Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation d'Active Directory avec des WorkSpaces applications
<a name="active-directory"></a>

Vous pouvez associer vos flottes Windows et vos générateurs d'images Amazon WorkSpaces Applications Always-On et On-Demand à des domaines de Microsoft Active Directory et utiliser vos domaines Active Directory existants, qu'ils soient basés sur le cloud ou sur site, pour lancer des instances de streaming jointes à des domaines. Vous pouvez également l'utiliser AWS Directory Service for Microsoft Active Directory, également connu sous le nom de AWS Managed Microsoft AD, pour créer un domaine Active Directory et l'utiliser pour prendre en charge WorkSpaces les ressources de vos applications. Pour de plus amples informations sur l’utilisation d’ AWS Managed Microsoft AD, consultez [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) dans le *Guide d’administration AWS Directory Service *.

**Note**  
Les flottes, les générateurs d'images, les flottes élastiques et les générateurs de blocs d'applications Amazon Linux 2 ne prennent actuellement pas en charge les jointures de domaines.

En joignant WorkSpaces des applications à votre domaine Active Directory, vous pouvez :
+ permettre à vos utilisateurs et à vos applications d’accéder aux ressources Active Directory, telles que les imprimantes et les partages de fichiers, à partir des sessions de streaming ;
+ utiliser les paramètres de stratégie de groupe qui sont disponibles dans la console de gestion des stratégies de groupe (GPMC) pour définir l’expérience de l’utilisateur final ;
+ diffuser les applications qui nécessitent l’authentification des utilisateurs à l’aide de leurs informations d’identification de connexion Active Directory ;
+ Appliquez les politiques de conformité et de sécurité de votre entreprise à vos instances de streaming d' WorkSpaces applications.

**Topics**
+ [Présentation des domaines Active Directory](active-directory-overview.md)
+ [Avant de commencer à utiliser Active Directory avec Amazon WorkSpaces Applications](active-directory-prerequisites.md)
+ [Didacticiel : Installation d'Active Directory](active-directory-directory-setup.md)
+ [Authentification par certificat](certificate-based-authentication.md)
+ [WorkSpaces Administration d'Active Directory des applications](active-directory-admin.md)
+ [Plus d'informations](active-directory-more-info.md)

# Présentation des domaines Active Directory
<a name="active-directory-overview"></a>

L'utilisation de domaines Active Directory avec des WorkSpaces applications nécessite de comprendre comment ils fonctionnent ensemble et les tâches de configuration que vous devrez effectuer. Vous devrez effectuer les tâches suivantes :

1. Configurer les paramètres de stratégies de groupe comme nécessaire pour définir l’expérience de l’utilisateur final et les exigences de sécurité pour les applications

1. Créez la pile d'applications jointes au domaine dans Applications. WorkSpaces 

1. Créez l'application WorkSpaces Applications dans le fournisseur d'identité SAML 2.0 et attribuez-la aux utilisateurs finaux directement ou via des groupes Active Directory.

Pour que vos utilisateurs soient authentifiés auprès d'un domaine, plusieurs étapes doivent être effectuées lorsque ces utilisateurs initient une session de streaming d' WorkSpaces applications. Le schéma suivant illustre le flux end-to-end d'authentification utilisateur depuis la demande initiale du navigateur via l'authentification SAML et Active Directory.

![\[Authentication flow diagram showing steps from user login to AWSWorkSpaces Applications session start.\]](http://docs.aws.amazon.com/fr_fr/appstream2/latest/developerguide/images/domain-join-UPDATED.png)


**Flux d'authentification des utilisateurs**

1. L'utilisateur accède à `https://applications.exampleco.com`. La page d'authentification demande l'authentification de l'utilisateur.

1. Le service de fédération demande l’authentification à partir de la base d’identités de l’organisation.

1. La base d’identités authentifie l’utilisateur et renvoie la réponse d’authentification au service de fédération.

1. Lorsque l'authentification est réussie, le service de fédération publie l'assertion SAML sur le navigateur de l'utilisateur.

1. Le navigateur de l'utilisateur publie l'assertion SAML sur le point de terminaison SAML de AWS connexion (). `https://signin.aws.amazon.com/saml` AWS Sign-In reçoit la demande SAML, traite la demande, authentifie l'utilisateur et transmet le jeton d'authentification au WorkSpaces service Applications.

1. À l'aide du jeton d'authentification fourni par AWS, WorkSpaces Applications autorise l'utilisateur et présente les applications au navigateur.

1. L'utilisateur choisit une application et, selon la méthode d'authentification de connexion Windows activée sur la pile WorkSpaces Applications, il est invité à saisir le mot de passe de son domaine Active Directory ou à choisir une carte à puce. Si les deux méthodes d’authentification sont activées, l’utilisateur peut choisir de saisir le mot de passe de son domaine ou d’utiliser sa carte à puce. L’authentification par certificat peut également être utilisée pour authentifier les utilisateurs en supprimant l’invite.

1. Le contrôleur de domaine est contacté pour l'authentification de l'utilisateur.

1. Une fois que le domaine a authentifié l'utilisateur, la session de l'utilisateur démarre avec la connectivité du domaine.

Ce processus est transparent du point de vue de l’utilisateur. L'utilisateur commence par accéder au portail interne de votre organisation et est redirigé vers un portail d' WorkSpaces applications, sans avoir à saisir d' AWS informations d'identification. Seuls un mot de passe de domaine Active Directory ou des informations d’identification par carte à puce sont nécessaires.

Avant qu’un utilisateur ne soit en mesure de lancer ce processus, vous devez configurer Active Directory avec les droits et les paramètres de stratégie de groupe nécessaires, et créer une pile d’applications jointe au domaine.

# Avant de commencer à utiliser Active Directory avec Amazon WorkSpaces Applications
<a name="active-directory-prerequisites"></a>

Avant d'utiliser des domaines Microsoft Active Directory avec WorkSpaces des applications, tenez compte des exigences et considérations suivantes.

**Topics**
+ [Environnement de domaine Active Directory](active-directory-prerequisites-domain-environment.md)
+ [Instances de streaming d' WorkSpaces applications jointes à un domaine](active-directory-prerequisites-streaming-instances.md)
+ [Paramètres de stratégie de groupe](active-directory-prerequisites-group-policy-settings.md)
+ [Authentification par carte à puce](active-directory-prerequisites-smart-card-authentication.md)

# Environnement de domaine Active Directory
<a name="active-directory-prerequisites-domain-environment"></a>

Votre environnement de domaine Active Directory doit répondre aux exigences suivantes.
+ Vous devez avoir un domaine Microsoft Active Directory auquel joindre vos instances de streaming. Si vous ne possédez pas de domaine Active Directory ou si vous souhaitez utiliser votre environnement Active Directory sur site, consultez le [guide de déploiement des services de domaine Active Directory on AWS Partner Solution](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/).
+ Vous devez disposer d'un compte de service de domaine autorisé à créer et à gérer des objets informatiques dans le domaine que vous souhaitez utiliser avec WorkSpaces les applications. Pour plus d'informations, consultez [Comment créer un compte de domaine dans Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx) dans la documentation Microsoft.

  Lorsque vous associez ce domaine Active Directory à des WorkSpaces applications, fournissez le nom du compte de service et le mot de passe. WorkSpaces Les applications utilisent ce compte pour créer et gérer des objets informatiques dans le répertoire. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory](active-directory-permissions.md).
+ Lorsque vous enregistrez votre domaine Active Directory auprès d' WorkSpaces Applications, vous devez fournir un nom distinctif d'unité organisationnelle (UO). A cet effet, créez une unité d'organisation. Le conteneur Ordinateurs par défaut n'est pas une unité d'organisation et ne peut pas être utilisé par WorkSpaces les applications. Pour de plus amples informations, veuillez consulter [Recherche du nom unique d’unité d’organisation](active-directory-oudn.md).
+ Les annuaires que vous prévoyez d'utiliser avec WorkSpaces les applications doivent être accessibles via leurs noms de domaine complets (FQDNs) via le cloud privé virtuel (VPC) dans lequel vos instances de streaming sont lancées. Pour plus d'informations, consultez [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx) dans la documentation Microsoft.
+ L'accès au contrôleur de domaine peut également être pris en charge IPv6 et nécessite des [mises à jour des paramètres d'options DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html).

