本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從 Simple AD 存取 AWS 應用程式和服務
您可以授予 Simple AD 使用者存取 AWS 應用程式和服務的權限。其中一些 AWS 應用程式和服務包括:
+ Amazon WorkDocs
+ AWS 管理主控台
+ Amazon WorkSpaces
您也可以搭配 Simple AD 使用存取 URLs 和單一登入。
**Topics**
+ [Simple AD 應用程式相容性政策](simple_ad_app_compatibility.md)
+ [啟用存取 Simple AD AWS 的應用程式和服務](simple_ad_enable_apps_services.md)
+ [AWS 管理主控台 使用 Simple AD 登入資料啟用對 的存取](simple_ad_management_console_access.md)
+ [建立 Simple AD 的存取 URL](simple_ad_create_access_url.md)
+ [啟用單一登入](simple_ad_single_sign_on.md)
# Simple AD 應用程式相容性政策
Simple AD 是 Samba 的實作,提供許多 Active Directory 的基本功能。由於使用 Active Directory 的自訂和商用off-the-shelf應用程式數量很大, AWS 不會也無法執行正式或廣泛的第三方應用程式與 Simple AD 的相容性驗證。雖然 會與客戶 AWS 合作,嘗試克服他們可能遇到的任何潛在應用程式安裝挑戰,但我們無法保證任何應用程式目前或將繼續與 Simple AD 相容。
以下第三方應用程式與 Simple AD 相容:
+ 下列平台上的 Microsoft Internet Information Services (IIS):
+ Windows Server 2003 R2
+ Windows Server 2008 R1
+ Windows Server 2008 R2
+ Windows Server 2012
+ Windows Server 2012 R2
+ Microsoft SQL Server:
+ SQL Server 2005 R2 (Express、Web 和 Standard 版本)
+ SQL Server 2008 R2 (Express、Web 和 Standard 版本)
+ SQL Server 2012 (Express、Web 和 Standard 版本)
+ SQL Server 2014 (Express、Web 和 Standard 版本)
+ Microsoft SharePoint:
+ SharePoint 2010 Foundation
+ SharePoint 2010 Enterprise
+ SharePoint 2013 Enterprise
客戶可以選擇根據實際的 Active Directory,使用 AWS Directory Service for Microsoft Active Directory ([AWS 受管 Microsoft AD](directory_microsoft_ad.md)) 以獲得更高層級的相容性。
# 啟用存取 Simple AD AWS 的應用程式和服務
使用者可以授權 Simple AD 讓 AWS 應用程式和服務存取您的 Active Directory,例如 Amazon WorkSpaces。您可以啟用或停用下列 AWS 應用程式和服務,以使用 Simple AD。
| AWS 應用程式/服務 | 詳細資訊… |
| --- | --- |
| Amazon WorkDocs | 如需詳細資訊,請參閱[《Amazon WorkDocs 管理指南》](https://docs.aws.amazon.com/workdocs/latest/adminguide/) |
| Amazon WorkMail | 如需詳細資訊,請參閱[《Amazon WorkMail 管理指南》](https://docs.aws.amazon.com/workmail/latest/adminguide/)。 |
| Amazon WorkSpaces | 您可以直接從 WorkSpaces 建立 Simple AD、 AWS Managed Microsoft AD 或 AD Connector。只要在建立工作空間時啟動 **Advanced Setup** (進階設定) 即可。 如需詳細資訊,請參閱[《Amazon WorkSpaces 管理指南》](https://docs.aws.amazon.com/workspaces/latest/adminguide/)。 |
| AWS 管理主控台 | 如需詳細資訊,請參閱[使用 AWS Managed Microsoft AD 登入資料啟用 AWS 管理主控台 存取](ms_ad_management_console_access.md)。 |
一旦啟用,您就可以在要授權存取目錄之應用程式或服務的主控台中,管理您目錄的存取。若要在 Directory Service 主控台中尋找 AWS 上述的應用程式和服務連結,請執行下列步驟。
