本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用安全 LDAP 或 LDAPS
<a name="ms_ad_ldap"></a>

輕量型目錄存取協定 (LDAP) 是用來從 Active Directory 讀取資料，及將資料寫入 Active Directory 的標準協定。某些應用程式使用 LDAP 新增、移除或搜尋 Active Directory 中的使用者和群組，或是傳輸登入資料來驗證 Active Directory 中的使用者。每個 LDAP 通訊都包括用戶端 (如應用程式) 和伺服器 (例如 Active Directory)。

預設不會加密透過 LDAP 的通訊。如此易讓惡意使用者能夠利用網路監控軟體，來檢視網路上的資料封包。這也是為什麼許多企業安全政策通常會要求組織加密所有 LDAP 通訊。

為了減輕這種形式的資料暴露， AWS 受管 Microsoft AD 提供了一個選項：您可以透過 Secure Sockets Layer (SSL)/Transport Layer Security (TLS) 啟用 LDAP，也稱為 LDAPS。您可以使用 LDAPS 改善網路上的安全。您也可以加密已啟用 LDAP 的應用程式與 AWS Managed Microsoft AD 之間的所有通訊，以滿足合規要求。

AWS Managed Microsoft AD 在下列部署案例中支援 LDAPS：
+ **伺服器端 LDAPS** 會將您的商業或自製可運用 LDAP 的應用程式 (做為 LDAP 用戶端) 與 AWS Managed Microsoft AD (做為 LDAP 伺服器) 之間的 LDAP 通訊加密。如需詳細資訊，請參閱[使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS](ms_ad_ldap_server_side.md)。
+ **用戶端 LDAPS** 會加密 WorkSpaces （做為 LDAP 用戶端） 和自我管理 （內部部署） Active Directory （做為 LDAP 伺服器） 等 AWS 應用程式之間的 LDAP 通訊。如需詳細資訊，請參閱[使用 AWS Managed Microsoft AD 啟用用戶端 LDAPS](ms_ad_ldap_client_side.md)。

如需保護 Microsoft Active Directory 實作之最佳實務的詳細資訊Certificate Services，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate)。

**Topics**
+ [使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS](ms_ad_ldap_server_side.md)
+ [使用 AWS Managed Microsoft AD 啟用用戶端 LDAPS](ms_ad_ldap_client_side.md)