本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立 WorkSpaces Personal 的目錄
WorkSpaces Personal 可讓您使用透過 管理的目錄 Directory Service 來存放和管理 WorkSpaces 和使用者的資訊。使用下列選項來建立 WorkSpaces 個人目錄:
+ 建立 Simple AD 目錄。
+ 建立適用於 Microsoft Active Directory 的 AWS Directory Service,也稱為 AWS Managed Microsoft AD。
+ 使用 Active Directory 連接器連線到現有的 Microsoft Active Directory。
+ 建立 AWS Managed Microsoft AD 目錄與內部部署網域之間的信任關係。
+ 建立專用 Microsoft Entra ID WorkSpaces 目錄。
+ 建立專用的自訂 WorkSpaces 目錄。
**注意**
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫,則只能註冊主要區域中的目錄以與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。
您可以免費使用 Simple AD 和 AD Connector,以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用,則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用,而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
## 建立目錄之前
+ 並非每個區域都可以使用 WorkSpaces。確認支援的區域,然後為您的 WorkSpaces 選取一個區域。如需支援區域的詳細資訊,請參閱[依 AWS 區域區分的 WorkSpaces 定價](https://aws.amazon.com/workspaces/pricing/)。
+ 建立至少有兩個私有子網路的虛擬私有雲端。如需詳細資訊,請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。VPC 必須透過虛擬私有網路 (VPN) 連線或 Direct Connect連線到您的現場部署網路。如需詳細資訊,請參閱《AWS Directory Service 管理指南》**中的 [AD Connector 先決條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。
+ 提供從 WorkSpace 對網際網路的存取。如需詳細資訊,請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。
如需如何刪除空目錄的資訊,請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 Simple AD 或 AD Connector 目錄,當您想要再次開始使用 WorkSpaces 時,隨時都可以建立新的目錄。
**Topics**
+ [建立目錄之前](#prereqs-tutorials)
+ [識別 WorkSpaces Personal 目錄的電腦名稱](wsp-directory-identify-computer.md)
+ [為 WorkSpaces Personal 建立 AWS Managed Microsoft AD 目錄](launch-workspace-microsoft-ad.md)
+ [為 WorkSpaces Personal 建立 Simple AD 目錄](launch-workspace-simple-ad.md)
+ [為 WorkSpaces Personal 建立 AD Connector](launch-workspace-ad-connector.md)
+ [在 AWS Managed Microsoft AD 目錄與 WorkSpaces Personal 的內部部署網域之間建立信任關係](launch-workspace-trusted-domain.md)
+ [使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄](launch-entra-id.md)
+ [使用 WorkSpaces Personal 建立專用自訂目錄](launch-custom.md)
# 識別 WorkSpaces Personal 目錄的電腦名稱
在 Amazon WorkSpaces 主控台中針對 WorkSpace 顯示的**電腦名稱**值會有所不同,這取決於您啟動的 WorkSpace 類型 (Amazon Linux、Ubuntu 或 Windows)。WorkSpace 的電腦名稱應是以下列其中一種格式:
+ **Amazon Linux**:A-*xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**:R-*xxxxxxxxxxxxx*
+ **Rocky Linux**:R-*xxxxxxxxxxxxx*
+ **Ubuntu**:U-*xxxxxxxxxxxxx*
+ **Windows**:IP-C*xxxxxx* 或 WSAMZN-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx*
對於 Windows WorkSpaces,電腦名稱格式是由套件類型決定,如果 WorkSpaces 是從公用套件或從以公用映像為基礎的自訂套件建立,則是由建立公用映像的時間決定。
自 2020 年 6 月 22 日起,從公用套件啟動的 Windows WorkSpaces 的電腦名稱使用 WSAMZN-*xxxxxxx* 格式,而不是 IP-C*xxxxxx* 格式。
對於以公用映像為基礎的自訂套件,如果公用映像是在 2020 年 6 月 22 日之前建立,則電腦名稱的格式為 EC2AMAZ-*xxxxxxx*。如果公用映像是在 2020 年 6 月 22 日當天或之後建立,則電腦名稱的格式為 WSAMZN-*xxxxxxx*。
若為自帶授權 (BYOL) 套件,電腦名稱預設會使用 DESKTOP-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx* 格式。
如果您已為自訂或 BYOL 套件中的電腦名稱指定自訂格式,則自訂格式會覆寫這些預設值。若要指定自訂格式,請參閱 [建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件](create-custom-bundle.md)。
**重要**
建立 WorkSpace 之後,您可以安全地變更其電腦名稱。例如,您可以使用 WorkSpace `Rename-Computer` 上的 命令或遠端執行 PowerShell 指令碼。然後,Amazon WorkSpace Amazon WorkSpaces主控台中會顯示 WorkSpace 的更新電腦名稱值。
# 為 WorkSpaces Personal 建立 AWS Managed Microsoft AD 目錄
在本教學課程中,我們會建立 AWS Managed Microsoft AD 目錄。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
首先,建立 AWS Managed Microsoft AD 目錄。 會 Directory Service 建立兩個目錄伺服器,每個 VPC 的私有子網路各一個。請注意,目錄最初沒有任何使用者。當您啟動 WorkSpace 時,您會在下一個步驟中新增使用者。
