本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 WorkSpaces Personal 的目錄
WorkSpaces 會使用目錄來儲存和管理 WorkSpaces 和使用者的資訊。您可以使用下列其中一個選項:
+ AD Connector—使用現有的內部部署 Microsoft Active Directory。使用者可以使用其內部部署憑證來登入其 WorkSpaces,並從其 WorkSpaces 存取內部部署資源。
+ AWS Managed Microsoft AD — 建立託管於 的 Microsoft Active Directory AWS。
+ Simple AD — 建立與 Microsoft Active Directory 相容的目錄,採用 Samba 4 技術,並在其中託管 AWS。
+ 跨信任 — 在 AWS Managed Microsoft AD 目錄和內部部署網域之間建立信任關係。
+ Microsoft Entra ID — 建立使用 Microsoft Entra ID 做為其身分來源的目錄 (透過 IAM Identity Center)。目錄中的個人 WorkSpaces 會使用 Microsoft Entra 的原生身分驗證加入,並透過 Microsoft Windows Autopilot 使用者驅動模式註冊 Microsoft Intune。使用 Microsoft Entra ID 的目錄僅支援 Windows 10 和 11 自帶授權 WorkSpaces。
+ 自訂 — 建立使用您選擇的身分提供者的目錄 (透過 IAM Identity Center)。目錄中的 WorkSpaces 會使用您選擇的裝置管理解決方案進行管理,例如 JumpCloud。使用自訂身分提供者的目錄僅支援 Windows 10 和 11 自帶授權 WorkSpaces。
如需示範如何設定這些目錄和啟動 WorkSpaces 的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
**提示**
如需各種部署案例的目錄和虛擬私有雲端 (VPC) 設計考量的詳細探索,請參閱[部署 Amazon WorkSpaces 的最佳實務](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html)。
建立目錄之後,您會使用 Active Directory 管理工具等工具來執行大部分的目錄管理工作。您可使用 WorkSpaces 主控台來執行某些目錄管理任務,並使用群組原則來執行其他任務。如需管理使用者和群組的詳細資訊,請參閱 [在 WorkSpaces Personal 中管理使用者](manage-workspaces-users.md) 和 [設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)。
**注意**
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫,則只能註冊主要區域中的目錄,以便與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。Managed AWS Microsoft AD 的多區域複寫不支援與複寫區域中的 Amazon WorkSpaces 搭配使用。
您可以免費使用 Simple AD 和 AD Connector,以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用,則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用,而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
若要刪除空目錄,請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 Simple AD 或 AD Connector 目錄,當您想要再次開始使用 WorkSpaces 時,隨時都可以建立新的目錄。
**Topics**
+ [向 WorkSpaces Personal 註冊現有 Directory Service 目錄](register-deregister-directory.md)
+ [選取 WorkSpaces Personal 的組織單位](select-ou.md)
+ [設定 WorkSpaces Personal 的自動公有 IP 地址](automatic-assignment.md)
+ [控制 WorkSpaces Personal 的裝置存取](control-device-access.md)
+ [管理 WorkSpaces Personal 的本機管理員許可](local-admin-setting.md)
+ [更新 WorkSpaces Personal 的 AD Connector 帳戶 (AD Connector)](connect-account.md)
+ [WorkSpaces Personal 的多重要素驗證 (AD Connector)](connect-mfa.md)
+ [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)
+ [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md)
+ [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)
+ [設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)
# 向 WorkSpaces Personal 註冊現有 Directory Service 目錄
若要允許 WorkSpaces 使用現有 Directory Service 目錄,您必須向 WorkSpaces 註冊它。註冊目錄之後,您可以在目錄中啟動 WorkSpaces。
**需求:**若要註冊要與 WorkSpaces 搭配使用的目錄,必須符合下列需求:
+ 如果您使用的是 AWS Managed Microsoft AD 或 Simple AD,您的目錄可以位於專用私有子網路中,只要目錄可存取 WorkSpaces 所在的 VPC。
+ 如需目錄和 VPC 設計的詳細資訊,請參閱[https://d1.awsstatic.com/whitepapers/Best-Practices-for-Deploying-Amazon-WorkSpaces.pdf](https://d1.awsstatic.com/whitepapers/Best-Practices-for-Deploying-Amazon-WorkSpaces.pdf)白皮書。
**注意**
您可以免費使用 Simple AD 和 AD Connector,以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用,則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用,而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
若要刪除空目錄,請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 Simple AD 或 AD Connector 目錄,當您想要再次開始使用 WorkSpaces 時,隨時都可以建立新的目錄。
**註冊現有的 AWS Directory Service 目錄**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇**建立目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces 類型**選擇**個人**。針對 **WorkSpace 裝置管理**,選擇 **AWS Directory Service**。
1. 在資料表的**目錄中選取您要註冊的目錄 Directory Service**
1. 為您的 VPC 選取並非來自相同可用區域的兩個子網路。這些子網路將用來啟動您的 WorkSpaces。如需詳細資訊,請參閱[WorkSpaces Personal 的可用區域](azs-workspaces.md)。
**注意**
如果您不知道要選擇哪些子網路,請選取**無偏好設定**。
1. 針對**啟用自助服務許可**,選擇**是**可讓使用者重新建置其 WorkSpaces、變更磁碟區大小、運算類型和執行模式。啟用可能會影響您針對 Amazon WorkSpaces 支付的費用。否則選擇**否**。
1. 選擇**註冊**。最初**已註冊**的值為 `REGISTERING`。註冊完成後,此值為 `Yes`。
註冊 Directory Service 目錄之後,您可以建立個人 WorkSpace。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)。
當您完成搭配 WorkSpaces 使用目錄之後,即可將其取消註冊。請注意,您必須先取消註冊目錄,才能加以刪除。如果您想要取消註冊並刪除目錄,您必須先尋找並移除註冊到目錄的所有應用程式和服務。如需詳細資訊,請參閱《AWS Directory Service 管理指南》**中的[刪除目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html)。
**取消註冊目錄**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選取目錄。
1. 選擇 **Actions** (動作)、**Deregister** (取消註冊)。
1. 出現確認提示時,選擇 **Confirm (確認)**。取消註冊完成後,目錄就會取消註冊,並從清單中移除。
# 選取 WorkSpaces Personal 的組織單位
**注意**
此功能僅適用於透過 AWS Directory Service 管理的目錄,包括 AD Connector、 AWS Managed Microsoft AD 和 Simple AD。
WorkSpace 機器帳戶會放置於 WorkSpaces 目錄的預設組織單位 (OU) 中。一開始,機器帳戶會放置於您目錄的電腦 OU 或 AD Connector 連線至的目錄中。您可以從目錄或連線的目錄中選取不同的 OU,或在不同的目標網域中指定 OU。請注意,您只能為每個目錄選取一個 OU。
選取新的 OU 之後,所有已建立或重新建置之 WorkSpaces 的機器帳戶都會放置於新選取的 OU 中。
**選取組織單位**
1. 開啟 WorkSpaces 主控台,網址為 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇您的目錄。
1. 在目標網域和組織單位下,選擇**編輯**。
1. 若要在目標和組織單位下尋找 OU,您可以開始輸入全部或部分的 OU 名稱,然後選擇要使用的 OU。
1. (選用) 選擇 OU 取代名稱,以自訂 OU 覆寫您選取的 OU。
1. 選擇**儲存**。
1. (選用) 重新建置現有的 WorkSpaces 以更新 OU。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](rebuild-workspace.md)。
# 設定 WorkSpaces Personal 的自動公有 IP 地址
啟用自動指派公用 IP 地址後,您啟動的每個 WorkSpace 都會從 Amazonon 提供的公用位址集區獲派一個公用 IP 地址。如果公用子網路中的 WorkSpace 具有公有 IP 地址,即可透過網際網路閘道存取網際網路。直到您重新建置在您啟用自動指派之前已經存在的 WorkSpace,該 WorkSpace 才會收到公用位址。
請注意,如果 WorkSpaces 位於私有子網路,而且您為虛擬私有雲端 (VPC) 設定了 NAT 閘道,或者您的 WorkSpaces 位於公用子網路,而且您已為其指派彈性 IP 地址,則不需要啟用公用位址的自動指派。如需詳細資訊,請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。
**警告**
如果您將擁有的彈性 IP 地址與 WorkSpace 建立關聯,然後之後將該彈性 IP 地址與 WorkSpace 取消關聯,則 WorkSpace 將失去其公共 IP 地址,且不會自動從 Amazonon 提供的集區取得新的 IP 地址。若要將 Amazon 提供的集區中的新公用 IP 地址與 WorkSpace 建立關聯,您必須[重建 WorkSpace](rebuild-workspace.md)。如果您不想重建 WorkSpace,則必須將您擁有的另一個彈性 IP 地址與 WorkSpace 建立關聯。
**設定彈性 IP 地址**
1. 開啟 WorkSpaces 主控台,網址為 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在導覽窗格中,選擇**目錄**。
1. 為您的 WorkSpaces 選取目錄。
1. 選擇**動作**、**更新詳細資訊**。
1. 展開**存取網際網路**,然後選取**啟用**或**停用**。
1. 選擇**更新**。
# 控制 WorkSpaces Personal 的裝置存取
您可以根據裝置平台指定可存取 WorkSpaces 的裝置類型。您可以使用憑證來限制對受信任裝置 (也稱為受管裝置) 的 WorkSpaces 存取。
**控制裝置對 WorkSpaces 的存取**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇您的目錄。
1. 在存取控制選項下,選擇**編輯**。