# Instances de streaming d' WorkSpaces applications jointes à un domaine
<a name="active-directory-prerequisites-streaming-instances"></a>

La fédération d’utilisateur basée sur SAML 2.0 est nécessaire pour diffuser les applications à partir de flottes toujours actives et à la demande jointes à un domaine. Vous ne pouvez pas lancer de sessions sur des instances jointes à un domaine en utilisant l'[CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) ou le groupe d'utilisateurs WorkSpaces des applications.

Vous devez utiliser une image qui prend en charge la jonction des instances Image Builder et des flottes à un domaine Active Directory. Toutes les images publiques publiées à compter du 24 juillet 2017 inclus prennent en charge la jonction d’un domaine Active Directory. Pour plus d’informations, consultez [WorkSpaces Notes de mise à jour de l'image de base et de l'image gérée des applications](base-image-version-history.md) et [Didacticiel : Installation d'Active Directory](active-directory-directory-setup.md).

**Note**  
Vous pouvez associer des instances de streaming de flotte Always-On et On-Demand à un domaine Active Directory. Les systèmes d'exploitation pris en charge incluent Windows, Red Hat Enterprise Linux et Rocky Linux.

# Paramètres de stratégie de groupe
<a name="active-directory-prerequisites-group-policy-settings"></a>

Vérifiez votre configuration pour les paramètres de stratégie de groupe suivants. Si nécessaire, mettez à jour les paramètres comme décrit dans cette section afin qu'ils n'empêchent pas WorkSpaces les applications de s'authentifier et de connecter les utilisateurs de votre domaine. Dans le cas contraire, lorsque vos utilisateurs essaieront de se connecter à WorkSpaces Applications, la connexion risque d'échouer. À la place, un message s’affiche, informant les utilisateurs qu’« une erreur inconnue s’est produite ».
+ **Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Options d’ouverture de session Windows > Désactiver ou activer la séquence de touches de sécurité** : définissez cette option sur **Activé** pour **Services**.
+ **Configuration informatique > Modèles d'administration > Système > Ouverture de session > Exclure les fournisseurs d'informations d'identification** — Assurez-vous que les CLSID suivants *ne sont pas* répertoriés : et `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **Configuration de l’ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité > Connexion interactive > Connexion interactive : Texte du message pour les utilisateurs qui tentent de se connecter** : définissez cette option sur **Non défini**.
+ **Configuration de l’ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité > Connexion interactive > Connexion interactive : Titre du message pour les utilisateurs qui tentent de se connecter** : définissez cette option sur **Non défini**.
+ **Configuration de l'ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur > Autoriser la connexion en local — Définissez ce paramètre sur** **Non défini** ou ajoutez le domaine user/group à cette liste.
+ **Configuration de l'ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur > Refuser l'ouverture de session localement — Définissez ce paramètre sur** **Non défini** ou assurez-vous que les utilisateurs/groupes du domaine ne figurent pas dans la liste.

Si vous utilisez des flottes multisessions, vous avez également besoin des paramètres de stratégie de groupe suivants, en plus des paramètres spécifiés ci-dessus.
+ **Configuration de l'ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur > Autoriser la connexion via Remote Desktop Services — Définissez ce paramètre sur** **Non défini** ou ajoutez le domaine user/group à cette liste.
+ **Configuration de l'ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur > Refuser l'ouverture de session via Remote Desktop Services : définissez ce paramètre sur** **Non défini** ou assurez-vous que le domaine users/groups ne figure pas dans la liste.

# Authentification par carte à puce
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces Les applications prennent en charge l'utilisation de mots de passe de domaine Active Directory ou de cartes à puce telles que [les cartes à puce Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) et de [vérification d'identité personnelle (PIV)](https://piv.idmanagement.gov/) pour Windows. Connectez-vous aux instances de streaming d' WorkSpaces applications. Pour plus d'informations sur la façon de configurer votre environnement Active Directory afin d'activer la connexion par carte à puce à l'aide d'autorités de certification tierces (CAs), consultez les [Directives relatives à l'activation de l'ouverture de session par carte à puce auprès d'autorités de certification tierces](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) dans la documentation Microsoft.

**Note**  
WorkSpaces Les applications prennent également en charge l'utilisation de cartes à puce pour l'authentification en cours de session après qu'un utilisateur se connecte à une instance de streaming. Cette fonctionnalité est prise en charge uniquement pour les utilisateurs sur lesquels le client WorkSpaces Applications pour Windows version 1.1.257 ou ultérieure est installé. Pour plus d’informations sur les exigences supplémentaires, consultez [Cartes à puce](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards).

# Didacticiel : Installation d'Active Directory
<a name="active-directory-directory-setup"></a>

Pour utiliser Active Directory avec des WorkSpaces applications, vous devez d'abord enregistrer la configuration de votre répertoire en créant un objet Directory Config dans WorkSpaces Applications. Cet objet comprend les informations requises pour joindre les instances de diffusion à un domaine Active Directory. Vous créez un objet Directory Config à l'aide de la console de gestion des WorkSpaces applications, du AWS SDK ou AWS CLI. Vous pouvez ensuite utiliser votre configuration de répertoire pour lancer les flottes toujours actives et à la demande et les instances Image Builder jointes au domaine. 

**Note**  
Vous pouvez seulement joindre des instances de streaming de flottes toujours actives et à la demande à un domaine Active Directory.

**Topics**
+ [Étape 1 : créer un objet Directory Config](#active-directory-setup-config)
+ [Étape 2 : créer une image à l’aide d’une instance Image Builder jointe à un domaine](#active-directory-setup-image-builder)
+ [Etape 3 : Créer une flotte jointe à un domaine](#active-directory-setup-fleet)
+ [Etape 4 : Configurer SAML 2.0](#active-directory-setup-saml)

## Étape 1 : créer un objet Directory Config
<a name="active-directory-setup-config"></a>

L'objet Directory Config que vous créez dans WorkSpaces Applications sera utilisé ultérieurement.

Si vous utilisez le AWS SDK, vous pouvez utiliser l'[CreateDirectoryConfig](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateDirectoryConfig.html)opération. Si vous utilisez le AWS CLI, vous pouvez utiliser la [create-directory-config](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-directory-config.html)commande.

**Pour créer un objet Directory Config à l'aide de la console WorkSpaces Applications**

1. Ouvrez la console WorkSpaces Applications à l'adresse [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Dans le volet de navigation, choisissez **Directory Configs**, **Create Directory Config**.

1. Pour **Directory Name**, fournissez le nom de domaine complet (FQDN) du domaine Active Directory (par exemple, `corp.example.com`). Chaque région ne peut avoir qu’une seule valeur **Directory Config** avec un nom de répertoire spécifique.

1. Dans **Service Account Name**, saisissez le nom d'un compte qui peut créer des objets ordinateur et qui dispose des autorisations pour joindre le domaine. Pour plus d’informations, consultez [Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory](active-directory-permissions.md). Le nom du compte doit être au format `DOMAIN\username`.

1. Pour **Password** et **Confirm Password**, saisissez le mot de passe du répertoire pour le compte spécifié.

1. Dans **Organizational Unit (OU)**, saisissez le nom unique d'au moins une unité d'organisation pour les objets ordinateur d'instance de streaming. 
**Note**  
Le nom de l’unité d’organisation ne doit pas contenir d’espace. Si vous spécifiez un nom d'unité d'organisation contenant des espaces, lorsqu'un parc ou un générateur d'images tente de rejoindre le domaine Active Directory, WorkSpaces les applications ne peuvent pas effectuer correctement le cycle des objets informatiques et la jonction de domaine échoue. Pour plus d’informations sur la manière de résoudre ce problème, consultez la rubrique *DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR* du message « Le compte existe déjà » dans [Domaine Active Directory joint](troubleshooting-notification-codes.md#troubleshooting-notification-codes-ad).  
En outre, le conteneur Ordinateurs par défaut n'est pas une unité d'organisation et ne peut pas être utilisé par WorkSpaces les applications. Pour de plus amples informations, veuillez consulter [Recherche du nom unique d’unité d’organisation](active-directory-oudn.md).

