使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces - Amazon WorkSpaces
概述要求和限制第 1 步:启用IAM身份中心并与 Microsoft Entra ID 同步第 2 步:注册微软 Entra ID 应用程序以授予 Windows Autopilot 权限第 3 步:配置 Windows 自动驾驶用户驱动模式步骤 4:创建 AWS Secrets Manager 密钥第 5 步:创建专用的微软 Entra ID 目录 WorkSpaces 为 WorkSpaces 目录配置IAM身份中心应用程序(可选)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces

在本教程中,我们创建了自带许可证 (BYOL) Windows 10 和 11 个人版 WorkSpaces ,它们是加入并注册微软 Intune 的微软 Entra ID。在创建此类目录之前 WorkSpaces,您需要先为 Entra ID- WorkSpaces joined 创建一个专用的 WorkSpaces 个人目录。

注意

除非洲(开普敦)、以色列(特拉维夫)和中国(宁夏)外,Microsoft Entra 已加入个人 WorkSpaces 版可在亚马逊 WorkSpaces 提供服务的所有 AWS 地区使用。

概述

微软 Entra ID 个人 WorkSpaces 目录包含启动已加入的 Microsoft Entra ID 所需的所有信息 WorkSpaces ,这些信息已分配给使用微软 Entra ID 管理的用户。用户信息 WorkSpaces 通过 Identity Center 提供, AWS IAM身份中心充当身份代理,将您的员工身份从 Entra ID 带到 AWS。微软 Windows Autopilot 用户驱动模式用于完成 WorkSpaces Intune 注册和 Entra 加入。下图说明了自动驾驶仪的过程。

Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.

要求和限制

  • 微软 Entra ID P1 套餐或更高版本。

  • Microsoft Entra ID 和 Intune 已启用并具有角色分配。

  • Intune 管理员-管理自动驾驶仪部署配置文件所必需的。

  • 全局管理员-为分配给步骤 3 中创建的应用程序的API权限授予管理员同意时所必需的。无需此权限即可创建应用程序。但是,全局管理员需要提供管理员对应用程序权限的同意。

  • 向用户分配 VDA E3/E5 用户订阅许可证,这样他们的 Windows 10 或 11 WorkSpaces 就可以加入 Entra ID。

  • Entra ID 目录仅支持 Windows 10 或 11 个人 WorkSpaces自带许可证。以下是支持的版本。

    • Windows 10 版本 21H2(2021 年 12 月更新)

    • Windows 10 版本 22H2(2022 年 11 月更新)

    • Windows 11 Enterprise 23H2(2023 年 10 月发布)

    • Windows 11 Enterprise 22H2(2022 年 10 月发布)

  • 您的帐户已启用自带许可证 (BYOL),并且您的 AWS 帐户中已导入有效的 Windows 10 或 11 BYOL 映像。有关更多信息,请参阅 带上你自己的 Windows 桌面许可证 WorkSpaces

  • 微软 Entra ID 目录仅支持 Windows 10 或 11 BYOL 个人 WorkSpaces版。

  • 微软 Entra ID 目录仅支持DCV协议。

第 1 步:启用IAM身份中心并与 Microsoft Entra ID 同步

要创建加入 Microsoft Entra ID 的个人信息 WorkSpaces 并将其分配给你的 Entra ID 用户,你必须 AWS 通过 IAM Identity Center 提供用户信息。IAM推荐使用 AWS 身份中心来管理用户对 AWS 资源的访问权限。有关更多信息,请参阅什么是IAM身份中心? 。这是一次性设置。

注意

WorkSpaces 个人目录及其关联的IAM身份中心实例必须位于同一 AWS 区域。

  1. 在您的 Organizations 中启用 AWS Ident IAM ity Center,尤其是在您使用多账户环境时。您也可以创建 Ident IAM ity Center 的账户实例。要了解更多信息,请参阅启用 AWS IAM身份中心。每个 WorkSpaces 目录可以与一个 Ident IAM ity Center 实例、组织或账户相关联。

    如果您正在使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录,请确保您拥有以下 Ident IAM ity Center 权限。

    • "sso:DescribeInstance"

    • "sso:CreateApplication"

    • "sso:PutApplicationGrant"