**注意**
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您的 AWS Managed Microsoft AD 目錄已設定為多區域複寫,則只能註冊主要區域中的目錄以與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用具有 AWS Managed Microsoft AD 的多區域複寫。
**建立 AWS Managed Microsoft AD 目錄**
1. 開啟 WorkSpaces 主控台,網址為 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇**建立目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces 類型**選擇**個人**。然後,針對 **WorkSpace 裝置管理**,選擇 **AWS Directory Service**。
1. 選擇**建立目錄**,這會開啟 AWS Directory Service 上的**設定目錄**頁面
1. 選擇 **AWS Managed Microsoft AD**,然後選擇**下一步**。
1. 設定目錄,如下所示:
1. 在**組織名稱**中,為您的目錄輸入唯一組織名稱 (例如,my-demo-directory)。此名稱的長度至少必須有 4 個字元,只能包含英數字元和連字號 (-),而且以非連字號的字元開頭或結尾。
1. 針對**目錄 DNS**,輸入目錄的完整名稱 (例如,workspaces.demo.com)。
**重要**
如果您需要在啟動 WorkSpaces 之後更新 DNS 伺服器,請遵循 [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md) 中的程序,確保您的 WorkSpaces 能正確更新。
1. 針對 **NetBIOS 名稱**,輸入目錄的簡短名稱 (例如,workspaces)。
1. 針對**管理員密碼**和**確認密碼**,輸入目錄管理員帳戶的密碼。如需密碼需求的詳細資訊,請參閱《 *AWS Directory Service 管理指南*》中的[建立您的 AWS Managed Microsoft AD Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
1. (選用) 針對**描述**,輸入目錄的描述。
1. 針對 **VPC**,選取您建立的 VPC。
1. 針對**子網路**,選取兩個私用子網路 (具有 CIDR 區塊 `10.0.1.0/24` 和 `10.0.2.0/24`)。
1. 選擇 **Next Step (後續步驟)**。
1. 選擇**建立目錄**。
1. 您將回到 WorkSpaces 主控台上的建立目錄頁面。目錄的初始狀態為 `Requested`,然後是 `Creating`。目錄建立完成時 (這可能需要幾分鐘),狀態為 `Active`。
建立 AWS Managed Microsoft AD 目錄之後,您可以向 Amazon WorkSpaces 註冊該目錄。如需詳細資訊,請參閱[向 WorkSpaces Personal 註冊現有 Directory Service 目錄](register-deregister-directory.md)
# 為 WorkSpaces Personal 建立 Simple AD 目錄
在本教學課程中,我們會啟動使用 Simple AD 的 WorkSpace。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
**注意**
並非所有AWS區域都提供 Simple AD。確認支援的區域,然後為您的 Simple AD 目錄[選取一個區域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)。如需 Simple AD 支援區域的詳細資訊,請參閱 [AWSDirectory Service 的區域可用性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)。
您可以免費使用 Simple AD,以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 目錄使用,則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用,而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
[ Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) 目前僅支援 IPv4 定址,這表示在建立目錄時,關聯的 VPC 將使用 IPv4 CIDR 區塊設定,且不支援 IPv6 網路。
當您建立 Simple AD 目錄時, 會Directory Service建立兩個目錄伺服器,每個 VPC 的私有子網路各一個。目錄中一開始沒有使用者。在您建立 WorkSpace 後新增使用者。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)
**建立 Simple AD 目錄**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇**建立目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces 類型**選擇**個人**。然後,針對 **WorkSpace 裝置管理**,選擇 **AWSDirectory Service**。
1. 選擇**建立目錄**,這會開啟 **Directory Service 上的設定**AWS目錄頁面
1. 選擇 **Simple AD**,然後選擇**下一步**。
1. 設定目錄,如下所示:
1. 在**組織名稱**中,為您的目錄輸入唯一組織名稱 (例如,my-example-directory)。此名稱的長度至少必須有 4 個字元,只能包含英數字元和連字號 (-),而且以非連字號的字元開頭或結尾。
1. 針對**目錄 DNS 名稱**,輸入目錄的完整名稱 (例如,example.com)。
**重要**
如果您需要在啟動 WorkSpaces 之後更新 DNS 伺服器,請遵循 [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md) 中的程序,確保您的 WorkSpaces 能正確更新。
1. 針對 **NetBIOS 名稱**,輸入目錄的簡短名稱 (例如,example)。
1. 針對**管理員密碼**和**確認密碼**,輸入目錄管理員帳戶的密碼。如需密碼需求的相關資訊,請參閱《AWS Directory Service 管理指南》**中的[如何建立 Microsoft AD 目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
1. (選用) 針對**描述**,輸入目錄的描述。
1. 針對**目錄大小**,選擇**小型**。
1. 針對 **VPC**,選取您建立的 VPC。
1. 針對**子網路**,選取兩個私用子網路 (具有 CIDR 區塊 `10.0.1.0/24` 和 `10.0.2.0/24`)。
1. 選擇**下一步**。
1. 選擇**建立目錄**。
1. 您將回到 WorkSpaces 主控台上的建立目錄頁面。目錄的初始狀態為 `Requested`,然後是 `Creating`。目錄建立完成時 (這可能需要幾分鐘),狀態為 `Active`。
