本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 保護您的 AWS Managed Microsoft AD
您可以使用密碼政策、多重驗證 (MFA) 等功能,以及設定來保護 AWS Managed Microsoft AD。您可以保護目錄的方式包括:
+ [了解 Active Directory 中的密碼政策如何運作](ms_ad_password_policies.md),以便將其套用至 AWS Managed Microsoft AD 使用者。您也可以委派哪些使用者可以管理您的 AWS Managed Microsoft AD 密碼政策。
+ [啟用可提高 Managed Microsoft AD 安全性的 MFA](ms_ad_mfa.md)。 AWS
+ [>透過 Secure Socket Layer (SSL)/Transport Layer Security (TLS) (LDAPS) 啟用輕量型目錄存取通訊協定](ms_ad_ldap.md),以便透過 LDAP 進行通訊加密並改善安全性。
+ 使用聯邦風險與授權管理計劃 (FedRAMP) 和支付卡產業 (PCI) 資料安全標準 (DSS) 等標準[來管理 AWS Managed Microsoft AD 合規](ms_ad_compliance.md)。
+ [透過修改安全群組以滿足您的環境需求,增強 AWS Managed Microsoft AD 網路安全組態>](ms_ad_network_security.md)。 AWS
+ [編輯您的 AWS Managed Microsoft AD 目錄安全設定](ms_ad_directory_settings.md),例如 Certificate Base Authentication、Secure Channel Cipher 和 Protocol,以滿足您的需求。
+ [設定 AWS 私有憑證授權單位 Connector for AD](ms_ad_pca_connector.md),以便您可以發行和管理 AWS Managed Microsoft AD 的憑證 AWS 私有 CA。
# 了解 AWS Managed Microsoft AD 密碼政策
AWS Managed Microsoft AD 可讓您為 AWS Managed Microsoft AD 網域中管理的使用者群組定義和指派不同的密碼和帳戶鎖定政策 (也稱為[精細密碼政策](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt))。當您建立 AWS Managed Microsoft AD 目錄時,會建立預設網域政策並套用至 Active Directory。此政策包括以下設定:
****
| 政策 | 設定 |
| --- | --- |
| 強制密碼歷史記錄 | 記住 24 組密碼 |
| 密碼最長使用期限 | 42 天 \$1 |
| 密碼最短使用期限 | 1 天 |
| 密碼長度下限 | 7 個字元 |
| 密碼必須符合複雜性需求 | 已啟用 |
| 使用可還原的加密來存放密碼 | Disabled |
**注意**
\$1 42 天密碼最長存留期包含管理員密碼。
例如,您可以將較不嚴格的政策設定指派給只能存取低敏感度資訊的員工。對於定期存取機密資訊的資深經理,您可以套用更嚴格的設定。
下列資源提供有關 Microsoft Active Directory 精細密碼政策和安全政策的詳細資訊:
+ [設定安全政策設定](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [密碼複雜性要求](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [密碼複雜性安全性考量事項](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS 在 AWS Managed Microsoft AD 中提供一組精細的密碼政策,您可以設定並指派給您的群組。若要設定政策,您可以使用 [Active Directory Administrative Center](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center) 等標準Microsoft政策工具。若要開始使用Microsoft政策工具,請參閱 [安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具](ms_ad_install_ad_tools.md)。
## 如何套用密碼政策
根據密碼是否重設或變更,套用精細密碼政策的方式有所不同。網域使用者可以變更自己的密碼。具有必要許可的 Active Directory 管理員或使用者可以[重設使用者密碼](ms_ad_manage_users_groups_reset_password.md)。如需詳細資訊,請參閱下表。
****
| 政策 | 密碼重設 | 密碼變更 |
| --- | --- | --- |
| 強制密碼歷史記錄 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-no.png) 否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 密碼最長使用期限 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 密碼最短使用期限 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-no.png) 否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 密碼長度下限 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 密碼必須符合複雜性需求 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
這些差異會對安全性產生影響。例如,每當使用者的密碼重設時,強制執行密碼歷史記錄和最低密碼存留期政策不會強制執行。如需詳細資訊,請參閱 Microsoft 文件,以了解[強制執行密碼歷史記錄](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations)和[密碼存留期最低](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations)政策的相關安全性考量。
## 支援的政策設定
AWS Managed Microsoft AD 包含五個具有不可編輯優先順序值的精細政策。這些政策具有一些屬性,您可以予以設定來強制執行密碼強度,以及登入失敗時的帳戶鎖定動作。您可以將政策指派給零個或多個 Active Directory 群組。如果最終使用者是多個群組的成員並收到多個密碼政策,Active Directory 會強制執行具有最低優先順序值的政策。
### AWS 預先定義的密碼政策
下表列出 AWS Managed Microsoft AD 目錄中包含的五個政策及其指派的優先順序值。如需詳細資訊,請參閱[優先順序](#precedence)。
****
| 政策名稱 | 優先順序 |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### 密碼政策屬性
您可以編輯密碼政策中的下列屬性,以符合滿足您業務需求的合規標準。
+ 政策名稱
+ [強制密碼歷史記錄](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [密碼長度下限](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [密碼最短使用期限](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [密碼最長使用期限](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [使用可還原的加密來存放密碼](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [密碼必須符合複雜性需求](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
您無法修改這些政策的優先順序值。如需這些設定如何影響密碼強制執行的詳細資訊,請參閱 [Microsoft TechNet](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) 網站上的 *AD DS: Fine-grained password policies* 相關內容。如需這些政策的一般資訊,請參閱 [Microsoft TechNet](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) 網站上的*密碼政策*相關內容。
### 帳戶鎖定政策
您也可以修改密碼政策的下列屬性,以指定 Active Directory 是否應該在登入失敗之後鎖定帳戶及其做法:
+ 允許的失敗登入嘗試次數
+ 帳戶鎖定期間
+ 經過一些時間後重設失敗登入嘗試次數
如需這些政策的一般資訊,請參閱 [Microsoft TechNet](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) 網站上的*帳戶鎖定政策*相關內容。
### 優先順序
具有較低優先順序值之政策的優先順序較高。您可以將密碼政策指派給 Active Directory 安全群組。雖然您應該對安全群組套用單一政策,但單一使用者可能會收到多個密碼政策。例如,假設 `jsmith` 是 HR 群組的成員,也是 MANAGERS 群組的成員。如果您將 **CustomerPSO-05** (優先順序為 50) 指派給 HR 群組,並將 **CustomerPSO-04** (優先順序為 40) 指派給 MANAGERS,**CustomerPSO-04** 的優先順序較高,因此 Active Directory 會將該政策套用至 `jsmith`。
如果您將多個政策指派給一個使用者或群組,Active Directory 會決定產生的政策如下:
1. 套用您直接指派給使用者物件的政策。
1. 如果未直接對使用者物件指派政策,則會套用使用者所收到之所有政策中具有較低優先順序值的政策,做為群組成員資格的結果。
如需其他詳細資訊,請參閱 [Microsoft TechNet](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) 網站上的 *AD DS: Fine-grained password policies* 相關內容。
**Topics**
+ [如何套用密碼政策](#how_password_policies_applied)
+ [支援的政策設定](#supportedpolicysettings)
+ [將密碼政策指派給 AWS Managed Microsoft AD 使用者](assignpasswordpolicies.md)
+ [委派誰可以管理您的 AWS Managed Microsoft AD 密碼政策](delegatepasswordpolicies.md)
**相關 AWS 安全部落格文章**
+ [如何使用 Directory Service for AWS Managed Microsoft AD 設定更強大的密碼政策,以協助滿足您的安全標準](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# 將密碼政策指派給 AWS Managed Microsoft AD 使用者
