本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 針對支援的軟體產品使用 License Manager 使用者型訂閱
透過 中的使用者型訂閱 AWS License Manager,您可以購買完全相容的授權軟體訂閱。授權由 Amazon 提供,並按使用者收取訂閱費。Amazon EC2 提供預先設定的 Amazon Machine Image (AMIs) 與支援的軟體,以及包含授權的 Windows Server 授權。這些授權可以在沒有長期授權承諾的情況下使用。
若要使用使用者型訂閱,請將來自 [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)(AWS Managed Microsoft AD) 或來自自我管理 (內部部署) 網域的使用者與提供軟體的 EC2 執行個體建立關聯。若要提供授權軟體,您必須建立以使用者為基礎的訂閱,並將其與從預先設定的 AMIs執行個體建立關聯。 [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)會設定並強化您啟動的授權包含執行個體。使用者必須與遠端桌面軟體連線,才能存取提供軟體的執行個體。
包含授權之執行個體的每個相關聯使用者和 [vCPU](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-optimize-cpu.html) 都會產生費用。Amazon EC2 預留執行個體和 Savings Plan 定價模型有助於最佳化 Amazon EC2 成本。如需詳細資訊,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[預留執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-reserved-instances.html)。以使用者為基礎的訂閱會從上半月開始計費,直到月底為止。
**Topics**
+ [在 License Manager 中使用使用者型訂閱的考量事項](#usubs-considerations)
+ [License Manager 中的訂閱費用](#usubs-subscription-charges)
+ [在 License Manager 中建立使用者型訂閱的先決條件](#usubs-prerequisites)
+ [License Manager 中使用者型訂閱支援的軟體產品](#usubs-software)
+ [Active Directory](#ad-support)
+ [其他軟體](#usubs-software-additional)
+ [License Manager 中的使用者型訂閱入門](user-based-subscriptions-getting-started.md)
+ [為更活躍的遠端使用者工作階段設定 Active Directory GPO](usubs-configure-gpo.md)
+ [AWS License Manager 使用共用的跨帳戶入門 AWS Managed Microsoft AD](license-cross-account.md)
+ [從包含的授權 AMI 啟動執行個體](usubs-launch-instance.md)
+ [使用 RDP 連線至以使用者為基礎的訂閱執行個體](user-based-subscriptions-connect.md)
+ [修改 Microsoft Office 訂閱的防火牆設定](usubs-modify-firewall.md)
+ [管理 License Manager 使用者型訂閱的訂閱使用者](usubs-manage-users.md)
+ [從 License Manager 設定取消註冊 Active Directory](usubs-deregister-ad.md)
+ [對 License Manager 中的使用者型訂閱進行故障診斷](user-based-subscriptions-troubleshoot.md)
## 在 License Manager 中使用使用者型訂閱的考量事項
搭配 License Manager 使用使用者型訂閱時,適用下列考量:
+ 包含授權的 Microsoft 遠端桌面服務 (`Win Remote Desktop Services SAL`) AWS Marketplace 訂閱需支付每位使用者的每月費用,不按比例分配。
+ 根據預設,提供以使用者為基礎的訂閱的執行個體一次最多支援兩個作用中的使用者工作階段。若要啟用兩個以上的作用中使用者工作階段,您可以設定 Active Directory 群組政策物件 (GPO),並將 Microsoft RDS 授權模式設定為 `Per User`。如需詳細資訊,請參閱 的先決條件[為更活躍的遠端使用者工作階段設定 Active Directory GPO](usubs-configure-gpo.md)。
