本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用和管理 WorkSpaces Personal
<a name="managing-wsp-personal"></a>

WorkSpaces Personal 提供持久性虛擬桌面，專為需要佈建高度個人化桌面以供其專屬使用的使用者量身打造，類似於指派給個人的實體桌上型電腦。

每個 WorkSpace 都與虛擬私有雲端 (VPC) 和目錄相關聯，以存放和管理 WorkSpaces 和使用者的資訊。如需詳細資訊，請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。目錄是由 WorkSpaces 服務管理，或透過提供下列選項 Directory Service的 管理：Simple AD、AD Connector 或 AWS Directory Service for Microsoft Active Directory，也稱為 AWS Managed Microsoft AD。如需詳細資訊，請參閱 [AWS Directory Service 管理員指南](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/)。

WorkSpaces 使用您的 IAM Identity Center （適用於由 Amazon WorkSpaces 管理的目錄）、Simple AD、AD Connector 或 AWS Managed Microsoft AD 目錄來驗證使用者。使用者可以從支援的裝置使用用戶端應用程式存取其 WorkSpaces，或者針對 Windows WorkSpaces 的 Web 瀏覽器來存取其 WorkSpaces，並使用其目錄認證登入。登入資訊會傳送至驗證閘道，該閘道會將流量轉送至 WorkSpace 目錄。驗證使用者之後，串流流量會透過串流閘道起始。

對於所有驗證和工作階段相關資訊，用戶端應用程式會使用透過連接埠 443 的 HTTPS。用戶端應用程式使用連接埠 4172 (PCoIP) 和連接埠 4195 (DCV) 將像素串流到 WorkSpace，並使用連接埠 4172 和 4195 進行網路運作狀態檢查。如需詳細資訊，請參閱[用戶端應用程式的連接埠](workspaces-port-requirements.md#client-application-ports)。

每個 WorkSpace 都有兩個相關聯的彈性網路介面：用於管理和串流的網路介面 (eth0) 和主要網路介面 (eth1)。主要網路介面具有 VPC 所提供的 IP 地址，該 IP 地址來自目錄所使用的相同子網路。這可確保來自 WorkSpace 的流量可以輕鬆到達目錄。VPC 中資源的存取是由指派給主要網路介面的安全群組控制。如需詳細資訊，請參閱[網路介面](workspaces-port-requirements.md#network-interfaces)。

下圖顯示使用 AD Connector 的 WorkSpaces 架構。

![\[WorkSpaces architecture diagram showing user connections, gateways, and AWS 服務 integration.\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/architectural-diagram-new-2.png)


# 使用 WorkSpace WorkSpaces 的選項
<a name="how-to-start"></a>

有數種方法來建立 WorkSpace。您可以使用快速設定說明、進階設定說明，或從下列選項中選擇：
+ [為 WorkSpaces Personal 建立 AWS Managed Microsoft AD 目錄](launch-workspace-microsoft-ad.md)
+ [為 WorkSpaces Personal 建立 Simple AD 目錄](launch-workspace-simple-ad.md)
+ [為 WorkSpaces Personal 建立 AD Connector](launch-workspace-ad-connector.md)
+ [在 AWS Managed Microsoft AD 目錄與 WorkSpaces Personal 的內部部署網域之間建立信任關係](launch-workspace-trusted-domain.md)
+ [使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄](launch-entra-id.md)
+ [使用 WorkSpaces Personal 建立專用自訂目錄](launch-custom.md)

## WorkSpaces Personal 入門
<a name="getting-started"></a>

第一次使用 WorkSpaces 時，您可以選擇使用快速設定或進階設定來設定 WorkSpaces Personal。下列教學課程說明如何使用 *WorkSpace* WorkSpaces Directory Service。

**注意**  
若要開始使用 WorkSpaces 集區，請參閱 [設定 SAML 2.0 並建立 WorkSpaces 集區目錄](create-directory-pools.md)。

### WorkSpaces Personal 快速設定
<a name="getting-started-quick-setup"></a>

在本教學課程中，您將了解如何使用 WorkSpaces 和 佈建稱為 *WorkSpace* 的虛擬雲端 Microsoft Windows、Amazon Linux 2、Ubuntu Linux、Rocky Linux 或 Red Hat Enterprise Linux 桌面 Directory Service。

本教學課程使用快速設定選項來啟動 WorkSpace。只有在您從未啟動 WorkSpace 時，才可使用此選項。或者，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。

**注意**  
此快速設定選項和教學課程不適用於 WorkSpaces 集區。

**注意**  
下列 AWS 區域支援快速設定：  
美國東部 (維吉尼亞北部)
美國西部 (奧勒岡)
歐洲 (愛爾蘭)
亞太地區 (新加坡)
亞太地區 (雪梨)
亞太地區 (東京)
若要變更您的區域，請參閱[選擇區域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)。

**Topics**
+ [開始之前](#quick-setup-prereqs)
+ [快速設定的用途](#quick-setup-what-it-does)
+ [步驟 1：啟動 WorkSpace](#quick-setup-launch-workspace)
+ [步驟 2：連線至 WorkSpace](#quick-setup-connect-workspace)
+ [步驟 3：清除 (選用)](#quick-setup-clean-up)
+ [後續步驟](#quick-setup-next-steps)

#### 開始之前
<a name="quick-setup-prereqs"></a>

開始之前，請確定符合下列要求：
+ 您必須擁有 AWS 帳戶才能建立或管理 WorkSpace。使用者不需要 AWS 帳戶即可連線到和使用其 WorkSpaces。
+ 並非每個區域都可以使用 WorkSpaces。確認支援的區域，然後為您的 WorkSpaces [選取一個區域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)。如需支援區域的詳細資訊，請參閱[依 AWS 區域的 WorkSpaces 定價](https://aws.amazon.com/workspaces/pricing/#Amazon_WorkSpaces_Pricing_by_AWS_Region)。

繼續之前，檢閱和瞭解以下內容也很有幫助：
+ 當您啟動 WorkSpace 時，您必須選取 WorkSpace 套件。如需詳細資訊，請參閱 [Amazon WorkSpaces 套件](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)和 [Amazon WorkSpaces 定價](https://aws.amazon.com/workspaces/pricing/)。
+ 啟動 WorkSpace 時，您必須選取要搭配套件使用的通訊協定 (PCoIP 或 DCV)。如需詳細資訊，請參閱[WorkSpaces Personal 的通訊協定](amazon-workspaces-networking.md#amazon-workspaces-protocols)。
+ 啟動 WorkSpace 時，您必須指定使用者的設定檔資訊，包括使用者名稱和電子郵件地址。使用者藉由指定密碼來完成其設定檔。有關 WorkSpaces 和使用者的資訊儲存在目錄中。如需詳細資訊，請參閱[管理 WorkSpaces Personal 的目錄](manage-workspaces-directory.md)。

#### 快速設定的用途
<a name="quick-setup-what-it-does"></a>

快速設定可代表您完成以下任務：
+ **建立 IAM 角色**，以允許 WorkSpaces 服務建立彈性網路介面並列出您的 WorkSpaces 目錄。此角色具有名稱 `workspaces_DefaultRole`。
+ **建立虛擬私有雲端 (VPC)**。如果您要改用現有的 VPC，請確定其符合 [為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md) 中所述的要求，然後遵循 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md) 中所列的其中一個教學課程中的步驟。選擇您要使用的 Active Directory 類型對應的教學課程。
+ 在 VPC 中**設定 Simple AD 目錄**，並為 WorkDocs 啟用它。這個 Simple AD 目錄用於儲存使用者和 WorkSpace 資訊。由快速設定 AWS 帳戶 建立的第一個 是您的管理員 AWS 帳戶。† 此目錄還具有管理員帳戶。如需詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[建立內容](https://docs.aws.amazon.com/)。
+ **建立指定的 AWS 帳戶 ，並將其新增至 目錄**。
+ **建立 WorkSpaces**。每個 WorkSpace 都會收到公用 IP 地址，以提供網際網路存取。執行模式為 AlwaysOn。如需詳細資訊，請參閱[在 WorkSpaces Personal 中管理執行模式](running-mode.md)。
+ **傳送邀請電子郵件給指定的使用者**。如果您的使用者沒有收到邀請電子郵件，請參閱 [傳送邀請電子郵件](manage-workspaces-users.md#send-invitation)。

† 由快速設定 AWS 帳戶 建立的第一個是您的管理員 AWS 帳戶。您無法 AWS 帳戶 從 WorkSpaces 主控台更新此項目。請勿與任何人共用此帳戶的資訊。若要邀請其他使用者使用 WorkSpaces， AWS 帳戶 請為他們建立新的 。

#### 步驟 1：啟動 WorkSpace
<a name="quick-setup-launch-workspace"></a>

您可以使用快速設定，在幾分鐘內啟動您的第一個 WorkSpace。

**啟動 WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 選擇 **Quick setup (快速設定)**。如果沒看到此按鈕，表示您已在此區域中啟動 WorkSpace，或者您並未使用其中一個[支援快速設定的區域](#quick-setup-regions)。在這種情況下，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。  
![\[Amazon WorkSpaces dashboard showing service description and setup options.\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/quick-setup.png)

1. 針對**識別使用者**，輸入**使用者名稱**、**名字**、**姓氏**和**電子郵件**。然後選擇**下一步**。
**注意**  
如果這是您第一次使用 WorkSpaces，我們建議您為自己建立使用者以進行測試。  
![\[User creation form for WorkSpaces with fields for username, first name, last name, and email.\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/identify-users.png)

1. 對於**套件**，為具有適當通訊協定 (PCoIP 或 DCV) 的使用者選取套件 （硬體和軟體）。如需有關可用於 Amazon WorkSpaces 之各種公用套件的詳細資訊，請參閱 [Amazon WorkSpaces 套件](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)。  
![\[WorkSpaces bundle selection interface showing various Amazon Linux and Windows options with storage specifications.\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/select-bundle.png)

1. 檢閱您的資訊。然後選擇**建立 WorkSpace**。

1. 您的 WorkSpace 大約需要 20 分鐘的時間才能啟動。若要監控進度，請移至左側導覽窗格，然後選擇**目錄**。您將看到正在建立的目錄，其初始狀態為 `REQUESTED`，然後是 `CREATING`。

   建立目錄且狀態為 `ACTIVE` 之後，您可以在左側導覽窗格中選擇 **WorkSpaces** 來監控 WorkSpace 啟動程序的進度。WorkSpace 的初始狀態為 `PENDING`。啟動完成時，狀態為 `AVAILABLE`，而邀請會傳送至您為每個使用者指定的電子郵件地址。如果您的使用者沒有收到邀請電子郵件，請參閱 [傳送邀請電子郵件](manage-workspaces-users.md#send-invitation)。

#### 步驟 2：連線至 WorkSpace
<a name="quick-setup-connect-workspace"></a>

收到邀請電子郵件後，您可以使用您選擇的用戶端來連線至 WorkSpace。登入後，用戶端會顯示 WorkSpace 桌面。

**連線至 WorkSpace**

1. 如果您尚未設定使用者的憑證，請開啟邀請電子郵件中的連結，並依照指示操作。請記住您指定的密碼，因為您需要密碼才能連線至 WorkSpace。
**注意**  
密碼區分大小寫，長度須介於 8 至 64 個字元 (含) 之間。密碼必須至少包含下列每個類別中的一個字元：小寫字母 (a-z)、大寫字母 (A-Z)、數字 (0-9) 和組合 \$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/。

1. 如需有關每個用戶端需求的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [WorkSpaces 用戶端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)，然後執行下列其中一項操作：
   + 出現提示時，請下載其中一個用戶端應用程式或啟動 **Web Access**。
   + 如果系統未提示您而且您尚未安裝用戶端應用程式，請開啟 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) 並下載其中一個用戶端應用程式或啟動 **Web Access**。
**注意**  
您無法使用 Web 瀏覽器 (Web Access) 來連線到 Amazon Linux WorkSpaces。

1. 啟動用戶端，輸入邀請電子郵件中的註冊碼，然後選擇**註冊**。

1. 當系統提示您登入時，請輸入登入憑證，然後選擇**登入**。

1. (選用) 當系統提示您儲存憑證時，請選擇**是**。

如需有關使用用戶端應用程式 (例如設定多個監視器或使用周邊裝置) 的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [WorkSpaces 用戶端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)和[周邊裝置支援](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html)。

#### 步驟 3：清除 (選用)
<a name="quick-setup-clean-up"></a>

如果您已完成針對本教學課程建立的 WorkSpace，則可予以刪除。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](delete-workspaces.md)。

**注意**  
您可以免費使用 Simple AD，以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 目錄使用，則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用，而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。  
若要刪除空目錄，請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 Simple AD 目錄，當您想要再次開始使用 WorkSpaces 時，隨時都可以建立新的目錄。

#### 後續步驟
<a name="quick-setup-next-steps"></a>

您可以繼續自訂您剛建立的 WorkSpace。例如，您可以安裝軟體，然後從 WorkSpace 建立自訂套件。您也可以針對 WorkSpaces 和 WorkSpaces 目錄執行各種管理任務。如需詳細資訊，請參閱下列文件。
+ [建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件](create-custom-bundle.md)
+ [管理 WorkSpaces Personal](administer-workspaces.md)
+ [管理 WorkSpaces Personal 的目錄](manage-workspaces-directory.md)

若要建立額外 WorkSpaces，請執行下列其中一項操作：
+ 如果您想要繼續使用由快速設定建立的 VPC 和 Simple AD 目錄，您可以依照「使用 Simple AD 啟動 WorkSpace」教學課程的 [在 WorkSpace WorkSpaces](create-workspaces-personal.md) 一節中的步驟，為其他使用者新增 WorkSpaces。
+ 如果您需要使用其他目錄類型，或者您需要使用現有 Active Directory，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md) 中適當的教學課程。

如需有關使用 WorkSpaces 用戶端應用程式 (例如設定多個監視器或使用周邊裝置) 的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [WorkSpaces 用戶端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)和[周邊裝置支援](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html)。

### WorkSpaces Personal 進階設定入門
<a name="getting-started-advanced"></a>

在本教學課程中，您將了解如何使用 WorkSpaces 和 來佈建稱為 *WorkSpace* 的虛擬雲端 Microsoft Windows、Amazon Linux、Ubuntu Linux 或 Red Hat Enterprise Linux 桌面 Directory Service。

本教學課程使用進階設定選項來啟動 WorkSpace。

**注意**  
WorkSpaces 的所有區域都支援進階設定。

**Topics**
+ [開始之前](#advanced-setup-prereqs)
+ [使用進階設定來啟動您的 WorkSpace](#advanced-setup-procedure)

#### 開始之前
<a name="advanced-setup-prereqs"></a>

開始之前，請確定您擁有可用來建立或管理 WorkSpace AWS 的帳戶。使用者不需要 AWS 帳戶即可連線到和使用其 WorkSpaces。

繼續之前，請先檢閱並瞭解下列概念：
+ 當您啟動 WorkSpace 時，您必須選取 WorkSpace 套件。如需詳細資訊，請參閱 [Amazon WorkSpaces 套件](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)。
+ 啟動 WorkSpace 時，您必須選取要搭配套件使用的通訊協定 (PCoIP 或 DCV)。如需詳細資訊，請參閱[WorkSpaces Personal 的通訊協定](amazon-workspaces-networking.md#amazon-workspaces-protocols)。
+ 啟動 WorkSpace 時，您必須指定使用者的設定檔資訊，包括使用者名稱和電子郵件地址。使用者藉由指定密碼來完成其設定檔。有關 WorkSpaces 和使用者的資訊儲存在目錄中。如需詳細資訊，請參閱[管理 WorkSpaces Personal 的目錄](manage-workspaces-directory.md)。

#### 使用進階設定來啟動您的 WorkSpace
<a name="advanced-setup-procedure"></a>

**若要使用進階設定來啟動您的 WorkSpace：**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 選擇下列其中一個目錄類型，然後選擇**下一步**。
   + AWS Managed Microsoft AD
   + Simple AD
   + AD Connector

   

1. 輸入目錄資訊。

1. 從兩個不同的可用區域中選擇 VPC 中的兩個子網路。如需詳細資訊，請參閱[具有公用子網路的 VPC](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-vpc.html#configure-vpc-public-subnets)。

1. 檢閱目錄的資訊，然後選擇**建立目錄**。

# 在 WorkSpace WorkSpaces
<a name="create-workspaces-personal"></a>

WorkSpaces 可讓您為使用者佈建虛擬、雲端式 Windows 和 Linux 桌面 (也稱為 *WorkSpaces*)。

建立個人 WorkSpace 之前，請先執行下列其中一項操作來建立目錄：
+ 建立 Simple AD 目錄。
+ 建立 AWS Directory Service for Microsoft Active Directory，也稱為 AWS Managed Microsoft AD。
+ 使用 Active Directory 連接器連線到現有的 Microsoft Active Directory。
+ 建立 AWS Managed Microsoft AD 目錄與內部部署網域之間的信任關係。
+ 建立使用 Microsoft Entra ID 做為身分來源的專用目錄 （透過 IAM Identity Center)。目錄中的 WorkSpaces 是原生 Entra ID 加入，並透過 Microsoft Windows Autopilot 使用者驅動模式註冊到 Microsoft Intune。
**注意**  
此類目錄目前僅支援 Windows 10 和 11 自帶授權個人 WorkSpaces。
+ 建立專用目錄，使用您選擇的身分提供者做為身分來源 （透過 IAM Identity Center)。目錄中的 WorkSpaces 是原生 Entra ID 加入，並透過 Microsoft Windows Autopilot 使用者驅動模式註冊到 Microsoft Intune。
**注意**  
此類目錄目前僅支援 Windows 10 和 11 自帶授權個人 WorkSpaces。

現在您已建立目錄，即可建立個人 WorkSpace。

**建立個人 WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選擇**啟動 WorkSpaces**， **Personal**。

1. 選擇**建立 WorkSpaces**

1. 在**加入** （選用） 下，您可以**根據我的使用案例選擇建議選項，**以取得您想要使用的 WorkSpace 類型建議。如果您知道想要使用個人 WorkSpaces，可以略過此步驟。

1. 選擇**下一步**。WorkSpaces 會註冊您的 AD Connector。

1. 在**設定 WorkSpaces** 下，輸入下列詳細資訊：
   + 針對**套件**，從下列您想要用於 WorkSpaces 的套件類型中進行選擇。
     + **使用基本 WorkSpaces 套件** - 從下拉式清單中選擇其中一個套件。如需所選套件類型的詳細資訊，請選擇**套件詳細資訊**。若要比較集區提供的套件，請選擇**比較所有套件**。
     + **使用您自己的自訂或 BYOL 套件** - 選擇您先前建立的套件。若要建立自訂套件，請參閱 [建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件](create-custom-bundle.md)。
**注意**  
檢閱每個套件的建議用途和規格，協助確保您選取最適合使用者的套件。如需每個使用案例的詳細資訊，請參閱 [Amazon WorkSpaces 套件](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)。如需套件規格、建議用途和定價的詳細資訊，請參閱 [Amazon WorkSpaces 定價](https://aws.amazon.com/workspaces/pricing/)。
   + 對於**執行中模式**，請選擇下列選項，以設定您個人 WorkSpace 的立即可用性，以及您支付的方式 （每月或每小時）：
     + **AlwaysOn** — 收取無限制使用 WorkSpaces 的每月費用。此模式最適合使用其 WorkSpace 完整時間作為其主要桌面的使用者。
     + **AutoStop** — 按小時計費。使用此模式時，WorkSpaces 會在指定的中斷連線期間後停止，並儲存應用程式和資料的狀態。
   + 針對**標籤**，指定您要使用的金鑰對值。索引鍵可以是具有特定關聯值的一般類別，例如「專案」、「擁有者」或「環境」。

1. 在**選取目錄**下，輸入下列詳細資訊：
   + 選擇您建立的目錄。若要建立目錄，請選擇**建立目錄**。如需建立個人目錄的詳細資訊，請參閱 [向 WorkSpaces Personal 註冊現有 Directory Service 目錄](register-deregister-directory.md)。
   + 執行下列動作，從您要為其佈建個人 WorkSpaces 的目錄中選擇使用者。

     1. 選擇**建立使用者**。

     1. 輸入使用者的**使用者名稱**、**名字**、**姓氏**和**電子郵件**。若要新增其他使用者，請選擇**建立其他使用者**並輸入其資訊。

1. 在**自訂** （選用） 下，您可以為所有使用者或特定使用者自訂套件、根磁碟區和使用者磁碟區加密，以及使用者磁碟區。

1. 選擇建立 WorkSpaces。WorkSpace 的初始狀態為待定。建立完成時，狀態為可用，且邀請會傳送至您為使用者指定的電子郵件地址。

1. 傳送邀請至每位使用者的電子郵件地址。如需詳細資訊，請參閱[傳送邀請電子郵件](manage-workspaces-users.md#send-invitation)。
**注意**  
如果您使用 AD Connector 或信任關係，則不會自動傳送這些邀請。
如果使用者已經存在於 Active Directory 中，則不會傳送邀請電子郵件。反而，確保手動向用戶傳送邀請電子郵件。如需詳細資訊，請參閱[傳送邀請電子郵件](manage-workspaces-users.md#send-invitation)。
在所有區域中，邀請電子郵件的文字都是英文 （美國）。在下列區域中，英文文字前面會加上第二種語言：  
亞太區域 （首爾）：韓文
亞太區域 （東京）：日文
加拿大 （中部）：法文 （加拿大）
中國 （寧夏）：簡體中文

## 連線至 WorkSpace
<a name="connect-workspace-ad-connector"></a>

您可以使用您選擇的用戶端連線至 WorkSpace。登入後，用戶端會顯示 WorkSpace 桌面。

**連線至 WorkSpace**

1. 開啟邀請電子郵件中的連結。

1. 如需有關每個用戶端需求的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [WorkSpaces 用戶端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)，然後執行下列其中一項操作：
   + 出現提示時，請下載其中一個用戶端應用程式或啟動 Web Access。
   + 如果系統未提示您而且您尚未安裝用戶端應用程式，請開啟 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) 並下載其中一個用戶端應用程式或啟動 Web Access。
**注意**  
您無法使用 Web 瀏覽器 (Web Access) 來連線到 Amazon Linux WorkSpaces。

1. 啟動用戶端，輸入邀請電子郵件中的註冊碼，然後選擇**註冊**。

1. 當系統提示您登入時，請輸入使用者的登入認證，然後選擇**登入**。

1. (選用) 當系統提示您儲存憑證時，請選擇**是**。

**注意**  
因為您使用 AD Connector，您的使用者將無法重設自己的密碼。(WorkSpaces 用戶端應用程式登入畫面上的**忘記密碼？**選項將無法使用。) 如需重設使用者密碼的詳細資訊，請參閱 [設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)。

## 後續步驟
<a name="next-steps-ad-connector"></a>

您可以繼續自訂您剛建立的 WorkSpace。例如，您可以安裝軟體，然後從 WorkSpace 建立自訂套件。您也可以針對 WorkSpaces 和 WorkSpaces 目錄執行各種管理任務。如果您結束使用 WorkSpace，即可予以刪除。如需詳細資訊，請參閱下列文件。
+ [建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件](create-custom-bundle.md)
+ [管理 WorkSpaces Personal](administer-workspaces.md)
+ [管理 WorkSpaces Personal 的目錄](manage-workspaces-directory.md)
+ [在 WorkSpace WorkSpaces](delete-workspaces.md)

如需有關使用 WorkSpaces 用戶端應用程式 (例如設定多個監視器或使用周邊裝置) 的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [WorkSpaces 用戶端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)和[周邊裝置支援](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html)。

# 聯網通訊協定和 WorkSpaces Personal 的存取
<a name="amazon-workspaces-networking"></a>

身為 WorkSpace 管理員，您必須了解如何從通訊協定開始管理 WorkSpaces 網路和存取。

## WorkSpaces Personal 的通訊協定
<a name="amazon-workspaces-protocols"></a>

Amazon WorkSpaces 支援兩種通訊協定：PCoIP 和 DCV。您選擇的協定取決於多個因素，例如使用者將用於存取其 WorkSpaces 的裝置類型、您的 WorkSpaces 上的作業系統、使用者將面臨的網路狀況，以及使用者是否需要雙向視訊支援。

### 要求
<a name="w2aac11c23b5b5"></a>

只有下列最低需求才支援 DCV WorkSpaces。

主機代理程式需求：
+ Windows 主機代理程式 2.0.0.312 版或更高版本
+ Ubuntu 主機代理程式 2.1.0.501 版或更高版本
+ Amazon Linux 2 主機代理程式 2.0.0.596 版或更高版本
+ Rocky Linux 主機代理程式 2.1.0.1628 版或更新版本
+ Red Hat Enterprise Linux 主機代理程式 2.1.0.1628 版或更新版本

用戶端需求：
+ Windows 原生用戶端 5.1.0.329 版或更高版本
+ macOS 原生用戶端 5.5.0 版或更高版本
+ Ubuntu 22.04 用戶端 2024.x 版或更新版本
+ Amazon WorkSpaces 精簡型客戶端 （如需詳細資訊，請參閱 [Amazon WorkSpaces 精簡型客戶端文件](https://docs.aws.amazon.com/workspaces-thin-client/))
+ Web Access

如需如何檢查 WorkSpace 用戶端版本和主機代理程式版本的詳細資訊，請參閱 [常見問答集](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20How%20do%20I%20find%20my%20WSP%20host%20agent%20version%3F)。

### 何時使用 DCV
<a name="w2aac11c23b5b7"></a>
+ 如果您需要更高的損失/延遲容忍度來支援最終使用者的網路狀況。例如，您的使用者正橫跨全球距離或使用不可靠的網路來存取其 WorkSpaces。
+ 如果您需要使用者使用智慧卡進行驗證，或在工作階段中使用智慧卡。
+ 如果您在工作階段中需要網路攝影機支援功能。
+ 如果您需要搭配 Windows Server 2022 或 Windows Server 2025 支援的 WorkSpaces 套件使用 Web Access。
+ 如果您需要使用 Ubuntu WorkSpaces。
+ 如果您需要使用 Windows 11 BYOL WorkSpaces。
+ 如果您需要搭配 Windows 使用已啟用 GPU 的 WorkSpaces 套件。
+ 如果您需要使用 Windows GPU 套件 (Graphics.g6、Graphics.g4dn 和 GraphicsPro.g4dn) 或 Ubuntu GPU 套件 (Graphics.g4dn 和 GraphicsPro.g4dn).
+ 如果您需要使用者使用 YubiKey 或 Windows Hello 等 WebAuthn 驗證器進行工作階段中的驗證。

### PCoIP 使用時機
<a name="w2aac11c23b5b9"></a>
+ 如果您想使用 iPad 或 Android Linux 用戶端。
+ 如果您使用 Teradici 零客戶端裝置。
+ 如果您需要將 Linux 套件用於非智慧卡使用案例。
+ 如果您需要在中國 (寧夏) 區域使用 Workpaces。

**注意**  
目錄可以混合使用 PCoIP 和 DCV WorkSpaces。
只要兩個 WorkSpace s位於不同的目錄中，使用者就可以同時擁有 PCoIP 和 DCV WorkSpace。 WorkSpaces 相同的使用者無法在相同的目錄中擁有 PCoIP 和 DCV WorkSpace。如需為使用者建立多個 WorkSpaces 的詳細資訊，請參閱 [在 WorkSpaces Personal 中為使用者建立多個 WorkSpaces](create-multiple-workspaces-for-user.md)。
您可使用 WorkSpaces 移轉功能 (此功能需要重新建置 WorkSpace)，在兩個協定之間移轉 WorkSpace。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](migrate-workspaces.md)。
如果您的 WorkSpace 是使用 PCoIP 套件建立的，您可修改串流協定以在兩個協定之間進行移轉 (而不需重新建置)，同時保留根磁碟區。如需詳細資訊，請參閱[修改通訊協定](https://docs.aws.amazon.com/workspaces/latest/adminguide/modify-workspaces.html#modify_protocols)。
為了獲得最佳視訊會議體驗，建議您僅使用 Power、PowerPro、GeneralPurpose.4xlarge,或 GeneralPurpose.8xlarge 套件。

下列主題提供有關如何管理 WorkSpaces Personal 聯網和存取的其他詳細資訊：

# 為 WorkSpaces Personal 設定 VPC
<a name="amazon-workspaces-vpc"></a>

WorkSpaces 會在虛擬私有雲端 (VPC) 中啟動您的 WorkSpaces。

您可以為 WorkSpaces 建立具有兩個私有子網路的 VPC，且在公用子網路中建立 NAT 閘道。或者，您可以為 WorkSpaces 建立具有兩個公用子網路的 VPC，並將公用 IP 地址或彈性 IP 地址與每個 WorkSpace 建立關聯。

如需 VPC 設計考量的詳細資訊，請參閱 [Amazon WorkSpaces 部署中 VPC 和聯網的最佳實務](https://d1.awsstatic.com/whitepapers/best-practices-vpcs-networking-amazon-workspaces-deployments.pdf)和[部署 WorkSpaces 的最佳實務 - VPC 設計](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/vpc-design.html)。

**Topics**
+ [要求](#configure-vpc-requirements)
+ [建立具有私有子網路與 NAT 閘道的 VPC](#configure-vpc-nat-gateway)
+ [設定具有公用子網路的 VPC](#configure-vpc-public-subnets)

## 要求
<a name="configure-vpc-requirements"></a>

VPC 的子網路必須位於您要啟動 WorkSpaces 的區域中的不同可用區域。可用區域是代表不同的位置，旨在隔離其他可用區域的故障。藉由在個別的可用區域中啟動執行個體，您就可以保護應用程式免於發生單點故障。各個子網必須完全位於某一可用區域內，不得跨越多個區域。

**注意**  
Amazon WorkSpaces 適用於每個支援區域的可用區域子集中。若要判斷您可將哪些可用區域使用於您用於 WorkSpaces 的 VPC 子網路，請參閱 [WorkSpaces Personal 的可用區域](azs-workspaces.md)。

## 建立具有私有子網路與 NAT 閘道的 VPC
<a name="configure-vpc-nat-gateway"></a>

如果您使用 Directory Service 建立 AWS Managed Microsoft 或 Simple AD，建議您使用一個公有子網路和兩個私有子網路來設定 VPC。設定您的目錄以在私有子網路中啟動 WorkSpaces。若要提供對私有子網路中 WorkSpaces 的網際網路存取，請在公用子網路中設定 NAT 閘道。

![\[設定您的 WorkSpaces VPC\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/vpc-configuration-new.png)


**若要建立具有一個公用子網路和兩個私有子網路的 VPC**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 選擇**建立 VPC**。

1. 在**要建立的資源**之下，選擇 **VPC 等**。

1. 針對**自動產生名稱標籤**，輸入 VPC 的名稱。

1. 若要設定子網路，請執行下列動作：

   1. 針對**可用區域數量**，根據您的需求選擇 **1** 或 **2**。

   1. 展開**自訂 AZ**，然後選擇您的可用區域。否則， 會為您 AWS 選取它們。若要進行適當的選取，請參閱 [WorkSpaces Personal 的可用區域](azs-workspaces.md)。

   1. 針對 **Number of public subnets** (公用子網路數量)，請確定每個可用區域有一個公用子網路。

   1. 針對**私有子網路數量**，確定每個可用區域至少有一個私有子網路。

   1. 為每個子網路輸入 CIDR 區塊。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[子網路規模調整](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing)。

1. 針對 **NAT 閘道**，選擇**每個可用區域 1 個**。

1. 選擇**建立 VPC**。

**IPv6 CIDR 區塊**  
您可以將 IPv6 CIDR 區塊與 VPC 及其子網路建立關聯，並將這些子網路設定為自動將 IPv6 地址指派給新啟動的執行個體。對於客戶建立的子網路，預設會停用自動指派 IPv6 定址。若要在 Amazon VPC 主控台中檢視或更新此設定，請在導覽窗格中選擇子網路、選取目標子網路，然後選擇**動作**、**修改自動指派 IP 設定**。

## 設定具有公用子網路的 VPC
<a name="configure-vpc-public-subnets"></a>

如果您想要的話，可以建立具有兩個公用子網路的 VPC。若要提供對公用子網路中 WorkSpaces 的網際網路存取，請將目錄設定為自動指派彈性 IP 地址，或手動將彈性 IP 地址指派給每個 WorkSpace。

**Topics**
+ [步驟 1：建立 VPC](#create-vpc-public-subnet)
+ [步驟 2：將公用 IP 地址指派給 WorkSpaces](#assign-eip)

### 步驟 1：建立 VPC
<a name="create-vpc-public-subnet"></a>

如下所示，建立具有一個公用子網路的 VPC。

**若要建立 VPC**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 選擇**建立 VPC**。

1. 在**要建立的資源**之下，選擇 **VPC 等**。

1. 針對**自動產生名稱標籤**，輸入 VPC 的名稱。

1. 若要設定子網路，請執行下列動作：

   1. 針對**可用區域數量**，選擇 **2**。

   1. 展開**自訂 AZ**，然後選擇您的可用區域。否則， 會為您 AWS 選取它們。若要進行適當的選取，請參閱 [WorkSpaces Personal 的可用區域](azs-workspaces.md)。

   1. 針對**公用子網路數量**，選擇 **2**。

   1. 對於 **Number of private subnet** (私有子網的數量)，選擇 **0**。

   1. 輸入每個公用子網路的 CIDR 區塊。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[子網路規模調整](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing)。

1. 選擇**建立 VPC**。

**IPv6 CIDR 區塊**  
您可以將 IPv6 CIDR 區塊與 VPC 及其子網路建立關聯，並將這些子網路設定為自動將 IPv6 地址指派給新啟動的執行個體。對於客戶建立的子網路，預設會停用自動指派 IPv6 定址。若要在 Amazon VPC 主控台中檢視或更新此設定，請在導覽窗格中選擇子網路、選取目標子網路，然後選擇**動作**、**修改自動指派 IP 設定**。

### 步驟 2：將公用 IP 地址指派給 WorkSpaces
<a name="assign-eip"></a>

您可以將公用 IP 地址自動或手動指派給您的 WorkSpaces。若要使用自動指派，請參閱 [設定 WorkSpaces Personal 的自動公有 IP 地址](automatic-assignment.md)。若要手動指派公用 IP 地址，請使用下列程序。

**若要將公用 IP 地址手動指派給 WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 展開 WorkSpace 的列 (選擇箭頭圖示) 並記下 **WorkSpace IP** 的值。這是 WorkSpace 的主要私有 IP 地址。

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格中，選擇 **Elastic IPs** (彈性 IP)。如果您沒有可用的彈性 IP 地址，請選擇**配置彈性 IP 地址**，然後選擇 **Amazon 的 IPv4 地址集區**或**客戶擁有的 IPv4 地址集區**，然後選擇**配置**。記下新的 IP 地址。

1. 在導覽窗格中，選擇 **Network Interfaces** (網路介面)。

1. 為您的 WorkSpace 選取網路介面。若要尋找您的 WorkSpace 的網路介面，請在搜尋方塊中輸入 **WorkSpace IP** 值 (您先前記下的內容)，然後按 **Enter** 鍵。**WorkSpace IP** 值與網路介面的主要私有 IPv4 地址相符。請注意，網路介面的 VPC ID 與您的 WorkSpaces VPC 的 ID 相符。

1. 選擇 **Actions** (動作)、**Manage IP Addresses (管理 IP 地址)**。選擇**指派新的 IP**，然後選擇**是，更新**。記下新的 IP 地址。

1. 選擇**動作** > **建立與地址的關聯**。

1. 在**關聯彈性 IP 地址**頁面上，從**位址**中選擇彈性 IP 地址。針對**與私有 IP 地址建立關聯**，請指定新的私有 IP 地址，然後選擇**關聯位址**。

# 設定 WorkSpaces Personal 的 AWS Global Accelerator (AGA)
<a name="amazon-workspaces-aga"></a>

您可以在 WorkSpaces 目錄層級或執行 DCV 通訊協定的個別 WorkSpaces 啟用 AWS Global Accelerator (AGA)。啟用時，服務會自動將串流流量路由到最近的 AWS 節點，並跨 AWS 全球網路路由，而全球網路是無擁塞且備援的。這有助於提供反應更靈敏且穩定的串流體驗。WorkSpaces 服務可完整管理 AGA 用量，並受傳出資料量限制所約束。

**Topics**
+ [要求](#configure-aga-requirements)
+ [限制](#configure-aga-limitations)
+ [傳出資料限制](#configure-aga-outbound-data-limits)
+ [為 WorkSpaces 目錄啟用 AGA](#enabling-aga-directory)
+ [為個別 WorkSpaces 啟用 AGA](#enabling-aga-individual)

## 要求
<a name="configure-aga-requirements"></a>
+ WorkSpaces 使用專用 AWS Global Accelerator (AGA) 端點的一系列公有 IPv4 地址。請務必為透過 AGA 存取 WorkSpaces 的裝置設定防火牆政策。如果防火牆封鎖 AGA 端點，WorkSpaces 串流流量將不會透過 AGA 路由。如需每個 AWS 區域中 AGA 端點 IP 範圍的詳細資訊，請參閱 [DCV 閘道伺服器](workspaces-port-requirements.md#gateway_WSP)。
+ 若要透過 AGA 存取 WorkSpaces，使用者必須使用 WorkSpaces 用戶端 5.23 版或更新版本。

## 限制
<a name="configure-aga-limitations"></a>
+ 您只能為 DCV WorkSpaces 啟用 AGA。如果您在 WorkSpaces 目錄層級啟用 AGA，它只會套用至 目錄中的 DCV WorkSpaces。
+ 您無法為同時啟用 FIPS 和 IP 存取控制群組的目錄 （或目錄中的 WorkSpaces) 啟用 AGA。您必須先停用 FIPS 或 IP 存取控制群組，才能為目錄啟用 AGA。

## 傳出資料限制
<a name="configure-aga-outbound-data-limits"></a>

以下是 WorkSpaces 套件適用的資料磁碟區限制。
+ **值、標準和效能套件：**包括每位使用者每月 20 GB 的 AGA 傳出資料。
+ **Power、PowerPro 和 Graphics 套件：**包括每位使用者每月 50 GB 的 AGA 傳出資料。

這些傳出資料限制旨在涵蓋使用者從 WorkSpaces 串流的資料使用量。除了限制之外，WorkSpaces 服務可能會限制 AGA 使用量，並依case-by-case路由來自 AGA 的 WorkSpaces 流量。

## 為 WorkSpaces 目錄啟用 AGA
<a name="enabling-aga-directory"></a>

您可以在目錄層級設定 AGA 設定。除非被個別 WorkSpaces 覆寫，否則這些設定將套用至 目錄中的所有 DCV WorkSpaces。

**為目錄啟用 AGA**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**目錄**。

1. 在**目錄 ID** 欄下，選擇要設定 AGA 設定的目錄目錄 ID。

1. 在目錄詳細資訊頁面上，向下捲動至 AWS Global Accelerator (AGA) 組態區段，然後選擇**編輯**。

1. 選擇**啟用 AGA （自動）**。

1. **預設會選取一律使用 TCP 搭配 AGA**。如果您取消選取，WorkSpaces 用戶端會根據用戶端上的 DCV 串流通訊協定設定，判斷是否將 TCP 或 UDP 與 AGA 搭配使用。

1. 選擇**儲存**。

為 WorkSpaces 目錄啟用 AGA 之後，目錄中的 DCV WorkSpaces 會使用 AGA 從下一個工作階段開始串流。不需要重新開機。

## 為個別 WorkSpaces 啟用 AGA
<a name="enabling-aga-individual"></a>

您可以為個別 WorkSpaces 設定 AGA 設定，這會覆寫從 WorkSpaces 相關聯的目錄繼承的設定。

**為個別 WorkSpaces 啟用 AGA**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇 **WorkSpaces**， **Personal**。

1. 在 **WorkSpace ID** 欄下，選擇您要設定 AGA 設定的 WorkSpace 的 WorkSpace WorkSpace ID。

1. 在 WorkSpaces 詳細資訊頁面上，向下捲動至 AWS Global Accelerator (AGA) 組態區段，然後選擇**編輯**。

1. 選擇**手動覆寫此 WorkSpace 的 AGA 組態**。

1. 選擇**啟用 AGA （自動）**。

1. **預設會選取一律使用 TCP 搭配 AGA**。如果您取消選取，WorkSpaces 用戶端會根據用戶端上的 DCV 串流通訊協定設定，判斷是否將 TCP 或 UDP 與 AGA 搭配使用。

1. 選擇**儲存**。

# WorkSpaces Personal 的可用區域
<a name="azs-workspaces"></a>

當您建立虛擬私有雲端 (VPC) 以搭配 Amazon WorkSpaces 使用時，VPC 的子網路必須位於啟動 WorkSpaces 所在區域的不同可用區域中。可用區域是代表不同的位置，旨在隔離其他可用區域的故障。藉由在個別的可用區域中啟動執行個體，您就可以保護應用程式免於發生單點故障。各個子網必須完全位於某一可用區域內，不得跨越多個區域。

可用區域以區域代碼加上字母識別符表示；例如 `us-east-1a`。為確保資源分佈於區域的可用區域，我們會獨立將可用區域映射至每個 AWS 帳戶的名稱。例如，`us-east-1a`您 AWS 帳戶的可用區域可能與其他`us-east-1a` AWS 帳戶的可用區域不同。

為協調各帳戶的可用區域，您必須使用 *AZ ID*，這是可用區域唯一且一致的識別符。例如， `use1-az2` 是 `us-east-1` 區域的 AZ ID，而且在每個 AWS 帳戶中都有相同的位置。

檢視 AZ ID 能讓您判斷某個帳戶資源在另一個帳戶中的相對位置。例如，如果您與另一個帳戶共享 AZ ID 為 `use1-az2` 的可用區域子網路，則 AZ ID 也是 `use1-az2` 之可用區域中的該帳戶就可以使用此子網路。Amazon VPC 主控台會顯示各 VPC 和子網路的 AZ ID。

Amazon WorkSpaces 僅適用於每個支援區域的可用區域子集。下表列出您可用於每個區域的 AZ ID。若要查看帳戶中 AZ ID 與可用區域的對應，請參閱《AWS RAM 使用者指南》**中的[資源適用的 AZ ID](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html)。


| 區域名稱 | 區域代碼 | 支援的 AZ ID | 
| --- | --- | --- | 
| 美國東部 (維吉尼亞北部) | us-east-1 | use1-az2, use1-az4, use1-az6 | 
| 美國西部 (奧勒岡) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 | 
| 亞太區域 (孟買) | ap-south-1 | aps1-az1, aps1-az2, aps1-az3 | 
| 亞太區域 (首爾) | ap-northeast-2 | apne2-az1, apne2-az3 | 
| 亞太區域 (新加坡) | ap-southeast-1 | apse1-az1, apse1-az2 | 
| 亞太區域 (雪梨) | ap-southeast-2 | apse2-az1, apse2-az3 | 
| 亞太區域 (東京) | ap-northeast-1 | apne1-az1, apne1-az4 | 
| 加拿大 (中部) | ca-central-1 | cac1-az1, cac1-az2 | 
| 歐洲 (法蘭克福) | eu-central-1 | euc1-az2, euc1-az3 | 
| 歐洲 (愛爾蘭) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 | 
| 歐洲 (倫敦) | eu-west-2 | euw2-az2, euw2-az3 | 
| Europe (Paris) | eu-west-3 | euw3-az1, euw3-az2, euw3-az3 | 
| 南美洲 (聖保羅) | sa-east-1 | sae1-az1, sae1-az3 | 
| 非洲 (開普敦) | af-south-1 | afs1-az1, afs1-az2, afs1-az3 | 
| 以色列 (特拉維夫) | il-central-1 | ilc1-az1, ilc1-az2, ilc1-az3 | 
| AWS GovCloud （美國西部） | us-gov-west-1 | usgw1-az1, usgw1-az2, usgw1-az3 | 
| AWS GovCloud （美國東部） | us-gov-east-1 | usge1-az1, usge1-az2, usge1-az3 | 

如需可用區域和可用區域 IDs 的詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[區域、可用區域和本機區域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html)。

# WorkSpaces Personal 的 IP 位址和連接埠要求
<a name="workspaces-port-requirements"></a>

若要連線至 WorkSpaces，您的 WorkSpaces 用戶端所連線的網路必須對各種 AWS 服務的 IP 地址範圍開放特定連接埠 （分組為子集）。這些地址範圍因 AWS 區域而異。這些相同的連接埠也必須在用戶端上執行的任何防火牆上開啟。如需不同區域 AWS IP 地址範圍的詳細資訊，請參閱 中的 [AWS IP 地址範圍](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)*Amazon Web Services 一般參考*。

如需其他架構圖表，請參閱[部署 Amazon WorkSpaces 的最佳實務](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html)。

## 用戶端應用程式的連接埠
<a name="client-application-ports"></a>

WorkSpaces 用戶端應用程式需要下列連接埠的傳出存取權：

連接埠 53 (UDP)  
此連接埠用於存取 DNS 伺服器。其必須開放給您的 DNS 伺服器 IP 地址，以便用戶端解析公用網域名稱。如果您未使用 DNS 伺服器進行網域名稱解析，則此連接埠需求為選用。

連接埠 443 (UDP 和 TCP)  
此通訊埠用於用戶端應用程式更新、註冊和驗證。桌面用戶端應用程式支援使用代理伺服器處理連接埠 443 (HTTPS) 流量。若要啟用 Proxy 伺服器的使用，請開啟用戶端應用程式，選擇**進階設定**，選取**使用 Proxy 伺服器**，指定 Proxy 伺服器的位址和連接埠，然後選擇**儲存**。  
此連接埠必須開放給下列 IP 地址範圍：  
+ `GLOBAL` 區域中的 `AMAZON` 子集。
+ WorkSpace 所在區域中的 `AMAZON` 子集。
+ `us-east-1` 區域中的 `AMAZON` 子集。
+ `us-west-2` 區域中的 `AMAZON` 子集。
+ `us-west-2` 區域中的 `S3` 子集。

連接埠 4172 (UDP 和 TCP)  
此連接埠用於串流 WorkSpace 桌面和 PCoIP WorkSpaces 的運作狀態檢查。此連接埠必須開放給 PCoIP 閘道，以及 WorkSpace 所在區域中的運作狀態檢查伺服器。如需詳細資訊，請參閱 [運作狀態檢查伺服器](#health_check) 及 [PCoIP 閘道伺服器](#gateway_IP)。  
對於 PCoIP WorkSpaces，桌面用戶端應用程式不支援使用 Proxy 伺服器，也不支援針對 UDP 中的連接埠 4172 流量進行 TLS 解密和檢查 (適用於桌面流量)。它們需要直接連線至連接埠 4172。

連接埠 4195 (UDP 和 TCP)  
此連接埠用於串流 DCV WorkSpace WorkSpaces 桌面和運作狀態檢查。此連接埠必須開放給 WorkSpace 所在區域中的 DCV Gateway IP 地址範圍和運作狀態檢查伺服器。如需詳細資訊，請參閱[運作狀態檢查伺服器](#health_check)及[DCV 閘道伺服器](#gateway_WSP)。  
對於 DCV WorkSpaces，WorkSpaces Windows 用戶端應用程式 (5.1 版及更高版本） 和 macOS 用戶端應用程式 (5.4 版及更高版本） 支援使用連接埠 4195 TCP 流量的 HTTP 代理伺服器，但不建議使用代理。不支援 TLS 解密和檢查。如需詳細資訊，請參閱針對 [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy)、[Amazon Linux WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) 和 [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu) **設定裝置 Proxy 設定以進行網際網路存取**。

**注意**  
如果您的防火牆使用具狀態篩選，則會自動開放暫時連接埠 (也稱為動態連接埠) 以允許回傳通訊。如果您的防火牆使用無狀態篩選，您必須明確開放暫時連接埠，以允許傳回通訊。您必須開放的必要暫時連接埠範圍會根據您的組態而有所不同。
UDP 流量不支援 Proxy 伺服器功能。如果您選擇使用 Proxy 伺服器，用戶端應用程式對 Amazon WorkSpaces 服務所進行的 API 呼叫也會被代理。API 呼叫和桌面流量都應該通過相同的 Proxy 伺服器。
WorkSpaces 用戶端應用程式會先嘗試使用 UDP (QUIC) 進行串流，以獲得最佳效能。如果用戶端網路只允許 TCP，則會使用 TCP。WorkSpaces Web 用戶端將透過 TCP 連接埠 4195 或 443 連接。如果連接埠 4195 遭到封鎖，用戶端只會嘗試透過連接埠 443 連線至 。

## 適用於 Web Access 的連接埠
<a name="web-access-ports"></a>

WorkSpaces Web Access 需要下列連接埠的傳出存取權：

連接埠 53 (UDP)  
此連接埠用於存取 DNS 伺服器。其必須開放給您的 DNS 伺服器 IP 地址，以便用戶端解析公用網域名稱。如果您未使用 DNS 伺服器進行網域名稱解析，則此連接埠需求為選用。

連接埠 80 (UDP 和 TCP)  
此連接埠用於對 `https://clients.amazonworkspaces.com` 的初始連線，然後切換至 HTTPS。其必須開放給 WorkSpace 所在區域中 `EC2` 子集中的所有 IP 地址範圍。

連接埠 443 (UDP 和 TCP)  
此連接埠用於使用 HTTPS 進行註冊和驗證。其必須開放給 WorkSpace 所在區域中 `EC2` 子集中的所有 IP 地址範圍。

連接埠 4195 (UDP 和 TCP)  
對於針對 DCV 設定的 WorkSpaces，此連接埠用於串流 WorkSpaces 桌面流量。此連接埠必須開放給 DCV Gateway IP 地址範圍。如需詳細資訊，請參閱[DCV 閘道伺服器](#gateway_WSP)。  
DCV Web 存取支援將代理伺服器用於連接埠 4195 TCP 流量，但不建議使用。如需詳細資訊，請參閱**設定 Windows WorkSpaces、Amazon Linux WorkSpaces 或 Ubuntu WorkSpaces 的網際網路存取裝置代理伺服器設定**。 [ WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy) [ WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) [ WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu)

**注意**  
如果您的防火牆使用具狀態篩選，則會自動開放暫時連接埠 (也稱為動態連接埠) 以允許回傳通訊。如果您的防火牆使用無狀態篩選，您必須明確開放暫時連接埠，以允許傳回通訊。您必須開放的必要暫時連接埠範圍會根據您的組態而有所不同。
WorkSpaces 用戶端應用程式會先嘗試使用 UDP (QUIC) 進行串流，以獲得最佳效能。如果用戶端網路只允許 TCP，則會使用 TCP。WorkSpaces Web 用戶端將透過 TCP 連接埠 4195 或 443 連接。如果連接埠 4195 遭到封鎖，用戶端只會嘗試透過連接埠 443 連線至 。

一般而言，Web 瀏覽器會隨機選取串流流量高範圍的來源連接埠。WorkSpaces Web Access 無法控制瀏覽器選取的連接埠。您必須確保允許對此連接埠的傳回流量。

## 要新增至允許清單的網域和 IP 地址
<a name="whitelisted_ports"></a>

若要讓 WorkSpaces 用戶端應用程式能夠存取 WorkSpaces 服務，您必須將下列網域和 IP 地址新增至用戶端從中嘗試存取該服務的網路上的允許清單。


**要新增至允許清單的網域和 IP 地址**  

| Category | 網域或 IP 地址 | 
| --- | --- | 
| CAPTCHA |  https://opfcaptcha-prod.s3.amazonaws.com/  | 
| 用戶端自動更新 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  |  https://fls-na.amazon.com/  | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 工作階段前智慧卡身分驗證端點 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 使用者登入頁面 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) https：//*directory\$1id*.awsapps.com/ **目錄 ID **是客戶的網域。 在 AWS GovCloud （美國西部） 和 AWS GovCloud （美國東部） 區域中： https://login.us-gov-home.awsapps.com/directory/ *目錄 ID*/  **目錄 ID **是客戶的網域。  | 
| WS 中介裝置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 適用於 SAML 單一登入 (SSO) 的 WorkSpaces 節點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**要新增至 PCoIP 允許清單的網域和 IP 地址**  

| Category | 網域或 IP 地址 | 
| --- | --- | 
| PCoIP 工作階段閘道 (PSG) | [PCoIP 閘道伺服器](#gateway_IP) | 
| 工作階段中介裝置 (PCM) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**要新增至 DCV 允許清單的網域和 IP 地址**  

| Category | 網域或 IP 地址 | 
| --- | --- | 
| DCV 工作階段閘道 (WSG) |  [DCV 閘道伺服器](#gateway_WSP)  | 
| DCV 的 Web Access TURN 伺服器 |  [DCV 閘道伺服器](#gateway_WSP)  | 

## 運作狀態檢查伺服器
<a name="health_check"></a>

WorkSpaces 用戶端應用程式會透過連接埠 4172 和 4195 執行運作狀態檢查。這些檢查會驗證 TCP 或 UDP 流量是否從 WorkSpaces 伺服器串流到用戶端應用程式。若要順利完成這些檢查，您的防火牆政策必須允許輸出流量至下列區域運作狀態檢查伺服器的 IP 地址。


| 區域 | 運作狀態檢查主機名稱 | IP 地址 | 
| --- | --- | --- | 
| 美國東部 (維吉尼亞北部) |  IPv4： drp-iad.amazonworkspaces.com IPv6： drp-workspaces.us-east-1.api.aws  |  IPv4： 3.209.215.252 3.212.50.30 3.225.55.35 3.226.24.234 34.200.29.95 52.200.219.150 IPv6： 2600：1f18：74e9：4400：：/56  | 
| 美國西部 (奧勒岡) |  IPv4： drp-pdx.amazonworkspaces.com IPv6： drp-workspaces.us-west-2.api.aws  |  IPv4： 34.217.248.177 52.34.160.80 54.68.150.54 54.185.4.125 54.188.171.18 54.244.158.140 IPv6： 2600：1f14：278e：5700：：/56  | 
| 亞太地區 (孟買) |  IPv4： drp-bom.amazonworkspaces.com IPv6： drp-workspaces.ap-south-1.api.aws  |  IPv4： 13.127.57.82 13.234.250.73 IPv6： 2406：da1a：502：b800：：/56  | 
| 亞太地區 (首爾) |  IPv4： drp-icn.amazonworkspaces.com IPv6： drp-workspaces.ap-northeast-2.api.aws  |  IPv4： 13.124.44.166 13.124.203.105 52.78.44.253 52.79.54.102 IPv6： 2406：da12：c8c：4900：：/56  | 
| 亞太地區 (新加坡) |  IPv4： drp-sin.amazonworkspaces.com IPv6： drp-workspaces.ap-southeast-1.api.aws  |  IPv4： 3.0.212.144 18.138.99.116 18.140.252.123 52.74.175.118 IPv6： 2406：da18：991：4a00：：/56  | 
| 亞太地區 (悉尼) |  IPv4： drp-syd.amazonworkspaces.com IPv6： drp-workspaces.ap-southeast-2.api.aws  |  IPv4： 3.24.11.127 13.237.232.125 IPv6： 2406：da1c：9b5：9d00：：/56  | 
| 亞太地區 (東京) |  IPv4： drp-nrt.amazonworkspaces.com IPv6： drp-workspaces.ap-northeast-1.api.aws  |  IPv4： 18.178.102.247 54.64.174.128 IPv6： 2406：da14：785：5300：：/56  | 
| 加拿大 (中部) |  IPv4： drp-yul.amazonworkspaces.com IPv6： drp-workspaces.ca-central-1.api.aws  |  IPv4： 52.60.69.16 52.60.80.237 52.60.173.117 52.60.201.0 IPv6： 2600：1f11：759：d900：：/56  | 
| 歐洲 (法蘭克福) |  IPv4： drp-fra.amazonworkspaces.com IPv6： drp-workspaces.eu-central-1.api.aws  |  IPv4： 52.59.191.224 52.59.191.225 52.59.191.226 52.59.191.227 IPv6： 2a05：d014：b5c：500：：/56  | 
| 歐洲 (愛爾蘭) |  IPv4： drp-dub.amazonworkspaces.com IPv6： drp-workspaces.eu-west-1.api.aws  |  IPv4： 18.200.177.86 52.48.86.38 54.76.137.224 IPv6： 2a05：d018：10ca：f400：：/56  | 
| 歐洲 (倫敦) |  IPv4： drp-lhr.amazonworkspaces.com IPv6： drp-workspaces.eu-west-2.api.aws  |  IPv4： 35.176.62.54 35.177.255.44 52.56.46.102 52.56.111.36 IPv6： 2a05：d01c：263：f400：：/56  | 
| Europe (Paris) |  IPv4： drp-cdg.amazonworkspaces.com IPv6： drp-workspaces.eu-west-3.api.aws  |  IPv4： 51.17.52.90 51.17.109.231 51.16.190.43 IPv6： 2a05：d012：16：8600：：/56  | 
| 南美洲 (聖保羅) |  IPv4： drp-gru.amazonworkspaces.com IPv6： drp-workspaces.sa-east-1.api.aws  |  IPv4： 18.231.0.105 52.67.55.29 54.233.156.245 54.233.216.234 IPv6： 2600：1f1e：bbf：fa00：：/56  | 
| 非洲 (開普敦) |  IPv4： drp-cpt.amazonworkspaces.com/ IPv6： drp-workspaces.af-south-1.api.aws  |  IPv4： 13.244.128.155 13.245.205.255 13.245.216.116 IPv6： 2406：da11：685：2400：：/56  | 
| 以色列 (特拉維夫) |  IPv4： drp-tlv.amazonworkspaces.com/ IPv6： drp-workspaces.il-central-1.api.aws  |  IPv4： 51.17.52.90 51.17.109.231 51.16.190.43 IPv6： 2a05：d025：c78：fc00：：/56  | 
| AWS GovCloud （美國西部） |  IPv4： drp-pdt.amazonworkspaces.com IPv6： drp-workspaces.us-gov-west-1.api.aws  |  IPv4： 52.61.60.65 52.61.65.14 52.61.88.170 52.61.137.87 52.61.155.110 52.222.20.88 IPv6： 2600：1f12：28f：af00：：/56  | 
| AWS GovCloud （美國東部） |  IPv4： drp-osu.amazonworkspaces.com IPv6： drp-workspaces.us-gov-east-1.api.aws  |  IPv4： 18.253.251.70 18.254.0.118 IPv6： 2600：1f15：a45：3e00：：/56  | 

## PCoIP 閘道伺服器
<a name="gateway_IP"></a>

WorkSpaces 使用 PCoIP 透過連接埠 4172 將桌面工作階段串流至用戶端。對於其 PCoIP 閘道伺服器，WorkSpaces 會使用少量的 Amazon EC2 公有 IPv4 和 IPv6 地址。這可讓您針對存取 WorkSpaces 的裝置設定更精細的防火牆政策。請注意，當支援 IPv6 且可連線閘道時，WorkSpaces 用戶端會優先考慮 IPv6 連線。如果 IPv6 無法使用，則會回到 IPv4。


| 區域 | 區域代碼 | 公用 IP 地址範圍 | 
| --- | --- | --- | 
| 美國東部 (維吉尼亞北部) | us-east-1 |  3.217.228.0 - 3.217.231.255 3.235.112.0 - 3.235.119.255 52.23.61.0 - 52.23.62.255 2600：1f32：8000：：/39   | 
| 美國西部 (奧勒岡) | us-west-2 |  35.80.88.0 - 35.80.95.255 44.234.54.0 - 44.234.55.255 54.244.46.0 - 54.244.47.255 2600：1f32：4000：：/39   | 
| 亞太區域 (孟買) | ap-south-1 |  13.126.243.0 - 13.126.243.255 2406：da32：a000：：/40  | 
| 亞太區域 (首爾) | ap-northeast-2 |  3.34.37.0 - 3.34.37.255 3.34.38.0 - 3.34.39.255 13.124.247.0 - 13.124.247.255 2406：da32：2000：：/40  | 
| 亞太區域 (新加坡) | ap-southeast-1 |  18.141.152.0 - 18.141.152.255 18.141.154.0 - 18.141.155.255 52.76.127.0 - 52.76.127.255 2406：da32：8000：：/40  | 
| 亞太地區 (悉尼) | ap-southeast-2 |  3.25.43.0 - 3.25.43.255 3.25.44.0 - 3.25.45.255 54.153.254.0 - 54.153.254.255 2406：da32：c000：：/40  | 
| 亞太區域 (東京) | ap-northeast-1 |  18.180.178.0 - 18.180.178.255 18.180.180.0 - 18.180.181.255 54.250.251.0 - 54.250.251.255 2406：da32：4000：：/40  | 
| 加拿大 (中部) | ca-central-1 |  15.223.100.0 - 15.223.100.255 15.223.102.0 - 15.223.103.255 35.183.255.0 - 35.183.255.255 2600：1f32：1000：：/40  | 
| 歐洲 (法蘭克福) | eu-central-1 |  18.156.52.0 - 18.156.52.255 18.156.54.0 - 18.156.55.255 52.59.127.0 - 52.59.127.255 2a05：d032：4000：：/40  | 
| 歐洲 (愛爾蘭) | eu-west-1 |  3.249.28.0 - 3.249.29.255 52.19.124.0 - 52.19.125.255 2a05：d032：8000：：/40  | 
| 歐洲 (倫敦) | eu-west-2 |  18.132.21.0 - 18.132.21.255 18.132.22.0 - 18.132.23.255 35.176.32.0 - 35.176.32.255 2a05：d032：c000：：/40  | 
| Europe (Paris) | eu-west-3 |  51.44.204.0-51.44.207.255  | 
| 南美洲 (聖保羅) | sa-east-1 |  18.230.103.0 - 18.230.103.255 18.230.104.0 - 18.230.105.255 54.233.204.0 - 54.233.204.255 2600：1f32：e000：：/40  | 
| Africa (Cape Town) | af-south-1 |  13.246.120.0 - 13.246.123.255 2406：da32：1000：：/40  | 
| 以色列 (特拉維夫) | il-central-1 |   51.17.28.0-51.17.31.255 2a05：d032：5000：：/40  | 
| AWS GovCloud （美國西部） | us-gov-west-1 |  52.61.193.0 - 52.61.193.255 2600：1f32：2000：：/40  | 
| AWS GovCloud （美國東部） | us-gov-east-1 |  18.254.140.0 - 18.254.143.255 2600：1f32：5000：：/40  | 

## DCV 閘道伺服器
<a name="gateway_WSP"></a>

**重要**  
從 2020 年 6 月開始，WorkSpaces 會透過連接埠 4195 將 DCV WorkSpaces 的桌面工作階段串流至用戶端，而非連接埠 4172。如果您想要使用 DCV WorkSpaces，請確定連接埠 4195 開放給流量。

**注意**  
對於非 BYOL WorkSpaces 集區，不保證 IP 地址範圍。您必須允許列出 DCV 閘道網域名稱。如需詳細資訊，請參閱 [ DCV 閘道網域名稱](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#dns-wsp)。

WorkSpaces 對其 DCV 閘道伺服器使用少量的 Amazon EC2 公有 IPv4 和 IPv6 地址。這可讓您針對存取 WorkSpaces 的裝置設定更精細的防火牆政策。WorkSpaces 會針對專用 AWS Global Accelerator (AGA) 端點使用個別範圍的公有 IPv4 地址。如果您計劃為 WorkSpaces 啟用 AGA，請務必將防火牆政策設定為允許列出 IP 範圍。請注意，當支援 IPv6 且可連線閘道時，WorkSpaces 用戶端會優先考慮 IPv6 連線。如果 IPv6 無法使用，則會回到 IPv4。

如果您使用 AGA \$1 IPv6，則需要允許從範圍列出 IPv6 CIDR `GLOBALACCELERATOR`範圍。如需詳細資訊，請參閱[《Global Accelerator 開發人員指南》中的 Global Accelerator Edge 伺服器的位置和 IP 地址範圍](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-ip-ranges.html)。 *AWS *


| 區域 | 區域代碼 | 公用 IP 地址範圍 | 
| --- | --- | --- | 
| 美國東部 (維吉尼亞北部) | us-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 美國東部 (俄亥俄) | us-east-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 美國西部 (奧勒岡) | us-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亞太區域 (孟買) | ap-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亞太區域 (首爾) | ap-northeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亞太區域 (新加坡) | ap-southeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亞太地區 (悉尼) | ap-southeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亞太地區 (馬來西亞) | ap-southeast-5 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亞太區域 (東京) | ap-northeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 加拿大 (中部) | ca-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 歐洲 (法蘭克福) | eu-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 歐洲 (愛爾蘭) | eu-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 歐洲 (倫敦) | eu-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Europe (Paris) | eu-west-3 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 南美洲 (聖保羅) | sa-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Africa (Cape Town) | af-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 以色列 (特拉維夫) | il-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud （美國西部） | us-gov-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud （美國東部） | us-gov-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 

## DCV 閘道網域名稱
<a name="dns-wsp"></a>

下表列出 DCV WorkSpace 閘道網域名稱。這些網域必須是可聯絡的，WorkSpaces 用戶端應用程式才能存取 WorkSpace DCV 服務。


| 區域 | 網域 | 
| --- | --- | 
| 美國東部 (維吉尼亞北部) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 美國西部 (奧勒岡) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 亞太地區 (孟買) | \$1.prod.ap-south-1.highlander.aws.a2z.com | 
| 亞太地區 (首爾) | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| 亞太地區 (新加坡) | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| 亞太地區 (悉尼) | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| 亞太地區 (東京) | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| 加拿大 (中部) | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| 歐洲 (法蘭克福) | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| 歐洲 (愛爾蘭) | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| 歐洲 (倫敦) | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| Europe (Paris) | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| 南美洲 (聖保羅) | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| 非洲 (開普敦) | \$1.prod.af-south-1.highlander.aws.a2z.com | 
| 以色列 (特拉維夫) | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| AWS GovCloud （美國西部） | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| AWS GovCloud （美國東部） | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

## 網路介面
<a name="network-interfaces"></a>

每個 WorkSpace 都具有下列網路介面：
+ 主要網路介面 (eth1) 可供連線到 VPC 內和網際網路上的資源，且用於將 WorkSpace 加入目錄。
+ 管理網路介面 (eth0) 已連線至安全 WorkSpaces 管理網路。它用於將 WorkSpace 桌面互動式串流到 WorkSpaces 用戶端，並允許 WorkSpaces 管理 WorkSpace。

WorkSpaces 會根據建立 WorkSpaces 的區域，從各種位址範圍中選取管理網路介面的 IP 地址。註冊目錄後，WorkSpaces 會測試 VPC CIDR 和 VPC 中的路由表，以判斷這些位址範圍是否會造成衝突。如果在「區域」的所有可用位址範圍中發現衝突，則會顯示錯誤訊息，且不會註冊目錄。如果在註冊目錄後變更 VPC 中的路由表，則可能導致衝突。

**警告**  
請勿修改或刪除任何附加至 WorkSpace 的網路介面。這麼做可能導致 WorkSpace 變得無法連線或失去網際網路存取權。例如，如果您已在目錄層級[啟用彈性 IP 地址的自動指派](automatic-assignment.md)，則會在 WorkSpace 啟動時將[彈性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) (來自 Amazon 提供的集區) 指派給您的 WorkSpace。但是，如果您將擁有的彈性 IP 地址與 WorkSpace 建立關聯，然後之後將該彈性 IP 地址與 WorkSpace 取消關聯，則 WorkSpace 將失去其公共 IP 地址，且不會自動從 Amazonon 提供的集區取得新的 IP 地址。  
若要將 Amazon 提供的集區中的新公用 IP 地址與 WorkSpace 建立關聯，您必須[重建 WorkSpace](rebuild-workspace.md)。如果您不想重建 WorkSpace，則必須將您擁有的另一個彈性 IP 地址與 WorkSpace 建立關聯。

### 管理介面 IP 範圍
<a name="management-ip-ranges"></a>

下表列出用於管理網路介面的 IP 地址範圍。

**注意**  
**如果您使用自帶授權 (BYOL) Windows WorkSpaces**，則不適用下表中的 IP 地址範圍。PCoIP BYOL WorkSpaces 會改為使用 54.239.224.0/20 IP 地址範圍，處理所有 AWS 區域中的管理介面流量。對於 DCV BYOL Windows WorkSpaces，54.239.224.0/20 和 10.0.0.0/8 IP 地址範圍適用於所有 AWS 區域。(除了您為 BYOL WorkSpaces 管理流量選取的 /16 CIDR 區塊以外，還會使用這些 IP 地址範圍。)
**如果您使用從公有套件建立的 DCV WorkSpaces**，除了下表所示的 PCoIP/DCV 範圍之外，IP 地址範圍 10.0.0.0/8 也適用於所有 AWS 區域的管理介面流量。


| 區域 | IP 地址範圍 | 
| --- | --- | 
| 美國東部 (維吉尼亞北部) | PCoIP/WSP：172.31.0.0/16、192.168.0.0/16、198.19.0.0/16 WSP：10.0.0.0/8 | 
| 美國西部 (奧勒岡) | PCOIPP /WSP：172.31.0.0.0/16、192.168.0.0.0/16 及 198.19.0.0/16 WSP：10.0.0.0/8 | 
| 亞太地區 (孟買) | PCoIP/WSP：192.168.0.0/16 WSP：10.0.0.0/8 | 
| 亞太地區 (首爾) | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 亞太地區 (新加坡) | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 亞太地區 (悉尼) | PCOIPP/WSP：172.31.0.0.0/16、192.168.0.0.0/16 及 198.19.0.0/16 WSP：10.0.0.0/8 | 
| 亞太地區 (東京) | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 加拿大 (中部) | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 歐洲 (法蘭克福) | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 歐洲 (愛爾蘭) | PCOIPP/WSP：172.31.0.0.0/16、192.168.0.0.0/16 及 198.19.0.0/16 WSP：10.0.0.0/8 | 
| 歐洲 (倫敦) | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| Europe (Paris) | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 南美洲 (聖保羅) | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 非洲 (開普敦) | PCoIP/WSP：172.31.0.0/16 和 198.19.0.0/16 WSP：10.0.0.0/8 | 
| 以色列 (特拉維夫) | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| AWS GovCloud （美國西部） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 和 192.169.0.0/16 | 
| AWS GovCloud （美國東部） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 

### 管理介面連接埠
<a name="management_ports"></a>

下列連接埠必須在所有 WorkSpaces 的管理網路介面上開放：
+ 連接埠 4172 上的傳入 TCP。這用於在 PCoIP 通訊協定上建立串流連線。
+ 連接埠 4172 上的傳入 UDP。這用於在 PCoIP 通訊協定上串流使用者輸入。
+ 連接埠 4489 上的傳入 TCP。這用於使用 Web 客戶端進行存取。
+ 連接埠 8200 上的傳入 TCP。這用於 WorkSpace 的管理和組態。
+ 連接埠 8201-8250 上的傳入 TCP。這些連接埠用於建立串流連線，以及 DCV 通訊協定上的串流使用者輸入。
+ 連接埠 8220 上的傳入 UDP。此連接埠用於建立串流連線，以及 DCV 通訊協定上的串流使用者輸入
+ 連接埠 8443 和 9997 上的傳出 TCP。這用於使用 Web 客戶端進行存取。
+ 連接埠 3478、4172 和 4195 上的傳出 UDP。這用於使用 Web 客戶端進行存取。
+ 連接埠 50002 和 55002 上的傳出 UDP。這是用於串流。如果您的防火牆使用具狀態篩選，則會自動開放暫時連接埠 50002 和 55002 以允許回傳通訊。如果您的防火牆使用無狀態篩選，您必須開放暫時連接埠 49152 - 65535 以允許傳回通訊。
+ 連接埠 80 上的傳出 TCP，如[管理介面 IP 範圍](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#management-ip-ranges)所定義，傳送至 IP 地址 169.254.169.254 以存取 EC2 中繼資料服務。任何指派給 WorkSpaces 的 HTTP Proxy 伺服器也必須排除 169.254.169.254。
+ 連接埠 1688 上對 IP 地址 169.254.169.250 和 169.254.169.251 的傳出 TCP，允許存取 Microsoft KMS，以便針對以公用套件為基礎的 Workspaces 進行 Windows 啟用。如果您使用自帶授權 (BYOL) Windows WorkSpaces，則必須允許存取自己的 KMS 伺服器，才能進行 Windows 啟用。
+ 連接埠 1688 上對 IP 地址 54.239.236.220 的傳出 TCP，允許存取 Microsoft KMS，以便針對 BYOL WorkSpaces 進行 Office 啟用。