1. Pour ajouter plusieurs unités d'organisation, sélectionnez le signe plus (**\$1**) en regard de **Organizational Unit (OU)**. Pour le supprimer OUs, cliquez sur l'icône **X.**

1. Choisissez **Suivant**.

1. Vérifiez les informations de configuration et choisissez **Create**.

## Étape 2 : créer une image à l’aide d’une instance Image Builder jointe à un domaine
<a name="active-directory-setup-image-builder"></a>

Ensuite, à l'aide du générateur d'images WorkSpaces Applications, créez une nouvelle image avec les fonctionnalités de jonction de domaines Active Directory. Notez que la flotte et l'image peuvent être membres de différents domaines. Vous joignez l'instance Image Builder à un domaine pour permettre la jonction du domaine et pour installer les applications. La jonction de domaine à une flotte est traitée dans la section suivante.

**Pour créer une image pour le lancement de flottes jointes à un domaine**

1. Suivez la procédure fournie dans [Tutoriel : Création d'une image d' WorkSpaces applications personnalisée à l'aide de la console WorkSpaces d'applications](tutorial-image-builder.md).

1. Pour l'étape de sélection de l'image de AWS base, utilisez une image de base publiée le 24 juillet 2017 ou après cette date. Pour une liste actualisée des AWS images publiées, voir[WorkSpaces Notes de mise à jour de l'image de base et de l'image gérée des applications](base-image-version-history.md).

1. Pour l’**Étape 3 : configuration du réseau**, sélectionnez un VPC et des sous-réseaux avec une connectivité réseau vers votre environnement Active Directory. Sélectionnez les groupes de sécurité qui sont configurés pour autoriser l’accès à votre répertoire via vos sous-réseaux VPC.

1. De même, dans l’**Étape 3 : configuration du réseau**, développez la section **Domaine Active Directory (facultatif)**, puis sélectionnez les valeurs pour le **Nom de répertoire** et l’**Unité d’organisation Active Directory** auxquels l’instance Image Builder doit être jointe.

1. Vérifiez la configuration de l’instance Image Builder et choisissez **Create**.

1. Attendez que la nouvelle instance Image Builder passe à l’état **Running**, puis sélectionnez **Connect**.

1. Connectez-vous à l’instance Image Builder en mode administrateur ou en tant qu’utilisateur du répertoire avec les autorisations d’administrateur local. Pour plus d’informations, consultez [Attribution des droits d'administrateur local sur les instances Image Builder](active-directory-image-builder-local-admin.md).

1. Suivez les étapes indiquées dans [Tutoriel : Création d'une image d' WorkSpaces applications personnalisée à l'aide de la console WorkSpaces d'applications](tutorial-image-builder.md) pour installer les applications et créer une nouvelle image.

## Etape 3 : Créer une flotte jointe à un domaine
<a name="active-directory-setup-fleet"></a>

À l’aide de l’image privée créée lors de l’étape précédente, créez une flotte toujours active ou à la demande jointe à un domaine Active Directory pour les applications de streaming. Le domaine peut être différent de celui que vous avez utilisé pour que l'instance Image Builder crée l'image.

**Pour créer une flotte toujours active ou à la demande jointe à un domaine**

1. Suivez la procédure fournie dans [Création d'une flotte dans Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).

1. Pour l’étape de sélection d’une image, utilisez l’image qui a été créée lors de l’étape précédente, [Étape 2 : créer une image à l’aide d’une instance Image Builder jointe à un domaine](#active-directory-setup-image-builder).

1. Pour l’**Étape 4 : configuration du réseau**, sélectionnez un VPC et des sous-réseaux avec une connectivité réseau à votre environnement Active Directory. Sélectionnez les groupes de sécurité configurés pour permettre la communication avec votre domaine.

1. De même, dans l’**Étape 4 : configuration du réseau**, développez la section **Domaine Active Directory (facultatif)**, puis sélectionnez les valeurs pour le **Nom de répertoire** et l’**unité d’organisation Directory** auxquels la flotte doit être jointe.

1. Vérifiez la configuration de la flotte et choisissez **Create**.

1. Suivez les étapes restantes indiquées dans [Créez un parc et une pile d' WorkSpaces applications Amazon](set-up-stacks-fleets.md) pour que votre flotte soit associée à une pile et qu'elle s'exécute.

## Etape 4 : Configurer SAML 2.0
<a name="active-directory-setup-saml"></a>

Les utilisateurs doivent utiliser votre environnement de fédération d’identité basé sur SAML 2.0 pour lancer des sessions de streaming depuis votre flotte jointe à un domaine.

**Pour configurer SAML 2.0 pour l’accès avec authentification unique**

1. Suivez la procédure fournie dans [Configuration de SAML](external-identity-providers-setting-up-saml.md).

1. WorkSpaces Les applications nécessitent que la `NameID` valeur SAML\$1Subject pour l'utilisateur qui se connecte soit fournie dans l'un des formats suivants :
   + `domain\username`en utilisant le AMAccount nom s
   + `username@domain.com`à l'aide du userPrincipalName

   Si vous utilisez le format s AMAccount Name, vous pouvez le spécifier en `domain` utilisant le nom NetBIOS ou le nom de domaine complet (FQDN).

1. Donnez accès à vos utilisateurs ou groupes Active Directory pour permettre l'accès à la pile d' WorkSpaces applications depuis le portail d'applications de votre fournisseur d'identité.

1. Suivez les étapes restantes fournies dans [Configuration de SAML](external-identity-providers-setting-up-saml.md).

**Pour connecter un utilisateur avec SAML 2.0**

1. Connectez-vous au catalogue d'applications de votre fournisseur SAML 2.0 et ouvrez l'application WorkSpaces Applications SAML que vous avez créée lors de la procédure précédente.

1. Lorsque le catalogue d' WorkSpaces applications s'affiche, sélectionnez l'application à lancer.

1. Lorsqu'une icône de chargement s'affiche, vous êtes invité à fournir un mot de passe. Le nom d'utilisateur de domaine fourni par votre fournisseur d'identité SAML 2.0 s'affiche au dessus du champ du mot de passe. Fournissez votre mot de passe, puis choisissez **Se connecter**.

L'instance de streaming effectue la procédure de connexion Windows et l'application sélectionnée est lancée.

# Authentification par certificat
<a name="certificate-based-authentication"></a>

Vous pouvez utiliser l'authentification basée sur des certificats avec des flottes d' WorkSpaces applications jointes à Microsoft Active Directory. Cela supprime l’invite utilisateur à saisir le mot de passe du domaine Active Directory lorsqu’un utilisateur se connecte. En utilisant l’authentification par certificat avec votre domaine Active Directory, vous pouvez :
+ vous fier à votre fournisseur d’identité SAML 2.0 pour authentifier l’utilisateur et fournir des assertions SAML correspondant à l’utilisateur dans Active Directory ;
+ créer une expérience de connexion et d’authentification unique avec moins d’invites utilisateur ;
+ activer les flux d’authentification sans mot de passe à l’aide de votre fournisseur d’identité SAML 2.0.

L'authentification basée sur les certificats utilise les AWS ressources de l'autorité de certification AWS privée (Private CA) de votre. Compte AWS Avec l'autorité de certification AWS privée, vous pouvez créer des hiérarchies d'autorités de certification (CA) privées, y compris les autorités racine et subordonnées CAs. Vous pouvez également créer votre propre hiérarchie d’autorités de certification et émettre des certificats à partir de celle-ci pour authentifier les utilisateurs internes. Pour plus d'informations, reportez-vous à la section [Qu'est-ce que c'est AWS CA privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).

Lorsque vous utilisez AWS Private CA pour l'authentification basée sur des certificats, WorkSpaces Applications demande automatiquement des certificats pour vos utilisateurs lors de la réservation de session pour chaque instance du parc d' WorkSpaces applications. Il authentifie les utilisateurs auprès d’Active Directory à l’aide d’une carte à puce virtuelle dotée des certificats.

L'authentification basée sur les certificats (CBA) est prise en charge sur les flottes jointes au domaine WorkSpaces des applications (flottes mono-session ou multisession) qui exécutent des instances Windows. Pour activer le CBA sur les flottes multisessions, vous devez utiliser une image d'applications qui utilise un agent d' WorkSpaces applications publié le WorkSpaces 02-07-2025 ou après cette date. Ou bien, votre image doit utiliser les mises à jour d'image WorkSpaces des applications gérées publiées le 02-11-2025 ou après cette date. 

**Topics**
+ [Conditions préalables](certificate-based-authentication-prereq.md)
+ [Activer l’authentification par certificat](certificate-based-authentication-enable.md)
+ [Gérer l’authentification par certificat](certificate-based-authentication-manage.md)
+ [Activer le partage PCA entre comptes](pca-sharing.md)

# Conditions préalables
<a name="certificate-based-authentication-prereq"></a>

Effectuez les étapes suivantes avant d’utiliser l’authentification par certificat.