1. 在信任的裝置下,透過選取**允許全部**、**信任裝置或拒絕全部******,指定哪些裝置類型可以存取 WorkSpaces。如需詳細資訊,請參閱[限制對 WorkSpaces Personal 受信任裝置的存取](trusted-devices.md)。
1. 選擇 **Save** (儲存)。
# 管理 WorkSpaces Personal 的本機管理員許可
**注意**
此功能僅適用於透過 AWS Directory Service 管理的目錄,包括 AD Connector、 AWS Managed Microsoft AD 和 Simple AD。
您可以指定使用者是否為其 WorkSpaces 的本機管理員,這樣他們就可以在 WorkSpaces 上安裝應用程式及修改設定。依預設,使用者是本機管理員。如果您修改此設定,變更會套用至您建立的所有新 WorkSpaces,以及您重新建置的所有 WorkSpaces。
**修改本機管理員許可**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇您的目錄。
1. 在本機管理員設定下,選擇**編輯**。
1. 若要確保使用者是本機管理員,請選擇**啟用本機管理員設定**。
1. 選擇**儲存**。
# 更新 WorkSpaces Personal 的 AD Connector 帳戶 (AD Connector)
您可以更新 AD Connector 帳戶,該帳戶用於讀取使用者和群組,以及將 WorkSpaces 機器帳戶加入 AD Connector 目錄。
**更新 AD Connector 帳戶**
1. 開啟 WorkSpaces 主控台,網址為 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在導覽窗格中,選擇**目錄**。
1. 選取您的目錄,然後選擇**檢視詳細資訊**。
1. 在 AD 連接器帳戶下,選擇**編輯**。
1. 輸入新帳戶的登入憑證。
1. 選擇**儲存**。
# WorkSpaces Personal 的多重要素驗證 (AD Connector)
您可為 AD Connector 目錄啟用多重要素驗證 (MFA)。如需搭配 使用多重要素驗證的詳細資訊 AWS Directory Service,請參閱[為 AD Connector 啟用多重要素驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)和 [ AD Connector 先決條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。
**注意**
您的 RADIUS 伺服器可以由 託管, AWS 也可以是內部部署。
使用者名稱必須在 Active Directory 與 RADIUS 伺服器之間相符。
**啟用多重要素驗證**
1. 開啟 WorkSpaces 主控台,網址為 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在導覽窗格中,選擇**目錄**。
1. 選取您的目錄,然後依序選擇**動作**、**更新詳細資訊**。
1. 展開**多重要素驗證**,然後選取**啟用多重要素驗證**。
1. 對於 **RADIUS 伺服器 IP 地址**,輸入 RADIUS 伺服器端點的 IP 地址 (以逗號分隔),或輸入 RADIUS 伺服器負載平衡器的 IP 地址。
1. 針對**連接埠**,輸入 RADIUS 伺服器用於通訊的連接埠。您的內部部署網路必須允許 AD Connector 透過預設 RADIUS 伺服器連接埠 (UDP:1812) 傳入流量。
1. 針對**共用秘密代碼**和**確認共用秘密代碼**,輸入 RADIUS 伺服器的共用秘密代碼。
1. 針對**通訊協定**,選擇 RADIUS 伺服器的通訊協定。
1. 針對**伺服器逾時**,輸入等待 RADIUS 伺服器回應的時間 (以秒為單位)。此值必須介於 1 到 50。
1. 針對**最大重試次數**,輸入嘗試與 RADIUS 伺服器通訊的次數。此值必須介於 0 到 10。
1. 選擇**更新並結束**。
當 **RADIUS 狀態** 為**啟用**時,即可使用多重要素驗證。在設定多重要素驗證的過程中,使用者無法登入其 WorkSpaces。
# 建立 WorkSpaces Personal 的目錄
WorkSpaces Personal 可讓您使用透過 管理的目錄 Directory Service 來存放和管理 WorkSpaces 和使用者的資訊。使用下列選項來建立 WorkSpaces 個人目錄:
+ 建立 Simple AD 目錄。
+ 建立適用於 Microsoft Active Directory 的 AWS Directory Service,也稱為 AWS Managed Microsoft AD。
+ 使用 Active Directory 連接器連線到現有的 Microsoft Active Directory。
+ 建立 AWS Managed Microsoft AD 目錄與內部部署網域之間的信任關係。
+ 建立專用 Microsoft Entra ID WorkSpaces 目錄。
+ 建立專用的自訂 WorkSpaces 目錄。
**注意**
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫,則只能註冊主要區域中的目錄以與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。
您可以免費使用 Simple AD 和 AD Connector,以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用,則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用,而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
## 建立目錄之前
+ 並非每個區域都可以使用 WorkSpaces。確認支援的區域,然後為您的 WorkSpaces 選取一個區域。如需支援區域的詳細資訊,請參閱[依 AWS 區域區分的 WorkSpaces 定價](https://aws.amazon.com/workspaces/pricing/)。
+ 建立至少有兩個私有子網路的虛擬私有雲端。如需詳細資訊,請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。VPC 必須透過虛擬私有網路 (VPN) 連線或 Direct Connect連線到您的現場部署網路。如需詳細資訊,請參閱《AWS Directory Service 管理指南》**中的 [AD Connector 先決條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。
+ 提供從 WorkSpace 對網際網路的存取。如需詳細資訊,請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。
如需如何刪除空目錄的資訊,請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 Simple AD 或 AD Connector 目錄,當您想要再次開始使用 WorkSpaces 時,隨時都可以建立新的目錄。
**Topics**
+ [建立目錄之前](#prereqs-tutorials)
+ [識別 WorkSpaces Personal 目錄的電腦名稱](wsp-directory-identify-computer.md)
+ [為 WorkSpaces Personal 建立 AWS Managed Microsoft AD 目錄](launch-workspace-microsoft-ad.md)
+ [為 WorkSpaces Personal 建立 Simple AD 目錄](launch-workspace-simple-ad.md)
+ [為 WorkSpaces Personal 建立 AD Connector](launch-workspace-ad-connector.md)
+ [在 AWS Managed Microsoft AD 目錄與 WorkSpaces Personal 的內部部署網域之間建立信任關係](launch-workspace-trusted-domain.md)
+ [使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄](launch-entra-id.md)
+ [使用 WorkSpaces Personal 建立專用自訂目錄](launch-custom.md)
# 識別 WorkSpaces Personal 目錄的電腦名稱
在 Amazon WorkSpaces 主控台中針對 WorkSpace 顯示的**電腦名稱**值會有所不同,這取決於您啟動的 WorkSpace 類型 (Amazon Linux、Ubuntu 或 Windows)。WorkSpace 的電腦名稱應是以下列其中一種格式:
+ **Amazon Linux**:A-*xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**:R-*xxxxxxxxxxxxx*
+ **Rocky Linux**:R-*xxxxxxxxxxxxx*
+ **Ubuntu**:U-*xxxxxxxxxxxxx*
+ **Windows**:IP-C*xxxxxx* 或 WSAMZN-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx*
對於 Windows WorkSpaces,電腦名稱格式是由套件類型決定,如果 WorkSpaces 是從公用套件或從以公用映像為基礎的自訂套件建立,則是由建立公用映像的時間決定。
自 2020 年 6 月 22 日起,從公用套件啟動的 Windows WorkSpaces 的電腦名稱使用 WSAMZN-*xxxxxxx* 格式,而不是 IP-C*xxxxxx* 格式。
對於以公用映像為基礎的自訂套件,如果公用映像是在 2020 年 6 月 22 日之前建立,則電腦名稱的格式為 EC2AMAZ-*xxxxxxx*。如果公用映像是在 2020 年 6 月 22 日當天或之後建立,則電腦名稱的格式為 WSAMZN-*xxxxxxx*。
若為自帶授權 (BYOL) 套件,電腦名稱預設會使用 DESKTOP-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx* 格式。
如果您已為自訂或 BYOL 套件中的電腦名稱指定自訂格式,則自訂格式會覆寫這些預設值。若要指定自訂格式,請參閱 [建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件](create-custom-bundle.md)。
**重要**
建立 WorkSpace 之後,您可以安全地變更其電腦名稱。例如,您可以使用 WorkSpace `Rename-Computer` 上的 命令或遠端執行 PowerShell 指令碼。然後,Amazon WorkSpace Amazon WorkSpaces主控台中會顯示 WorkSpace 的更新電腦名稱值。
# 為 WorkSpaces Personal 建立 AWS Managed Microsoft AD 目錄
在本教學課程中,我們會建立 AWS Managed Microsoft AD 目錄。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
首先,建立 AWS Managed Microsoft AD 目錄。 會 Directory Service 建立兩個目錄伺服器,每個 VPC 的私有子網路各一個。請注意,目錄最初沒有任何使用者。當您啟動 WorkSpace 時,您會在下一個步驟中新增使用者。
**注意**
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您的 AWS Managed Microsoft AD 目錄已設定為多區域複寫,則只能註冊主要區域中的目錄以與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用具有 AWS Managed Microsoft AD 的多區域複寫。
**建立 AWS Managed Microsoft AD 目錄**
1. 開啟 WorkSpaces 主控台,網址為 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇**建立目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces 類型**選擇**個人**。然後,針對 **WorkSpace 裝置管理**,選擇 **AWS Directory Service**。
1. 選擇**建立目錄**,這會開啟 AWS Directory Service 上的**設定目錄**頁面
1. 選擇 **AWS Managed Microsoft AD**,然後選擇**下一步**。
1. 設定目錄,如下所示:
1. 在**組織名稱**中,為您的目錄輸入唯一組織名稱 (例如,my-demo-directory)。此名稱的長度至少必須有 4 個字元,只能包含英數字元和連字號 (-),而且以非連字號的字元開頭或結尾。
1. 針對**目錄 DNS**,輸入目錄的完整名稱 (例如,workspaces.demo.com)。
**重要**
如果您需要在啟動 WorkSpaces 之後更新 DNS 伺服器,請遵循 [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md) 中的程序,確保您的 WorkSpaces 能正確更新。
