本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 WorkSpaces 中攜帶您自己的 Windows 桌面授權
如果您與 Microsoft 簽訂的授權合約允許這麼做,您可以在 WorkSpaces 上自帶並部署 Windows 10 或 11 桌上型電腦授權。若要這麼做,您必須啟用自帶授權 (BYOL),並提供符合下列需求的 Windows 10 或 11 授權。如需在 上使用 Microsoft 軟體的詳細資訊 AWS,請參閱 Amazon Web Services 和 Microsoft
為了符合 Microsoft 授權條款, 會在 AWS 雲端中專用硬體上執行 AWS BYOL WorkSpaces。使用自己的授權,您可以為使用者提供一致的體驗。如需詳細資訊,請參閱 WorkSpaces 定價
重要
從某個 Windows 11 版本升級至較新版本的 Windows 11 (Windows 功能/版本升級) 的 Windows 11 系統不支援建立映像。例如,升級至 23H224H2 系統無法用來建立映像。不過,WorkSpaces 映像建立程序支援 Windows 累積或安全性更新。
主題
在 WorkSpaces 中使用自有 Windows 桌面授權
使用下列步驟在 Amazon WorkSpaces 中匯入和使用您自己的 Windows 桌面授權
開始之前,確認下列事項:
-
您的 Microsoft 授權合約允許在虛擬託管環境中執行 Windows。
-
如果您將使用non-GPU-enabled的套件 (Graphics.g4dn、GraphicsPro.g4dn,Graphics 和 GraphicsPro 以外的套件),請確認您將為每個區域使用至少 50 個 WorkSpaces。這 50 個 WorkSpaces 可以是 AlwaysOn 和 AutoStop WorkSpaces 的任何組合。在專用硬體上執行 WorkSpaces 需要每個區域至少使用 50 個 WorkSpaces。必須在專用硬體上執行 WorkSpaces,才能符合 Microsoft 授權需求。專用硬體佈建在 AWS 端,因此您的 VPC 可以保留預設租用。
如果您打算使用 GPU (Graphics.g4dn、GraphicsPro.g4dn、Graphics 和 GraphicsPro) 套件,請確認您每個月會在專用硬體上的區域中執行至少 4 個 AlwaysOn 或 20 個 AutoStop GPU 的 WorkSpaces。
注意
-
作為映像匯入程序的一部分, AWS 會自動擷取系統日誌以解決映像匯入錯誤、提供故障診斷說明,以及提供準確的錯誤訊息給使用者。
-
Graphics.g4dn、GraphicsPro.g4dn,、Graphics 和 GraphicsPro 套件不適用於非洲 (開普敦) 區域和以色列 (特拉維夫) 區域。
-
若要在非洲 (開普敦) 地區執行 WorkSpaces,您必須在非洲 (開普敦) 地區執行至少 400 個 WorkSpaces。
-
值套件不適用於 Windows 11 和 WorkSpaces 集區。如需如何遷移現有超值套件 WorkSpaces 的詳細資訊,請參閱 在 WorkSpace WorkSpaces 。
-
為了獲得最佳視訊會議體驗,我們建議您使用 Power (4 個 vCPU、16 GB 記憶體或更高) 套件。
-
-
WorkSpaces 可以在 /16 IP 地址範圍中使用管理介面。管理介面已連線至用於互動式串流的安全 WorkSpaces 管理網路。這可讓 WorkSpaces 管理您的 WorkSpaces。如需詳細資訊,請參閱網路介面。您必須為此目的,從下列至少一個 IP 地址址範圍中保留一個 /16 網路遮罩:
-
10.0.0.0/8
-
100.64.0.0/10
-
172.16.0.0/12
-
192.168.0.0/16
-
198.18.0.0/15
注意
-
當您採用 WorkSpaces 服務時,可用的管理介面 IP 地址範圍會經常變更。若要判斷目前可用的範圍,請執行 list-available-management-cidr-ranges AWS Command Line Interface (AWS CLI) 命令。
-
除了您選取的 /16 CIDR 區塊之外,54.239.224.0/20 IP 地址範圍也會用於所有 AWS 區域中的管理介面流量。
-
-
在匯入 BYOL 自訂虛擬機器映像之前,請驗證您的映像。