1. Configurez une flotte jointe à un domaine et configurez SAML 2.0. Assurez-vous d’utiliser le format `username@domain.com` `userPrincipalName` pour la valeur SAML\$1Subject `NameID`. Pour plus d’informations, consultez [Etape 5 : Créer des assertions pour la réponse de l'authentification SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
**Note**  
N’activez pas la **connexion par carte à puce pour Active Directory** dans votre pile si vous souhaitez utiliser l’authentification par certificat. Pour de plus amples informations, veuillez consulter [Cartes à puce](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards). 

1. Utilisez la version 10-13-2022 ou ultérieure de l'agent WorkSpaces Applications avec votre image. Pour de plus amples informations, veuillez consulter [Conservez l'image de vos WorkSpaces applications Amazon Up-to-Date](keep-image-updated.md).

1. Configurez l'attribut `ObjectSid` dans votre assertion SAML. Vous pouvez utiliser cet attribut pour effectuer un mappage fort avec l’utilisateur Active Directory. L’authentification par certificat échoue si l’attribut `ObjectSid` ne correspond pas à l’identifiant de sécurité (SID) Active Directory de l’utilisateur spécifié dans la valeur SAML\$1Subject `NameID`. Pour de plus amples informations, veuillez consulter [Etape 5 : Créer des assertions pour la réponse de l'authentification SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions). `ObjectSid`Il est obligatoire pour l'authentification basée sur des certificats après le 10 septembre 2025. Pour plus d'informations, voir [KB5014754: Modifications de l'authentification basée sur les certificats sur les contrôleurs de domaine Windows](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16).

1. Ajoutez l’autorisation `sts:TagSession` à la politique de confiance des rôles IAM que vous utilisez avec votre configuration SAML 2.0. Pour plus d’informations, consultez [Transmission des balises de session dans AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html). Cette autorisation est requise pour utiliser l’authentification par certificat. Pour de plus amples informations, veuillez consulter [Étape 2 : créer un rôle IAM Fédération SAML 2.0](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms).

1. Créez une autorité de certification (CA) AWS privée à l'aide de l'autorité de certification privée, si aucune n'est configurée avec votre Active Directory. AWS Une autorité de certification privée est requise pour utiliser l'authentification basée sur des certificats. Pour de plus amples informations, consultez [Planification du déploiement de votre AWS CA privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). Les paramètres AWS Private CA suivants sont courants dans de nombreux cas d'utilisation de l'authentification basée sur des certificats :
   + **Options de type de CA**
     + **Mode d’utilisation de l’autorité de certification de courte durée** : recommandé si l’autorité de certification émet uniquement des certificats d’utilisateur final pour l’authentification par certificat.
     + **Hiérarchie à un seul niveau avec une autorité de certification racine** : choisissez une autorité de certification subordonnée pour l’intégrer à une hiérarchie d’autorités de certification existante.
   + **Options de l’algorithme de clé** : RSA 2048
   + **Options de nom unique de l’objet** : utilisez les options les plus appropriées pour identifier cette autorité de certification dans votre magasin Active Directory Autorités de certification racine de confiance.
   + **Options de révocation des certificats :** distribution de CRL
**Note**  
L'authentification basée sur des certificats nécessite un point de distribution CRL en ligne accessible à la fois depuis l'instance du parc d' WorkSpaces applications et le contrôleur de domaine. Cela nécessite un accès non authentifié au compartiment Amazon S3 configuré pour les entrées AWS privées de la CA CRL, ou une CloudFront distribution avec accès au compartiment Amazon S3 s'il bloque l'accès public. Pour plus d’informations sur ces options, consultez [Planification d’une liste de révocation de certificats (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html).

1. Marquez votre autorité de certification privée avec une clé habilitée `euc-private-ca` à désigner l'autorité de certification à utiliser avec l'authentification basée sur WorkSpaces les certificats des applications. Cette clé ne nécessite aucune valeur. Pour plus d’informations, consultez [Gestion des balises pour votre autorité de certification privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html). Pour plus d'informations sur les politiques AWS gérées utilisées avec WorkSpaces les applications pour accorder des autorisations aux ressources de votre ordinateur Compte AWS, consultez[AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications](managed-policies-required-to-access-appstream-resources.md).

1. L’authentification par certificat utilise des cartes à puce virtuelles pour la connexion. Pour plus d’informations, consultez [Recommandations pour l’activation de l’ouverture de session par carte à puce auprès d’autorités de certification tierces](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities). Procédez comme suit :

   1. Configurez les contrôleurs de domaine avec un certificat de contrôleur de domaine pour authentifier les utilisateurs de carte à puce. Si une autorité de certification d’entreprise des services de certificats Active Directory est configurée dans votre Active Directory, elle inscrit automatiquement les contrôleurs de domaine avec des certificats qui permettent l’ouverture de session par carte à puce. Si vous ne disposez pas des services de certificats Active Directory, consultez la section [Exigences relatives aux certificats de contrôleur de domaine délivrés par une autorité de certification tierce](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). AWS recommande aux autorités de certification Active Directory d'entreprise de gérer automatiquement l'inscription aux certificats de contrôleur de domaine.
**Note**  
Si vous utilisez AWS Managed Microsoft AD, vous pouvez configurer les services de certificats sur une instance Amazon EC2 qui répond aux exigences relatives aux certificats de contrôleur de domaine. Consultez la section [Déployer Active Directory sur un nouvel Amazon Virtual Private Cloud](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html) pour des exemples de déploiements de Microsoft AD AWS gérés configurés avec les services de certificats Active Directory.  
Avec AWS Managed Microsoft AD et Active Directory Certificate Services, vous devez également créer des règles sortantes depuis le groupe de sécurité VPC du contrôleur vers l'instance Amazon EC2 exécutant les services de certificats. Vous devez fournir au groupe de sécurité l’accès au port TCP 135 et aux ports 49152 à 65535 pour permettre l’inscription automatique aux certificats. L’instance Amazon EC2 doit également autoriser l’accès entrant sur ces mêmes ports depuis les instances de domaine, y compris les contrôleurs de domaine. Pour plus d'informations sur la localisation du groupe de sécurité pour AWS Managed Microsoft AD, voir [Configurer vos sous-réseaux et groupes de sécurité VPC](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).

   1. Sur la console de l'autorité de certification AWS privée, ou à l'aide du SDK ou de la CLI, exportez le certificat de l'autorité de certification privée. Pour plus d’informations, consultez [Exportation d’un certificat privé](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).

   1. Publiez l’autorité de certification privée dans Active Directory. Connectez-vous à un contrôleur de domaine ou à une machine jointe à un domaine. Copiez le certificat de l’autorité de certification privée dans n’importe quel `<path>\<file>` et exécutez les commandes suivantes en tant qu’administrateur de domaine. Vous pouvez également utiliser la stratégie de groupe et le Microsoft PKI Health Tool (PKIView) pour publier l'autorité de certification. Pour plus d’informations, consultez [Instructions de configuration](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      Assurez-vous que les commandes s’exécutent correctement, puis supprimez le fichier du certificat de l’autorité de certification privée. En fonction de vos paramètres de réplication Active Directory, la publication sur vos contrôleurs de domaine et instances de parc d' WorkSpaces applications par l'autorité de certification peut prendre plusieurs minutes.
**Note**  
Active Directory doit distribuer automatiquement l'autorité de certification aux autorités de certification racine fiables et aux NTAuth magasins d'entreprise pour les instances du parc d' WorkSpaces applications lorsqu'elles rejoignent le domaine.

Pour les systèmes d'exploitation Windows, la distribution de l'autorité de certification (CA) s'effectue automatiquement. Toutefois, pour Rocky Linux et Red Hat Enterprise Linux, vous devez télécharger le ou les certificats de l'autorité de certification racine depuis l'autorité de certification utilisée par votre Configuration du répertoire d' WorkSpaces applications. Si vos certificats d'autorité de certification racine KDC sont différents, vous devez également les télécharger. Avant d'utiliser l'authentification basée sur les certificats, il est nécessaire d'importer ces certificats sur une image ou un instantané.