+ 當您在提供使用者型訂閱的執行個體上建立具有管理員權限的本機使用者時,執行個體運作狀態可能會變更為運作狀態不佳。License Manager 可以因不合規而終止運作狀態不佳的執行個體。如需詳細資訊,請參閱[對執行個體合規進行故障診斷](user-based-subscriptions-troubleshoot.md#user-based-subscriptions-troubleshoot-instance-compliance)。
+ 當您使用 Microsoft Office 產品設定 Active Directory 時,VPC 必須在至少一個子網路中佈建 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)。如果您想要移除 License Manager 建立的所有 VPC 端點資源,您必須從 License Manager 設定中移除任何已設定的 Active Directory。如需詳細資訊,請參閱[從 License Manager 設定取消註冊 Active Directory](usubs-deregister-ad.md)。
+ `AWSLicenseManager` 具有 License Manager `UserSubscriptions`指派給執行個體之 值的 標籤索引鍵不得變更或刪除。
+ 為了讓服務如預期運作,為 License Manager 建立的兩個網路介面不得變更或刪除。
+ License Manager 在 AWS Managed Microsoft AD 目錄**AWS 的預留**組織單位 (OU) 中建立的物件不得變更或刪除。
+ 針對使用者型訂閱部署的執行個體必須是具有 的受管節點, AWS Systems Manager 並加入相同的網域。如需由 Systems Manager 管理執行個體的相關資訊,請參閱本指南的 [對 License Manager 中的使用者型訂閱進行故障診斷](user-based-subscriptions-troubleshoot.md#user-based-subscriptions-troubleshoot-systems-manager-connectivity)一節。
+ 若要停止對使用者產生 Microsoft Office 或 Visual Studio 訂閱費用,您必須取消使用者與其關聯之所有執行個體的關聯。如需詳細資訊,請參閱[取消使用者與提供 License Manager 使用者型訂閱之執行個體的關聯](usubs-disassociate-users.md)。
## License Manager 中的訂閱費用
License Manager 中的訂閱和計費會根據使用的訂閱產品而有所不同。
**Microsoft Office 和 Visual Studio 訂閱**
對於 Microsoft Office 和 Visual Studio 訂閱,一旦您將使用者與提供訂閱產品的所有執行個體取消關聯,並從產品取消訂閱,就會停止計費。
**Microsoft 遠端桌面服務 (RDS) 訂閱**
Microsoft RDS 會根據使用者訂閱和使用者連線到提供訂閱產品的執行個體時,從授權伺服器發出的用戶端存取授權 (CAL) 字符的組合,按每位使用者每月計費。
### License Manager 中的 Microsoft RDS 帳單
Microsoft RDS 計費從 Active Directory 使用者透過 License Manager 訂閱時開始,並在用戶端存取授權 (CAL) 字符過期後結束,從發出之日起 60 天,不按比例分配部分月份。即使您取消訂閱使用者,帳單仍會持續到字符過期為止。
如果取消訂閱的使用者在授權字符過期後繼續登入,則會自動重新訂閱使用者,計費會持續進行,直到再次取消訂閱且其字符過期為止。
同樣地,如果使用者從未訂閱 ,但登入與授權伺服器相關聯的執行個體,則 License Manager 會自動訂閱他們並開始 RDS 計費。帳單會持續進行,直到取消訂閱且其字符過期為止。
若要在當月結束時停止使用者計費,您必須在取消訂閱之前,將該使用者從為授權伺服器設定的 Active Directory 中移除。
**警告**
如果您移除仍擁有作用中 Microsoft Office 或 Visual Studio 訂閱的 Active Directory 使用者,則該使用者將無法再存取與其相關聯的執行個體。
下列範例案例示範 RDS 帳單的運作方式。
#### 案例 1:標準訂閱和計費
下列案例顯示一組標準動作,這些動作會影響在 12/15/2024 訂閱但從未存取訂閱執行個體的 Active Directory (AD) 使用者的帳單。
*動作:*如果使用者從未取消訂閱,則帳單會無限期繼續。
| 已訂閱 AD 使用者 | 帳單開始 | 發行的 CAL | CAL 過期 | 使用者已取消訂閱 | 從 AD 移除的使用者 | 帳單結束 |
| --- | --- | --- | --- | --- | --- | --- |
| 12/15/2024 | 12/15/2024 | -- | N/A | -- | -- | -- |
*動作:*使用者已於 1/15/2025 取消訂閱。
| 已訂閱 AD 使用者 | 帳單開始 | 發行的 CAL | CAL 過期 | 使用者已取消訂閱 | 從 AD 移除的使用者 | 帳單結束 |
