartcards](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) im *AWS Directory Service -Administratorhandbuch* und unter [Zertifikatanforderungen](https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-certificate-requirements-and-enumeration#certificate-requirements) in der Microsoft-Dokumentation. 

  Zusätzlich zu diesen Anforderungen WorkSpaces müssen Benutzerzertifikate, die für die Smartcard-Authentifizierung bei Amazon verwendet werden, die folgenden Attribute enthalten:
  + Die Daten des AD-Benutzers userPrincipalName (UPN) im Feld subjectAltName (SAN) des Zertifikats. Es wird empfohlen, Smartcard-Zertifikate für den Standard-UPN des/der Benutzer:in auszustellen.
**Anmerkung**  
Amazon Linux 2 WorkSpaces verwendet UPN für die certificate-to-user Zuordnung. Neuere WorkSpaces Linux-Versionen wie Ubuntu, Rocky Linux und Red Hat Enterprise Linux WorkSpaces unterstützen sicherere [Zuordnungsmethoden](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking).
  + Das EKU-Attribut (Extended Key Usage) für die Client-Authentifizierung (1.3.6.1.5.5.7.3.2).
  + Das EKU-Attribut für Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2).
+ Für die Authentifizierung vor der Sitzung ist das Online Certificate Status Protocol (OCSP) zur Überprüfung des Zertifikats erforderlich. Für die Authentifizierung während der Sitzung wird OCSP empfohlen, ist jedoch nicht erforderlich.
**Anmerkung**  
Ubuntu WorkSpaces, Rocky Linux WorkSpaces und Red Hat Enterprise Linux WorkSpaces benötigen standardmäßig OCSP für die Authentifizierung während der Sitzung, und die OCSP-Überprüfung in diesen Systemen erfordert, dass der OCSP-Responder die NONCE-Erweiterung aktiviert hat, um Replay-Angriffe zu verhindern. Um die NONCE-Erweiterung zu deaktivieren, muss die OCSP-Überprüfung während der Sitzung vollständig deaktiviert werden. Um die OCSP-Verifizierung in Ubuntu, Rocky Linux und Red Hat Enterprise Linux zu deaktivieren WorkSpaces, erstellen Sie eine neue Datei `/etc/sssd/conf.d/disable-ocsp.conf` mit dem folgenden Inhalt:   

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## Einschränkungen
<a name="smart-cards-limitations"></a>
+ Derzeit werden nur die WorkSpaces Windows-Client-Anwendungsversion 3.1.1 oder höher, die WorkSpaces macOS-Client-Anwendungsversion 3.1.5 oder höher und die WorkSpaces Ubuntu 22.04-Client-Anwendungsversion 2024.1 oder höher für die Smartcard-Authentifizierung unterstützt. WorkSpaces Die Clientanwendung Ubuntu 20.04 oder früher wird für die Smartcard-Authentifizierung nicht unterstützt.
+ Die WorkSpaces Windows-Client-Anwendung 3.1.1 oder höher unterstützt Smartcards nur, wenn der Client auf einer 64-Bit-Version von Windows ausgeführt wird.
+ Derzeit werden nur AD-Connector-Verzeichnisse für die Smartcard-Authentifizierung unterstützt.
+ Sitzungsinterne Authentifizierung ist in allen Regionen verfügbar, in denen DCV unterstützt wird. Die Authentifizierung vor der Sitzung ist in folgenden Regionen verfügbar:
  + Region Asien-Pazifik (Sydney)
  + Region Asien-Pazifik (Tokio)
  + Region Europa (Irland)
  + AWS GovCloud Region (USA-Ost)
  + AWS GovCloud Region (USA West)
  + Region USA Ost (Nord-Virginia)
  + Region USA West (Oregon)
+ Für die Authentifizierung während der Sitzung und die Authentifizierung vor der Sitzung unter Linux oder Windows WorkSpaces ist derzeit jeweils nur eine Smartcard zulässig. Die gleichzeitige Verwendung mehrerer Karten funktioniert möglicherweise, wird aber nicht unterstützt.
+ Für die Authentifizierung vor der Sitzung wird die Aktivierung sowohl der Smartcard-Authentifizierung als auch der Anmeldeauthentifizierung im selben Verzeichnis derzeit nicht unterstützt.
+ Derzeit werden nur CAC- und PIV-Karten unterstützt. Andere Arten von hardware- oder softwarebasierten Smartcards funktionieren möglicherweise auch, aber sie wurden noch nicht vollständig für die Verwendung mit DCV getestet.

## Verzeichniskonfiguration
<a name="smart-cards-directory-config"></a>

Zur Aktivierung der Smartcard-Authentifizierung müssen Sie Ihr AD-Connector-Verzeichnis und Ihr On-Premises-Verzeichnis wie folgt konfigurieren.

**Verzeichniskonfiguration für AD Connector**  
Bevor Sie beginnen, stellen Sie sicher, dass Ihr AD-Connector-Verzeichnis wie unter [AD-Connector-Voraussetzungen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html) im *AWS Directory Service -Administratorhandbuch* beschrieben eingerichtet wurde. Stellen Sie insbesondere sicher, dass Sie die erforderlichen Ports in Ihrer Firewall geöffnet haben. 

Zum Abschließen der Konfiguration Ihres AD-Connector-Verzeichnisses folgen Sie den Anweisungen unter [Aktivieren der mTLS-Authentifizierung in AD Connector für die Verwendung mit Smartcards](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) im *AWS Directory Service -Administratorhandbuch*.

**Anmerkung**  
Die Smartcard-Authentifizierung setzt voraus, dass Kerberos Constrained Delegation (KCD) ordnungsgemäß funktioniert. KCD verlangt, dass der Nutzername des AD Connector Connector-Dienstkontos mit dem AMAccount s-Namen desselben Benutzers übereinstimmt. Ein AMAccount S-Name darf nicht länger als 20 Zeichen sein.

**Konfiguration des On-Premises-Verzeichnisses**  
Zusätzlich zur Konfiguration Ihres AD Connector Connector-Verzeichnisses:
+ Stellen Sie sicher, dass für die Zertifikate, die für die Domänencontroller Ihres lokalen Verzeichnisses ausgestellt werden, die erweiterte Schlüsselverwendung (EKU) „KDC-Authentifizierung“ festgelegt ist. Verwenden Sie dazu die standardmäßige Kerberos-Authentifizierungszertifikatsvorlage für Active Directory Domain Services (AD DS). Verwenden Sie keine Vorlage für ein Domain-Controller-Zertifikat oder eine Zertifikatsvorlage für die Domain-Controller-Authentifizierung, da diese Vorlagen nicht die erforderlichen Einstellungen für die Smartcard-Authentifizierung enthalten.
+ Stellen Sie für Linux sicher WorkSpaces, dass auf dem OCSP-Responder für die Zertifizierungsstelle, die Smartcard-Zertifikate ausstellt, die NONCE-Erweiterung aktiviert ist. Wenn sie nicht aktiviert werden kann, muss die OCSP-Überprüfung während der Sitzung in Ubuntu, Rocky Linux und Red Hat Enterprise Linux deaktiviert werden. WorkSpaces Um die OCSP-Verifizierung zu deaktivieren, erstellen Sie eine neue Datei `/etc/sssd/conf.d/disable-ocsp.conf` mit dem folgenden Inhalt: 

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## Aktivieren Sie Smartcards für Windows WorkSpaces
<a name="smart-cards-windows-workspaces"></a>

Allgemeine Hinweise zur Aktivierung der Smartcard-Authentifizierung unter Windows finden Sie in der Microsoft-Dokumentation unter [Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities).

**So erkennen Sie den Windows-Sperrbildschirm und trennen die Sitzung**  
Damit Benutzer Windows entsperren können, die für WorkSpaces die Smartcard-Authentifizierung vor der Sitzung aktiviert sind, wenn der Bildschirm gesperrt ist, können Sie die Windows-Sperrbildschirmerkennung in Benutzersitzungen aktivieren. Wenn der Windows-Sperrbildschirm erkannt wird, wird die WorkSpace Sitzung getrennt, und der Benutzer kann mit seiner Smartcard erneut eine Verbindung zum WorkSpaces Client herstellen.

 Sie können mithilfe der Gruppenrichtlinieneinstellungen das Trennen der Sitzung aktivieren, wenn der Windows-Sperrbildschirm für Windows-WorkSpaces erkannt wird. Weitere Informationen finden Sie unter [Konfigurieren Sie das Trennen der Sitzung über die Bildschirmsperre für DCV](group_policy.md#gp_lock_screen_in_wsp).

**So aktivieren Sie die Authentifizierung während der Sitzung oder vor der Sitzung**  
Standardmäßig ist Windows WorkSpaces nicht dafür aktiviert, die Verwendung von Smartcards für die Authentifizierung vor oder während der Sitzung zu unterstützen. Bei Bedarf können Sie mithilfe der Gruppenrichtlinieneinstellungen die Authentifizierung während der Sitzung und vor der Sitzung für Windows WorkSpaces aktivieren. Weitere Informationen finden Sie unter [Konfigurieren Sie die Smartcard-Umleitung für DCV](group_policy.md#gp_smart_cards_in_wsp).

Zur Authentifizierung vor der Sitzung müssen Sie nicht nur die Gruppenrichtlinieneinstellungen aktualisieren, sondern auch die Authentifizierung vor der Sitzung über Ihre AD-Connector-Verzeichniseinstellungen aktivieren. Weitere Informationen finden Sie in den Anweisungen unter [Aktivieren der mTLS-Authentifizierung in AD Connector für die Verwendung mit Smartcards](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) im *AWS Directory Service -Administratorhandbuch*.

**So ermöglichen Sie die Verwendung von Smartcards in einem Browser**  
Wenn Ihre Benutzer Chrome als Browser verwenden, ist für die Verwendung von Smartcards keine spezielle Konfiguration erforderlich.

Wenn Ihre Benutzer Firefox als Browser verwenden, können Sie Ihren Benutzern mithilfe von Gruppenrichtlinien die Verwendung von Smartcards in Firefox ermöglichen. Sie können diese [Firefox-Gruppenrichtlinien-Vorlagen](https://github.com/mozilla/policy-templates/tree/master/windows) in verwenden. GitHub

Sie können beispielsweise die 64-Bit-Version von [OpenSC](https://github.com/OpenSC/OpenSC/wiki) für Windows installieren, um PKCS \$111 zu unterstützen, und dann die folgende Gruppenrichtlinieneinstellung verwenden, wobei `NAME_OF_DEVICE` der Wert ist, den Sie zur Identifizierung von PKCS \$111 verwenden möchten (z. B. `OpenSC`), und `PATH_TO_LIBRARY_FOR_DEVICE` der Pfad zum PKCS-\$111-Modul ist. Dieser Pfad sollte auf eine Bibliothek mit der Erweiterung .DLL verweisen (z. B. `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`).

```
Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
```

**Tipp**  
Wenn Sie OpenSC verwenden, können Sie das OpenSC-Modul `pkcs11` auch in Firefox laden, indem Sie das Programm `pkcs11-register.exe` ausführen. Zur Ausführung dieses Programms klicken Sie entweder doppelt auf die Datei unter `C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe` oder öffnen Sie ein Befehlszeilenfenster und führen Sie den folgenden Befehl aus:  

```
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"
```
Gehen Sie wie folgt vor, um zu überprüfen, ob das OpenSC-Modul `pkcs11` in Firefox geladen wurde:  
Wenn Firefox bereits läuft, schließen Sie es.
Öffnen Sie Firefox. Wählen Sie die Menüschaltfläche ![\[Firefox menu button\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/firefox-menu-button.png) in der oberen rechten Ecke und dann **Optionen** aus. 
Wählen Sie auf der Seite **about:preferences** im linken Navigationsbereich die Option **Datenschutz & Sicherheit** aus.
Wählen Sie unter **Zertifikate** die Option **Sicherheitsgeräte** aus.
Im Dialogfeld **Geräte-Manager** sollte im linken Navigationsbereich das **OpenSC-Smartcard-Framework (0.21)** angezeigt werden und es sollte die folgenden Werte haben, wenn Sie es auswählen:  
**Modul**: `OpenSC smartcard framework (0.21)`  
**Pfad**: `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`

**Fehlerbehebung**  
Informationen zur Problembehandlung bei Smartcards finden Sie in der Microsoft-Dokumentation unter [Zertifikat- und Konfigurationsprobleme](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#certificate-and-configuration-problems). 

Einige häufig auftretende Probleme, die zu Problemen führen können:
+ Falsche Zuordnung der Slots zu den Zertifikaten.
+ Es befinden sich mehrere Zertifikate auf der Smartcard, die dem/der Benutzer:in entsprechen können. Zertifikate werden anhand der folgenden Kriterien abgeglichen:
  + Die Stammzertifizierungsstelle für das Zertifikat.
  + Die Felder `<KU>` und `<EKU>` des Zertifikats.
  + Der UPN im Zertifikatantragsteller.
+ Mehrere Zertifikate, die `<EKU>msScLogin` in der Schlüsselnutzung verwendet.

Im Allgemeinen empfiehlt es sich, nur ein Zertifikat für die Smartcard-Authentifizierung zu verwenden, das dem allerersten Slot der Smartcard zugeordnet ist.

Die Tools zur Verwaltung der Zertifikate und Schlüssel auf der Smartcard (z. B. zum Entfernen oder Neuzuordnen der Zertifikate und Schlüssel) können herstellerspezifisch sein. Weitere Informationen finden Sie in der vom Hersteller Ihrer Smartcards mitgelieferten Dokumentation.

## Aktivieren Sie Smartcards für Ubuntu, Rocky Linux und Red Hat Enterprise Linux WorkSpaces
<a name="smart-cards-linux-workspaces"></a>

Um die Verwendung von Smartcards auf Ubuntu, Rocky Linux und Red Hat Enterprise Linux zu ermöglichen WorkSpaces, müssen Sie das Stamm- und alle Zwischenzertifikate der Zertifizierungsstelle für alle CAs ausstellenden Smartcards und für alle CAs ausstellenden Domänencontroller-Zertifikate in das WorkSpace Image aufnehmen.

**So erhalten Sie Ihr CA-Zertifikat:** Sie können Ihr CA-Zertifikat auf verschiedene Arten erhalten:
+ Sie können ein CA-Zertifikatspaket einer Drittanbieter-Zertifizierungsstelle verwenden. 
+ Sie können Ihr eigenes Zertifizierungsstellenzertifikat mithilfe der Website für die Webregistrierung exportieren. Dabei handelt es sich entweder um `http://ip_address/certsrv` oder`http://fqdn/certsrv`, wo `ip_address` und wo die IP-Adresse und der vollqualifizierte Domänenname (FQDN) des CA-Servers `fqdn` stehen. Weitere Informationen zur Verwendung der Website für die Webregistrierung finden Sie in der Microsoft-Dokumentation unter [So exportieren Sie ein Stammzertifizierungsstellenzertifikat](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate). 
+ Sie können das folgende Verfahren verwenden, um das CA-Zertifikat von einem CA-Server zu exportieren, auf dem Active Directory-Zertifikatsdienste (AD CS) ausgeführt werden. Informationen zur Installation von AD CS finden Sie in der Microsoft-Dokumentation unter [Installieren der Zertifizierungsstelle](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority). 