Sur l'image, il doit y avoir un fichier nommé/`etc/sssd/pki/sssd_auth_ca_db.pem`. Il devrait se présenter comme suit :

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
```

**Note**  
Lorsque vous copiez une image entre des régions ou des comptes, ou que vous associez à nouveau une image à un nouvel Active Directory, ce fichier doit être reconfiguré avec les certificats appropriés sur un générateur d'images et capturé à nouveau avant utilisation.

Vous trouverez ci-dessous des instructions pour télécharger les certificats de l'autorité de certification racine :

1. Dans le générateur d'images, créez un fichier nommé`/etc/sssd/pki/sssd_auth_ca_db.pem`.

1. Ouvrez la [console AWS Private CA](https://console.aws.amazon.com/acm-pca/).

1. Choisissez le certificat privé utilisé avec votre Configuration du répertoire d' WorkSpaces applications.

1. Choisissez l'onglet **Certificat CA**.

1. Copiez la chaîne de certificats et le corps du certificat dans `/etc/sssd/pki/sssd_auth_ca_db.pem` le générateur d'images.

Si les certificats de l'autorité de certification racine utilisés par le KDCs sont différents du certificat de l'autorité de certification racine utilisé par votre configuration du répertoire d' WorkSpaces applications, suivez ces exemples d'étapes pour les télécharger :

1. Connectez-vous à une instance Windows associée au même domaine que votre générateur d'images.

1. Ouvrir `certlm.msc`.

1. Dans le volet de gauche, choisissez **Trusted Root Certificate Authorities**, puis sélectionnez **Certificates**.

1. Pour chaque certificat CA racine, ouvrez le menu contextuel (clic droit).

1. Choisissez **Toutes les tâches**, sélectionnez **Exporter** pour ouvrir l'assistant d'exportation de certificats, puis cliquez sur **Suivant**.

1. **Choisissez **X.509 (.CER) codé en Base64**, puis Next.**

1. Choisissez **Parcourir**, entrez un nom de fichier, puis cliquez sur **Suivant**.

1. Choisissez **Finish** (Terminer).

1. Ouvrez le certificat exporté dans un éditeur de texte.

1. Copiez le contenu du fichier dans `/etc/sssd/pki/sssd_auth_ca_db.pem` le générateur d'images.

# Activer l’authentification par certificat
<a name="certificate-based-authentication-enable"></a>

Procédez comme suit pour activer l’authentification par certificat.

**Pour activer l’authentification par certificat**

1. Ouvrez la console WorkSpaces Applications à l'adresse [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Dans le volet de navigation, choisissez **Directory Configs**. Sélectionnez la configuration de répertoire que vous souhaitez configurer, puis choisissez **Modifier**.

1. Choisissez **Activer l’authentification par certificat**.

1. Vérifiez que l’ARN de votre autorité de certification privée est associé dans la liste. Pour apparaître dans la liste, vous devez enregistrer l'autorité de certification privée dans le même Compte AWS et Région AWS. Vous devez également identifier l’autorité de certification privée avec une clé nommée `euc-private-ca`.

1. Configurez la solution de secours de connexion au répertoire. La solution de secours permet aux utilisateurs de se connecter à l’aide du mot de passe de leur domaine AD en cas d’échec de l’authentification par certificat. Cette solution n’est recommandée que dans les cas où les utilisateurs connaissent le mot de passe de leur domaine. Lorsque la solution de secours est désactivée, une session peut déconnecter l’utilisateur en cas d’écran de verrouillage ou de déconnexion de Windows. Si la solution de secours est activée, la session invite l’utilisateur à saisir le mot de passe de son domaine AD.

1. Choisissez **Save Changes (Enregistrer les modifications)**.

1. L’authentification par certificat est désormais activée. Lorsque les utilisateurs s'authentifient avec SAML 2.0 auprès d'une pile d' WorkSpaces applications à l'aide de la flotte jointe au domaine depuis le client Web WorkSpaces Applications ou le client pour Windows (version 1.1.1099 et versions ultérieures), ils ne sont plus invités à saisir le mot de passe du domaine. Les utilisateurs voient le message « Connexion avec authentification par certificat… » lors de la connexion à une session activée pour l’authentification par certificat.

# Gérer l’authentification par certificat
<a name="certificate-based-authentication-manage"></a>

Après avoir activé l’authentification par certificat, passez en revue les tâches suivantes.

**Topics**
+ [Certificat d’autorité de certification privée](certificate-based-authentication-manage-CA.md)
+ [Certificats d’utilisateur final](certificate-based-authentication-manage-certs.md)
+ [Rapports d’audit](certificate-based-authentication-manage-audit.md)
+ [Journalisation et surveillance](certificate-based-authentication-manage-logging.md)

# Certificat d’autorité de certification privée
<a name="certificate-based-authentication-manage-CA"></a>

Dans une configuration classique, le certificat d’autorité de certification privée a une durée de validité de 10 ans. Pour plus d’informations sur le remplacement d’une autorité de certification privée dont le certificat a expiré ou sur la réémission de l’autorité de certification privée avec une nouvelle période de validité, consultez [Gestion du cycle de vie de l’autorité de certification privée](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html). 

# Certificats d’utilisateur final
<a name="certificate-based-authentication-manage-certs"></a>

Les certificats d'utilisateur final émis par l'authentification basée sur les certificats de AWS Private CA for WorkSpaces Applications ne nécessitent ni renouvellement ni révocation. Ces certificats sont de courte durée. WorkSpaces Les applications délivrent automatiquement un nouveau certificat pour chaque nouvelle session, ou toutes les 24 heures pour les sessions de longue durée. La session WorkSpaces Applications régit l'utilisation de ces certificats d'utilisateur final. Si vous mettez fin à une session, WorkSpaces Applications cesse d'utiliser ce certificat. Ces certificats d'utilisateur final ont une période de validité plus courte que celle d'une distribution CRL AWS privée classique. Par conséquent, les certificats d’utilisateur final n’ont pas besoin d’être révoqués et n’apparaîtront pas dans une CRL. 

# Rapports d’audit
<a name="certificate-based-authentication-manage-audit"></a>

Vous pouvez créer un rapport d'audit pour répertorier tous les certificats émis ou révoqués par votre autorité de certification privée. Pour plus d’informations, consultez [Utilisation de rapports d’audit avec votre autorité de certification privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).

# Journalisation et surveillance
<a name="certificate-based-authentication-manage-logging"></a>

Vous pouvez l'utiliser CloudTrail pour enregistrer les appels d'API adressés à une autorité de certification privée par WorkSpaces Applications. Pour plus d'informations, voir [Qu'est-ce que c'est AWS CloudTrail ?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) et [en utilisant CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html). Dans l'historique des CloudTrail événements, vous pouvez consulter les noms **GetCertificate**des **IssueCertificate**événements provenant de la source d'événements **acm-pca.amazonaws.com** créés par le nom d'utilisateur des applications. WorkSpaces **EcmAssumeRoleSession** Ces événements seront enregistrés pour chaque WorkSpaces demande d'authentification basée sur un certificat d'application. Pour plus d'informations, consultez la section [Affichage des événements à l'aide de l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

# Activer le partage PCA entre comptes
<a name="pca-sharing"></a>

Le partage entre comptes d'une autorité de certification privée (PCA) permet d'autoriser d'autres comptes à utiliser une autorité de certification centralisée. L'autorité de certification peut générer et émettre des certificats en utilisant [AWS Resource Access Manager](https://aws.amazon.com/ram/) (RAM) pour gérer les autorisations. Cela élimine le besoin d'une autorité de certification privée pour chaque compte. Le partage entre comptes CA privés peut être utilisé avec l'authentification basée sur WorkSpaces les certificats (CBA) des applications dans le même cadre. Région AWS

Pour utiliser une ressource CA privée partagée avec WorkSpaces Applications CBA, procédez comme suit :

1. Configurez l'autorité de certification privée pour CBA de manière centralisée Compte AWS. Pour de plus amples informations, veuillez consulter [Authentification par certificat](certificate-based-authentication.md).

1. Partagez l'autorité de certification privée avec la ressource Comptes AWS où les ressources WorkSpaces des applications utilisent le CBA. Pour ce faire, suivez les étapes décrites dans [Comment utiliser la RAM AWS pour partager votre compte ACM Private CA entre plusieurs comptes.](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) Il n'est pas nécessaire de suivre l'étape 3 pour créer un certificat. Vous pouvez soit partager l'autorité de certification privée avec un individu Comptes AWS, soit la partager via AWS Organizations. Si vous partagez avec des comptes individuels, vous devez accepter l'autorité de certification privée partagée dans votre compte de ressources à l'aide de la AWS Resource Access Manager console ou APIs. 

   Lors de la configuration du partage, vérifiez que le partage de AWS Resource Access Manager ressources pour l'autorité de certification privée dans le compte de ressources utilise le modèle d'autorisation `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` gérée. Ce modèle s'aligne sur le modèle PCA utilisé par le rôle de service WorkSpaces Applications lors de l'émission de certificats CBA.

1. Une fois le partage réussi, consultez l'autorité de certification privée partagée à l'aide de la console d'autorité de certification privée du compte de ressources.

1. Utilisez l'API ou la CLI pour associer l'ARN CA privé au CBA dans la configuration de votre répertoire WorkSpaces d'applications. À l'heure actuelle, la console WorkSpaces Applications ne prend pas en charge la sélection d'une autorité de certification privée partagée ARNs. Voici des exemples de commandes CLI :

   `aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>` 

# WorkSpaces Administration d'Active Directory des applications
<a name="active-directory-admin"></a>

La configuration et l'utilisation d'Active Directory avec WorkSpaces les applications impliquent les tâches administratives suivantes.

**Topics**
+ [Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory](active-directory-permissions.md)
+ [Recherche du nom unique d’unité d’organisation](active-directory-oudn.md)
+ [Attribution des droits d'administrateur local sur les instances Image Builder](active-directory-image-builder-local-admin.md)
+ [Mise à jour du compte de service utilisé pour joindre le domaine](active-directory-service-acct.md)
