本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 WorkSpaces 个人版创建目录
WorkSpaces 个人版允许您使用通过 Directory Service 托管的目录,来存储和管理 WorkSpace 及用户的相关信息。使用以下选项创建 WorkSpaces 个人版目录:
+ 创建 Simple AD 目录。
+ 创建 AWS Directory Service for Microsoft Active Directory,也称为 AWS 托管的 Microsoft AD。
+ 使用 Active Directory Connector 连接到现有 Microsoft Active Directory。
+ 在 AWS 托管的 Microsoft AD 目录与本地域之间创建信任关系。
+ 创建一个专用 Microsoft Entra ID WorkSpaces 目录。
+ 创建专用的自定义 WorkSpaces 目录。
**注意**
Amazon WorkSpaces 目前不支持与共享目录一起使用。
如果您将 AWS Managed Microsoft AD 目录配置为多区域复制,则只能注册主区域中的目录以便在 Amazon WorkSpaces 中使用。尝试在复制区域中注册该目录以用于 Amazon WorkSpaces 将失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。
Simple AD 和 AD Connector 供您免费使用,可用于 WorkSpaces。如果连续 30 天没有一起使用 WorkSpaces 与您的 Simple AD 或 AD Connector 目录,则系统将自动取消注册该目录,无法再将其用于 Amazon WorkSpaces,而且将根据 [AWS Directory Service 定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。
## 创建目录前的工作
+ WorkSpaces 并非在所有区域均可用。请确认受支持的区域,并为您的 WorkSpaces 选择一个区域。有关受支持区域的更多信息,请参阅[按 AWS 区域划分的 WorkSpaces 定价](https://aws.amazon.com/workspaces/pricing/)。
+ 创建具有至少两个私有子网的 Virtual Private Cloud。有关更多信息,请参阅 [为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)。必须通过虚拟专用网络 (VPN) 连接或 Direct Connect 将 VPC 连接到您的本地网络。有关更多信息,请参阅《AWS Directory Service 管理指南》**中的 [AD Connector 先决条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。
+ 从 WorkSpace 提供对互联网的访问。有关更多信息,请参阅 [为 WorkSpaces 个人版提供互联网访问权限](amazon-workspaces-internet-access.md)。
有关如何删除空目录的信息,请参阅[删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)。如果您删除了 Simple AD 或 AD Connector 目录,则当您想重新开始使用 WorkSpaces 时,可以随时创建一个新的目录。
**Topics**
+ [创建目录前的工作](#prereqs-tutorials)
+ [确定 WorkSpaces 个人版目录的计算机名称](wsp-directory-identify-computer.md)
+ [为 WorkSpaces 个人版创建 AWS 托管 Microsoft AD 目录](launch-workspace-microsoft-ad.md)
+ [为 WorkSpaces 个人创建一个 Simple AD 目录](launch-workspace-simple-ad.md)
+ [为 WorkSpaces 个人版创建 AD Connector](launch-workspace-ad-connector.md)
+ [在 AWS 托管的 Microsoft AD 目录与本地域之间创建 WorkSpaces 个人版的信任关系](launch-workspace-trusted-domain.md)
+ [使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces](launch-entra-id.md)
+ [使用 “个 WorkSpaces 人” 创建专用的自定义目录](launch-custom.md)
# 确定 WorkSpaces 个人版目录的计算机名称
根据您启动的 WorkSpace 类型(Amazon Linux、Ubuntu 或 Windows),Amazon WorkSpaces 控制台中为 WorkSpace 显示的**计算机名称**值会有所不同。WorkSpace 的计算机名称可以采用以下一种格式:
+ **Amazon Linux**:A-*xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**:R-*xxxxxxxxxxxxx*
+ **Rocky Linux**:R-*xxxxxxxxxxxxx*
+ **Ubuntu**:U-*xxxxxxxxxxxxx*
+ **Windows**:IP-C*xxxxxx* 或 WSAMZN-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx*
对于 Windows WorkSpaces,计算机名称格式由捆绑包类型决定;对于从公共捆绑包或基于公共映像的自定义捆绑包创建的 WorkSpaces,则由创建公共映像的时间决定。
从 2020 年 6 月 22 日起,从公共捆绑包中推出的 Windows WorkSpaces 的计算机名称采用 WSAMZN-*xxxxxxx* 格式,而不是 IP-C*xxxxxx* 格式。
对于基于公共映像的自定义捆绑包,如果公共映像是在 2020 年 6 月 22 日之前创建的,则计算机名称采用 EC2AMAZ-*xxxxxxx* 格式。如果公共映像是在 2020 年 6 月 22 日当天或之后创建的,则计算机名称采用 WSAMZN-*xxxxxxx* 格式。
对于自带许可 (BYOL) 捆绑包,默认情况下,计算机名称使用 DESKTOP-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx* 格式。
如果您在自定义或 BYOL 捆绑包中为计算机名称指定了自定义格式,则您的自定义格式将覆盖这些默认格式。要指定自定义格式,请参阅[为 WorkSpaces 个人版创建自定义 WorkSpaces 图片和捆绑包](create-custom-bundle.md)。
**重要**
创建 WorkSpace 后,您可以放心地更改其计算机名称。例如,您可以在 WorkSpace 上使用命令 `Rename-Computer` 或远程执行 PowerShell 脚本。然后,更新后的 WorkSpace 计算机名称值将显示在 Amazon WorkSpaces 控制台中。
# 为 WorkSpaces 个人版创建 AWS 托管 Microsoft AD 目录
在本教程中,我们将创建 AWS 托管 Microsoft AD 目录。要了解使用其他选项的教程,请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。
