As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criar um diretório para o WorkSpaces Personal
<a name="launch-workspaces-tutorials"></a>

O WorkSpaces Personal permite o uso de diretórios gerenciados por meio do Directory Service para armazenar e gerenciar informações de seus WorkSpaces e usuários. Use as opções a seguir para criar um diretório do WorkSpaces Personal:
+ Crie um diretório do Simple AD.
+ Crie um AWS Directory Service para Microsoft Active Directory, também conhecido como Microsoft AD gerenciado pela AWS.
+ Conecte-se a um Microsoft Active Directory existente usando o Active Directory Connector.
+ Crie uma relação de confiança entre o diretório do Microsoft AD gerenciado pela AWS e o domínio no local.
+ Crie um diretório dedicado do WorkSpaces no Microsoft Entra ID
+ Crie um diretório personalizado dedicado do WorkSpaces

**nota**  
Diretórios compartilhados não são compatíveis para uso no Amazon WorkSpaces no momento.
Se você configurar o diretório do AWS Managed Microsoft AD para replicação multirregional, somente o diretório na região primária poderá ser registrado para uso no Amazon WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces vão falhar. A replicação multirregional com o AWS Managed Microsoft AD não é compatível para uso com o Amazon WorkSpaces em regiões replicadas.
O Simple AD e o AD Connector são disponibilizados gratuitamente para uso com os WorkSpaces. Se não houver WorkSpaces sendo usados com o diretório do Simple AD ou do AD Connector por 30 dias consecutivos, o registro desse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com os [Preços do AWS Directory Service](https://aws.amazon.com/directoryservice/pricing/).

## Antes de criar um diretório
<a name="prereqs-tutorials"></a>
+ O WorkSpaces não está disponível em todas as regiões. Verifique as regiões compatíveis e selecione uma região para os WorkSpaces. Para obter mais informações sobre as regiões compatíveis, consulte os [preços do WorkSpaces por região da AWS](https://aws.amazon.com/workspaces/pricing/).
+ Crie uma Virtual Private Cloud com pelo menos duas sub-redes privadas. Para obter mais informações, consulte [Configurar uma VPC para uso pessoal WorkSpaces](amazon-workspaces-vpc.md). A VPC deve estar conectada à sua rede no local por meio de uma conexão de rede privada virtual (VPN) ou Direct Connect. Para obter mais informações, consulte [AD Connector Prerequisites](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html) no *Guia de administração do AWS Directory Service*.
+ Conceda acesso à Internet no WorkSpace. Para obter mais informações, consulte [Fornecer acesso à internet para o WorkSpaces Personal](amazon-workspaces-internet-access.md).

Para obter informações sobre como excluir um diretório vazio, consulte [Excluir um diretório para WorkSpaces Pessoal](delete-workspaces-directory.md). Se você excluir o diretório do Simple AD ou do AD Connector, sempre poderá criar um novo quando quiser começar a usar o WorkSpaces novamente.

**Topics**
+ [Antes de criar um diretório](#prereqs-tutorials)
+ [Identifique o nome do computador para seu diretório pessoal do WorkSpaces Personal](wsp-directory-identify-computer.md)
+ [Crie um diretório gerenciado do Microsoft AD na AWS para o WorkSpaces Personal](launch-workspace-microsoft-ad.md)
+ [Crie um diretório Simple AD para WorkSpaces Personal](launch-workspace-simple-ad.md)
+ [Criar um AD Connector para WorkSpaces Personal](launch-workspace-ad-connector.md)
+ [Crie uma relação de confiança entre o diretório do AWS Managed Microsoft AD e o domínio local para o WorkSpaces Personal](launch-workspace-trusted-domain.md)
+ [Crie um diretório Microsoft Entra ID dedicado com WorkSpaces Personal](launch-entra-id.md)
+ [Crie um diretório personalizado dedicado com o WorkSpaces Personal](launch-custom.md)

# Identifique o nome do computador para seu diretório pessoal do WorkSpaces Personal
<a name="wsp-directory-identify-computer"></a>

O valor **Nome do computador** mostrado para um WorkSpace no console do Amazon WorkSpaces varia, dependendo do tipo de WorkSpace que você iniciou (Amazon Linux, Ubuntu ou Windows). O nome do computador de um WorkSpace pode ter um de seguintes formatos: 
+ **Amazon Linux**: A-*xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**: R- *xxxxxxxxxxxxx*
+ **Rocky Linux**: R-*xxxxxxxxxxxxx*
+ **Ubuntu**: U-*xxxxxxxxxxxxx*
+ **Windows**: IP-C*xxxxxx* ou WSAMZN-*xxxxxxx* ou EC2AMAZ-*xxxxxxx*

Para WorkSpaces do Windows, o formato do nome do computador é determinado pelo tipo de pacote e, no caso de WorkSpaces criados a partir de pacotes públicos ou de pacotes personalizados baseados em imagens públicas, pelo momento em que as imagens públicas foram criadas.

A partir de 22 de junho de 2020, os WorkSpaces do Windows inicializados de pacotes públicos têm o formato WSAMZN-*xxxxxxx* para nomes de computador, em vez do formato IP-C*xxxxxx*.

Para pacotes personalizados baseados em uma imagem pública, se a imagem pública tiver sido criada antes de 22 de junho de 2020, os nomes dos computadores estarão no formato EC2AMAZ-*xxxxxxx*. Se a imagem pública foi criada em 22 de junho de 2020 ou posteriormente, os nomes dos computadores estão no formato WSAMZN-*xxxxxxx*. 

Para pacotes do tipo traga a sua própria licença (BYOL), o formato DESKTOP-*xxxxxxx* ou EC2AMAZ-*xxxxxxx* é usado para os nomes dos computadores por padrão.

Se você especificou um formato personalizado para os nomes dos computadores em seus pacotes personalizados ou BYOL, seu formato personalizado substituirá esses padrões. Para especificar um formato personalizado, consulte [Crie uma WorkSpaces imagem e um pacote personalizados para WorkSpaces o Personal](create-custom-bundle.md).

**Importante**  
Depois que um WorkSpace é criado, você pode alterar o nome do computador com segurança. Por exemplo, você pode executar um script do PowerShell com o comando `Rename-Computer` no seu WorkSpace ou remotamente. O valor atualizado do nome do computador será então mostrado para um WorkSpace no console do Amazon WorkSpaces.

# Crie um diretório gerenciado do Microsoft AD na AWS para o WorkSpaces Personal
<a name="launch-workspace-microsoft-ad"></a>

Neste tutorial, criamos um diretório gerenciado do Microsoft AD na AWS. Para tutoriais que usam as outras opções, consulte [Criar um diretório para o WorkSpaces Personal](launch-workspaces-tutorials.md).