+ [Verrouillage de la session de streaming lorsque l'utilisateur est inactif](active-directory-session-lock.md)
+ [Modification de la configuration de répertoire](active-directory-config-edit.md)
+ [Suppression d’une configuration de répertoire](active-directory-config-delete.md)
+ [Configuration d' WorkSpaces applications pour utiliser des approbations de domaine](active-directory-domain-trusts.md)
+ [Gestion des WorkSpaces applications et des objets informatiques dans Active Directory](active-directory-identify-objects.md)

# Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory
<a name="active-directory-permissions"></a>

Pour permettre aux WorkSpaces applications d'effectuer des opérations sur des objets informatiques Active Directory, vous devez disposer d'un compte doté d'autorisations suffisantes. La bonne pratique consiste à utiliser un compte disposant uniquement des privilèges minimum nécessaires. Les autorisations minimum de l'unité d'organisation (OU) Active Directory sont les suivantes :
+ Créer des objets ordinateur
+ Modifier le mot de passe
+ Réinitialiser le mot de passe
+ Écrire une description

Avant de configurer les autorisations, vous devez effectuer les tâches suivantes :
+ Obtenir l’accès à un ordinateur ou à une instance EC2 qui est jointe à votre domaine.
+ Installer le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. Pour plus d’informations, consultez [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) dans la documentation Microsoft.
+ Vous connecter en tant qu’utilisateur du domaine disposant des autorisations appropriées pour modifier les paramètres de sécurité des unités d’organisation.
+ Créer ou identifier l’utilisateur, le compte de service ou le groupe auquel déléguer des autorisations.

**Pour configurer les autorisations minimum**

1. Lancez **Utilisateurs et ordinateurs Active Directory** dans votre domaine ou sur votre contrôleur de domaine.

1. Dans le volet de navigation de gauche, sélectionnez la première unité d’organisation sur laquelle fournir les privilèges joints au domaine, ouvrez le menu contextuel (clic droit), puis choisissez **Déléguer le contrôle**.

1. Sur la page **Assistant Délégation de contrôle**, choisissez **Suivant**, **Ajouter**.

1. Pour **Sélectionner des utilisateurs, des ordinateurs ou des groupes**, sélectionnez l’utilisateur, le compte de service ou le groupe créé au préalable, puis choisissez **OK**.

1. Sur la page **Tâches à déléguer**, sélectionnez **Créer une tâche personnalisée à déléguer**, puis choisissez **Suivant**.

1. Choisissez **Seulement des objets suivants dans le dossier**, puis **Objets ordinateur**.

1. Choisissez **Créer les objets sélectionnés dans ce dossier**, **Suivant**.

1. Pour **Autorisations**, choisissez **, Lire**, **Écrire**, **Modifier le mot de passe**, **Réinitialiser le mot de passe**, **Suivant**.

1. Sur la page **Fin de l'Assistant Délégation de contrôle**, vérifiez les informations et choisissez **Terminer**.

1. Répétez les étapes 2 à 9 pour toutes les autres étapes OUs nécessitant ces autorisations.

Si vous déléguez des autorisations à un groupe, créez un utilisateur ou un compte de service avec un mot de passe fort et ajoutez ce compte au groupe. Ce compte aura alors les privilèges nécessaires pour connecter vos instances de streaming au répertoire. Utilisez ce compte lors de la création de la configuration de votre répertoire d' WorkSpaces applications.

# Recherche du nom unique d’unité d’organisation
<a name="active-directory-oudn"></a>

Lorsque vous enregistrez votre domaine Active Directory auprès d' WorkSpaces Applications, vous devez fournir un nom distinctif d'unité organisationnelle (UO). A cet effet, créez une unité d'organisation. Le conteneur Ordinateurs par défaut n'est pas une unité d'organisation et ne peut pas être utilisé par WorkSpaces les applications. La procédure suivante montre comment obtenir ce nom.

**Note**  
Le nom unique doit commencer par **OU=** pour pouvoir être utilisé pour des objets ordinateur.

Avant d’effectuer cette procédure, vous devez effectuer les tâches suivantes :
+ Obtenir l’accès à un ordinateur ou à une instance EC2 qui est jointe à votre domaine.
+ Installer le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. Pour plus d’informations, consultez [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) dans la documentation Microsoft.
+ Vous connecter en tant qu’utilisateur du domaine disposant des autorisations appropriées pour lire les propriétés de sécurité des unités d’organisation.

**Pour trouver le nom unique d'une unité d'organisation**

1. Lancez **Utilisateurs et ordinateurs Active Directory** dans votre domaine ou sur votre contrôleur de domaine.

1. Sous **Afficher**, assurez-vous que les **Fonctions avancées** soient activées.

1. Dans le volet de navigation de gauche, sélectionnez la première unité d'organisation à utiliser pour WorkSpaces les objets informatiques des instances de streaming d'applications, ouvrez le menu contextuel (clic droit), puis choisissez **Propriétés**.

1. Choisissez **Éditeur d’attribut**.

1. Sous **Attributs **, pour **distinguishedName**, choisissez **Afficher **.

1. Pour **Valeur**, sélectionnez le nom unique, ouvrez le menu contextuel et choisissez **Copier**.

# Attribution des droits d'administrateur local sur les instances Image Builder
<a name="active-directory-image-builder-local-admin"></a>

Par défaut, les utilisateurs de domaine Active Directory n'ont pas d'autorisations d'administrateur local sur les instances Image Builder. Vous pouvez attribuer ces droits à l’aide des préférences de stratégie de groupe de votre répertoire, ou manuellement à l’aide du compte d’administrateur local sur une instance Image Builder. L'octroi de droits d'administrateur local à un utilisateur de domaine permet à cet utilisateur d'installer des applications et de créer des images dans un générateur d'images d' WorkSpaces applications.

**Topics**
+ [Utilisation des préférences de stratégie de groupe](group-policy.md)
+ [Utilisation du groupe d'administrateurs local sur l'instance Image Builder](manual-procedure.md)

# Utilisation des préférences de stratégie de groupe
<a name="group-policy"></a>

Les préférences de stratégie de groupe peuvent être utilisées pour accorder des droits d'administrateur local aux utilisateurs ou groupes Active Directory, et à tous les objets ordinateur de l'unité d'organisation spécifiée. Les utilisateurs ou groupes Active Directory auxquels vous voulez accorder des autorisations d'administrateur local doivent déjà exister. Pour utiliser les préférences de stratégie de groupe, vous devez tout d'abord effectuer les opérations suivantes :
+ Obtenir l’accès à un ordinateur ou à une instance EC2 qui est jointe à votre domaine.
+ Installer le composant logiciel enfichable MMC GPMC (Console de gestion des stratégies de groupe). Pour plus d’informations, consultez [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) dans la documentation Microsoft.
+ Connectez-vous en tant qu'utilisateur du domaine autorisé à créer des objets de stratégie de groupe (GPOs). Lien GPOs vers le lien approprié OUs.

**Pour utiliser les préférences de stratégie de groupe afin d'accorder les autorisations d'administrateur local**

1. Dans votre répertoire ou sur un contrôleur de domaine, ouvrez l’invite de commande en tant qu’administrateur, tapez `gpmc.msc`, puis appuyez sur ENTRÉE.

1. Dans l’arborescence de console de gauche, sélectionnez l’unité d’organisation dans laquelle vous allez créer un nouveau GPO ou utiliser un GPO existant, puis effectuez l’une des actions suivantes : 
   + Créez un GPO en ouvrant le menu contextuel (clic droit) et choisissez **Create a GPO in this domain, Link it here.**. Pour **Nom**, fournissez un nom descriptif pour ce GPO.
   + Sélectionner un GPO existant.

1. Ouvrez le menu contextuel de l’objet Stratégie de groupe (GPO), puis choisissez **Modifier**.

1. Dans l'arborescence de la console, choisissez **Configuration de l'ordinateur**, **Préférences**, **Paramètres Windows**, **Paramètres du Panneau de configuration** et **Utilisateurs et groupes locaux**.

1. Sélectionnez les **Utilisateurs et groupes locaux** sélectionnés, ouvrez le menu contextuel, puis choisissez **Nouveau**, **Groupe local**.

1. Pour **Actions**, choisissez **Mettre à jour**.

1. Pour **Nom du groupe**, choisissez **Administrateurs (intégré)**.

1. Sous **Membres**, choisissez **Ajouter…** et spécifiez les utilisateurs ou les groupes Active Directory auxquels affecter les droits d’administrateur local sur l’instance de streaming. Pour **Action**, choisissez **Ajouter à ce groupe**, puis choisissez **OK**.

1. Pour appliquer cet objet de stratégie de groupe à un autre OUs, sélectionnez l'unité d'organisation supplémentaire, ouvrez le menu contextuel et choisissez **Lier un objet de stratégie de groupe existant.**

1. À l’aide du nom de GPO nouveau ou existant que vous avez spécifié à l’étape 2, faites défiler l’écran jusqu’au GPO, puis choisissez **OK**. 

1. Répétez les étapes 9 et 10 pour les autres OUs qui devraient bénéficier de cette préférence.

1. Choisissez **OK** pour fermer la boîte de dialogue **Nouvelles propriétés de groupe local**.

1. Choisissez **OK** à nouveau pour fermer la console GPMC.

Pour appliquer la nouvelle préférence au GPO, vous devez arrêter et redémarrer toutes les flottes ou instances Image Builder en cours d'exécution. Les utilisateurs et groupes Active Directory que vous avez spécifiés à l'étape 8 se voient automatiquement accorder les droits d'administrateur local sur les instances Image Builder et flottes de l'unité d'organisation auxquelles le GPO est lié.

# Utilisation du groupe d'administrateurs local sur l'instance Image Builder
<a name="manual-procedure"></a>

Pour accorder aux utilisateurs ou groupes Active Directory les droits d'administrateur local sur votre instance Image Builder, vous pouvez ajouter manuellement ces utilisateurs ou groupes au groupe d'administrateurs local sur l'instance Image Builder. Les instances Image Builder qui sont créées à partir d’images ayant ces droits conservent les mêmes droits. 

Les utilisateurs ou groupes Active Directory auxquels vous voulez accorder des droits d'administrateur local doivent déjà exister.

**Pour ajouter des utilisateurs ou groupes Active Directory au groupe d'administrateurs local sur l'instance Image Builder**

1. Ouvrez la console WorkSpaces Applications à l'adresse [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Connectez-vous à l'instance Image Builder en mode Administrateur. L’instance Image Builder doit être en cours d’exécution et jointe à un domaine. Pour plus d’informations, consultez [Didacticiel : Installation d'Active Directory](active-directory-directory-setup.md).

1. Choisissez **Démarrer**, **Outils d'administration**, puis double-cliquez sur **Gestion d'ordinateur**.

1. Dans le volet de navigation de gauche, choisissez **Utilisateurs et groupes locaux** et ouvrez le dossier **Groupes**.