| --- | --- | --- | --- | --- | --- | --- |
| 12/15/2024 | 12/15/2024 | -- | N/A | `1/15/2025` | `No` | `1/31/2025` |
#### 案例 2:授權字符如何影響使用者訂閱和計費
下列案例顯示授權字符過期如何影響在 9/15/2024 訂閱的 Active Directory (AD) 使用者的使用者訂閱,並在同一天登入加入網域的訂閱產品執行個體。
*動作:*AD 使用者的初始訂閱和登入。
| 已訂閱 AD 使用者 | 帳單開始 | 發行的 CAL | CAL 過期 | 使用者已取消訂閱 | 從 AD 移除的使用者 | 帳單結束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | -- | -- | -- |
*動作:*相同的 AD 使用者已於 10/19/2024 取消訂閱。不過,由於使用者並未從目錄中移除,因此計費會持續到授權字符到期的月底為止。
| 已訂閱 AD 使用者 | 帳單開始 | 發行的 CAL | CAL 過期 | 使用者已取消訂閱 | 從 AD 移除的使用者 | 帳單結束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | `10/19/2024` | -- | `11/30/2024` |
*替代動作:*AD 管理員會在 10/20/2024 從目錄移除使用者,然後在第二天取消訂閱使用者。在此情況下,計費會在使用者從 目錄移除的月底停止。
| 已訂閱 AD 使用者 | 帳單開始 | 發行的 CAL | CAL 過期 | 使用者已取消訂閱 | 從 AD 移除的使用者 | 帳單結束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | 10/21/2024 | `10/20/2024` | `10/31/2024` |
#### 案例 3:已取消訂閱的使用者已重新訂閱
下列案例顯示,在存取加入網域的訂閱產品執行個體時,授權字符已過期的未訂閱 Active Directory (AD) 使用者如何自動重新訂閱。
*動作:*AD 使用者的初始訂閱和登入。
| 已訂閱 AD 使用者 | 帳單開始 | 發行的 CAL | CAL 過期 | 使用者已取消訂閱 | 從 AD 移除的使用者 | 帳單結束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | -- | -- | -- |
*動作:*相同的 AD 使用者已於 10/19/2024 取消訂閱。不過,由於使用者並未從目錄中移除,因此計費會持續到授權字符到期的月底為止。
| 已訂閱 AD 使用者 | 帳單開始 | 發行的 CAL | CAL 過期 | 使用者已取消訂閱 | 從 AD 移除的使用者 | 帳單結束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | `10/19/2024` | -- | `11/30/2024` |
*動作:*相同的 AD 使用者會在其先前的授權字符過期後但在帳單結束之前存取加入網域的訂閱產品執行個體。帳單會持續進行,直到使用者再次取消訂閱且其新權杖過期為止。
| 已訂閱 AD 使用者 | 帳單開始 | 發行的 CAL | CAL 過期 | 使用者已取消訂閱 | 從 AD 移除的使用者 | 帳單結束 |
| --- | --- | --- | --- | --- | --- | --- |
| `11/20/2024 (re-subscribed)` | `billing continues` | `11/20/2024` | `1/20/2025` | -- | -- | -- |
#### 案例 4:執行個體存取的自動訂閱
下列案例顯示從未訂閱 RDS SAL 的 Active Directory (AD) 使用者如何在登入加入網域的訂閱產品執行個體時自動訂閱。
*動作:*從未在 9/15/2024 訂閱 RDS SAL 的 AD 使用者登入加入網域的訂閱產品執行個體,且已自動訂閱。帳單開始,並持續到使用者取消訂閱且其新字符過期為止。
| 已訂閱 AD 使用者 | 帳單開始 | 發行的 CAL | CAL 過期 | 使用者已取消訂閱 | 從 AD 移除的使用者 | 帳單結束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 (自動訂閱) | 9/15/2024 | 9/15/2024 | 11/15/2024 | -- | -- | -- |
如需每個使用者 CALs的 Microsoft RDS 運作方式的詳細資訊,請參閱 *Microsoft Learn* **網站上的授權遠端桌面部署文章中的每個使用者 CALs** 一節。 [https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-client-access-license](https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-client-access-license)