    • "sso:PutApplicationAuthenticationMethod"

    • "sso:DeleteApplication"

    • "sso:DescribeApplication"

    • "sso:getApplicationGrant"

    有关更多信息,请参阅管理您的 Ident IAM ity Center 资源的访问权限概述。此外,请确保没有服务控制策略 (SCPs) 阻止这些权限。要了解更多信息SCPs,请参阅服务控制策略 (SCPs)

  2. 将 IAM Identity Center 和 Microsoft Entra ID 配置为自动将您的 Entra ID 租户中的选定或所有用户同步到您的IAM身份中心实例。有关更多信息,请参阅配置SAML和SCIM使用 Microsoft Entra ID 和IAM身份中心以及教程:配置 AWS IAM身份中心以实现自动用户配置

  3. 验证你在 Microsoft Entra ID 上配置的用户是否已正确同步到 AWS IAM身份中心实例。如果你看到来自 Microsoft Entra ID 的错误消息 “请求无法解析、语法不正确或违反架构”,则表示 Entra ID 中的用户是以身份中心不支持的方式配置的。IAM例如,Entra ID 中的用户对象缺少名字、姓氏和/或显示名称。有关更多信息,请参阅特定用户无法从外部SCIM提供商同步到 IAM Identity Cent er。

注意

WorkSpaces 使用 Entra ID UserPrincipalName (UPN) 属性来识别单个用户,其局限性如下:

  • UPNs长度不能超过 63 个字符。

  • 如果您在为用户分配UPN后 WorkSpace 进行更改,则 WorkSpace 除非您将其更改UPN回以前的状态,否则用户将无法连接到他们的。

第 2 步:注册微软 Entra ID 应用程序以授予 Windows Autopilot 权限

WorkSpaces Personal 使用微软 Windows Autopilot 用户驱动模式注册 WorkSpaces 微软 Intune 并加入微软 Entra ID。

要允许亚马逊 WorkSpaces 在 Autopilot 中注册 WorkSpaces 个人版,你必须注册一个授予必要的 Microsoft Graph API 权限的 Microsoft Entra ID 应用程序。有关注册 Entra ID 应用程序的更多信息,请参阅快速入门:在 Microsoft 身份平台上注册应用程序

我们建议在您的 Entra ID 应用程序中提供以下API权限。

  • 要创建需要加入 Entra ID 的新个 WorkSpace 人,需要API获得以下许可。

    • DeviceManagementServiceConfig.ReadWrite.All

  • 当您终止个人 WorkSpace 或重建个人时,将使用以下权限。

    注意

    如果您不提供这些权限,则 WorkSpace 会被终止,但不会从您的 Intune 和 Entra ID 租户中移除这些权限,您必须分别将其删除。

    • DeviceManagementServiceConfig.ReadWrite.All

    • Device.ReadWrite.All

    • DeviceManagementManagedDevices.ReadWrite.All

  • 这些权限需要管理员同意。有关更多信息,请参阅授予整个租户对应用程序的管理员同意。

接下来,您必须为 Entra ID 应用程序添加客户端密钥。有关更多信息,请参阅添加凭证。请务必记住客户端密钥字符串,因为在步骤 4 中创建 AWS Secrets Manager 密钥时将需要该字符串。

第 3 步:配置 Windows 自动驾驶用户驱动模式

确保你熟悉 Windows Autopilot 分步教程用户驱动的 Microsoft Entra 在 Intune 中加入

要将你的 Microsoft Intune 配置为自动驾驶

  1. 登录微软 Intune 管理中心

  2. 为个人 WorkSpaces创建新的自动驾驶设备组。有关更多信息,请参阅为 Windows 自动驾驶仪创建设备组

    1. 选择群组新建群组

    2. 对于 Group type,选择 Security

    3. 对于会员类型,请选择动态设备

    4. 选择编辑动态查询以创建动态成员资格规则。该规则应采用以下格式:

      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      重要

      WorkSpacesDirectoryName应与您在步骤 5 中创建的 Entra ID WorkSpaces 个人目录的目录名一致。这是因为在将虚拟桌面 WorkSpaces 注册到 Autopilot 时,目录名称字符串用作组标签。此外,群组标签会映射到 Microsoft E OrderID ntra 设备上的属性。