  如果您是透過其中一個 WorkSpaces 公用套件使用 Office，則可供進行 Office 啟用之 Microsoft KMS 的 IP 地址會有所不同。若要判斷該 IP 地址，請尋找 WorkSpace 的管理介面 IP 地址，然後以 `64.250` 取代最後兩個八位元組。例如，如果管理介面的 IP 地址是 192.168.3.5，則是用於 Microsoft KMS Office 啟用的 IP 地址為 192.168.64.250。
+ 當 WorkSpace 主機設定為使用代理伺服器時，將 TCP 傳出至 DCV WorkSpaces 的 IP 地址 127.0.0.2。
+ 源自迴路位址 127.0.01 的通訊。

在一般情況下，WorkSpaces 服務會為您的 WorkSpaces 設定這些連接埠。如果在會封鎖任何這些連接埠的 WorkSpace 上安裝任何安全或防火牆軟體，則 WorkSpace 可能會無法正確運作或無法連線。

### 主要介面連接埠
<a name="primary_ports"></a>

無論您擁有哪種類型的目錄，都必須在所有 WorkSpaces 的主要網路介面上開放下列連接埠：
+ 對於網際網路連線能力，下列連接埠必須開放對所有目的地的傳出和來自 WorkSpaces VPC 的傳入。如果您希望這些連接埠能存取網際網路，則需要手動將這些連接埠新增至 WorkSpaces 的安全群組。
  + TCP 80 (HTTP)
  + TCP 443 (HTTPS)
+ 若要與目錄控制器通訊，必須在 WorkSpaces VPC 與目錄控制器之間開放下列連接埠。對於 Simple AD 目錄，由 建立的安全群組 Directory Service 將正確設定這些連接埠。對於 AD Connector 目錄，您可能需要調整 VPC 的預設安全群組，以開放這些連接埠。
  + TCP/UDP 53 - DNS
  + TCP/UDP 88 - Kerberos 身分驗證
  + UDP 123 - NTP
  + TCP 135 - RPC
  + UDP 137-138 - Netlogon
  + TCP 139 - Netlogon
  + TCP/UDP 389 - LDAP
  + TCP/UDP 445 - SMB
  + TCP/UDP 636 - LDAPS (LDAP over TLS/SSL)
  + TCP 1024-65535 - RPC 動態連接埠
  + TTCP 3268-3269 - 全球目錄

  如果在會封鎖任何這些連接埠的 WorkSpace 上安裝任何安全或防火牆軟體，則 WorkSpace 可能會無法正確運作或無法連線。

## 各區域的 IP 地址和連接埠需求
<a name="ip-address-regions"></a>

### 美國東部 (維吉尼亞北部)
<a name="us-east"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.us-east-1.amazonaws.com   | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.us-east-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 工作階段前智慧卡身分驗證端點 | https://smartcard.us-east-1.signin.aws | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： https://workspaces.us-east-1.amazonaws.com  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-iad.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| DCV 閘道網域名稱 | \$1.prod.us-east-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 美國西部 (奧勒岡)
<a name="us-west"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.us-west-2.amazonaws.com   | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.us-west-2.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 工作階段前智慧卡身分驗證端點 | https://smartcard.us-west-2.signin.aws | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-pdx.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 34.223.96.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.us-west-2.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亞太地區 (孟買)
<a name="ap-south"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.ap-south-1.amazonaws.com   | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.ap-south-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | Web Access 目前不適用於亞太 (孟買) 區域 | 
| 運作狀態檢查主機名稱 | drp-bom.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 | 13.126.243.0 - 13.126.243.255 | 
| DCV 閘道伺服器 IP 地址範圍 | 65.1.156.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.ap-south-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亞太地區 (首爾)
<a name="ap-northeast-2"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 裝置指標 (適用於 1.0\$1 和 2.0\$1 WorkSpaces 用戶端應用程式) | https://device-metrics-us-2.amazon.com/ | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.ap-northeast-2.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.ap-northeast-2.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-icn.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 3.35.160.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亞太地區 (新加坡)
<a name="ap-southeast-1"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.ap-southeast-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域：https://ws-client-service.ap-southeast-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-sin.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 13.212.132.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亞太地區 (悉尼)
<a name="ap-southeast-2"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.ap-southeast-2.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.ap-southeast-2.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 工作階段前智慧卡身分驗證端點 | https://smartcard.ap-southeast-2.signin.aws | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-syd.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 3.25.248.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亞太地區 (東京)
<a name="ap-northeast-1"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.ap-northeast-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.ap-northeast-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 工作階段前智慧卡身分驗證端點 | https://smartcard.ap-northeast-1.signin.aws | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-nrt.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 3.114.164.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 加拿大 (中部)
<a name="ca-central-1"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.ca-central-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.ca-central-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-yul.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 3.97.20.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 歐洲 (法蘭克福)
<a name="eu-central-1"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.eu-central-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.eu-central-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-fra.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 18.192.216.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 歐洲 (愛爾蘭)
<a name="eu-west-1"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.eu-west-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.eu-west-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 工作階段前智慧卡身分驗證端點 | https://smartcard.eu-west-1.signin.aws | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-dub.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 3.248.176.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 歐洲 (倫敦)
<a name="eu-west-2"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.eu-west-2.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.eu-west-2.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-lhr.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 18.134.68.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Europe (Paris)
<a name="eu-west-3"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https：//https://opfcaptcha-prod.s3.amazonaws.com/Client  | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.eu-west-3.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.eu-west-3.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-cdg.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 |  51.17.72.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 南美洲 (聖保羅)
<a name="sa-east-1"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.sa-east-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.sa-east-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-gru.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 15.228.64.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 非洲 (開普敦)
<a name="sa-east-1"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.af-south-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.af-south-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-cpt.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 15.228.64.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.af-south-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 以色列 (特拉維夫)
<a name="il-central-1"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://skylight-client-ds.il-central-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.il-central-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://<directory id>.awsapps.com/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 適用於 PCoIP 的 Web Access TURN 伺服器 | 伺服器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-tlv.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 51.17.72.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud （美國西部） 區域
<a name="govcloud-west-region"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： hhttps://skylight-client-ds.us-gov-west-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.us-gov-west-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 工作階段前智慧卡身分驗證端點 | https://smartcard.signin.amazonaws-us-gov.com | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://login.us-gov-home.awsapps.com/directory/<directory id>/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-pdt.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道網域名稱 | \$1.prod.us-gov-west-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud （美國東部） 區域
<a name="govcloud-east-region"></a>


**要新增至允許清單的網域和 IP 地址**  

| Category | 詳細資訊 | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 用戶端自動更新 |  https://s3.amazonaws.com/workspaces-client-updates/prod/osu/windows/WorkSpacesAppCast.xml  | 
| 連線能力檢查 |  https://connectivity.amazonworkspaces.com/  | 
| 用戶端指標 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： hhttps://skylight-client-ds.us-gov-east-1.amazonaws.com  | 
| 動態傳訊服務 (適用於3.0\$1 WorkSpaces 用戶端應用程式) |  網域： https://ws-client-service.us-gov-east-1.amazonaws.com  | 
| 目錄設定 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日誌服務  | https://fls-na.amazon.com/ | 
| 運作狀態檢查 (DRP) 伺服器 | [運作狀態檢查伺服器](#health_check) | 
| 工作階段前智慧卡身分驗證端點 | https://smartcard.signin.amazonaws-us-gov.com | 
| 註冊相依性 (適用於 Web Access 和 Teradici PCoIP 零客戶端) | https://s3.amazonaws.com | 
| 使用者登入頁面 | https://login.us-gov-home.awsapps.com/directory/<directory id>/ (其中 <directory id> 是客戶的網域)  | 
| WS 中介裝置 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端點 |  網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 工作階段中介裝置 (PCM) | 網域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 運作狀態檢查主機名稱 | drp-osu.amazonworkspaces.com | 
| 運作狀態檢查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 閘道伺服器公用 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 閘道伺服器 IP 地址範圍 | 18.254.148.0/22 | 
| DCV 閘道網域名稱 | \$1.prod.us-gov-east-1.highlander.aws.a2z.com | 
| 管理介面 IP 地址範圍 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

# WorkSpaces Personal 的用戶端網路需求
<a name="workspaces-network-requirements"></a>

您的 WorkSpaces 使用者可以使用支援裝置的用戶端應用程式來連線至他們的 WorkSpaces。或者，他們也可使用 Web 瀏覽器來連線至支援此存取形式的 WorkSpaces。如需支援 Web 瀏覽器存取的 WorkSpaces 清單，請參閱「哪些 Amazon WorkSpaces 套件支援 Web 存取？」 (出自[用戶端存取、Web 存取和使用者體驗](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience))。

**注意**  
Web 瀏覽器無法用於連線至 Amazon Linux WorkSpaces。

**重要**  
自 2020 年 10 月 1 日起，客戶無法再使用 Amazon WorkSpaces Web Access 用戶端來連線到 Windows 7 自訂 WorkSpaces 或 Windows 7 自帶授權 (BYOL) WorkSpaces。

若要為使用者提供 WorkSpaces 的良好體驗，請確認其用戶端裝置符合下列網路需求：
+ 用戶端裝置必須具有寬頻網際網路連線。我們建議您為同時觀看 480p 視訊視窗的每位使用者規劃至少 1 Mbps。視使用者對視訊解析度的品質需求而定，可能需要更多頻寬。
+ 用戶端裝置所連線的網路，以及用戶端裝置上的任何防火牆，都必須對各種 AWS 服務的 IP 地址範圍開啟特定連接埠。如需詳細資訊，請參閱[WorkSpaces Personal 的 IP 位址和連接埠要求](workspaces-port-requirements.md)。
+ 為了獲得最佳的 PCoIP 效能，從用戶端網路到 WorkSpaces 所在區域的往返時間 (RTT) 應小於 100 毫秒。如果 RTT 介於 100 毫秒到 200 毫秒之間，則使用者可以存取 WorkSpace，但效能會受到影響。如果 RTT 介於 200 毫秒至 375 毫秒之間，則效能會降低。如果 RTT 超過 375 毫秒，則會終止 WorkSpaces 用戶端連線。

  為了獲得最佳 DCV 效能，從用戶端網路到 WorkSpaces 所在區域的 RTT 應小於 250 毫秒。如果 RTT 介於 250 毫秒到 400 毫秒之間，則使用者可以存取 WorkSpace，但效能會降低。

  若要從您所在位置檢查各種 AWS 區域的 RTT，請使用 [Amazon WorkSpaces 連線運作狀態檢查](https://clients.amazonworkspaces.com/Health.html)。
+ 若要搭配 DCV 使用網路攝影機，我們建議每秒至少上傳 1.7 MB 的頻寬。
+ 如果使用者將透過虛擬私有網路 (VPN) 存取其 WorkSpaces，則連線必須支援至少 1200 個位元組的最大傳輸單位 (MTU)。
**注意**  
您無法透過連線至您虛擬私有雲端 (VPC) 的 VPN 來存取 WorkSpaces。若要使用 VPN 存取 WorkSpaces，則需要網際網路連線 (透過 VPN 的公用 IP 地址)，如 [WorkSpaces Personal 的 IP 位址和連接埠要求](workspaces-port-requirements.md) 所述。
+ 用戶端需要 HTTPS 存取由服務和 Amazon Simple Storage Service (Amazon S3) 託管的 WorkSpaces 資源。用戶端不支援應用程式層級的 Proxy 重新導向。需有 HTTPS 存取權，使用者才能成功完成註冊並存取其 WorkSpaces。
+ 若要允許從 PCoIP 零客戶端裝置存取，您必須使用 WorkSpaces 的 PCoIP 通訊協定套件。您還必須在 Teradici 中啟用網路時間協定 (NTP)。如需詳細資訊，請參閱[為 WorkSpaces Personal 設定 PCoIP 零用戶端](set-up-pcoip-zero-client.md)。

您可以驗證用戶端裝置是否符合網路需求，如下所示。

## 驗證 3.0\$1 用戶端的網路需求
<a name="verify-requirements-new-clients"></a>

1. 開啟您的 WorkSpaces 用戶端。如果這是您第一次開啟用戶端，系統會提示您輸入在邀請電子郵件中收到的註冊碼。

1. 根據您使用的用戶端，執行下列其中一項操作。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-network-requirements.html)

   用戶端應用程式會測試網路連線、連接埠和往返時間，並報告這些測試的結果。

1. 關閉**網路**對話方塊以返回登入頁面。

## 驗證 1.0\$1 和 2.0\$1 用戶端的網路需求
<a name="verify-requirements-legacy-clients"></a>

1. 開啟您的 WorkSpaces 用戶端。如果這是您第一次開啟用戶端，系統會提示您輸入在邀請電子郵件中收到的註冊碼。

1. 選擇用戶端應用程式右下角的**網路**。用戶端應用程式會測試網路連線、連接埠和往返時間，並報告這些測試的結果。

1. 選擇**關閉**以返回登入頁面。

# 限制對 WorkSpaces Personal 受信任裝置的存取
<a name="trusted-devices"></a>

根據預設，使用者可以從連線到網際網路的任何支援裝置存取其 WorkSpaces。如果貴公司限制對信任裝置 (也稱為受管裝置) 的公司資料存取，您可以使用有效的憑證來限制 WorkSpaces 對信任裝置的存取。

**注意**  
此功能目前僅適用於透過 Directory Service 包含 Simple AD、AD Connector 和 AWS Managed Microsoft AD 目錄管理 WorkSpaces Personal 目錄的情況。

啟用此功能時，WorkSpaces 會使用憑證型驗證來判斷裝置是否受信任。如果 WorkSpaces 用戶端應用程式無法驗證裝置是否受信任，則會封鎖登入或從裝置重新連線的嘗試。

對於每個目錄，您最多可以匯入兩個根憑證。如果您匯入兩個根憑證，WorkSpaces 會對用戶端出示兩者，而用戶端會尋找第一個鏈結到任一根憑證的有效相符憑證。

**支援的用戶端**
+ Android，在 Android 或與 Android 系統相容的 Chrome 作業系統上執行
+ macOS
+ Windows

**重要**  
下列用戶端不支援此功能：  
適用於 Linux 或 iPad 的 WorkSpaces 用戶端應用程式
第三方用戶端，包括但不限於 Terdici PCoIP、RDP 用戶端和遠端桌面應用程式。

**注意**  
當您啟用特定用戶端的存取權時，請務必封鎖您不需要的其他裝置類型的存取權。如需如何執行此操作的詳細資訊，請參閱下面的步驟 3.7。

## 步驟 1：建立憑證
<a name="create-certificate"></a>

此功能需要兩種類型的憑證：由內部憑證授權機構 (CA) 產生的根憑證，以及鏈結至根憑證的用戶端憑證。

**要求**
+ 根憑證必須是 CRT、CERT 或 PEM 格式的 Base64 編碼憑證檔案。
+ 根憑證必須符合下列規則運算式模式，也就是說，除了最後一行以外，每一個編碼行的長度都必須剛好是 64 個字元：`-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`。
+ 裝置憑證必須包含通用名稱。
+ 裝置憑證必須包含下列副檔名：`Key Usage: Digital Signature` 和 `Enhanced Key Usage: Client Authentication`。
+ 從裝置憑證到信任的根憑證授權機構的鏈結中的所有憑證都必須安裝在用戶端裝置上。
+ 憑證鏈結支援的長度上限為 4。
+ WorkSpaces 目前不支援用戶端憑證的裝置撤銷機制，例如憑證撤銷清單 (CRL) 或線上憑證狀態通訊協定 (OCSP)。
+ 使用強大的加密演算法。我們建議使用 SHA256 結合 RSA、SHA256 結合 ECDSA、SHA384 結合 ECDSA 或 SHA512 結合 ECDSA。
+ 對於 macOS，如果裝置憑證位於系統鑰匙圈中，建議您授權 WorkSpaces 用戶端應用程式存取這些憑證。否則，使用者必須在登入或重新連線時輸入鑰匙圈憑證。

## 步驟 2：將用戶端憑證部署到信任的裝置
<a name="deploy-certificate"></a>

在使用者的信任裝置上，您必須安裝憑證套件，其中包含從裝置憑證到信任的根憑證授權機構的鏈結中的所有憑證。您可以使用偏好的解決方案將憑證安裝到用戶端裝置機群；例如，系統中心組態管理員 (SCCM) 或行動裝置管理 (MDM)。請注意，SCCM 和 MDM 可以選擇性地執行安全狀態評估，以判斷裝置是否符合您的公司政策以存取 WorkSpaces。

WorkSpaces 用戶端應用程式會搜尋憑證，如下所示：
+ Android - 移至**設定**，選擇**安全性和位置**、**憑證**，然後選擇**從 SD 卡安裝**。
+ Android 相容的 Chrome 作業系統 - 開啟 Android 設定，選擇**安全性和位置**、**憑證**，然後選擇**從 SD 卡安裝**。
+ macOS - 在鑰匙圈中搜尋用戶端憑證。
+ Windows - 在使用者和根憑證存放區中搜尋用戶端憑證。

## 步驟 3：設定限制
<a name="configure-restriction"></a>

在信任的裝置上部署用戶端憑證之後，您可以在目錄層級啟用限制存取。這需要 WorkSpaces 用戶端應用程式在允許使用者登入 WorkSpace 之前，先驗證裝置上的憑證。

**若要設定限制**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取目錄，然後依序選擇**動作**、**更新詳細資訊**。

1. 展開**存取控制選項**。

1. **在每種裝置類型下，指定哪些裝置可以存取 WorkSpaces**，選擇**受信任裝置**。

1. 匯入最多兩個根憑證。針對每個根憑證，執行下列操作：

   1. 選擇**匯入**。

   1. 將憑證主體複製到表單。

   1. 選擇**匯入**。

1. 指定其他類型的裝置是否可以存取 WorkSpaces。

   1. 向下捲動至**其他平台**區段。根據預設，WorkSpaces Linux 用戶端已停用，使用者可以從其 iOS 裝置、Android 裝置、Web Access、Chromebooks 和 PCoIP 零用戶端裝置存取其 WorkSpaces。

   1. 選取要啟用的裝置類型，並清除要停用的裝置類型。

   1. 若要封鎖來自所有所選裝置類型的存取，請選擇**封鎖**。

1. 選擇**更新並結束**。

# 將 SAML 2.0 與 WorkSpaces Personal 整合
<a name="amazon-workspaces-saml"></a>

**注意**  
只有在透過 Directory Service 包含 Simple AD、AD Connector 和 AWS Managed Microsoft AD 目錄管理 WorkSpaces Personal 目錄時，才能使用 SAML 2.0。此功能不適用於由 Amazon WorkSpaces 管理的目錄，這些目錄通常使用 IAM Identity Center 進行使用者身分驗證，而非 SAML 2.0 聯合身分。

將 SAML 2.0 與您的 WorkSpaces 進行桌面工作階段驗證整合，可讓使用者透過其預設網頁瀏覽器使用其現有的 SAML 2.0 身分提供者 (IdP) 認證和驗證方法。藉由使用 IdP 來驗證 WorkSpaces 的使用者，您可運用 IdP 功能 (例如多因素驗證和關聯式存取政策) 來保護 WorkSpaces。

## 身分驗證工作流程
<a name="authentication-workflow"></a>

下列各節說明 WorkSpaces 用戶端應用程式、WorkSWorkSpaces Web Access 及 SAML 2.0 身分提供者 (IdP) 所起始的驗證工作流程：
+ 由 IdP 初始化流程時。例如，當使用者在網頁瀏覽器的 IdP 使用者入口網站中選擇應用程式時。
+ 由 WorkSpaces 用戶端起始流程時。例如，當使用者開啟用戶端應用程式並登入時。
+ 流程由 WorkSpaces Web Access 啟動時。例如，當使用者在瀏覽器中開啟 Web 存取並登入時。

在這些範例中，使用者輸入 `user@example.com` 以登入 IdP。IdP 具有針對 WorkSpaces 目錄設定的 SAML 2.0 服務提供者應用程式，而且使用者已獲得 WorkSpaces SAML 2.0 應用程式的授權。使用者會在啟用 SAML 2.0 驗證的目錄中，針對其使用者名稱建立 WorkSpace (`user`)。此外，使用者在其裝置上安裝 [WorkSpaces 用戶端應用程式](https://clients.amazonworkspaces.com/)，或使用者在網頁瀏覽器中使用 Web Access。

**身分提供者 (IdP) 起始的流程搭配用戶端應用程式**

IdP 起始的流程可讓使用者在其裝置上自動註冊 WorkSpaces 用戶端應用程式，而不必輸入 WorkSpaces 註冊碼。使用者不會使用 IDP 起始的流程登入其 WorkSpaces。WorkSpaces 驗證必須源自用戶端應用程式。

1. 使用者可使用其網頁瀏覽器來登入 IdP。

1. 登入 IdP 後，使用者會從 IdP 使用者入口網站選擇 WorkSpaces 應用程式。

1. 使用者會在瀏覽器中重新導向至此頁面，且 WorkSpaces 用戶端應用程式會自動開啟。  
![\[開啟 WorkSpaces 應用程式重新導向頁面\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 用戶端應用程式現已註冊，使用者可按一下**繼續登入 WorkSpaces** 來繼續登入。

**身分提供者 (IdP) 起始的流程搭配 Web Access**

IdP 起始的 Web Access 流程可讓使用者透過網頁瀏覽器自動註冊其 WorkSpaces，而不必輸入 WorkSpaces 註冊碼。使用者不會使用 IDP 起始的流程登入其 WorkSpaces。WorkSpaces 驗證必須源自 Web Access。

1. 使用者可使用其網頁瀏覽器來登入 IdP。

1. 登入 IdP 後，使用者會從 IdP 使用者入口網站按一下 WorkSpaces 應用程式。

1. 使用者會在瀏覽器中重新導向至此頁面。若要開啟 WorkSpaces，請**在瀏覽器中選擇 Amazon WorkSpaces**。  
![\[開啟 WorkSpaces 應用程式重新導向頁面\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 用戶端應用程式現已註冊，使用者可透過 WorkSpaces Web Access 繼續登入。

**WorkSpaces 用戶端起始的流程**

用戶端起始的流程可讓使用者在登入 IdP 後登入其 WorkSpaces。

1. 使用者啟動 WorkSpaces 用戶端應用程式 (如果尚未執行)，然後按一下**繼續登入 WorkSpaces**。

1. 系統會將使用者重新導向至其預設網頁瀏覽器，以登入 IdP。如果使用者已在其瀏覽器中登入 IdP，則不需要再次登入，而且會略過此步驟。

1. 登入 IdP 後，使用者會被重新導向至快顯視窗。遵循提示，允許您的網頁瀏覽器開啟用戶端應用程式。  
![\[開啟用戶端應用程式提示。\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/saml-open-client-app.png)

1. 使用者已被重新導向至 WorkSpaces 用戶端應用程式，以完成其 WorkSpace 登入。WorkSpaces 使用者名稱會自動從 IdP SAML 2.0 聲明填入。當您使用[憑證型驗證 (CBA)](certificate-based-authentication.md) 時，使用者會自動登入。

1. 使用者已登入其 WorkSpace。

**WorkSpaces Web 存取起始的流程**

Web Access 起始的流程可讓使用者在登入 IdP 後登入其 WorkSpaces。

1. 使用者會啟動 WorkSpaces Web Access，然後選擇**登入**。

1. 在相同的瀏覽器索引標籤中，使用者會重新導向至 IdP 入口網站。如果使用者已在其瀏覽器中登入 IdP，則不需要再次登入，而且可略過此步驟。

1. 登入 IdP 後，使用者會在瀏覽器中重新導向至此頁面，然後按一下**登入 WorkSpaces**。

1. 使用者已被重新導向至 WorkSpaces 用戶端應用程式，以完成其 WorkSpace 登入。WorkSpaces 使用者名稱會自動從 IdP SAML 2.0 聲明填入。當您使用[憑證型驗證 (CBA)](certificate-based-authentication.md) 時，使用者會自動登入。

1. 使用者已登入其 WorkSpace。

# 為 WorkSpaces Personal 設定 SAML 2.0
<a name="setting-up-saml"></a>

使用 SAML 2.0 設定聯合身分，讓使用者能使用其 SAML 2.0 身分提供者 (IdP) 憑證和驗證方法進行 WorkSpaces 用戶端應用程式註冊及登入 WorkSpaces。若要使用 SAML 2.0 設定聯合身分，請使用 IAM 角色和轉送狀態 URL 來設定 IdP 並啟用 AWS。這會授予聯合身分使用者存取 WorkSpaces 目錄的權限。轉送狀態是 WorkSpaces 目錄端點，使用者在成功登入 AWS後會轉送至該端點。

**Topics**
+ [要求](#setting-up-saml-requirements)
+ [先決條件](#setting-up-saml-prerequisites)
+ [步驟 1：在 IAM 中建立 SAML AWS 身分提供者](#create-saml-identity-provider)
+ [步驟 2：建立 SAML 2.0 聯合 IAM 角色](#create-saml-iam-role)
+ [步驟 3：為 IAM 角色嵌入內嵌政策](#embed-inline-policy)
+ [步驟 4：設定 SAML 2.0 身分提供者](#configure-saml-id-provider)
+ [步驟 5：建立 SAML 身分驗證回應聲明](#create-assertions-saml-auth)
+ [步驟 6：設定聯合的轉送狀態](#configure-relay-state)
+ [步驟 7：在 WorkSpaces 目錄上啟用與 SAML 2.0 的整合](#enable-integration-saml)

## 要求
<a name="setting-up-saml-requirements"></a>
+ SAML 2.0 驗證適用於下列區域：
  + 美國東部 (維吉尼亞北部) 區域
  + 美國西部 (奧勒岡) 區域
  + 非洲 (開普敦) 區域
  + 亞太 (孟買) 區域
  + 亞太 (首爾) 區域
  + 亞太區域 (新加坡) 區域
  + 亞太 (雪梨) 區域
  + 亞太 (東京) 區域
  + 加拿大 (中部) 區域
  + 歐洲 (法蘭克福) 區域
  + 歐洲 (愛爾蘭) 區域
  + 歐洲 (倫敦) 區域
  + 南美洲 (聖保羅) 區域
  + 以色列 (特拉維夫) 區域
  + AWS GovCloud （美國西部）
  + AWS GovCloud （美國東部）
+ 若要搭配 WorkSpaces 使用 SAML 2.0 驗證，IdP 必須支援具有深層連結目標資源或轉送狀態端點 URL 的未經要求 IdP 起始 SSO。IdP 的範例包括 ADFS、Azure AD、Duo 單一登入、Okta、PingFederate 和 PingOne。如需詳細資訊，請參閱 IdP 文件。
+ SAML 2.0 驗證可以在使用 Simple AD 啟動的 WorkSpaces 中運作，但不建議這麼做，因為 Simple AD 並未與 SAML 2.0 IdP 整合。
+ 下列 WorkSpaces 用戶端支援 SAML 2.0 驗證。其他用戶端版本不支援 SAML 2.0 驗證。開啟 Amazon WorkSpaces [用戶端下載](https://clients.amazonworkspaces.com/)以尋找最新版本：
  + Windows 用戶端應用程式 5.1.0.3029 版或更新版本
  + macOS 用戶端 5.x 版或更新版本
  + 適用於 Ubuntu 22.04 2024.1 版或更新版本、Ubuntu 20.04 24.1 版或更新版本的 Linux 用戶端
  + Web Access

  除非啟用後援，否則其他用戶端版本將無法連線至已啟用 SAML 2.0 驗證的 WorkSpaces。如需詳細資訊，請參閱[在 WorkSpaces 目錄上啟用 SAML 2.0 驗證](https://d1.awsstatic.com/workspaces-saml-guide.pdf)。

如需使用 ADFS、Azure AD、Duo 單一登入、Okta、OneLogin、PingFederate 和 PingOne for Enterprise 來整合 SAML 2.0 與 WorkSpaces 的逐步指示，請參閱 [Amazon WorkSpaces SAML 驗證實作指南](https://d1.awsstatic.com/workspaces-saml-guide.pdf)。

## 先決條件
<a name="setting-up-saml-prerequisites"></a>

在設定對 WorkSpaces 目錄的 SAML 2.0 身分提供者 (IdP) 連線之前，請先完成下列先決條件。

1. 設定您的 IdP，以整合與 WorkSpaces 目錄搭配使用的 Microsoft Active Directory 中的使用者身分。對於具有 WorkSpace 的使用者，Active Directory 使用者的 **sAMAccountName** 和 **email** 屬性與 SAML 宣告值必須相符，使用者才能使用 IdP 登入 WorkSpaces。如需有關整合 Active Directory 與 IdP 的詳細資訊，請參閱您的 IdP 文件。

1. 設定 IdP 來與 AWS建立信任關係
   + 如需設定聯合的詳細資訊，請參閱[將第三方 SAML 解決方案供應商與 整合 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html)。 AWS 相關範例包括 IdP 與 IAM AWS 整合，以存取 AWS 管理主控台。
   + 使用 IdP 來產生並下載聯合中繼資料文件，以將您的組織描述為 IdP。這份簽章的 XML 文件是用來建立轉送方信任關係。請將這個檔案儲存到日後可從 IAM 主控台存取更新版本的位置。

1. 使用 WorkSpaces 管理主控台為 WorkSpaces 建立或註冊目錄。如需詳細資訊，請參閱[管理 WorkSpaces 的目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html)。下列目錄類型支援 WorkSpaces 的 SAML 2.0 驗證：
   + AD Connector
   + AWS Managed Microsoft AD

1. 為可使用支援的目錄類型登入 IdP 的使用者建立 WorkSpace。您可使用 WorkSpace 管理主控台、 AWS CLI或 WorkSpaces API 來建立 WorkSpace。如需詳細資訊，請參閱[使用 WorkSpaces 啟動虛擬桌面](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)。

## 步驟 1：在 IAM 中建立 SAML AWS 身分提供者
<a name="create-saml-identity-provider"></a>

首先，在 IAM AWS 中建立 SAML IdP。此 IdP 使用組織中 IdP 軟體產生的中繼資料文件來定義組織的 IdP 對AWS 信任關係。如需詳細資訊，請參閱[建立和管理 SAML 身分提供者 (Amazon Web Services 管理主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)。如需使用 in AWS GovCloud （美國西部） 和 AWS GovCloud （美國東部） 中 SAML IdPs 的詳細資訊，請參閱 [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html)。

## 步驟 2：建立 SAML 2.0 聯合 IAM 角色
<a name="create-saml-iam-role"></a>

接下來，建立 SAML 2.0 聯合 IAM 角色。此步驟會建立 IAM 與組織 IdP 之間的信任關係，以便將您的 IdP 識別為聯合信任的實體。

為 SAML IdP 建立 IAM 角色

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇 **角色**、**建立角色**。

1.  針對 **Role type (角色類型)**，選擇 **SAML 2.0 federation (SAML 2.0 聯合)**。

1.  針對 **SAML 提供者**，選取您建立的 SAML IdP。
**重要**  
請勿選擇兩種 SAML 2.0 存取方法 (**僅允許以程式設計的方式存取**或**允許以程式設計方式存取和 Amazon Web Services 管理主控台存取**) 的任何一種。

1. 針對 **Attribute (屬性)**，選擇 **SAML:sub\$1type**。

1. 針對**值**輸入 `persistent`。此值會將角色存取限制為 SAML 使用者串流請求，其中包括 SAML 主旨類型聲明與持久值。如果 SAML:sub\$1type 為持久性，您的 IdP 就會針對來自特定使用者之所有 SAML 請求中的 NameID 元素，傳送相同的唯一值。如需 SAML：sub\$1type 聲明的詳細資訊，請參閱[使用 SAML AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring) **型聯合進行 API 存取中的在 SAML 型聯合中唯一識別使用者**一節。

1. 檢閱您的 SAML 2.0 信任資訊，確認信任實體和條件無誤，然後選擇 **Next: Permissions (下一步：許可)**。

1. 在 **Attach permissions policies (連接許可政策)** 頁面上，選擇 **Next: Tags (下一步：標籤)**。

1. (選用) 為您要新增的每個標籤輸入索引鍵和值。如需詳細資訊，請參閱[標記 IAM 使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

1. 完成後，請選擇 **Next: Review (下一步：檢閱)**。您稍後可為此角色建立並嵌入內嵌政策。

1. 針對**角色名稱**，輸入可識別此角色用途的名稱。因為有多個實體可能會參考此角色，所以建立角色後，您就無法編輯其名稱。

1. (選用) 在 **Role description (角色說明)** 中，輸入新角色的說明。

1. 檢閱角色詳細資訊，並選擇 **Create role (建立角色)**。

1. 將 sts:TagSession 許可新增至新 IAM 角色的信任政策。如需詳細資訊，請參閱[在 AWS STS中傳入工作階段標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。在新 IAM 角色的詳細資訊中，選擇**信任關係**索引標籤，然後選擇**編輯信任關係**。當編輯信任關係政策編輯器開啟時，新增 **sts:TagSession\$1** 許可，如下所示：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:aud": "https://signin.aws.amazon.com/saml"
                   }
               }
           }
       ]
   }
   ```

------

以您在步驟 1 建立的 SAML IdP 名稱取代 `IDENTITY-PROVIDER`。然後選擇**更新信任政策**。

## 步驟 3：為 IAM 角色嵌入內嵌政策
<a name="embed-inline-policy"></a>

接下來，為您建立的角色嵌入內嵌 IAM 政策。嵌入內嵌政策時，該政策中的許可不得意外附加至錯誤的主體實體。內嵌政策可讓聯合身分使用者存取 WorkSpaces 目錄。

**重要**  
`workspaces:Stream` 動作不支援 AWS 根據來源 IP 管理 存取權的 IAM 政策。若要管理 WorkSpaces 的 IP 存取控制，請使用 [IP 存取控制群組](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html)。此外，使用 SAML 2.0 身分驗證時，如果您的 SAML 2.0 IdP 提供 IP 存取控制政策，您可以使用這些政策。

1. 在您建立的 IAM 角色的詳細資訊中，選擇**許可**索引標籤，然後將必要的許可新增至角色的許可政策。**建立政策精靈**將會啟動。

1. 在**建立政策**中，選擇 **JSON** 索引標籤。

1. 將下列 JSON 政策複製並貼入 JSON 視窗。然後，輸入 AWS 區域代碼、帳戶 ID 和目錄 ID 來修改資源。在下列政策中，`"Action": "workspaces:Stream"` 是為 WorkSpaces 使用者提供連線至 WorkSpaces 目錄中其桌面工作階段之許可的動作。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "workspaces:Stream",
               "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
               "Condition": {
                   "StringEquals": {
                       "workspaces:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   `REGION-CODE` 將 取代為 WorkSpaces 目錄所在的 AWS 區域。以 WorkSpaces 目錄 ID 取代 `DIRECTORY-ID`，您可以在 WorkSpaces 管理主控台中找到該目錄 ID。對於 in AWS GovCloud （美國西部） 或 AWS GovCloud （美國東部） 中的資源，請使用下列格式做為 ARN：`arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`。

1. 完成時，請選擇 **Review policy (檢閱政策)**。[政策檢查工具](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)會回報任何語法錯誤。

## 步驟 4：設定 SAML 2.0 身分提供者
<a name="configure-saml-id-provider"></a>

接下來，根據您的 SAML 2.0 IdP，您可能需要手動更新 IdP 以信任 AWS 作為服務提供者，方法是將`saml-metadata.xml`檔案上傳至 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml)：//IdP 。此步驟會更新您的 IdP 中繼資料。某些 IdP 可能已經設定更新。如果是這種情況，請繼續下一個步驟。

如果您的 IdP 尚未設定這項更新，請檢閱 IdP 提供的文件以取得中繼資料更新方式的資訊。有些供應商會提供輸入 URL 的選項，由 IdP 為您取得並安裝檔案。另一些提供者則要求您從該 URL 處下載檔案，然後將其做為本機檔案提供。

**重要**  
此時，您也可以授權 IdP 中的使用者存取您在 IdP 中設定的 WorkSpaces 應用程式。系統不會自動為經過授權可存取您目錄之 WorkSpaces 應用程式的使用者建立 WorkSpace。同樣地，已為其建立 WorkSpace 的使用者不會自動獲得存取 WorkSpaces 應用程式的授權。若要使用 SAML 2.0 驗證成功連線至 WorkSpace，使用者必須獲得 IdP 的授權，且必須已建立 WorkSpace。

**注意**  
如果您的最終使用者在使用相同的 SAML 2.0 身分提供者 (IdP) 時，經常在多個不同的 WorkSpaces 使用者身分之間切換，請確保您的 IdP 設定為在每次登入嘗試時強制身分驗證 (ForceAuthn)。這可防止 IdP 重複使用現有的 SSO 工作階段，否則可能會在使用者切換到另一個 WorkSpace 時導致身分驗證失敗。如需如何啟用 ForceAuthn （或同等設定） 設定的指引，請參閱 IdP 文件。

## 步驟 5：建立 SAML 身分驗證回應聲明
<a name="create-assertions-saml-auth"></a>

接著，在身分驗證回應中，將 IdP 傳送至 的資訊 AWS 設定為 SAML 屬性。根據您的 IdP，這已經設定完成，請略過此步驟並繼續進行[步驟 6：設定聯合的轉送狀態](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state)。

如果您的 IdP 尚未設定這項資訊，請提供下列項目：
+ **SAML 主旨 NameID**：進行登入之使用者的唯一識別碼。此值必須符合 WorkSpaces 使用者名稱，而且通常是 Active Directory 使用者的 **sAMAccountName** 屬性。
+ **SAML 主旨類型** (值設定為 `persistent`)：將值設定為 `persistent`，可確保您的 IdP 會針對來自特定使用者之所有 SAML 請求中的 `NameID` 元素，傳送相同的唯一值。確保 IAM 政策包含一個條件，僅允許 SAML sub\$1type 設為 `persistent` 的 SAML 請求，如[步驟 2：建立 SAML 2.0 聯合 IAM 角色](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms)所述。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/Role` 的 `Attribute` 元素**：此元素包含一或多個 `AttributeValue` 元素，其列出您 IdP 將使用者對應至的 IAM 角色和 SAML IdP。角色和 IdP 會指定為以逗號分隔的 ARN 對。預期值的範例是 `arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`。
+ **`Attribute` `Name` 屬性設為 的 元素 `https://aws.amazon.com/SAML/Attributes/RoleSessionName`** – 此元素包含一個`AttributeValue`元素，可為為 SSO 發行的 AWS 臨時登入資料提供識別符。`AttributeValue` 元素中的值長度必須介於 2 到 64 個字元之間，只能包含字母數位字元、底線和以下字元：**\$1 . : / = \$1 - @**。不可含有空格。此值通常是電子郵件地址或使用者主體名稱 (UPN)。該值不得包含空格，例如使用者的顯示名稱。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` 的 `Attribute` 元素**：此元素包含一個可提供使用者電子郵件地址的 `AttributeValue` 元素。此值必須與 WorkSpaces 目錄中定義的 WorkSpaces 使用者電子郵件地址相符。標籤值可包含字母、數字、空格和 **\$1 . : / = \$1 - @** 字元的組合。如需詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM 和 AWS STS的標記規則](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` 的 `Attribute` 元素 (選用)**：此元素包含一個 `AttributeValue` 元素，該元素可為正在登入的使用者提供 Active Directory `userPrincipalName`。此值必須以 `username@domain.com` 格式提供。此參數與憑證型驗證搭配使用，做為終端使用者憑證中的主體替代名稱。如需詳細資訊，請參閱憑證型驗證。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` 的 `Attribute` 元素 (選用)**：此元素包含一個 `AttributeValue` 元素，該元素可為正在登入的使用者提供 Active Directory 安全識別碼 (SID)。此參數與憑證型驗證搭配使用，能夠強式對應至 Active Directory 使用者。如需詳細資訊，請參閱憑證型驗證。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` 的 `Attribute`元素 (選用)**：此元素包含一個可提供替代使用者名稱格式的 `AttributeValue` 元素。如果您有使用案例需要使用者名稱格式 (例如 `corp\username`、`corp.example.com\username` 或 `username@corp.example.com`) 才能使用 WorkSpaces 用戶端登入)，請使用此屬性。標籤索引鍵和值可以包含字母、數字、空格和 **\$1 : / . \$1 = @ -** 字元的任意組合。如需詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM 和 AWS STS的標記規則](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。若要宣告 `corp\username` 或 `corp.example.com\username` 格式，請在 SAML 聲明中以 **/** 取代 **\$1**。
+ **`Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain 的 `Attribute` 元素 (選用)**：此元素包含一個 `AttributeValue` 元素，該元素可提供 Active Directory DNS 完整網域名稱 (FQDN) 以便使用者登入。當使用者的 Active Directory `userPrincipalName` 包含替代尾碼時，此參數會與憑證型驗證搭配使用。此值必須以 `domain.com` 提供，包括任何子網域。
+ **`Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/SessionDuration 的 `Attribute` 元素 (選用)**：此元素包含一個 `AttributeValue` 元素，其指定使用者可在聯合串流工作階段中保持作用中的時間上限，之後即必須重新驗證身分。預設值為 3600 秒 (60 分鐘)。如需詳細資訊，請參閱 [SAML `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)。
**注意**  
雖然 `SessionDuration` 是選用屬性，但我們建議您將它包含在 SAML 回應中。如果您未指定此屬性，工作階段持續時間會設定為預設值 3600 秒 (60 分鐘)。WorkSpaces 桌面工作階段會在其工作階段持續時間到期後中斷連線。

如需有關如何設定這些元素的詳細資訊，請參閱《IAM 使用者指南》**的[針對身分驗證回應設定 SAML 聲明](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。如需 IdP 的特定組態需求相關資訊，請參閱您的 IdP 文件。

## 步驟 6：設定聯合的轉送狀態
<a name="configure-relay-state"></a>

最後，使用 IdP 來設定聯合的轉送狀態，以指向 WorkSpaces 目錄轉送狀態 URL。身分驗證成功後 AWS，會將使用者導向 WorkSpaces 目錄端點，定義為 SAML 身分驗證回應中的轉送狀態。

以下是轉送狀態 URL 格式：

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

從您的 WorkSpaces 目錄註冊碼以及與您的目錄所在區域相關聯的轉送狀態端點，建構您的轉送狀態 URL。您可以在 WorkSpaces 管理主控台中找到註冊碼。

或者，如果您使用 WorkSpaces 的跨區域重新導向，您可使用與主要區域和容錯移轉區域中目錄相關聯的完整網域名稱 (FQDN) 來代替註冊碼。如需詳細資訊，請參閱 [Amazon WorkSpaces 的跨區域重新導向](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html)。使用跨區域重新導向和 SAML 2.0 驗證時，必須使用與每個區域相關聯的轉送狀態端點，針對 SAML 2.0 驗證啟用主要目錄和容錯移轉目錄並與 IdP 獨立設定。這會允許使用者在登入前註冊其 WorkSpaces 用戶端應用程式時正確設定 FQDN，並允許使用者在容錯移轉事件期間進行驗證。

下表列出可使用 WorkSpaces SAML 2.0 驗證之區域的轉送狀態端點。


**可使用 WorkSpaces SAML 2.0 驗證的區域**  

| 區域 | 轉送狀態端點 | 
| --- | --- | 
| 美國東部 (維吉尼亞北部) 區域 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html) | 
| 美國西部 (奧勒岡) 區域 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html) | 
| 非洲 (開普敦) 區域 | workspaces.euc-sso.af-south-1.aws.amazon.com | 
| 亞太地區 (孟買) 區域 | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| 亞太 (首爾) 區域 | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| 亞太 (新加坡) 區域 | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| 亞太地區 (雪梨) 區域 | workspaces.euc-sso.ap-southeast-2.aws.amazon.com | 
| 亞太地區 (東京) 區域 | workspaces.euc-sso.ap-northeast-1.aws.amazon.com | 
| 加拿大 (中部) 區域 | workspaces.euc-sso.ca-central-1.aws.amazon.com | 
| 歐洲 (法蘭克福) 區域 | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| 歐洲 (愛爾蘭) 區域 | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| 歐洲 (倫敦) 區域 | workspaces.euc-sso.eu-west-2.aws.amazon.com | 
| 南美洲 (聖保羅) 區域 | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| 以色列 (特拉維夫) 區域 | workspaces.euc-sso.il-central-1.aws.amazon.com | 
| AWS GovCloud （美國西部） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html)  如需詳細資訊，請參閱《AWS GovCloud (US) 使用者指南》**中的 [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。   | 
| AWS GovCloud （美國東部） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html)  如需詳細資訊，請參閱《AWS GovCloud (US) 使用者指南》**中的 [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。   | 

使用身分提供者 (IdP) 起始的流程，您可以選擇指定要用於 SAML 2.0 聯合的用戶端。若要這樣做，請在 `web` 之後指定轉送狀態 URL 結尾的 `native`或 `&client=`。在轉送狀態 URL 中指定 參數時，對應的工作階段會自動在指定的用戶端中啟動。

## 步驟 7：在 WorkSpaces 目錄上啟用與 SAML 2.0 的整合
<a name="enable-integration-saml"></a>

您可以使用 WorkSpaces 主控台在 WorkSpaces 目錄上啟用 SAML 2.0 驗證。

**啟用與 SAML 2.0 的整合**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇 WorkSpaces 的目錄 ID。

1. 在**驗證**之下選擇**編輯**。

1. 選擇**編輯 SAML 2.0 身分提供者**。

1. 核取**啟用 SAML 2.0 身分驗證**。

1. 對於**使用者存取 URL** 和 **IdP 深層連結參數名稱**，輸入適用於您的 IdP 和您在步驟 1 中設定之應用程式的值。如果您省略此參數，IdP 深層連結參數名稱的預設值為「RelayState」。下表列出的使用者存取 URL 和參數名稱對應用程式的各種身分提供者而言是唯一的。  
**要新增至允許清單的網域和 IP 地址**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html)

   使用者存取 URL 通常是由未經要求 IdP 起始 SSO 的提供者所定義。使用者可以在 Web 瀏覽器中輸入此 URL，直接與 SAML 應用程式聯合。若要測試 IdP 的使用者存取 URL 和參數值，請選擇**測試**。將測試 URL 複製並貼到目前瀏覽器或其他瀏覽器中的私有視窗，以測試 SAML 2.0 登入，而不會中斷您目前的 AWS 管理主控台工作階段。當 IdP 起始的流程開啟時，您可以註冊您的 WorkSpaces 用戶端。如需詳細資訊，請參閱[身分提供者 (IdP) 起始的流程](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)。

1. 核取或取消核取**允許不支援 SAML 2.0 的用戶端登入**來管理後援設定。啟用此設定可繼續使用不支援 SAML 2.0 的用戶端類型或版本，或使用者需要時間升級至最新的用戶端版本，為使用者提供對 WorkSpaces 的存取權。
**注意**  
此設定可讓使用者略過 SAML 2.0，並使用採用較舊用戶端版本的目錄驗證進行登入。

1. 若要搭配 Web 用戶端使用 SAML，請啟用 Web Access。如需詳細資訊，請參閱[啟用和設定 Amazon WorkSpaces Web Access](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html)。
**注意**  
Web Access 不支援採用 SAML 的 PCoIP。

1. 選擇**儲存**。您的 WorkSpaces 目錄現在已透過 SAML 2.0 整合啟用。您可以使用 IdP 起始和用戶端應用程式起始的流程來註冊 WorkSpaces 用戶端應用程式並登入 WorkSpaces。

# 憑證型身分驗證和 WorkSpaces Personal
<a name="certificate-based-authentication"></a>

您可使用憑證型驗證搭配 WorkSpaces，以移除輸入 Active Directory 網域密碼的使用者提示。使用憑證型驗證搭配 Active Directory 網域，您可以：
+ 依賴 SAML 2.0 身分提供者來驗證使用者，並提供 SAML 聲明以比對 Active Directory 中的使用者。
+ 賦予較少使用者提示的單一登入體驗。
+ 使用 SAML 2.0 身分提供者啟用無密碼驗證流程。

憑證型身分驗證會使用您AWS帳戶中AWS 私有 CA的資源。AWS 私有 CA啟用私有憑證授權機構 (CA) 階層的建立，包括根 CA 和次級 CAs。使用 AWS 私有 CA，您可以建立自己的 CA 階層，並發行憑證來驗證內部使用者。如需詳細資訊，請參閱[「AWS 私有憑證授權單位 使用者指南」](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)。

使用 AWS 私有 CA進行憑證型身分驗證時，WorkSpaces 會在工作階段身分驗證期間自動為您的使用者請求憑證。使用者會使用隨著憑證佈建的虛擬智慧卡，對 Active Directory 進行驗證。

憑證型身分驗證支援使用最新 WorkSpaces Web Access、Windows 和 macOS 用戶端應用程式的 DCV 套件上的 Windows WorkSpaces。開啟 Amazon WorkSpaces [用戶端下載](https://clients.amazonworkspaces.com/)以尋找最新版本：
+ Windows 用戶端 5.5.0 版或更新版本
+ macOS 用戶端 5.6.0 版或更新版本

如需使用 Amazon WorkSpaces 設定憑證型身分驗證的詳細資訊，請參閱[如何為 Amazon WorkSpaces 設定憑證型身分驗證](https://aws.amazon.com/blogs/desktop-and-application-streaming/how-to-configure-certificate-based-authentication-for-amazon-workspaces/)，以及[使用 WorkSpaces 應用程式和 WorkSpaces 進行憑證型身分驗證時，在高度管制的環境中設定憑證型身分驗證和設計考量](https://aws.amazon.com/blogs/desktop-and-application-streaming/design-considerations-in-highly-regulated-environments-for-certificate-based-authentication-with-appstream-2-0-workspaces/)事項。

## 先決條件
<a name="cert-based-auth-prerequesites"></a>

啟用憑證型驗證之前，請先完成下列步驟。

1. 設定您的 WorkSpaces 目錄與 SAML 2.0 整合，以使用憑證型驗證。如需詳細資訊，請參閱 [WorkSpaces 與 SAML 2.0 整合](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)。

1. 在您的 SAML 聲明中設定 `userPrincipalName` 屬性。如需詳細資訊，請參閱[針對 SAML 驗證回應建立聲明](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth)。

1. 在您的 SAML 聲明中設定 `ObjectSid` 屬性。這是對 Active Directory 使用者執行高強度映射的必要條件。如果此屬性不符合 SAML\$1Subject `NameID` 中指定之使用者的 Active Directory 安全識別碼 (SID)，則憑證型驗證將會失敗。如需詳細資訊，請參閱[針對 SAML 驗證回應建立聲明](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth)。
**注意**  
根據 [Microsoft KB5014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)， 屬性將在 2025 年 9 月 10 日之後成為憑證型身分驗證的必要`ObjectSid`屬性。

1. 將 [sts:TagSession](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) 許可新增至搭配您的 SAML 2.0 組態使用的 IAM 角色信任政策 (如果尚未存在)。需有此許可才能使用憑證型驗證。如需詳細資訊，請參閱[建立 SAML 2.0 聯合 IAM 角色](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-saml-iam-role)。

1. AWS 私有 CA如果您沒有使用 Active Directory 設定私有憑證授權機構 (CA)，請使用 建立私有憑證授權機構。使用憑證型身分驗證AWS 私有 CA需要 。如需詳細資訊，請參閱[規劃AWS 私有 CA部署](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html)，並依照指引設定憑證型身分驗證的 CA。以下是憑證型身分驗證使用案例最常見的AWS 私有 CA設定：

   1. CA 類型選項：

      1. 短期憑證 CA 使用模式 (如果您只使用 CA 來發行使用者憑證以進行憑證型驗證，則建議使用)

      1. 具有根 CA 的單一層級階層 (或者，如果要與現有 CA 階層整合，請選擇次級 CA)

   1. 金鑰演算法選項：RSA 2048

   1. 主體辨別名稱選項：使用任何選項組合來識別 Active Directory 受信任的根憑證授權單位存放區中的 CA。

   1. 憑證撤銷選項：CRL 散發
**注意**  
憑證型驗證需要可從桌面和網域控制站存取的線上 CRL 散發點。這需要未經驗證存取針對私有 CA CRL 項目設定的 Amazon S3 儲存貯體，或者如果封鎖公開存取，則需要可存取 S3 儲存貯體的 CloudFront 散發。如需這些選項的詳細資訊，請參閱[規劃憑證撤銷清單 (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html#s3-bpa)。

1. 使用標題為 `euc-private-ca` 的金鑰來標記您的私有 CA，以指定 CA 來搭配 EUC 憑證型驗證使用。此金鑰不需要值。如需詳細資訊，請參閱[管理私有 CA 的標籤](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)。

1. 憑證型驗證會利用虛擬智慧卡進行登入。遵循在 Active Directory 中[啟用智慧卡登入第三方憑證授權單位的指導方針](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)，執行下列步驟：
   + 使用網域控制站憑證設定網域控制站，以驗證智慧卡使用者。如果您在 Active Directory 中設定了 Active Directory Certificate Services 企業 CA，網域控制站會使用憑證自動註冊以啟用智慧卡登入。如果您沒有 Active Directory Certificate Services，請參閱[來自第三方 CA 的網域控制站憑證需求](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller)。您可以使用 AWS 私有 CA 建立網域控制站憑證。如果您這樣做，請勿使用為短期憑證設定的私有 CA。
**注意**  
如果您使用的是 AWS Managed Microsoft AD，您可以在 EC2 執行個體上設定 Certificate Services，以滿足網域控制器憑證的需求。[AWS Launch Wizard](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html) 如需使用 Active Directory Certificate Services 設定的 部署AWS Managed Microsoft AD範例，請參閱 。AWS私有 CA 可設定為 Active Directory Certificate Services CA 的次級，或在使用 時可設定為自己的根目錄AWS Managed Microsoft AD。  
使用 AWS Managed Microsoft AD和 Active Directory Certificate Services 的其他組態任務是建立從控制器 VPC 安全群組到執行 Certificate Services 的 EC2 執行個體的傳出規則，允許 TCP 連接埠 135 和 49152-65535 啟用憑證自動註冊。此外，執行中的 EC2 執行個體必須允許來自網域執行個體 (包括網域控制站) 的相同連接埠上的輸入存取。如需尋找 安全群組的詳細資訊，AWS Managed Microsoft AD請參閱[設定 VPC 子網路和安全群組](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc)。
   + 在AWS 私有 CA主控台或使用 SDK 或 CLI 上，選取您的 CA，然後在 CA 憑證下匯出 CA 私有憑證。如需詳細資訊，請參閱[匯出私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
   + 將 CA 發佈至 Active Directory。登入網域控制站或已加入網域的電腦。將 CA 私有憑證複製到任何 `<path>\<file>` 並以網域管理員的身分執行下列命令。或者，您可使用群組政策和 Microsoft PKI Health 工具 (PKIView) 來發佈 CA。如需詳細資訊，請參閱[設定指示](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions)。

     ```
     certutil -dspublish -f <path>\<file> RootCA
     certutil -dspublish -f  <path>\<file> NTAuthCA
     ```

     確定命令已順利完成，然後移除私有憑證檔案。根據 Active Directory 複寫設定，CA 可能需要幾分鐘的時間才能發佈至您的網域控制站和桌面執行個體。
**注意**  
當 WorkSpaces 桌面已加入網域時，Active Directory 必須自動將 CA 散發給受信任的根憑證授權單位和企業 NTAuth 存放區。

## 啟用憑證型驗證
<a name="enable-cert-based-auth"></a>

完成下列步驟，以啟用憑證型身分驗證。

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 為您的 WorkSpaces 選擇目錄 ID。

1. 在**驗證**之下，按一下**編輯**。

1. 按一下**編輯憑證型驗證**。

1. 核取**啟用憑證型驗證**。

1. 確認清單中已關聯您的私有 CA ARN。私有 CA 應該位於相同的 AWS帳戶中AWS 區域，而且必須使用名為 euc-private-ca 的金鑰來標記，才能出現在清單中。

1. 按一下 **Save Changes (儲存變更)**。憑證型驗證現在已啟用。

1. 在 DCV 套件上重新啟動 Windows WorkSpaces，以使變更生效。如需詳細資訊，請參閱[重新啟動 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/reboot-workspaces.html)。

1. 重新啟動之後，當使用者使用支援的用戶端透過 SAML 2.0 進行驗證時，他們不再收到輸入網域密碼的提示。

**注意**  
啟用憑證型驗證以登入 WorkSpaces 時，即使在目錄上啟用，也不會提示使用者進行多重要素驗證 (MFA)。使用憑證型驗證時，可以透過 SAML 2.0 身分提供者啟用 MFA。如需 AWS Directory ServiceMFA 的詳細資訊，請參閱[多重要素驗證 (AD Connector)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) 或[啟用多重要素驗證AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html#supportedamazonapps)。

## 管理憑證型驗證
<a name="manage-cert-based-auth"></a>

**CA 憑證**  
在一般組態中，私有 CA 憑證的有效期為 10 年。如需有關以過期憑證取代 CA 或以新的有效期重新發行 CA 的詳細資訊，請參閱[管理私有 CA 生命週期](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html)。

**最終使用者憑證**  
為 WorkSpaces 憑證型身分驗證發行AWS 私有 CA的最終使用者憑證不需要續約或撤銷。這些憑證都短期的。WorkSpaces 會每 24 小時自動發行一次新憑證。這些最終使用者憑證的有效期比一般 AWS 私有 CACRL 分佈短。因此，最終使用者憑證不需要撤銷，也不會出現在 CRL 中。

**稽核報告**  
您可以建立稽核報告，以列出私有 CA 已發行或撤銷的所有憑證。如需詳細資訊，請參閱[使用包含您私有 CA 的稽核報告](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html)。

**記錄和監控**  
您可以使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/) 記錄 WorkSpaces 對 AWS 私有 CA的 API 呼叫。如需詳細資訊，請參閱[使用 CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html)。在 [CloudTrail 事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)中，您可以檢視 WorkSpaces `EcmAssumeRoleSession` 使用者名稱所建立 `acm-pca.amazonaws.com` 事件來源中的 `GetCertificate` 和 `IssueCertificate` 事件名稱。系統會為每個 EUC 憑證型驗證要求記錄這些事件。

## 啟用跨帳戶 PCA 共用
<a name="enable-pca-sharing"></a>

 當您使用 Private CA 跨帳戶共用時，您可以授予其他帳戶使用集中式 CA 的許可，這會消除每個帳戶中私有 CA 的需求。CA 可以使用 [AWSResource Access Manager](https://aws.amazon.com/ram/) 來管理許可，以產生和發行憑證。私有 CA 跨帳戶共用可與相同AWS區域內的 WorkSpaces 憑證型身分驗證 (CBA) 搭配使用。

**將共用的私有 CA 資源與 WorkSpaces CBA 搭配使用**

1. 在集中式AWS帳戶中設定 CBA 的私有 CA。如需詳細資訊，請參閱[憑證型身分驗證和 WorkSpaces Personal](#certificate-based-authentication)。

1.  遵循如何使用 RAM 來共用 ACM Private CA 跨AWS帳戶中的步驟，與 WorkSpaces 資源利用 CBA 的資源帳戶共用私有 CA。 [AWS](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)您不需要完成步驟 3 即可建立憑證。您可以與個別AWS帳戶共用私有 CA，或透過 AWSOrganizations 共用。若要與個別帳戶共用，您需要使用 Resource Access Manager (RAM) 主控台或 APIs 接受資源帳戶中的共用私有 CA。設定共用時，請確認資源帳戶中私有 CA 的 RAM 資源共用正在使用 `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`受管許可範本。此範本與 WorkSpaces 服務角色在發行 CBA 憑證時使用的 PCA 範本一致。

1. 共用成功後，您應該可以使用資源帳戶中的 Private CA 主控台來檢視共用的 Private CA。

1. 使用 API 或 CLI 將私有 CA ARN 與 WorkSpaces 目錄屬性中的 CBA 建立關聯。目前，WorkSpaces 主控台不支援選取共用的私有 CA ARNs。範例 CLI 命令：

   ```
   aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>
   ```

# 存取 Microsoft Entra ID 加入 WorkSpaces Personal
<a name="access-entra-id"></a>

您可以建立已加入 Microsoft Entra ID 並已註冊至 Intune 的 Windows 10 或 11 BYOL 個人 WorkSpaces。如需詳細資訊，請參閱[使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄](launch-entra-id.md)。

## 身分驗證工作流程
<a name="authentication-workflow-entra"></a>

以下各節說明 WorkSpaces 用戶端應用程式、WorkSpaces Web Access 和 SAML 2.0 身分提供者 (IdP)、Microsoft Entra ID 啟動的身分驗證工作流程：
+ 由 IdP 初始化流程時。例如，當使用者在 Web 瀏覽器的 Entra ID 使用者入口網站中選擇應用程式時。
+ 由 WorkSpaces 用戶端起始流程時。例如，當使用者開啟用戶端應用程式並登入時。
+ 流程由 WorkSpaces Web Access 啟動時。例如，當使用者在瀏覽器中開啟 Web 存取並登入時。

在這些範例中，使用者輸入 `user@example.onmicrosoft.com` 以登入 IdP。在 Entra ID 上，企業應用程式設定為與 IAM Identity Center 整合。使用者會在使用 IAM Identity Center 做為身分來源以連線至 Entra ID 租用戶的目錄中，為其使用者名稱建立 WorkSpace。此外，使用者在其裝置上安裝 [WorkSpaces 用戶端應用程式](https://clients.amazonworkspaces.com/)，或使用者在網頁瀏覽器中使用 Web Access。

**身分提供者 (IdP) 起始的流程搭配用戶端應用程式**

IdP 起始的流程可讓使用者在其裝置上自動註冊 WorkSpaces 用戶端應用程式，而不必輸入 WorkSpaces 註冊碼。使用者不會使用 IDP 起始的流程登入其 WorkSpaces。WorkSpaces 驗證必須源自用戶端應用程式。

1. 使用者使用其 Web 瀏覽器登入 IdP (Microsoft Entra ID)。

1. 登入 IdP 後，使用者會從 AWS IdP 使用者入口網站選擇 IAM Identity Center 應用程式。

1. 使用者會重新導向至瀏覽器中的 AWS 存取入口網站。然後，使用者選擇 WorkSpaces 圖示。

1. 使用者會重新導向至以下頁面，並自動開啟 WorkSpaces 用戶端應用程式。如果用戶端**應用程式未自動開啟，請選擇開啟 Amazon WorkSpaces ** 應用程式。  
![\[開啟 WorkSpaces 應用程式重新導向頁面\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 用戶端應用程式現已註冊，使用者可按一下**繼續登入 WorkSpaces** 來繼續登入。

**身分提供者 (IdP) 起始的流程搭配 Web Access**

IdP 起始的 Web Access 流程可讓使用者透過網頁瀏覽器自動註冊其 WorkSpaces，而不必輸入 WorkSpaces 註冊碼。使用者不會使用 IDP 起始的流程登入其 WorkSpaces。WorkSpaces 驗證必須源自 Web Access。

1. 使用者可使用其網頁瀏覽器來登入 IdP。

1. 登入 IdP 後，使用者會從 AWS IdP 使用者入口網站按一下 IAM Identity Center 應用程式。

1. 使用者會重新導向至瀏覽器中的 AWS 存取入口網站。然後，使用者選擇 WorkSpaces 圖示。

1. 使用者會在瀏覽器中重新導向至此頁面。若要開啟 WorkSpaces，請**在瀏覽器中選擇 Amazon WorkSpaces**。  
![\[開啟 WorkSpaces 應用程式重新導向頁面\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 用戶端應用程式現已註冊，使用者可透過 WorkSpaces Web Access 繼續登入。

**WorkSpaces 用戶端起始的流程**

用戶端起始的流程可讓使用者在登入 IdP 後登入其 WorkSpaces。

1. 使用者啟動 WorkSpaces 用戶端應用程式 (如果尚未執行)，然後按一下**繼續登入 WorkSpaces**。

1. 系統會將使用者重新導向至其預設網頁瀏覽器，以登入 IdP。如果使用者已在其瀏覽器中登入 IdP，則不需要再次登入，而且會略過此步驟。

1. 登入 IdP 後，使用者會被重新導向至快顯視窗。遵循提示，允許您的網頁瀏覽器開啟用戶端應用程式。

1. 使用者會重新導向至 Windows 登入畫面上的 WorkSpaces 用戶端應用程式。

1. 使用者使用其 Entra ID 使用者名稱和密碼完成 Windows 的登入。

**WorkSpaces Web 存取起始的流程**

Web Access 起始的流程可讓使用者在登入 IdP 後登入其 WorkSpaces。

1. 使用者會啟動 WorkSpaces Web Access，然後選擇**登入**。

1. 在相同的瀏覽器索引標籤中，使用者會重新導向至 IdP 入口網站。如果使用者已在其瀏覽器中登入 IdP，則不需要再次登入，而且可略過此步驟。

1. 登入 IdP 後，使用者會在瀏覽器中重新導向至此頁面，然後按一下**登入 WorkSpaces**。

1. 使用者會重新導向至 Windows 登入畫面上的 WorkSpaces 用戶端應用程式。

1. 使用者使用其 Entra ID 使用者名稱和密碼完成 Windows 的登入。

## 第一次使用者體驗
<a name="first-time-entra"></a>

如果您是第一次登入加入 Microsoft Entra ID 的 Windows WorkSpaces，您必須經歷out-of-box(OOBE)。在 OOBE 期間，WorkSpaces 會加入 Entra ID。您可以設定指派給您為 WorkSpaces 建立之 Microsoft Intune 裝置群組的 Autopilot 設定檔，來自訂 OOBE 體驗。如需詳細資訊，請參閱[步驟 3：設定 Windows Autopilot 使用者驅動模式](launch-entra-id.md#entra-step-3)。

# 在 WorkSpaces Personal 中使用智慧卡進行身分驗證
<a name="smart-cards"></a>

DCV 套件上的 Windows 和 Linux WorkSpaces 允許使用[通用存取卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[個人身分驗證 (PIV)](https://www.idmanagement.gov/university/piv/) 智慧卡進行身分驗證。

Amazon WorkSpaces 支援使用智慧卡進行*工作階段前驗證*和*工作階段內驗證*。工作階段前驗證是指使用者登入 WorkSpaces 時所執行的智慧卡驗證。工作階段內驗證是指在登入後執行的驗證。

例如，使用者可以在使用 Web 瀏覽器和應用程式時，使用智慧卡進行工作階段內驗證。他們也可以將智慧卡用於進行需要管理許可的動作。例如，如果使用者擁有 Linux WorkSpace 的管理許可，他們可以在執行 `sudo` 和 `sudo -i` 命令時使用智慧卡來驗證自己。

**Topics**
+ [要求](#smart-cards-requirements)
+ [限制](#smart-cards-limitations)
+ [目錄組態](#smart-cards-directory-config)
+ [為 Windows WorkSpaces 啟用智慧卡](#smart-cards-windows-workspaces)
+ [為 Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces 啟用智慧卡](#smart-cards-linux-workspaces)
+ [為 Amazon Linux 2 WorkSpaces 啟用智慧卡](#smart-cards-amazon-linux-workspaces)

## 要求
<a name="smart-cards-requirements"></a>
+ 工作階段前驗證需要 Active Directory Connector (AD Connector) 目錄。AD Connector 使用以憑證為基礎的交互式 Transport Layer Security (交互式 TLS) 驗證，透過硬體或軟體智慧卡憑證對 Active Directory 使用者進行身分驗證。如需如何設定 AD Connector 和內部部署目錄的詳細資訊，請參閱 [目錄組態](#smart-cards-directory-config)。
+ 若要搭配 Windows 或 Linux WorkSpace 使用智慧卡，使用者必須使用 Amazon WorkSpaces Windows 用戶端版本 3.1.1 或更新版本、WorkSpaces macOS 用戶端版本 3.1.5 或更新版本，或 WorkSpaces Ubuntu 22.04 用戶端版本 2024.1 或更新版本 (WorkSpaces Ubuntu 20.04 用戶端不支援智慧卡身分驗證）。如需使用智慧卡搭配 Windows 和 macOS 用戶端的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的[智慧卡支援](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html)。
+ 根 CA 和智慧卡憑證必須符合特定需求。如需詳細資訊，請參閱系統《AWS Directory Service 管理指南》**中的[在 AD Connector 中啟用 MTL 驗證以搭配智慧卡使用](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)，以及 Microsoft 文件中的[憑證需求](https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-certificate-requirements-and-enumeration#certificate-requirements)。

  除了這些需求以外，用於對 Amazon WorkSpaces 進行智慧卡驗證的使用者憑證還必須包含下列屬性：
  + 憑證的 subjectAltName (SAN) 欄位中 AD 使用者的 userPrincipalName (UPN)。我們建議為使用者的預設 UPN 核發智慧卡憑證。
**注意**  
Amazon Linux 2 WorkSpaces 依賴 UPN certificate-to-user映射。較新的 Linux WorkSpaces，例如 Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces，支援更安全的[映射方法](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking)。
  + 用戶端驗證 (1.3.6.1.5.5.7.3.2) 擴充金鑰使用 (EKU) 屬性。
  + 智慧卡登入 (1.3.6.1.4.1.311.20.2.2) EKU 屬性。
+ 對於工作階段前驗證，憑證撤銷檢查需要線上憑證狀態協定 (OCSP)。對於工作階段內驗證，建議使用 OCSP，但非必要。
**注意**  
Ubuntu WorkSpaces、Rocky Linux WorkSpaces 和 Red Hat Enterprise Linux WorkSpaces 預設需要 OCSP 進行工作階段內身分驗證，而這些系統中的 OCSP 驗證需要 OCSP 回應程式啟用 NONCE 延伸模組，以防止重播攻擊。若要停用 NONCE 延伸模組，必須一併停用工作階段中的 OCSP 驗證。若要在 Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces 中停用 OCSP 驗證，`/etc/sssd/conf.d/disable-ocsp.conf`請使用下列內容建立新的檔案：  

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## 限制
<a name="smart-cards-limitations"></a>
+ 只有 WorkSpaces Windows 用戶端應用程式 3.1.1 版或更新版本、WorkSpaces macOS 用戶端應用程式 3.1.5 版或更新版本，以及 WorkSpaces Ubuntu 22.04 用戶端應用程式 2024.1 版或更新版本目前支援智慧卡身分驗證。WorkSpaces Ubuntu 20.04 或更早版本的用戶端應用程式不支援智慧卡身分驗證。
+ 僅現用戶端在 64 位元版本的 Windows 上執行時，WorkSpaces Windows 用戶端應用程式 3.1.1 或更新版本才支援智慧卡。
+ 智慧卡驗證目前僅支援 AD Connector 目錄。
+ 工作階段內身分驗證可在支援 DCV 的所有區域中使用。下列區域可以使用工作階段前驗證：
  + 亞太 (雪梨) 區域
  + 亞太 (東京) 區域
  + 歐洲 (愛爾蘭) 區域
  + AWS GovCloud （美國東部） 區域
  + AWS GovCloud （美國西部） 區域
  + 美國東部 (維吉尼亞北部) 區域
  + 美國西部 (奧勒岡) 區域
+ 對於 Linux 或 Windows WorkSpaces 上的工作階段內驗證和工作階段前驗證，目前一次只允許一張智慧卡。可同時使用多張卡片，但不支援。
+ 對於工作階段前驗證，目前不支援在相同目錄上同時啟用智慧卡驗證和登入驗證。
+ 目前僅支援 CAC 和 PIV 卡。其他類型的硬體或軟體型智慧卡也可能有效，但尚未經過完整的 DCV 使用測試。

## 目錄組態
<a name="smart-cards-directory-config"></a>

若要啟用智慧卡驗證，您必須以下列方式設定 AD Connector 目錄和內部部署目錄。

**AD Connector 目錄組態**  
在開始之前，確定您的 AD Connector 目錄已按照《AWS Directory Service 管理指南》**中的 [AD Connector 先決條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)所述設定。尤其是，確定您已在防火牆中開啟必要的連接埠。

若要完成 AD Connector 目錄的設定，請依照《AWS Directory Service 管理指南》**中的[在 AD Connector 中啟用 MTL 驗證以搭配智慧卡使用](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)的指示進行。

**注意**  
智慧卡驗證需要 Kerberos 限制委派 (KCD) 才能正常運作。KCD 要求 AD Connector 服務帳戶的使用者名稱部分與相應使用者的 sAMAccountName 相符。sAMAccountName 不能超過 20 個字元。

**內部部署目錄組態**  
除了設定 AD Connector 目錄之外：
+ 請確定核發給現場部署目錄網域控制站的憑證已設定「KDC 身分驗證」擴充金鑰用量 (EKU)。若要這麼做，請使用 Active Directory Domain Services (AD DS) 預設 Kerberos 驗證憑證範本。請勿使用網域控制站憑證範本或網域控制站驗證憑證範本，因為這些範本不包含智慧卡驗證的必要設定。
+ 針對 Linux WorkSpaces，請確定發行智慧卡憑證之 CA 的 OCSP 回應程式已啟用 NONCE 延伸。如果無法啟用，則必須在 Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces 中停用工作階段內 OCSP 驗證。若要停用 OCSP 驗證，`/etc/sssd/conf.d/disable-ocsp.conf`請使用下列內容建立新的檔案：

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## 為 Windows WorkSpaces 啟用智慧卡
<a name="smart-cards-windows-workspaces"></a>

如需有關如何在 Windows 上啟用智慧卡驗證的一般指引，請參閱 Microsoft 文件中的[讓智慧卡能透過第三方憑證授權單位登入的指導方針](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。

**若要偵測 Windows 螢幕鎖定畫面並中斷工作階段的連線**  
若要允許使用者在螢幕鎖定時將已啟用智慧卡工作階段前驗證的 Windows WorkSpaces 解除鎖定，您可以在使用者的工作階段中啟用 Windows 螢幕鎖定畫面偵測。偵測到 Windows 螢幕鎖定畫面時，WorkSpace 工作階段會中斷連線，而且使用者可以使用其智慧卡從 WorkSpaces 用戶端重新連線。

 您可以使用群組政策設定，在偵測到 Windows 螢幕鎖定畫面時，啟用中斷工作階段連線。如需詳細資訊，請參閱[在 DCV 的螢幕鎖定上設定中斷連線工作階段](group_policy.md#gp_lock_screen_in_wsp)。

**啟用工作階段內或工作階段前驗證**  
依預設，Windows WorkSpaces 無法支援使用智慧卡進行工作階段前或工作階段內驗證。如有需要，您可以使用群組政策設定，為 Windows WorkSpaces 啟用工作階段內和工作階段前驗證。如需詳細資訊，請參閱[設定 DCV 的智慧卡重新導向](group_policy.md#gp_smart_cards_in_wsp)。

若要使用工作階段前驗證，除了更新群組政策設定之外，您還必須透過 AD Connector 目錄設定啟用工作階段前驗證。如需詳細資訊，請遵循《AWS Directory Service 管理指南》**中[在 AD Connector 中啟用 mTLS 驗證以用於智慧卡](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)的指示。

**讓使用者能夠在瀏覽器中使用智慧卡**  
如果使用者使用 Chrome 作為瀏覽器，則不需要特別設定即可使用智慧卡。

如果您的使用者使用 Firefox 作為他們的瀏覽器，您可以透過群組政策讓使用者能在 Firefox 中使用智慧卡。您可以在 GitHub 中使用這些 [Firefox 群組政策範本](https://github.com/mozilla/policy-templates/tree/master/windows)。

例如，您可以針對 Windows 安裝 64 位元版本的 [OpenSC](https://github.com/OpenSC/OpenSC/wiki) 以支援 PKCS \$111，然後使用下列群組政策設定，其中 `NAME_OF_DEVICE` 是任何您要用來識別 PKCS \$111 的值 (例如 `OpenSC`)，而 `PATH_TO_LIBRARY_FOR_DEVICE` 是 PKCS \$111 模組的路徑。此路徑應指向副檔名為 .DLL 的程式庫，例如 `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`。