**顯示目錄的應用程式與服務**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,選擇 **Directories (目錄)**。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選取 **Application management (應用程式管理)** 索引標籤。
1. 檢視 **AWS 應用程式和服務**區段下的清單。
如需如何使用 授權或取消授權 AWS 應用程式和服務的詳細資訊 Directory Service,請參閱 [使用 AWS 的應用程式和服務授權 Directory Service](ad_manage_apps_services_authorization.md)。
# AWS 管理主控台 使用 Simple AD 登入資料啟用對 的存取
Directory Service 可讓您授予目錄成員對 的存取權 AWS 管理主控台。根據預設,您的目錄成員無法存取任何 AWS 資源。您可以將 IAM 角色指派給目錄成員,讓他們能夠存取各種 AWS 服務和資源。IAM 角色定義您的目錄成員可以存取的服務、資源和層級。
您的目錄必須具有存取 URL,才能授予主控台存取權給目錄成員。如需如何檢視目錄詳細資訊及取得您存取 URL 的詳細資訊,請參閱「[檢視 AWS Managed Microsoft AD 目錄資訊](ms_ad_view_directory_info.md)」。如需如何建立存取 URL 的詳細資訊,請參閱「[建立 AWS Managed Microsoft AD 的存取 URL](ms_ad_create_access_url.md)」。
如需如何建立 IAM 角色並將之指派給您目錄成員的詳細資訊,請參閱「[授予 AWS Managed Microsoft AD 使用者和群組存取具有 IAM 角色 AWS 的資源](ms_ad_manage_roles.md)」。
**Topics**
+ [啟用 AWS 管理主控台 存取](#simple_ad_console_enable)
+ [停用 AWS 管理主控台 存取](#simple_ad_console_disable)
+ [設定登入工作階段長度](#simple_ad_console_session)
**相關 AWS 安全部落格文章**
+ [如何使用 AWS 管理主控台AWS Managed Microsoft AD 和您的現場部署登入資料存取](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
**相關 AWS re:Post 文章**
+ [如何授予 AWS 管理主控台 現場部署 Active Directory 使用者的 存取權?](https://repost.aws/knowledge-center/enable-active-directory-console-access)
## 啟用 AWS 管理主控台 存取
預設不會啟用任何目錄的主控台存取。若要啟用您目錄使用者和群組的主控台存取,請執行下列步驟:
**啟用主控台存取**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,選擇 **Directories (目錄)**。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選取 **Application management (應用程式管理)** 索引標籤。
1. 在 **AWS 管理主控台** 區段下,選擇**啟用**。現在已啟用目錄的主控台存取。
**重要**
您必須先將使用者新增至 IAM 角色,使用者才能使用您的存取 URL 登入主控台。如需將使用者指派給 IAM 角色的一般資訊,請參閱「[將使用者或群組指派給現有的 IAM 角色](assign_role.md)」。指派 IAM 角色之後,使用者即可使用您的存取 URL 存取主控台。例如,如果您目錄的存取 URL 是 example-corp.awsapps.com,存取主控台的 URL 會是 https://example-corp.awsapps.com/console/。
## 停用 AWS 管理主控台 存取
若要停用您目錄使用者和群組的主控台存取,請執行下列步驟:
**停用主控台存取**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,選擇 **Directories (目錄)**。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選取 **Application management (應用程式管理)** 索引標籤。
1. 在 **AWS 管理主控台** 區段下,選擇**停用**。現在已停用目錄的主控台存取。
1. 如果已將任何 IAM 角色指派給目錄中的使用者或群組,則**停用**按鈕可能無法使用。在此情況下,您必須移除目錄的所有 IAM 角色指派,再繼續進行,包括您目錄中已刪除的使用者或群組指派,這些指派會顯示為**已刪除的使用者**或**已刪除的群組**。
移除所有 IAM 角色指派之後,請重複上述步驟。
## 設定登入工作階段長度
根據預設,使用者在成功登入主控台到被登出之間,有一小時的時間可以使用其工作階段。在此之後,使用者必須重新登入,才能開始下一小時的工作階段,直到再次被登出。您可以使用下列程序,將每個工作階段的時間長度變更至最多 12 小時。