**AWS Delegated Fine Grained Password Policy Administrators** 安全群組成員的使用者帳戶可以使用下列程序,將政策指派給使用者和安全群組。
**將密碼政策指派給您的使用者**
1. 從您加入 Managed Microsoft AD 網域的任何受管 EC2 執行個體啟動 [Active Directory 管理中心 (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)。 AWS
1. 切換至 **Tree View** (樹狀檢視),然後導覽至 **System\$1Password Settings Container** (系統\$1密碼設定容器)。
1. 按兩下您要編輯的微調政策。按一下 **Add** (新增) 編輯政策屬性,然後將使用者或安全群組新增至政策。如需 AWS Managed Microsoft AD 隨附之預設精細政策的詳細資訊,請參閱 [AWS 預先定義的密碼政策](ms_ad_password_policies.md#supportedpwdpolicies)。
1. 若要驗證已套用密碼政策,請執行下列 PowerShell 命令:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**注意**
避免使用 `net user` 指令,因為其結果可能不準確。
如果您未在 AWS Managed Microsoft AD 目錄中設定五個密碼政策中的任何一個,Active Directory 會使用預設網域群組政策。如需使用 **Password Settings Container** (密碼設定容器) 的其他詳細資訊,請參閱這篇 [Microsoft 部落格文章](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/)。
# 委派誰可以管理您的 AWS Managed Microsoft AD 密碼政策
您可以將管理密碼政策的許可委派給 Managed AWS Microsoft AD 中建立的特定使用者帳戶,方法是將帳戶新增至**AWS 委派的精細分割密碼政策管理員**安全群組。當帳戶成為此群組的成員時,即具有編輯及執行[之前](ms_ad_password_policies.md#supportedpwdpolicies)所列任何密碼政策的許可。
**委派可管理密碼政策的人員**
1. 從您加入 Managed Microsoft AD 網域的任何受管 EC2 執行個體啟動 [Active Directory 管理中心 (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)。 AWS
1. 切換至**樹狀檢視**,然後導覽至 **AWS 委派群組** OU。如需此 OU 的詳細資訊,請參閱「[使用 AWS Managed Microsoft AD 建立的內容](ms_ad_getting_started_what_gets_created.md)」。
1. 找到 **AWS Delegated Fine Grained Password Policy Administrators** 使用者群組。將您網域中的任何使用者或群組新增至此群組。
# 啟用 AWS Managed Microsoft AD 的多重驗證
您可以為 AWS Managed Microsoft AD 目錄啟用多重要素驗證 (MFA),以在使用者指定其 AD 登入資料以存取支援的 Amazon Enterprise 應用程式時提高安全性。當您啟用 MFA 時,使用者除了像平常一樣輸入使用者名稱和密碼 (第一重因素),還必須輸入身分驗證碼 (第二重因素),該驗證碼由您的虛擬或硬體 MFA 解決方案提供。這兩項因素結合後,可防止使用者在未提供有效使用者登入資料及 MFA 代碼的情況下存取您的 Amazon 企業應用程式,讓您能多一層安全保護。
若要啟用 MFA,您必須擁有本身是一種[遠端驗證撥號使用者服務](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) 伺服器的 MFA 解決方案,或者擁有已在您的內部部署基礎設施上實作之 RADIUS 伺服器的 MFA 外掛程式。您的 MFA 解決方案必須實作使用者從硬體裝置,或是手機等裝置上執行的軟體所取得的一次性密碼 (OTP)。
RADIUS 是業界標準的用戶端/伺服器通訊協定,可提供身分驗證、授權和會計管理,讓使用者能夠連線至網路服務。 AWS Managed Microsoft AD 包含 RADIUS 用戶端,可連線至您已實作 MFA 解決方案的 RADIUS 伺服器。您的 RADIUS 伺服器驗證使用者名稱和 OTP 代碼。如果您的 RADIUS 伺服器成功驗證使用者,則 AWS 受管 Microsoft AD 會根據 Active Directory 驗證使用者。成功進行 Active Directory 身分驗證後,使用者可以存取 AWS 應用程式。 AWS Managed Microsoft AD RADIUS 用戶端與 RADIUS 伺服器之間的通訊需要您設定啟用連接埠 1812 通訊 AWS 的安全群組。
您可以執行下列程序,為 AWS Managed Microsoft AD 目錄啟用多重驗證。如需有關如何設定您 RADIUS 伺服器以使用 Directory Service 和 MFA 的詳細資訊,請參閱[多重要素驗證先決條件](ms_ad_getting_started.md#prereq_mfa_ad)。
## 考量事項
以下是 AWS Managed Microsoft AD 多重要素驗證的一些考量:
+ 多重要素驗證不可用於 Simple AD。不過,您可以在 AD Connector 目錄啟用 MFA。如需詳細資訊,請參閱[啟用 AD Connector 的多重驗證](ad_connector_mfa.md)。
+ MFA 是 AWS Managed Microsoft AD 的區域功能。如果您使用[多區域複寫](ms_ad_configure_multi_region_replication.md),則只能在 AWS Managed Microsoft AD 的主要區域中使用 MFA。
+ 如果您想要使用 AWS Managed Microsoft AD 進行外部通訊,建議您為這些通訊設定網路外 AWS 的網路位址轉譯 (NAT) 網路閘道或網際網路閘道。
+ 如果您想要支援 AWS Managed Microsoft AD 與託管在 AWS 網路上的 RADIUS 伺服器之間的外部通訊,請聯絡 [支援](https://console.aws.amazon.com/support/home#/)。
+ 使用 AWS Managed Microsoft AD 和 AD Connector 搭配 MFA 時, AWS 管理主控台 支援所有 Amazon Enterprise IT 應用程式,包括 WorkSpaces、WorkDocs、Amazon WorkMail、Amazon Quick,以及對 AWS IAM Identity Center 和 的存取。多區域不支援這些使用 MFA AWS 的應用程式。
如需詳細資訊,請參閱[如何使用 AWS Managed Microsoft AD 和內部部署憑證啟用 AWS 服務的多重要素驗證](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)。
+ 如需如何設定基本使用者存取 Amazon Enterprise 應用程式、 AWS 單一登入和 AWS 管理主控台 使用 的詳細資訊 Directory Service,請參閱 [從 AWS Managed Microsoft AD 存取 AWS 應用程式和服務](ms_ad_manage_apps_services.md)和 [使用 AWS Managed Microsoft AD 登入資料啟用 AWS 管理主控台 存取](ms_ad_management_console_access.md)。
+ 請參閱以下 AWS 安全部落格文章,了解如何在 AWS Managed Microsoft AD 上啟用 Amazon WorkSpaces 使用者的 MFA、[如何使用 AWS Managed Microsoft AD 和內部部署憑證啟用 AWS 服務的多重要素驗證](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
## 啟用 AWS Managed Microsoft AD 的多重驗證
下列程序說明如何啟用 AWS Managed Microsoft AD 的多重要素驗證。
1. 識別 RADIUS MFA 伺服器的 IP 地址和 AWS Managed Microsoft AD 目錄。
1. 編輯您的 Virtual Private Cloud (VPC) 安全群組,以在 AWS Managed Microsoft AD IP 端點和 RADIUS MFA 伺服器之間透過連接埠 1812 啟用通訊。
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇 AWS Managed Microsoft AD 目錄的目錄 ID 連結。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取要啟用 MFA 的區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Multi-factor authentication (多重因素認證)** 區段中,選擇 **Actions (動作)**,然後選擇 **Enable (啟用)**。
1. 在 **Enable multi-factor authentication (MFA) (啟用多重因素認證 (MFA))** 頁面上,提供下列值:
**Display label (顯示標籤)**
提供標籤名稱。
**RADIUS server DNS name or IP addresses (RADIUS 伺服器 DNS 名稱或 IP 地址)**
您的 RADIUS 伺服器端點的 IP 地址,或您的 RADIUS 伺服器負載平衡器的 IP 地址。您可以輸入多個 IP 地址,中間以英文逗號分隔 (例如 `192.0.0.0,192.0.0.12`)。
RADIUS MFA 僅適用於驗證對 或 Amazon Enterprise 應用程式和服務的存取 AWS 管理主控台,例如 WorkSpaces、Amazon Quick 或 Amazon Chime。只有在針對 AWS Managed Microsoft AD 設定多區域複寫時,主要區域才支援 Amazon Enterprise 應用程式和服務。它不會將 MFA 提供給在 EC2 執行個體上執行的 Windows 工作負載,或用於登入 EC2 執行個體。 Directory Service 不支援 RADIUS 挑戰/回應身分驗證。
使用者在輸入使用者名稱與密碼時,必須有自己的 MFA 碼。或者,您必須使用為使用者執行 MFA out-of-band功能的解決方案,例如推播通知或驗證器一次性密碼 (OTP)。在頻外 MFA 解決方案中,務必為您的解決方案適當地設定 RADIUS 逾時值。使用頻外 MFA 解決方案時,登入頁面會提示使用者輸入 MFA 代碼。在此情況下,使用者必須在密碼欄位和 MFA 欄位中均輸入其密碼。
**連接埠**
RADIUS 伺服器用於通訊的連接埠。您的內部部署網路必須允許透過預設 RADIUS 伺服器連接埠 (UDP:1812) 從 Directory Service 伺服器傳入流量。
**共用秘密代碼**
您的 RADIUS 端點建立時所指定的共用秘密代碼。