**建立目錄期間發生的事**
WorkSpaces 會代表您完成下列任務:
+ 建立 IAM 角色,以允許 WorkSpaces 服務建立彈性網路介面並列出您的 WorkSpaces 目錄。此角色具有名稱 `workspaces_DefaultRole`。
+ 在用於儲存使用者與 WorkSpace 資訊的 VPC 中設定 Simple AD 目錄。此目錄有一個具使用者名稱 Administrator 與指定密碼的管理員帳戶。
+ 建立兩個安全群組,一個用於目錄控制器,另一個用於目錄中的 WorkSpaces。
建立 Simple AD 目錄之後,您可以向 Amazon WorkSpaces 註冊該目錄。如需詳細資訊,請參閱[向 WorkSpaces Personal 註冊現有 Directory Service 目錄](register-deregister-directory.md)
# 為 WorkSpaces Personal 建立 AD Connector
在本教學課程中,我們會建立 AD Connector。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
## 建立 AD Connector
**注意**
您可以免費使用 AD Connector,以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 AD Connector 目錄使用,則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用,而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
若要刪除空目錄,請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 AD Connector 目錄,當您想要再次開始使用 WorkSpaces 時,隨時都可以建立新的目錄。
**建立 AD Connector**
1. 開啟 WorkSpaces 主控台,網址為 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇**建立目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces 類型**選擇**個人**。然後,針對 **WorkSpace 裝置管理**,選擇 **AWS Directory Service**。
1. 選擇**建立目錄**,這會開啟 **Directory Service 上的設定** AWS 目錄頁面
1. 選擇 **AWS Managed Microsoft AD**,然後選擇**下一步**。
1. 在**組織名稱**中,為您的目錄輸入唯一組織名稱 (例如,my-example-directory)。此名稱的長度至少必須有 4 個字元,只能包含英數字元和連字號 (-),而且以非連字號的字元開頭或結尾。
1. 針對**連線的目錄 DNS**,輸入內部部署目錄的完整名稱 (例如,example.com)。
1. 針對**連線的目錄 NetBIOS 名稱**,輸入內部部署目錄的簡短名稱 (例如,example)。
1. 針對**連接器帳戶使用者名稱**,輸入內部部署目錄中使用者的使用者名稱。使用者必須具有讀取使用者和群組、建立電腦物件以及將電腦加入網域的許可。
1. 針對**連接器帳戶密碼**和**確認密碼**,輸入內部部署使用者的密碼。
1. 針對 **DNS 位址**,輸入內部部署目錄中至少一個 DNS 伺服器的 IP 地址。
**重要**
如果您需要在啟動 WorkSpaces 之後更新 DNS 伺服器 IP 地址,請遵循 [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md) 中的程序,確保您的 WorkSpaces 能正確更新。
1. (選用) 針對**描述**,輸入目錄的描述。
1. 將**大小**保持為**小**。
1. 針對 **VPC**,選取您的 VPC。
1. 針對**子網路**,選取您的子網路。您指定的 DNS 伺服器必須可從每個子網路存取。
1. 選擇**建立目錄**。
1. 您將會回到 WorkSpaces 主控台上的建立目錄頁面。目錄的初始狀態為 `Requested`,然後是 `Creating`。目錄建立完成時 (這可能需要幾分鐘),狀態為 `Active`。
# 在 AWS Managed Microsoft AD 目錄與 WorkSpaces Personal 的內部部署網域之間建立信任關係
在本教學課程中,我們會在 AWS Managed Microsoft AD 目錄和內部部署網域之間建立信任關係。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
**注意**
在個別受信任網域 AWS 帳戶 中使用 啟動 WorkSpaces 時,當 AWS Managed Microsoft AD 與內部部署目錄具有信任關係時,它即可使用。但是,使用 Simple AD 或 AD Connector 的 WorkSpaces 無法為來自信任網域的使用者啟動 WorkSpaces。
**設定信任關係**
1. 在虛擬私有雲端 (VPC) 中設定 AWS Managed Microsoft AD。如需詳細資訊,請參閱 *AWS Directory Service 管理指南*中的[建立您的 AWS 受管 Microsoft AD 目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
**注意**
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您的 AWS Managed Microsoft AD 目錄已設定為多區域複寫,則只能註冊主要區域中的目錄以與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。
1. 在 AWS Managed Microsoft AD 和內部部署網域之間建立信任關係。確定信任已設定為雙向信任。如需詳細資訊,請參閱 [管理指南中的教學課程:在您的 AWS 受管 Microsoft AD 與現場部署網域之間建立信任關係](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html)。 *AWS Directory Service *
單向或雙向信任可用於管理和驗證 WorkSpaces,以便將 WorkSpaces 佈建給內部部署使用者和群組。如需詳細資訊,請參閱[使用具有 AWS Directory Service 的單向信任資源網域部署 Amazon WorkSpaces](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/)。
**注意**
Red Hat Enterprise Linux、Rocky Linux 和 Ubuntu WorkSpaces 使用 System Security Services Daemon (SSSD) 進行 Active Directory 整合,SSSD 不支援樹系信任。請改為設定外部信任。對於 Amazon Linux、Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces,建議使用雙向信任。
您無法使用 Web 瀏覽器 (Web Access) 連線到 Linux WorkSpaces。