Primeiro, crie um diretório do Microsoft AD gerenciado pela AWS. O Directory Service cria dois servidores de diretório, um em cada uma das sub-redes privadas de sua VPC. Observe que inicialmente não há usuários no diretório. Você adicionará um usuário na próxima etapa ao iniciar o WorkSpace.

**nota**  
Diretórios compartilhados não são compatíveis para uso no Amazon WorkSpaces no momento.
Se o diretório do AWS Managed Microsoft AD tiver sido configurado para replicação multirregional, somente o diretório na região primária poderá ser registrado para uso no Amazon WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces vão falhar. A replicação multirregional com o AWS Managed Microsoft AD não é compatível para uso com o Amazon WorkSpaces em regiões replicadas.

**Para criar um diretório do Microsoft AD gerenciado pela AWS**

1. Abra o console do WorkSpaces em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Selecione **Criar diretório**.

1. Na página **Criar diretório**, para o **Tipo de WorkSpaces**, escolha **Pessoal**. Em seguida, para **gerenciamento de dispositivos do WorkSpace**, escolha **AWS Serviço do Diretório**.

1. Escolha **Criar diretório**, que abre a página **Configurar um diretório** no Serviço de diretório da AWS

1. Escolha **AWSMicrosoft AD gerenciado** e, em seguida, **Próximo**.

1. Configure o diretório da seguinte forma:

   1. Em **Organization name (Nome da organização)**, insira um nome de organização exclusivo para o seu diretório (por exemplo, my-demo-directory). Esse nome deve ter pelo menos quatro caracteres, conter apenas caracteres alfanuméricos e hífens (-) e começar ou terminar com um caractere diferente de um hífen.

   1. Em **Directory DNS (DNS do diretório)**, insira o nome do diretório totalmente qualificado (por exemplo, workspaces.demo.com).
**Importante**  
Se você precisar atualizar o servidor DNS após iniciar seus WorkSpaces, siga o procedimento em [Atualize os servidores DNS para WorkSpaces o Personal](update-dns-server.md) para garantir que os WorkSpaces sejam atualizados adequadamente.

   1. Em **NetBIOS name (Nome NetBIOS)**, insira um nome curto para o diretório (por exemplo, workspaces).

   1. Em **Admin password (Senha do administrador)** e **Confirm password (Confirmar senha)**, insira uma senha para a conta do administrador do diretório. Para obter mais informações sobre os requisitos de senha, consulte [Create Your AWS Managed Microsoft AD Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html) no *Guia de administração do AWS Directory Service*.

   1. (Opcional) Em **Description (Descrição)**, insira uma descrição para a política.

   1. Em **VPC**, selecione a VPC que você criou.

   1. Em **Sub-redes**, selecione as duas sub-redes privadas (com os blocos CIDR `10.0.1.0/24` e `10.0.2.0/24`).

   1. Escolha **Próxima etapa**.

1. Selecione **Criar diretório**.

1. Você será levado de volta à página Criar diretório no console do WorkSpaces. O status inicial do diretório é `Requested` e, em seguida, `Creating`. Quando a criação do diretório estiver concluída (isso pode levar alguns minutos), o status será `Active`.

Depois de criar um diretório do AWS Managed Microsoft AD, você pode registrá-lo no Amazon WorkSpaces. Para obter mais informações, consulte [Registre um Directory Service diretório existente com o WorkSpaces Personal](register-deregister-directory.md)

# Crie um diretório Simple AD para WorkSpaces Personal
<a name="launch-workspace-simple-ad"></a>

Neste tutorial, lançamos um WorkSpace que usa o Simple AD. Para tutoriais que usam as outras opções, consulte [Criar um diretório para o WorkSpaces Personal](launch-workspaces-tutorials.md).

**nota**  
O Simple AD não está disponível em todas as AWS regiões. Verifique as regiões compatíveis e [selecione uma região](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region) para seu diretório do Simple AD. Para obter mais informações sobre as regiões suportadas pelo Simple AD, consulte [Disponibilidade de região para AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html).
O Simple AD é disponibilizado gratuitamente para você usar com WorkSpaces. [Se não estiver WorkSpaces sendo usado com seu diretório Simple AD por 30 dias consecutivos, o registro desse diretório será automaticamente cancelado para uso com a Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com os AWS Directory Service termos de preços.](https://aws.amazon.com/directoryservice/pricing/)
Atualmente, o [Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) oferece suporte somente IPv4 ao endereçamento, o que significa que, ao criar um diretório, a VPC associada será configurada com um bloco IPv4 CIDR e não suportará redes. IPv6 

Quando você cria um diretório Simple AD. Directory Servicecria dois servidores de diretório, um em cada uma das sub-redes privadas da sua VPC. Inicialmente não há usuários no diretório. Adicione um usuário depois de criar WorkSpace o. Para obter mais informações, consulte [Crie um WorkSpace em WorkSpaces Pessoal](create-workspaces-personal.md).

**Para criar um diretório do Simple AD**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Selecione **Criar diretório**.

1. Na página **Criar diretório**, para **WorkSpaces digitar**, escolha **Pessoal**. Em seguida, para **gerenciamento de WorkSpace dispositivos**, escolha **AWSDirectory Service**.

1. Escolha **Criar diretório**, que abre a página **Configurar um diretório** no AWS Directory Service

1. Escolha **Simple AD** e, em seguida, escolha **Próximo**.

1. Configure o diretório da seguinte forma:

   1. Em **Nome da organização**, insira um nome de organização exclusivo para seu diretório (por exemplo, my-example-directory). Esse nome deve ter pelo menos quatro caracteres, conter apenas caracteres alfanuméricos e hífens (-) e começar ou terminar com um caractere diferente de um hífen.

   1. Em **Nome do DNS do diretório**, insira o nome do diretório totalmente qualificado (por exemplo, example.com).
**Importante**  
Se você precisar atualizar seu servidor DNS após iniciar o seu WorkSpaces, siga o procedimento [Atualize os servidores DNS para WorkSpaces o Personal](update-dns-server.md) para garantir que ele seja atualizado corretamente. WorkSpaces 

   1. Em **NetBIOS name (Nome NetBIOS)**, insira um nome curto para o diretório (por exemplo, example).

   1. Em **Admin password (Senha do administrador)** e **Confirm password (Confirmar senha)**, insira uma senha para a conta do administrador do diretório. Para obter mais informações sobre os requisitos de senha, consulte [How to Create a Microsoft AD Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html) no *Guia de administração do AWS Directory Service*.

   1. (Opcional) Em **Description (Descrição)**, insira uma descrição para a política.