**設定登入工作階段長度**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,選擇 **Directories (目錄)**。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選取 **Application management (應用程式管理)** 索引標籤。
1. 在 **AWS 應用程式與服務**區段下,選擇 **AWS 管理主控台**。
1. 在**管理 AWS 資源存取權**對話方塊中,選擇**繼續**。
1. 在 **Assign users and groups to IAM roles** (將使用者和群組指派給 IAM 角色) 頁面中,編輯 **Set login session length** (設定登入工作階段長度) 下的數值,然後選擇 **Save** (儲存)。
# 建立 Simple AD 的存取 URL
存取 URL 會與 AWS 應用程式和服務搭配使用,例如 Amazon WorkDocs,以連線到與您的目錄相關聯的登入頁面。此 URL 必須是全域唯一的。您可以透過執行下列步驟,來建立目錄的存取 URL。
**警告**
建立此目錄的應用程式存取 URL 後,就無法變更。建立存取 URL 之後,其他人便無法使用之。如果您刪除目錄,此存取 URL 也會被刪除,在此之後便可供其他帳戶使用。
**建立存取 URL**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選取 **Application management (應用程式管理)** 索引標籤。
1. 在**存取 URL** 區段中,如果尚未將存取 URL 指派給目錄,則會顯示**建立存取 URL** 按鈕。輸入目錄別名,然後選擇**建立存取 URL**。如果傳回 **實體已經存在**錯誤,代表指定的目錄別名已經配置。請選擇其他別名並重複此程序。
存取 URL 以 **.awsapps.com 格式顯示。
# 啟用單一登入
AWS Directory Service 可讓您的使用者從加入目錄的電腦存取 WorkDocs,而不必另外輸入登入資料。
啟用單一登入之前,您需要採取額外的步驟,讓您使用者的 Web 瀏覽器支援單一登入。使用者可能需要修改其 Web 瀏覽器設定,才能啟用單一登入。
**注意**
單一登入僅適用於加入 Directory Service 目錄的電腦。它無法用於未加入目錄的電腦。
如果您的目錄是 AD Connector 目錄,且 AD Connector 服務帳戶沒有新增或移除其服務主要名稱屬性的權限,則對於以下的步驟 5 和 6,您有兩個選項:
1. 您可以繼續進行,且系統會提示您輸入具有此權限之目錄使用者的使用者名稱和密碼,以便在 AD Connector 服務帳戶上新增或移除服務主要名稱屬性。這些憑證只會用來啟用單一登入,服務不會存放此資料。 AD Connector 服務帳戶權限不會變更。
1. 您可以委派權限,以允許 AD Connector 服務帳戶新增或移除本身的服務主要名稱屬性,您可以從加入網域的電腦使用具有修改 AD Connector 服務帳戶權限的帳戶,以執行下列 PowerShell 命令。下列命令會讓 AD Connector 服務帳戶只能為本身新增和移除服務主要名稱屬性。
```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```
**使用 WorkDocs 啟用或停用單一登入**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在 **Directory details (目錄詳細資訊)** 頁面上,選取 **Application management (應用程式管理)** 索引標籤。
1. 在**應用程式存取 URL** 區段中,選擇**啟用**以啟用 WorkDocs 的單一登入。
如果您看不到**啟用**按鈕,您可能需要先建立存取 URL,此選項才會顯示。如需如何建立存取 URL 的詳細資訊,請參閱「[建立 AWS Managed Microsoft AD 的存取 URL](ms_ad_create_access_url.md)」。
1. 在**啟用此目錄的單一登入**對話方塊中,選擇**啟用**。這會啟用目錄的單一登入。
1. 如果您稍後想要使用 WorkDocs 停用單一登入,請選擇**停用**,然後在停用**此目錄的單一登入**對話方塊中,再次選擇**停用**。
**Topics**
+ [IE 和 Chrome 的單一登入](#ie_sso)
+ [Firefox 的單一登入](#firefox_sso)
## IE 和 Chrome 的單一登入
若要讓 Microsoft Internet Explorer (IE) 和 Google Chrome 瀏覽器支援單一登入,您必須在用戶端電腦上執行下列任務:
+ 將您的存取 URL (例如 https://*<別名>*.awsapps.com) 新增至允許單一登入的網站清單。
+ 啟用動態指令碼處理 (JavaScript)。
+ 允許自動登入。
+ 啟用整合式身分驗證。
您或您的使用者可以手動執行這些任務,或者您可以使用群組原則設定來變更這些設定。
