本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 限制對 WorkSpaces Personal 受信任裝置的存取
<a name="trusted-devices"></a>

根據預設，使用者可以從連線到網際網路的任何支援裝置存取其 WorkSpaces。如果貴公司限制對信任裝置 (也稱為受管裝置) 的公司資料存取，您可以使用有效的憑證來限制 WorkSpaces 對信任裝置的存取。

**注意**  
此功能目前僅適用於透過 Directory Service 包含 Simple AD、AD Connector 和 AWS Managed Microsoft AD 目錄管理 WorkSpaces Personal 目錄的情況。

啟用此功能時，WorkSpaces 會使用憑證型驗證來判斷裝置是否受信任。如果 WorkSpaces 用戶端應用程式無法驗證裝置是否受信任，則會封鎖登入或從裝置重新連線的嘗試。

對於每個目錄，您最多可以匯入兩個根憑證。如果您匯入兩個根憑證，WorkSpaces 會對用戶端出示兩者，而用戶端會尋找第一個鏈結到任一根憑證的有效相符憑證。

**支援的用戶端**
+ Android，在 Android 或與 Android 系統相容的 Chrome 作業系統上執行
+ macOS
+ Windows

**重要**  
下列用戶端不支援此功能：  
適用於 Linux 或 iPad 的 WorkSpaces 用戶端應用程式
第三方用戶端，包括但不限於 Terdici PCoIP、RDP 用戶端和遠端桌面應用程式。

**注意**  
當您啟用特定用戶端的存取權時，請務必封鎖您不需要的其他裝置類型的存取權。如需如何執行此操作的詳細資訊，請參閱下面的步驟 3.7。

## 步驟 1：建立憑證
<a name="create-certificate"></a>

此功能需要兩種類型的憑證：由內部憑證授權機構 (CA) 產生的根憑證，以及鏈結至根憑證的用戶端憑證。

**要求**
+ 根憑證必須是 CRT、CERT 或 PEM 格式的 Base64 編碼憑證檔案。
+ 根憑證必須符合下列規則運算式模式，也就是說，除了最後一行以外，每一個編碼行的長度都必須剛好是 64 個字元：`-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`。
+ 裝置憑證必須包含通用名稱。
+ 裝置憑證必須包含下列副檔名：`Key Usage: Digital Signature` 和 `Enhanced Key Usage: Client Authentication`。
+ 從裝置憑證到信任的根憑證授權機構的鏈結中的所有憑證都必須安裝在用戶端裝置上。
+ 憑證鏈結支援的長度上限為 4。
+ WorkSpaces 目前不支援用戶端憑證的裝置撤銷機制，例如憑證撤銷清單 (CRL) 或線上憑證狀態通訊協定 (OCSP)。
+ 使用強大的加密演算法。我們建議使用 SHA256 結合 RSA、SHA256 結合 ECDSA、SHA384 結合 ECDSA 或 SHA512 結合 ECDSA。
+ 對於 macOS，如果裝置憑證位於系統鑰匙圈中，建議您授權 WorkSpaces 用戶端應用程式存取這些憑證。否則，使用者必須在登入或重新連線時輸入鑰匙圈憑證。

## 步驟 2：將用戶端憑證部署到信任的裝置
<a name="deploy-certificate"></a>

在使用者的信任裝置上，您必須安裝憑證套件，其中包含從裝置憑證到信任的根憑證授權機構的鏈結中的所有憑證。您可以使用偏好的解決方案將憑證安裝到用戶端裝置機群；例如，系統中心組態管理員 (SCCM) 或行動裝置管理 (MDM)。請注意，SCCM 和 MDM 可以選擇性地執行安全狀態評估，以判斷裝置是否符合您的公司政策以存取 WorkSpaces。

WorkSpaces 用戶端應用程式會搜尋憑證，如下所示：
+ Android - 移至**設定**，選擇**安全性和位置**、**憑證**，然後選擇**從 SD 卡安裝**。
+ Android 相容的 Chrome 作業系統 - 開啟 Android 設定，選擇**安全性和位置**、**憑證**，然後選擇**從 SD 卡安裝**。
+ macOS - 在鑰匙圈中搜尋用戶端憑證。
+ Windows - 在使用者和根憑證存放區中搜尋用戶端憑證。

## 步驟 3：設定限制
<a name="configure-restriction"></a>

在信任的裝置上部署用戶端憑證之後，您可以在目錄層級啟用限制存取。這需要 WorkSpaces 用戶端應用程式在允許使用者登入 WorkSpace 之前，先驗證裝置上的憑證。

**若要設定限制**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取目錄，然後依序選擇**動作**、**更新詳細資訊**。

1. 展開**存取控制選項**。

1. **在每種裝置類型下，指定哪些裝置可以存取 WorkSpaces**，選擇**受信任裝置**。

1. 匯入最多兩個根憑證。針對每個根憑證，執行下列操作：

   1. 選擇**匯入**。

   1. 將憑證主體複製到表單。

   1. 選擇**匯入**。

1. 指定其他類型的裝置是否可以存取 WorkSpaces。

   1. 向下捲動至**其他平台**區段。根據預設，WorkSpaces Linux 用戶端已停用，使用者可以從其 iOS 裝置、Android 裝置、Web Access、Chromebooks 和 PCoIP 零用戶端裝置存取其 WorkSpaces。

   1. 選取要啟用的裝置類型，並清除要停用的裝置類型。

   1. 若要封鎖來自所有所選裝置類型的存取，請選擇**封鎖**。

1. 選擇**更新並結束**。