   1. Em **Tamanho do diretório**, selecione **Pequeno**.

   1. Em **VPC**, selecione a VPC que você criou.

   1. Em **Sub-redes**, selecione as duas sub-redes privadas (com os blocos CIDR `10.0.1.0/24` e `10.0.2.0/24`).

   1. Escolha **Próximo**.

1. Selecione **Criar diretório**.

1. Você será levado de volta à página Criar diretório no WorkSpaces console. O status inicial do diretório é `Requested` e, em seguida, `Creating`. Quando a criação do diretório estiver concluída (isso pode levar alguns minutos), o status será `Active`.

**O que acontece durante a criação do diretório**

WorkSpaces conclui as seguintes tarefas em seu nome:
+ Cria uma função do IAM para permitir que o WorkSpaces serviço crie interfaces de rede elásticas e liste seus WorkSpaces diretórios. Essa função tem o nome `workspaces_DefaultRole`.
+ Configura um diretório Simple AD na VPC que é usado para armazenar usuários e WorkSpace informações. O diretório tem uma conta de administrador com o nome de usuário Administrador e a senha especificada.
+ Cria dois grupos de segurança, um para controladores de diretório e outro para WorkSpaces o diretório.

Depois de criar um diretório Simple AD, você pode registrá-lo na Amazon WorkSpaces. Para obter mais informações, consulte [Registre um Directory Service diretório existente com o WorkSpaces Personal](register-deregister-directory.md).

# Criar um AD Connector para WorkSpaces Personal
<a name="launch-workspace-ad-connector"></a>

Neste tutorial, criamos um AD Connector. Para tutoriais que usam as outras opções, consulte [Criar um diretório para o WorkSpaces Personal](launch-workspaces-tutorials.md).

## Criar um AD Connector
<a name="create-ad-connector"></a>

**nota**  
O AD Connector é disponibilizado gratuitamente para uso com os WorkSpaces. Se não houver WorkSpaces sendo usados com o diretório do AD Connector por 30 dias consecutivos, o registro desse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com os [Preços do AWS Directory Service](https://aws.amazon.com/directoryservice/pricing/).  
Para excluir diretórios vazios, consulte [Excluir um diretório para WorkSpaces Pessoal](delete-workspaces-directory.md). Se você excluir o diretório do AD Connector, sempre poderá criar um novo quando quiser começar a usar o WorkSpaces novamente.

**Como criar um AD Connector**

1. Abra o console do WorkSpaces em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Selecione **Criar diretório**.

1. Na página **Criar diretório**, para o **Tipo de WorkSpaces**, escolha **Pessoal**. Em seguida, para **gerenciamento de dispositivos do WorkSpace**, escolha **AWS Serviço do Diretório**.

1. Escolha **Criar diretório**, que abre a página **Configurar um diretório** no Serviço de diretório da AWS

1. Escolha **AWSMicrosoft AD gerenciado** e, em seguida, **Próximo**.

1. Em **Organization name (Nome da organização)**, insira um nome de organização exclusivo para seu diretório (por exemplo, my-example-directory). Esse nome deve ter pelo menos quatro caracteres, conter apenas caracteres alfanuméricos e hífens (-) e começar ou terminar com um caractere diferente de um hífen.

1. Em **Connected directory DNS (DNS do diretório conectado)**, insira o nome de seu diretório local totalmente qualificado (por exemplo, example.com).

1. Em **Connected directory NetBIOS name (Nome NetBIOS do diretório conectado)**, insira o nome curto de seu diretório local (por exemplo, example).

1. Em **Connector account username (Nome do usuário da conta do Connector)**, insira o nome de usuário de um usuário em seu diretório local. O usuário deve ter permissões para ler usuários e grupos, criar objetos de computador e inserir computadores no domínio.

1. Em **Senha da conta do Connector** e **Confirmar senha**, insira a senha para o usuário on-premises.

1. Em **DNS address (Endereço DNS)**, insira o endereço IP de pelo menos um servidor DNS em seu diretório local.
**Importante**  
Se você precisar atualizar o endereço IP do servidor DNS após iniciar seus WorkSpaces, siga o procedimento em [Atualize os servidores DNS para WorkSpaces o Personal](update-dns-server.md) para garantir que os WorkSpaces sejam atualizados adequadamente.

1. (Opcional) Em **Description (Descrição)**, insira uma descrição para a política.

1. Mantenha **Tamanho** como **Pequeno**.

1. Em **VPC**, selecione sua VPC.

1. Em **Sub-redes**, selecione as sub-redes. Os servidores DNS que você especificou devem ser acessíveis em cada sub-rede.

1. Selecione **Criar diretório**.

1. Você será levado de volta à página Criar diretório no console do WorkSpaces. O status inicial do diretório é `Requested` e, em seguida, `Creating`. Quando a criação do diretório estiver concluída (isso pode levar alguns minutos), o status será `Active`.

# Crie uma relação de confiança entre o diretório do AWS Managed Microsoft AD e o domínio local para o WorkSpaces Personal
<a name="launch-workspace-trusted-domain"></a>

Neste tutorial, criamos uma relação de confiança entre o diretório do AWS Managed Microsoft AD e o domínio on-premises. Para tutoriais que usam as outras opções, consulte [Criar um diretório para o WorkSpaces Personal](launch-workspaces-tutorials.md).

**nota**  
A inicialização do WorkSpaces com Contas da AWS em um domínio confiável separado funciona com o AWS Managed Microsoft AD quando ele é configurado com uma relação de confiança com o diretório on-premises. No entanto, WorkSpaces usando o Simple AD ou o AD Connector não podem iniciar WorkSpaces para usuários de um domínio confiável.

**Para configurar o relacionamento de confiança**

1. Configure o Microsoft AD gerenciado pela AWS na sua virtual private cloud (VPC). Para obter mais informações, consulte [Criar seu diretório do AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html) no *Guia de administração do AWS Directory Service*.
**nota**  
Diretórios compartilhados não são compatíveis para uso no Amazon WorkSpaces no momento.
Se o diretório do AWS Managed Microsoft AD tiver sido configurado para replicação multirregional, somente o diretório na região primária poderá ser registrado para uso no Amazon WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces vão falhar. A replicação multirregional com o AWS Managed Microsoft AD não é compatível para uso com o Amazon WorkSpaces em regiões replicadas.

1. Crie uma relação de confiança entre o Microsoft AD gerenciado pela AWS e o domínio no local. Verifique se a confiança está configurada bidirecionalmente. Para obter mais informações, consulte [Tutorial: Create a Trust Relationship Between Your AWS Managed Microsoft AD and Your On-Premises Domain](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html) no *Guia de administração do AWS Directory Service*.