**確認共用秘密代碼**
確認您的 RADIUS 端點的共用秘密代碼。
**通訊協定**
選擇您的 RADIUS 端點建立時所指定的通訊協定。
**Server timeout (in seconds) (伺服器逾時 (以秒為單位))**
等待 RADIUS 伺服器回應的時間 (以秒為單位)。此值必須介於 1 到 50。
我們建議將 RADIUS 伺服器逾時設定為 20 秒或更短。如果逾時超過 20 秒,系統將無法重試其他 RADIUS 伺服器,並可能導致逾時失敗。
**Max RADIUS request retries (RADIUS 請求重試次數上限)**
嘗試與 RADIUS 伺服器進行通訊的次數。此值必須介於 0 到 10。
當 **RADIUS Status** (RADIUS 狀態) 變更為 **Enabled** (啟用) 時,即可使用 Multi-Factor Authentication。
1. 選擇**啟用**。
# 啟用安全 LDAP 或 LDAPS
輕量型目錄存取協定 (LDAP) 是用來從 Active Directory 讀取資料,及將資料寫入 Active Directory 的標準協定。某些應用程式使用 LDAP 新增、移除或搜尋 Active Directory 中的使用者和群組,或是傳輸登入資料來驗證 Active Directory 中的使用者。每個 LDAP 通訊都包括用戶端 (如應用程式) 和伺服器 (例如 Active Directory)。
預設不會加密透過 LDAP 的通訊。如此易讓惡意使用者能夠利用網路監控軟體,來檢視網路上的資料封包。這也是為什麼許多企業安全政策通常會要求組織加密所有 LDAP 通訊。
為了減輕這種形式的資料暴露, AWS 受管 Microsoft AD 提供了一個選項:您可以透過 Secure Sockets Layer (SSL)/Transport Layer Security (TLS) 啟用 LDAP,也稱為 LDAPS。您可以使用 LDAPS 改善網路上的安全。您也可以加密已啟用 LDAP 的應用程式與 AWS Managed Microsoft AD 之間的所有通訊,以滿足合規要求。
AWS Managed Microsoft AD 在下列部署案例中支援 LDAPS:
+ **伺服器端 LDAPS** 會將您的商業或自製可運用 LDAP 的應用程式 (做為 LDAP 用戶端) 與 AWS Managed Microsoft AD (做為 LDAP 伺服器) 之間的 LDAP 通訊加密。如需詳細資訊,請參閱[使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS](ms_ad_ldap_server_side.md)。
+ **用戶端 LDAPS** 會加密 WorkSpaces (做為 LDAP 用戶端) 和自我管理 (內部部署) Active Directory (做為 LDAP 伺服器) 等 AWS 應用程式之間的 LDAP 通訊。如需詳細資訊,請參閱[使用 AWS Managed Microsoft AD 啟用用戶端 LDAPS](ms_ad_ldap_client_side.md)。
如需保護 Microsoft Active Directory 實作之最佳實務的詳細資訊Certificate Services,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate)。
**Topics**
+ [使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS](ms_ad_ldap_server_side.md)
+ [使用 AWS Managed Microsoft AD 啟用用戶端 LDAPS](ms_ad_ldap_client_side.md)
# 使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS
伺服器端Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)支援會加密商業或自有 LDAP感知應用程式與 AWS Managed Microsoft AD 目錄之間的LDAP通訊。這有助於改善整個線路的安全性,並使用Secure Sockets Layer (SSL)密碼編譯通訊協定滿足合規要求。
## 使用 啟用伺服器端 LDAPS AWS 私有憑證授權單位
如需如何使用 設定伺服器端 LDAPS 和憑證授權機構 (CA) 伺服器的詳細指示 AWS 私有 CA,請參閱 [設定適用於 AD 的 AWS 私有 CA Connector for AWS Managed Microsoft AD](ms_ad_pca_connector.md)。
## 使用 Microsoft CA 啟用伺服器端 LDAPS
如需如何設定伺服器端 LDAPS 和憑證授權機構 (CA) 伺服器的詳細指示,請參閱 AWS 安全部落格中的[如何為 AWS Managed Microsoft AD Directory 啟用伺服器端 LDAPS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)。
您必須從用來管理 AWS Managed Microsoft AD 域控制站的 Amazon EC2 執行個體,進行大部分的設定。下列步驟會引導您在 中為您的網域啟用 LDAPS AWS 雲端。
如果您想要使用自動化來設定PKI基礎設施,您可以使用[Microsoft公有金鑰基礎設施 on AWS QuickStart 指南](https://aws.amazon.com/quickstart/architecture/microsoft-pki/)。具體而言,您會想要遵循指南中的指示,將部署的[範本載入MicrosoftPKI現有的 VPCAWS](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps)。載入範本之後,針對 **Active Directory Domain Services Type** 選項,請務必選擇 **`AWSManaged`**。如果您使用快速指南,則可以直接跳至 [步驟 3:建立憑證範本](#createcustomcert)。
**Topics**
+ [步驟 1:委派可啟用 LDAPS 的人員](#grantpermsldaps)
+ [步驟 2:設定您的憑證授權機構](#setupca)
+ [步驟 3:建立憑證範本](#createcustomcert)
+ [步驟 4:新增安全群組規則](#addgrouprules)
### 步驟 1:委派可啟用 LDAPS 的人員
若要啟用伺服器端 LDAPS,您必須是 AWS Managed Microsoft AD 目錄中管理員或 AWS 委派企業憑證授權機構管理員群組的成員。或者,您可以是預設管理使用者 (Admin 帳戶)。如果您想要的話,您可以讓 Admin 帳戶以外的使用者設定 LDAPS。在這種情況下,請將該使用者新增至 AWS Managed Microsoft AD AWS 目錄中的管理員或委派企業憑證授權機構管理員群組。
### 步驟 2:設定您的憑證授權機構
啟用伺服器端 LDAPS 之前,必須先建立憑證。此憑證必須由加入 AWS Managed Microsoft AD 網域的MicrosoftEnterprise CA伺服器發行。建立後,您必須在該網域中的每個網域控制站上安裝此憑證。此憑證可讓網域控制站上的 LDAP服務接聽和自動接受來自LDAP用戶端的SSL連線。
**注意**
具有 AWS Managed Microsoft AD 的伺服器端 LDAPS 不支援由獨立 CA 發行的憑證。它也不支援第三方認證機構發行的憑證。
根據您的業務需求,您有以下選擇可設定或連線到網域中的 CA:
+ **建立次級 Microsoft Enterprise CA** – (建議) 使用此選項,您可以在 AWS 雲端中部署次級MicrosoftEnterprise CA伺服器。伺服器可以使用 Amazon EC2,以便與您現有的根 Microsoft CA 搭配使用。如需如何設定次級 Microsoft 的詳細資訊Enterprise CA,請參閱如何為 Managed Microsoft AD ** AD Directory 啟用伺服器端 LDAPS 中的步驟 4:新增 MicrosoftEnterprise CA到您的 AWS Microsoft**目錄。 [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)
+ **建立根 Microsoft Enterprise CA** – 使用此選項,您可以使用 Amazon EC2 在 AWS 雲端MicrosoftEnterprise CA中建立根,並將其加入 AWS Managed Microsoft AD 網域。此根 CA 可以對您的網域控制站發出憑證。如需設定新根 CA 的詳細資訊,請參閱[AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)**如何為 Managed Microsoft AD Directory 啟用伺服器端 LDAPS 中的步驟 3:安裝和設定離線 CA**。
如需如何將您的 EC2 執行個體加入網域的詳細資訊,請參閱「[將 Amazon EC2 執行個體加入 AWS Managed Microsoft AD 的方法](ms_ad_join_instance.md)」。
### 步驟 3:建立憑證範本
設定 Enterprise CA 之後,您可以設定Kerberos身分驗證憑證範本。
**建立憑證範本**
1. 啟動 **Microsoft Windows Server Manager**。選取**工具 > 憑證授權機構**。
1. 在**憑證授權機構**視窗中,展開左窗格中的**憑證授權機構**樹狀目錄。在**憑證範本**上按一下滑鼠右鍵,然後選擇**管理**。
1. 在**憑證範本主控台**視窗中,在 **Kerberos 身分驗證**上按一下滑鼠右鍵,然後選擇**複製範本**。
1. **新模板的屬性**視窗將彈出。
1. 在**新範本的屬性**視窗中,前往**相容性**索引標籤,然後執行下列動作:
1. 將**憑證授權機構**變更為符合您 CA OS的 。
1. 如果彈出**產生的變更**視窗,請選取**確定**。
1. 將**憑證收件人**變更為 **Windows 10 / Windows Server 2016**。
**注意**
AWS Managed Microsoft AD 採用 技術Windows Server 2019。
1. 如果彈出**產生的變更**視窗,請選取**確定**。
1. 按一下**一般**索引標籤,然後將**範本顯示名稱**變更為 **LDAPOverSSL** 或您想要的任何其他名稱。
1. 按一下**安全性**索引標籤,然後在**群組或使用者名稱**區段中選擇**域控制站**。在**域控制站權限**區段中,確認已核取**讀取**、**登錄**和**自動註冊**的**允許**核取方塊。
1. 選擇**確定**以建立 **LDAPOverSSL** (或您在上面指定的名稱) 憑證範本。關閉**憑證範本主控台**視窗。
1. 在**憑證授權機構**視窗中,在**憑證範本**上按一下滑鼠右鍵,然後選擇**新增 > 要發出的憑證範本**。
1. 在**啟用憑證範本**視窗中,選擇 **LDAPOverSSL** (或您在上面指定的名稱),然後選擇**確定**。
### 步驟 4:新增安全群組規則
在最後一個步驟中,您必須開啟 Amazon EC2 主控台並新增安全群組規則。這些規則可讓您的網域控制站連線到 Enterprise CA以請求憑證。若要這樣做,您可以新增傳入規則,讓您的 Enterprise CA 可以接受來自網域控制站的傳入流量。然後,您可以新增傳出規則,以允許從網域控制站到 的流量Enterprise CA。