首先,创建一个 AWS 托管的 Microsoft AD 目录。Directory Service 会创建 2 个目录服务器,您的 VPC 的每个私有子网中各有一个。请注意,目录最初没有任何用户。您将在下一步启动 WorkSpace 时添加用户。
**注意**
Amazon WorkSpaces 目前不支持与共享目录一起使用。
如果您将 AWS Managed Microsoft AD 目录配置为多区域复制,则只能注册主区域中的目录以便在 Amazon WorkSpaces 中使用。尝试在复制区域中注册该目录以用于 Amazon WorkSpaces 将失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。
**创建 AWS 托管的 Microsoft AD 目录**
1. 打开 WorkSpaces 控制台,网址为:[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在导航窗格中,选择**目录**。
1. 选择**创建目录**。
1. 在**创建目录**页面,对于 **WorkSpaces 类型**,选择**个人**。然后,对于 **WorkSpace 设备管理**,选择 **AWS Directory Service**。
1. 选择**创建目录**,这将打开 AWS Directory Service 上的**设置目录**页面
1. 选择 **AWS 托管 Microsoft AD**,然后选择**下一步**。
1. 按以下说明配置目录:
1. 对于**组织名称**,为您的目录输入一个具有唯一性的组织名称(例如,my-demo-directory)。此名称的字符数不得少于 4 个,仅包含字母数字字符和连字符 (-),并以连字符以外的其他字符开头或结尾。
1. 对于**目录 DNS**,为目录输入一个完全限定名称(例如,workspaces.demo.com)。
**重要**
如果您需要在启动 WorkSpaces 后更新 DNS 服务器,请按照[更新 WorkSpaces 个人版 DNS 服务器](update-dns-server.md)中的步骤操作,确保您的 WorkSpaces 得到正确更新。
1. 对于 **NetBIOS 名称**,为目录输入一个短名称(例如,workspaces)。
1. 对于 **Admin 密码**和**确认密码**,输入目录管理员账户的密码。有关密码要求的更多信息,请参阅《AWS Directory Service 管理指南》**中的[创建您的 AWS Managed Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
1. (可选)对于**描述**,输入目录的描述。
1. 对于 **VPC**,选择您创建的 VPC。
1. 对于 **Subnets**,选择两个私有子网 (具有 CIDR 块 `10.0.1.0/24` 和 `10.0.2.0/24`)。
1. 选择**下一步**。
1. 选择**创建目录**。
1. 您将返回到 WorkSpaces 控制台上的“创建目录”页面。目录的初始状态是 `Requested`,然后是 `Creating`。目录创建完成后(这可能需要几分钟),状态会变为 `Active`。
创建了 AWS 托管 Microsoft AD 目录后,您可以将其注册到 Amazon WorkSpaces。有关更多信息,请参阅 [向 “个人” 注册现有 Directory Service 目录 WorkSpaces](register-deregister-directory.md)。
# 为 WorkSpaces 个人创建一个 Simple AD 目录
在本教程中,我们将启动使用 Sim WorkSpace ple AD 的。要了解使用其他选项的教程,请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。
**注意**
Simple AD 并非在所有AWS地区都可用。请查看受支持的区域,并为您的 Simple AD 目录[选择一个区域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)。有关 Simple AD 支持的区域的更多信息,请参阅 [AWSDirectory Service 的区域可用性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)。
Simple AD 可供您免费使用 WorkSpaces。如果连续 30 天 WorkSpaces 未在您的 Simple AD 目录中使用,则该目录将自动取消注册以供亚马逊使用 WorkSpaces,并且将根据[AWS Directory Service定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。
S@@ [imple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) 目前仅支持 IPv4 寻址,这意味着在创建目录时,关联的 VPC 将配置 IPv4 CIDR 块,并且不支持 IPv6 网络。
当你创建 Simple AD 目录时。 Directory Service创建两个目录服务器,分别位于您的 VPC 的私有子网中。目录最初没有任何用户。在创建用户之后添加用户 WorkSpace。有关更多信息,请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。
**创建 Simple AD 目录**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择**创建目录**。
1. 在 “**创建目录**” 页面上,为**WorkSpaces 类型**选择 “**个人**”。然后,要进行**WorkSpace 设备管理**,请选择 **AWSDirectory Service**。
1. 选择 “**创建目录**”,这将打开 Directory Service 上的 “**设置AWS目录**” 页面
1. 选择 **Simple AD**,然后选择**下一步**。
1. 按以下说明配置目录:
1. 在**组织名称**中,输入目录的唯一组织名称(例如, my-example-directory)。此名称的字符数不得少于 4 个,仅包含字母数字字符和连字符 (-),并以连字符以外的其他字符开头或结尾。
1. 对于**目录 DNS 名称**,输入目录的完全限定名称(例如,example.com)。
**重要**
如果您需要在启动后更新 DNS 服务器 WorkSpaces,请按照中的步骤进行操作,[更新 WorkSpaces 个人版 DNS 服务器](update-dns-server.md)以确保正确更新 WorkSpaces 您的服务器。
1. 对于 **NetBIOS 名称**,为目录键入一个短名称(例如,example)。
1. 对于 **Admin 密码**和**确认密码**,输入目录管理员账户的密码。有关密码要求的更多信息,请参阅《AWS Directory Service 管理指南》**中的[如何创建 Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
1. (可选)对于**描述**,输入目录的描述。
1. 对于**目录大小**,选择**小**。
1. 对于 **VPC**,选择您创建的 VPC。
1. 对于 **Subnets**,选择两个私有子网 (具有 CIDR 块 `10.0.1.0/24` 和 `10.0.2.0/24`)。
1. 选择**下一步**。
1. 选择**创建目录**。