Uma confiança unidirecional ou bidirecional pode ser usada para fazer o gerenciamento e a autenticação com o WorkSpaces, e para que ele possa ser provisionado para usuários e grupos on-premises. Para obter mais informações, consulte [Deploy Amazon WorkSpaces using a One-Way Trust Resource Domain with AWS Directory Service](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/).

**nota**  
Os WorkSpaces do Red Hat Enterprise Linux, Rocky Linux e do Ubuntu usam o System Security Services Daemon (SSSD) para integração com o Active Directory, e o SSSD não é compatível com a confiança de floresta. Em vez disso, configure a confiança externa. A confiança bidirecional é recomendada para WorkSpaces do Amazon Linux, Ubuntu, Rocky Linux e Red Hat Enterprise Linux
Não é possível usar um navegador da web (Acesso via Web) para se conectar aos WorkSpaces do Linux.

# Crie um diretório Microsoft Entra ID dedicado com WorkSpaces Personal
<a name="launch-entra-id"></a>

Neste tutorial, criamos Bring Your Own License (BYOL) Windows 10 e 11 personal WorkSpaces que são Microsoft Entra ID associados e inscritos no Microsoft Intune. Antes de criá-lo WorkSpaces, você precisa primeiro criar um diretório WorkSpaces pessoal dedicado para o Entra ID-join WorkSpaces.

**nota**  
O Microsoft Entra join personal WorkSpaces está disponível em todas as AWS regiões onde a Amazon WorkSpaces é oferecida, exceto na África (Cidade do Cabo), Israel (Tel Aviv) e China (Ningxia).

**Contents**
+ [Visão geral do](#entra-overview)
+ [Requisitos e limitações](#entra-requirements-limitation)
+ [Etapa 1: habilitar o IAM Identity Center e sincronizar com o Microsoft Entra ID](#entra-step-1)
+ [Etapa 2: registrar um aplicativo Microsoft Entra ID para conceder permissões para o Windows Autopilot](#entra-step-2)
+ [Etapa 3: configurar o modo controlado pelo usuário do Windows Autopilot](#entra-step-3)
+ [Etapa 4: criar um AWS Secrets Manager segredo](#entra-step-4)
+ [Etapa 5: Crie um WorkSpaces diretório Microsoft Entra ID dedicado](#entra-step-5)
+ [Configurar o aplicativo IAM Identity Center para um WorkSpaces diretório (opcional)](#configure-iam-directory)
+ [Criar uma integração com o Centro de Identidade do IAM entre regiões (opcional)](#create-cross-region-iam-identity-integration)

## Visão geral do
<a name="entra-overview"></a>

Um WorkSpaces diretório pessoal do Microsoft Entra ID contém todas as informações necessárias para iniciar o Microsoft Entra ID-Join, WorkSpaces que são atribuídas aos seus usuários gerenciados com o Microsoft Entra ID. As informações do usuário são disponibilizadas WorkSpaces por meio AWS do IAM Identity Center, que atua como um agente de identidade para levar a identidade da sua força de trabalho da Entra ID para AWS. O modo orientado pelo usuário do Microsoft Windows Autopilot é usado para realizar a inscrição no WorkSpaces Intune e a adesão ao Entra. O diagrama a seguir ilustra o processo do Autopilot.

![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/images/autopilot.jpg)


## Requisitos e limitações
<a name="entra-requirements-limitation"></a>
+ Plano Microsoft Entra ID P1 ou superior.
+ O Microsoft Entra ID e o Intune estão habilitados e têm atribuições de função.
+ Administrador do Intune: necessário para gerenciar perfis de implantação do Autopilot.
+ Administrador global: obrigatório para conceder o consentimento do administrador para as permissões de API atribuídas ao aplicativo criado na [etapa 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3). O aplicativo pode ser criado sem essa permissão. Contudo, um administrador global precisaria fornecer o consentimento do administrador sobre as permissões do aplicativo.
+ Atribua licenças de assinatura de usuário do Windows 10/11 VDA E3 ou E5 aos seus usuários. WorkSpaces 
+ Os diretórios do Entra ID suportam apenas o Windows 10 ou 11 Bring Your Own License personal WorkSpaces. A seguir estão as versões compatíveis.
  + Windows 10 versão 21H2 (atualização de dezembro de 2021)
  + Windows 10 versão 22H2 (atualização de novembro de 2022)
  + Windows 11 Enterprise 23H2 (versão de outubro de 2023)
  + Windows 11 Enterprise 22H2 (versão de outubro de 2022)
  + Windows 11 Enterprise 24H2 (versão de outubro de 2024)
  + Windows 11 Enterprise 25H2 (versão de setembro de 2025)
+ Traga sua própria licença (BYOL) está habilitado para sua AWS conta e você tem uma imagem BYOL válida do Windows 10 ou 11 importada em sua conta. Para obter mais informações, consulte [Traga suas próprias licenças de desktop do Windows WorkSpaces](byol-windows-images.md).
+ Os diretórios Microsoft Entra ID oferecem suporte somente ao Windows 10 ou 11 BYOL personal. WorkSpaces
+ Os diretórios Microsoft Entra ID são compatíveis somente com o protocolo DCV.
+ Se você estiver usando um firewall para o seu WorkSpaces, certifique-se de que ele não bloqueie o tráfego de saída para os endpoints do Microsoft Intune e do Windows Autopilot. Consulte [Endpoints de rede para Microsoft Intune - requisitos do Microsoft Intune](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america) e do [Windows Autopilot](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking) para obter detalhes.
+ Os diretórios Microsoft Entra ID não oferecem suporte aos inquilinos do Microsoft Entra ID nos ambientes Government Community Cloud High (GCCH) e Department of Defense (DoD).

## Etapa 1: habilitar o IAM Identity Center e sincronizar com o Microsoft Entra ID
<a name="entra-step-1"></a>

Para criar dados pessoais associados ao Microsoft Entra ID WorkSpaces e atribuí-los aos seus usuários do Entra ID, você precisa disponibilizar as informações do usuário AWS por meio do IAM Identity Center. O IAM Identity Center é o AWS serviço recomendado para gerenciar o acesso dos usuários aos AWS recursos. Para obter mais informações, consulte [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Essa configuração é realizada apenas uma vez.

Se você não tiver uma instância existente do IAM Identity Center para integrar à sua WorkSpaces, recomendamos que você crie uma na mesma região da sua WorkSpaces. Se você tiver uma instância do AWS Identity Center existente em uma região diferente, poderá configurar a integração entre regiões. Para obter mais informações sobre configuração entre regiões, consulte [Criar uma integração com o Centro de Identidade do IAM entre regiões (opcional)](#create-cross-region-iam-identity-integration). 