## 在 License Manager 中建立使用者型訂閱的先決條件
您必須先在環境中實作下列先決條件,才能建立以使用者為基礎的訂閱。
**Contents**
+ [IAM 角色和許可](#usubs-prereq-iam)
+ [AWS KMS License Server 登入資料的金鑰政策](#usubs-prereq-iam-rdslic)
+ [Active Directory](#usubs-prereq-ad)
+ [Security groups (安全群組)](#usubs-prereq-sg)
+ [網路組態](#usubs-prereq-network)
+ [提供以使用者為基礎的訂閱產品的執行個體](#usubs-prereq-instance)
+ [Microsoft 遠端桌面服務](#usubs-prereq-rds)
+ [管理登入資料秘密](#usubs-prereq-rds-secret)
### IAM 角色和許可
您必須允許 License Manager 建立服務連結角色,才能讓 加入 AWS 帳戶 以使用者為基礎的訂閱。在 License Manager 主控台中,如果尚未建立角色,則以**使用者為基礎的訂閱**中會出現提示。在您回應提示並同意允許 License Manager 建立角色後,請選擇**建立**以繼續。如需詳細資訊,請參閱[使用 License Manager 的服務連結角色](using-service-linked-roles.md)。
若要建立以使用者為基礎的訂閱,您的使用者或角色必須具有下列許可:
+ **Amazon EC2** – 使用網路介面和子網路。
+ `ec2:CreateNetworkInterface`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DescribeSubnets`
+ **Directory Service** – 管理 Active Directory。
+ `ds:DescribeDirectories`
+ `ds:AuthorizeApplication`
+ `ds:UnauthorizeApplication`
+ `ds:GetAuthorizedApplicationDetails`
+ `ds:DescribeDomainControllers`
+ **Route 53** – 設定路由。
+ `route53:DeleteHealthCheck`
+ `route53:ChangeResourceRecordSets`
+ `route53:GetHostedZone`
+ `route53:ListHostedZonesByName`
+ `route53:ListHostedZones`
+ `route53:ListHostedZonesByVPC`
+ `route53:CreateHostedZone`
+ `route53:DeleteHostedZone`
+ `route53:ListResourceRecordSets`
+ `route53:GetHealthCheckCount`
+ `route53:AssociateVPCWithHostedZone`
若要為 Microsoft Office 產品建立以使用者為基礎的訂閱,您的使用者或角色也必須具有下列額外許可:
+ `ec2:CreateVpcEndpoint`
+ `ec2:DeleteVpcEndpoints`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:ModifyVpcEndpoint`
+ `ec2:DescribeSecurityGroups`
#### AWS KMS License Server 登入資料的金鑰政策
若要使用您自己的 KMS 金鑰來加密和解密 Microsoft RDS License Server 的管理登入資料秘密,您必須將政策連接至您用來存取 License Manager 操作的角色。下列範例顯示的政策會授予 Secrets Manager 存取 KMS 金鑰的許可,以加密和解密 Microsoft RDS License Server 登入資料秘密。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-policy",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/RoleName"
},
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com"
}
}
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-service-role/license-manager-user-subscriptions.amazonaws.com/AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService"