# 使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄
在本教學課程中,我們會建立自攜授權 (BYOL) Windows 10 和 11 個人 WorkSpaces 是加入 Microsoft Entra ID 並註冊至 Microsoft Intune。在建立這類 WorkSpaces 之前,您需要先為 Entra ID 加入的 WorkSpaces 建立專用的 WorkSpaces Personal 目錄。
**注意**
Microsoft Entra 加入的個人 WorkSpaces 適用於所有提供 Amazon WorkSpaces AWS 的區域,非洲 (開普敦)、以色列 (特拉維夫) 和中國 (寧夏) 除外。
**Contents**
+ [概要](#entra-overview)
+ [要求與限制](#entra-requirements-limitation)
+ [步驟 1:啟用 IAM Identity Center 並與 Microsoft Entra ID 同步](#entra-step-1)
+ [步驟 2:註冊 Microsoft Entra ID 應用程式以授予 Windows Autopilot 的許可](#entra-step-2)
+ [步驟 3:設定 Windows Autopilot 使用者驅動模式](#entra-step-3)
+ [步驟 4:建立 AWS Secrets Manager 秘密](#entra-step-4)
+ [步驟 5:建立專用 Microsoft Entra ID WorkSpaces 目錄](#entra-step-5)
+ [為 WorkSpaces 目錄設定 IAM Identity Center 應用程式 (選用)](#configure-iam-directory)
+ [建立跨區域 IAM Identity Center 整合 (選用)](#create-cross-region-iam-identity-integration)
## 概要
Microsoft Entra ID 個人 WorkSpaces 目錄包含啟動 Microsoft Entra ID 加入 WorkSpaces 所需的所有資訊,這些 WorkSpaces 會指派給使用 Microsoft Entra ID 管理的使用者。使用者資訊會透過 IAM Identity Center AWS 提供給 WorkSpaces,其做為身分中介裝置,將您的人力資源身分從 Entra ID 帶到其中 AWS。Microsoft Windows Autopilot 使用者驅動模式用於完成 WorkSpaces Intune 註冊和 Entra 聯結。下圖說明 Autopilot 程序。
![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/autopilot.jpg)
## 要求與限制
+ Microsoft Entra ID P1 計劃或更高版本。
+ Microsoft Entra ID 和 Intune 已啟用,並具有角色指派。
+ Intune 管理員 - 管理 Autopilot 部署設定檔時需要。
+ 全域管理員 - 授予管理員對在[步驟 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中建立之應用程式所指派之 API 許可的同意時需要。無需此許可即可建立應用程式。不過,全域管理員需要提供應用程式許可的管理員同意。
+ 將 Windows 10/11 VDA E3 或 E5 使用者訂閱授權指派給 WorkSpaces 使用者。
+ Entra ID 目錄僅支援 Windows 10 或 11 自帶授權個人 WorkSpaces。以下是支援的版本。
+ Windows 10 版本 21H2 (2021 年 12 月更新)
+ Windows 10 版本 22H2 (2022 年 11 月更新)
+ Windows 11 Enterprise 23H2 (2023 年 10 月版本)
+ Windows 11 Enterprise 22H2 (2022 年 10 月版本)
+ Windows 11 Enterprise 24H2 (2024 年 10 月發行)
+ Windows 11 Enterprise 25H2 (2025 年 9 月發行)
+ AWS 您的帳戶已啟用自帶授權 (BYOL),而且您的帳戶中匯入了有效的 Windows 10 或 11 BYOL 映像。如需詳細資訊,請參閱[在 WorkSpaces 中攜帶您自己的 Windows 桌面授權](byol-windows-images.md)。
+ Microsoft Entra ID 目錄僅支援 Windows 10 或 11 BYOL 個人 WorkSpaces。
+ Microsoft Entra ID 目錄僅支援 DCV 通訊協定。
+ 如果您為 WorkSpaces 使用防火牆,請確定它不會封鎖 Microsoft Intune 和 Windows Autopilot 端點的傳出流量。如需詳細資訊[,請參閱 Microsoft Intune - Microsoft Intune 和 Windows Autopilot 需求的網路端點](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america)。 [https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking)
+ Microsoft Entra ID 目錄不支援 Government Community Cloud High (GCCH) 和 Department of Defense (DoD) 環境中的 Microsoft Entra ID 租用戶。
## 步驟 1:啟用 IAM Identity Center 並與 Microsoft Entra ID 同步
若要建立加入 Microsoft Entra ID 的個人 WorkSpaces 並將其指派給您的 Entra ID 使用者,您必須 AWS 透過 IAM Identity Center 將使用者資訊提供給 。IAM Identity Center 是管理使用者存取 AWS 資源的建議 AWS 服務。如需詳細資訊,請參閱[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。這是一次性設定。
如果您沒有要與 WorkSpaces 整合的現有 IAM Identity Center 執行個體,建議您在與 WorkSpaces 相同的區域中建立一個執行個體。如果您在不同的區域中有現有的 AWS Identity Center 執行個體,您可以設定跨區域整合。如需跨區域設定的詳細資訊,請參閱 [建立跨區域 IAM Identity Center 整合 (選用)](#create-cross-region-iam-identity-integration)。
**注意**
不支援 WorkSpaces 和 IAM Identity Center 之間的跨區域整合 AWS GovCloud (US) Region。
1. 使用 AWS Organizations 啟用 IAM Identity Center,尤其是使用多帳戶環境時。您也可以建立 IAM Identity Center 的帳戶執行個體。若要進一步了解,請參閱[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每個 WorkSpaces 目錄都可以與一個 IAM Identity Center 執行個體、組織或帳戶建立關聯。
如果您使用組織執行個體,並嘗試在其中一個成員帳戶中建立 WorkSpaces 目錄,請確定您有下列 IAM Identity Center 許可。
+ `"sso:DescribeInstance"`
+ `"sso:CreateApplication"`