  1. Melden Sie sich mit einem Administratorkonto beim CA-Server an.

  1. Öffnen Sie im **Windows-Startmenü** ein Befehlszeilenfenster (**Start** > **Windows-System** > **Eingabeaufforderung**). 

  1. Verwenden Sie den folgenden Befehl, um das CA-Zertifikat in eine neue Datei zu exportieren, wobei der Name der neuen Datei `rootca.cer` steht:

     ```
     certutil -ca.cert rootca.cer
     ```

     Weitere Informationen zum Ausführen von certutil finden Sie unter [certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil) in der Microsoft-Dokumentation.

  1. Verwenden Sie den folgenden OpenSSL-Befehl, um das exportierte CA-Zertifikat vom DER-Format in das PEM-Format zu konvertieren, wobei der Name des Zertifikats *rootca* steht. Weitere Informationen zu OpenSSL finden Sie unter [http://www.openssl.org](https://www.openssl.org/).

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**Um Ihre CA-Zertifikate zu Ihrem Linux hinzuzufügen WorkSpaces**

Um Sie bei der Aktivierung von Smartcards zu unterstützen, haben wir das `enable_smartcard` Skript zu unseren WorkSpaces Linux-DCV-Paketen hinzugefügt. Dieses Skript führt die folgenden Aktionen aus:
+ Importiert Ihre CA-Zertifikate in ein privates PEM-Paket, das den Vertrauensstamm für SSSD (unter Linux) definiert. WorkSpaces
+ Aktualisiert die SSSD-, PAM- und Kerberos-Konfiguration, einschließlich der Aktivierung `PKINIT` (Kerberos-Authentifizierung mit Zertifikat statt Passwort) während der Bereitstellung. WorkSpace

Das folgende Verfahren erklärt, wie Sie das `enable_smartcard` Skript verwenden, um Ihre CA-Zertifikate zu importieren und die Smartcard-Authentifizierung für Ihr Linux zu aktivieren. WorkSpaces

1. Erstellen Sie ein neues Linux WorkSpace mit aktiviertem DCV-Protokoll. Achten Sie beim Starten von WorkSpace in der WorkSpaces Amazon-Konsole auf der Seite **„Bundles auswählen**“ darauf, **DCV** als Protokoll auszuwählen, und wählen Sie dann eines der WorkSpaces öffentlichen Linux-Pakete aus.

1. Vergewissern Sie sich WorkSpace, dass die Datei auf der neu erstellten `/etc/skylight.conf` Datei folgende `pam_smartcard = true` Zeile enthält: `[features]` 

   ```
   [features]
   pam_smartcard = true
   ```
**Anmerkung**  
Wenn noch nicht alle Ihre Benutzer für die Verwendung der starken `altSecurityIdentities` Zertifikatszuweisung konfiguriert sind, können Sie demselben `[features]` Abschnitt auch eine `smartcard_weak_mapping = true` Zeile hinzufügen, `/etc/skylight.conf` um ältere Zuordnungsmethoden zu unterstützen. Wir empfehlen jedoch, diese Benutzer stattdessen so bald wie möglich auf starke Zuordnungsmethoden zu migrieren. 

1. Führen Sie auf dem WorkSpace den folgenden Befehl als Root aus `pem-path1``pem-path2`, wobei usw. die Pfade zu Dateien sind, die jeweils eines der CA-Zertifikate in der Vertrauenskette für die Smartcard- und Domänencontroller-Zertifikate enthalten. Alle diese Dateien sollten im PEM-Format vorliegen und ein Zertifikat pro Datei enthalten. Glob-Muster können verwendet werden (z. B.) `*.pem`

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path1 pem-path2 pem-path3 ...
   ```
**Anmerkung**  
Stellen Sie sicher, dass zusätzliche Abhängigkeitspakete auf dem installiert sind, WorkSpace bevor Sie den obigen Befehl ausführen. Verwenden Sie dabei die folgenden Befehle als Root-Benutzer.  
Für Rocky Linux und Red Hat Enterprise Linux WorkSpaces:   

   ```
   dnf install sssd-dbus libsss_simpleifp sssd-tools krb5-pkinit opensc
   ```
 Für Ubuntu WorkSpaces:   

   ```
   apt install krb5-pkinit opensc
   ```

1. Nehmen Sie alle zusätzlichen Anpassungen an der WorkSpace vor. Möglicherweise möchten Sie beispielsweise eine systemweite Richtlinie hinzufügen, um [Benutzern die Verwendung von Smartcards in Firefox zu ermöglichen](#smart-cards-firefox-linux). (Chrome-Nutzer müssen Smartcards auf ihren Clients selbst aktivieren. Weitere Informationen finden Sie unter [Smartcard-Support](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) im * WorkSpaces Amazon-Benutzerhandbuch*.) 

1. [Erstellen Sie ein benutzerdefiniertes WorkSpace Image und bündeln](create-custom-bundle.md) Sie es aus dem WorkSpace.

1. Verwenden Sie das neue benutzerdefinierte Paket, um es WorkSpaces für Ihre Benutzer zu starten.

Sie können Ihren Benutzern die Verwendung von Smartcards in Firefox ermöglichen, indem Sie Ihrem WorkSpace Linux-Image eine SecurityDevices Richtlinie hinzufügen. Weitere Informationen zum Hinzufügen systemweiter Richtlinien zu Firefox finden Sie in den [Mozilla-Richtlinienvorlagen](https://github.com/mozilla/policy-templates/releases) unter. GitHub

**So ermöglichen Sie Benutzern die Verwendung von Smartcards in Firefox**

1. Erstellen Sie auf dem WorkSpace , mit dem Sie Ihr WorkSpace Image erstellen, eine neue Datei mit dem Namen `policies.json` in`PREFIX/firefox/distribution/`, wo `PREFIX` sich `/usr/lib64` auf Fedora-basierten Systemen (Amazon Linux 2, Red Hat Enterprise Linux und Rocky Linux WorkSpaces) und `/usr/lib` auf Debian-basierten Systemen (Ubuntu) befindet. WorkSpaces

1. Fügen Sie in der JSON-Datei die folgende SecurityDevices Richtlinie hinzu, in der sich der Wert `NAME_OF_DEVICE` befindet, den Sie zur Identifizierung des Moduls verwenden möchten. `pkcs` So können Sie beispielsweise einen Wert wie `"OpenSC"` verwenden:

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "PREFIX/opensc-pkcs11.so"
           }
       }
   }
   ```

**Fehlerbehebung**  
Die Fehlerbehebung bei der Smartcard-Authentifizierung ist einfacher, wenn vor der Sitzung die Kennwortauthentifizierung aktiviert ist. Während der Sitzungsbereitstellung wechselt Linux je nach verwendeter Authentifizierungsmethode vor der Sitzung WorkSpaces automatisch auf kennwortbasiert oder smartcard-basiert. Wenn es Probleme mit der Smartcard-Authentifizierung gibt, wird der Workspace durch Trennen und Wiederverbinden mit der Authentifizierung vor der Sitzung mit einem Passwort wieder auf die Passwort-On-Host-Authentifizierung zurückgesetzt. Um die WorkSpaces Linux-Instanz manuell auf die Smartcard-Authentifizierung umzustellen, führen Sie den Befehl als Root-Benutzer aus. `/usr/lib/skylight/resume_smartcard`

Linux WorkSpaces verwendet OpenSC-Software für die Arbeit mit Smartcards. Diese Software enthält Tools wie `pkcs11-tool` und`pkcs15-tool`, die bei der Behebung von Problemen mit Smartcards hilfreich sein können. Diese Tools können zur Überprüfung von Smartcard-Lesegeräten, einzelnen Token und PIV-Steckplätzen oder Zertifikaten auf jedem Smartcard-Token verwendet werden.

Ein `openssl` Befehlszeilentool kann bei der Behebung von Problemen mit Vertrauensketten, OCSP-Respondern oder fehlenden Kennzeichnungen KUs/EKUs ( usage/extended Schlüsselverwendung) hilfreich sein, insbesondere in Kombination mit der Fähigkeit, öffentliche Zertifikate `pkcs15-tool` von einer Smartcard zu extrahieren.

Allgemeine Optionen zur Problembehebung:
+ Extrahieren Sie zuerst das Zertifikat (normalerweise PIV-Steckplatz 9A) von der Smartcard und speichern Sie es unter: `card-cert.pem` `pkcs15-tool --read-certificate 1 > card-cert.pem`
+ Überprüfen Sie das extrahierte Zertifikat anhand der Vertrauensdatenbank auf dem: WorkSpace `openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem`
+ Rufen Sie die OCSP-URL aus dem extrahierten Smartcard-Zertifikat ab: `openssl x509 -noout -ocsp_uri -in card-cert.pem`
+ Stellen Sie sicher, dass die OCSP-Antwort angibt, dass das Zertifikat gültig ist und NONCE: `openssl ocsp -issuer /etc/sssd/pki/sssd_auth_ca_db.pem -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem -text -url OCSP_URI` enthält. Dabei *OCSP\$1URI* handelt es sich um die OCSP-URL von oben.
+ Überprüfen Sie, ob das Domänencontroller-Zertifikat als vertrauenswürdig gilt:`openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem`, wobei der Hostname eines der Domänencontroller in Ihrer Active Directory-Domäne *DC\$1HOSTNAME* steht.
+ Vergewissern Sie sich, dass für das Domänencontroller-Zertifikat die KDC-Authentifizierung EKU (erweiterte Schlüsselverwendung) festgelegt ist:. `openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl x509 -noout -text`
+ Versuchen Sie, manuell mit PKINIT zu überprüfen, ob es Fehlercodes gibt, die zur Eingrenzung des Problems verwendet werden können:`KRB5_TRACE=/dev/stdout kinit -X X509_user_identity=PKCS11:opensc-pkcs11.so:certid=01 -V`, wo *01* ist die Nummer eines der vier PIV-Hauptsteckplätze auf der Karte — `01` für, für usw. `9A` `02` `9C` Bei den meisten Karten befindet sich ein Zertifikat für die Benutzerauthentifizierung im Steckplatz 9A.
+ Prüfen Sie, ob das System in der Lage ist, ein Smartcard-Zertifikat einem AD-Benutzer zuzuordnen (als Root-Benutzer ausführen):`dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe/Users org.freedesktop.sssd.infopipe.Users.FindByCertificate string:"$(<card-cert.pem)"`. Dies kann mit der Aktivierung der Debug-Protokollierung für SSSD kombiniert werden.

Die häufigsten bekannten Probleme:
+ Unvollständige Vertrauenskette für das Smartcard-Zertifikat — Beim Import von Zertifikaten mithilfe eines `enable_smartcard` Skripts muss die vollständige Liste aller Stamm- und Zwischenzertifikate der Zertifizierungsstelle bereitgestellt werden. Das `enable_smartcard` Tool zeigt einen Fehler an, wenn nicht allen importierten Zertifikaten vertraut wird, weil das Stammzertifikat der Zertifizierungsstelle in der Liste fehlt. Es kann jedoch nicht erkennen, ob entweder eine gesamte Vertrauenskette oder das innerste CA-Zwischenzertifikat in einer der Vertrauensketten fehlt. In diesem Fall werden Zertifikate ohne Fehler importiert, aber entweder ein Smartcard-Zertifikat oder ein Domänencontroller-Zertifikat können dennoch als nicht vertrauenswürdig angesehen werden.
+ Fehlende Vertrauenskette für die Domänencontroller-Zertifikate — Wenn Domänencontroller-Zertifikate von einer anderen Zertifizierungsstelle als Smartcards ausgestellt werden (z. B. im Fall von [Common Access Card (CAC))](https://www.cac.mil/Common-Access-Card), muss diese CA-Vertrauenskette zusammen mit der Smartcard importiert werden, die CA-Zertifikate ausstellt.
+ Fehlende Unterstützung für NONCE-Erweiterungen im OCSP-Responder — Linux setzt WorkSpaces voraus, dass für den OCSP-Responder des Smartcard-Ausstellers die NONCE-Erweiterung aktiviert ist. Wenn sie nicht aktiviert werden kann, muss die OCSP-Validierung vollständig deaktiviert werden.
+ Bei Domänencontroller-Zertifikaten fehlt `KDC Authentication` EKU (OID 1.3.6.1.5.2.3.1). Damit die Smartcard-Authentifizierung funktioniert, müssen die Domänencontroller-Zertifikate neu ausgestellt werden, sodass sie die KDC-Authentifizierung EKU enthalten.
+ Die Domänencontrollerzertifikate sind abgelaufen. Damit die Smartcard-Authentifizierung funktioniert, müssen die Domänencontrollerzertifikate weiterhin vorhanden sein. up-to-date
+ Smartcard-Zertifikate werden Benutzern in AD mithilfe schwacher Zuordnungsmethoden zugeordnet. Traditionell wurde das UPN-Feld im subjectAltName Attribut verwendet, um einem Benutzer in AD ein Zertifikat zuzuordnen, wobei erwartet wurde, dass es dem Attribut entspricht userPrincipalName . Dies gilt nicht mehr als sichere Zuordnungsmethode und ist standardmäßig nicht zulässig. Es ist möglich, sie wieder zu aktivieren, indem Sie `enable_smartcard` dem Befehl ein `--allow-weak-mapping` Argument übergeben und dem `[features]` Abschnitt in der `/etc/skylight.conf` Datei eine `smartcard_weak_mapping = true` Zeile hinzufügen. Eine bessere Lösung ist jedoch die Verwendung einer der starken Zuordnungsmethoden. Weitere Informationen finden Sie in der Dokumentation zur [Kontoverknüpfung](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking).

Die Tools zur Verwaltung der Zertifikate und Schlüssel auf der Smartcard (z. B. zum Entfernen oder Neuzuordnen der Zertifikate und Schlüssel) können herstellerspezifisch sein. Zusätzliche Tools, mit deren Hilfe Sie mit Smartcards arbeiten können, sind:
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**So aktivieren Sie die Protokollierung**
+ Fügen Sie `/etc/sssd/sssd.conf` für jeden einzelnen Abschnitt eine `debug_level = LEVEL` Zeile von 1 bis 10 *LEVEL* ein, wobei die gewünschte Ausführlichkeitsstufe angegeben ist. Die Protokolle für jeden entsprechenden Abschnitt finden Sie dann im `/var/log/sssd/` Verzeichnis. Weitere Informationen finden Sie in der SSSD-Dokumentation [hier](https://docs.pagure.org/sssd.sssd/users/troubleshooting.html#sssd-debug-logs) [und hier](https://sssd.io/troubleshooting/basics.html#sssd-debug-logs).

## Smartcards für Amazon Linux 2 aktivieren WorkSpaces
<a name="smart-cards-amazon-linux-workspaces"></a>

**Anmerkung**  
Amazon Linux 2 WorkSpaces auf DCV hat derzeit die folgenden Einschränkungen:  
Zwischenablage-, Audioeingang-, Videoeingang- und Zeitzonenumleitung werden nicht unterstützt.
Mehrere Monitore werden nicht unterstützt.

Um die Verwendung von Smartcards unter Amazon Linux 2 zu aktivieren WorkSpaces, müssen Sie eine Root-CA-Zertifikatsdatei im PEM-Format in das WorkSpace Image aufnehmen.