1. 針對 **NetBIOS 名稱**,輸入目錄的簡短名稱 (例如,workspaces)。
1. 針對**管理員密碼**和**確認密碼**,輸入目錄管理員帳戶的密碼。如需密碼需求的詳細資訊,請參閱《 *AWS Directory Service 管理指南*》中的[建立您的 AWS Managed Microsoft AD Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
1. (選用) 針對**描述**,輸入目錄的描述。
1. 針對 **VPC**,選取您建立的 VPC。
1. 針對**子網路**,選取兩個私用子網路 (具有 CIDR 區塊 `10.0.1.0/24` 和 `10.0.2.0/24`)。
1. 選擇 **Next Step (後續步驟)**。
1. 選擇**建立目錄**。
1. 您將回到 WorkSpaces 主控台上的建立目錄頁面。目錄的初始狀態為 `Requested`,然後是 `Creating`。目錄建立完成時 (這可能需要幾分鐘),狀態為 `Active`。
建立 AWS Managed Microsoft AD 目錄之後,您可以向 Amazon WorkSpaces 註冊該目錄。如需詳細資訊,請參閱[向 WorkSpaces Personal 註冊現有 Directory Service 目錄](register-deregister-directory.md)
# 為 WorkSpaces Personal 建立 Simple AD 目錄
在本教學課程中,我們會啟動使用 Simple AD 的 WorkSpace。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
**注意**
並非所有AWS區域都提供 Simple AD。確認支援的區域,然後為您的 Simple AD 目錄[選取一個區域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)。如需 Simple AD 支援區域的詳細資訊,請參閱 [AWSDirectory Service 的區域可用性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)。
您可以免費使用 Simple AD,以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 目錄使用,則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用,而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
[ Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) 目前僅支援 IPv4 定址,這表示在建立目錄時,關聯的 VPC 將使用 IPv4 CIDR 區塊設定,且不支援 IPv6 網路。
當您建立 Simple AD 目錄時, 會Directory Service建立兩個目錄伺服器,每個 VPC 的私有子網路各一個。目錄中一開始沒有使用者。在您建立 WorkSpace 後新增使用者。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)
**建立 Simple AD 目錄**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇**建立目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces 類型**選擇**個人**。然後,針對 **WorkSpace 裝置管理**,選擇 **AWSDirectory Service**。
1. 選擇**建立目錄**,這會開啟 **Directory Service 上的設定**AWS目錄頁面
1. 選擇 **Simple AD**,然後選擇**下一步**。
1. 設定目錄,如下所示:
1. 在**組織名稱**中,為您的目錄輸入唯一組織名稱 (例如,my-example-directory)。此名稱的長度至少必須有 4 個字元,只能包含英數字元和連字號 (-),而且以非連字號的字元開頭或結尾。
1. 針對**目錄 DNS 名稱**,輸入目錄的完整名稱 (例如,example.com)。
**重要**
如果您需要在啟動 WorkSpaces 之後更新 DNS 伺服器,請遵循 [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md) 中的程序,確保您的 WorkSpaces 能正確更新。
1. 針對 **NetBIOS 名稱**,輸入目錄的簡短名稱 (例如,example)。
1. 針對**管理員密碼**和**確認密碼**,輸入目錄管理員帳戶的密碼。如需密碼需求的相關資訊,請參閱《AWS Directory Service 管理指南》**中的[如何建立 Microsoft AD 目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
1. (選用) 針對**描述**,輸入目錄的描述。
1. 針對**目錄大小**,選擇**小型**。
1. 針對 **VPC**,選取您建立的 VPC。
1. 針對**子網路**,選取兩個私用子網路 (具有 CIDR 區塊 `10.0.1.0/24` 和 `10.0.2.0/24`)。
1. 選擇**下一步**。
1. 選擇**建立目錄**。
1. 您將回到 WorkSpaces 主控台上的建立目錄頁面。目錄的初始狀態為 `Requested`,然後是 `Creating`。目錄建立完成時 (這可能需要幾分鐘),狀態為 `Active`。
**建立目錄期間發生的事**
WorkSpaces 會代表您完成下列任務:
+ 建立 IAM 角色,以允許 WorkSpaces 服務建立彈性網路介面並列出您的 WorkSpaces 目錄。此角色具有名稱 `workspaces_DefaultRole`。
+ 在用於儲存使用者與 WorkSpace 資訊的 VPC 中設定 Simple AD 目錄。此目錄有一個具使用者名稱 Administrator 與指定密碼的管理員帳戶。
+ 建立兩個安全群組,一個用於目錄控制器,另一個用於目錄中的 WorkSpaces。
建立 Simple AD 目錄之後,您可以向 Amazon WorkSpaces 註冊該目錄。如需詳細資訊,請參閱[向 WorkSpaces Personal 註冊現有 Directory Service 目錄](register-deregister-directory.md)
# 為 WorkSpaces Personal 建立 AD Connector
在本教學課程中,我們會建立 AD Connector。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
## 建立 AD Connector
**注意**
您可以免費使用 AD Connector,以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 AD Connector 目錄使用,則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用,而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
若要刪除空目錄,請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 AD Connector 目錄,當您想要再次開始使用 WorkSpaces 時,隨時都可以建立新的目錄。
**建立 AD Connector**
1. 開啟 WorkSpaces 主控台,網址為 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇**建立目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces 類型**選擇**個人**。然後,針對 **WorkSpace 裝置管理**,選擇 **AWS Directory Service**。
1. 選擇**建立目錄**,這會開啟 **Directory Service 上的設定** AWS 目錄頁面
1. 選擇 **AWS Managed Microsoft AD**,然後選擇**下一步**。
1. 在**組織名稱**中,為您的目錄輸入唯一組織名稱 (例如,my-example-directory)。此名稱的長度至少必須有 4 個字元,只能包含英數字元和連字號 (-),而且以非連字號的字元開頭或結尾。
1. 針對**連線的目錄 DNS**,輸入內部部署目錄的完整名稱 (例如,example.com)。
1. 針對**連線的目錄 NetBIOS 名稱**,輸入內部部署目錄的簡短名稱 (例如,example)。
1. 針對**連接器帳戶使用者名稱**,輸入內部部署目錄中使用者的使用者名稱。使用者必須具有讀取使用者和群組、建立電腦物件以及將電腦加入網域的許可。
1. 針對**連接器帳戶密碼**和**確認密碼**,輸入內部部署使用者的密碼。
1. 針對 **DNS 位址**,輸入內部部署目錄中至少一個 DNS 伺服器的 IP 地址。
**重要**
如果您需要在啟動 WorkSpaces 之後更新 DNS 伺服器 IP 地址,請遵循 [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md) 中的程序,確保您的 WorkSpaces 能正確更新。
1. (選用) 針對**描述**,輸入目錄的描述。
1. 將**大小**保持為**小**。
1. 針對 **VPC**,選取您的 VPC。
1. 針對**子網路**,選取您的子網路。您指定的 DNS 伺服器必須可從每個子網路存取。
1. 選擇**建立目錄**。
1. 您將會回到 WorkSpaces 主控台上的建立目錄頁面。目錄的初始狀態為 `Requested`,然後是 `Creating`。目錄建立完成時 (這可能需要幾分鐘),狀態為 `Active`。
# 在 AWS Managed Microsoft AD 目錄與 WorkSpaces Personal 的內部部署網域之間建立信任關係
在本教學課程中,我們會在 AWS Managed Microsoft AD 目錄和內部部署網域之間建立信任關係。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
**注意**
在個別受信任網域 AWS 帳戶 中使用 啟動 WorkSpaces 時,當 AWS Managed Microsoft AD 與內部部署目錄具有信任關係時,它即可使用。但是,使用 Simple AD 或 AD Connector 的 WorkSpaces 無法為來自信任網域的使用者啟動 WorkSpaces。
**設定信任關係**
1. 在虛擬私有雲端 (VPC) 中設定 AWS Managed Microsoft AD。如需詳細資訊,請參閱 *AWS Directory Service 管理指南*中的[建立您的 AWS 受管 Microsoft AD 目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
**注意**
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您的 AWS Managed Microsoft AD 目錄已設定為多區域複寫,則只能註冊主要區域中的目錄以與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。
1. 在 AWS Managed Microsoft AD 和內部部署網域之間建立信任關係。確定信任已設定為雙向信任。如需詳細資訊,請參閱 [管理指南中的教學課程:在您的 AWS 受管 Microsoft AD 與現場部署網域之間建立信任關係](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html)。 *AWS Directory Service *
單向或雙向信任可用於管理和驗證 WorkSpaces,以便將 WorkSpaces 佈建給內部部署使用者和群組。如需詳細資訊,請參閱[使用具有 AWS Directory Service 的單向信任資源網域部署 Amazon WorkSpaces](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/)。
**注意**
Red Hat Enterprise Linux、Rocky Linux 和 Ubuntu WorkSpaces 使用 System Security Services Daemon (SSSD) 進行 Active Directory 整合,SSSD 不支援樹系信任。請改為設定外部信任。對於 Amazon Linux、Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces,建議使用雙向信任。
您無法使用 Web 瀏覽器 (Web Access) 連線到 Linux WorkSpaces。
# 使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄
在本教學課程中,我們會建立自攜授權 (BYOL) Windows 10 和 11 個人 WorkSpaces 是加入 Microsoft Entra ID 並註冊至 Microsoft Intune。在建立這類 WorkSpaces 之前,您需要先為 Entra ID 加入的 WorkSpaces 建立專用的 WorkSpaces Personal 目錄。
