Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Creación de un directorio en WorkSpaces Personal
<a name="launch-workspaces-tutorials"></a>

WorkSpaces Personal le permite utilizar directorios administrados a través de Directory Service para almacenar y administrar la información de los escritorios de WorkSpaces y los usuarios. Utilice las siguientes opciones para crear un directorio de WorkSpaces Personal:
+ Crear un directorio de Simple AD.
+ Crear un AWS Directory Service para Microsoft Active Directory, también denominado AWS Managed Microsoft AD.
+ Conectarse con un Microsoft Active Directory existente a través del conector de Active Directory.
+ Crear una relación de confianza entre el directorio de AWS Managed Microsoft AD y el dominio local.
+ Crear un directorio dedicado de escritorios de WorkSpaces con Microsoft Entra ID.
+ Crear un directorio personalizado dedicado de escritorios de WorkSpaces.

**nota**  
Los directorios compartidos no son compatibles actualmente con Amazon WorkSpaces.
Si configura su directorio de Microsoft AD administrado por AWS para la reproducción en varias regiones, solo se podrá registrar el directorio de la región principal para utilizarlo con Amazon WorkSpaces. Los intentos de registrar el directorio en una región duplicada para su uso con Amazon WorkSpaces fallarán. No se admite la replicación multirregional con AWS Managed Microsoft AD para su uso con Amazon WorkSpaces dentro de las regiones replicadas.
Tanto AD sencillo como el conector AD están disponibles de forma gratuita para su uso con WorkSpaces. Si no se utiliza WorkSpaces con su directorio AD sencillo o conector AD durante 30 días consecutivos, este directorio se dará de baja automáticamente para su uso con Amazon WorkSpaces, y se le cobrará por este directorio según las [condiciones de precios de AWS Directory Service](https://aws.amazon.com/directoryservice/pricing/).

## Antes de crear un directorio
<a name="prereqs-tutorials"></a>
+ WorkSpaces no está disponible en todas las regiones. Compruebe las regiones que son compatibles y seleccione una para los WorkSpaces. Para obtener más información sobre las regiones compatibles, consulte [Precios de WorkSpaces por región de AWS](https://aws.amazon.com/workspaces/pricing/).
+ Cree una cloud virtual privada al menos con dos subredes privadas. Para obtener más información, consulte [Configurar una VPC para personal WorkSpaces](amazon-workspaces-vpc.md). La VPC debe estar conectada a la red local a través de una conexión de red privada virtual (VPN) o de Direct Connect. Para obtener más información, consulte [Requisitos previos del conector AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html) en la *Guía de administración de AWS Directory Service*.
+ Proporcione acceso a Internet desde el WorkSpace. Para obtener más información, consulte [Cómo proporcionar acceso a Internet en WorkSpaces Personal](amazon-workspaces-internet-access.md).

Para obtener más información sobre cómo eliminar un directorio vacío, consulte [Eliminar un directorio de WorkSpaces Personal](delete-workspaces-directory.md). Si elimina su directorio AD sencillo o conector AD, siempre puede crear uno nuevo cuando desee volver a utilizar WorkSpaces.

**Topics**
+ [Antes de crear un directorio](#prereqs-tutorials)
+ [Identificación del nombre del equipo para el directorio de WorkSpaces Personal](wsp-directory-identify-computer.md)
+ [Creación de un directorio de AWS Managed Microsoft AD en WorkSpaces Personal](launch-workspace-microsoft-ad.md)
+ [Cree un directorio de Simple AD para WorkSpaces Personal](launch-workspace-simple-ad.md)
+ [Creación de un AD Connector en WorkSpaces Personal](launch-workspace-ad-connector.md)
+ [Creación de una relación de confianza entre el directorio de AWS Managed Microsoft AD y el dominio en las instalaciones en WorkSpaces Personal](launch-workspace-trusted-domain.md)
+ [Cree un directorio de Microsoft Entra ID dedicado con WorkSpaces Personal](launch-entra-id.md)
+ [Cree un directorio personalizado dedicado con WorkSpaces Personal](launch-custom.md)

# Identificación del nombre del equipo para el directorio de WorkSpaces Personal
<a name="wsp-directory-identify-computer"></a>

El valor de **nombre de equipo** que se muestra para un WorkSpace en la consola de Amazon WorkSpaces varía en función del tipo de WorkSpace que haya lanzado (Amazon Linux, Ubuntu o Windows). El nombre del equipo para un WorkSpace puede estar en uno de estos formatos: 
+ **Amazon Linux**: A- *xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**: R-*xxxxxxxxxxxxx*
+ **Rocky Linux**: R-*xxxxxxxxxxxxx*
+ ***Ubuntu: U-xxxxxxxxxxxxx***
+ **Windows** **: IP-C *xxxxxx o WSAMZN- xxxxxxx* o EC2AMAZ- xxxxxxx**

En Windows WorkSpaces, el formato del nombre del equipo viene determinado por el tipo de paquete y, en el caso de los WorkSpaces creados a partir de paquetes públicos o de paquetes personalizados basados en imágenes públicas, por el momento en que se crearon las imágenes públicas.

A partir del 22 de junio de 2020, los Windows WorkSpaces lanzados desde paquetes públicos tienen el formato WSAMZN-*xxxxxxx* para los nombres de sus equipos en lugar del formato IP-C*xxxxxx*.

Para los paquetes personalizados basados en una imagen pública, si la imagen pública se creó antes del 22 de junio de 2020, los nombres de los equipos tienen el formato EC2AMAZ-*xxxxxxx*. Si la imagen pública se creó a partir del 22 de junio de 2020, los nombres de ordenador tienen el formato WSAMZN-*xxxxxxx*. 

Para los paquetes "Traiga su propia licencia" (BYOL), se utiliza de forma predeterminada el formato DESKTOP-*xxxxxxx* o el formato EC2AMAZ-*xxxxxxx* para los nombres de los equipos.

Si ha especificado un formato personalizado para los nombres de equipo en sus paquetes personalizados o BYOL, su formato personalizado anula estos valores predeterminados. Para especificar un formato personalizado, consulte [Crea una WorkSpaces imagen y un paquete personalizados para WorkSpaces Personal](create-custom-bundle.md).

**importante**  
Una vez creado un escritorio de WorkSpaces, puede cambiar el nombre del equipo de forma segura. Por ejemplo, puede ejecutar un script de PowerShell con el comando `Rename-Computer` en el escritorio de WorkSpaces o de forma remota. A continuación, se mostrará el valor del nombre de equipo actualizado para un escritorio de WorkSpaces en la consola de Amazon WorkSpaces.

# Creación de un directorio de AWS Managed Microsoft AD en WorkSpaces Personal
<a name="launch-workspace-microsoft-ad"></a>

En este tutorial vamos a crear directorio de AWS Managed Microsoft AD. Para encontrar tutoriales que utilicen las otras opciones, consulte [Creación de un directorio en WorkSpaces Personal](launch-workspaces-tutorials.md).