設定完這兩個規則後,網域控制站Enterprise CA會自動向您的 請求憑證,並為您的目錄啟用 LDAPS。網域控制站上的 LDAP服務現在已準備好接受 LDAPS 連線。
**設定安全群組規則**
1. 導覽至位於 [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) 的 Amazon EC2 主控台,然後使用管理員憑證進行登入。
1. 在左窗格的 **Network & Security** (網路與安全) 下,選擇 **Security Groups** (安全群組)。
1. 在主窗格中,選擇 CA AWS 的安全群組。
1. 選擇 **Inbound** (入站) 標籤,然後選擇 **Edit** (編輯)。
1. 在 **Edit inbound rules** (編輯輸入規則) 對話方塊中,執行下列動作:
+ 選擇 **Add Rule** (新增規則)。
+ 在 **Type** (類型) 選擇 **All traffic** (所有流量),並在 **Source** (來源) 選擇 **Custom** (自訂)。
+ 在**來源**旁的方塊中輸入目錄 AWS 的安全群組 (例如 `sg-123456789`)。
+ 選擇**儲存**。
1. 現在選擇 AWS Managed Microsoft AD 目錄 AWS 的安全群組。選擇 **Outbound** (輸出) 標籤,然後選擇 **Edit** (編輯)。
1. 在 **Edit outbound rules** (編輯輸出規則) 對話方塊中,執行下列動作:
+ 選擇 **Add Rule** (新增規則)。
+ 在 **Type** (類型) 選擇 **All traffic** (所有流量),並在 **Destination** (目標) 選擇 **Custom** (自訂)。
+ 在**目的地**旁的方塊中輸入 CA AWS 的安全群組。
+ 選擇**儲存**。
您可以使用 LDP工具測試與 AWS Managed Microsoft AD 目錄的 LDAPS 連線。LDP 工具隨附於 Active Directory Administrative Tools。如需詳細資訊,請參閱[安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具](ms_ad_install_ad_tools.md)。
**注意**
測試 LDAPS 連線之前,您最多必須等候 30 分鐘,直到次級 CA 對您的域控制站發出憑證。
如需伺服器端 LDAPS 的其他詳細資訊,並查看如何設定的範例使用案例,請參閱 AWS 安全部落格上的[如何為 AWS Managed Microsoft AD Directory 啟用伺服器端 LDAPS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)。
# 使用 AWS Managed Microsoft AD 啟用用戶端 LDAPS
AWS Managed Microsoft AD 中的用戶端輕量型目錄存取通訊協定 Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) 支援會加密自我管理 (內部部署) Microsoft Active Directory (AD) 和 AWS 應用程式之間的通訊。這類應用程式的範例包括 WorkSpaces AWS IAM Identity Center、Quick 和 Amazon Chime。此加密可協助您更完善地保護組織的身分資料,並滿足您的安全需求。
## 先決條件
啟用用戶端 LDAPS 前,您必須符合以下要求。
**Topics**
+ [在 AWS Managed Microsoft AD 和自我管理 Microsoft Active Directory 之間建立信任關係](#trust_relationship_MAD_and_self_managed)
+ [在 Active Directory 中部署伺服器憑證](#ldap_client_side_deploy_server_certs)
+ [憑證授權單位憑證需求](#ldap_client_side_get_certs_ready)
+ [網路要求](#ldap_client_side_considerations_enabling)
### 在 AWS Managed Microsoft AD 和自我管理 Microsoft Active Directory 之間建立信任關係
首先,您需要在 AWS Managed Microsoft AD 和自我管理 Microsoft Active Directory 之間建立信任關係,以啟用用戶端 LDAPS。如需詳細資訊,請參閱[在 AWS Managed Microsoft AD 和自我管理 AD 之間建立信任關係](ms_ad_setup_trust.md)。
### 在 Active Directory 中部署伺服器憑證
若要啟用用戶端 LDAPS,您需要為 Active Directory 中的每個網域控制站取得並安裝伺服器憑證。LDAP 服務將使用這些憑證接聽並自動接受來自 LDAP 用戶端的 SSL 連線。您可以使用內部 Active Directory Certificate Services (ADCS) 部署發行或從商業發行者購買的 SSL 憑證。如需 Active Directory 伺服器憑證要求的詳細資訊,請參閱 Microsoft 網站上[透過 SSL 的 LDAP (LDAPS) 憑證](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)。
### 憑證授權單位憑證需求
用戶端 LDAPS 操作須使用憑證授權機構 (CA) 的憑證 (代表您伺服器憑證的發行者)。憑證授權機構憑證會以 Active Directory 網域控制站出示的伺服器憑證進行比對,以加密 LDAP 通訊。請注意下列 CA 憑證要求:
+ 需要企業認證授權機構 (CA) 才能啟用用戶端 LDAPS。您可以使用 Active Directory Certificate Service、第三方商業憑證授權機構或 [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。如需Microsoft企業憑證授權單位的詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN)。
+ 若要登錄憑證,憑證的過期日期必須在 90 天以上。
+ 憑證必須是隱私權增強式郵件 (PEM) 格式。如果從 Active Directory 內部匯出 CA 憑證,選擇 base64 編碼的 X.509 (.CER) 做為匯出檔案格式。
+ 每個 AWS Managed Microsoft AD 目錄最多可儲存五 (5) 個 CA 憑證。
+ 不支援使用 RSASSA-PSS 簽章演算法的憑證。
+ 鏈結至每個信任網域中每個伺服器憑證的 CA 憑證皆須登錄。
### 網路要求
AWS 應用程式 LDAP 流量只會在 TCP 連接埠 636 上執行,不會回復至 LDAP 連接埠 389。不過,支援複寫、信任等等的 Windows LDAP 通訊將繼續使用具備 Windows 原生安全性的 LDAP 連接埠 389。設定 AWS 安全群組和網路防火牆,以允許 AWS Managed Microsoft AD (傳出) 和自我管理 Active Directory (傳入) 中連接埠 636 上的 TCP 通訊。讓 LDAP 連接埠 389 在 AWS Managed Microsoft AD 與自我管理 Active Directory 之間維持開啟狀態。
## 啟用用戶端 LDAPS
若要啟用用戶端 LDAPS,您只需將憑證授權機構 (CA) 憑證匯入 AWS Managed Microsoft AD ,然後在目錄上啟用 LDAPS。啟用後, AWS 應用程式與您的自我管理 Active Directory 之間的所有 LDAP 通訊將透過安全通訊端層 (SSL) 通道加密進行傳輸。
您可以使用兩種不同的方法,為您的目錄啟用用戶端 LDAPS。您可以使用 AWS 管理主控台 方法或 AWS CLI 方法。
**注意**
用戶端 LDAPS 是 AWS Managed Microsoft AD 的區域功能。如果您使用的是[多區域複寫](ms_ad_configure_multi_region_replication.md),則必須在每個區域中分別套用下列程序。如需詳細資訊,請參閱[全域與區域功能](multi-region-global-region-features.md)。
**Topics**
+ [步驟 1:在 中註冊憑證 Directory Service](#ms_ad_registercert)
+ [步驟 2:檢查登錄狀態](#ms_ad_check-registration-status)
+ [步驟 3:啟用用戶端 LDAPS](#ms_ad_enableclientsideldapssteps)
+ [步驟 4:查看 LDAPS 狀態](#ms_ad_check-ldaps-status)
### 步驟 1:在 中註冊憑證 Directory Service
使用下列其中一種方法來註冊憑證 Directory Service。
**方法 1:在 Directory Service (AWS 管理主控台) 中註冊您的憑證**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取要登錄憑證的區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Client-side LDAPS (用戶端 LDAPS)** 畫面中,選取 **Actions (動作)** 功能表,然後選取 **Register certificate (登錄憑證)**。
1. 在 **Register a CA certificate (登錄憑證授權機構憑證)** 對話方塊中,選取 **Browse (瀏覽)**,然後選取憑證並選擇 **Open (開啟)**。
1. 選擇 **Register certificate (登錄憑證)**。
**方法 2:在 Directory Service (AWS CLI) 中註冊您的憑證**
+ 執行下列命令。對於憑證資料,請指向您 CA 憑證檔案的位置。憑證 ID 會在回應中提供。
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### 步驟 2:檢查登錄狀態
若要查看憑證登錄狀態或登錄的憑證清單,請使用以下任一方法。
**方法 1:檢查 Directory Service (AWS 管理主控台) 中的憑證註冊狀態**
1. 前往**目錄詳細資訊**頁面上的**用戶端 LDAPS** 區段。
1. 檢閱 **Registration status (登錄狀態)** 欄下方顯示的目前憑證登錄狀態。當登錄狀態值變更為 **Registered (已登錄)**,表示您的憑證已成功登錄。
**方法 2:檢查 Directory Service (AWS CLI) 中的憑證註冊狀態**
+ 執行下列命令。如果狀態值傳回 `Registered`,表示您的憑證已成功登錄。
```
aws ds list-certificates --directory-id your_directory_id
```
### 步驟 3:啟用用戶端 LDAPS
使用下列其中一種方法在 中啟用用戶端 LDAPS Directory Service。
**注意**
您必須先成功登錄至少一個憑證,才能啟用用戶端 LDAPS。