**Topics**
+ [手動更新 Windows 上的單一登入](#ie_sso_manual_windows)
+ [手動更新 OS X 的單一登入](#chrome_sso_manual_mac)
+ [單一登入的群組政策設定](#ie_sso_gpo)
### 手動更新 Windows 上的單一登入
若要在 Windows 電腦上手動啟用單一登入,請在用戶端電腦上執行下列步驟。其中一些設定可能已正確設定。
**在 Windows 上手動啟用 Internet Explorer 和 Chrome 的單一登入**
1. 若要開啟**網際網路內容**對話方塊,請選擇**開始**選單,在搜尋方塊中輸入 `Internet Options`,然後選擇**網際網路選項**。
1. 執行下列步驟,將您的存取 URL 新增至允許單一登入的網站清單:
1. 在**網際網路內容**對話方塊中,選取**安全性**標籤。
1. 選取**近端內部網路**,然後選擇**網站**。
1. 在**近端內部網路**對話方塊中,選擇**進階**。
1. 將您的存取 URL 新增至網站清單,然後選擇**關閉**。
1. 在**近端內部網路**對話方塊中,選擇**確定**。
1. 若要啟用動態指令碼處理,請執行下列步驟:
1. 在**網際網路內容**對話方塊的**安全性**標籤中,選擇**自訂等級**。
1. 在**安全性設定 - 近端內部網路區域**對話方塊中,向下捲動到**指令碼處理**,然後在 **Active scripting** 下選取**啟用**。
1. 在**安全性設定 - 近端內部網路區域**對話方塊中,選擇**確定**。
1. 若要啟用自動登入,請執行下列步驟:
1. 在**網際網路內容**對話方塊的**安全性**標籤中,選擇**自訂等級**。
1. 在**安全性設定 - 近端內部網路區域**對話方塊中,向下捲動到**使用者驗證**,然後在**登入**下選取**只在近端內部網路區域自動登入**。
1. 在**安全性設定 - 近端內部網路區域**對話方塊中,選擇**確定**。
1. 在**安全性設定 - 近端內部網路區域**對話方塊中,選擇**確定**。
1. 若要啟用整合式身分驗證,請執行下列步驟:
1. 在**網際網路內容**對話方塊中,選取**進階**標籤。
1. 向下捲動到**安全性**,然後選取**啟用整合式 Windows 驗證**。
1. 在**網際網路內容**對話方塊中,選擇**確定**。
1. 關閉並重新開啟您的瀏覽器,讓這些變更生效。
### 手動更新 OS X 的單一登入
若要在 OS X 上手動啟用 Chrome 的單一登入,請在用戶端電腦上執行下列步驟。您需要電腦的管理員權限,才能完成下列步驟。
**在 OS X 上手動啟用 Chrome 的單一登入**
1. 執行下列命令,將您的存取 URL 新增至 [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist) 政策:
```
defaults write com.google.Chrome AuthServerAllowlist "https://.awsapps.com"
```
1. 開啟 **System Preferences**,前往 **Profiles** 面板,然後刪除 `Chrome Kerberos Configuration` 描述檔。
1. 重新啟動 Chrome,然後在 Chrome 中開啟 chrome://policy 以確認具有此新的設定。
### 單一登入的群組政策設定
網域管理員可以實作群組原則設定,在加入網域的用戶端電腦上進行單一登入變更。
**注意**
如果您使用 Chrome 政策在域中的電腦上管理 Chrome Web 瀏覽器,您必須將存取 URL 新增至 [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist) 政策。如需設定 Chrome 政策的詳細資訊,請前往 [Policy Settings in Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md)。
**使用群組原則設定啟用 Internet Explorer 和 Chrome 的單一登入**
1. 執行下列步驟,建立新的群組原則物件:
1. 開啟群組原則管理工具,導覽至您的網域,然後選取 **Group Policy Objects** (群組原則物件)。
1. 從主選單選擇**動作**,然後選取**新增**。
1. 在**新增 GPO** 對話方塊中,輸入群組政策物件的描述性名稱 (例如 `IAM Identity Center Policy`),並將**來源入門 GPO** 保留設定為 **(無)**。按一下 **OK (確定)**。
1. 執行下列步驟,將存取 URL 新增至允許單一登入的網站清單:
1. 在群組政策管理工具中,導覽至您的域並選取**群組政策物件**,開啟您 IAM Identity Center 政策的內容 (右鍵) 選單,然後選擇**編輯**。
1. 在原則樹狀目錄中,導覽至**使用者設定** > **喜好設定** > **Windows 設定**。
1. 在 **Windows 設定**清單中,開啟**登錄**的內容 (右鍵) 選單,然後選擇**新增登錄項目**。
1. 在**新登錄內容**對話方塊中,輸入下列設定並選擇**確定**:
