Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création d'un répertoire pour WorkSpaces Personal
<a name="launch-workspaces-tutorials"></a>

WorkSpaces Personal vous permet d'utiliser des annuaires gérés Directory Service pour stocker et gérer des informations pour vous WorkSpaces et pour les utilisateurs. Utilisez les options suivantes pour créer un répertoire WorkSpaces personnel :
+ Créer un annuaire Simple AD.
+ Créez un service d' AWS annuaire pour Microsoft Active Directory, également connu sous le nom de AWS Managed Microsoft AD.
+ Connectez-vous à un annuaire Microsoft Active Directory existant à l'aide d'Active Directory Connector.
+ Créez une relation d'approbation entre votre annuaire AWS Managed Microsoft AD et votre domaine sur site.
+ Créez un WorkSpaces répertoire d'identifiants Microsoft Entra dédié.
+ Créez un WorkSpaces répertoire personnalisé dédié.

**Note**  
Les annuaires partagés ne sont actuellement pas pris en charge pour une utilisation avec Amazon WorkSpaces.
Si vous configurez votre annuaire Microsoft AD AWS géré pour une réplication multirégionale, seul le répertoire de la région principale peut être enregistré pour être utilisé auprès d'Amazon WorkSpaces. Les tentatives d'enregistrement du répertoire dans une région répliquée pour une utilisation avec Amazon WorkSpaces échoueront. La réplication multirégionale avec AWS Managed Microsoft AD n'est pas prise en charge pour une utilisation avec Amazon WorkSpaces dans les régions répliquées.
Simple AD et AD Connector sont mis à votre disposition gratuitement WorkSpaces. [S'il n' WorkSpaces est pas utilisé avec votre annuaire Simple AD ou AD Connector pendant 30 jours consécutifs, cet annuaire sera automatiquement désenregistré pour être utilisé auprès d'Amazon WorkSpaces, et il vous sera facturé conformément aux conditions tarifaires.AWS Directory Service](https://aws.amazon.com/directoryservice/pricing/)

## Avant de créer un répertoire
<a name="prereqs-tutorials"></a>
+ WorkSpaces n'est pas disponible dans toutes les régions. Vérifiez les régions prises en charge et sélectionnez une région pour votre WorkSpaces. Pour plus d'informations sur les régions prises en charge, consultez la section [WorkSpaces Tarification par AWS région](https://aws.amazon.com/workspaces/pricing/).
+ Créez un Virtual Private Cloud avec au moins deux sous-réseaux privés. Pour de plus amples informations, veuillez consulter [Configuration d'un VPC pour le personnel WorkSpaces](amazon-workspaces-vpc.md). Le VPC doit être connecté à votre réseau sur site via une connexion réseau privé virtuel (VPN) ou Direct Connect. Pour plus d'informations, consultez [Conditions préalables requises pour AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html) dans le *Guide d'administration AWS Directory Service *.
+ Fournir un accès à Internet à partir du WorkSpace. Pour de plus amples informations, veuillez consulter [Fournir un accès à Internet pour les WorkSpaces particuliers](amazon-workspaces-internet-access.md).

Pour plus d'informations sur la suppression d'un répertoire vide, consultez[Supprimer un répertoire pour WorkSpaces Personal](delete-workspaces-directory.md). Si vous supprimez votre répertoire Simple AD ou AD Connector, vous pouvez toujours en créer un nouveau lorsque vous souhaitez recommencer à l'utiliser WorkSpaces .

**Topics**
+ [Avant de créer un répertoire](#prereqs-tutorials)
+ [Identifiez le nom de l'ordinateur pour votre répertoire WorkSpaces personnel](wsp-directory-identify-computer.md)
+ [Création d'un répertoire Microsoft AD AWS géré pour WorkSpaces Personal](launch-workspace-microsoft-ad.md)
+ [Création d'un annuaire Simple AD pour WorkSpaces Personal](launch-workspace-simple-ad.md)
+ [Création d'un AD Connector pour les WorkSpaces particuliers](launch-workspace-ad-connector.md)
+ [Créez une relation de confiance entre votre annuaire Microsoft AD AWS géré et votre domaine local pour Personal WorkSpaces](launch-workspace-trusted-domain.md)
+ [Créez un répertoire Microsoft Entra ID dédié avec WorkSpaces Personal](launch-entra-id.md)
+ [Créez un répertoire personnalisé dédié avec WorkSpaces Personal](launch-custom.md)

# Identifiez le nom de l'ordinateur pour votre répertoire WorkSpaces personnel
<a name="wsp-directory-identify-computer"></a>

La valeur **du nom de l'ordinateur** affichée pour un WorkSpace dans la WorkSpaces console Amazon varie en fonction du type d'ordinateur que WorkSpace vous avez lancé (Amazon Linux, Ubuntu ou Windows). Le nom d'ordinateur d'un WorkSpace peut être dans l'un des formats suivants : 
+ **Amazon Linux** : A- *xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux** : R- *xxxxxxxxxxxxx*
+ **Rocky Linux** : R- *xxxxxxxxxxxxx*
+ **Ubuntu** : U- *xxxxxxxxxxxxx*
+ **Windows** : IP-C *xxxxxx* ou WSAMZN- ou AMAZ- *xxxxxxx* EC2 *xxxxxxx*

Pour Windows WorkSpaces, le format du nom de l'ordinateur est déterminé par le type de bundle, et dans le cas d'un bundle WorkSpaces créé à partir de bundles publics ou à partir de bundles personnalisés basés sur des images publiques, par le moment où les images publiques ont été créées.

À compter du 22 juin 2020, les noms d'ordinateurs Windows WorkSpaces lancés à partir de bundles publics utilisent le *xxxxxxx* format WSAMZN- au lieu du format IP-C. *xxxxxx*

Pour les ensembles personnalisés basés sur une image publique, si l'image publique a été créée avant le 22 juin 2020, les noms des ordinateurs sont au format EC2 AMAZ-*xxxxxxx*. Si l'image publique a été créée le 22 juin 2020 ou après cette date, les noms des ordinateurs sont au format WSAMZN-*xxxxxxx*. 

Pour les bundles Bring Your Own License (BYOL), le *xxxxxxx* format DESKTOP *xxxxxxx* ou EC2 AMAZ- est utilisé par défaut pour les noms d'ordinateurs.

Si vous avez spécifié un format personnalisé pour les noms d'ordinateur dans vos offres groupées personnalisées ou BYOL, votre format personnalisé remplace ces valeurs par défaut. Pour définir un format personnalisé, consultez [Créez une WorkSpaces image personnalisée et un bundle pour WorkSpaces Personal](create-custom-bundle.md).

**Important**  
Après avoir créé WorkSpace un, vous pouvez modifier son nom d'ordinateur en toute sécurité. Par exemple, vous pouvez exécuter un PowerShell script avec la commande `Rename-Computer` sur votre ordinateur WorkSpace ou à distance. La valeur du nom d'ordinateur mise à jour sera ensuite affichée pour a WorkSpace dans la WorkSpaces console Amazon.

# Création d'un répertoire Microsoft AD AWS géré pour WorkSpaces Personal
<a name="launch-workspace-microsoft-ad"></a>

Dans ce didacticiel, nous créons un répertoire Microsoft AD AWS géré. Pour des didacticiels qui utilisent les autres options, consultez [Création d'un répertoire pour WorkSpaces Personal](launch-workspaces-tutorials.md).

Créez d'abord un répertoire Microsoft AD AWS géré. Directory Service crée deux serveurs d'annuaire, un dans chacun des sous-réseaux privés de votre VPC. Notez qu'aucun utilisateur ne se trouve initialement dans l'annuaire. Vous ajouterez un utilisateur à l'étape suivante lorsque vous lancerez le WorkSpace.

**Note**  
Les annuaires partagés ne sont actuellement pas pris en charge pour une utilisation avec Amazon WorkSpaces.
Si votre annuaire Microsoft AD AWS géré a été configuré pour une réplication multirégionale, seul le répertoire de la région principale peut être enregistré pour être utilisé auprès d'Amazon WorkSpaces. Les tentatives d'enregistrement du répertoire dans une région répliquée pour une utilisation avec Amazon WorkSpaces échoueront. La réplication multirégionale avec AWS Managed Microsoft AD n'est pas prise en charge pour une utilisation avec Amazon WorkSpaces dans les régions répliquées.

**Pour créer un annuaire Microsoft AD AWS géré**

1. Ouvrez la WorkSpaces console sur [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Dans le volet de navigation, choisissez **Directories (Annuaires)**.

1. Choisissez **Créer un annuaire**.

1. Sur la page **Créer un répertoire**, pour le **WorkSpaces type**, choisissez **Personnel**. Ensuite, pour la **gestion des WorkSpace appareils**, choisissez **AWS Directory Service**.

1. Choisissez **Create directory**, qui ouvre la page **Configurer un annuaire** sur le AWS Directory Service

1. Choisissez **AWS Managed Microsoft AD**, puis **Next**.

1. Configurez l'annuaire comme suit :

   1. Dans **Nom de l'organisation**, entrez un nom d'organisation unique pour votre annuaire (par exemple, my-demo-directory). Ce nom doit comporter au moins quatre caractères, uniquement des caractères alphanumériques et des tirets (-), et commencer ou se terminer par un caractère autre qu'un trait d'union.

   1. Pour **Directory DNS (DNS de l'annuaire)**, saisissez le nom complet de l'annuaire (par exemple, workspaces.demo.com).
**Important**  
Si vous devez mettre à jour votre serveur DNS après le lancement de votre WorkSpaces, suivez la procédure [Mettre à jour les serveurs DNS pour WorkSpaces Personal](update-dns-server.md) pour vous assurer que WorkSpaces vous êtes correctement mis à jour.

   1. Pour **NetBIOS name (Nom NetBIOS)**, saisissez le nom abrégé de l'annuaire (par exemple, workspaces).

   1. Pour **Admin password (Mot de passe administrateur)** et **Confirm password (Confirmer le mot de passe)**, saisissez le mot de passe du compte administrateur de l'annuaire. Pour plus d'informations sur les exigences relatives aux mots de passe, voir [Créer votre répertoire Microsoft AD AWS géré](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html) dans le *Guide d'AWS Directory Service administration*.

   1. (Facultatif) Dans le champ **Description**, saisissez une description pour la stratégie.

   1. Pour **VPC**, sélectionnez le VPC que vous avez créé.

   1. Pour **Sous-réseaux (subnets)**, sélectionnez les deux sous-réseaux privés (avec les blocs d'adresse CIDR `10.0.1.0/24` et `10.0.2.0/24`).

   1. Choisissez **Étape suivante**.

1. Choisissez **Créer un annuaire**.

1. Vous serez redirigé vers la page Créer un répertoire sur la WorkSpaces console. Le statut initial de l'annuaire est `Requested` et ensuite `Creating`. Une fois l'annuaire créé (cela peut prendre quelques minutes), son statut passe à `Active`.

Après avoir créé un répertoire Microsoft AD AWS géré, vous pouvez l'enregistrer auprès d'Amazon WorkSpaces. Pour de plus amples informations, veuillez consulter [Enregistrer un Directory Service répertoire existant avec WorkSpaces Personal](register-deregister-directory.md).

# Création d'un annuaire Simple AD pour WorkSpaces Personal
<a name="launch-workspace-simple-ad"></a>

Dans ce didacticiel, nous lançons un WorkSpace logiciel qui utilise Simple AD. Pour des didacticiels qui utilisent les autres options, consultez [Création d'un répertoire pour WorkSpaces Personal](launch-workspaces-tutorials.md).

**Note**  
Simple AD n'est pas disponible dans toutes les AWS régions. Vérifiez celles prises en charge et [sélectionnez une région](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region) pour l'annuaire Simple AD. Pour plus d'informations sur les régions prises en charge pour Simple AD, consultez [la section Disponibilité des régions pour AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html).
Simple AD est mis à votre disposition gratuitement pour une utilisation avec WorkSpaces. [S'il n' WorkSpaces est pas utilisé avec votre annuaire Simple AD pendant 30 jours consécutifs, cet annuaire sera automatiquement désenregistré pour être utilisé auprès d'Amazon WorkSpaces, et il vous sera facturé conformément aux conditions tarifaires. AWS Directory Service](https://aws.amazon.com/directoryservice/pricing/)
[Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) ne prend actuellement en charge que l' IPv4 adressage, ce qui signifie que lors de la création d'un annuaire, le VPC associé sera configuré avec un bloc IPv4 CIDR et ne prend pas en charge les réseaux. IPv6 

Lorsque vous créez un annuaire Simple AD. Directory Servicecrée deux serveurs d'annuaire, un dans chacun des sous-réseaux privés de votre VPC. Au départ, il n'y a aucun utilisateur dans le répertoire. Ajoutez un utilisateur après avoir créé le WorkSpace. Pour de plus amples informations, consultez [Créez un WorkSpace in WorkSpaces Personal](create-workspaces-personal.md).

**Pour créer un annuaire Simple AD**

1. Ouvrez la WorkSpaces console sur [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Dans le volet de navigation, choisissez **Directories (Annuaires)**.

1. Choisissez **Créer un annuaire**.

1. Sur la page **Créer un répertoire**, pour le **WorkSpaces type**, choisissez **Personnel**. Ensuite, pour la **gestion des WorkSpace appareils**, choisissez **AWSDirectory Service**.

1. Choisissez **Create directory**, qui ouvre la page **Configurer un annuaire** sur le AWS Directory Service

1. Choisissez **Simple AD**, puis **Next**.

1. Configurez l'annuaire comme suit :

   1. Dans **Nom de l'organisation**, entrez un nom d'organisation unique pour votre annuaire (par exemple, my-example-directory). Ce nom doit comporter au moins quatre caractères, uniquement des caractères alphanumériques et des tirets (-), et commencer ou se terminer par un caractère autre qu'un trait d'union.

   1. Pour **DNS du répertoire**, saisissez le nom complet de l'annuaire (par exemple, exemple.com).
**Important**  
Si vous devez mettre à jour votre serveur DNS après le lancement de votre WorkSpaces, suivez la procédure [Mettre à jour les serveurs DNS pour WorkSpaces Personal](update-dns-server.md) pour vous assurer que WorkSpaces vous êtes correctement mis à jour.

   1. Par **NetBIOS name (Nom NetBIOS)**, saisissez le nom abrégé de l'annuaire (par exemple, exemple).

   1. Pour **Admin password (Mot de passe administrateur)** et **Confirm password (Confirmer le mot de passe)**, saisissez le mot de passe du compte administrateur de l'annuaire. Pour plus d'informations sur les exigences liées au mot de passe, consultez [Création de votre annuaire Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html) dans le *Guide d'administration AWS Directory Service*.

   1. (Facultatif) Dans le champ **Description**, saisissez une description pour la stratégie.

   1. Pour **Taille du répertoire**, choisissez **Petite**.

   1. Pour **VPC**, sélectionnez le VPC que vous avez créé.

   1. Pour **Sous-réseaux (subnets)**, sélectionnez les deux sous-réseaux privés (avec les blocs d'adresse CIDR `10.0.1.0/24` et `10.0.2.0/24`).

   1. Choisissez **Suivant**.

1. Choisissez **Créer un annuaire**.

1. Vous serez redirigé vers la page Créer un répertoire sur la WorkSpaces console. Le statut initial de l'annuaire est `Requested` et ensuite `Creating`. Une fois l'annuaire créé (cela peut prendre quelques minutes), son statut passe à `Active`.

**Que se passe-t-il durant la création d'un annuaire ?**

WorkSpaces exécute les tâches suivantes en votre nom :
+ Crée un rôle IAM pour permettre au WorkSpaces service de créer des interfaces réseau élastiques et de répertorier vos WorkSpaces annuaires. Ce rôle est nommé `workspaces_DefaultRole`.
+ Configure un annuaire Simple AD dans le VPC qui est utilisé pour stocker les utilisateurs et WorkSpace les informations. L'annuaire possède un compte administrateur avec le nom d'utilisateur Administrateur et le mot de passe spécifié.
+ Crée deux groupes de sécurité, l'un pour les contrôleurs de répertoire et WorkSpaces l'autre pour le répertoire.

Après avoir créé un annuaire Simple AD, vous pouvez l'enregistrer auprès d'Amazon WorkSpaces. Pour de plus amples informations, veuillez consulter [Enregistrer un Directory Service répertoire existant avec WorkSpaces Personal](register-deregister-directory.md).

# Création d'un AD Connector pour les WorkSpaces particuliers
<a name="launch-workspace-ad-connector"></a>

Dans ce didacticiel, nous allons créer un AD Connector. Pour des didacticiels qui utilisent les autres options, consultez [Création d'un répertoire pour WorkSpaces Personal](launch-workspaces-tutorials.md).

## Création d'un AD Connector
<a name="create-ad-connector"></a>

**Note**  
AD Connector est mis à votre disposition gratuitement pour une utilisation avec WorkSpaces. [S'il n' WorkSpaces est pas utilisé avec votre annuaire AD Connector pendant 30 jours consécutifs, cet annuaire sera automatiquement désenregistré pour être utilisé par Amazon WorkSpaces, et il vous sera facturé conformément aux conditions tarifaires.AWS Directory Service](https://aws.amazon.com/directoryservice/pricing/)  
Pour supprimer des annuaires vides, consultez [Supprimer un répertoire pour WorkSpaces Personal](delete-workspaces-directory.md). Si vous supprimez votre répertoire AD Connector, vous pouvez toujours en créer un nouveau lorsque vous souhaitez recommencer à l'utiliser WorkSpaces .

**Pour créer un connecteur AD**

1. Ouvrez la WorkSpaces console sur [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Dans le volet de navigation, choisissez **Directories (Annuaires)**.

1. Choisissez **Créer un annuaire**.

1. Sur la page **Créer un répertoire**, pour le **WorkSpaces type**, choisissez **Personnel**. Ensuite, pour la **gestion des WorkSpace appareils**, choisissez **AWS Directory Service**.

1. Choisissez **Create directory**, qui ouvre la page **Configurer un annuaire** sur le AWS Directory Service

1. Choisissez **AWS Managed Microsoft AD**, puis **Next**.

1. Dans **Nom de l'organisation**, entrez un nom d'organisation unique pour votre annuaire (par exemple, my-example-directory). Ce nom doit comporter au moins quatre caractères, uniquement des caractères alphanumériques et des tirets (-), et commencer ou se terminer par un caractère autre qu'un trait d'union.

1. Pour **Connected directory DNS (DNS de l'annuaire connecté)**, saisissez le nom complet de votre annuaire sur site (par exemple, exemple.com).

1. Pour **Connected directory NetBIOS name (Nom NetBIOS de l'annuaire connecté)**, saisissez le nom abrégé de votre annuaire sur site (par exemple, exemple).

1. Pour **Connector account username (Nom d'utilisateur du compte de connecteur)**, saisissez le nom d'utilisateur d'un utilisateur de votre annuaire sur site. L'utilisateur doit disposer des autorisations pour lire des utilisateurs et des groupes, créer des objets informatiques et lier des ordinateurs au domaine.

1. Pour **Mot de passe du compte du connecteur** et **Confirmer le mot de passe**, saisissez le mot de passe du compte d'utilisateur sur site.

1. Pour **DNS adress (Adresse DNS)**, saisissez l'adresse IP d'au moins un serveur DNS de votre annuaire sur site.
**Important**  
Si vous devez mettre à jour l'adresse IP de votre serveur DNS après avoir lancé votre WorkSpaces, suivez la procédure [Mettre à jour les serveurs DNS pour WorkSpaces Personal](update-dns-server.md) pour vous assurer que WorkSpaces vous êtes correctement mis à jour.

1. (Facultatif) Dans le champ **Description**, saisissez une description pour la stratégie.

1. Conservez la **Taille** sur **Petit**.

1. Pour **VPC**, sélectionnez votre VPC.

1. Pour **Sous-réseaux (subnets)**, sélectionnez vos sous-réseaux. Les serveurs DNS spécifiés doivent être accessibles à partir de chaque sous-réseau.

1. Choisissez **Créer un annuaire**.

1. Vous serez redirigé vers la page Créer un répertoire sur la WorkSpaces console. Le statut initial de l'annuaire est `Requested` et ensuite `Creating`. Une fois l'annuaire créé (cela peut prendre quelques minutes), son statut passe à `Active`.

# Créez une relation de confiance entre votre annuaire Microsoft AD AWS géré et votre domaine local pour Personal WorkSpaces
<a name="launch-workspace-trusted-domain"></a>

Dans ce didacticiel, nous créons une relation de confiance entre votre annuaire Microsoft AD AWS géré et votre domaine local. Pour des didacticiels qui utilisent les autres options, consultez [Création d'un répertoire pour WorkSpaces Personal](launch-workspaces-tutorials.md).

**Note**  
Le lancement WorkSpaces Comptes AWS dans un domaine sécurisé distinct fonctionne avec AWS Managed Microsoft AD lorsqu'il est configuré avec une relation d'approbation avec votre annuaire local. Cependant, WorkSpaces l'utilisation de Simple AD ou d'AD Connector ne peut pas être lancée WorkSpaces pour les utilisateurs d'un domaine approuvé.

**Pour configurer la relation d'approbation**

1. Configurez AWS Managed Microsoft AD dans votre cloud privé virtuel (VPC). Pour plus d'informations, voir [Créer votre répertoire Microsoft AD AWS géré](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html) dans le *Guide AWS Directory Service d'administration*.
**Note**  
Les annuaires partagés ne sont actuellement pas pris en charge pour une utilisation avec Amazon WorkSpaces.
Si votre annuaire Microsoft AD AWS géré a été configuré pour une réplication multirégionale, seul le répertoire de la région principale peut être enregistré pour être utilisé auprès d'Amazon WorkSpaces. Les tentatives d'enregistrement du répertoire dans une région répliquée pour une utilisation avec Amazon WorkSpaces échoueront. La réplication multirégionale avec AWS Managed Microsoft AD n'est pas prise en charge pour une utilisation avec Amazon WorkSpaces dans les régions répliquées.

1. Créez une relation de confiance entre votre AWS Managed Microsoft AD et votre domaine local. Prenez soin de configurer la relation d'approbation en tant que relation d'approbation bidirectionnelle. Pour plus d'informations, voir [Tutoriel : Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre domaine local](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html) dans le *Guide d'AWS Directory Service administration*.

Une confiance unidirectionnelle ou bidirectionnelle peut être utilisée pour gérer et authentifier des utilisateurs et des groupes sur site WorkSpaces, et pour qu'elle WorkSpaces puisse être mise à disposition des utilisateurs et des groupes sur site. Pour plus d'informations, consultez [Déployer Amazon WorkSpaces à l'aide d'un domaine de ressources de confiance unidirectionnel avec AWS Directory Service](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/).

**Note**  
Red Hat Enterprise Linux, Rocky Linux et Ubuntu WorkSpaces utilisent le System Security Services Daemon (SSSD) pour l'intégration d'Active Directory, et SSSD ne prend pas en charge la confiance dans les forêts. Configurez plutôt une relation d'approbation externe. La confiance bidirectionnelle est recommandée pour Amazon Linux, Ubuntu, Rocky Linux et Red Hat Enterprise Linux. WorkSpaces
Vous ne pouvez pas utiliser de navigateur Web (Web Access) pour vous connecter à Linux WorkSpaces.

# Créez un répertoire Microsoft Entra ID dédié avec WorkSpaces Personal
<a name="launch-entra-id"></a>

Dans ce didacticiel, nous créons des licences personnelles Bring Your Own License (BYOL) pour Windows 10 et 11 WorkSpaces auxquelles un identifiant Microsoft Entra est joint et inscrit à Microsoft Intune. Avant de créer un tel répertoire WorkSpaces, vous devez d'abord créer un répertoire WorkSpaces personnel dédié pour Entra ID-joined WorkSpaces.

**Note**  
Microsoft Entra join personal WorkSpaces est disponible dans toutes les AWS régions où Amazon WorkSpaces est proposé, à l'exception de l'Afrique (Le Cap), d'Israël (Tel Aviv) et de la Chine (Ningxia).

**Contents**
+ [Présentation de](#entra-overview)
+ [Exigences et limitations](#entra-requirements-limitation)
+ [Étape 1 : activer IAM Identity Center et synchroniser avec Microsoft Entra ID](#entra-step-1)
+ [Étape 2 : enregistrer une application Microsoft Entra ID pour accorder des autorisations pour Windows Autopilot](#entra-step-2)
+ [Étape 3 : configurer le mode piloté par l'utilisateur de Windows Autopilot](#entra-step-3)
+ [Étape 4 : Création d'un AWS Secrets Manager secret](#entra-step-4)
+ [Étape 5 : Création d'un WorkSpaces répertoire d'identifiants Microsoft Entra dédié](#entra-step-5)
+ [Configuration de l'application IAM Identity Center pour un WorkSpaces annuaire (facultatif)](#configure-iam-directory)
+ [Création d'une intégration entre régions du centre d'identité IAM (facultatif)](#create-cross-region-iam-identity-integration)

## Présentation de
<a name="entra-overview"></a>

Un WorkSpaces répertoire personnel Microsoft Entra ID contient toutes les informations nécessaires au lancement de Microsoft Entra ID joint WorkSpaces qui sont attribuées à vos utilisateurs gérés avec un identifiant Microsoft Entra. Les informations sur les utilisateurs sont mises à disposition WorkSpaces via AWS IAM Identity Center, qui agit en tant que courtier d'identité pour transférer l'identité de votre personnel d'Entra ID à AWS. Le mode piloté par l'utilisateur de Microsoft Windows Autopilot est utilisé pour effectuer l'inscription dans WorkSpaces Intune et l'adhésion à Entra. Le schéma suivant illustre le processus du pilote automatique.

![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/fr_fr/workspaces/latest/adminguide/images/autopilot.jpg)


## Exigences et limitations
<a name="entra-requirements-limitation"></a>
+ Forfait Microsoft Entra ID P1 ou supérieur.
+ Microsoft Entra ID et Intune sont activés et comportent des attributions de rôles.
+ Administrateur Intune - Nécessaire pour gérer les profils de déploiement du pilote automatique.
+ Administrateur global : obligatoire pour accorder le consentement de l'administrateur aux autorisations d'API attribuées à l'application créée à l'[étape 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3). L'application peut être créée sans cette autorisation. Cependant, un administrateur global devra fournir le consentement de l'administrateur sur les autorisations de l'application.
+ Attribuez des licences d'abonnement utilisateur Windows 10/11 VDA E3 ou E5 à vos utilisateurs. WorkSpaces 
+ Les répertoires Entra ID ne prennent en charge que Windows 10 ou 11 Bring Your Own License personal WorkSpaces. Les versions prises en charge sont les suivantes.
  + Windows 10 version 21H2 (mise à jour de décembre 2021)
  + Windows 10 version 22H2 (mise à jour de novembre 2022)
  + Windows 11 Entreprise 23H2 (version d'octobre 2023)
  + Windows 11 Enterprise 22H2 (version d'octobre 2022)
  + Windows 11 Enterprise 24H2 (version d'octobre 2024)
  + Windows 11 Enterprise 25H2 (version de septembre 2025)
+ La licence BYOL (Bring Your Own License) est activée pour votre AWS compte et vous avez importé une image BYOL Windows 10 ou 11 valide dans votre compte. Pour de plus amples informations, veuillez consulter [Apportez vos propres licences de bureau Windows WorkSpaces](byol-windows-images.md).
+ Les répertoires Microsoft Entra ID ne prennent en charge que Windows 10 ou 11 BYOL personal WorkSpaces.
+ Les annuaires Microsoft Entra ID ne prennent en charge que le protocole DCV.
+ Si vous utilisez un pare-feu pour votre WorkSpaces, assurez-vous qu'il ne bloque pas le trafic sortant vers les points de terminaison pour Microsoft Intune et Windows Autopilot. Consultez les exigences relatives aux [points de terminaison réseau pour Microsoft Intune - Microsoft Intune](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america) et [Windows Autopilot](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking) pour plus de détails.
+ Les annuaires Microsoft Entra ID ne prennent pas en charge les clients Microsoft Entra ID dans les environnements Government Community Cloud High (GCCH) et Department of Defense (DoD).

## Étape 1 : activer IAM Identity Center et synchroniser avec Microsoft Entra ID
<a name="entra-step-1"></a>

Pour créer des informations personnelles associées à un identifiant Microsoft Entra WorkSpaces et les attribuer aux utilisateurs de votre identifiant Entra, vous devez mettre les informations utilisateur à disposition AWS via IAM Identity Center. IAM Identity Center est le AWS service recommandé pour gérer l'accès des utilisateurs aux AWS ressources. Pour plus d'informations, consultez [Qu'est-ce qu'IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) . Il s'agit d'une configuration unique.

Si vous ne disposez pas d'une instance IAM Identity Center existante à intégrer à votre WorkSpaces, nous vous recommandons d'en créer une dans la même région que la vôtre WorkSpaces. Si vous avez une instance AWS Identity Center existante dans une autre région, vous pouvez configurer l'intégration entre régions. Pour plus d'informations sur la configuration interrégionale, consultez[Création d'une intégration entre régions du centre d'identité IAM (facultatif)](#create-cross-region-iam-identity-integration). 

**Note**  
L'intégration entre régions entre WorkSpaces et IAM Identity Center n'est pas prise en charge dans. AWS GovCloud (US) Region

1. Activez IAM Identity Center avec vos AWS Organizations, en particulier si vous utilisez un environnement multi-comptes. Vous pouvez également créer une instance de compte d'IAM Identity Center. Pour en savoir plus, consultez la section [Activation d' AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html). Chaque WorkSpaces répertoire peut être associé à une instance, une organisation ou un compte IAM Identity Center. 

   Si vous utilisez une instance d'organisation et que vous essayez de créer un WorkSpaces répertoire dans l'un des comptes membres, assurez-vous de disposer des autorisations IAM Identity Center suivantes.
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   Pour plus d'informations, consultez [Présentation de la gestion des autorisations d'accès aux ressources de votre IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html). Assurez-vous également qu'aucune politique de contrôle des services (SCPs) ne bloque ces autorisations. Pour en savoir plus SCPs, consultez la section [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).

1. Configurez IAM Identity Center et Microsoft Entra ID pour synchroniser automatiquement les utilisateurs sélectionnés ou tous les utilisateurs de votre tenant Entra ID avec votre instance IAM Identity Center. Pour plus d'informations, voir [Configurer SAML et SCIM avec Microsoft Entra ID et IAM Identity Center et Tutoriel : Configurer AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html) [pour](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial) le provisionnement automatique des utilisateurs.

1. Vérifiez que les utilisateurs que vous avez configurés sur Microsoft Entra ID sont correctement synchronisés avec l'instance AWS IAM Identity Center. Si un message d'erreur s'affiche dans Microsoft Entra ID, cela indique que l'utilisateur indiqué dans Entra ID est configuré d'une manière non prise en charge par IAM Identity Center. Le message d'erreur permettra d'identifier ce problème. Par exemple, si l'objet utilisateur dans Entra ID ne contient pas de prénom, de nom de famille, and/or de nom d'affichage, vous recevrez un message d'erreur similaire à`"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"`. Pour plus d'informations, voir [Échec de la synchronisation d'utilisateurs spécifiques avec IAM Identity Center à partir d'un fournisseur SCIM externe](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2).

**Note**  
WorkSpaces utilise l'attribut Entra ID UserPrincipalName (UPN) pour identifier les utilisateurs individuels et ses limites sont les suivantes :  
UPNs ne peut pas dépasser 63 caractères.
Si vous modifiez l'UPN après en avoir attribué un WorkSpace à un utilisateur, celui-ci ne pourra pas se connecter à son UPN, WorkSpace sauf si vous redéfinissez l'UPN par rapport à ce qu'il était auparavant.

## Étape 2 : enregistrer une application Microsoft Entra ID pour accorder des autorisations pour Windows Autopilot
<a name="entra-step-2"></a>

WorkSpaces Personal utilise le mode piloté par les utilisateurs de Microsoft Windows Autopilot pour s'inscrire WorkSpaces à Microsoft Intune et les associer à l'identifiant Microsoft Entra.

Pour autoriser Amazon WorkSpaces à enregistrer WorkSpaces Personal dans Autopilot, vous devez enregistrer une application Microsoft Entra ID qui accorde les autorisations nécessaires à l'API Microsoft Graph. Pour plus d'informations sur l'enregistrement d'une application Entra ID, voir [Démarrage rapide : enregistrement d'une application auprès de la plateforme d'identité Microsoft](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate).

Nous vous recommandons de fournir les autorisations d'API suivantes dans votre application Entra ID.
+ Pour créer un nouveau profil WorkSpace qui doit être joint à Entra ID, l'autorisation API suivante est requise.
  + `DeviceManagementServiceConfig.ReadWrite.All`
+ Lorsque vous résiliez un compte personnel WorkSpace ou que vous le reconstruisez, les autorisations suivantes sont utilisées. 
**Note**  
Si vous ne fournissez pas ces autorisations, elles WorkSpace seront résiliées mais elles ne seront pas supprimées pour vos locataires Intune et Entra ID et vous devrez les supprimer séparément.
  + `DeviceManagementServiceConfig.ReadWrite.All`
  + `Device.ReadWrite.All`
  + `DeviceManagementManagedDevices.ReadWrite.All`
+ Ces autorisations nécessitent le consentement de l'administrateur. Pour plus d'informations, voir [Accorder le consentement de l'administrateur à l'ensemble du locataire pour une application](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal).

Ensuite, vous devez ajouter un secret client pour l'application Entra ID. Pour plus d'informations, consultez la section [Ajouter des informations d'identification](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials). Assurez-vous de vous souvenir de la chaîne secrète du client, car vous en aurez besoin lors de la création du AWS Secrets Manager secret à l'étape 4.

## Étape 3 : configurer le mode piloté par l'utilisateur de Windows Autopilot
<a name="entra-step-3"></a>

Assurez-vous de connaître le [didacticiel étape par étape pour la jointure Microsoft Entra dans Intune pilotée par les utilisateurs de Windows Autopilot](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow).

**Pour configurer votre Microsoft Intune pour le pilote automatique**

1. Connectez-vous au centre d'administration Microsoft Intune

1. Créez un nouveau groupe d'appareils de pilote automatique pour le personnel. WorkSpaces Pour plus d'informations, voir [Création de groupes d'appareils pour Windows Autopilot](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot).

   1. Choisissez **Groupes**, **Nouveau groupe**

   1. Pour **Type de groupe**, choisissez **Sécurité**.

   1. Pour le **type d'adhésion**, choisissez **Dynamic Device**.

   1. Choisissez **Modifier la requête dynamique** pour créer une règle d'adhésion dynamique. La règle doit être au format suivant :

      ```
      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      ```
**Important**  
`WorkSpacesDirectoryName`doit correspondre au nom du répertoire WorkSpaces personnel Entra ID que vous avez créé à l'étape 5. Cela est dû au fait que la chaîne de nom du répertoire est utilisée comme balise de groupe lors de l' WorkSpaces enregistrement des bureaux virtuels dans Autopilot. En outre, le tag de groupe correspond à l'`OrderID`attribut sur les appareils Microsoft Entra. 

1. Choisissez **Appareils**, **Windows**, **Inscription**. Pour les **options d'inscription**, choisissez **Inscription automatique**. Pour l'**étendue de l'utilisateur MDM**, sélectionnez **Tout**.

1. Créez un profil de déploiement du pilote automatique. Pour plus d'informations, consultez la section [Création d'un profil de déploiement du pilote automatique](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile).

   1. Pour **Windows Autopilot**, choisissez **Profils de déploiement**, puis **Créer un** profil.

   1. Dans l'écran des **profils de déploiement de Windows Autopilot**, sélectionnez le menu déroulant **Créer un profil**, puis sélectionnez **Windows** PC.

   1. Dans l'écran **Créer un profil**, sur la page **Sur l' Out-of-boxexpérience (OOBE)**. Pour le **mode de déploiement**, sélectionnez Dirigé **par l'utilisateur.** Pour **Joindre à Microsoft Entra ID**, sélectionnez **Microsoft Entra joint**. Vous pouvez personnaliser les noms d'ordinateur pour votre compte personnel associé à Entra ID en WorkSpaces sélectionnant **Oui** pour le **modèle Appliquer le nom de l'appareil**, afin de créer un modèle à utiliser lors de l'inscription d'un appareil.

   1. Sur la page **Attributions**, pour **Attribuer à**, choisissez **Groupes sélectionnés**. Choisissez **Sélectionner les groupes à inclure**, puis sélectionnez le groupe d'appareils de pilote automatique que vous venez de créer dans 2.

## Étape 4 : Création d'un AWS Secrets Manager secret
<a name="entra-step-4"></a>

Vous devez créer un secret AWS Secrets Manager pour stocker en toute sécurité les informations, y compris l'ID de l'application et le secret du client, pour l'application Entra ID dans laquelle vous avez créée[Étape 2 : enregistrer une application Microsoft Entra ID pour accorder des autorisations pour Windows Autopilot](#entra-step-2). Il s'agit d'une configuration unique. 

**Pour créer un AWS Secrets Manager secret**

1. Créez une clé gérée par le client sur [AWS Key Management Service](https://aws.amazon.com/kms/). La clé sera ensuite utilisée pour chiffrer le AWS Secrets Manager secret. N'utilisez pas la clé par défaut pour chiffrer votre secret, car le WorkSpaces service ne peut pas accéder à la clé par défaut. Suivez les étapes ci-dessous pour créer la clé.

   1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

   1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

   1. Choisissez **Create key**.

   1. Sur la page **Configurer la clé**, pour **Type de clé**, sélectionnez **Symétrique**. Pour **Utilisation des clés**, choisissez **Chiffrer et déchiffrer**.

   1. Sur la page de **révision**, dans l'éditeur de politique clé, assurez-vous d'autoriser l'`workspaces.amazonaws.com`accès principal du WorkSpaces service à la clé en incluant les autorisations suivantes dans la politique clé.

      ```
      {
          "Effect": "Allow",
          "Principal": {
              "Service": [
                  "workspaces.amazonaws.com"
              ]
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey"
          ],
          "Resource": "*"
       }
      ```

1. Créez le secret en AWS Secrets Manager utilisant la AWS KMS clé créée à l'étape précédente.

   1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

   1. Choisissez **Store a new secret** (Stocker un nouveau secret).

   1. Sur la page **Choisir un type de secret**, pour **Type de secret**, sélectionnez **Autre type de secret**.

   1. Pour les **paires clé/valeur**, dans le champ clé, entrez « application\$1id » dans le champ clé, puis copiez l'identifiant de l'application Entra ID de l'[étape 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) et collez-le dans le champ valeur.

   1. Choisissez **Ajouter une ligne**, dans la case clé, entrez « application\$1password », puis copiez le secret du client de l'application Entra ID de l'[étape 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) et collez-le dans le champ de valeur.

   1. Choisissez la AWS KMS clé que vous avez créée à l'étape précédente dans la liste déroulante **Clé de chiffrement**.

   1. Choisissez **Suivant**.

   1. Sur la page **Configurer le secret**, entrez un **nom et une **description du** secret**.

   1. Dans la section **Autorisations relatives aux ressources**, choisissez **Modifier les autorisations**.

   1. Assurez-vous d'autoriser l'`workspaces.amazonaws.com`accès principal du WorkSpaces service au secret en incluant le respect de la politique en matière de ressources dans les autorisations relatives aux ressources.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement" : [ {
          "Effect" : "Allow",
          "Principal" : {
            "Service" : [ "workspaces.amazonaws.com"]
          },
          "Action" : "secretsmanager:GetSecretValue",
          "Resource" : "*"
        } ]
      }
      ```

------

## Étape 5 : Création d'un WorkSpaces répertoire d'identifiants Microsoft Entra dédié
<a name="entra-step-5"></a>

Créez un WorkSpaces répertoire dédié qui stocke les informations relatives aux utilisateurs associés à votre identifiant Microsoft Entra WorkSpaces et à votre identifiant Entra.

**Pour créer un WorkSpaces répertoire Entra ID**

1. Ouvrez la WorkSpaces console sur [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Dans le volet de navigation, choisissez **Directories (Annuaires)**.

1. Sur la page **Créer un répertoire**, pour le **WorkSpaces type**, choisissez **Personnel**. Pour la **gestion des WorkSpace appareils**, choisissez **Microsoft Entra ID**.

1. Pour **l'ID de locataire** Microsoft Entra, entrez l'ID de locataire Microsoft Entra auquel vous WorkSpaces souhaitez associer votre annuaire. Vous ne pourrez pas modifier l'ID du locataire une fois le répertoire créé. 

1. Pour **l'identifiant et le mot de passe de l'application** Entra ID, sélectionnez le AWS Secrets Manager secret que vous avez créé à l'[étape 4](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4) dans la liste déroulante. Vous ne pourrez pas modifier le secret associé au répertoire une fois celui-ci créé. Cependant, vous pouvez toujours mettre à jour le contenu du secret, y compris l'identifiant de l'application Entra ID et son mot de passe via la AWS Secrets Manager console à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Si votre instance IAM Identity Center se trouve dans la même AWS région que votre WorkSpaces annuaire, dans **Source d'identité utilisateur**, sélectionnez l'instance IAM Identity Center que vous avez configurée à l'[étape 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) dans la liste déroulante. Vous ne pourrez pas modifier l'instance IAM Identity Center associée à l'annuaire une fois celui-ci créé.

   Si votre instance IAM Identity Center se trouve dans une AWS région différente de celle de votre WorkSpaces annuaire, choisissez **Activer l'interrégion**, puis sélectionnez la région dans la liste déroulante.
**Note**  
Si vous possédez une instance IAM Identity Center existante dans une autre région, vous devez vous inscrire pour configurer une intégration entre régions. Pour plus d'informations sur la configuration interrégionale, consultez[Création d'une intégration entre régions du centre d'identité IAM (facultatif)](#create-cross-region-iam-identity-integration). 

1. Dans **Nom du répertoire**, entrez un nom unique pour le répertoire (par exemple,`WorkSpacesDirectoryName`).
**Important**  
[Le nom du répertoire doit correspondre à celui `OrderID` utilisé pour créer la requête dynamique pour le groupe de périphériques Autopilot que vous avez créé avec Microsoft Intune à l'étape 3.](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) La chaîne du nom du répertoire est utilisée comme balise de groupe lors de l'enregistrement personnel WorkSpaces dans Windows Autopilot. La balise de groupe correspond à l'`OrderID`attribut sur les appareils Microsoft Entra.

1. (Facultatif) Dans le champ **Description**, saisissez une description pour la stratégie.

1. Pour le **VPC**, sélectionnez le VPC que vous avez utilisé pour lancer votre. WorkSpaces Pour de plus amples informations, veuillez consulter [Configuration d'un VPC pour le personnel WorkSpaces](amazon-workspaces-vpc.md).

1. Pour les **sous-réseaux**, sélectionnez deux sous-réseaux de votre VPC qui ne proviennent pas de la même zone de disponibilité. Ces sous-réseaux seront utilisés pour lancer votre compte personnel WorkSpaces. Pour de plus amples informations, veuillez consulter [Zones de disponibilité pour le WorkSpaces personnel](azs-workspaces.md).
**Important**  
Assurez-vous que les entités WorkSpaces lancées dans les sous-réseaux disposent d'un accès Internet, ce qui est nécessaire lorsque les utilisateurs se connectent aux ordinateurs de bureau Windows. Pour de plus amples informations, veuillez consulter [Fournir un accès à Internet pour les WorkSpaces particuliers](amazon-workspaces-internet-access.md).

1. Pour **Configuration**, sélectionnez **Activer le mode dédié WorkSpace**. Vous devez l'activer pour créer un répertoire WorkSpaces personnel dédié afin de lancer Bring Your Own License (BYOL) Windows 10 ou 11 personal WorkSpaces. 
**Note**  
Si vous ne voyez pas l' WorkSpaceoption **Activer le service dédié** sous **Configuration**, cela signifie que votre compte n'a pas été activé pour BYOL. Pour activer le BYOL pour votre compte, consultez[Apportez vos propres licences de bureau Windows WorkSpaces](byol-windows-images.md).

1. (Facultatif) Pour les **balises**, spécifiez la valeur de paire de clés que vous souhaitez utiliser pour les informations personnelles WorkSpaces dans le répertoire.

1. Consultez le résumé du répertoire et choisissez **Create directory**. La connexion de votre annuaire prend plusieurs minutes. Le statut initial de l'annuaire est `Creating`. Lorsque la création de l'annuaire est terminée, le statut est `Active`. 

Une application IAM Identity Center est également créée automatiquement en votre nom une fois le répertoire créé. Pour trouver l'ARN de l'application, rendez-vous sur la page de résumé du répertoire.

Vous pouvez désormais utiliser le répertoire pour lancer Windows 10 ou 11 Personal WorkSpaces inscrit à Microsoft Intune et associé à Microsoft Entra ID. Pour de plus amples informations, veuillez consulter [Créez un WorkSpace in WorkSpaces Personal](create-workspaces-personal.md). 

Après avoir créé un répertoire WorkSpaces personnel, vous pouvez en créer un WorkSpace. Pour de plus amples informations, consultez [Créez un WorkSpace in WorkSpaces Personal](create-workspaces-personal.md).

## Configuration de l'application IAM Identity Center pour un WorkSpaces annuaire (facultatif)
<a name="configure-iam-directory"></a>

Une application IAM Identity Center correspondante est automatiquement créée une fois qu'un répertoire est créé. Vous trouverez l'ARN de l'application dans la section Résumé de la page détaillée du répertoire. Par défaut, tous les utilisateurs de l'instance Identity Center peuvent accéder à ce qui leur est attribué WorkSpaces sans configurer l'application Identity Center correspondante. Toutefois, vous pouvez gérer l'accès des utilisateurs à un annuaire WorkSpaces en configurant l'attribution des utilisateurs pour l'application IAM Identity Center.

**Pour configurer l'attribution d'utilisateur pour l'application IAM Identity Center**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans l'onglet **Applications AWS gérées**, choisissez l'application pour le WorkSpaces répertoire. Les noms des applications sont au format suivant :`WorkSpaces.wsd-xxxxx`, où se `wsd-xxxxx` trouve l'ID du WorkSpaces répertoire.

1. Choisissez **Actions**, puis **Modifier les détails**.

1. Modifiez la **méthode d'attribution des utilisateurs et des groupes** de **Ne pas exiger d'assignations** à **Exiger des affectations**.

1. Sélectionnez **Enregistrer les modifications**.

Une fois cette modification effectuée, les utilisateurs de l'instance Identity Center perdront l'accès qui leur est attribué, WorkSpaces sauf s'ils sont affectés à l'application. Pour affecter vos utilisateurs à l'application, utilisez la AWS CLI commande `create-application-assignment` pour attribuer des utilisateurs ou des groupes à une application. Pour plus d’informations, consultez la référence de la commande [AWS CLI](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html).

## Création d'une intégration entre régions du centre d'identité IAM (facultatif)
<a name="create-cross-region-iam-identity-integration"></a>

Nous recommandons que votre instance IAM Identity Center WorkSpaces et l'instance associée se trouvent dans la même AWS région. Toutefois, si vous avez déjà configuré une instance IAM Identity Center dans une région différente de la vôtre WorkSpaces , vous pouvez créer une intégration entre régions. Lorsque vous créez une intégration entre régions WorkSpaces et IAM Identity Center, vous permettez de passer des appels interrégionaux WorkSpaces pour accéder aux informations de votre instance IAM Identity Center et les stocker, telles que les attributs d'utilisateur et de groupe.

**Important**  
Amazon WorkSpaces prend en charge le centre d'identité IAM interrégional et les WorkSpaces intégrations uniquement pour les instances au niveau de l'organisation. WorkSpaces ne prend pas en charge les intégrations interrégionales de l'IAM Identity Center pour les instances au niveau du compte. Pour plus d'informations sur les types d'instances IAM Identity Center et leurs cas d'utilisation, voir [Comprendre les types d'instances IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types).

Si vous créez une intégration interrégionale entre un WorkSpaces annuaire et une instance IAM Identity Center, vous risquez de rencontrer une latence plus élevée lors du déploiement WorkSpaces et lors de la connexion en raison des appels interrégionaux. L'augmentation de la latence est proportionnelle à la distance entre votre WorkSpaces région et la région du centre d'identité IAM. Nous vous recommandons d'effectuer des tests de latence pour votre cas d'utilisation spécifique.

 Vous pouvez activer les connexions entre régions IAM Identity Center au cours de [l'étape 5 : créer un répertoire Microsoft Entra ID WorkSpaces dédié](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5). Pour **Source d'identité utilisateur**, choisissez l'instance IAM Identity Center que vous avez configurée dans le [Étape 1 : activer IAM Identity Center et synchroniser avec Microsoft Entra ID](#entra-step-1) menu déroulant. 

**Important**  
Vous ne pouvez pas modifier l'instance IAM Identity Center associée à l'annuaire après l'avoir créé.

# Créez un répertoire personnalisé dédié avec WorkSpaces Personal
<a name="launch-custom"></a>

Avant de créer Windows 10 et 11 BYOL personal WorkSpaces et de les attribuer à vos utilisateurs, gérés par les fournisseurs d'identité AWS IAM Identity Center (IdPs), vous devez créer un répertoire personnalisé WorkSpaces dédié. WorkSpaces Les utilisateurs personnels ne sont associés à aucun Microsoft Active Directory mais peuvent être gérés à l'aide d'une solution de gestion des appareils mobiles (MDM) de votre choix, telle que JumpCloud. Pour plus d'informations JumpCloud, consultez [cet article](https://jumpcloud.com/support/integrate-with-aws-workspaces). Pour des didacticiels qui utilisent les autres options, consultez [Création d'un répertoire pour WorkSpaces Personal](launch-workspaces-tutorials.md).

**Note**  
Amazon ne WorkSpaces peut pas créer ni gérer de comptes utilisateur sur Personal WorkSpaces lancé dans un annuaire personnalisé. En tant qu'administrateur, vous devrez les gérer.
Le WorkSpaces répertoire personnalisé est disponible dans toutes les AWS régions où Amazon WorkSpaces est proposé, à l'exception de l'Afrique (Le Cap), d'Israël (Tel Aviv) et de la Chine (Ningxia).
Amazon ne WorkSpaces peut pas créer ni gérer de comptes utilisateur à l' WorkSpaces aide d'annuaires personnalisés. Pour vous assurer que le logiciel d'agent MDM que vous utilisez peut créer le profil utilisateur sous Windows WorkSpaces, contactez les fournisseurs de solutions MDM. La création du profil utilisateur permet à vos utilisateurs de se connecter au bureau Windows à partir de l'écran de connexion Windows.

**Contents**
+ [Exigences et limitations](#custom-requirements-limitations)
+ [Étape 1 : Activez IAM Identity Center et connectez-vous à votre fournisseur d'identité](#custom-step-1)
+ [Étape 2 : Création d'un WorkSpaces répertoire personnalisé dédié](#custom-step-2)

## Exigences et limitations
<a name="custom-requirements-limitations"></a>
+ Les WorkSpaces répertoires personnalisés ne prennent en charge que Windows 10 ou 11 Bring Your Own License personal WorkSpaces.
+ Les WorkSpaces annuaires personnalisés ne prennent en charge que le protocole DCV.
+ Assurez-vous d'activer BYOL pour votre AWS compte et de disposer de votre propre AWS KMS serveur auquel votre personnel WorkSpaces peut accéder pour l'activation de Windows 10 et 11. Pour en savoir plus, consultez [Apportez vos propres licences de bureau Windows WorkSpaces](byol-windows-images.md).
+ Assurez-vous de préinstaller le logiciel de l'agent MDM sur l'image BYOL que vous avez importée dans votre compte. AWS

## Étape 1 : Activez IAM Identity Center et connectez-vous à votre fournisseur d'identité
<a name="custom-step-1"></a>

Pour les attribuer WorkSpaces à vos utilisateurs gérés par vos fournisseurs d'identité, les informations utilisateur doivent être mises à disposition AWS via AWS IAM Identity Center. Nous vous recommandons d'utiliser IAM Identity Center pour gérer l'accès de vos utilisateurs aux AWS ressources. Pour plus d’informations, consultez [En quoi consiste IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Il s'agit d'une configuration unique.

**Pour mettre les informations utilisateur à la disposition de AWS**

1. Activez IAM Identity Center sur. AWS Vous pouvez activer IAM Identity Center auprès de vos AWS organisations, en particulier si vous utilisez un environnement multi-comptes. Vous pouvez également créer une instance de compte d'IAM Identity Center. Pour plus d'informations, consultez la section [Activation d'AWSIAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html). Chaque WorkSpaces annuaire peut être associé à une organisation ou à une instance de compte IAM Identity Center. Chaque instance d'IAM Identity Center peut être associée à un ou plusieurs annuaires WorkSpaces personnels.

   Si vous utilisez une instance d'organisation et que vous essayez de créer un WorkSpaces répertoire dans l'un des comptes membres, assurez-vous de disposer des autorisations IAM Identity Center suivantes. 
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   Pour plus d'informations, consultez la section [Présentation de la gestion des autorisations d'accès aux ressources de votre IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html). Assurez-vous qu'aucune politique de contrôle des services (SCPs) ne bloque ces autorisations. Pour en savoir plus SCPs, consultez la section [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html).

1. Configurez IAM Identity Center et votre fournisseur d'identité (IdP) pour synchroniser automatiquement les utilisateurs entre votre IdP et votre instance IAM Identity Center. Pour plus d'informations, consultez la [section Tutoriels de mise](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) en route et choisissez le didacticiel spécifique à l'IdP que vous souhaitez utiliser. Par exemple, [utiliser IAM Identity Center pour vous connecter à votre plate-forme d' JumpCloud annuaire](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html).

1. Vérifiez que les utilisateurs que vous avez configurés sur votre IdP sont correctement synchronisés avec l'instance AWS IAM Identity Center. La première synchronisation peut prendre jusqu'à une heure selon la configuration de votre IdP. 

## Étape 2 : Création d'un WorkSpaces répertoire personnalisé dédié
<a name="custom-step-2"></a>

Créez un répertoire WorkSpaces personnel dédié qui stocke des informations sur vous WorkSpaces et sur vos utilisateurs.

**Pour créer un WorkSpaces répertoire personnalisé dédié**

1. Ouvrez la WorkSpaces console sur [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Dans le volet de navigation, choisissez **Directories (Annuaires)**.

1. Choisissez **Créer un annuaire**.

1. Sur la page **Créer un répertoire**, pour le **WorkSpaces**type, choisissez **Personnel**. Pour la **gestion des WorkSpace appareils**, choisissez **Personnalisé**.

1. Pour **Source d'identité utilisateur**, sélectionnez l'instance IAM Identity Center que vous avez configurée à l'[étape 1](https://docs.aws.amazon.com/) dans la liste déroulante. Vous ne pourrez pas modifier l'instance IAM Identity Center associée à l'annuaire une fois celui-ci créé.
**Note**  
Vous devez spécifier une instance IAM Identity Center pour le répertoire, sinon vous ne pourrez pas lancer Personal WorkSpaces avec l'annuaire à l'aide de la WorkSpaces console. WorkSpaces les annuaires auxquels aucun Identity Center n'est associé ne sont compatibles qu'avec les solutions partenaires de WorkSpaces base.

1. Dans **Nom du répertoire**, entrez un nom unique pour le répertoire.

1. Pour le **VPC**, sélectionnez le VPC que vous avez utilisé pour lancer votre. WorkSpaces Pour de plus amples informations, veuillez consulter [Configuration d'un VPC pour le personnel WorkSpaces](amazon-workspaces-vpc.md).

1. Pour les **sous-réseaux**, sélectionnez deux sous-réseaux de votre VPC qui ne proviennent pas de la même zone de disponibilité. Ces sous-réseaux seront utilisés pour lancer votre compte personnel WorkSpaces. Pour de plus amples informations, veuillez consulter [Zones de disponibilité pour le WorkSpaces personnel](azs-workspaces.md).
**Important**  
Assurez-vous que ceux qui sont WorkSpaces lancés dans les sous-réseaux disposent d'un accès Internet, ce qui est nécessaire lorsque les utilisateurs se connectent aux ordinateurs de bureau Windows. Pour de plus amples informations, veuillez consulter [Fournir un accès à Internet pour les WorkSpaces particuliers](amazon-workspaces-internet-access.md).

1. Pour **Configuration**, sélectionnez **Activer le mode dédié WorkSpace**. Vous devez l'activer pour créer un répertoire WorkSpaces personnel dédié afin de lancer Bring Your Own License (BYOL) Windows 10 ou 11 personal WorkSpaces. 

1. (Facultatif) Pour les **balises**, spécifiez la valeur de paire de clés que vous souhaitez utiliser pour les informations personnelles WorkSpaces dans le répertoire.

1. Consultez le résumé du répertoire et choisissez **Create directory**. La connexion de votre annuaire prend plusieurs minutes. Le statut initial de l'annuaire est `Creating`. Lorsque la création de l'annuaire est terminée, le statut est `Active`. 

Une application IAM Identity Center est également créée automatiquement en votre nom une fois le répertoire créé. Pour trouver l'ARN de l'application, rendez-vous sur la page de résumé du répertoire.

Vous pouvez désormais utiliser le répertoire pour lancer Windows 10 ou 11 Personal WorkSpaces inscrit à Microsoft Intune et associé à Microsoft Entra ID. Pour de plus amples informations, veuillez consulter [Créez un WorkSpace in WorkSpaces Personal](create-workspaces-personal.md). 

Après avoir créé un répertoire WorkSpaces personnel, vous pouvez en créer un WorkSpace. Pour de plus amples informations, veuillez consulter [Créez un WorkSpace in WorkSpaces Personal](create-workspaces-personal.md).