```
Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
```

**提示**  
如果您使用 OpenSC，也可藉由執行 `pkcs11-register.exe` 程式，將 OpenSC `pkcs11` 模組載入 Firefox 瀏覽器。若要執行此程式，請按兩下位於 `C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe` 的檔案，或開啟命令提示視窗並執行下列命令：  

```
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"
```
若要驗證 OpenSc `pkcs11` 模組是否已載入 Firefox，請執行下列操作：  
如果 Firefox 已在執行中，請將它關閉。
開啟 Firefox。選擇右上角的選單按鈕 ![\[Firefox menu button\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/firefox-menu-button.png)，然後選擇**選項**。
在 **about:preferences** 頁面上，選擇左側導覽窗格中的**隱私權與安全性**。
在**憑證**之下，選擇**安全裝置**。
在**裝置管理員**對話方塊中，您應會在左側導覽中看到 **OpenSc 智慧卡架構 (0.21)**，而當您加以選取時應該有下列值：  
**模組**：`OpenSC smartcard framework (0.21)`  
**路徑**：`C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`

**疑難排解**  
如需智慧卡疑難排解的相關資訊，請參閱 Microsoft 文件中的[憑證和設定問題](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#certificate-and-configuration-problems)。

可能導致問題的一些常見問題：
+ 插槽與憑證的對應不正確。
+ 智慧卡上有多個可比對使用者的憑證。使用下列條件比對憑證：
  + 憑證的根 CA。
  + 憑證的 `<KU>` 和 `<EKU>` 欄位。
  + 憑證主體中的 UPN。
+ 擁有多個憑證在其金鑰使用中有 `<EKU>msScLogin`。

一般而言，最好只有一個對應至智慧卡中第一個插槽的憑證用於智慧卡驗證。

用於管理智慧卡上憑證和金鑰的工具 (例如移除或重新對應憑證和金鑰) 可能是製造商特有的工具。如需詳細資訊，請參閱智慧卡製造商提供的文件。

## 為 Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces 啟用智慧卡
<a name="smart-cards-linux-workspaces"></a>

若要在 Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces 上使用智慧卡，您需要在所有發行智慧卡的 CA 以及所有發行網域控制站憑證CAs 的 WorkSpace 映像中包含根和所有CAs 憑證。

**若要取得您的 CA 憑證：**您可以透過多種方式取得您的 CA 憑證：
+ 您可以使用第三方憑證授權單位的 CA 憑證套件。
+ 您可以使用 Web 註冊網站匯出您自己的 CA 憑證，也就是 `http://ip_address/certsrv`或 `http://fqdn/certsrv`，其中 `ip_address`和 `fqdn`是 CA 伺服器的 IP 地址和完整網域名稱 (FQDN)。如需使用 Web 註冊網站的相關資訊，請參閱 Microsoft 文件中的[如何匯出根憑證授權單位憑證](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate)。
+ 您可以使用下列程序，從執行 Active Directory Certificate Services (AD CS) 的 CA 伺服器匯出 CA 憑證。如需安裝 AD CS 的相關資訊，請參閱 Microsoft 文件中的[安裝憑證授權單位](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority)。

  1. 使用管理員帳戶登入 CA 伺服器。

  1. 從 Windows **開始**功能表，開啟命令提示視窗 (**開始** > **Windows 系統** > **命令提示**)。

  1. 使用下列命令將 CA 憑證匯出至新檔案，其中 `rootca.cer`是新檔案名稱：

     ```
     certutil -ca.cert rootca.cer
     ```

     如需執行 Certutil 的詳細資訊，請參閱 Microsoft 文件中的 [Certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil)。

  1. 使用下列 OpenSSL 命令，將匯出的 CA 憑證從 DER 格式轉換為 PEM 格式，其中 *rootca* 是憑證的名稱。如需 openssl 的詳細資訊，請參閱 [http://www.openssl.org/](https://www.openssl.org/)。

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**將 CA 憑證新增至 Linux WorkSpaces**

為了協助您啟用智慧卡，我們已將`enable_smartcard`指令碼新增至 Linux WorkSpaces DCV 套件。此指令碼會執行下列動作：
+ 將您的 CA 憑證匯入私有 PEM 套件，以定義 Linux WorkSpaces 上 SSSD 的信任根）。
+ 更新 SSSD、PAM 和 Kerberos 組態，包括在 WorkSpace 佈建期間啟用 `PKINIT`（使用憑證而非密碼進行 Kerberos 身分驗證）。

下列程序說明如何使用 `enable_smartcard`指令碼來匯入 CA 憑證，以及為 Linux WorkSpaces 啟用智慧卡身分驗證。

1. 在 DCV 通訊協定啟用的情況下建立新的 Linux WorkSpace。在 Amazon WorkSpace s主控台中啟動 WorkSpace 時，請務必在**選取套件**頁面上選取通訊協定的 **DCV**，然後選取其中一個 Linux WorkSpaces 公有套件。 Amazon WorkSpaces 

1. 在新建立的 WorkSpace 上，請確定`/etc/skylight.conf`檔案的 `[features]` 區段中有`pam_smartcard = true`行：

   ```
   [features]
   pam_smartcard = true
   ```
**注意**  
如果尚未將所有使用者設定為使用強`altSecurityIdentities`式憑證映射，您也可以在 中將`smartcard_weak_mapping = true`行新增至相同`[features]`區段`/etc/skylight.conf`，以支援舊版映射方法，但我們建議您盡快遷移這些使用者以使用強式映射方法。

1. 在 WorkSpace 上執行下列命令做為根，其中 `pem-path1`、 `pem-path2`等 是檔案的路徑，每個都包含智慧卡和網域控制器憑證信任鏈中的其中一個 CA 憑證。所有這些檔案都應該是 PEM 格式，每個檔案都包含一個憑證。可以使用 Glob 模式 （例如 `*.pem`)

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path1 pem-path2 pem-path3 ...
   ```
**注意**  
執行上述命令之前，請使用下列命令做為根目錄，確保在 WorkSpace 上安裝其他相依性套件。  
對於 Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces：  

   ```
   dnf install sssd-dbus libsss_simpleifp sssd-tools krb5-pkinit opensc
   ```
 對於 Ubuntu WorkSpaces：  

   ```
   apt install krb5-pkinit opensc
   ```

1. 在 WorkSpace 上執行任何其他自訂。例如，您可能想要新增整個系統的政策，[讓使用者能夠在 Firefox 中使用智慧卡](#smart-cards-firefox-linux)。(Chrome 使用者必須自行在其用戶端上啟用智慧卡。如需詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的[智慧卡支援](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html)。) 

1. 從 WorkSpace [建立自訂 WorkSpace 映像和套件](create-custom-bundle.md)。

1. 使用新的自訂套件為使用者啟動 WorkSpaces。

將 SecurityDevices 政策新增至您的 Linux WorkSpace 映像，即可讓您的使用者能夠在 Firefox 中使用智慧卡。如需有關將整個系統的政策新增到 Firefox 的詳細資訊，請參閱 GitHub 上的 [Mozilla 政策範本](https://github.com/mozilla/policy-templates/releases)。

**讓使用者能夠在 Firefox 中使用智慧卡**

1. 在您用來建立 WorkSpace 映像的 WorkSpace `policies.json`上，建立名為 的新檔案`PREFIX/firefox/distribution/`，其中 `PREFIX` `/usr/lib64`位於以 Fedora 為基礎的系統 (Amazon Linux 2、Red Hat Enterprise Linux 和 Rocky Linux WorkSpaces)，`/usr/lib`以及在以 Debian 為基礎的系統 (Ubuntu WorkSpaces)。

1. 在 JSON 檔案中，新增下列 SecurityDevices 政策，其中 `NAME_OF_DEVICE` 是任何您要用來識別 `pkcs` 模組的值。例如，您可能想要使用 `"OpenSC"` 之類的值：

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "PREFIX/opensc-pkcs11.so"
           }
       }
   }
   ```

**疑難排解**  
當工作階段前設定為使用密碼身分驗證時，智慧卡身分驗證的故障診斷更容易 - 在工作階段佈建期間，Linux WorkSpaces 會根據使用的工作階段前身分驗證方法，自動將主機身分驗證模式偏好設定切換為密碼型或智慧卡型。如果智慧卡身分驗證有任何問題，使用密碼工作階段前身分驗證中斷連線和重新連線會將工作區重設為密碼主機身分驗證。若要手動將 Linux WorkSpaces 執行個體切換至智慧卡身分驗證，請執行 `/usr/lib/skylight/resume_smartcard`命令做為根。

Linux WorkSpaces 使用 OpenSC 軟體來使用智慧卡。該軟體隨附 `pkcs11-tool`和 等工具`pkcs15-tool`，可用於疑難排解智慧卡的問題。這些工具可用於檢查智慧卡讀取器、個別字符，以及每個智慧卡字符上的 PIV 插槽或憑證。

`openssl` 命令列工具有助於針對信任鏈、OCSP 回應程式或缺少 KUs/EKUs （金鑰使用量/延伸金鑰使用量） 旗標的問題進行故障診斷，特別是結合 從智慧卡擷取公有憑證`pkcs15-tool`的能力。

常見的故障診斷選項：
+ 先從智慧卡擷取 （通常是 PIV 插槽 9A) 憑證，並將其儲存為 `card-cert.pem`： `pkcs15-tool --read-certificate 1 > card-cert.pem`
+ 根據 WorkSpace 上的信任資料庫驗證擷取的憑證： `openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem`
+ 從擷取的智慧卡憑證取得 OCSP URL： `openssl x509 -noout -ocsp_uri -in card-cert.pem`
+ 確認 OCSP 回應指出憑證有效且包含 NONCE：`openssl ocsp -issuer /etc/sssd/pki/sssd_auth_ca_db.pem -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem -text -url OCSP_URI`，其中 *OCSP\$1URI* 是上面的 OCSP URL。
+ 檢查網域控制站憑證是否被視為受信任：`openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem`，其中 *DC\$1HOSTNAME* 是 Active Directory 網域中其中一個網域控制站的主機名稱。
+ 確認網域控制站憑證已設定 KDC 身分驗證 EKU （延伸金鑰用量）：`openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl x509 -noout -text`。
+ 嘗試手動 PKINIT 以查看是否有任何錯誤代碼可用於縮小問題範圍：`KRB5_TRACE=/dev/stdout kinit -X X509_user_identity=PKCS11:opensc-pkcs11.so:certid=01 -V`，其中 *01* 是卡片上四個主要 PIV 插槽的其中一個 - `01` 適用於 `9A`、`02`適用於 `9C`等。大多數卡片都有用於槽 9A 中使用者身分驗證的憑證。
+ 檢查系統是否可以將智慧卡憑證映射至 AD 使用者 （以根執行）：`dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe/Users org.freedesktop.sssd.infopipe.Users.FindByCertificate string:"$(<card-cert.pem)"`。這可與啟用 SSSD 偵錯記錄結合使用。

最常見的已知問題：
+ 智慧卡憑證的信任鏈不完整 - 使用`enable_smartcard`指令碼匯入憑證時，必須提供所有根憑證和中繼 CA 憑證的完整清單。如果因為清單根 CA 憑證遺失而未信任所有匯入的憑證，工具`enable_smartcard`會顯示錯誤，但無法偵測是否遺失其中一個信任鏈中的整個信任鏈或最內部的中繼 CA 憑證。在這種情況下，它會在沒有錯誤的情況下匯入憑證，但智慧卡憑證或網域控制站憑證仍可能被視為不受信任。
+ 缺少網域控制站憑證的信任鏈 - 如果網域控制站憑證是由與智慧卡不同的 CA 發行 （例如，在[通用存取卡 (CAC) ](https://www.cac.mil/Common-Access-Card)的情況下），則需要將該 CA 信任鏈與智慧卡發行 CA 憑證一起匯入。
+ OCSP 回應程式中缺少 NONCE 延伸模組支援 - Linux WorkSpaces 要求智慧卡發行者的 OCSP 回應程式已啟用 NONCE 延伸模組。如果無法啟用，則必須完全停用 OCSP 驗證。
+ 網域控制站憑證缺少 `KDC Authentication` EKU (OID 1.3.6.1.5.2.3.1) - 需要重新發行智慧卡身分驗證來工作網域控制站憑證，才能包含 KDC 身分驗證 EKU。
+ 網域控制站憑證已過期 - 若要讓智慧卡驗證工作網域控制站憑證，必須保持up-to-date狀態。
+ 智慧卡憑證使用較弱的映射方法映射至 AD 中的使用者 - 傳統上，subjectAltName 屬性中的 UPN 欄位用於將憑證映射至 AD 中的使用者，預期符合 userPrincipalName 屬性。這不再被視為安全映射方法，預設為不允許。您可以透過將`--allow-weak-mapping`引數傳遞至 `enable_smartcard`命令並將`smartcard_weak_mapping = true`行新增至 `/etc/skylight.conf` 檔案中的 `[features]`區段來重新啟用它，但更好的解決方案是使用其中一種強大的映射方法。如需詳細資訊，請參閱[帳戶連結](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking)文件。

用於管理智慧卡上憑證和金鑰的工具 (例如移除或重新對應憑證和金鑰) 可能是製造商特有的工具。您可用於處理智慧卡的其他工具包括：
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**若要啟用偵錯記錄功能**
+ `/etc/sssd/sssd.conf` 為每個個別區段新增`debug_level = LEVEL`行進，其中 *LEVEL* 是所需的詳細資訊層級，從 1 到 10。然後，您可以在 `/var/log/sssd/`目錄中找到每個對應區段的日誌。如需詳細資訊[，請參閱此處](https://docs.pagure.org/sssd.sssd/users/troubleshooting.html#sssd-debug-logs)和[此處](https://sssd.io/troubleshooting/basics.html#sssd-debug-logs)的 SSSD 文件。

## 為 Amazon Linux 2 WorkSpaces 啟用智慧卡
<a name="smart-cards-amazon-linux-workspaces"></a>

**注意**  
DCV 上的 Amazon Linux 2 WorkSpaces 目前具有下列限制：  
不支援剪貼簿、音訊輸入、視訊輸入和時區重新導向。
不支援多個監視器。

若要在 Amazon Linux 2 WorkSpaces 上使用智慧卡，您需要在 WorkSpace 映像中包含 PEM 格式的根 CA 憑證檔案。

**若要取得根 CA 憑證：**您可以透過多種方式取得根 CA 憑證：
+ 您可以使用第三方憑證授權單位操作的根 CA 憑證。
+ 您可以使用 Web 註冊網站匯出自己的根 CA 憑證，也就是 `http://ip_address/certsrv` 或 `http://fqdn/certsrv`，其中 `ip_address` 和 `fqdn` 是根憑證 CA 伺服器的 IP 地址和完整網域名稱 (FQDN)。如需使用 Web 註冊網站的相關資訊，請參閱 Microsoft 文件中的[如何匯出根憑證授權單位憑證](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate)。
+ 您可以使用下列程序，從執行 Active Directory Certificate Services (AD CS) 的根 CA 憑證伺服器匯出根 CA 憑證。如需安裝 AD CS 的相關資訊，請參閱 Microsoft 文件中的[安裝憑證授權單位](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority)。

  1. 使用管理員帳戶登入根 CA 伺服器。

  1. 從 Windows **開始**功能表，開啟命令提示視窗 (**開始** > **Windows 系統** > **命令提示**)。

  1. 使用下列命令將根 CA 憑證匯出至新檔案，其中 `rootca.cer` 是新檔案的名稱：

     ```
     certutil -ca.cert rootca.cer
     ```

     如需執行 Certutil 的詳細資訊，請參閱 Microsoft 文件中的 [Certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil)。

  1. 使用下列 OpenSSL 命令，將匯出的根 CA 憑證從 DER 格式轉換為 PEM 格式，其中 *rootca* 是憑證的名稱。如需 openssl 的詳細資訊，請參閱 [http://www.openssl.org/](https://www.openssl.org/)。

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**將根 CA 憑證新增至 Amazon Linux 2 WorkSpaces**

為了協助您啟用智慧卡，我們已將`enable_smartcard`指令碼新增至 Amazon Linux DCV 套件。此指令碼會執行下列動作：
+ 將根 CA 憑證匯入[網路安全服務 (NSS)](https://developer.mozilla.org/docs/Mozilla/Projects/NSS) 資料庫。
+ 安裝用於可插入式驗證模組 (PAM) 驗證的 `pam_pkcs11` 模組。
+ 執行預設組態，包括在 WorkSpace 佈建期間啟用 `pkinit`。

下列程序說明如何使用 `enable_smartcard`指令碼將根 CA 憑證新增至 Amazon Linux 2 WorkSpaces，並為 Amazon Linux 2 WorkSpaces 啟用智慧卡。

1. 在 DCV 通訊協定啟用的情況下建立新的 Amazon Linux 2 WorkSpace。在 Amazon WorkSpace s主控台中啟動 WorkSpace 時，請務必在**選取套件**頁面上選取通訊協定的 **DCV**，然後選取其中一個 Amazon Linux 2 公有套件。 Amazon WorkSpaces 

1. 在新的 WorkSpace 上，以根身分執行下列命令，其中 `pem-path` 是 PEM 格式的根 CA 憑證檔案的路徑。

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path
   ```
**注意**  
Amazon Linux 2 WorkSpaces 假設智慧卡上的憑證是以使用者的預設使用者主體名稱 (UPN) 發行，例如 `sAMAccountName@domain`，其中 `domain` 是完整網域名稱 (FQDN)。  
若要使用替代 UPN 尾碼，`run /usr/lib/skylight/enable_smartcard --help` 以取得詳細資訊。對於每個使用者而言，替代 UPN 尾碼的對應都是唯一的。因此，必須在每個使用者的 WorkSpace 上個別執行該對應。

1. （選用） 根據預設，所有 服務都會啟用，以在 Amazon Linux 2 WorkSpaces 上使用智慧卡身分驗證。若要將智慧卡驗證限制為僅限特定服務，您必須編輯 `/etc/pam.d/system-auth`。取消註解 `pam_succeed_if.so` 的 `auth` 行 並視需要編輯服務清單。

   取消註解 `auth` 行後，若要允許服務使用智慧卡驗證，您必須將其新增至清單。若要讓服務僅使用密碼驗證，則必須從清單中將其移除。

1. 對 WorkSpace 執行任何其他自訂。例如，您可能想要新增整個系統的政策，[讓使用者能夠在 Firefox 中使用智慧卡](#smart-cards-firefox-amazon-linux)。(Chrome 使用者必須自行在其用戶端上啟用智慧卡。如需詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的[智慧卡支援](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html)。) 

1. 從 WorkSpace [建立自訂 WorkSpace 映像和套件](create-custom-bundle.md)。

1. 使用新的自訂套件為使用者啟動 WorkSpaces。

您可以將 SecurityDevices 政策新增至 Amazon Linux 2 WorkSpace 映像，讓使用者能夠在 Firefox 中使用智慧卡。如需有關將整個系統的政策新增到 Firefox 的詳細資訊，請參閱 GitHub 上的 [Mozilla 政策範本](https://github.com/mozilla/policy-templates/releases)。

**讓使用者能夠在 Firefox 中使用智慧卡**

1. 在您用於建立 WorkSpace 映像的 WorkSpace 上，在 `/usr/lib64/firefox/distribution/` 中建立一個名為 `policies.json` 的新檔案。

1. 在 JSON 檔案中，新增下列 SecurityDevices 政策，其中 `NAME_OF_DEVICE` 是任何您要用來識別 `pkcs` 模組的值。例如，您可能想要使用 `"OpenSC"` 之類的值：

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so"
           }
       }
   }
   ```

**故障診斷：**為了進行故障診斷，我們建議您新增 `pkcs11-tools`公用程式。此公用程式可讓您執行下列動作：
+ 列出每張智慧卡。
+ 列出每張智慧卡上的插槽。
+ 列出每張智慧卡上的憑證。

可能導致問題的一些常見問題：
+ 插槽與憑證的對應不正確。
+ 智慧卡上有多個可比對使用者的憑證。使用下列條件比對憑證：
  + 憑證的根 CA。
  + 憑證的 `<KU>` 和 `<EKU>` 欄位。
  + 憑證主體中的 UPN。
+ 擁有多個憑證在其金鑰使用中有 `<EKU>msScLogin`。

一般而言，最好只有一個對應至智慧卡中第一個插槽的憑證用於智慧卡驗證。

用於管理智慧卡上憑證和金鑰的工具 (例如移除或重新對應憑證和金鑰) 可能是製造商特有的工具。您可用於處理智慧卡的其他工具包括：
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**若要啟用偵錯記錄功能**

若要對 `pam_pkcs11` 和 `pam-krb5` 組態進行疑難排解，您可以啟用偵錯記錄。

1. 在 `/etc/pam.d/system-auth-ac` 檔案中，編輯 `auth` 動作並將 `pam_pksc11.so` 的 `nodebug` 參數變更為 `debug`。

1. 在 `/etc/pam_pkcs11/pam_pkcs11.conf` 檔案中，將 `debug = false;` 變更為 `debug = true;`。`debug` 選項會個別套用於每個對應器模組，因此您可能需要直接在 `pam_pkcs11` 區段下以及適當的對應器區段下進行變更 (根據預設，這是 `mapper generic`)。

1. 在 `/etc/pam.d/system-auth-ac` 檔案中，編輯 `auth` 動作並將 `debug` 或 `debug_sensitive` 參數新增至 `pam_krb5.so`。

啟用偵錯記錄之後，系統會直接在作用中終端機中列印 `pam_pkcs11` 偵錯訊息。`pam_krb5` 來自的訊息已記錄於 `/var/log/secure`。

若要檢查智慧卡憑證對應的使用者名稱，請使用下列 `pklogin_finder` 命令：

```
sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf
```

出現提示時，輸入智慧卡 PIN。`pklogin_finder` 在 `stdout` 上以 `NETBIOS\username` 形式輸出智慧卡憑證上的使用者名稱。此使用者名稱應符合 WorkSpace 使用者名稱。

在 Active Directory Domain Services (AD DS) 中，NetBIOS 網域名稱是 Windows 2000 前的網域名稱。一般而言 (但不一定)，NetBIOS 網域名稱通常是網域名稱系統 (DNS) 網域名稱的子網域。例如，如果 DNS 網域名稱為 `example.com`，則 NetBIOS 網域通常為 `EXAMPLE`。如果 DNS 網域名稱為 `corp.example.com`，則 NetBIOS 名稱通常為 `CORP`。

例如，對於 網域 `corp.example.com` 中的使用者 `mmajor`，來自 `pklogin_finder` 的輸出為 `CORP\mmajor`。

**注意**  
如果您收到訊息 `"ERROR:pam_pkcs11.c:504: verify_certificate() failed"`，此訊息指出 `pam_pkcs11` 在智慧卡上找到符合使用者名稱條件的憑證，但該憑證並未鏈結至機器所辨識的根 CA 憑證。發生這種情況時，`pam_pkcs11` 會輸出上述訊息，然後嘗試下一個憑證。只有在找到符合使用者名稱並鏈結至已辨識根 CA 憑證的憑證時，才允許驗證。

若要對您的 `pam_krb5` 組態進行疑難排解，您可以使用下列命令在偵錯模式中手動調用 `kinit`：

```
KRB5_TRACE=/dev/stdout kinit -V
```

此命令應會成功取得 Kerberos 票證授予票證 (TGT)。如果失敗，請嘗試將正確的 Kerberos 主體名稱明確地新增至命令。例如，對於網域 `corp.example.com` 中的使用者 `mmajor`，請使用以下命令：

```
KRB5_TRACE=/dev/stdout kinit -V mmajor
```

如果這個命令成功，問題很可能是從 WorkSpace 使用者名稱到 Kerberos 主體名稱的對應。檢查 `/etc/krb5.conf` 檔案中的 `[appdefaults]/pam/mappings` 區段。

如果此命令不成功，但密碼型 `kinit` 命令確實成功，請檢查 `/etc/krb5.conf` 檔案中的 `pkinit_` 相關組態。例如，如果智慧卡包含多個憑證，您可能需要對 `pkinit_cert_match` 進行變更。

# 提供 WorkSpaces Personal 的網際網路存取
<a name="amazon-workspaces-internet-access"></a>

您的 WorkSpaces 必須能夠存取網際網路，才能將更新安裝到作業系統及部署應用程式。您可使用下列其中一個選項，允許虛擬私有雲端 (VPC) 中的 WorkSpaces 存取網際網路。

**選項**
+ 啟動您在私有子網路中的 WorkSpaces，並在您的 VPC 的私有子網路中設定 NAT 閘道。
+ 起動您在公用子網路中的 WorkSpaces，並自動或手動將公用 IP 地址指派給您的 WorkSpaces。

如需這些選項的詳細資訊，請參閱 [為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md) 中對應的章節。

使用這些選項的任何一個，您必須確保 WorkSpaces 的安全群組允許連接埠 80 (HTTP) 和 443 (HTTPS) 上的輸出流量傳輸至所有目的地 (`0.0.0.0/0`)。

**Amazon Linux Extras Library**  
如果您使用的是 Amazon Linux 儲存庫，您的 Amazon Linux WorkSpaces 必須具有網際網路存取權，或者您必須設定此儲存庫和主要 Amazon Linux 儲存庫的 VPC 端點。如需詳細資訊，請參閱 [Amazon S3 的端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html)中的<範例：啟用 Amazon Linux AMI 儲存庫的存取>**一節。Amazon Linux AMI 儲存庫是每個區域中的 Amazon S3 儲存貯體。如果您想要 VPC 中的執行個體透過端點存取儲存庫，請建立啟用存取這些儲存貯體的端點政策。下列政策允許存取 Amazon Linux 儲存庫。

```
{
  "Statement": [
    {
        "Sid": "AmazonLinux2AMIRepositoryAccess",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
        ]
    }
  ]
}
```

# WorkSpaces Personal 的安全群組
<a name="amazon-workspaces-security-groups"></a>

當您向 WorkSpaces 註冊目錄時，其會建立兩個安全群組，一個用於目錄控制器，另一個用於目錄中的 WorkSpaces。目錄控制器的安全群組有一個名稱，該名稱包含後面接著 **\$1controllers** 的目錄識別碼 (例如 d-12345678e1\$1controllers)。WorkSpaces 的安全群組有一個名稱，該名稱包含後面接著 **\$1workspacesMembers** 的目錄識別碼 (例如，d-123456fc11\$1workspacesMembers)。

**警告**  
避免修改、刪除或分離 **\$1controllers** 和 **\$1workspacesMembers **安全群組。修改或刪除這些安全群組時務必小心，因為您將無法重新建立這些群組，並在修改或刪除這些群組之後將其重新加回。如需詳細資訊，請參閱[適用於 Linux 執行個體的 Amazon EC2 安全群組](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-security-groups.html)和[適用於 Windows 執行個體的 Amazon EC2 安全群組](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2-security-groups.html)。

您可以將預設 WorkSpaces 安全群組新增至目錄。將新的安全群組與 WorkSpaces 目錄產生關聯後，您啟動的新 WorkSpaces 或您重新建置的現有 WorkSpaces 將具有新的安全群組。您也可以如本主題稍後所述，[將此新的預設安全群組新增至現有 WorkSpaces，而不需予以重新建置](#security_group_existing_workspace)。

當您將多個安全群組與一個 WorkSpaces 目錄建立關聯時，每個安全群組的規則都會有效彙總並建立一組規則。建議盡可能緊縮您的安全群組規則。

如需安全群組的詳細資訊，請參閱《Amazon VPC 使用者指南》**中的 [VPC 的安全群組](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_SecurityGroups.html)。

**將安全群組新增至 WorkSpaces 目錄**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取目錄，然後選擇**動作**、**更新詳細資訊**。

1. 展開**安全群組**，然後選取安全群組。

1. 選擇**更新並退出**。

若要將安全群組新增至現有 WorkSpace 而不需予以重新建置，您可以將新的安全群組指派給 WorkSpace 的彈性網路介面 (ENI)。

**將安全群組新增至現有的 WorkSpace**

1. 針對每個需要更新的 WorkSpace 尋找 IP 地址。

   1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

   1. 展開每個 WorkSpace 並記錄其 WorkSpace IP 地址。

1. 尋找每個 WorkSpace 的 ENI，並更新其安全群組指派。

   1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

   1. 在**網路與安全**之下，選擇**網路介面**。

   1. 搜尋您在步驟 1 中記錄的第一個 IP 地址。

   1. 選取與 IP 地址相關聯的 ENI，選擇**動作**，然後選擇**變更安全群組**。

   1. 選取新的安全群組，然後選擇**儲存**。

   1. 視需要對任何其他 WorkSpaces 重複此程序。

# WorkSpaces Personal 的 IP 存取控制群組
<a name="amazon-workspaces-ip-access-control-groups"></a>

Amazon WorkSpaces 可讓您控制可從哪些 IP 地址存取您的 WorkSpaces。使用以 IP 地址為基礎的控制群組，即可定義和管理受信任 IP 地址的群組，而且只允許使用者在連線到受信任的網路時存取其 WorkSpaces。

*IP 存取控制群組*可做為虛擬防火牆，以控制允許使用者存取其 WorkSpaces 的 IP 地址。若要指定 CIDR 位址範圍，請將規則新增至 IP 存取控制群組，然後將該群組與您的目錄建立關聯。每個 IP 存取控制群組最多可以新增 30 個規則，並且可以將每個 IP 存取控制群組與一或多個目錄建立關聯。每個 AWS 帳戶每個區域最多可以建立 140 個 IP 存取控制群組。不過，您最多只能將 35 個 IP 存取控制群組與單一目錄建立關聯。

預設 IP 存取控制群組與每個目錄相關聯。此預設群組包含允許使用者從任何地方存取其 WorkSpaces 的預設規則。您無法修改目錄的預設 IP 存取控制群組。如果您未將 IP 存取控制群組與您的目錄建立關聯，則會使用預設群組。如果您將 IP 存取控制群組與某個目錄建立關聯，則預設 IP 存取控制群組會取消關聯。

若要指定受信任網路的公用 IP 地址和 IP 地址範圍，請將規則新增至您的 IP 存取控制群組。如果使用者透過 NAT 閘道或 VPN 存取其 WorkSpaces，您必須建立規則，以允許來自 NAT 閘道或 VPN 之公用 IP 地址的流量。

**注意**  
IP 存取控制群組不允許對 NAT 使用動態 IP 地址。如果您使用 NAT，請將其設定為使用靜態 IP 地址，而非動態 IP 地址。確定 NAT 會在 WorkSpaces 工作階段期間透過相同的靜態 IP 地址路由傳送所有 UDP 流量。
IP 存取控制群組控制使用者可從中將其串流工作階段連線至 WorkSpaces 的 IP 地址。使用者仍然可以使用 Amazon WorkSpaces 公用 API，從任何 IP 地址執行諸如重新啟動、重新建置、關閉等功能。
為目錄設定串流的 VPC 端點時，IP 存取控制群組不適用。
當您變更 IP 存取控制時，作用中工作階段不會立即中斷；變更只會套用至新的工作階段。

您可以將此功能搭配 Web 存取、PCoIP 零客戶端及 macOS、iPad、Windows、Chromebook 和 Android 的用戶端應用程式使用。

## 建立 IP 存取控制群組
<a name="create-ip-access-control-group"></a>

您可以建立 IP 存取控制群組，如下所示。每個 IP 存取控制群組最多可包含 30 個規則。

**建立 IP 存取控制群組**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **IP 存取控制**。

1. 選擇**建立 IP 群組**。

1. 在**建立 IP 群組**對話方塊中，輸入群組的名稱和描述，然後選擇**建立**。

1. 選取群組，然後選擇**編輯**。

1. 針對每個 IP 地址，選擇**新增規則**。在**來源**中，輸入 IP 地址或 IP 地址範圍。在**描述**中，輸入描述。當您完成規則新增時，選擇**儲存**。

## 將 IP 存取控制群組與目錄建立關聯
<a name="associate-ip-access-control-group"></a>

您可以將 IP 存取控制群組與目錄建立關聯，確保只能從受信任的網路存取 WorkSpaces。

如果您將沒有規則的 IP 存取控制群組與目錄建立關聯，則會封鎖對所有 WorkSpaces 的所有存取。

**將 IP 存取控制群組與目錄建立關聯**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取目錄，然後選擇**動作**、**更新詳細資訊**。

1. 展開 **IP 存取控制群組**，然後選取一或多個 IP 存取控制群組。

1. 選擇**更新並退出**。

## 複製 IP 存取控制群組
<a name="copy-ip-access-control-group"></a>

您可使用現有的 IP 存取控制群組作為建立新 IP 存取控制群組的基礎。

**從現有 IP 存取控制群組建立 IP 存取控制群組**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **IP 存取控制**。

1. 選取群組，然後依序選擇**動作**、**複製到新的**。

1. 在**複製 IP 群組**對話方塊中，輸入新群組的名稱和描述，然後選擇**複製群組**。

1. (選用) 若要修改從原始群組複製的規則，請選取新群組並選擇**編輯**。視需要新增、更新或移除規則。選擇**儲存**。

## 建立 IP 存取控制群組。
<a name="delete-ip-access-control-group"></a>

您隨時可以從 IP 存取控制群組中刪除規則。如果您移除用來允許與 WorkSpace 連線的規則，使用者就會中斷與 WorkSpace 的連線。

您必須先取消 IP 存取控制群組與任何目錄的關聯，才能刪除該群組。

**刪除 IP 存取控制群組**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 針對與 IP 存取控制群組相關聯的每個目錄，選取目錄，然後依序選擇**動作**、**更新詳細資料**。展開 **IP 存取控制群組**，清除 IP 存取控制群組的核取方塊，然後選擇**更新並結束**。

1. 在導覽窗格中，選擇 **IP 存取控制**。

1. 選取群組，然後依序選擇**動作**、**刪除 IP 群組**。

# 為 WorkSpaces Personal 設定 PCoIP 零用戶端
<a name="set-up-pcoip-zero-client"></a>

PCoIP 零客戶端僅與使用 PCoIP 通訊協定的 WorkSpaces 套件相容。

如果零客戶端裝置的韌體版本為 6.0.0 版或更新版本，使用者即可直接連線至其 WorkSpaces。當使用者使用零客戶端裝置直接連線至其 WorkSpaces 時，建議您在 WorkSpaces 目錄使用多重要素驗證 (MFA)。如需在您的目錄使用 MFA 的詳細資訊，請參閱下列文件：
+ **AWS Managed Microsoft AD**—《AWS Directory Service 管理指南》**中的[啟用 AWS Managed Microsoft AD的多重要素驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)
+ **AD Connector**—《AWS Directory Service 管理指南》**中的[啟用 AD Connector 的多重要素驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)和[WorkSpaces Personal 的多重要素驗證 (AD Connector)](connect-mfa.md)
+ **信任的網域**—《AWS Directory Service 管理指南》**中的[啟用 AWS Managed Microsoft AD的多重要素驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)
+ **Simple AD**—多重要素驗證不適用於 Simple AD。

自 2021 年 4 月 13 日起，PCoIP Connection Manager 不再支援搭配 4.6.0 到 6.0.0 之間的零客戶端裝置韌體版本使用。如果零客戶端韌體不是 6.0.0 版或更新版本，您可以透過桌面存取訂閱 (網址為 [https://www.teradici.com/desktop-access](https://www.teradici.com/desktop-access)) 取得最新的韌體。

**重要**  
在 Teradici PCoIP 管理 Web 介面 (AWI) 或 Teradici PCoIP 管理主控台 (MC) 中，確定啟用網路時間通訊協定 (NTP)。對於 NTP 主機 DNS 名稱，使用 **pool.ntp.org**，並將 NTP 主機連接埠設定為 **123**。如果未啟用 NTP，PCoIP 零客戶端使用者可能會收到憑證失敗錯誤，例如「提供的憑證因時間戳記而無效」。
從 PCoIP 代理程式 20.10.4 版開始，Amazon WorkSpaces 預設會透過 Windows 登錄停用 USB 重新導向。當使用者使用 PCoIP 零客戶端裝置來連線至其 WorkSpaces 時，此登錄設定會影響 USB 周邊設備的行為。如需詳細資訊，請參閱[USB 印表機和其他 USB 周邊設備不適用於 PCoIP 零客戶端](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb)。

如需有關設定和連接 PCoIP 零客戶端裝置的資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [PCoIP 零客戶端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html)。如需核准的 PCoIP 零客戶端裝置清單，請參閱 Terdici 網站上的 [PCoIP 零客戶端](https://www.teradici.com/resource-center/product-service-finder/pcoip-zero-clients)。

# 為 WorkSpaces Personal 設定 Android for Chromebook
<a name="set-up-android-chromebook"></a>

版本 2.4.13 是 Amazon WorkSpaces Chromebook 用戶端應用程式的最終版本。由於 [Google 正逐步淘汰對 Chrome 應用程式的支援](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html)，因此不會進一步更新 WorkSpaces Chromebook 用戶端應用程式，而且不支援其使用。

對於[支援安裝 Android 應用程式的 Chromebook](https://www.chromium.org/chromium-os/chrome-os-systems-supporting-android-apps/)，我們建議改用 [WorkSpaces Android 用戶端應用程式](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html)。

在 2019 年之前推出的某些 Chromebook 必須先啟用來[安裝 Android 應用程式](https://support.google.com/chromebook/answer/7021273)，使用者才能安裝 Amazon WorkSpaces Android 用戶端應用程式。如需詳細資訊，請參閱[支援 Android 應用程式的 Chrome 作業系統](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps)。

若要遠端管理以便讓使用者的 Chromebook 安裝 Android 應用程式，請參閱[在 Chrome 裝置上設定 Android](https://support.google.com/chrome/a/topic/9042368)。

# 啟用和設定 WorkSpaces Personal 的 WorkSpaces Web 存取
<a name="web-access"></a>

大部分的 WorkSpaces 套件都支援 Amazon WorkSpaces Web Access。如需支援 Web 瀏覽器存取的 WorkSpaces 清單，請參閱「哪些 Amazon WorkSpaces 套件支援 Web Access？」 (出自[用戶端存取、Web 存取和使用者體驗](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience))。

**注意**  
自 2025 年 11 月 7 日起，Amazon WorkSpaces PCoIP Web Access 不再開放給新客戶使用。此功能未來只會收到重要的功能和安全性更新。如需詳細資訊，請參閱 [Amazon WorkSpaces 使用者指南](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html)。
可使用 DCV WorkSpaces 的所有區域都支援 DCV for Windows 和 Ubuntu WorkSpaces 的 Web Access。Amazon Linux WorkSpaces 的 DCV 僅適用於 AWS GovCloud （美國西部）。
我們強烈建議搭配 DCV WorkSpaces 使用 Web Access，以獲得最佳串流品質和使用者體驗。以下是搭配 PCoIP WorkSpaces 使用 Web Access 時的限制：  
、亞太區域 （孟買） AWS GovCloud (US) Regions、非洲 （開普敦）、歐洲 （法蘭克福） 和以色列 （特拉維夫） 不支援使用 PCoIP 存取 Web
使用 PCoIP 的 Web 存取僅支援 Windows WorkSpaces，不支援 Amazon Linux 或 Ubuntu WorkSpaces。
某些使用 PCoIP 通訊協定的 Windows 10 WorkSpaces 無法使用 Web Access。如果您的 PCoIP WorkSpaces 採用 Windows Server 2019 或 2022 技術，則無法使用 Web Access。
使用 PCoIP 的 Web Access 在功能中受到限制。它支援視訊輸出、音訊輸出、鍵盤和滑鼠。它不支援許多功能，包括視訊輸入、音訊輸入、剪貼簿重新導向和網路攝影機。
如果您在 VPN 上使用 macOS 並使用 Firefox Web 瀏覽器，則 Web 瀏覽器不支援使用 WorkSpaces Web Access 串流 PCoIP WorkSpaces。這是由於 WebRTC 協定的 Firefox 實作限制。

**重要**  
自 2020 年 10 月 1 日起，客戶無法再使用 Amazon WorkSpaces Web Access 用戶端來連線到 Windows 7 自訂 WorkSpaces 或 Windows 7 自帶授權 (BYOL) WorkSpaces。

## 步驟 1：啟用對 WorkSpaces 的 Web Access。
<a name="enable-web-access"></a>

您可以在目錄層級控制對 WorkSpaces 的 Web Access。針對包含您要允許使用者透過 Web Access 用戶端存取之 WorkSpaces 的每個目錄，執行下列步驟。

**啟用對 WorkSpaces 的 Web Access**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 在**目錄 ID** 欄下，選擇您要啟用 Web Access 之目錄的目錄 ID。

1. 在**目錄詳細資訊**頁面上，向下捲動至**其他平台**區段，然後選擇**編輯**。

1. 選擇 **Web Access**。

1. 選擇**儲存**。

**注意**  
啟用 Web Access 之後，請重新啟動 WorkSpace 以套用變更。

## 步驟 2：設定 Web Access 連接埠的輸入和輸出存取
<a name="configure_inbound_outbound"></a>

Amazon WorkSpaces Web Access 需要特定連接埠的輸入和出站存取權。如需詳細資訊，請參閱[適用於 Web Access 的連接埠](workspaces-port-requirements.md#web-access-ports)。

## 步驟 3：設定群組政策和安全政策設定，讓使用者能夠登入
<a name="configure_group_policy"></a>

Amazon WorkSpaces 依賴特定登入畫面組態，讓使用者能夠從其 Web Access 用戶端成功登入。

若要讓 Web Access 使用者登入其 WorkSpaces，您必須設定群組政策設定和三個安全政策設定。如果未正確進行這些設定，使用者在嘗試登入其 WorkSpaces 時可能會遇到冗長的登入時間或畫面變黑。若要進行這些設定，請使用下列程序。

您可以使用群組政策物件 (GPO) 來套用設定，以管理 Windows WorkSpaces 或屬於 Windows WorkSpaces 目錄的使用者。我們建議您為 WorkSpaces 電腦物件建立組織單位，以及為 WorkSpaces 使用者物件建立組織單位。

如需有關使用 Active Directory 管理工具來處理 GPO 的詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[安裝 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)。

**讓 WorkSpaces 登入代理程式能夠切換使用者**

在大多數情況下，當使用者嘗試登入 WorkSpace 時，使用者名稱欄位會預先填入該使用者的名稱。但是，如果管理員已建立與 WorkSpace 的 RDP 連線以執行維護工作，則使用者名稱欄位會改為填入管理員的名稱。

若要避免此問題，請停用**隱藏快速使用者切換的進入點**群組政策設定。當您停用此設定時，WorkSpaces 登入代理程式可使用**切換使用者**按鈕，以正確的名稱填入使用者名稱欄位。

1. 開啟群組政策管理工具 (**gpmc.msc**)，然後瀏覽至您用於 WorkSpaces 之目錄的網域或網域控制站層級的 GPO 並加以選取。(如果您的網域中已安裝 [WorkSpaces 群組政策管理範本](group_policy.md#gp_install_template)，您可以將 WorkSpaces GPO 用於您的 WorkSpaces 機器帳戶。)

1. 在主要功能表中依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**系統**和**登入**。

1. 開啟**隱藏快速使用者切換的進入點**設定。

1. 在**隱藏快速使用者切換的進入點**對話方塊中，選擇**停用**，然後選擇**確定**。

預設會顯示上次登入的使用者清單，而不是**切換使用者**按鈕。視 WorkSpace 的組態而定，清單可能不會顯示**其他使用者**圖磚。發生這種情況時，如果預先填入的使用者名稱不正確，WorkSpaces 登入代理程式無法在欄位中填入正確的名稱。

若要避免此問題，請啟用安全政策設定**互動式登入：不顯示上次登入**或**互動式登入：不要顯示最後一個使用者名稱** (視您使用的 Windows 版本而定)。

**隱藏上次登入的使用者名稱**

1. 開啟群組政策管理工具 (**gpmc.msc**)，然後瀏覽至您用於 WorkSpaces 之目錄的網域或網域控制站層級的 GPO 並加以選取。(如果您的網域中已安裝 [WorkSpaces 群組政策管理範本](group_policy.md#gp_install_template)，您可以將 WorkSpaces GPO 用於您的 WorkSpaces 機器帳戶。)

1. 在主要功能表中依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**Windows 設定**、**安全設定**、**本機政策**和**安全選項**。

1. 開啟下列其中一個設定：
   + 對於 Windows 7—**互動式登入：不顯示上次登入**
   + 對於 Windows 10—**互動式登入：不顯示最後一個使用者名稱**

1. 在設定的**屬性**對話方塊中，選擇**啟用**，然後選擇**確定**。

**要求在使用者登入之前按 CTRL\$1ALT\$1DEL**

對於 WorkSpaces Web Access，您必須要求使用者在登入前按 CTRL\$1ALT\$1DEL 鍵。要求使用者在登入前按 CTRL\$1ALT\$1DEL，可確保使用者在輸入密碼時使用信任的路徑。

1. 開啟群組政策管理工具 (**gpmc.msc**)，然後瀏覽至您用於 WorkSpaces 之目錄的網域或網域控制站層級的 GPO 並加以選取。(如果您的網域中已安裝 [WorkSpaces 群組政策管理範本](group_policy.md#gp_install_template)，您可以將 WorkSpaces GPO 用於您的 WorkSpaces 機器帳戶。)

1. 在主要功能表中依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**Windows 設定**、**安全設定**、**本機政策**和**安全選項**。

1. 開啟**互動式登入：不需要 CTRL\$1ALT\$1DEL** 設定。

1. 在**本機安全設定**索引標籤上，選擇**停用**，然後選擇**確定**。

**在工作階段鎖定時顯示網域和使用者資訊**

WorkSpaces 登入代理程式會尋找使用者的名稱和網域。設定此設定之後，螢幕鎖定畫面會顯示使用者的全名 (如果在 Active Directory 中指定)、其網域名稱及其使用者名稱。

1. 開啟群組政策管理工具 (**gpmc.msc**)，然後瀏覽至您用於 WorkSpaces 之目錄的網域或網域控制站層級的 GPO 並加以選取。(如果您的網域中已安裝 [WorkSpaces 群組政策管理範本](group_policy.md#gp_install_template)，您可以將 WorkSpaces GPO 用於您的 WorkSpaces 機器帳戶。)

1. 在主要功能表中依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**Windows 設定**、**安全設定**、**本機政策**和**安全選項**。

1. 開啟**互動式登入：當工作階段鎖定時顯示使用者資訊**設定。

1. 在**本機安全設定**索引標籤上，選擇**使用者顯示名稱、網域和使用者名稱**，然後選擇**確定**。

**套用群組政策和安全政策設定變更**  
在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後，群組政策和安全政策設定變更就會生效。若要在先前的程序中套用群組政策和安全政策變更，請執行下列其中一項操作：
+ 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
+ 在管理命令提示中輸入 **gpupdate /force**。

# 設定 WorkSpaces 精簡型客戶端
<a name="access-control-awstc"></a>

大多數 WorkSpaces 套件支援 Amazon WorkSpaces 精簡型客戶端存取。如需支援 Web 瀏覽器存取的 WorkSpaces 清單，請參閱「哪些 Amazon WorkSpaces 套件支援精簡型用戶端存取？」 (出自[用戶端存取、Web 存取和使用者體驗](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience))。

## 步驟 1：啟用對 Amazon WorkSpaces 精簡型客戶端的存取控制
<a name="enable-access-control-awstc"></a>

您可以使用以使用者代理程式為基礎的存取控制，在目錄層級控制對 WorkSpaces 的精簡型用戶端存取。對於每個包含 WorkSpaces 的目錄，您要允許使用者透過精簡型用戶端存取用戶端存取 ，請執行下列步驟。

**啟用對 WorkSpaces 的精簡型客戶端存取**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 在**目錄 ID** 欄下，選擇要啟用精簡型客戶端存取之目錄的目錄 ID。

1. 在**目錄詳細資訊**頁面上，向下捲動至**其他平台**區段，然後選擇**編輯**。

1. 選取 **WorkSpaces 精簡型客戶端**。

1. 選擇**儲存**。

## 步驟 2：設定精簡型客戶端存取連接埠的傳入和傳出存取
<a name="configure_inbound_outbound_awstc"></a>

Amazon WorkSpaces 精簡型客戶端存取需要特定連接埠的傳入和傳出存取。如需詳細資訊，請參閱[適用於 Web Access 的連接埠](workspaces-port-requirements.md#web-access-ports)。

## 步驟 3：設定群組政策和安全政策設定，讓使用者能夠登入
<a name="configure_group_policy-awstc"></a>

Amazon WorkSpaces 倚賴特定的登入畫面組態，讓使用者能夠從其精簡型客戶端存取用戶端成功登入。

1. 若要讓精簡型客戶端存取使用者登入其 WorkSpaces，您必須設定群組政策設定和三個安全政策設定。如果未正確進行這些設定，使用者在嘗試登入其 WorkSpaces 時可能會遇到冗長的登入時間或畫面變黑。若要進行這些設定，請使用下列程序。

1. 您可以使用群組政策物件 (GPO) 來套用設定，以管理 Windows WorkSpaces 或屬於 Windows WorkSpaces 目錄的使用者。我們建議您為 WorkSpaces 電腦物件建立組織單位，以及為 WorkSpaces 使用者物件建立組織單位。

1. 如需有關使用 Active Directory 管理工具來處理 GPO 的詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[安裝 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)。

1. 在大多數情況下，當使用者嘗試登入 WorkSpace 時，使用者名稱欄位會預先填入該使用者的名稱。但是，如果管理員已建立與 WorkSpace 的 RDP 連線以執行維護工作，則使用者名稱欄位會改為填入管理員的名稱。

1. 若要避免此問題，請停用**隱藏快速使用者切換的進入點**群組政策設定。當您停用此設定時，WorkSpaces 登入代理程式可使用**切換使用者**按鈕，以正確的名稱填入使用者名稱欄位。

**讓 WorkSpaces 登入代理程式能夠切換使用者**

1. 開啟群組政策管理工具 (**gpmc.msc**)，然後瀏覽至您用於 WorkSpaces 之目錄的網域或網域控制站層級的 GPO 並加以選取。(如果您的網域中已安裝 [WorkSpaces 群組政策管理範本](group_policy.md#gp_install_template)，您可以將 WorkSpaces GPO 用於您的 WorkSpaces 機器帳戶。)

1. 在主要功能表中依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**系統**和**登入**。

1. 開啟**隱藏快速使用者切換的進入點**設定。

1. 在**隱藏快速使用者切換的進入點**對話方塊中，選擇**停用**，然後選擇**確定**。

預設會顯示上次登入的使用者清單，而不是**切換使用者**按鈕。視 WorkSpace 的組態而定，清單可能不會顯示**其他使用者**圖磚。發生這種情況時，如果預先填入的使用者名稱不正確，WorkSpaces 登入代理程式無法在欄位中填入正確的名稱。

若要避免此問題，請啟用安全政策設定**互動式登入：不顯示上次登入**或**互動式登入：不要顯示最後一個使用者名稱** (視您使用的 Windows 版本而定)。

**隱藏上次登入的使用者名稱**

1. 開啟群組政策管理工具 (**gpmc.msc**)，然後瀏覽至您用於 WorkSpaces 之目錄的網域或網域控制站層級的 GPO 並加以選取。(如果您的網域中已安裝 [WorkSpaces 群組政策管理範本](group_policy.md#gp_install_template)，您可以將 WorkSpaces GPO 用於您的 WorkSpaces 機器帳戶。)

1. 在主要功能表中依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**Windows 設定**、**安全設定**、**本機政策**和**安全選項**。

1. 開啟下列其中一個設定：
   + 對於 Windows 7—**互動式登入：不顯示上次登入**
   + 對於 Windows 10—**互動式登入：不顯示最後一個使用者名稱**

1. 在設定的**屬性**對話方塊中，選擇**啟用**，然後選擇**確定**。

對於 WorkSpaces 精簡型客戶端存取，您需要要求使用者先按 CTRL\$1ALT\$1DEL 才能登入。要求使用者在登入前按 CTRL\$1ALT\$1DEL，可確保使用者在輸入密碼時使用信任的路徑。

**要求在使用者登入之前按 CTRL\$1ALT\$1DEL**

1. 開啟群組政策管理工具 (**gpmc.msc**)，然後瀏覽至您用於 WorkSpaces 之目錄的網域或網域控制站層級的 GPO 並加以選取。(如果您的網域中已安裝 [WorkSpaces 群組政策管理範本](group_policy.md#gp_install_template)，您可以將 WorkSpaces GPO 用於您的 WorkSpaces 機器帳戶。)

1. 在主要功能表中依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**Windows 設定**、**安全設定**、**本機政策**和**安全選項**。

1. 開啟**互動式登入：不需要 CTRL\$1ALT\$1DEL** 設定。

1. 在**本機安全設定**索引標籤上，選擇**停用**，然後選擇**確定**。

WorkSpaces 登入代理程式會尋找使用者的名稱和網域。設定此設定之後，螢幕鎖定畫面會顯示使用者的全名 (如果在 Active Directory 中指定)、其網域名稱及其使用者名稱。

**在工作階段鎖定時顯示網域和使用者資訊**

1. 開啟群組政策管理工具 (**gpmc.msc**)，然後瀏覽至您用於 WorkSpaces 之目錄的網域或網域控制站層級的 GPO 並加以選取。(如果您的網域中已安裝 [WorkSpaces 群組政策管理範本](group_policy.md#gp_install_template)，您可以將 WorkSpaces GPO 用於您的 WorkSpaces 機器帳戶。)

1. 在主要功能表中依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**Windows 設定**、**安全設定**、**本機政策**和**安全選項**。

1. 開啟**互動式登入：當工作階段鎖定時顯示使用者資訊**設定。

1. 在**本機安全設定**索引標籤上，選擇**使用者顯示名稱、網域和使用者名稱**，然後選擇**確定**。

在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後，群組政策和安全政策設定變更就會生效。若要在先前的程序中套用群組政策和安全政策變更，請執行下列其中一項操作：

**套用群組政策和安全政策設定變更**

1. 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。

1. 在管理命令提示中輸入 **gpupdate /force**。

# 設定 WorkSpaces Personal 的 FedRAMP 授權或 DoD SRG 合規
<a name="fips-encryption"></a>

若要符合[聯邦政府風險與授權管理計畫 (FedRAMP)](https://aws.amazon.com/compliance/fedramp/) 或[國防部 (DoD) 雲端運算安全要求指南 (SRG)](https://aws.amazon.com/compliance/dod/)的規範，您必須設定 Amazon WorkSpaces，以在目錄層級使用聯邦政府資訊處理標準 (FIPS) 端點加密。您也必須使用具有 FedRAMP 授權或符合 DoD SRG 規範的美國 AWS 區域。

FedRAMP 授權層級 （中度或高度） 或 DoD SRG 影響層級 (2、4 或 5) 取決於使用 Amazon WorkSpaces 的美國 AWS 區域。

如需適用於每個區域的 FedRAMP 授權和 DoD SRG 合規層級，請參閱[合規計畫範圍內的AWS 服務](https://aws.amazon.com/compliance/services-in-scope/)。

**注意**  
除了使用 FIPS 端點加密之外，您也可以將您的 WorkSpaces 加密。如需詳細資訊，請參閱[WorkSpaces Personal 中的加密 WorkSpaces](encrypt-workspaces.md)。

**需求**
+ 您必須在[具有 FedRAMP 授權或符合 DoD SRG 的美國 AWS 區域中](https://aws.amazon.com/compliance/services-in-scope/)建立 WorkSpaces。
+ WorkSpaces 目錄必須設定為使用 **FIPS 140-2 驗證模式**進行端點加密。
**注意**  
若要使用 **FIPS 140-2 驗證模式**設定，WorkSpaces 目錄必須是新的，或目錄中所有現有的 WorkSpaces 都必須使用 **FIPS 140-2 驗證模式**進行端點加密。否則，您無法使用此設定，因此您建立的 WorkSpaces 將不符合 FedRAMP 或 DoD 安全需求。  
如需如何驗證目錄的詳細資訊，請參閱下面的[步驟 3](#step3-fips)。
+ 使用者必須從下列其中一個 WorkSpaces 用戶端應用程式存取其 WorkSpaces：
  + Windows：2.4.3 或更新版本
  + macOS：PCoIP WorkSpaces 為 2.4.3 或更新版本，DCV WorkSpaces 為 5.21.0 或更新版本
  + Linux：3.0.0 或更新版
  + iOS：2.4.1 或更新版本
  + Android：2.4.1 或更新版本
  + Fire 平板電腦：2.4.1 或更新版本
  + ChromeOS：2.4.1 或更新版本
  + Web Access

**使用 FIPS 端點加密**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 確認您要在其中建立已獲 FedRAMP 授權且符合 DOD SRG 規範之 WorkSpaces 的目錄沒有任何與其相關聯的現有 WorkSpaces。如果有與此目錄相關聯的 WorkSpaces，且尚未啟用目錄以使用 FIPS 140-2 驗證模式，請終止 WorkSpaces 或建立新目錄。

1. 選擇符合上述條件的目錄，然後依序選擇**動作**、**更新詳細資訊**。

1. <a name="step3-fips"></a>在**更新目錄詳細資訊**頁面上，選擇箭號以展開**存取控制選項**區段。

1. 針對**端點加密**，選擇 **FIPS 140-2 驗證模式**，而不是 **TLS 加密模式 (標準)**。

1. 選擇**更新並結束**。

1. 您現在可以從這個目錄建立已獲 FedRAMP 授權且符合 DoD SRG 規範的 WorkSpaces。若要存取這些 WorkSpaces，使用者必須使用[需求](#fedramp-requirements)一節中先前所列的其中一個 WorkSpaces 用戶端應用程式。

# 在 WorkSpaces Personal 中啟用 Linux WorkSpaces 的 SSH 連線
<a name="connect-to-linux-workspaces-with-ssh"></a>

如果您或您的使用者想要使用命令列連線到 Linux WorkSpaces，您可以啟用 SSH 連線。您可以啟用對目錄中所有 WorkSpaces 或目錄中個別 WorkSpaces 的 SSH 連線。

若要啟用 SSH 連線，您可以建立新的安全群組或更新現有安全群組，並為此目的新增規則來允許輸入流量。安全群組就像是防火牆，用於關聯的執行個體，可在執行個體層級控制傳入及傳出流量。在您建立或更新安全群組之後，您的使用者和其他人可以使用 PuTTY 或其他終端機，從其裝置連線至您的 Linux WorkSpaces。如需詳細資訊，請參閱[WorkSpaces Personal 的安全群組](amazon-workspaces-security-groups.md)。

如需影片教學課程，請參閱 AWS 知識中心的[如何使用 SSH 連線到我的 Linux Amazon WorkSpaces？](https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/)。本教學課程僅適用於 Amazon Linux 2 WorkSpaces。

**Topics**
+ [SSH 連線至 Linux WorkSpaces 的先決條件](#before-you-begin-enable-ssh-linux-workspaces)
+ [啟用對目錄中所有 Linux WorkSpaces 的 SSH 連線](#enable-ssh-directory-level-access-linux-workspaces)
+ [WorkSpaces 中的密碼型身分驗證](#enable-ssh-access-old-version)
+ [啟用特定 Linux WorkSpace 的 SSH 連線](#enable-ssh-access-specific-linux-workspace)
+ [使用 Linux 或 PuTTY 連線至 Linux WorkSpace](#ssh-connection-linux-workspace-using-linux-or-putty)

## SSH 連線至 Linux WorkSpaces 的先決條件
<a name="before-you-begin-enable-ssh-linux-workspaces"></a>
+ 啟用傳入 SSH 流量至 WorkSpace — 若要新增規則以允許傳入 SSH 流量至一或多個 Linux WorkSpaces，請確定您擁有需要 SSH 連線至 WorkSpaces 之裝置的公有或私有 IP 地址。例如，您可以指定虛擬私有雲端 (VPC) 外部裝置的公用 IP 地址，或指定與 WorkSpace 相同 VPC 中另一個 EC2 執行個體的私有 IP 地址。

  如果您打算從本機裝置連線至 WorkSpace，您可以在網際網路瀏覽器中使用「我的 IP 地址為何」搜尋字詞，或使用下列服務：[檢查 IP](https://checkip.amazonaws.com/)。
+ 連線至 WorkSpace — 啟動從裝置到 Linux WorkSpace 的 SSH 連線時需要以下資訊。
  + 您所連線到的 Active Directory 網域的 NetBIOS 名稱。
  + 您的 WorkSpace 使用者名稱。
  + 您想要連線到的 WorkSpace 的公用或私有 IP 地址。

    私有：如果您的 VPC 連結到公司網路，而且您可以存取該網路，則可以指定 WorkSpace 的私有 IP 地址。

    公用：如果您的 WorkSpace 具有公用 IP 地址，您可以使用 WorkSpaces 主控台來尋找公用 IP 地址，如下列程序所述。

**尋找您要連線之 Linux WorkSpace 的 IP 地址和使用者名稱**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 在 WorkSpaces 清單中，選擇您要啟用 SSH 連線的 WorkSpace。

1. 在**執行中模式**欄中，確認 WorkSpace 狀態為**可用**。

1. 按一下 WorkSpace 名稱左側的箭頭以顯示內嵌摘要，並記下以下資訊：
   + **WorkSpace IP**。這是 WorkSpace 的私有 IP 地址。

     取得與 WorkSpace 相關聯的彈性網路介面時需要私有 IP 地址。需要網路介面才能擷取資訊，例如與 WorkSpace 相關聯的安全群組或公用 IP 地址。
   + WorkSpace **使用者名稱**。這是您指定用來連線至 WorkSpace 的使用者名稱。

1. 開啟 Amazon EC2 主控台，網址為 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。

1. 在導覽窗格中，選擇 **Network Interfaces** (網路介面)。

1. 在搜尋方塊中，輸入您在步驟 5 中記下的 **WorkSpace IP**。

1. 選取與 **WorkSpace IP** 相關聯的網路介面。

1. 如果您的 WorkSpace 具有公用 IP 地址，其會顯示在 **IPv4 公用 IP** 欄中。請記下此位址 (若適用)。

**若要尋找您所連線到的 Active Directory 網域的 NetBIOS 名稱**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1. 在目錄清單中，按一下 WorkSpace 目錄的**目錄 ID** 連結。

1. 在**目錄詳細資料**區段中，記下**目錄 NetBIOS 名稱**。

## 啟用對目錄中所有 Linux WorkSpaces 的 SSH 連線
<a name="enable-ssh-directory-level-access-linux-workspaces"></a>

若要啟用與目錄中所有 Linux WorkSpaces 的 SSH 連線，請執行下列動作。

**使用規則建立安全群組，以允許傳入 SSH 流量傳送至目錄中的所有 Linux WorkSpaces**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格中，選擇 **Security Groups** (安全群組)。

1. 選擇 **Create Security Group** (建立安全群組)。

1. 為您的安全群組輸入名稱和 (選擇) 描述。

1. 針對 **VPC**，選擇包含您要啟用 SSH 連線之 WorkSpaces 的 VPC。

1. 在**傳入**索引標籤上，選擇**新增規則**，然後執行下列操作：
   + 針對 **Type** (類型)，選擇 **SSH**。
   + 針對**通訊協定**，當您選擇 **SSH** 時會自動指定 TCP。
   + 針對**連接埠範圍**，當您選擇 **SSH** 時會自動指定 22。
   + 針對**來源**，指定使用者將用來連線至其 WorkSpaces 之電腦的公用 IP 地址的 CIDR 範圍。例如，企業網路或家用網路。
   + (選用) 針對**描述**，輸入規則的描述。

1. 選擇**建立**。

1. 將此安全群組連接至 WorkSpaces。如需將此安全群組新增至 WorkSpaces 的詳細資訊，請參閱 [WorkSpaces Personal 的安全群組](amazon-workspaces-security-groups.md)。如果您想要自動將其他安全群組連接到 WorkSpaces，請參閱此[部落格文章](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/)。

## WorkSpaces 中的密碼型身分驗證
<a name="enable-ssh-access-old-version"></a>

**在新建立的 Linux WorkSpaces 中啟用密碼身分驗證**

1. 啟動 WorkSpaces 用戶端並登入您的 WorkSpace。

1. 開啟終端機視窗。

1. 在終端機視窗中，執行下列命令以在 cloud-init 中啟用 SSH 密碼驗證。

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: true" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single --name set-passwords'
   ```

   此指令碼將執行下列動作：
   + 在 cloud-init 目錄中建立組態檔案`/etc/cloud/cloud.cfg.d/`。
   + 修改組態檔案，告知 cloud-init 啟用 SSH 密碼身分驗證。
   + 重設 `set-passwords` cloud-init 模組，以便再次執行。
   + 自行執行 `set-passwords` cloud-init 模組。這會將啟用 SSH 密碼身分驗證的檔案寫入 SSH 組態目錄 `/etc/ssh/sshd_config.d/`，然後重新啟動 SSHD，以便立即進行設定。

 這會在 WorkSpace 上啟用 SSH 密碼身分驗證，並透過自訂映像保留。如果您僅在 SSHD 組態檔案中啟用 SSH 密碼身分驗證，但未設定 cloud-init，則設定不會在某些 Linux WorkSpaces 上透過映像保留。如需詳細資訊，請參閱 cloud-init 模組文件中[的設定密碼]()。