  3. 选择 “设备”、“Windows”、“注册”。在 “注册选项” 中,选择 “自动注册”。对于MDM用户范围,选择 “全部”。

  4. 创建自动驾驶仪部署配置文件。有关更多信息,请参阅创建 Autopilot 部署配置文件

    1. 对于 Windows 自动驾驶,选择部署配置文件创建配置文件

    2. Windows Autopilot 部署配置文件屏幕中,选择创建配置文件下拉菜单,然后选择 Windows PC

    3. 在 “创建个人资料” 屏幕中,在 Out-of-box体验 (OOBE) 页面上。对于部署模式,选择用户驱动要加入微软 Entra ID,请选择微软 Entra 已加入。您可以为已加入 Entra ID 的个人 WorkSpaces 自定义计算机名称,方法是在 “应用设备名称模板” 中选择 “”,创建在注册期间命名设备时使用的模板。

    4. 在 “任务” 页面上,对于 “分配给”,选择 “选定小组”。选择 “选择要包含的群组”,然后选择您刚刚在 2 中创建的 Autopilot 设备群组。

步骤 4:创建 AWS Secrets Manager 密钥

您必须在中创建密钥 AWS Secrets Manager 才能安全地存储您在中创建的 Entra ID 应用程序的信息,包括应用程序 ID 和客户端密钥。第 2 步:注册微软 Entra ID 应用程序以授予 Windows Autopilot 权限这是一次性设置。

创建密 AWS Secrets Manager 钥

  1. 在上创建客户管理的密钥AWS Key Management Service。稍后将使用该密钥来加密 AWS Secrets Manager 密钥。请勿使用默认密钥来加密您的密钥,因为 WorkSpaces 服务无法访问默认密钥。按照以下步骤创建密钥。

    1. https://console.aws.amazon.com/km AWS KMS s 处打开控制台。

    2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

    3. 选择 Create key

    4. 配置密钥页面上,为密钥类型选择对称。对于密钥的使用,请选择加密和解密

    5. 在 “查看” 页面的密钥策略编辑器中,通过在密钥策略中包含以下权限,确保允许 WorkSpaces 服务的委托人workspaces.amazonaws.com访问密钥。

      {
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "workspaces.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
 }

  2. 使用上 AWS Secrets Manager一步中创建的密 AWS KMS 钥在上创建密钥。

    1. 打开 Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/

    2. 选择 存储新密钥

    3. 选择密钥类型页面上,为密钥类型选择其他密钥类型

    4. 对于键/值对,在密钥框中,在密钥框中输入 “application_id”,然后复制步骤 2 中的 Entra ID 应用程序 ID 并将其粘贴到值框中。

    5. 选择添加行,在密钥框中输入 “application_password”,然后复制步骤 2 中的 Entra ID 应用程序客户端密钥并将其粘贴到值框中。

    6. 加密 AWS KMS 密钥下拉列表中选择您在上一步中创建的密钥

    7. 选择下一步

    8. 配置密钥页面上,输入密钥名称描述

    9. 资源权限部分,选择编辑权限

    10. 通过在资源权限中包含以下资源策略,确保允许 WorkSpaces 服务委托人workspaces.amazonaws.com访问密钥。

      {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "Service" : [ "workspaces.amazonaws.com"]
    },
    "Action" : "secretsmanager:GetSecretValue",
    "Resource" : "*"
  } ]
}

第 5 步:创建专用的微软 Entra ID 目录 WorkSpaces

创建一个专门的 WorkSpaces 目录,用于存储已加入 Microsoft Entra ID WorkSpaces 和 Entra ID 的用户的信息。

创建 Entra ID 目录 WorkSpaces

  1. 打开 WorkSpaces 控制台,网址为https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 在 “创建目录” 页面上,为WorkSpaces 类型选择 “个人”。要进行WorkSpace 设备管理,请选择微软 Entra ID。

  4. 对于 Microsoft Entra 租户 ID,请输入你希望目录加入的 WorkSpace 微软 Entra ID 租户 ID。创建目录后,您将无法更改租户 ID。