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com"
}
}
}
]
}
```
------
### Active Directory
若要使用 License Manager 使用者型訂閱,您必須建立 Active Directory (AD),其中包含訂閱產品使用者的使用者資訊。根據您的組態,您可以使用 AWS Managed Microsoft AD或自我管理 AD。
如果您同時使用 AWS 受管和自我管理的 Active Directory,則必須在目錄之間建立雙向樹系信任。如需詳細資訊,請參閱《 *AWS Directory Service 管理指南*》中的[教學課程:在 AWS Managed Microsoft AD 與自我管理的 Active Directory 網域之間建立信任關係](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust.html)。
**注意**
為您的目錄設定的子網路都必須來自您 的相同 VPC AWS 帳戶。不支援共用子網路。
AWS 受管 Active Directory 有下列限制。
+ 只有在目錄先加入主要帳戶時,才支援與您共用的目錄,然後您可以在共用帳戶中加入該目錄。
+ 不支援多重要素驗證
**標籤型篩選條件的先決條件**
如果您將為 Active Directory 使用標籤型篩選條件,您必須先加入 AWS 資源總管 服務,如下所示:
1. 在 https://[https://resource-explorer.console.aws.amazon.com/resource-explorer](https://resource-explorer.console.aws.amazon.com/resource-explorer) 開啟 Resource Explorer 主控台。
1. 選擇**開啟資源總管**。
1. 在**設定資源總管**頁面中,選擇設定選項,如下所示。
**快速設定**
針對基本組態選取此選項。
**進階設定**
選取自訂組態的此選項。請確定您至少為 Active Directory 所在的區域建立索引。
1. 選取**彙總器索引區域的區域**。
1. 選擇**開啟資源總管**以儲存您的設定。
1. 在導覽窗格中,選取**檢視**,然後選擇**建立檢視**。
**注意**
若要顯示隱藏的導覽窗格,請選擇功能表圖示 (三個水平長條)。
1.
1. 在**建立檢視**頁面中,**license-manager-user-subscriptions-view**輸入 **名稱**。
1. 確認**資源篩選條件**設定為**包含所有資源**。
1. 在**其他資源屬性**區段中,確認已選取**標籤**核取方塊。
1. 選擇**建立檢視**以完成。
如需建立 AWS Managed Microsoft AD 目錄的詳細資訊,請參閱*AWS Directory Service 《 使用者指南*》中的[AWS Managed Microsoft AD 先決條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)和[建立 AWS Managed Microsoft AD 目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)。
若要將使用者與 建立關聯 AWS Managed Microsoft AD,您必須在 AWS Managed Microsoft AD 目錄中佈建使用者。如需詳細資訊,請參閱《 [管理指南》中的管理 中的使用者和群組 AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)。 *AWS Directory Service *
### Security groups (安全群組)
安全群組會控制允許進出您網路上資源的網路流量。為了確保以使用者為基礎的訂閱環境中的資源可以通訊,您的安全群組必須符合下列條件。
**VPC 端點的安全群組**
識別或建立允許**傳入** TCP 連接埠`1688`連線的安全群組。當您設定 VPC 設定時,您將指定此安全群組。如需詳細資訊,請參閱[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups)。
License Manager 會將此安全群組與其在設定 VPC 時代表您建立的 VPC 端點建立關聯。如需 VPC 端點的詳細資訊,請參閱《 *AWS PrivateLink 指南*》中的[使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
**Active Directory 網域控制站的安全群組**
請確定您用於 AD 網域控制站的安全群組允許傳出流量到每個網域控制站的網路介面 IP 地址。此外,網域控制站安全群組應允許在所有 Active Directory 相關連接埠上進行通訊,包括 TCP 9389。Active Directory Web Services (ADWS) 需要連接埠 9389,Active Directory PowerShell 模組和其他管理工具會使用此連接埠與網域控制站通訊。