**在現有的 Linux WorkSpaces 中停用密碼身分驗證**

1. 啟動 WorkSpaces 用戶端並登入您的 WorkSpace。

1. 開啟終端機視窗。

1. 在終端機視窗中，執行下列命令來停用 cloud-init 中的 SSH 密碼驗證。

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: false" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single —name set-passwords'
   ```

   此指令碼將執行下列動作：
   + 在 cloud-init 目錄中建立組態檔案`/etc/cloud/cloud.cfg.d/`。
   + 修改組態檔案，指示 cloud-init 停用 SSH 密碼身分驗證。
   + 重設 `set-passwords` cloud-init 模組，以便再次執行。
   + 自行執行 `set-passwords` cloud-init 模組。這會將啟用 SSH 密碼身分驗證的檔案寫入 SSH 組態目錄 `/etc/ssh/sshd_config.d/`，然後重新啟動 SSHD，以便立即進行設定。

這會立即停用 WorkSpace 中的 SSH，並透過自訂映像保留。

## 啟用特定 Linux WorkSpace 的 SSH 連線
<a name="enable-ssh-access-specific-linux-workspace"></a>

若要啟用特定 Linux WorkSpace 的 SSH 連線，請執行下列動作。

**將規則新增至現有的安全群組，以允許傳入 SSH 流量至特定 Linux WorkSpace**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格的 **Network & Security (網路與安全)** 中，選擇 **Network Interfaces (網路界面)**。

1. 在搜尋列中，輸入您要啟用 SSH 連線之 WorkSpace 的私有 IP 地址。

1. 在**安全群組**欄中，按一下安全群組的連結。

1. 在 **Inbound (傳入)** 標籤上，選擇 **Edit (編輯)**。

1. 選擇**新增規則**，然後執行下列操作：
   + 針對 **Type** (類型)，選擇 **SSH**。
   + 針對**通訊協定**，當您選擇 **SSH** 時會自動指定 TCP。
   + 針對**連接埠範圍**，當您選擇 **SSH** 時會自動指定 22。
   + 針對**來源**，選擇**我的 IP** 或**自訂**，然後以 CIDR 標記法指定單一 IP 地址或 IP 地址範圍。例如，若您的 IPv4 地址為 `203.0.113.25`，請指定 `203.0.113.25/32`，藉此以 CIDR 表示法列出此單一 IPv4 地址。如果您的公司會分配某個範圍的地址，請指定整個範圍 (例如 `203.0.113.0/24`)。
   + (選用) 針對**描述**，輸入規則的描述。

1. 選擇**儲存**。

## 使用 Linux 或 PuTTY 連線至 Linux WorkSpace
<a name="ssh-connection-linux-workspace-using-linux-or-putty"></a>

在您建立或更新安全群組並新增必要規則之後，您的使用者和其他使用者即可使用 Linux 或 PuTTY 從他們的裝置連線到 WorkSpaces。

**注意**  
完成下列任一程序之前，請確定您有下列各項：  
您所連線到的 Active Directory 網域的 NetBIOS 名稱。
您用來連線至 WorkSpace 的使用者名稱。
您想要連線到的 WorkSpace 的公用或私有 IP 地址。
如需如何取得此資訊的說明，請參閱本主題稍早的「SSH 連線至 Linux WorkSpaces 的先決條件」。

**使用 Linux 連線至 Linux WorkSpace**

1. 以管理員身分開啟命令提示並輸入下列命令。針對 *NetBIOS 名稱*、*使用者名稱*和 *WorkSpace IP*，輸入適用的值。

   ```
   ssh "NetBIOS_NAME\Username"@WorkSpaceIP
   ```

   以下是 SSH 命令的範例，其中：
   + *NetBIOS\$1NAME* 是任何公司
   + *Username* 是 janedoe
   + *WorkSpace IP* 是 203.0.113.25

   ```
   ssh "anycompany\janedoe"@203.0.113.25
   ```

1. 出現提示時，請輸入在向 WorkSpaces 用戶端驗證時所使用的相同密碼 (您的 Active Directory 密碼)。

**使用 PuTTY 連線至 Linux WorkSpace**

1. 開啟 PuTTY。

1. 在 **PuTTY 組態**對話方塊中，執行下列操作：
   + 針對**主機名稱 (或 IP 地址)**，輸入下列命令。將這些值取代為您連線到的 Active Directory 網域的 NetBIOS 名稱、您用來連線至 WorkSpace 的使用者名稱，以及您要連線到的 WorkSpace 的 IP 地址。

     ```
     NetBIOS_NAME\Username@WorkSpaceIP
     ```
   + 針對**連接埠**，輸入 **22**。
   + 針對**連線類型**，選擇 **SSH**。

   如需 SSH 命令的範例，請參閱先前程序中的步驟 1。

1.  選擇 **Open** (開啟)。

1. 出現提示時，請輸入在向 WorkSpaces 用戶端驗證時所使用的相同密碼 (您的 Active Directory 密碼)。

# WorkSpaces Personal 所需的組態和服務元件
<a name="required-service-components"></a>

身為 WorkSpace 管理員，您必須瞭解下列所需的組態和服務元件。
+ [所需的路由表組態](#routing-table-configuration)
+ [Windows 所需的服務元件](#required-service-components-windows)
+ [Linux 所需的服務元件](#required-service-components-linux)
+ [Ubuntu 所需的服務元件](#required-service-components-ubuntu)
+ [Rocky Linux 所需的服務元件](#required-service-components-rocky)
+ [Red Hat Enterprise Linux 所需的服務元件](#required-service-components-red-hat)

## 所需的路由表組態
<a name="routing-table-configuration"></a>

建議您不要修改 WorkSpace 的作業系統層級路由表。WorkSpaces 服務需要此表格中預先設定的路由，才能監控系統狀態並更新系統元件。如果您的組織需要變更路由表，請在套用任何變更之前聯絡 AWS Support 或您的 AWS 客戶團隊。

## Windows 所需的服務元件
<a name="required-service-components-windows"></a>

在 Windows WorkSpaces 上，服務元件會安裝於下列位置。請勿刪除、變更、封鎖或隔離這些物件。若您這樣做，WorkSpace 將無法正常運作。

如果 WorkSpace 上已安裝防毒軟體，請確定它不會干擾安裝在下列位置的服務元件。
+ `C:\Program Files\Amazon`
+ `C:\Program Files\NICE`
+ `C:\Program Files\Teradici`
+ `C:\Program Files (x86)\Teradici`
+ `C:\ProgramData\Amazon`
+ `C:\ProgramData\NICE`
+ `C:\ProgramData\Teradici`

如果 WorkSpaces Core 上安裝防毒軟體，請確定它不會干擾安裝在下列位置的服務元件。
+ C：\$1Program Files\$1Amazon
+ C：\$1ProgramData\$1Amazon

### 32 位元 PCoIP 代理程式
<a name="pcoip-agent-32-bit-to-64-bit"></a>

截至 2021 年 3 月 29 日為止，我們已將 PCoIP 代理程式從 32 位元更新為 64 位元。對於使用 PCoIP 通訊協定的 Windows WorkSpaces，這表示 Terdici 檔案的位置已從 `C:\Program Files (x86)\Teradici` 變更為 `C:\Program Files\Teradici`。由於我們在定期維護時段更新了 PCoIP 代理程式，因此某些 WorkSpaces 在轉換期間使用 32 位元代理程式的時間可能比使用其他代理程式長。

如果您已設定防火牆規則、防毒軟體排除項目 (在用戶端和主機端)、群組政策物件 (GPO) 設定或 Microsoft System Center Configuration Manager (SCCM)、Microsoft Endpoint Configuration Manager 或類似組態管理工具 (以 32 位元代理程式的完整路徑為基礎) 的設定，您也必須將 64 位元代理程式的完整路徑新增至這些設定。

**如果您要篩選任何 32 位元 PCoIP 元件的路徑，務必將路徑新增至 64 位元版本的元件。由於您的 WorkSpaces 可能不會同時全部更新，因此請勿將 32 位元路徑取代為 64 位元路徑，否則某些 WorkSpaces 可能無法運作。**例如，如果您是以 `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_server_win32.exe` 作為排除項目或通訊篩選條件的基礎，您也必須新增 `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_server.exe`。同樣地，如果您是以 `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_agent.exe` 作為排除項目或通訊篩選條件的基礎，您也必須新增 `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_agent.exe`。

**PCoIP 仲裁者服務變更**—請注意，當 WorkSpaces 更新為使用 64 位元代理程式時，就會移除 PCoIP 仲裁者服務 (`C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_arbiter_win32.exe`)。

**PCoIP 零客戶端和 USB 裝置**—從 PCoIP 代理程式 20.10.4 版開始，Amazon WorkSpaces 預設會透過 Windows 登錄停用 USB 重新導向。當使用者使用 PCoIP 零客戶端裝置來連線至其 WorkSpaces 時，此登錄設定會影響 USB 周邊設備的行為。如需詳細資訊，請參閱[USB 印表機和其他 USB 周邊設備不適用於 PCoIP 零客戶端](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb)。

## Linux 所需的服務元件
<a name="required-service-components-linux"></a>

在 Amazon Linux WorkSpaces 上，服務元件會安裝於下列位置。請勿刪除、變更、封鎖或隔離這些物件。若您這樣做，WorkSpace 將無法正常運作。

**注意**  
對 `/etc/pcoip-agent/pcoip-agent.conf` 以外的檔案進行變更可能導致 WorkSpaces 停止運作，而且可能需要您予以重新建置。如需修改 `/etc/pcoip-agent/pcoip-agent.conf` 的詳細資訊，請參閱 [在 WorkSpaces Personal 中管理您的 Amazon Linux 2 WorkSpaces](manage_linux_workspace.md)。
+ `/etc/dhcp/dhclient.conf`
+ `/etc/logrotate.d/pcoip-agent`
+ `/etc/logrotate.d/pcoip-server`
+ `/etc/os-release`
+ `/etc/pam.d/pcoip`
+ `/etc/pam.d/pcoip-session`
+ `/etc/pcoip-agent`
+ `/etc/profile.d/system-restart-check.sh`
+ `/etc/X11/default-display-manager`
+ `/etc/yum/pluginconf.d/halt_os_update_check.conf`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/lib/systemd/system/pcoip.service`
+ `/lib/systemd/system/pcoip-agent.service`
+ `/lib64/security/pam_self.so`
+ `/usr/bin/pcoip-fne-view-license`
+ `/usr/bin/pcoip-list-licenses`
+ `/usr/bin/pcoip-validate-license`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/firewalld/services/pcoip-agent.xml`
+ `/usr/lib/modules-load.d/usb-vhci.conf`
+ `/usr/lib/pcoip-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/pcoip.service`
+ `/usr/lib/systemd/system/pcoip.service.d/`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/tmpfiles.d/pcoip-agent.conf`
+ `/usr/lib/yum-plugins/halt_os_update_check.py`
+ `/usr/sbin/pcoip-agent`
+ `/usr/sbin/pcoip-register-host`
+ `/usr/sbin/pcoip-support-bundler`
+ `/usr/share/doc/pcoip-agent`
+ `/usr/share/pcoip-agent`
+ `/usr/share/selinux/packages/pcoip-agent.pp`
+ `/usr/share/X11`
+ `/var/crash/pcoip-agent`
+ `/var/lib/pcoip-agent`
+ `/var/lib/skylight`
+ `/var/log/pcoip-agent` 
+ `/var/log/skylight`
+ `/var/logs/wsp`
+ `/var/log/eucanalytics` 

## Ubuntu 所需的服務元件
<a name="required-service-components-ubuntu"></a>

在 Ubuntu WorkSpaces 上，服務元件會安裝於下列位置。請勿刪除、變更、封鎖或隔離這些物件。若您這樣做，WorkSpace 將無法正常運作。
+ `/etc/X11/default-display-manager`
+ `/etc/dcv`
+ `/etc/default/grub.d/zz-hibernation.cfg`
+ `/etc/netplan`
+ `/etc/os-release`
+ `/etc/pam.d/dcv`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/sssd/sssd.conf`
+ `/etc/wsp`
+ `/etc/systemd/system/euc-analytic-agent.service` 
+ `/lib64/security/pam_self.so`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/share/X11`
+ `/usr/bin/euc-analytics-agent`
+ `/var/lib/skylight`
+ `/var/log/skylight`
+ `/var/log/eucanalytics` 

## Rocky Linux 所需的服務元件
<a name="required-service-components-rocky"></a>

在 Red Hat Enterprise Linux WorkSpaces 上，服務元件安裝在下列位置。請勿刪除、變更、封鎖或隔離這些物件。若您這樣做，WorkSpace 將無法正常運作。
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/lib/skylight`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`

## Red Hat Enterprise Linux 所需的服務元件
<a name="required-service-components-red-hat"></a>

在 Red Hat Enterprise Linux WorkSpaces 上，服務元件安裝在下列位置。請勿刪除、變更、封鎖或隔離這些物件。若您這樣做，WorkSpace 將無法正常運作。
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`

# 管理 WorkSpaces Personal 的目錄
<a name="manage-workspaces-directory"></a>

WorkSpaces 會使用目錄來儲存和管理 WorkSpaces 和使用者的資訊。您可以使用下列其中一個選項：
+ AD Connector—使用現有的內部部署 Microsoft Active Directory。使用者可以使用其內部部署憑證來登入其 WorkSpaces，並從其 WorkSpaces 存取內部部署資源。
+ AWS Managed Microsoft AD — 建立託管於 的 Microsoft Active Directory AWS。
+ Simple AD — 建立與 Microsoft Active Directory 相容的目錄，採用 Samba 4 技術，並在其中託管 AWS。
+ 跨信任 — 在 AWS Managed Microsoft AD 目錄和內部部署網域之間建立信任關係。
+ Microsoft Entra ID — 建立使用 Microsoft Entra ID 做為其身分來源的目錄 （透過 IAM Identity Center)。目錄中的個人 WorkSpaces 會使用 Microsoft Entra 的原生身分驗證加入，並透過 Microsoft Windows Autopilot 使用者驅動模式註冊 Microsoft Intune。使用 Microsoft Entra ID 的目錄僅支援 Windows 10 和 11 自帶授權 WorkSpaces。
+ 自訂 — 建立使用您選擇的身分提供者的目錄 （透過 IAM Identity Center)。目錄中的 WorkSpaces 會使用您選擇的裝置管理解決方案進行管理，例如 JumpCloud。使用自訂身分提供者的目錄僅支援 Windows 10 和 11 自帶授權 WorkSpaces。

如需示範如何設定這些目錄和啟動 WorkSpaces 的教學課程，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。

**提示**  
如需各種部署案例的目錄和虛擬私有雲端 (VPC) 設計考量的詳細探索，請參閱[部署 Amazon WorkSpaces 的最佳實務](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html)。

建立目錄之後，您會使用 Active Directory 管理工具等工具來執行大部分的目錄管理工作。您可使用 WorkSpaces 主控台來執行某些目錄管理任務，並使用群組原則來執行其他任務。如需管理使用者和群組的詳細資訊，請參閱 [在 WorkSpaces Personal 中管理使用者](manage-workspaces-users.md) 和 [設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)。

**注意**  
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫，則只能註冊主要區域中的目錄，以便與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。Managed AWS Microsoft AD 的多區域複寫不支援與複寫區域中的 Amazon WorkSpaces 搭配使用。
您可以免費使用 Simple AD 和 AD Connector，以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用，則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用，而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。  
若要刪除空目錄，請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 Simple AD 或 AD Connector 目錄，當您想要再次開始使用 WorkSpaces 時，隨時都可以建立新的目錄。

**Topics**
+ [向 WorkSpaces Personal 註冊現有 Directory Service 目錄](register-deregister-directory.md)
+ [選取 WorkSpaces Personal 的組織單位](select-ou.md)
+ [設定 WorkSpaces Personal 的自動公有 IP 地址](automatic-assignment.md)
+ [控制 WorkSpaces Personal 的裝置存取](control-device-access.md)
+ [管理 WorkSpaces Personal 的本機管理員許可](local-admin-setting.md)
+ [更新 WorkSpaces Personal 的 AD Connector 帳戶 (AD Connector)](connect-account.md)
+ [WorkSpaces Personal 的多重要素驗證 (AD Connector)](connect-mfa.md)
+ [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)
+ [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md)
+ [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)
+ [設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)

# 向 WorkSpaces Personal 註冊現有 Directory Service 目錄
<a name="register-deregister-directory"></a>

若要允許 WorkSpaces 使用現有 Directory Service 目錄，您必須向 WorkSpaces 註冊它。註冊目錄之後，您可以在目錄中啟動 WorkSpaces。

**需求：**若要註冊要與 WorkSpaces 搭配使用的目錄，必須符合下列需求：
+ 如果您使用的是 AWS Managed Microsoft AD 或 Simple AD，您的目錄可以位於專用私有子網路中，只要目錄可存取 WorkSpaces 所在的 VPC。
+ 如需目錄和 VPC 設計的詳細資訊，請參閱[https://d1.awsstatic.com/whitepapers/Best-Practices-for-Deploying-Amazon-WorkSpaces.pdf](https://d1.awsstatic.com/whitepapers/Best-Practices-for-Deploying-Amazon-WorkSpaces.pdf)白皮書。

**注意**  
您可以免費使用 Simple AD 和 AD Connector，以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用，則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用，而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。  
若要刪除空目錄，請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 Simple AD 或 AD Connector 目錄，當您想要再次開始使用 WorkSpaces 時，隨時都可以建立新的目錄。

**註冊現有的 AWS Directory Service 目錄**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇**建立目錄**。

1. 在**建立目錄**頁面上，針對 **WorkSpaces 類型**選擇**個人**。針對 **WorkSpace 裝置管理**，選擇 **AWS Directory Service**。

1. 在資料表的**目錄中選取您要註冊的目錄 Directory Service** 

1. 為您的 VPC 選取並非來自相同可用區域的兩個子網路。這些子網路將用來啟動您的 WorkSpaces。如需詳細資訊，請參閱[WorkSpaces Personal 的可用區域](azs-workspaces.md)。
**注意**  
如果您不知道要選擇哪些子網路，請選取**無偏好設定**。

1. 針對**啟用自助服務許可**，選擇**是**可讓使用者重新建置其 WorkSpaces、變更磁碟區大小、運算類型和執行模式。啟用可能會影響您針對 Amazon WorkSpaces 支付的費用。否則選擇**否**。

1. 選擇**註冊**。最初**已註冊**的值為 `REGISTERING`。註冊完成後，此值為 `Yes`。

註冊 Directory Service 目錄之後，您可以建立個人 WorkSpace。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)。

當您完成搭配 WorkSpaces 使用目錄之後，即可將其取消註冊。請注意，您必須先取消註冊目錄，才能加以刪除。如果您想要取消註冊並刪除目錄，您必須先尋找並移除註冊到目錄的所有應用程式和服務。如需詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[刪除目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html)。

**取消註冊目錄**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取目錄。

1. 選擇 **Actions** (動作)、**Deregister** (取消註冊)。

1. 出現確認提示時，選擇 **Confirm (確認)**。取消註冊完成後，目錄就會取消註冊，並從清單中移除。

# 選取 WorkSpaces Personal 的組織單位
<a name="select-ou"></a>

**注意**  
此功能僅適用於透過 AWS Directory Service 管理的目錄，包括 AD Connector、 AWS Managed Microsoft AD 和 Simple AD。

WorkSpace 機器帳戶會放置於 WorkSpaces 目錄的預設組織單位 (OU) 中。一開始，機器帳戶會放置於您目錄的電腦 OU 或 AD Connector 連線至的目錄中。您可以從目錄或連線的目錄中選取不同的 OU，或在不同的目標網域中指定 OU。請注意，您只能為每個目錄選取一個 OU。

選取新的 OU 之後，所有已建立或重新建置之 WorkSpaces 的機器帳戶都會放置於新選取的 OU 中。

**選取組織單位**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇您的目錄。

1. 在目標網域和組織單位下，選擇**編輯**。

1. 若要在目標和組織單位下尋找 OU，您可以開始輸入全部或部分的 OU 名稱，然後選擇要使用的 OU。

1. （選用） 選擇 OU 取代名稱，以自訂 OU 覆寫您選取的 OU。

1. 選擇**儲存**。

1. (選用) 重新建置現有的 WorkSpaces 以更新 OU。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](rebuild-workspace.md)。

# 設定 WorkSpaces Personal 的自動公有 IP 地址
<a name="automatic-assignment"></a>

啟用自動指派公用 IP 地址後，您啟動的每個 WorkSpace 都會從 Amazonon 提供的公用位址集區獲派一個公用 IP 地址。如果公用子網路中的 WorkSpace 具有公有 IP 地址，即可透過網際網路閘道存取網際網路。直到您重新建置在您啟用自動指派之前已經存在的 WorkSpace，該 WorkSpace 才會收到公用位址。

請注意，如果 WorkSpaces 位於私有子網路，而且您為虛擬私有雲端 (VPC) 設定了 NAT 閘道，或者您的 WorkSpaces 位於公用子網路，而且您已為其指派彈性 IP 地址，則不需要啟用公用位址的自動指派。如需詳細資訊，請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。

**警告**  
如果您將擁有的彈性 IP 地址與 WorkSpace 建立關聯，然後之後將該彈性 IP 地址與 WorkSpace 取消關聯，則 WorkSpace 將失去其公共 IP 地址，且不會自動從 Amazonon 提供的集區取得新的 IP 地址。若要將 Amazon 提供的集區中的新公用 IP 地址與 WorkSpace 建立關聯，您必須[重建 WorkSpace](rebuild-workspace.md)。如果您不想重建 WorkSpace，則必須將您擁有的另一個彈性 IP 地址與 WorkSpace 建立關聯。

**設定彈性 IP 地址**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**目錄**。

1. 為您的 WorkSpaces 選取目錄。

1. 選擇**動作**、**更新詳細資訊**。

1. 展開**存取網際網路**，然後選取**啟用**或**停用**。

1. 選擇**更新**。

# 控制 WorkSpaces Personal 的裝置存取
<a name="control-device-access"></a>

您可以根據裝置平台指定可存取 WorkSpaces 的裝置類型。您可以使用憑證來限制對受信任裝置 （也稱為受管裝置） 的 WorkSpaces 存取。

**控制裝置對 WorkSpaces 的存取**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇您的目錄。

1. 在存取控制選項下，選擇**編輯**。

1. 在信任的裝置下，透過選取**允許全部**、**信任裝置或拒絕全部******，指定哪些裝置類型可以存取 WorkSpaces。如需詳細資訊，請參閱[限制對 WorkSpaces Personal 受信任裝置的存取](trusted-devices.md)。

1. 選擇 **Save** (儲存)。

# 管理 WorkSpaces Personal 的本機管理員許可
<a name="local-admin-setting"></a>

**注意**  
此功能僅適用於透過 AWS Directory Service 管理的目錄，包括 AD Connector、 AWS Managed Microsoft AD 和 Simple AD。

您可以指定使用者是否為其 WorkSpaces 的本機管理員，這樣他們就可以在 WorkSpaces 上安裝應用程式及修改設定。依預設，使用者是本機管理員。如果您修改此設定，變更會套用至您建立的所有新 WorkSpaces，以及您重新建置的所有 WorkSpaces。

**修改本機管理員許可**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇您的目錄。

1. 在本機管理員設定下，選擇**編輯**。

1. 若要確保使用者是本機管理員，請選擇**啟用本機管理員設定**。

1. 選擇**儲存**。

# 更新 WorkSpaces Personal 的 AD Connector 帳戶 (AD Connector)
<a name="connect-account"></a>

您可以更新 AD Connector 帳戶，該帳戶用於讀取使用者和群組，以及將 WorkSpaces 機器帳戶加入 AD Connector 目錄。

**更新 AD Connector 帳戶**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**目錄**。

1. 選取您的目錄，然後選擇**檢視詳細資訊**。

1. 在 AD 連接器帳戶下，選擇**編輯**。

1. 輸入新帳戶的登入憑證。

1. 選擇**儲存**。

# WorkSpaces Personal 的多重要素驗證 (AD Connector)
<a name="connect-mfa"></a>

您可為 AD Connector 目錄啟用多重要素驗證 (MFA)。如需搭配 使用多重要素驗證的詳細資訊 AWS Directory Service，請參閱[為 AD Connector 啟用多重要素驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)和 [ AD Connector 先決條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。

**注意**  
您的 RADIUS 伺服器可以由 託管， AWS 也可以是內部部署。
使用者名稱必須在 Active Directory 與 RADIUS 伺服器之間相符。

**啟用多重要素驗證**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**目錄**。

1. 選取您的目錄，然後依序選擇**動作**、**更新詳細資訊**。

1. 展開**多重要素驗證**，然後選取**啟用多重要素驗證**。

1. 對於 **RADIUS 伺服器 IP 地址**，輸入 RADIUS 伺服器端點的 IP 地址 (以逗號分隔)，或輸入 RADIUS 伺服器負載平衡器的 IP 地址。

1. 針對**連接埠**，輸入 RADIUS 伺服器用於通訊的連接埠。您的內部部署網路必須允許 AD Connector 透過預設 RADIUS 伺服器連接埠 (UDP:1812) 傳入流量。

1. 針對**共用秘密代碼**和**確認共用秘密代碼**，輸入 RADIUS 伺服器的共用秘密代碼。

1. 針對**通訊協定**，選擇 RADIUS 伺服器的通訊協定。

1. 針對**伺服器逾時**，輸入等待 RADIUS 伺服器回應的時間 (以秒為單位)。此值必須介於 1 到 50。

1. 針對**最大重試次數**，輸入嘗試與 RADIUS 伺服器通訊的次數。此值必須介於 0 到 10。

1. 選擇**更新並結束**。

當 **RADIUS 狀態** 為**啟用**時，即可使用多重要素驗證。在設定多重要素驗證的過程中，使用者無法登入其 WorkSpaces。

# 建立 WorkSpaces Personal 的目錄
<a name="launch-workspaces-tutorials"></a>

WorkSpaces Personal 可讓您使用透過 管理的目錄 Directory Service 來存放和管理 WorkSpaces 和使用者的資訊。使用下列選項來建立 WorkSpaces 個人目錄：
+ 建立 Simple AD 目錄。
+ 建立適用於 Microsoft Active Directory 的 AWS Directory Service，也稱為 AWS Managed Microsoft AD。
+ 使用 Active Directory 連接器連線到現有的 Microsoft Active Directory。
+ 建立 AWS Managed Microsoft AD 目錄與內部部署網域之間的信任關係。
+ 建立專用 Microsoft Entra ID WorkSpaces 目錄。
+ 建立專用的自訂 WorkSpaces 目錄。

**注意**  
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫，則只能註冊主要區域中的目錄以與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。
您可以免費使用 Simple AD 和 AD Connector，以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用，則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用，而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。

## 建立目錄之前
<a name="prereqs-tutorials"></a>
+ 並非每個區域都可以使用 WorkSpaces。確認支援的區域，然後為您的 WorkSpaces 選取一個區域。如需支援區域的詳細資訊，請參閱[依 AWS 區域區分的 WorkSpaces 定價](https://aws.amazon.com/workspaces/pricing/)。
+ 建立至少有兩個私有子網路的虛擬私有雲端。如需詳細資訊，請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。VPC 必須透過虛擬私有網路 (VPN) 連線或 Direct Connect連線到您的現場部署網路。如需詳細資訊，請參閱《AWS Directory Service 管理指南》**中的 [AD Connector 先決條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。
+ 提供從 WorkSpace 對網際網路的存取。如需詳細資訊，請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。

如需如何刪除空目錄的資訊，請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 Simple AD 或 AD Connector 目錄，當您想要再次開始使用 WorkSpaces 時，隨時都可以建立新的目錄。

**Topics**
+ [建立目錄之前](#prereqs-tutorials)
+ [識別 WorkSpaces Personal 目錄的電腦名稱](wsp-directory-identify-computer.md)
+ [為 WorkSpaces Personal 建立 AWS Managed Microsoft AD 目錄](launch-workspace-microsoft-ad.md)
+ [為 WorkSpaces Personal 建立 Simple AD 目錄](launch-workspace-simple-ad.md)
+ [為 WorkSpaces Personal 建立 AD Connector](launch-workspace-ad-connector.md)
+ [在 AWS Managed Microsoft AD 目錄與 WorkSpaces Personal 的內部部署網域之間建立信任關係](launch-workspace-trusted-domain.md)
+ [使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄](launch-entra-id.md)
+ [使用 WorkSpaces Personal 建立專用自訂目錄](launch-custom.md)

# 識別 WorkSpaces Personal 目錄的電腦名稱
<a name="wsp-directory-identify-computer"></a>

在 Amazon WorkSpaces 主控台中針對 WorkSpace 顯示的**電腦名稱**值會有所不同，這取決於您啟動的 WorkSpace 類型 (Amazon Linux、Ubuntu 或 Windows)。WorkSpace 的電腦名稱應是以下列其中一種格式：
+ **Amazon Linux**：A-*xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**：R-*xxxxxxxxxxxxx*
+ **Rocky Linux**：R-*xxxxxxxxxxxxx*
+ **Ubuntu**：U-*xxxxxxxxxxxxx*
+ **Windows**：IP-C*xxxxxx* 或 WSAMZN-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx*

對於 Windows WorkSpaces，電腦名稱格式是由套件類型決定，如果 WorkSpaces 是從公用套件或從以公用映像為基礎的自訂套件建立，則是由建立公用映像的時間決定。

自 2020 年 6 月 22 日起，從公用套件啟動的 Windows WorkSpaces 的電腦名稱使用 WSAMZN-*xxxxxxx* 格式，而不是 IP-C*xxxxxx* 格式。

對於以公用映像為基礎的自訂套件，如果公用映像是在 2020 年 6 月 22 日之前建立，則電腦名稱的格式為 EC2AMAZ-*xxxxxxx*。如果公用映像是在 2020 年 6 月 22 日當天或之後建立，則電腦名稱的格式為 WSAMZN-*xxxxxxx*。

若為自帶授權 (BYOL) 套件，電腦名稱預設會使用 DESKTOP-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx* 格式。

如果您已為自訂或 BYOL 套件中的電腦名稱指定自訂格式，則自訂格式會覆寫這些預設值。若要指定自訂格式，請參閱 [建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件](create-custom-bundle.md)。

**重要**  
建立 WorkSpace 之後，您可以安全地變更其電腦名稱。例如，您可以使用 WorkSpace `Rename-Computer` 上的 命令或遠端執行 PowerShell 指令碼。然後，Amazon WorkSpace Amazon WorkSpaces主控台中會顯示 WorkSpace 的更新電腦名稱值。

# 為 WorkSpaces Personal 建立 AWS Managed Microsoft AD 目錄
<a name="launch-workspace-microsoft-ad"></a>

在本教學課程中，我們會建立 AWS Managed Microsoft AD 目錄。如需使用其他選項的教學課程，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。

首先，建立 AWS Managed Microsoft AD 目錄。 會 Directory Service 建立兩個目錄伺服器，每個 VPC 的私有子網路各一個。請注意，目錄最初沒有任何使用者。當您啟動 WorkSpace 時，您會在下一個步驟中新增使用者。

**注意**  
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您的 AWS Managed Microsoft AD 目錄已設定為多區域複寫，則只能註冊主要區域中的目錄以與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用具有 AWS Managed Microsoft AD 的多區域複寫。

**建立 AWS Managed Microsoft AD 目錄**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇**建立目錄**。

1. 在**建立目錄**頁面上，針對 **WorkSpaces 類型**選擇**個人**。然後，針對 **WorkSpace 裝置管理**，選擇 **AWS Directory Service**。

1. 選擇**建立目錄**，這會開啟 AWS Directory Service 上的**設定目錄**頁面

1. 選擇 **AWS Managed Microsoft AD**，然後選擇**下一步**。

1. 設定目錄，如下所示：

   1. 在**組織名稱**中，為您的目錄輸入唯一組織名稱 (例如，my-demo-directory)。此名稱的長度至少必須有 4 個字元，只能包含英數字元和連字號 (-)，而且以非連字號的字元開頭或結尾。

   1. 針對**目錄 DNS**，輸入目錄的完整名稱 (例如，workspaces.demo.com)。
**重要**  
如果您需要在啟動 WorkSpaces 之後更新 DNS 伺服器，請遵循 [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md) 中的程序，確保您的 WorkSpaces 能正確更新。

   1. 針對 **NetBIOS 名稱**，輸入目錄的簡短名稱 (例如，workspaces)。

   1. 針對**管理員密碼**和**確認密碼**，輸入目錄管理員帳戶的密碼。如需密碼需求的詳細資訊，請參閱《 *AWS Directory Service 管理指南*》中的[建立您的 AWS Managed Microsoft AD Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。

   1. (選用) 針對**描述**，輸入目錄的描述。

   1. 針對 **VPC**，選取您建立的 VPC。

   1. 針對**子網路**，選取兩個私用子網路 (具有 CIDR 區塊 `10.0.1.0/24` 和 `10.0.2.0/24`)。

   1. 選擇 **Next Step (後續步驟)**。

1. 選擇**建立目錄**。

1. 您將回到 WorkSpaces 主控台上的建立目錄頁面。目錄的初始狀態為 `Requested`，然後是 `Creating`。目錄建立完成時 (這可能需要幾分鐘)，狀態為 `Active`。

建立 AWS Managed Microsoft AD 目錄之後，您可以向 Amazon WorkSpaces 註冊該目錄。如需詳細資訊，請參閱[向 WorkSpaces Personal 註冊現有 Directory Service 目錄](register-deregister-directory.md)

# 為 WorkSpaces Personal 建立 Simple AD 目錄
<a name="launch-workspace-simple-ad"></a>

在本教學課程中，我們會啟動使用 Simple AD 的 WorkSpace。如需使用其他選項的教學課程，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。

**注意**  
並非所有AWS區域都提供 Simple AD。確認支援的區域，然後為您的 Simple AD 目錄[選取一個區域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)。如需 Simple AD 支援區域的詳細資訊，請參閱 [AWSDirectory Service 的區域可用性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)。
您可以免費使用 Simple AD，以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 目錄使用，則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用，而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。
[ Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) 目前僅支援 IPv4 定址，這表示在建立目錄時，關聯的 VPC 將使用 IPv4 CIDR 區塊設定，且不支援 IPv6 網路。

當您建立 Simple AD 目錄時， 會Directory Service建立兩個目錄伺服器，每個 VPC 的私有子網路各一個。目錄中一開始沒有使用者。在您建立 WorkSpace 後新增使用者。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)

**建立 Simple AD 目錄**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇**建立目錄**。

1. 在**建立目錄**頁面上，針對 **WorkSpaces 類型**選擇**個人**。然後，針對 **WorkSpace 裝置管理**，選擇 **AWSDirectory Service**。

1. 選擇**建立目錄**，這會開啟 **Directory Service 上的設定**AWS目錄頁面

1. 選擇 **Simple AD**，然後選擇**下一步**。

1. 設定目錄，如下所示：

   1. 在**組織名稱**中，為您的目錄輸入唯一組織名稱 (例如，my-example-directory)。此名稱的長度至少必須有 4 個字元，只能包含英數字元和連字號 (-)，而且以非連字號的字元開頭或結尾。

   1. 針對**目錄 DNS 名稱**，輸入目錄的完整名稱 (例如，example.com)。
**重要**  
如果您需要在啟動 WorkSpaces 之後更新 DNS 伺服器，請遵循 [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md) 中的程序，確保您的 WorkSpaces 能正確更新。

   1. 針對 **NetBIOS 名稱**，輸入目錄的簡短名稱 (例如，example)。

   1. 針對**管理員密碼**和**確認密碼**，輸入目錄管理員帳戶的密碼。如需密碼需求的相關資訊，請參閱《AWS Directory Service 管理指南》**中的[如何建立 Microsoft AD 目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。

   1. (選用) 針對**描述**，輸入目錄的描述。

   1. 針對**目錄大小**，選擇**小型**。

   1. 針對 **VPC**，選取您建立的 VPC。

   1. 針對**子網路**，選取兩個私用子網路 (具有 CIDR 區塊 `10.0.1.0/24` 和 `10.0.2.0/24`)。

   1. 選擇**下一步**。

1. 選擇**建立目錄**。

1. 您將回到 WorkSpaces 主控台上的建立目錄頁面。目錄的初始狀態為 `Requested`，然後是 `Creating`。目錄建立完成時 (這可能需要幾分鐘)，狀態為 `Active`。

**建立目錄期間發生的事**

WorkSpaces 會代表您完成下列任務：
+ 建立 IAM 角色，以允許 WorkSpaces 服務建立彈性網路介面並列出您的 WorkSpaces 目錄。此角色具有名稱 `workspaces_DefaultRole`。
+ 在用於儲存使用者與 WorkSpace 資訊的 VPC 中設定 Simple AD 目錄。此目錄有一個具使用者名稱 Administrator 與指定密碼的管理員帳戶。
+ 建立兩個安全群組，一個用於目錄控制器，另一個用於目錄中的 WorkSpaces。

建立 Simple AD 目錄之後，您可以向 Amazon WorkSpaces 註冊該目錄。如需詳細資訊，請參閱[向 WorkSpaces Personal 註冊現有 Directory Service 目錄](register-deregister-directory.md)

# 為 WorkSpaces Personal 建立 AD Connector
<a name="launch-workspace-ad-connector"></a>

在本教學課程中，我們會建立 AD Connector。如需使用其他選項的教學課程，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。

## 建立 AD Connector
<a name="create-ad-connector"></a>

**注意**  
您可以免費使用 AD Connector，以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 AD Connector 目錄使用，則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用，而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。  
若要刪除空目錄，請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 AD Connector 目錄，當您想要再次開始使用 WorkSpaces 時，隨時都可以建立新的目錄。

**建立 AD Connector**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇**建立目錄**。

1. 在**建立目錄**頁面上，針對 **WorkSpaces 類型**選擇**個人**。然後，針對 **WorkSpace 裝置管理**，選擇 **AWS Directory Service**。

1. 選擇**建立目錄**，這會開啟 **Directory Service 上的設定** AWS 目錄頁面

1. 選擇 **AWS Managed Microsoft AD**，然後選擇**下一步**。

1. 在**組織名稱**中，為您的目錄輸入唯一組織名稱 (例如，my-example-directory)。此名稱的長度至少必須有 4 個字元，只能包含英數字元和連字號 (-)，而且以非連字號的字元開頭或結尾。

1. 針對**連線的目錄 DNS**，輸入內部部署目錄的完整名稱 (例如，example.com)。

1. 針對**連線的目錄 NetBIOS 名稱**，輸入內部部署目錄的簡短名稱 (例如，example)。

1. 針對**連接器帳戶使用者名稱**，輸入內部部署目錄中使用者的使用者名稱。使用者必須具有讀取使用者和群組、建立電腦物件以及將電腦加入網域的許可。

1. 針對**連接器帳戶密碼**和**確認密碼**，輸入內部部署使用者的密碼。

1. 針對 **DNS 位址**，輸入內部部署目錄中至少一個 DNS 伺服器的 IP 地址。
**重要**  
如果您需要在啟動 WorkSpaces 之後更新 DNS 伺服器 IP 地址，請遵循 [更新 WorkSpaces Personal 的 DNS 伺服器](update-dns-server.md) 中的程序，確保您的 WorkSpaces 能正確更新。

1. (選用) 針對**描述**，輸入目錄的描述。

1. 將**大小**保持為**小**。

1. 針對 **VPC**，選取您的 VPC。

1. 針對**子網路**，選取您的子網路。您指定的 DNS 伺服器必須可從每個子網路存取。

1. 選擇**建立目錄**。

1. 您將會回到 WorkSpaces 主控台上的建立目錄頁面。目錄的初始狀態為 `Requested`，然後是 `Creating`。目錄建立完成時 (這可能需要幾分鐘)，狀態為 `Active`。

# 在 AWS Managed Microsoft AD 目錄與 WorkSpaces Personal 的內部部署網域之間建立信任關係
<a name="launch-workspace-trusted-domain"></a>

在本教學課程中，我們會在 AWS Managed Microsoft AD 目錄和內部部署網域之間建立信任關係。如需使用其他選項的教學課程，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。

**注意**  
在個別受信任網域 AWS 帳戶 中使用 啟動 WorkSpaces 時，當 AWS Managed Microsoft AD 與內部部署目錄具有信任關係時，它即可使用。但是，使用 Simple AD 或 AD Connector 的 WorkSpaces 無法為來自信任網域的使用者啟動 WorkSpaces。

**設定信任關係**

1. 在虛擬私有雲端 (VPC) 中設定 AWS Managed Microsoft AD。如需詳細資訊，請參閱 *AWS Directory Service 管理指南*中的[建立您的 AWS 受管 Microsoft AD 目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
**注意**  
共用目錄目前不支援搭配 Amazon WorkSpaces 使用。
如果您的 AWS Managed Microsoft AD 目錄已設定為多區域複寫，則只能註冊主要區域中的目錄以與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。

1. 在 AWS Managed Microsoft AD 和內部部署網域之間建立信任關係。確定信任已設定為雙向信任。如需詳細資訊，請參閱 [管理指南中的教學課程：在您的 AWS 受管 Microsoft AD 與現場部署網域之間建立信任關係](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html)。 *AWS Directory Service *

單向或雙向信任可用於管理和驗證 WorkSpaces，以便將 WorkSpaces 佈建給內部部署使用者和群組。如需詳細資訊，請參閱[使用具有 AWS Directory Service 的單向信任資源網域部署 Amazon WorkSpaces](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/)。

**注意**  
Red Hat Enterprise Linux、Rocky Linux 和 Ubuntu WorkSpaces 使用 System Security Services Daemon (SSSD) 進行 Active Directory 整合，SSSD 不支援樹系信任。請改為設定外部信任。對於 Amazon Linux、Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces，建議使用雙向信任。
您無法使用 Web 瀏覽器 (Web Access) 連線到 Linux WorkSpaces。

# 使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄
<a name="launch-entra-id"></a>

在本教學課程中，我們會建立自攜授權 (BYOL) Windows 10 和 11 個人 WorkSpaces 是加入 Microsoft Entra ID 並註冊至 Microsoft Intune。在建立這類 WorkSpaces 之前，您需要先為 Entra ID 加入的 WorkSpaces 建立專用的 WorkSpaces Personal 目錄。

**注意**  
Microsoft Entra 加入的個人 WorkSpaces 適用於所有提供 Amazon WorkSpaces AWS 的區域，非洲 （開普敦）、以色列 （特拉維夫） 和中國 （寧夏） 除外。

**Contents**
+ [概要](#entra-overview)
+ [要求與限制](#entra-requirements-limitation)
+ [步驟 1：啟用 IAM Identity Center 並與 Microsoft Entra ID 同步](#entra-step-1)
+ [步驟 2：註冊 Microsoft Entra ID 應用程式以授予 Windows Autopilot 的許可](#entra-step-2)
+ [步驟 3：設定 Windows Autopilot 使用者驅動模式](#entra-step-3)
+ [步驟 4：建立 AWS Secrets Manager 秘密](#entra-step-4)
+ [步驟 5：建立專用 Microsoft Entra ID WorkSpaces 目錄](#entra-step-5)
+ [為 WorkSpaces 目錄設定 IAM Identity Center 應用程式 （選用）](#configure-iam-directory)
+ [建立跨區域 IAM Identity Center 整合 （選用）](#create-cross-region-iam-identity-integration)

## 概要
<a name="entra-overview"></a>

Microsoft Entra ID 個人 WorkSpaces 目錄包含啟動 Microsoft Entra ID 加入 WorkSpaces 所需的所有資訊，這些 WorkSpaces 會指派給使用 Microsoft Entra ID 管理的使用者。使用者資訊會透過 IAM Identity Center AWS 提供給 WorkSpaces，其做為身分中介裝置，將您的人力資源身分從 Entra ID 帶到其中 AWS。Microsoft Windows Autopilot 使用者驅動模式用於完成 WorkSpaces Intune 註冊和 Entra 聯結。下圖說明 Autopilot 程序。

![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/autopilot.jpg)


## 要求與限制
<a name="entra-requirements-limitation"></a>
+ Microsoft Entra ID P1 計劃或更高版本。
+ Microsoft Entra ID 和 Intune 已啟用，並具有角色指派。
+ Intune 管理員 - 管理 Autopilot 部署設定檔時需要。
+ 全域管理員 - 授予管理員對在[步驟 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中建立之應用程式所指派之 API 許可的同意時需要。無需此許可即可建立應用程式。不過，全域管理員需要提供應用程式許可的管理員同意。
+ 將 Windows 10/11 VDA E3 或 E5 使用者訂閱授權指派給 WorkSpaces 使用者。
+ Entra ID 目錄僅支援 Windows 10 或 11 自帶授權個人 WorkSpaces。以下是支援的版本。
  + Windows 10 版本 21H2 (2021 年 12 月更新)
  + Windows 10 版本 22H2 (2022 年 11 月更新)
  + Windows 11 Enterprise 23H2 (2023 年 10 月版本）
  + Windows 11 Enterprise 22H2 (2022 年 10 月版本）
  + Windows 11 Enterprise 24H2 (2024 年 10 月發行）
  + Windows 11 Enterprise 25H2 (2025 年 9 月發行）
+  AWS 您的帳戶已啟用自帶授權 (BYOL)，而且您的帳戶中匯入了有效的 Windows 10 或 11 BYOL 映像。如需詳細資訊，請參閱[在 WorkSpaces 中攜帶您自己的 Windows 桌面授權](byol-windows-images.md)。
+ Microsoft Entra ID 目錄僅支援 Windows 10 或 11 BYOL 個人 WorkSpaces。
+ Microsoft Entra ID 目錄僅支援 DCV 通訊協定。
+ 如果您為 WorkSpaces 使用防火牆，請確定它不會封鎖 Microsoft Intune 和 Windows Autopilot 端點的傳出流量。如需詳細資訊[，請參閱 Microsoft Intune - Microsoft Intune 和 Windows Autopilot 需求的網路端點](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america)。 [https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking)
+ Microsoft Entra ID 目錄不支援 Government Community Cloud High (GCCH) 和 Department of Defense (DoD) 環境中的 Microsoft Entra ID 租用戶。

## 步驟 1：啟用 IAM Identity Center 並與 Microsoft Entra ID 同步
<a name="entra-step-1"></a>

若要建立加入 Microsoft Entra ID 的個人 WorkSpaces 並將其指派給您的 Entra ID 使用者，您必須 AWS 透過 IAM Identity Center 將使用者資訊提供給 。IAM Identity Center 是管理使用者存取 AWS 資源的建議 AWS 服務。如需詳細資訊，請參閱[什麼是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。這是一次性設定。

如果您沒有要與 WorkSpaces 整合的現有 IAM Identity Center 執行個體，建議您在與 WorkSpaces 相同的區域中建立一個執行個體。如果您在不同的區域中有現有的 AWS Identity Center 執行個體，您可以設定跨區域整合。如需跨區域設定的詳細資訊，請參閱 [建立跨區域 IAM Identity Center 整合 （選用）](#create-cross-region-iam-identity-integration)。

**注意**  
不支援 WorkSpaces 和 IAM Identity Center 之間的跨區域整合 AWS GovCloud (US) Region。

1. 使用 AWS Organizations 啟用 IAM Identity Center，尤其是使用多帳戶環境時。您也可以建立 IAM Identity Center 的帳戶執行個體。若要進一步了解，請參閱[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每個 WorkSpaces 目錄都可以與一個 IAM Identity Center 執行個體、組織或帳戶建立關聯。

   如果您使用組織執行個體，並嘗試在其中一個成員帳戶中建立 WorkSpaces 目錄，請確定您有下列 IAM Identity Center 許可。
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   如需詳細資訊，請參閱[管理 IAM Identity Center 資源存取許可的概觀](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。此外，請確定沒有任何服務控制政策 SCPs) 封鎖這些許可。若要進一步了解 SCPs，請參閱[服務控制政策 SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。

1. 設定 IAM Identity Center 和 Microsoft Entra ID，以自動將所選或所有使用者從 Entra ID 租用戶同步至 IAM Identity Center 執行個體。如需詳細資訊，請參閱[使用 Microsoft Entra ID 和 IAM Identity Center 設定 SAML 和 SCIM](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html)，以及[教學課程：為自動使用者佈建設定 AWS IAM Identity Center](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial)。

1. 確認您在 Microsoft Entra ID 上設定的使用者已正確同步至 IAM Identity Center AWS 執行個體。如果您在 Microsoft Entra ID 中看到錯誤訊息，表示 Entra ID 中的使用者是以 IAM Identity Center 不支援的方式設定。錯誤訊息將識別此問題。例如，如果 Entra ID 中的使用者物件缺少名字、姓氏和/或顯示名稱，您會收到類似 的錯誤訊息`"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"`。如需詳細資訊，請參閱[特定使用者無法從外部 SCIM 供應商同步至 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2)。

**注意**  
WorkSpaces 使用 Entra ID UserPrincipalName (UPN) 屬性來識別個別使用者，其限制如下：  
UPNs 長度不可超過 63 個字元。
如果您在將 WorkSpace 指派給使用者後變更 UPN，使用者將無法連線到其 WorkSpace，除非您將 UPN 變更回先前的版本。

## 步驟 2：註冊 Microsoft Entra ID 應用程式以授予 Windows Autopilot 的許可
<a name="entra-step-2"></a>

WorkSpaces Personal 使用 Microsoft Windows Autopilot 使用者驅動模式將 WorkSpaces 註冊到 Microsoft Intune，並將其加入 Microsoft Entra ID。

若要允許 Amazon WorkSpaces 將 WorkSpaces Personal 註冊到 Autopilot，您必須註冊授予必要 Microsoft Graph API 許可的 Microsoft Entra ID 應用程式。如需註冊 Entra ID 應用程式的詳細資訊，請參閱 [ Quickstart：向 Microsoft 身分平台註冊應用程式](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate)。

我們建議您在 Entra ID 應用程式中提供下列 API 許可。
+ 若要建立需要加入 Entra ID 的新個人 WorkSpace，需要下列 API 許可。
  + `DeviceManagementServiceConfig.ReadWrite.All`
+ 當您終止或重建個人 WorkSpace 時，會使用下列許可。
**注意**  
如果您未提供這些許可，WorkSpace 將終止，但不會從 Intune 和 Entra ID 租用戶中移除，而且您必須分別移除它們。
  + `DeviceManagementServiceConfig.ReadWrite.All`
  + `Device.ReadWrite.All`
  + `DeviceManagementManagedDevices.ReadWrite.All`
+ 這些許可需要管理員同意。如需詳細資訊，請參閱[授予整個租用戶的管理員對應用程式 的同意](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。

接著，您必須為 Entra ID 應用程式新增用戶端秘密。如需詳細資訊，請參閱[新增登入](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials)資料。請務必記住用戶端秘密字串，因為在步驟 4 中建立 AWS Secrets Manager 秘密時會需要它。

## 步驟 3：設定 Windows Autopilot 使用者驅動模式
<a name="entra-step-3"></a>

確保您熟悉 [ Intune 中 Windows Autopilot 使用者驅動 Microsoft Entra 加入的逐步教學](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow)課程。

**設定 Microsoft Intune for Autopilot**

1. 登入 Microsoft Intune 管理中心

1. 為個人 WorkSpaces 建立新的 Autopilot 裝置群組。如需詳細資訊，請參閱[建立 Windows Autopilot 的裝置群組](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot)。

   1. 選擇**群組**、**新群組**

   1. 針對 **Group type** (群組類型)，選擇 **Security** (安全性)。

   1. 針對**成員類型**，選擇**動態裝置**。

   1. 選擇**編輯動態查詢**以建立動態成員資格規則。規則應該採用下列格式：

      ```
      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      ```
**重要**  
`WorkSpacesDirectoryName` 應該符合您在步驟 5 中建立的 Entra ID WorkSpaces Personal 目錄的目錄名稱。這是因為當 WorkSpaces 將虛擬桌面註冊到 Autopilot 時，目錄名稱字串會用作群組標籤。此外，群組標籤會映射至 Microsoft Entra 裝置上的 `OrderID` 屬性。

1. 選擇**裝置**、**Windows**、**註冊**。針對**註冊選項**，選擇**自動註冊**。對於 **MDM 使用者範圍**，選取**全部**。

1. 建立 Autopilot 部署設定檔。如需詳細資訊，請參閱[建立 Autopilot 部署設定檔](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile)。

   1. 針對 **Windows Autopilot**，選擇**部署設定檔**、**建立設定檔**。

   1. 在 **Windows Autopilot 部署設定檔**畫面中，選取**建立設定檔**下拉式功能表，然後選取 **Windows PC**。

   1. 在**建立設定檔**畫面**的Out-of-box(OOBE) **頁面上。針對**部署模式**，選取**使用者驅動**。針對**加入 Microsoft Entra ID**，選取**加入的 Microsoft Entra**。您可以透過選取**是**套用裝置名稱範本來自訂已加入 Entra ID 的個人 WorkSpaces 的電腦名稱，以建立在註冊期間命名裝置時使用的範本。 ****

   1. 在**指派**頁面上，針對**指派至**，選擇**選取的群組**。選擇要**包含的群組**，然後選取您剛在 2 中建立的 Autopilot 裝置群組。

## 步驟 4：建立 AWS Secrets Manager 秘密
<a name="entra-step-4"></a>

您必須在 中建立秘密， AWS Secrets Manager 才能為您在 中建立的 Entra ID 應用程式安全地存放資訊，包括應用程式 ID 和用戶端秘密[步驟 2：註冊 Microsoft Entra ID 應用程式以授予 Windows Autopilot 的許可](#entra-step-2)。這是一次性設定。

**建立 AWS Secrets Manager 秘密**

1. 在 上建立客戶受管金鑰[AWS Key Management Service](https://aws.amazon.com/kms/)。金鑰稍後將用於加密 AWS Secrets Manager 秘密。請勿使用預設金鑰來加密秘密，因為 WorkSpaces 服務無法存取預設金鑰。請依照下列步驟建立金鑰。

   1. 在 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。

   1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

   1. 選擇**建立金鑰**。

   1. 在**設定金鑰**頁面上，針對**金鑰類型**選擇**對稱**。針對**金鑰用量**，選擇**加密和解密**。

   1. 在**檢閱**頁面的金鑰政策編輯器中，確保在金鑰政策中包含下列許可，以允許 WorkSpaces 服務的主體`workspaces.amazonaws.com`存取金鑰。

      ```
      {
          "Effect": "Allow",
          "Principal": {
              "Service": [
                  "workspaces.amazonaws.com"
              ]
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey"
          ],
          "Resource": "*"
       }
      ```

1. 使用上一個步驟中建立的 AWS KMS 金鑰 AWS Secrets Manager，在 上建立秘密。

   1. 前往以下位置開啟機密管理員控制台：[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

   1. 選擇 **Store a new secret** (存放新機密)。

   1. 在**選擇秘密類型**頁面上，針對**秘密類型**，選取**其他類型的秘密**。

   1. 對於**金鑰/值對**，在金鑰方塊中，在金鑰方塊中輸入「application\$1id」，然後從[步驟 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 複製 Entra ID 應用程式 ID，並將其貼到值方塊中。

   1. 選擇**新增資料列**，在金鑰方塊中輸入「application\$1password」，然後從[步驟 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 複製 Entra ID 應用程式用戶端秘密，並將其貼到值方塊中。

   1. 從加密 AWS KMS 金鑰下拉式清單中選擇您在上一個步驟中建立的金鑰。 ****

   1. 選擇**下一步**。

   1. 在**設定秘密**頁面上，輸入**秘密名稱**和**描述**。

   1. 在**資源許可**區段中，選擇**編輯許可**。

   1. 請確定在資源許可中包含下列資源政策，以允許 WorkSpaces 服務的主體`workspaces.amazonaws.com`存取秘密。

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement" : [ {
          "Effect" : "Allow",
          "Principal" : {
            "Service" : [ "workspaces.amazonaws.com"]
          },
          "Action" : "secretsmanager:GetSecretValue",
          "Resource" : "*"
        } ]
      }
      ```

------

## 步驟 5：建立專用 Microsoft Entra ID WorkSpaces 目錄
<a name="entra-step-5"></a>

建立專用 WorkSpaces 目錄，以存放加入 Microsoft Entra ID 的 WorkSpaces 和 Entra ID 使用者的資訊。

**建立 Entra ID WorkSpaces 目錄**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 在**建立目錄**頁面上，針對 **WorkSpaces 類型**選擇**個人**。針對 **WorkSpace 裝置管理**，選擇 **Microsoft Entra ID**。

1. 針對 **Microsoft Entra 租用戶 ID**，輸入您希望目錄的 WorkSpaces 加入的 Microsoft Entra ID 租用戶 ID。建立目錄後，您將無法變更租戶 ID。

1. 對於 **Entra ID 應用程式 ID 和密碼**，請從下拉式清單中選取您在[步驟 4](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4) 中建立的 AWS Secrets Manager 秘密。建立目錄之後，您將無法變更與目錄相關聯的秘密。不過，您可以隨時透過 AWS Secrets Manager 主控台更新秘密的內容，包括 Entra ID 應用程式 ID 及其密碼，網址為 https：//[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

1. 如果您的 IAM Identity Center 執行個體與 WorkSpaces 目錄位於相同的 AWS 區域，請針對**使用者身分來源**，從下拉式清單中選取您在[步驟 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) 中設定的 IAM Identity Center 執行個體。建立目錄之後，您將無法變更與目錄相關聯的 IAM Identity Center 執行個體。

   如果您的 IAM Identity Center 執行個體與 WorkSpaces 目錄位於不同的 AWS 區域，請選擇**啟用跨區域**，然後從下拉式清單中選取區域。
**注意**  
如果您在不同的區域中有現有的 IAM Identity Center 執行個體，您必須選擇加入以設定跨區域整合。如需跨區域設定的詳細資訊，請參閱 [建立跨區域 IAM Identity Center 整合 （選用）](#create-cross-region-iam-identity-integration)。

1. 針對**目錄名稱**，輸入目錄的唯一名稱 （例如，`WorkSpacesDirectoryName`)。
**重要**  
目錄名稱應與您在[步驟 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中使用 Microsoft Intune 建立的 Autopilot 裝置群組建構動態查詢`OrderID`所用的 相符。在 Windows Autopilot 中註冊個人 WorkSpaces 時，目錄名稱字串會用作群組標籤。群組標籤會映射至 Microsoft Entra 裝置上的 `OrderID` 屬性。

1. (選用) 針對**描述**，輸入目錄的描述。

1. 針對 **VPC**，選取您用來啟動 WorkSpaces 的 VPC。如需詳細資訊，請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。

1. 針對**子網路**，選取兩個不是來自相同可用區域的 VPC 子網路。這些子網路將用於啟動您的個人 WorkSpaces。如需詳細資訊，請參閱[WorkSpaces Personal 的可用區域](azs-workspaces.md)。
**重要**  
確保在子網路中啟動的 WorkSpaces 具有網際網路存取，這是使用者登入 Windows 桌面時需要的。如需詳細資訊，請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。

1. 針對**組態**，選取**啟用專用 WorkSpace**。您必須啟用它來建立專用的 WorkSpaces Personal 目錄，以啟動自帶授權 (BYOL) Windows 10 或 11 個個人 WorkSpaces。
**注意**  
如果您沒有在**組態**下看到**啟用專用 WorkSpace** 選項，您的帳戶尚未為 BYOL 啟用。若要為您的帳戶啟用 BYOL，請參閱 [在 WorkSpaces 中攜帶您自己的 Windows 桌面授權](byol-windows-images.md)。

1. （選用） 對於**標籤**，在 目錄中指定您要用於個人 WorkSpaces 的金鑰對值。

1. 檢閱目錄摘要，然後選擇**建立目錄**。連線您的目錄需要幾分鐘的時間。目錄的初始狀態為 `Creating`。目錄建立完成時，狀態為 `Active`。

建立目錄後，也會代表您自動建立 IAM Identity Center 應用程式。若要尋找應用程式的 ARN，請前往目錄的摘要頁面。

您現在可以使用 目錄來啟動已註冊 Microsoft Intune 並加入 Microsoft Entra ID 的 Windows 10 或 11 個人 WorkSpaces。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)。

建立 WorkSpaces Personal 目錄之後，您可以建立個人 WorkSpace。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)

## 為 WorkSpaces 目錄設定 IAM Identity Center 應用程式 （選用）
<a name="configure-iam-directory"></a>

建立目錄後，會自動建立對應的 IAM Identity Center 應用程式。您可以在目錄詳細資訊頁面上的摘要區段中找到應用程式的 ARN。根據預設， Identity Center 執行個體中的所有使用者可以存取其指派的 WorkSpaces，而無需設定對應的 Identity Center 應用程式。不過，您可以透過設定 IAM Identity Center 應用程式的使用者指派，來管理使用者對 目錄中 WorkSpaces 的存取權。

**設定 IAM Identity Center 應用程式的使用者指派**

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在**AWS 受管應用程式**索引標籤上，選擇 WorkSpaces 目錄的應用程式。應用程式名稱的格式如下：`WorkSpaces.wsd-xxxxx`，其中 `wsd-xxxxx`是 WorkSpaces 目錄 ID。

1. 選擇**動作**、**編輯詳細資訊**。

1. 從 變更**使用者和群組指派方法** **不需要指派**至**需要指派**。

1. 選擇**儲存變更**。

進行此變更後，除非指派給應用程式，否則 Identity Center 執行個體中的使用者將失去其指派 WorkSpaces 的存取權。若要將使用者指派給應用程式，請使用 AWS CLI 命令`create-application-assignment`將使用者或群組指派給應用程式。如需詳細資訊，請參閱 [AWS CLI 命令參考](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html)。

## 建立跨區域 IAM Identity Center 整合 （選用）
<a name="create-cross-region-iam-identity-integration"></a>

我們建議您的 WorkSpaces 和相關聯的 IAM Identity Center 執行個體位於相同的 AWS 區域。不過，如果您已在與 WorkSpaces 區域不同的區域中設定 IAM Identity Center 執行個體，您可以建立跨區域整合。當您建立跨區域 WorkSpaces 和 IAM Identity Center 整合時，您可以讓 WorkSpaces 進行跨區域呼叫，以存取和存放來自 IAM Identity Center 執行個體的資訊，例如使用者和群組屬性。

**重要**  
Amazon WorkSpaces 僅支援組織層級執行個體的跨區域 IAM Identity Center 和 WorkSpaces 整合。WorkSpaces 不支援帳戶層級執行個體的跨區域 IAM Identity Center 整合。如需 IAM Identity Center 執行個體類型及其使用案例的詳細資訊，請參閱[了解 IAM Identity Center 執行個體的類型](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types)。

如果您在 WorkSpaces 目錄和 IAM Identity Center 執行個體之間建立跨區域整合，則部署 WorkSpaces 時和登入期間可能會因為跨區域呼叫而遇到較高的延遲。延遲的增加與 WorkSpaces 區域和 IAM Identity Center 區域之間的距離成正比。我們建議您針對特定使用案例執行延遲測試。

 您可以在[步驟 5：建立專用 Microsoft Entra ID WorkSpaces 目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5)期間啟用跨區域 IAM Identity Center 連線。對於**使用者身分來源**，[步驟 1：啟用 IAM Identity Center 並與 Microsoft Entra ID 同步](#entra-step-1)請從下拉式選單中選擇您在 中設定的 IAM Identity Center 執行個體。

**重要**  
您無法在建立目錄之後變更與目錄相關聯的 IAM Identity Center 執行個體。

# 使用 WorkSpaces Personal 建立專用自訂目錄
<a name="launch-custom"></a>

在建立 Windows 10 和 11 BYOL 個人 WorkSpaces 並將其指派給使用 IAM Identity Center Identity Providers (IdPs AWS管理的使用者之前，您必須建立專用的自訂 WorkSpaces 目錄。Personal WorkSpaces 不會加入任何 Microsoft Active Directory，但可以使用您選擇的行動裝置管理 (MDM) 解決方案進行管理，例如 JumpCloud。如需 JumpCloud 的詳細資訊，請參閱[這篇文章](https://jumpcloud.com/support/integrate-with-aws-workspaces)。如需使用其他選項的教學課程，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。

**注意**  
Amazon WorkSpaces 無法在自訂目錄中啟動的個人 WorkSpaces 上建立或管理使用者帳戶。身為管理員，您必須管理它們。
除了非洲 （開普敦）、以色列 （特拉維夫） 和中國 （寧夏） 以外，提供 Amazon WorkSpaces 的所有AWS區域都提供自訂 WorkSpaces 目錄。
Amazon WorkSpaces 無法使用自訂目錄在 WorkSpaces 上建立或管理使用者帳戶。為了確保您使用的 MDM 代理程式軟體可以在 Windows WorkSpaces 上建立使用者設定檔，請聯絡 MDM 解決方案供應商。建立使用者設定檔可讓您的使用者從 Windows 登入畫面登入 Windows 桌面。

**Contents**
+ [要求與限制](#custom-requirements-limitations)
+ [步驟 1：啟用 IAM Identity Center 並與您的 Identity Provider 連線](#custom-step-1)
+ [步驟 2：建立專用的自訂 WorkSpaces 目錄](#custom-step-2)

## 要求與限制
<a name="custom-requirements-limitations"></a>
+ 自訂 WorkSpaces 目錄僅支援 Windows 10 或 11 自帶授權個人 WorkSpaces。
+ 自訂 WorkSpaces 目錄僅支援 DCV 通訊協定。
+ 請確定您為 AWS帳戶啟用 BYOL，而且您擁有自己的AWS KMS伺服器，可供個人 WorkSpaces 存取以進行 Windows 10 和 11 啟用。如需詳細資訊，請參閱[在 WorkSpaces 中攜帶您自己的 Windows 桌面授權](byol-windows-images.md)。
+ 請確定您在匯入至AWS帳戶的 BYOL 映像上預先安裝 MDM 代理程式軟體。

## 步驟 1：啟用 IAM Identity Center 並與您的 Identity Provider 連線
<a name="custom-step-1"></a>

若要將 WorkSpaces 指派給使用身分提供者管理的使用者，使用者資訊必須透過 AWSAWSIAM Identity Center 提供給 。我們建議您使用 IAM Identity Center 來管理使用者對 AWS資源的存取。如需詳細資訊，請參閱[什麼是 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。這是一次性設定。

**提供使用者資訊給AWS**

1. 啟用 IAM Identity CenterAWS。您可以為您的AWS組織啟用 IAM Identity Center，尤其是使用多帳戶環境時。您也可以建立 IAM Identity Center 的帳戶執行個體。如需詳細資訊，請參閱[啟用 AWSIAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每個 WorkSpaces 目錄都可以與一個 IAM Identity Center 組織或帳戶執行個體建立關聯。每個 IAM Identity Center 執行個體都可以與一或多個 WorkSpaces Personal 目錄建立關聯。

   如果您使用組織執行個體，並嘗試在其中一個成員帳戶中建立 WorkSpaces 目錄，請確定您有下列 IAM Identity Center 許可。
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   如需詳細資訊，請參閱[管理 IAM Identity Center 資源存取許可的概觀](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。確保沒有任何服務控制政策 SCPs) 封鎖這些許可。若要進一步了解 SCPs，請參閱[服務控制政策 SCPs)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html)。

1. 設定 IAM Identity Center 和您的身分提供者 (IdP)，以自動將使用者從 IdP 同步至 IAM Identity Center 執行個體。如需詳細資訊，請參閱[入門教學課程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)，並選擇您要使用的 IdP 特定教學課程。例如，[使用 IAM Identity Center 與您的 JumpCloud Directory Platform 連線](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html)。

1. 確認您在 IdP 上設定的使用者已正確同步至 IAM Identity Center AWS執行個體。第一次同步可能需要長達一小時的時間，具體取決於 IdP 的組態。

## 步驟 2：建立專用的自訂 WorkSpaces 目錄
<a name="custom-step-2"></a>

建立專用的 WorkSpaces Personal 目錄，以存放您的個人 WorkSpaces 和使用者的相關資訊。

**建立專用的自訂 WorkSpaces 目錄**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇**建立目錄**。

1. 在**建立目錄**頁面上，針對 **WorkSpaces** 類型，選擇**個人**。針對 **WorkSpace 裝置管理**，選擇**自訂**。

1. 對於**使用者身分來源**，請從下拉式清單中選取您在[步驟 1](https://docs.aws.amazon.com/) 中設定的 IAM Identity Center 執行個體。建立目錄後，您將無法變更與目錄相關聯的 IAM Identity Center 執行個體。
**注意**  
您必須為目錄指定 IAM Identity Center 執行個體，否則您將無法使用 WorkSpaces 主控台透過目錄啟動個人 WorkSpaces。沒有相關聯 Identity Center 的 WorkSpaces 目錄僅與 WorkSpaces Core 合作夥伴解決方案相容。

1. 在**目錄名稱**中，輸入目錄的唯一名稱。

1. 針對 **VPC**，選取您用來啟動 WorkSpaces 的 VPC。如需詳細資訊，請參閱[為 WorkSpaces Personal 設定 VPC](amazon-workspaces-vpc.md)。

1. 針對**子網路**，選取兩個不是來自相同可用區域的 VPC 子網路。這些子網路將用於啟動您的個人 WorkSpaces。如需詳細資訊，請參閱[WorkSpaces Personal 的可用區域](azs-workspaces.md)。
**重要**  
確保在子網路中啟動的 WorkSpaces 具有網際網路存取，這是使用者登入 Windows 桌面時需要的。如需詳細資訊，請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。

1. 針對**組態**，選取**啟用專用 WorkSpace**。您必須啟用它來建立專用的 WorkSpaces Personal 目錄，以啟動自帶授權 (BYOL) Windows 10 或 11 個個人 WorkSpaces。

1. （選用） 針對**標籤**，在 目錄中指定您要用於個人 WorkSpaces 的金鑰對值。

1. 檢閱目錄摘要，然後選擇**建立目錄**。連線您的目錄需要幾分鐘的時間。目錄的初始狀態為 `Creating`。目錄建立完成時，狀態為 `Active`。

建立目錄後，也會代表您自動建立 IAM Identity Center 應用程式。若要尋找應用程式的 ARN，請前往目錄的摘要頁面。

您現在可以使用 目錄來啟動已註冊 Microsoft Intune 並加入 Microsoft Entra ID 的 Windows 10 或 11 個人 WorkSpaces。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)。

建立 WorkSpaces Personal 目錄之後，您可以建立個人 WorkSpace。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](create-workspaces-personal.md)

# 更新 WorkSpaces Personal 的 DNS 伺服器
<a name="update-dns-server"></a>

如果您需要在啟動 WorkSpaces 之後更新 Active Directory 的 DNS 伺服器 IP 地址，您也必須使用新的 DNS 伺服器設定來更新您的 WorkSpaces。

您可使用下列其中一種方式，使用新的 DNS 設定來更新 WorkSpaces：
+ 在更新 Active Directory 的 DNS 設定**之前**，請先更新 WorkSpaces 上的 DNS 設定。
+ 更新 Active Directory 的 DNS 設定**之後**，請重新建置 WorkSpaces。

我們建議在更新 Active Directory 中的 DNS 設定之前，先更新 WorkSpaces 上的 DNS 設定 (如下列程序的[步驟 1](#update-registry-dns) 所述)。

如果您想要改為重新建置 WorkSpaces，請更新 Active Directory 中的其中一個 DNS 伺服器 IP 地址 ([步驟 2](#update-dns-active-directory))，然後依照 [在 WorkSpace WorkSpaces](rebuild-workspace.md) 中的程序重新建置 WorkSpaces。重新建置 WorkSpaces 之後，請依照[步驟 3](#test-updated-dns-settings) 中的程序來測試 DNS 伺服器更新。完成該步驟之後，請在 Active Directory 中更新第二個 DNS 伺服器的 IP 地址，然後再次重新建置 WorkSpaces。務必遵循[步驟 3](#test-updated-dns-settings) 中的程序來測試您的第二個 DNS 伺服器更新。如[最佳實務](#update-dns-best-practices)一節所述，建議您一次更新一個 DNS 伺服器 IP 地址。

## 最佳實務
<a name="update-dns-best-practices"></a>

當您更新 DNS 伺服器設定時，建議您採用下列最佳實務：
+ 為了避免網域資源中斷連線和無法存取，我們強烈建議您在離峰時間或在計劃的維護期間執行 DNS 伺服器更新。
+ 請勿在變更 DNS 伺服器設定的前 15 分鐘和後 15 分鐘內啟動任何新的 WorkSpaces。
+ 更新 DNS 伺服器設定時，請一次變更一個 DNS 伺服器 IP 地址。在更新第二個 IP 地址之前，請先確認第一次更新正確無誤。我們建議您執行下列程序兩次 ([步驟 1](#update-registry-dns)、[步驟 2](#update-dns-active-directory) 和[步驟 3](#test-updated-dns-settings))，以便一次更新一個 IP 地址。

## 步驟 1：更新 WorkSpaces 上的 DNS 伺服器設定
<a name="update-registry-dns"></a>

在下列程序中，目前和新的 DNS 伺服器 IP 地址值參考如下：
+ 目前的 DNS IP 地址：`OldIP1`、`OldIP2`
+ 新的 DNS IP 地址：`NewIP1`、`NewIP2`

**注意**  
 如果這是您第二次執行此程序，請以 `OldIP2` 取代 `OldIP1` 和以 `NewIP2` 取代 `NewIP1`。

### 更新 Windows WorkSpaces 的 DNS 伺服器設定
<a name="update-registry-dns-windows"></a>

如果您有多個 WorkSpaces，您可以在 WorkSpaces 的 Active Directory OU 上套用群組政策物件 (GPO)，將下列登錄更新部署至 WorkSpaces。如需使用 GPO 的詳細資訊，請參閱 [在 WorkSpaces Personal 中管理您的 Windows WorkSpaces](group_policy.md)。

您可以使用登錄編輯程式或使用 Windows PowerShell 進行這些更新。本節將說明這兩個程序。

**使用登錄編輯程式更新 DNS 登錄設定**

1. 在 Windows WorkSpace 上，開啟 Windows 搜尋方塊，然後輸入 **registry editor** 以開啟登錄編輯程式 (**regedit.exe**)。

1. 當系統詢問「您要允許此應用程式對裝置進行變更嗎？」時，請選擇**是**。

1. 在登錄編輯程式中，導覽至下列登錄項目：

   **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1SkyLight**

1. 開啟 **DomainJoinDns** 登錄機碼。使用 `NewIP1` 更新 `OldIP1`，然後選擇**確定**。

1. 關閉登錄編輯程式。

1. 重新啟動 WorkSpace，或重新啟動 SkyLightWorkspaceConfigService 服務。
**注意**  
重新啟動 SkyLightWorkspaceConfigService 服務之後，網路介面卡最多可能需要 1 分鐘才會反映變更。

1. 繼續進行[步驟 2](#update-dns-active-directory)，並在 Active Directory 中更新 DNS 伺服器設定以使用 `NewIP1` 取代 `OldIP1`。

**使用 PowerShell 更新 DNS 登錄設定**

下列程序會使用 PowerShell 命令來更新您的登錄，並重新啟動 SkyLightWorkspaceConfigService 服務。

1. 在 Windows WorkSpace 上，開啟 Windows 搜尋方塊，然後輸入 **powershell**。選擇**以管理員身分執行**。

1. 當系統詢問「您要允許此應用程式對裝置進行變更嗎？」時，請選擇**是**。

1. 在 PowerShell 視窗中，執行下列命令以擷取目前的 DNS 伺服器 IP 地址。

   ```
   Get-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS
   ```

   您應該會收到以下輸出。

   ```
   DomainJoinDns : OldIP1,OldIP2
   PSPath        : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\SkyLight
   PSParentPath  : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon
   PSChildName   : SkyLight
   PSDrive       : HKLM
   PSProvider    : Microsoft.PowerShell.Core\Registry
   ```

1. 在 PowerShell 視窗中，執行下列命令，將 `OldIP1` 變更為 `NewIP1`。務必暫時將 `OldIP2` 保持原樣。

   ```
   Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "NewIP1,OldIP2"
   ```

1. 執行下列命令以重新啟動 SkyLightWorkspaceConfigService 服務。

   ```
   restart-service -Name SkyLightWorkspaceConfigService
   ```
**注意**  
重新啟動 SkyLightWorkspaceConfigService 服務之後，網路介面卡最多可能需要 1 分鐘才會反映變更。

1. 繼續進行[步驟 2](#update-dns-active-directory)，並在 Active Directory 中更新 DNS 伺服器設定以使用 `NewIP1` 取代 `OldIP1`。

### 更新 Amazon Linux 2 WorkSpaces 的 DNS 伺服器設定
<a name="update-registry-dns-linux"></a>

如果您有多個 Amazon Linux 2 WorkSpace，建議您使用組態管理解決方案來分發和強制執行政策。例如，您可以使用 [Ansible](https://www.ansible.com/)。

**更新 Amazon Linux 2 WorkSpace 上的 DNS 伺服器設定**

1. 在您的 Linux WorkSpace 上，開啟終端機視窗。

1. 使用以下 Linux 命令來編輯 `/etc/dhcp/dhclient.conf` 檔案。您必須擁有 root 使用者權限才能編輯此檔案。使用 `sudo -i` 命令以成為 root，或者如下所示使用 `sudo` 執行所有命令。

   ```
   sudo vi /etc/dhcp/dhclient.conf
   ```

   在 `/etc/dhcp/dhclient.conf` 檔案中，您將看到以下 `prepend` 命令，其中 `OldIP1` 和 `OldIP2` 是 DNS 伺服器的 IP 地址。

   ```
   prepend domain-name-servers OldIP1, OldIP2; # skylight
   ```

1. 以 `NewIP1` 取代 `OldIP1`，並且暫時將 `OldIP2` 保持原樣。

1. 將您的變更儲存至 `/etc/dhcp/dhclient.conf`。

1. 重新啟動 WorkSpace。

1. 繼續進行[步驟 2](#update-dns-active-directory)，並在 Active Directory 中更新 DNS 伺服器設定以使用 `NewIP1` 取代 `OldIP1`。

### 更新 Ubuntu WorkSpaces 的 DNS 伺服器設定
<a name="update-registry-dns-ubuntu"></a>

如果您有多個 Ubuntu WorkSpace，建議您使用組態管理解決方案來分發和強制執行政策。例如，您可以使用[橫向](https://ubuntu.com/landscape)。

**更新 Ubuntu WorkSpace 上的 DNS 伺服器設定**

1. 在 Ubuntu WorkSpace 上，開啟終端機視窗並執行下列命令。您必須擁有 root 使用者權限才能編輯此檔案。使用 `sudo -i` 命令以成為 root，或者如下所示使用 `sudo` 執行所有命令。

   ```
   sudo vi /etc/netplan/zz-workspaces-domain.yaml
   ```

1. 在 yaml 檔案中，您會看到下列`nameserver`命令。

   ```
   nameservers:
       search:[Your domain FQDN]
       addresses:[OldIP1, OldIP2]
   ```

   將 `OldIP1`和 取代`OldIP2`為 `NewIP1`和 `NewIP2`。

   如果您有多個 DNS 伺服器 IP 增益集，請將它們新增為逗號分隔值。例如 `[NewDNSIP1, NewDNSIP2, NewDNSIP3]`。

1. 儲存 yaml 檔案。

1. 執行 命令`sudo netplan apply`以套用變更。

1. 執行 命令`resolvectl status`以確認正在使用新的 DNS IP 地址。

1. 繼續[步驟 2](#update-dns-active-directory)，並在 Active Directory 中更新您的 DNS 伺服器設定。

### 更新 Red Hat Enterprise Linux WorkSpaces 的 DNS 伺服器設定
<a name="update-registry-dns-rhel"></a>

如果您有多個 Red Hat Enterprise Linux WorkSpace，建議您使用組態管理解決方案來分發和強制執行政策。例如，您可以使用 [Ansible](https://www.ansible.com/)。

**更新 Red Hat Enterprise Linux WorkSpace 上的 DNS 伺服器設定**

1. 在 Red Hat Enterprise Linux WorkSpace 上，開啟終端機視窗並執行以下命令。您必須擁有 root 使用者權限才能編輯此檔案。使用 `sudo -i` 命令以成為 root，或者如下所示使用 `sudo` 執行所有命令。

   ```
   sudo nmcli conn modify CustomerNIC ipv4.dns 'NewIP1 NewIP2'
   ```

1. 執行下列命令。

   ```
   sudo systemctl restart NetworkManager
   ```

1. 若要檢查更新的 DNS 和網路組態，請執行下列命令。

   ```
   nmcli device show eth1
   ```

1. 繼續[步驟 2](#update-dns-active-directory)，並在 Active Directory 中更新您的 DNS 伺服器設定。

## 步驟 2：更新 Active Directory 的 DNS 伺服器設定
<a name="update-dns-active-directory"></a>

在此步驟中，您會更新 Active Directory 的 DNS 伺服器設定。如[最佳實務](#update-dns-best-practices)一節所述，建議您一次更新一個 DNS 伺服器 IP 地址。

若要更新 Active Directory 的 DNS 伺服器設定，請參閱《AWS Directory Service 管理指南》**中的下列文件：
+ **AD Connector**：[更新 AD Connector 的 DNS 位址](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html)
+ **AWS Managed Microsoft AD**：[為您的內部部署網域設定 DNS 條件式轉寄站](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_onprem.html#tutorial_setup_trust_onprem_forwarder)
+ **Simple AD**：[設定 DNS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_dns.html)

更新 DNS 伺服器設定之後，請繼續執行[步驟 3](#test-updated-dns-settings)。

## 步驟 3：測試已更新的 DNS 伺服器設定
<a name="test-updated-dns-settings"></a>

完成[步驟 1](#update-registry-dns) 和[步驟 2](#update-dns-active-directory) 之後，請使用下列程序來確認已更新的 DNS 伺服器設定是否如預期般運作。

在下列程序中，目前和新的 DNS 伺服器 IP 地址值參考如下：
+ 目前的 DNS IP 地址：`OldIP1`、`OldIP2`
+ 新的 DNS IP 地址：`NewIP1`、`NewIP2`

**注意**  
如果這是您第二次執行此程序，請以 `OldIP2` 取代 `OldIP1` 和以 `NewIP2` 取代 `NewIP1`。

### 測試 Windows WorkSpaces 的已更新 DNS 伺服器設定
<a name="test-updated-dns-settings-windows"></a>

1. 關閉 `OldIP1` DNS 伺服器。

1. 登入 Windows WorkSpace。

1. 在 Windows **Start (開始)** 功能表，選擇 **Windows System (Windows 系統)**，然後選擇 **Command Prompt (命令提示字元)**。

1. 執行下列命令，其中 `AD_Name` 是 Active Directory 的名稱 (例如，`corp.example.com`)。

   ```
   nslookup AD_Name
   ```

   `nslookup` 命令應該會傳回下列輸出。(如果這是您第二次執行此程序，您應該會看到 `NewIP2` 代替 `OldIP2`。)

   ```
   Server:  Full_AD_Name
   Address:  NewIP1
   