**So erhalten Sie Ihr Root-CA-Zertifikat:** Sie können Ihr Root-CA-Zertifikat auf verschiedene Arten erhalten:
+ Sie können ein Stammzertifizierungsstellenzertifikat verwenden, das von einer externen Zertifizierungsstelle betrieben wird. 
+ Sie können Ihr eigenes Stammzertifizierungsstellenzertifikat mithilfe der Website für die Webregistrierung exportieren. Dabei handelt es sich entweder um `http://ip_address/certsrv` oder`http://fqdn/certsrv`, wobei `ip_address` und `fqdn` die IP-Adresse und der vollqualifizierte Domain-Name (FQDN) des Stammzertifizierungsstellenservers sind. Weitere Informationen zur Verwendung der Website für die Webregistrierung finden Sie in der Microsoft-Dokumentation unter [So exportieren Sie ein Stammzertifizierungsstellenzertifikat](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate). 
+ Mit dem folgenden Verfahren können Sie das Stammzertifizierungsstellenzertifikat von einem Stammzertifizierungsserver exportieren, auf dem die Active-Directory-Zertifikatsdienste (AD CS) ausgeführt werden. Informationen zur Installation von AD CS finden Sie in der Microsoft-Dokumentation unter [Installieren der Zertifizierungsstelle](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority). 

  1. Melden Sie sich mit einem Administratorkonto beim Stammzertifizierungsstellenserver an.

  1. Öffnen Sie im **Windows-Startmenü** ein Befehlszeilenfenster (**Start** > **Windows-System** > **Eingabeaufforderung**). 

  1. Verwenden Sie den folgenden Befehl, um das Stammzertifizierungsstellenzertifikat in eine neue Datei zu exportieren, wobei der Name der neuen Datei `rootca.cer` lautet:

     ```
     certutil -ca.cert rootca.cer
     ```

     Weitere Informationen zum Ausführen von certutil finden Sie unter [certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil) in der Microsoft-Dokumentation.

  1. Verwenden Sie den folgenden OpenSSL-Befehl, um das exportierte Root-CA-Zertifikat vom DER-Format in das PEM-Format zu konvertieren, wobei der Name des Zertifikats *rootca* steht. Weitere Informationen zu OpenSSL finden Sie unter [http://www.openssl.org](https://www.openssl.org/).

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**So fügen Sie Ihr Root-CA-Zertifikat zu Ihrem Amazon Linux 2 hinzu WorkSpaces**

Um Ihnen bei der Aktivierung von Smartcards zu helfen, haben wir das `enable_smartcard` Skript zu unseren Amazon Linux DCV-Paketen hinzugefügt. Dieses Skript führt die folgenden Aktionen aus:
+ Importiert Ihr Stammzertifizierungsstellenzertifikat in die [Network-Security-Services-(NSS)](https://developer.mozilla.org/docs/Mozilla/Projects/NSS)-Datenbank. 
+ Installiert das `pam_pkcs11`-Modul für die PAM-Authentifizierung (Pluggable Authentication Module).
+ Führt eine Standardkonfiguration durch, die die Aktivierung `pkinit` während der WorkSpace Bereitstellung beinhaltet.

Das folgende Verfahren erklärt, wie Sie das `enable_smartcard` Skript verwenden, um Ihr Root-CA-Zertifikat zu Ihrem Amazon Linux 2 hinzuzufügen WorkSpaces und Smartcards für Ihr Amazon Linux 2 zu aktivieren WorkSpaces.

1. Erstellen Sie ein neues Amazon Linux 2 WorkSpace mit aktiviertem DCV-Protokoll. Achten Sie beim Starten von WorkSpace in der WorkSpaces Amazon-Konsole auf der Seite **„Bundles auswählen**“ darauf, **DCV** als Protokoll auszuwählen, und wählen Sie dann eines der öffentlichen Amazon Linux 2-Pakete aus.

1. Führen Sie auf der neuen WorkSpace Version den folgenden Befehl als Root-Benutzer aus. Dabei `pem-path` handelt es sich um den Pfad zur Root-CA-Zertifikatsdatei im PEM-Format.

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path
   ```
**Anmerkung**  
Amazon Linux 2 WorkSpaces geht davon aus, dass die Zertifikate auf den Smartcards für den Standard-Benutzerprinzipalnamen (User Principal Name, UPN) des Benutzers ausgestellt wurden`sAMAccountName@domain`, z. B. wo `domain` ist ein vollqualifizierter Domainname (FQDN).   
Weitere Informationen zu alternativen UPN-Suffixen finden Sie unter `run /usr/lib/skylight/enable_smartcard --help`. Die Zuordnung für alternative UPN-Suffixe ist für jeden/jede Benutzer:in eindeutig. Daher muss diese Zuordnung für jeden Benutzer einzeln durchgeführt werden. WorkSpace

1. (Optional) Standardmäßig sind alle Dienste für die Verwendung der Smartcard-Authentifizierung auf Amazon Linux 2 aktiviert WorkSpaces. Sie müssen `/etc/pam.d/system-auth` bearbeiten, um die Smartcard-Authentifizierung nur auf bestimmte Services zu beschränken. Entfernen Sie den Kommentar der Zeile `auth` für `pam_succeed_if.so` und bearbeiten Sie die Liste der Services nach Bedarf.

   Nachdem die Zeile `auth` kein Kommentar mehr ist, müssen Sie sie der Liste hinzufügen, damit ein Service die Smartcard-Authentifizierung verwenden kann. Damit ein Service nur die Passwortauthentifizierung verwendet, müssen Sie ihn aus der Liste entfernen.

1. Nehmen Sie alle zusätzlichen Anpassungen an der WorkSpace vor. Möglicherweise möchten Sie beispielsweise eine systemweite Richtlinie hinzufügen, um [Benutzern die Verwendung von Smartcards in Firefox zu ermöglichen](#smart-cards-firefox-amazon-linux). (Chrome-Nutzer müssen Smartcards auf ihren Clients selbst aktivieren. Weitere Informationen finden Sie unter [Smartcard-Support](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) im * WorkSpaces Amazon-Benutzerhandbuch*.) 

1. [Erstellen Sie ein benutzerdefiniertes WorkSpace Image und bündeln](create-custom-bundle.md) Sie es aus dem WorkSpace.

1. Verwenden Sie das neue benutzerdefinierte Paket, um es WorkSpaces für Ihre Benutzer zu starten.

Sie können Ihren Benutzern die Verwendung von Smartcards in Firefox ermöglichen, indem Sie Ihrem Amazon Linux WorkSpace 2-Image eine SecurityDevices Richtlinie hinzufügen. Weitere Informationen zum Hinzufügen systemweiter Richtlinien zu Firefox finden Sie in den [Mozilla-Richtlinienvorlagen](https://github.com/mozilla/policy-templates/releases) unter. GitHub

**So ermöglichen Sie Benutzern die Verwendung von Smartcards in Firefox**

1. Erstellen Sie auf der Datei WorkSpace , mit der Sie Ihr WorkSpace Bild erstellen, eine neue Datei mit dem Namen `policies.json` in. `/usr/lib64/firefox/distribution/`

1. Fügen Sie in der JSON-Datei die folgende SecurityDevices Richtlinie hinzu, in der der Wert angegeben `NAME_OF_DEVICE` ist, den Sie zur Identifizierung des `pkcs` Moduls verwenden möchten. So können Sie beispielsweise einen Wert wie `"OpenSC"` verwenden:

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so"
           }
       }
   }
   ```

**Fehlerbehebung:** Zur Fehlerbehebung empfehlen wir, das `pkcs11-tools` Hilfsprogramm hinzuzufügen. Mit dem Hilfsprogramm können Sie die folgenden Aktionen ausführen:
+ Auflisten aller Smartcards
+ Auflisten der Slots auf jeder Smartcard
+ Auflisten der Zertifikate auf jeder Smartcard

Einige häufig auftretende Probleme, die zu Problemen führen können:
+ Falsche Zuordnung der Slots zu den Zertifikaten.
+ Es befinden sich mehrere Zertifikate auf der Smartcard, die dem/der Benutzer:in entsprechen können. Zertifikate werden anhand der folgenden Kriterien abgeglichen:
  + Die Stammzertifizierungsstelle für das Zertifikat.
  + Die Felder `<KU>` und `<EKU>` des Zertifikats.
  + Der UPN im Zertifikatantragsteller.
+ Mehrere Zertifikate, die `<EKU>msScLogin` in der Schlüsselnutzung verwendet.

Im Allgemeinen empfiehlt es sich, nur ein Zertifikat für die Smartcard-Authentifizierung zu verwenden, das dem allerersten Slot der Smartcard zugeordnet ist.

Die Tools zur Verwaltung der Zertifikate und Schlüssel auf der Smartcard (z. B. zum Entfernen oder Neuzuordnen der Zertifikate und Schlüssel) können herstellerspezifisch sein. Zusätzliche Tools, mit deren Hilfe Sie mit Smartcards arbeiten können, sind:
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**So aktivieren Sie die Protokollierung**

Zur Behebung von Fehlern in Ihrer `pam-krb5`- und `pam_pkcs11`-Konfiguration können Sie die Debug-Protokollierung aktivieren.

1. Bearbeiten Sie in der `/etc/pam.d/system-auth-ac`-Datei die `auth`-Aktion und ändern Sie den `nodebug`-Parameter von `pam_pksc11.so` zu `debug`. 

1. Ändern Sie in der Datei `/etc/pam_pkcs11/pam_pkcs11.conf` `debug = false;` zu `debug = true;`. Die `debug`-Option gilt separat für jedes Mapper-Modul, sodass Sie sie möglicherweise sowohl direkt im `pam_pkcs11`-Abschnitt als auch im entsprechenden Mapper-Abschnitt ändern müssen (standardmäßig ist dies `mapper generic`).

1. Bearbeiten Sie in der `/etc/pam.d/system-auth-ac`-Datei die `auth`-Aktion und fügen Sie den `debug`- oder `debug_sensitive`-Parameter zu `pam_krb5.so` hinzu. 

Nachdem Sie die Debug-Protokollierung aktiviert haben, gibt das System `pam_pkcs11`-Debug-Meldungen direkt im aktiven Terminal aus. Nachrichten von `pam_krb5` werden in `/var/log/secure` protokolliert. 

Verwenden Sie den folgenden `pklogin_finder`-Befehl, um zu überprüfen, welchem Benutzernamen ein Smartcard-Zertifikat zugeordnet ist:

```
sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf
```

Geben Sie bei entsprechender Aufforderung die Smartcard-PIN ein. `pklogin_finder` gibt in `stdout` den Benutzernamen auf dem Smartcard-Zertifikat in der Form `NETBIOS\username` aus. Dieser Benutzername sollte mit dem WorkSpace Benutzernamen übereinstimmen.

In Active Directory Domain Services (AD DS) ist der NetBIOS-Domain-Name der Domain-Name vor Windows 2000. Normalerweise (aber nicht immer) ist der NetBIOS-Domain-Name die Unterdomain des DNS-Domain-Namens (Domain Name System). Wenn der DNS-Domain-Name `example.com` lautet, kann die NetBIOS-Domain beispielsweise `EXAMPLE` sein. Wenn der DNS-Domain-Name `corp.example.com` lautet, ist der NetBIOS-Domain normalerweise `CORP`. 

Für den Benutzer `mmajor` in der Domain `pklogin_finder` lautet die Ausgabe von `corp.example.com` beispielsweise `CORP\mmajor`.

**Anmerkung**  
Wenn Sie die Nachricht `"ERROR:pam_pkcs11.c:504: verify_certificate() failed"` erhalten, weist diese Meldung darauf hin, dass `pam_pkcs11` auf der Smartcard ein Zertifikat gefunden hat, das den Kriterien für den Benutzernamen entspricht, das aber nicht mit einem Stammzertifizierungsstellenzertifikat verknüpft ist, das vom Computer anerkannt wird. In diesem Fall gibt `pam_pkcs11` die Meldung oben aus und es wird dann das nächste Zertifikat versucht. Die Authentifizierung ist nur möglich, wenn ein Zertifikat gefunden wird, das sowohl dem Benutzernamen entspricht als auch mit einem anerkannten Stammzertifizierungsstellenzertifikat verknüpft ist.

Zur Behebung von Fehlern in Ihrer `pam_krb5`-Konfiguration können Sie sie `kinit` manuell im Debug-Modus mit dem folgenden Befehl aufrufen:

```
KRB5_TRACE=/dev/stdout kinit -V
```

Mit diesem Befehl sollte erfolgreich ein Kerberos Ticket Granting Ticket (TGT) abgerufen werden. Falls dies fehlschlägt, versuchen Sie, dem Befehl explizit den richtigen Kerberos-Prinzipalnamen hinzuzufügen. Verwenden Sie beispielsweise für den Benutzer `mmajor` in der Domain `corp.example.com` diesen Befehl: 

```
KRB5_TRACE=/dev/stdout kinit -V mmajor
```

Wenn dieser Befehl erfolgreich ist, liegt das Problem höchstwahrscheinlich in der Zuordnung vom WorkSpace Benutzernamen zum Kerberos-Prinzipalnamen. Überprüfen Sie den `[appdefaults]/pam/mappings`-Abschnitt in der Datei `/etc/krb5.conf`. 

Wenn dieser Befehl nicht erfolgreich ist, ein passwortbasierter `kinit`-Befehl jedoch erfolgreich ist, überprüfen Sie die entsprechenden Konfigurationen zu `pkinit_` in der Datei `/etc/krb5.conf`. Wenn die Smartcard beispielsweise mehr als ein Zertifikat enthält, müssen Sie möglicherweise Änderungen an `pkinit_cert_match` vornehmen.

# Stellen Sie Internetzugang für WorkSpaces Personal bereit
<a name="amazon-workspaces-internet-access"></a>

Sie WorkSpaces müssen über Internetzugang verfügen, damit Sie Updates für das Betriebssystem installieren und Anwendungen bereitstellen können. Sie können eine der folgenden Optionen verwenden, um Ihrem Computer WorkSpaces in einer Virtual Private Cloud (VPC) den Zugriff auf das Internet zu ermöglichen.

**Optionen**
+ Starten Sie Ihre WorkSpaces privaten Subnetze und konfigurieren Sie ein NAT-Gateway in einem öffentlichen Subnetz in Ihrer VPC.
+ Starten Sie Ihre WorkSpaces öffentlichen Subnetze und weisen Sie Ihren automatisch oder manuell öffentliche IP-Adressen zu. WorkSpaces

Weitere Informationen zu diesen Optionen finden Sie in den entsprechenden Abschnitten unter[Konfiguration einer VPC für Personal WorkSpaces](amazon-workspaces-vpc.md).

Bei jeder dieser Optionen müssen Sie sicherstellen, dass die Sicherheitsgruppe für Sie ausgehenden Datenverkehr über die Ports 80 (HTTP) und 443 (HTTPS) zu allen Zielen (`0.0.0.0/0`) WorkSpaces zulässt.