**注意**
Microsoft Entra 加入的個人 WorkSpaces 適用於所有提供 Amazon WorkSpaces AWS 的區域,非洲 (開普敦)、以色列 (特拉維夫) 和中國 (寧夏) 除外。
**Contents**
+ [概要](#entra-overview)
+ [要求與限制](#entra-requirements-limitation)
+ [步驟 1:啟用 IAM Identity Center 並與 Microsoft Entra ID 同步](#entra-step-1)
+ [步驟 2:註冊 Microsoft Entra ID 應用程式以授予 Windows Autopilot 的許可](#entra-step-2)
+ [步驟 3:設定 Windows Autopilot 使用者驅動模式](#entra-step-3)
+ [步驟 4:建立 AWS Secrets Manager 秘密](#entra-step-4)
+ [步驟 5:建立專用 Microsoft Entra ID WorkSpaces 目錄](#entra-step-5)
+ [為 WorkSpaces 目錄設定 IAM Identity Center 應用程式 (選用)](#configure-iam-directory)
+ [建立跨區域 IAM Identity Center 整合 (選用)](#create-cross-region-iam-identity-integration)
## 概要
Microsoft Entra ID 個人 WorkSpaces 目錄包含啟動 Microsoft Entra ID 加入 WorkSpaces 所需的所有資訊,這些 WorkSpaces 會指派給使用 Microsoft Entra ID 管理的使用者。使用者資訊會透過 IAM Identity Center AWS 提供給 WorkSpaces,其做為身分中介裝置,將您的人力資源身分從 Entra ID 帶到其中 AWS。Microsoft Windows Autopilot 使用者驅動模式用於完成 WorkSpaces Intune 註冊和 Entra 聯結。下圖說明 Autopilot 程序。
![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/autopilot.jpg)
## 要求與限制
+ Microsoft Entra ID P1 計劃或更高版本。
+ Microsoft Entra ID 和 Intune 已啟用,並具有角色指派。
+ Intune 管理員 - 管理 Autopilot 部署設定檔時需要。
+ 全域管理員 - 授予管理員對在[步驟 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中建立之應用程式所指派之 API 許可的同意時需要。無需此許可即可建立應用程式。不過,全域管理員需要提供應用程式許可的管理員同意。
+ 將 Windows 10/11 VDA E3 或 E5 使用者訂閱授權指派給 WorkSpaces 使用者。
+ Entra ID 目錄僅支援 Windows 10 或 11 自帶授權個人 WorkSpaces。以下是支援的版本。
+ Windows 10 版本 21H2 (2021 年 12 月更新)
+ Windows 10 版本 22H2 (2022 年 11 月更新)
+ Windows 11 Enterprise 23H2 (2023 年 10 月版本)
+ Windows 11 Enterprise 22H2 (2022 年 10 月版本)
+ Windows 11 Enterprise 24H2 (2024 年 10 月發行)
+ Windows 11 Enterprise 25H2 (2025 年 9 月發行)
+ AWS 您的帳戶已啟用自帶授權 (BYOL),而且您的帳戶中匯入了有效的 Windows 10 或 11 BYOL 映像。如需詳細資訊,請參閱[在 WorkSpaces 中攜帶您自己的 Windows 桌面授權](byol-windows-images.md)。
+ Microsoft Entra ID 目錄僅支援 Windows 10 或 11 BYOL 個人 WorkSpaces。
+ Microsoft Entra ID 目錄僅支援 DCV 通訊協定。
+ 如果您為 WorkSpaces 使用防火牆,請確定它不會封鎖 Microsoft Intune 和 Windows Autopilot 端點的傳出流量。如需詳細資訊[,請參閱 Microsoft Intune - Microsoft Intune 和 Windows Autopilot 需求的網路端點](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america)。 [https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking)
+ Microsoft Entra ID 目錄不支援 Government Community Cloud High (GCCH) 和 Department of Defense (DoD) 環境中的 Microsoft Entra ID 租用戶。
## 步驟 1:啟用 IAM Identity Center 並與 Microsoft Entra ID 同步
若要建立加入 Microsoft Entra ID 的個人 WorkSpaces 並將其指派給您的 Entra ID 使用者,您必須 AWS 透過 IAM Identity Center 將使用者資訊提供給 。IAM Identity Center 是管理使用者存取 AWS 資源的建議 AWS 服務。如需詳細資訊,請參閱[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。這是一次性設定。
如果您沒有要與 WorkSpaces 整合的現有 IAM Identity Center 執行個體,建議您在與 WorkSpaces 相同的區域中建立一個執行個體。如果您在不同的區域中有現有的 AWS Identity Center 執行個體,您可以設定跨區域整合。如需跨區域設定的詳細資訊,請參閱 [建立跨區域 IAM Identity Center 整合 (選用)](#create-cross-region-iam-identity-integration)。
**注意**
不支援 WorkSpaces 和 IAM Identity Center 之間的跨區域整合 AWS GovCloud (US) Region。
1. 使用 AWS Organizations 啟用 IAM Identity Center,尤其是使用多帳戶環境時。您也可以建立 IAM Identity Center 的帳戶執行個體。若要進一步了解,請參閱[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每個 WorkSpaces 目錄都可以與一個 IAM Identity Center 執行個體、組織或帳戶建立關聯。
如果您使用組織執行個體,並嘗試在其中一個成員帳戶中建立 WorkSpaces 目錄,請確定您有下列 IAM Identity Center 許可。
+ `"sso:DescribeInstance"`
+ `"sso:CreateApplication"`
+ `"sso:PutApplicationGrant"`
+ `"sso:PutApplicationAuthenticationMethod"`
+ `"sso:DeleteApplication"`
+ `"sso:DescribeApplication"`
+ `"sso:getApplicationGrant"`
如需詳細資訊,請參閱[管理 IAM Identity Center 資源存取許可的概觀](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。此外,請確定沒有任何服務控制政策 SCPs) 封鎖這些許可。若要進一步了解 SCPs,請參閱[服務控制政策 SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
1. 設定 IAM Identity Center 和 Microsoft Entra ID,以自動將所選或所有使用者從 Entra ID 租用戶同步至 IAM Identity Center 執行個體。如需詳細資訊,請參閱[使用 Microsoft Entra ID 和 IAM Identity Center 設定 SAML 和 SCIM](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html),以及[教學課程:為自動使用者佈建設定 AWS IAM Identity Center](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial)。
1. 確認您在 Microsoft Entra ID 上設定的使用者已正確同步至 IAM Identity Center AWS 執行個體。如果您在 Microsoft Entra ID 中看到錯誤訊息,表示 Entra ID 中的使用者是以 IAM Identity Center 不支援的方式設定。錯誤訊息將識別此問題。例如,如果 Entra ID 中的使用者物件缺少名字、姓氏和/或顯示名稱,您會收到類似 的錯誤訊息`"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"`。如需詳細資訊,請參閱[特定使用者無法從外部 SCIM 供應商同步至 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2)。
**注意**
WorkSpaces 使用 Entra ID UserPrincipalName (UPN) 屬性來識別個別使用者,其限制如下:
UPNs 長度不可超過 63 個字元。
如果您在將 WorkSpace 指派給使用者後變更 UPN,使用者將無法連線到其 WorkSpace,除非您將 UPN 變更回先前的版本。
## 步驟 2:註冊 Microsoft Entra ID 應用程式以授予 Windows Autopilot 的許可
WorkSpaces Personal 使用 Microsoft Windows Autopilot 使用者驅動模式將 WorkSpaces 註冊到 Microsoft Intune,並將其加入 Microsoft Entra ID。
若要允許 Amazon WorkSpaces 將 WorkSpaces Personal 註冊到 Autopilot,您必須註冊授予必要 Microsoft Graph API 許可的 Microsoft Entra ID 應用程式。如需註冊 Entra ID 應用程式的詳細資訊,請參閱 [ Quickstart:向 Microsoft 身分平台註冊應用程式](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate)。
我們建議您在 Entra ID 應用程式中提供下列 API 許可。
+ 若要建立需要加入 Entra ID 的新個人 WorkSpace,需要下列 API 許可。
+ `DeviceManagementServiceConfig.ReadWrite.All`
+ 當您終止或重建個人 WorkSpace 時,會使用下列許可。
**注意**
如果您未提供這些許可,WorkSpace 將終止,但不會從 Intune 和 Entra ID 租用戶中移除,而且您必須分別移除它們。
+ `DeviceManagementServiceConfig.ReadWrite.All`
+ `Device.ReadWrite.All`
+ `DeviceManagementManagedDevices.ReadWrite.All`
+ 這些許可需要管理員同意。如需詳細資訊,請參閱[授予整個租用戶的管理員對應用程式 的同意](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。
接著,您必須為 Entra ID 應用程式新增用戶端秘密。如需詳細資訊,請參閱[新增登入](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials)資料。請務必記住用戶端秘密字串,因為在步驟 4 中建立 AWS Secrets Manager 秘密時會需要它。
## 步驟 3:設定 Windows Autopilot 使用者驅動模式
確保您熟悉 [ Intune 中 Windows Autopilot 使用者驅動 Microsoft Entra 加入的逐步教學](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow)課程。
**設定 Microsoft Intune for Autopilot**
1. 登入 Microsoft Intune 管理中心
1. 為個人 WorkSpaces 建立新的 Autopilot 裝置群組。如需詳細資訊,請參閱[建立 Windows Autopilot 的裝置群組](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot)。
1. 選擇**群組**、**新群組**
1. 針對 **Group type** (群組類型),選擇 **Security** (安全性)。
1. 針對**成員類型**,選擇**動態裝置**。
1. 選擇**編輯動態查詢**以建立動態成員資格規則。規則應該採用下列格式:
```
(device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