1. Ouvrez le groupe **Administrateurs** et choisissez **Ajouter…**.

1. Sélectionnez tous les utilisateurs ou groupes Active Directory auxquels octroyer les droits d'administrateur local et choisissez **OK**. Choisissez **OK** à nouveau pour fermer la fenêtre **Propriétés de l'administrateur**.

1. Fermez Gestion de l'ordinateur.

1. Pour vous connecter en tant qu'utilisateur Active Directory et tester si ce dernier possède les droits d'administrateur local sur l'instance Image Builder, choisissez **Commandes d'administrateur**, **Changer d'utilisateur**, puis entrez les informations d'identification de l'utilisateur approprié.

# Mise à jour du compte de service utilisé pour joindre le domaine
<a name="active-directory-service-acct"></a>

Pour mettre à jour le compte de service utilisé par WorkSpaces Applications pour rejoindre le domaine, nous vous recommandons d'utiliser deux comptes de service distincts pour joindre des générateurs d'images et des flottes à votre domaine Active Directory. L'utilisation de deux comptes de service distincts garantit l'absence d'interruption de service lorsqu'un compte de service doit être mis à jour (par exemple, lorsqu'un mot de passe expire). 

**Pour mettre à jour un compte de service**

1. Créez un groupe Active Directory et déléguez les autorisations appropriées au groupe.

1. Ajoutez vos comptes de service au nouveau groupe Active Directory.

1. Si nécessaire, modifiez votre objet WorkSpaces Applications Directory Config en saisissant les informations de connexion du nouveau compte de service.

Une fois le groupe Active Directory configuré avec le nouveau compte de service, toutes les nouvelles opérations d’instance de streaming utilisent le nouveau compte de service, tandis que les opérations d’instance de streaming en cours de traitement continuent d’utiliser l’ancien compte sans interruption. 

La période de chevauchement du compte de service est très courte, tout au plus une journée. Elle dure jusqu'à ce que les opérations d'instance de streaming en cours de traitement se terminent. La période de chevauchement est nécessaire, car vous ne devez pas supprimer ou modifier le mot de passe de l’ancien compte de service au cours de cette période au risque de faire échouer les opérations en cours.

# Verrouillage de la session de streaming lorsque l'utilisateur est inactif
<a name="active-directory-session-lock"></a>

WorkSpaces Les applications s'appuient sur un paramètre que vous configurez dans le GPMC pour verrouiller la session de streaming une fois que votre utilisateur est inactif pendant une durée spécifiée. Pour utiliser la console GPMC, vous devez tout d'abord effectuer les opérations suivantes :
+ Obtenir l’accès à un ordinateur ou à une instance EC2 qui est jointe à votre domaine.
+ Installer la console GPMC. Pour plus d’informations, consultez [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) dans la documentation Microsoft.
+ Connectez-vous en tant qu'utilisateur du domaine autorisé à créer GPOs. Lien GPOs vers le lien approprié OUs.

**Pour verrouiller automatiquement l'instance de streaming lorsque votre utilisateur est inactif**

1. Dans votre répertoire ou sur un contrôleur de domaine, ouvrez l’invite de commande en tant qu’administrateur, tapez `gpmc.msc`, puis appuyez sur ENTRÉE.

1. Dans l’arborescence de console de gauche, sélectionnez l’unité d’organisation dans laquelle vous allez créer un nouveau GPO ou utiliser un GPO existant, puis effectuez l’une des actions suivantes : 
   + Créez un GPO en ouvrant le menu contextuel (clic droit) et choisissez **Create a GPO in this domain, Link it here.**. Pour **Nom**, fournissez un nom descriptif pour ce GPO.
   + Sélectionner un GPO existant.

1. Ouvrez le menu contextuel de l’objet Stratégie de groupe (GPO), puis choisissez **Modifier**. 

1. Sous **Configuration utilisateur**, développez **Stratégies**, **Modèles d’administration**, **Panneau de configuration**, puis choisissez **Personnalisation**. 

1. Double-cliquez sur **Activer l'écran de veille**.

1. Dans le paramètre de stratégie **Activer l'écran de veille**, choisissez **Activé**.

1. Choisissez **Appliquer**, puis **OK**.

1. Double-cliquez sur **Forcer un écran de veille spécifique**. 

1. Dans le paramètre de stratégie **Forcer un écran de veille spécifique**, choisissez **Activé**.

1. Sous **Nom du fichier exécutable de l’écran de veille**, saisissez **scrnsave.scr**. Lorsque ce paramètre est activé, le système affiche un écran de veille noir sur le bureau de l'utilisateur.

1. Choisissez **Appliquer**, puis **OK**.

1. Double-cliquez sur **Un mot de passe protège l’écran de veille**.

1. Dans le paramètre de stratégie **Un mot de passe protège l’écran de veille**, choisissez **Activé**.

1. Choisissez **Appliquer**, puis **OK**.

1. Double-cliquez sur **Dépassement du délai d’expiration de l’écran de veille**.

1. Dans le paramètre de stratégie **Dépassement du délai d’expiration de l’écran de veille**, choisissez **Activé**.

1. Pour **Secondes**, spécifiez la durée pendant laquelle les utilisateurs doivent être inactifs avant que l'écran de veille ne s'applique. Pour définir une durée d'inactivité de 10 minutes, spécifiez 600 secondes.

1. Choisissez **Appliquer**, puis **OK**.

1. Dans l’arborescence de la console, sous **Configuration utilisateur**, développez **Stratégies**, **Modèles d’administration**, **Système**, puis choisissez **Options Ctrl\$1Alt\$1Suppr**. 

1. Double-cliquez sur **Supprimer le verrouillage de l'ordinateur**.

1. Dans le paramètre de stratégie **Supprimer le verrouillage de l'ordinateur**, choisissez **Désactivé**.

1. Choisissez **Appliquer**, puis **OK**.

# Modification de la configuration de répertoire
<a name="active-directory-config-edit"></a>

Une fois la configuration d'un répertoire d' WorkSpaces applications créée, vous pouvez la modifier pour ajouter, supprimer ou modifier des unités organisationnelles, mettre à jour le nom d'utilisateur du compte de service ou mettre à jour le mot de passe du compte de service. 

**Pour mettre à jour une configuration de répertoire**

1. Ouvrez la console WorkSpaces Applications à l'adresse [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Dans le volet de navigation de gauche, choisissez **Configurations de répertoire** et sélectionnez la configuration de répertoire à modifier.

1. Choisissez **Actions**, **Modifier**.

1. Mettez à jour les champs à modifier. Pour en ajouter d'autres OUs, sélectionnez le signe plus (**\$1**) à côté du champ UO le plus haut. Pour supprimer un champ d’unité d’organisation, sélectionnez **x** en regard du champ.
**Note**  
Au moins une unité d'organisation est requise. OUs qui sont actuellement utilisés ne peuvent pas être supprimés.

1. Pour enregistrer les modifications, choisissez **Mettre à jour la configuration de répertoire**.

1. Les informations contenues dans l’onglet **Détails** doivent désormais être à jour et prendre en compte les modifications.

Les modifications apportées aux informations d’identification de connexion du compte de service n’affectent pas les opérations d’instance de streaming en cours de traitement. Les nouvelles opérations d’instance de streaming utilisent les informations d’identification mises à jour. Pour plus d’informations, consultez [Mise à jour du compte de service utilisé pour joindre le domaine](active-directory-service-acct.md).

# Suppression d’une configuration de répertoire
<a name="active-directory-config-delete"></a>

Vous pouvez supprimer une configuration de répertoire d' WorkSpaces applications qui n'est plus nécessaire. Les configurations de répertoire qui sont associées à une instance Image Builder ou à une flotte ne peuvent pas être supprimées.

**Pour supprimer une configuration de répertoire**

1. Ouvrez la console WorkSpaces Applications à l'adresse [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Dans le volet de navigation de gauche, choisissez **Configurations de répertoire** et sélectionnez la configuration de répertoire à supprimer.

1. Sélectionnez **Actions**, **Supprimer**.

1. Vérifiez le nom dans le message contextuel, puis choisissez **Supprimer**.

1. Choisissez **Mettre à jour la configuration de répertoire**.

# Configuration d' WorkSpaces applications pour utiliser des approbations de domaine
<a name="active-directory-domain-trusts"></a>

WorkSpaces Les applications prennent en charge les environnements de domaine Active Directory dans lesquels les ressources réseau telles que les serveurs de fichiers, les applications et les objets informatiques résident dans un domaine et les objets utilisateur dans un autre. Le compte de service de domaine utilisé pour les opérations sur les objets informatiques ne doit pas nécessairement se trouver dans le même domaine que les objets informatiques WorkSpaces Applications. 

Lors de la création d’une configuration de répertoire, spécifiez un compte de service qui possède les autorisations appropriées pour gérer les objets ordinateur dans le domaine Active Directory où les serveurs de fichiers, les applications, les objets ordinateur et les autres ressources réseau résident.

Vos comptes Active Directory d'utilisateur final doivent avoir les autorisations « Autorisé à authentifier » pour les éléments suivants :
+ WorkSpaces Applications, objets informatiques
+ Contrôleurs de domaine pour le domaine

Pour de plus amples informations, veuillez consulter [Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory](active-directory-permissions.md).

# Gestion des WorkSpaces applications et des objets informatiques dans Active Directory
<a name="active-directory-identify-objects"></a>

WorkSpaces Les applications ne suppriment pas les objets informatiques d'Active Directory. Ces objets ordinateur peuvent être facilement identifiés dans votre répertoire. Chaque objet ordinateur du répertoire est créé avec l’attribut `Description`, spécifiant une flotte ou une instance Image Builder, et le nom. 


**Exemples de descriptions d’objets ordinateur**  

| Type | Nom | Attribut de description | 
| --- | --- | --- | 
|  Flotte  |  ExampleFleet  |  `WorkSpaces Applications - fleet:ExampleFleet`  | 
|  Instance Image Builder  |  ExampleImageBuilder  |  `WorkSpaces Applications - image-builder:ExampleImageBuilder`  | 

Vous pouvez identifier et supprimer les objets informatiques inactifs créés par WorkSpaces les applications à l'aide des `dsrm` commandes `dsquery computer` et des commandes suivantes. Pour plus d'informations, consultez [Dsquery computer](https://technet.microsoft.com/en-us/library/cc730720.aspx) et [Dsrm](https://technet.microsoft.com/en-us/library/cc731865.aspx) dans la documentation Microsoft.

La commande `dsquery` identifie les objets ordinateur inactifs sur une période donnée et utilise le format suivant. La `dsquery` commande doit également être exécutée avec le paramètre `-desc "WorkSpaces Applications*"` pour afficher uniquement WorkSpaces les objets Applications. 