**Amazon-Linux-Extras-Bibliothek**  
Wenn Sie das Amazon Linux-Repository verwenden, WorkSpaces muss Ihr Amazon Linux entweder über Internetzugang verfügen oder Sie müssen VPC-Endpunkte für dieses Repository und das Amazon Linux-Hauptrepositorium konfigurieren. Weitere Informationen finden Sie im Abschnitt *Beispiel: Gewähren von Zugriff auf Amazon Linux-AMI-Repositorys* unter [Endpunkte für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html). Die Amazon Linux-AMI-Repositorys sind Amazon S3-Buckets in den einzelnen Regionen. Wenn Sie Instances in Ihrer VPC Zugriff auf die Repositorys über einen Endpunkt gewähren möchten, erstellen Sie eine Endpunktrichtlinie, die Zugriff auf diese Buckets gewährt. Die folgende Richtlinie gewährt Zugriff auf die Amazon Linux-Repositorys.

```
{
  "Statement": [
    {
        "Sid": "AmazonLinux2AMIRepositoryAccess",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
        ]
    }
  ]
}
```

# Sicherheitsgruppen für WorkSpaces Personal
<a name="amazon-workspaces-security-groups"></a>

Wenn Sie ein Verzeichnis bei registrieren WorkSpaces, werden zwei Sicherheitsgruppen erstellt, eine für Verzeichniscontroller und eine weitere für WorkSpaces das Verzeichnis. Die Sicherheitsgruppe für Verzeichniscontroller hat einen Namen, der aus der Verzeichniskennung gefolgt von **\$1controllers** besteht (Beispiel: d-12345678e1\$1controllers). Der Name der Sicherheitsgruppe für WorkSpaces besteht aus der Verzeichnis-ID gefolgt von **\$1WorkspacesMembers (z. B. D-123456FC11\$1WorkspacesMembers**).

**Warnung**  
****Vermeiden Sie es, die Sicherheitsgruppen \$1controllers und \$1WorkspacesMembers zu ändern, zu löschen oder zu trennen.**** Seien Sie vorsichtig, wenn Sie diese Sicherheitsgruppen ändern oder löschen, da Sie diese Gruppen nicht neu erstellen und wieder hinzufügen können, nachdem sie geändert oder gelöscht wurden. Weitere Informationen finden Sie unter [ EC2Amazon-Sicherheitsgruppen für Linux-Instances](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-security-groups.html) oder [ EC2 Amazon-Sicherheitsgruppen für Windows-Instances](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2-security-groups.html).

Sie können einem Verzeichnis eine WorkSpaces Standardsicherheitsgruppe hinzufügen. Nachdem Sie einem WorkSpaces Verzeichnis eine neue Sicherheitsgruppe zugeordnet haben, wird die neue Sicherheitsgruppe sowohl bei einer neuen Sicherheitsgruppe, WorkSpaces WorkSpaces die Sie starten, als auch bei einer vorhandenen, die Sie neu erstellen, verwendet. Sie können [diese neue Standardsicherheitsgruppe auch zu einer bestehenden hinzufügen, WorkSpaces ohne sie neu zu erstellen](#security_group_existing_workspace), wie weiter unten in diesem Thema erklärt wird.

Wenn Sie einem WorkSpaces Verzeichnis mehrere Sicherheitsgruppen zuordnen, werden die Regeln jeder Sicherheitsgruppe effektiv zu einem Regelsatz zusammengefasst. Wir empfehlen, Ihre Sicherheitsgruppenregeln so weit wie möglich zu verdichten.

Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon-VPC-Benutzerhandbuch*.

**Um eine Sicherheitsgruppe zu einem WorkSpaces Verzeichnis hinzuzufügen**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie das Verzeichnis und anschließend **Actions**, **Update Details** aus.

1. Erweitern Sie **Security Group** und wählen Sie eine Sicherheitsgruppe aus.

1. Wählen Sie **Update and Exit** aus.

Um eine Sicherheitsgruppe zu einer vorhandenen hinzuzufügen, WorkSpace ohne sie neu zu erstellen, weisen Sie die neue Sicherheitsgruppe dem elastic network interface (ENI) des WorkSpace zu.

**Um eine Sicherheitsgruppe zu einer bestehenden hinzuzufügen WorkSpace**

1. Suchen Sie die IP-Adressen für alle WorkSpace , die aktualisiert werden müssen.

   1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

   1. Erweitern Sie jedes WorkSpace und notieren Sie sich seine WorkSpace IP-Adresse.

1. Suchen Sie die ENI für jedes WorkSpace und aktualisieren Sie die zugehörige Sicherheitsgruppenzuweisung.

   1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

   1. Wählen Sie unter **Network & Security (Netzwerk & Sicherheit)** die Option **Network Interfaces (Netzwerkschnittstellen)**.

   1. Suchen Sie nach der ersten IP-Adresse, die Sie in Schritt 1 aufgezeichnet haben.

   1. Wählen Sie die ENI, die mit der IP-Adresse verknüpft ist, klicken Sie auf **Actions (Aktionen)** und dann auf **Change Security Groups (Sicherheitsgruppen ändern)**.

   1. Wählen Sie die neue Sicherheitsgruppe und **Save (Speichern)** aus.

   1. Wiederholen Sie diesen Vorgang nach Bedarf für alle anderen WorkSpaces. 

# IP-Zugriffskontrollgruppen für WorkSpaces Personal
<a name="amazon-workspaces-ip-access-control-groups"></a>

 WorkSpaces Mit Amazon können Sie kontrollieren, von welchen IP-Adressen aus auf Sie zugegriffen werden WorkSpaces kann. Mithilfe von Kontrollgruppen, die auf IP-Adressen basieren, können Sie Gruppen vertrauenswürdiger IP-Adressen definieren und verwalten und Benutzern nur dann Zugriff auf diese Adressen gewähren, WorkSpaces wenn sie mit einem vertrauenswürdigen Netzwerk verbunden sind.

Eine *IP-Zugriffskontrollgruppe* fungiert als virtuelle Firewall, die die IP-Adressen kontrolliert, von denen aus Benutzer auf ihre WorkSpaces zugreifen dürfen. Fügen Sie Regeln zu Ihrer IP-Zugriffskontrollgruppe hinzu und ordnen die Gruppe dann Ihrem Verzeichnis zu, um die CIDR-Adressbereiche anzugeben. Sie können bis zu 30 Regeln pro IP-Zugriffskontrollgruppe hinzufügen und jede IP-Zugriffskontrollgruppe einem oder mehreren Verzeichnissen zuordnen. Sie können bis zu 140 IP-Zugriffskontrollgruppen pro Region und AWS Konto erstellen. Sie können jedoch nur bis zu 35 IP-Zugriffskontrollgruppen einem einzigen Verzeichnis zuordnen.

Jedem Verzeichnis ist eine standardmäßige IP-Zugriffskontrollgruppe zugeordnet. Diese Standardgruppe enthält eine Standardregel, die es Benutzern ermöglicht, WorkSpaces von überall auf sie zuzugreifen. Sie können die Standard-IP-Zugriffskontrollgruppe für Ihr Verzeichnis nicht ändern. Wenn Sie Ihrem Verzeichnis keine IP-Zugriffskontrollgruppe zuordnen, wird die Standardgruppe verwendet. Wenn Sie einem Verzeichnis eine IP-Zugriffskontrollgruppe zuweisen, wird die Verknüpfung mit der standardmäßigen IP-Zugriffskontrollgruppe aufgehoben.

Um die öffentlichen IP-Adressen und IP-Adressbereiche für Ihre vertrauenswürdigen Netzwerke anzugeben, fügen Sie den IP-Zugriffskontrollgruppen Regeln hinzu. Wenn Ihre Benutzer WorkSpaces über ein NAT-Gateway oder VPN auf sie zugreifen, müssen Sie Regeln erstellen, die den Datenverkehr von den öffentlichen IP-Adressen für das NAT-Gateway oder VPN zulassen.

**Anmerkung**  
IP-Zugriffskontrollgruppen erlauben nicht die Verwendung dynamischer IP-Adressen für NATs. Wenn Sie ein NAT-Gateway verwenden, konfigurieren Sie dieses so, dass anstelle einer dynamischen IP-Adresse eine statische IP-Adresse verwendet wird. Stellen Sie sicher, dass das NAT den gesamten UDP-Verkehr für die Dauer der WorkSpaces Sitzung über dieselbe statische IP-Adresse weiterleitet.
IP-Zugriffskontrollgruppen steuern die IP-Adressen, mit denen Benutzer ihre Streaming-Sitzungen verbinden können WorkSpaces. Benutzer können mit Amazon WorkSpaces Public weiterhin Funktionen wie Neustart, Wiederherstellung und Herunterfahren von jeder IP-Adresse aus ausführen APIs.
IP-Zugriffskontrollgruppen gelten nicht, wenn der VPC-Endpunkt für Streaming für ein Verzeichnis konfiguriert ist.
Wenn Sie eine IP-Zugriffskontrolle ändern, werden aktive Sitzungen nicht sofort unterbrochen. Änderungen werden nur für neue Sitzungen übernommen.

Sie können diese Funktion mit Web Access, PCo IP-Zero-Clients und den Client-Anwendungen für macOS, iPad, Windows, Chromebook und Android verwenden.

## Erstellen einer IP-Zugriffskontrollgruppe
<a name="create-ip-access-control-group"></a>

IP-Zugriffskontrollgruppen erstellen Sie wie folgt. Jede IP-Zugriffskontrollgruppe kann bis zu 30 Regeln enthalten.

**So erstellen Sie eine IP-Zugriffskontrollgruppe**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **IP Access Controls** (IP-Zugriffskontrollen) aus.

1. Klicken Sie auf **Create IP Group** (IP-Gruppe erstellen).

1. Geben Sie im Dialogfeld **Create IP Group (IP-Gruppe erstellen)** einen Namen und eine Beschreibung für die Gruppe ein. Klicken Sie dann auf **Create (Erstellen)**.

1. Markieren Sie die Gruppe und wählen Sie **Edit** (Bearbeiten) aus.

1. Klicken Sie für jede IP-Adresse auf **Add Rule** (Regel hinzufügen). Geben Sie im Feld **Source (Quelle)** die IP-Adresse oder den IP-Adressbereich ein. Geben Sie im Feld **Description (Beschreibung)** eine Beschreibung ein. Wenn Sie mit dem Hinzufügen von Regeln fertig sind, klicken Sie auf **Save** (Speichern).

## Zuordnen einer IP-Zugriffskontrollgruppe zu einem Verzeichnis
<a name="associate-ip-access-control-group"></a>

Sie können eine IP-Zugriffskontrollgruppe einem Verzeichnis zuordnen, um sicherzustellen, dass nur von vertrauenswürdigen WorkSpaces Netzwerken aus darauf zugegriffen wird.

Wenn Sie einem Verzeichnis eine IP-Zugriffskontrollgruppe ohne Regeln zuordnen, wird dadurch der gesamte Zugriff für alle gesperrt WorkSpaces.

**So verknüpfen Sie eine IP-Zugriffskontrollgruppe mit einem Verzeichnis**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie das Verzeichnis und anschließend **Actions**, **Update Details** aus.

1. Erweitern Sie **IP Access Control Groups** (IP-Zugriffskontrollgruppen) und wählen Sie eine oder mehrere IP-Zugriffskontrollgruppen aus.

1. Wählen Sie **Update and Exit** aus.

## Kopieren einer IP-Zugriffskontrollgruppe
<a name="copy-ip-access-control-group"></a>

Sie können eine vorhandene IP-Zugriffskontrollgruppe als Basis für die Erstellung einer neuen IP-Zugriffskontrollgruppe verwenden.

**So erstellen Sie eine IP-Zugriffskontrollgruppe anhand einer vorhandenen**

1. [Öffnen Sie die WorkSpaces Konsole unter v2/home. https://console.aws.amazon.com/workspaces/](https://console.aws.amazon.com/workspaces/v2/home)

1. Wählen Sie im Navigationsbereich **IP Access Controls** (IP-Zugriffskontrollen) aus.

1. Markieren Sie die Gruppe und wählen Sie **Actions** (Aktionen) und **Copy to New** (In neue kopieren) aus.

1. Geben Sie im Dialogfeld **Copy IP Group (IP-Gruppe kopieren)** einen Namen und eine Beschreibung für die neue Gruppe ein. Klicken Sie dann auf **Copy Group (Gruppe kopieren)**.

1. (Optional) Wenn Sie die Regeln ändern möchten, die Sie aus der ursprünglichen Gruppe kopiert haben, wählen Sie die neue Gruppe aus und klicken Sie auf **Edit** (Bearbeiten). Sie können nun nach Bedarf Regeln hinzufügen, aktualisieren oder entfernen. Wählen Sie **Speichern**.

## Löschen einer IP-Zugriffskontrollgruppe
<a name="delete-ip-access-control-group"></a>

Sie können eine Regel für eine IP-Zugriffskontrollgruppe jederzeit löschen. Wenn Sie eine Regel entfernen, die verwendet wurde, um eine Verbindung zu einem zuzulassen WorkSpace, wird der Benutzer von der getrennt. WorkSpace

Bevor Sie eine IP-Zugriffskontrollgruppe löschen können, müssen Sie all ihre Verknüpfungen mit Verzeichnissen aufheben.

**So löschen Sie eine IP-Zugriffskontrollgruppe**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie für jedes Verzeichnis, das mit der IP-Zugriffskontrollgruppe verknüpft ist, das Verzeichnis aus und klicken Sie auf **Actions** (Aktionen) **Update Details** (Details aktualisieren). Erweitern Sie **IP Access Control Groups (IP-Zugriffskontrollgruppen)**, deaktivieren Sie das Kontrollkästchen für die IP-Zugriffskontrollgruppe und klicken Sie auf **Update and Exit (Aktualisieren und verlassen)**.

1. Wählen Sie im Navigationsbereich **IP Access Controls** (IP-Zugriffskontrollen) aus.

1. Wählen Sie die Gruppe aus und klicken Sie auf **Actions** (Aktionen), **Delete IP Group** (IP-Gruppe löschen).

# PCoIP-Null-Clients für WorkSpaces Personal einrichten
<a name="set-up-pcoip-zero-client"></a>

PCoIP-Zero-Clients sind nur mit WorkSpaces Bundles kompatibel, die das PCo IP-Protokoll verwenden.

Wenn Ihr Zero-Client-Gerät über die Firmware-Version 6.0.0 oder höher verfügt, können Ihre Benutzer eine direkte Verbindung zu ihrem WorkSpaces Gerät herstellen. Wenn Ihre Benutzer WorkSpaces über ein Zero-Client-Gerät eine direkte Verbindung zu ihnen herstellen, empfehlen wir, die Multi-Faktor-Authentifizierung (MFA) für Ihr WorkSpaces Verzeichnis zu verwenden. Weitere Informationen zur Verwendung von MFA mit Ihrem Verzeichnis finden Sie in der folgenden Dokumentation:
+ **AWS Managed Microsoft AD** – [ Aktivieren der Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) im *AWS Directory Service -Administratorhandbuch*
+ **AD Connector** – [Aktivieren der Multi-Faktor-Authentifizierung für AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) im *AWS Directory Service -Administratorhandbuch* und [Multi-Faktor-Authentifizierung (AD Connector) für Personal WorkSpaces](connect-mfa.md).
+ **Vertrauenswürdige Domains** – [Aktivieren der Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) im *AWS Directory Service -Administratorhandbuch*.
+ **Simple AD** – Die Multi-Faktor-Authentifizierung ist für Simple AD nicht verfügbar.