Primero cree un directorio de AWS Managed Microsoft AD. Directory Service crea dos servidores de directorios, uno en cada una de las subredes privadas de la VPC. Tenga en cuenta que en el directorio no hay usuarios inicialmente. En el siguiente paso agregará un usuario cuando lance el escritorio de WorkSpaces.

**nota**  
Los directorios compartidos no son compatibles actualmente con Amazon WorkSpaces.
Si su directorio de Microsoft AD administrado por AWS se ha configurado para la reproducción en varias regiones, solo se podrá registrar el directorio de la región principal para utilizarlo con Amazon WorkSpaces. Los intentos de registrar el directorio en una región duplicada para su uso con Amazon WorkSpaces fallarán. No se admite la replicación multirregional con AWS Managed Microsoft AD para su uso con Amazon WorkSpaces dentro de las regiones replicadas.

**Creación de un directorio de AWS Managed Microsoft AD**

1. Abra la consola de WorkSpaces en [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. En el panel de navegación, elija **Directories (Directorios)**.

1. Elija **Create directory**.

1. En la página **Crear directorio**, en **Tipo de WorkSpaces**, elija **Personal**. A continuación, en **Administración de dispositivos de WorkSpaces**, elija **AWSDirectory Service**.

1. Seleccione **Crear directorio**, lo que abrirá la página **Configurar un directorio** en AWS Directory Service.

1. Elija **AWS Managed Microsoft AD** y luego **Siguiente**.

1. Configure el directorio del modo siguiente:

   1. En **Organization name (Nombre de la organización)**, escriba un nombre para el directorio que sea único en la organización (por ejemplo, «mi-directorio-de-demostración»). Este nombre debe tener al menos cuatro caracteres, incluir caracteres alfanuméricos y guiones (-), y comenzar o terminar por un carácter distinto de un guion.

   1. En **Directory DNS (DNS de directorio)**, escriba el nombre completo del directorio (por ejemplo, «workspaces.demo.com»).
**importante**  
Si necesita actualizar su servidor DNS después de lanzar sus WorkSpaces, siga el procedimiento indicado en [Actualizar los servidores DNS para WorkSpaces Personal](update-dns-server.md) para asegurarse de que sus WorkSpaces se actualizan correctamente.

   1. En **NetBIOS name (Nombre de NetBIOS)**, escriba un nombre abreviado para el directorio (por ejemplo, «workspaces»).

   1. En **Admin password (Contraseña de administrador)** y **Confirm password (Confirmar contraseña)**, escriba una contraseña para la cuenta del administrador del directorio. Para obtener más información sobre los requisitos de las contraseñas, consulte [Crear su directorio de Managed Microsoft AD por AWS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html) en la *Guía de administración de AWS Directory Service*.

   1. (Opcional) En **Description (Descripción)**, escriba una descripción del directorio.

   1. En **VPC**, seleccione la VPC que ha creado.

   1. En **Subnets**, seleccione las dos subredes privadas (con los bloques CIDR `10.0.1.0/24` y `10.0.2.0/24`).

   1. Elija **Paso siguiente**.

1. Elija **Create directory**.

1. Volverá a la página Crear directorio en la consola de WorkSpaces. El estado inicial del directorio es `Requested` y luego `Creating`. Cuando se complete la creación del directorio (puede tardar unos minutos), el estado será `Active`.

Después de crear un directorio de AWS Managed Microsoft AD, puede registrarlo en Amazon WorkSpaces. Para obtener más información, consulte [Registrar un Directory Service directorio existente con WorkSpaces Personal](register-deregister-directory.md)

# Cree un directorio de Simple AD para WorkSpaces Personal
<a name="launch-workspace-simple-ad"></a>

En este tutorial, lanzamos uno WorkSpace que usa Simple AD. Para encontrar tutoriales que utilicen las otras opciones, consulte [Creación de un directorio en WorkSpaces Personal](launch-workspaces-tutorials.md).

**nota**  
Simple AD no está disponible en todas las AWS regiones. Compruebe las regiones que son compatibles y [seleccione una región](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region) para su directorio de AD sencillo. Para obtener más información sobre las regiones compatibles con Simple AD, consulte [Disponibilidad regional para AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html).
Simple AD está disponible de forma gratuita para su uso WorkSpaces. Si no WorkSpaces se utiliza con tu directorio Simple AD durante 30 días consecutivos, se cancelará automáticamente el registro de este directorio para su uso en Amazon WorkSpaces y se te cobrará por él según las condiciones de [AWS Directory Serviceprecios](https://aws.amazon.com/directoryservice/pricing/).
Actualmente, [Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) solo admite el IPv4 direccionamiento, lo que significa que, al crear un directorio, la VPC asociada se configurará con un bloque IPv4 CIDR y no admite redes. IPv6 

Al crear un directorio de Simple AD. Directory Servicecrea dos servidores de directorios, uno en cada una de las subredes privadas de la VPC. En el directorio hay usuarios inicialmente. Añada un usuario después de crear. WorkSpace Para obtener más información, consulte [Crear un WorkSpace en WorkSpaces personal](create-workspaces-personal.md)

**Creación de un directorio de AD sencillo**

1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. En el panel de navegación, elija **Directories (Directorios)**.

1. Elija **Create directory**.

1. **En la página **Crear directorio**, en **WorkSpaces Tipo, elija Personal**.** A continuación, para la **administración de WorkSpace dispositivos**, elija **AWSDirectory Service**.

1. Seleccione **Crear directorio**, que abre la página **Configurar un directorio** en AWS Directory Service

1. Seleccione **Simple AD** y, a continuación, **Siguiente**.

1. Configure el directorio del modo siguiente:

   1. En **Nombre de la organización**, introduzca un nombre de organización único para su directorio (por ejemplo, my-example-directory). Este nombre debe tener al menos cuatro caracteres, incluir caracteres alfanuméricos y guiones (-), y comenzar o terminar por un carácter distinto de un guion.

   1. En **Nombre del directorio DNS**, introduzca el nombre completo del directorio (por ejemplo, ejemplo.com).
**importante**  
Si necesita actualizar su servidor DNS después de iniciar el suyo WorkSpaces, siga el procedimiento indicado [Actualizar los servidores DNS para WorkSpaces Personal](update-dns-server.md) para asegurarse de que se actualiza correctamente. WorkSpaces 

   1. En **NetBIOS name (Nombre de NetBIOS)**, escriba un nombre abreviado para el directorio (por ejemplo, «ejemplo»).

   1. En **Admin password (Contraseña de administrador)** y **Confirm password (Confirmar contraseña)**, escriba una contraseña para la cuenta del administrador del directorio. Para obtener más información sobre los requisitos de contraseña, consulte [Cómo crear un directorio de Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html) en la *Guía de administración de AWS Directory Service*.

