기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon WorkSpaces 애플리케이션에서 Active Directory 사용을 시작하기 전에
<a name="active-directory-prerequisites"></a>

WorkSpaces 애플리케이션에서 Microsoft Active Directory 도메인을 사용하기 전에 다음 요구 사항 및 고려 사항에 유의하세요.

**Topics**
+ [Active Directory 도메인 환경](active-directory-prerequisites-domain-environment.md)
+ [도메인에 조인된 WorkSpaces 애플리케이션 스트리밍 인스턴스](active-directory-prerequisites-streaming-instances.md)
+ [그룹 정책 설정](active-directory-prerequisites-group-policy-settings.md)
+ [스마트 카드 인증](active-directory-prerequisites-smart-card-authentication.md)

# Active Directory 도메인 환경
<a name="active-directory-prerequisites-domain-environment"></a>

Active Directory 도메인 환경은 다음 요구 사항을 충족해야 합니다.
+ 스트리밍 인스턴스를 조인할 Microsoft Active Directory 도메인이 필요합니다. Active Directory 도메인이 없거나 온프레미스 Active Directory 환경을 사용하려는 경우 [AWS 파트너 솔루션 배포 가이드의 Active Directory 도메인 서비스를](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/) 참조하세요.
+ WorkSpaces 애플리케이션에서 사용하려는 도메인에서 컴퓨터 객체를 생성하고 관리할 수 있는 권한이 있는 도메인 서비스 계정이 있어야 합니다. 자세한 내용은 Microsoft 설명서의 [How to Create a Domain Account in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx)를 참조하세요.

  이 Active Directory 도메인을 WorkSpaces 애플리케이션과 연결할 때 서비스 계정 이름과 암호를 제공합니다. WorkSpaces 애플리케이션은이 계정을 사용하여 디렉터리에서 컴퓨터 객체를 생성하고 관리합니다. 자세한 내용은 [Active Directory 컴퓨터 객체를 생성 및 관리할 수 있는 권한 부여](active-directory-permissions.md) 단원을 참조하십시오.
+ WorkSpaces 애플리케이션에 Active Directory 도메인을 등록할 때 조직 단위(OU) 고유 이름을 제공해야 합니다. 이를 위해 OU를 생성합니다. 기본 컴퓨터 컨테이너는 OU가 아니며 WorkSpaces 애플리케이션에서 사용할 수 없습니다. 자세한 내용은 [조직 단위의 고유 이름 찾기](active-directory-oudn.md) 단원을 참조하십시오.
+ WorkSpaces 애플리케이션에서 사용하려는 디렉터리는 스트리밍 인스턴스가 시작되는 Virtual Private Cloud(VPC)를 통해 정규화된 도메인 이름(FQDNs)을 통해 액세스할 수 있어야 합니다. 자세한 내용은 Microsoft 설명서의 [Active Directory 및 Active Directory 도메인 서비스 포트 요구 사항](https://technet.microsoft.com/en-us/library/dd772723.aspx)을 참조하세요.
+ 도메인 컨트롤러 액세스는 IPv6를 통해 지원될 수 있으며 [DHCP 옵션 세트 업데이트](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)가 필요합니다.

# 도메인에 조인된 WorkSpaces 애플리케이션 스트리밍 인스턴스
<a name="active-directory-prerequisites-streaming-instances"></a>

도메인에 조인된 올웨이즈 온 및 온디맨드 플릿에서 애플리케이션 스트리밍을 수행하려면 SAML 2.0 기반 사용자 페더레이션이 필요합니다. [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) 또는 WorkSpaces 애플리케이션 사용자 풀을 사용하여 도메인에 조인된 인스턴스에 대한 세션을 시작할 수 없습니다.