**nota**  
A integração entre regiões WorkSpaces e o IAM Identity Center não é suportada no AWS GovCloud (US) Region.

1. Ative o IAM Identity Center com suas AWS Organizations, especialmente se você estiver usando um ambiente com várias contas. É possível criar uma instância de conta do IAM Identity Center. Para saber mais, consulte [Habilitar o AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html). Cada WorkSpaces diretório pode ser associado a uma instância, organização ou conta do IAM Identity Center. 

   Se você estiver usando uma instância da organização e tentando criar um WorkSpaces diretório em uma das contas dos membros, verifique se você tem as seguintes permissões do IAM Identity Center.
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos seus recursos do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html). Além disso, certifique-se de que nenhuma política de controle de serviço (SCPs) esteja bloqueando essas permissões. Para saber mais SCPs, consulte [Políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).

1. Configure o IAM Identity Center e o Microsoft Entra ID para sincronizar automaticamente alguns ou todos os usuários do seu inquilino do Entra ID com sua instância do IAM Identity Center. Para obter mais informações, consulte [Configurar SAML e SCIM com o Microsoft Entra ID e o IAM Identity Center e](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html) [Tutorial: Configurar o AWS IAM Identity Center para provisionamento automático de usuários](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial).

1. Verifique se os usuários que você configurou no Microsoft Entra ID estão sincronizados corretamente com a instância AWS do IAM Identity Center. Se você ver uma mensagem de erro no Microsoft Entra ID, isso indica que o usuário no Entra ID está configurado de uma forma que o IAM Identity Center não é compatível. A mensagem de erro identificará esse problema. Por exemplo, se o objeto de usuário no Entra ID não tiver um nome, and/or sobrenome ou nome de exibição, você receberá uma mensagem de erro semelhante `"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"` a. Para obter mais informações, consulte [Specific users fail to synchronize into IAM Identity Center from an external SCIM provider](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2).

**nota**  
WorkSpaces usa o atributo Entra ID UserPrincipalName (UPN) para identificar usuários individuais e as seguintes são suas limitações:  
UPNs não pode exceder 63 caracteres.
Se você alterar o UPN depois de atribuir um WorkSpace a um usuário, o usuário não conseguirá se conectar ao UPN dele, a WorkSpace menos que você altere o UPN de volta ao que era antes.

## Etapa 2: registrar um aplicativo Microsoft Entra ID para conceder permissões para o Windows Autopilot
<a name="entra-step-2"></a>

WorkSpaces O Personal usa o modo orientado pelo usuário do Microsoft Windows Autopilot para se inscrever no WorkSpaces Microsoft Intune e juntá-lo ao Microsoft Entra ID.

Para permitir que WorkSpaces a Amazon registre o WorkSpaces Personal no Autopilot, você deve registrar um aplicativo Microsoft Entra ID que conceda as permissões necessárias da API Microsoft Graph. Para obter mais informações sobre o registro de um aplicativo Entra ID, consulte [Quickstart: Register an application with the Microsoft identity platform](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate).

Recomendamos fornecer as seguintes permissões de API em seu aplicativo Entra ID.
+ Para criar um novo pessoal WorkSpace que precisa ser associado ao Entra ID, é necessária a seguinte permissão da API.
  + `DeviceManagementServiceConfig.ReadWrite.All`
+ Quando você encerra uma conta pessoal WorkSpace ou a reconstrói, as seguintes permissões são usadas. 
**nota**  
Se você não fornecer essas permissões, ela WorkSpace será encerrada, mas não será removida dos seus inquilinos do Intune e da Entra ID e você terá que removê-las separadamente.
  + `DeviceManagementServiceConfig.ReadWrite.All`
  + `Device.ReadWrite.All`
  + `DeviceManagementManagedDevices.ReadWrite.All`
+ Essas permissões exigem o consentimento do administrador. Para obter mais informações, consulte [Grant tenant-wide admin consent to an application](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal).

Em seguida, você deve adicionar um segredo de cliente para o aplicativo Entra ID. Para obter mais informações, consulte [Add credentials](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials). Lembre-se da string secreta do cliente, pois você precisará dela ao criar o segredo do AWS Secrets Manager na Etapa 4.

## Etapa 3: configurar o modo controlado pelo usuário do Windows Autopilot
<a name="entra-step-3"></a>

Certifique-se de estar familiarizado com o [Step by step tutorial for Windows Autopilot user-driven Microsoft Entra join in Intune](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow).

**Para configurar seu Microsoft Intune para Autopilot**

1. Entre no centro de administração do Microsoft Intune

1. Crie um novo grupo de dispositivos de piloto automático para uso pessoal WorkSpaces. Para obter mais informações, consulte [Create device groups for Windows Autopilot](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot).

   1. Escolha **Grupos**, **Novo grupo**

   1. Em **Group type**, escolha **Security**.

   1. Para **Tipo de associação**, escolha **Dispositivo dinâmico**.

   1. Escolha **Editar consulta dinâmica** para criar uma regra de associação dinâmica. A regra deverá estar no seguinte formato:

      ```
      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      ```
**Importante**  
`WorkSpacesDirectoryName`deve corresponder ao nome do diretório WorkSpaces pessoal do Entra ID que você criou na etapa 5. Isso ocorre porque a string do nome do diretório é usada como tag de grupo ao WorkSpaces registrar desktops virtuais no Autopilot. Além disso, a tag de grupo é mapeada para o atributo `OrderID` nos dispositivos Microsoft Entra. 

1. Escolha **Dispositivos**, **Windows**, **Registro**. Para **Opções de registro**, escolha **Inscrição automática**. Para o **escopo do usuário MDM**, selecione **Tudo**.

1. Crie um perfil de implantação do Autopilot. Para obter mais informações, consulte [ Criar um perfil de implantação do Autopilot](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile).

   1. Para o **Windows Autopilot**, escolha **Perfis de implantação**, **Criar perfil**.

   1. Na tela de **perfis de implantação do Windows Autopilot**, selecione o menu suspenso **Criar perfil** e, em seguida, selecione **Windows PC**.

   1. Na tela **Criar perfil**, na página **Na Out-of-box experiência (OOBE)**. Para o **modo de implantação**, selecione **Controlado pelo usuário**. Em **Acessar no Microsoft Entra ID**, selecione **Microsoft Entra acessado**. Você pode personalizar os nomes dos computadores do seu pessoal associado ao Entra ID WorkSpaces selecionando **Sim** para **Aplicar modelo de nome de dispositivo**, para criar um modelo a ser usado ao nomear um dispositivo durante o registro.