**方法 1:在 Directory Service (AWS 管理主控台) 中啟用用戶端 LDAPS**
1. 前往**目錄詳細資訊**頁面上的**用戶端 LDAPS** 區段。
1. 選擇**啟用**。如果無法使用此選項,請確認已成功登錄有效憑證,然後再試一次。
1. 在 **Enable client-side LDAPS (啟用用戶端 LDAPS)** 對話方塊中,選擇 **Enable (啟用)**。
**方法 2:在 Directory Service (AWS CLI) 中啟用用戶端 LDAPS**
+ 執行下列命令。
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### 步驟 4:查看 LDAPS 狀態
使用下列其中一種方法來檢查 中的 LDAPS 狀態 Directory Service。
**方法 1:在 Directory Service (AWS 管理主控台) 中檢查 LDAPS 狀態**
1. 前往**目錄詳細資訊**頁面上的**用戶端 LDAPS** 區段。
1. 如果狀態值顯示為 **Enabled (已啟用)**,表示 LDAPS 已成功設定。
**方法 2:在 Directory Service (AWS CLI) 中檢查 LDAPS 狀態**
+ 執行下列命令。如果狀態值傳回 `Enabled`,表示 LDAPS 已成功設定。
```
aws ds describe-ldaps-settings –-directory-id your_directory_id
```
## 管理用戶端 LDAPS
使用這些命令來管理您的 LDAPS 組態。
您可以使用兩種不同的方法來管理用戶端 LDAPS 設定。您可以使用 AWS 管理主控台 方法或 AWS CLI 方法。
### 檢視憑證詳細資訊
使用下列其中一種方法來查看憑證設為過期的時間。
**方法 1:在 Directory Service (AWS 管理主控台) 中檢視憑證詳細資訊**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取要檢視憑證的區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Client-side LDAPS (用戶端 LDAPS)** 區段中,在 **CA certificates (憑證授權機構憑證)** 下方,將顯示憑證相關資訊。
**方法 2:在 Directory Service (AWS CLI) 中檢視憑證詳細資訊**
+ 執行下列命令。對於憑證 ID,使用 `register-certificate` 或 `list-certificates` 傳回的識別符。
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### 取消登錄憑證
使用下列其中一種方法來取消登錄憑證。
**注意**
如果只登錄一個憑證,必須先停用 LDAPS,才能取消登錄憑證。
**方法 1:在 Directory Service (AWS 管理主控台) 中取消註冊憑證**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取要取消登錄憑證的區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Client-side LDAPS (用戶端 LDAPS)** 區段中,選擇 **Actions (動作)**,然後選擇 **Deregister certificate (取消登錄憑證)**。
1. 在 **Deregister a CA certificate (取消登錄憑證授權機構憑證)** 對話方塊中,選擇 **Deregister (取消登錄)**。
**方法 2:在 Directory Service (AWS CLI) 中取消註冊憑證**
+ 執行下列命令。對於憑證 ID,使用 `register-certificate` 或 `list-certificates` 傳回的識別符。
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### 停用用戶端 LDAPS
使用以下其中一個方法來停用用戶端 LDAPS。
**方法 1:在 Directory Service (AWS 管理主控台) 中停用用戶端 LDAPS**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,**選取目錄**。
1. 選擇您目錄的目錄 ID 連結。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取要停用用戶端 LDAPS 的區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Client-side LDAPS (用戶端 LDAPS)** 區段中,選擇 **Disable (停用)**。
1. 在 **Disable client-side LDAPS (停用用戶端 LDAPS)** 對話方塊中,選擇 **Disable (停用)**。
**方法 2:在 Directory Service (AWS CLI) 中停用用戶端 LDAPS**
+ 執行下列命令。
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
## 憑證註冊問題
使用 CA 憑證註冊 AWS Managed Microsoft AD 網域控制站的程序最多可能需要 30 分鐘。如果您遇到憑證註冊問題,並想要重新啟動 AWS Managed Microsoft AD 網域控制站,您可以聯絡 支援。若要建立支援案例,請參閱[建立支援案例和案例管理](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)。
# 管理 AWS Managed Microsoft AD 的合規
您可以使用 AWS Managed Microsoft AD 在 AWS 雲端中支援 Active Directory 感知應用程式,這些應用程式受下列合規要求約束。不過,如果您使用 Simple AD,您的應用程式將不會符合合規需求。
## 支援的合規標準
AWS Managed Microsoft AD 已針對下列標準進行稽核,並有資格做為您需要取得合規認證之解決方案的一部分使用。
****
| | |
| --- |--- |
| ![\[FedRamp Logo\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/FedRAMP.png) | AWS Managed Microsoft AD 符合聯邦風險與授權管理計劃 (FedRAMP) 安全要求,並已收到 FedRAMP 聯合授權委員會 (JAB) 在 FedRAMP 中高基準的臨時操作授權 (P-ATO)。如需 FedRAMP 合規的詳細資訊,請參閱 [FedRAMP 合規](https://aws.amazon.com/compliance/fedramp/)。 |
| ![\[PCI Logo\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/PCI.png) | AWS Managed Microsoft AD 在服務提供者層級 1 具有支付卡產業 (PCI) 資料安全標準 (DSS) 3.2 版的合規證明。使用 AWS 產品和服務來存放、處理或傳輸持卡人資料的客戶,可以在管理自己的 PCI DSS 合規認證時使用 AWS Managed Microsoft AD。 如需 PCI DSS 的詳細資訊,包括如何請求 AWS PCI 合規套件的副本,請參閱 [PCI DSS 第 1 級](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)。重要的是,您必須在 AWS Managed Microsoft AD 中設定精細的密碼政策,以符合 PCI DSS 3.2 版標準。如需必須強制執行哪些政策的詳細資訊,請參閱以下標題為啟用 AWS Managed Microsoft AD Directory 的 PCI 合規一節。 |
| ![\[HIPPA Logo\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/HIPAA.jpg) | AWS 已擴展其健康保險流通與責任法案 (HIPAA) 合規計劃,將 AWS Managed Microsoft AD 納入為符合 [HIPAA 資格的服務](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/)。如果您與 簽署商業夥伴協議 (BAA) AWS,您可以使用 AWS Managed Microsoft AD 協助建置符合 HIPAA 規範的應用程式。 AWS 為有興趣進一步了解如何利用 AWS 處理和儲存健康資訊的客戶提供[以 HIPAA 為重心的白皮書](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf)。如需詳細資訊,請參閱 [HIPAA 合規](https://aws.amazon.com/compliance/hipaa-compliance/)。 |
## 共同的責任
涵蓋 FedRAMP、HIPAA 及 PCI 合規的安全性是全體[共同責任](https://aws.amazon.com/compliance/shared-responsibility-model/)。請務必了解 AWS Managed Microsoft AD 合規狀態不會自動套用至您在 AWS 雲端中執行的應用程式。您需要確保使用 AWS 服務符合標準。
如需 AWS Managed Microsoft AD 支援的所有各種 AWS 合規計劃的完整清單,請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。
## 為您的 AWS Managed Microsoft AD 目錄啟用 PCI 合規
若要啟用 AWS Managed Microsoft AD 目錄的 PCI 合規,您必須設定精細的密碼政策,如 提供的 PCI DSS 合規證明 (AOC) 和責任摘要文件中所指定 AWS Artifact。
如需使用微調密碼政策的詳細資訊,請參閱「[了解 AWS Managed Microsoft AD 密碼政策](ms_ad_password_policies.md)」。
# 增強 AWS Managed Microsoft AD 網路安全組態
針對 AWS Managed Microsoft AD 目錄佈建 AWS 的安全群組已設定最低傳入網路連接埠,以支援 AWS Managed Microsoft AD 目錄的所有已知使用案例。如需佈建 AWS 安全群組的詳細資訊,請參閱 [使用 AWS Managed Microsoft AD 建立的內容](ms_ad_getting_started_what_gets_created.md)。
若要進一步增強 AWS Managed Microsoft AD 目錄的網路安全,您可以根據下列常見案例修改 AWS 安全群組。
**客戶網域控制站 CIDR** - 此 CIDR 區塊是您網域內部部署網域控制站所在的位置。
**客戶用戶端 CIDR** - 此 CIDR 區塊是您的電腦或使用者等用戶端向 AWS Managed Microsoft AD 進行身分驗證的地方。您的 AWS Managed Microsoft AD 網域控制站也位於此 CIDR 區塊中。
**Topics**
+ [AWS 應用程式僅支援](#aws_apps_support)
+ [AWS 僅支援信任的應用程式](#aws_apps_trust_support)