   Name:    AD_Name
   Addresses:  OldIP2
             NewIP1
   ```

1. 如果輸出不是您預期的輸出，或者您收到任何錯誤，請重複[步驟 1](#update-registry-dns)。

1. 請等待一個小時，確認沒有回報任何使用者問題。確認 `NewIP1` 正在取得 DNS 查詢並回應答案。

1. 確認第一個 DNS 伺服器運作正常之後，請重複[步驟 1](#update-registry-dns) 來更新第二個 DNS 伺服器，這次會以 `NewIP2` 取代 `OldIP2`。然後重複步驟 2 和步驟 3。

### 測試 Linux WorkSpaces 的已更新 DNS 伺服器設定
<a name="test-updated-dns-settings-linux"></a>

1. 關閉 `OldIP1` DNS 伺服器。

1. 登入 Linux WorkSpace。

1. 在您的 Linux WorkSpace 上，開啟終端機視窗。

1. DHCP 回應中傳回的 DNS 伺服器 IP 地址會寫入 WorkSpace 上的本機 `/etc/resolv.conf` 檔案。執行下列命令以檢視 `/etc/resolv.conf ` 檔案的內容。

   ```
   cat /etc/resolv.conf
   ```

   您應該會看到下列輸出。(如果這是您第二次執行此程序，您應該會看到 `NewIP2` 代替 `OldIP2`。)

   ```
   ; This file is generated by Amazon WorkSpaces
   ; Modifying it can make your WorkSpace inaccessible until reboot
   options timeout:2 attempts:5
   ; generated by /usr/sbin/dhclient-script
   search region.compute.internal
   nameserver NewIP1
   nameserver OldIP2
   nameserver WorkSpaceIP
   ```
**注意**  
如果您手動修改 `/etc/resolv.conf` 檔案，則當 WorkSpace 重新啟動時，這些變更就會遺失。

1. 如果輸出不是您預期的輸出，或者您收到任何錯誤，請重複[步驟 1](#update-registry-dns)。

1. 實際的 DNS 伺服器 IP 地址會儲存在 `/etc/dhcp/dhclient.conf` 檔案中。若要查看此檔案的內容，請執行以下命令。

   ```
   sudo cat /etc/dhcp/dhclient.conf
   ```

   您應該會看到下列輸出。(如果這是您第二次執行此程序，您應該會看到 `NewIP2` 代替 `OldIP2`。)

   ```
   # This file is generated by Amazon WorkSpaces
   # Modifying it can make your WorkSpace inaccessible until rebuild
   prepend domain-name-servers NewIP1, OldIP2; # skylight
   ```

1. 請等待一個小時，確認沒有回報任何使用者問題。確認 `NewIP1` 正在取得 DNS 查詢並回應答案。

1. 確認第一個 DNS 伺服器運作正常之後，請重複[步驟 1](#update-registry-dns) 來更新第二個 DNS 伺服器，這次會以 `NewIP2` 取代 `OldIP2`。然後重複步驟 2 和步驟 3。

# 刪除 WorkSpaces Personal 的目錄
<a name="delete-workspaces-directory"></a>

**注意**  
您可以免費使用 Simple AD 和 AD Connector，以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用，則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用，而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。  
如果您刪除 Simple AD 或 AD Connector 目錄，當您想要再次開始使用 WorkSpaces 時，隨時都可以建立新的目錄。

**當您刪除目錄時會發生什麼情況：**當您刪除目錄時，會發生下列情況：
+ 刪除 Simple AD 或 AWS Directory Service for Microsoft Active Directory 目錄時，會刪除所有目錄資料和快照，且無法復原。刪除目錄之後，任何加入目錄的 Amazon EC2 執行個體都會保持不變。不過，您無法使用目錄憑證來登入這些執行個體。您需要使用執行個體本機 AWS 帳戶 的 登入這些執行個體。
+ 刪除 AD Connector 目錄時，您的內部部署目錄會保持不變。任何加入目錄的 Amazon EC2 執行個體也會保持不變，並保持在已加入您內部部署目錄的狀態。您仍然可以使用目錄登入資料來登入這些執行個體。

## 刪除 Entra ID 或自訂 WorkSpaces 目錄
<a name="delete-entra-custom"></a>

Entra ID WorkSpaces 目錄可讓您建立加入 Entra ID 的 Windows 10 或 11 BYOL WorkSpaces。如需詳細資訊，請參閱[使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄](launch-entra-id.md)。

自訂 WorkSpaces 目錄可讓您建立未加入 Active Directory 網域的 WorkSpaces，但請使用您自己的裝置管理軟體和 IAM Identity Center。如需詳細資訊，請參閱[使用 WorkSpaces Personal 建立專用自訂目錄](launch-custom.md)。

**刪除 Entra ID 或自訂 WorkSpaces 目錄**

1. 刪除 目錄中的所有 WorkSpaces。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](delete-workspaces.md)。

1. 在導覽窗格中，選擇**目錄**。

1. 選取目錄。

1. 選擇 **動作**、**刪除**。

1. 出現確認提示時，輸入 **delete**。

## 刪除 AWS Directory Service 目錄
<a name="delete-aws-directory"></a>

如果其他 WorkSpaces 或其他應用程式不再使用 WorkDocs、Amazon WorkMail 或 Amazon Chime，您可以刪除 WorkSpaces 的 AWS Directory Service 目錄。請注意，您必須先取消註冊目錄，才能加以刪除。

**取消註冊目錄**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取目錄。

1. 選擇 **Actions** (動作)、**Deregister** (取消註冊)。

1. 出現確認的提示時，請選擇**取消註冊**。取消註冊完成後，**已註冊**的值為 `No`。

**刪除目錄**

1. 刪除目錄中的所有 WorkSpaces。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](delete-workspaces.md)。

1. 尋找並移除目錄中註冊的所有應用程式和服務。如需詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[刪除目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html)。

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取目錄，然後選擇**動作**、**取消註冊**。

1. 出現確認的提示時，請選擇**取消註冊**。

1. 再次選取目錄，然後依序選擇**動作**、**刪除**。

1. 出現確認提示時，請選擇**刪除**。
**注意**  
移除應用程式指派有時會比預期花費更多的時間。如果您收到下列錯誤訊息，請確認您已移除所有應用程式指派，然後等待 30 到 60 分鐘，再次嘗試刪除目錄：  

   ```
   An Error Has Occurred
   Cannot delete the directory because it still has authorized applications. 
   Additional directory details can be viewed at the Directory Service console.
   ```

1. (選用) 刪除目錄的虛擬私有雲端 (VPC) 中的所有資源後，您可以刪除 VPC 並釋放用於 NAT 閘道的彈性 IP 地址。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[刪除 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting)和[使用彈性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs)。

1. (選用) 若要刪除您已完成的任何自訂套件和映像，請參閱 [在 WorkSpaces Personal 中刪除自訂套件或映像](delete_bundle.md)。

# 設定 WorkSpaces Personal 的 Active Directory 管理工具
<a name="directory_administration"></a>

您將使用目錄管理工具 (例如 Active Directory 系統管理工具) 為 WorkSpaces 目錄執行大部分的管理工作。不過，您將使用 WorkSpaces 主控台來執行一些目錄相關任務。如需詳細資訊，請參閱[管理 WorkSpaces Personal 的目錄](manage-workspaces-directory.md)。

如果您使用包含五個或更多 WorkSpaces 的 AWSManaged Microsoft AD 或 Simple AD 建立目錄，我們建議您在 Amazon EC2 執行個體上集中管理。雖然您可以在 WorkSpace 上安裝目錄管理工具，但是使用 Amazon EC2 執行個體是更強大的解決方式。

**若要安裝 Active Directory 管理工具**

1. 啟動 Amazon EC2 Windows 執行個體，並使用下列其中一個選項將其加入您的 WorkSpaces 目錄：
   + 如果您還沒有現有的 Amazon EC2 Windows 執行個體，則可以在啟動執行個體時將執行個體加入目錄網域。如需詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[無縫加入 Windows EC2 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)。
   + 如果您已經有一個現有的 Amazon EC2 Windows 執行個體，則可以手動將其加入您的目錄。如需詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[手動新增 Windows 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)。

1. 在 Amazon EC2 Windows 執行個體上安裝 Active Directory 管理工具。如需詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[安裝 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/install_ad_tools.html)。
**注意**  
當您安裝 Active Directory 管理工具時，務必也選取**群組政策管理**來安裝群組政策管理編輯器 (**gpmc.msc**) 工具。

   當功能安裝完成時，可以在 **Windows 系統管理工具**下的 Windows **開始**功能表上取得 Active Directory 工具。

1. 以目錄管理員身分執行工具，如下所示：

   1. 在 Windows **開始**功能表上，開啟 **Windows 系統管理工具**。

   1. 按住 Shift 鍵，以滑鼠右鍵按一下您要使用之工具的快速鍵，然後選擇**以不同的使用者身分執行**。

   1. 輸入管理員的登入認證。使用 Simple AD 時，使用者名稱為 **Administrator**，使用 AWSManaged Microsoft AD 時，管理員為 **Admin**。

您現在可以使用您熟悉的 Active Directory 工具來執行目錄管理工作。例如，您可以使用 Active Directory 使用者和電腦工具來新增使用者、移除使用者、將使用者升級為目錄管理員，或重設使用者密碼。請注意，您必須以具有管理目錄中使用者之許可的使用者身分登入 Windows 執行個體。

**若要將使用者升級為目錄管理員**
**注意**  
此程序僅適用於使用 Simple AD 建立的目錄，不適用於 AWSManaged AD。如需使用 AWSManaged AD 建立的目錄，請參閱[《 管理指南》中的管理 AWSManaged Microsoft AD 中的使用者和群組](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)。 *AWS Directory Service*

1. 開啟 Active Directory 使用者和電腦工具。

1. 瀏覽至您網域之下的**使用者**資料夾，然後選取要升級的使用者。

1. 選擇**動作**、**內容**。

1. 在***使用者名稱*內容**對話方塊中，選擇**成員群組**。

1. 將使用者新增至下列群組，然後選擇**確定**。
   + **管理員**
   + **網域管理員**
   + **企業管理員**
   + **群組政策建立者擁有者**
   + **結構描述管理員**

**若要新增或移除使用者**  
您只能在啟動 WorkSpace 的過程中從 Amazon WorkSpaces 主控台建立新使用者，而且無法透過 Amazon WorkSpaces 主控台刪除使用者。大多數使用者管理工作 (包括管理使用者群組) 都必須透過您的目錄執行。

**重要**  
您必須先刪除指派給使用者的 WorkSpace，才能移除該使用者。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](delete-workspaces.md)。

您用於管理使用者和群組的程序取決於您所使用的目錄類型。
+ 如果您使用的是 AWSManaged Microsoft AD，請參閱[《 管理指南》中的管理 AWSManaged Microsoft AD 中的使用者和群組](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)。 *AWS Directory Service*
+ 如果您使用 Simple AD，請參閱《AWS Directory Service 管理指南》**中的[在 Simple AD 中管理使用者和群組](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html)。
+ 如果您透過 AD Connector 或信任關係使用 Microsoft Active Directory，您可以使用[ Active Directory 模組](https://docs.microsoft.com/powershell/module/activedirectory/)來管理使用者和群組。

**若要重設使用者密碼**  
當您為現有使用者重設密碼時，請勿設定**使用者必須在下次登入時變更密碼**。否則，使用者無法連線至其 WorkSpaces。改為針對每個使用者指定安全的臨時密碼，然後要求使用者在下次登入時從 WorkSpace 內手動變更其密碼。

**注意**  
如果您使用 AD Connector，或您的使用者位於 AWSGovCloud （美國西部） 區域，您的使用者將無法重設自己的密碼。(WorkSpaces 用戶端應用程式登入畫面上的**忘記密碼？**選項將無法使用。)

# 在 WorkSpaces Personal 中管理使用者
<a name="administer-workspace-users"></a>

每個 WorkSpace 都會指派給單一使用者，且不能由多個使用者共用。依預設，允許每個使用者在每個目錄中只有一個 WorkSpace。

**Topics**
+ [在 WorkSpaces Personal 中管理使用者](manage-workspaces-users.md)
+ [在 WorkSpaces Personal 中為使用者建立多個 WorkSpaces](create-multiple-workspaces-for-user.md)
+ [自訂使用者在 WorkSpaces Personal 中登入其 WorkSpaces 的方式](customize-workspaces-user-login.md)
+ [在 WorkSpaces Personal 中為您的使用者啟用自助式 WorkSpaces 管理功能](enable-user-self-service-workspace-management.md)
+ [在 WorkSpaces Personal 中為您的使用者啟用 Amazon Connect 音訊最佳化](enable-amazon-connect-audio-optimization.md)
+ [在 WorkSpaces Personal 中啟用診斷日誌上傳](enable-diagnostic-log-uploads.md)

# 在 WorkSpaces Personal 中管理使用者
<a name="manage-workspaces-users"></a>

身為 WorkSpaces 的管理員，您可以執行下列任務來管理 WorkSpaces 使用者。

## 編輯使用者資訊
<a name="edit-user"></a>

您可以使用 WorkSpaces 主控台來編輯 WorkSpace 的使用者資訊。

**注意**  
只有在您使用 AWSManaged Microsoft AD 或 Simple AD 時，才能使用此功能。如果您透過 AD Connector 或信任關係來使用 Microsoft Active Directory，您可使用 [Active Directory 模組](https://docs.microsoft.com/powershell/module/activedirectory/)來管理使用者和群組。如果您使用 Microsoft Entra ID 或自訂 WorkSpaces 目錄，您可以使用 Microsoft Entra ID 或您的身分提供者來管理使用者和群組。

**若要編輯使用者資訊**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取使用者，然後依序選擇**動作**、**編輯使用者**。

1. 視需要更新**名字**、**姓氏**和**電子郵件**。

1. 選擇**更新**。

## 新增或刪除使用者
<a name="add-delete-user"></a>

您只能在啟動 WorkSpace 的過程中從 Amazon WorkSpaces 主控台建立使用者，而且無法透過 Amazon WorkSpaces 主控台刪除使用者。大多數使用者管理工作 (包括管理使用者群組) 都必須透過您的目錄執行。

**若要新增或刪除使用者和群組**  
若要新增、刪除或以其他方式管理使用者和群組，您必須透過目錄執行此操作。您將使用目錄管理工具 (例如 Active Directory 管理工具) 為 WorkSpaces 目錄執行大部分的管理任務。如需詳細資訊，請參閱[設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)。

**重要**  
您必須先刪除指派給使用者的 WorkSpace，才能移除該使用者。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](delete-workspaces.md)。

您用於管理使用者和群組的程序取決於您所使用的目錄類型。
+ 如果您使用的是 AWSManaged Microsoft AD，請參閱[《 管理指南》中的管理 AWSManaged Microsoft AD 中的使用者和群組](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)。 *AWS Directory Service*
+ 如果您使用 Simple AD，請參閱《AWS Directory Service 管理指南》**中的[在 Simple AD 中管理使用者和群組](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html)。
+ 如果您透過 AD Connector 或信任關係來使用 Microsoft Active Directory，您可使用 [ Active Directory 模組](https://docs.microsoft.com/powershell/module/activedirectory/)來管理使用者和群組。

## 傳送邀請電子郵件
<a name="send-invitation"></a>

如有需要，您可以手動傳送邀請電子郵件給使用者。

**注意**  
如果您使用 AD Connector 或受信任的網域，邀請電子郵件就不會自動傳送給使用者，因此您必須手動傳送。如果使用者已經存在於 Active Directory 中，也不會自動傳送邀請電子郵件。

**若要重新傳送邀請電子郵件**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 在 **WorkSpaces** 頁面上，使用搜尋方塊來搜尋您要傳送邀請的使用者，然後從搜尋結果中選取對應的 WorkSpace。您一次只能選取一個 WorkSpace。

1. 選擇**動作**、**邀請使用者**。

1. 在**邀請使用者存取 WorkSpace** 頁面上，選擇**傳送邀請**。

# 在 WorkSpaces Personal 中為使用者建立多個 WorkSpaces
<a name="create-multiple-workspaces-for-user"></a>

預設情況下，只能在每個目錄中為每個使用者建立一個 WorkSpace。但是，如有需要，您可以根據您的目錄設定，為一個使用者建立多個 WorkSpace。
+ 如果您的 WorkSpaces 只有一個目錄，請為該使用者建立多個使用者名稱。例如，名為 Mary Major 的使用者可以將 mmajor1、mmajor2 等作為使用者名稱。每個使用者名稱都與相同目錄中的不同 WorkSpace 相關聯，但是只要 WorkSpaces 都在相同 AWS 區域的相同目錄中建立，WorkSpaces 就會有相同的註冊碼。
+ 如果您的 WorkSpaces 有多個目錄，請在不同的目錄中為使用者建立 WorkSpaces。您可以在目錄中使用相同的使用者名稱，也可以在目錄中使用不同的使用者名稱。WorkSpaces 將有不同的註冊碼。

**提示**  
所以為了讓您可輕鬆找到您為使用者建立的所有 WorkSpaces，請對每個 WorkSpace 使用相同的基礎使用者名稱。  
例如，如果您有名為 Mary Major 的使用者具有 Active Directory 使用者名稱 mmajor，請使用 mmajor、mmajor1、mmajor2、mmajor3 或其他變體 (如 mmajor\$1windows 或 mmajor\$1linux) 等使用者名稱為她建立 WorkSpaces。只要所有 WorkSpaces 具有相同的開頭基礎使用者名稱 (mmajor)，您就可以在 WorkSpaces 主控台中依照使用者名稱排序，以將該使用者的所有 WorkSpaces 分組在一起。

**重要**  
只要兩個 WorkSpace s位於不同的目錄中，使用者就可以同時擁有 PCoIP 和 DCV WorkSpace。 WorkSpaces 相同的使用者無法在相同的目錄中擁有 PCoIP 和 DCV WorkSpace。
如果您要設定多個 WorkSpaces 以用於跨區域重新導向，則必須在不同 AWS 區域中的不同目錄中設定 WorkSpaces，而且在每個目錄中都必須使用相同的使用者名稱。如需跨區域重新導向的詳細資訊，請參閱 [WorkSpaces Personal 的跨區域重新導向](cross-region-redirection.md)。

為了在 WorkSpaces 之間切換，使用者會使用與特定 Workspace 相關聯的使用者名稱和註冊碼進行登入。如果使用者使用適用於 Windows、macOS 或 Linux 的 3.0\$1 版 WorkSpaces 用戶端應用程式，則使用者可以前往用戶端應用程式中的**設定**、**管理登入資訊**，將不同的名稱指派給 WorkSpaces。

# 自訂使用者在 WorkSpaces Personal 中登入其 WorkSpaces 的方式
<a name="customize-workspaces-user-login"></a>

使用統一資源識別碼 (URI) 自訂使用者對 WorkSpaces 的存取權，以提供與貴組織中現有工作流程整合的簡化登入體驗。例如，您可以自動產生登入 URI，以使用 WorkSpaces 註冊碼來註冊您的使用者。因此：
+ 使用者可以略過手動註冊程序。
+ 他們的使用者名稱會在其 WorkSpaces 用戶端登入頁面上自動輸入。
+ 如果您的組織中使用了多重要素驗證 (MFA)，其使用者名稱和 MFA 驗證碼會在其用戶端登入頁面上自動輸入。

URI 存取可搭配區域型註冊碼 (例如 `WSpdx+ABC12D`) 和完整網域名稱 (FQDN) 型註冊碼 (例如 `desktop.example.com`) 運作。如需建立和使用 FQDN 型註冊碼的詳細資訊，請參閱 [WorkSpaces Personal 的跨區域重新導向](cross-region-redirection.md)。

您可以在下列支援的裝置上為用戶端應用程式設定 WorkSpaces 的 URI 存取權：
+ Windows 電腦
+ macOS 電腦
+ Ubuntu Linux 18.04、20.04 和 22.04 電腦
+ iPad
+ Android 裝置

若要使用 URI 來存取其 WorkSpaces，使用者必須先開啟 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) 並遵循指示，為其裝置安裝用戶端應用程式。

Windows 和 macOS 電腦上的 Firefox 和 Chrome 瀏覽器、Ubuntu Linux 18.04、20.04 和 22.04 電腦上的 Firefox 瀏覽器，以及 Windows 電腦上的 Internet Explorer 和 Microsoft Edge 瀏覽器，都支援 URI 存取。如需有關 WorkSpaces 用戶端的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [WorkSpaces 用戶端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)。

**注意**  
在 Android 裝置上，URI 存取僅適用於 Firefox 瀏覽器，而不適用於 Google Chrome 瀏覽器。

若要設定 WorkSpaces 的 URI 存取權，請使用下表所述的任何 URI 格式。

**注意**  
如果 URI 的資料元件包含下列任何保留字元，建議您在資料元件中使用百分比編碼，以避免模棱兩可：  
`@ : / ? & =`  
例如，如果您的使用者名稱包含任何這些字元，您應該對 URI 中的這些使用者名稱進行百分比編碼。如需詳細資訊，請參閱[統一資源識別碼 (URI)：通用語法](https://www.rfc-editor.org/rfc/rfc3986.txt)。


| 支援的語法 | 描述 | 
| --- | --- | 
| workspaces:// | 開啟 WorkSpaces 用戶端應用程式。(注意：Linux 用戶端應用程式目前不支援單獨使用 workspaces://。) | 
| workspaces://@registrationcode | 使用 WorkSpaces 註冊碼來註冊使用者。也會顯示用戶端登入頁面。 | 
| workspaces://username@registrationcode | 使用 WorkSpaces 註冊碼來註冊使用者。也會在用戶端登入頁面的使用者名稱欄位中自動輸入使用者名稱。 | 
| workspaces://username@registrationcode?MFACode=mfa | 使用 WorkSpaces 註冊碼來註冊使用者。也會在使用者名稱欄位中自動輸入使用者名稱，並在用戶端登入頁面的 MFA 代碼欄位中輸入多重要素驗證 (MFA) 驗證碼。 | 
| workspaces://@registrationcode?MFACode=mfa | 使用 WorkSpaces 註冊碼來註冊使用者。也會在用戶端登入頁面的 MFA 代碼欄位中自動輸入多重要素驗證 (MFA) 驗證碼。 | 

**注意**  
如果使用者在已從 Windows 用戶端連線至 WorkSpace 時開啟 URI 連結，則新的 WorkSpaces 工作階段會開啟，而其原始的 WorkSpaces 工作階段仍保持開啟狀態。如果使用者在從 macOS、iPad 或 Android 用戶端連線至 WorkSpace 時開啟 URI 連結，則不會開啟任何新工作階段；只有其原始的 WorkSpaces 工作階段會保持開啟狀態。

# 在 WorkSpaces Personal 中為您的使用者啟用自助式 WorkSpaces 管理功能
<a name="enable-user-self-service-workspace-management"></a>

在 WorkSpaces 中，您可以為使用者啟用自助式 WorkSpace 管理功能，讓他們能夠更好地控制自己的體驗。這也可減少對 WorkSpaces 的 IT 支援人員工作負載。當您啟用自助式功能時，使用者可以直接從其 WorkSpaces 用戶端執行下列一或多項任務：
+ 在他們的客戶端上快取其憑證。這可讓他們重新連線至其 WorkSpace，而不須重新輸入其憑證。
+ 重新啟動其 WorkSpace。
+ 增加其 WorkSpace 上根磁碟區和使用者磁碟區的大小。
+ 變更其 WorkSpace 的運算類型 (套件)。
+ 切換其 WorkSpace 的執行模式。
+ 重建其 WorkSpace。

**支援的用戶端**
+ Android，在 Android 或與 Android 系統相容的 Chrome 作業系統上執行
+ Linux
+ macOS
+ Windows

**為使用者啟用自助式管理功能**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇您要啟用自助式管理功能的目錄。

1. 向下捲動至自助式許可，然後選擇**編輯**。視需要啟用或停用下列選項，以判斷使用者可從其用戶端執行的 WorkSpace 管理任務：
   + **記住我**—使用者可以選取登入畫面上的**記住我**或**讓我保持登入狀態**核取方塊，選擇是否要在用戶端上快取其憑證。憑證只會在 RAM 中快取。當使用者選擇快取其憑證時，他們可以重新連線至其 WorkSpaces，而不須重新輸入其憑證。若要控制使用者可快取其憑證的時間長度，請參閱 [設定 Kerberos 票證的生命週期上限](group_policy.md#gp_kerberos_ticket)。
   + **從用戶端重新啟動 WorkSpace**—使用者可以重新啟動其 WorkSpace。重新啟動會中斷使用者與其 WorkSpace 的連線、將其關閉，然後予以重新啟動。使用者資料、作業系統和系統設定均不受影響。
   + **增加磁碟區大小**—使用者可以將 WorkSpace 上的根磁碟區和使用者磁碟區擴充為指定的大小，而不須聯絡 IT 支援。使用者可以將根磁碟區 (在 Windows 中是 C: 磁碟機；在 Linux 中是 /) 的大小增加至高達 175 GB，以及將使用者磁碟區的大小 (在 Windows 中是 D: 磁碟機；在 Linux 中是 /home) 增加至高達 100 GB。WorkSpace 根磁碟區和使用者磁碟區位於無法變更的設定群組中。可用的群組為 [[根磁碟區(GB)，使用者磁碟區(GB)]：[80，10]、[80，50]、[80，100]、[175 至 2000，100 至 2000]。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](modify-workspaces.md)。

     對於新建立的 WorkSpace，使用者必須等待 6 小時，才能增加這些磁碟機的大小。此後，他們每 6 小時只能這樣做一次。正在進行磁碟區大小增加時，使用者可以在其 WorkSpace 上執行大多數任務。他們無法執行的任務包括：變更其 WorkSpace 運算類型、切換其 WorkSpace 執行模式、重新啟動其 WorkSpace 或重新建置其 WorkSpace。處理完成時，必須重新啟動 WorkSpace，變更才會生效。此程序最多需要 1 小時的時間。
**注意**  
如果使用者增加其 WorkSpace 上的磁碟區大小，這會提高其 WorkSpace 的計費費率。
   + **變更運算類型**—使用者可以在運算類型 (套件) 之間切換 WorkSpace。對於新建立的 WorkSpace，使用者必須等待 6 小時，才能切換至不同的套件。此後，他們只能在 6 小時內切換到較大的套件一次，或在 30 天內切換到較小的套件一次。正在進行 WorkSpace 運算類型變更時，使用者會中斷與其 WorkSpace 的連線，而且無法使用或變更 WorkSpace。WorkSpace 會在計算類型變更過程中自動重新啟動。此程序最多需要 1 小時的時間。
**注意**  
如果使用者變更其 WorkSpace 運算類型，這會變更其 WorkSpace 的計費費率。
   + **切換執行模式**—使用者可以在 **AlwaysOn** 和 **AutoStop** 執行模式之間切換其 WorkSpace。如需詳細資訊，請參閱[在 WorkSpaces Personal 中管理執行模式](running-mode.md)。
**注意**  
如果使用者切換其 WorkSpace 的執行模式，這會變更其 WorkSpace 的計費費率。
   + **從用戶端重建 WorkSpace**—使用者可以將 WorkSpace 的作業系統重建為其原始狀態。重建 WorkSpace 時，系統會從最新的備份重建使用者磁碟區 (D: 磁碟機)。由於備份會每 12 小時完成一次，因此使用者的資料最多可能存在 12 小時。對於新建立的 WorkSpace，使用者必須等待 12 小時，才能重建其 WorkSpace。正在進行 WorkSpace 重建時，使用者會中斷與其 WorkSpace 的連線，而且無法使用或變更其 WorkSpace。此程序最多需要 1 小時的時間。
   + **診斷日誌上傳** — 使用者可以將 WorkSpaces 用戶端日誌檔案直接上傳至 WorkSpaces，以針對問題進行故障診斷，而不會中斷 WorkSpaces 用戶端的使用。如果您為使用者啟用診斷日誌上傳，或讓您的使用者自行啟用，日誌檔會自動傳送至 WorkSpaces。您可以在 WorkSpaces 串流工作階段之前或期間啟用診斷日誌上傳。

1. 選擇**儲存**。

# 在 WorkSpaces Personal 中為您的使用者啟用 Amazon Connect 音訊最佳化
<a name="enable-amazon-connect-audio-optimization"></a>

在 WorkSpaces 管理主控台中，您可以為 WorkSpaces 機群啟用 Amazon Connect 聯絡控制面板 (CCP) 音訊最佳化，以增強安全性並啟用原生品質的音訊。啟用 CCP 音訊最佳化後，用戶端端點會處理 CCP 音訊，而 WorkSpaces 使用者即可從其 WorkSpaces 與 CCP 互動。

Amazon Connect 聯絡控制面板 (CCP) 音訊最佳化適用於：
+ WorkSpaces Windows 用戶端。
+ Amazon Linux 與 Windows WorkSpaces。
+ 使用 PCoIP 或 DCV 的 WorkSpaces。

## 要求
<a name="amazon-connect-audio-optimization-requirements"></a>
+ 您必須使用 Amazon Connect 進行設定。
+ 您必須建立沒有通話發訊媒體的 CCP，以使用 Amazon Connect Stream API 建置自訂 CCP。如此，媒體就會在本機桌面上以標準 CCP 處理，而發訊和通話控制則會在遠端連線上以無媒體的 CCP 處理。如需有關 Amazon Connect Stream API 的詳細資訊，請參閱 GitHub 儲存庫 (網址為 [https://github.com/aws/amazon-connect-streams](https://github.com/aws/amazon-connect-streams))。您建置的自訂 CCP 是您的 Amazon Connect 客服人員將在其 WorkSpaces 中使用的 CCP。
+ 您必須在 Amazon Connect 支援的 WorkSpaces 用戶端端點上安裝網頁瀏覽器。如需支援的瀏覽器清單，請參閱 [Amazon Connect 支援的瀏覽器](https://docs.aws.amazon.com/connect/latest/adminguide/browsers.html)。
**注意**  
如果使用者使用不受支援的瀏覽器，當他們嘗試登入 CCP 時，系統會要求他們下載支援的瀏覽器。

## 啟用 Amazon Connect 音訊最佳化
<a name="enable-audio-optimization"></a>

若要為使用者啟用 Amazon Connect 音訊最佳化：

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取您的目錄，然後依序選擇**動作**、**更新詳細資訊**。

1. 展開 **Amazon Connect 音訊最佳化**。
**注意**  
使用 Amazon Connect 進行設定之前，請選擇**更新**以儲存先前在管理主控台中所做的任何未儲存變更。

1. 選擇**設定 Amazon Connect**。

1. 輸入 Amazon Connect 聯絡控制面板 (CCP) 名稱。
**注意**  
您為 CCP 提供的名稱將使用於使用者增益集功能表中。選擇對您的使用者有意義的名稱。

1. 輸入由 Amazon Connect 產生的 Amazon Connect 聯絡控制面板 URL。如需取得 URL 的詳細資訊，請參閱[提供聯絡控制面板的存取權](https://docs.aws.amazon.com/connect/latest/adminguide/amazon-connect-contact-control-panel.html)。

1. 選擇**建立 Amazon Connect**。

## 更新目錄的 Amazon Connect 音訊最佳化詳細資訊
<a name="update-audio-optimization"></a>

若要更新目錄的 Amazon Connect 音訊最佳化詳細資訊：

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取您的目錄，然後依序選擇**動作**、**更新詳細資訊**。

1. 展開 **Amazon Connect 音訊最佳化**。
**注意**  
使用 Amazon Connect 進行設定之前，請選擇**更新**以儲存先前在管理主控台中所做的任何未儲存變更。

1. 選擇**設定 Amazon Connect**。

1. 選擇**編輯**。

1. 選取您的目錄，然後依序選擇**動作**、**更新詳細資訊**。

1. 更新 Amazon Connect 聯絡控制面板名稱和 URL。

1. 選擇**儲存**。

## 刪除目錄的 Amazon Connect 音訊最佳化
<a name="delete-audio-optimization"></a>

若要刪除目錄的 Amazon Connect 音訊最佳化：

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取您的目錄，然後依序選擇**動作**、**更新詳細資訊**。

1. 展開 **Amazon Connect 音訊最佳化**。
**注意**  
使用 Amazon Connect 進行設定之前，請選擇**更新**以儲存先前在管理主控台中所做的任何未儲存變更。

1. 選擇**設定 Amazon Connect**。

1. 選擇**刪除 Amazon Connect**。

如需詳細資訊，請參閱[客服人員訓練指南](https://docs.aws.amazon.com/connect/latest/adminguide/agent-user-guide.html)。

# 在 WorkSpaces Personal 中啟用診斷日誌上傳
<a name="enable-diagnostic-log-uploads"></a>

若要疑難排解 WorkSpaces 用戶端問題，請啟用自動診斷日誌上傳。Windows、macOS、Linux 和 Web Access 用戶端目前支援此功能。

**注意**  
WorkSpaces 用戶端診斷日誌上傳功能目前無法在 AWS GovCloud (美國西部) 區域使用。

## 診斷日誌上傳
<a name="diagnostic-log-uploads"></a>

透過診斷日誌上傳，您可以將 WorkSpaces 用戶端日誌直接上傳至 WorkSpaces 以排解疑難問題，而不會中斷 WorkSpaces 用戶端的使用。如果您為使用者啟用診斷日誌上傳，或讓您的使用者自行啟用，日誌檔會自動傳送至 WorkSpaces。您可以在 WorkSpaces 串流工作階段之前或期間啟用診斷日誌上傳。

若要從受管理裝置自動上傳診斷日誌，請安裝可支援診斷上傳的 WorkSpaces 用戶端。預設會啟用日誌上傳功能。您可使用下列任何一種方式修改設定：

### 選項 1：使用 AWS 主控台
<a name="diagnostic-log-console"></a>

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**目錄**。

1. 選擇要啟用診斷記錄的目錄名稱。

1. 向下捲動至**自助服務許可**。

1. 選擇**檢視詳細資訊**

1. 選擇**編輯**。

1. 選擇**診斷日誌上傳**。

1. 選擇**儲存**。

### 選項 2：使用 API 呼叫
<a name="diagnostic-log-api"></a>

您可以編輯目錄設定來啟用或停用 WorkSpaces Windows、macOS 和 Linux 用戶端，以使用 API 呼叫自動上傳診斷日誌。若已啟用，當用戶端發生問題時，日誌就會傳送到 WorkSpaces，而不需要使用者互動。如需詳細資訊，請參閱《WorkSpaces API 參考》[https://docs.aws.amazon.com/workspaces/latest/api/API_ClientProperties.html](https://docs.aws.amazon.com/workspaces/latest/api/API_ClientProperties.html)。

您也可以讓使用者選擇是否要在安裝用戶端後啟用自動診斷日誌上傳。如需詳細資訊，請參閱 [WorkSpaces Windows 用戶端應用程式 ](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html)、[WorkSpaces macOS 用戶端應用程式](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html)和 [WorkSpaces Linux 用戶端應用程式](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-linux-client.html)。

**注意**  
診斷日誌不包含敏感資訊。您可以在目錄層級為使用者停用自動診斷日誌上傳，或允許使用者自行停用這些功能。
若要存取診斷日誌上傳功能，您需要安裝下列版本的 WorkSpaces 用戶端：  
Windows 用戶端的 5.4.0 或更新版本
macOS 用戶端的 5.8.0 或更新版本
Ubuntu 22.04 用戶端的 2023.1
Ubuntu 20.04 用戶端的 2023.1
您也可以使用 Web Access 用戶端存取診斷日誌上傳功能

# 管理 WorkSpaces Personal
<a name="administer-workspaces"></a>

您可以使用 WorkSpaces 主控台來管理 WorkSpaces。

若要執行目錄管理工作，請參閱 [設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)。

**注意**  
確保您在 WorkSpaces 上更新網路相依性驅動程式，例如 ENA、NVMe 和 PV 驅動程式。您應該至少每 6 個月執行一次此操作。如需詳細資訊，請參閱[安裝或升級彈性網路轉接器 (ENA) 驅動程式 ](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[AWS NVMe 驅動程式 適用於 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)的 ，以及[升級 Windows 執行個體上的 PV 驅動程式](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)。
請確定您定期將 EC2Config, EC2Launch 和 EC2Launch V2 代理程式更新至最新版本。您應該至少每 6 個月執行一次此操作。如需詳細資訊，請參閱[更新 EC2Config 和 EC2Launch](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)。

**Topics**
+ [在 WorkSpaces Personal 中管理您的 Windows WorkSpaces](group_policy.md)
+ [在 WorkSpaces Personal 中管理您的 Amazon Linux 2 WorkSpaces](manage_linux_workspace.md)
+ [在 WorkSpaces Personal 中管理您的 Ubuntu WorkSpaces](manage_ubuntu_workspace.md)
+ [管理您的 Rocky Linux WorkSpaces](manage_rockylinux_workspace.md)
+ [管理您的 Red Hat Enterprise Linux WorkSpaces](manage_rhel_workspace.md)
+ [最佳化 WorkSpaces 以在 WorkSpaces Personal 中進行即時通訊](communication-optimization.md)
+ [在 WorkSpaces Personal 中管理執行模式](running-mode.md)
+ [在 WorkSpaces Personal 中管理應用程式](manage-applications.md)
+ [在 WorkSpace WorkSpaces](modify-workspaces.md)
+ [在 WorkSpaces Personal 中自訂品牌](customize-branding.md)
+ [標記 WorkSpaces Personal 中的資源](tag-workspaces-resources.md)
+ [WorkSpaces Personal 中的維護](workspace-maintenance.md)
+ [WorkSpaces Personal 中的加密 WorkSpaces](encrypt-workspaces.md)
+ [在 WorkSpace WorkSpaces](reboot-workspaces.md)
+ [在 WorkSpace WorkSpaces](rebuild-workspace.md)
+ [在 WorkSpace WorkSpaces](restore-workspace.md)
+ [Microsoft 365 在 WorkSpaces Personal 中自帶授權 (BYOL)](byol-microsoft365-licenses.md)
+ [升級 WorkSpaces Personal 中的 Windows BYOL WorkSpaces](upgrade-windows-10-byol-workspaces.md)
+ [在 WorkSpace WorkSpaces](migrate-workspaces.md)
+ [在 WorkSpace WorkSpaces](delete-workspaces.md)

# 在 WorkSpaces Personal 中管理您的 Windows WorkSpaces
<a name="group_policy"></a>

您可以使用群組政策物件 (GPO) 來套用設定，以管理 Windows WorkSpaces 或屬於 Windows WorkSpaces 目錄的使用者。

**注意**  
如果您使用 Microsoft Entra ID 或自訂 WorkSpaces 目錄，您可以使用 Microsoft Entra ID 或您的身分提供者來管理使用者和群組。如需詳細資訊，請參閱 [使用 WorkSpaces Personal 建立專用的 Microsoft Entra ID 目錄](launch-entra-id.md)。
Linux 執行個體不會遵守群組政策。如需管理 Amazon Linux WorkSpaces 的相關資訊，請參閱 [在 WorkSpaces Personal 中管理您的 Amazon Linux 2 WorkSpaces](manage_linux_workspace.md)。

Amazon 建議您為 WorkSpaces 電腦物件建立組織單位，並為 WorkSpaces 使用者物件建立組織單位。

若要使用 Amazon WorkSpaces 特有的群組政策設定，您必須為您正在使用的通訊協定或通訊協定安裝群組政策管理範本，可以是 PCoIP 或 DCV。

**警告**  
群組政策設定可能會影響 WorkSpace 使用者的體驗，如下所示：  
**實作互動式登入訊息以顯示登入橫幅，可防止使用者存取其 WorkSpaces。**PCoIP WorkSpaces 目前不支援互動式登入訊息群組政策設定。DCV WorkSpaces 支援登入訊息，使用者在接受登入橫幅後必須再次登入。啟用憑證型登入時，不支援登入訊息。
**透過群組政策設定停用卸除式儲存裝置會導致登入失敗**，這會導致使用者登入無法存取磁碟機 D 的暫時使用者設定檔。
**透過群組政策設定從遠端桌面使用者本機群組中移除使用者，可防止這些使用者透過 WorkSpaces 用戶端應用程式進行驗證**。如需有關此群組政策設定的詳細資訊，請參閱 Microsoft 文件中的[允許透過遠端桌面服務登入](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-through-remote-desktop-services)。
**如果您從**允許在本機登入**安全政策中移除內建使用者群組，PCoIP WorkSpaces 使用者將無法透過 WorkSpaces 用戶端應用程式連線到其 WorkSpaces。**您的 PCoIP WorkSpaces 也不會收到 PCoIP 代理程式軟體的更新。PCoIP 代理程式更新可能包含安全性和其他修正程式，或者可能會為您的 WorkSpaces 啟用新功能。如需有關使用此安全政策的詳細資訊，請參閱 Microsoft 文件中的[允許本機登入](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)。
群組政策設定可用於限制磁碟機存取。**如果您將群組政策設定設為限制對磁碟機 C 或磁碟機 D 的存取，則使用者將無法存取其 WorkSpaces。**若要避免發生此問題，請確定使用者可以存取磁碟機 C 和磁碟機 D。
**WorkSpaces 音訊輸入功能需要 WorkSpace 內部的本機登入存取權。**Windows WorkSpaces 預設會啟用音訊輸入功能。不過，如果您的群組政策設定會限制使用者在其 WorkSpaces 中的本機登入，音訊輸入將無法在 WorkSpaces 上運作。如果您移除該群組政策設定，則會在下次重新啟動 WorkSpace 之後啟用音訊輸入功能。如需此群組政策設定的詳細資訊，請參閱 Microsoft 文件中的[允許在本機登入](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)。  
如需啟用或停用音訊輸入重新導向的詳細資訊，請參閱 [設定 PCoIP 的音訊輸入重新導向](#gp_audio) 或 [設定 DCV 的音訊輸入重新導向](#gp_audio_in_wsp)。
使用群組政策將 Windows 電源計畫設定為**平衡**或**省電模式**，可能會導致 WorkSpaces 在閒置時進入睡眠狀態。我們強烈建議使用群組政策將 Windows 電源計畫設定為**高效能**。如需詳細資訊，請參閱[我的 Windows WorkSpace 在閒置時進入睡眠狀態](amazon-workspaces-troubleshooting.md#windows_workspace_sleeps_when_idle)。
某些群組政策設定會強制使用者在中斷與工作階段的連線時登出。使用者在其 WorkSpaces 上開啟的任何應用程式都會關閉。
DCV WorkSpaces 目前不支援「設定作用中和閒置遠端桌面服務工作階段的時間限制」。避免在 DCV 工作階段期間使用它，因為它會導致中斷連線，即使有活動且工作階段未閒置。

如需使用 Active Directory 管理工具來處理 GPO 的相關資訊，請參閱 [設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)。

**Contents**
+ [安裝 DCV 的群組政策管理範本檔案](#gp_install_template_wsp)
+ [管理 DCV 的群組政策設定](#gp_configurations_dcv)
+ [安裝 PCoIP 的群組政策管理範本](#gp_install_template)
+ [管理 PCoIP 的群組政策設定](#gp_configurations_pcoip)
+ [設定 Kerberos 票證的生命週期上限](#gp_kerberos_ticket)
+ [設定裝置 Proxy 伺服器設定以存取網際網路](#gp_device_proxy)
  + [代理桌面流量](#w2aac11c29c11c27c15)
  + [Proxy 伺服器的使用建議](#w2aac11c29c11c27c17)
+ [啟用 Zoom 會議媒體外掛程式支援](#zoom-integration)
  + [為 DCV 啟用 Zoom 會議媒體外掛程式](#zoom-wsp)
    + [先決條件](#zoom-integ-prerequisites-wsp)
    + [開始之前](#zoom-begin-wsp)
    + [安裝 Zoom 元件](#installing-zoom-wsp)
  + [為 PCoIP 啟用 Zoom 會議媒體外掛程式](#zoom-pcoip)
    + [先決條件](#zoom-integ-prerequisites-pcoip)
    + [在 Windows WorkSpaces 主機上建立登錄機碼](#zoom-integ-create-registry-key)
    + [疑難排解](#zoom-integ-troubleshoot)

## 安裝 DCV 的群組政策管理範本檔案
<a name="gp_install_template_wsp"></a>

若要在使用 DCV 時使用 WorkSpaces 特有的群組政策設定，您必須將 DCV 的群組政策管理範本`wsp.admx`和`wsp.adml`檔案新增至 WorkSpaces 目錄網域控制器的中央存放區。如需有關 `.admx` 和 `.adml` 檔案的詳細資訊，請參閱[如何在 Windows 中建立和管理群組政策管理範本的中央存放區](https://support.microsoft.com/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra)。

下列程序說明如何建立中央存放區並將管理範本檔案新增到中央存放區。在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上執行下列程序。

**安裝 DCV 的群組政策管理範本檔案**

1. 從執行中的 Windows WorkSpace，複製 `C:\Program Files\Amazon\WSP` 目錄中的 `wsp.admx` 和 `wsp.adml` 檔案。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟 Windows 檔案總管，然後在網址列中輸入貴組織的完整網域名稱 (FQDN)，例如 `\\example.com`。

1. 開啟 `sysvol` 資料夾。

1. 開啟具有 `FQDN` 名稱的資料夾。

1. 開啟 `Policies` 資料夾。您現在應該在 `\\FQDN\sysvol\FQDN\Policies` 中。

1. 如果它不存在，請建立名為 `PolicyDefinitions` 的資料夾。

1. 開啟 `PolicyDefinitions` 資料夾。

1. 將 `wsp.admx` 檔案複製到 `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions` 資料夾中。

1. 在 `PolicyDefinitions` 資料夾中建立名為 `en-US` 的檔案。

1. 開啟 `en-US` 資料夾。

1. 將 `wsp.adml` 檔案複製到 `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US` 資料夾中。<a name="verify-admin-template"></a>

**若要確認已正確安裝管理範本檔案**

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**)。

1. 展開樹系 (**樹系：*FQDN***)。

1. 展開**網域**。

1. 展開您的 FQDN (例如，`example.com`)。

1. 展開**群組政策物件**。

1. 選取**預設網域政策**，開啟內容 (滑鼠右鍵) 功能表，然後選擇**編輯**。
**注意**  
如果支援 WorkSpaces 的網域是 AWS Managed Microsoft AD 目錄，則無法使用預設網域政策來建立 GPO。相反地，您必須在具有委派權限的網域容器之下建立並連結 GPO。  
當您使用 建立目錄時 AWS Managed Microsoft AD， 會在網域根目錄下 Directory Service 建立*您的網域名稱*組織單位 (OU)。此 OU 的名稱是以您建立目錄時所輸入的 NetBIOS 名稱為基礎。如未指定 NetBIOS 名稱，預設名稱會是您的目錄 DNS 名稱的第一個部分 (以 `corp.example.com` 為例，NetBIOS 名稱是 `corp`)。  
若要建立 GPO，請不要選取**預設網域政策**，而是選取 *yourdomainname* OU (或該 OU 下的任何 OU)、開啟內容 (滑鼠右鍵) 功能表，然後選擇**在此網域中建立 GPO 並連結到此處**。  
如需有關 *yourdomainname* OU 的詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[建立內容](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)。

1. 在群組政策管理編輯器中，選擇**電腦組態**、**政策**、**管理範本**、**Amazon** 和 **DCV**。

1. 您現在可以使用此 **DCV** 群組政策物件來修改使用 DCV 時 WorkSpaces 特有的群組政策設定。

## 管理 DCV 的群組政策設定
<a name="gp_configurations_dcv"></a>

**使用群組政策設定來管理使用 DCV 的 Windows WorkSpaces**

1. 請確定[最新的 DCV WorkSpaces 群組政策管理範本](#gp_install_template_wsp)安裝在 WorkSpaces 目錄網域控制器的中央存放區中。

1. 確認已正確安裝管理範本檔案。如需詳細資訊，請參閱[若要確認已正確安裝管理範本檔案](#verify-admin-template)。

### 設定 DCV 的印表機支援
<a name="gp_local_printers_wsp"></a>

依預設，WorkSpaces 會啟用基本遠端列印，因為其在主機端使用一般印表機驅動程式來確保相容的列印功能，所以提供有限的列印功能。

連線至 Windows WorkSpaces 的 Windows 用戶端進階遠端列印可讓您使用印表機的特定功能，例如雙面列印，但需要在主機端和用戶端上安裝相符的印表機驅動程式。

您可以使用群組政策設定，視需要設定印表機支援。


**基本與進階列印**  

| 面向 | 基本列印 | 進階列印 | 
| --- | --- | --- | 
| 使用的驅動程式 | 一般 XPS 驅動程式 | 印表機特定的驅動程式 | 
| 驅動程式安裝 | 自動 | 手動 （主機和用戶端） | 
| 功能 | 僅限標準列印 | 完整的印表機功能 （雙工、紙張選擇、完成等） | 

**使用進階列印的時機：** - 雙面 （雙工） 列印 - 特定的紙張選擇 - 完成選項 （堆疊、打孔） - 標籤列印 （例如 Zebra 印表機） - 印表機的顏色管理和其他進階功能。

#### 設定印表機支援
<a name="w2aac11c29c11c19b5b1c13"></a>

**設定印表機支援**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定遠端列印**設定。

1. 在**設定遠端列印**對話方塊中，執行下列其中一項操作：
   + **針對基本列印：**選擇**已啟用**。若要自動使用用戶端電腦目前的預設印表機，請選取**將本機預設印表機映射至遠端主機。 **
   + **對於進階列印：**選擇**啟用**，然後選擇**啟用進階列印**。若要自動使用用戶端電腦目前的預設印表機，請選取**將本機預設印表機映射至遠端主機**。啟用政策後，您需要在主機和用戶端上安裝相符的印表機驅動程式。
   + 若要停用列印，請選擇**停用**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

#### 設定進階印表機重新導向
<a name="w2aac11c29c11c19b5b1c17"></a>

**先決條件**

1. **WorkSpaces 主機代理程式：**2.2.0.2116 版或更新版本

1. **Windows 用戶端：**5.31.0 版或更新版本

1. **印表機驅動程式：**相符的印表機驅動程式必須同時安裝在 WorkSpace 和用戶端裝置上

**注意**  
只有連線至 Windows WorkSpaces 的 Windows 用戶端才支援進階列印。MacOS、Linux 和 Web 用戶端將使用基本列印。

#### 驅動程式版本比對
<a name="w2aac11c29c11c19b5b1c23"></a>

選取進階列印時，支援三種驅動程式驗證模式：


**驅動程式驗證模式**  

| Mode | Behavior (行為) | 使用時機 | 
| --- | --- | --- | 
| 僅限名稱 （預設） | 僅比對驅動程式名稱，忽略版本 | 所需的相容性上限 | 
| 部分相符 | 符合 Major.Minor 版本 （例如 10.6.x.x) | 平衡相容性和功能 | 
| 完全相符 | 需要與版本完全相符 | 專用印表機 （例如 Zebra 標籤印表機） | 

**若要設定驗證模式**，請在 GPO 的印表機驅動程式驗證下拉式清單中僅設定名稱、部分相符或完全相符。

**注意**  
當驅動程式驗證失敗時，WorkSpaces 會自動回到基本列印。

**驗證組態**

1. 連線至 WorkSpace。

1. 開啟**設定** > **裝置** > **印表機和掃描器**。

1. 驗證您的本機印表機是否顯示「重新導向」字首。

1. 列印測試文件，然後按一下印表機屬性，確認可用的進階選項。

#### 疑難排解
<a name="w2aac11c29c11c19b5b1c27"></a>

進階**功能無法使用**：- 在 GPO 中確認已選取「啟用進階列印」-根據您的驗證模式檢查驅動程式版本是否相符-考慮使用部分驗證模式，而非確切。請務必重新啟動， GPO 上的任何變更才會生效。

**印表機未顯示**：- 確認**設定遠端列印****已啟用** - 確定印表機已連線至用戶端裝置 - 重新啟動 WorkSpace 工作階段

**列印任務失敗**：- 檢查用戶端和 WorkSpace 上的驅動程式版本 - 檢閱日誌：**C:\$1ProgramData\$1Amazon\$1WSP\$1Logs\$1agentsession.log**- 在日誌中尋找「已啟用進階列印」

啟用詳細記錄：在群組政策中，將日誌詳細資訊設定為在**電腦組態** > **政策** > **管理範本** > **Amazon** > **WSP** 下偵錯。

### 設定 DCV 的剪貼簿重新導向 （複製/貼上）
<a name="gp_clipboard_wsp"></a>

根據預設，WorkSpaces 支援雙向 (複製/貼上) 剪貼簿重新導向。對於 Windows WorkSpaces，您可使用群組政策設定來停用此功能，或設定允許剪貼簿重新導向的方向。

**若要設定 Windows WorkSpaces 的剪貼簿重新導向**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定剪貼簿重新導向**設定。

1. 在**設定剪貼簿重新導向**對話方塊中，選擇**啟用**或**停用**。

   當**設定剪貼簿重新導向**為**啟用**時，即可使用下列**剪貼簿重新導向選項**：
   + 選擇**複製並貼上**，允許雙向剪貼簿複製並貼上重新導向。
   + 選擇**僅限複製**，只允許將伺服器剪貼簿中的資料複製到用戶端剪貼簿。
   + 選擇**僅限貼上**，只允許將用戶端剪貼簿中的資料貼到伺服器剪貼簿。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

**已知限制**  
在 WorkSpace 上啟用剪貼簿重新導向的情況下，如果您從 Microsoft Office 應用程式複製大於 890 KB 的內容，應用程式可能會變得緩慢或長達 5 秒沒有回應。

### 設定 DCV 的工作階段繼續逾時
<a name="gp_auto_resume_wsp"></a>

當您失去網路連線時，作用中的 WorkSpaces 用戶端工作階段會中斷連線。如果網路連線在特定時間內還原，則 Windows 和 macOS 的 WorkSpaces 用戶端應用程式會嘗試自動重新連線工作階段。預設工作階段繼續逾時為 20 分鐘 (1200 秒)，但您可以針對由網域的群組政策設定所控制的 WorkSpaces 修改該值。

**若要設定自動工作階段繼續逾時值**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**啟用/停用自動重新連線**設定。

1. 在**啟用/停用自動重新連線**對話方塊中，選擇**啟用**，然後將**重新連線逾時 (秒數)** 設定為所需的逾時 (秒數)。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 DCV 的視訊輸入重新導向
<a name="gp_video_in_wsp"></a>

根據預設，WorkSpaces 支援從本機攝影機重新導向資料。如果 Windows WorkSpaces 需要，您可以使用群組政策設定來停用此功能。

**設定 Windows WorkSpaces 的視訊輸入重新導向**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**啟用/停用視訊輸入重新導向**設定。

1. 在**啟用/停用視訊輸入重新導向**對話方塊中，選擇**啟用**或**停用**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 DCV 的音訊輸入重新導向
<a name="gp_audio_in_wsp"></a>

根據預設，WorkSpaces 支援從本機麥克風重新導向資料。如果 Windows WorkSpaces 需要，您可以使用群組政策設定來停用此功能。

**設定 Windows WorkSpaces 的音訊輸入重新導向**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**啟用/停用音訊輸入重新導向**設定。

1. 在**啟用/停用音訊輸入重新導向**對話方塊中，選擇**啟用**或**停用**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 DCV 的音訊輸出重新導向
<a name="gp_audio_out_wsp"></a>

根據預設，WorkSpaces 會將資料重新導向至本機喇叭。如果 Windows WorkSpaces 需要，您可以使用群組政策設定來停用此功能。

**設定 Windows WorkSpaces 的音訊輸出重新導向**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**啟用/停用音訊輸出重新導向**設定。

1. 在**啟用/停用音訊輸出重新導向**對話方塊中，選擇**啟用**或**停用**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace。在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作** > **重新啟動 WorkSpaces**。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 停用 DCV 的時區重新導向
<a name="gp_time_zone_wsp"></a>

依預設，Workspace 內的時間會設定為鏡像處理用於連線至 WorkSpace 之用戶端的時區。此行為透過時區重新導向控制。您可能會基於各種原因而想要關閉時區方向：例如：
+ 貴公司希望所有員工都能在特定時區工作 (即使部分員工位於其他時區)。
+ 您在 WorkSpace 中已排定要在特定時區的特定時間執行的任務。
+ 經常旅行的使用者希望將其 WorkSpaces 保持在一個時區，以確保一致性和個人偏好。

如果 Windows WorkSpaces 需要，您可以使用群組政策設定來停用此功能。

**若要停用 Windows WorkSpaces 的時區重新導向**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**啟用/停用時區重新導向**設定。

1. 在**啟用/停用時區重新導向**對話方塊中，選擇**停用**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

1. 將 WorkSpaces 的時區設定為所需的時區。

WorkSpaces 的時區現在是靜態的，不再鏡像處理用戶端電腦的時區。

### 設定 DCV 安全設定
<a name="wsp_security"></a>

對於 DCV，傳輸中的資料會使用 TLS 1.2 加密進行加密。根據預設，允許下列所有密碼用於加密，而用戶端和伺服器會交涉要使用哪個密碼：
+ ECDHE-RSA-AES128-GCM-SHA256
+ ECDHE-ECDSA-AES128-GCM-SHA256
+ ECDHE-RSA-AES256-GCM-SHA384
+ ECDHE-ECDSA-AES256-GCM-SHA384
+ ECDHE-RSA-AES128-SHA256
+ ECDHE-RSA-AES256-SHA384

對於 Windows WorkSpaces，您可使用群組政策設定來修改 TLS 安全模式，以及新增或封鎖某些密碼套件。**設定安全設定群組政策**對話方塊中提供了這些設定和支援密碼套件的詳細說明。

**設定 DCV 安全設定**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定安全設定**。

1. 在**設定安全設定**對話方塊中，選擇**啟用**。新增您要允許的密碼套件，並移除您要封鎖的密碼套件。如需有關這些設定的詳細資訊，請參閱**設定安全設定**對話方塊中提供的描述。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 若要重新啟動 WorkSpace，請在 Amazon WorkSpaces 主控台中選取 WorkSpace，然後選擇**動作**、**重新啟動 WorkSpaces**。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 DCV 的擴充功能
<a name="extensions"></a>

預設會停用對 WorkSpaces 延伸模組的支援。如有需要，您可以透過下列方式將 WorkSpace 設定為使用延伸模組：
+ 伺服器和用戶端 – 啟用伺服器和用戶端的延伸模組
+ 僅限伺服器 – 僅啟用伺服器的延伸模組
+ 僅限用戶端 – 僅啟用用戶端的延伸模組

對於 Windows WorkSpaces，您可以使用群組政策設定來設定延伸模組的使用。

**設定 DCV 的擴充功能**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定延伸模組**設定。

1. 在**設定延伸模組**對話方塊中，選擇**啟用**，然後設定所需的支援選項。選擇**僅限用戶端**、**伺服器和用戶端**或**僅限伺服器**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace。在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 DCV 的智慧卡重新導向
<a name="gp_smart_cards_in_wsp"></a>

依預設，Amazon WorkSpaces 無法支援使用智慧卡進行*工作階段前驗證*或*工作階段內驗證*。工作階段前驗證是指使用者登入 WorkSpaces 時所執行的智慧卡驗證。工作階段內驗證是指在登入後執行的驗證。

如有需要，您可以使用群組政策設定，為 Windows WorkSpaces 啟用工作階段前和工作階段內驗證。也必須使用 **EnableClientAuthentication** API 動作或 **enable-client-authentication** AWS CLI 命令，透過 AD Connector 目錄設定啟用工作階段前身分驗證。如需詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[啟用 AD Connector 的智慧卡驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)。

**注意**  
若要啟用智慧卡搭配 Windows WorkSpaces 使用，則需要執行其他步驟。如需詳細資訊，請參閱[在 WorkSpaces Personal 中使用智慧卡進行身分驗證](smart-cards.md)。

**設定 Windows WorkSpaces 的智慧卡重新導向**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**啟用/停用智慧卡重新導向**設定。

1. 在**啟用/停用智慧卡重新導向**對話方塊中，選擇**啟用**或**停用**。

1. 選擇**確定**。

1. 重新啟動 WorkSpace 工作階段後，群組政策設定變更就會生效。若要套用群組政策變更，請重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。

### DCV 的 WebAuthn (FIDO2) 重新導向
<a name="gp_webauthn_fido2_in_wsp"></a>

根據預設，Amazon WorkSpaces 啟用 WebAuthn 重新導向，允許使用者使用其本機 FIDO2-compatible安全金鑰和生物識別驗證器，搭配在其 WorkSpace 中執行的應用程式。此功能可安全地將身分驗證請求從 WorkSpace 中的應用程式重新導向至使用者的本機裝置，提供身分驗證方法的無縫存取，包括 Yubikey 和 Windows Hello。

Amazon WorkSpaces 支援兩種版本的 WebAuthn 重新導向：
+ **標準 WebAuthn** - 針對以瀏覽器為基礎的應用程式，需要 Windows 和 Linux WorkSpaces 支援的瀏覽器擴充功能
+ **增強型 WebAuthn** - 不需要瀏覽器擴充功能，僅 Windows WorkSpaces 支援其他原生應用程式

#### 標準 WebAuthn 重新導向
<a name="w2aac11c29c11c19b5c21b9"></a>

標準 WebAuthn 重新導向需要瀏覽器擴充功能，才能將 WebAuthn 提示重新導向至用戶端裝置。

##### 版本需求
<a name="w2aac11c29c11c19b5c21b9b5"></a>
+ **Windows WorkSpaces**：DCV 主機代理程式 2.0.0.1425 版或更新版本
+ **用戶端版本：**
  + Windows 用戶端：5.19.0 或更新版本
  + Mac 用戶端：5.19.0 或更新版本
  + Linux 用戶端：2024.0 或更新版本

##### WorkSpaces 上支援的瀏覽器
<a name="w2aac11c29c11c19b5c21b9b7"></a>
+ Google Chrome 116\$1
+ Microsoft Edge 116\$1

#### 增強型 WebAuthn 重新導向
<a name="w2aac11c29c11c19b5c21c11"></a>

增強型 WebAuthn 重新導向可免除瀏覽器擴充功能的需求，並在支援 WebAuthn 身分驗證的原生 Windows 應用程式中支援 WebAuthn 身分驗證。

##### 版本需求
<a name="w2aac11c29c11c19b5c21c11b5"></a>
+ **Windows WorkSpaces**：DCV 主機代理程式 2.1.0.2000 版或更新版本
+ **用戶端版本：**
  + Windows 用戶端：5.29.0 或更新版本
  + Mac 用戶端：5.29.0 或更新版本

##### 主要優點
<a name="w2aac11c29c11c19b5c21c11b7"></a>
+ 不需要瀏覽器擴充功能
+ 提升效能
+ 在原生 Windows 應用程式中支援 WebAuthn 
+ 跨瀏覽器和桌面應用程式的無縫身分驗證體驗

##### WorkSpaces 上支援的瀏覽器
<a name="w2aac11c29c11c19b5c21c11b9"></a>
+ Google Chrome 116\$1
+ Microsoft Edge 116\$1

#### 設定 WebAuthn 重新導向
<a name="w2aac11c29c11c19b5c21c13"></a>

**設定 Windows WorkSpaces 的 WebAuthn 重新導向**

1. 在群組政策管理編輯器中，選擇**電腦組態**、**政策**、**管理範本**、**Amazon** 和 **DCV**。

1. 開啟**設定 WebAuthn 重新導向**設定。

1. 在**設定 WebAuthn 重新導向**對話方塊中，選擇**啟用或停用******。

1. 選擇**確定**。

1. 重新啟動 WorkSpace 工作階段後，群組政策設定變更就會生效。若要套用群組政策變更，請前往 WorkSpace Amazon WorkSpaces 主控台並選擇 WorkSpace，以重新啟動 WorkSpace。然後，選擇**動作**、**重新啟動 WorkSpaces**。

**注意**  
此群組政策設定會啟用 WebAuthn 重新導向。使用的版本 （標準或增強型） 取決於您的主機代理程式版本和作業系統支援。

#### 設定 WebAuthn 程序相容性
<a name="w2aac11c29c11c19b5c21c15"></a>

啟用 WebAuthn 重新導向時，您可以設定允許哪些應用程式和程序透過 WebAuthn **程序相容性清單使用 WebAuthn **重新導向。

##### 預設程序相容性清單
<a name="w2aac11c29c11c19b5c21c15b5"></a>

根據預設，系統會針對 WebAuthn 重新導向啟用下列程序：