```
**重要**
`WorkSpacesDirectoryName` 應該符合您在步驟 5 中建立的 Entra ID WorkSpaces Personal 目錄的目錄名稱。這是因為當 WorkSpaces 將虛擬桌面註冊到 Autopilot 時,目錄名稱字串會用作群組標籤。此外,群組標籤會映射至 Microsoft Entra 裝置上的 `OrderID` 屬性。
1. 選擇**裝置**、**Windows**、**註冊**。針對**註冊選項**,選擇**自動註冊**。對於 **MDM 使用者範圍**,選取**全部**。
1. 建立 Autopilot 部署設定檔。如需詳細資訊,請參閱[建立 Autopilot 部署設定檔](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile)。
1. 針對 **Windows Autopilot**,選擇**部署設定檔**、**建立設定檔**。
1. 在 **Windows Autopilot 部署設定檔**畫面中,選取**建立設定檔**下拉式功能表,然後選取 **Windows PC**。
1. 在**建立設定檔**畫面**的Out-of-box(OOBE) **頁面上。針對**部署模式**,選取**使用者驅動**。針對**加入 Microsoft Entra ID**,選取**加入的 Microsoft Entra**。您可以透過選取**是**套用裝置名稱範本來自訂已加入 Entra ID 的個人 WorkSpaces 的電腦名稱,以建立在註冊期間命名裝置時使用的範本。 ****
1. 在**指派**頁面上,針對**指派至**,選擇**選取的群組**。選擇要**包含的群組**,然後選取您剛在 2 中建立的 Autopilot 裝置群組。
## 步驟 4:建立 AWS Secrets Manager 秘密
您必須在 中建立秘密, AWS Secrets Manager 才能為您在 中建立的 Entra ID 應用程式安全地存放資訊,包括應用程式 ID 和用戶端秘密[步驟 2:註冊 Microsoft Entra ID 應用程式以授予 Windows Autopilot 的許可](#entra-step-2)。這是一次性設定。
**建立 AWS Secrets Manager 秘密**
1. 在 上建立客戶受管金鑰[AWS Key Management Service](https://aws.amazon.com/kms/)。金鑰稍後將用於加密 AWS Secrets Manager 秘密。請勿使用預設金鑰來加密秘密,因為 WorkSpaces 服務無法存取預設金鑰。請依照下列步驟建立金鑰。
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 選擇**建立金鑰**。
1. 在**設定金鑰**頁面上,針對**金鑰類型**選擇**對稱**。針對**金鑰用量**,選擇**加密和解密**。
1. 在**檢閱**頁面的金鑰政策編輯器中,確保在金鑰政策中包含下列許可,以允許 WorkSpaces 服務的主體`workspaces.amazonaws.com`存取金鑰。
```
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. 使用上一個步驟中建立的 AWS KMS 金鑰 AWS Secrets Manager,在 上建立秘密。
1. 前往以下位置開啟機密管理員控制台:[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。
1. 選擇 **Store a new secret** (存放新機密)。
1. 在**選擇秘密類型**頁面上,針對**秘密類型**,選取**其他類型的秘密**。
1. 對於**金鑰/值對**,在金鑰方塊中,在金鑰方塊中輸入「application\$1id」,然後從[步驟 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 複製 Entra ID 應用程式 ID,並將其貼到值方塊中。
1. 選擇**新增資料列**,在金鑰方塊中輸入「application\$1password」,然後從[步驟 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 複製 Entra ID 應用程式用戶端秘密,並將其貼到值方塊中。
1. 從加密 AWS KMS 金鑰下拉式清單中選擇您在上一個步驟中建立的金鑰。 ****
1. 選擇**下一步**。
1. 在**設定秘密**頁面上,輸入**秘密名稱**和**描述**。
1. 在**資源許可**區段中,選擇**編輯許可**。
1. 請確定在資源許可中包含下列資源政策,以允許 WorkSpaces 服務的主體`workspaces.amazonaws.com`存取秘密。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"Service" : [ "workspaces.amazonaws.com"]
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}
```
------
## 步驟 5:建立專用 Microsoft Entra ID WorkSpaces 目錄
建立專用 WorkSpaces 目錄,以存放加入 Microsoft Entra ID 的 WorkSpaces 和 Entra ID 使用者的資訊。
**建立 Entra ID WorkSpaces 目錄**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces 類型**選擇**個人**。針對 **WorkSpace 裝置管理**,選擇 **Microsoft Entra ID**。
1. 針對 **Microsoft Entra 租用戶 ID**,輸入您希望目錄的 WorkSpaces 加入的 Microsoft Entra ID 租用戶 ID。建立目錄後,您將無法變更租戶 ID。
1. 對於 **Entra ID 應用程式 ID 和密碼**,請從下拉式清單中選取您在[步驟 4](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4) 中建立的 AWS Secrets Manager 秘密。建立目錄之後,您將無法變更與目錄相關聯的秘密。不過,您可以隨時透過 AWS Secrets Manager 主控台更新秘密的內容,包括 Entra ID 應用程式 ID 及其密碼,網址為 https://[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。
1. 如果您的 IAM Identity Center 執行個體與 WorkSpaces 目錄位於相同的 AWS 區域,請針對**使用者身分來源**,從下拉式清單中選取您在[步驟 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) 中設定的 IAM Identity Center 執行個體。建立目錄之後,您將無法變更與目錄相關聯的 IAM Identity Center 執行個體。
如果您的 IAM Identity Center 執行個體與 WorkSpaces 目錄位於不同的 AWS 區域,請選擇**啟用跨區域**,然後從下拉式清單中選取區域。
**注意**
如果您在不同的區域中有現有的 IAM Identity Center 執行個體,您必須選擇加入以設定跨區域整合。如需跨區域設定的詳細資訊,請參閱 [建立跨區域 IAM Identity Center 整合 (選用)](#create-cross-region-iam-identity-integration)。
1. 針對**目錄名稱**,輸入目錄的唯一名稱 (例如,`WorkSpacesDirectoryName`)。
**重要**
目錄名稱應與您在[步驟 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中使用 Microsoft Intune 建立的 Autopilot 裝置群組建構動態查詢`OrderID`所用的 相符。在 Windows Autopilot 中註冊個人 WorkSpaces 時,目錄名稱字串會用作群組標籤。群組標籤會映射至 Microsoft Entra 裝置上的 `OrderID` 屬性。
1. (選用) 針對**描述**,輸入目錄的描述。
1. 針對 **VPC**,選取您用來啟動 WorkSpaces 的 VPC。如需詳細資訊,請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。
1. 針對**子網路**,選取兩個不是來自相同可用區域的 VPC 子網路。這些子網路將用於啟動您的個人 WorkSpaces。如需詳細資訊,請參閱[WorkSpaces Personal 的可用區域](azs-workspaces.md)。
**重要**
確保在子網路中啟動的 WorkSpaces 具有網際網路存取,這是使用者登入 Windows 桌面時需要的。如需詳細資訊,請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。
1. 針對**組態**,選取**啟用專用 WorkSpace**。您必須啟用它來建立專用的 WorkSpaces Personal 目錄,以啟動自帶授權 (BYOL) Windows 10 或 11 個個人 WorkSpaces。
**注意**
如果您沒有在**組態**下看到**啟用專用 WorkSpace** 選項,您的帳戶尚未為 BYOL 啟用。若要為您的帳戶啟用 BYOL,請參閱 [在 WorkSpaces 中攜帶您自己的 Windows 桌面授權](byol-windows-images.md)。
1. (選用) 對於**標籤**,在 目錄中指定您要用於個人 WorkSpaces 的金鑰對值。
1. 檢閱目錄摘要,然後選擇**建立目錄**。連線您的目錄需要幾分鐘的時間。目錄的初始狀態為 `Creating`。目錄建立完成時,狀態為 `Active`。
建立目錄後,也會代表您自動建立 IAM Identity Center 應用程式。若要尋找應用程式的 ARN,請前往目錄的摘要頁面。
您現在可以使用 目錄來啟動已註冊 Microsoft Intune 並加入 Microsoft Entra ID 的 Windows 10 或 11 個人 WorkSpaces。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)。
建立 WorkSpaces Personal 目錄之後,您可以建立個人 WorkSpace。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)
## 為 WorkSpaces 目錄設定 IAM Identity Center 應用程式 (選用)
建立目錄後,會自動建立對應的 IAM Identity Center 應用程式。您可以在目錄詳細資訊頁面上的摘要區段中找到應用程式的 ARN。根據預設, Identity Center 執行個體中的所有使用者可以存取其指派的 WorkSpaces,而無需設定對應的 Identity Center 應用程式。不過,您可以透過設定 IAM Identity Center 應用程式的使用者指派,來管理使用者對 目錄中 WorkSpaces 的存取權。
**設定 IAM Identity Center 應用程式的使用者指派**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在**AWS 受管應用程式**索引標籤上,選擇 WorkSpaces 目錄的應用程式。應用程式名稱的格式如下:`WorkSpaces.wsd-xxxxx`,其中 `wsd-xxxxx`是 WorkSpaces 目錄 ID。
1. 選擇**動作**、**編輯詳細資訊**。
1. 從 變更**使用者和群組指派方法** **不需要指派**至**需要指派**。
1. 選擇**儲存變更**。
進行此變更後,除非指派給應用程式,否則 Identity Center 執行個體中的使用者將失去其指派 WorkSpaces 的存取權。若要將使用者指派給應用程式,請使用 AWS CLI 命令`create-application-assignment`將使用者或群組指派給應用程式。如需詳細資訊,請參閱 [AWS CLI 命令參考](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html)。
## 建立跨區域 IAM Identity Center 整合 (選用)
我們建議您的 WorkSpaces 和相關聯的 IAM Identity Center 執行個體位於相同的 AWS 區域。不過,如果您已在與 WorkSpaces 區域不同的區域中設定 IAM Identity Center 執行個體,您可以建立跨區域整合。當您建立跨區域 WorkSpaces 和 IAM Identity Center 整合時,您可以讓 WorkSpaces 進行跨區域呼叫,以存取和存放來自 IAM Identity Center 執行個體的資訊,例如使用者和群組屬性。
**重要**
Amazon WorkSpaces 僅支援組織層級執行個體的跨區域 IAM Identity Center 和 WorkSpaces 整合。WorkSpaces 不支援帳戶層級執行個體的跨區域 IAM Identity Center 整合。如需 IAM Identity Center 執行個體類型及其使用案例的詳細資訊,請參閱[了解 IAM Identity Center 執行個體的類型](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types)。