+ `"sso:PutApplicationGrant"`
+ `"sso:PutApplicationAuthenticationMethod"`
+ `"sso:DeleteApplication"`
+ `"sso:DescribeApplication"`
+ `"sso:getApplicationGrant"`
如需詳細資訊,請參閱[管理 IAM Identity Center 資源存取許可的概觀](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。此外,請確定沒有任何服務控制政策 SCPs) 封鎖這些許可。若要進一步了解 SCPs,請參閱[服務控制政策 SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
1. 設定 IAM Identity Center 和 Microsoft Entra ID,以自動將所選或所有使用者從 Entra ID 租用戶同步至 IAM Identity Center 執行個體。如需詳細資訊,請參閱[使用 Microsoft Entra ID 和 IAM Identity Center 設定 SAML 和 SCIM](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html),以及[教學課程:為自動使用者佈建設定 AWS IAM Identity Center](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial)。
1. 確認您在 Microsoft Entra ID 上設定的使用者已正確同步至 IAM Identity Center AWS 執行個體。如果您在 Microsoft Entra ID 中看到錯誤訊息,表示 Entra ID 中的使用者是以 IAM Identity Center 不支援的方式設定。錯誤訊息將識別此問題。例如,如果 Entra ID 中的使用者物件缺少名字、姓氏和/或顯示名稱,您會收到類似 的錯誤訊息`"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"`。如需詳細資訊,請參閱[特定使用者無法從外部 SCIM 供應商同步至 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2)。
**注意**
WorkSpaces 使用 Entra ID UserPrincipalName (UPN) 屬性來識別個別使用者,其限制如下:
UPNs 長度不可超過 63 個字元。
如果您在將 WorkSpace 指派給使用者後變更 UPN,使用者將無法連線到其 WorkSpace,除非您將 UPN 變更回先前的版本。
## 步驟 2:註冊 Microsoft Entra ID 應用程式以授予 Windows Autopilot 的許可
WorkSpaces Personal 使用 Microsoft Windows Autopilot 使用者驅動模式將 WorkSpaces 註冊到 Microsoft Intune,並將其加入 Microsoft Entra ID。
若要允許 Amazon WorkSpaces 將 WorkSpaces Personal 註冊到 Autopilot,您必須註冊授予必要 Microsoft Graph API 許可的 Microsoft Entra ID 應用程式。如需註冊 Entra ID 應用程式的詳細資訊,請參閱 [ Quickstart:向 Microsoft 身分平台註冊應用程式](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate)。
我們建議您在 Entra ID 應用程式中提供下列 API 許可。
+ 若要建立需要加入 Entra ID 的新個人 WorkSpace,需要下列 API 許可。
+ `DeviceManagementServiceConfig.ReadWrite.All`
+ 當您終止或重建個人 WorkSpace 時,會使用下列許可。
**注意**
如果您未提供這些許可,WorkSpace 將終止,但不會從 Intune 和 Entra ID 租用戶中移除,而且您必須分別移除它們。
+ `DeviceManagementServiceConfig.ReadWrite.All`
+ `Device.ReadWrite.All`
+ `DeviceManagementManagedDevices.ReadWrite.All`
+ 這些許可需要管理員同意。如需詳細資訊,請參閱[授予整個租用戶的管理員對應用程式 的同意](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。
接著,您必須為 Entra ID 應用程式新增用戶端秘密。如需詳細資訊,請參閱[新增登入](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials)資料。請務必記住用戶端秘密字串,因為在步驟 4 中建立 AWS Secrets Manager 秘密時會需要它。
## 步驟 3:設定 Windows Autopilot 使用者驅動模式
確保您熟悉 [ Intune 中 Windows Autopilot 使用者驅動 Microsoft Entra 加入的逐步教學](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow)課程。
**設定 Microsoft Intune for Autopilot**
1. 登入 Microsoft Intune 管理中心
1. 為個人 WorkSpaces 建立新的 Autopilot 裝置群組。如需詳細資訊,請參閱[建立 Windows Autopilot 的裝置群組](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot)。
1. 選擇**群組**、**新群組**
1. 針對 **Group type** (群組類型),選擇 **Security** (安全性)。
1. 針對**成員類型**,選擇**動態裝置**。
1. 選擇**編輯動態查詢**以建立動態成員資格規則。規則應該採用下列格式:
```
(device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
```
**重要**
`WorkSpacesDirectoryName` 應該符合您在步驟 5 中建立的 Entra ID WorkSpaces Personal 目錄的目錄名稱。這是因為當 WorkSpaces 將虛擬桌面註冊到 Autopilot 時,目錄名稱字串會用作群組標籤。此外,群組標籤會映射至 Microsoft Entra 裝置上的 `OrderID` 屬性。
1. 選擇**裝置**、**Windows**、**註冊**。針對**註冊選項**,選擇**自動註冊**。對於 **MDM 使用者範圍**,選取**全部**。
1. 建立 Autopilot 部署設定檔。如需詳細資訊,請參閱[建立 Autopilot 部署設定檔](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile)。
1. 針對 **Windows Autopilot**,選擇**部署設定檔**、**建立設定檔**。
1. 在 **Windows Autopilot 部署設定檔**畫面中,選取**建立設定檔**下拉式功能表,然後選取 **Windows PC**。