```
['chrome.exe','msedge.exe','island.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe']
```

##### 標準 WebAuthn 的必要程序
<a name="w2aac11c29c11c19b5c21c15b7"></a>
+ `dcvwebauthnnativemsghost.exe` - 標準 WebAuthn 功能**需要**此程序，而且在使用標準 WebAuthn 時必須保留在相容性清單中。

**設定 WebAuthn 程序相容性清單**

1. 在群組政策管理編輯器中，選擇**電腦組態**、**政策**、**管理範本**、**Amazon** 和 **DCV**。

1. 開啟**設定 WebAuthn 重新導向**設定。

1. 選擇 **Enable** (啟用)。

1. 在 **WebAuthn 程序相容性清單**欄位中，指定與 WebAuthn 重新導向相容的程序名稱清單。
   + 使用預設清單做為起點
   + 視需要為您的環境新增其他程序名稱

1. 選擇**確定**。

1. 重新啟動 WorkSpace 工作階段後，群組政策設定變更就會生效。

##### 程序相容性清單準則
<a name="w2aac11c29c11c19b5c21c15c11"></a>
+ **對於標準 WebAuthn**：一律`dcvwebauthnnativemsghost.exe`包含在清單中
+ **自訂應用程式**：在您的環境中新增任何需要 WebAuthn 支援的其他`.exe`程序名稱
+ **格式**：使用以方括號括住的逗號分隔程序名稱，每個程序名稱以單引號括住

##### 自訂程序清單範例
<a name="w2aac11c29c11c19b5c21c15c11b5"></a>

```
['chrome.exe','msedge.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe','myapp.exe','customapplication.exe']
```

#### 從標準轉換為增強型 WebAuthn
<a name="w2aac11c29c11c19b5c21c17"></a>

從標準 WebAuthn 升級到增強型 WebAuthn 時，**使用者必須先解除安裝或停用先前為標準 WebAuthn 安裝的 Amazon DCV WebAuthn 重新導向瀏覽器延伸模組，**才能使用增強型 WebAuthn。 WebAuthn 

##### 為什麼此步驟很重要
<a name="w2aac11c29c11c19b5c21c17b5"></a>
+ 增強型 WebAuthn 原生處理重新導向，無需瀏覽器擴充功能
+ 讓延伸模組保持啟用狀態會預設為標準 WebAuthn 重新導向

#### 安裝 Amazon DCV WebAuthn 重新導向延伸模組 （僅限標準 WebAuthn)
<a name="installing_webauthn"></a>

**注意**  
本節僅適用於標準 WebAuthn。增強型 WebAuthn 不需要瀏覽器擴充功能。

啟用此功能後，使用者需要安裝 Amazon DCV WebAuthn 重新導向延伸模組，才能透過執行下列其中一項操作來使用標準 WebAuthn：
+ 系統會提示使用者在瀏覽器中啟用瀏覽器延伸模組。
**注意**  
 這是一次性瀏覽器提示。當您將 DCV 代理程式版本更新至 2.0.0.1425 或更新版本時，您的使用者會收到通知。如果您的最終使用者不需要 WebAuthn 重新導向，他們只要從瀏覽器移除延伸模組即可。您也可以使用 GPO 政策來封鎖 WebAuthn 重新導向延伸模組安裝提示。
+ 您可以使用 GPO 政策強制為使用者安裝重新導向延伸。如果您啟用 GPO 政策，當您的使用者透過網際網路存取啟動支援的瀏覽器時，會自動安裝延伸模組。
+ 使用者可以使用 [ Microsoft Edge 附加元件](https://microsoftedge.microsoft.com/addons/detail/dcv-webauthn-redirection-/ihejeaahjpbegmaaegiikmlphghlfmeh)或 [ Chrome Web Store](https://chromewebstore.google.com/detail/dcv-webauthn-redirection/mmiioagbgnbojdbcjoddlefhmcocfpmn?pli=1) 手動安裝擴充功能。

##### 了解 WebAuthn 重新導向延伸模組原生傳訊
<a name="installing_webauthn-understand"></a>

Chrome 和 Edge 瀏覽器中的 WebAuthn 重新導向會使用瀏覽器延伸模組和原生傳訊主機。原生傳訊主機是允許延伸模組與主機應用程式之間通訊的元件。在典型組態中，瀏覽器預設允許所有原生傳訊主機。不過，您可以選擇使用原生訊息封鎖清單，其中 \$1 值表示除非明確允許，否則所有原生訊息主機都會遭到拒絕。在此情況下，您需要在`com.dcv.webauthnredirection.nativemessagehost`允許清單中明確指定 值，以啟用 Amazon DCV WebAuthn 重新導向原生傳訊主機。

如需詳細資訊，請遵循瀏覽器的指引：
+ 對於 Google Chrome，請參閱[原生傳訊允許的主機](https://support.google.com/chrome/a/answer/2657289#zippy=%2Cnative-messaging-allowed-hosts)。
+ 對於 Microsoft Edge，請參閱[原生傳訊](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#native-messaging)。

##### 使用群組政策管理和安裝瀏覽器擴充功能
<a name="w2aac11c29c11c19b5c21c19c11"></a>

您可以使用群組政策安裝 Amazon DCV WebAuthn 重新導向延伸，從加入 Active Directory (AD) 網域的工作階段主機的網域集中安裝，或使用每個工作階段主機的本機群組政策編輯器安裝。此程序會根據您使用的瀏覽器而有所不同。

**對於 Microsoft Edge**

1. 下載並安裝 [ Microsoft Edge 管理範本](https://learn.microsoft.com/en-us/deployedge/configure-microsoft-edge#1-download-and-install-the-microsoft-edge-administrative-template)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**)。

1. 展開樹系 (**樹系：*FQDN***)。

1. 展開**網域**。

1. 展開您的 FQDN (例如，`example.com`)。

1. 展開**群組政策物件**。

1. 選取**預設網域政策**，開啟內容 (滑鼠右鍵) 功能表，然後選擇**編輯**。

1. 選擇**電腦組態 **、**管理範本**、**Microsoft Edge** **和延伸**模組

1. 開啟**設定延伸模組管理設定**，並將其設定為**已啟用**。

1. 在**設定延伸模組管理設定**下，輸入下列內容：

   ```
   {"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
   ```

1. 選擇**確定**。

1. 重新啟動 WorkSpace 工作階段後，群組政策設定變更就會生效。若要套用群組政策變更，請前往 WorkSpace Amazon WorkSpaces 主控台並選擇 WorkSpace，以重新啟動 WorkSpace。然後選擇**動作**、**重新啟動 WorkSpaces**)。

**注意**  
您可以套用下列組態管理設定來封鎖擴充功能的安裝：  

```
{"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
```

**對於 Google Chrome**

1. 下載並安裝 Google Chrome 管理範本。如需詳細資訊，請參閱在[受管 PCs上設定 Chrome 瀏覽器政策](https://support.google.com/chrome/a/answer/187202#zippy=%2Cwindows)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**)。

1. 展開樹系 (**樹系：*FQDN***)。

1. 展開**網域**。

1. 展開您的 FQDN (例如，`example.com`)。

1. 展開**群組政策物件**。

1. 選取**預設網域政策**，開啟內容 (滑鼠右鍵) 功能表，然後選擇**編輯**。

1. 選擇**電腦組態、****管理範本**、**Google Chrome** 和**延伸模組**

1. 開啟**設定延伸模組管理設定**，並將其設定為**已啟用**。

1. 在**設定延伸模組管理設定**下，輸入下列內容：

   ```
   {"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
   ```

1. 選擇**確定**。

1. 重新啟動 WorkSpace 工作階段後，群組政策設定變更就會生效。若要套用群組政策變更，請前往 WorkSpace Amazon WorkSpaces 主控台並選擇 WorkSpace，以重新啟動 WorkSpace。然後，選擇**動作**、**重新啟動 WorkSpaces**)。

**注意**  
您可以套用下列組態管理設定來封鎖擴充功能的安裝：  

```
{"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}
```

### 設定 DCV 的 WebRTC 重新導向
<a name="gp_webrtc_in_wsp"></a>

WebRTC 重新導向透過將音訊和視訊處理從 WorkSpaces 卸載到本機用戶端來增強即時通訊，從而提高效能並減少延遲。不過，WebRTC 重新導向並非通用，需要第三方應用程式廠商開發與 WorkSpaces 的特定整合。根據預設，WorkSpaces 上不會啟用 WebRTC 重新導向。若要使用 WebRTC 重新導向，請確定下列事項：
+ 第三方應用程式廠商整合
+ WorkSpaces 擴充功能是透過群組政策設定啟用
+ WebRTC 重新導向已啟用
+ 已安裝並啟用 WebRTC 重新導向瀏覽器延伸模組

**注意**  
此重新導向會實作為延伸模組，並要求您使用群組政策設定啟用 WorkSpaces 延伸模組的支援。如果停用延伸模組，WebRTC 重新導向將無法運作。

#### 要求
<a name="w2aac11c29c11c19b5c23b9"></a>

DCV 的 WebRTC 重新導向需要下列項目：
+ DCV 主機代理程式 2.0.0.1622 版或更新版本
+ WorkSpaces 用戶端：
  + Windows 5.21.0 或更新版本
  + Web 用戶端
+ 在執行 Amazon DCV WebRTC 重新導向延伸模組的 WorkSpaces 上安裝的 Web 瀏覽器：
  + Google Chrome 116\$1
  + Microsoft Edge 116\$1

#### 啟用或停用 Windows WorkSpaces 的 WebRTC 重新導向
<a name="w2aac11c29c11c19b5c23c11"></a>

如有需要，您可以使用群組政策設定啟用或停用對 Windows WorkSpaces WebRTC 重新導向的支援。如果您停用或未設定此設定，則會停用 WebRTC 重新導向。

啟用功能時，與 Amazon WorkSpaces 整合的 Web 應用程式將能夠將 WebRTC API 呼叫重新導向至本機用戶端。

**設定 Windows WorkSpaces 的 WebRTC 重新導向**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定 WebRTC 重新導向**設定。

1. 在**設定 WebRTC 重新導向**對話方塊中，選擇**啟用或停用******。

1. 選擇**確定**。

1. 重新啟動 WorkSpace 工作階段後，群組政策設定變更就會生效。若要套用群組政策變更，請前往 WorkSpace Amazon WorkSpaces 主控台並選擇 WorkSpace，以重新啟動 WorkSpace。然後選擇**動作**、**重新啟動 WorkSpaces**)。

#### 安裝 Amazon DCV WebRTC 重新導向延伸模組
<a name="installing_webrtc"></a>

使用者透過執行下列其中一項操作，安裝 Amazon DCV WebRTC 重新導向延伸，以在啟用此功能後使用 WebRTC 重新導向：
+ 系統會提示使用者在瀏覽器中啟用瀏覽器延伸模組。
**注意**  
作為一次性瀏覽器提示，使用者會在您啟用 WebRTC 重新導向時收到通知。
+ 您可以使用下列 GPO 政策強制為使用者安裝重新導向延伸。如果您啟用 GPO 政策，當使用者透過網際網路存取啟動支援的瀏覽器時，會自動安裝延伸模組。
+ 使用者可以使用 [ Microsoft Edge 附加元件](https://microsoftedge.microsoft.com/addons/detail/amazon-dcv-webrtc-redirec/kjbbkjjiecchbcdoollhgffghfjnbhef)或 [ Chrome Web Store](https://chromewebstore.google.com/detail/dcv-webrtc-redirection-ex/diilpfplcnhehakckkpmcmibmhbingnd?hl=en&authuser=0&pli=1) 手動安裝擴充功能。

##### 使用群組政策管理和安裝瀏覽器擴充功能
<a name="w2aac11c29c11c19b5c23c13b7"></a>

您可以使用群組政策安裝 Amazon DCV WebRTC 重新導向延伸，無論是從您的網域集中、加入 Active Directory (AD) 網域的工作階段主機，或是每個工作階段主機的本機群組政策編輯器。視您使用的瀏覽器而定，此程序會有所不同。

**對於 Microsoft Edge**

1. 下載並安裝 [ Microsoft Edge 管理範本](https://learn.microsoft.com/en-us/deployedge/configure-microsoft-edge#1-download-and-install-the-microsoft-edge-administrative-template)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**)。

1. 展開樹系 (**樹系：*FQDN***)。

1. 展開**網域**。

1. 展開您的 FQDN (例如，`example.com`)。

1. 展開**群組政策物件**。

1. 選取**預設網域政策**，開啟內容 (滑鼠右鍵) 功能表，然後選擇**編輯**。

1. 選擇**電腦組態 **、**管理範本**、**Microsoft Edge** **和延伸**模組

1. 開啟**設定延伸模組管理設定**，並將其設定為**已啟用**。

1. 在**設定延伸模組管理設定**下，輸入下列內容：

   ```
   {"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
   ```

1. 選擇**確定**。

1. 重新啟動 WorkSpace 工作階段後，群組政策設定變更就會生效。若要套用群組政策變更，請前往 WorkSpace Amazon WorkSpaces 主控台並選擇 WorkSpace，以重新啟動 WorkSpace。然後，選擇**動作**、**重新啟動 WorkSpaces**)。

**注意**  
您可以套用下列組態管理設定來封鎖擴充功能的安裝：  

```
{"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
```

**對於 Google Chrome**

1. 下載並安裝 Google Chrome 管理範本。如需詳細資訊，請參閱在[受管 PCs上設定 Chrome 瀏覽器政策](https://support.google.com/chrome/a/answer/187202#zippy=%2Cwindows)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**)。

1. 展開樹系 (**樹系：*FQDN***)。

1. 展開**網域**。

1. 展開您的 FQDN (例如，`example.com`)。

1. 展開**群組政策物件**。

1. 選取**預設網域政策**，開啟內容 (滑鼠右鍵) 功能表，然後選擇**編輯**。

1. 選擇**電腦組態、****管理範本**、**Google Chrome** 和**延伸模組**

1. 開啟**設定延伸模組管理設定**，並將其設定為**已啟用**。

1. 在**設定延伸模組管理設定**下，輸入下列內容：

   ```
   {"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
   ```

1. 選擇**確定**。

1. 重新啟動 WorkSpace 工作階段後，群組政策設定變更就會生效。若要套用群組政策變更，請前往 WorkSpace Amazon WorkSpaces 主控台並選擇 WorkSpace，以重新啟動 WorkSpace。然後，選擇**動作**、**重新啟動 WorkSpaces**)。

**注意**  
您可以套用下列組態管理設定來封鎖擴充功能的安裝：  

```
{"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}
```

### 在 DCV 的螢幕鎖定上設定中斷連線工作階段
<a name="gp_lock_screen_in_wsp"></a>

如果需要，您可以在偵測到 Windows 螢幕鎖定畫面時中斷使用者的 WorkSpaces 工作階段連線。若要從 WorkSpaces 用戶端重新連線，使用者可以使用其密碼或智慧卡來驗證自己，這取決於其 WorkSpaces 啟用的驗證類型。

預設會停用群組政策設定。如有需要，您可以使用群組政策設定，在偵測到 Windows WorkSpaces 的 Windows 螢幕鎖定畫面時，啟用中斷工作階段連線。

**注意**  
此群組政策設定適用於經過密碼驗證和智慧卡驗證的工作階段。
若要啟用智慧卡搭配 Windows WorkSpaces 使用，則需要執行其他步驟。如需詳細資訊，請參閱[在 WorkSpaces Personal 中使用智慧卡進行身分驗證](smart-cards.md)。

**在 Windows WorkSpaces 的螢幕鎖定上設定中斷連線工作階段**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**啟用/停用畫面鎖定時中斷工作階段連線**設定。

1. 在**啟用/停用畫面鎖定時中斷工作階段連線**對話方塊中，選擇**啟用**或**停用**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 DCV 的螢幕擷取保護
<a name="screen_capture_protection"></a>

螢幕擷取保護可防止本機用戶端工具的 WorkSpaces 工作階段螢幕擷取畫面、螢幕錄製和螢幕共用。啟用時，嘗試從用戶端擷取螢幕內容會顯示背景或黑色矩形，協助保護敏感資訊免於洩漏。

#### 要求
<a name="w2aac11c29c11c19b5c27b5"></a>

DCV 的螢幕擷取保護需要下列項目：
+ DCV 主機代理程式 2.2.0.2116 版或更新版本
+ WorkSpaces 用戶端：
  + Windows 5.30.2 或更新版本
  + MacOS 5.30.2 或更新版本

**注意**  
 Linux 用戶端、Web Access 或 PCoIP 通訊協定不支援此功能。
保護適用於從用戶端裝置啟動的擷取。使用者仍然可以從 WorkSpace 本身擷取螢幕擷取畫面。
此功能與 MS Teams 上的螢幕共用不相容。

#### 已知限制
<a name="w2aac11c29c11c19b5c27b9"></a>
+ 此功能無法防止實體攝影機擷取畫面。
+ 此功能不會保護主機伺服器的直接 RDP 連線。
+ 此功能無法防止從 WorkSpace 本身啟動的擷取嘗試，包括協作和聊天工具的螢幕共用功能。
+ 啟用時，會封鎖所有擷取方法 （無法使用選擇性封鎖）。
+ 如果啟用此功能並嘗試擷取影片 （例如嘗試螢幕共用用戶端視窗），MacOS 用戶端視窗可能會變成灰色。

**設定 Windows WorkSpaces 的螢幕擷取保護**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定螢幕擷取保護**設定。

1. 在**設定螢幕擷取保護**對話方塊中，選擇**啟用或停用******。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：

   1. 重新啟動 WorkSpace (在 WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。

   1. 在管理命令提示中輸入 `gpupdate /force`。

### 設定 DCV 的間接顯示驅動程式 (IDD)
<a name="indirect_display_driver"></a>

根據預設，WorkSpaces 支援使用間接顯示驅動程式 (IDD)。如果 Windows WorkSpaces 需要，您可以使用群組政策設定來停用此功能。

**為 Windows WorkSpaces 設定間接顯示驅動程式 (IDD)**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**啟用 AWS 間接顯示驅動程式**設定。

1. 在**啟用 AWS 間接顯示驅動程式**對話方塊中，選擇**啟用或停用******。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：

   1. 重新啟動 WorkSpace (在 WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。

   1. 在管理命令提示中輸入 `gpupdate /force`。

### 設定 DCV 的顯示設定
<a name="display_settings"></a>

WorkSpaces 可讓您設定數種不同的顯示設定，包括最大影格率、最低影像品質、最高影像品質和 YUV 編碼。根據您需要的影像品質、回應能力和色彩準確度來調整這些設定。

依預設，最大影格率值為 25。最大影格率值可指定每秒允許的最大影格數 (fps)。值為 0 表示沒有限制。

依預設，最低影像品質值為 30。最低影像品質可進行最佳化，以獲得最佳影像回應能力或最佳影像品質。為了獲得最佳回應能力，請降低最低品質。為了獲得最佳品質，請提高最低品質。
+ 最佳回應能力的理想值在 30 到 90 之間。
+ 最佳品質的理想值在 60 到 90 之間。

依預設，最高影像品質值為 80。最高影像品質不會影響影像回應能力或品質，但會設定最大值以限制網路使用量。

依預設，影像編碼設定為 YUV420。選取**啟用 YUV444 編碼**可啟用 YUV444 編碼以達到高色彩準確度。

對於 Windows WorkSpaces，您可使用群組政策設定來設定最大影格率、最低影像品質和最高影像品質值。

**若要設定 Windows WorkSpaces 的顯示設定**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定顯示設定**設定。

1. 在**設定顯示設定**對話方塊中，選擇**啟用**，然後將**最大影格率 (fps)**、**最低影像品質**和**最高影像品質**值設定為所需的等級。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace。在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 為 DCV 的 AWS 虛擬僅顯示驅動程式設定 VSync
<a name="vsync"></a>

根據預設，WorkSpaces 支援對 AWS 虛擬僅顯示驅動程式使用 VSync 功能。如果 Windows WorkSpaces 需要，您可以使用群組政策設定來停用此功能。

**為 Windows WorkSpaces 設定 VSync**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟 ** AWS Virtual Display Only Driver 設定的啟用 VSync 功能**。

1. 在**僅 AWS 虛擬顯示驅動程式對話方塊中的啟用 VSync 功能**中，選擇**啟用或停用******。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列動作：

   1. 執行下列其中一項動作以重新啟動 WorkSpace：

      1. 選項 1 — 在 WorkSpaces 主控台中，選擇您要重新啟動的 WorkSpace。然後，選擇**動作**、**重新啟動 WorkSpaces**。

      1. 選項 2 — 在管理命令提示字元中，輸入 `gpupdate /force`。

   1. 重新連線至 WorkSpace 以套用設定。

   1. 再次重新啟動工作區。

### 設定 DCV 的日誌詳細程度
<a name="log_verbosity"></a>

根據預設，DCV WorkSpaces 的日誌詳細程度會設定為**資訊**。您可以將日誌層級設定為從最不詳細到最詳細的詳細層級，如下所述：
+ 錯誤 - 最不詳細
+ 警告
+ 資訊 - 預設
+ 除錯 - 最詳細

對於 Windows WorkSpaces，您可使用群組政策設定來設定日誌詳細層級。

**若要設定 Windows WorkSpaces 的日誌詳細層級**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定日誌詳細程度**設定。

1. 在**設定日誌詳細程度**對話方塊中，選擇**啟用**，然後將日誌詳細層級設定為**偵錯**、**錯誤**、**資訊**或**警告**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace。在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 DCV 的閒置中斷連線逾時
<a name="idle-disconnect"></a>

WorkSpaces 可讓您設定使用者在連線到 WorkSpace 時，可以處於非作用中狀態的時間，然後再中斷連線。使用者活動輸入的範例包括下列項目：
+ 鍵盤事件
+ 滑鼠事件 （游標移動、捲動、按一下）
+ 手寫筆事件
+ 觸控事件 （點選觸控螢幕、平板電腦）
+ 遊戲台事件
+ 檔案儲存操作 （上傳、下載、建立目錄、列出項目）
+ 網路攝影機串流

音訊輸入、音訊輸出和像素變更不符合使用者活動的資格。

啟用閒置中斷連線逾時時，您可以選擇通知使用者，他們的工作階段將在設定的時間內中斷連線，除非他們參與。

根據預設，閒置中斷連線逾時已停用，逾時值設定為 0 分鐘，且通知已停用。如果您啟用此政策設定，閒置中斷連線逾時值預設為 60 分鐘，閒置中斷連線警告值預設為 60 秒。對於 Windows WorkSpaces，您可以使用群組政策設定來設定此功能。

**設定 Windows WorkSpaces 的閒置中斷連線逾時**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定閒置中斷連線逾時**設定。

1. 在**設定閒置中斷連線逾時**對話方塊中，選擇**已啟用**，然後設定所需的中斷連線逾時值 （以分鐘為單位），並選擇性地設定警告計時器值 （以秒為單位）。

1. 選擇 **Apply (套用)**、**OK (確定)**。

1. 群組政策設定變更會在您套用變更後立即生效。

### 設定 DCV 的檔案傳輸
<a name="gp-file-transfer"></a>

根據預設，Amazon WorkSpaces 會停用檔案傳輸函數。您可以啟用它，以允許使用者在其本機電腦和 WorkSpaces 工作階段之間上傳和下載檔案。檔案將儲存在 WorkSpaces 工作階段的 **My Storage** 資料夾中。

**啟用 Windows WorkSpaces 的檔案傳輸**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定工作階段儲存**設定。

1. 在**設定工作階段儲存**對話方塊中，選擇**已啟用**。

1. （選用） 指定工作階段儲存的資料夾 （例如 `c:/session-storage`)。如果未指定，工作階段儲存的預設資料夾將是主資料夾。

1. 您可以使用下列其中一個檔案傳輸選項來設定 WorkSpaces：
   + 選擇`Download and Upload`以允許雙向檔案傳輸。
   + 選擇`Upload Only`僅允許從本機電腦將檔案上傳至 WorkSpaces 工作階段。
   + 選擇`Download Only`僅允許將檔案從 WorkSpaces 工作階段下載至本機電腦。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace。在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 DCV 的 USB 重新導向
<a name="gp_dcv_usbredirection"></a>

#### 概觀
<a name="gp_dcv_usbredirection_overview"></a>

從 2.2.0.2047 版開始，Amazon WorkSpaces 支援 DCV 型 Windows WorkSpaces 的一般 USB 重新導向，允許使用者在其虛擬桌面環境中存取本機 USB 裝置。此功能可補充特定裝置類別的現有最佳化重新導向解決方案。

**注意**  
Amazon 建議僅針對無法使用最佳化重新導向解決方案的裝置使用一般重新導向。在可用的情況下，最佳化的重新導向解決方案可提供更好的效能。

#### 先決條件
<a name="gp_dcv_usbredirection_prerequisites"></a>
+ 使用 DCV 通訊協定 2.2.0.2047 版或更新版本的 Windows WorkSpaces 
+ WorkSpaces Windows 用戶端的最新版本 (5.30.0 版或更新版本）
+ 設定群組政策設定的管理存取權

#### Configuration
<a name="gp_dcv_usbredirection_config"></a>

USB 重新導向預設為停用。您可以使用群組政策物件 (GPO) 啟用此功能。啟用此功能後，您可以將裝置新增至允許清單以進行重新導向。根據預設，不在允許清單中的裝置無法重新導向。

##### 群組政策組態
<a name="gp_dcv_usbredirection_gpo"></a>

**使用群組政策設定 DCV 的 USB 重新導向**

1. 連線至 Windows WorkSpaces。

1. 從 `C:\Program Files\Amazon\WSP` 資料夾複製政策範本檔案 (`wsp.admx` 和 `wsp.adml`)。

1. 貼`wsp.admx`入 `C:\Windows\PolicyDefinitions` 資料夾。

1. 貼`wsp.adml`入 `C:\Windows\PolicyDefinitions\en-US` 資料夾。

1. 啟動本機 GPO 編輯器 (**gpedit.msc**)。

1. 導覽至**本機電腦政策** > **電腦組態** > **管理範本** > **Amazon** > **WSP**。

1. 在 WSP 設定中設定**啟用/停用 USB**。

1. 選擇**啟用**以啟用 USB 重新導向。

**注意**  
此設定的變更會套用至下一個連線。

#### 裝置管理
<a name="gp_dcv_usbredirection_device_mgmt"></a>

啟用 USB 重新導向後，您可以在 GPO 中設定裝置允許清單，以新增要支援重新導向的裝置。

##### 裝置允許清單組態
<a name="gp_dcv_usbredirection_allowlist"></a>

USB 重新導向遵循預設的拒絕所有安全姿勢。管理員必須使用下列格式，將裝置新增至 GPO 中的允許清單，以明確允許裝置：

```
Name, Base class, Subclass, Protocol, Id Vendor, Id Product, Support Auto-share, Skip reset
// Use * to skip any values
```

**範例**：

**新增具有廠商 ID/產品 ID 的裝置：**

```
Credit Card Reader, *, *, *, 0x0483, 0x2016, 1, 0
// Allows Credit Card Reader with VID 0x0483 and PID 0x2016 with auto-share support
```

**新增具有類別/子類別的裝置：**

```
3D Mouse Devices, 03, 01, *, *, *, 1, 0
// Allows all 3D mice using HID class (03), boot interface subclass (01), with auto-share support
```

**注意**  
在將裝置新增至允許清單之前，先測試裝置相容性和效能。

#### 安全考量
<a name="gp_dcv_usbredirection_security"></a>

##### 最佳實務
<a name="gp_dcv_usbredirection_best_practices"></a>
+ 支援的裝置可使用專用重新導向方法，以獲得最佳效能和相容性。例如，對於 YubiKey 等安全金鑰，請改用 WebAuthn 重新導向。
+ 實作嚴格的裝置允許清單。
+ 透過稽核日誌監控裝置存取。
+ 允許新裝置之前，請評估資料安全性影響。

### 設定 DCV 的網路攝影機解析度
<a name="gp-webcam-resolution"></a>

使用此設定來設定網路攝影機解析度設定。如果您啟用此政策設定，您可以指定：
+ 最大網路攝影機解析度：這會指定可在提供的解析度中選擇的最大網路攝影機解析度。如果缺少此值或 (0， 0)，則會使用預設值。
+ 偏好的網路攝影機解析度：這會指定用戶端所提供解析度中偏好的網路攝影機解析度。如果不支援指定的解析度，則會選取最接近的相符解析度。如果缺少此值或 (0， 0)，則會使用預設值。

如果您停用或未設定此政策設定，則會使用預設解析度。

**設定 Windows WorkSpaces 的網路攝影機解析度**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定網路攝影機解析度**設定。

1. 在**設定網路攝影機解析度**對話方塊中，選擇**已啟用**，然後設定**網路攝影機解析度上限** （以像素為單位） 和/或**偏好的網路攝影機解析度** （以像素為單位）。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace。在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 DCV 的伺服器鍵盤配置用量
<a name="gp-server-keyboard-layout"></a>

此設定會控制是否使用伺服器端鍵盤配置進行金鑰解譯，而非預設用戶端鍵盤配置。此設定的變更會套用至下一個連線。如需鍵盤處理的詳細資訊，請參閱 *Amazon WorkSpaces 使用者指南*。

如果您啟用此政策設定，您可以選擇下列其中一個選項：
+ **Always Off** - 一律使用用戶端配置
+ **Always On** - 一律使用伺服器配置

如果您停用或未設定此政策設定，則會使用 **Always Off** 選項。

**注意**  
Amazon WorkSpaces Windows 用戶端 5.29.2 版或更新版本，以及 Amazon WorkSpaces macOS 用戶端 5.30.0 版或更新版本都支援此功能。

**設定 Windows WorkSpaces 的伺服器鍵盤配置用量**

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**Amazon** 和 **WSP**。

1. 開啟**設定伺服器鍵盤配置用量**設定。

1. 在**設定伺服器鍵盤配置用量**對話方塊中，選擇**已啟用**，然後設定**伺服器鍵盤配置選項**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace。在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**。
   + 在管理命令提示中輸入 **gpupdate /force**。

## 安裝 PCoIP 的群組政策管理範本
<a name="gp_install_template"></a>

若要在使用 PCoIP 通訊協定時使用 Amazon WorkSpaces 特有的群組政策設定，您必須為您的 WorkSpaces 新增適合所用 PCoIP 代理程式版本 (32 位元或 64 位元) 的群組政策管理範本。

**注意**  
如果您有混合使用 32 位元和 64 位元代理程式的 WorkSpaces，則可使用 32 位元代理程式的群組政策管理範本，而且您的群組政策設定會同時套用至 32 位元和 64 位元代理程式。當所有 WorkSpaces 都使用 64 位元代理程式時，您可以切換至使用 64 位元代理程式的管理範本。

**判斷您的 WorkSpaces 有 32 位元代理程式或 64 位元代理程式**

1. 登入 WorkSpace，然後選擇**檢視**、**傳送 Ctrl \$1 Alt \$1 Delete**，或在工作列上按一下滑鼠右鍵並選擇**任務管理員**以開啟任務管理員。

1. 在任務管理員中，移至**詳細資訊**索引標籤，在欄標題上按一下滑鼠右鍵，然後選擇**選取欄**。

1. 在**選取欄**對話方塊中，選取**平台**，然後選擇**確定**。

1. 在**詳細資訊**索引標籤上找到 `pcoip_agent.exe`，然後檢查其**平台**欄中的值，以判斷 PCoIP 代理程式是 32 位元還是 64 位元。(您可能會看到 32 位元和 64 位元 WorkSpaces 元件混合使用，這是正常的。)

### 安裝 PCoIP 的群組政策管理範本 (32 位元)
<a name="gp_install_template_pcoip_32_bit"></a>

若要在使用 PCoIP 通訊協定搭配 32 位元 PCoIP 代理程式時，使用 WorkSpaces 特有的群組政策設定，您必須安裝 PCoIP 的群組政策管理範本。在已加入目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上執行下列程序。

如需使用 .adm 檔案的詳細資訊，請參閱 Microsoft 文件中的[管理群組政策管理範本 (.adm) 檔案的建議](https://docs.microsoft.com/troubleshoot/windows-server/group-policy/manage-group-policy-adm-file)。

**若要安裝 PCoIP 的群組政策管理範本**

1. 從執行中的 Windows WorkSpace，複製 `C:\Program Files (x86)\Teradici\PCoIP Agent\configuration` 目錄中的 `pcoip.adm` 檔案。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 並導覽至您的網域中包含 WorkSpaces 機器帳戶的組織單位。

1. 開啟機器帳戶組織單位的內容 (滑鼠右鍵) 功能表，然後選擇**在此網域中建立 GPO 並連結到此處**。

1. 在**新增 GPO** 對話方塊中，輸入 GPO 的描述性名稱 (例如 **WorkSpaces 機器政策**)，並將**來源入門 GPO** 保留設定為 **(無)**。選擇**確定**。

1. 開啟新 GPO 的內容 (滑鼠右鍵) 功能表，然後選擇**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**和**管理範本**。從主功能表中依序選擇**動作**、**新增/移除範本**。

1. 在**新增/移除範本**對話方塊中，選擇**新增**，選取先前複製的 `pcoip.adm` 檔案，然後選擇**開啟**、**關閉**。

1. 關閉群組政策管理編輯器。您現在可以使用此 GPO 來修改 WorkSpaces 特有的群組政策設定。

**若要確認已正確安裝管理範本檔案**

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 然後導覽至您的 WorkSpaces 機器帳戶的 WorkSpaces GPO 並加以選取。在功能表中依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**傳統管理範本**和 **PCoIP 工作階段變數**。

1. 您現在可以使用此 **PCoIP 工作階段變數**群組政策物件，在使用 PCoIP 時修改 Amazon WorkSpaces 特有的群組政策設定。
**注意**  
若要允許使用者覆寫您的設定，請選擇**可覆寫的管理員設定**；否則，選擇**不可覆寫的管理員設定**。

### 安裝 PCoIP 的群組政策管理範本 (64 位元)
<a name="gp_install_template_pcoip_64_bit"></a>

若要在使用 PCoIP 通訊協定時使用 WorkSpaces 特有的群組政策設定，您必須將 PCoIP 的群組政策管理範本 `PCoIP.admx` 和 `PCoIP.adml` 檔案新增至 WorkSpaces 目錄的網域控制站中央存放區。如需有關 `.admx` 和 `.adml` 檔案的詳細資訊，請參閱[如何在 Windows 中建立和管理群組政策管理範本的中央存放區](https://support.microsoft.com/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra)。

下列程序說明如何建立中央存放區並將管理範本檔案新增到中央存放區。在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上執行下列程序。

**若要安裝 PCoIP 的群組政策管理範本檔案**

1. 從執行中的 Windows WorkSpace，複製 `C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions` 目錄中的 `PCoIP.admx` 和 `PCoIP.adml` 檔案。`PCoIP.adml` 檔案位於該目錄的 `en-US` 子資料夾中。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟 Windows 檔案總管，然後在網址列中輸入貴組織的完整網域名稱 (FQDN)，例如 `\\example.com`。

1. 開啟 `sysvol` 資料夾。

1. 開啟具有 `FQDN` 名稱的資料夾。

1. 開啟 `Policies` 資料夾。您現在應該在 `\\FQDN\sysvol\FQDN\Policies` 中。

1. 如果它不存在，請建立名為 `PolicyDefinitions` 的資料夾。

1. 開啟 `PolicyDefinitions` 資料夾。

1. 將 `PCoIP.admx` 檔案複製到 `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions` 資料夾中。

1. 在 `PolicyDefinitions` 資料夾中建立名為 `en-US` 的檔案。

1. 開啟 `en-US` 資料夾。

1. 將 `PCoIP.adml` 檔案複製到 `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US` 資料夾中。

**若要確認已正確安裝管理範本檔案**

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**)。

1. 展開樹系 (**樹系：*FQDN***)。

1. 展開**網域**。

1. 展開您的 FQDN (例如，`example.com`)。

1. 展開**群組政策物件**。

1. 選取**預設網域政策**，開啟內容 (滑鼠右鍵) 功能表，然後選擇**編輯**。
**注意**  
如果支援 WorkSpaces 的網域是 AWS Managed Microsoft AD 目錄，則無法使用預設網域政策來建立 GPO。相反地，您必須在具有委派權限的網域容器之下建立並連結 GPO。  
當您使用 建立目錄時 AWS Managed Microsoft AD， 會在網域根目錄下 Directory Service 建立*您的網域名稱*組織單位 (OU)。此 OU 的名稱是以您建立目錄時所輸入的 NetBIOS 名稱為基礎。如未指定 NetBIOS 名稱，預設名稱會是您的目錄 DNS 名稱的第一個部分 (以 `corp.example.com` 為例，NetBIOS 名稱是 `corp`)。  
若要建立 GPO，請不要選取**預設網域政策**，而是選取 *yourdomainname* OU (或該 OU 下的任何 OU)、開啟內容 (滑鼠右鍵) 功能表，然後選擇**在此網域中建立 GPO 並連結到此處**。  
如需有關 *yourdomainname* OU 的詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[建立內容](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**和 **PCoIP 工作階段變數**。

1. 您現在可以使用此 **PCoIP 工作階段變數**群組政策物件，在使用 PCoIP 時修改 WorkSpaces 特有的群組政策設定。
**注意**  
若要允許使用者覆寫您的設定，請選擇**可覆寫的管理員設定**；否則，選擇**不可覆寫的管理員設定**。

## 管理 PCoIP 的群組政策設定
<a name="gp_configurations_pcoip"></a>

使用群組政策設定來管理使用 PCoIP 的 Windows WorkSpaces。

### 設定 PCoIP 的印表機支援
<a name="gp_local_printers"></a>

依預設，WorkSpaces 會啟用基本遠端列印，因為其在主機端使用一般印表機驅動程式來確保相容的列印功能，所以提供有限的列印功能。

Windows 用戶端的進階遠端列印可讓您使用印表機的特定功能 (例如雙面列印)，但需要在主機端安裝相符的印表機驅動程式。

遠端列印會以虛擬通道的形式實作。如果停用虛擬通道，遠端列印無法運作。

對於 Windows WorkSpaces，您可以視需要使用群組政策設定來設定印表機支援。

**設定印表機支援**

1. 確定您已安裝 [PCoIP (32 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_32_bit)或 [PCoIP (64 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_64_bit)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 並導覽至 **PCoIP 工作階段變數**。

1. 開啟**設定遠端列印**設定。

1. 在**設定遠端列印**對話方塊中，執行下列其中一項操作：
   + 若要啟用進階遠端列印，請選擇**啟用**，然後針對**選項**之下的**設定遠端列印**，選擇 **Windows 用戶端的基本和進階列印**。若要自動使用用戶端電腦目前的預設印表機，請選取**自動設定預設印表機**。
   + 若要停用列印，請選擇**啟用**，然後在**選項**、**設定遠端列印**之下選擇 **停用列印**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

預設會停用本機印表機自動重新導向。您可以使用群組政策設定來啟用此功能，以便在您每次連線至 WorkSpace 時，本機印表機都會設定為預設印表機。

**注意**  
本機印表機重新導向不適用於 Amazon Linux WorkSpaces。

**若要啟用本機印表機自動重新導向**

1. 確定您已安裝 [PCoIP (32 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_32_bit)或 [PCoIP (64 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_64_bit)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 並導覽至 **PCoIP 工作階段變數**。

1. 開啟**設定遠端列印**設定。

1. 選擇**啟用**，然後在**選項**、**設定遠端列印**之下，選擇下列其中一項：
   + **Windows 用戶端的基本和進階列印**
   + **基本列印**

1. 選取**自動設定預設印表機**，然後選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 PCoIP 的剪貼簿重新導向 （複製/貼上）
<a name="gp_clipboard"></a>

依預設，WorkSpaces 支援剪貼簿重新導向。如果 Windows WorkSpaces 需要，您可以使用群組政策設定來停用此功能。

**若要啟用或停用剪貼簿重新導向**

1. 確定您已安裝 [PCoIP (32 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_32_bit)或 [PCoIP (64 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_64_bit)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 並導覽至 **PCoIP 工作階段變數**。

1. 開啟**設定剪貼簿重新導向**設定。

1. 在**設定剪貼簿重新導向**對話方塊中，選擇**啟用**，然後選擇下列其中一個設定來決定允許剪貼簿重新導向的方向。完成時，選擇**確定**。
   + 兩個方向都停用
   + 僅啟用代理程式至用戶端 (WorkSpace 至本機電腦)
   + 僅啟用用戶端至代理程式 (本機電腦至 WorkSpace)
   + 兩個方向都啟用 

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

**已知限制**  
在 WorkSpace 上啟用剪貼簿重新導向的情況下，如果您從 Microsoft Office 應用程式複製大於 890 KB 的內容，應用程式可能會變得緩慢或長達 5 秒沒有回應。

### 設定 PCoIP 的工作階段繼續逾時
<a name="gp_auto_resume"></a>

當您失去網路連線時，作用中的 WorkSpaces 用戶端工作階段會中斷連線。如果網路連線在特定時間內還原，則 Windows 和 macOS 的 WorkSpaces 用戶端應用程式會嘗試自動重新連線工作階段。預設工作階段繼續逾時為 20 分鐘，但您可以針對由網域的群組政策設定所控制的 WorkSpaces 修改該值。

**若要設定自動工作階段繼續逾時值**

1. 確定您已安裝 [PCoIP (32 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_32_bit)或 [PCoIP (64 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_64_bit)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 並導覽至 **PCoIP 工作階段變數**。

1. 開啟**設定工作階段自動重新連線政策**設定。

1. 在**設定工作階段自動重新連線政策**對話方塊中，選擇**啟用**，將**設定工作階段自動重新連線政策**選項設定為所需的逾時 (分鐘)，然後選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 PCoIP 的音訊輸入重新導向
<a name="gp_audio"></a>

根據預設，Amazon WorkSpaces 支援從本機麥克風重新導向資料。如果 Windows WorkSpaces 需要，您可以使用群組政策設定來停用此功能。

**注意**  
如果您的群組政策設定會限制使用者在其 WorkSpaces 中的本機登入，音訊輸入將無法在 WorkSpaces 上運作。如果您移除該群組政策設定，則會在下次重新啟動 WorkSpace 之後啟用音訊輸入功能。如需此群組政策設定的詳細資訊，請參閱 Microsoft 文件中的[允許在本機登入](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)。

**若要啟用或停用音訊輸入重新導向**

1. 確定您已安裝 [PCoIP (32 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_32_bit)或 [PCoIP (64 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_64_bit)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 並導覽至 **PCoIP 工作階段變數**。

1. 開啟**在 PCoIP 工作階段中啟用/停用音訊**設定。

1. 在**在 PCoIP 工作階段中啟用/停用音訊**對話方塊中，選擇**啟用**或**停用**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 停用 PCoIP 的時區重新導向
<a name="gp_time_zone"></a>

依預設，Workspace 內的時間會設定為鏡像處理用於連線至 WorkSpace 之用戶端的時區。此行為透過時區重新導向控制。您可能會基於各種原因而想要關閉時區方向：
+ 貴公司希望所有員工都能在特定時區工作 (即使部分員工位於其他時區)。
+ 您在 WorkSpace 中已排定要在特定時區的特定時間執行的任務。
+ 經常旅行的使用者希望將其 WorkSpaces 保持在一個時區，以確保一致性和個人偏好。

如果 Windows WorkSpaces 需要，您可以使用群組政策設定來停用此功能。

**若要停用時區重新導向**

1. 確定您已安裝 [PCoIP (32 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_32_bit)或 [PCoIP (64 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_64_bit)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 並導覽至 **PCoIP 工作階段變數**。

1. 開啟**設定時區重新導向**設定。

1. 在**設定時區重新導向**對話方塊中，選擇**停用**。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

1. 將 WorkSpaces 的時區設定為所需的時區。

WorkSpaces 的時區現在是靜態的，不再鏡像處理用戶端電腦的時區。

### 設定 PCoIP 安全設定
<a name="gp_security"></a>

對於 PCoIP，傳輸中的資料會使用 TLS 1.2 加密和 SigV4 要求簽署加密。PCoIP 通訊協定會針對串流像素，使用加密的 UDP 流量搭配 AES 加密。使用連接埠 4172 (TCP 和 UDP) 的串流連線會使用 AES-128 和 AES-256 密碼加密，但是加密預設為 128 位元。您可使用**設定 PCoIP 安全設定**群組政策設定，將此預設值變更為 256 位元。

您也可使用此群組政策設定來修改 TLS 安全模式，以及封鎖特定密碼套件。**設定 PCoIP 安全設定**群組政策對話方塊中提供了這些設定和支援密碼套件的詳細說明。

**若要設定 PCoIP 安全設定**

1. 確定您已安裝 [PCoIP (32 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_32_bit)或 [PCoIP (64 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_64_bit)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 並導覽至 **PCoIP 工作階段變數**。

1. 開啟**設定 PCoIP 保全設定**設定。

1. 在**設定 PCoIP 保全設定**對話方塊中，選擇**啟用**。若要將串流流量的預設加密設為 256 位元，請前往 **PCoIP 資料加密密碼**選項，然後選取**僅限 AES-256-GCM**。

1. (選用) 調整 **TLS 安全模式**設定，然後列出您要封鎖的任何密碼套件。如需有關這些設定的詳細資訊，請參閱**設定 PCoIP 保全設定**對話方塊中提供的描述。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 設定 PCoIP 的 USB 重新導向
<a name="gp_usbredirection"></a>

**注意**  
Amazon WorkSpaces 目前僅支援 YubiKey U2F 的 USB 重新導向。其他類型的 USB 裝置可能會被重新導向，但不受支援，可能無法正常運作。

**啟用 PCoIP 的 USB 重新導向**

1. 確定您已安裝 [PCoIP (32 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_32_bit)或 [PCoIP (64 位元) 適用的最新 WorkSpaces 群組政策管理範本](#gp_install_template_pcoip_64_bit)。

1. 在已加入 WorkSpaces 目錄的目錄管理 WorkSpace 或 Amazon EC2 執行個體上，開啟群組政策管理工具 (**gpmc.msc**) 並導覽至 **PCoIP 工作階段變數**。

1. 開啟**在 PCOIP 工作階段中啟用/停用 USB** 設定。

1.  選擇**啟用**，然後選擇**確定**。

1. 開啟**設定 PCoIP USB 允許和不允許的裝置規則**設定。

1. 選擇**啟用**，然後在**輸入 USB 授權表格 (最多十個規則)** 之下，設定您的 USB 裝置允許清單規則。

   1. 授權規則 - 110500407。此值是廠商 ID (VID) 與產品 ID (PID) 的組合。VID/PID 組合的格式為 1xxxxyyyy，其中 xxxx 是十六進位格式的 VID，而 yyyy 則是十六進位格式的 PID。在這個範例中，1050 是 VID，而 0407 是 PID。如需更多 YubiKey USB 值，請參閱 [YubiKey USB ID 值](https://support.yubico.com/hc/en-us/articles/360016614920-YubiKey-USB-ID-Values)。

1. 在**輸入 USB 授權表格 (最多十個規則)** 之下，設定您的 USB 裝置封鎖清單規則。

   1. 針對**取消授權規則**，設定空字串。這表示只允許授權清單中的 USB 裝置。
**注意**  
您最多可以定義 10 個 USB 授權規則和最多 10 個 USB 取消授權規則。使用垂直列 (\$1) 字元來分隔多個規則。如需有關授權/取消授權規則的詳細資訊，請參閱[適用於 Windows 的 PCoIP 標準代理程式](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/#pcoip-usb-allowed-and-unallowed-device-rules)。

1. 選擇**確定**。

1. 群組政策設定變更會在 WorkSpace 的下一次群組政策更新後，以及重新啟動 WorkSpace 工作階段後生效。若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 Amazon WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

在設定生效之後，除非透過 USB 裝置規則設定來設定限制，否則所有支援的 USB 裝置都可以重新導向至 WorkSpaces。

## 設定 Kerberos 票證的生命週期上限
<a name="gp_kerberos_ticket"></a>

如果您尚未停用 Windows WorkSpaces 的**記住我**功能，WorkSpace 使用者可以使用 WorkSpaces 用戶端應用程式中的**記住我**或**讓我保持登入狀態**核取方塊來儲存其憑證。當用戶端應用程式仍在執行時，此功能可讓使用者輕鬆地連線至其 WorkSpaces。他們的憑證會安全地進行快取，直到其 Kerberos 票證的生命週期上限為止。

如果您的 WorkSpace 使用 AD Connector 目錄，您可以依照 Microsoft Windows 文件中[使用者票證的生命週期上限](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-user-ticket)中的步驟，透過群組政策為 WorkSpaces 使用者修改 Kerberos 票證的生命週期上限。

若要啟用或停用**記住我**功能，請參閱 [在 WorkSpaces Personal 中為您的使用者啟用自助式 WorkSpaces 管理功能](enable-user-self-service-workspace-management.md)。

## 設定裝置 Proxy 伺服器設定以存取網際網路
<a name="gp_device_proxy"></a>

依預設，WorkSpaces 用戶端應用程式會使用在 HTTPS (連接埠 443) 流量的裝置作業系統設定中指定的 Proxy 伺服器。Amazon WorkSpaces 用戶端應用程式會使用 HTTPS 連接埠進行更新、註冊和身份驗證。

**注意**  
不支援需要使用登入憑證進行驗證的 Proxy 伺服器。

您可以依照 Microsoft 文件中的[設定裝置 Proxy 和網際網路連線設定](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)中的步驟，透過群組政策為 Windows WorkSpaces 設定裝置 Proxy 伺服器設定。

如需有關在 WorkSpaces Windows 用戶端應用程式中設定 Proxy 設定的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [Proxy 伺服器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)。

如需有關在 WorkSpaces macOS 用戶端應用程式中設定 Proxy 設定的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [Proxy 伺服器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)。

如需有關在 WorkSpaces Web Access 用戶端應用程式中設定 Proxy 設定的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [Proxy 伺服器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)。

### 代理桌面流量
<a name="w2aac11c29c11c27c15"></a>

對於 PCoIP WorkSpaces，桌面用戶端應用程式不支援使用 Proxy 伺服器，也不支援針對 UDP 中的連接埠 4172 流量進行 TLS 解密和檢查 (適用於桌面流量)。它們需要直接連線至連接埠 4172。

對於 DCV WorkSpaces，WorkSpaces Windows 用戶端應用程式 (5.1 版及更高版本） 和 macOS 用戶端應用程式 (5.4 版及更高版本） 支援針對連接埠 4195 TCP 流量使用 HTTP 代理伺服器。不支援 TLS 解密和檢查。

DCV 不支援對透過 UDP 的桌面流量使用代理。只有 WorkSpaces Windows 和 macOS 桌面用戶端應用程式和 Web 存取支援將 Proxy 用於 TCP 流量。

**注意**  
如果您選擇使用 Proxy 伺服器，用戶端應用程式對 WorkSpaces 服務所進行的 API 呼叫也會被代理。API 呼叫和桌面流量都應該通過相同的 Proxy 伺服器。

### Proxy 伺服器的使用建議
<a name="w2aac11c29c11c27c17"></a>

我們不建議將 Proxy 伺服器搭配 WorkSpaces 桌面流量。

Amazon WorkSpaces 桌面流量已經加密，因此 Proxy 不能改善安全性。Proxy 代表網路路徑中的額外躍點，可能會藉由引入延遲來影響串流品質。如果 Proxy 未適當調整大小以處理桌面串流流量，Proxy 也可能降低輸送量。此外，大多數 Proxy 並非為了支援長時間執行的 WebSocket (TCP) 連線而設計，可能會影響串流品質和穩定性。

如果您必須使用 Proxy，請讓 Proxy 伺服器盡可能靠近 WorkSpace 用戶端 (最好位於相同網路) 以避免增加網路延遲，這可能會對串流品質和回應能力造成負面影響。

## 啟用 Amazon WorkSpaces 的 Zoom 會議媒體外掛程式支援
<a name="zoom-integration"></a>

Zoom 使用 Zoom VDI 外掛程式，支援 DCV 和 PCoIP Windows 型 WorkSpaces 的最佳化即時通訊。直接用戶端通訊允許視訊通話繞過雲端型虛擬桌面，並在會議在使用者的 WorkSpace 內執行時提供類似本機的 Zoom 體驗。

### 為 DCV 啟用 Zoom 會議媒體外掛程式
<a name="zoom-wsp"></a>

安裝 Zoom VDI 元件之前，請更新您的 WorkSpaces 組態以支援 Zoom 最佳化。

#### 先決條件
<a name="zoom-integ-prerequisites-wsp"></a>

使用外掛程式之前，請確定符合下列要求。
+ Windows WorkSpaces 用戶端 5.10.0\$1 版搭配 [ Zoom VDI 外掛程式](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT:~:text=Zoom%20Meeting%20client.-,Install%20the%20Zoom%20VDI%20plugin,-To%20complete%20your) 5.17.10\$1 版
+ 在您的 WorkSpaces 中 — [ Zoom VDI 會議](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0063810)用戶端 5.17.10\$1 版

#### 開始之前
<a name="zoom-begin-wsp"></a>

1. 啟用**延伸項目**群組政策設定。如需詳細資訊，請參閱[設定 DCV 的擴充功能](#extensions)。

1. 停用**自動重新連線**群組政策設定。如需詳細資訊，請參閱[設定 DCV 的工作階段繼續逾時](#gp_auto_resume_wsp)。

#### 安裝 Zoom 元件
<a name="installing-zoom-wsp"></a>

若要啟用 Zoom 最佳化，請在 Windows WorkSpaces 上安裝 Zoom 提供的兩個元件。如需詳細資訊，請參閱[使用 Zoom for Amazon Web Services](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT)。

1. 在 WorkSpace 中安裝 Zoom VDI 會議用戶端 5.12.6\$1 版。

1. 在安裝 WorkSpace 的用戶端上安裝 Zoom VDI 外掛程式 (Windows 通用安裝程式） 5.12.6\$1 版

1. 透過確認您的 VDI 外掛程式狀態在 Zoom VDI 用戶端中顯示為**已連線**，驗證外掛程式正在最佳化 Zoom 流量。如需詳細資訊，請參閱[如何確認 Amazon WorkSpaces 最佳化](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE1MA5YMYFX5B5XM873V1Y)。

### 為 PCoIP 啟用 Zoom 會議媒體外掛程式
<a name="zoom-pcoip"></a>

具有 Active Directory 管理許可的使用者可以使用其群組政策物件 (GPO) 產生登錄機碼。這可讓使用者使用強制更新，將登錄機碼傳送至網域內的所有 Windows WorkSpaces。或者，具有管理權限的使用者也可以在其 WorkSpaces 主機上個別安裝登錄機碼。

#### 先決條件
<a name="zoom-integ-prerequisites-pcoip"></a>

使用外掛程式之前，請確定符合下列要求。
+ Windows WorkSpaces 用戶端 5.4.0\$1 版搭配 [ Zoom VDI 外掛程式](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT:~:text=Zoom%20Meeting%20client.-,Install%20the%20Zoom%20VDI%20plugin,-To%20complete%20your) 5.12.6\$1 版。
+ 在您的 WorkSpaces 中 — [ Zoom VDI 會議](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0063810)用戶端 5.12.6\$1 版。

#### 在 Windows WorkSpaces 主機上建立登錄機碼
<a name="zoom-integ-create-registry-key"></a>

完成以下程序，以在 Windows WorkSpaces 主機上建立登錄機碼。需有此登錄機碼才能在 Windows WorkSpaces 上使用 Zoom。

1. 以管理員身分開啟 Windows 登錄編輯程式。

1. 前往 `\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Amazon`。

1. 如果**延伸模組**金鑰不存在，請按一下滑鼠右鍵並選擇**新增** > **金鑰**，然後將其命名為**延伸模組**。

1. 在新的**延伸模組**金鑰中，按一下滑鼠右鍵並選擇**新增** > **DWORD**，然後將其命名為**啟用**。名稱必須是小寫。

1. 選擇新的 **DWORD**，並將**值**變更為 **1**。

1. 重新啟動電腦以完成此程序。

1. 在 WorkSpaces 主機上，下載並安裝最新的 Zoom VDI 用戶端。在您的 WorkSpaces 用戶端 (5.4 或更高版本) 上，下載並安裝適用於 Amazon WorkSpaces 的最新 Zoom VDI 用戶端外掛程式。如需詳細資訊，請參閱 *Zoom 支援網站*上的 [VDI 版本和下載](https://support.zoom.us/hc/en-us/articles/4415057249549-VDI-releases-and-downloads)。

啟動 Zoom 以開始進行視訊通話。

#### 疑難排解
<a name="zoom-integ-troubleshoot"></a>

請完成下列動作，以在 Windows WorkSpaces 上對 Zoom 進行疑難排解。
+ 確認登錄機碼啟用和套用正確。
+ 前往 `C:\ProgramData\Amazon\Amazon WorkSpaces Extension`。您應該看見 `wse_core_dll`。
+ 請確定主機和用戶端上的版本正確且相同。

如果您持續遇到困難， 支援 請使用 [支援 中心](https://console.aws.amazon.com/support/home#/)聯絡 。

您可以使用下列範例，以目錄的管理員身分套用 GPO。
+ **WSE.adml**

  ```
  <?xml version="1.0" encoding="utf-8"?>
  <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <!-- 'displayName' and 'description' don't appear anywhere. All Windows native GPO template files have them set like this. -->
      <displayName>enter display name here</displayName>
      <description>enter description here</description>
  
      <resources>
      <stringTable>
          <string id="SUPPORTED_ProductOnly">N/A</string>
          <string id="Amazon">Amazon</string>
          <string id="Amazon_Help">Amazon Group Policies</string>
          <string id="WorkspacesExtension">Workspaces Extension</string>
          <string id="WorkspacesExtension_Help">Workspace Extension Group Policies</string>
  
          <!-- Extension Itself -->
          <string id="ToggleExtension">Enable/disable Extension Virtual Channel</string>
          <string id="ToggleExtension_Help">
  Allows two-way Virtual Channel data communication for multiple purposes
  
  By default, Extension is disabled.</string>
  
      </stringTable>
      </resources>
  </policyDefinitionResources>
  ```
+ **WSE.admx**

  ```
  <?xml version="1.0" encoding="utf-8"?>
  <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <policyNamespaces>
          <target prefix="WorkspacesExtension" namespace="Microsoft.Policies.Amazon.WorkspacesExtension" />
      </policyNamespaces>
      <supersededAdm fileName="wse.adm" />
      <resources minRequiredRevision="1.0" />
      <supportedOn>
          <definitions>
              <definition name="SUPPORTED_ProductOnly" displayName="$(string.SUPPORTED_ProductOnly)"/>
          </definitions>
      </supportedOn>
      <categories>
          <category name="Amazon" displayName="$(string.Amazon)" explainText="$(string.Amazon_Help)" />
          <category name="WorkspacesExtension" displayName="$(string.WorkspacesExtension)" explainText="$(string.WorkspacesExtension_Help)">
              <parentCategory ref="Amazon" />
          </category>
      </categories>
  
      <policies>
          <policy name="ToggleExtension" class="Machine" displayName="$(string.ToggleExtension)" explainText="$(string.ToggleExtension_Help)" key="Software\Policies\Amazon\Extension" valueName="enable">
              <parentCategory ref="WorkspacesExtension" />
              <supportedOn ref="SUPPORTED_ProductOnly" />
              <enabledValue>
                  <decimal value="1" />
              </enabledValue>
              <disabledValue>
                  <decimal value="0" />
              </disabledValue>
          </policy>
      </policies>
  </policyDefinitions>
  ```

# 在 WorkSpaces Personal 中管理您的 Amazon Linux 2 WorkSpaces
<a name="manage_linux_workspace"></a>

對於需要 RPM Package Manager (RPM) 的工作負載，建議使用 [ Red Hat Enterprise Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage_rhel_workspace.html) 或 [Rocky Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage_rockylinux_workspace.html)。Amazon Linux 2 可能不會提供您可能需要的一些應用程式和程式庫的最新版本，例如 Firefox 和 glibc。

由於 Linux 執行個體不遵守群組政策，因此建議您使用組態管理解決方案來散發和強制執行政策。例如，您可以使用 [Ansible](https://www.ansible.com/)。

**注意**  
本機印表機重新導向不適用於 Amazon Linux WorkSpaces。

## 在 Amazon Linux WorkSpaces 上控制 DCV 行為
<a name="wsp_agent_linux"></a>

DCV 的行為是由位於 `/etc/wsp/`目錄中的 `wsp.conf` 檔案中的組態設定所控制。若要部署和強制執行政策變更，請使用支援 Amazon Linux 的組態管理解決方案。任何變更都會在代理程式啟動時生效。

**注意**  
如果您對`wsp.conf` 檔案進行不正確或不支援的變更，政策變更可能不會套用至 WorkSpace 上新建立的連線。
DCV 套件上的 Amazon Linux WorkSpaces 目前具有下列限制：  
目前僅適用於 AWS GovCloud （美國西部） 和 AWS GovCloud （美國東部）。
不支援視訊輸入。
不支援在螢幕鎖定時中斷工作階段連線。

下列各節描述如何啟用或停用某些功能。

## 設定 DCV Amazon Linux WorkSpaces 的剪貼簿重新導向
<a name="wsp_linux_clipboard"></a>

依預設，WorkSpaces 支援剪貼簿重新導向。如有需要，請使用 DCV 組態檔案來設定此功能。當您中斷 WorkSpace 連線並重新連線時，此設定便會生效。

**設定 DCV Amazon Linux WorkSpaces 的剪貼簿重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 

   ```
   clipboard = X
   ```

   其中 *X* 的可能值為：

   `enabled`—雙向啟用剪貼簿重新導向 (預設值)

   `disabled`—雙向停用剪貼簿重新導向

   `paste-only`—已啟用剪貼簿重新導向，但僅允許您從本機用戶端裝置複製內容並將其貼到遠端主機桌面

   `copy-only`—已啟用剪貼簿重新導向，但僅允許您從遠端主機桌面複製內容並將其貼到本機用戶端裝置

## 啟用或停用 DCV Amazon Linux WorkSpaces 的音訊輸入重新導向
<a name="wsp_linux_audio"></a>

依預設，WorkSpaces 支援音訊輸入重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。當您中斷 WorkSpace 連線並重新連線時，此設定便會生效。

**啟用或停用 DCV Amazon Linux WorkSpaces 的音訊輸入重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在檔案的結尾新增此行：

   ```
   audio-in = X
   ```

   其中 *X* 的可能值為：

   `enabled`—已啟用音訊輸入重新導向 (預設值)

   `disabled`—已停用音訊輸入重新導向

## 啟用或停用 DCV Amazon Linux WorkSpaces 的時區重新導向
<a name="linux_time_zone_wsp"></a>

依預設，Workspace 內的時間會設定為鏡像處理用於連線至 WorkSpace 之用戶端的時區。此行為透過時區重新導向控制。您可能會基於下列之類的原因而想要關閉時區方向：
+ 貴公司希望所有員工都能在特定時區工作 (即使部分員工位於其他時區)。
+ 您在 WorkSpace 中已排定要在特定時區的特定時間執行的任務。
+ 經常旅行的使用者希望將其 WorkSpaces 保持在一個時區，以確保一致性和個人偏好。

如有需要，請使用 DCV 組態檔案來設定此功能。在您中斷 WorkSpace 連線並重新連線之後，此設定便會生效。

**啟用或停用 DCV Amazon Linux WorkSpaces 的時區重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp-agent/wsp.conf
   ```

1. 在檔案的結尾新增此行：

   ```
   timezone_redirect= X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用時區重新導向 (預設值)

   **disabled**—已停用時區重新導向

## 控制 Amazon Linux WorkSpaces 上的 PCoIP 代理程式行為
<a name="pcoip_agent_linux"></a>

PCoIP 代理程式的行為是由位於 `/etc/pcoip-agent/` 目錄中的 `pcoip-agent.conf` 檔案中的組態設定所控制。若要部署和強制執行政策變更，請使用支援 Amazon Linux 的組態管理解決方案。任何變更都會在代理程式啟動時生效。重新啟動代理程式會結束任何開啟的連線並重新啟動視窗管理員。若要套用任何變更，建議重新啟動 WorkSpace。

**注意**  
如果您對 `pcoip-agent.conf` 檔案進行不正確或不支援的變更，可能會導致 WorkSpace 停止運作。如果您的 WorkSpace 停止運作，您可能需要使用 SSH [連線到 WorkSpace](connect-to-linux-workspaces-with-ssh.md) 以復原變更，或者您可能必須[重新建置 WorkSpace](rebuild-workspace.md)。

下列各節描述如何啟用或停用某些功能。如需可用設定的完整清單，請從任何 Amazon Linux WorkSpace 上的終端執行 `man pcoip-agent.conf`。

## 設定 PCoIP Amazon Linux WorkSpaces 的剪貼簿重新導向
<a name="linux_clipboard"></a>

依預設，WorkSpaces 支援剪貼簿重新導向。如有需要，使用 PCoIP 代理程式組態來停用此功能。當您重新啟動 WorkSpace 時，此設定便會生效。

**若要設定 PCoIP Amazon Linux WorkSpaces 的剪貼簿重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `pcoip-agent.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
   ```

1. 在檔案的結尾新增此行：

   ```
   pcoip.server_clipboard_state = X
   ```

   其中 *X* 的可能值為：

   0—雙向停用剪貼簿重新導向

   1—雙向啟用剪貼簿重新導向

   2—僅啟用用戶端至代理程式的剪貼簿重新導向 (僅允許從本機用戶端裝置複製並貼到遠端主機桌面)

   3—僅啟用代理程式至用戶端的剪貼簿重新導向 (僅允許從遠端主機桌面複製並貼到本機用戶端裝置)

**注意**  
剪貼簿重新導向會以虛擬通道的形式實作。如果停用虛擬通道，剪貼簿重新導向無法運作。若要啟用虛擬通道，請參閱 Teradici 文件中的 [PCoIP 虛擬通道](https://www.teradici.com/web-help/pcoip_agent/standard_agent/linux/20.07/admin-guide/configuring/configuring/#pcoip-virtual-channels)。

## 啟用或停用 PCoIP Amazon Linux WorkSpaces 的音訊輸入重新導向
<a name="linux_audio"></a>

依預設，WorkSpaces 支援音訊輸入重新導向。如有需要，使用 PCoIP 代理程式組態來停用此功能。當您重新啟動 WorkSpace 時，此設定便會生效。

**若要啟用或停用 PCoIP Amazon Linux WorkSpaces 的音訊輸入重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `pcoip-agent.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
   ```

1. 在檔案的結尾新增此行：

   ```
   pcoip.enable_audio = X
   ```

   其中 *X* 的可能值為：

   0—已停用音訊輸入重新導向

   1—已啟用音訊輸入重新導向

## 啟用或停用 PCoIP Amazon Linux WorkSpaces 的時區重新導向
<a name="linux_time_zone"></a>

依預設，Workspace 內的時間會設定為鏡像處理用於連線至 WorkSpace 之用戶端的時區。此行為透過時區重新導向控制。您可能會基於下列之類的原因而想要關閉時區方向：
+ 貴公司希望所有員工都能在特定時區工作 (即使部分員工位於其他時區)。
+ 您在 WorkSpace 中已排定要在特定時區的特定時間執行的任務。
+ 經常旅行的使用者希望將其 WorkSpaces 保持在一個時區，以確保一致性和個人偏好。

如果 Linux WorkSpaces 需要，您可以使用 PCoIP 代理程式組態來停用此功能。當您重新啟動 WorkSpace 時，此設定便會生效。

**若要啟用或停用 PCoIP Amazon Linux WorkSpaces 的時區重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `pcoip-agent.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
   ```

1. 在檔案的結尾新增此行：

   ```
   pcoip.enable_timezone_redirect= X
   ```

   其中 *X* 的可能值為：

   0—已停用時區重新導向

   1—已啟用時區重新導向

## 將 SSH 存取權授予 Linux WorkSpaces 管理員
<a name="linux_ssh"></a>

根據預設，只有「網域管理員」群組中指派的使用者和帳戶才能使用 SSH 連線至 Amazon Linux WorkSpaces。

我們建議您在 Active Directory 中為 Amazon Linux WorkSpaces 管理員建立專用管理員群組。

**若要啟用 Linux\$1Workspaces\$1Admins Active Directory 群組成員的 sudo 存取權**

1. 使用 `visudo` 來編輯 `sudoers` 檔案，如下列範例所示。

   ```
   [example\username@workspace-id ~]$ sudo visudo
   ```

1. 新增以下這一行。

   ```
   %example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL 
   ```

建立專用管理員群組後，請依照下列步驟來啟用群組成員的登入功能。

**若要啟用 Linux\$1WorkSpaces\$1Admins Active Directory 群組成員的登入功能**

1. 使用提升的權限編輯 `/etc/security/access.conf`。

   ```
   [example\username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 新增以下這一行。

   ```
   +:(example\Linux_WorkSpaces_Admins):ALL 
   ```

如需有關啟用 SSH 連線的詳細資訊，請參閱 [在 WorkSpaces Personal 中啟用 Linux WorkSpaces 的 SSH 連線](connect-to-linux-workspaces-with-ssh.md)。

## 覆寫 Amazon Linux WorkSpaces 的預設 Shell
<a name="linux_shell"></a>

若要覆寫 Linux WorkSpaces 的預設 Shell，我們建議您編輯使用者的 `~/.bashrc` 檔案。例如，若要使用 `Z shell` 而不是 `Bash` Shell，請將下列幾行加入至 `/home/username/.bashrc`。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注意**  
進行此變更之後，您必須重新啟動 WorkSpace 或登出 WorkSpace (不只是中斷連線)，然後重新登入，變更才會生效。

## 保護自訂儲存庫免於未經授權的存取
<a name="password_protect_repos"></a>

若要控制對自訂儲存庫的存取，建議您使用 Amazon Virtual Private Cloud (Amazon VPC) 內建的安全功能，而非使用密碼。例如，使用網路存取控制清單 (ACL) 和安全群組。如需這些功能的詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[安全性](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。

如果您必須使用密碼來保護儲存庫，務必建立 `yum` 儲存庫定義檔案，如 Fedora 文件中的[儲存庫定義檔](https://docs.fedoraproject.org/en-US/Fedora_Core/3/html/Software_Management_Guide/sn-writing-repodefs.html)所示。

## 使用 Amazon Linux Extras Library 儲存庫
<a name="linux_extras"></a>

使用 Amazon Linux 時，您可用 Extras Library 將應用程式和軟體更新安裝至執行個體。如需使用 Extras Library 的詳細資訊，請參閱《Amazon EC2 Linux 執行個體使用者指南》**中的 [Extras Library (Amazon Linux)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#extras-library)。

**注意**  
如果您使用 Amazon Linux 儲存庫，Amazon Linux WorkSpaces 必須具有網際網路存取權限，或者您必須將虛擬私有雲端 (VPC) 端點設定為此儲存庫和主要 Amazon Linux 儲存庫。如需詳細資訊，請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。

## 在 Linux WorkSpaces 上使用智慧卡進行驗證
<a name="linux_smart_cards"></a>

DCV 套件上的 Linux WorkSpaces 允許使用[通用存取卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[個人身分驗證 (PIV)](https://piv.idmanagement.gov/) 智慧卡進行身分驗證。如需詳細資訊，請參閱[在 WorkSpaces Personal 中使用智慧卡進行身分驗證](smart-cards.md)。

## 設定裝置 Proxy 伺服器設定以存取網際網路
<a name="gp_device_proxy_linux"></a>

依預設，WorkSpaces 用戶端應用程式會使用在 HTTPS (連接埠 443) 流量的裝置作業系統設定中指定的 Proxy 伺服器。Amazon WorkSpaces 用戶端應用程式會使用 HTTPS 連接埠進行更新、註冊和身份驗證。

**注意**  
不支援需要使用登入憑證進行驗證的 Proxy 伺服器。

您可以依照 Microsoft 文件中的[設定裝置 Proxy 和網際網路連線設定](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)中的步驟，透過群組政策為 Linux WorkSpaces 設定裝置 Proxy 伺服器設定。

如需有關在 WorkSpaces Windows 用戶端應用程式中設定 Proxy 設定的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [Proxy 伺服器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)。

如需有關在 WorkSpaces macOS 用戶端應用程式中設定 Proxy 設定的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [Proxy 伺服器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)。

如需有關在 WorkSpaces Web Access 用戶端應用程式中設定 Proxy 設定的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [Proxy 伺服器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)。

### 代理桌面流量
<a name="w2aac11c29c13c35c15"></a>

對於 PCoIP WorkSpaces，桌面用戶端應用程式不支援使用 Proxy 伺服器，也不支援針對 UDP 中的連接埠 4172 流量進行 TLS 解密和檢查 (適用於桌面流量)。它們需要直接連線至連接埠 4172。

對於 DCV WorkSpaces，WorkSpaces Windows 用戶端應用程式 (5.1 版及更高版本） 和 macOS 用戶端應用程式 (5.4 版及更高版本） 支援針對連接埠 4195 TCP 流量使用 HTTP 代理伺服器。不支援 TLS 解密和檢查。

DCV 不支援對透過 UDP 的桌面流量使用代理。只有 WorkSpaces Windows 和 macOS 桌面用戶端應用程式和 Web 存取支援將 Proxy 用於 TCP 流量。

**注意**  
如果您選擇使用 Proxy 伺服器，用戶端應用程式對 WorkSpaces 服務所進行的 API 呼叫也會被代理。API 呼叫和桌面流量都應該通過相同的 Proxy 伺服器。

### Proxy 伺服器的使用建議
<a name="w2aac11c29c13c35c17"></a>

我們不建議將 Proxy 伺服器搭配 WorkSpaces 桌面流量。

Amazon WorkSpaces 桌面流量已經加密，因此 Proxy 不能改善安全性。Proxy 代表網路路徑中的額外躍點，可能會藉由引入延遲來影響串流品質。如果 Proxy 未適當調整大小以處理桌面串流流量，Proxy 也可能降低輸送量。此外，大多數 Proxy 並非為了支援長時間執行的 WebSocket (TCP) 連線而設計，可能會影響串流品質和穩定性。

如果您必須使用 Proxy，請讓 Proxy 伺服器盡可能靠近 WorkSpace 用戶端 (最好位於相同網路) 以避免增加網路延遲，這可能會對串流品質和回應能力造成負面影響。

# 在 WorkSpaces Personal 中管理您的 Ubuntu WorkSpaces
<a name="manage_ubuntu_workspace"></a>

您的 Ubuntu WorkSpaces 套件包含從 Canonical 訂閱 Ubuntu Pro。與 Windows 和 Amazon Linux WorkSpaces 一樣，Ubuntu WorkSpaces 已加入網域，因此您可以使用 Active Directory 使用者和群組來：
+ 管理 Ubuntu WorkSpaces
+ 為使用者提供對這些 WorkSpaces 的存取權

您可以使用 ADSys 來管理具有群組政策的 Ubuntu WorkSpaces。如需詳細資訊，請參閱 [Ubuntu Active Directory 整合常見問答集](https://ubuntu.com/blog/new-active-directory-integration-features-in-ubuntu-22-04-faq)。您也可以使用其他配置和管理解決方案，例如 [Landscape](https://ubuntu.com/landscape) 和 [Ansible](https://www.ansible.com/)。

## 在 Ubuntu WorkSpaces 上控制 DCV 行為
<a name="wsp_ubuntu"></a>

DCV 的行為是由位於 `/etc/wsp/`目錄中的 `wsp.conf` 檔案中的組態設定所控制。若要部署和強制執行政策變更，請使用支援 Ubuntu 的組態管理解決方案。任何變更都會在代理程式啟動時生效。

**注意**  
如果您對`wsp.conf` 政策進行不正確或不支援的變更，變更可能不會套用至對 WorkSpace 新建立的連線。

下列各節描述如何啟用或停用某些功能。

## 啟用或停用 Ubuntu WorkSpaces 的剪貼簿重新導向
<a name="ubuntu_clipboard"></a>

依預設，WorkSpaces 支援剪貼簿重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**啟用或停用 Ubuntu WorkSpaces 的剪貼簿重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   clipboard = X
   ```