   1. Na página **Tarefas**, em **Atribuir a**, escolha **Grupos selecionados**. Escolha **Selecionar grupos a serem incluídos** e selecione o grupo de dispositivos do Autopilot que você acabou de criar em 2.

## Etapa 4: criar um AWS Secrets Manager segredo
<a name="entra-step-4"></a>

Você deve criar um segredo AWS Secrets Manager para armazenar com segurança as informações, incluindo o ID do aplicativo e o segredo do cliente, para o aplicativo Entra ID em que você criou. [Etapa 2: registrar um aplicativo Microsoft Entra ID para conceder permissões para o Windows Autopilot](#entra-step-2) Essa configuração é realizada apenas uma vez. 

**Para criar um AWS Secrets Manager segredo**

1. Criar uma chave gerenciada pelo cliente do [AWS Key Management Service](https://aws.amazon.com/kms/). Posteriormente, a chave será usada para criptografar o AWS Secrets Manager segredo. Não use a chave padrão para criptografar seu segredo, pois a chave padrão não pode ser acessada pelo WorkSpaces serviço. Siga as etapas abaixo para criar a chave.

   1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

   1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

   1. Escolha **Criar chave**.

   1. Na página **Configurar chave**, em **Tipo de chave**, escolha **Simétrico**. Em **Uso da chave**, escolha **Criptografar e descriptografar**.

   1. Na página **Revisar**, no editor de políticas de chaves, assegure-se de permitir o `workspaces.amazonaws.com` acesso principal do WorkSpaces serviço à chave, incluindo as seguintes permissões na política de chaves.

      ```
      {
          "Effect": "Allow",
          "Principal": {
              "Service": [
                  "workspaces.amazonaws.com"
              ]
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey"
          ],
          "Resource": "*"
       }
      ```

1. Crie o segredo em AWS Secrets Manager, usando a AWS KMS chave criada na etapa anterior.

   1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

   1. Selecione **Armazenar um novo segredo**.

   1. Na página **Escolher tipo de segredo**, em **Tipo de segredo**, selecione **Outro tipo de segredo**.

   1. Para **pares de chave/valor**, na caixa chave, insira “application\$1id” na caixa de chave e, em seguida, copie o ID do aplicativo Entra ID da [Etapa 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) e cole-o na caixa de valor.

   1. Escolha **Adicionar linha**, na caixa chave, digite “application\$1password”, copie o segredo do cliente do aplicativo Entra ID da [Etapa 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) e cole-o na caixa de valor.

   1. Escolha a AWS KMS chave que você criou na etapa anterior na lista suspensa **Chave de criptografia**.

   1. Escolha **Próximo**.

   1. Na página **Configurar segredo**, insira um **Nome** e uma **Descrição** do segredo.

   1. Em **Permissões do recurso**, escolha **Editar permissões**.

   1. Certifique-se de permitir que o principal `workspaces.amazonaws.com` acesso do WorkSpaces serviço ao segredo inclua a seguinte política de recursos nas permissões do recurso.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement" : [ {
          "Effect" : "Allow",
          "Principal" : {
            "Service" : [ "workspaces.amazonaws.com"]
          },
          "Action" : "secretsmanager:GetSecretValue",
          "Resource" : "*"
        } ]
      }
      ```

------

## Etapa 5: Crie um WorkSpaces diretório Microsoft Entra ID dedicado
<a name="entra-step-5"></a>

Crie um WorkSpaces diretório dedicado que armazene informações para seus usuários ingressados no Microsoft Entra ID WorkSpaces e Entra ID.

**Para criar um WorkSpaces diretório Entra ID**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Na página **Criar diretório**, para **WorkSpaces digitar**, escolha **Pessoal**. Para **gerenciamento de WorkSpace dispositivos**, escolha **Microsoft Entra ID**.

1. Para **ID de inquilino do Microsoft Entra**, insira o ID de inquilino do Microsoft Entra ID ao qual você deseja que o diretório WorkSpaces se junte. Você não poderá alterar o ID do inquilino após a criação do diretório. 

1. Para **ID e senha do aplicativo Entra** ID, selecione o AWS Secrets Manager segredo que você criou na [Etapa 4](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4) na lista suspensa. Não será possível alterar o segredo associado ao diretório depois que ele for criado. No entanto, você sempre pode atualizar o conteúdo do segredo, incluindo o ID do aplicativo Entra ID e sua senha, por meio do AWS Secrets Manager console em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Se sua instância do IAM Identity Center estiver na mesma AWS região do seu WorkSpaces diretório, em **Fonte de identidade do usuário**, selecione a instância do IAM Identity Center que você configurou na [Etapa 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) na lista suspensa. Você não poderá alterar a instância do IAM Identity Center associada ao diretório depois que o diretório for criado.

   Se sua instância do IAM Identity Center estiver em uma AWS região diferente do seu WorkSpaces diretório, escolha **Habilitar entre regiões** e selecione a região na lista suspensa.
**nota**  
Se você tiver uma instância existente do Centro de Identidade do IAM em uma região diferente, poderá optar por configurar a integração entre regiões. Para obter mais informações sobre configuração entre regiões, consulte [Criar uma integração com o Centro de Identidade do IAM entre regiões (opcional)](#create-cross-region-iam-identity-integration). 

1. Em **Nome do diretório**, insira um nome exclusivo para o diretório (por exemplo, `WorkSpacesDirectoryName`).
**Importante**  
O nome do diretório deve corresponder ao `OrderID` usado para criar a consulta dinâmica para o grupo de dispositivos do Autopilot que você criou com o Microsoft Intune na [Etapa 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3). A string do nome do diretório é usada como a tag do grupo ao registrar o pessoal WorkSpaces no Windows Autopilot. A tag de grupo é mapeada para o atributo `OrderID` nos dispositivos Microsoft Entra.

1. (Opcional) Em **Description (Descrição)**, insira uma descrição para a política.

1. Para **VPC**, selecione a VPC que você usou para iniciar sua. WorkSpaces Para obter mais informações, consulte [Configurar uma VPC para uso pessoal WorkSpaces](amazon-workspaces-vpc.md).

1. Para **sub-redes**, selecione duas sub-redes de VPC que não estejam na mesma zona de disponibilidade. Essas sub-redes serão usadas para lançar sua conta pessoal. WorkSpaces Para obter mais informações, consulte [Zonas de disponibilidade do WorkSpaces Personal](azs-workspaces.md).
**Importante**  
Certifique-se de que os WorkSpaces lançados nas sub-redes tenham acesso à Internet, o que é necessário quando os usuários fazem login nos desktops do Windows. Para obter mais informações, consulte [Fornecer acesso à internet para o WorkSpaces Personal](amazon-workspaces-internet-access.md).