Seit dem 13. April 2021 wird PCo IP Connection Manager nicht mehr für die Verwendung mit Firmware-Versionen von Zero-Client-Geräten zwischen 4.6.0 und 6.0.0 unterstützt. [Wenn Ihre Zero-Client-Firmware nicht Version 6.0.0 oder höher ist, können Sie die neueste Firmware über ein Desktop Access-Abonnement unter /desktop-access herunterladen. https://www.teradici.com](https://www.teradici.com/desktop-access)

**Wichtig**  
Stellen Sie sicher, dass Sie im Teradici PCo IP Administrative Web Interface (AWI) oder in der Teradici PCo IP Management Console (MC) Network Time Protocol (NTP) aktivieren. Verwenden Sie **pool.ntp.org** für den NTP-Host-DNS-Namen, und legen Sie den NTP-Host-Port auf **123**fest. Wenn NTP nicht aktiviert ist, erhalten Ihre PCo IP-Zero-Client-Benutzer möglicherweise Zertifikatsfehler wie „Das angegebene Zertifikat ist aufgrund des Zeitstempels ungültig“.
Ab Version 20.10.4 des PCo IP-Agenten WorkSpaces deaktiviert Amazon die USB-Umleitung standardmäßig über die Windows-Registrierung. Diese Registrierungseinstellung wirkt sich auf das Verhalten von USB-Peripheriegeräten aus, wenn Ihre Benutzer PCo IP-Zero-Client-Geräte verwenden, um eine Verbindung zu ihren Geräten herzustellen. WorkSpaces Weitere Informationen finden Sie unter [USB-Drucker und andere USB-Peripheriegeräte funktionieren nicht für IP-Zero-Clients PCo](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb).

Informationen zum Einrichten und Herstellen einer Verbindung mit einem PCo IP-Zero-Client-Gerät finden Sie unter [PCoIP Zero Client](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html) im * WorkSpaces Amazon-Benutzerhandbuch*. Eine Liste der zugelassenen PCo IP-Zero-Client-Geräte finden Sie unter [PCoIP Zero Clients](https://www.teradici.com/resource-center/product-service-finder/pcoip-zero-clients) auf der Teradici-Website.

# Android für Chromebook for Personal einrichten WorkSpaces
<a name="set-up-android-chromebook"></a>

Version 2.4.13 ist die letzte Version der Amazon WorkSpaces Chromebook-Client-Anwendung. Da [Google die Unterstützung für Chrome-Apps schrittweise](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html) einstellt, wird es keine weiteren Updates für die WorkSpaces Chromebook-Clientanwendung geben, und ihre Verwendung wird nicht unterstützt.

[Für [Chromebooks, die die Installation von Android-Anwendungen unterstützen, empfehlen wir, stattdessen die Android-Client-Anwendung](https://www.chromium.org/chromium-os/chrome-os-systems-supporting-android-apps/) zu verwenden. WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html)

Einige Chromebooks, die vor 2019 auf den Markt kamen, müssen für die [Installation von Android-Apps](https://support.google.com/chromebook/answer/7021273) aktiviert sein, bevor Benutzer die Amazon WorkSpaces Android-Client-Anwendung installieren können. Weitere Informationen finden Sie unter [Chrome OS-Systeme, die Android-Apps unterstützen](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps).

Informationen zum Remote-Verwalten der Chromebooks Ihrer Benutzer zum Installieren von Android-Apps finden Sie unter [Einrichten von Android für Chromebooks](https://support.google.com/chrome/a/topic/9042368).

# WorkSpaces Web Access for WorkSpaces Personal aktivieren und konfigurieren
<a name="web-access"></a>

Die meisten WorkSpaces Bundles unterstützen Amazon WorkSpaces Web Access. Eine Liste der WorkSpaces unterstützten Webbrowser-Zugriffe finden Sie unter „Welche WorkSpaces Amazon-Bundles unterstützen Web Access?“ in [Clientzugriff, Webzugriff und Benutzererfahrung](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).

**Anmerkung**  
Seit dem 7. November 2025 ist Amazon WorkSpaces PCo IP Web Access nicht mehr für Neukunden geöffnet. Die Funktion wird in Zukunft nur noch wichtige Funktions- und Sicherheitsupdates erhalten. Weitere Informationen finden Sie im [ WorkSpaces Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html).
Der Webzugriff mit DCV für Windows und Ubuntu WorkSpaces wird in allen Regionen unterstützt, in denen DCV verfügbar WorkSpaces ist. DCV für Amazon Linux WorkSpaces ist nur in AWS GovCloud (US-West) verfügbar.
Wir empfehlen dringend, Web Access mit DCV WorkSpaces zu verwenden, um die beste Streaming-Qualität und Benutzererfahrung zu erzielen. Bei der Verwendung von Web Access mit PCo IP WorkSpaces gelten die folgenden Einschränkungen:  
Webzugriff mit PCo IP wird in den AWS GovCloud (US) Regions Ländern Asien-Pazifik (Mumbai), Afrika (Kapstadt), Europa (Frankfurt) und Israel (Tel Aviv) nicht unterstützt
Web Access mit PCo IP wird nur für Windows unterstützt WorkSpaces, nicht für Amazon Linux oder Ubuntu WorkSpaces.
Web Access ist für einige Windows 10 WorkSpaces , die das PCo IP-Protokoll verwenden, nicht verfügbar. Wenn Ihre PCo IP WorkSpaces mit Windows Server 2019 oder 2022 betrieben wird, ist Web Access nicht verfügbar.
Die Funktionalität von Web Access mit PCo IP ist in Bezug auf die Funktionsfähigkeit eingeschränkt. Es unterstützt Videoausgang, Audioausgang, Tastatur und Maus. Es unterstützt nicht viele Funktionen, einschließlich Videoeingang, Audioeingang, Umleitung in die Zwischenablage und Webcams.
Wenn Sie macOS auf VPN und den Firefox-Webbrowser verwenden, unterstützt der Webbrowser PCo Streaming-IP WorkSpaces mit WorkSpaces Web Access nicht. Dies ist auf eine Einschränkung der Firefox-Implementierung des WebRTC-Protokolls zurückzuführen.

**Wichtig**  
Ab dem 1. Oktober 2020 können Kunden den Amazon WorkSpaces Web Access-Client nicht mehr verwenden, um eine Verbindung zu Windows 7 Custom WorkSpaces oder zu Windows 7 Bring Your Own License (BYOL) WorkSpaces herzustellen.

## Schritt 1: Aktivieren Sie den Webzugriff auf Ihr WorkSpaces
<a name="enable-web-access"></a>

Sie steuern den Webzugriff WorkSpaces auf Ihre Verzeichnisebene. Führen Sie für jedes Verzeichnis WorkSpaces , auf das Sie Benutzern den Zugriff über den Web Access-Client ermöglichen möchten, die folgenden Schritte aus.

**So aktivieren Sie den Webzugriff auf Ihr WorkSpaces**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie in der Spalte **Verzeichnis-ID** die Verzeichnis-ID des Verzeichnisses aus, für das Sie Web Access aktivieren möchten.

1. Scrollen Sie auf der Seite mit den **Verzeichnisdetails** nach unten zum Abschnitt **Andere Plattformen** und wählen Sie **Bearbeiten** aus.

1. Wählen Sie **Web Access**.

1. Wählen Sie **Speichern**.

**Anmerkung**  
Nachdem Sie den Webzugriff aktiviert haben, starten Sie Ihren neu, WorkSpace damit die Änderung wirksam wird.

## Schritt 2: Konfigurieren des eingehenden und ausgehenden Zugriffs auf Ports für Web Access
<a name="configure_inbound_outbound"></a>

Amazon WorkSpaces Web Access erfordert eingehenden und ausgehenden Zugriff für bestimmte Ports. Weitere Informationen finden Sie unter [Ports für Internetzugang](workspaces-port-requirements.md#web-access-ports).

## Schritt 3: Konfigurieren von Gruppenrichtlinien- und Sicherheitsrichtlinieneinstellungen, um Benutzern die Anmeldung zu ermöglichen
<a name="configure_group_policy"></a>

Amazon WorkSpaces verwendet eine spezielle Konfiguration des Anmeldebildschirms, damit sich Benutzer erfolgreich von ihrem Web Access-Client aus anmelden können.

Damit sich Web Access-Benutzer bei ihnen anmelden können WorkSpaces, müssen Sie eine Gruppenrichtlinieneinstellung und drei Sicherheitsrichtlinieneinstellungen konfigurieren. Wenn diese Einstellungen nicht korrekt konfiguriert sind, kann es bei Benutzern zu langen Anmeldezeiten oder schwarzen Bildschirmen kommen, wenn sie versuchen, sich bei ihren WorkSpaces anzumelden. Gehen Sie folgendermaßen vor, um diese Einstellungen zu konfigurieren. 

Sie können Gruppenrichtlinienobjekte (GPOs) verwenden, um Einstellungen für die Verwaltung von Windows WorkSpaces oder Benutzern, die Teil Ihres WorkSpaces Windows-Verzeichnisses sind, anzuwenden. Es wird empfohlen, eine Organisationseinheit für Ihre WorkSpaces Computerobjekte und eine Organisationseinheit für Ihre WorkSpaces Benutzerobjekte zu erstellen.

Informationen zur Verwendung der Active Directory-Verwaltungstools für die Arbeit finden Sie unter [Installation der Active Directory-Verwaltungstools](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html) im *AWS Directory Service Administratorhandbuch*. GPOs

**So ermöglichen Sie dem WorkSpaces Logon Agent, zwischen Benutzern zu wechseln**

In den meisten Fällen, wenn ein Benutzer versucht, sich bei einem anzumelden WorkSpace, wird das Feld für den Benutzernamen automatisch mit dem Namen dieses Benutzers aufgefüllt. Wenn ein Administrator jedoch eine RDP-Verbindung zu dem WorkSpace hergestellt hat, um Wartungsaufgaben durchzuführen, wird das Feld für den Benutzernamen stattdessen mit dem Namen des Administrators gefüllt.

Um dieses Problem zu vermeiden, deaktivieren Sie die Gruppenrichtlinieneinstellung **Einstiegspunkte für die schnelle Benutzerumschaltung ausblenden**. Wenn Sie diese Einstellung deaktivieren, kann der WorkSpaces Anmeldeagent die Schaltfläche **Benutzer wechseln** verwenden, um das Feld für den Benutzernamen mit dem richtigen Namen auszufüllen.

1. Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (**gpmc.msc**), navigieren Sie zu einem Gruppenrichtlinienobjekt auf der Domänen- oder Domänencontrollerebene des Verzeichnisses, das Sie für Ihr verwenden, und wählen Sie es aus. WorkSpaces (Wenn Sie die [administrative WorkSpaces Gruppenrichtlinienvorlage](group_policy.md#gp_install_template) in Ihrer Domäne installiert haben, können Sie das WorkSpaces Gruppenrichtlinienobjekt für Ihre WorkSpaces Computerkonten verwenden.)

1. Klicken Sie im Hauptmenü auf **Aktion**,**Bearbeiten**.

1. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor **Computerkonfiguration**, **Richtlinien**, **Administrative Vorlagen**, **System**, und **Anmeldung** aus. 

1. Öffnen Sie die Einstellung **Einstiegspunkte für die schnelle Benutzerumschaltung ausblenden**.

1. Wählen Sie im Dialogfeld **Einstiegspunkte für die schnelle Benutzerumschaltung ausblenden** die Option **Deaktiviert** aus und klicken Sie dann auf **OK**.

Standardmäßig wird anstelle der Schaltfläche **Benutzer wechseln** die Liste der zuletzt angemeldeten Benutzer angezeigt. Je nach Konfiguration von zeigt die WorkSpace Liste möglicherweise nicht die Kachel **Anderer Benutzer** an. Wenn diese Situation eintritt und der vorab ausgefüllte Benutzername nicht korrekt ist, kann der WorkSpaces Anmeldeagent das Feld nicht mit dem richtigen Namen füllen.

Um dieses Problem zu vermeiden, aktivieren Sie die Sicherheitsrichtlinieneinstellung **Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen**oder **Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen** (je nachdem, welche Version von Windows Sie verwenden).

**So blenden Sie den zuletzt angemeldeten Benutzernamen aus**

1. Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (**gpmc.msc**), navigieren Sie zu einem Gruppenrichtlinienobjekt auf der Domänen- oder Domänencontrollerebene des Verzeichnisses, das Sie für Ihr verwenden, und wählen Sie es aus. WorkSpaces (Wenn Sie die [administrative WorkSpaces Gruppenrichtlinienvorlage](group_policy.md#gp_install_template) in Ihrer Domäne installiert haben, können Sie das WorkSpaces Gruppenrichtlinienobjekt für Ihre WorkSpaces Computerkonten verwenden.)

1. Klicken Sie im Hauptmenü auf **Aktion**,**Bearbeiten**.

1. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor **Computerkonfiguration**, **Windows-Einstellungen**, **Sicherheitseinstellungen**, **Lokale Richtlinien** und **Sicherheitsoptionen** aus. 

1. Öffnen Sie eine der folgenden Optionen:
   + Für Windows 7 – **Interaktive Anmeldung: Zuletzt angemeldet nicht anzeigen**
   + Für Windows 10 – **Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen**

1. Wählen Sie im Dialogfeld **Eigenschaften** für die Einstellung die Option **Aktiviert** aus und klicken Sie dann auf **OK**.

**So erzwingen Sie das Drücken von STRG\$1ALT\$1ENTF, bevor sich Benutzer anmelden können**

Für den WorkSpaces Webzugriff müssen Benutzer STRG\$1ALT\$1DEL drücken, bevor sie sich anmelden können. Wenn von Benutzern verlangt wird, vor der Anmeldung STRG\$1ALT\$1ENTF zu drücken, wird sichergestellt, dass Benutzer bei der Eingabe ihrer Passwörter einen vertrauenswürdigen Pfad verwenden.

1. Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (**gpmc.msc**), navigieren Sie zu einem Gruppenrichtlinienobjekt auf der Domänen- oder Domänencontrollerebene des Verzeichnisses, das Sie für Ihr verwenden, und wählen Sie es aus. WorkSpaces (Wenn Sie die [administrative WorkSpaces Gruppenrichtlinienvorlage](group_policy.md#gp_install_template) in Ihrer Domäne installiert haben, können Sie das WorkSpaces Gruppenrichtlinienobjekt für Ihre WorkSpaces Computerkonten verwenden.)

1. Klicken Sie im Hauptmenü auf **Aktion**,**Bearbeiten**.

1. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor **Computerkonfiguration**, **Windows-Einstellungen**, **Sicherheitseinstellungen**, **Lokale Richtlinien** und **Sicherheitsoptionen** aus. 

1. Öffnen Sie die Einstellung **Interaktive Anmeldung: Kein STRG\$1ALT\$1ENTF erforderlich**.

1. Wählen Sie auf der Registerkarte **Lokale Sicherheitseinstellungen** die Option **Deaktiviert** und klicken Sie dann auf **OK**.

**So zeigen Sie die Domänen- und Benutzerinformationen an, wenn die Sitzung gesperrt ist**

Der WorkSpaces Logon Agent sucht nach dem Namen und der Domäne des Benutzers. Nachdem diese Einstellung konfiguriert wurde, zeigt der Sperrbildschirm den vollständigen Namen des Benutzers (falls er in Active Directory angegeben ist), den Domänennamen und den Benutzernamen an.

1. Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (**gpmc.msc**), navigieren Sie zu einem Gruppenrichtlinienobjekt auf der Domänen- oder Domänencontrollerebene des Verzeichnisses, das Sie für Ihr verwenden, und wählen Sie es aus. WorkSpaces (Wenn Sie die [administrative WorkSpaces Gruppenrichtlinienvorlage](group_policy.md#gp_install_template) in Ihrer Domäne installiert haben, können Sie das WorkSpaces Gruppenrichtlinienobjekt für Ihre WorkSpaces Computerkonten verwenden.)

1. Klicken Sie im Hauptmenü auf **Aktion**,**Bearbeiten**.

1. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor **Computerkonfiguration**, **Windows-Einstellungen**, **Sicherheitseinstellungen**, **Lokale Richtlinien** und **Sicherheitsoptionen** aus. 

1. Öffnen Sie die Einstellung **Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn Sitzung gesperrt ist**.

1. Wählen Sie auf der Registerkarte **Lokale Sicherheitseinstellungen** die Option **Benutzeranzeigename, Domain und Benutzernamen** aus und klicken Sie dann auf **OK**.

**So wenden Sie die Änderungen der Gruppenrichtlinien- und Sicherheitsrichtlinieneinstellungen an**  
Änderungen an den Einstellungen der Gruppenrichtlinien und Sicherheitsrichtlinien werden nach dem nächsten Gruppenrichtlinien-Update für die Sitzung WorkSpace und nach dem Neustart der WorkSpace Sitzung wirksam. Führen Sie einen der folgenden Schritte aus, um die Gruppenrichtlinien- und Sicherheitsrichtlinienänderungen der vorherigen Verfahren anzuwenden:
+ Starten Sie das neu WorkSpace (wählen Sie in der WorkSpaces Amazon-Konsole die WorkSpace und dann **Aktionen**, **Neustart WorkSpaces**).
+ Geben Sie an einer administrativen Eingabeaufforderung **gpupdate /force** ein.

# WorkSpaces Thin Client konfigurieren
<a name="access-control-awstc"></a>

Die meisten WorkSpaces Bundles unterstützen Amazon WorkSpaces Thin Client Access. Eine Liste der WorkSpaces unterstützten Webbrowser-Zugriffe finden Sie unter „Welche WorkSpaces Amazon-Bundles unterstützen Thin Client Access?“ in [Clientzugriff, Webzugriff und Benutzererfahrung](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).

## Schritt 1: Aktivieren Sie die Zugriffskontrolle für Ihren Amazon WorkSpaces Thin Client
<a name="enable-access-control-awstc"></a>

Sie steuern den Thin Client-Zugriff auf Ihren Computer WorkSpaces auf Verzeichnisebene mit einer Zugriffskontrolle auf Benutzeragentenbasis. Gehen Sie für jedes Verzeichnis WorkSpaces , auf das Sie Benutzern Zugriff über den Thin Client Access Client gewähren möchten, wie folgt vor.

**So aktivieren Sie den Thin Client-Zugriff auf Ihr WorkSpaces**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie in der Spalte **Verzeichnis-ID** die Verzeichnis-ID des Verzeichnisses aus, für das Sie Thin Client Access aktivieren möchten.

1. Scrollen Sie auf der Seite mit den **Verzeichnisdetails** nach unten zum Abschnitt **Andere Plattformen** und wählen Sie **Bearbeiten** aus.

1. Wählen Sie **WorkSpaces Thin Client** aus.

1. Wählen Sie **Speichern**.

## Schritt 2: Konfigurieren Sie den eingehenden und ausgehenden Zugriff auf Ports für Thin Client Access
<a name="configure_inbound_outbound_awstc"></a>

Amazon WorkSpaces Thin Client Access erfordert eingehenden und ausgehenden Zugriff für bestimmte Ports. Weitere Informationen finden Sie unter [Ports für Internetzugang](workspaces-port-requirements.md#web-access-ports).

## Schritt 3: Konfigurieren von Gruppenrichtlinien- und Sicherheitsrichtlinieneinstellungen, um Benutzern die Anmeldung zu ermöglichen
<a name="configure_group_policy-awstc"></a>

Amazon WorkSpaces verwendet eine spezielle Konfiguration des Anmeldebildschirms, damit sich Benutzer erfolgreich von ihrem Thin Client Access-Client aus anmelden können.

1. Damit sich Thin Client Access-Benutzer bei ihren Geräten anmelden können WorkSpaces, müssen Sie eine Gruppenrichtlinieneinstellung und drei Sicherheitsrichtlinieneinstellungen konfigurieren. Wenn diese Einstellungen nicht korrekt konfiguriert sind, kann es bei Benutzern zu langen Anmeldezeiten oder schwarzen Bildschirmen kommen, wenn sie versuchen, sich bei ihren WorkSpaces anzumelden. Gehen Sie folgendermaßen vor, um diese Einstellungen zu konfigurieren. 

1. Sie können Gruppenrichtlinienobjekte (GPOs) verwenden, um Einstellungen für die Verwaltung von Windows WorkSpaces oder Benutzern, die Teil Ihres WorkSpaces Windows-Verzeichnisses sind, anzuwenden. Es wird empfohlen, eine Organisationseinheit für Ihre WorkSpaces Computerobjekte und eine Organisationseinheit für Ihre WorkSpaces Benutzerobjekte zu erstellen.

1. Informationen zur Verwendung der Active Directory-Verwaltungstools für die Arbeit finden Sie unter [Installation der Active Directory-Verwaltungstools](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html) im *AWS Directory Service Administratorhandbuch*. GPOs

1. In den meisten Fällen wird, wenn ein Benutzer versucht, sich bei einem anzumelden WorkSpace, das Feld für den Benutzernamen mit dem Namen dieses Benutzers vorausgefüllt. Wenn ein Administrator jedoch eine RDP-Verbindung zu dem WorkSpace hergestellt hat, um Wartungsaufgaben durchzuführen, wird das Feld für den Benutzernamen stattdessen mit dem Namen des Administrators gefüllt.

1. Um dieses Problem zu vermeiden, deaktivieren Sie die Gruppenrichtlinieneinstellung **Einstiegspunkte für die schnelle Benutzerumschaltung ausblenden**. Wenn Sie diese Einstellung deaktivieren, kann der WorkSpaces Anmeldeagent die Schaltfläche **Benutzer wechseln** verwenden, um das Feld für den Benutzernamen mit dem richtigen Namen auszufüllen.

**Damit der WorkSpaces Logon Agent zwischen Benutzern wechseln kann**

1. Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (**gpmc.msc**), navigieren Sie zu einem Gruppenrichtlinienobjekt auf der Domänen- oder Domänencontrollerebene des Verzeichnisses, das Sie für Ihr verwenden, und wählen Sie es aus. WorkSpaces (Wenn Sie die [administrative WorkSpaces Gruppenrichtlinienvorlage](group_policy.md#gp_install_template) in Ihrer Domäne installiert haben, können Sie das WorkSpaces Gruppenrichtlinienobjekt für Ihre WorkSpaces Computerkonten verwenden.)

1. Klicken Sie im Hauptmenü auf **Aktion**,**Bearbeiten**.

1. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor **Computerkonfiguration**, **Richtlinien**, **Administrative Vorlagen**, **System**, und **Anmeldung** aus. 

1. Öffnen Sie die Einstellung **Einstiegspunkte für die schnelle Benutzerumschaltung ausblenden**.

1. Wählen Sie im Dialogfeld **Einstiegspunkte für die schnelle Benutzerumschaltung ausblenden** die Option **Deaktiviert** aus und klicken Sie dann auf **OK**.

Standardmäßig wird anstelle der Schaltfläche **Benutzer wechseln** die Liste der zuletzt angemeldeten Benutzer angezeigt. Je nach Konfiguration von zeigt die WorkSpace Liste möglicherweise nicht die Kachel **Anderer Benutzer** an. Wenn diese Situation eintritt und der vorab ausgefüllte Benutzername nicht korrekt ist, kann der WorkSpaces Anmeldeagent das Feld nicht mit dem richtigen Namen füllen.

Um dieses Problem zu vermeiden, aktivieren Sie die Sicherheitsrichtlinieneinstellung **Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen**oder **Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen** (je nachdem, welche Version von Windows Sie verwenden).

**So blenden Sie den zuletzt angemeldeten Benutzernamen aus**

1. Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (**gpmc.msc**), navigieren Sie zu einem Gruppenrichtlinienobjekt auf der Domänen- oder Domänencontrollerebene des Verzeichnisses, das Sie für Ihr verwenden, und wählen Sie es aus. WorkSpaces (Wenn Sie die [administrative WorkSpaces Gruppenrichtlinienvorlage](group_policy.md#gp_install_template) in Ihrer Domäne installiert haben, können Sie das WorkSpaces Gruppenrichtlinienobjekt für Ihre WorkSpaces Computerkonten verwenden.)

1. Klicken Sie im Hauptmenü auf **Aktion**,**Bearbeiten**.

1. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor **Computerkonfiguration**, **Windows-Einstellungen**, **Sicherheitseinstellungen**, **Lokale Richtlinien** und **Sicherheitsoptionen** aus. 

1. Öffnen Sie eine der folgenden Optionen:
   + Für Windows 7 – **Interaktive Anmeldung: Zuletzt angemeldet nicht anzeigen**
   + Für Windows 10 – **Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen**

1. Wählen Sie im Dialogfeld **Eigenschaften** für die Einstellung die Option **Aktiviert** aus und klicken Sie dann auf **OK**.

Für WorkSpaces Thin Client Access müssen Benutzer STRG\$1ALT\$1DEL drücken, bevor sie sich anmelden können. Wenn von Benutzern verlangt wird, vor der Anmeldung STRG\$1ALT\$1ENTF zu drücken, wird sichergestellt, dass Benutzer bei der Eingabe ihrer Passwörter einen vertrauenswürdigen Pfad verwenden.

**So erzwingen Sie das Drücken von STRG\$1ALT\$1ENTF, bevor sich Benutzer anmelden können**

1. Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (**gpmc.msc**), navigieren Sie zu einem Gruppenrichtlinienobjekt auf der Domänen- oder Domänencontrollerebene des Verzeichnisses, das Sie für Ihr verwenden, und wählen Sie es aus. WorkSpaces (Wenn Sie die [administrative WorkSpaces Gruppenrichtlinienvorlage](group_policy.md#gp_install_template) in Ihrer Domäne installiert haben, können Sie das WorkSpaces Gruppenrichtlinienobjekt für Ihre WorkSpaces Computerkonten verwenden.)

1. Klicken Sie im Hauptmenü auf **Aktion**,**Bearbeiten**.

1. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor **Computerkonfiguration**, **Windows-Einstellungen**, **Sicherheitseinstellungen**, **Lokale Richtlinien** und **Sicherheitsoptionen** aus. 

1. Öffnen Sie die Einstellung **Interaktive Anmeldung: Kein STRG\$1ALT\$1ENTF erforderlich**.

1. Wählen Sie auf der Registerkarte **Lokale Sicherheitseinstellungen** die Option **Deaktiviert** und klicken Sie dann auf **OK**.

Der WorkSpaces Logon Agent sucht nach dem Namen und der Domäne des Benutzers. Nachdem diese Einstellung konfiguriert wurde, zeigt der Sperrbildschirm den vollständigen Namen des Benutzers (falls er in Active Directory angegeben ist), den Domänennamen und den Benutzernamen an.

**So zeigen Sie die Domänen- und Benutzerinformationen an, wenn die Sitzung gesperrt ist**

1. Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (**gpmc.msc**), navigieren Sie zu einem Gruppenrichtlinienobjekt auf der Domänen- oder Domänencontrollerebene des Verzeichnisses, das Sie für Ihr verwenden, und wählen Sie es aus. WorkSpaces (Wenn Sie die [administrative WorkSpaces Gruppenrichtlinienvorlage](group_policy.md#gp_install_template) in Ihrer Domäne installiert haben, können Sie das WorkSpaces Gruppenrichtlinienobjekt für Ihre WorkSpaces Computerkonten verwenden.)

1. Klicken Sie im Hauptmenü auf **Aktion**,**Bearbeiten**.

1. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor **Computerkonfiguration**, **Windows-Einstellungen**, **Sicherheitseinstellungen**, **Lokale Richtlinien** und **Sicherheitsoptionen** aus. 

1. Öffnen Sie die Einstellung **Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn Sitzung gesperrt ist**.

1. Wählen Sie auf der Registerkarte **Lokale Sicherheitseinstellungen** die Option **Benutzeranzeigename, Domain und Benutzernamen** aus und klicken Sie dann auf **OK**.

Änderungen an den Einstellungen der Gruppenrichtlinien und Sicherheitsrichtlinien werden nach dem nächsten Gruppenrichtlinien-Update für die Sitzung WorkSpace und nach dem Neustart der WorkSpace Sitzung wirksam. Führen Sie einen der folgenden Schritte aus, um die Gruppenrichtlinien- und Sicherheitsrichtlinienänderungen der vorherigen Verfahren anzuwenden:

**So wenden Sie die Änderungen der Gruppenrichtlinien- und Sicherheitsrichtlinieneinstellungen an**

1. Starten Sie das neu WorkSpace (wählen Sie in der WorkSpaces Amazon-Konsole die WorkSpace und dann **Aktionen**, **Neustart WorkSpaces**).

1. Geben Sie an einer administrativen Eingabeaufforderung **gpupdate /force** ein.

# FedRAMP-Autorisierung oder DoD SRG-Konformität für Personal konfigurieren WorkSpaces
<a name="fips-encryption"></a>

Um den Anforderungen des [Federal Risk and Authorization Management Program (FedRAMP)](https://aws.amazon.com/compliance/fedramp/) oder [des Cloud Computing Security Requirements Guide (SRG) des Verteidigungsministeriums (DoD) WorkSpaces zu entsprechen](https://aws.amazon.com/compliance/dod/), müssen Sie Amazon so konfigurieren, dass auf Verzeichnisebene die Federal Information Processing Standards (FIPS) Endpunktverschlüsselung verwendet wird. Sie müssen auch eine AWS US-Region verwenden, die über eine FedRAMP-Autorisierung verfügt oder DoD SRG-konform ist.

Die Stufe der FedRAMP-Autorisierung (Moderat oder Hoch) oder der DoD SRG Impact Level (2, 4 oder 5) hängt von der AWS US-Region ab, in der Amazon WorkSpaces verwendet wird.

Informationen zur Stufe der FedRAMP-Autorisierung und zur DoD SRG-Compliance, die für die einzelne Region gelten, finden Sie unter [Abgedeckte AWS -Services je Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/).

**Anmerkung**  
Neben der FIPS-Endpunktverschlüsselung können Sie auch Ihre verschlüsseln. WorkSpaces Weitere Informationen finden Sie unter [Verschlüsselt WorkSpaces in WorkSpaces Personal](encrypt-workspaces.md).