+ [AWS 應用程式和原生 Active Directory 工作負載支援](#aws_apps_native_ad_support)
+ [AWS 應用程式和原生 Active Directory 工作負載支援與信任支援](#aws_apps_native_ad_trust_support)
## AWS 應用程式僅支援
所有使用者帳戶只會在您的 AWS Managed Microsoft AD 中佈建,以便與支援 AWS 的應用程式搭配使用,例如:
+ Amazon Chime
+ Amazon Connect
+ 快速
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ AWS 管理主控台
您可以使用下列 AWS 安全群組組態來封鎖 Managed Microsoft AD AWS 網域控制站的所有非必要流量。
**注意**
下列項目與此 AWS 安全群組組態不相容:
Amazon EC2 執行個體
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 信任
加入網域的用戶端或伺服器
**傳入規則**
無。
**傳出規則**
無。
## AWS 僅支援信任的應用程式
所有使用者帳戶都會在您的 AWS Managed Microsoft AD 或受信任的 Active Directory 中佈建,以便與支援 AWS 的應用程式搭配使用,如下所示:
+ Amazon Chime
+ Amazon Connect
+ 快速
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ AWS 管理主控台
您可以修改佈建 AWS 的安全群組組態,以封鎖 Managed Microsoft AD AWS 網域控制站的所有非必要流量。
**注意**
下列項目與此 AWS 安全群組組態不相容:
Amazon EC2 執行個體
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 信任
加入網域的用戶端或伺服器
此組態要求您確保「客戶網域控制站 CIDR」網路是安全的。
TCP 445 僅用於建立信任,並且可以在建立信任之後移除。
只有在使用透過 SSL 的 LDAP 時,才需要 TCP 636。
**傳入規則**
****
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
| --- | --- | --- | --- | --- |
| TCP 和 UDP | 53 | 客戶網域控制站 CIDR | DNS | 使用者和電腦身分驗證、名稱解析、信任 |
| TCP 和 UDP | 88 | 客戶網域控制站 CIDR | Kerberos | 使用者和電腦身分驗證、森林層級信任 |
| TCP 和 UDP | 389 | 客戶網域控制站 CIDR | LDAP | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP 和 UDP | 464 | 客戶網域控制站 CIDR | Kerberos 更改/設定密碼 | 複寫、使用者和電腦身分驗證、信任 |
| TCP | 445 | 客戶網域控制站 CIDR | SMB/CIFS | 複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 135 | 客戶網域控制站 CIDR | 複寫 | RPC、EPM |
| TCP | 636 | 客戶網域控制站 CIDR | LDAP SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 49152 - 65535 | 客戶網域控制站 CIDR | RPC | 複寫、使用者和電腦身分驗證、群組政策、信任 |
| TCP | 3268-3269 | 客戶網域控制站 CIDR | LDAP GC 和 LDAP GC SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| UDP | 123 | 客戶網域控制站 CIDR | Windows 時間 | Windows 時間、信任 |
**傳出規則**
****
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
| --- | --- | --- | --- | --- |
| 全部 | 全部 | 客戶網域控制站 CIDR | 所有流量 | |
## AWS 應用程式和原生 Active Directory 工作負載支援
使用者帳戶只會在您的 AWS Managed Microsoft AD 中佈建,以便與支援 AWS 的應用程式搭配使用,如下所示:
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2 執行個體
+ Amazon FSx
+ 快速
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS 管理主控台
您可以修改佈建 AWS 的安全群組組態,以封鎖 Managed Microsoft AD AWS 網域控制站的所有非必要流量。
**注意**
無法在 AWS Managed Microsoft AD 目錄與客戶網域控制站 CIDR 之間建立和維護 Active Directory 信任。
它要求您確保「客戶用戶端 CIDR」網路是安全的。
只有在使用透過 SSL 的 LDAP 時,才需要 TCP 636。
如果您想要搭配此組態使用企業 CA,則需要建立傳出規則 "TCP, 443, CA CIDR"。
**傳入規則**
****
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
| --- | --- | --- | --- | --- |
| TCP 和 UDP | 53 | 客戶用戶端 CIDR | DNS | 使用者和電腦身分驗證、名稱解析、信任 |
| TCP 和 UDP | 88 | 客戶用戶端 CIDR | Kerberos | 使用者和電腦身分驗證、森林層級信任 |
| TCP 和 UDP | 389 | 客戶用戶端 CIDR | LDAP | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP 和 UDP | 445 | 客戶用戶端 CIDR | SMB/CIFS | 複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP 和 UDP | 464 | 客戶用戶端 CIDR | Kerberos 更改/設定密碼 | 複寫、使用者和電腦身分驗證、信任 |
| TCP | 135 | 客戶用戶端 CIDR | 複寫 | RPC、EPM |
| TCP | 636 | 客戶用戶端 CIDR | LDAP SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 49152 - 65535 | 客戶用戶端 CIDR | RPC | 複寫、使用者和電腦身分驗證、群組政策、信任 |
| TCP | 3268-3269 | 客戶用戶端 CIDR | LDAP GC 和 LDAP GC SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 9389 | 客戶用戶端 CIDR | SOAP | AD DS 網路服務 |
| UDP | 123 | 客戶用戶端 CIDR | Windows 時間 | Windows 時間、信任 |
| UDP | 138 | 客戶用戶端 CIDR | DFSN 和 NetLogon | DFS、群組政策 |
**傳出規則**
無。
## AWS 應用程式和原生 Active Directory 工作負載支援與信任支援
所有使用者帳戶都會在您的 AWS Managed Microsoft AD 或受信任的 Active Directory 中佈建,以便與支援 AWS 的應用程式搭配使用,如下所示:
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2 執行個體
+ Amazon FSx
+ 快速
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS 管理主控台
您可以修改佈建 AWS 的安全群組組態,以封鎖 Managed Microsoft AD AWS 網域控制站的所有非必要流量。
**注意**
它要求您確保「客戶網域控制站 CIDR」和「客戶用戶端 CIDR」網路是安全的。
具有「客戶網域控制站 CIDR」的 TCP 445 僅用於建立信任,並且可以在建立信任之後移除。
具有「客戶用戶端 CIDR」的 TCP 445 應保持開啟狀態,因為群組政策處理需要它。
只有在使用透過 SSL 的 LDAP 時,才需要 TCP 636。
如果您想要搭配此組態使用企業 CA,則需要建立傳出規則 "TCP, 443, CA CIDR"。
**傳入規則**
****
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
| --- | --- | --- | --- | --- |
| TCP 和 UDP | 53 | 客戶網域控制站 CIDR | DNS | 使用者和電腦身分驗證、名稱解析、信任 |
| TCP 和 UDP | 88 | 客戶網域控制站 CIDR | Kerberos | 使用者和電腦身分驗證、森林層級信任 |
| TCP 和 UDP | 389 | 客戶網域控制站 CIDR | LDAP | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP 和 UDP | 464 | 客戶網域控制站 CIDR | Kerberos 更改/設定密碼 | 複寫、使用者和電腦身分驗證、信任 |
| TCP | 445 | 客戶網域控制站 CIDR | SMB/CIFS | 複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 135 | 客戶網域控制站 CIDR | 複寫 | RPC、EPM |
| TCP | 636 | 客戶網域控制站 CIDR | LDAP SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 49152 - 65535 | 客戶網域控制站 CIDR | RPC | 複寫、使用者和電腦身分驗證、群組政策、信任 |
| TCP | 3268-3269 | 客戶網域控制站 CIDR | LDAP GC 和 LDAP GC SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| UDP | 123 | 客戶網域控制站 CIDR | Windows 時間 | Windows 時間、信任 |
| TCP 和 UDP | 53 | 客戶網域控制站 CIDR | DNS | 使用者和電腦身分驗證、名稱解析、信任 |
| TCP 和 UDP | 88 | 客戶網域控制站 CIDR | Kerberos | 使用者和電腦身分驗證、森林層級信任 |
| TCP 和 UDP | 389 | 客戶網域控制站 CIDR | LDAP | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP 和 UDP | 445 | 客戶網域控制站 CIDR | SMB/CIFS | 複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP 和 UDP | 464 | 客戶網域控制站 CIDR | Kerberos 更改/設定密碼 | 複寫、使用者和電腦身分驗證、信任 |