1. 您将返回到 WorkSpaces 控制台上的 “创建目录” 页面。目录的初始状态是 `Requested`,然后是 `Creating`。目录创建完成后(这可能需要几分钟),状态会变为 `Active`。
**在目录创建期间发生的情况**
WorkSpaces 代表您完成以下任务:
+ 创建 IAM 角色以允许 WorkSpaces 服务创建弹性网络接口并列出您的 WorkSpaces 目录。此角色的名称为 `workspaces_DefaultRole`。
+ 在 VPC 中设置一个 Simple AD 目录,用于存储用户和WorkSpace 信息。此目录的管理员账户具有用户名 Administrator 和指定的密码。
+ 创建两个安全组,一个用于目录控制器,另一个用于目录 WorkSpaces 中的安全组。
创建 Simple AD 目录后,您可以将其注册到亚马逊 WorkSpaces。有关更多信息,请参阅 [向 “个人” 注册现有 Directory Service 目录 WorkSpaces](register-deregister-directory.md)。
# 为 WorkSpaces 个人版创建 AD Connector
在本教程中,我们将创建 AD Connector。要了解使用其他选项的教程,请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。
## 创建 AD Connector
**注意**
AD Connector 供您免费使用,可用于 WorkSpaces。如果连续 30 天没有一起使用 WorkSpaces 与您的 AD Connector 目录,则系统将自动取消注册该目录,无法再将其用于 Amazon WorkSpaces,而且将根据 [AWS Directory Service 定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。
要删除空目录,请参阅[删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)。如果您删除了 AD Connector 目录,则当您想重新开始使用 WorkSpaces 时,可以随时创建一个新的目录。
**创建 AD Connector**
1. 打开 WorkSpaces 控制台,网址为:[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在导航窗格中,选择**目录**。
1. 选择**创建目录**。
1. 在**创建目录**页面,对于 **WorkSpaces 类型**,选择**个人**。然后,对于 **WorkSpace 设备管理**,选择 **AWS Directory Service**。
1. 选择**创建目录**,这将打开 AWS Directory Service 上的**设置目录**页面
1. 选择 **AWS 托管 Microsoft AD**,然后选择**下一步**。
1. 对于**组织名称**,为您的目录输入一个具有唯一性的组织名称(例如,my-example-directory)。此名称的字符数不得少于 4 个,仅包含字母数字字符和连字符 (-),并以连字符以外的其他字符开头或结尾。
1. 对于**已连接的目录 DNS**,输入您的本地目录的完全限定名称(例如 example.com)。
1. 对于**已连接的目录 NetBIOS 名称**,输入您的本地目录的短名(例如 example)。
1. 对于 **Connector 账户用户名**,输入您的本地目录中的一个用户的用户名。该用户必须有权读取用户和组、创建计算机对象并将其加入到域中。
1. 对于 **Connector 账户密码**和**确认密码**,输入本地用户的密码。
1. 对于 **DNS 地址**,输入您的本地目录中至少一个 DNS 服务器的 IP 地址。
**重要**
如果您需要在启动 WorkSpaces 后更新 DNS 服务器 IP 地址,请按照[更新 WorkSpaces 个人版 DNS 服务器](update-dns-server.md)中的步骤操作,确保您的 WorkSpaces 得到正确更新。
1. (可选)对于**描述**,输入目录的描述。
1. 保持 **Size** 为 **Small**。
1. 对于 **VPC**,选择您的 VPC。
1. 对于 **Subnets**,选择您的子网。所指定的 DNS 服务器必须能够从每个子网访问。
1. 选择**创建目录**。
1. 您将返回到 WorkSpaces 控制台上的“创建目录”页面。目录的初始状态是 `Requested`,然后是 `Creating`。目录创建完成后(这可能需要几分钟),状态会变为 `Active`。
# 在 AWS 托管的 Microsoft AD 目录与本地域之间创建 WorkSpaces 个人版的信任关系
在本教程中,我们将在 AWS 托管的 Microsoft AD 目录与本地域之间创建信任关系。要了解使用其他选项的教程,请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。
**注意**
当 AWS Managed Microsoft AD 配置有与本地目录的信任关系时,在单独的受信任域中通过 AWS 账户启动 WorkSpaces 的情况下可以使用该 AD。但是,使用 Simple AD 或 AD Connector 的 WorkSpaces 无法为受信任域中的用户启动 WorkSpaces。
**设置信任关系**
1. 在您的虚拟私有云(VPC) 中设置 AWS 托管的 Microsoft AD。有关更多信息,请参阅《AWS Directory Service 管理指南》**中的[创建您的 AWS Managed Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
**注意**
Amazon WorkSpaces 目前不支持与共享目录一起使用。
如果您将 AWS Managed Microsoft AD 目录配置为多区域复制,则只能注册主区域中的目录以便在 Amazon WorkSpaces 中使用。尝试在复制区域中注册该目录以用于 Amazon WorkSpaces 将失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。
1. 在 AWS 托管的 Microsoft AD 与本地域之间创建信任关系。确保该信任关系配置为双向信任。有关更多信息,请参阅《AWS Directory Service 管理指南》**中的[教程:创建 AWS Managed Microsoft AD 与本地域之间的信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html)。
可以使用单向或双向信任,来管理 WorkSpace 并向 WorkSpace 进行身份验证,以便向本地用户和组预调配 WorkSpaces。有关更多信息,请参阅[通过 AWS Directory Service 使用单向信任资源域部署 Amazon WorkSpaces](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/)。
**注意**
Red Hat Enterprise Linux、Rocky Linux 和 Ubuntu WorkSpaces 使用系统安全服务进程守护程序(SSSD)进行 Active Directory 集成,SSSD 不支持林信任。改为配置外部信任。建议对 Amazon Linux、Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces 使用双向信任。