**Voraussetzungen**
+ Sie müssen Ihre WorkSpaces in einer [AWS US-Region erstellen, die über eine FedRAMP-Autorisierung verfügt oder DoD SRG-konform ist](https://aws.amazon.com/compliance/services-in-scope/).
+ Das WorkSpaces Verzeichnis muss so konfiguriert sein, dass es den **FIPS 140-2-Validierungsmodus** für die Endpunktverschlüsselung verwendet.
**Anmerkung**  
Um die Einstellung für den **FIPS 140-2-Validierungsmodus** verwenden zu können, muss das WorkSpaces Verzeichnis entweder neu sein oder alle WorkSpaces im Verzeichnis vorhandenen Verzeichnisse müssen den **FIPS 140-2-Validierungsmodus für die Endpunktverschlüsselung** verwenden. Andernfalls können Sie diese Einstellung nicht verwenden, WorkSpaces sodass die von Ihnen erstellte Einstellung nicht den FedRAMP- oder DoD-Sicherheitsanforderungen entspricht.  
Einzelheiten zur Überprüfung des Verzeichnisses finden Sie in [Schritt 3](#step3-fips) unten.
+ Benutzer müssen über eine WorkSpaces der folgenden WorkSpaces Client-Anwendungen auf ihre zugreifen:
  + Windows 2.4.3 oder höher
  + macOS: 2.4.3 oder höher für PCo IP WorkSpaces und 5.21.0 oder höher für DCV WorkSpaces
  + Linux: 3.0.0 oder höher
  + iOS 2.4.1 oder höher
  + Android 2.4.1 oder höher
  + Fire Tablet 2.4.1 oder höher
  + ChromeOS 2.4.1 oder höher
  + Web Access

**So verwenden Sie die FIPS-Endpunktverschlüsselung**

1. [Öffnen Sie die Konsole unter v2/home WorkSpaces . https://console.aws.amazon.com/workspaces/](https://console.aws.amazon.com/workspaces/v2/home)

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Stellen Sie sicher, dass dem Verzeichnis, in dem Sie FedRAMP-autorisiert und DoD SRG-konform erstellen möchten, noch WorkSpaces kein Verzeichnis zugeordnet ist. WorkSpaces Wenn sie mit dem Verzeichnis WorkSpaces verknüpft sind und das Verzeichnis noch nicht für die Verwendung des FIPS 140-2-Validierungsmodus aktiviert ist, beenden Sie entweder das Verzeichnis oder erstellen Sie ein neues. WorkSpaces

1. Wählen Sie das Verzeichnis aus, das die oben genannten Kriterien erfüllt, und klicken Sie auf **Actions (Aktionen)** und dann auf **Update Details (Details aktualisieren)**.

1. <a name="step3-fips"></a>Klicken Sie auf der Seite **Update Directory Details (Aktualisieren von Verzeichnisdetails)** auf den Pfeil, um den Abschnitt **Access Control Options (Zugriffskontrolloptionen)** zu erweitern.

1. Wählen Sie für **Endpoint Encryption (Endpunktverschlüsselung)**, die Option **FIPS 140-2 Validated Mode** anstelle von **TLS Encryption Mode (Standard)**aus.

1. Wählen Sie **Update and Exit** aus.

1.  WorkSpaces Aus diesem Verzeichnis können Sie nun FedRAMP-autorisierte und DoD SRG-konforme Dateien erstellen. [Um auf diese zuzugreifen WorkSpaces, müssen Benutzer eine der WorkSpaces Client-Anwendungen verwenden, die weiter oben im Abschnitt „Anforderungen“ aufgeführt sind.](#fedramp-requirements)

# Aktivieren Sie SSH-Verbindungen für Ihr Linux WorkSpaces in Personal WorkSpaces
<a name="connect-to-linux-workspaces-with-ssh"></a>

Wenn Sie oder Ihre Benutzer über die Befehlszeile eine Verbindung zu Ihrem Linux WorkSpaces herstellen möchten, können Sie SSH-Verbindungen aktivieren. Sie können SSH-Verbindungen zu allen WorkSpaces in einem Verzeichnis oder zu einzelnen Personen WorkSpaces in einem Verzeichnis aktivieren. 

Um SSH-Verbindungen zu aktivieren, erstellen Sie eine neue Sicherheitsgruppe oder aktualisieren eine vorhandene Sicherheitsgruppe und fügen eine Regel hinzu, um eingehenden Datenverkehr für diesen Zweck zu erlauben. Sicherheitsgruppen fungieren als Firewall für zugeordnet Instances. Sie steuern den ein- und ausgehenden Datenverkehr auf der Instance-Ebene. Nachdem Sie Ihre Sicherheitsgruppe erstellt oder aktualisiert haben, können Ihre Benutzer und andere Benutzer PuTTY oder andere Terminals verwenden, um von ihren Geräten aus eine Verbindung zu Ihrem Linux WorkSpaces herzustellen. Weitere Informationen finden Sie unter [Sicherheitsgruppen für WorkSpaces Personal](amazon-workspaces-security-groups.md).

Ein Video-Tutorial finden Sie unter [Wie kann ich mit SSH eine Verbindung zu meinem WorkSpaces Linux-Amazon herstellen](https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/)? im AWS Knowledge Center. Dieses Tutorial gilt WorkSpaces nur für Amazon Linux 2.

**Topics**
+ [Voraussetzungen für SSH-Verbindungen zu Linux WorkSpaces](#before-you-begin-enable-ssh-linux-workspaces)
+ [Aktivieren Sie SSH-Verbindungen zu allen Linux-Geräten WorkSpaces in einem Verzeichnis](#enable-ssh-directory-level-access-linux-workspaces)
+ [Passwortbasierte Authentifizierung in WorkSpaces](#enable-ssh-access-old-version)
+ [Aktiviert SSH-Verbindungen zu einem bestimmten Linux WorkSpace](#enable-ssh-access-specific-linux-workspace)
+ [Stellen Sie mit Linux oder WorkSpace PuTTY eine Connect zu einem Linux her](#ssh-connection-linux-workspace-using-linux-or-putty)

## Voraussetzungen für SSH-Verbindungen zu Linux WorkSpaces
<a name="before-you-begin-enable-ssh-linux-workspaces"></a>
+ Aktivieren von eingehendem SSH-Verkehr für ein WorkSpace — Um eine Regel hinzuzufügen, die eingehenden SSH-Verkehr zu einem oder mehreren Linux-Geräten zulässt WorkSpaces, stellen Sie sicher, dass Sie über die öffentlichen oder privaten IP-Adressen der Geräte verfügen, für die SSH-Verbindungen zu Ihrem erforderlich sind. WorkSpaces Sie können beispielsweise die öffentlichen IP-Adressen von Geräten außerhalb Ihrer Virtual Private Cloud (VPC) oder die private IP-Adresse einer anderen EC2-Instance in derselben VPC wie Ihre angeben. WorkSpace 

  [Wenn Sie WorkSpace von Ihrem lokalen Gerät aus eine Verbindung zu einem herstellen möchten, können Sie den Suchbegriff „Was ist meine IP-Adresse“ in einem Internetbrowser verwenden oder den folgenden Dienst verwenden: Check IP.](https://checkip.amazonaws.com/) 
+ Verbindung zu einem herstellen WorkSpace — Die folgenden Informationen sind erforderlich, um eine SSH-Verbindung von einem Gerät zu einem WorkSpace Linux-Gerät herzustellen.
  + Der NetBIOS-Name der Active Directory-Domain, mit der Sie verbunden sind.
  + Ihr WorkSpace Nutzername.
  + Die öffentliche oder private IP-Adresse der Person WorkSpace , mit der Sie eine Verbindung herstellen möchten.

    Privat: Wenn Ihre VPC an ein Unternehmensnetzwerk angeschlossen ist und Sie Zugriff auf dieses Netzwerk haben, können Sie die private IP-Adresse von angeben. WorkSpace

    Öffentlich: Wenn Sie WorkSpace über eine öffentliche IP-Adresse verfügen, können Sie die WorkSpaces Konsole verwenden, um die öffentliche IP-Adresse zu ermitteln, wie im folgenden Verfahren beschrieben.

**Um die IP-Adressen für das Linux, zu dem WorkSpace Sie eine Verbindung herstellen möchten, und Ihren Benutzernamen zu finden**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **WorkSpaces** aus.

1. Wählen Sie in der Liste die aus WorkSpaces, für WorkSpace die Sie SSH-Verbindungen aktivieren möchten.

1. Vergewissern Sie sich in der Spalte **Laufmodus**, dass der WorkSpace Status **Verfügbar lautet.**

1. Klicken Sie auf den Pfeil links neben dem WorkSpace Namen, um die Inline-Zusammenfassung anzuzeigen, und notieren Sie sich die folgenden Informationen:
   + Die **WorkSpace IP**. Dies ist die private IP-Adresse des WorkSpace.

     Die private IP-Adresse ist erforderlich, um die elastic network interface zu erhalten, die dem zugeordnet ist WorkSpace. Die Netzwerkschnittstelle ist erforderlich, um Informationen wie die Sicherheitsgruppe oder die öffentliche IP-Adresse abzurufen, die dem zugeordnet sind WorkSpace.
   + Der WorkSpace **Nutzername**. Dies ist der Benutzername, den Sie angeben, um eine Verbindung zum herzustellen WorkSpace.

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Network Interfaces (Netzwerkschnittstellen)** aus.

1. Geben Sie in das Suchfeld die **WorkSpace IP** ein, die Sie in Schritt 5 notiert haben. 

1. Wählen Sie die Netzwerkschnittstelle aus, die der **WorkSpaceIP** zugeordnet ist. 

1. Wenn Sie WorkSpace über eine öffentliche IP-Adresse verfügen, wird diese in der Spalte **IPv4 Öffentliche IP** angezeigt. Notieren Sie sich ggf. diese Adresse.

**Um den NetBIOS-Namen der Active Directory-Domain herauszufinden, mit der Sie verbunden sind**

1. Öffnen Sie die Directory Service Konsole unter [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Klicken Sie in der Liste der Verzeichnisse auf den **Verzeichnis-ID-Link** des Verzeichnisses für WorkSpace.

1. Notieren Sie im Abschnitt **Directory details (Verzeichnisdetails)** den **Directory NetBIOS name (NetBIOS-Name des Verzeichnisses)**.

## Aktivieren Sie SSH-Verbindungen zu allen Linux-Geräten WorkSpaces in einem Verzeichnis
<a name="enable-ssh-directory-level-access-linux-workspaces"></a>

Gehen Sie wie folgt vor, um SSH-Verbindungen zu allen Linux-Geräten WorkSpaces in einem Verzeichnis zu aktivieren.

**Um eine Sicherheitsgruppe mit einer Regel zu erstellen, die eingehenden SSH-Verkehr zu allen WorkSpaces Linux-Geräten in einem Verzeichnis zulässt**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.

1. Wählen Sie **Sicherheitsgruppen erstellen** aus.

1. Geben Sie einen Namen und optional eine Beschreibung für Ihre Sicherheitsgruppe ein.

1. Wählen Sie für **VPC** die VPC aus, die die enthält, für WorkSpaces die Sie SSH-Verbindungen aktivieren möchten.

1. Wählen Sie auf der Registerkarte **Eingehend** **Add Rule (Regel hinzufügen)** und gehen Sie wie folgt vor:
   + Wählen Sie unter **Typ** die Option **SSH** aus.
   + Für **Protokoll** wird TCP automatisch angegeben, wenn Sie die Option **SSH** wählen.
   + Für **Port Range (Portbereich)** wird 22 automatisch angegeben, wenn Sie die Option **SSH** wählen.
   + Geben Sie unter **Quelle** den CIDR-Bereich der öffentlichen IP-Adressen für die Computer an, über die Benutzer eine Verbindung zu ihren Computern herstellen. WorkSpaces Zum Beispiel ein Unternehmensnetzwerk oder ein Heimnetzwerk.
   + Geben Sie unter **Description (Beschreibung)** (optional) eine Beschreibung für die Regel ein.

1. Wählen Sie **Erstellen** aus.

1. Hängen Sie diese Sicherheitsgruppe an Ihre WorkSpaces an. Weitere Informationen zum Hinzufügen dieser Sicherheitsgruppe zu Ihrer WorkSpaces finden Sie unter[Sicherheitsgruppen für WorkSpaces Personal](amazon-workspaces-security-groups.md). Wenn Sie automatisch zusätzliche Sicherheitsgruppen an Ihre hinzufügen möchten WorkSpaces, lesen Sie diesen [Blogbeitrag](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/).

## Passwortbasierte Authentifizierung in WorkSpaces
<a name="enable-ssh-access-old-version"></a>

**Um die Passwortauthentifizierung in einem neu erstellten Linux zu aktivieren WorkSpaces**

1. Starten Sie den WorkSpaces Client und melden Sie sich bei Ihrem an WorkSpace.

1. Öffnen Sie das Terminalfenster.

1. Führen Sie im Terminalfenster den folgenden Befehl aus, um die SSH-Passwortauthentifizierung in cloud-init zu aktivieren.

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: true" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single --name set-passwords'
   ```

   Dieses Skript führt Folgendes aus:
   + Erstellen Sie eine Konfigurationsdatei im Verzeichnis cloud-init. `/etc/cloud/cloud.cfg.d/`
   + Ändern Sie die Konfigurationsdatei, um cloud-init mitzuteilen, die SSH-Passwortauthentifizierung zu aktivieren.
   + Setzen Sie das `set-passwords` Cloud-Init-Modul zurück, damit es erneut ausgeführt werden kann.
   + Führen Sie das `set-passwords` Cloud-Init-Modul selbst aus. Dadurch wird eine Datei, die die SSH-Passwortauthentifizierung aktiviert, in das SSH-Konfigurationsverzeichnis geschrieben und SSHD neu gestartet`/etc/ssh/sshd_config.d/`, sodass die Einstellung sofort erfolgt.

 Dadurch wird die SSH-Passwortauthentifizierung auf Ihrem Computer aktiviert WorkSpace und auch bei benutzerdefinierten Images beibehalten. Wenn Sie die SSH-Passwortauthentifizierung nur in der SSHD-Konfigurationsdatei aktivieren, ohne Cloud-Init zu konfigurieren, wird die Einstellung unter einigen Linux-Versionen auch beim Imaging nicht beibehalten. WorkSpaces Weitere Informationen finden Sie in der Dokumentation zum Cloud-Init-Modul unter [Passwörter festlegen]().

**Um die Passwortauthentifizierung unter vorhandenem Linux zu deaktivieren WorkSpaces**

1. Starten Sie den WorkSpaces Client und melden Sie sich bei Ihrem an WorkSpace.

1. Öffnen Sie das Terminalfenster.

1. Führen Sie im Terminalfenster den folgenden Befehl aus, um die SSH-Passwortauthentifizierung in cloud-init zu deaktivieren.

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: false" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single —name set-passwords'
   ```

   Dieses Skript führt Folgendes aus:
   + Erstellen Sie eine Konfigurationsdatei im Verzeichnis cloud-init. `/etc/cloud/cloud.cfg.d/`
   + Ändern Sie die Konfigurationsdatei, um cloud-init mitzuteilen, die SSH-Passwortauthentifizierung zu deaktivieren.
   + Setzen Sie das `set-passwords` Cloud-Init-Modul zurück, damit es erneut ausgeführt werden kann.
   + Führen Sie das `set-passwords` Cloud-Init-Modul selbst aus. Dadurch wird eine Datei, die die SSH-Passwortauthentifizierung aktiviert, in das SSH-Konfigurationsverzeichnis geschrieben und SSHD neu gestartet`/etc/ssh/sshd_config.d/`, sodass die Einstellung sofort erfolgt.

Dadurch wird SSH sofort in der deaktiviert WorkSpace und auch in benutzerdefinierten Images beibehalten.

## Aktiviert SSH-Verbindungen zu einem bestimmten Linux WorkSpace
<a name="enable-ssh-access-specific-linux-workspace"></a>

Gehen Sie wie folgt vor, um SSH-Verbindungen zu einem bestimmten Linux WorkSpace zu aktivieren.