   1. (Opcional) En **Description (Descripción)**, escriba una descripción del directorio.

   1. En **Tamaño del directorio**, elija **Pequeño**.

   1. En **VPC**, seleccione la VPC que ha creado.

   1. En **Subnets**, seleccione las dos subredes privadas (con los bloques CIDR `10.0.1.0/24` y `10.0.2.0/24`).

   1. Elija **Siguiente**.

1. Elija **Create directory**.

1. Volverá a la página de creación de directorio en la WorkSpaces consola. El estado inicial del directorio es `Requested` y luego `Creating`. Cuando se complete la creación del directorio (puede tardar unos minutos), el estado será `Active`.

**Qué ocurre durante la creación del directorio**

WorkSpaces completa las siguientes tareas en su nombre:
+ Crea una función de IAM para permitir que el WorkSpaces servicio cree interfaces de red elásticas y enumere sus WorkSpaces directorios. El nombre de este rol es `workspaces_DefaultRole`.
+ Configura un directorio AD simple en la VPC que se utiliza para almacenar el usuario y WorkSpace la información. El directorio tiene una cuenta de administrador con el nombre de usuario Administrator y la contraseña especificada.
+ Crea dos grupos de seguridad, uno para los controladores de directorio y otro para WorkSpaces el directorio.

Una vez que hayas creado un directorio Simple AD, puedes registrarlo en Amazon WorkSpaces. Para obtener más información, consulte [Registrar un Directory Service directorio existente con WorkSpaces Personal](register-deregister-directory.md)

# Creación de un AD Connector en WorkSpaces Personal
<a name="launch-workspace-ad-connector"></a>

En este tutorial vamos a crear un AD Connector. Para encontrar tutoriales que utilicen las otras opciones, consulte [Creación de un directorio en WorkSpaces Personal](launch-workspaces-tutorials.md).

## Creación de un Conector AD
<a name="create-ad-connector"></a>

**nota**  
El conector AD está disponible de forma gratuita para su uso con WorkSpaces. Si no se utiliza ningún WorkSpaces con su directorio del conector AD durante 30 días consecutivos, este directorio se dará de baja automáticamente para su uso con Amazon WorkSpaces, y se le cobrará por este directorio según las [condiciones de precios de AWS Directory Service](https://aws.amazon.com/directoryservice/pricing/).  
Para eliminar directorios vacíos, consulte [Eliminar un directorio de WorkSpaces Personal](delete-workspaces-directory.md). Si elimina su directorio del conector AD, siempre puede crear uno nuevo cuando quiera volver a utilizar WorkSpaces.

**Para crear una instancia de Conector AD**

1. Abra la consola de WorkSpaces en [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. En el panel de navegación, elija **Directories (Directorios)**.

1. Elija **Create directory**.

1. En la página **Crear directorio**, en **Tipo de WorkSpaces**, elija **Personal**. A continuación, en **Administración de dispositivos de WorkSpaces**, elija **AWSDirectory Service**.

1. Seleccione **Crear directorio**, lo que abrirá la página **Configurar un directorio** en AWS Directory Service.

1. Elija **AWS Managed Microsoft AD** y luego **Siguiente**.

1. En **Organization name (Nombre de la organización)**, escriba un nombre para el directorio que sea único en la organización (por ejemplo, mi-directorio-de-ejemplo). Este nombre debe tener al menos cuatro caracteres, incluir caracteres alfanuméricos y guiones (-), y comenzar o terminar por un carácter distinto de un guion.

1. En **Connected directory DNS (DNS de directorio conectado)**, escriba el nombre completo del directorio local (por ejemplo, «ejemplo.com»).

1. En **Connected directory NetBIOS name (Nombre de NetBIOS de directorio conectado)**, escriba el nombre abreviado del directorio local (por ejemplo, «ejemplo»).

1. En **Connector account username (Nombre de usuario de cuenta de conector)**, escriba el nombre de usuario de un usuario del directorio local. El usuario debe tener permisos para leer usuarios y grupos, crear objetos del equipo y unir equipos al dominio.

1. En **Contraseña de la cuenta del conector** y en **Confirmar contraseña**, introduzca la contraseña del usuario local.

1. En **DNS address (Dirección DNS)**, escriba la dirección IP de al menos un servidor DNS del directorio local.
**importante**  
Si necesita actualizar la dirección IP de su servidor DNS después de lanzar sus WorkSpaces, siga el procedimiento indicado en [Actualizar los servidores DNS para WorkSpaces Personal](update-dns-server.md) para asegurarse de que sus WorkSpaces se actualicen correctamente.

1. (Opcional) En **Description (Descripción)**, escriba una descripción del directorio.

1. Mantenga **Size** en **Small**.

1. En **VPC**, seleccione la VPC.

1. En **Subnets**, seleccione las subredes. Los servidores DNS que especifique deben ser accesibles desde cada subred.

1. Elija **Create directory**.

1. Volverá a la página Crear directorio en la consola de WorkSpaces. El estado inicial del directorio es `Requested` y luego `Creating`. Cuando se complete la creación del directorio (puede tardar unos minutos), el estado será `Active`.

# Creación de una relación de confianza entre el directorio de AWS Managed Microsoft AD y el dominio en las instalaciones en WorkSpaces Personal
<a name="launch-workspace-trusted-domain"></a>

En este tutorial vamos a crear una relación de confianza entre el directorio de AWS Managed Microsoft AD y el dominio en las instalaciones. Para encontrar tutoriales que utilicen las otras opciones, consulte [Creación de un directorio en WorkSpaces Personal](launch-workspaces-tutorials.md).

**nota**  
El lanzamiento de WorkSpaces con cuentas de Cuentas de AWS en un dominio de confianza independiente funciona con AWS Managed Microsoft AD cuando está configurado mediante una relación de confianza con el directorio en las instalaciones. Sin embargo, WorkSpaces que utiliza AD sencillo o el conector AD no puede lanzar WorkSpaces para usuarios desde un dominio de confianza.

**Para establecer la relación de confianza**

1. Configure AWS Managed Microsoft AD en la nube virtual privada (VPC). Para obtener más información, consulte [Creación del Microsoft AD administrado por AWS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html) en la *Guía de administración de AWS Directory Service*.
**nota**  
Los directorios compartidos no son compatibles actualmente con Amazon WorkSpaces.
Si su directorio de Microsoft AD administrado por AWS se ha configurado para la reproducción en varias regiones, solo se podrá registrar el directorio de la región principal para utilizarlo con Amazon WorkSpaces. Los intentos de registrar el directorio en una región duplicada para su uso con Amazon WorkSpaces fallarán. No se admite la replicación multirregional con AWS Managed Microsoft AD para su uso con Amazon WorkSpaces dentro de las regiones replicadas.

