

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Intégration à Microsoft Active Directory
<a name="integration-with-microsoft-active-directory"></a>

 Les générateurs d'images et les flottes Amazon WorkSpaces Applications peuvent être intégrés à Microsoft Active Directory. Cela vous permet de fournir une méthode centralisée pour l'authentification et l'autorisation des utilisateurs et d'appliquer des politiques de groupe Active Directory aux instances d' WorkSpaces applications jointes à un domaine. L'utilisation de flottes d' WorkSpaces applications associées à un domaine offre les mêmes avantages administratifs qu'un environnement sur site. Cela inclut la gestion centralisée des partages de fichiers réseau, des droits des applications utilisateur, des profils d'itinérance, de l'accès aux imprimantes et d'autres paramètres basés sur des politiques. 

 Lors de l'intégration d'un environnement d' WorkSpaces applications à Active Directory, il est important de noter que l'authentification initiale auprès de la pile d' WorkSpaces applications est toujours gérée par un SAML2.0 IdP. Une fois que l'utilisateur est authentifié auprès de l'IdP, lorsqu'il lance une session, il doit saisir son mot de passe de domaine ou une authentification par carte à puce pour le domaine Active Directory. 

 Lors de la conception de l'environnement des services de domaine Active Directory (ADDS) qui sera utilisé avec WorkSpaces les applications, deux options de service et de nombreux scénarios de déploiement sont disponibles. Assurez-vous également que le réseau WorkSpaces des applications est examiné avec le propriétaire de la topologie de votre site Active Directory. 

## Options de service
<a name="service-options"></a>

 Active Directory peut également être déployé à l'aide de [https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) (AD). AWS Managed Microsoft AD est un service entièrement géré qui vous permet d'exécuter Microsoft Active Directory. Microsoft Active Directory peut également être utilisé dans un environnement auto-hébergé, exécuté sur EC2 ou sur site. 

## Scénarios de déploiement
<a name="deployment-scenarios"></a>

 Les scénarios de déploiement répertoriés ci-dessous sont des options d'intégration couramment utilisées et recommandées pour WorkSpaces les applications avec Microsoft Managed AD ou Active Directory autogéré par un client. Tous les diagrammes d'architecture répertoriés ci-dessous utilisent les constructions principales d'Amazon. 
+  **Amazon Virtual Private Cloud (VPC) — Création d'un Amazon VPC** dédié aux services d' WorkSpaces applications avec au moins quatre sous-réseaux privés répartis sur quatre zones de disponibilité. Deux des sous-réseaux privés sont utilisés pour les flottes d' WorkSpaces applications et les générateurs d'images. Les deux sous-réseaux restants sont utilisés pour les contrôleurs de domaine sur EC2 ou Microsoft Managed AD). 
+  **Ensemble d'options DHCP (Dynamic Host Configuration Protocol)** : fournit une norme pour transmettre les informations de configuration au parc d' WorkSpaces applications et aux générateurs d'images qui seront fournis dans le VPC. Le jeu d'options DHCP est défini au niveau du VPC. Il permet aux clients de définir un nom de domaine et des paramètres DNS spécifiques qui seront utilisés avec les WorkSpaces applications instanciées lors de leur mise en service. 
+  **AWS Services d'annuaire** — Amazon Microsoft Managed AD peut être déployé sur deux sous-réseaux privés qui seront utilisés conjointement avec les charges de travail WorkSpaces des applications. 
+  **WorkSpaces Flottes d'applications : les** flottes WorkSpaces d'applications ou les générateurs d'images sont hébergés dans le AWS VPC géré. Chaque instance WorkSpaces d'applications possède deux interfaces réseau élastiques (ENI). L'interface principale (`eth0`) est utilisée à des fins de gestion et pour négocier la connexion de l'utilisateur final à l'instance via la passerelle de streaming. L'interface secondaire (`eth1`) est injectée dans le VPC client et peut être utilisée pour accéder à d'autres ressources dans le VPC sur mesure ou sur site. 

### Scénario 1 : services de domaine Active Directory (ADDS) déployés sur site
<a name="scenario-1-active-directory-domain-services-adds-deployed-on--premises"></a>

 Tout le trafic d'authentification passe par la connexion VPN ou Direct Connect entre le VPC du client et la passerelle client. L'avantage de ce scénario est l'avantage d'utiliser un environnement AD peut-être déjà déployé sans avoir à fournir de contrôleurs de domaine supplémentaires dans le VPC du client. L'inconvénient est la dépendance exclusive au VPN ou à Direct Connect pour authentifier et autoriser les utilisateurs du parc d' WorkSpaces applications. En cas de problème de connectivité réseau, le parc WorkSpaces d'applications ou les constructeurs d'images seront directement affectés. La fourniture de deux tunnels VPN ou de connexions Direct Connect avec des chemins différents atténue ce risque potentiel. 