**Um einer vorhandenen Sicherheitsgruppe eine Regel hinzuzufügen, um eingehenden SSH-Verkehr zu einem bestimmten Linux zuzulassen WorkSpace**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Klicken Sie im Navigationsbereich unter **Network & Security (Netzwerk und Sicherheit)** auf **Network Interfaces (Netzwerkschnittstellen)**.

1. Geben Sie in der Suchleiste die private IP-Adresse der Person ein, für WorkSpace die Sie SSH-Verbindungen aktivieren möchten.

1. Klicken Sie in der Spalte **Security groups (Sicherheitsgruppen)** auf den Link für die Sicherheitsgruppe.

1. Klicken Sie auf die Registerkarte **Inbound** und wählen Sie **Edit** aus.

1. Wählen Sie **Add Rule (Regel hinzufügen)** und gehen Sie wie folgt vor:
   + Wählen Sie unter **Typ** die Option **SSH** aus.
   + Für **Protokoll** wird TCP automatisch angegeben, wenn Sie die Option **SSH** wählen.
   + Für **Port Range (Portbereich)** wird 22 automatisch angegeben, wenn Sie die Option **SSH** wählen.
   + Wählen Sie für **Quelle** **My IP (Meine IP)** oder **Benutzerdefiniert** und geben Sie eine einzelne IP-Adresse oder einen IP-Adressbereich in CIDR-Notation an. Wenn Ihre IPv4 Adresse beispielsweise lautet, geben Sie an `203.0.113.25``203.0.113.25/32`, dass diese einzelne IPv4 Adresse in der CIDR-Notation aufgeführt werden soll. Wenn Ihr Unternehmen Adressen aus einem Bereich zuweist, geben Sie den gesamten Bereich an, z. B. `203.0.113.0/24`.
   + Geben Sie unter **Description (Beschreibung)** (optional) eine Beschreibung für die Regel ein.

1. Wählen Sie **Speichern**.

## Stellen Sie mit Linux oder WorkSpace PuTTY eine Connect zu einem Linux her
<a name="ssh-connection-linux-workspace-using-linux-or-putty"></a>

Nachdem Sie Ihre Sicherheitsgruppe erstellt oder aktualisiert und die erforderliche Regel hinzugefügt haben, können Ihre Benutzer und andere Benutzer Linux oder PuTTY verwenden, um eine Verbindung von ihren Geräten zu Ihrem WorkSpaces herzustellen. 

**Anmerkung**  
Vor dem Abschließen von einem der folgenden Verfahren stellen Sie sicher, dass Sie Folgendes haben:  
Der NetBIOS-Name der Active Directory-Domain, mit der Sie verbunden sind.
Der Benutzername, mit dem Sie sich mit dem WorkSpace verbinden.
Die öffentliche oder private IP-Adresse der WorkSpace , mit der Sie eine Verbindung herstellen möchten.
Anweisungen zum Abrufen dieser Informationen finden Sie unter „Voraussetzungen für SSH-Verbindungen zu Linux WorkSpaces“ weiter oben in diesem Thema.

**So stellen Sie unter Linux eine Verbindung zu einem WorkSpace Linux-Computer her**

1. Öffnen Sie die Eingabeaufforderung als Administrator und geben Sie den folgenden Befehl ein. Geben Sie für *NetBIOS name* *Username**WorkSpace IP*, und die entsprechenden Werte ein. 

   ```
   ssh "NetBIOS_NAME\Username"@WorkSpaceIP
   ```

   Nachstehend finden Sie ein Beispiel für den SSH-Befehl, bei dem:
   + Das *NetBIOS\$1NAME* ist ein beliebiges Unternehmen
   + Das *Username * ist Janedoe
   + Das *WorkSpace IP* ist 203.0.113.25

   ```
   ssh "anycompany\janedoe"@203.0.113.25
   ```

1. Wenn Sie dazu aufgefordert werden, geben Sie dasselbe Passwort ein, das Sie bei der Authentifizierung beim WorkSpaces Client verwenden (Ihr Active Directory-Passwort).

**So stellen Sie WorkSpace mit PuTTY eine Verbindung zu einem Linux her**

1. Öffnen Sie PuTTY.

1. Führen Sie im Dialogfeld **PuTTY Configuration (PuTTY-Konfiguration)** die folgenden Schritte aus:
   + Geben Sie unter **Host Name (or IP address) (Hostname (oder IP-Adresse))** den folgenden Befehl ein. Ersetzen Sie die Werte durch den NetBIOS-Namen der Active Directory-Domäne, mit der Sie verbunden sind, den Benutzernamen, mit dem Sie eine Verbindung herstellen WorkSpace, und die IP-Adresse der Domäne WorkSpace , mit der Sie eine Verbindung herstellen möchten.

     ```
     NetBIOS_NAME\Username@WorkSpaceIP
     ```
   + Geben Sie im Feld **Port** **22** ein.
   + Wählen Sie für **Connection type (Verbindungstyp)** den Eintrag **SSH**.

   Ein Beispiel des SSH-Befehls finden Sie unter Schritt 1 im vorherigen Verfahren.

1.  Klicken Sie auf **Open**.

1. Wenn Sie dazu aufgefordert werden, geben Sie dasselbe Passwort ein, das Sie bei der Authentifizierung beim WorkSpaces Client verwenden (Ihr Active Directory-Passwort).

# Erforderliche Konfiguration und Servicekomponenten für WorkSpaces Personal
<a name="required-service-components"></a>

Als WorkSpace Administrator müssen Sie die folgenden Informationen zu den erforderlichen Konfigurations- und Servicekomponenten verstehen.
+ [Erforderliche Routing-Tabellen-Konfiguration](#routing-table-configuration)
+ [Erforderliche Servicekomponenten für Windows](#required-service-components-windows)
+ [Erforderliche Servicekomponenten](#required-service-components-linux)
+ [Erforderliche Servicekomponenten für Ubuntu](#required-service-components-ubuntu)
+ [Erforderliche Servicekomponenten für Rocky Linux](#required-service-components-rocky)
+ [Erforderliche Servicekomponenten für Red Hat Enterprise Linux](#required-service-components-red-hat)

## Erforderliche Routing-Tabellen-Konfiguration
<a name="routing-table-configuration"></a>

Es wird empfohlen, die Routingtabelle auf Betriebssystemebene für a nicht zu ändern. WorkSpace Der WorkSpaces Dienst benötigt die vorkonfigurierten Routen in dieser Tabelle, um den Systemstatus zu überwachen und Systemkomponenten zu aktualisieren. Wenn für Ihre Organisation Änderungen an der Routingtabelle erforderlich sind, wenden Sie sich an den AWS Support oder Ihr AWS Account-Team, bevor Sie Änderungen vornehmen. 

## Erforderliche Servicekomponenten für Windows
<a name="required-service-components-windows"></a>

Unter Windows WorkSpaces werden die Dienstkomponenten an den folgenden Speicherorten installiert. Diese Objekte dürfen nicht gelöscht, geändert, blockiert oder isoliert werden. Wenn Sie dies tun, WorkSpace funktioniert das nicht richtig.

Wenn Antivirensoftware auf dem installiert ist WorkSpace, stellen Sie sicher, dass sie die an den folgenden Speicherorten installierten Servicekomponenten nicht beeinträchtigt.
+ `C:\Program Files\Amazon`
+ `C:\Program Files\NICE`
+ `C:\Program Files\Teradici`
+ `C:\Program Files (x86)\Teradici`
+ `C:\ProgramData\Amazon`
+ `C:\ProgramData\NICE`
+ `C:\ProgramData\Teradici`

Wenn Antivirensoftware auf dem WorkSpaces Core installiert ist, stellen Sie sicher, dass sie die an den folgenden Speicherorten installierten Servicekomponenten nicht beeinträchtigt.
+ C:\$1Program Files\$1Amazon
+ C:\$1ProgramData\$1 Amazon

### PCo32-Bit-IP-Agent
<a name="pcoip-agent-32-bit-to-64-bit"></a>

Am 29. März 2021 haben wir den PCo IP-Agent von 32-Bit auf 64-Bit aktualisiert. Für Windows WorkSpaces , das das PCo IP-Protokoll verwendet, bedeutet dies, dass der Speicherort der Teradici-Dateien von `C:\Program Files (x86)\Teradici` zu geändert wurde. `C:\Program Files\Teradici` Da wir die PCo IP-Agenten während der regulären Wartungsfenster aktualisiert haben, haben einige von Ihnen den 32-Bit-Agenten während der Umstellung WorkSpaces möglicherweise länger verwendet als andere.

Wenn Sie Firewallregeln, Ausnahmen von Antivirensoftware (auf der Client- und Hostseite), Einstellungen für Gruppenrichtlinienobjekte (GPO) oder Einstellungen für Microsoft System Center Configuration Manager (SCCM), Microsoft Endpoint Configuration Manager oder ähnliche Konfigurationsverwaltungstools konfiguriert haben, die auf dem vollständigen Pfad zum 32-Bit-Agent basieren, müssen Sie diesen Einstellungen auch den vollständigen Pfad zum 64-Bit-Agent hinzufügen.

**Wenn Sie nach den Pfaden zu PCo 32-Bit-IP-Komponenten filtern, achten Sie darauf, die Pfade zu den 64-Bit-Versionen der Komponenten hinzuzufügen. Da WorkSpaces möglicherweise nicht alle gleichzeitig aktualisiert werden, sollten Sie den 32-Bit-Pfad nicht durch den 64-Bit-Pfad ersetzen, da sonst einige Ihrer Pfade WorkSpaces möglicherweise nicht funktionieren.** Wenn Sie beispielsweise für Ihre Ausschlüsse oder Kommunikationsfilter `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_server_win32.exe` als Grundlage verwenden, müssen Sie auch `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_server.exe` hinzufügen. Wenn Sie für Ihre Ausschlüsse oder Kommunikationsfilter `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_agent.exe` als Grundlage verwenden, müssen Sie auch `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_agent.exe` hinzufügen.

**PCoÄnderung des IP-Arbiterdienstes** — Beachten Sie, dass der PCo IP-Arbiterdienst (`C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_arbiter_win32.exe`) entfernt wird, wenn Sie auf die Verwendung des 64-Bit-Agenten aktualisiert WorkSpaces werden.

**PCoIP-Zero-Clients und USB-Geräte** — Ab Version 20.10.4 des PCo IP-Agenten WorkSpaces deaktiviert Amazon die USB-Umleitung standardmäßig über die Windows-Registrierung. Diese Registrierungseinstellung wirkt sich auf das Verhalten von USB-Peripheriegeräten aus, wenn Ihre Benutzer PCo IP-Zero-Client-Geräte verwenden, um eine Verbindung zu ihren Geräten herzustellen. WorkSpaces Weitere Informationen finden Sie unter [USB-Drucker und andere USB-Peripheriegeräte funktionieren nicht für IP-Zero-Clients PCo](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb).

## Erforderliche Servicekomponenten
<a name="required-service-components-linux"></a>

Auf Amazon Linux WorkSpaces sind die Servicekomponenten an den folgenden Orten installiert. Diese Objekte dürfen nicht gelöscht, geändert, blockiert oder isoliert werden. Wenn Sie dies tun, WorkSpace funktioniert das nicht richtig.

**Anmerkung**  
Änderungen an Dateien `/etc/pcoip-agent/pcoip-agent.conf` können dazu führen, dass Sie WorkSpaces nicht mehr funktionieren und dass Sie sie möglicherweise neu erstellen müssen. Informationen über das Ändern von `/etc/pcoip-agent/pcoip-agent.conf` finden Sie unter [Verwalten Sie Ihr Amazon Linux 2 WorkSpaces in WorkSpaces Personal](manage_linux_workspace.md).
+ `/etc/dhcp/dhclient.conf`
+ `/etc/logrotate.d/pcoip-agent`
+ `/etc/logrotate.d/pcoip-server`
+ `/etc/os-release`
+ `/etc/pam.d/pcoip`
+ `/etc/pam.d/pcoip-session`
+ `/etc/pcoip-agent`
+ `/etc/profile.d/system-restart-check.sh`
+ `/etc/X11/default-display-manager`
+ `/etc/yum/pluginconf.d/halt_os_update_check.conf`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/lib/systemd/system/pcoip.service`
+ `/lib/systemd/system/pcoip-agent.service`
+ `/lib64/security/pam_self.so`
+ `/usr/bin/pcoip-fne-view-license`
+ `/usr/bin/pcoip-list-licenses`
+ `/usr/bin/pcoip-validate-license`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/firewalld/services/pcoip-agent.xml`
+ `/usr/lib/modules-load.d/usb-vhci.conf`
+ `/usr/lib/pcoip-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/pcoip.service`
+ `/usr/lib/systemd/system/pcoip.service.d/`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/tmpfiles.d/pcoip-agent.conf`
+ `/usr/lib/yum-plugins/halt_os_update_check.py`
+ `/usr/sbin/pcoip-agent`
+ `/usr/sbin/pcoip-register-host`
+ `/usr/sbin/pcoip-support-bundler`
+ `/usr/share/doc/pcoip-agent`
+ `/usr/share/pcoip-agent`
+ `/usr/share/selinux/packages/pcoip-agent.pp`
+ `/usr/share/X11`
+ `/var/crash/pcoip-agent`
+ `/var/lib/pcoip-agent`
+ `/var/lib/skylight`
+ `/var/log/pcoip-agent` 
+ `/var/log/skylight`
+ `/var/logs/wsp`
+ `/var/log/eucanalytics` 

## Erforderliche Servicekomponenten für Ubuntu
<a name="required-service-components-ubuntu"></a>

Auf Ubuntu WorkSpaces sind die Servicekomponenten an den folgenden Orten installiert. Diese Objekte dürfen nicht gelöscht, geändert, blockiert oder isoliert werden. Wenn Sie dies tun, WorkSpace funktioniert das nicht richtig.
+ `/etc/X11/default-display-manager`
+ `/etc/dcv`
+ `/etc/default/grub.d/zz-hibernation.cfg`
+ `/etc/netplan`
+ `/etc/os-release`
+ `/etc/pam.d/dcv`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/sssd/sssd.conf`
+ `/etc/wsp`
+ `/etc/systemd/system/euc-analytic-agent.service` 
+ `/lib64/security/pam_self.so`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/share/X11`
+ `/usr/bin/euc-analytics-agent`
+ `/var/lib/skylight`
+ `/var/log/skylight`
+ `/var/log/eucanalytics` 

## Erforderliche Servicekomponenten für Rocky Linux
<a name="required-service-components-rocky"></a>

Auf Red Hat Enterprise Linux WorkSpaces sind die Servicekomponenten an den folgenden Orten installiert. Diese Objekte dürfen nicht gelöscht, geändert, blockiert oder isoliert werden. Wenn Sie dies tun, WorkSpace wird der nicht richtig funktionieren.
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/lib/skylight`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`

## Erforderliche Servicekomponenten für Red Hat Enterprise Linux
<a name="required-service-components-red-hat"></a>

Auf Red Hat Enterprise Linux WorkSpaces sind die Servicekomponenten an den folgenden Orten installiert. Diese Objekte dürfen nicht gelöscht, geändert, blockiert oder isoliert werden. Wenn Sie dies tun, WorkSpace wird der nicht richtig funktionieren.
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`