```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name` est le nom unique de l'unité d'organisation. Pour de plus amples informations, veuillez consulter [Recherche du nom unique d’unité d’organisation](active-directory-oudn.md). Si vous ne fournissez pas le *OU-distinguished-name* paramètre, la commande effectue une recherche dans l'ensemble du répertoire. 
+ `number-of-weeks-since-last-log-in` est la valeur souhaitée en fonction de la façon dont vous souhaitez définir l'inactivité. 

Par exemple, la commande suivante affiche tous les objets ordinateur de l'unité d'organisation `OU=ExampleOU,DC=EXAMPLECO,DC=COM` qui ne se sont pas connectés au cours des deux dernières semaines.

```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```

Si aucune correspondance n'est détectée, le résultat est un ou plusieurs noms d'objet. La commande `dsrm` supprime l'objet spécifié et utilise le format suivant :

```
dsrm objectname
```

Où `objectname` est le nom d'objet complet de la sortie de la commande `dsquery`. Par exemple, si la `dsquery` commande ci-dessus génère un objet informatique nommé ExampleComputer « », la `dsrm` commande pour le supprimer sera la suivante :

```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```

Vous pouvez enchaîner ces commandes à l’aide de l’opérateur barre verticale (`|`). Par exemple, pour supprimer tous les objets informatiques WorkSpaces Applications, en demandant une confirmation pour chacun, utilisez le format suivant. Ajoutez le paramètre `-noprompt` à `dsrm` pour désactiver la confirmation.

```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```

# Plus d'informations
<a name="active-directory-more-info"></a>

Pour plus d'informations relatives à cette rubrique, consultez les ressources suivantes :
+ [Dépannage des codes de notification](troubleshooting-notification-codes.md) : résolutions des erreurs de code de notification.
+ [Dépannage d’Active Directory](troubleshooting-active-directory.md) : assistance pour les problèmes courants.
+ [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) —Informations sur l'utilisation Directory Service de.