为 WorkSpaces 个人版创建专用 Microsoft Entra ID 目录 - Amazon WorkSpaces
概述要求和限制步骤 1:启用 IAM Identity Center 并与 Microsoft Entra ID 同步步骤 2:注册 Microsoft Entra ID 应用程序以授予 Windows Autopilot 权限步骤 3:配置 Windows Autopilot 用户驱动模式步骤 4:创建 AWS Secrets Manager 密钥步骤 5:创建一个专用 Microsoft Entra ID WorkSpaces 目录为 WorkSpaces 目录配置 IAM Identity Center 应用程序(可选)

为 WorkSpaces 个人版创建专用 Microsoft Entra ID 目录

在本教程中,我们将创建自带许可(BYOL)Windows 10 和 11 个人 WorkSpaces,这些 WorkSpaces 加入了 Microsoft Entra ID 并注册到 Microsoft Intune。在创建此类 WorkSpaces 之前,您需要先为已加入 Entra ID 的 WorkSpaces 创建一个专用 WorkSpaces 个人版目录。

注意

加入 Microsoft Entra 的个人 WorkSpaces 在提供 Amazon WorkSpaces 的所有 AWS 区域可用,但非洲(开普敦)、以色列(特拉维夫)和中国(宁夏)除外。

概述

Microsoft Entra ID 个人 WorkSpaces 目录包含启动加入了 Microsoft Entra ID 的 WorkSpaces 所需的所有信息,这些 WorkSpaces 分配给使用 Microsoft Entra ID 管理的用户。用户信息通过 AWS IAM Identity Center 提供给 WorkSpaces,前者充当身份凭证代理程序,将您的员工身份从 Entra ID 带到 AWS。Microsoft Windows Autopilot 用户驱动模式用于完成 WorkSpaces Intune 注册和 Entra 加入。下图说明了 Autopilot 过程。

Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.

要求和限制

  • Microsoft Entra ID P1 计划或更高版本。

  • Microsoft Entra ID 和 Intune 已启用并具有角色分配。

  • Intune 管理员 - 管理 Autopilot 部署配置文件所必需的。

  • 全局管理员 - 为分配给步骤 3 中创建的应用程序的 API 权限授予管理员同意所必需的。无需此权限即可创建应用程序。但是,全局管理员需要提供管理员对应用程序权限的同意。

  • 向用户分配 VDA E3/E5 用户订阅许可证,这样他们的 Windows 10 或 11 WorkSpaces 便可加入 Entra ID。

  • Entra ID 目录仅支持 Windows 10 或 11 自带许可个人 WorkSpaces。以下是受支持的版本。

    • Windows 10 版本 21H2(2021 年 12 月更新)

    • Windows 10 版本 22H2(2022 年 11 月更新)

    • Windows 11 Enterprise 23H2(2023 年 10 月发布)

    • Windows 11 Enterprise 22H2(2022 年 10 月发布)

  • 您的 AWS 账户已启用自带许可(BYOL),并且您的账户中导入了有效的 Windows 10 或 11 BYOL 映像。有关更多信息,请参阅 WorkSpaces 中的自带 Windows 桌面许可证

  • Microsoft Entra ID 目录仅支持 Windows 10 或 11 BYOL 个人 WorkSpaces。

  • Microsoft Entra ID 目录仅支持 DCV 协议。

步骤 1:启用 IAM Identity Center 并与 Microsoft Entra ID 同步

要创建加入了 Microsoft Entra ID 的个人 WorkSpaces 并将其分配给您的 Entra ID 用户,您必须通过 IAM Identity Center 将用户信息提供给 AWS。IAM Identity Center 是推荐的 AWS 服务,用来管理用户对 AWS 资源的访问。有关更多信息,请参阅什么是 IAM Identity Center?。这是一次性设置。

注意

WorkSpaces 个人版目录及其关联的 IAM Identity Center 实例必须位于同一 AWS 区域。

  1. 在您的 AWS Organizations 中启用 IAM Identity Center,尤其是在您使用多账户环境的情况下。您还可以创建 IAM Identity Center 账户实例。要了解详情,请参阅启用 AWS IAM Identity Center。一个 WorkSpaces 目录可以与一个 IAM Identity Center 实例、组织或账户相关联。