您不能使用 Web 浏览器(Web Access)连接到 Linux WorkSpaces。
# 使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces
在本教程中,我们创建了自带许可证 (BYOL) Windows 10 和 11 个人版 WorkSpaces ,它们是加入并注册微软 Intune 的微软 Entra ID。在创建此类目录之前 WorkSpaces,您需要先为 Entra ID- WorkSpaces joined 创建一个专用的 WorkSpaces 个人目录。
**注意**
除非洲(开普敦)、以色列(特拉维夫)和中国(宁夏)外,Microsoft Entra 已加入个人 WorkSpaces 版可在亚马逊 WorkSpaces 提供服务的所有 AWS 地区推出。
**Contents**
+ [概述](#entra-overview)
+ [要求和限制](#entra-requirements-limitation)
+ [步骤 1:启用 IAM Identity Center 并与 Microsoft Entra ID 同步](#entra-step-1)
+ [步骤 2:注册 Microsoft Entra ID 应用程序以授予 Windows Autopilot 权限](#entra-step-2)
+ [步骤 3:配置 Windows Autopilot 用户驱动模式](#entra-step-3)
+ [步骤 4:创建 AWS Secrets Manager 密钥](#entra-step-4)
+ [第 5 步:创建专用的微软 Entra ID 目录 WorkSpaces](#entra-step-5)
+ [为 WorkSpaces 目录配置 IAM 身份中心应用程序(可选)](#configure-iam-directory)
+ [创建跨区域 IAM Identity Center 集成(可选)](#create-cross-region-iam-identity-integration)
## 概述
微软 Entra ID 个人 WorkSpaces 目录包含启动已加入的 Microsoft Entra ID 所需的所有信息 WorkSpaces ,这些信息已分配给使用微软 Entra ID 管理的用户。用户信息 WorkSpaces 通过 AWS IAM Identity Center 提供,IAM 身份中心充当身份代理,将您的员工身份从 Entra ID 带到 AWS。微软 Windows Autopilot 用户驱动模式用于完成 WorkSpaces Intune 注册和 Entra 加入。下图说明了 Autopilot 过程。
![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/autopilot.jpg)
## 要求和限制
+ Microsoft Entra ID P1 计划或更高版本。
+ Microsoft Entra ID 和 Intune 已启用并具有角色分配。
+ Intune 管理员 - 管理 Autopilot 部署配置文件所必需的。
+ 全局管理员 - 为分配给[步骤 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中创建的应用程序的 API 权限授予管理员同意所必需的。无需此权限即可创建应用程序。但是,全局管理员需要提供管理员对应用程序权限的同意。
+ 向你的用户分配 Windows 10/11 VDA E3 或 E5 用户订阅许可证。 WorkSpaces
+ Entra ID 目录仅支持 Windows 10 或 11 个人 WorkSpaces自带许可证。以下是受支持的版本。
+ Windows 10 版本 21H2(2021 年 12 月更新)
+ Windows 10 版本 22H2(2022 年 11 月更新)
+ Windows 11 Enterprise 23H2(2023 年 10 月发布)
+ Windows 11 Enterprise 22H2(2022 年 10 月发布)
+ Windows 11 Enterprise 24H2(2024 年 10 月发布)
+ Windows 11 Enterprise 25H2(2025 年 9 月发布)
+ 您的帐户已启用自带许可证 (BYOL),并且您的 AWS 帐户中已导入有效的 Windows 10 或 11 BYOL 映像。有关更多信息,请参阅 [带上你自己的 Windows 桌面许可证 WorkSpaces](byol-windows-images.md)。
+ 微软 Entra ID 目录仅支持 Windows 10 或 11 BYOL 个人版。 WorkSpaces
+ Microsoft Entra ID 目录仅支持 DCV 协议。
+ 如果你使用防火墙 WorkSpaces,请确保它不会阻止 Microsoft Intune 和 Windows Autopilot 端点的出站流量。有关详细信息,请参阅 [Network endpoints for Microsoft Intune - Microsoft Intune](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america) 和 [Windows Autopilot requirements](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking)。
+ Microsoft Entra ID 目录不支持位于美国政府社区云高级服务(GCCH)和美国国防部(DoD)环境中的 Microsoft Entra ID 租户。
## 步骤 1:启用 IAM Identity Center 并与 Microsoft Entra ID 同步
要创建 Microsoft Entra ID 加入 Microsoft Entra ID 的个人 WorkSpaces 信息并将其分配给你的 Entra ID 用户,你必须 AWS 通过 IAM 身份中心向其提供用户信息。推荐使用 AWS IAM 身份中心来管理用户对 AWS 资源的访问权限。有关更多信息,请参阅[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。这是一次性设置。
如果您没有可与您的集成的现有 IAM Identity Center 实例 WorkSpaces,我们建议您在与您的相同区域创建一个 WorkSpaces。如果您在其他地区拥有现有的 AWS Identity Center 实例,则可以设置跨区域集成。有关跨区域设置的更多信息,请参阅[创建跨区域 IAM Identity Center 集成(可选)](#create-cross-region-iam-identity-integration)。
**注意**
中不支持 WorkSpaces 和 IAM 身份中心之间的跨区域集成。 AWS GovCloud (US) Region
1. 在您 AWS 的 Organizations 中启用 IAM Identity Center,尤其是在您使用多账户环境的情况下。您还可以创建 IAM Identity Center 账户实例。要了解更多信息,请参阅[启用 AWS IAM 身份中心](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每个 WorkSpaces 目录可以与一个 IAM Identity Center 实例、组织或账户相关联。
如果您正在使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录,请确保您拥有以下 IAM Identity Center 权限。