   其中 *X* 的可能值為：

   **enabled**—雙向啟用剪貼簿重新導向 (預設值)

   **disabled**—雙向停用剪貼簿重新導向

   **paste-only**—已啟用剪貼簿重新導向，且僅允許您從本機用戶端裝置複製內容並將其貼到遠端主機桌面

   **copy-only**—已啟用剪貼簿重新導向，且僅允許您從遠端主機桌面複製內容並將其貼到本機用戶端裝置

## 啟用或停用 Ubuntu WorkSpaces 的音訊輸入重新導向
<a name="ubuntu_audio"></a>

依預設，WorkSpaces 支援音訊輸入重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**若要啟用或停用 Ubuntu WorkSpaces 的音訊輸入重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   audio-in = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用音訊輸入重新導向 (預設值)

   **disabled**—已停用音訊輸入重新導向

## 啟用或停用 Ubuntu WorkSpaces 的視訊輸入重新導向
<a name="ubuntu_video"></a>

依預設，WorkSpaces 支援視訊輸入重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**若要啟用或停用 Ubuntu WorkSpaces 的視訊輸入重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   video-in = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用視訊輸入重新導向 (預設值)

   **disabled**—已停用視訊輸入重新導向

## 啟用或停用 Ubuntu WorkSpaces 的時區重新導向
<a name="ubuntu-time-zone"></a>

依預設，Workspace 內的時間會設定為鏡像處理用於連線至 WorkSpace 之用戶端的時區。此行為透過時區重新導向控制。您可能會基於下列之類的原因而想要關閉時區方向：
+ 貴公司希望所有員工都能在特定時區工作 (即使部分員工位於其他時區)。
+ 您在 WorkSpace 中已排定要在特定時區的特定時間執行的任務。
+ 經常旅行的使用者希望將其 WorkSpaces 保持在一個時區，以確保一致性和個人偏好。

如有需要，請使用 DCV 組態檔案來設定此功能。

**若要啟用或停用 Ubuntu WorkSpaces 的時區重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   timezone-redirection = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用時區重新導向 (預設值)

   **disabled**—已停用時區重新導向

## 啟用或停用 Ubuntu WorkSpaces 的印表機重新導向
<a name="ubuntu_printer"></a>

依預設，WorkSpaces 支援印表機重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**若要啟用或停用 Ubuntu WorkSpaces 的印表機重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   remote-printing = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用印表機重新導向 (預設值)

   **disabled**—已停用印表機重新導向

## 在 DCV 的螢幕鎖定上啟用或停用中斷連線工作階段
<a name="ubuntu_screenlock"></a>

在螢幕鎖定上啟用中斷連線工作階段，以允許使用者在偵測到鎖定畫面時結束其 WorkSpaces 工作階段。若要從 WorkSpaces 用戶端重新連線，使用者可以使用其密碼或智慧卡來驗證自己，這取決於其 WorkSpaces 啟用的驗證類型。

根據預設，WorkSpaces 不支援在螢幕鎖定時中斷工作階段連線。如有需要，請使用 DCV 組態檔案來啟用此功能。

**在 Ubuntu WorkSpaces 的螢幕鎖定上啟用或停用中斷連線工作階段**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   disconnect-on-lock = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用螢幕鎖定時中斷連線

   **disabled**—已停用螢幕鎖定時中斷連線 (預設值)

## 將 SSH 存取權授予 Ubuntu WorkSpaces 管理員
<a name="grant_ssh_access_ubuntu"></a>

根據預設，只有「網域管理員」群組中指派的使用者和帳戶才能使用 SSH 連線至 Ubuntu WorkSpaces。若要讓其他使用者和帳戶使用 SSH 連線到 Ubuntu WorkSpaces，建議您在 Active Directory 中為 Ubuntu WorkSpaces 管理員建立專用的管理員群組。

**若要啟用 `Linux_WorkSpaces_Admins` Active Directory 群組成員的 sudo 存取權**

1. 使用 `visudo` 來編輯 `sudoers` 檔案，如下列範例所示。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 新增以下這一行。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

建立專用管理員群組後，請依照下列步驟來啟用群組成員的登入功能。

**若要啟用 `Linux_WorkSpaces_Admins` Active Directory 群組成員的登入功能**

1. 使用提升的權限編輯 /`etc/security/access.conf`。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 新增以下這一行。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 使用 Ubuntu WorkSpaces 時，您不需要在為 SSH 連線指定使用者名稱時新增網域名稱，而且預設會停用密碼驗證。若要透過 SSH 連線，您需要在 Ubuntu WorkSpace 上將 SSH 公開金鑰新增至 `$HOME/.ssh/authorized_keys`，或編輯 `/etc/ssh/sshd_config` 以將 PasswordAuthentication 設定為 `yes`。如需有關啟用 SSH 連線的詳細資訊，請參閱[啟用 Linux WorkSpaces 的 SSH 連線](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-to-linux-workspaces-with-ssh.html)。

## 覆寫 Ubuntu WorkSpaces 的預設 Shell
<a name="override_default_shell_ubuntu"></a>

若要覆寫 Ubuntu WorkSpaces 的預設 Shell，我們建議您編輯使用者的 `~/.bashrc` 檔案。例如，若要使用 `Z shell` 而不是 `Bash` Shell，請將下列幾行加入至 `/home/username/.bashrc`。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注意**  
進行此變更之後，您必須重新啟動 WorkSpace 或登出 WorkSpace (不只是中斷連線)，然後重新登入，變更才會生效。

## 在 Ubuntu WorkSpaces 上使用智慧卡進行身分驗證
<a name="linux_smart_cards"></a>

Ubuntu WorkSpaces 套件允許使用[通用存取卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[個人身分驗證 (PIV)](https://piv.idmanagement.gov/) 智慧卡進行身分驗證。如需詳細資訊，請參閱[在 WorkSpaces Personal 中使用智慧卡進行身分驗證](smart-cards.md)。

## 設定裝置 Proxy 伺服器設定以存取網際網路
<a name="gp_device_proxy_ubuntu"></a>

依預設，WorkSpaces 用戶端應用程式會使用在 HTTPS (連接埠 443) 流量的裝置作業系統設定中指定的 Proxy 伺服器。Amazon WorkSpaces 用戶端應用程式會使用 HTTPS 連接埠進行更新、註冊和身份驗證。

**注意**  
不支援需要使用登入憑證進行驗證的 Proxy 伺服器。

您可以依照 Microsoft 文件中的[設定裝置 Proxy 和網際網路連線設定](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)中的步驟，透過群組政策為 Ubuntu WorkSpaces 設定裝置 Proxy 伺服器設定。

如需有關在 WorkSpaces Windows 用戶端應用程式中設定 Proxy 設定的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [Proxy 伺服器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)。

如需有關在 WorkSpaces macOS 用戶端應用程式中設定 Proxy 設定的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [Proxy 伺服器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)。

如需有關在 WorkSpaces Web Access 用戶端應用程式中設定 Proxy 設定的詳細資訊，請參閱《Amazon WorkSpaces 使用者指南》**中的 [Proxy 伺服器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)。

### 代理桌面流量
<a name="w2aac11c29c15c29c15"></a>

對於 PCoIP WorkSpaces，桌面用戶端應用程式不支援使用 Proxy 伺服器，也不支援針對 UDP 中的連接埠 4172 流量進行 TLS 解密和檢查 (適用於桌面流量)。它們需要直接連線至連接埠 4172。

對於 DCV WorkSpaces，WorkSpaces Windows 用戶端應用程式 (5.1 版及更高版本） 和 macOS 用戶端應用程式 (5.4 版及更高版本） 支援將 HTTP 代理伺服器用於連接埠 4195 TCP 流量。不支援 TLS 解密和檢查。

DCV 不支援對透過 UDP 的桌面流量使用代理。只有 WorkSpaces Windows 和 macOS 桌面用戶端應用程式和 Web 存取支援將 Proxy 用於 TCP 流量。

**注意**  
如果您選擇使用 Proxy 伺服器，用戶端應用程式對 WorkSpaces 服務所進行的 API 呼叫也會被代理。API 呼叫和桌面流量都應該通過相同的 Proxy 伺服器。

### Proxy 伺服器的使用建議
<a name="w2aac11c29c15c29c17"></a>

我們不建議將 Proxy 伺服器搭配 WorkSpaces 桌面流量。

Amazon WorkSpaces 桌面流量已經加密，因此 Proxy 不能改善安全性。Proxy 代表網路路徑中的額外躍點，可能會藉由引入延遲來影響串流品質。如果 Proxy 未適當調整大小以處理桌面串流流量，Proxy 也可能降低輸送量。此外，大多數 Proxy 並非為了支援長時間執行的 WebSocket (TCP) 連線而設計，可能會影響串流品質和穩定性。

如果您必須使用 Proxy，請讓 Proxy 伺服器盡可能靠近 WorkSpace 用戶端 (最好位於相同網路) 以避免增加網路延遲，這可能會對串流品質和回應能力造成負面影響。

# 管理您的 Rocky Linux WorkSpaces
<a name="manage_rockylinux_workspace"></a>

您可以使用組態和管理解決方案來管理 Rocky Linux WorkSpaces，例如 [Ansible](https://www.ansible.com/)。

**注意**  
您不得移除、修改或隱藏 Rocky Linux 軟體中包含的任何著作權、商標或其他專屬或機密性通知。

## 在 Rocky Linux WorkSpaces 上控制 DCV 行為
<a name="wsp_rockylinux"></a>

DCV 的行為是由位於 `/etc/wsp/`目錄中的 `wsp.conf` 檔案中的組態設定所控制。若要部署和強制執行政策的變更，請使用支援 Rocky Linux 的組態管理解決方案。任何變更都會在代理程式啟動時生效。

**注意**  
如果您對`wsp.conf` 政策進行不正確或不支援的變更，變更可能不會套用至對 WorkSpace 新建立的連線。

下列各節描述如何啟用或停用某些功能。

## 啟用或停用 Rocky Linux WorkSpaces 的剪貼簿重新導向
<a name="rockylinux_clipboard"></a>

依預設，WorkSpaces 支援剪貼簿重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**啟用或停用 Rocky Linux WorkSpaces 的剪貼簿重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   clipboard = X
   ```

   其中 *X* 的可能值為：

   **enabled**—雙向啟用剪貼簿重新導向 (預設值)

   **disabled**—雙向停用剪貼簿重新導向

   **paste-only**—已啟用剪貼簿重新導向，且僅允許您從本機用戶端裝置複製內容並將其貼到遠端主機桌面

   **copy-only**—已啟用剪貼簿重新導向，且僅允許您從遠端主機桌面複製內容並將其貼到本機用戶端裝置

## 啟用或停用 Rocky Linux WorkSpaces 的音訊輸入重新導向
<a name="rockylinux_audio"></a>

依預設，WorkSpaces 支援音訊輸入重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**啟用或停用 Rocky Linux WorkSpaces 的音訊輸入重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   audio-in = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用音訊輸入重新導向 (預設值)

   **disabled**—已停用音訊輸入重新導向

## 啟用或停用 Rocky Linux WorkSpaces 的視訊輸入重新導向
<a name="rockylinux_video"></a>

依預設，WorkSpaces 支援視訊輸入重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**啟用或停用 Rocky Linux WorkSpaces 的視訊輸入重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   video-in = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用視訊輸入重新導向 (預設值)

   **disabled**—已停用視訊輸入重新導向

## 啟用或停用 Rocky Linux WorkSpaces 的時區重新導向
<a name="rockylinux-time-zone"></a>

依預設，Workspace 內的時間會設定為鏡像處理用於連線至 WorkSpace 之用戶端的時區。此行為透過時區重新導向控制。您可能會基於下列之類的原因而想要關閉時區方向：
+ 貴公司希望所有員工都能在特定時區工作 (即使部分員工位於其他時區)。
+ 您在 WorkSpace 中已排定要在特定時區的特定時間執行的任務。
+ 經常旅行的使用者希望將其 WorkSpaces 保持在一個時區，以確保一致性和個人偏好。

如有需要，請使用 DCV 組態檔案來設定此功能。

**啟用或停用 Rocky Linux WorkSpaces 的時區重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   timezone-redirection = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用時區重新導向 (預設值)

   **disabled**—已停用時區重新導向

## 啟用或停用 Rocky Linux WorkSpaces 的印表機重新導向
<a name="rockylinux_printer"></a>

依預設，WorkSpaces 支援印表機重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**啟用或停用 Rocky Linux WorkSpaces 的印表機重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   remote-printing = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用印表機重新導向 (預設值)

   **disabled**—已停用印表機重新導向

## 在 DCV 的螢幕鎖定上啟用或停用中斷連線工作階段
<a name="rockylinux_screenlock"></a>

在螢幕鎖定上啟用中斷連線工作階段，以允許使用者在偵測到鎖定畫面時結束其 WorkSpaces 工作階段。若要從 WorkSpaces 用戶端重新連線，使用者可以使用其密碼或智慧卡來驗證自己，這取決於其 WorkSpaces 啟用的驗證類型。

根據預設，WorkSpaces 不支援在螢幕鎖定時中斷工作階段連線。如有需要，請使用 DCV 組態檔案來啟用此功能。

**在 Rocky Linux WorkSpaces 的螢幕鎖定上啟用或停用中斷連線工作階段**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   disconnect-on-lock = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用螢幕鎖定時中斷連線

   **disabled**—已停用螢幕鎖定時中斷連線 (預設值)

## 將 SSH 存取權授予 Rocky Linux WorkSpaces 管理員
<a name="grant_ssh_access_rockylinux"></a>

根據預設，只有網域管理員群組中指派的使用者和帳戶可以使用 SSH 連線到 Rocky Linux WorkSpaces。若要讓其他使用者和帳戶使用 SSH 連線至 Rocky Linux WorkSpaces，建議您在 Active Directory 中為 Rocky Linux WorkSpaces 管理員建立專用管理員群組。

**若要啟用 `Linux_WorkSpaces_Admins` Active Directory 群組成員的 sudo 存取權**

1. 使用 `visudo` 來編輯 `sudoers` 檔案，如下列範例所示。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 新增以下這一行。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

建立專用管理員群組後，請依照下列步驟來啟用群組成員的登入功能。

**若要啟用 `Linux_WorkSpaces_Admins` Active Directory 群組成員的登入功能**

1. 使用提升的權限編輯 /`etc/security/access.conf`。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 新增以下這一行。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 使用 Rocky Linux WorkSpaces，您不需要在指定 SSH 連線的使用者名稱時新增網域名稱，而且預設會停用密碼身分驗證。若要透過 SSH 連線，您需要將 SSH 公有金鑰新增至 Rocky Linux WorkSpace `$HOME/.ssh/authorized_keys`上的 ，或編輯 `/etc/ssh/sshd_config`以將 PasswordAuthentication 設定為 `yes`。如需有關啟用 SSH 連線的詳細資訊，請參閱[啟用 Linux WorkSpaces 的 SSH 連線](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-to-linux-workspaces-with-ssh.html)。

## 覆寫 Rocky Linux WorkSpaces 的預設 Shell
<a name="override_default_shell_rockylinux"></a>

若要覆寫 Rocky Linux WorkSpaces 的預設 Shell，建議您編輯使用者`~/.bashrc`的檔案。例如，若要使用 `Z shell` 而不是 `Bash` Shell，請將下列幾行加入至 `/home/username/.bashrc`。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注意**  
進行此變更之後，您必須重新啟動 WorkSpace 或登出 WorkSpace (不只是中斷連線)，然後重新登入，變更才會生效。

## 在 Rocky Linux WorkSpaces 上使用智慧卡進行身分驗證
<a name="linux_smart_cards"></a>

Rocky Linux WorkSpaces 套件允許使用[通用存取卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[個人身分驗證 (PIV)](https://piv.idmanagement.gov/) 智慧卡進行身分驗證。如需詳細資訊，請參閱[在 WorkSpaces Personal 中使用智慧卡進行身分驗證](smart-cards.md)。

# 管理您的 Red Hat Enterprise Linux WorkSpaces
<a name="manage_rhel_workspace"></a>

您可以使用組態和管理解決方案來管理 Red Hat Enterprise Linux WorkSpaces，例如 [Ansible](https://www.ansible.com/)。

## 在 Red Hat Enterprise Linux WorkSpaces 上控制 DCV 行為
<a name="wsp_rhel"></a>

DCV 的行為是由位於 `/etc/wsp/`目錄中的 `wsp.conf` 檔案中的組態設定所控制。若要部署和強制執行政策的變更，請使用支援 Red Hat Enterprise Linux 的組態管理解決方案。任何變更都會在代理程式啟動時生效。

**注意**  
如果您對`wsp.conf` 政策進行不正確或不支援的變更，變更可能不會套用至對 WorkSpace 新建立的連線。

下列各節描述如何啟用或停用某些功能。

## 啟用或停用 Red Hat Enterprise Linux WorkSpaces 的剪貼簿重新導向
<a name="rhel_clipboard"></a>

依預設，WorkSpaces 支援剪貼簿重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**啟用或停用 Red Hat Enterprise Linux WorkSpaces 的剪貼簿重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   clipboard = X
   ```

   其中 *X* 的可能值為：

   **enabled**—雙向啟用剪貼簿重新導向 (預設值)

   **disabled**—雙向停用剪貼簿重新導向

   **paste-only**—已啟用剪貼簿重新導向，且僅允許您從本機用戶端裝置複製內容並將其貼到遠端主機桌面

   **copy-only**—已啟用剪貼簿重新導向，且僅允許您從遠端主機桌面複製內容並將其貼到本機用戶端裝置

## 啟用或停用 Red Hat Enterprise Linux WorkSpaces 的音訊輸入重新導向
<a name="rhel_audio"></a>

依預設，WorkSpaces 支援音訊輸入重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**啟用或停用 Red Hat Enterprise Linux WorkSpaces 的音訊輸入重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   audio-in = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用音訊輸入重新導向 (預設值)

   **disabled**—已停用音訊輸入重新導向

## 啟用或停用 Red Hat Enterprise Linux WorkSpaces 的視訊輸入重新導向
<a name="rhel_video"></a>

依預設，WorkSpaces 支援視訊輸入重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**啟用或停用 Red Hat Enterprise Linux WorkSpaces 的視訊輸入重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   video-in = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用視訊輸入重新導向 (預設值)

   **disabled**—已停用視訊輸入重新導向

## 啟用或停用 Red Hat Enterprise Linux WorkSpaces 的時區重新導向
<a name="rhel-time-zone"></a>

依預設，Workspace 內的時間會設定為鏡像處理用於連線至 WorkSpace 之用戶端的時區。此行為透過時區重新導向控制。您可能會基於下列之類的原因而想要關閉時區方向：
+ 貴公司希望所有員工都能在特定時區工作 (即使部分員工位於其他時區)。
+ 您在 WorkSpace 中已排定要在特定時區的特定時間執行的任務。
+ 經常旅行的使用者希望將其 WorkSpaces 保持在一個時區，以確保一致性和個人偏好。

如有需要，請使用 DCV 組態檔案來設定此功能。

**啟用或停用 Red Hat Enterprise Linux WorkSpaces 的時區重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   timezone-redirection = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用時區重新導向 (預設值)

   **disabled**—已停用時區重新導向

## 啟用或停用 Red Hat Enterprise Linux WorkSpaces 的印表機重新導向
<a name="rhel_printer"></a>

依預設，WorkSpaces 支援印表機重新導向。如有需要，請使用 DCV 組態檔案來停用此功能。

**啟用或停用 Red Hat Enterprise Linux WorkSpaces 的印表機重新導向**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   remote-printing = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用印表機重新導向 (預設值)

   **disabled**—已停用印表機重新導向

## 在 DCV 的螢幕鎖定上啟用或停用中斷連線工作階段
<a name="rhel_screenlock"></a>

在螢幕鎖定上啟用中斷連線工作階段，以允許使用者在偵測到鎖定畫面時結束其 WorkSpaces 工作階段。若要從 WorkSpaces 用戶端重新連線，使用者可以使用其密碼或智慧卡來驗證自己，這取決於其 WorkSpaces 啟用的驗證類型。

根據預設，WorkSpaces 不支援在螢幕鎖定時中斷工作階段連線。如有需要，請使用 DCV 組態檔案來啟用此功能。

**在 Red Hat Enterprise Linux WorkSpaces 的螢幕鎖定上啟用或停用中斷連線工作階段**

1. 使用以下命令在具有提升權限的編輯器中開啟 `wsp.conf` 檔案。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 在 `[policies]` 群組的結尾新增此行：

   ```
   disconnect-on-lock = X
   ```

   其中 *X* 的可能值為：

   **enabled**—已啟用螢幕鎖定時中斷連線

   **disabled**—已停用螢幕鎖定時中斷連線 (預設值)

## 將 SSH 存取權授予 Red Hat Enterprise Linux WorkSpaces 管理員
<a name="grant_ssh_access_rhel"></a>

根據預設，只有網域管理員群組中指派的使用者和帳戶可以使用 SSH 連線至 Red Hat Enterprise Linux WorkSpaces。若要讓其他使用者和帳戶使用 SSH 連線至 Red Hat Enterprise Linux WorkSpaces，建議您在 Active Directory 中為 Red Hat Enterprise Linux WorkSpaces 管理員建立專用管理員群組。

**若要啟用 `Linux_WorkSpaces_Admins` Active Directory 群組成員的 sudo 存取權**

1. 使用 `visudo` 來編輯 `sudoers` 檔案，如下列範例所示。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 新增以下這一行。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

建立專用管理員群組後，請依照下列步驟來啟用群組成員的登入功能。

**若要啟用 `Linux_WorkSpaces_Admins` Active Directory 群組成員的登入功能**

1. 使用提升的權限編輯 /`etc/security/access.conf`。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 新增以下這一行。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 使用 Red Hat Enterprise Linux WorkSpaces，您不需要在指定 SSH 連線的使用者名稱時新增網域名稱，且預設會停用密碼身分驗證。若要透過 SSH 連線，您需要將 SSH 公有金鑰新增至 Red Hat Enterprise Linux WorkSpace `$HOME/.ssh/authorized_keys`上的 ，或編輯 `/etc/ssh/sshd_config`以將 PasswordAuthentication 設定為 `yes`。如需有關啟用 SSH 連線的詳細資訊，請參閱[啟用 Linux WorkSpaces 的 SSH 連線](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-to-linux-workspaces-with-ssh.html)。

## 覆寫 Red Hat Enterprise Linux WorkSpaces 的預設 Shell
<a name="override_default_shell_rhel"></a>

若要覆寫 Red Hat Enterprise Linux WorkSpaces 的預設 Shell，建議您編輯使用者`~/.bashrc`的檔案。例如，若要使用 `Z shell` 而不是 `Bash` Shell，請將下列幾行加入至 `/home/username/.bashrc`。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注意**  
進行此變更之後，您必須重新啟動 WorkSpace 或登出 WorkSpace (不只是中斷連線)，然後重新登入，變更才會生效。

## 在 Red Hat Enterprise Linux WorkSpaces 上使用智慧卡進行身分驗證
<a name="linux_smart_cards"></a>

Red Hat Enterprise Linux WorkSpaces 套件允許使用[通用存取卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[個人身分驗證 (PIV)](https://piv.idmanagement.gov/) 智慧卡進行身分驗證。如需詳細資訊，請參閱[在 WorkSpaces Personal 中使用智慧卡進行身分驗證](smart-cards.md)。

# 最佳化 WorkSpaces 以在 WorkSpaces Personal 中進行即時通訊
<a name="communication-optimization"></a>

Amazon WorkSpaces 提供各種技術來促進 Microsoft Teams、Zoom、Webex 等整合通訊 (UC) 應用程式的部署。在當代應用領域中，大多數 UC 應用程序都包含各種功能，包括一對一聊天室、協作群組聊天通道、無縫檔案儲存和交換，即時活動、網路研討會、廣播、互動式畫面共用和控制、白板功能和離線音訊/視訊傳訊功能。這些功能大都可以在 WorkSpaces 上無縫地作為標準功能使用，無須進行額外的微調或增強。但是，值得注意的是，即時通訊元素 (特別是一對一通話和集體小組會議) 代表了此規則的例外。在 WorkSpaces 部署過程中，成功合併此類功能經常需要專門的關注與規劃。

在 Amazon WorkSpaces 上規劃 UC 應用程式的即時通訊功能實作時，您有三種不同的即時通訊 (RTC) 設定模式可供選擇。其選擇取決於您打算提供給使用者和您計劃使用的用戶端裝置的特定應用程式。

本文件著重於最佳化 Amazon WorkSpaces 中最常見 UC 應用程式的使用者體驗。如需 WorkSpaces Core 特定最佳化，請參閱合作夥伴特定文件。

**Topics**
+ [媒體最佳化模式概觀](#media-optimization-modes-overview)
+ [要使用哪個 RTC 最佳化模式？](#choosing-optimization-mode)
+ [RTC 最佳化指引](#rtc-optimization-guidance)

## 媒體最佳化模式概觀
<a name="media-optimization-modes-overview"></a>

以下是可用的媒體最佳化選項。

### 選項 1：媒體最佳化即時通訊 (媒體最佳化 RTC)
<a name="media-optimized-rtc"></a>

在此模式下，第三方 UC 和 VoIP 應用程式會在遠端 WorkSpace 上執行，而其媒體架構則會卸載至支援的用戶端進行直接通訊。下列 UC 應用程式在 Amazon WorkSpaces 上使用此方法：
+ [Zoom 會議](https://support.zoom.us/hc/en-us/articles/10372235268749-Using-Zoom-for-Amazon-WorkSpaces)
+ [Cisco 會議](https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cloudCollaboration/wbxt/vdi/wbx-vdi-deployment-guide.html)
+ [Microsoft Teams 2.0 （公開預覽版）](https://learn.microsoft.com/en-us/microsoftteams/vdi-2)

若要讓媒體最佳化 RTC 模式運作，UC 應用程式廠商應使用其中一個可用的軟體開發套件 (SDK) (例如 [DCV 延伸模組 SDK](https://docs.aws.amazon.com/dcv/latest/extsdkguide/what-is.html)) 來開發與 WorkSpaces 的整合。此模式需要在用戶端裝置上安裝 UC 元件。

如需設定此模式的詳細資訊，請參閱 [設定媒體最佳化 RTC](#configure-media-optimized-rtc)。

### 選項 2：工作階段內最佳化即時通訊 (工作階段內最佳化 RTC)
<a name="in-session-optimized-rtc"></a>

在此模式中，未變更的 UC 應用程式會在 WorkSpace 上執行，透過 DCV 將音訊和視訊流量路由到用戶端裝置。來自麥克風的本機音訊和來自網路攝影機的視訊串流會重新導向至 WorkSpace，以供 UC 應用程式在此處取用。此模式提供廣泛的應用程式相容性並有效地將 UC 應用程式從遠端 WorkSpace 提供給各種用戶端平台。您不需要將 UC 應用程式元件部署到用戶端裝置。

如需設定此模式的詳細資訊，請參閱 [設定工作階段內最佳化 RTC](#configure-in-session-optimized-rtc)。

### 選項 3：直接即時通訊 (直接 RTC)
<a name="direct-rtc"></a>

在此模式下，在 WorkSpace 內操作的應用程式會接管位於使用者桌上或用戶端 OS 上的實體或虛擬電話機。這會導致音訊流量直接從使用者工作站的實體電話或在用戶端裝置上運作的虛擬電話周遊到遠端通話對等端。在此模式下運行的應用程序值得注意的執行個體包括：
+ [針對 Amazon WorkSpaces 的 Amazon Connect 最佳化](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/connect-optimization.html)
+ [Genesys Cloud WebRTC 媒體協助程式](https://help.mypurecloud.com/articles/about-webrtc-media-helper/)
+ [Microsoft Teams SIP 閘道](https://learn.microsoft.com/en-us/microsoftteams/sip-gateway-plan)
+ [Microsoft Teams 桌上電話和 Teams 顯示器](https://www.microsoft.com/en-us/microsoft-teams/across-devices/devices/category/desk-phones-teams-displays/34)
+ 透過 UC 應用程式的撥入或「撥打我的電話」功能參與音訊會議。

如需設定此模式的詳細資訊，請參閱 [設定直接 RTC](#configure-direct-rtc)。

## 要使用哪個 RTC 最佳化模式？
<a name="choosing-optimization-mode"></a>

您可同時使用不同的 RTC 最佳化模式，也可設定為彼此互補作為備用。例如，考慮為 Cisco Webex 會議啟用媒體最佳化 RTC。此組態可確保使用者透過桌面用戶端存取 WorkSpace 時，體驗最佳化通訊。但是，在從缺少 UC 最佳化元件的共用網際網路資訊站存取 Webex 的情況下，Webex 將無縫轉換為工作階段內最佳化 RTC 模式來維持功能。當使用者使用多個 UC 應用程式時，RTC 設定模式可能會因其獨特的需求而有所不同。

下表說明常見的 UC 應用程式功能並定義哪種 RTC 設定模式可提供最佳結果。


| 功能 | 直接 RTC | 媒體最佳化 RTC | 工作階段內最佳化 RTC | 
| --- | --- | --- | --- | 
| **一對一聊天** | 不需要 RTC 設定 | 
| **群組聊天室** | 不需要 RTC 設定 | 
| **群組音訊會議** | 最佳 | 最佳 | 好 | 
| **群組視訊會議** | 好 | 最佳 | 好 | 
| **一對一音訊通話** | 最佳 | 最佳 | 好 | 
| **一對一視訊通話** | 好 | 最佳 | 好 | 
| **白板功能** | 不需要 RTC 設定 | 
| **音訊/音訊片段/傳訊** | 不適用 | 好 | 最佳 | 
| **檔案共用** | 不適用 | 取決於 UC 應用程式 | 最佳 | 
| **畫面共用與控制** | 不適用 | 取決於 UC 應用程式 | 最佳 | 
| **網路研討會/廣播活動** | 不適用 | 好 | 最佳 | 

## RTC 最佳化指引
<a name="rtc-optimization-guidance"></a>

### 設定媒體最佳化 RTC
<a name="configure-media-optimized-rtc"></a>

媒體最佳化 RTC 模式可由 UC 應用程式廠商使用 Amazon 所提供的 SDK 來實現。該架構要求 UC 廠商開發 UC 特定外掛程式或延伸模組，並將其部署到用戶端。

SDK 包括 DCV 延伸模組 SDK 和自訂私有版本等公開可用的選項，在 WorkSpace 內運作的 UC 應用程序模組與用戶端上的外掛程式之間建立了控制通道。通常，此控制通道會指示用戶端延伸模組起始或加入通話。一旦透過用戶端延伸模組建立通話，UC 外掛程式會擷取來自麥克風的音訊和來自網路攝影機的視訊，然後將其直接傳輸到 UC 雲端或通話對等端。傳入的音訊會在本機播放，而且視訊覆蓋在遠端用戶端 UI 上。控制通道負責傳達通話的狀態。

![\[顯示媒體最佳化 RTC 組態的圖表。\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/media-optimized-rtc.png)


Amazon WorkSpaces 目前支援下列具有媒體最佳化 RTC 模式的應用程式：
+ [Zoom 會議](https://support.zoom.us/hc/en-us/articles/10372235268749-Using-Zoom-for-Amazon-WorkSpaces) （適用於 PCoIP 和 DCV WorkSpaces)
+ [Cisco Webex 會議](https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cloudCollaboration/wbxt/vdi/wbx-vdi-deployment-guide.html) （僅適用於 DCV WorkSpaces)
+ [Microsoft Teams 2.0 （公開預覽版）](https://learn.microsoft.com/en-us/microsoftteams/vdi-2) （僅適用於 DCV WorkSpaces)

如果您使用的應用程式不在清單上，建議您洽詢應用程式廠商並要求 WorkSpaces 媒體最佳化 RTC 支援。為了加快此程序，鼓勵他們聯絡 [aws-av-offloading@amazon.com](mailto:aws-av-offloading@amazon.com)。

雖然媒體最佳化 RTC 模式可增強通話效能並將 WorkSpace 資源使用率降至最低，但確實具有某些限制：
+ UC 用戶端延伸模組必須安裝在用戶端裝置上。
+ UC 用戶端延伸模組需要獨立管理和更新。
+ UC 用戶端延伸模組可能無法在某些用戶端平台 (例如行動平台或 Web 用戶端) 上使用。
+ 在此模式下，某些 UC 應用程式功能可能會受到限制；例如，畫面共用行為可能有所不同。
+ 使用用戶端延伸模組可能不適合自攜裝置 (BYOD) 或共用資訊站等案例。

如果媒體最佳化 RTC 模式證明不適合您的環境，或是某些使用者無法安裝用戶端延伸模組，則建議將工作階段內最佳化 RTC 模式設定為備用選項。

### 設定工作階段內最佳化 RTC
<a name="configure-in-session-optimized-rtc"></a>

在工作階段內最佳化 RTC 模式中，UC 應用程式會在 WorkSpace 上運作，無須進行任何修改，並可提供類似於本機的體驗。應用程式產生的音訊和視訊串流會由 DCV 擷取並傳輸到用戶端。在用戶端，麥克風 （在 DCV 和 PCoIP WorkSpaces 上） 和網路攝影機 （僅在 DCV WorkSpaces 上） 訊號會被擷取、重新導向回 WorkSpace，並無縫傳遞至 UC 應用程式。

值得注意的是，此選項可確保卓越的相容性 (即使是舊版應用程式)，無論應用程式的來源為何，都能提供一致的使用者體驗。工作階段內最佳化也適用於 Web 用戶端。

![\[顯示工作階段內最佳化 RTC 組態的圖表。\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/in-session-optimized-rtc.png)


DCV 已經過精細最佳化，可增強遠端 RTC 模式的效能。最佳化措施包括：
+ 利用自適應 UDP 型 QUIC 傳輸，確保高效率的資源傳輸。
+ 建立低延遲音訊路徑，促進快速音訊輸入和輸出。
+ 實作語音最佳化的音訊轉碼器，以保持音訊品質，同時降低 CPU 和網路使用率。
+ 網路攝影機重新導向，能夠整合網路攝影機功能。
+ 設定網路攝影機解析度以最佳化效能。
+ 整合自適應顯示轉碼器，以平衡速度和視覺品質。
+ 音訊抖動校正，保證流暢的音訊傳輸。

這些最佳化共同為遠端 RTC 模式提供穩健且流暢的體驗。

#### 大小建議
<a name="sizing-recommendations"></a>

為了有效支援遠端 RTC 模式，確保 Amazon WorkSpaces 的適當大小至關重要。遠端 WorkSpace 必須符合或超過個別整合通訊 (UC) 應用程式的系統需求。下表概述用於視訊和音訊通話時，熱門 UC 應用程式的最低支援和建議 WorkSpaces 組態：


|   | 視訊通話 | 音訊通話 |   | 應用程式 | RTC 應用程式的 CPU 需求 | RTC 應用程式的 RAM 需求 | 最低支援的 WorkSpace | 建議的 WorkSpace | 最低支援的 WorkSpace | 建議的 WorkSpace | 參考資料 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Microsoft Teams | 需要 2 個核心，建議使用 4 個核心 | 4.0 GB RAM | 電源 (4 個 vCPU、16 GB 記憶體) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/communication-optimization.html)  | 效能 (2 個 vCPU、8 GB 記憶體) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/communication-optimization.html)  | [Microsoft Teams 的硬體需求](https://learn.microsoft.com/en-us/microsoftteams/hardware-requirements-for-the-teams-app) | 
| Zoom | 需要 2 個核心，建議使用 4 個核心 | 4.0 GB RAM | 電源 (4 個 vCPU、16 GB 記憶體) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/communication-optimization.html)  | 效能 (2 個 vCPU、8 GB 記憶體) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/communication-optimization.html)  | [Zoom 系統需求：Windows、macOS、Linux](https://support.zoom.us/hc/en-us/articles/201362023-Zoom-system-requirements-Windows-macOS-Linux) | 
| Webex | 需要 2 個核心 | 4.0 GB RAM | 電源 (4 個 vCPU、16 GB 記憶體) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/communication-optimization.html)  | 效能 (2 個 vCPU、8 GB 記憶體) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/communication-optimization.html)  | [適用於 Webex 服務的系統需求](https://help.webex.com/en-us/article/fz1e4b/System-requirements-for-Webex-services) | 

重要的是要注意，視訊會議牽涉到視訊編碼和解碼的大量資源使用。在實體機器案例中，這些任務會卸載至 GPU。在非 GPU WorkSpaces 中，這些任務會利用遠端協定編碼在 CPU 上平行執行。因此，對於定期進行視訊串流或視訊通話的使用者，強烈建議選擇 PowerPro 或更高的組態。

畫面共用也會顯著消耗資源，資源消耗會隨著更高的解析度而增加。因此，在非 GPU WorkSpaces 上，畫面共用通常限制在較低的影格率。

#### 透過 DCV 利用 UDP 型 QUIC 傳輸
<a name="leaverage-udp-based-quic-transport"></a>

UDP 傳輸特別適合傳輸 RTC 應用程式。若要最大化效率，請確定您的網路已設定為使用 DCV 的 QUIC 傳輸。請注意，UDP 型傳輸僅適用於原生用戶端。

#### 針對 WorkSpaces 設定 UC 應用程式
<a name="configure-uc-application"></a>

對於增強的視訊處理功能 (例如背景模糊、虛擬背景、反應或主持即時活動)，選擇已啟用 GPU 的 WorkSpace 對於達到最佳效能至關重要。

大部分的 UC 應用程式都會提供停用進階視訊處理的指引，以降低非 GPU WorkSpaces 的 CPU 使用率。

如需詳細資訊，請參閱下列資源：
+ Microsoft Teams：[適用於虛擬化桌面基礎架構的 Teams](https://https://learn.microsoft.com/en-us/microsoftteams/vdi-2)
+ Zoom 會議：[管理不相容 VDI 外掛程式的使用者體驗](https://support.zoom.us/hc/en-us/articles/4411856902285-Managing-the-user-experience-for-incompatible-VDI-plugins-)
+ Webex：[適用於虛擬桌面基礎架構 (VDI) 的 Webex 應用程式部署指南 - 管理和疑難排解適用於 VDI 的 Webex 應用程式 [Webex 應用程式]](https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cloudCollaboration/wbxt/vdi/wbx-vdi-deployment-guide/manage-teams-vdi.html#id_138538)
+ Google Meet:[使用 VDI](https://support.google.com/a/answer/1279090?hl=en#VDI)

#### 啟用雙向音訊和網路攝影機重新導向
<a name="enable-bi-directional-audio-webcam-redirection"></a>

根據預設，Amazon WorkSpaces 本質上支援音訊輸入、音訊輸出，以及透過視訊輸入的攝影機重新導向。不過，如果因任何特定原因而停用這些功能，您可以依照所提供的指引重新啟用重新導向。如需詳細資訊，請參閱《*Amazon WorkSpaces 管理指南*》中的[啟用或停用 DCV 的視訊輸入重新導向](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_video_in_wsp)。使用者需要在連線之後選取要在工作階段中使用的攝影機。如需詳細資訊，使用者應參閱《Amazon WorkSpaces 使用者指南》**中的[網路攝影機和其他視訊裝置](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html#devices-webcams)。

#### 限制最大網路攝影機解析度
<a name="limit-maximum-webcam-resolution"></a>

對於使用 Power、PowerPro、GeneralPurpose.4xlarge, 或 GeneralPurpose.8xlarge WorkSpaces 進行視訊會議的使用者，強烈建議限制重新導向網路攝影機的最大解析度。對於 PowerPro、GeneralPurpose.4xlarge,或 GeneralPurpose.8xlarge,建議的最大解析度為寬度 640 像素，高度 480 像素。對於 Power，建議的最大解析度為 320 像素的寬度搭配 240 像素的高度。

完成下列步驟，以設定最大網路攝影機解析度。

1. 開啟 Windows 登錄編輯程式。

1. 前往以下登錄檔路徑：

   ```
   HKEY_USERS/S-1-5-18/Software/GSettings/com/nicesoftware/dcv/webcam
   ```

1. 建立名為 `max-resolution` 的字串值並在 `(X,Y)` 格式中將其設為所需的解析度，其中 `X` 表示水平像素計數 (寬度)，而 `Y` 表示垂直像素計數 (高度)。例如，指定 `(640,480)` 表示寬度為 640 像素和高度為 480 像素的解析度。

#### 啟用語音最佳化的音訊設定
<a name="enable-voice-optimized-audio-configuration"></a>

根據預設，WorkSpaces 設定為從 WorkSpaces 向用戶端傳送 7.1 高傳真音訊，以確保卓越的音樂播放品質。不過，如果您的主要使用案例涉及音訊或視訊會議，則將音訊轉碼器設定檔修改為語音最佳化設定可節省 CPU 和網路資源。

完成下列步驟，將音訊設定檔設為語音最佳化。

1. 開啟 Windows 登錄編輯程式。

1. 前往以下登錄檔路徑：

   ```
   HKEY_USERS/S-1-5-18/Software/GSettings/com/nicesoftware/dcv/audio
   ```

1. 建立字串值名稱 `default-profile` 並將其設定為 `voice`。

#### 使用高品質耳機進行音訊和視訊通話
<a name="use-good-quality-headsets"></a>

為了增強音訊體驗並防止回音，使用高品質耳機至關重要。利用桌面揚聲器可能導致通話的遠端發生回音問題。

### 設定直接 RTC
<a name="configure-direct-rtc"></a>

直接 RTC 模式的組態取決於特定的整合通訊 (UC) 應用程式，不需要在 WorkSpaces 組態中進行任何變更。下列清單提供各種 UC 應用程式最佳化的非詳盡編譯。

![\[顯示直接 RTC 組態的圖表。\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/direct-rtc.png)

+ Microsoft Teams:
  + [SIP 閘道規劃](https://learn.microsoft.com/en-us/microsoftteams/sip-gateway-plan)
  + [在 Microsoft 365 中進行音訊會議](https://learn.microsoft.com/en-us/microsoftteams/audio-conferencing-in-office-365)
  + [規劃 Teams 語音解決方案](https://learn.microsoft.com/en-us/microsoftteams/cloud-voice-landing-page)
+ Zoom 會議：
  + [啟用或停用付費電話撥入號碼](https://support.zoom.us/hc/en-us/articles/360060920371-Enabling-or-disabling-toll-call-dial-in-numbers)
  + [使用桌上電話通話控制](https://support.zoom.us/hc/en-us/articles/4912628206477-Using-desk-phone-call-control)
  + [桌上電話夥伴模式](https://support.zoom.us/hc/en-us/articles/360049007912-Desk-phone-companion-mode)
+ Webex：
  + [Webex 應用程式 \$1 使用桌上電話撥打電話](https://help.webex.com/en-us/article/5mgmmb/Webex-App-%7C-Make-calls-with-your-desk-phone)
  + [Webex 應用程式 \$1 支援的通話選項](https://help.webex.com/en-us/article/xga73p/Webex-App-%7C-Supported-calling-options)
+ BlueJeans：
  + [從桌上電話撥入會議](https://support.bluejeans.com/s/article/Dialing-into-a-meeting-from-a-Desk-Telephone)
+ Genesys：
  + [Genesys Cloud WebRTC 媒體協助程式](https://help.mypurecloud.com/articles/about-webrtc-media-helper/)
+ Amazon Connect：
  + [針對 Amazon WorkSpaces 的 Amazon Connect 最佳化](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/connect-optimization.html)
+ Google Meet:
  + [在視訊會議中使用電話收發音訊](https://support.google.com/meet/answer/9518557?hl=en)

# 在 WorkSpaces Personal 中管理執行模式
<a name="running-mode"></a>

WorkSpace 的*執行模式*會決定其立即可用性以及付費方式 (每月或每小時)。您可以在建立 WorkSpace 時選擇下列執行模式：
+ **AlwaysOn**—在支付固定月費以便無限使用 WorkSpaces 時使用此功能。此模式最適合使用其 WorkSpace 完整時間作為其主要桌面的使用者。
+ **AutoStop**—按小時支付 WorkSpaces 費用時使用。使用此模式時，WorkSpaces 會在指定的中斷連線期間後停止，並儲存應用程式和資料的狀態。

如需詳細資訊，請參閱 [WorkSpaces 定價](https://aws.amazon.com/workspaces/pricing/)。

## AutoStop WorkSpaces
<a name="autostop-workspaces"></a>

若要設定自動停止時間，請在 Amazon WorkSpaces 主控台中選取 WorkSpace，選擇**動作**、**修改執行模式屬性**，然後設定**AutoStop 時間 (小時)**。依預設，**AutoStop 時間 (小時)** 設定為 1 小時，這表示 WorkSpace 會在中斷連線後 1 小時自動停止。

在 WorkSpace 中斷連線且 AutoStop 時間期間到期之後，WorkSpace 可能需要額外幾分鐘的時間才會自動停止。不過，一旦 AutoStop 時間期間到期，計費就會停止，且不會對您收取額外時間的費用。

當 WorkSpaces 支援休眠時，桌面的狀態會儲存至 WorkSpace 的根磁碟區。當使用者登入時，WorkSpace 會繼續。所有開啟的文件和執行中的程式都會回到其儲存狀態，並支援休眠的所有 WorkSpaces 作業系統。

AutoStop 支援 GPU 的 WorkSpaces 和 GeneralPurpose.4xlarge 或 GeneralPurpose.8xlarge 不支援休眠。應用程式/資料的狀態不會保留。建議您在每次使用 WorkSpaces 完成時儲存工作，以避免資料遺失。

對於自帶授權 (BYOL) AutoStop WorkSpaces，大量並行登入可能會大幅增加可取得 WorkSpaces 的時間。如果您期望許多使用者同時登入您的 BYOL AutoStop WorkSpaces，請洽詢您的客戶經理以取得建議。

**重要**  
只有在 WorkSpaces 中斷連線時，AutoStop WorkSpaces 才會自動停止。

只有在下列情況，WorkSpace 才會中斷連線：
+ 如果使用者手動中斷與 WorkSpace 的連線，或結束 Amazon WorkSpaces 用戶端應用程式。
+ 如果用戶端裝置已關閉。
+ 如果用戶端裝置與 WorkSpace 之間沒有任何連線超過 20 分鐘。

最佳實務是，AutoStop WorkSpace 使用者應在每天使用完時手動中斷與其 WorkSpaces 的連線。若要手動中斷連線，請從適用於 Linux、macOS 或 Windows 的 WorkSpace 用戶端應用程式中的 **Amazon WorkSpaces** 功能表，選擇**中斷 WorkSpace 的連線**或**結束 Amazon WorkSpaces**。對於 Android 或 iPad，從側邊欄選單中選擇**中斷連線**。

**在下列情況下，AutoStop WorkSpaces 可能不會自動停止：**
+ 如果用戶端裝置僅只鎖定、休眠中或非作用中 (例如，筆記型電腦上蓋已關閉) 而非關閉，WorkSpaces 應用程式可能仍在背景中執行。只要 WorkSpaces 應用程式仍在執行中，WorkSpace 可能不會中斷連線，因此 WorkSpace 可能不會自動停止。
+ 只有在使用者使用 WorkSpaces 用戶端時，WorkSpaces 才能偵測中斷連線。如果使用者正在使用第三方用戶端，WorkSpaces 可能無法偵測中斷連線，因此 WorkSpaces 可能不會自動停止，且計費可能不會暫停。

## 修改執行模式
<a name="modify-running-mode"></a>

您可以隨時在執行模式之間切換。

**若要修改 WorkSpace 的執行模式**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取要修改的 WorkSpace，然後選擇**動作**、**修改執行模式**。

1. 選取新的執行模式 (**AlwaysOn** 或 **AutoStop**)，然後選擇**儲存**。

**使用 修改 WorkSpace 的執行模式 AWS CLI**  
使用 [modify-workspace-properties](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-properties.html) 命令。

## 停止和啟動 AutoStop WorkSpace
<a name="stop-start-workspace"></a>

當 AutoStop WorkSpaces 中斷連線時，它們會在指定的中斷連線期間之後自動停止，且暫停每小時計費。若要進一步最佳化成本，您可以手動暫停與 AutoStop WorkSpaces 相關聯的每小時費用。WorkSpace 會停止，而所有應用程式和資料都會儲存，以供使用者下次登入 WorkSpace 時使用。

當使用者重新連線至已停止的 WorkSpace 時，它會從停止的地方繼續執行，通常在 90 秒以下。

您可以重新啟動可用或處於錯誤狀態的 AutoStop WorkSpaces。

**若要停止 AutoStop WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取要停止的 WorkSpace，然後選擇**動作**、**停止 WorkSpaces**。

1. 出現確認提示時，請選擇**停止 WorkSpace**。

**若要啟動 AutoStop WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取要啟動的 WorkSpaces，然後選擇**動作**、**啟動 WorkSpaces**。

1. 出現確認提示時，請選擇**啟動 WorkSpace**。

若要移除與 AutoStop WorkSpaces 相關聯的固定基礎結構成本，請從您的帳戶中移除 WorkSpace。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](delete-workspaces.md)。

**使用 停止和啟動 AutoStop WorkSpace AWS CLI**  
使用 [stop-WorkSpaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/stop-workspaces.html) 和 [start-WorkSpaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/start-workspaces.html) 命令。

# 在 WorkSpaces Personal 中管理應用程式
<a name="manage-applications"></a>

啟動 WorkSpace 之後，您可以在 WorkSpaces 主控台上看到與 WorkSpace 相關聯的所有應用程式套件清單。

**若要查看與 WorkSpace 相關聯的所有應用程式套件清單**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 從左側導覽窗格選擇 **WorkSpaces**。

1. 選取 WorkSpace，然後選擇**檢視詳細資訊**。

1. 在**應用程式**之下，尋找與此 WorkSpace 相關聯的應用程式清單以及其安裝狀態。

**您可使用下列方式，更新 WorkSpace 上的應用程式套件：**
+ 在 WorkSpace 上安裝應用程式套件
+ 從 WorkSpace 解除安裝應用程式套件
+ 在 WorkSpace 上安裝應用程式套件並解除安裝一組不同的應用程式套件

**注意**  
若要更新應用程式套件，WorkSpace 的狀態必須為 `AVAILABLE` 或 `STOPPED`。
「管理應用程式」僅適用於 Windows WorkSpaces。
「管理應用程式」僅適用於透過 AWS訂閱的應用程式套件。

## 管理應用程式支援的套件
<a name="w2aac11c29c25c11"></a>

「管理應用程式」可讓您在 WorkSpaces 上安裝和解除安裝下列應用程式。對於 Microsoft Office 2016 套件和 Microsoft Office 2019，您只能解除安裝。
+ Microsoft Office LTSC Professional Plus 2024
+ Microsoft Visio LTSC Professional 2024
+ Microsoft Project Professional 2024
+ Microsoft Office LTSC Standard 2024
+ Microsoft Visio LTSC 標準 2024
+ Microsoft Project Standard 2024
+ Microsoft Office LTSC 專業增強版 2021
+ Microsoft Visio LTSC 專業版 2021
+ Microsoft Project 專業版 2021
+ Microsoft Office LTSC 標準版 2021
+ Microsoft Visio LTSC 標準版 2021
+ Microsoft Project 標準版 2021
+ Microsoft Visual Studio Professional 2022
+ Microsoft Visual Studio Enterprise 2022

下表顯示支援及不支援的應用程式和作業系統組合清單：


|  | Microsoft Office 專業增強版 2016 (32 位元) | Microsoft Office 專業增強版 2019 (64 位元) | Microsoft LTSC Office Professional Plus / Standard 2024 (64 位元） | Microsoft Project Professional / Standard 2024 (64 位元） | Microsoft Visio Professional / Standard 2024 (64 位元） | Microsoft LTSC Office 專業增強版/標準版 2021 (64 位元) | Microsoft Project 專業版/標準版 2021 (64 位元) | Microsoft LTSC Visio 專業版/標準版 2021 (64 位元) | Microsoft Visual Studio Professional/Enterprise 2022 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Windows Server 2016 | 解除安裝 | 不支援 | 不支援 | 不支援 | 不支援 | 不支援 | 不支援 | 不支援 | 不支援 | 
| Windows Server 2019 | 不支援 | 解除安裝 | 不支援 | 不支援 | 不支援 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 不支援 | 
| Windows Server 2022 | 不支援 | 解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 
| Windows Server 2025 | 不支援 | 解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 不支援 | 不支援 | 不支援 | 安裝/解除安裝 | 
| Windows 10 | 解除安裝 | 解除安裝 | 不支援 | 不支援 | 不支援 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 
| Windows 11 | 解除安裝 | 解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 安裝/解除安裝 | 

**重要**  
Microsoft Office/Visio/Project 必須遵循相同的版本。例如，您無法將標準版應用程式與專業版應用程式混合使用。
Microsoft Office/Visio/Project 必須遵循相同的版本。例如，您不能將 2019 年應用程序與 2021 版應用程序混合使用。
Value、Graphics 和 GraphicsPro WorkSpaces 套件不支援 Microsoft Office/Visio/Project 2021 和 2024 Standard/Professional。
不再支援 Microsoft Office/Visio/Project 2010 和 2013 版 （標準版或專業版）。
2025 年 10 月 14 日之後，將不再支援搭配 Office 2016 或 Office 2019 的 Plus 應用程式套件組合。建議使用這些 Office 版本遷移 WorkSpaces 套件，以使用 Office 2021 或 Office 2024。如需詳細資訊，請參閱[管理 WorkSpaces Personal 中的應用程式](manage-applications)。
Microsoft Office、Project 和 Visio 的 2024 版本最多需要 25 GB 的可用空間，2021 版本最多需要 20 GB 的可用空間。
Microsoft Visual Studio 2022 Enterprise/Professional 不支援 Value、Standard、Graphics 和 GraphicsPro WorkSpaces 套件。效能套件可用於資源密集程度較低的 Visual Studio 工作負載。不過，為了獲得最佳結果，我們建議將 Visual Studio 與四核心或更高的套件類型搭配使用。套件類型 Power、PowerPro、General Purpose.4xlarge、General Purpose.8xlarge、Graphics.g6、Graphics.g4dn 和 GraphicsPro.g4dn 符合此要求。如需詳細資訊，請參閱 [Visual Studio 2022 產品系列系統需求](https://learn.microsoft.com/en-us/visualstudio/releases/2022/system-requirements)。
當您從 WorkSpaces 解除安裝**適用於 Microsoft Office 2016 的增強版應用程式套件**時，您將無法存取任何納入 Amazon WorkSpaces 套件的趨勢科技 (Trend Micro) 解決方案。如果您想繼續使用趨勢科技解決方案搭配 Amazon WorkSpaces，可以在 [AWS 市集](https://aws.amazon.com/marketplace/pp/prodview-u2in6sa3igl7c)上另行購買。
為了安裝/解除安裝 Microsoft 365 應用程式，您需要自備工具和安裝程式，「管理應用程式」工作流程無法安裝/解除安裝 Microsoft 365 應用程式。
您可以建立 WorkSpaces 的自訂映像，並透過管理應用程式安裝/解除安裝應用程式。
對於選擇加入區域，例如非洲 (開普敦)，必須在目錄層級啟用 WorkSpaces 網際網路連線。

## 更新 WorkSpace 上的應用程式套件
<a name="w2aac11c29c25c13"></a>

1. 

   在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取 WorkSpace，然後依序選擇**動作**、**管理應用程式**。

1. 在**目前的應用程式**之下，您會看到已安裝在此 WorkSpace 上的應用程式套件清單，而在**選擇應用程式**之下，您會看到可在此 WorkSpace 上安裝的應用程式套件清單。

1. 若要在此 WorkSpace 上安裝應用程式套件：

   1. 選取您要在此 WorkSpace 上安裝的應用程式套件，然後選擇**關聯**。

   1. 重複前一個步驟以安裝其他應用程式套件。

   1. 安裝應用程式套件時，您會在**目前的應用程式**之下看到其具有 `Pending install deployment` 狀態。

1. 若要從此 WorkSpace 解除安裝應用程式套件：

   1. 在**選擇應用程式**之下，選取要解除安裝的應用程式套件，然後選擇**取消關聯**。

   1. 重複前一個步驟以解除安裝其他應用程式套件。

   1. 解除安裝應用程式套件時，您會在**目前的應用程式**之下看到其具有 `Pending uninstall deployment` 狀態。

1. 若要回復套件安裝或安裝狀態，請執行下列其中一項操作。
   + 如果您要將套件從 `Pending uninstall deployment` 狀態回復，請選取要回復的應用程式，然後選擇**關聯**。
   + 如果您要將套件從 `Pending install deployment` 狀態回復，請選取要回復的應用程式，然後選擇**取消關聯**。

1. 在您選擇要安裝或解除安裝的應用程式套件處於擱置狀態之後，請選擇**部署應用程式**。
**重要**  
在您選取**部署應用程式**之後，終端使用者工作階段將會終止，而且在安裝或解除安裝應用程式時無法存取 WorkSpaces。

1. 若要確認您的動作，請輸入**確認**。選擇**強制**來安裝或解除安裝處於**錯誤**狀態的應用程式套件。

1. 若要監控應用程式套件的進度：

   1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

   1. 在導覽窗格中，選擇 **WorkSpaces**。您可以在**狀態**之下看到狀態，包括下列各項。
      + **更新中** - 應用程式套件更新仍在進行中。
      + **可用/已停止** - 應用程式套件更新已完成，WorkSpace 會回到其原始狀態。

   1. 若要監控應用程式套件的安裝或解除安裝狀態，請選取 WorkSpace，然後選擇**檢視詳細資訊**。在**應用程式**之下，您可以在**狀態**下看到狀態，包括 `Pending install`、`Pending uninstall` 和 `Installed`。
**注意**  
如果使用者發現透過受管應用程式新安裝的應用程式套件未啟用授權，您可以執行手動 WorkSpace 重新啟動。您的使用者可以在重新啟動後開始使用這些應用程序。如需其他支援，請聯絡 [AWS 支援](https://console.aws.amazon.com/support/home#/)。

## 更新 WorkSpace 上的 Microsoft Visual Studio 2022 工作負載
<a name="w2aac11c29c25c15"></a>

根據預設，Microsoft Visual Studio 2022 會與下列工作負載一起安裝，且需要 18 GB 的硬碟空間：
+ Visual Studio 核心編輯器
+ Azure 開發
+ 資料儲存和處理
+ .NET 桌面開發
+ NET 多平台應用程式使用者介面開發
+ ASP.NET 和 Web 開發
+ Node.js 開發

使用者可以靈活地新增或移除工作負載和個別元件，讓他們能夠根據其特定需求量身打造應用程式。請務必注意，安裝其他工作負載需要更多磁碟空間。若要進一步了解工作負載組態，請參閱[修改 Visual Studio 工作負載、元件和語言套件](https://learn.microsoft.com/en-us/visualstudio/install/modify-visual-studio?view=vs-2022)。

## 管理使用管理應用程式修改的 WorkSpaces
<a name="w2aac11c29c25c17"></a>

在 WorkSpaces 上安裝或解除安裝應用程式套件之後，下列動作可能會影響現有的組態。
+ **還原 WorkSpace** - 還原 WorkSpace 會根據 WorkSpace 狀態良好時所建立的這些磁碟區的最新快照，重新建立根磁碟區和使用者磁碟區。完整的 WorkSpace 快照每 12 小時會製作一次。如需詳細資訊，請參閱[還原 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/restore-workspace.html)。請務必至少等待 12 小時，才能還原使用「管理應用程式」修改的 WorkSpaces。在下一個完整快照之前還原使用「管理應用程式」修改的 WorkSpaces 將導致以下情況：
  +  使用「管理應用程式」工作流程在 WorkSpaces 上安裝的應用程式套件將會從 WorkSpaces 中移除，但授權仍會啟用，而且 WorkSpaces 會針對這些應用程式計費。若要讓這些應用程式套件回到 WorkSpaces，您需要再次執行「管理應用程式」工作流程，解除安裝應用程式以重新開始，然後再次安裝。
  +  使用「管理應用程式」工作流程從 WorkSpaces 移除的應用程式套件將會回到 WorkSpaces。但是，這些應用程式套件將無法正常運作，因為授權啟用將會遺失。為了擺脫這些應用程式套件，請從 WorkSpaces 手動解除安裝這些應用程式套件。
+ **重新建置 WorkSpace** - 重新建置 WorkSpace 會重新建立根磁碟區。如需詳細資訊，請參閱[重新建置 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/rebuild-workspace.html)。重新建置使用「管理應用程式」修改的 WorkSpaces 將導致以下情況：
  +  使用「管理應用程式」工作流程在 WorkSpaces 上安裝的應用程式套件將會從 WorkSpaces 移除並停用。若要讓這些應用程式回到 WorkSpaces，您需要再次執行「管理應用程式」工作流程。
  +  透過「管理應用程式」工作流程從 WorkSpaces 移除的應用程式套件，將會在 WorkSpaces 上安裝並啟用。若要從 WorkSpaces 移除這些應用程式套件，您需要再次執行「管理應用程式」工作流程。
+ **遷移 WorkSpace** - 遷移程序會使用目標套件映像中的新根磁碟區以及原始 WorkSpace 的最後可用快照中的使用者磁碟區來重新建立 WorkSpace。具有新 WorkSpace ID 的新 WorkSpace 隨即建立。如需詳細資訊，請參閱[遷移 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/migrate-workspaces.html)。遷移使用「管理應用程式」修改的 WorkSpaces 會導致以下情況：
  +  來源 WorkSpaces 中的所有應用程式套件都會移除並停用。新的目的地 WorkSpaces 將繼承目的地 WorkSpaces 套件中的應用程式。來源 WorkSpaces 應用程式套件將按整個月計費，但目的地套件上的應用程式套件會按比例計費。

# 在 WorkSpace WorkSpaces
<a name="modify-workspaces"></a>

啟動 WorkSpace 之後，您可以透過三種方式修改其組態：
+ 您可以變更其根磁碟區的大小 (Windows 為磁碟機 C；Linux 為 /) 及其使用者磁碟區 (Windows 為磁碟機 D；Linux 為 /home)。
+ 您可以變更其運算類型以選取新的套件。
+ 如果您的 WorkSpace 是使用 PCoIP 套件建立的，您可以使用 AWS CLI 或 Amazon WorkSpaces API 修改串流通訊協定。 WorkSpace 

若要查看 WorkSpace 的目前修改狀態，請選取箭頭以顯示有關該 WorkSpace 的更多詳細資訊。**狀態**的可能值為**修改運算**、**修改儲存體**和**無**。

如果您要修改 WorkSpace，其狀態必須為 `AVAILABLE` 或 `STOPPED`。您無法同時變更磁碟區大小和運算類型。

變更 WorkSpace 的磁碟區大小或運算類型將會變更 WorkSpace 的計費費率。

若要允許使用者自行修改其磁碟區和運算類型，請參閱 [在 WorkSpaces Personal 中為您的使用者啟用自助式 WorkSpaces 管理功能](enable-user-self-service-workspace-management.md)。

## 修改磁碟區大小
<a name="modify_volume_sizes"></a>

您可以增加 WorkSpace 的根磁碟區和使用者磁碟區的大小，每個磁碟區最多可增加至 2000 GB。WorkSpace 根磁碟區和使用者磁碟區位於無法變更的設定群組中。可用的群組如下：


| [根目錄 (GB)，使用者 (GB)] | 
| --- | 
| [80，10] | 
| [80，50] | 
| [80，100] | 
| [175 至 2000，100 至 2000] | 

您可以擴充根磁碟區和使用者磁碟區 (無論已加密或未加密)，並且可以在 6 小時內擴充一次這兩個磁碟區。但是，您無法同時增加根磁碟區和使用者磁碟區的大小。如需詳細資訊，請參閱[增加磁碟區的限制](#limitations_increasing_volumes)。

**注意**  
當您擴充 WorkSpace 的磁碟區時，WorkSpaces 會在 Windows 或 Linux 中自動擴充磁碟區的分割區。處理完成時，您必須重新啟動 WorkSpace，變更才能生效。

縮為了確保您的資料得以保留，您無法在啟動 WorkSpace 之後縮減根磁碟區或使用者磁碟區的大小。相反地，務必在啟動 WorkSpace 時指定這些磁碟區的大小下限。
+ 您可以啟動至少根磁碟區為 80 GB 和使用者磁碟區為 10 GB 的超值、標準、效能、Power 或 PowerPro WorkSpace。
+ 您可以啟動 GeneralPurpose.4xlarge 或 GeneralPurpose.8xlarge WorkSpace，根磁碟區至少 175GB，使用者磁碟區至少 100 GB。
+ 您可以啟動 Graphics.g6、Graphics.g4dn、GraphicsPro.g4dn,或 GraphicsPro WorkSpace，根磁碟區至少 100 GB，使用者磁碟區至少 100 GB。磁碟區大小需求會根據較大的圖形執行個體類型而有所不同。

正在進行 WorkSpace 磁碟大小增加時，使用者可以在其 WorkSpace 上執行大多數任務。但是，他們無法變更其 WorkSpace 運算類型、切換 WorkSpace 執行模式、重新建置其 WorkSpace，或重新啟動 其 WorkSpace。

**注意**  
如果您希望使用者能夠在磁碟大小增加的過程中使用其 WorkSpaces，請在調整 WorkSpaces 磁碟區的大小之前，確定 WorkSpaces 的狀態為 `AVAILABLE` 而不是 `STOPPED`。如果 WorkSpaces 為 `STOPPED`，則無法在磁碟大小增加時啟動它們。

在大多數情況下，磁碟大小增加程序最多可能需要兩個小時。但是，如果您要修改大量 WorkSpaces 的磁碟區大小，則處理程序可能需要更長的時間。如果您有大量 WorkSpaces 需要修改，建議您聯絡 AWS 支援 尋求協助。

**增加磁碟區的限制**
+ 您只能調整 SSD 磁碟區的大小。
+ 啟動 WorkSpace 時，您必須等待 6 小時才能修改其磁碟區的大小。
+ 您無法同時增加根磁碟區和使用者磁碟區的大小。若要增加根磁碟區，您必須先將使用者磁碟區變更為 100 GB。進行該變更之後，您就可以將根磁碟區更新為 175 到 2000 GB 之間的任何值。在根磁碟區變更為 175 到 2000 GB 之間的任何值之後，您就可以進一步將使用者磁碟區更新為 100 到 2000 GB 之間的任何值。
**注意**  
如果要同時增加兩個磁碟區，則必須先等待 20-30 分鐘讓第一項操作完成，才能開始第二項操作。
+ 當使用者磁碟區為 100 GB 時，Non-GPU-enabled 的 WorkSpaces 根磁碟區不能小於 175 GB。啟用 GPU 的 WorkSpaces 儲存需求會隨著執行個體大小調整按比例擴展。當您選取較大的 GPU 啟用 WorkSpaces 組態時，必須配置對應的較大儲存磁碟區，以維持最佳效能，並因應增加的工作負載需求。對於最小執行個體大小，請從下列儲存配置開始：根：100 GB，使用者：100 GB。啟用 GPU 的 WorkSpaces 支援根磁碟區至少 100 GB，使用者磁碟區至少 100 GB。
+ 如果使用者磁碟區為 50 GB，則無法將根磁碟區更新為 80 GB 以外的任何值。如果根磁碟區為 80 GB，則使用者磁碟區只能是 10、50 或 100 GB。

**若要修改 WorkSpace 的根磁碟區**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取 WorkSpace，然後選擇**動作**、**修改根磁碟區**。

1. 在**根磁碟區大小**之下，選擇磁碟區大小或選擇**自訂**以輸入自訂磁碟區大小。

1. 選擇**儲存變更**。

1. 當磁碟大小增加完成時，您必須[重新啟動 WorkSpace](reboot-workspaces.md)，變更才能生效。若要避免遺失資料，請確定在您重新啟動 WorkSpace 之前，使用者會儲存任何開啟的檔案。

**若要修改 WorkSpace 的使用者磁碟區**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取 WorkSpace，然後選擇**動作**、**修改使用者磁碟區**。

1. 在**使用者磁碟區大小**之下，選擇磁碟區大小或選擇**自訂**以輸入自訂磁碟區大小。

1. 選擇**儲存變更**。

1. 當磁碟大小增加完成時，您必須[重新啟動 WorkSpace](reboot-workspaces.md)，變更才能生效。若要避免遺失資料，請確定在您重新啟動 WorkSpace 之前，使用者會儲存任何開啟的檔案。

**若要變更 WorkSpace 的磁碟區大小**  
使用 [modify-workspace-properties](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-properties.html) 命令搭配 `RootVolumeSizeGib` 或 `UserVolumeSizeGib` 屬性。

## 修改運算類型
<a name="modify_compute"></a>

您可以在標準、電源、效能、PowerPro GeneralPurpose.4xlarge,和 GeneralPurpose.8xlarge 運算類型之間切換 WorkSpace。如需這些運算類型的詳細資訊，請參閱 [Amazon WorkSpaces 套件](https://aws.amazon.com/workspaces/features/#Amazon_WorkSpaces_Bundles)。