如果您在 WorkSpaces 目錄和 IAM Identity Center 執行個體之間建立跨區域整合,則部署 WorkSpaces 時和登入期間可能會因為跨區域呼叫而遇到較高的延遲。延遲的增加與 WorkSpaces 區域和 IAM Identity Center 區域之間的距離成正比。我們建議您針對特定使用案例執行延遲測試。
您可以在[步驟 5:建立專用 Microsoft Entra ID WorkSpaces 目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5)期間啟用跨區域 IAM Identity Center 連線。對於**使用者身分來源**,[步驟 1:啟用 IAM Identity Center 並與 Microsoft Entra ID 同步](#entra-step-1)請從下拉式選單中選擇您在 中設定的 IAM Identity Center 執行個體。
**重要**
您無法在建立目錄之後變更與目錄相關聯的 IAM Identity Center 執行個體。
# 使用 WorkSpaces Personal 建立專用自訂目錄
在建立 Windows 10 和 11 BYOL 個人 WorkSpaces 並將其指派給使用 IAM Identity Center Identity Providers (IdPs AWS管理的使用者之前,您必須建立專用的自訂 WorkSpaces 目錄。Personal WorkSpaces 不會加入任何 Microsoft Active Directory,但可以使用您選擇的行動裝置管理 (MDM) 解決方案進行管理,例如 JumpCloud。如需 JumpCloud 的詳細資訊,請參閱[這篇文章](https://jumpcloud.com/support/integrate-with-aws-workspaces)。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
**注意**
Amazon WorkSpaces 無法在自訂目錄中啟動的個人 WorkSpaces 上建立或管理使用者帳戶。身為管理員,您必須管理它們。
除了非洲 (開普敦)、以色列 (特拉維夫) 和中國 (寧夏) 以外,提供 Amazon WorkSpaces 的所有AWS區域都提供自訂 WorkSpaces 目錄。
Amazon WorkSpaces 無法使用自訂目錄在 WorkSpaces 上建立或管理使用者帳戶。為了確保您使用的 MDM 代理程式軟體可以在 Windows WorkSpaces 上建立使用者設定檔,請聯絡 MDM 解決方案供應商。建立使用者設定檔可讓您的使用者從 Windows 登入畫面登入 Windows 桌面。
**Contents**
+ [要求與限制](#custom-requirements-limitations)
+ [步驟 1:啟用 IAM Identity Center 並與您的 Identity Provider 連線](#custom-step-1)
+ [步驟 2:建立專用的自訂 WorkSpaces 目錄](#custom-step-2)
## 要求與限制
+ 自訂 WorkSpaces 目錄僅支援 Windows 10 或 11 自帶授權個人 WorkSpaces。
+ 自訂 WorkSpaces 目錄僅支援 DCV 通訊協定。
+ 請確定您為 AWS帳戶啟用 BYOL,而且您擁有自己的AWS KMS伺服器,可供個人 WorkSpaces 存取以進行 Windows 10 和 11 啟用。如需詳細資訊,請參閱[在 WorkSpaces 中攜帶您自己的 Windows 桌面授權](byol-windows-images.md)。
+ 請確定您在匯入至AWS帳戶的 BYOL 映像上預先安裝 MDM 代理程式軟體。
## 步驟 1:啟用 IAM Identity Center 並與您的 Identity Provider 連線
若要將 WorkSpaces 指派給使用身分提供者管理的使用者,使用者資訊必須透過 AWSAWSIAM Identity Center 提供給 。我們建議您使用 IAM Identity Center 來管理使用者對 AWS資源的存取。如需詳細資訊,請參閱[什麼是 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。這是一次性設定。
**提供使用者資訊給AWS**
1. 啟用 IAM Identity CenterAWS。您可以為您的AWS組織啟用 IAM Identity Center,尤其是使用多帳戶環境時。您也可以建立 IAM Identity Center 的帳戶執行個體。如需詳細資訊,請參閱[啟用 AWSIAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每個 WorkSpaces 目錄都可以與一個 IAM Identity Center 組織或帳戶執行個體建立關聯。每個 IAM Identity Center 執行個體都可以與一或多個 WorkSpaces Personal 目錄建立關聯。
如果您使用組織執行個體,並嘗試在其中一個成員帳戶中建立 WorkSpaces 目錄,請確定您有下列 IAM Identity Center 許可。
+ `"sso:DescribeInstance"`
+ `"sso:CreateApplication"`
+ `"sso:PutApplicationGrant"`
+ `"sso:PutApplicationAuthenticationMethod"`
+ `"sso:DeleteApplication"`
+ `"sso:DescribeApplication"`
+ `"sso:getApplicationGrant"`
如需詳細資訊,請參閱[管理 IAM Identity Center 資源存取許可的概觀](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。確保沒有任何服務控制政策 SCPs) 封鎖這些許可。若要進一步了解 SCPs,請參閱[服務控制政策 SCPs)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html)。
1. 設定 IAM Identity Center 和您的身分提供者 (IdP),以自動將使用者從 IdP 同步至 IAM Identity Center 執行個體。如需詳細資訊,請參閱[入門教學課程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html),並選擇您要使用的 IdP 特定教學課程。例如,[使用 IAM Identity Center 與您的 JumpCloud Directory Platform 連線](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html)。
1. 確認您在 IdP 上設定的使用者已正確同步至 IAM Identity Center AWS執行個體。第一次同步可能需要長達一小時的時間,具體取決於 IdP 的組態。
## 步驟 2:建立專用的自訂 WorkSpaces 目錄
建立專用的 WorkSpaces Personal 目錄,以存放您的個人 WorkSpaces 和使用者的相關資訊。
**建立專用的自訂 WorkSpaces 目錄**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇**建立目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces** 類型,選擇**個人**。針對 **WorkSpace 裝置管理**,選擇**自訂**。
1. 對於**使用者身分來源**,請從下拉式清單中選取您在[步驟 1](https://docs.aws.amazon.com/) 中設定的 IAM Identity Center 執行個體。建立目錄後,您將無法變更與目錄相關聯的 IAM Identity Center 執行個體。
**注意**
您必須為目錄指定 IAM Identity Center 執行個體,否則您將無法使用 WorkSpaces 主控台透過目錄啟動個人 WorkSpaces。沒有相關聯 Identity Center 的 WorkSpaces 目錄僅與 WorkSpaces Core 合作夥伴解決方案相容。
1. 在**目錄名稱**中,輸入目錄的唯一名稱。
1. 針對 **VPC**,選取您用來啟動 WorkSpaces 的 VPC。如需詳細資訊,請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。
1. 針對**子網路**,選取兩個不是來自相同可用區域的 VPC 子網路。這些子網路將用於啟動您的個人 WorkSpaces。如需詳細資訊,請參閱[WorkSpaces Personal 的可用區域](azs-workspaces.md)。
**重要**
確保在子網路中啟動的 WorkSpaces 具有網際網路存取,這是使用者登入 Windows 桌面時需要的。如需詳細資訊,請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。
1. 針對**組態**,選取**啟用專用 WorkSpace**。您必須啟用它來建立專用的 WorkSpaces Personal 目錄,以啟動自帶授權 (BYOL) Windows 10 或 11 個個人 WorkSpaces。
1. (選用) 針對**標籤**,在 目錄中指定您要用於個人 WorkSpaces 的金鑰對值。
1. 檢閱目錄摘要,然後選擇**建立目錄**。連線您的目錄需要幾分鐘的時間。目錄的初始狀態為 `Creating`。目錄建立完成時,狀態為 `Active`。
建立目錄後,也會代表您自動建立 IAM Identity Center 應用程式。若要尋找應用程式的 ARN,請前往目錄的摘要頁面。
您現在可以使用 目錄來啟動已註冊 Microsoft Intune 並加入 Microsoft Entra ID 的 Windows 10 或 11 個人 WorkSpaces。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)。
建立 WorkSpaces Personal 目錄之後,您可以建立個人 WorkSpace。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)
# 更新 WorkSpaces Personal 的 DNS 伺服器
如果您需要在啟動 WorkSpaces 之後更新 Active Directory 的 DNS 伺服器 IP 地址,您也必須使用新的 DNS 伺服器設定來更新您的 WorkSpaces。
您可使用下列其中一種方式,使用新的 DNS 設定來更新 WorkSpaces:
+ 在更新 Active Directory 的 DNS 設定**之前**,請先更新 WorkSpaces 上的 DNS 設定。
+ 更新 Active Directory 的 DNS 設定**之後**,請重新建置 WorkSpaces。
我們建議在更新 Active Directory 中的 DNS 設定之前,先更新 WorkSpaces 上的 DNS 設定 (如下列程序的[步驟 1](#update-registry-dns) 所述)。
如果您想要改為重新建置 WorkSpaces,請更新 Active Directory 中的其中一個 DNS 伺服器 IP 地址 ([步驟 2](#update-dns-active-directory)),然後依照 [在 WorkSpace WorkSpaces](rebuild-workspace.md) 中的程序重新建置 WorkSpaces。重新建置 WorkSpaces 之後,請依照[步驟 3](#test-updated-dns-settings) 中的程序來測試 DNS 伺服器更新。完成該步驟之後,請在 Active Directory 中更新第二個 DNS 伺服器的 IP 地址,然後再次重新建置 WorkSpaces。務必遵循[步驟 3](#test-updated-dns-settings) 中的程序來測試您的第二個 DNS 伺服器更新。如[最佳實務](#update-dns-best-practices)一節所述,建議您一次更新一個 DNS 伺服器 IP 地址。
## 最佳實務
當您更新 DNS 伺服器設定時,建議您採用下列最佳實務:
+ 為了避免網域資源中斷連線和無法存取,我們強烈建議您在離峰時間或在計劃的維護期間執行 DNS 伺服器更新。
+ 請勿在變更 DNS 伺服器設定的前 15 分鐘和後 15 分鐘內啟動任何新的 WorkSpaces。
+ 更新 DNS 伺服器設定時,請一次變更一個 DNS 伺服器 IP 地址。在更新第二個 IP 地址之前,請先確認第一次更新正確無誤。我們建議您執行下列程序兩次 ([步驟 1](#update-registry-dns)、[步驟 2](#update-dns-active-directory) 和[步驟 3](#test-updated-dns-settings)),以便一次更新一個 IP 地址。
## 步驟 1:更新 WorkSpaces 上的 DNS 伺服器設定
在下列程序中,目前和新的 DNS 伺服器 IP 地址值參考如下:
+ 目前的 DNS IP 地址:`OldIP1`、`OldIP2`
+ 新的 DNS IP 地址:`NewIP1`、`NewIP2`
**注意**
如果這是您第二次執行此程序,請以 `OldIP2` 取代 `OldIP1` 和以 `NewIP2` 取代 `NewIP1`。