+ `"sso:DescribeInstance"`
+ `"sso:CreateApplication"`
+ `"sso:PutApplicationGrant"`
+ `"sso:PutApplicationAuthenticationMethod"`
+ `"sso:DeleteApplication"`
+ `"sso:DescribeApplication"`
+ `"sso:getApplicationGrant"`
有关更多信息,请参阅[管理对 IAM Identity Center 资源的访问权限概览](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。此外,请确保没有服务控制策略 (SCPs) 阻止这些权限。要了解更多信息 SCPs,请参阅[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
1. 配置 IAM Identity Center 和 Microsoft Entra ID,自动将您 Entra ID 租户中的选定或所有用户同步到 IAM Identity Center 实例。有关更多信息,请参阅[使用 Microsoft Entra ID 和 IAM 身份中心配置 SAML 和 SCIM](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html) 和[教程:配置 AWS IAM 身份中心以实现自动](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial)用户配置。
1. 验证你在 Microsoft Entra ID 上配置的用户是否已正确同步到 AWS IAM 身份中心实例。如果您在 Microsoft Entra ID 中看到错误消息,则表明 Entra ID 中用户的配置方式是 IAM Identity Center 不支持的方式。该错误消息将会识别出此问题。例如,如果 Entra ID 中的用户对象缺少名字、 and/or 姓氏和显示名称,您将收到一条类似的错误消息。`"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"`相关详情,请参阅[特定用户无法从外部 SCIM 提供者同步到 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2)。
**注意**
WorkSpaces 使用 Entra ID UserPrincipalName (UPN) 属性来识别单个用户,其局限性如下:
UPNs 长度不能超过 63 个字符。
如果您在为用户分配后更改 UPN,则 WorkSpace 除非您 WorkSpace 将 UPN 更改回以前的状态,否则用户将无法连接到他们的 UPN。
## 步骤 2:注册 Microsoft Entra ID 应用程序以授予 Windows Autopilot 权限
WorkSpaces Personal 使用微软 Windows Autopilot 用户驱动模式注册 WorkSpaces 微软 Intune 并加入微软 Entra ID。
要允许亚马逊 WorkSpaces 在 Autopilot 中注册 WorkSpaces 个人版,你必须注册一个授予必要的 Microsoft Graph API 权限的微软 Entra ID 应用程序。有关注册 Entra ID 应用程序的更多信息,请参阅 [Quickstart: Register an application with the Microsoft identity platform](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate)。
我们建议在您的 Entra ID 应用程序中提供以下 API 权限。
+ 要创建需要加入 Entra ID 的新个人 WorkSpace ,需要获得以下 API 权限。
+ `DeviceManagementServiceConfig.ReadWrite.All`
+ 当您终止个人 WorkSpace 或重建个人时,将使用以下权限。
**注意**
如果您不提供这些权限,则 WorkSpace 会被终止,但不会从您的 Intune 和 Entra ID 租户中移除这些权限,您必须分别将其删除。
+ `DeviceManagementServiceConfig.ReadWrite.All`
+ `Device.ReadWrite.All`
+ `DeviceManagementManagedDevices.ReadWrite.All`
+ 这些权限需要管理员同意。有关更多信息,请参阅 [Grant tenant-wide admin consent to an application](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。
接下来,您必须为 Entra ID 应用程序添加客户端密钥。有关更多信息,请参阅 [Add credentials](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials)。请务必记住客户端密钥字符串,因为在步骤 4 中创建 AWS Secrets Manager 密钥时将需要该字符串。
## 步骤 3:配置 Windows Autopilot 用户驱动模式
确保您熟悉 [Step by step tutorial for Windows Autopilot user-driven Microsoft Entra join in Intune](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow)。
**为 Autopilot 配置 Microsoft Intune**
1. 登录 Microsoft Intune 管理中心
1. 为个人 WorkSpaces创建新的自动驾驶设备组。有关更多信息,请参阅 [Create device groups for Windows Autopilot](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot)。
1. 依次选择**组**、**新组**
1. 对于 **Group type**,选择 **Security**。
1. 对于**会员类型**,选择**动态设备**。
1. 选择**编辑动态查询**,以创建动态会员规则。该规则应采用以下格式:
```
(device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
```
**重要**
`WorkSpacesDirectoryName`应与您在步骤 5 中创建的 Entra ID WorkSpaces 个人目录的目录名相匹配。这是因为在将虚拟桌面 WorkSpaces 注册到 Autopilot 时,目录名称字符串用作组标签。此外,组标签会映射到 Microsoft Entra 设备上的 `OrderID` 属性。
1. 依次选择**设备**、**Windows**、**注册**。在**注册选项**中,选择**自动注册**。对于 **MDM 用户范围**,选择**全部**。
1. 创建 Autopilot 部署配置文件。有关更多信息,请参阅 [Create an Autopilot deployment profile](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile)。
1. 对于 **Windows Autopilot**,依次选择**部署配置文件**、**创建配置文件**。