**Action**
`Update`
**Hive**
`HKEY_CURRENT_USER`
**路徑**
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\`
*<別名>* 的值是衍生自您的存取 URL。如果您的存取 URL 是 `https://examplecorp.awsapps.com`,則別名是 `examplecorp` 且登錄機碼會是 `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`。
**值名稱**
`https`
**值類型**
`REG_DWORD`
**值資料**
`1`
1. 若要啟用動態指令碼處理,請執行下列步驟:
1. 在群組政策管理工具中,導覽至您的域並選取**群組政策物件**,開啟您 IAM Identity Center 政策的內容 (右鍵) 選單,然後選擇**編輯**。
1. 在原則樹狀目錄中,導覽至**電腦設定** > **原則** > **系統管理範本** > **Windows 元件** > **Internet Explorer** > **網際網路控制台** > **安全性畫面** > **內部網路區域**。
1. 在**內部網路區域**清單中,開啟**允許動態指令碼處理**的內容 (右鍵) 選單,然後選擇**編輯**。
1. 在**允許動態指令碼處理**對話方塊中,輸入下列設定並選擇**確定**:
+ 選取**已啟用**選項按鈕。
+ 在**選項**下,將**允許動態指令碼處理**設定為**啟用**。
1. 若要啟用自動登入,請執行下列步驟:
1. 在群組原則管理工具中,導覽至您的網域並選取群組原則物件,開啟您 SSO 原則的內容 (右鍵) 選單,然後選擇**編輯**。
1. 在原則樹狀目錄中,導覽至**電腦設定** > **原則** > **系統管理範本** > **Windows 元件** > **Internet Explorer** > **網際網路控制台** > **安全性畫面** > **內部網路區域**。
1. 在**內部網路區域**清單中,開啟**登入選項**的內容 (右鍵) 選單,然後選擇**編輯**。
1. 在**登入選項**對話方塊中,輸入下列設定並選擇**確定**:
+ 選取**已啟用**選項按鈕。
+ 在**選項**下,將**登入選項**設定為**只在近端內部網路區域自動登入**。
1. 若要啟用整合式身分驗證,請執行下列步驟:
1. 在群組政策管理工具中,導覽至您的域並選取**群組政策物件**,開啟您 IAM Identity Center 政策的內容 (右鍵) 選單,然後選擇**編輯**。
1. 在原則樹狀目錄中,導覽至**使用者設定** > **喜好設定** > **Windows 設定**。
1. 在 **Windows 設定**清單中,開啟**登錄**的內容 (右鍵) 選單,然後選擇**新增登錄項目**。
1. 在**新登錄內容**對話方塊中,輸入下列設定並選擇**確定**:
**Action**
`Update`
**Hive**
`HKEY_CURRENT_USER`
**路徑**
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`
**值名稱**
`EnableNegotiate`
**值類型**
`REG_DWORD`
**值資料**
`1`
1. 關閉仍然保持開啟狀態的**群組原則管理編輯器**視窗。
1. 執行下列步驟,將新的原則指派給您的網域:
1. 在群組原則管理樹狀目錄中,開啟網域的內容 (右鍵) 選單,然後選擇**連結到現有的 GPO**。
1. 在**群組政策物件**清單中,選取您的 IAM Identity Center 政策,然後選擇**確定**。
這些變更會在用戶端上的群組原則下次更新,或在使用者下次登入之後生效。
## Firefox 的單一登入
若要讓 Mozilla 的 Firefox 瀏覽器支援單一登入,請將您的存取 URL (例如 https://*<別名>*.awsapps.com) 新增至允許單一登入的網站清單。這可手動或透過指令碼自動完成。
**Topics**
+ [手動更新單一登入](#firefox_sso_manual)
+ [自動更新單一登入](#firefox_sso_script)
### 手動更新單一登入
若要在 Firefox 中將您的存取 URL 手動新增至允許的網站清單,請在用戶端電腦上執行下列步驟。
**在 Firefox 中將您的存取 URL 手動新增至允許的網站清單**
1. 開啟 Firefox,然後開啟 `about:config` 頁面。
1. 開啟 `network.negotiate-auth.trusted-uris` 偏好設定,然後將您的存取 URL 新增至網站清單。請使用逗號 (,) 來分隔多個項目。
### 自動更新單一登入
身為域管理員,您可以使用指令碼,將存取 URL 新增至網路上所有電腦的 Firefox `network.negotiate-auth.trusted-uris` 使用者偏好設定。如需詳細資訊,請前往 [https://support.mozilla.org/zh-TW/questions/939037](https://support.mozilla.org/en-US/questions/939037)。