1. Cree una relación de confianza entre AWS Managed Microsoft AD y el dominio local. Asegúrese de que la confianza se configura de manera bidireccional. Para obtener más información, consulte [Tutorial: Crear una relación de confianza entre Microsoft AD administrado por AWS y el dominio en las instalaciones](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html) en la *Guía de administración de Directory Service deAWS Directory Service*.

Se puede utilizar una relación de confianza unidireccional o bidireccional para administrar y autenticar con WorkSpaces, y para que WorkSpaces se pueda aprovisionar a usuarios y grupos en las instalaciones. Para obtener más información, consulte [Implementación de Amazon WorkSpaces mediante un dominio de recursos de confianza unidireccional con Directory Service de AWS](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/).

**nota**  
Los escritorios de WorkSpaces de Red Hat Enterprise Linux, Rocky Linux y Ubuntu utilizan System Security Services Daemon (SSSD) para la integración con Active Directory, y SSSD no admite la confianza entre bosques. En su lugar, configure la confianza externa. Se recomienda la confianza bidireccional para escritorios de WorkSpaces de Amazon Linux, Ubuntu, Rocky Linux y Red Hat Enterprise Linux.
No puede utilizar un navegador web (Web Access) para conectarse a los escritorios de WorkSpaces de Linux.

# Cree un directorio de Microsoft Entra ID dedicado con WorkSpaces Personal
<a name="launch-entra-id"></a>

En este tutorial, creamos Bring Your Own License (BYOL) para Windows 10 y 11 personal WorkSpaces que son Microsoft Entra ID unidos e inscritos en Microsoft Intune. Antes de WorkSpaces crearla, primero tiene que crear un directorio WorkSpaces personal dedicado a Entra ID. WorkSpaces

**nota**  
Microsoft Entra joined personal WorkSpaces está disponible en todas AWS las regiones en las que Amazon WorkSpaces está disponible, excepto en África (Ciudad del Cabo), Israel (Tel Aviv) y China (Ningxia).

**Contents**
+ [Descripción general de](#entra-overview)
+ [Requisitos y limitaciones](#entra-requirements-limitation)
+ [Paso 1: habilitar IAM Identity Center y sincronizarlo con Microsoft Entra ID](#entra-step-1)
+ [Paso 2: registrar una aplicación de Microsoft Entra ID para conceder permisos para Windows Autopilot](#entra-step-2)
+ [Paso 3: configurar el modo controlado por el usuario de Windows Autopilot](#entra-step-3)
+ [Paso 4: Crea un secreto AWS Secrets Manager](#entra-step-4)
+ [Paso 5: Crear un WorkSpaces directorio de Microsoft Entra ID dedicado](#entra-step-5)
+ [Configure la aplicación IAM Identity Center para un WorkSpaces directorio (opcional)](#configure-iam-directory)
+ [Creación de una integración de IAM Identity Center entre regiones (opcional)](#create-cross-region-iam-identity-integration)

## Descripción general de
<a name="entra-overview"></a>

Un WorkSpaces directorio personal de Microsoft Entra ID contiene toda la información necesaria para iniciar Microsoft Entra ID-Joined WorkSpaces que se asigna a los usuarios gestionados con Microsoft Entra ID. La información del usuario está disponible a WorkSpaces través del Centro de Identidad de AWS IAM, que actúa como intermediario de identidades para transferir la identidad de sus empleados desde Entra ID a AWS El modo controlado por el usuario del Autopilot de Microsoft Windows se utiliza para realizar la inscripción WorkSpaces en Intune y unirse a Entra. En el diagrama siguiente se ilustra el proceso de Autopilot.

![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/images/autopilot.jpg)


## Requisitos y limitaciones
<a name="entra-requirements-limitation"></a>
+ Plan P1 de Microsoft Entra ID o posterior.
+ Microsoft Entra ID e Intune están habilitados y tienen asignaciones de roles.
+ Administrador de Intune: necesario para administrar los perfiles de implementación de Autopilot.
+ Administrador global: necesario para conceder el consentimiento del administrador a los permisos de la API asignados a la aplicación creada en el [paso 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3). La aplicación se puede crear sin este permiso. Sin embargo, un administrador global tendría que dar su consentimiento de administrador a los permisos de la aplicación.
+ Asigne licencias de suscripción de usuario de Windows 10/11 VDA, E3 o E5 a sus usuarios. WorkSpaces 
+ Los directorios Entra ID solo son compatibles con Windows 10 u 11 Bring Your Own License Personal. WorkSpaces A continuación se indican las versiones compatibles.
  + Windows 10 versión 21H2 (actualización de diciembre 2021)
  + Windows 10 versión 22H2 (actualización de noviembre de 2022)
  + Windows 11 Enterprise 23H2 (versión de octubre de 2023)
  + Windows 11 Enterprise 22H2 (versión de octubre de 2022)
  + Windows 11 Enterprise 24H2 (versión de octubre de 2024)
  + Windows 11 Enterprise 25H2 (versión de septiembre de 2025)
+ La licencia Bring Your Own License (BYOL) está habilitada en tu AWS cuenta y tienes una imagen BYOL de Windows 10 u 11 válida importada a tu cuenta. Para obtener más información, consulte [Traiga sus propias licencias de escritorio de Windows WorkSpaces](byol-windows-images.md).
+ Los directorios Microsoft Entra ID solo admiten Windows 10 u 11 BYOL personal WorkSpaces.
+ Los directorios de Microsoft Entra ID solo admiten el protocolo DCV.
+ Si está utilizando un firewall WorkSpaces, asegúrese de que no bloquee el tráfico saliente a los puntos finales de Microsoft Intune y Windows Autopilot. Para obtener más información, consulte los [Puntos de conexión de red de Microsoft Intune](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america) y los [Requisitos de Windows Autopilot](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking).
+ Los directorios de Microsoft Entra ID no admiten inquilinos de Microsoft Entra ID en entornos Government Community Cloud High (GCCH) y del Departamento de Defensa (DoD).

## Paso 1: habilitar IAM Identity Center y sincronizarlo con Microsoft Entra ID
<a name="entra-step-1"></a>

Para crear datos personales unidos a Microsoft Entra ID WorkSpaces y asignarlos a sus usuarios de Entra ID, debe hacer que la información del usuario esté disponible a AWS través del Centro de identidades de IAM. El IAM Identity Center es el AWS servicio recomendado para gestionar el acceso de los usuarios a los recursos. AWS Para obtener más información, consulte [¿Qué es Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Solo tendrá que configurarlo una vez.

Si no dispone de una instancia del IAM Identity Center que pueda integrar con la suya WorkSpaces, le recomendamos que cree una en la misma región que la suya. WorkSpaces Si ya tiene una instancia de AWS Identity Center en una región diferente, puede configurar la integración entre regiones. Para obtener más información sobre la configuración entre regiones, consulte [Creación de una integración de IAM Identity Center entre regiones (opcional)](#create-cross-region-iam-identity-integration). 