1. 在 **Windows Autopilot 部署配置文件**屏幕中,选择**创建配置文件**下拉菜单,然后选择 **Windows PC**。
1. 在 “**创建个人资料**” 屏幕中,**在 Out-of-box体验 (OOBE)** 页面上。对于**部署模式**,选择**用户驱动**。对于**加入 Microsoft Entra ID**,选择**加入 Microsoft Entra**。您可以为已加入 Entra ID 的个人 WorkSpaces 自定义计算机名称,方法是在 “**应用设备名称模板**” 中选择 “**是**”,创建在注册期间命名设备时使用的模板。
1. 在**分配**页面上,对于**分配至**,选择**选定的组**。选择**选择要包含的组**,然后选择您刚刚在 2 中创建的 Autopilot 设备组。
## 步骤 4:创建 AWS Secrets Manager 密钥
您必须在中创建密钥 AWS Secrets Manager 才能安全地存储您在中创建的 Entra ID 应用程序的信息,包括应用程序 ID 和客户端密钥。[步骤 2:注册 Microsoft Entra ID 应用程序以授予 Windows Autopilot 权限](#entra-step-2)这是一次性设置。
**创建密 AWS Secrets Manager 钥**
1. 在 [AWS Key Management Service](https://aws.amazon.com/kms/) 中创建客户自主管理型密钥。稍后将使用该密钥来加密 AWS Secrets Manager 密钥。请勿使用默认密钥来加密您的密钥,因为 WorkSpaces 服务无法访问默认密钥。按照以下步骤创建密钥。
1. 在 [https://console.aws.amazon.com/km AWS KMS](https://console.aws.amazon.com/kms) s 处打开控制台。
1. 要更改 AWS 区域,请使用页面右上角的区域选择器。
1. 选择**创建密钥**。
1. 在**配置密钥**页面上,为**密钥类型**选择**对称**。对于**密钥用法**,选择**加密和解密**。
1. 在 “**查看**” 页面的密钥策略编辑器中,通过在密钥策略中包含以下权限,确保允许 WorkSpaces 服务的委托人`workspaces.amazonaws.com`访问密钥。
```
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. 使用上 AWS Secrets Manager一步中创建的密 AWS KMS 钥在上创建密钥。
1. 打开 Secrets Manager 控制台,网址为[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。
1. 选择**存储新密钥**。
1. 在**选择密钥类型**页面上,为**密钥类型**选择**其他密钥类型**。
1. 对于**键/值对**,在密钥框中输入“application\$1id”,然后复制[步骤 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 中的 Entra ID 应用程序 ID,并将其粘贴到值框中。
1. 选择**添加行**,在密钥框中输入“application\$1password”,然后复制[步骤 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 中的 Entra ID 应用程序客户端密钥,并将其粘贴到值框中。
1. 从**加密 AWS KMS 密钥下拉列表中选择您在上一步中创建的密钥**。
1. 选择**下一步**。
1. 在**配置密钥**页面,输入**密钥名称**和**描述**。
1. 在**资源权限**部分,选择**编辑权限**。
1. 通过在资源权限中包含以下资源策略,确保允许 WorkSpaces 服务委托人`workspaces.amazonaws.com`访问密钥。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"Service" : [ "workspaces.amazonaws.com"]
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}
```
------
## 第 5 步:创建专用的微软 Entra ID 目录 WorkSpaces
创建一个专门的 WorkSpaces 目录,用于存储已加入 Microsoft Entra ID WorkSpaces 和 Entra ID 的用户的信息。
**创建 Entra ID 目录 WorkSpaces**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 在 “**创建目录**” 页面上,为**WorkSpaces 类型**选择 “**个人**”。要进行**WorkSpace 设备管理**,请选择**微软 Entra ID。**
1. 对于 **Microsoft Entra 租户 ID**,请输入你希望目录加入的 WorkSpaces 微软 Entra ID 租户 ID。创建目录后,您将无法更改租户 ID。
1. 对于 **Entra ID 应用程序 ID 和密码**,请从下拉列表中选择您在[步骤 4](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4) 中创建的 AWS Secrets Manager 密钥。创建目录后,您将无法更改与目录关联的密钥。但是,您可以随时通过 AWS Secrets Manager 控制台更新密钥的内容,包括 Entra ID 应用程序 ID 及其密码,网址为[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。
1. 如果您的 IAM Identity Center 实例与您的 WorkSpaces目录位于同一 AWS 区域,则对于**用户身份源**,请从下拉列表中选择您在[步骤 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) 中配置的 IAM 身份中心实例。创建目录后,您将无法更改与目录关联的 IAM Identity Center 实例。
如果您的 IAM Identity Center 实例与您的 WorkSpaces 目录位于不同的 AWS 区域,请选择**启用跨区域**,然后从下拉列表中选择该区域。
**注意**
如果您在其他区域拥有现有的 IAM Identity Center 实例,则必须选择加入才能设置跨区域集成。有关跨区域设置的更多信息,请参阅[创建跨区域 IAM Identity Center 集成(可选)](#create-cross-region-iam-identity-integration)。
1. 对于**目录名称**,输入目录的唯一名称(例如,`WorkSpacesDirectoryName`)。
**重要**
目录名称应与 `OrderID` 一致,为您在[步骤 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中使用 Microsoft Intune 创建的 Autopilot 设备组构建动态查询时使用过它。将个人注册 WorkSpaces 到 Windows Autopilot 时,目录名称字符串用作群组标签。组标签会映射到 Microsoft Entra 设备上的 `OrderID` 属性。
1. (可选)对于**描述**,输入目录的描述。