![Schéma des services de domaine Active Directory (ADDS) déployés sur site](http://docs.aws.amazon.com/fr_fr/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/images/adds-on-premises.png)


 *Scénario 1 — Services de domaine Active Directory (ADDS) déployés sur site* 

### Scénario 2 : étendre les services de domaine actifs (ADDS) à AWS VPC client
<a name="scenario-2-extend-active-domain-services-adds-into-aws-customer-vpc"></a>

 L'Active Directory est étendu au VPC de votre client. Un site Active Directory doit être créé pour les nouveaux contrôleurs de domaine dans le VPC du client. Le trafic d'authentification est acheminé vers les contrôleurs de domaine du VPC du AWS client au lieu de passer par la connexion VPN ou Direct Connect. 

![Schéma illustrant l'extension des services de domaine actifs au cloud privé virtuel AWS du client](http://docs.aws.amazon.com/fr_fr/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/images/extend-active-domain.png)


 *Scénario 2 — Étendre les services de domaine actifs au cloud privé virtuel AWS du client* 

### Scénario 3  : AWS Microsoft Active Directory géré
<a name="scenario-3-aws-managed-microsoft-active-directory"></a>

 AWS Managed Microsoft AD est déployé dans AWS Cloud et est utilisé comme domaine d'identité et de ressources pour les flottes d' WorkSpaces applications et les générateurs d'images. 

![Schéma du AWS Managed Active Directory](http://docs.aws.amazon.com/fr_fr/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/images/aws-managed-directory.png)


 *Scénario 3 — Active Directory AWS géré* 

## Topologie du site Active Directory Service
<a name="active-directory-service-site-topology"></a>

 La topologie d'un site de service Active Directory est une représentation logique de votre réseau physique. 

 Une topologie de site vous aide à acheminer efficacement les requêtes des clients et le trafic de réplication Active Directory. Une topologie de site bien conçue et bien entretenue permet à votre organisation de bénéficier des avantages suivants : 
+  Minimisez le coût de réplication des données Active Directory lors de la synchronisation entre les données sur site et. AWS Cloud
+  Optimisez la capacité des ordinateurs clients à localiser les ressources les plus proches, telles que les contrôleurs de domaine. Cela permet de réduire le trafic réseau sur les liaisons réseau étendues (WAN) lentes, d'améliorer les processus d'ouverture et de fermeture de session et d'accélérer les opérations d'accès aux ressources. 

 Lorsque vous WorkSpaces introduisez les services Applications, assurez-vous que les plages d'adresses utilisées pour les sous-réseaux des instances d' WorkSpaces applications sont attribuées au site correspondant à votre environnement. 

 Pour les scénarios 1 et 2, les sites et les services sont des composants essentiels à la meilleure expérience utilisateur en termes de temps de connexion et de temps d'accès aux ressources Active Directory. 

 La topologie de site contrôle la réplication Active Directory entre les contrôleurs de domaine au sein du même site et au-delà des limites du site. 

 La définition de la topologie de site correcte garantit l'affinité avec les clients, ce qui signifie que les clients (dans ce cas, WorkSpaces les instances de streaming d'applications) utilisent leur contrôleur de domaine local préféré. 

![Schéma AD des sites et services Active Directory — affinité avec les clients](http://docs.aws.amazon.com/fr_fr/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/images/active-directory-client-affinity.png)


 *Sites et services Active Directory : affinité avec les clients* 

**Astuce**  
 La meilleure pratique consiste à définir le coût élevé des liens entre les sites AD DS sur site et le cloud AWS. La figure précédente est un exemple des coûts que vous devez attribuer aux liens du site (coût 100) pour garantir une affinité client indépendante du site. 

 Pour plus d'informations sur la topologie du site, reportez-vous à la section [https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/designing-the-site-topology](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/designing-the-site-topology). 

## Unités organisationnelles Active Directory
<a name="active-directory-organizational-units"></a>

AWS recommande de stocker les unités organisationnelles (UO) configurées dans un seul objet WorkSpaces Applications Directory Config. Il est recommandé que chaque pile d' WorkSpaces applications dispose de sa propre unité d'organisation. Cela vous donne la flexibilité d'avoir des GPO spécifiques par pile. Assurez-vous que les unités d'organisation sont dédiées aux objets informatiques des WorkSpaces applications afin d'éviter de mélanger WorkSpaces Applications-specific les politiques avec les bureaux locaux. Envisagez d'utiliser des sous-unités d'exploitation pour chaque unité dans Région AWS laquelle vous déployez WorkSpaces des applications.

## Nettoyage d'objets informatiques Active Directory
<a name="active-directory-computer-object-cleanup"></a>

 WorkSpaces Les instances d'applications sont éphémères. Un parc crée et réutilise des objets informatiques Active Directory au fur et à mesure que les flottes s'agrandissent et s'intensifient. 

 AWS recommande de créer un processus de nettoyage AD pour supprimer les objets informatiques Active Directory obsolètes qui peuvent exister après la suppression d'un parc d' WorkSpaces applications. 