**"Register your Active Directory" 步驟的安全群組需求**
在將您的 Active Directory 加入 License Manager 期間,我們會在您提供的子網路中建立網路介面,並使用 VPC 的預設安全群組進行標記。請確定允許此安全群組存取您的 Active Directory 網域控制站。這可以在加入完成後替換成您選擇的群組,但仍需要網域控制站的網路存取權。
**「設定 RDS 授權伺服器」步驟的安全群組需求**
在授權伺服器組態期間, License Manager 會在您提供的子網路中建立兩個網路介面。這些網路介面會自動標記新建立的安全群組,其中包含所有必要的連接埠組態。確保您的 Active Directory 網域控制站安全群組允許來自所有 Active Directory 相關連接埠上子網路 CIDRs雙向流量,包括 TCP 連接埠 9389。Active Directory Web Services (ADWS) 需要連接埠 9389,Active Directory PowerShell 模組和其他管理工具會使用此連接埠與網域控制站通訊。
**使用者型訂閱執行個體的安全群組**
識別或建立安全群組,允許下列存取您執行個體的 和 。如需詳細資訊,請參閱[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups)。
+ **從核准的連線來源傳入** TCP 連接埠連線。 `3389`
+ **傳出** TCP 連接埠`1688`連線,以到達 VPC 端點並與之通訊 AWS Systems Manager。
### 網路組態
License Manager 會建立兩個網路介面,使用 AWS Managed Microsoft AD 佈建您 之 VPC 的預設安全群組。這些界面用於服務與您的目錄互動。如需詳細資訊,請參閱《 *AWS Directory Service 管理指南*》中的 [步驟 2:在 License Manager 中註冊 Active Directory](user-based-subscriptions-getting-started.md#user-based-subscriptions-configure-ad)和建立的內容。 [https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)
佈建程序完成後,您可以將不同的安全群組與 License Manager 建立的介面建立關聯。
**DNS 解析**
您註冊以使用者為基礎的訂閱的 Active Directory 必須可從您在 License Manager 設定中設定的任何 VPCs 和子網路存取。若要確保 Active Directory 節點可存取,請設定 DNS 解析,如下所示:
+ 針對以使用者為基礎的訂閱,在 License Manager 設定中設定的 VPCs 和 Active Directory 之間設定 DNS 轉送。您可以使用 Amazon Route 53 或其他 DNS 服務進行 DNS 轉送。如需詳細資訊,請參閱將 [Directory Service 的 DNS 解析與 Amazon Route 53 解析程式整合的](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-your-directory-services-dns-resolution-with-amazon-route-53-resolvers/)部落格文章。
+ 為您的 VPC 啟用 **DNS 主機名稱**和 **DNS 解析**。如需詳細資訊,請參閱[檢視和更新 VPC 的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
### 提供以使用者為基礎的訂閱產品的執行個體
若要讓以使用者為基礎的訂閱執行個體如預期運作,您必須符合下列先決條件:
+ 設定執行個體的安全群組,如中所述[Security groups (安全群組)](#usubs-prereq-sg)。
+ 確保啟動以使用 Microsoft Office 提供使用者型訂閱的執行個體具有路由到佈建 VPC 端點的子網路。
+ 提供以使用者為基礎的訂閱的執行個體必須由 AWS Systems Manager 管理,才能擁有良好狀態。此外,您的執行個體必須能夠啟用其使用者型訂閱授權,以便在授權啟用後保持合規。
**注意**
License Manager 會嘗試復原運作狀態不佳的執行個體,但無法恢復運作狀態的執行個體將會終止。如需透過 Systems Manager 管理執行個體以及執行個體合規的疑難排解資訊,請參閱本指南的 [對 License Manager 中的使用者型訂閱進行故障診斷](user-based-subscriptions-troubleshoot.md)一節。
+ 您必須將執行個體描述檔角色連接到提供使用者型訂閱產品的執行個體,以允許 資源由 管理 AWS Systems Manager。如需詳細資訊,請參閱《AWS Systems Manager 使用者指南》中的[建立 Systems Manager 的 IAM 執行個體設定檔](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。
+ 您必須先[取消使用者與執行個體的關聯](usubs-disassociate-users.md)終止執行個體。
### Microsoft 遠端桌面服務
Microsoft 遠端桌面服務授權伺服器需要相關 Active Directory 中定義的管理使用者。該使用者必須能夠執行下列任務:
+ 在 Active Directory 網域下建立 OU
+ 建立之 OU 內的網域聯結執行個體 (建立電腦)
+ 將電腦物件新增至 Active Directory 網域中的終端機伺服器群組
+ 對 Active Directory 網域中的使用者物件進行委派控制,以讀取和寫入終端機伺服器授權伺服器,以產生授權伺服器報告。
若要進一步了解委派,請參閱 [Active Directory Domain Services 中的控制委派](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/delegation-control-wizard)。
#### 管理登入資料秘密
License Manager 使用 AWS Secrets Manager 來管理 Microsoft Remote Desktop Services 授權伺服器上使用者管理任務所需的登入資料。您必須先在 Secrets Manager 中建立秘密,其中包含在授權伺服器上執行使用者管理任務之使用者的登入資料,才能設定授權伺服器。當您設定授權伺服器設定時,必須提供您建立的秘密 ID。
**注意**
這必須與您為產生 RDS 授權伺服器報告所定義的相同使用者。
若要建立秘密,請遵循 *Secrets Manager 使用者指南*中[建立 AWS Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)頁面上的詳細說明,以及 License Manager 特有的下列設定。
**重要**
若要使用秘密, License Manager 取決於以下清單中指定的確切金鑰名稱、使用者名稱值和加密金鑰。秘密名稱必須以下列字首開頭:`license-manager-user-`。
在**選擇秘密類型**頁面:
+ **秘密類型** – 選擇**其他類型的秘密**。
+ **金鑰/值對** – 指定要存放在秘密中的下列金鑰對。
使用者名稱
+ 索引鍵:`username`
+ 值:`Administrator`
密碼
+ 索引鍵:`password`
+ 值:*密碼*
+ **加密金鑰** – 若要指定金鑰以外的 KMS `aws/secretsmanager`金鑰,您必須將政策連接至您用來存取 License Manager 操作的角色。如需詳細資訊,請參閱[IAM 角色和許可](#usubs-prereq-iam)。
在**設定秘密**頁面上:
+ **秘密名稱** – 為您的秘密指定名稱,其開頭為 License Manager 用來識別授權伺服器登入資料秘密的字首。例如:
```
license-manager-user-admin-credentials
```
這些指示假設您使用 AWS 管理主控台 來建立秘密。Secrets Manager 使用者指南也包含其他方法的詳細說明。如需 Secrets Manager 的詳細資訊,請參閱[什麼是 Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/)。如需與成本特別相關的資訊,請參閱《*Secrets Manager 使用者指南*》中的 [定價 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html#asm_pricing)。
## License Manager 中使用者型訂閱支援的軟體產品
AWS License Manager 支援 Microsoft Visual Studio 和 Microsoft Office 的使用者型訂閱。License Manager 會追蹤支援的軟體使用率。每個使用者都需要 Windows Server 遠端桌面服務訂閱者存取授權 (RDS SAL) 的單一訂閱,才能存取提供使用者型訂閱產品的包含授權的執行個體。如需詳細資訊,請參閱[License Manager 中的使用者型訂閱入門](user-based-subscriptions-getting-started.md)。
**支援的 Windows 作業系統 (OS) 平台**
您可以找到包含下列 Windows 作業系統平台之 RDS SAL 授權涵蓋之產品的 Windows AMIs:
+ Windows Server 2025
+ Windows Server 2022
+ Windows Server 2019
### 支援以使用者為基礎的訂閱軟體
**Contents**
+ [Microsoft Visual Studio](#user-subs-visual-studio)