| TCP | 135 | 客戶網域控制站 CIDR | 複寫 | RPC、EPM |
| TCP | 636 | 客戶網域控制站 CIDR | LDAP SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 49152 - 65535 | 客戶網域控制站 CIDR | RPC | 複寫、使用者和電腦身分驗證、群組政策、信任 |
| TCP | 3268-3269 | 客戶網域控制站 CIDR | LDAP GC 和 LDAP GC SSL | 目錄、複寫、使用者和電腦身分驗證群組政策、信任 |
| TCP | 9389 | 客戶網域控制站 CIDR | SOAP | AD DS 網路服務 |
| UDP | 123 | 客戶網域控制站 CIDR | Windows 時間 | Windows 時間、信任 |
| UDP | 138 | 客戶網域控制站 CIDR | DFSN 和 NetLogon | DFS、群組政策 |
**傳出規則**
****
| 通訊協定 | 連接埠範圍 | 來源 | 流量類型 | Active Directory 用量 |
| --- | --- | --- | --- | --- |
| 全部 | 全部 | 客戶網域控制站 CIDR | 所有流量 | |
# 編輯 AWS Managed Microsoft AD 目錄安全設定
您可以為 AWS Managed Microsoft AD 設定精細目錄設定,以符合您的合規和安全性需求,而不會增加操作工作負載。在目錄設定中,您可以更新目錄中使用的協定和加密方式的安全通道組態。例如,您可以靈活地停用個別舊版密碼,例如 RC4 或 DES,以及 SSL 2.0/3.0 和 TLS 1.0/1.1 等通訊協定。 AWS 受管 Microsoft AD 接著會將組態部署到目錄中的所有網域控制站,管理網域控制站重新啟動,並在橫向擴展或部署其他 時維護此組態 AWS 區域。如需所有可用設定的詳細資訊,請參閱 [目錄安全設定清單](#list-ds-settings)。
## 編輯目錄安全設定
您可以設定和編輯任何目錄的設定。
**編輯目錄設定**
1. 登入 AWS 管理主控台,並在 開啟 Directory Service 主控台[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在**聯網和安全**下,找到**目錄設定**,然後選擇**編輯設定**。
1. 在**編輯設定**中,變更要編輯的設定的**值**。當您編輯設定時,其狀態將從**預設**變更為**準備更新**。如果您之前編輯過設定,其狀態將從**已更新**變更為**準備更新**。接著選擇**檢閱**。
1. 在**檢閱和更新設定**中,請檢查**目錄設定**並確認新的值均正確無誤。如果您想對設定進行任何其他變更,請選擇**編輯設定**。當您對變更感到滿意並準備好實作新值時,請選擇**更新設定**。然後,您會回到目錄 ID 頁面。
**注意**
在**目錄設定**下,您可以檢視更新設定的**狀態**。實作設定時,**狀態**顯示**正在更新**。當某項設定的**狀態**顯示為**正在更新**時,您無法編輯其他設定。如果設定編輯成功並更新,其**狀態**將顯示**已更新**。如果設定無法按照編輯成功更新,其**狀態**將顯示**失敗**。
## 目錄安全設定失敗
如果設定更新期間發生錯誤,**狀態**將顯示為**失敗**。在失敗狀態下,設定不會更新為新值,仍保留原始值。您可以重試更新這些設定,或將它們還原為先前的值。
**解決更新設定失敗的問題**
+ 在**目錄設定**下,選擇**解決失敗的設定**。然後執行下列其中一項:
+ 若要將設定還原為失敗狀態之前的原始值,請選擇**還原失敗的設定**。然後,在彈出的視窗中選擇**還原**。
+ 若要重試更新目錄設定,請選擇**重試失敗的設定**。如果您想在重試失敗的更新之前,對目錄設定進行其他變更,請選擇**繼續編輯**。在**檢閱和重試失敗的更新**上,選擇**更新設定**。
## 目錄安全設定清單
以下清單顯示所有可用目錄安全設定的類型、設定名稱、API 名稱、可能的值和設定描述。
如果停用所有其他安全設定,則 TLS 1.2 和 AES 256/256 是預設目錄安全設定。它們不能被停用。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
# 為您的 AWS Managed Microsoft AD 使用者啟用用於初始驗證的公有金鑰密碼編譯 (PKINIT)
AWS Managed Microsoft AD 目錄預設使用強式憑證繫結,這需要在憑證和 AD 物件之間明確映射。下列映射對於 AWS Managed Microsoft AD 而言視為強式:
+ `altSecurityIdentities` 發行者和序號
+ `altSecurityIdentities` 主旨金鑰識別符
+ `altSecurityIdentities` SHA1 公有金鑰雜湊
這些屬性可啟用強大的憑證映射,透過要求 Active Directory 中定義的明確certificate-to-user關係,為憑證型身分驗證提供更好的安全性。這有助於防止憑證型權限提升攻擊
您可以使用此程序來設定強大的憑證繫結,協助您防止權限提升攻擊,同時維護憑證身分驗證功能。
如需詳細資訊,請參閱 [Microsoft KB5014754:Windows 網域控制站上的憑證型身分驗證變更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)
## 先決條件
+ 已設定憑證授權單位的 AWS Managed Microsoft AD 目錄
+ 對 Active Directory 環境的管理存取權
+ 已安裝 Active Directory 模組的 PowerShell
+ 您要映射至 AD 物件的憑證
## 對應 AltSecurityIdentity 屬性
1. 根據您的憑證資訊選擇下列其中一個`AltSecurityIdentity`映射方法:
+ **SHA1 雜湊** – 使用憑證公有金鑰的 SHA1 雜湊
對於 SHA1 雜湊映射,擷取憑證雜湊並將其套用至使用者物件:
```
$Username = 'YourUsername'
$cert = certutil -dump "YourCertificate.cer"
$certHash = ($cert | Select-String -Pattern "(sha1):*" |
Select-String -Pattern "Cert").ToString().TrimStart('Cert Hash(sha1): ').Replace(' ','')
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$CertHash"}
```
+ **發行者和序號** – 使用憑證的發行者名稱和序號
對於發行者和序號映射,請使用憑證的發行者和序號:
```
$Username = 'YourUsername'
$IssuerName = 'YourCertificateIssuer'
$SerialNumber = 'YourCertificateSerialNumber'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$IssuerName$SerialNumber"}
```
+ **主旨金鑰識別符** – 使用憑證的主旨金鑰識別符延伸
對於主體金鑰識別符映射,請使用憑證的主體金鑰識別符:
```
$Username = 'YourUsername'
$SubjectKeyIdentifier = 'YourSubjectKeyIdentifier'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$SubjectKeyIdentifier"}
```
1. 驗證是否已成功套用映射:
```
Get-ADUser -Identity $Username -Properties altSecurityIdentities |
Select-Object -ExpandProperty altSecurityIdentities
```
1. 等待 Active Directory 複寫完成 (通常為 15-30 秒),再測試憑證身分驗證。
## 範例:對應 AltSecurityIdentity 屬性的大量憑證
下列範例示範如何對應來自憑證授權單位的多個使用者憑證的`AltSecurityIdentity`屬性:
```
$CertificateTemplateName = 'User'
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
$Restrict = "Disposition=20,NotAfter>=$Now,Certificate Template=$CertificateTemplateName"
$Out = "SerialNumber,Certificate Hash,User Principal Name,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
$Certs = certutil -view -restrict $Restrict -out $Out csv | ConvertFrom-CSV
$UserSha1HashMapping = @{}
ForEach ($Cert in $Certs) {
$UPN = $Cert.'User Principal Name'
$Username, $Domain = $UPN.Split('@')
$CertificateThumbprint = ($Cert.'Certificate Hash').Replace(' ','')
$AdUserObject = Get-ADUser -Identity $Username
If ($AdUserObject -And $AdUserObject.Count -gt 1) {
Write-Output "Unable to map user: $Username, multiple user objects found"
Continue
}
If ($AdUserObject) {
If ($UserSha1HashMapping.Keys -Contains $Username) {
$UserSha1HashMapping[$Username] += $CertificateThumbprint
} Else {
$UserSha1HashMapping[$Username] = @($CertificateThumbprint)
}
}
}
ForEach ($User in $UserSha1HashMapping.Keys) {
Write-Output "Mapping altSecurityIdentity for $User"
$UserObject = Get-ADUser -Identity $User | Get-ADObject -Properties 'altSecurityIdentities'
$altSecurityIdentities = $UserObject.altSecurityIdentities
ForEach ($thumbprint in $UserSha1HashMapping[$User]) {
$SHA1PUKEY = "X509:$thumbprint"
If ($altSecurityIdentities -Contains $SHA1PUKEY) {
Write-Output "Skipping $thumbprint, already mapped."