1. 在**建立設定檔**畫面**的Out-of-box(OOBE) **頁面上。針對**部署模式**,選取**使用者驅動**。針對**加入 Microsoft Entra ID**,選取**加入的 Microsoft Entra**。您可以透過選取**是**套用裝置名稱範本來自訂已加入 Entra ID 的個人 WorkSpaces 的電腦名稱,以建立在註冊期間命名裝置時使用的範本。 ****
1. 在**指派**頁面上,針對**指派至**,選擇**選取的群組**。選擇要**包含的群組**,然後選取您剛在 2 中建立的 Autopilot 裝置群組。
## 步驟 4:建立 AWS Secrets Manager 秘密
您必須在 中建立秘密, AWS Secrets Manager 才能為您在 中建立的 Entra ID 應用程式安全地存放資訊,包括應用程式 ID 和用戶端秘密[步驟 2:註冊 Microsoft Entra ID 應用程式以授予 Windows Autopilot 的許可](#entra-step-2)。這是一次性設定。
**建立 AWS Secrets Manager 秘密**
1. 在 上建立客戶受管金鑰[AWS Key Management Service](https://aws.amazon.com/kms/)。金鑰稍後將用於加密 AWS Secrets Manager 秘密。請勿使用預設金鑰來加密秘密,因為 WorkSpaces 服務無法存取預設金鑰。請依照下列步驟建立金鑰。
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 選擇**建立金鑰**。
1. 在**設定金鑰**頁面上,針對**金鑰類型**選擇**對稱**。針對**金鑰用量**,選擇**加密和解密**。
1. 在**檢閱**頁面的金鑰政策編輯器中,確保在金鑰政策中包含下列許可,以允許 WorkSpaces 服務的主體`workspaces.amazonaws.com`存取金鑰。
```
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. 使用上一個步驟中建立的 AWS KMS 金鑰 AWS Secrets Manager,在 上建立秘密。
1. 前往以下位置開啟機密管理員控制台:[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。
1. 選擇 **Store a new secret** (存放新機密)。
1. 在**選擇秘密類型**頁面上,針對**秘密類型**,選取**其他類型的秘密**。
1. 對於**金鑰/值對**,在金鑰方塊中,在金鑰方塊中輸入「application\$1id」,然後從[步驟 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 複製 Entra ID 應用程式 ID,並將其貼到值方塊中。
1. 選擇**新增資料列**,在金鑰方塊中輸入「application\$1password」,然後從[步驟 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 複製 Entra ID 應用程式用戶端秘密,並將其貼到值方塊中。
1. 從加密 AWS KMS 金鑰下拉式清單中選擇您在上一個步驟中建立的金鑰。 ****
1. 選擇**下一步**。
1. 在**設定秘密**頁面上,輸入**秘密名稱**和**描述**。
1. 在**資源許可**區段中,選擇**編輯許可**。
1. 請確定在資源許可中包含下列資源政策,以允許 WorkSpaces 服務的主體`workspaces.amazonaws.com`存取秘密。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"Service" : [ "workspaces.amazonaws.com"]
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}
```
------
## 步驟 5:建立專用 Microsoft Entra ID WorkSpaces 目錄
建立專用 WorkSpaces 目錄,以存放加入 Microsoft Entra ID 的 WorkSpaces 和 Entra ID 使用者的資訊。
**建立 Entra ID WorkSpaces 目錄**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces 類型**選擇**個人**。針對 **WorkSpace 裝置管理**,選擇 **Microsoft Entra ID**。
1. 針對 **Microsoft Entra 租用戶 ID**,輸入您希望目錄的 WorkSpaces 加入的 Microsoft Entra ID 租用戶 ID。建立目錄後,您將無法變更租戶 ID。
1. 對於 **Entra ID 應用程式 ID 和密碼**,請從下拉式清單中選取您在[步驟 4](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4) 中建立的 AWS Secrets Manager 秘密。建立目錄之後,您將無法變更與目錄相關聯的秘密。不過,您可以隨時透過 AWS Secrets Manager 主控台更新秘密的內容,包括 Entra ID 應用程式 ID 及其密碼,網址為 https://[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。
1. 如果您的 IAM Identity Center 執行個體與 WorkSpaces 目錄位於相同的 AWS 區域,請針對**使用者身分來源**,從下拉式清單中選取您在[步驟 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) 中設定的 IAM Identity Center 執行個體。建立目錄之後,您將無法變更與目錄相關聯的 IAM Identity Center 執行個體。
如果您的 IAM Identity Center 執行個體與 WorkSpaces 目錄位於不同的 AWS 區域,請選擇**啟用跨區域**,然後從下拉式清單中選取區域。
**注意**
如果您在不同的區域中有現有的 IAM Identity Center 執行個體,您必須選擇加入以設定跨區域整合。如需跨區域設定的詳細資訊,請參閱 [建立跨區域 IAM Identity Center 整合 (選用)](#create-cross-region-iam-identity-integration)。
1. 針對**目錄名稱**,輸入目錄的唯一名稱 (例如,`WorkSpacesDirectoryName`)。
**重要**
目錄名稱應與您在[步驟 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中使用 Microsoft Intune 建立的 Autopilot 裝置群組建構動態查詢`OrderID`所用的 相符。在 Windows Autopilot 中註冊個人 WorkSpaces 時,目錄名稱字串會用作群組標籤。群組標籤會映射至 Microsoft Entra 裝置上的 `OrderID` 屬性。
1. (選用) 針對**描述**,輸入目錄的描述。
1. 針對 **VPC**,選取您用來啟動 WorkSpaces 的 VPC。如需詳細資訊,請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。
1. 針對**子網路**,選取兩個不是來自相同可用區域的 VPC 子網路。這些子網路將用於啟動您的個人 WorkSpaces。如需詳細資訊,請參閱[WorkSpaces Personal 的可用區域](azs-workspaces.md)。