WorkSpaces 僅支援已啟用 UEFI 開機模式的影像。如需 EC2 Image Builder 如何偵測開機模式的詳細資訊,請參閱《VM Import/Export 使用者指南》中的 VM Import/Export 支援的磁碟區類型和檔案系統。
BYOL 支援的 Windows 版本
您的虛擬機器必須執行下列其中一個 Windows 版本:
-
Windows 10 版本 22H2 (2022 年 11 月更新)
-
Windows 10 Enterprise LTSC 2019 (1809)
-
Windows 10 Enterprise LTSC 2021 (21H2)
-
Windows 11 Enterprise 23H2 (2023 年 10 月版本)
-
Windows 11 Enterprise 22H2 (2022 年 10 月版本)
-
Windows 11 Enterprise 24H2 (2024 年 10 月版本)
所有支援的作業系統版本都支援您使用 WorkSpaces 的 AWS 區域中所有可用的運算類型。Microsoft 不再支援的 Windows 版本不保證有效, AWS 且 Support 不支援。
注意
Windows 10 N 和 Windows 11 N 版本目前不支援 BYOL。
在您確認符合搭配使用 Windows BYOL 與 WorkSpaces 的先決條件之後,您需要讓 帳戶使用 BYOL 映像。
在 WorkSpaces 主控台中,導覽至帳戶設定頁面。
在自攜授權 (BYOL) 區段中,會顯示您帳戶的 BYOL 啟用狀態。如果狀態顯示您的帳戶未啟用,請選擇 BYOL 入門按鈕。
在 BYOL 頁面上,選擇啟用 BYOL 的帳戶。
注意
為 BYOL 啟用您的帳戶僅適用於單一區域。請記下您目前所在的區域,如果您想要使用不同的區域,請先切換到該區域,再啟用您的帳戶。
彈出式模態隨即出現,確認您了解使用 BYOL WorkSpaces 的最低需求。確認您了解需求,然後選擇啟用帳戶。
注意
如果您打算搭配 BYOL 使用 Graphics WorkSpaces,請建立 AWS 支援票證。WorkSpaces 主控台尚未支援圖形 BYOL 啟用。
在大多數情況下,帳戶會自動啟用。不過,有些帳戶需要額外檢閱。啟用狀態會在重新整理後顯示在 BYOL 頁面上。
當您的帳戶啟用 BYOL 時,請繼續下一個步驟。
注意
此步驟僅適用於要匯入的自訂 VM 映像。如果您要匯入 Windows ISO,您可以略過此步驟。
如果您要匯入自訂虛擬機器映像,建議您執行 WorkSpaces Image Checker 工具,以確保您的 VM 與 WorkSpaces 相容。Image Checker 工具會執行一系列測試,並可協助修正相容性問題。
下載映像相容性檢查程式指令碼
在您下載並執行映像相容性檢查程式指令碼之前,請確認您的 VM 已安裝最新的 Windows 安全性更新。執行此指令碼時,其會停用 Windows Update 服務。
-
將 Image CompatibilityChecker 指令碼 .zip 檔案從 ImageCompatibilityChecker.zip
下載到您的 Downloads資料夾。 -
在您的
Downloads資料夾中,建立BYOL資料夾。 -
從
ImageCompatibilityChecker.zip解壓縮檔案並將其複製到Downloads\BYOL資料夾。 -
刪除
Downloads\ImageCompatibilityChecker.zip資料夾,以便僅保留解壓縮的檔案。
檢查 BitLocker 是否未啟用 Windows VM。
確保 BitLocker 未啟用 Windows VM
-
以管理員身分開啟 Powershell。
-
執行以下命令:
manage-bde -offDriveLetter: -
執行此命令來檢查 BitLocker 的狀態:
manage-bde -StatusDriveLetter: -
確保顯示的值符合下列各項:
BitLocker 版本 – 無
轉換狀態 – 完全解密
加密百分比 – 0.0%
加密方法 – 無
保護狀態 – 保護關閉
鎖定狀態 – 解除鎖定
執行這些步驟以執行映像相容性檢查程式指令碼。
執行映像相容性檢查程式指令碼
-
以管理員身分開啟 Powershell。
選取 Windows 開始按鈕。
在 Windows PowerShell 上按一下滑鼠右鍵。
選擇以管理員身分執行。
如果使用者帳戶控制出現提示,請選擇是。
-
在 PowerShell 命令提示字元中,將 變更為映像相容性檢查程式指令碼所在的目錄。例如,如果指令碼位於