**nota**  
No se admite la integración entre regiones WorkSpaces y el Centro de Identidad de IAM. AWS GovCloud (US) Region

1. Habilite IAM Identity Center con sus AWS Organizaciones, especialmente si utiliza un entorno de varias cuentas. También puede crear una instancia de cuenta de IAM Identity Center. Para obtener más información, consulte [Habilitar el centro de identidad de AWS IAM.](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html) Cada WorkSpaces directorio se puede asociar a una instancia, organización o cuenta del IAM Identity Center. 

   Si utiliza una instancia de organización e intenta crear un WorkSpaces directorio en una de las cuentas de los miembros, asegúrese de tener los siguientes permisos del IAM Identity Center.
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   Para obtener más información, consulte [Información general sobre la administración de permisos de acceso para los recursos de Centro de identidades de IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html). Además, asegúrese de que ninguna política de control de servicios (SCPs) bloquee estos permisos. Para obtener más información SCPs, consulte [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).

1. Configure IAM Identity Center y Microsoft Entra ID para sincronizar automáticamente algunos o todos los usuarios del inquilino de Entra ID con la instancia de IAM Identity Center. Para obtener más información, consulte [Configurar SAML y SCIM con el ID de Microsoft Entra y el centro de identidad de IAM y el tutorial: Configurar el centro de identidad](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html) [de AWS IAM para el aprovisionamiento automático de usuarios](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial).

1. Compruebe que los usuarios que configuró en Microsoft Entra ID estén sincronizados correctamente con la instancia del AWS IAM Identity Center. Si aparece un mensaje de error en Microsoft Entra ID, esto indica que el usuario de Entra ID se ha configurado de un modo que IAM Identity Center no lo admite. El mensaje de error identificará este problema. Por ejemplo, si el objeto de usuario de Entra ID carece de nombre, apellido o nombre para mostrar, recibirá un mensaje de error similar a. and/or `"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"` Para obtener más información, consulte [Algunos usuarios no logran sincronizarse con Centro de identidades de IAM desde un proveedor de SCIM externo](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2).

**nota**  
WorkSpaces utiliza el atributo Entra ID UserPrincipalName (UPN) para identificar a los usuarios individuales y sus limitaciones son las siguientes:  
UPNs no puede superar los 63 caracteres.
Si cambias el UPN después de asignar un WorkSpace a un usuario, el usuario no podrá conectarse a él a WorkSpace menos que cambies el UPN al que tenía antes.

## Paso 2: registrar una aplicación de Microsoft Entra ID para conceder permisos para Windows Autopilot
<a name="entra-step-2"></a>

WorkSpaces Personal usa el modo controlado por el usuario del Autopilot de Microsoft Windows para inscribirse en WorkSpaces Microsoft Intune y unirlos a Microsoft Entra ID.

Para permitir que Amazon WorkSpaces registre WorkSpaces Personal en Autopilot, debes registrar una aplicación Microsoft Entra ID que conceda los permisos necesarios de la API de Microsoft Graph. Para obtener más información sobre el registro de una aplicación de Entra ID, consulte [Inicio rápido: Registro de una aplicación en la plataforma de identidad de Microsoft](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate).

Le recomendamos proporcionar los siguientes permisos de la API en la aplicación de Entra ID.
+ Para crear una nueva cuenta personal WorkSpace que deba unirse a Entra ID, se requiere el siguiente permiso de la API.
  + `DeviceManagementServiceConfig.ReadWrite.All`
+ Cuando cancelas una cuenta personal WorkSpace o la reconstruyes, se utilizan los siguientes permisos. 
**nota**  
Si no proporciona estos permisos, se WorkSpace cancelarán, pero no se eliminarán de sus usuarios de Intune y Entra ID y tendrá que eliminarlos por separado.
  + `DeviceManagementServiceConfig.ReadWrite.All`
  + `Device.ReadWrite.All`
  + `DeviceManagementManagedDevices.ReadWrite.All`
+ Estos permisos requieren el consentimiento del administrador. Para obtener más información, consulte [Grant tenant-wide admin consent to an application](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal).

A continuación, debe añadir un secreto de cliente para la aplicación de Entra ID. Para obtener más información, consulte [Adición de credenciales](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials). Asegúrese de recordar la cadena de secreto del cliente, ya que la necesitará al crear el secreto de AWS Secrets Manager en el paso 4.

## Paso 3: configurar el modo controlado por el usuario de Windows Autopilot
<a name="entra-step-3"></a>

Asegúrese de conocer el [Step by step tutorial for Windows Autopilot user-driven Microsoft Entra join in Intune](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow).

**Cómo configurar Microsoft Intune para Autopilot**

1. Inicio de sesión en el Centro de administración de Microsoft Intune

1. Crea un nuevo grupo de dispositivos de Piloto Automático para uso personal. WorkSpaces Para obtener más información, consulte [Create device groups for Windows Autopilot](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot).

   1. Seleccione **Grupos**, **Nuevo grupo**

   1. En **Tipo de grupo**, seleccione **Seguridad**.

   1. En **Tipo de pertenencia**, elija **Dispositivo dinámico**.

   1. Seleccione **Editar consulta dinámica** para crear una regla de pertenencia dinámica. La regla debe tener el siguiente formato:

      ```
      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      ```
**importante**  
`WorkSpacesDirectoryName`debe coincidir con el nombre del directorio WorkSpaces personal de Entra ID que creaste en el paso 5. Esto se debe a que la cadena del nombre del directorio se utiliza como etiqueta de grupo cuando se WorkSpaces registran escritorios virtuales en Autopilot. Además, la etiqueta de grupo se asigna al atributo `OrderID` en los dispositivos con Microsoft Entra. 

1. Seleccione **Dispositivos**, **Windows**, **Inscripción**. En **Opciones de inscripción**, seleccione **Inscripción automática**. En **Ámbito de usuario de MDM**, seleccione **Todos**.

1. Cree un perfil de implementación de Autopilot. Para obtener más información, consulte [Create an Autopilot deployment profile](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile).

   1. En **Windows Autopilot**, seleccione **Perfiles de implementación**, **Crear perfil**.

   1. En la pantalla **Perfiles de implementación de Windows Autopilot**, seleccione el menú desplegable **Crear perfil** y elija **PC de Windows**.

   1. En la pantalla **Crear perfil**, en la página **Sobre la Out-of-box experiencia (OOBE)**. En **Modo de implementación**, seleccione **Controlado por el usuario**. En **Vincular a Microsoft Entra ID**, seleccione **Vinculado a Microsoft Entra**. Puede personalizar los nombres de los ordenadores de los datos personales que tenga registrados en Entra ID WorkSpaces seleccionando **Sí** en la plantilla **de nombre de dispositivo para crear una plantilla** que pueda utilizarse al asignar un nombre a un dispositivo durante la inscripción.