1. 对于 **VP** C,请选择您用来启动的 VPC WorkSpaces。有关更多信息,请参阅 [为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)。
1. 对于**子网**,选择来自不同可用区的 VPC 的两个子网。这些子网将用于启动您的个人 WorkSpaces网络。有关更多信息,请参阅 [WorkSpaces 个人版的可用区](azs-workspaces.md)。
**重要**
确保子网中 WorkSpaces 启动的用户可以访问互联网,这是用户登录到 Windows 桌面时所必需的。有关更多信息,请参阅 [为 WorkSpaces 个人版提供互联网访问权限](amazon-workspaces-internet-access.md)。
1. 在 “**配置**” 中,选择 “**启用专用**” WorkSpace。你必须启用它才能创建专用的 WorkSpaces 个人目录才能启动 Windows 10 或 11 个人 WorkSpaces版自带许可证 (BYOL)。
**注意**
如果您未在 “**配置 WorkSpace**” 下看到 “**启用专用**” 选项,则说明您的账户尚未启用 BYOL。要为账户启用 BYOL,请参阅[带上你自己的 Windows 桌面许可证 WorkSpaces](byol-windows-images.md)。
1. (可选)在 “**标签**” 中,指定要在目录 WorkSpaces 中用于个人的 key pair 值。
1. 查看目录摘要,然后选择**创建目录**。连接目录需要几分钟时间。目录的初始状态是 `Creating`。目录创建完毕后,状态会变为 `Active`。
创建目录后,系统还会自动代表您创建 IAM Identity Center 应用程序。要查找应用程序的 ARN,请转到目录的摘要页面。
现在,你可以使用该目录启动已注册微软 Intune 并加入微软 Entra ID 的 Windows 10 或 11 个人 WorkSpaces 版。有关更多信息,请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。
创建 WorkSpaces 个人目录后,您可以创建个人目录 WorkSpace。有关更多信息,请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。
## 为 WorkSpaces 目录配置 IAM 身份中心应用程序(可选)
创建目录后,系统还会自动创建相应的 IAM Identity Center 应用程序。您可以在目录详细信息页面的“摘要”部分,找到应用程序的 ARN。默认情况下,Identity Center 实例中的所有用户 WorkSpaces 无需配置相应的 Identity Center 应用程序即可访问其分配的用户。但是,您可以通过为 IAM Identity Center 应用程序配置用户分配来管理用户对目录的访问权限。 WorkSpaces
**为 IAM Identity Center 应用程序配置用户分配**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**AWS 托管应用程序**选项卡上,为 WorkSpaces 目录选择应用程序。应用程序名称采用以下格式:`WorkSpaces.wsd-xxxxx`,其中`wsd-xxxxx`是 WorkSpaces 目录 ID。
1. 依次选择**操作**、**编辑详细信息**。
1. 将**用户和组分配方法**从**不需要分配**更改为**需要分配**。
1. 选择**保存更改**。
进行此更改后,Identity Center 实例中的用户将失去其分配的访问权限, WorkSpaces 除非他们被分配给应用程序。要将用户分配给应用程序,请使用 AWS CLI 命令`create-application-assignment`将用户或组分配给应用程序。有关更多信息,请参阅 [AWS CLI 命令参考](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html)。
## 创建跨区域 IAM Identity Center 集成(可选)
我们建议您的实例 WorkSpaces 和关联的 IAM Identity Center 实例位于同一 AWS 区域。但是,如果您已经在与您所在区域不同的区域配置了 IAM Identity Center 实例,则可以创建跨区域集成。 WorkSpaces 当您创建跨区域 WorkSpaces 和 IAM Identity Center 集成时,您可以进行跨区域调用 WorkSpaces ,以访问和存储来自您的 IAM Identity Center 实例的信息,例如用户和群组属性。
**重要**
Amazon 仅 WorkSpaces 支持组织级实例的跨区域 IAM 身份中心和 WorkSpaces 集成。 WorkSpaces 不支持账户级实例的跨区域 IAM 身份中心集成。有关 IAM Identity Center 实例类型及其应用场景的更多信息,请参阅[了解 IAM Identity Center 实例的类型](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types)。
如果您在 WorkSpaces 目录和 IAM Identity Center 实例之间创建跨区域集成,则由于跨区域调用,您在部署时 WorkSpaces 和登录期间可能会遇到更高的延迟。延迟的增加与您所在 WorkSpaces 地区和 IAM 身份中心区域之间的距离成正比。建议针对您的特定应用场景执行延迟测试。
您可以在[步骤 5:创建专用 Microsoft Entra ID WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5) 目录期间启用跨区域 IAM 身份中心连接。对于**用户身份源**,从下拉菜单中选择您在[步骤 1:启用 IAM Identity Center 并与 Microsoft Entra ID 同步](#entra-step-1)中配置的 IAM Identity Center 实例。
**重要**
创建后,您无法更改与目录关联的 IAM Identity Center 实例。
# 使用 “个 WorkSpaces 人” 创建专用的自定义目录
在创建 Windows 10 和 11 BYOL 个人 WorkSpaces 版并将其分配给使用 AWS IAM 身份中心身份提供商 (IdPs) 管理的用户之前,您必须创建一个专用的自定义 WorkSpaces 目录。个人版 WorkSpaces 未加入任何 Microsoft Active Directory,但可以使用你选择的移动设备管理 (MDM) 解决方案进行管理,例如 JumpCloud。有关的更多信息 JumpCloud,请参阅[这篇文章](https://jumpcloud.com/support/integrate-with-aws-workspaces)。要了解使用其他选项的教程,请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。
**注意**
Amazon WorkSpaces 无法创建或管理在自定义目录中 WorkSpaces 启动的个人用户账户。作为管理员,您必须对其进行管理。
除非洲(开普敦)、以色列(特拉维夫)和中国(宁夏)外,所有提供亚马逊 WorkSpaces 服务的AWS地区均提供定制 WorkSpaces 目录。
Amazon WorkSpaces 无法 WorkSpaces 使用自定义目录创建或管理用户账户。要确保你使用的 MDM 代理软件可以在 Windows 上创建用户配置文件 WorkSpaces,请联系 MDM 解决方案提供商。创建用户配置文件允许您的用户从 Windows 登录屏幕登录 Windows 桌面。