또한 이미지 빌더 및 플릿을 Active Directory 도메인에 조인하도록 지원하는 이미지를 사용해야 합니다. 2017년 7월 24일 이후로 게시되는 퍼블릭 이미지는 모두 Active Directory 도메인 병합을 지원합니다. 자세한 내용은 [WorkSpaces 애플리케이션 기본 이미지 및 관리형 이미지 업데이트 릴리스 정보](base-image-version-history.md) 및 [자습서: Active Directory 설정](active-directory-directory-setup.md) 섹션을 참조하세요.

**참고**  
Always-On 및 온디맨드 플릿 스트리밍 인스턴스를 Active Directory 도메인에 조인할 수 있습니다. 지원되는 운영 체제에는 Windows, Red Hat Enterprise Linux 및 Rocky Linux가 포함됩니다.

# 그룹 정책 설정
<a name="active-directory-prerequisites-group-policy-settings"></a>

다음 그룹 정책 설정에 대한 구성을 확인합니다. 필요한 경우 WorkSpaces 애플리케이션이 도메인 사용자를 인증하고 로그인하는 것을 차단하지 않도록이 섹션에 설명된 대로 설정을 업데이트합니다. 그렇지 않으면 사용자가 WorkSpaces 애플리케이션에 로그인하려고 하면 로그인에 실패할 수 있습니다. 대신 사용자에게 “알 수 없는 오류가 발생했습니다.“라는 메시지가 표시됩니다.
+ **컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > Windows 로그온 옵션 > 소프트웨어 보안 주의 시퀀스 비활성화 또는 활성화** - **서비스**에 대해 이 설정을 **활성화됨**으로 설정합니다.
+ **컴퓨터 구성 > 관리 템플릿 > 시스템 > 로그온 > 자격 증명 제공업체 제외** - 다음 CLSID가 나열되지 *않게* 하세요. `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` 및 `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 > 대화형 로그온 > 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트** - 이 값을 **정의되지 않음**으로 설정합니다.
+ **컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 > 대화형 로그온 > 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목** - 이 값을 **정의되지 않음**으로 설정합니다.
+ **컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 > 로컬에서 로그온 허용** - 이를 **정의되지 않음**으로 설정하거나 도메인 사용자/그룹을 이 목록에 추가합니다.
+ **컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 > 로컬에서 로그온 거부** - 이를 **정의되지 않음**으로 설정하거나 도메인 사용자/그룹이 목록에 포함되지 않도록 합니다.

멀티 세션 플릿을 사용하는 경우 위에 지정된 설정 외에도 다음 그룹 정책 설정도 필요합니다.
+ **컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 > 원격 데스크톱 서비스를 통한 로그인 허용** - 이를 **정의되지 않음**으로 설정하거나 도메인 사용자/그룹을 이 목록에 추가합니다.
+ **컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 > 원격 데스크톱 서비스를 통한 로그온 거부** - 이를 **정의되지 않음**으로 설정하거나 도메인 사용자/그룹이 목록에 포함되지 않도록 합니다.

# 스마트 카드 인증
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces 애플리케이션은 Windows용 [CAC(Common Access Card)](https://www.cac.mil/Common-Access-Card) 및 [PIV(Personal Identity Verification)](https://piv.idmanagement.gov/) 스마트 카드와 같은 Active Directory 도메인 암호 또는 스마트 카드를 WorkSpaces 애플리케이션 스트리밍 인스턴스에 로그인할 수 있도록 지원합니다. 서드 파티 인증 기관(CA)을 사용하여 스마트 카드 로그인을 활성화하도록 Active Directory 환경을 구성하는 방법에 대한 자세한 내용은 Microsoft 설명서에서 [Guidelines for enabling smart card logon with third-party certification authorities](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)를 참조하세요.

**참고**  
WorkSpaces 애플리케이션은 사용자가 스트리밍 인스턴스에 로그인한 후 세션 내 인증을 위한 스마트 카드 사용도 지원합니다. 이 기능은 Windows 버전 1.1.257 이상용 WorkSpaces 애플리케이션 클라이언트가 설치된 사용자에게만 지원됩니다. 추가 요구 사항에 관한 자세한 내용은 [스마트 카드](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards) 섹션을 참조하세요.