本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 開始搭配 WorkSpaces 集區使用 Active Directory 之前
<a name="active-directory-prerequisites"></a>

將 Microsoft Active Directory 網域與 WorkSpaces 集區搭配使用之前，請注意下列需求和考量事項。

**Topics**
+ [Active Directory 網域環境](#active-directory-prerequisites-domain-environment)
+ [WorkSpaces 集區中加入網域的 WorkSpaces](#active-directory-prerequisites-streaming-instances)
+ [群組政策設定](#active-directory-prerequisites-group-policy-settings)
+ [智慧卡身分驗證](#active-directory-prerequisites-smart-card-authentication)

## Active Directory 網域環境
<a name="active-directory-prerequisites-domain-environment"></a>
+ 您必須擁有要加入 WorkSpaces 的 Microsoft Active Directory 網域。如果您沒有 Active Directory 網域或想要使用內部部署 Active Directory 環境，請參閱 [AWS 雲端上的 Active Directory 網域服務：Quick Start 參考部署](https://docs.aws.amazon.com/quickstart/latest/active-directory-ds/)。
+ 您必須擁有網域服務帳戶，其具有在您要與 WorkSpaces 集區搭配使用的網域中建立和管理電腦物件的許可。如需資訊，請參閱 Microsoft 文件中的 [How to Create a Domain Account in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx)。

  當您將此 Active Directory 網域與 WorkSpaces 集區建立關聯時，請提供服務帳戶名稱和密碼。WorkSpaces 集區使用此帳戶在 目錄中建立和管理電腦物件。如需詳細資訊，請參閱[授予許可來建立及管理 Active Directory 電腦物件](active-directory-admin.md#active-directory-permissions)。
+ 當您向 WorkSpaces 集區註冊 Active Directory 網域時，您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設電腦容器不是 OU，WorkSpaces 集區無法使用。如需詳細資訊，請參閱[尋找組織單位辨別名稱](active-directory-admin.md#active-directory-oudn)。
+ 您計劃與 WorkSpaces 集區搭配使用的目錄必須透過啟動 WorkSpaces 的虛擬私有雲端 (VPC)，透過其完整網域名稱 (FQDNs) 存取。如需詳細資訊，請參閱 Microsoft 文件中的 [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx)。

## WorkSpaces 集區中加入網域的 WorkSpaces
<a name="active-directory-prerequisites-streaming-instances"></a>

從加入網域的 WorkSpaces 進行應用程式串流時，需要 SAML 2.0 型使用者聯合。此外，您必須使用支援加入 Active Directory 網域的 Windows 映像。所有在 2017 年 7 月 24 日及其之後發佈的公有映像都支援加入 Active Directory 網域。

## 群組政策設定
<a name="active-directory-prerequisites-group-policy-settings"></a>

請確認下列群組原則設定的組態。如有需要，請更新本節所述的設定，使其不會阻止 WorkSpaces 集區驗證和登入您的網域使用者。否則，當您的使用者嘗試登入 WorkSpaces 時，登入可能不會成功。而是會顯示訊息，通知使用者「發生未知的錯誤。」
+ **電腦組態 > 管理範本 > Windows 元件 > Windows 登入選項 > 停用或啟用軟體 Secure Attention Sequence**：針對**服務**將此項設為**啟用**。
+ **電腦組態 > 管理範本 > 系統 > 登入 > 排除憑證提供者**：確定*未*列出下列 CLSID：`e7c1bab5-4b49-4e64-a966-8d99686f8c7c`
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入：給嘗試登入的使用者的訊息文字**：將此項設為**未定義**。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入：給嘗試登入的使用者的訊息標題**：將此項設為**未定義**。

## 智慧卡身分驗證
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces 集區支援使用 Active Directory 網域密碼或智慧卡，例如[通用存取卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[個人身分驗證 (PIV)](https://piv.idmanagement.gov/) 智慧卡，以供 Windows 登入 WorkSpaces 集區中的 WorkSpaces。如需如何設定 Active Directory 環境以使用第三方憑證授權單位 (CA) 啟用智慧卡登入的相關資訊，請參閱 Microsoft 文件中的[使用第三方憑證授權單位啟用智慧卡登入的指引](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。