開始搭配 WorkSpaces 集區使用 Active Directory 之前

將 Microsoft Active Directory 網域與 WorkSpaces 集區搭配使用之前，請注意下列需求和考量事項。

Active Directory 網域環境

您必須擁有要加入的 Microsoft Active Directory 網域 WorkSpaces。如果您沒有 Active Directory 網域或想要使用內部部署 Active Directory 環境，請參閱 AWS 雲端上的 Active Directory 網域服務：Quick Start 參考部署。
您必須擁有網域服務帳戶，其具有在您要與 WorkSpaces 集區搭配使用的網域中建立和管理電腦物件的許可。如需資訊，請參閱 Microsoft 文件中的 How to Create a Domain Account in Active Directory。

當您將此 Active Directory 網域與 WorkSpaces 集區建立關聯時，請提供服務帳戶名稱和密碼。 WorkSpaces Pools 使用此帳戶在目錄中建立和管理電腦物件。如需詳細資訊，請參閱授予許可來建立及管理 Active Directory 電腦物件。
當您向 WorkSpaces 集區註冊 Active Directory 網域時，您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設的電腦容器不是 OU，且無法供 WorkSpaces 集區使用。如需詳細資訊，請參閱尋找組織單位辨別名稱。
您計劃與 WorkSpaces 集區搭配使用的目錄必須透過 WorkSpaces 啟動的虛擬私有雲端 (FQDNs)，透過其完整網域名稱 (VPC) 存取。如需詳細資訊，請參閱 Microsoft 文件中的 Active Directory and Active Directory Domain Services Port Requirements。

SAML 從加入網域的應用程式串流需要以 2.0 為基礎的使用者聯合 WorkSpaces。此外，您必須使用支援加入 Active Directory 網域的 Windows 映像。所有在 2017 年 7 月 24 日及其之後發佈的公有映像都支援加入 Active Directory 網域。

請確認下列群組原則設定的組態。如有需要，請更新本節所述的設定，使其不會封鎖 WorkSpaces 集區驗證和登入您的網域使用者。否則，當您的使用者嘗試登入時 WorkSpaces ，登入可能不會成功。而是會顯示訊息，通知使用者「發生未知的錯誤。」

電腦組態 > 管理範本 > Windows 元件 > Windows 登入選項 > 停用或啟用軟體 Secure Attention Sequence：針對服務將此項設為啟用。
電腦組態 > 管理範本 > 系統 > 登入 > 排除登入資料提供者 — 確定CLSID未列出下列項目： e7c1bab5-4b49-4e64-a966-8d99686f8c7c
電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入：給嘗試登入的使用者的訊息文字：將此項設為未定義。
電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入：給嘗試登入的使用者的訊息標題：將此項設為未定義。

WorkSpaces 集區支援使用 Active Directory 網域密碼或智慧卡，例如通用存取卡 (CAC) 和適用於 Windows 登入集區的個人身分驗證 (PIV) 智慧卡。 WorkSpaces WorkSpaces 如需如何使用第三方憑證授權單位 (CAs) 設定 Active Directory 環境以啟用智慧卡登入的詳細資訊，請參閱 Microsoft 文件中的啟用第三方憑證授權單位智慧卡登入的指導方針。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

Active Directory 網域

憑證型身分驗證