  5. 对于 Entra ID 应用程序 ID 和密码,请从下拉列表中选择您在步骤 4 中创建的 AWS Secrets Manager 密钥。创建目录后,您将无法更改与该目录关联的密钥。但是,您可以随时通过 AWS Secrets Manager 控制台更新密钥的内容,包括 Entra ID 应用程序 ID 及其密码,网址为https://console.aws.amazon.com/secretsmanager/

  6. 对于用户身份源,请从下拉列表中选择您在步骤 1 中配置的 Ident IAM ity Center 实例。创建目录后,您将无法更改与该目录关联的 Ident IAM ity Center 实例。

  7. 目录名称中,输入目录的唯一名称(例如,WorkSpacesDirectoryName)。

    重要

    目录名称应与您在步骤 3 中OrderID使用 Microsoft Intune 创建的自动驾驶设备组构建动态查询时使用的目录名称一致。将个人注册 WorkSpaces 到 Windows Autopilot 时,目录名称字符串用作群组标签。组标签映射到 Microsoft E OrderID ntra 设备上的属性。

  8. (可选)对于描述,输入目录的描述。

  9. 对于 VPCVPC,请选择您用来启动的 WorkSpaces。有关更多信息,请参阅 VPC为 WorkSpaces 个人配置

  10. 对于子网,请选择您的两个不VPC属于同一可用区的子网。这些子网将用于启动您的个人 WorkSpaces网络。有关更多信息,请参阅 WorkSpaces 个人可用区

    重要

    确保子网中 WorkSpaces 启动的用户可以访问互联网,这是用户登录到 Windows 桌面时所必需的。有关更多信息,请参阅 为 WorkSpaces 个人提供互联网接入

  11. 在 “配置” 中,选择 “启用专用” WorkSpace。你必须启用它才能创建专用的 WorkSpaces 个人目录才能启动 “自带许可证” (BYOL) Windows 10 或 11 个人版 WorkSpaces。

    注意

    如果您未在 “配置 WorkSpace” 下看到 “启用专用” 选项,则说明您的账户尚未启用BYOL。要BYOL为您的账户启用,请参阅带上你自己的 Windows 桌面许可证 WorkSpaces

  12. (可选)在 “标签” 中,指定要在目录 WorkSpaces 中用于个人的 key pair 值。

  13. 查看目录摘要,然后选择创建目录。连接目录需要几分钟时间。目录的初始状态是 Creating。目录创建完毕后,状态会变为 Active

创建目录后,还会自动代表您创建 Ident IAM ity Center 应用程序。要查找应用程序,ARN请转到目录的摘要页面。

现在,你可以使用该目录启动已注册微软 Intune 并加入微软 Entra ID 的 Windows 10 或 11 个人 WorkSpaces 版。有关更多信息,请参阅 WorkSpace 在 WorkSpaces 个人版中创建

创建 WorkSpaces 个人目录后,您可以创建个人目录 WorkSpace。有关更多信息,请参阅 WorkSpace 在 WorkSpaces 个人版中创建

为 WorkSpaces 目录配置IAM身份中心应用程序(可选)

创建目录后,会自动创建相应的 Id IAM entity Center 应用程序。您可以在目录详细信息页面的 “摘要” 部分ARN中找到该应用程序。默认情况下,Identity Center 实例中的所有用户 WorkSpaces 无需配置相应的 Identity Center 应用程序即可访问其分配的用户。但是,您可以通过为 Ident IAM ity Center 应用程序配置用户分配来管理用户对目录的访问权限。 WorkSpaces

为 Ident IAM ity Center 应用程序配置用户分配

  1. 打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. AWS 托管应用程序选项卡上,为 WorkSpaces 目录选择应用程序。应用程序名称采用以下格式:WorkSpaces.wsd-xxxxx,其中wsd-xxxxx是 WorkSpaces 目录 ID。

  3. 选择 “操作”、“编辑详细信息”

  4. 用户和小组分配方法从 “不需要分配” 更改为 “需要分配”

  5. 选择 Save changes(保存更改)

进行此更改后,Identity Center 实例中的用户将失去其分配的访问权限, WorkSpaces 除非他们被分配给应用程序。要将用户分配给应用程序,请使用 AWS CLI 命令create-application-assignment将用户或组分配给应用程序。有关更多信息,请参阅 AWS CLI 命令参考