本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 访问微软 Entra Per ID-joined WorkSpaces sonal
<a name="access-entra-id"></a>

你可以创建 Windows 10 或 11 BYOL 个人版 WorkSpaces ，它们是 Microsoft Entra ID-joined 并注册了 Intune。有关更多详细信息，请参阅[使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces](launch-entra-id.md)。

## 身份验证工作流
<a name="authentication-workflow-entra"></a>

以下各节描述了由 WorkSpaces 客户端应用程序、 WorkSpaces Web Access 和 SAML 2.0 身份提供商 (IdP) Microsoft Entra ID 启动的身份验证工作流程：
+ 当工作流由 IdP 启动时。例如，当用户使用 Web 浏览器在 Entra ID 用户门户中选择应用程序时。
+ 当流程由 WorkSpaces 客户端启动时。例如，当用户打开客户端应用程序并登录时。
+ 当流程由 WorkSpaces Web Access 启动时。例如，当用户在浏览器中打开 Web Access 并登录时。

在这些示例中，用户输入 `user@example.onmicrosoft.com` 以登录 IdP。在 Entra ID 上，系统将企业应用程序配置为与 IAM Identity Center 相集成。用户在使用 IAM Identity Center 作为连接到 Entra ID 租户的身份源的目录中为自己的用户名创建。 WorkSpace 此外，用户可以在自己的设备上安装[WorkSpaces 客户端应用程序](https://clients.amazonworkspaces.com/)，或者用户在 Web 浏览器中使用 Web Access。

**由身份提供者 (IdP) 启动的客户端应用程序流**

该 IdP-initiated 流程允许用户在其设备上自动注册 WorkSpaces 客户端应用程序，而无需输入 WorkSpaces 注册码。用户不会 WorkSpaces 使用 IdP-initiated 流程登录。 WorkSpaces 身份验证必须来自客户端应用程序。

1. 用户使用其 Web 浏览器登录 IdP（Microsoft Entra ID）。

1. 登录 IdP 后，用户从 IdP 用户门户中选择 AWS IAM 身份中心应用程序。

1. 用户将在浏览器中重定向到 AWS 访问门户。然后，用户选择图 WorkSpaces 标。

1. 用户被重定向到以下页面， WorkSpaces 客户端应用程序将自动打开。如果客户端** WorkSpaces 应用程序未自动打开，请选择 “打开 Amazon** 应用程序”。  
![打开 WorkSpaces 应用程序重定向页面](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-redir.png)

1.  WorkSpaces 客户端应用程序现已注册，用户可以通过单击 “继续” **登录继续登录 WorkSpaces**。

**身份提供者（IdP）启动的 Web Access 流**

 IdP-initiated Web Access 流程允许用户 WorkSpaces 通过 Web 浏览器自动注册，无需输入 WorkSpaces 注册码。用户不会 WorkSpaces 使用 IdP-initiated 流程登录。 WorkSpaces 身份验证必须源自 Web 访问。

1. 用户使用其 Web 浏览器登录 IdP。

1. 登录 IdP 后，用户从 IdP 用户门户中单击 AWS IAM 身份中心应用程序。

1. 用户将在浏览器中重定向到 AWS 访问门户。然后，用户选择图 WorkSpaces 标。

1. 系统在浏览器中将用户重定向到此页面。要打开 WorkSpaces，请在**浏览器 WorkSpaces 中选择 Amazon**。  
![打开 WorkSpaces 应用程序重定向页面](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-redir.png)

1.  WorkSpaces 客户端应用程序现已注册，用户可以继续通过 WorkSpaces Web Access 登录。

**WorkSpaces 客户端启动的流程**

客户端启动的流程允许用户在登录 IdP WorkSpaces 后登录自己的。

1. 用户启动 WorkSpaces 客户端应用程序（如果尚未运行），然后单击 “**继续” 登录 WorkSpaces**。

1. 系统会将用户重定向到其默认 Web 浏览器以登录 IdP。如果用户已经在浏览器中登录 IdP，则无需再次登录，可以跳过此步骤。

1. 登录 IdP 后，系统会将用户重定向到弹出窗口。按照提示允许您的 Web 浏览器打开客户端应用程序。

1. 在 Windows 登录屏幕上，用户将被重定向到 WorkSpaces 客户端应用程序。

1. 用户使用自己的 Entra ID 用户名和凭证登录到 Windows。

**WorkSpaces 网络 Access-initiated 流程**

Web Access-initiated 流程允许用户在登录 IdP WorkSpaces 后登录自己的。

1. 用户启动 WorkSpaces Web 访问并选择**登录**。

1. 在同一个浏览器选项卡中，系统将用户重定向到 IdP 门户。如果用户已经在浏览器中登录 IdP，则无需再次登录，可以跳过此步骤。

1. 登录 IdP 后，用户在浏览器中重定向到此页面，然后单击 “**登录**”。 WorkSpaces

1. 在 Windows 登录屏幕上，用户将被重定向到 WorkSpaces 客户端应用程序。

1. 用户使用自己的 Entra ID 用户名和凭证登录到 Windows。

## First-time 用户体验
<a name="first-time-entra"></a>

如果你是首次登录 Microsoft Entra ID-joined Windows WorkSpaces，则必须体验开箱即用的体验 (OOBE)。在 OOBE 期间， WorkSpaces 他们加入了 Entra ID。你可以通过配置分配给你为你创建的 Microsoft Intune 设备组的自动驾驶配置文件来自定义 OOBE 体验。 WorkSpaces有关更多信息，请参阅 [步骤 3：配置 Windows Autopilot 用户驱动模式](launch-entra-id.md#entra-step-3)。