### 更新 Windows WorkSpaces 的 DNS 伺服器設定
如果您有多個 WorkSpaces,您可以在 WorkSpaces 的 Active Directory OU 上套用群組政策物件 (GPO),將下列登錄更新部署至 WorkSpaces。如需使用 GPO 的詳細資訊,請參閱 [在 WorkSpaces Personal 中管理您的 Windows WorkSpaces](group_policy.md)。
您可以使用登錄編輯程式或使用 Windows PowerShell 進行這些更新。本節將說明這兩個程序。
**使用登錄編輯程式更新 DNS 登錄設定**
1. 在 Windows WorkSpace 上,開啟 Windows 搜尋方塊,然後輸入 **registry editor** 以開啟登錄編輯程式 (**regedit.exe**)。
1. 當系統詢問「您要允許此應用程式對裝置進行變更嗎?」時,請選擇**是**。
1. 在登錄編輯程式中,導覽至下列登錄項目:
**HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1SkyLight**
1. 開啟 **DomainJoinDns** 登錄機碼。使用 `NewIP1` 更新 `OldIP1`,然後選擇**確定**。
1. 關閉登錄編輯程式。
1. 重新啟動 WorkSpace,或重新啟動 SkyLightWorkspaceConfigService 服務。
**注意**
重新啟動 SkyLightWorkspaceConfigService 服務之後,網路介面卡最多可能需要 1 分鐘才會反映變更。
1. 繼續進行[步驟 2](#update-dns-active-directory),並在 Active Directory 中更新 DNS 伺服器設定以使用 `NewIP1` 取代 `OldIP1`。
**使用 PowerShell 更新 DNS 登錄設定**
下列程序會使用 PowerShell 命令來更新您的登錄,並重新啟動 SkyLightWorkspaceConfigService 服務。
1. 在 Windows WorkSpace 上,開啟 Windows 搜尋方塊,然後輸入 **powershell**。選擇**以管理員身分執行**。
1. 當系統詢問「您要允許此應用程式對裝置進行變更嗎?」時,請選擇**是**。
1. 在 PowerShell 視窗中,執行下列命令以擷取目前的 DNS 伺服器 IP 地址。
```
Get-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS
```
您應該會收到以下輸出。
```
DomainJoinDns : OldIP1,OldIP2
PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\SkyLight
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon
PSChildName : SkyLight
PSDrive : HKLM
PSProvider : Microsoft.PowerShell.Core\Registry
```
1. 在 PowerShell 視窗中,執行下列命令,將 `OldIP1` 變更為 `NewIP1`。務必暫時將 `OldIP2` 保持原樣。
```
Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "NewIP1,OldIP2"
```
1. 執行下列命令以重新啟動 SkyLightWorkspaceConfigService 服務。
```
restart-service -Name SkyLightWorkspaceConfigService
```
**注意**
重新啟動 SkyLightWorkspaceConfigService 服務之後,網路介面卡最多可能需要 1 分鐘才會反映變更。
1. 繼續進行[步驟 2](#update-dns-active-directory),並在 Active Directory 中更新 DNS 伺服器設定以使用 `NewIP1` 取代 `OldIP1`。
### 更新 Amazon Linux 2 WorkSpaces 的 DNS 伺服器設定
如果您有多個 Amazon Linux 2 WorkSpace,建議您使用組態管理解決方案來分發和強制執行政策。例如,您可以使用 [Ansible](https://www.ansible.com/)。
**更新 Amazon Linux 2 WorkSpace 上的 DNS 伺服器設定**
1. 在您的 Linux WorkSpace 上,開啟終端機視窗。
1. 使用以下 Linux 命令來編輯 `/etc/dhcp/dhclient.conf` 檔案。您必須擁有 root 使用者權限才能編輯此檔案。使用 `sudo -i` 命令以成為 root,或者如下所示使用 `sudo` 執行所有命令。
```
sudo vi /etc/dhcp/dhclient.conf
```
在 `/etc/dhcp/dhclient.conf` 檔案中,您將看到以下 `prepend` 命令,其中 `OldIP1` 和 `OldIP2` 是 DNS 伺服器的 IP 地址。
```
prepend domain-name-servers OldIP1, OldIP2; # skylight
```
1. 以 `NewIP1` 取代 `OldIP1`,並且暫時將 `OldIP2` 保持原樣。
1. 將您的變更儲存至 `/etc/dhcp/dhclient.conf`。
1. 重新啟動 WorkSpace。
1. 繼續進行[步驟 2](#update-dns-active-directory),並在 Active Directory 中更新 DNS 伺服器設定以使用 `NewIP1` 取代 `OldIP1`。
### 更新 Ubuntu WorkSpaces 的 DNS 伺服器設定
如果您有多個 Ubuntu WorkSpace,建議您使用組態管理解決方案來分發和強制執行政策。例如,您可以使用[橫向](https://ubuntu.com/landscape)。
**更新 Ubuntu WorkSpace 上的 DNS 伺服器設定**
1. 在 Ubuntu WorkSpace 上,開啟終端機視窗並執行下列命令。您必須擁有 root 使用者權限才能編輯此檔案。使用 `sudo -i` 命令以成為 root,或者如下所示使用 `sudo` 執行所有命令。
```
sudo vi /etc/netplan/zz-workspaces-domain.yaml
```
1. 在 yaml 檔案中,您會看到下列`nameserver`命令。
```
nameservers:
search:[Your domain FQDN]
addresses:[OldIP1, OldIP2]
```
將 `OldIP1`和 取代`OldIP2`為 `NewIP1`和 `NewIP2`。
如果您有多個 DNS 伺服器 IP 增益集,請將它們新增為逗號分隔值。例如 `[NewDNSIP1, NewDNSIP2, NewDNSIP3]`。
1. 儲存 yaml 檔案。
1. 執行 命令`sudo netplan apply`以套用變更。
1. 執行 命令`resolvectl status`以確認正在使用新的 DNS IP 地址。
1. 繼續[步驟 2](#update-dns-active-directory),並在 Active Directory 中更新您的 DNS 伺服器設定。
### 更新 Red Hat Enterprise Linux WorkSpaces 的 DNS 伺服器設定
如果您有多個 Red Hat Enterprise Linux WorkSpace,建議您使用組態管理解決方案來分發和強制執行政策。例如,您可以使用 [Ansible](https://www.ansible.com/)。
**更新 Red Hat Enterprise Linux WorkSpace 上的 DNS 伺服器設定**
1. 在 Red Hat Enterprise Linux WorkSpace 上,開啟終端機視窗並執行以下命令。您必須擁有 root 使用者權限才能編輯此檔案。使用 `sudo -i` 命令以成為 root,或者如下所示使用 `sudo` 執行所有命令。
```
sudo nmcli conn modify CustomerNIC ipv4.dns 'NewIP1 NewIP2'
```
1. 執行下列命令。
```
sudo systemctl restart NetworkManager
```
1. 若要檢查更新的 DNS 和網路組態,請執行下列命令。
```
nmcli device show eth1
```
1. 繼續[步驟 2](#update-dns-active-directory),並在 Active Directory 中更新您的 DNS 伺服器設定。
## 步驟 2:更新 Active Directory 的 DNS 伺服器設定
在此步驟中,您會更新 Active Directory 的 DNS 伺服器設定。如[最佳實務](#update-dns-best-practices)一節所述,建議您一次更新一個 DNS 伺服器 IP 地址。
若要更新 Active Directory 的 DNS 伺服器設定,請參閱《AWS Directory Service 管理指南》**中的下列文件:
+ **AD Connector**:[更新 AD Connector 的 DNS 位址](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html)
+ **AWS Managed Microsoft AD**:[為您的內部部署網域設定 DNS 條件式轉寄站](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_onprem.html#tutorial_setup_trust_onprem_forwarder)
+ **Simple AD**:[設定 DNS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_dns.html)
更新 DNS 伺服器設定之後,請繼續執行[步驟 3](#test-updated-dns-settings)。
## 步驟 3:測試已更新的 DNS 伺服器設定
完成[步驟 1](#update-registry-dns) 和[步驟 2](#update-dns-active-directory) 之後,請使用下列程序來確認已更新的 DNS 伺服器設定是否如預期般運作。
在下列程序中,目前和新的 DNS 伺服器 IP 地址值參考如下:
+ 目前的 DNS IP 地址:`OldIP1`、`OldIP2`
+ 新的 DNS IP 地址:`NewIP1`、`NewIP2`
**注意**
如果這是您第二次執行此程序,請以 `OldIP2` 取代 `OldIP1` 和以 `NewIP2` 取代 `NewIP1`。
### 測試 Windows WorkSpaces 的已更新 DNS 伺服器設定
1. 關閉 `OldIP1` DNS 伺服器。
1. 登入 Windows WorkSpace。
1. 在 Windows **Start (開始)** 功能表,選擇 **Windows System (Windows 系統)**,然後選擇 **Command Prompt (命令提示字元)**。
1. 執行下列命令,其中 `AD_Name` 是 Active Directory 的名稱 (例如,`corp.example.com`)。
```
nslookup AD_Name
```
`nslookup` 命令應該會傳回下列輸出。(如果這是您第二次執行此程序,您應該會看到 `NewIP2` 代替 `OldIP2`。)
```
Server: Full_AD_Name
Address: NewIP1
Name: AD_Name
Addresses: OldIP2
NewIP1
```
1. 如果輸出不是您預期的輸出,或者您收到任何錯誤,請重複[步驟 1](#update-registry-dns)。
1. 請等待一個小時,確認沒有回報任何使用者問題。確認 `NewIP1` 正在取得 DNS 查詢並回應答案。
1. 確認第一個 DNS 伺服器運作正常之後,請重複[步驟 1](#update-registry-dns) 來更新第二個 DNS 伺服器,這次會以 `NewIP2` 取代 `OldIP2`。然後重複步驟 2 和步驟 3。
### 測試 Linux WorkSpaces 的已更新 DNS 伺服器設定
1. 關閉 `OldIP1` DNS 伺服器。
1. 登入 Linux WorkSpace。
1. 在您的 Linux WorkSpace 上,開啟終端機視窗。
1. DHCP 回應中傳回的 DNS 伺服器 IP 地址會寫入 WorkSpace 上的本機 `/etc/resolv.conf` 檔案。執行下列命令以檢視 `/etc/resolv.conf ` 檔案的內容。
```
cat /etc/resolv.conf
```
您應該會看到下列輸出。(如果這是您第二次執行此程序,您應該會看到 `NewIP2` 代替 `OldIP2`。)
```
; This file is generated by Amazon WorkSpaces
; Modifying it can make your WorkSpace inaccessible until reboot
options timeout:2 attempts:5
; generated by /usr/sbin/dhclient-script
search region.compute.internal
nameserver NewIP1
nameserver OldIP2
nameserver WorkSpaceIP
```