**重要**
確保在子網路中啟動的 WorkSpaces 具有網際網路存取,這是使用者登入 Windows 桌面時需要的。如需詳細資訊,請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。
1. 針對**組態**,選取**啟用專用 WorkSpace**。您必須啟用它來建立專用的 WorkSpaces Personal 目錄,以啟動自帶授權 (BYOL) Windows 10 或 11 個個人 WorkSpaces。
**注意**
如果您沒有在**組態**下看到**啟用專用 WorkSpace** 選項,您的帳戶尚未為 BYOL 啟用。若要為您的帳戶啟用 BYOL,請參閱 [在 WorkSpaces 中攜帶您自己的 Windows 桌面授權](byol-windows-images.md)。
1. (選用) 對於**標籤**,在 目錄中指定您要用於個人 WorkSpaces 的金鑰對值。
1. 檢閱目錄摘要,然後選擇**建立目錄**。連線您的目錄需要幾分鐘的時間。目錄的初始狀態為 `Creating`。目錄建立完成時,狀態為 `Active`。
建立目錄後,也會代表您自動建立 IAM Identity Center 應用程式。若要尋找應用程式的 ARN,請前往目錄的摘要頁面。
您現在可以使用 目錄來啟動已註冊 Microsoft Intune 並加入 Microsoft Entra ID 的 Windows 10 或 11 個人 WorkSpaces。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)。
建立 WorkSpaces Personal 目錄之後,您可以建立個人 WorkSpace。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)
## 為 WorkSpaces 目錄設定 IAM Identity Center 應用程式 (選用)
建立目錄後,會自動建立對應的 IAM Identity Center 應用程式。您可以在目錄詳細資訊頁面上的摘要區段中找到應用程式的 ARN。根據預設, Identity Center 執行個體中的所有使用者可以存取其指派的 WorkSpaces,而無需設定對應的 Identity Center 應用程式。不過,您可以透過設定 IAM Identity Center 應用程式的使用者指派,來管理使用者對 目錄中 WorkSpaces 的存取權。
**設定 IAM Identity Center 應用程式的使用者指派**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在**AWS 受管應用程式**索引標籤上,選擇 WorkSpaces 目錄的應用程式。應用程式名稱的格式如下:`WorkSpaces.wsd-xxxxx`,其中 `wsd-xxxxx`是 WorkSpaces 目錄 ID。
1. 選擇**動作**、**編輯詳細資訊**。
1. 從 變更**使用者和群組指派方法** **不需要指派**至**需要指派**。
1. 選擇**儲存變更**。
進行此變更後,除非指派給應用程式,否則 Identity Center 執行個體中的使用者將失去其指派 WorkSpaces 的存取權。若要將使用者指派給應用程式,請使用 AWS CLI 命令`create-application-assignment`將使用者或群組指派給應用程式。如需詳細資訊,請參閱 [AWS CLI 命令參考](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html)。
## 建立跨區域 IAM Identity Center 整合 (選用)
我們建議您的 WorkSpaces 和相關聯的 IAM Identity Center 執行個體位於相同的 AWS 區域。不過,如果您已在與 WorkSpaces 區域不同的區域中設定 IAM Identity Center 執行個體,您可以建立跨區域整合。當您建立跨區域 WorkSpaces 和 IAM Identity Center 整合時,您可以讓 WorkSpaces 進行跨區域呼叫,以存取和存放來自 IAM Identity Center 執行個體的資訊,例如使用者和群組屬性。
**重要**
Amazon WorkSpaces 僅支援組織層級執行個體的跨區域 IAM Identity Center 和 WorkSpaces 整合。WorkSpaces 不支援帳戶層級執行個體的跨區域 IAM Identity Center 整合。如需 IAM Identity Center 執行個體類型及其使用案例的詳細資訊,請參閱[了解 IAM Identity Center 執行個體的類型](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types)。
如果您在 WorkSpaces 目錄和 IAM Identity Center 執行個體之間建立跨區域整合,則部署 WorkSpaces 時和登入期間可能會因為跨區域呼叫而遇到較高的延遲。延遲的增加與 WorkSpaces 區域和 IAM Identity Center 區域之間的距離成正比。我們建議您針對特定使用案例執行延遲測試。
您可以在[步驟 5:建立專用 Microsoft Entra ID WorkSpaces 目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5)期間啟用跨區域 IAM Identity Center 連線。對於**使用者身分來源**,[步驟 1:啟用 IAM Identity Center 並與 Microsoft Entra ID 同步](#entra-step-1)請從下拉式選單中選擇您在 中設定的 IAM Identity Center 執行個體。
**重要**
您無法在建立目錄之後變更與目錄相關聯的 IAM Identity Center 執行個體。
# 使用 WorkSpaces Personal 建立專用自訂目錄
在建立 Windows 10 和 11 BYOL 個人 WorkSpaces 並將其指派給使用 IAM Identity Center Identity Providers (IdPs AWS管理的使用者之前,您必須建立專用的自訂 WorkSpaces 目錄。Personal WorkSpaces 不會加入任何 Microsoft Active Directory,但可以使用您選擇的行動裝置管理 (MDM) 解決方案進行管理,例如 JumpCloud。如需 JumpCloud 的詳細資訊,請參閱[這篇文章](https://jumpcloud.com/support/integrate-with-aws-workspaces)。如需使用其他選項的教學課程,請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
**注意**
Amazon WorkSpaces 無法在自訂目錄中啟動的個人 WorkSpaces 上建立或管理使用者帳戶。身為管理員,您必須管理它們。
除了非洲 (開普敦)、以色列 (特拉維夫) 和中國 (寧夏) 以外,提供 Amazon WorkSpaces 的所有AWS區域都提供自訂 WorkSpaces 目錄。
Amazon WorkSpaces 無法使用自訂目錄在 WorkSpaces 上建立或管理使用者帳戶。為了確保您使用的 MDM 代理程式軟體可以在 Windows WorkSpaces 上建立使用者設定檔,請聯絡 MDM 解決方案供應商。建立使用者設定檔可讓您的使用者從 Windows 登入畫面登入 Windows 桌面。