Continue
}
Write-Output "Adding $thumbprint to $User as altSecurityIdentity"
Set-ADUser -Identity $User -Add @{'altSecurityIdentities'=$SHA1PUKEY}
}
}
```
## 後續步驟
+ 使用映射的憑證測試憑證型身分驗證
+ 設定您的應用程式以使用映射的憑證進行身分驗證
+ [監控您的 AWS Managed Microsoft AD](ms_ad_monitor.md) 用於身分驗證事件
# 設定適用於 AD 的 AWS 私有 CA Connector for AWS Managed Microsoft AD
您可以將 AWS Managed Microsoft AD 與 [AWS 私有憑證授權單位 (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) 整合,為 Active Directory 網域控制站、加入網域的使用者、群組和機器發行和管理憑證。 AWS 私有 CA Connector for Active Directory 可讓您為自我管理的企業 CAs 使用完全受管 AWS 私有 CA 的插入式取代,而不需要部署、修補或更新本機代理程式或代理伺服器。
您可以透過 Directory Service 主控台、 AWS 私有 CA Connector for Active Directory 主控台或呼叫 [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html) API 來設定與目錄的 AWS 私有 CA 整合。若要透過 AWS 私有 CA Connector for Active Directory 主控台設定私有 CA 整合,請參閱[建立連接器範本](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html)。請參閱下列步驟,了解如何從 Directory Service 主控台設定此整合。
## 設定 AWS 私有 CA Connector for AD
**為 Active Directory 建立私有 CA 連接器**
1. 登入 AWS 管理主控台 並開啟位於 的 Directory Service 主控台[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在**應用程式管理**索引標籤和**AWS 應用程式與服務**區段下,選擇 **AWS 私有 CA Connector for AD**。
1. 在**建立 Active Directory 的私有 CA 憑證**頁面上,完成建立 Active Directory 連接器的私有 CA 的步驟。
如需詳細資訊,請參閱[建立連接器](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html)。
## 檢視適用於 AD 的 AWS 私有 CA Connector
**檢視私有 CA 連接器詳細資訊**
1. 登入 AWS 管理主控台 並開啟位於 的 Directory Service 主控台[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在**應用程式管理**索引標籤和**AWS 應用程式與服務**區段下,檢視您的私有 CA 連接器和相關聯的私有 CA。顯示下列欄位:
1. **AWS 私有 CA 連接器 ID** – AWS 私有 CA 連接器的唯一識別符。選擇它以檢視詳細資訊頁面。
1. **AWS 私有 CA subject** – CA 辨別名稱的相關資訊。選擇它以檢視詳細資訊頁面。
1. **狀態** – AWS 私有 CA 連接器的狀態檢查結果,以及 AWS 私有 CA:
+ **作用中** – 兩個檢查都通過
+ **1/2 檢查失敗** – 一個檢查失敗
+ **失敗** – 兩個檢查都失敗
如需失敗的狀態詳細資訊,請將滑鼠游標暫留在超連結上,以查看哪些檢查失敗。
1. **DC Certificates 註冊狀態** – 網域控制站憑證狀態的狀態檢查:
+ **已啟用** – 已啟用憑證註冊
+ **已停用** – 憑證註冊已停用
1. **建立日期** – AWS 私有 CA 連接器建立的時間。
如需詳細資訊,請參閱[檢視連接器詳細資訊](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html)。
下表顯示 AWS Managed Microsoft AD 的網域控制站憑證註冊的不同狀態 AWS 私有 CA。
| DC 註冊狀態 | Description | 需執行的動作 |
| --- | --- | --- |
| 已啟用 | 網域控制站憑證已成功註冊到您的目錄。 | 不需要採取行動。 |
| 失敗 | 目錄的網域控制站憑證註冊啟用或停用失敗。 | 如果您的啟用動作失敗,請關閉網域控制器憑證,然後再次開啟,以重試。如果您的停用動作失敗,請開啟網域控制站憑證,然後再次關閉,以重試。如果重試失敗,請聯絡 AWS Support。 |
| Impaired (受損) | 網域控制站與 AWS 私有 CA 端點通訊時發生網路連線問題。 | 檢查 AWS 私有 CA VPC 端點和 S3 儲存貯體政策,以允許與您的目錄進行網路連線。如需詳細資訊,請參閱[疑難排解 AWS 私有憑證授權單位例外狀況訊息](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html)和[疑難排解 AWS 私有 CA 憑證撤銷問題](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html)。 |
| Disabled | 您目錄的網域控制站憑證註冊已成功關閉。 | 不需要採取行動。 |
| 停用 | 網域控制站憑證註冊停用進行中。 | 不需要採取行動。 |
| 啟用 | 網域控制站憑證註冊啟用進行中。 | 不需要採取行動。 |
## 設定 AD 政策
AWS 私有 CA 必須設定 Connector for AD,以便 AWS Managed Microsoft AD 網域控制站和物件可以請求和接收憑證。設定您的群組政策物件 ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)),以便 AWS 私有 CA 可以向 AWS Managed Microsoft AD 物件發行憑證。
### 設定網域控制站的 Active Directory 政策
**開啟網域控制站的 Active Directory 政策**
1. 開啟**網路與安全**索引標籤。
1. 選擇**AWS 私有 CA 連接器**。
1. 選擇與主體連結的連接器,該 AWS 私有 CA 主體會將網域控制站憑證發行到您的目錄。
1. 選擇**動作**、**啟用網域控制站憑證**。
**重要**
在開啟網域控制站憑證之前設定有效的網域控制站範本,以避免更新延遲。
開啟網域控制站憑證註冊後,您目錄的網域控制站會從 AWS 私有 CA Connector for AD 請求和接收憑證。
若要變更網域控制器憑證 AWS 私有 CA 的發行,請先使用新的 AWS 私有 CA Connector for AD 將新的 AWS 私有 CA 連接至您的目錄。在新的 上開啟憑證註冊之前 AWS 私有 CA,請關閉現有憑證的憑證註冊:
**關閉網域控制站憑證**
1. 開啟**網路與安全**索引標籤。
1. 選擇**AWS 私有 CA 連接器**。
1. 選擇與主體連結的連接器,該 AWS 私有 CA 主體會將網域控制站憑證發行到您的目錄。
1. 選擇**動作**、**停用網域控制站憑證**。
### 為加入網域的使用者、電腦和機器設定 Active Directory 政策
**設定群組政策物件**
1. 連接至 AWS Managed Microsoft AD 管理員執行個體,然後從**開始**功能表開啟 [Server Manager](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager)。
1. 在**工具**下,選擇**群組政策管理**。
1. 在**樹系和網域**下,尋找子網域組織單位 (OU) (例如,如果您遵循 中概述的程序,`corp`則為子網域組織單位[建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)),然後在子網域 OU 上按一下滑鼠右鍵。選擇**在此網域中建立 GPO,並在此處連結**,然後輸入 PCA GPO 做為名稱。選擇**確定**。
1. 新建立的 GPO 會顯示在子網域名稱後面。在 上按一下滑鼠右鍵`PCA GPO`,然後選擇**編輯**。如果對話方塊開啟並顯示提醒訊息,指出這是連結且變更是全域傳播的,請選擇**確定**以繼續來確認訊息。**群組政策管理編輯器**視窗隨即開啟。
1. 在**群組政策管理編輯器**視窗中,前往**電腦組態 > 政策 > Windows 設定 > 安全設定 > 公有金鑰政策** (選擇 資料夾)。
1. 在**物件類型**下,選擇**憑證服務用戶端 - 憑證註冊政策**。
1. 在**憑證服務用戶端 - 憑證註冊政策**視窗中,將**組態模型**變更為**已啟用**。
1. 確認已選取 **Active Directory 註冊政策**並**已啟用**。選擇**新增**。
1. Certificate **Enrollment Policy Server** 對話方塊隨即開啟。在輸入註冊伺服器政策 **URI 欄位中輸入您在建立連接器時產生的憑證註冊政策伺服器**端點。將**身分驗證類型**保持為 **Windows **整合狀態。
1. 選擇**驗證**。驗證成功後,選擇**新增**。
1. 返回 **Certificate Services 用戶端 - 憑證註冊政策**對話方塊,然後選取新建立連接器旁的方塊,以確保連接器是預設的註冊政策。
1. 選擇 **Active Directory 註冊政策**,然後選擇**移除**。
1. 在確認對話方塊中,選擇**是**以刪除 LDAP 型身分驗證。
1. 在**憑證服務用戶端 - 憑證註冊政策**視窗中,選擇**套用**,然後選擇**確定**。然後關閉視窗。
1. 在公有金鑰政策資料夾的**物件類型**下,選擇憑證服務用戶端 - 自動註冊。 ****
1. 將**組態模型**選項變更為**已啟用**。
1. 確認已選取**續約過期****憑證和更新憑證**選項。讓其他設定保持不變。
1. 選擇**套用**,然後選擇**確定**,然後關閉對話方塊。
接著,重複使用者組態 > 政策 > **Windows 設定 > 安全設定 > 公有金鑰政策區段中的步驟 6-17,以設定使用者組態的公有金鑰政策**。
完成設定 GPOs和公有金鑰政策後,來自 AWS 私有 CA Connector for AD 的網域請求憑證中的物件,並接收 發行的憑證 AWS 私有 CA。
## 確認已 AWS 私有 CA 發行憑證
更新 AWS 私有 CA 為 AWS Managed Microsoft AD 發行憑證的程序最多可能需要 8 小時。
您可以執行下列任一作業:
+ 您可以等待這段時間。
+ 您可以重新啟動已設定為從 接收憑證的 AWS Managed Microsoft AD 網域加入機器 AWS 私有 CA。然後,您可以遵循 [Microsoft 文件](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)中的程序,確認 AWS 私有 CA 已向 AWS Managed Microsoft AD 網域的成員發出憑證。
+ 您可以使用下列PowerShell命令來更新 AWS Managed Microsoft AD 的憑證:
```
certutil -pulse
```