Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Avant de commencer à utiliser Active Directory avec Amazon WorkSpaces Applications
<a name="active-directory-prerequisites"></a>

Avant d'utiliser des domaines Microsoft Active Directory avec WorkSpaces des applications, tenez compte des exigences et considérations suivantes.

**Topics**
+ [Environnement de domaine Active Directory](active-directory-prerequisites-domain-environment.md)
+ [Instances de streaming d' WorkSpaces applications jointes à un domaine](active-directory-prerequisites-streaming-instances.md)
+ [Paramètres de stratégie de groupe](active-directory-prerequisites-group-policy-settings.md)
+ [Authentification par carte à puce](active-directory-prerequisites-smart-card-authentication.md)

# Environnement de domaine Active Directory
<a name="active-directory-prerequisites-domain-environment"></a>

Votre environnement de domaine Active Directory doit répondre aux exigences suivantes.
+ Vous devez avoir un domaine Microsoft Active Directory auquel joindre vos instances de streaming. Si vous ne possédez pas de domaine Active Directory ou si vous souhaitez utiliser votre environnement Active Directory sur site, consultez le [guide de déploiement des services de domaine Active Directory on AWS Partner Solution](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/).
+ Vous devez disposer d'un compte de service de domaine autorisé à créer et à gérer des objets informatiques dans le domaine que vous souhaitez utiliser avec WorkSpaces les applications. Pour plus d'informations, consultez [Comment créer un compte de domaine dans Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx) dans la documentation Microsoft.

  Lorsque vous associez ce domaine Active Directory à des WorkSpaces applications, fournissez le nom du compte de service et le mot de passe. WorkSpaces Les applications utilisent ce compte pour créer et gérer des objets informatiques dans le répertoire. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory](active-directory-permissions.md).
+ Lorsque vous enregistrez votre domaine Active Directory auprès d' WorkSpaces Applications, vous devez fournir un nom distinctif d'unité organisationnelle (UO). A cet effet, créez une unité d'organisation. Le conteneur Ordinateurs par défaut n'est pas une unité d'organisation et ne peut pas être utilisé par WorkSpaces les applications. Pour de plus amples informations, veuillez consulter [Recherche du nom unique d’unité d’organisation](active-directory-oudn.md).
+ Les annuaires que vous prévoyez d'utiliser avec WorkSpaces les applications doivent être accessibles via leurs noms de domaine complets (FQDNs) via le cloud privé virtuel (VPC) dans lequel vos instances de streaming sont lancées. Pour plus d'informations, consultez [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx) dans la documentation Microsoft.
+ L'accès au contrôleur de domaine peut également être pris en charge IPv6 et nécessite des [mises à jour des paramètres d'options DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html).

# Instances de streaming d' WorkSpaces applications jointes à un domaine
<a name="active-directory-prerequisites-streaming-instances"></a>

La fédération d’utilisateur basée sur SAML 2.0 est nécessaire pour diffuser les applications à partir de flottes toujours actives et à la demande jointes à un domaine. Vous ne pouvez pas lancer de sessions sur des instances jointes à un domaine en utilisant l'[CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) ou le groupe d'utilisateurs WorkSpaces des applications.

Vous devez utiliser une image qui prend en charge la jonction des instances Image Builder et des flottes à un domaine Active Directory. Toutes les images publiques publiées à compter du 24 juillet 2017 inclus prennent en charge la jonction d’un domaine Active Directory. Pour plus d’informations, consultez [WorkSpaces Notes de mise à jour de l'image de base et de l'image gérée des applications](base-image-version-history.md) et [Didacticiel : Installation d'Active Directory](active-directory-directory-setup.md).

**Note**  
Vous pouvez associer des instances de streaming de flotte Always-On et On-Demand à un domaine Active Directory. Les systèmes d'exploitation pris en charge incluent Windows, Red Hat Enterprise Linux et Rocky Linux.

# Paramètres de stratégie de groupe
<a name="active-directory-prerequisites-group-policy-settings"></a>

Vérifiez votre configuration pour les paramètres de stratégie de groupe suivants. Si nécessaire, mettez à jour les paramètres comme décrit dans cette section afin qu'ils n'empêchent pas WorkSpaces les applications de s'authentifier et de connecter les utilisateurs de votre domaine. Dans le cas contraire, lorsque vos utilisateurs essaieront de se connecter à WorkSpaces Applications, la connexion risque d'échouer. À la place, un message s’affiche, informant les utilisateurs qu’« une erreur inconnue s’est produite ».
+ **Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Options d’ouverture de session Windows > Désactiver ou activer la séquence de touches de sécurité** : définissez cette option sur **Activé** pour **Services**.
+ **Configuration informatique > Modèles d'administration > Système > Ouverture de session > Exclure les fournisseurs d'informations d'identification** — Assurez-vous que les CLSID suivants *ne sont pas* répertoriés : et `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **Configuration de l’ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité > Connexion interactive > Connexion interactive : Texte du message pour les utilisateurs qui tentent de se connecter** : définissez cette option sur **Non défini**.
+ **Configuration de l’ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité > Connexion interactive > Connexion interactive : Titre du message pour les utilisateurs qui tentent de se connecter** : définissez cette option sur **Non défini**.
+ **Configuration de l'ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur > Autoriser la connexion en local — Définissez ce paramètre sur** **Non défini** ou ajoutez le domaine user/group à cette liste.
+ **Configuration de l'ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur > Refuser l'ouverture de session localement — Définissez ce paramètre sur** **Non défini** ou assurez-vous que les utilisateurs/groupes du domaine ne figurent pas dans la liste.

Si vous utilisez des flottes multisessions, vous avez également besoin des paramètres de stratégie de groupe suivants, en plus des paramètres spécifiés ci-dessus.
+ **Configuration de l'ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur > Autoriser la connexion via Remote Desktop Services — Définissez ce paramètre sur** **Non défini** ou ajoutez le domaine user/group à cette liste.
+ **Configuration de l'ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur > Refuser l'ouverture de session via Remote Desktop Services : définissez ce paramètre sur** **Non défini** ou assurez-vous que le domaine users/groups ne figure pas dans la liste.

# Authentification par carte à puce
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces Les applications prennent en charge l'utilisation de mots de passe de domaine Active Directory ou de cartes à puce telles que [les cartes à puce Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) et de [vérification d'identité personnelle (PIV)](https://piv.idmanagement.gov/) pour Windows. Connectez-vous aux instances de streaming d' WorkSpaces applications. Pour plus d'informations sur la façon de configurer votre environnement Active Directory afin d'activer la connexion par carte à puce à l'aide d'autorités de certification tierces (CAs), consultez les [Directives relatives à l'activation de l'ouverture de session par carte à puce auprès d'autorités de certification tierces](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) dans la documentation Microsoft.

**Note**  
WorkSpaces Les applications prennent également en charge l'utilisation de cartes à puce pour l'authentification en cours de session après qu'un utilisateur se connecte à une instance de streaming. Cette fonctionnalité est prise en charge uniquement pour les utilisateurs sur lesquels le client WorkSpaces Applications pour Windows version 1.1.257 ou ultérieure est installé. Pour plus d’informations sur les exigences supplémentaires, consultez [Cartes à puce](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards).