WorkSpaces Personal을 사용하여 전용 Microsoft Entra ID 디렉터리 생성 - Amazon WorkSpaces
개요요구 사항 및 제한 사항1단계: IAM Identity Center 활성화 및 Microsoft Entra ID와 동기화2단계: Windows Autopilot에 대한 권한을 부여하기 위해 Microsoft Entra ID 애플리케이션 등록3단계: Windows Autopilot 사용자 기반 모드 구성4단계: AWS Secrets Manager 보안 암호 생성5단계: 전용 Microsoft Entra ID WorkSpaces 디렉터리 생성 WorkSpaces 디렉터리에 대한 IAM Identity Center 애플리케이션 구성(선택 사항)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

WorkSpaces Personal을 사용하여 전용 Microsoft Entra ID 디렉터리 생성

이 자습서에서는 Microsoft Intune에 가입 및 등록된 Microsoft Entra ID WorkSpaces 인 Bring Your Own License(BYOL) Windows 10 및 11 Personal을 생성합니다. 이러한 를 생성하기 전에 Entra ID로 조인된 에 대한 전용 WorkSpaces 개인 디렉터리를 먼저 생성 WorkSpaces해야 합니다 WorkSpaces.

참고

아프리카(케이프타운), 이스라엘(텔아비브) 및 중국(닝샤)을 제외한 Amazon WorkSpaces 이 제공되는 모든 AWS 리전에서 Microsoft Entra로 조인된 개인을 WorkSpaces 사용할 수 있습니다.

개요

Microsoft Entra ID 개인 WorkSpaces 디렉터리에는 Microsoft Entra ID로 관리 WorkSpaces 되는 사용자에게 할당된 Microsoft Entra ID 조인을 시작하는 데 필요한 모든 정보가 포함되어 있습니다. 사용자 정보는 자격 증명 브로커 역할을 하여 Entra ID에서 로 인력 자격 증명을 가져오는 Identity Center를 WorkSpaces 통해 AWS IAM 에 제공됩니다 AWS. Microsoft Windows Autopilot 사용자 기반 모드는 WorkSpaces Intune 등록 및 Entra 조인을 수행하는 데 사용됩니다. 다음 다이어그램은 Autopilot 프로세스를 보여줍니다.

Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.

요구 사항 및 제한 사항

  • Microsoft Entra ID P1 플랜 이상.

  • Microsoft Entra ID 및 Intune이 활성화되어 있고 역할이 할당되어 있습니다.

  • Intune 관리자 - Autopilot 배포 프로필을 관리하는 데 필요합니다.

  • 글로벌 관리자 - 3단계에서 생성된 애플리케이션에 할당된 API 권한에 대해 관리자에게 동의를 부여하는 데 필요합니다. 이 권한 없이 애플리케이션을 생성할 수 있습니다. 그러나 글로벌 관리자는 애플리케이션 권한에 대한 관리자 동의를 제공해야 합니다.

  • Windows 10 또는 11을 Entra ID에 조인할 WorkSpaces 수 있도록 사용자에게 VDA E3/E5 사용자 구독 라이선스를 할당합니다.

  • Entra ID 디렉터리는 Windows 10 또는 11 Bring Your Own License Personal 만 지원합니다 WorkSpaces. 다음은 지원되는 버전입니다.

    • Windows 10 버전 21H2(2021년 12월 업데이트)

    • Windows 10 버전 22H2(2022년 11월 업데이트)

    • Windows 11 Enterprise 23H2(2023년 10월 릴리스)

    • Windows 11 Enterprise 22H2(2022년 10월 릴리스)

  • 계정에 대해 소유 라이선스 가져오기(BYOL)가 활성화되어 있으며 AWS 계정에 유효한 Windows 10 또는 11 BYOL 이미지를 가져왔습니다. 자세한 내용은 에서 자체 Windows 데스크톱 라이선스 가져오기 WorkSpaces 단원을 참조하십시오.

  • Microsoft Entra ID 디렉터리는 Windows 10 또는 11 BYOL 개인 만 지원합니다 WorkSpaces.

  • Microsoft Entra ID 디렉터리는 DCV 프로토콜만 지원합니다.

1단계: IAM Identity Center 활성화 및 Microsoft Entra ID와 동기화

Microsoft Entra ID로 조인된 개인을 생성하고 Entra ID 사용자에게 WorkSpaces 할당하려면 IAM Identity Center를 AWS 통해 사용자 정보를 에 제공해야 합니다. IAM Identity Center는 AWS 리소스에 대한 사용자 액세스를 관리하는 데 권장되는 AWS 서비스입니다. 자세한 내용은 IAM Identity Center란 무엇입니까?를 참조하세요. 이는 일회성 설정입니다.

참고

WorkSpaces 개인 디렉터리와 연결된 IAM Identity Center 인스턴스는 동일한 AWS 리전에 있어야 합니다.

  1. 특히 다중 계정 환경을 사용하는 경우 AWS 조직에서 IAM Identity Center를 활성화합니다. IAM Identity Center의 계정 인스턴스를 생성할 수도 있습니다. 자세한 내용은 Identity Center 활성화 AWS IAM를 참조하세요. 각 WorkSpaces 디렉터리는 하나의 IAM Identity Center 인스턴스, 조직 또는 계정과 연결할 수 있습니다.

    조직 인스턴스를 사용하고 멤버 계정 중 하나에 WorkSpaces 디렉터리를 생성하려는 경우 다음 IAM Identity Center 권한이 있는지 확인합니다.

    • "sso:DescribeInstance"

    • "sso:CreateApplication"

    • "sso:PutApplicationGrant"

    • "sso:PutApplicationAuthenticationMethod"

    • "sso:DeleteApplication"

    • "sso:DescribeApplication"

    • "sso:getApplicationGrant"

    자세한 내용은 IAM Identity Center 리소스에 대한 액세스 권한 관리 개요를 참조하세요. 또한 서비스 제어 정책(SCPs)이 이러한 권한을 차단하지 않는지 확인합니다. 에 대한 자세한 내용은 서비스 제어 정책(SCPs)을 SCPs참조하세요.

  2. IAM 선택한 사용자 또는 Entra ID 테넌트의 모든 사용자를 Identity Center 인스턴스로 자동으로 동기화하도록 IAM Identity Center 및 Microsoft Entra ID를 구성합니다. 자세한 내용은 Microsoft Entra ID 및 IAM Identity Center를 SCIM 사용한 SAML 구성 및 자습서: 자동 사용자 프로비저닝을 위한 Identity Center 구성을 AWS IAM 참조하세요.

  3. Microsoft Entra ID에 구성한 사용자가 Identity Center 인스턴스와 AWS IAM 올바르게 동기화되었는지 확인합니다. Microsoft Entra ID에서 “요청을 확인할 수 없거나, 구문적으로 잘못되었거나, 스키마를 위반합니다”라는 오류 메시지가 표시되면 IAM Identity Center가 지원하지 않는 방식으로 Entra ID의 사용자가 구성되었음을 나타냅니다. 예를 들어 Entra ID의 사용자 객체에는 이름, 성 및/또는 표시 이름이 없습니다. 자세한 내용은 특정 사용자가 외부 SCIM 공급자 에서 IAM Identity Center로 동기화하지 못함을 참조하세요.

참고

WorkSpaces 는 Entra ID UserPrincipalName (UPN) 속성을 사용하여 개별 사용자를 식별하며 다음과 같은 제한 사항이 있습니다.

  • UPNs 길이는 63자를 초과할 수 없습니다.

  • 사용자에게 를 할당한 UPN 후 WorkSpace 를 변경하는 경우, 이전 으로 UPN 되돌리지 않는 한 사용자는 WorkSpace 에 연결할 수 없습니다.

2단계: Windows Autopilot에 대한 권한을 부여하기 위해 Microsoft Entra ID 애플리케이션 등록

WorkSpaces Personal은 Microsoft Windows Autopilot 사용자 기반 모드를 사용하여 Microsoft Intune WorkSpaces 에 등록하고 Microsoft Entra ID에 조인합니다.

Amazon이 Autopilot에 WorkSpaces 개인을 등록 WorkSpaces 하도록 허용하려면 필요한 Microsoft Graph API 권한을 부여하는 Microsoft Entra ID 애플리케이션을 등록해야 합니다. Entra ID 애플리케이션 등록에 대한 자세한 내용은 Quickstart: Microsoft 자격 증명 플랫폼에 애플리케이션 등록을 참조하세요.

Entra ID 애플리케이션에서 다음 API 권한을 제공하는 것이 좋습니다.

  • Entra ID에 조인해야 WorkSpace 하는 새 개인을 생성하려면 다음 API 권한이 필요합니다.

    • DeviceManagementServiceConfig.ReadWrite.All

  • 개인을 종료 WorkSpace 하거나 다시 빌드하면 다음 권한이 사용됩니다.

    참고

    이러한 권한을 제공하지 않으면 가 WorkSpace 종료되지만 Intune 및 Entra ID 테넌트에서 제거되지 않으므로 별도로 제거해야 합니다.

    • DeviceManagementServiceConfig.ReadWrite.All

    • Device.ReadWrite.All

    • DeviceManagementManagedDevices.ReadWrite.All

  • 이러한 권한에는 관리자 동의가 필요합니다. 자세한 내용은 애플리케이션에 테넌트 전체 관리자 동의 부여를 참조하세요.

다음으로 Entra ID 애플리케이션에 대한 클라이언트 보안 암호를 추가해야 합니다. 자세한 내용은 보안 인증 정보 추가를 참조하세요. 4단계에서 보안 암호를 생성할 때 필요한 클라이언트 보안 암호 문자열을 AWS Secrets Manager 기억해야 합니다.

3단계: Windows Autopilot 사용자 기반 모드 구성

Intune 에서 Windows Autopilot 사용자 기반 Microsoft Entra 조인에 대한 단계별 자습서를 숙지해야 합니다.

Microsoft Intune for Autopilot을 구성하려면

  1. Microsoft Intune 관리 센터에 로그인

  2. 개인 에 대한 새 Autopilot 디바이스 그룹을 생성합니다 WorkSpaces. 자세한 내용은 Windows Autopilot용 디바이스 그룹 생성을 참조하세요.

    1. 그룹 , 새 그룹 선택

    2. [Group type]에서 [Security]를 선택합니다.

    3. 멤버십 유형 에서 동적 디바이스 를 선택합니다.

    4. 동적 쿼리 편집을 선택하여 동적 멤버십 규칙을 생성합니다. 규칙은 다음 형식이어야 합니다.

      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      중요

      WorkSpacesDirectoryName 는 5단계에서 생성한 Entra ID WorkSpaces Personal 디렉터리의 디렉터리 이름과 일치해야 합니다. 이는 가 가상 데스크톱을 Autopilot에 등록할 때 WorkSpaces 디렉터리 이름 문자열이 그룹 태그로 사용되기 때문입니다. 또한 그룹 태그는 Microsoft Entra 디바이스의 OrderID 속성에 매핑됩니다.

  3. 디바이스 , Windows , 등록 을 선택합니다. 등록 옵션 에서 자동 등록 을 선택합니다. MDM 사용자 범위에서 모두를 선택합니다.

  4. Autopilot 배포 프로필을 생성합니다. 자세한 내용은 Autopilot 배포 프로필 생성을 참조하세요.

    1. Windows Autopilot 에서 배포 프로필 , 프로필 생성 을 선택합니다.

    2. Windows Autopilot 배포 프로필 화면에서 프로필 생성 드롭다운 메뉴를 선택한 다음 Windows PC 를 선택합니다.

    3. 프로필 생성 화면의 Out-of-box 환경(OOBE) 페이지에서 배포 모드 에서 사용자 기반 을 선택합니다. Microsoft Entra ID에 조인 에서 Microsoft Entra 조인 을 선택합니다. 디바이스 이름 템플릿 적용 를 WorkSpaces 선택하여 Entra ID로 조인된 개인에 대한 컴퓨터 이름을 사용자 지정하여 등록 중에 디바이스 이름을 지정할 때 사용할 템플릿을 생성할 수 있습니다.

    4. 할당 페이지의 에 할당에서 선택한 그룹 을 선택합니다. 포함할 그룹 선택을 선택하고 2에서 방금 생성한 Autopilot 디바이스 그룹을 선택합니다.

4단계: AWS Secrets Manager 보안 암호 생성

에서 생성한 Entra ID 애플리케이션에 대한 애플리케이션 ID 및 클라이언트 보안 암호를 포함한 정보를 안전하게 저장 AWS Secrets Manager 하려면 에서 보안 암호를 생성해야 합니다2단계: Windows Autopilot에 대한 권한을 부여하기 위해 Microsoft Entra ID 애플리케이션 등록. 이는 일회성 설정입니다.

AWS Secrets Manager 보안 암호를 생성하려면

  1. 에서 고객 관리형 키를 생성합니다AWS Key Management Service. 키는 나중에 AWS Secrets Manager 보안 암호를 암호화하는 데 사용됩니다. 기본 키는 WorkSpaces 서비스에서 액세스할 수 없으므로 기본 키를 사용하여 보안 암호를 암호화하지 마세요. 아래 단계에 따라 키를 생성합니다.

    1. /kms 에서 AWS KMS 콘솔을 엽니다. https://console.aws.amazon.com

    2. 를 변경하려면 페이지 오른쪽 상단의 리전 선택기를 AWS 리전사용합니다.

    3. 키 생성을 선택합니다.

    4. 키 구성 페이지의 키 유형에서 대칭을 선택합니다. 키 사용 에서 암호화 및 복호화를 선택합니다.

    5. 검토 페이지의 키 정책 편집기에서 키 정책에 다음 권한을 포함하여 WorkSpaces 서비스의 보안 주체가 키에 workspaces.amazonaws.com 액세스할 수 있도록 허용해야 합니다.

      {
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "workspaces.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
 }

  2. 이전 단계에서 생성한 AWS KMS 키를 AWS Secrets Manager사용하여 에서 보안 암호를 생성합니다.

    1. 에서 Secrets Manager 콘솔을 엽니다https://console.aws.amazon.com/secretsmanager/.

    2. 새 암호 저장을 선택합니다.

    3. 암호 타입 선택 페이지의 암호 타입에 대해 다른 타입의 암호를 선택합니다.

    4. 키/값 페어 의 경우 키 상자에 “application_id”를 입력한 다음 2단계에서 Entra ID 애플리케이션 ID를 복사하여 값 상자에 붙여 넣습니다.

    5. 행 추가를 선택하고 키 상자에 “application_password”를 입력한 다음 2단계에서 Entra ID 애플리케이션 클라이언트 보안 암호를 복사하여 값 상자에 붙여 넣습니다.

    6. 암호화 AWS KMS 키 드롭다운 목록에서 이전 단계에서 생성한 키를 선택합니다.

    7. Next(다음)를 선택합니다.

    8. 보안 암호 구성 페이지에서 보안 암호 이름설명 을 입력합니다.

    9. 리소스 권한 섹션에서 권한 편집을 선택합니다.

    10. 리소스 권한에 다음 리소스 정책을 포함하여 WorkSpaces 서비스의 보안 암호에 대한 보안 주체 workspaces.amazonaws.com 액세스를 허용해야 합니다.

      {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "Service" : [ "workspaces.amazonaws.com"]
    },
    "Action" : "secretsmanager:GetSecretValue",
    "Resource" : "*"
  } ]
}

5단계: 전용 Microsoft Entra ID WorkSpaces 디렉터리 생성

Microsoft Entra ID 조인 WorkSpaces 및 Entra ID 사용자에 대한 정보를 저장하는 전용 WorkSpaces 디렉터리를 생성합니다.

Entra ID WorkSpaces 디렉터리를 생성하려면

  1. 에서 WorkSpaces 콘솔을 엽니다https://console.aws.amazon.com/workspaces/.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. 디렉터리 생성 페이지에서 WorkSpaces 유형에 대해 개인 을 선택합니다. WorkSpace 디바이스 관리 에서 Microsoft Entra ID 를 선택합니다.

  4. Microsoft Entra 테넌트 ID 에 디렉터리가 조인 WorkSpace 할 Microsoft Entra ID 테넌트 ID를 입력합니다. 디렉터리가 생성된 후에는 테넌트 ID를 변경할 수 없습니다.

  5. Entra ID Application ID 및 암호 의 경우 드롭다운 목록에서 4단계에서 생성한 AWS Secrets Manager 보안 암호를 선택합니다. 디렉터리가 생성된 후에는 디렉터리와 연결된 보안 암호를 변경할 수 없습니다. 그러나 의 AWS Secrets Manager 콘솔을 통해 Entra ID 애플리케이션 ID 및 암호를 포함하여 보안 암호의 내용을 항상 업데이트할 수 있습니다https://console.aws.amazon.com/secretsmanager/.

  6. 사용자 ID 소스 의 경우 드롭다운 목록에서 1단계에서 구성한 IAM Identity Center 인스턴스를 선택합니다. 디렉터리가 생성된 후에는 디렉터리와 연결된 IAM Identity Center 인스턴스를 변경할 수 없습니다.

  7. 디렉터리 이름 에 디렉터리의 고유한 이름(예: )을 입력합니다WorkSpacesDirectoryName.

    중요

    디렉터리 이름은 3단계에서 Microsoft Intune으로 생성한 Autopilot 디바이스 그룹에 대한 동적 쿼리를 구성하는 데 OrderID 사용되는 와 일치해야 합니다. 디렉터리 이름 문자열은 개인을 Windows Autopilot WorkSpaces 에 등록할 때 그룹 태그로 사용됩니다. 그룹 태그는 Microsoft Entra 디바이스의 OrderID 속성에 매핑됩니다.

  8. (선택 사항) 설명에 디렉터리에 대한 설명을 입력합니다.

  9. 에서 를 시작하는 데 VPC 사용한 를 VPC선택합니다 WorkSpaces. 자세한 내용은 WorkSpaces 개인VPC용 구성 단원을 참조하십시오.

  10. 서브넷 에서 동일한 가용 영역에 속하지 VPC 않은 의 서브넷 두 개를 선택합니다. 이러한 서브넷은 개인 를 시작하는 데 사용됩니다 WorkSpaces. 자세한 내용은 WorkSpaces 개인용 가용 영역 단원을 참조하십시오.

    중요

    서브넷에서 WorkSpaces 시작된 에 인터넷 액세스가 있는지 확인합니다. 이는 사용자가 Windows 데스크톱에 로그인할 때 필요합니다. 자세한 내용은 WorkSpaces 개인용 인터넷 액세스 제공 단원을 참조하십시오.

  11. 구성 에서 전용 활성화를 WorkSpace 선택합니다. 전용 WorkSpaces 개인 디렉터리를 생성하도록 활성화하여 Bring Your Own License(BYOL) Windows 10 또는 11 Personal 를 시작해야 합니다 WorkSpaces.

    참고

    구성 아래에 전용 활성화 WorkSpace 옵션이 표시되지 않으면 계정이 에 대해 활성화되지 않은 것입니다BYOL. 계정에 BYOL 대해 를 활성화하려면 섹션을 참조하세요에서 자체 Windows 데스크톱 라이선스 가져오기 WorkSpaces.

  12. (선택 사항) 태그 WorkSpaces 에서 디렉터리의 개인에 사용할 키 페어 값을 지정합니다.

  13. 디렉터리 요약을 검토하고 디렉터리 생성 을 선택합니다. 디렉터리를 연결하는 데 몇 분 정도 걸립니다. 디렉터리의 초기 상태는 Creating입니다. 디렉터리 생성 과정이 완료되면 상태가 Active로 변경됩니다.

디렉터리가 생성되면 IAM Identity Center 애플리케이션도 자동으로 생성됩니다. 애플리케이션을 찾으려면 디렉터리의 요약 페이지로 ARN 이동합니다.

이제 디렉터리를 사용하여 Microsoft Intune에 등록되고 Microsoft Entra ID에 조인 WorkSpaces 된 Windows 10 또는 11 Personal을 시작할 수 있습니다. 자세한 내용은 WorkSpaces 개인용 WorkSpace 광고 만들기 단원을 참조하십시오.

WorkSpaces 개인 디렉터리를 생성한 후 개인 를 생성할 수 있습니다 WorkSpace. 자세한 내용은 WorkSpaces 개인용 WorkSpace 광고 만들기 단원을 참조하세요.

WorkSpaces 디렉터리에 대한 IAM Identity Center 애플리케이션 구성(선택 사항)

디렉터리가 생성되면 해당 IAM Identity Center 애플리케이션이 자동으로 생성됩니다. 디렉터리 세부 정보 페이지의 ARN 요약 섹션에서 애플리케이션을 찾을 수 있습니다. 기본적으로 Identity Center 인스턴스의 모든 사용자는 해당 Identity Center 애플리케이션을 구성 WorkSpaces 하지 않고도 할당된 에 액세스할 수 있습니다. 그러나 IAM Identity Center 애플리케이션에 대한 사용자 할당을 구성하여 디렉터리 WorkSpaces 에서 에 대한 사용자 액세스를 관리할 수 있습니다.

IAM Identity Center 애플리케이션에 대한 사용자 할당을 구성하려면

  1. 에서 IAM 콘솔을 엽니다https://console.aws.amazon.com/iam/.

  2. AWS 관리형 애플리케이션 탭에서 WorkSpaces 디렉터리의 애플리케이션을 선택합니다. 애플리케이션 이름은 의 형식이며WorkSpaces.wsd-xxxxx, 여기서 wsd-xxxxx는 WorkSpaces 디렉터리 ID입니다.

  3. 작업 , 세부 정보 편집 을 선택합니다.

  4. 사용자 및 그룹 할당 방법을 할당 필요 없음에서 할당 필요 로 변경합니다.

  5. Save changes(변경 사항 저장)를 선택합니다.

이 변경 사항을 적용하면 Identity Center 인스턴스의 사용자는 애플리케이션에 할당 WorkSpaces 되지 않는 한 할당에 대한 액세스 권한을 상실합니다. 사용자를 애플리케이션에 할당하려면 AWS CLI 명령을 사용하여 사용자 또는 그룹을 애플리케이션에 create-application-assignment 할당합니다. 자세한 내용은 AWS CLI 명령 참조를 참조하세요.