    如果您使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录,请确保您拥有以下 IAM Identity Center 权限。

    • "sso:DescribeInstance"

    • "sso:CreateApplication"

    • "sso:PutApplicationGrant"

    • "sso:PutApplicationAuthenticationMethod"

    • "sso:DeleteApplication"

    • "sso:DescribeApplication"

    • "sso:getApplicationGrant"

    有关更多信息,请参阅管理对 IAM Identity Center 资源的访问权限概览。此外,请确保没有服务控制策略(SCP)阻止这些权限。要详细了解 SCP,请参阅服务控制策略(SCP)

  2. 配置 IAM Identity Center 和 Microsoft Entra ID,自动将您 Entra ID 租户中的选定或所有用户同步到 IAM Identity Center 实例。有关更多信息,请参阅使用 Microsoft Entra ID 和 IAM Identity Center 配置 SAML 与 SCIM 以及教程:配置 AWS IAM Identity Center 以实现自动用户预置

  3. 验证您在 Microsoft Entra ID 上配置的用户是否已正确同步到 AWS IAM Identity Center 实例。如果您在 Microsoft Entra ID 中看到错误消息,则表明 Entra ID 中用户的配置方式是 IAM Identity Center 不支持的方式。该错误消息将会识别出此问题。例如,如果 Entra ID 中的用户对象缺少名字、姓氏和/或显示名称,则您将收到类似 "2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1" 的错误消息。相关详情,请参阅特定用户无法从外部 SCIM 提供者同步到 IAM Identity Center

注意

WorkSpaces 使用 Entra ID UserPrincipalName(UPN)属性来识别单个用户,其局限性如下:

  • UPN 的长度不能超过 63 个字符。

  • 如果您在为用户分配 WorkSpace 后更改 UPN,则除非您将 UPN 更改回以前的状态,否则用户将无法连接到 WorkSpace。

步骤 2:注册 Microsoft Entra ID 应用程序以授予 Windows Autopilot 权限

WorkSpaces 个人版使用 Microsoft Windows Autopilot 用户驱动模式,将 WorkSpaces 注册到 Microsoft Intune 并将其加入 Microsoft Entra ID。

要允许 Amazon WorkSpaces 将 WorkSpaces 个人版注册到 Autopilot,您必须注册一款 Microsoft Entra ID 应用程序,以授予必要的 Microsoft Graph API 权限。有关注册 Entra ID 应用程序的更多信息,请参阅 Quickstart: Register an application with the Microsoft identity platform

我们建议在您的 Entra ID 应用程序中提供以下 API 权限。

  • 要创建需要加入 Entra ID 的新个人 WorkSpace,需要以下 API 权限。

    • DeviceManagementServiceConfig.ReadWrite.All

  • 当您终止或重建个人 WorkSpace 时,将使用以下权限。

    注意

    如果您不提供这些权限,WorkSpace 将被终止,但不会从您的 Intune 和 Entra ID 租户中删除,您必须分别将其删除。

    • DeviceManagementServiceConfig.ReadWrite.All

    • Device.ReadWrite.All

    • DeviceManagementManagedDevices.ReadWrite.All

  • 这些权限需要管理员同意。有关更多信息,请参阅 Grant tenant-wide admin consent to an application

接下来,您必须为 Entra ID 应用程序添加客户端密钥。有关更多信息,请参阅 Add credentials。请务必记住客户端密钥字符串,因为在步骤 4 中创建 AWS Secrets Manager 密钥时将需要该字符串。

步骤 3:配置 Windows Autopilot 用户驱动模式

确保您熟悉 Step by step tutorial for Windows Autopilot user-driven Microsoft Entra join in Intune

为 Autopilot 配置 Microsoft Intune

  1. 登录 Microsoft Intune 管理中心

  2. 为个人 WorkSpaces 创建新的 Autopilot 设备组。有关更多信息,请参阅 Create device groups for Windows Autopilot

    1. 依次选择新组

    2. 对于 Group type,选择 Security

    3. 对于会员类型,选择动态设备

    4. 选择编辑动态查询,以创建动态会员规则。该规则应采用以下格式:

      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      重要

      WorkSpacesDirectoryName 应与您在步骤 5 中创建的 Entra ID WorkSpaces 个人版目录的目录名称相匹配。这是因为当 WorkSpaces 将虚拟桌面注册到 Autopilot 时,目录名称字符串将用作组标签。此外,组标签会映射到 Microsoft Entra 设备上的 OrderID 属性。

  3. 依次选择设备Windows注册。在注册选项中,选择自动注册。对于 MDM 用户范围,选择全部

  4. 创建 Autopilot 部署配置文件。有关更多信息,请参阅 Create an Autopilot deployment profile

    1. 对于 Windows Autopilot,依次选择部署配置文件创建配置文件

    2. Windows Autopilot 部署配置文件屏幕中,选择创建配置文件下拉菜单,然后选择 Windows PC

    3. 创建配置文件屏幕上,在开箱即用体验(OOBE)页面中。对于部署模式,选择用户驱动。对于加入 Microsoft Entra ID,选择加入 Microsoft Entra。您可以为已加入 Entra ID 的个人 WorkSpaces 自定义计算机名称(方法是:为应用设备名称模板选择),以便创建在注册期间命名设备时要使用的模板。

    4. 分配页面上,对于分配至,选择选定的组。选择选择要包含的组,然后选择您刚刚在 2 中创建的 Autopilot 设备组。

步骤 4:创建 AWS Secrets Manager 密钥

您必须在 AWS Secrets Manager 中创建密钥,才能安全地存储您在步骤 2:注册 Microsoft Entra ID 应用程序以授予 Windows Autopilot 权限中创建的 Entra ID 应用程序的信息,包括应用程序 ID 和客户端密钥。这是一次性设置。

创建 AWS Secrets Manager 密钥

  1. AWS Key Management Service 中创建客户自主管理型密钥。稍后将使用该密钥来加密 AWS Secrets Manager 密钥。请勿使用默认密钥来加密您的密钥,因为 WorkSpaces 服务无法访问默认密钥。按照以下步骤创建密钥。

    1. https://console.aws.amazon.com/kms 打开 AWS KMS 控制台。

    2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

    3. 选择 Create key

    4. 配置密钥页面上,为密钥类型选择对称。对于密钥用法,选择加密和解密

    5. 查看页面的密钥策略编辑器中,通过在密钥策略中包含以下权限,确保您允许 WorkSpaces 服务的主体 workspaces.amazonaws.com 访问密钥。

      {
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "workspaces.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
 }

  2. 使用上一步中创建的 AWS KMS 密钥,在 AWS Secrets Manager 上创建密钥。

    1. https://console.aws.amazon.com/secretsmanager/ 打开 Secrets Manager 控制台。

    2. 选择 存储新密钥

    3. 选择密钥类型页面上,为密钥类型选择其他密钥类型

    4. 对于键/值对,在密钥框中输入“application_id”,然后复制步骤 2 中的 Entra ID 应用程序 ID,并将其粘贴到值框中。

    5. 选择添加行,在密钥框中输入“application_password”,然后复制步骤 2 中的 Entra ID 应用程序客户端密钥,并将其粘贴到值框中。

    6. 加密密钥下拉列表中,选择上一步创建的 AWS KMS 密钥。

    7. 选择下一步

    8. 配置密钥页面,输入密钥名称描述

    9. 资源权限部分,选择编辑权限

    10. 确保通过在资源权限中包含以下资源策略,允许 WorkSpaces 服务的主体 workspaces.amazonaws.com 访问密钥。

      {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "Service" : [ "workspaces.amazonaws.com"]
    },
    "Action" : "secretsmanager:GetSecretValue",
    "Resource" : "*"
  } ]
}

步骤 5:创建一个专用 Microsoft Entra ID WorkSpaces 目录

创建一个专用 WorkSpaces 目录,用于存储加入了 Microsoft Entra ID 的 WorkSpaces 和 Entra ID 用户的相关信息。

创建 Entra ID WorkSpaces 目录

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 创建目录页面,对于 WorkSpaces 类型,选择个人。对于 WorkSpace 设备管理,选择 Microsoft Entra ID

  4. 对于 Microsoft Entra 租户 ID,输入您希望目录的 WorkSpace 加入的 Microsoft Entra ID 租户 ID。创建目录后,您将无法更改租户 ID。