**注意**
如果您手動修改 `/etc/resolv.conf` 檔案,則當 WorkSpace 重新啟動時,這些變更就會遺失。
1. 如果輸出不是您預期的輸出,或者您收到任何錯誤,請重複[步驟 1](#update-registry-dns)。
1. 實際的 DNS 伺服器 IP 地址會儲存在 `/etc/dhcp/dhclient.conf` 檔案中。若要查看此檔案的內容,請執行以下命令。
```
sudo cat /etc/dhcp/dhclient.conf
```
您應該會看到下列輸出。(如果這是您第二次執行此程序,您應該會看到 `NewIP2` 代替 `OldIP2`。)
```
# This file is generated by Amazon WorkSpaces
# Modifying it can make your WorkSpace inaccessible until rebuild
prepend domain-name-servers NewIP1, OldIP2; # skylight
```
1. 請等待一個小時,確認沒有回報任何使用者問題。確認 `NewIP1` 正在取得 DNS 查詢並回應答案。
1. 確認第一個 DNS 伺服器運作正常之後,請重複[步驟 1](#update-registry-dns) 來更新第二個 DNS 伺服器,這次會以 `NewIP2` 取代 `OldIP2`。然後重複步驟 2 和步驟 3。
# 刪除 WorkSpaces Personal 的目錄
**注意**
您可以免費使用 Simple AD 和 AD Connector,以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用,則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用,而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
如果您刪除 Simple AD 或 AD Connector 目錄,當您想要再次開始使用 WorkSpaces 時,隨時都可以建立新的目錄。
**當您刪除目錄時會發生什麼情況:**當您刪除目錄時,會發生下列情況:
+ 刪除 Simple AD 或 AWS Directory Service for Microsoft Active Directory 目錄時,會刪除所有目錄資料和快照,且無法復原。刪除目錄之後,任何加入目錄的 Amazon EC2 執行個體都會保持不變。不過,您無法使用目錄憑證來登入這些執行個體。您需要使用執行個體本機 AWS 帳戶 的 登入這些執行個體。
+ 刪除 AD Connector 目錄時,您的內部部署目錄會保持不變。任何加入目錄的 Amazon EC2 執行個體也會保持不變,並保持在已加入您內部部署目錄的狀態。您仍然可以使用目錄登入資料來登入這些執行個體。
## 刪除 Entra ID 或自訂 WorkSpaces 目錄
Entra ID WorkSpaces 目錄可讓您建立加入 Entra ID 的 Windows 10 或 11 BYOL WorkSpaces。如需詳細資訊,請參閱[使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄](launch-entra-id.md)。
自訂 WorkSpaces 目錄可讓您建立未加入 Active Directory 網域的 WorkSpaces,但請使用您自己的裝置管理軟體和 IAM Identity Center。如需詳細資訊,請參閱[使用 WorkSpaces Personal 建立專用自訂目錄](launch-custom.md)。
**刪除 Entra ID 或自訂 WorkSpaces 目錄**
1. 刪除 目錄中的所有 WorkSpaces。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](delete-workspaces.md)。
1. 在導覽窗格中,選擇**目錄**。
1. 選取目錄。
1. 選擇 **動作**、**刪除**。
1. 出現確認提示時,輸入 **delete**。
## 刪除 AWS Directory Service 目錄
如果其他 WorkSpaces 或其他應用程式不再使用 WorkDocs、Amazon WorkMail 或 Amazon Chime,您可以刪除 WorkSpaces 的 AWS Directory Service 目錄。請注意,您必須先取消註冊目錄,才能加以刪除。
**取消註冊目錄**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選取目錄。
1. 選擇 **Actions** (動作)、**Deregister** (取消註冊)。
1. 出現確認的提示時,請選擇**取消註冊**。取消註冊完成後,**已註冊**的值為 `No`。
**刪除目錄**
1. 刪除目錄中的所有 WorkSpaces。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](delete-workspaces.md)。
1. 尋找並移除目錄中註冊的所有應用程式和服務。如需詳細資訊,請參閱《AWS Directory Service 管理指南》**中的[刪除目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html)。
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選取目錄,然後選擇**動作**、**取消註冊**。
1. 出現確認的提示時,請選擇**取消註冊**。
1. 再次選取目錄,然後依序選擇**動作**、**刪除**。
1. 出現確認提示時,請選擇**刪除**。
**注意**
移除應用程式指派有時會比預期花費更多的時間。如果您收到下列錯誤訊息,請確認您已移除所有應用程式指派,然後等待 30 到 60 分鐘,再次嘗試刪除目錄:
```
An Error Has Occurred
Cannot delete the directory because it still has authorized applications.
Additional directory details can be viewed at the Directory Service console.
```
1. (選用) 刪除目錄的虛擬私有雲端 (VPC) 中的所有資源後,您可以刪除 VPC 並釋放用於 NAT 閘道的彈性 IP 地址。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[刪除 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting)和[使用彈性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs)。
1. (選用) 若要刪除您已完成的任何自訂套件和映像,請參閱 [在 WorkSpaces Personal 中刪除自訂套件或映像](delete_bundle.md)。
# 設定 WorkSpaces Personal 的 Active Directory 管理工具
您將使用目錄管理工具 (例如 Active Directory 系統管理工具) 為 WorkSpaces 目錄執行大部分的管理工作。不過,您將使用 WorkSpaces 主控台來執行一些目錄相關任務。如需詳細資訊,請參閱[管理 WorkSpaces Personal 的目錄](manage-workspaces-directory.md)。
如果您使用包含五個或更多 WorkSpaces 的 AWSManaged Microsoft AD 或 Simple AD 建立目錄,我們建議您在 Amazon EC2 執行個體上集中管理。雖然您可以在 WorkSpace 上安裝目錄管理工具,但是使用 Amazon EC2 執行個體是更強大的解決方式。
**若要安裝 Active Directory 管理工具**
1. 啟動 Amazon EC2 Windows 執行個體,並使用下列其中一個選項將其加入您的 WorkSpaces 目錄:
+ 如果您還沒有現有的 Amazon EC2 Windows 執行個體,則可以在啟動執行個體時將執行個體加入目錄網域。如需詳細資訊,請參閱《AWS Directory Service 管理指南》**中的[無縫加入 Windows EC2 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)。
+ 如果您已經有一個現有的 Amazon EC2 Windows 執行個體,則可以手動將其加入您的目錄。如需詳細資訊,請參閱《AWS Directory Service 管理指南》**中的[手動新增 Windows 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)。
1. 在 Amazon EC2 Windows 執行個體上安裝 Active Directory 管理工具。如需詳細資訊,請參閱《AWS Directory Service 管理指南》**中的[安裝 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/install_ad_tools.html)。
**注意**
當您安裝 Active Directory 管理工具時,務必也選取**群組政策管理**來安裝群組政策管理編輯器 (**gpmc.msc**) 工具。
當功能安裝完成時,可以在 **Windows 系統管理工具**下的 Windows **開始**功能表上取得 Active Directory 工具。
1. 以目錄管理員身分執行工具,如下所示:
1. 在 Windows **開始**功能表上,開啟 **Windows 系統管理工具**。
1. 按住 Shift 鍵,以滑鼠右鍵按一下您要使用之工具的快速鍵,然後選擇**以不同的使用者身分執行**。
1. 輸入管理員的登入認證。使用 Simple AD 時,使用者名稱為 **Administrator**,使用 AWSManaged Microsoft AD 時,管理員為 **Admin**。
您現在可以使用您熟悉的 Active Directory 工具來執行目錄管理工作。例如,您可以使用 Active Directory 使用者和電腦工具來新增使用者、移除使用者、將使用者升級為目錄管理員,或重設使用者密碼。請注意,您必須以具有管理目錄中使用者之許可的使用者身分登入 Windows 執行個體。
**若要將使用者升級為目錄管理員**
**注意**
此程序僅適用於使用 Simple AD 建立的目錄,不適用於 AWSManaged AD。如需使用 AWSManaged AD 建立的目錄,請參閱[《 管理指南》中的管理 AWSManaged Microsoft AD 中的使用者和群組](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)。 *AWS Directory Service*
1. 開啟 Active Directory 使用者和電腦工具。
1. 瀏覽至您網域之下的**使用者**資料夾,然後選取要升級的使用者。
1. 選擇**動作**、**內容**。
1. 在***使用者名稱*內容**對話方塊中,選擇**成員群組**。
1. 將使用者新增至下列群組,然後選擇**確定**。
+ **管理員**
+ **網域管理員**
+ **企業管理員**
+ **群組政策建立者擁有者**
+ **結構描述管理員**
**若要新增或移除使用者**
您只能在啟動 WorkSpace 的過程中從 Amazon WorkSpaces 主控台建立新使用者,而且無法透過 Amazon WorkSpaces 主控台刪除使用者。大多數使用者管理工作 (包括管理使用者群組) 都必須透過您的目錄執行。
**重要**
您必須先刪除指派給使用者的 WorkSpace,才能移除該使用者。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](delete-workspaces.md)。
您用於管理使用者和群組的程序取決於您所使用的目錄類型。
+ 如果您使用的是 AWSManaged Microsoft AD,請參閱[《 管理指南》中的管理 AWSManaged Microsoft AD 中的使用者和群組](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)。 *AWS Directory Service*
+ 如果您使用 Simple AD,請參閱《AWS Directory Service 管理指南》**中的[在 Simple AD 中管理使用者和群組](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html)。
+ 如果您透過 AD Connector 或信任關係使用 Microsoft Active Directory,您可以使用[ Active Directory 模組](https://docs.microsoft.com/powershell/module/activedirectory/)來管理使用者和群組。
**若要重設使用者密碼**
當您為現有使用者重設密碼時,請勿設定**使用者必須在下次登入時變更密碼**。否則,使用者無法連線至其 WorkSpaces。改為針對每個使用者指定安全的臨時密碼,然後要求使用者在下次登入時從 WorkSpace 內手動變更其密碼。
**注意**
如果您使用 AD Connector,或您的使用者位於 AWSGovCloud (美國西部) 區域,您的使用者將無法重設自己的密碼。(WorkSpaces 用戶端應用程式登入畫面上的**忘記密碼?**選項將無法使用。)