1. Em **Configuração**, selecione **Ativar dedicado WorkSpace**. Você deve habilitá-lo para criar um diretório WorkSpaces pessoal dedicado para iniciar o Bring Your Own License (BYOL) do Windows 10 ou 11 personal WorkSpaces. 
**nota**  
Se você não vê a WorkSpace opção **Habilitar dedicado** em **Configuração**, sua conta não foi habilitada para BYOL. Para habilitar o BYOL na sua conta, consulte [Traga suas próprias licenças de desktop do Windows WorkSpaces](byol-windows-images.md).

1. (Opcional) Para **Tags**, especifique o valor do par de chaves que você deseja usar como pessoal WorkSpaces no diretório.

1. Examine o resumo do diretório e escolha **Criar diretório**. A conexão do diretório leva vários minutos. O status inicial do diretório é `Creating`. Quando a criação de diretórios estiver completa, o status será `Active`. 

Um aplicativo do IAM Identity Center também é criado automaticamente em seu nome quando o diretório é criado. Para encontrar o ARN do aplicativo, acesse a página de resumo do diretório.

Agora você pode usar o diretório para iniciar o Windows 10 ou 11 personal WorkSpaces que estão inscritos no Microsoft Intune e associados ao Microsoft Entra ID. Para obter mais informações, consulte [Crie um WorkSpace em WorkSpaces Pessoal](create-workspaces-personal.md). 

Depois de criar um diretório WorkSpaces pessoal, você pode criar um pessoal WorkSpace. Para obter mais informações, consulte [Crie um WorkSpace em WorkSpaces Pessoal](create-workspaces-personal.md).

## Configurar o aplicativo IAM Identity Center para um WorkSpaces diretório (opcional)
<a name="configure-iam-directory"></a>

Um aplicativo do IAM Identity Center também é criado automaticamente uma vez que o diretório é criado. Você pode encontrar o ARN do aplicativo na seção Resumo na página de detalhes do diretório. Por padrão, todos os usuários na instância do Identity Center podem acessar suas atribuições WorkSpaces sem configurar o aplicativo correspondente do Identity Center. No entanto, você pode gerenciar o acesso do usuário WorkSpaces em um diretório configurando a atribuição do usuário para o aplicativo IAM Identity Center.

**Como configurar a atribuição de usuário para o aplicativo IAM Identity Center**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Na guia **Aplicativos AWS gerenciados**, escolha o aplicativo para o WorkSpaces diretório. Os nomes dos aplicativos estão no seguinte formato:`WorkSpaces.wsd-xxxxx`, onde `wsd-xxxxx` está o ID do WorkSpaces diretório.

1. Escolha **Ações**, **Editar detalhes**.

1. Altere o **método de atribuição de usuários e grupos** de **Não exigir atribuições** para **Exigir atribuições**.

1. Escolha **Salvar alterações**.

Depois de fazer essa alteração, os usuários na instância do Identity Center perderão o acesso atribuído, WorkSpaces a menos que sejam atribuídos ao aplicativo. Para atribuir seus usuários ao aplicativo, use o AWS CLI comando `create-application-assignment` para atribuir usuários ou grupos a um aplicativo. Para obter mais informações, consulte [Referência de comandos da AWS CLI](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html).

## Criar uma integração com o Centro de Identidade do IAM entre regiões (opcional)
<a name="create-cross-region-iam-identity-integration"></a>

Recomendamos que sua instância WorkSpaces e a instância associada do IAM Identity Center estejam na mesma AWS região. No entanto, se você já tiver uma instância do IAM Identity Center configurada em uma região diferente da sua WorkSpaces , poderá criar uma integração entre regiões. Ao criar uma integração entre regiões WorkSpaces e o IAM Identity Center, você permite WorkSpaces fazer chamadas entre regiões para acessar e armazenar informações da sua instância do IAM Identity Center, como atributos de usuário e grupo.

**Importante**  
A Amazon WorkSpaces oferece suporte ao IAM Identity Center e WorkSpaces às integrações entre regiões somente para instâncias em nível organizacional. WorkSpaces não oferece suporte a integrações entre regiões do IAM Identity Center para instâncias em nível de conta. Para obter mais informações sobre os tipos de instância do Centro de Identidade do IAM e seus casos de uso, consulte [Compreensão dos tipos de instâncias do Centro de Identidade do IAM](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types).

Se você criar uma integração entre regiões entre um WorkSpaces diretório e uma instância do IAM Identity Center, poderá ter uma latência maior durante a implantação WorkSpaces e durante o login devido às chamadas entre regiões. O aumento na latência é proporcional à distância entre sua WorkSpaces região e a região do centro de identidade do IAM. Recomendamos realizar testes de latência para seu caso de uso específico.

 Você pode habilitar conexões entre regiões do IAM Identity Center durante a [Etapa 5: Crie um WorkSpaces diretório Microsoft Entra ID dedicado](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5). Em **Fonte de identidade do usuário**, selecione a instância do Centro de Identidade do IAM que você configurou na [Etapa 1: habilitar o IAM Identity Center e sincronizar com o Microsoft Entra ID](#entra-step-1) na lista suspensa. 

**Importante**  
Você não poderá alterar a instância do Centro de Identidade do IAM associada ao diretório depois que o diretório for criado.

# Crie um diretório personalizado dedicado com o WorkSpaces Personal
<a name="launch-custom"></a>

Antes de criar o BYOL pessoal do Windows 10 e 11 WorkSpaces e atribuí-los aos seus usuários, gerenciados com o AWS IAM Identity Center Identity Providers (IdPs), você deve criar um WorkSpaces diretório personalizado dedicado. O Personal não WorkSpaces está associado a nenhum Microsoft Active Directory, mas pode ser gerenciado com uma solução de gerenciamento de dispositivos móveis (MDM) de sua escolha, como JumpCloud. Para obter mais informações sobre JumpCloud, consulte [este artigo](https://jumpcloud.com/support/integrate-with-aws-workspaces). Para tutoriais que usam as outras opções, consulte [Criar um diretório para o WorkSpaces Personal](launch-workspaces-tutorials.md).

**nota**  
A Amazon não WorkSpaces pode criar ou gerenciar contas de usuário pessoais WorkSpaces lançadas em um diretório personalizado. Como administrador, você precisará gerenciá-los.
O WorkSpaces diretório personalizado está disponível em todas as AWS regiões onde a Amazon WorkSpaces é oferecida, exceto na África (Cidade do Cabo), Israel (Tel Aviv) e China (Ningxia).
A Amazon não WorkSpaces pode criar ou gerenciar contas de usuário WorkSpaces usando diretórios personalizados. Para garantir que o software do agente MDM que você usa possa criar o perfil do usuário no Windows WorkSpaces, entre em contato com os fornecedores da solução MDM. A criação do perfil de usuário permite que seus usuários entrem na área de trabalho do Windows a partir da tela de login do Windows.