   1. En la página **Asignaciones**, en **Asignar a**, elija **Grupos seleccionados**. Elija **Seleccionar grupos que desea incluir** y seleccione el grupo de dispositivos de Autopilot que acaba de crear en el paso 2.

## Paso 4: Crea un secreto AWS Secrets Manager
<a name="entra-step-4"></a>

Debe crear un código secreto AWS Secrets Manager para almacenar de forma segura la información, incluidos el ID de la aplicación y el secreto del cliente, de la aplicación Entra ID en la que creó[Paso 2: registrar una aplicación de Microsoft Entra ID para conceder permisos para Windows Autopilot](#entra-step-2). Solo tendrá que configurarlo una vez. 

**Para crear un AWS Secrets Manager secreto**

1. Cree una clave administrada por el cliente en [AWS Key Management Service](https://aws.amazon.com/kms/). La clave se utilizará más adelante para cifrar el AWS Secrets Manager secreto. No utilices la clave predeterminada para cifrar el secreto, ya que el servicio no puede acceder a ella. WorkSpaces Siga los pasos que se indican a continuación para crear la clave.

   1. Abre la AWS KMS consola en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

   1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

   1. Elija **Crear clave**.

   1. En la página **Configurar clave**, en **Tipo de clave**, seleccione **Simétrico**. En **Uso de claves**, elija **Cifrar y descifrar**.

   1. En la página de **revisión**, en el editor de políticas clave, asegúrate de permitir el `workspaces.amazonaws.com` acceso principal del WorkSpaces servicio a la clave incluyendo los siguientes permisos en la política de claves.

      ```
      {
          "Effect": "Allow",
          "Principal": {
              "Service": [
                  "workspaces.amazonaws.com"
              ]
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey"
          ],
          "Resource": "*"
       }
      ```

1. Cree el secreto en AWS Secrets Manager, utilizando la AWS KMS clave creada en el paso anterior.

   1. Abra la consola de Secrets Manager en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

   1. Elija **Almacenar un secreto nuevo**.

   1. En la página **Seleccionar tipo de secreto**, en **Tipo de secreto**, seleccione **Otro tipo de secreto**.

   1. En **Pares clave/valor**, en el cuadro claves, introduzca “application\$1id” en el cuadro de claves y, a continuación, copie el identificador de la aplicación de Entra ID del [paso 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) y péguelo en el cuadro de valores.

   1. Seleccione **Añadir fila** y, en el cuadro de claves, introduzca “application\$1password” y, a continuación, copie el secreto de cliente de la aplicación de Entra ID del [paso 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) y péguelo en el cuadro de valores.

   1. Elija la AWS KMS clave que creó en el paso anterior en la lista desplegable de **claves de cifrado**.

   1. Elija **Siguiente**.

   1. En la página **Configurar secreto**, introduzca las opciones **Nombre del secreto** y **Descripción**.

   1. En la sección **Permisos de recursos**, seleccione **Editar permisos**.

   1. Asegúrese de permitir el `workspaces.amazonaws.com` acceso principal del WorkSpaces servicio al secreto incluyendo la siguiente política de recursos en los permisos de recursos.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement" : [ {
          "Effect" : "Allow",
          "Principal" : {
            "Service" : [ "workspaces.amazonaws.com"]
          },
          "Action" : "secretsmanager:GetSecretValue",
          "Resource" : "*"
        } ]
      }
      ```

------

## Paso 5: Crear un WorkSpaces directorio de Microsoft Entra ID dedicado
<a name="entra-step-5"></a>

Cree un WorkSpaces directorio dedicado que almacene la información de los usuarios de Microsoft Entra ID WorkSpaces y Entra ID.

**Para crear un directorio de ID de WorkSpaces Entra**

1. Abre la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. En el panel de navegación, elija **Directories (Directorios)**.

1. **En la página **Crear directorio**, en **WorkSpaces Tipo, elija Personal**.** Para la **administración de WorkSpace dispositivos**, selecciona **Microsoft Entra ID**.

1. Para el **ID de inquilino** de Microsoft Entra, introduce el ID de inquilino de Microsoft Entra ID WorkSpaces al que quieres que se una tu directorio. No podrá cambiar el ID de inquilino una vez creado el directorio. 

1. Para el **identificador y la contraseña de la aplicación Entra ID**, selecciona el AWS Secrets Manager secreto que creaste en el [paso 4](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4) de la lista desplegable. No podrá cambiar el secreto asociado al directorio una vez creado el directorio. Sin embargo, siempre puedes actualizar el contenido del secreto, incluido el ID de la aplicación Entra ID y su contraseña, a través de la AWS Secrets Manager consola de la dirección [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Si su instancia del IAM Identity Center se encuentra en la misma AWS región que su WorkSpaces directorio, en **User Identity Source**, seleccione la instancia del IAM Identity Center que configuró en el [paso 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) de la lista desplegable. No podrá cambiar la instancia de IAM Identity Center asociada al directorio una vez creado el directorio.

   Si la instancia del IAM Identity Center se encuentra en una AWS región diferente a la de su WorkSpaces directorio, seleccione **Habilitar la interregión y, a continuación, seleccione la región** en la lista desplegable.
**nota**  
Si tiene una instancia de IAM Identity Center existente en una región diferente, debe optar por configurar una integración entre regiones. Para obtener más información sobre la configuración entre regiones, consulte [Creación de una integración de IAM Identity Center entre regiones (opcional)](#create-cross-region-iam-identity-integration). 

1. En **Nombre del directorio**, introduzca un nombre único para el directorio (por ejemplo, `WorkSpacesDirectoryName`).
**importante**  
El nombre del directorio debe coincidir con el `OrderID` utilizado para crear la consulta dinámica para el grupo de dispositivos de Autopilot que ha creado con Microsoft Intune en el [paso 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3). La cadena del nombre del directorio se utiliza como etiqueta de grupo al registrar datos personales WorkSpaces en Windows Autopilot. La etiqueta de grupo se asigna al atributo `OrderID` de los dispositivos con Microsoft Entra.

1. (Opcional) En **Description (Descripción)**, escriba una descripción del directorio.

1. En el **caso de la VPC**, seleccione la VPC que utilizó para lanzar su. WorkSpaces Para obtener más información, consulte [Configurar una VPC para personal WorkSpaces](amazon-workspaces-vpc.md).

1. En **Subredes**, seleccione dos subredes de la VPC que no sean de la misma zona de disponibilidad. Estas subredes se utilizarán para lanzar su red personal. WorkSpaces Para obtener más información, consulte [Zonas de disponibilidad en WorkSpaces Personal](azs-workspaces.md).
**importante**  
Asegúrese de que las subredes WorkSpaces lanzadas tengan acceso a Internet, lo cual es necesario cuando los usuarios inician sesión en los escritorios de Windows. Para obtener más información, consulte [Cómo proporcionar acceso a Internet en WorkSpaces Personal](amazon-workspaces-internet-access.md).