+ [Microsoft Office](#user-subs-ms-office)
#### Microsoft Visual Studio
Microsoft Visual Studio 是一種整合式開發環境 (IDE),可讓開發人員建立、編輯、偵錯和發佈應用程式。提供的 Microsoft Visual Studio AMIs 包含 [AWS Toolkit for .NET Refactoring](https://docs.aws.amazon.com/tk-dotnet-refactoring/latest/userguide/what-is-tk-dotnet-refactoring.html) 和 [AWS Toolkit for Visual Studio](https://aws.amazon.com/visualstudio/)。
**支援的版本**
+ Visual Studio Professional 2022
+ Visual Studio Enterprise 2022
下表詳細說明用於 License Manager 使用者型訂閱 API 操作的軟體訂閱名稱及其相關產品值。
| 軟體訂閱名稱 | 產品值 |
| --- | --- |
| Visual Studio Enterprise 2022 | `VISUAL_STUDIO_ENTERPRISE` |
| Visual Studio Professional 2022 | `VISUAL_STUDIO_PROFESSIONAL` |
#### Microsoft Office
Microsoft Office 是 Microsoft 針對各種生產力使用案例開發的一組軟體,包括使用文件、試算表和投影片簡報。
**支援的版本**
+ Office LTSC Professional Plus 2021
+ Office LTSC Professional Plus 2024
+ Office LTSC Professional Plus 2021 32 位元 (x86)
+ Office LTSC Professional Plus 2024 32 位元 (x86)
+ Office LTSC 標準 2021
+ Office LTSC Standard 2024
+ Office LTSC Standard 2021 32 位元 (x86)
+ Office LTSC Standard 2024 32 位元 (x86)
下表詳細說明用於 License Manager 使用者型訂閱 API 操作的軟體訂閱名稱及其相關產品值。
| 軟體訂閱名稱 | 產品值 |
| --- | --- |
| Office LTSC Professional Plus 2021 | `OFFICE_PROFESSIONAL_PLUS` |
| Office LTSC Professional Plus 2024 | `OFFICE_PROFESSIONAL_PLUS` |
| Office LTSC 標準 2021 | `OFFICE_STANDARD` |
| Office LTSC Standard 2024 | `OFFICE_STANDARD` |
## Active Directory
License Manager 支援 Microsoft Visual Studio、Microsoft Office 和遠端桌面服務訂閱者存取授權 (RDS SAL) 的使用者型訂閱。產品可能支援 AWS Managed Microsoft AD 或自我管理的 Active Directory,該目錄部署在您的 AWS 環境內,或與您 AWS 環境中的 VPC 具有網路連線能力。
此表指出當與以使用者為基礎的訂閱搭配使用時,每個軟體產品支援哪些類型的 Active Directory:
| 軟體產品 | AWS Managed Microsoft AD | 自我管理 AD |
| --- | --- | --- |
| Microsoft Visual Studio | 支援 | 不支援 |
| Microsoft Office | 支援 | 不支援 |
| RDS SAL 產品 | 支援 | 支援 |
## 其他軟體
您可以在執行個體上安裝無法以使用者為基礎的訂閱的其他軟體。License Manager 不會追蹤其他軟體安裝。這些安裝必須使用 Active Directory 的管理帳戶來執行。如果您使用 AWS Managed Microsoft AD,系統預設會在您的 目錄中建立管理帳戶 (Admin)。如需詳細資訊,請參閱《 [管理指南》中的管理員帳戶](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_admin_account.html)。 *Directory Service *
若要使用 Active Directory 管理帳戶安裝其他軟體,您必須:
+ 將管理帳戶訂閱執行個體提供的產品。
+ 將管理帳戶與執行個體建立關聯。
+ 使用管理帳戶連線至執行個體以執行安裝。
如需詳細資訊,請參閱[License Manager 中的使用者型訂閱入門](user-based-subscriptions-getting-started.md)。