本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 開始搭配 Amazon WorkSpaces 應用程式使用 Active Directory 之前
將 Microsoft Active Directory 網域與 WorkSpaces 應用程式搭配使用之前,請注意下列需求和考量事項。
**Topics**
+ [Active Directory 網域環境](active-directory-prerequisites-domain-environment.md)
+ [加入網域的 WorkSpaces 應用程式串流執行個體](active-directory-prerequisites-streaming-instances.md)
+ [群組政策設定](active-directory-prerequisites-group-policy-settings.md)
+ [智慧卡身分驗證](active-directory-prerequisites-smart-card-authentication.md)
# Active Directory 網域環境
您的 Active Directory 網域環境必須符合下列要求。
+ 您需要串流執行個體加入目標的 Microsoft Active Directory 網域。如果您沒有 Active Directory 網域或想要使用內部部署 Active Directory 環境,請參閱[AWS 合作夥伴解決方案部署指南上的 Active Directory 網域服務](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/)。
+ 您必須擁有網域服務帳戶,其具有在您打算與 WorkSpaces 應用程式搭配使用的網域中建立和管理電腦物件的許可。如需資訊,請參閱 Microsoft 文件中的 [How to Create a Domain Account in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx)。
當您將此 Active Directory 網域與 WorkSpaces 應用程式建立關聯時,請提供服務帳戶名稱和密碼。WorkSpaces 應用程式使用此帳戶在 目錄中建立和管理電腦物件。如需詳細資訊,請參閱[授予許可來建立及管理 Active Directory 電腦物件](active-directory-permissions.md)。
+ 當您向 WorkSpaces 應用程式註冊 Active Directory 網域時,您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設電腦容器不是 OU,WorkSpaces 應用程式無法使用。如需詳細資訊,請參閱[尋找組織單位辨別名稱](active-directory-oudn.md)。
+ 您計劃與 WorkSpaces 應用程式搭配使用的目錄必須透過啟動串流執行個體的虛擬私有雲端 (FQDNs) 存取。如需詳細資訊,請參閱 Microsoft 文件中的 [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx)。
+ 網域控制站存取也可以透過 IPv6 支援,並且需要 [DHCP 選項集更新](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。
# 加入網域的 WorkSpaces 應用程式串流執行個體
SAML 2.0 型使用者聯合是從加入網域的 Always-On 和 On-Demand 機群串流應用程式時所需。您無法使用 [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) 或 WorkSpaces 應用程式使用者集區,將工作階段啟動至加入網域的執行個體。
此外,您必須使用支援將映像建置器和機群加入 Active Directory 網域的映像。所有在 2017 年 7 月 24 日及其之後發佈的公有映像都支援加入 Active Directory 網域。如需詳細資訊,請參閱[WorkSpaces 應用程式基礎映像和受管映像更新版本備註](base-image-version-history.md)及[教學:設定 Active Directory](active-directory-directory-setup.md)。
**注意**
您可以將 Always-On 和隨需機群串流執行個體加入 Active Directory 網域。支援的作業系統包括 Windows、Red Hat Enterprise Linux 和 Rocky Linux。
# 群組政策設定
請確認下列群組原則設定的組態。如有需要,請更新本節所述的設定,使其不會阻止 WorkSpaces 應用程式驗證和登入您的網域使用者。否則,當您的使用者嘗試登入 WorkSpaces 應用程式時,登入可能不會成功。而是會顯示訊息,通知使用者「發生未知的錯誤。」
+ **電腦組態 > 管理範本 > Windows 元件 > Windows 登入選項 > 停用或啟用軟體 Secure Attention Sequence**:針對**服務**將此項設為**啟用**。
+ **電腦組態 > 管理範本 > 系統 > 登入 > 排除登入資料提供者** — 確保*未*列出下列 CLSID: `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` 和 `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入:給嘗試登入的使用者的訊息文字**:將此項設為**未定義**。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入:給嘗試登入的使用者的訊息標題**:將此項設為**未定義**。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 使用者權限指派 > 允許本機登入** — 將此設定為**未定義**或將網域使用者/群組新增至此清單。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 使用者權限指派 > 拒絕本機登入** — 將此設定為**未定義**,或確定網域使用者/群組未包含在清單中。
如果您使用的是多工作階段機群,除了上述指定的設定之外,還需要下列群組政策設定。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 使用者權限指派 > 允許透過遠端桌面服務登入** — 將此設定為**未定義**或將網域使用者/群組新增至此清單。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 使用者權利指派 > 透過遠端桌面服務拒絕登入** — 將此設定為**未定義**,或確定網域使用者/群組未包含在清單中。
# 智慧卡身分驗證
WorkSpaces 應用程式支援使用 Active Directory 網域密碼或智慧卡,例如[通用存取卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[個人身分驗證 (PIV)](https://piv.idmanagement.gov/) 智慧卡,以便 Windows 登入 WorkSpaces 應用程式串流執行個體。如需如何設定 Active Directory 環境以使用第三方憑證授權單位 (CA) 啟用智慧卡登入的相關資訊,請參閱 Microsoft 文件中的[使用第三方憑證授權單位啟用智慧卡登入的指引](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。
**注意**
WorkSpaces 應用程式也支援在使用者登入串流執行個體後,使用智慧卡進行工作階段內身分驗證。只有已安裝適用於 Windows 1.1.257 版或更新版本的 WorkSpaces 應用程式用戶端的使用者,才支援此功能。如需其他需求的相關資訊,請參閱 [智慧卡](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards)。