1. Para la **configuración**, seleccione **Activar la opción dedicada. WorkSpace** Debe habilitarlo para crear un directorio WorkSpaces personal dedicado al lanzamiento de Bring Your Own License (BYOL) para Windows 10 u 11 personal WorkSpaces. 
**nota**  
Si no ves la opción **Activar la WorkSpace opción dedicada** en **Configuración, significa** que tu cuenta no está habilitada para BYOL. Para habilitar BYOL en la cuenta, consulte [Traiga sus propias licencias de escritorio de Windows WorkSpaces](byol-windows-images.md).

1. (Opcional) En el caso de las **etiquetas**, especifique el valor del par de claves que desee utilizar como personal WorkSpaces en el directorio.

1. Revise el resumen del directorio y elija **Crear directorio**. Se tarda unos minutos en conectar a su directorio. El estado inicial del directorio es `Creating`. Cuando la creación del directorio se completa, el estado cambia a `Active`. 

Una vez creado el directorio, también se crea automáticamente una aplicación de IAM Identity Center. Para buscar el ARN de la aplicación, vaya a la página de resumen del directorio.

Ahora puede usar el directorio para iniciar Windows 10 u 11 personal WorkSpaces que esté inscrito en Microsoft Intune y unido a Microsoft Entra ID. Para obtener más información, consulte [Crear un WorkSpace en WorkSpaces personal](create-workspaces-personal.md). 

Una vez que haya creado un directorio WorkSpaces personal, podrá crear uno personal WorkSpace. Para obtener más información, consulte [Crear un WorkSpace en WorkSpaces personal](create-workspaces-personal.md)

## Configure la aplicación IAM Identity Center para un WorkSpaces directorio (opcional)
<a name="configure-iam-directory"></a>

Una vez creado el directorio, se crea automáticamente la aplicación correspondiente de IAM Identity Center. Puede encontrar el ARN de la aplicación en la sección Resumen de la página de detalles del directorio. De forma predeterminada, todos los usuarios de la instancia de Identity Center pueden acceder a sus instancias asignadas WorkSpaces sin necesidad de configurar la aplicación de Identity Center correspondiente. Sin embargo, puede gestionar el acceso de los usuarios a WorkSpaces un directorio configurando la asignación de usuarios para la aplicación IAM Identity Center.

**Cómo configurar la asignación de usuarios para la aplicación de IAM Identity Center**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En la pestaña de **aplicaciones AWS gestionadas**, elija la aplicación para el WorkSpaces directorio. Los nombres de las aplicaciones tienen el siguiente formato:`WorkSpaces.wsd-xxxxx`, donde `wsd-xxxxx` está el ID del WorkSpaces directorio.

1. Elija **Acciones**, **Editar detalles**.

1. Cambie la opción **Método de asignación de usuarios y grupos** de **No requerir asignaciones** a **Requerir asignaciones**.

1. Seleccione **Save changes (Guardar cambios)**.

Tras realizar este cambio, los usuarios de la instancia de Identity Center perderán el acceso a su asignación a WorkSpaces menos que se les asigne a la aplicación. Para asignar los usuarios a la aplicación, utilice el AWS CLI comando `create-application-assignment` para asignar usuarios o grupos a una aplicación. Para obtener más información, consulte la [AWS CLI Referencia de comandos de la ](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html).

## Creación de una integración de IAM Identity Center entre regiones (opcional)
<a name="create-cross-region-iam-identity-integration"></a>

Se recomienda que su instancia de IAM Identity Center WorkSpaces y la instancia asociada estén en la misma AWS región. Sin embargo, si ya tiene una instancia del IAM Identity Center configurada en una región diferente de la suya, puede crear una integración entre WorkSpaces regiones. Al crear una integración entre regiones WorkSpaces y el Centro de Identidad de IAM, permite realizar llamadas entre regiones para acceder WorkSpaces a la información de su instancia del Centro de Identidad de IAM y almacenarla, como los atributos de usuario y grupo.

**importante**  
Amazon WorkSpaces admite el centro de identidad de IAM entre regiones y WorkSpaces las integraciones solo para instancias a nivel de organización. WorkSpaces no admite las integraciones del centro de identidad de IAM entre regiones para las instancias a nivel de cuenta. Para obtener más información sobre los tipos de instancias de IAM Identity Center y sus casos de uso, consulte [Descripción de los tipos de instancias de IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types).

Si crea una integración entre regiones entre un WorkSpaces directorio y una instancia del IAM Identity Center, es posible que experimente una mayor latencia durante la implementación WorkSpaces y durante el inicio de sesión debido a las llamadas entre regiones. El aumento de la latencia es proporcional a la distancia entre su WorkSpaces región y la región del centro de identidad de IAM. Recomendamos realizar pruebas de latencia para su caso de uso específico.

 Puede habilitar las conexiones entre regiones del centro de identidad de IAM durante el [paso 5: Crear un directorio de ID WorkSpaces de Microsoft Entra dedicado](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5). En **Origen de identidad del usuario**, elija la instancia de IAM Identity Center que ha configurado en [Paso 1: habilitar IAM Identity Center y sincronizarlo con Microsoft Entra ID](#entra-step-1) de la lista desplegable. 

**importante**  
No puede cambiar la instancia de IAM Identity Center asociada al directorio una vez que lo haya creado.

# Cree un directorio personalizado dedicado con WorkSpaces Personal
<a name="launch-custom"></a>

Antes de crear un BYOL personal de Windows 10 y 11 WorkSpaces y asignarlo a sus usuarios, gestionado con los proveedores de identidad de AWS IAM Identity Center (IdPs), debe crear un directorio personalizado WorkSpaces dedicado. El personal no WorkSpaces está unido a ningún Active Directory de Microsoft, pero se puede administrar con la solución de administración de dispositivos móviles (MDM) que elija, como JumpCloud. Para obtener más información al respecto JumpCloud, consulte [este artículo](https://jumpcloud.com/support/integrate-with-aws-workspaces). Para encontrar tutoriales que utilicen las otras opciones, consulte [Creación de un directorio en WorkSpaces Personal](launch-workspaces-tutorials.md).

**nota**  
Amazon no WorkSpaces puede crear ni gestionar cuentas de usuario en cuentas personales WorkSpaces lanzadas en un directorio personalizado. Como administrador, tendrá que administrarlos.
El WorkSpaces directorio personalizado está disponible en todas AWS las regiones en las que Amazon WorkSpaces está disponible, excepto en África (Ciudad del Cabo), Israel (Tel Aviv) y China (Ningxia).
Amazon no WorkSpaces puede crear ni gestionar cuentas de usuario WorkSpaces mediante directorios personalizados. Para asegurarse de que el software de agente de MDM que utilice pueda crear el perfil de usuario en Windows WorkSpaces, póngase en contacto con los proveedores de soluciones de MDM. La creación del perfil de usuario permite a los usuarios iniciar sesión en el escritorio de Windows desde la pantalla de inicio de sesión de Windows.