Downloads\BYOL目錄中,請輸入下列命令並按 Enter 鍵:cd C:\Users\username\Downloads\BYOL -
輸入下列命令來更新電腦上的 PowerShell 執行政策。這樣做可讓映像相容性檢查程式指令碼執行:
Set-ExecutionPolicy AllSigned -
當系統提示您確認是否要變更 PowerShell 執行政策時,請輸入 A 以指定 [全部皆是]。
輸入下列命令以執行映像相容性檢查程式指令碼:
.\ImageCompatibilityChecker.ps1如果出現安全通知,請按 R 鍵以執行一次。
在 WorkSpaces Image Validation 對話方塊中,選擇執行測試。
每次測試完成後,您可以檢視測試的狀態。對於狀態為失敗的任何測試,請選擇資訊以顯示如何解決造成失敗之問題的相關資訊。如果有任何測試顯示警告狀態,請選擇修正所有警告按鈕。
如果適用,請解決導致測試失敗和警告的任何問題,並重複 步驟 7和 步驟 8,直到虛擬機器通過所有測試為止。匯出虛擬機器之前,必須先解決所有失敗和警告。
BYOL 指令碼檢查程式會產生兩個日誌檔:
WorkSpacesImageCompatabilityCheckLog及YYYY-MM-DD_HHmmss.txtImageInfo.text。這些檔案位於包含映像相容性檢查程式指令碼檔案的目錄中。提示
請勿刪除這些檔案。如果發生問題,其可能有助於疑難排解。
-
VM 通過所有測試之後,您會收到驗證成功訊息。
您也會看到執行 Sysprep 的提示。關閉提示,但還不要執行 Sysprep。
-
關閉 VM 並將其匯出。如需詳細資訊,請參閱《VM Import/Export 使用者指南》中的從虛擬化環境匯出您的 VM。
-
(選用) 啟動 VM 並再次執行映像相容性檢查程式指令碼。所有驗證都應通過。畫面會再次彈出,並顯示執行 Sysprep 的按鈕。選擇執行 Sysprep。如果 Sysprep 成功,您從步驟 12 匯出的已匯出 VM 可以匯入 Amazon Elastic Compute Cloud (Amazon EC2)。
如果 Sysprep 失敗,請檢閱
%WINDIR%\System32\Sysprep\Panther路徑中的 Sysprep 日誌,從步驟 12 轉返到匯出的 VM,解決報告的問題,並透過匯出固定的 VM 再次完成步驟 12。然後,您將重新執行映像相容性檢查程式指令碼,以確保問題已解決。Sysprep 失敗最常見的原因是尚未解除安裝所有使用者的 Modern AppX 套件。您可以使用
Remove-AppxPackagePowerShell Cmdlet 來移除 AppX 套件。 -
將您在步驟 12 中匯出的 VM 匯入 Amazon EC2。
注意
不支援透過 WorkSpaces 主控台或新 import-custom-workspace-image API 匯入 Windows 11 24H2 映像。
若要匯入 Windows 11 24H2 映像,您必須使用 import-workspace-image API 命令。如需詳細資訊,請參閱 AWS CLI 命令參考中的 import-workspace-image。
執行以下步驟來匯入映像並建立 WorkSpaces BYOL 映像:
前往導覽窗格,然後選擇影像,然後選擇匯入影像。
根據基本映像選項和您要匯入的映像類型,遵循匯入映像頁面上的步驟:
VM 匯入 – 匯入已自訂的虛擬機器映像。您可以匯入
VHDX、VMDK或OVF檔案。ISO 匯入 – 匯入您從 Microsoft 下載且尚未自訂的 Windows ISO 映像。
AMI 匯入 – 匯入現有的 Amazon EC2 AMI 以用作 WorkSpaces BYOL 映像。
執行以下任意一項:
對於 VM 匯入選項,將您的檔案上傳至 Amazon S3,然後指定要匯入的檔案位置。請注意,您使用的 S3 儲存貯體必須位於您打算部署 BYOL WorkSpaces 的相同區域。
針對 ISO 匯入,匯入您從 Microsoft 下載且尚未自訂的 Windows ISO 映像。請注意,您使用的 S3 儲存貯體必須位於您打算部署 BYOL WorkSpaces 的相同區域。
針對 AMI 匯入,指定 AMI ID。
前往基礎設施組態。
WorkSpaces 會自動建立 Amazon EC2 Image Builder 管道來建置 BYOL 映像。基礎設施組態會定義如何設定 EC2 Image Builder 來建置映像。您可以使用下列設定來自訂此項目:
服務預設值 – 建立並使用預設 IAM 角色和政策來建置映像。