**Contents**
+ [要求與限制](#custom-requirements-limitations)
+ [步驟 1:啟用 IAM Identity Center 並與您的 Identity Provider 連線](#custom-step-1)
+ [步驟 2:建立專用的自訂 WorkSpaces 目錄](#custom-step-2)
## 要求與限制
+ 自訂 WorkSpaces 目錄僅支援 Windows 10 或 11 自帶授權個人 WorkSpaces。
+ 自訂 WorkSpaces 目錄僅支援 DCV 通訊協定。
+ 請確定您為 AWS帳戶啟用 BYOL,而且您擁有自己的AWS KMS伺服器,可供個人 WorkSpaces 存取以進行 Windows 10 和 11 啟用。如需詳細資訊,請參閱[在 WorkSpaces 中攜帶您自己的 Windows 桌面授權](byol-windows-images.md)。
+ 請確定您在匯入至AWS帳戶的 BYOL 映像上預先安裝 MDM 代理程式軟體。
## 步驟 1:啟用 IAM Identity Center 並與您的 Identity Provider 連線
若要將 WorkSpaces 指派給使用身分提供者管理的使用者,使用者資訊必須透過 AWSAWSIAM Identity Center 提供給 。我們建議您使用 IAM Identity Center 來管理使用者對 AWS資源的存取。如需詳細資訊,請參閱[什麼是 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。這是一次性設定。
**提供使用者資訊給AWS**
1. 啟用 IAM Identity CenterAWS。您可以為您的AWS組織啟用 IAM Identity Center,尤其是使用多帳戶環境時。您也可以建立 IAM Identity Center 的帳戶執行個體。如需詳細資訊,請參閱[啟用 AWSIAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每個 WorkSpaces 目錄都可以與一個 IAM Identity Center 組織或帳戶執行個體建立關聯。每個 IAM Identity Center 執行個體都可以與一或多個 WorkSpaces Personal 目錄建立關聯。
如果您使用組織執行個體,並嘗試在其中一個成員帳戶中建立 WorkSpaces 目錄,請確定您有下列 IAM Identity Center 許可。
+ `"sso:DescribeInstance"`
+ `"sso:CreateApplication"`
+ `"sso:PutApplicationGrant"`
+ `"sso:PutApplicationAuthenticationMethod"`
+ `"sso:DeleteApplication"`
+ `"sso:DescribeApplication"`
+ `"sso:getApplicationGrant"`
如需詳細資訊,請參閱[管理 IAM Identity Center 資源存取許可的概觀](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。確保沒有任何服務控制政策 SCPs) 封鎖這些許可。若要進一步了解 SCPs,請參閱[服務控制政策 SCPs)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html)。
1. 設定 IAM Identity Center 和您的身分提供者 (IdP),以自動將使用者從 IdP 同步至 IAM Identity Center 執行個體。如需詳細資訊,請參閱[入門教學課程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html),並選擇您要使用的 IdP 特定教學課程。例如,[使用 IAM Identity Center 與您的 JumpCloud Directory Platform 連線](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html)。
1. 確認您在 IdP 上設定的使用者已正確同步至 IAM Identity Center AWS執行個體。第一次同步可能需要長達一小時的時間,具體取決於 IdP 的組態。
## 步驟 2:建立專用的自訂 WorkSpaces 目錄
建立專用的 WorkSpaces Personal 目錄,以存放您的個人 WorkSpaces 和使用者的相關資訊。
**建立專用的自訂 WorkSpaces 目錄**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇**建立目錄**。
1. 在**建立目錄**頁面上,針對 **WorkSpaces** 類型,選擇**個人**。針對 **WorkSpace 裝置管理**,選擇**自訂**。
1. 對於**使用者身分來源**,請從下拉式清單中選取您在[步驟 1](https://docs.aws.amazon.com/) 中設定的 IAM Identity Center 執行個體。建立目錄後,您將無法變更與目錄相關聯的 IAM Identity Center 執行個體。
**注意**
您必須為目錄指定 IAM Identity Center 執行個體,否則您將無法使用 WorkSpaces 主控台透過目錄啟動個人 WorkSpaces。沒有相關聯 Identity Center 的 WorkSpaces 目錄僅與 WorkSpaces Core 合作夥伴解決方案相容。
1. 在**目錄名稱**中,輸入目錄的唯一名稱。
1. 針對 **VPC**,選取您用來啟動 WorkSpaces 的 VPC。如需詳細資訊,請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。
1. 針對**子網路**,選取兩個不是來自相同可用區域的 VPC 子網路。這些子網路將用於啟動您的個人 WorkSpaces。如需詳細資訊,請參閱[WorkSpaces Personal 的可用區域](azs-workspaces.md)。
**重要**
確保在子網路中啟動的 WorkSpaces 具有網際網路存取,這是使用者登入 Windows 桌面時需要的。如需詳細資訊,請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。
1. 針對**組態**,選取**啟用專用 WorkSpace**。您必須啟用它來建立專用的 WorkSpaces Personal 目錄,以啟動自帶授權 (BYOL) Windows 10 或 11 個個人 WorkSpaces。
1. (選用) 針對**標籤**,在 目錄中指定您要用於個人 WorkSpaces 的金鑰對值。
1. 檢閱目錄摘要,然後選擇**建立目錄**。連線您的目錄需要幾分鐘的時間。目錄的初始狀態為 `Creating`。目錄建立完成時,狀態為 `Active`。
建立目錄後,也會代表您自動建立 IAM Identity Center 應用程式。若要尋找應用程式的 ARN,請前往目錄的摘要頁面。
您現在可以使用 目錄來啟動已註冊 Microsoft Intune 並加入 Microsoft Entra ID 的 Windows 10 或 11 個人 WorkSpaces。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)。
建立 WorkSpaces Personal 目錄之後,您可以建立個人 WorkSpace。如需詳細資訊,請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)