**Contents**
+ [Requisitos e limitações](#custom-requirements-limitations)
+ [Etapa 1: habilitar o IAM Identity Center e conectar-se ao seu provedor de identidade](#custom-step-1)
+ [Etapa 2: criar um WorkSpaces diretório personalizado dedicado](#custom-step-2)

## Requisitos e limitações
<a name="custom-requirements-limitations"></a>
+ Os WorkSpaces diretórios personalizados oferecem suporte somente ao Windows 10 ou 11 Bring Your Own License personal WorkSpaces.
+ Os WorkSpaces diretórios personalizados suportam apenas o protocolo DCV.
+ Certifique-se de habilitar o BYOL para sua AWS conta e de ter seu próprio AWS KMS servidor que seu pessoal WorkSpaces possa acessar para a ativação do Windows 10 e 11. Para obter detalhes, consulte [Traga suas próprias licenças de desktop do Windows WorkSpaces](byol-windows-images.md).
+ Certifique-se de pré-instalar o software do agente MDM na imagem BYOL que você importou para sua conta. AWS

## Etapa 1: habilitar o IAM Identity Center e conectar-se ao seu provedor de identidade
<a name="custom-step-1"></a>

Para atribuir WorkSpaces aos seus usuários gerenciados com seus provedores de identidade, as informações do usuário devem ser disponibilizadas AWS por meio AWS do IAM Identity Center. Recomendamos usar o IAM Identity Center para gerenciar o acesso do usuário aos AWS recursos. Para obter mais informações, consulte [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Essa configuração é realizada apenas uma vez.

**Para disponibilizar as informações do usuário para AWS**

1. Ative o IAM Identity Center ativadoAWS. Você pode ativar o IAM Identity Center com suas AWS organizações, especialmente se estiver usando um ambiente com várias contas. É possível criar uma instância de conta do IAM Identity Center. Para obter mais informações, consulte [Habilitar o AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html). Cada WorkSpaces diretório pode ser associado a uma organização ou instância de conta do IAM Identity Center. Cada instância do IAM Identity Center pode ser associada a um ou mais diretórios WorkSpaces pessoais.

   Se você estiver usando uma instância da organização e tentando criar um WorkSpaces diretório em uma das contas dos membros, certifique-se de ter as seguintes permissões do IAM Identity Center. 
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos seus recursos do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html). Certifique-se de que nenhuma política de controle de serviço (SCPs) esteja bloqueando essas permissões. Para saber mais SCPs, consulte [Políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html).

1. Configure o IAM Identity Center e seu provedor de identidades (IdP) para sincronizar automaticamente os usuários do seu IdP com sua instância do IAM Identity Center. Para obter mais informações, consulte [Getting started tutorials](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) e escolha o tutorial específico para o IdP que você deseja usar. Por exemplo, [usar o IAM Identity Center para se conectar à sua plataforma de JumpCloud diretórios](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html).

1. Verifique se os usuários que você configurou no seu IdP estão sincronizados corretamente com a instância AWS do IAM Identity Center. A primeira sincronização pode levar até uma hora, dependendo da configuração do IdP. 

## Etapa 2: criar um WorkSpaces diretório personalizado dedicado
<a name="custom-step-2"></a>

Crie um diretório WorkSpaces pessoal dedicado que armazene informações sobre suas informações pessoais WorkSpaces e seus usuários.

**Para criar um WorkSpaces diretório personalizado dedicado**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Selecione **Criar diretório**.

1. Na página **Criar diretório**, para **WorkSpaces**digitar, escolha **Pessoal**. Para **gerenciamento de WorkSpace dispositivos**, escolha **Personalizado**.

1. Em **Fonte de identidade do usuário**, selecione a instância do IAM Identity Center que você configurou na [Etapa 1](https://docs.aws.amazon.com/) na lista suspensa. Você não poderá alterar a instância do IAM Identity Center associada ao diretório depois que o diretório for criado.
**nota**  
Você precisa especificar uma instância do IAM Identity Center para o diretório, caso contrário, não será possível inicializar pessoalmente WorkSpaces com o diretório usando o WorkSpaces console. WorkSpaces diretórios sem o Identity Center associado são compatíveis somente com as WorkSpaces principais soluções de parceiros.

1. Em **Nome do diretório**, insira um nome exclusivo para o diretório.

1. Para **VPC**, selecione a VPC que você usou para iniciar sua. WorkSpaces Para obter mais informações, consulte [Configurar uma VPC para uso pessoal WorkSpaces](amazon-workspaces-vpc.md).

1. Para **sub-redes**, selecione duas sub-redes de VPC que não estejam na mesma zona de disponibilidade. Essas sub-redes serão usadas para lançar sua conta pessoal. WorkSpaces Para obter mais informações, consulte [Zonas de disponibilidade do WorkSpaces Personal](azs-workspaces.md).
**Importante**  
Certifique-se de que os WorkSpaces lançados nas sub-redes tenham acesso à Internet, o que é necessário quando os usuários fazem login nos desktops do Windows. Para obter mais informações, consulte [Fornecer acesso à internet para o WorkSpaces Personal](amazon-workspaces-internet-access.md).

1. Em **Configuração**, selecione **Ativar dedicado WorkSpace**. Você deve habilitá-lo para criar um diretório WorkSpaces pessoal dedicado para iniciar o Bring Your Own License (BYOL) do Windows 10 ou 11 personal WorkSpaces. 

1. (Opcional) Para **Tags**, especifique o valor do par de chaves que você deseja usar como pessoal WorkSpaces no diretório.

1. Examine o resumo do diretório e escolha **Criar diretório**. A conexão do diretório leva vários minutos. O status inicial do diretório é `Creating`. Quando a criação de diretórios estiver completa, o status será `Active`. 

Um aplicativo do IAM Identity Center também é criado automaticamente em seu nome quando o diretório é criado. Para encontrar o ARN do aplicativo, acesse a página de resumo do diretório.

Agora você pode usar o diretório para iniciar o Windows 10 ou 11 personal WorkSpaces que estão inscritos no Microsoft Intune e associados ao Microsoft Entra ID. Para obter mais informações, consulte [Crie um WorkSpace em WorkSpaces Pessoal](create-workspaces-personal.md). 

Depois de criar um diretório WorkSpaces pessoal, você pode criar um pessoal WorkSpace. Para obter mais informações, consulte [Crie um WorkSpace em WorkSpaces Pessoal](create-workspaces-personal.md).