  5. 对于 Entra ID 应用程序 ID 和密码,从下拉列表中选择您在步骤 4 中创建的 AWS Secrets Manager 密钥。创建目录后,您将无法更改与目录关联的密钥。但是,您可以随时通过 AWS Secrets Manager 控制台(网址为:https://console.aws.amazon.com/secretsmanager/)更新密钥的内容,包括 Entra ID 应用程序 ID 及其密码。

  6. 对于用户身份源,从下拉列表中选择您在步骤 1 中配置的 IAM Identity Center 实例。创建目录后,您将无法更改与目录关联的 IAM Identity Center 实例。

  7. 对于目录名称,输入目录的唯一名称(例如,WorkSpacesDirectoryName)。

    重要

    目录名称应与 OrderID 一致,为您在步骤 3 中使用 Microsoft Intune 创建的 Autopilot 设备组构建动态查询时使用过它。在 Windows Autopilot 中注册个人 WorkSpaces 时,目录名称字符串用作组标签。组标签会映射到 Microsoft Entra 设备上的 OrderID 属性。

  8. (可选)对于描述,输入目录的描述。

  9. 对于 VPC,选择您用于启动 WorkSpaces 的 VPC。有关更多信息,请参阅 为 WorkSpaces 个人版配置 VPC

  10. 对于子网,选择来自不同可用区的 VPC 的两个子网。这些子网将用于启动您的个人 WorkSpaces。有关更多信息,请参阅 WorkSpaces 个人版的可用区

    重要

    确保在子网中启动的 WorkSpaces 可以访问 Internet,这是用户登录 Windows 桌面时所必需的。有关更多信息,请参阅 为 WorkSpaces 个人版提供互联网访问权限

  11. 对于配置,选择启用专用的 WorkSpace。您必须启用它才能创建专用 WorkSpaces 个人版目录,从而启动自带许可(BYOL)Windows 10 或 11 个人 WorkSpaces。

    注意

    如果您未在配置下看到启用专用的 WorkSpace 选项,则说明您的账户尚未启用 BYOL。要为账户启用 BYOL,请参阅WorkSpaces 中的自带 Windows 桌面许可证

  12. (可选)对于标签,指定要用于目录中个人 WorkSpaces 的密钥对值。

  13. 查看目录摘要,然后选择创建目录。连接目录需要几分钟时间。目录的初始状态是 Creating。目录创建完毕后,状态会变为 Active

创建目录后,系统还会自动代表您创建 IAM Identity Center 应用程序。要查找应用程序的 ARN,请转到目录的摘要页面。

现在,您可以使用该目录,启动已注册 Microsoft Intune 并加入 Microsoft Entra ID 的 Windows 10 或 11 个人 WorkSpaces。有关更多信息,请参阅 在 WorkSpaces 个人版中创建 WorkSpace

创建 WorkSpaces 个人版目录后,您可以创建个人 WorkSpace。有关更多信息,请参阅 在 WorkSpaces 个人版中创建 WorkSpace

为 WorkSpaces 目录配置 IAM Identity Center 应用程序(可选)

创建目录后,系统还会自动创建相应的 IAM Identity Center 应用程序。您可以在目录详细信息页面的“摘要”部分,找到应用程序的 ARN。默认情况下,Identity Center 实例中的所有用户无需配置相应的 Identity Center 应用程序,即可访问为其分配的 WorkSpaces。但是,您可以通过为 IAM Identity Center 应用程序配置用户分配,管理用户对目录中 WorkSpaces 的访问权限。

为 IAM Identity Center 应用程序配置用户分配

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. AWS 托管应用程序选项卡上,为 WorkSpaces 目录选择应用程序。应用程序名称采用以下格式:WorkSpaces.wsd-xxxxx,其中,wsd-xxxxx 是 WorkSpaces 目录 ID。

  3. 依次选择操作编辑详细信息

  4. 用户和组分配方法不需要分配更改为需要分配

  5. 选择 Save changes(保存更改)

进行此更改后,Identity Center 实例中的用户将无法访问为其分配的 WorkSpaces,除非系统将其分配到应用程序。要将用户分配给应用程序,请使用 AWS CLI 命令 create-application-assignment,将用户或组分配给应用程序。有关更多信息,请参阅 AWS CLI 命令参考