使用現有的基礎設施組態 – 提供在 Amazon EC2 Image Builder 中設定的自訂基礎設施組態。如需詳細資訊,請參閱 EC2 Image Builder 使用者指南中的建立基礎設施組態。
前往進階設定,並在映像遇到匯入錯誤時,選取是否要終止 EC2 組建執行個體。
如果您選擇在失敗時終止執行個體,您將無法在映像匯入工作流程期間存取執行個體來偵錯錯誤。
如果您選擇不終止執行個體,執行個體可用來偵錯錯誤,但執行 EC2 執行個體可能會產生額外費用。
前往映像詳細資訊以指定映像的屬性:包括映像名稱。
映像名稱 – 映像的唯一識別符。
運算類型 – 指定此映像是否應使用非圖形/基礎硬體或圖形硬體
作業系統版本 – 選擇映像的 Windows 作業系統版本
語意版本 – 定義映像的語意版本,這會存放在 EC2 Image Builder 中。如需詳細資訊,請參閱 EC2 Image Builder 使用者指南中的映像建置器語意版本控制
注意
在 BYOL 匯入程序期間,將在您的帳戶中建立 EC2 Image Builder 資源 AWS 。為了建立映像,如果名為 的服務連結角色不存在,AWSServiceRoleForImageBuilder則會自動建立該角色。此角色將包含 AWS 受管政策 AWSServiceRoleForImageBuilder。您還必須擁有 VM Import/Export 匯入自訂 VM 映像所需的許可。
建立映像時,主控台映像頁面上的狀態會顯示為待定。BYOL 攝取程序至少需要 90 分鐘。
匯入映像時發生的錯誤會顯示在映像頁面上,以及建議的解析度。詳細日誌可在匯入映像時建立的映像建置器日誌群組下的 Amazon CloudWatch 中找到。可能的錯誤類型包括:
映像錯誤 – EC2 Image Builder 無法建置映像。修正虛擬化環境中的問題,並匯入新的映像。
映像建置器錯誤 – 嘗試建置映像時發生錯誤。如需更多詳細資訊,請參閱 Amazon CloudWatch 中的映像建置器日誌
EC2 錯誤 – 映像發生問題,無法自動修正。若要解決這些錯誤,如果 Amazon EC2 執行個體設定為在建置失敗時不終止,您可以直接執行修正。然後,您可以從映像頁面重試匯入。
自動修正錯誤 – WorkSpaces 已自動修復這些問題。無需採取進一步動作。
如需常見錯誤的詳細資訊,請參閱常見錯誤訊息及其解決方案。
BYOL WorkSpaces 在專用硬體上執行,以保持符合 Microsoft 授權條款。為了支援此功能,會建立 BYOL 管理界面,以便 WorkSpaces 與 AWS 受管 WorkSpaces 管理網路之間的安全連線。如需詳細資訊,請參閱網路介面。
如果您在同一區域中為 BYOL 啟用了另一個 AWS 帳戶,您應該跨帳戶使用相同的管理界面來保留較少的 IP 地址。若要這樣做,請勿選擇管理介面 IP 地址範圍,並請參閱下面的連結 BYOL 帳戶。
選擇管理介面 IP 地址範圍
返回帳戶設定中的 BYOL 頁面。
在選擇 IP 範圍區段中,選取選擇 IP 範圍按鈕。
透過提供網路上可用的 IP 地址範圍來輸入搜尋範圍。WorkSpaces 會傳回符合您搜尋的可用 /16 網路遮罩 IP 地址範圍。
選擇可用的 IP 地址範圍 (顯示為 CIDR 區塊)。
注意
選擇管理介面的 IP 範圍後,就無法變更。
連結 BYOL 帳戶
如果您在相同區域中為 BYOL 啟用了另一個 AWS 帳戶,而該帳戶共用相同的付款人帳戶,您應該跨帳戶使用相同的管理界面來保留較少的 IP 地址。連結帳戶也不需要符合每個帳戶的最低 BYOL 需求,因為最低需求是跨連結帳戶共用的。如果您尚未在相同的付款人帳戶下為 BYOL 啟用另一個帳戶,請略過此程序。
若要連結至現有的 BYOL 帳戶,請勿選取 IP 地址範圍。
連結 BYOL 帳戶
登入已針對 BYOL WorkSpaces 啟用 AWS 的帳戶。
導覽至帳戶設定中的 BYOL 頁面。
在選擇 IP 範圍區段中,選取帳戶連結區段下的傳送邀請按鈕。
提供未針對 BYOL 啟用且您想要連結的帳戶的帳戶 AWS ID。
注意
這兩個帳戶必須在同一區域中使用 BYOL。
傳送連結邀請後,請返回尚未啟用 BYOL AWS 的帳戶。在帳戶設定頁面中,您會看到橫幅通知,顯示您有待定的 BYOL 帳戶連結邀請。在橫幅中選擇檢視邀請。
確認帳戶連結邀請。
如果您想要針對相同付款人帳戶下的兩個帳戶使用不同的管理介面,請聯絡 AWS Support 尋求協助。
建立 BYOL 映像之後,請遵循 中的指示,即可使用映像來建立自訂套件。如需詳細資訊,請參閱建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件。