**Contents**
+ [Requisitos y limitaciones](#custom-requirements-limitations)
+ [Paso 1: habilitar IAM Identity Center y conectarse con el proveedor de identidades](#custom-step-1)
+ [Paso 2: Cree un directorio personalizado dedicado WorkSpaces](#custom-step-2)

## Requisitos y limitaciones
<a name="custom-requirements-limitations"></a>
+ Los WorkSpaces directorios personalizados solo son compatibles con Windows 10 u 11 Bring Your Own License Personal. WorkSpaces
+ Los WorkSpaces directorios personalizados solo admiten el protocolo DCV.
+ Asegúrese de habilitar BYOL en su AWS cuenta y de tener su propio AWS KMS servidor al que WorkSpaces pueda acceder su personal para activar Windows 10 y 11. Para obtener más información, consulte [Traiga sus propias licencias de escritorio de Windows WorkSpaces](byol-windows-images.md).
+ Asegúrese de instalar previamente el software del agente MDM en la imagen BYOL que importó a su cuenta. AWS

## Paso 1: habilitar IAM Identity Center y conectarse con el proveedor de identidades
<a name="custom-step-1"></a>

Para asignarla WorkSpaces a los usuarios gestionados con sus proveedores de identidad, la información del usuario debe estar disponible a AWS través del Centro de Identidad de AWS IAM. Recomendamos utilizar el Centro de identidad de IAM para gestionar el acceso de sus usuarios a los AWS recursos. Para obtener más información, consulte [¿Qué es Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Solo tendrá que configurarlo una vez.

**Para poner la información del usuario a disposición de AWS**

1. Active el Centro de identidad de IAM. AWS Puede habilitar el Centro de Identidad de IAM en sus AWS organizaciones, especialmente si utiliza un entorno con varias cuentas. También puede crear una instancia de cuenta de IAM Identity Center. Para obtener más información, consulte [Habilitar el centro de identidad de AWS IAM.](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html) Cada WorkSpaces directorio se puede asociar a una organización o instancia de cuenta del IAM Identity Center. Cada instancia del IAM Identity Center se puede asociar a uno o más directorios WorkSpaces personales.

   Si utiliza una instancia de organización e intenta crear un WorkSpaces directorio en una de las cuentas de los miembros, asegúrese de tener los siguientes permisos del IAM Identity Center. 
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   Para obtener más información, consulte [Información general sobre la administración de permisos de acceso para los recursos de Centro de identidades de IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html). Asegúrese de que ninguna política de control de servicios (SCPs) bloquee estos permisos. Para obtener más información SCPs, consulte [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html).

1. Configure IAM Identity Center y el proveedor de identidades (IdP) para sincronizar automáticamente los usuarios del IdP con la instancia de IAM Identity Center. Para obtener más información, consulte [Tutoriales sobre orígenes de identidad](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) y elija el tutorial específico del IdP que desea utilizar. Por ejemplo, [usar el centro de identidad de IAM para conectarse a su plataforma de JumpCloud directorios](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html).

1. Compruebe que los usuarios que configuró en su IDP estén sincronizados correctamente con la instancia del AWS IAM Identity Center. La primera sincronización puede tardar hasta una hora, según la configuración del IdP. 

## Paso 2: Cree un directorio personalizado dedicado WorkSpaces
<a name="custom-step-2"></a>

Cree un directorio WorkSpaces personal dedicado que almacene información sobre su personal WorkSpaces y sus usuarios.

**Para crear un WorkSpaces directorio personalizado dedicado**

1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. En el panel de navegación, elija **Directories (Directorios)**.

1. Elija **Create directory**.

1. **En la página **Crear directorio**, como **WorkSpaces**tipo, elija Personal.** Para la **administración de WorkSpace dispositivos**, selecciona **Personalizado**.

1. En **Origen de identidad del usuario**, seleccione la instancia de IAM Identity Center que ha configurado en el [paso 1](https://docs.aws.amazon.com/) de la lista desplegable. No podrá cambiar la instancia de IAM Identity Center asociada al directorio una vez creado el directorio.
**nota**  
Debe especificar una instancia del IAM Identity Center para el directorio o no podrá iniciar personal WorkSpaces con el directorio mediante la WorkSpaces consola. WorkSpaces Los directorios sin un centro de identidad asociado solo son compatibles con las soluciones de los socios WorkSpaces principales.

1. En **Nombre del directorio**, introduzca un nombre único para el directorio.

1. En el **caso de la VPC**, seleccione la VPC que utilizó para lanzar su. WorkSpaces Para obtener más información, consulte [Configurar una VPC para personal WorkSpaces](amazon-workspaces-vpc.md).

1. En **Subredes**, seleccione dos subredes de la VPC que no sean de la misma zona de disponibilidad. Estas subredes se utilizarán para lanzar su red personal. WorkSpaces Para obtener más información, consulte [Zonas de disponibilidad en WorkSpaces Personal](azs-workspaces.md).
**importante**  
Asegúrese de que las subredes WorkSpaces lanzadas tengan acceso a Internet, lo cual es necesario cuando los usuarios inician sesión en los escritorios de Windows. Para obtener más información, consulte [Cómo proporcionar acceso a Internet en WorkSpaces Personal](amazon-workspaces-internet-access.md).

1. Para la **configuración**, seleccione **Activar la opción dedicada. WorkSpace** Debe habilitarlo para crear un directorio WorkSpaces personal dedicado al lanzamiento de Bring Your Own License (BYOL) para Windows 10 u 11 personal WorkSpaces. 

1. (Opcional) En el caso de las **etiquetas**, especifique el valor del par de claves que desee utilizar como personal WorkSpaces en el directorio.

1. Revise el resumen del directorio y elija **Crear directorio**. Se tarda unos minutos en conectar a su directorio. El estado inicial del directorio es `Creating`. Cuando la creación del directorio se completa, el estado cambia a `Active`. 

Una vez creado el directorio, también se crea automáticamente una aplicación de IAM Identity Center. Para buscar el ARN de la aplicación, vaya a la página de resumen del directorio.

Ahora puede usar el directorio para iniciar Windows 10 u 11 personal WorkSpaces que esté inscrito en Microsoft Intune y unido a Microsoft Entra ID. Para obtener más información, consulte [Crear un WorkSpace en WorkSpaces personal](create-workspaces-personal.md). 

Una vez que haya creado un directorio WorkSpaces personal, podrá crear uno personal WorkSpace. Para obtener más información, consulte [Crear un WorkSpace en WorkSpaces personal](create-workspaces-personal.md)