**Contents**
+ [要求和限制](#custom-requirements-limitations)
+ [步骤 1:启用 IAM Identity Center 并与身份提供者连接](#custom-step-1)
+ [步骤 2:创建专用的自定义 WorkSpaces 目录](#custom-step-2)
## 要求和限制
+ 自定义 WorkSpaces 目录仅支持 Windows 10 或 11 个人自带许可证 WorkSpaces。
+ 自定义 WorkSpaces 目录仅支持 DCV 协议。
+ 确保为您的AWS帐户启用 BYOL,并且您拥有自己的AWS KMS服务器,您的个人 WorkSpaces 可以访问该服务器以激活 Windows 10 和 11。有关更多信息,请参阅 [带上你自己的 Windows 桌面许可证 WorkSpaces](byol-windows-images.md)。
+ 确保在导入账户的 BYOL 映像上预安装 MDM 代理软件。AWS
## 步骤 1:启用 IAM Identity Center 并与身份提供者连接
要将用户信息分配 WorkSpaces 给由您的身份提供商管理的用户,必须AWS通过 AWS IAM Identity Center 向其提供用户信息。我们建议使用 IAM 身份中心来管理您的用户对AWS资源的访问权限。有关更多信息,请参阅[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。这是一次性设置。
**将用户信息提供给 AWS**
1. 启用 IAM 身份中心AWS。您可以在AWS组织中启用 IAM Identity Center,尤其是在您使用多账户环境的情况下。您还可以创建 IAM Identity Center 账户实例。有关更多信息,请参阅[启用 AWS IAM 身份中心](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每个 WorkSpaces 目录可以与一个 IAM 身份中心组织或账户实例关联。每个 IAM 身份中心实例都可以与一个或多个 WorkSpaces 个人目录关联。
如果您正在使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录,请确保您拥有以下 IAM Identity Center 权限。
+ `"sso:DescribeInstance"`
+ `"sso:CreateApplication"`
+ `"sso:PutApplicationGrant"`
+ `"sso:PutApplicationAuthenticationMethod"`
+ `"sso:DeleteApplication"`
+ `"sso:DescribeApplication"`
+ `"sso:getApplicationGrant"`
有关更多信息,请参阅[管理对 IAM Identity Center 资源的访问权限概览](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。确保没有服务控制策略 (SCPs) 阻止这些权限。要了解更多信息 SCPs,请参阅[服务控制策略 (SCPs)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html)。
1. 配置 IAM Identity Center 和您的身份提供者(IdP),自动将用户从您的 IdP 同步到您的 IAM Identity Center 实例。有关更多信息,请参阅[入门教程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)并选择要使用的 IdP 的特定教程。例如,[使用 IAM 身份中心连接您的 JumpCloud 目录平台](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html)。
1. 验证您在 IdP 上配置的用户是否已正确同步到 AWS IAM Identity Center 实例。第一次同步最多可能需要一个小时,具体取决于您 IdP 的配置。
## 步骤 2:创建专用的自定义 WorkSpaces 目录
创建专门的 WorkSpaces 个人目录,用于存储有关您的个人 WorkSpaces 和用户的信息。
**创建专用的自定义 WorkSpaces 目录**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择**创建目录**。
1. 在 “**创建目录**” 页面上,对于**WorkSpaces**类型,选择 “**个人**”。要进行**WorkSpace 设备管理**,请选择**自定义**。
1. 对于**用户身份源**,从下拉列表中选择您在[步骤 1](https://docs.aws.amazon.com/) 中配置的 IAM Identity Center 实例。创建目录后,您将无法更改与目录关联的 IAM Identity Center 实例。
**注意**
您必须为该目录指定 IAM Identity Center 实例,否则您将无法 WorkSpaces 使用 WorkSpaces 控制台使用该目录启动个人版。 WorkSpaces 没有关联身份中心的目录仅与 WorkSpaces 核心合作伙伴解决方案兼容。
1. 对于**目录名称**,输入目录的唯一名称。
1. 对于 **VP** C,请选择您用来启动的 VPC WorkSpaces。有关更多信息,请参阅 [为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)。
1. 对于**子网**,选择来自不同可用区的 VPC 的两个子网。这些子网将用于启动您的个人 WorkSpaces网络。有关更多信息,请参阅 [WorkSpaces 个人版的可用区](azs-workspaces.md)。
**重要**
确保子网中 WorkSpaces 启动的用户可以访问互联网,这是用户登录到 Windows 桌面时所必需的。有关更多信息,请参阅 [为 WorkSpaces 个人版提供互联网访问权限](amazon-workspaces-internet-access.md)。
1. 在 “**配置**” 中,选择 “**启用专用**” WorkSpace。要启动 “自带许可证” (BYOL) Windows 10 或 11 WorkSpaces 个人版,你必须启用它才能创建专用的个人 WorkSpaces目录。
1. (可选)在 “**标签**” 中,指定要在目录 WorkSpaces 中用于个人的 key pair 值。
1. 查看目录摘要,然后选择**创建目录**。连接目录需要几分钟时间。目录的初始状态是 `Creating`。目录创建完毕后,状态会变为 `Active`。
创建目录后,系统还会自动代表您创建 IAM Identity Center 应用程序。要查找应用程序的 ARN,请转到目录的摘要页面。
现在,你可以使用该目录启动已注册微软 Intune 并加入微软 Entra ID 的 Windows 10 或 11 个人 WorkSpaces 版。有关更多信息,请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。
创建 WorkSpaces 个人目录后,您可以创建个人目录 WorkSpace。有关更多信息,请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。