若要將 BYOL 映像用於 WorkSpaces,您必須為此目的建立目錄。
若要建立 WorkSpaces 的目錄,請參閱建立 WorkSpaces Personal 的目錄。建立目錄時,請務必選擇啟用專用 WorkSpaces。
重要
如果您在註冊目錄時未看到已啟用專用 WorkSpaces 選項,請確定您已完成在帳戶和區域中啟用 BYOL 的步驟。
如果您已經為未在專用硬體上執行的 WorkSpaces 註冊 AWS Managed Microsoft AD 目錄或 AD Connector 目錄,您可以為此目的設定新的 AWS Managed Microsoft AD 目錄或 AD Connector 目錄。您也可以取消註冊目錄,然後再次將其註冊為專用 WorkSpaces 的目錄。若要進一步了解註冊和取消註冊現有的 AWS Directory Service 目錄,請參閱向 WorkSpaces Personal 註冊現有的 AWS Directory Service 目錄。
啟動您的 BYOL WorkSpaces Personal
若要啟動個人 WorkSpaces,請參閱在 WorkSpace WorkSpaces。
啟動 BYOL WorkSpaces 集區
若要啟動 WorkSpaces 集區,您必須啟動個人 WorkSpace、建立該個人 WorkSpace 的映像,然後使用該映像來啟動集區。
為 BYOL WorkSpaces 集區建立映像
使用您想要用於 WorkSpace WorkSpaces。如需如何啟動 WorkSpaces Personal 的資訊,請參閱在 WorkSpace WorkSpaces。
登入個人 WorkSpace,並確保已安裝所有 Windows 更新。
更新您的 Amazon EC2 組態。若要使用 Windows 10 更新您的 EC2 組態,請參閱安裝最新版的 EC2Config。若要使用 Windows 11 更新您的 EC2 組態,請參閱安裝最新版本的 EC2Launch。
新增 Windows 防禦者排除清單。如需詳細資訊,請參閱新增排除至 Windows 安全 。
將下列資料夾新增至 Windows Defender 中的排除清單:
C:\Program Files\Amazon\C:\ProgramData\Amazon\*C:\Program Files\NICE\C:\ProgramData\NICE\C:\Program Files (x86)\AWS Tools\*C:\Program Files (x86)\AWS SDK for .NET\*C:\AWSEUC\((這是針對工作階段轉錄)
輸入下列命令,在啟動時停用 Windows 更新。
以管理員身分開啟 Powershell。
選取 Windows 開始按鈕。
在 Windows PowerShell 上按一下滑鼠右鍵。
選擇以管理員身分執行。
如果使用者帳戶控制出現提示,請選擇是。
執行下列命令:
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -ForceNew-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -ForceSet-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "NoAutoUpdate" -Value 1 -Force重新啟動 WorkSpace。如需詳細資訊,請參閱在 WorkSpace WorkSpaces。
注意
我們建議您在開始為 BYOL WorkSpaces 集區建立映像之前執行下列動作。
移除不必要的啟動應用程式。
移除或停用不必要的排程任務。開啟開始功能表,選擇排程任務,選取要停用的任務,然後選擇停用。
輸入下列命令,在重新啟動後執行映像檢查程式。
C:\Program Files\Amazon\ImageChecker.exe解決映像檢查程式發現的任何錯誤。如需詳細資訊,請參閱解決映像檢查程式偵測到問題的秘訣。
所有測試都通過映像檢查程式後,返回 WorkSpaces 主控台。
在導覽窗格中的 WorkSpaces 下,選擇個人。選擇 BYOL 個人 WorkSpaces,然後選擇動作、建立映像。
在導覽窗格中,選擇映像。在映像下,檢查是否已建立映像。
您現在可以使用您建立的映像啟動 WorkSpaces 集區。如需啟動 WorkSpaces 集區的詳細資訊,請參閱建立 WorkSpaces 集區。