**注意**  
如果您的來源作業系統不是 Windows Server 2022 或 Windows 11，則無法將運算類型從 PowerPro 變更為 GeneralPurpose。
如果您要將運算類型從non-GPU-enabled的套件修改為 GeneralPurpose.4xlarge 或 GeneralPurpose.8xlarge,您的 WorkSpaces 必須符合 175 GB 的最低根磁碟區大小和 100 GB 的使用者磁碟區大小。若要增加 WorkSpaces 的磁碟區大小，請參閱 [修改磁碟區大小](#modify_volume_sizes)。
啟用 GPU 的 WorkSpaces 支援相同執行個體系列中的運算類型修改，但不支援跨系列修改。例如，您可以在 G4dn 執行個體之間或在 G6 執行個體之間修改運算類型，但您無法從 G4dn 執行個體變更為 G6 執行個體系列。若要在採用不同執行個體系列的 GPU 啟用 WorkSpace 套件之間移動，請使用遷移 WorkSpace 功能。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](migrate-workspaces.md)
GraphicsPro 套件已於 2025 年 10 月 31 日end-of-life 我們建議您在 2025 年 10 月 31 日之前將 GraphicsPro WorkSpaces 遷移至支援的套件。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](migrate-workspaces.md)。
您無法將 Graphics 和 GraphicsPro 運算類型變更為任何其他值。

當您要求運算變更時，WorkSpaces 會使用新的運算類型重新啟動 WorkSpace。WorkSpaces 會保留 WorkSpace 的作業系統、應用程式、資料和儲存設定。

您可以在 6 小時內請求一次較大的運算類型，或是每 30 天請求一次較小的運算類型。對於新啟動的 WorkSpace，您必須等待 6 小時才能請求較大的運算類型。

正在進行 WorkSpace 運算類型變更時，使用者會中斷與其 WorkSpace 的連線，而且無法使用或變更 WorkSpace。WorkSpace 會在計算類型變更過程中自動重新啟動。

**重要**  
若要避免資料遺失，請確定在您變更 WorkSpace 運算類型之前，使用者先儲存任何開啟的文件和其他應用程式檔案。

運算類型變更程序最多可能需要一小時。

**若要變更 WorkSpace 的運算類型**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取 WorkSpace，然後選擇**動作**、**修改運算類型**。

1. 在**運算類型**之下，選擇運算類型。

1. 選擇**儲存變更**。

**若要變更 WorkSpace 的運算類型**  
使用 [modify-workspace-properties](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-properties.html) 命令搭配 `ComputeTypeName` 屬性。

## 修改通訊協定
<a name="modify_protocols"></a>

 如果您的 WorkSpace 是使用 PCoIP 套件建立的，您可以使用 AWS CLI 或 Amazon WorkSpaces API 修改其串流通訊協定。這可讓您在不使用 WorkSpace 遷移功能的情況下，使用現有的 WorkSpace 遷移通訊協定。這也可讓您使用 DCV 和維護根磁碟區，而無需在遷移過程中重新建立現有的 PCoIP WorkSpaces。
+ 如果您的 WorkSpace 是使用 PCoIP 套件建立的，且不是啟用 GPU 的 WorkSpace，則只能修改您的通訊協定。
+ 將通訊協定修改為 DCV 之前，請確定您的 WorkSpace 符合 DCV WorkSpace 的下列要求。
  + 您的 WorkSpaces 用戶端支援 DCV
  + 部署 WorkSpace 的區域支援 DCV
  + DCV 的 IP 地址和連接埠需求已開啟。如需詳細資訊，請參閱 [WorkSpaces 的 IP 地址和連接埠需求](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html)。
  + 確保 DCV 可使用您目前的套件。
  + 為了獲得最佳視訊會議體驗，我們建議僅使用 Power、PowerPro、GeneralPurpose.4xlarge,或 GeneralPurpose.8xlarge。

**注意**  
我們強烈建議在您開始變更通訊協定之前，先使用非生產 WorkSpaces 進行測試。
如果您將通訊協定從 PCoIP 修改為 DCV，然後將通訊協定修改回 PCoIP，您將無法透過 Web Access 連線至 WorkSpaces。

**若要變更 WorkSpace 的通訊協定**

1. [選用] 重新啟動 WorkSpace 並等待其進入 `AVAILABLE` 狀態，再修改通訊協定。

1. [選用] 使用 `describe-workspaces` 命令來列出 WorkSpace 屬性。確保其處於 `AVAILABLE` 狀態而且其目前 `Protocol` 是準確的。

1. 使用 `modify-workspace-properties` 命令並將 `Protocols` 屬性從 `PCOIP` 修改為 `DCV`，或以其他方式修改。

   ```
   aws workspaces modify-workspace-properties
   --workspace-id <value>
   --workspace-properties "Protocols=[WSP]"
   ```
**重要**  
`Protocols` 屬性區分大小寫。確定您使用 `PCOIP` 或 `DCV`。

1. 執行命令之後，WorkSpace 可能需要 20 分鐘才能重新啟動並完成必要的設定。

1. 再次使用 `describe-workspaces` 命令列出 WorkSpace 屬性，並確認其處於 `AVAILABLE` 狀態，而且目前的 `Protocols` 屬性已變更為正確的通訊協定。
**注意**  
修改 WorkSpace 的通訊協定並不會更新主控台中的套件描述。**啟動套件**描述不會變更。
如果 WorkSpace 在 20 分鐘後仍處於 `UNHEALTHY` 狀態，請在主控台中重新啟動 WorkSpace。

1. 您現在可以連線至 WorkSpace。

# 在 WorkSpaces Personal 中自訂品牌
<a name="customize-branding"></a>

Amazon WorkSpaces 可讓您使用 API 以自有品牌標誌、IT 支援資訊、忘記密碼連結和登入訊息來自訂 WorkSpace 登入頁面的外觀，讓您為使用者建立熟悉的 WorkSpaces 體驗。您的品牌會在使用者的 WorkSpace 登入頁面中顯示，而不是顯示預設的 WorkSpaces 品牌。

支援的用戶端如下：
+ Windows
+ Linux
+ Android
+ MacOS
+ iOS
+ Web Access

## 匯入自訂品牌
<a name="import-custom-branding"></a>

若要匯入您的用戶端品牌自訂，請使用動作 `ImportClientBranding`，其中包含下列元素。如需詳細資訊，請參閱 [ImportClientBranding API 參考](https://docs.aws.amazon.com/workspaces/latest/api/API_ImportClientBranding.html)。

**重要**  
用戶端品牌屬性為公眾面向。確保您不包含敏感資訊。

根據您的目錄是否使用舊版或新使用者登入流程，您的使用者將看到您的自訂用戶端品牌屬性，如以下螢幕擷取畫面所示。


|  |  | 
| --- |--- |
|  ![\[WorkSpaces 用戶端登入畫面 - 舊版登入流程\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/client-cobranding-legacy.png)  |  ![\[WorkSpaces 用戶端登入畫面 - 新的登入流程\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/client-cobranding-new.png)  | 

1. 支援連結

1. 標誌

1. 忘記密碼連結

1. 登入訊息


**自訂品牌元素**  

| 品牌元素 | Description | 要求和建議 | 
| --- | --- | --- | 
| 支援連結 | 可讓您指定支援電子郵件連結，供使用者聯絡以尋求其 WorkSpaces 的協助。您可以使用 SupportEmail 屬性，或使用 SupportLink 屬性提供支援頁面的連結。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/customize-branding.html) | 
| 標誌 | 可讓您使用 Logo 屬性來自訂貴組織的標誌。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/customize-branding.html) | 
| 忘記密碼連結 | 可讓您使用 ForgotPasswordLink 屬性來新增網址，如果使用者忘記了自己的 WorkSpace 密碼，就可以前往該屬性。 | 長度限制：長度下限為 1。長度上限為 200。 | 
| 登入訊息 | 可讓您使用登入畫面上的 LoginMessage 屬性來自訂訊息。 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/customize-branding.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/customize-branding.html)  | 

以下是使用 ImportClientBranding 的範例程式碼片段。

### AWS CLI 第 2 版
<a name="import-client-branding-cli"></a>

**警告**  
匯入自訂商標會覆寫該平台內您使用自訂資料指定的屬性。也會覆寫您未使用預設自訂品牌屬性值指定的屬性。您必須包含您不想覆寫之任何屬性的資料。

```
aws workspaces import-client-branding \
--cli-input-json file://~/Downloads/import-input.json \
--region us-west-2
```

匯入 JSON 檔案看起來應該如下列範例程式碼所示：

```
{
    "ResourceId": "<directory-id>",
    "DeviceTypeOsx": {
        "Logo": "iVBORw0KGgoAAAANSUhEUgAAAAIAAAACCAYAAABytg0kAAAAC0lEQVR42mNgQAcAABIAAeRVjecAAAAASUVORK5CYII=",
        "ForgotPasswordLink": "https://amazon.com/",
        "SupportLink": "https://amazon.com/",
        "LoginMessage": {
            "en_US": "Hello!!"
        }
    }
}
```

下列範例 Java 程式碼片段會將標誌影像轉換為 base64 編碼字串：

```
// Read image as BufferImage
BufferedImage bi = ImageIO.read(new File("~/Downloads/logo.png"));
   
// convert BufferedImage to byte[]
ByteArrayOutputStream baos = new ByteArrayOutputStream();
ImageIO.write(bi, "png", baos);
byte[] bytes = baos.toByteArray();
       
//convert byte[] to base64 format and print it
String bytesBase64 = Base64.encodeBase64String(bytes);
System.out.println(bytesBase64);
```

下列範例 Python 程式碼片段會將標誌影像轉換為 base64 編碼字串：

```
# Read logo into base64-encoded string
with open("~/Downloads/logo.png", "rb") as image_file:
    f = image_file.read()
    base64_string = base64.b64encode(f)
    print(base64_string)
```

### Java
<a name="import-client-branding-java"></a>

**警告**  
匯入自訂商標會覆寫該平台內您使用自訂資料指定的屬性。也會覆寫您未使用預設自訂品牌屬性值指定的屬性。您必須包含您不想覆寫之任何屬性的資料。

```
// Create WS Client
WorkSpacesClient client = WorkSpacesClient.builder().build();

// Read image as BufferImage
BufferedImage bi = ImageIO.read(new File("~/Downloads/logo.png"));

// convert BufferedImage to byte[]
ByteArrayOutputStream baos = new ByteArrayOutputStream();
ImageIO.write(bi, "png", baos);
byte[] bytes = baos.toByteArray();
    
// Create import attributes for the plateform 
DefaultImportClientBrandingAttributes attributes =
        DefaultImportClientBrandingAttributes.builder()
                .logo(SdkBytes.fromByteArray(bytes))
                .forgotPasswordLink("https://aws.amazon.com/")
                .supportLink("https://aws.amazon.com/")
                .build();
                    
// Create import request
ImportClientBrandingRequest request = 
        ImportClientBrandingRequest.builder()
                .resourceId("<directory-id>")
                .deviceTypeOsx(attributes)
                .build();
                    
// Call ImportClientBranding API
ImportClientBrandingResponse response = client.importClientBranding(request);
```

### Python
<a name="import-client-branding-python"></a>

**警告**  
匯入自訂商標會覆寫該平台內您使用自訂資料指定的屬性。也會覆寫您未使用預設自訂品牌屬性值指定的屬性。您必須包含您不想覆寫之任何屬性的資料。

```
import boto3

# Read logo into bytearray
with open("~/Downloads/logo.png", "rb") as image_file:
    f = image_file.read()
    bytes = bytearray(f)

# Create WorkSpaces client
client = boto3.client('workspaces')

# Call import API
response = client.import_client_branding(
    ResourceId='<directory-id>',
    DeviceTypeOsx={
        'Logo': bytes,
        'SupportLink': 'https://aws.amazon.com/',
        'ForgotPasswordLink': 'https://aws.amazon.com/',
        'LoginMessage': {
            'en_US': 'Hello!!'
        }
    }
)
```

### PowerShell
<a name="import-client-branding-powershell"></a>

```
#Requires -Modules @{ ModuleName="AWS.Tools.WorkSpaces"; ModuleVersion="4.1.56"}

# Specify Image Path
$imagePath = "~/Downloads/logo.png"

# Create Byte Array from image file
$imageByte = ([System.IO.File]::ReadAllBytes($imagePath))

# Call import API
Import-WKSClientBranding -ResourceId <directory-id> `
    -DeviceTypeLinux_LoginMessage @{en_US="Hello!!"} `
    -DeviceTypeLinux_Logo $imageByte `
    -DeviceTypeLinux_ForgotPasswordLink "https://aws.amazon.com/" `
    -DeviceTypeLinux_SupportLink "https://aws.amazon.com/"
```

若要預覽登入頁面，請啟動 WorkSpaces 應用程式或 Web 登入頁面。

**注意**  
變更可能需要多達 1 分鐘的時間才會出現。

## 描述自訂品牌
<a name="describe-custom-branding"></a>

若要查看您目前擁有之用戶端品牌自訂的詳細資料，請使用動作 `DescribeCustomBranding`。以下是使用 DescribeClientBranding 的範例指令碼。如需詳細資訊，請參閱 [DescribeClientBranding API 參考](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeClientBranding.html)。

```
aws workspaces describe-client-branding \
--resource-id <directory-id> \
--region us-west-2
```

## 刪除自訂品牌
<a name="delete-custom-branding"></a>

若要刪除您的用戶端品牌自訂，請使用動作 `DeleteCustomBranding`。以下是使用 DeleteClientBranding 的範例指令碼。如需詳細資訊，請參閱 [DeleteClientBranding API 參考](https://docs.aws.amazon.com/workspaces/latest/api/API_DeleteClientBranding.html)。

```
aws workspaces delete-client-branding \ 
--resource-id <directory-id> \
--platforms DeviceTypeAndroid DeviceTypeIos \  
--region us-west-2
```

**注意**  
變更可能需要多達 1 分鐘的時間才會出現。

# 標記 WorkSpaces Personal 中的資源
<a name="tag-workspaces-resources"></a>

您可以透過*標籤*形式將自己的中繼資料指派給每個資源，以組織和管理 WorkSpaces 的資源。您可以指定每一個標籤的*金鑰*和*值*。索引鍵可以是具有特定關聯值的一般類別，例如「專案」、「擁有者」或「環境」。使用標籤是一種簡單但強大的方法來管理 AWS 資源和組織資料，包括帳單資料。

當您將標籤新增至現有資源時，這些標籤不會出現在成本配置報告中，直到下個月的第一天為止。例如，如果您在 7 月 15 日將標籤新增至現有 WorkSpace，則這些標籤會在 8 月 1 日之前出現在成本配置報告中。如需詳細資訊，請參閱 *AWS Billing 使用者指南*中的[使用成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。

**注意**  
若要在 Cost Explorer 中檢視 WorkSpaces 資源標籤，您必須遵循《AWS Billing 使用者指南》**中[啟用使用者定義的成本配置標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html)中的指示，啟用您已套用至 WorkSpaces 資源的標籤。  
雖然標籤會在啟用後 24 小時出現，但與這些標籤相關聯的值可能需要 4 到 5 天才會顯示在 Cost Explorer 中。此外，若要在 Cost Explorer 中顯示並提供成本資料，已標記的 WorkSpaces 資源必須在該期間產生費用。Cost Explorer 只會顯示標籤啟用時和之後的成本資料。目前沒有可用的歷史資料。

**您可以標記的資源**
+ 建立下列資源時，您可以對其新增標籤：WorkSpaces、匯入的映像和 IP 存取控制群組。
+ 您可以將標籤新增至下列類型的現有資源：WorkSpaces、註冊的目錄、自訂套件、映像和 IP 存取控制群組。

**標籤限制**
+ 每一資源標籤數上限：50
+ 索引鍵長度上限：127 個 Unicode 字元
+ 數值長度上限：255 個 Unicode 字元
+ 標籤鍵與值皆區分大小寫。允許的字元包括可用 UTF-8 表示的英文字母、空格和數字，還有以下特殊字元：\$1 - = . \$1 : / @。不可使用結尾或前方空格。
+ 請勿在標籤名稱`aws:`或值中使用 或 字`aws:workspaces:`首，因為它們是保留供 AWS 使用。您不可編輯或刪除具有這些字首的標籤名稱或值。

**使用主控台來更新現有資源的標籤 (目錄、WorkSpaces 或 IP 存取控制群組)**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在瀏覽窗格中，選擇下列其中一種資源類型：**目錄**、**WorkSpaces** 或 **IP 存取控制**。

1. 選取資源以開啟其詳細資訊頁面。

1. 執行下列其中一項或多項：
   + 若要更新標籤，請編輯 **Key (索引鍵)** 和 **Value (值)** 的值。
   + 若要新增標籤，請選擇**新增標籤**，然後編輯**索引鍵**和**值**的值。
   + 若要刪除標籤，請選擇標籤旁的刪除圖示 (X)。

1. 完成標籤更新時，請選擇**儲存**。

**使用主控台來更新現有資源的標籤 (映像或套件)**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇下列其中一種資源類型：**套件**或**映像**。

1. 選擇資源以開啟其詳細資訊頁面。

1. 在 **Tags (標籤)** 下，選擇 **Manage tags (管理標籤)**。

1. 執行下列其中一項或多項：
   + 若要更新標籤，請編輯 **Key (索引鍵)** 和 **Value (值)** 的值。
   + 若要新增標籤，請選擇**新增標籤**，然後編輯**索引鍵**和**值**的值。
   + 若要刪除標籤，請選擇標籤旁的**移除**。

1. 完成標籤更新後，請選擇**儲存變更**。

**使用 更新現有資源的標籤 AWS CLI**  
使用 [create-tags](https://docs.aws.amazon.com/cli/latest/reference/workspaces/create-tags.html) 和 [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/workspaces/delete-tags.html) 命令。

# WorkSpaces Personal 中的維護
<a name="workspace-maintenance"></a>

建議您定期維護 WorkSpaces。WorkSpaces 會為您的 WorkSpaces 安排預設維護時段。在維護期間，WorkSpace 會安裝來自 Amazon WorkSpaces 的重要更新，並視需要重新啟動。如果可用，也會從 WorkSpace 設定要使用的作業系統更新伺服器安裝作業系統更新。在維護期間，您的 WorkSpaces 可能無法使用。

根據預設，Windows WorkSpaces 會設定為接收來自 Windows Update 的更新。若要設定您自己的 Windows 自動更新機制，請參閱 [Windows Server Update Services (WSUS)](https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/deploy-windows-server-update-services) 和 [Configuration Manager](https://docs.microsoft.com/configmgr/sum/deploy-use/deploy-software-updates) 文件。

**需求**  
WorkSpaces 必須能夠存取網際網路，才能將更新安裝到作業系統及部署應用程式。如需詳細資訊，請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。

## AlwaysOn WorkSpaces 的維護時段
<a name="alwayson-maintenance"></a>

對於 AlwaysOn WorkSpaces，維護時段由作業系統設定決定。預設值為每個星期日早上 00 點到 04 點 (WorkSpace 時區) 之間的四小時期間。根據預設， AlwaysOn WorkSpace 的時區是 WorkSpace AWS 區域的時區。不過，如果您從另一個區域連線並已啟用時區重新導向，然後您中斷連線，則 WorkSpace 的時區會更新為您所連線來源區域的時區。

您可使用群組政策來[停用 Windows WorkSpaces 的時區重新導向](group_policy.md#gp_time_zone)。您可使用 PCoIP 代理程式組態來[停用 Linux WorkSpaces 的時區重新導向](manage_linux_workspace.md#linux_time_zone)。

對於 Windows WorkSpaces，您可使用群組政策設定來設定維護時段；請參閱[設定自動更新的群組政策設定](https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/4-configure-group-policy-settings-for-automatic-updates)。您無法設定 Linux WorkSpaces 的維護時段。

## AutoStop WorkSpaces 的維護時段
<a name="autostop-maintenance"></a>

AutoStop WorkSpaces 會每月自動啟動一次，以便安裝重要更新。從當月的第三個星期一開始 (最多兩週)，維護時段是在 WorkSpace 的 AWS 區域時區中，每天約從 00 點開始到 05 點。WorkSpace 可以在維護時段中的任何一天進行維護。在此時段內，只會維護超過 7 天的 WorkSpaces。

在 WorkSpace 進行維護的期間內，WorkSpace 的狀態會設定為 `MAINTENANCE`。

雖然您無法修改用於維護 AutoStop WorkSpaces 的時區，但您可以依照下列方式停用 AutoStop WorkSpaces 的維護時段。如果停用維護模式，WorkSpaces 不會重新啟動，也不會進入 `MAINTENANCE` 狀態。

**停用維護模式**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**目錄**。

1. 選取您的目錄，然後依序選擇**動作**、**更新詳細資訊**。

1. 展開**維護模式**。

1. 若要啟用自動更新，請選擇**啟用**。如果您想手動管理更新，請選擇**停用**。

1. 選擇**更新並結束**。

## 手動維護
<a name="admin-maintenance"></a>

如果您想要的話，可以按照自己的排程維護 WorkSpaces。當您執行維護任務時，建議您將 WorkSpace 的狀態變更為**維護**。完成時，將 WorkSpace 的狀態變更為**可用**。

當 WorkSpace 處於**維護**狀態時，會發生下列行為：
+ WorkSpace 不會回應重新啟動、停止、啟動或重新建置的請求。
+ 使用者無法登入 WorkSpace。
+ AutoStop WorkSpace 未進入休眠狀態。

**使用主控台變更 WorkSpace 的狀態**
**注意**  
若要變更 WorkSpace 的狀態，WorkSpace 必須處於**可用**狀態。當 WorkSpace 不在**可用**狀態時，無法使用**修改狀態設定**。

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取您的 WorkSpace，然後選擇**動作**、**修改狀態**。

1. 在**修改狀態**之下，選擇**可用**或**維護**。

1. 選擇**儲存**。

**使用 變更 WorkSpace 的狀態 AWS CLI**  
使用 [modify-workspace-state](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-state.html) 命令。

# WorkSpaces Personal 中的加密 WorkSpaces
<a name="encrypt-workspaces"></a>

WorkSpaces 已與 AWS Key Management Service (AWS KMS) 整合。這可讓您使用 AWS KMS 金鑰加密 WorkSpaces 的儲存磁碟區。當您啟動 WorkSpace 時，您可以加密根磁碟區 (在 Microsoft Windows 中為 C 磁碟機；在 Linux 中為 /) 和使用者磁碟區 (在 Windows 中為 D 磁碟機；在 Linux 中為 /home)。這麼做可確保靜態儲存的資料、磁碟區的磁碟 I/O，以及從磁碟區建立的快照全都加密。

**注意**  
除了加密 WorkSpaces 之外，您還可以在特定 AWS 美國區域使用 FIPS 端點加密。如需詳細資訊，請參閱[設定 WorkSpaces Personal 的 FedRAMP 授權或 DoD SRG 合規](fips-encryption.md)。
Amazon WorkSpaces 不支援 Windows BitLocker 加密。  適用時，Amazon WorkSpaces 會嘗試解密在所有 Windows 作業系統上開機期間偵測到的任何磁碟區。  如果 WorkSpace 上的任何磁碟區啟用了密碼、接腳或啟動金鑰的任何組合，則磁碟區可能會在開機過程中變得沒有回應，而且無法正常開機。

**Topics**
+ [先決條件](#encryption_prerequisites)
+ [限制](#encryption_limits)
+ [使用 的 WorkSpaces 加密概觀 AWS KMS](#kms-workspaces-overview)
+ [WorkSpaces 加密內容](#kms-workspaces-encryption-context)
+ [授予 WorkSpaces 代表您使用 KMS 金鑰的許可](#kms-workspaces-permissions)
+ [加密 WorkSpace](#encrypt_workspace)
+ [檢視已加密的 WorkSpaces](#maintain_encryption)

## 先決條件
<a name="encryption_prerequisites"></a>

您需要 AWS KMS 金鑰，才能開始加密程序。此 KMS 金鑰可以是 Amazon WorkSpaces 適用的 [AWS 受管 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (**aws/workspaces**)，也可以是對稱的[客戶受管 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。
+ **AWS 受管 KMS 金鑰** – 您第一次從區域中的 WorkSpace WorkSpaces 時，Amazon WorkSpaces 會自動在您的帳戶中建立 AWS 受管 KMS 金鑰 (**aws/workspaces**)。您可以選取此 AWS 受管 KMS 金鑰來加密 WorkSpace 的使用者和根磁碟區。如需詳細資訊，請參閱[使用 的 WorkSpaces 加密概觀 AWS KMS](#kms-workspaces-overview)。

  您可以檢視此 AWS 受管 KMS 金鑰，包括其政策和授權，也可以追蹤其在 AWS CloudTrail 日誌中的使用情形，但無法使用或管理此 KMS 金鑰。Amazon WorkSpaces 可建立和管理此 KMS 金鑰。只有 Amazon WorkSpaces 可以使用此 KMS 金鑰，而且 WorkSpaces 只能此金鑰用來加密您帳戶中的 WorkSpaces 資源。

  AWS 受管 KMS 金鑰，包括 Amazon WorkSpaces 支援的金鑰，每年都會輪換。如需詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[輪換 AWS KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。
+ **客戶受管 KMS 金鑰** – 或者，您可以選擇您建立的對稱客戶受管 KMS 金鑰 AWS KMS。您可以檢視、使用和管理此 KMS 金鑰，包括設定其政策。如需有關建立 KMS 金鑰的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。如需使用 AWS KMS API 建立 KMS 金鑰的詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[使用金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/programming-keys.html)。

  除非您決定啟用自動金鑰輪換，否則不會自動輪換客戶受管 KMS 金鑰。如需詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[輪換 AWS KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。

**重要**  
當您手動輪換 KMS 金鑰時，您必須同時啟用原始 KMS 金鑰和新的 KMS 金鑰，讓 AWS KMS 可以解密原始 KMS 金鑰加密的 WorkSpaces。如果您不想讓原始 KMS 金鑰保持啟用狀態，則必須重建 WorkSpaces 並使用新的 KMS 金鑰予以加密。

您必須符合下列要求，才能使用 AWS KMS 金鑰來加密 WorkSpaces：
+ **KMS 金鑰必須為對稱金鑰。**Amazon WorkSpaces 不支援非對稱 KMS 金鑰。如需區分對稱與非對稱 KMS 金鑰的相關資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[識別對稱與非對稱 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html)。
+ **必須啟用 KMS 金鑰。**若要判斷 KMS 金鑰是否已啟用，請參閱《AWS Key Management Service 開發人員指南》**中的[顯示 KMS 金鑰詳細資訊](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)。
+ **您必須擁有與 KMS 金鑰相關聯的正確許可和政策。**如需詳細資訊，請參閱[第 2 部分：使用 IAM 政策授予 WorkSpaces 管理員額外的許可](#kms-permissions-iam-policy)。

## 限制
<a name="encryption_limits"></a>
+ 您無法加密現有的 WorkSpace。您必須在啟動 WorkSpace 時將其加密。
+ 不支援從加密的 WorkSpace 建立自訂映像。
+ 目前不支援停用已加密 WorkSpace 的加密功能。
+ 在啟用根磁碟區加密狀態下啟動的 WorkSpaces 可能需要長達一個小時才能佈建。
+ 若要重新啟動或重新建置加密的 WorkSpace，請先確定 AWS KMS 金鑰已啟用；否則，WorkSpace 會變得無法使用。若要判斷 KMS 金鑰是否已啟用，請參閱《AWS Key Management Service 開發人員指南》**中的[顯示 KMS 金鑰詳細資訊](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)。

## 使用 的 WorkSpaces 加密概觀 AWS KMS
<a name="kms-workspaces-overview"></a>

當您建立具備加密磁碟區的 WorkSpace 時，WorkSpaces 會使用 Amazon Elastic Block Store (Amazon EBS) 來建立和管理這些磁碟區。Amazon EBS 會使用業界標準的 AES-256 演算法資料金鑰加密您的磁碟區。Amazon EBS 和 Amazon WorkSpaces 都使用 KMS 金鑰來處理已加密的磁碟區。如需 EBS 磁碟區加密的詳細資訊，請參閱《[Amazon EC2 使用者指南》中的 Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)。 *Amazon EC2 *

當您啟動具備加密磁碟區的 WorkSpace，端對端程序的運作方式如下：

1. 您可指定要用於加密的 KMS 金鑰，以及 WorkSpace 的使用者和目錄。這個動作會建立[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)，只允許 WorkSpaces 將 KMS 金鑰用於此 WorkSpace，即為僅適用於與指定之使用者和目錄相關聯的 WorkSpace。

1. WorkSpaces 會為 WorkSpace 建立加密的 EBS 磁碟區，並指定要使用的 KMS 金鑰以及磁碟區的使用者和目錄。這個動作會建立授予，只允許 Amazon EBS 將 KMS 金鑰用於此 WorkSpace 和磁碟區，即為僅適用於與指定之使用者和目錄相關聯的 WorkSpace 以及僅適用於指定的磁碟區。

1. <a name="WSP-EBS-requests-encrypted-volume-data-key"></a>Amazon EBS 會請求在 KMS 金鑰下加密的磁碟區資料金鑰，並指定 WorkSpace 使用者的 Active Directory 安全識別碼 (SID) 和 AWS Directory Service 目錄 ID，以及指定 Amazon EBS 磁碟區 ID 做為[加密內容](#kms-workspaces-encryption-context)。

1. <a name="WSP-KMS-creates-data-key"></a>AWS KMS 會建立新的資料金鑰、在您的 KMS 金鑰下進行加密，然後將加密的資料金鑰傳送至 Amazon EBS。

1. <a name="WSP-uses-EBS-to-attach-encrypted-volume"></a>WorkSpaces 使用 Amazon EBS 將加密的磁碟區連接到您的 WorkSpace。Amazon EBS 會使用 AWS KMS [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)請求將加密的資料金鑰傳送至 ，並指定 WorkSpace 使用者的 SID、目錄 ID 和磁碟區 ID，以做為加密內容。

1. AWS KMS 使用您的 KMS 金鑰解密資料金鑰，然後將純文字資料金鑰傳送至 Amazon EBS。

1. Amazon EBS 使用純文字資料金鑰來加密進出已加密磁碟區的所有資料。Amazon EBS 會在磁碟區連接至 WorkSpace 的期間，將純文字資料金鑰保存在記憶體中。

1. Amazon EBS 會將加密的資料金鑰 (於 [Step 4](#WSP-KMS-creates-data-key) 收到) 與磁碟區中繼資料一起存放，以供日後重新啟動或重建 WorkSpace 時使用。

1. 當您使用 AWS 管理主控台 移除 WorkSpace （或使用 WorkSpaces API 中的 [https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html](https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html)動作） 時，WorkSpaces 和 Amazon EBS 會淘汰授予，允許他們針對該 WorkSpace 使用您的 KMS 金鑰。

## WorkSpaces 加密內容
<a name="kms-workspaces-encryption-context"></a>

WorkSpaces 不會直接將您的 KMS 金鑰用於密碼編譯操作 （例如 [https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)、[https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、 等）[https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)，這表示 WorkSpaces 不會將包含[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) AWS KMS 的請求傳送至 。但是，當 Amazon EBS 為 WorkSpaces ([使用 的 WorkSpaces 加密概觀 AWS KMS](#kms-workspaces-overview) 中的 [Step 3](#WSP-EBS-requests-encrypted-volume-data-key)) 的已加密磁碟區請求加密的資料金鑰時，以及當它請求該資料金鑰的純文字複本 ([Step 5](#WSP-uses-EBS-to-attach-encrypted-volume)) 時，它會在請求中包含加密內容。

 加密內容提供額外的[已驗證資料](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) (AAD)， AWS KMS 用於確保資料完整性。加密內容也會寫入您的 AWS CloudTrail 日誌檔案，這可協助您了解使用指定 KMS 金鑰的原因。Amazon EBS 將以下項目用於加密內容：
+ 與 WorkSpace 相關聯之 Active Directory 使用者的安全識別碼 (SID)
+ 與 WorkSpace 相關聯之目錄的 AWS Directory Service 目錄 ID
+ 已加密磁碟區的 Amazon EBS 磁碟區 ID

以下範例顯示 Amazon EBS 所用加密內容的 JSON 顯示方式：

```
{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}
```

## 授予 WorkSpaces 代表您使用 KMS 金鑰的許可
<a name="kms-workspaces-permissions"></a>

您可以在 WorkSpace s的 AWS 受管 KMS 金鑰 (**aws/workspaces**) 或客戶受管 KMS 金鑰下保護您的 WorkSpace 資料。 WorkSpaces 如果您使用客戶受管 KMS 金鑰，則需要授予 WorkSpaces 代表您帳戶中的 WorkSpaces 管理員使用 KMS 金鑰的許可。根據預設，WorkSpaces 的 AWS 受管 KMS 金鑰具有必要的許可。

為了準備您的客戶受管 KMS 金鑰以搭配使用 WorkSpaces，請使用下列步驟。

1. [將 WorkSpaces 管理員新增至 KMS 金鑰之金鑰政策中的金鑰使用者清單](#kms-permissions-key-users)

1. [使用 IAM 政策授予 WorkSpaces 管理員額外的許可](#kms-permissions-iam-policy)

WorkSpaces 管理員還需要使用 WorkSpaces 的許可。如需這些許可的詳細資訊，請前往 [適用於 WorkSpaces 的身分和存取管理](workspaces-access-control.md)。

### 第 1 部分：將 WorkSpaces 管理員新增為金鑰使用者
<a name="kms-permissions-key-users"></a>

若要提供 WorkSpaces 管理員所需的許可，您可以使用 AWS 管理主控台 或 AWS KMS API。

#### 若要新增 WorkSpaces 管理員做為 KMS 金鑰的金鑰使用者 (主控台)
<a name="kms-permissions-users-consoleAPI"></a>

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格中，選擇 **Customer managed keys** (客戶受管金鑰)。

1. 選擇您偏好的客戶受管 KMS 金鑰的金鑰 ID 或別名。

1. 選擇 **Key policy (金鑰政策)** 標籤。在 **Key users** (金鑰使用者) 中，選擇 **Add** (新增)。

1. 在 IAM 使用者和角色清單中，選取對應到您 WorkSpaces 管理員的使用者和角色，然後選擇**新增**。

#### 若要新增 WorkSpaces 管理員做為 KMS 金鑰的金鑰使用者 (API)
<a name="kms-permissions-users-api"></a>

1. 使用 [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) 操作來取得現有的金鑰政策，然後將金鑰政策文件儲存至檔案。

1. 在您偏好的文字編輯器中開啟政策文件。將對應到您 WorkSpaces 管理員的 IAM 使用者和角色新增到[提供許可給金鑰使用者](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)的政策陳述式。接著儲存檔案。

1. 使用 [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 操作將金鑰政策套用到 KMS 金鑰。

### 第 2 部分：使用 IAM 政策授予 WorkSpaces 管理員額外的許可
<a name="kms-permissions-iam-policy"></a>

如果您選取用於加密的客戶受管 KMS 金鑰，則必須建立 IAM 政策，以允許 Amazon WorkSpaces 代表您帳戶中啟動已加密 WorkSpaces 的 IAM 使用者使用 KMS 金鑰。該使用者還需要使用 Amazon WorkSpaces 的許可。如需建立和編輯 IAM 使用者政策的詳細資訊，請參閱《IAM 使用者指南》**中的[受管 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)和[適用於 WorkSpaces 的身分和存取管理](workspaces-access-control.md)。

WorkSpaces 加密需要有限的 KMS 金鑰存取權。下列是您可以使用的範例金鑰政策。此政策會將可管理 AWS KMS 金鑰的主體與可使用該金鑰的主體分開。在您使用本範例金鑰政策之前，請將範例帳戶 ID 和 IAM 使用者名稱取代為您帳戶的實際值。

第一個陳述式符合預設 AWS KMS 金鑰政策。它提供您的帳戶使用 IAM 政策來控制 KMS 金鑰存取的許可。第二個和第三個陳述式分別定義哪些 AWS 主體可以管理和使用金鑰。第四個陳述式可讓與 整合 AWS 的服務代表指定的委託人 AWS KMS 使用金鑰。此陳述式使 AWS 服務能夠建立和管理授與。陳述式使用條件元素，將 KMS 金鑰的授予限制為 AWS 服務代表您帳戶中的使用者所做的授予。

**注意**  
如果您的 WorkSpaces 管理員使用 AWS 管理主控台 來建立具有加密磁碟區的 WorkSpaces，則管理員需要列出別名和清單金鑰的許可 ( `"kms:ListAliases"` 和 `"kms:ListKeys"`許可）。如果 WorkSpace 管理員只會使用 Amazon WorkSpaces API (而不使用主控台)，您可以省略 `"kms:ListAliases"` 和 `"kms:ListKeys"` 許可。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}
```

------

正在加密 WorkSpace 之使用者或角色的 IAM 政策必須包含客戶受管 KMS 金鑰的使用許可，以及對 WorkSpaces 的存取權限。若要將 WorkSpaces 許可提供給 IAM 使用者或角色，您可以將下列範例政策附加至 IAM 使用者或角色。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}
```

------

使用者需要下列 IAM 政策才能使用 AWS KMS。其將對 KMS 金鑰的唯讀存取權以及建立授與的能力提供給使用者。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

如果您想要在政策中指定 KMS 金鑰，請使用類似以下的 IAM 政策。以有效的 KMS 金鑰 ARN 取代範例 KMS 金鑰 ARN。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## 加密 WorkSpace
<a name="encrypt_workspace"></a>

**若要加密 WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 選擇**啟動 WorkSpaces** 並完成前三個步驟。

1. 針對 **WorkSpaces 設定**步驟，執行下列操作：

   1. 選取要加密的磁碟區：**根磁碟區**、**使用者磁碟區**或兩個磁碟區。

   1. 針對**加密金鑰**，選取 AWS KMS 金鑰，可以是 Amazon WorkSpaces 建立的 AWS 受管 KMS 金鑰，或是您建立的 KMS 金鑰。您選取的 KMS 金鑰必須是對稱金鑰。Amazon WorkSpaces 不支援非對稱 KMS 金鑰。

   1. 選擇 **Next Step (後續步驟)**。

1. 選擇**啟動 WorkSpaces**。

## 檢視已加密的 WorkSpaces
<a name="maintain_encryption"></a>

若要查看已從 WorkSpaces 主控台加密哪些 WorkSpaces 和磁碟區，請從左側導覽列中選擇 **WorkSpaces**。**磁碟區加密**欄會顯示每個 WorkSpace 是否已啟用或停用加密。若要查看哪些特定磁碟區已加密，請展開 WorkSpace 項目以查看**加密的磁碟區**欄位。

# 在 WorkSpace WorkSpaces
<a name="reboot-workspaces"></a>

有時，您可能需要手動重新啟動 WorkSpace。重新啟動 WorkSpace 會中斷使用者的連線，然後執行 WorkSpace 的關閉並重新啟動。若要避免遺失資料，請確定在您重新啟動 WorkSpace 之前，使用者會儲存任何開啟的文件和其他應用程式檔案。使用者資料、作業系統和系統設定均不受影響。

**警告**  
若要重新啟動加密的 WorkSpace，請先確定 AWS KMS 金鑰已啟用；否則，WorkSpace 會變成無法使用。若要判斷 KMS 金鑰是否已啟用，請參閱《AWS Key Management Service 開發人員指南》**中的[顯示 KMS 金鑰詳細資訊](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)。

**如要重新啟動 WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取要重新啟動的 WorkSpaces，然後依序選擇**動作**、**重新啟動**。

1. 出現確認提示時，選擇**重新啟動 WorkSpaces**。

**使用 重新啟動 WorkSpace AWS CLI**  
使用 [reboot-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/reboot-workspaces.html) 命令。

**大量重新啟動 WorkSpaces**  
使用 [amazon-workspaces-admin-module](https://github.com/aws-samples/amazon-workspaces-admin-module/tree/main)。

# 在 WorkSpace WorkSpaces
<a name="rebuild-workspace"></a>

重建 WorkSpace 會重新建立 WorkSpace 啟動來源之套件的最新映像根磁碟區、其使用者磁碟區及其主要彈性網路介面。重新建置 WorkSpace 會刪除比還原 WorkSpace 更多的資料，但只要求您擁有使用者磁碟區的快照。若要還原 WorkSpace，請參閱 [在 WorkSpace WorkSpaces](restore-workspace.md)。

重新建置 WorkSpace 會導致下列情況發生：
+ 根磁碟區 (Microsoft Windows 為磁碟機 C；Linux 為 /) 會以從中建立 WorkSpace 之套件的最新映像重新整理。任何已安裝的應用程式或在建立 WorkSpace 之後變更的系統設定都會遺失。
+ 使用者磁碟區 (Microsoft Windows 為磁碟機 D；Linux 為 /home) 會從最新的快照重新建立。使用者磁碟區的目前內容會遭到覆寫。

  用於重新建置 WorkSpace 時使用的自動快照會每 12 小時排程一次。無論 WorkSpace 的運作狀態為何，都會製作使用者磁碟區的這些快照。當您選擇**動作**、**重新建置/還原 WorkSpace**時，會顯示最新快照的日期和時間。

  當您重建 WorkSpace 時，也會在重建完成後不久 （通常在 30 分鐘內） 拍攝新的快照。
+ 主要彈性網路介面已重新建立。WorkSpace 會收到新的私有 IP 地址。

**重要**  
在 2020 年 1 月 14 日之後，從公用 Windows 7 套件建立的 WorkSpaces 無法再重新建置。您可以考慮將 Windows 7 WorkSpaces 遷移到 Windows 10。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](migrate-workspaces.md)。

只有在符合下列條件時，才可重新建置 WorkSpace：
+ WorkSpace 的狀態必須為 `AVAILABLE`、`ERROR`、`UNHEALTHY`、`STOPPED`、或 `REBOOTING`。若要在 `REBOOTING` 狀態重建 WorkSpace，您必須使用 [ RebuildWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_RebuildWorkspaces.html) API 操作或 [ rebuild-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/rebuild-workspaces.html) AWS CLI 命令。
+ 使用者磁碟區的快照必須存在。

**若要重新建置 WorkSpace**
**警告**  
若要重建加密的 WorkSpace，請先確定 AWS KMS 金鑰已啟用；否則，WorkSpace 會變成無法使用。若要判斷 KMS 金鑰是否已啟用，請參閱《AWS Key Management Service 開發人員指南》**中的[顯示 KMS 金鑰詳細資訊](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)。

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取要重新建置的 WorkSpace，然後選擇**動作**、**重新建置/還原 WorkSpace**。

1. 在**快照**之下，選取快照的時間戳記。

1. 選擇 **Rebuild (重建)**。

**使用 重建 WorkSpace AWS CLI**  
使用 [rebuild-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/rebuild-workspaces.html) 命令。

**故障診斷**  
如果您在變更 Active Directory 中使用者的 **sAMAccountName** 使用者命名屬性之後重新建置 WorkSpace，您可能會收到下列錯誤訊息︰

```
"ErrorCode": "InvalidUserConfiguration.Workspace"
"ErrorMessage": "The user was either not found or is misconfigured."
```

若要解決此問題，請回復為原始使用者命名屬性，然後重新起始重新建置，或為該使用者建立新的 WorkSpace。

**重建加入 Microsoft Entra ID 的 WorkSpaces**  
當使用者在重建後第一次登入其 WorkSpace 時，他們需要再次經歷out-of-box(OOBE)，類似於指派新的 WorkSpace。因此，會在 WorkSpace 上建立新的使用者設定檔資料夾，覆寫原始使用者設定檔資料夾。因此，在重建 Entra 加入的 WorkSpace 期間，來自原始使用者設定檔資料夾的內容會儲存在重建 WorkSpace `D:\Users\<USERNAME%MMddyyTHHmmss%.NotMigrated>`的 下。使用者需要將原始設定檔內容從 複製到 `D:\Users\<USERNAME%MMddyyTHHmmss%.NotMigrated>` D：\$1Users\$1<USERNAME> 的使用者設定檔資料夾，以還原所有使用者設定檔資料，包括桌面圖示、捷徑和資料檔案。

**注意**  
對於加入 Microsoft Entra ID 的 WorkSpaces，我們建議您盡可能一律使用還原 WorkSpaces，而不是重建 WorkSpaces。

# 在 WorkSpace WorkSpaces
<a name="restore-workspace"></a>

還原 WorkSpace 會使用 WorkSpace 運作狀態時所拍攝之每個磁碟區的快照，重新建立根磁碟區和使用者磁碟區。還原 WorkSpace 會將根磁碟區和使用者磁碟區上的資料復原至建立快照的時間點。重建 WorkSpace 只會復原使用者磁碟區上的資料。這表示還原需要您同時擁有根磁碟區和使用者磁碟區的快照，而重建 WorkSpace 只需要使用者磁碟區的快照。若要重新建置 WorkSpace，請參閱 [在 WorkSpace WorkSpaces](rebuild-workspace.md)。

還原 WorkSpace 會導致下列情況發生：
+ 根磁碟區 （適用於 Microsoft Windows 的磁碟機 C；適用於 Linux 的磁碟機 C，/) 會還原至使用快照指定的日期和時間。任何已安裝的應用程式，或在建立快照後變更的系統設定都會遺失。
+ 使用者磁碟區 （適用於 Microsoft Windows、D 磁碟機；適用於 Linux、/home) 會重新建立為使用快照指定的日期和時間。使用者磁碟區的目前內容會遭到覆寫。

**還原點**  
當您選擇**動作**和**重建/還原 WorkSpace** 時，會顯示用於操作的快照日期和時間。若要使用 驗證用於 操作的快照日期和時間 AWS CLI，請使用 [describe-workspace-snapshots](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-snapshots.html) 命令。

**製作快照時**  
根磁碟區和使用者磁碟區的快照會依照下列基礎製作。
+ **第一次建立 WorkSpace 之後**—通常會在建立 WorkSpace 之後，立即製作根磁碟區和使用者磁碟區的初始快照 (通常在 30 分鐘內)。在某些 AWS 區域中，建立 WorkSpace 後，可能需要幾個小時才能拍攝初始快照。

  如果在製作初始快照之前，WorkSpace 變得狀態不佳，則無法還原 WorkSpace。在這種情況下，您可以嘗試[重新建置 WorkSpace](rebuild-workspace.md) 或聯絡 AWS 支援尋求協助。
+ **一般使用期間**—用於還原 WorkSpace 時使用的自動快照會每 12 小時排程一次。如果 WorkSpace 狀態良好，則大約會在同一時間建立根磁碟區和使用者磁碟區的快照。如果 WorkSpace 狀態不佳，則只會為使用者磁碟區建立快照。
+ **還原 WorkSpace 之後**—當您還原 WorkSpace 時，會在還原完成後立即製作新的快照 (通常在 30 分鐘內)。在某些 AWS 區域中，在還原 WorkSpace 之後，可能需要幾個小時才能拍攝這些快照。

  還原 WorkSpace 之後，如果 WorkSpace 在可以製作新快照之前變成狀態不佳，則無法再次還原 WorkSpace。在這種情況下，您可以嘗試[重新建置 WorkSpace](rebuild-workspace.md) 或聯絡 AWS 支援尋求協助。

只有在符合下列條件時，才可還原 WorkSpace：
+ WorkSpace 的狀態必須為 `AVAILABLE`、`ERROR`、`UNHEALTHY` 或 `STOPPED`。
+ 根磁碟區和使用者磁碟區的快照必須存在。

**若要還原 WorkSpace**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取要還原的 WorkSpace，然後選擇**動作**、**重新建置/還原 WorkSpace**。

1. 在**快照**之下，選取快照的時間戳記。

1. 選擇 **Restore** (還原)。

**使用 還原 WorkSpace AWS CLI**  
使用 [restore-workspace](https://docs.aws.amazon.com/cli/latest/reference/workspaces/restore-workspace.html) 命令。

# Microsoft 365 在 WorkSpaces Personal 中自帶授權 (BYOL)
<a name="byol-microsoft365-licenses"></a>

Amazon WorkSpaces 允許您自帶 Microsoft 365 授權 (前提是其符合 Microsoft 的授權要求)。這些授權可讓您在由下列作業系統提供支援的 WorkSpaces 上安裝及啟動 Microsoft 365 Apps 企業版軟體：
+ Windows 10 (自帶授權)
+ Windows 11 (自帶授權)
+ Windows Server 2016
+ Windows Server 2019
+ Windows Server 2022
+ Windows Server 2025

若要在 WorkSpaces 上為企業使用 Microsoft 365 應用程式，您必須訂閱 Microsoft 365 E3/E5、Microsoft 365 A3/A5、Microsoft 365 G3/G5 或 Microsoft 365 Business Premium。

在 Amazon WorkSpaces 上，您可使用 Microsoft 365 授權來安裝和啟動 Microsoft 365 Apps 企業版，包括下列各項：
+ Microsoft Word
+ Microsoft Excel
+ Microsoft PowerPoint
+ Microsoft Outlook
+ Microsoft OneDrive

如需詳細資訊，請參閱 [Microsoft 365 Apps 企業版完整清單](https://www.microsoft.com/en/microsoft-365/enterprise/microsoft-365-apps-for-enterprise-product?activetab=pivot%3Aoverviewtab&market=af&ranMID=24542&ranEAID=QKfOgZNb5HA&ranSiteID=QKfOgZNb5HA-uvIr8evP5gLQf8n3Z0NLJA&epi=QKfOgZNb5HA-uvIr8evP5gLQf8n3Z0NLJA&irgwc=1&OCID=AIDcmm549zy227_aff_7593_1243925&tduid=%28ir__caugvllhggkfbgesuvvv2g21je2xb3afmz3ilkpl00%29%287593%29%281243925%29%28QKfOgZNb5HA-uvIr8evP5gLQf8n3Z0NLJA%29%28%29&irclickid=_caugvllhggkfbgesuvvv2g21je2xb3afmz3ilkpl00)。

您還可以在 WorkSpaces 上安裝不包含在 Microsoft 365 內的 Microsoft 應用程式，例如 Microsoft Project、Microsoft Visio 和 Microsoft Microsoft Power Automate，但您需要自帶額外的授權。

您可以在主要 WorkSpaces 上安裝和使用 Microsoft 365 和其他 Microsoft 應用程式，以及使用[多區域恢復能力](https://docs.aws.amazon.com/workspaces/latest/adminguide/multi-region-resilience.html)來容錯移轉 WorkSpaces。

**Topics**
+ [使用 Microsoft 365 Apps 企業版建立 WorkSpaces](#create-workspaces-microsoft365)
+ [移轉您現有的 WorkSpaces 以使用 Microsoft 365 Apps 企業版](#migrate-workspaces-microsoft365)
+ [在 WorkSpaces 上更新 Microsoft 365 Apps 企業版](#microsoft365-update)

## 使用 Microsoft 365 Apps 企業版建立 WorkSpaces
<a name="create-workspaces-microsoft365"></a>

若要使用 Microsoft 365 Apps 企業版建立 WorkSpaces，您必須建立已安裝應用程式的自訂映像，並使用它來建立自訂套件。您可以使用套件來啟動已安裝應用程式的新 WorkSpaces。WorkSpaces 不提供 Microsoft 365 Apps 企業版的公用套件。

**若要使用 Microsoft 365 Apps 企業版建立 WorkSpaces：**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 啟動 WorkSpaces，您想要將其做為其他 Microsoft 應用程式 WorkSpaces 的映像。這是您將安裝 Microsoft 應用程式的地方。有關啟動 WorkSpace 的詳細資訊，請參閱[使用 WorkSpaces 啟動虛擬桌面](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)。

1. 從 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) 啟動用戶端應用程式，輸入邀請電子郵件中的註冊碼，然後選擇**註冊**。

1. 當系統提示您登入時，請輸入使用者的登入認證，然後選擇**登入**。

1. 安裝和設定 Microsoft 365 Apps 企業版。

1. 從 WorkSpace 建立自訂映像，並使用它來建立自訂套件。有關建立自訂映像和套件的詳細資訊，請參閱[建立自訂 WorkSpaces 映像和套件](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-custom-bundle.html)。

1. 使用您建立的自訂套件來啟動 WorkSpaces。這些 WorkSpaces 已安裝 Microsoft 365 Apps 企業版。

## 移轉您現有的 WorkSpaces 以使用 Microsoft 365 Apps 企業版
<a name="migrate-workspaces-microsoft365"></a>

如果您的 WorkSpaces 沒有透過 取得的 Microsoft Office 授權 AWS，您可以在 WorkSpaces 上安裝和設定適用於企業的 Microsoft 365 應用程式。

 如果您的 WorkSpaces 透過 取得 Microsoft Office 授權 AWS，您必須先取消註冊 Microsoft Office 授權，才能安裝 Microsoft 365 Apps for Enterprise。

**重要**  
從您的 WorkSpaces 解除安裝 Microsoft Office 應用程式並不會取消註冊授權。若要避免支付 Microsoft Office 授權的費用，請執行下列其中一項 AWS 操作，透過 從 Microsoft Office 應用程式取消註冊 WorkSpaces：  
 **管理應用程式** （建議） – 您可以從 WorkSpaces 解除安裝 Microsoft Office 版本授權。如需詳細資訊，請參閱[管理應用程式](manage-applications)。解除安裝之後，您可以在 WorkSpaces 上安裝 Microsoft 365 Apps 企業版。
 **移轉 WorkSpace** – 您可以將 WorkSpace 從一個套件移轉到另一個套件，同時將資料保留在使用者磁碟區上。  
將 WorkSpaces 移轉到映像沒有 Microsoft Office 訂閱的套件。移轉完成之後，您可以在 WorkSpaces 上安裝 Microsoft 365 Apps 企業版。
或者，建立自訂 WorkSpaces 映像和已經在映像上安裝 Microsoft 365 Apps 企業版的套件，然後將您的 WorkSpaces 移轉到這個新的自訂套件。移轉完成後，WorkSpaces 使用者即可開始使用 Microsoft 365 Apps 企業版。
有關如何移轉 WorkSpaces 的詳細資訊，請參閱[移轉 WorkSpace](migrate-workspaces)。

## 在 WorkSpaces 上更新 Microsoft 365 Apps 企業版
<a name="microsoft365-update"></a>

根據預設，您在 Microsoft 視窗作業系統上執行的 WorkSpaces 會設定為接收來自 Windows Update 的更新。但是，Microsoft 365 Apps 企業版的更新無法透過 Windows Update 取得。設置更新以從 Office CDN 自動執行，或使用 Windows Server Update Services (WSUS) 搭配 Microsoft Configuration Manager 來更新 Microsoft 365 Apps 企業版。如需詳細資訊，請參閱[使用 Microsoft Configuration Manager 管理 Microsoft 365 Apps 的更新](https://learn.microsoft.com/en-us/deployoffice/updates/manage-microsoft-365-apps-updates-configuration-manager)。若要設定 Microsoft 365 應用程式更新的頻率，請指定更新通道並將其設定為「最新」或「每月企業」，以符合 Microsoft 365 的 WorkSpaces 授權政策。

# 升級 WorkSpaces Personal 中的 Windows BYOL WorkSpaces
<a name="upgrade-windows-10-byol-workspaces"></a>

在 Windows 自帶授權 (BYOL) WorkSpaces 上，您可以使用就地升級程序升級至較新版本的 Windows。若要這麼做，請遵循本主題中的指示。

就地升級程序僅適用於 Windows 10 和 11 BYOL WorkSpaces。

**重要**  
請勿在已升級的 WorkSpace 上執行 Sysprep。如果您這麼做，可能會發生阻止 Sysprep 完成的錯誤。如果您打算執行 Sysprep，僅在尚未升級的 WorkSpace 上執行此操作。

**注意**  
您可以使用此程序將 Windows 10 和 11 WorkSpaces 升級到較新的版本。但是，此程序無法用於將 Windows 10 WorkSpaces 升級到 Windows 11。

**Topics**
+ [先決條件](#upgrade_byol_prerequisites)
+ [考量事項](#upgrade_byol_important_considerations)
+ [已知限制](#byol-known-limitations)
+ [登錄機碼設定摘要](#upgrade_byol_registry_summary)
+ [執行就地升級](#upgrade_byol_procedure)
+ [疑難排解](#byol-troubleshooting)
+ [使用 PowerShell 指令碼來更新 WorkSpace 登錄](#update-windows-10-byol-script)

## 先決條件
<a name="upgrade_byol_prerequisites"></a>
+ 如果您已使用群組政策或 System Center Configuration Manager (SCCM) 延遲或暫停 Windows 10 和 11 升級，請為您的 Windows 10 和 11 WorkSpaces 啟用作業系統升級。
+ 如果 WorkSpace 是 AutoStop WorkSpace，請在就地升級程序之前將其變更為 AlwaysOn WorkSpace，這樣在套用更新時就不會自動停止。如需詳細資訊，請參閱[修改執行模式](running-mode.md#modify-running-mode)。如果您希望讓 WorkSpace 保持設定為 AutoStop，請在升級期間將 AutoStop 時間變更為三小時或更長時間。
+ 就地升級程序會藉由複製名為預設使用者 (`C:\Users\Default`) 的特殊設定檔來重新建立使用者設定檔。請勿使用此預設使用者設定檔進行自訂。建議改為透過群組政策物件 (GPO) 對使用者設定檔進行任何自訂。透過 GPO 進行的自訂可輕鬆地修改或復原，而且不易發生錯誤。
+ 就地升級程序只能備份並重新建立一個使用者設定檔。如果磁碟機 D 上有多個使用者設定檔，請刪除您所需以外的其他設定檔。

## 考量事項
<a name="upgrade_byol_important_considerations"></a>

就地升級程序會使用兩個登錄指令碼 (`enable-inplace-upgrade.ps1` 和 `update-pvdrivers.ps1`) 來對您的 WorkSpaces 進行必要的變更，以便執行 Windows Update 程序。這些變更涉及在磁碟機 C (而非磁碟機 D) 上建立 (暫時) 使用者設定檔。如果磁碟機 D 上已存在使用者設定檔，則該原始使用者設定檔中的資料會保留在磁碟機 D 上。

依預設，WorkSpaces 會在 `D:\Users\%USERNAME%` 中建立使用者設定檔。`enable-inplace-upgrade.ps1` 指令碼會將 Windows 設為在 `C:\Users\%USERNAME%` 中建立新的使用者設定檔，並將使用者 Shell 資料夾重新導向至 `D:\Users\%USERNAME%`。這個新的使用者設定檔會在使用者第一次登入時建立。

就地升級之後，您可選擇將使用者設定檔保留在磁碟機 C 上，讓使用者未來使用 Windows Update 程序來升級其電腦。但請注意，除非您自己備份並還原資料，否則無法重新建置或遷移設定檔儲存在磁碟機 C 上的 WorkSpaces，而不會遺失使用者設定檔中的所有資料。如果您決定將設定檔保留在磁碟機 C 上，您可使用 **UserShellFoldersRedirection** 登錄機碼，將使用者 shell 資料夾重新導向至磁碟機 D，如本主題稍後所述。

為了確保您可以重新建置或遷移 WorkSpaces，及避免任何潛在的使用者 shell 資料夾重新導向問題，建議您選擇在就地升級之後將使用者設定檔還原至磁碟機 D。您可使用 **PostUpgradeRestoreProfileOnD** 登錄機碼，如本主題稍後所述。

## 已知限制
<a name="byol-known-limitations"></a>
+ WorkSpace 重新建置或遷移期間不會發生使用者設定檔位置從磁碟機 D 變更為磁碟機 C。如果您在 Windows 10 或 11 BYOL WorkSpace 上執行就地升級，然後重建或遷移它，新的 WorkSpace 將在磁碟機 D 上具有使用者設定檔。
**警告**  
如果您在就地升級後將使用者設定檔保留在磁碟機 C 上，則儲存在磁碟機 C 上的使用者設定檔資料將會在重新建置或遷移期間遺失，除非您在重新建置或遷移前手動備份使用者設定檔資料，然後在執行重新建置或遷移程序後手動還原使用者設定檔資料。
+ 如果您的預設 BYOL 套件包含以舊版 Windows 10 和 11 為基礎的映像，您必須在重建或遷移 WorkSpace 之後再次執行就地升級。

## 登錄機碼設定摘要
<a name="upgrade_byol_registry_summary"></a>

若要啟用就地升級程序，並指定升級後的使用者設定檔位置，您必須設定數個登錄機碼。


**登錄路徑：**HKLM:\$1Software\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1****  

| 登錄機碼 | Type | 值 | 
| --- | --- | --- | 
| 已啟用 | DWORD |  **0** - (預設值) 停用就地升級 **1** - 啟用就地升級  | 
| PostUpgradeRestoreProfileOnD | DWORD |  **0** - (預設值) 在就地升級後不嘗試還原使用者設定檔路徑 **1** - 在就地升級後還原使用者設定檔路徑 (**ProfileImagePath**)  | 
| UserShellFoldersRedirection | DWORD |  **0** - 不啟用使用者 Shell 資料夾的重新導向 **1** - (預設值) 在 `C:\Users\%USERNAME%` 上重新產生使用者設定檔後，啟用使用者 shell 資料夾的重新導向至 `D:\Users\%USERNAME%`  | 
| NoReboot | DWORD |  **0** - (預設值) 允許您在修改使用者設定檔的登錄後，控制重新啟動的時間 **1** - 修改使用者設定檔的登錄後，不允許指令碼重新啟動 WorkSpace  | 


**登錄路徑：**HKLM:\$1Software\$1Amazon\$1WorkSpacesConfig\$1update-pvdrivers.ps1****  

| 登錄機碼 | Type | 值 | 
| --- | --- | --- | 
| 已啟用 | DWORD |  **0** – （預設） 停用 AWS PV 驅動程式更新 **1** – 啟用 AWS PV 驅動程式更新  | 

## 執行就地升級
<a name="upgrade_byol_procedure"></a>

若要在 BYOL WorkSpaces 上啟用就地 Windows 升級，您必須設定某些登錄機碼，如下列程序所述。您也必須設定某些登錄機碼，以指出在就地升級完成後，您希望使用者設定檔所在的磁碟機 (C 或 D)。

您可以手動進行這些登錄變更。如果您有多個 WorkSpaces 要更新，您可以使用群組政策或 SCCM 來推送 PowerShell 指令碼。如需 PowerShell 指令碼範例，請參閱 [使用 PowerShell 指令碼來更新 WorkSpace 登錄](#update-windows-10-byol-script)。

**執行 Windows 10 和 11 就地升級**

1. 請記下您更新之 Windows 10 和 11 BYOL WorkSpaces 目前執行的 Windows 版本，然後重新啟動。

1. 更新下列 Windows 系統登錄機碼，將**已啟用**的值資料從 **0** 變更為 **1**。這些登錄變更會啟用 WorkSpace 的就地升級。
   + **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1**
   + **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1update-pvdrivers.ps1**
**注意**  
如果這些機碼不存在，請重新啟動 WorkSpace。當系統重新啟動時，應該新增這些機碼。

   (選用) 如果您使用受管的工作流程 (例如 SCCM 任務序列) 來執行升級，請將下列機碼值設定為 **1**，以防止電腦重新開機：

   **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1\$1NoReboot**

1. 決定使用者設定檔在就地升級程序後所在的磁碟機 (如需詳細資訊，請參閱 [考量事項](#upgrade_byol_important_considerations))，並依下列方式設定登錄機碼：
   + 如果您希望使用者設定檔在升級後位於磁碟機 C 上，則設定如下：

     **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1**

     機碼名稱：**PostUpgradeRestoreProfileOnD**

     機碼值：**0**

     機碼名稱：**UserShellFoldersRedirection**

     機碼值：**1**
   + 如果您希望使用者設定檔在升級後位於磁碟機 D 上，則設定如下：

     **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1**

     機碼名稱：**PostUpgradeRestoreProfileOnD**

     機碼值：**1**

     機碼名稱：**UserShellFoldersRedirection**

     機碼值：**0**

1. 將變更儲存至登錄之後，再次重新啟動 WorkSpace，以便套用變更。
**注意**  
重新啟動後，登入 WorkSpace 會建立新的使用者設定檔。您可能會在**開始**功能表中看到預留位置圖示。此行為會在就地升級完成後自動解決。
請等候 10 分鐘，確保 WorkSpace 解除封鎖。

   (選用) 確認下列機碼值設定為 **1**，將 WorkSpace 解除封鎖以進行更新：

   **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1\$1profileImagePathDeleted**

1. 執行就地升級。您可以使用任何您喜歡的方法，例如 SCCM、ISO 或 Windows 更新 (WU)。視您原始的 Windows 10 和 11 版本以及安裝的應用程式數量而定，此程序可能需要 40 到 120 分鐘。
**注意**  
就地升級程序可能需要至少一個小時。在升級期間，WorkSpace 執行個體狀態可能會顯示為 `UNHEALTHY`。

1. 更新程序完成後，請確認 Windows 版本已更新。
**注意**  
如果就地升級失敗，Windows 會自動轉返，以使用開始升級之前就已就位的 Windows 10 和 11 版本。如需詳細資訊，請參閱 [ Microsoft 文件](https://docs.microsoft.com/en-us/windows/deployment/upgrade/resolve-windows-10-upgrade-errors)。

   (選用) 若要確認更新指令碼已成功執行，請確認下列機碼值設定為 **1**：

   **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Amazon\$1WorkSpacesConfig\$1enable-inplace-upgrade.ps1\$1scriptExecutionComplete**

1. 如果將 WorkSpace 的執行模式設為 AlwaysOn 或變更 AutoStop 期間，藉此修改該執行模式，以便就地升級程序可在不中斷的情形下執行，請將執行模式設回原始設定。如需詳細資訊，請參閱[修改執行模式](running-mode.md#modify-running-mode)。

如果您尚未將 **PostUpgradeRestoreProfileOnD** 登錄機碼設定為 **1**，則 Windows 會重新產生使用者設定檔，並在就地升級`C:\Users\%USERNAME%`後放入 ，因此您不必針對未來的 Windows 10 和 11 就地升級再次執行上述步驟。根據預設，`enable-inplace-upgrade.ps1` 指令碼會將下列 Shell 資料夾重新導向至磁碟機 D：
+ `D:\Users\%USERNAME%\Downloads`
+ `D:\Users\%USERNAME%\Desktop`
+ `D:\Users\%USERNAME%\Favorites`
+ `D:\Users\%USERNAME%\Music`
+ `D:\Users\%USERNAME%\Pictures`
+ `D:\Users\%USERNAME%\Videos`
+ `D:\Users\%USERNAME%\Documents`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Network Shortcuts`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\SendTo`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Templates`

如果您將 Shell 資料夾重新導向至 WorkSpaces 上的其他位置，請在就地升級後對 WorkSpaces 執行必要的作業。

## 疑難排解
<a name="byol-troubleshooting"></a>

如果您在更新時遇到任何問題，可以檢查下列項目協助進行疑難排解：
+ Windows 日誌預設位於下列位置：

  `C:\Program Files\Amazon\WorkSpacesConfig\Logs\`

  `C:\Program Files\Amazon\WorkSpacesConfig\Logs\TRANSMITTED`
+ Windows 事件檢視器

  Windows 日誌 > 應用程式 > 來源：Amazon WorkSpaces

**提示**  
在就地升級過程中，如果您看到桌面上的某些圖示捷徑不再有作用，這是因為 WorkSpaces 會將位於磁碟機 D 上的任何使用者設定檔移至磁碟機 C 以準備升級。升級完成後，捷徑就會如預期般運作。

### 使用 ISO 錯誤解析進行 Windows 11 24H2 升級
<a name="upgrade-iso-resolution"></a>

Windows 11 24H2 升級程序可能會在第二個開機階段遇到重大開機失敗，特別是呈現錯誤碼 0xC1900101 - 0x40017。此錯誤通常是因為系統驅動程式檔案遺失或損毀，導致安裝無法在開機操作階段順利完成。

*錯誤代碼：*0xC1900101 - 0x40017

*錯誤描述：*在 SECOND\$1BOOT 階段發生 BOOT 操作錯誤時發生安裝失敗

1. 確定您擁有 Windows 11 24H2 ISO 檔案。

1. 以管理員身分開啟命令提示字元。

1. 使用此命令複製所需的系統檔案：

   ```
   copy "ISO-Drive:\Sources\WinSetupMon.sys" "C:\Windows\System32\Drivers\"
   ```

   將 **ISO-Drive** 取代為您的 ISO 磁碟機資訊。

1. 使用 來驗證檔案複本：

   ```
   C:\Windows\System32\Drivers\
   ```

1. 使用 ISO 檔案啟動 Windows 11 24H2 升級。

## 使用 PowerShell 指令碼來更新 WorkSpace 登錄
<a name="update-windows-10-byol-script"></a>

您可使用下列範例 PowerShell 指令碼來更新 WorkSpaces 上的登錄，以啟用就地升級。請遵循 [執行就地升級](#upgrade_byol_procedure)，但使用此指令碼來更新每個 WorkSpace 上的登錄。

```
# AWS WorkSpaces 1.28.20
# Enable In-Place Update Sample Scripts
# These registry keys and values will enable scripts to run on the next reboot of the WorkSpace.
 
$scriptlist = ("update-pvdrivers.ps1","enable-inplace-upgrade.ps1")
$wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig"
$Enabled = 1
$script:ErrorActionPreference = "Stop"
 
foreach ($scriptName in $scriptlist)
{
    $scriptRegKey = "$wsConfigRegistryRoot\$scriptName"
    
    try
    {
        if (-not(Test-Path $scriptRegKey))
        {        
            Write-Host "Registry key not found. Creating registry key '$scriptRegKey' with 'Update' enabled."
            New-Item -Path $wsConfigRegistryRoot -Name $scriptName | Out-Null
            New-ItemProperty -Path $scriptRegKey -Name Enabled -PropertyType DWord -Value $Enabled | Out-Null
            Write-Host "Value created. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"
        }
        else
        {
            Write-Host "Registry key is already present with value '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"
            if((Get-ItemProperty -Path $scriptRegKey).Enabled -ne $Enabled)
            {
                Set-ItemProperty -Path $scriptRegKey -Name Enabled -Value $Enabled
                Write-Host "Value updated. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"
            }
        }
    }
    catch
    {
        write-host "Stopping script, the following error was encountered:" `r`n$_ -ForegroundColor Red
        break
    }
}
```

# 在 WorkSpace WorkSpaces
<a name="migrate-workspaces"></a>

**注意**  
如果您想要從 WorkSpace 透過 AWS 取消訂閱或解除安裝 Microsoft Office 版本授權，建議您使用[管理應用程式](manage-applications)。

您可以將 WorkSpace 從一個套件遷移到另一個套件，同時保留使用者磁碟區上的資料。範例案例如下：
+ 您可以將 WorkSpaces 從 Windows 7 桌面體驗遷移至 Windows 10 桌面體驗。
+ 您可以將 WorkSpaces 從 PCoIP 通訊協定遷移至 DCV。
+ 您可以將 WorkSpaces 從 Windows Server 2016 支援的 WorkSpaces 套件上的 32 位元 Microsoft Office 遷移至 Windows Server 2019 和 Windows Server 2022 支援的 WorkSpaces 套件上的 64 位元 Microsoft Office。
+ 您可以將 WorkSpaces 從一個公用或自訂套件遷移到另一個套件。例如，您可以從啟用 GPU 的遷移 (Graphics.g6、Graphics.g4dn。 non-GPU-enabled 套件的 GraphicsPro.g4dn,Graphics 和 GraphicsPro) 套件，以及其他方向的套件。
+ 您可以將 WorkSpaces 從 Windows 10 BYOL 遷移至 Windows 11 BYOL，但不支援從 Windows 11 遷移至 Windows 10。
+ Windows 11 不支援超值套件。若要將 Windows 7 或 10 超值套件 WorkSpaces 遷移到 Windows 11，您需要先將超值 WorkSpaces 切換至更大的套件產品。
+ 在將 WorkSpaces 從 Windows 7 遷移到 Windows 11 之前，您需要先將其遷移到 Windows 10。請至少登入 Windows 10 WorkSpace 一次，再將其遷移至 Windows 11。不支援從 Windows 7 WorkSpaces 直接遷移至 Windows 11。
+ 您可以將使用 Microsoft Office 的 Windows WorkSpaces 遷移 AWS 到具有 Microsoft 365 應用程式的自訂 WorkSpaces 套件。遷移之後，您的 WorkSpaces 就會從 Microsoft Office 取消訂閱。
+ 您可以將使用 Microsoft Office 的 Windows WorkSpaces 遷移 AWS 到沒有 Office 2016/2019 訂閱的 WorkSpaces 套件。遷移之後，您的 WorkSpaces 就會從 Microsoft Office 取消訂閱。
+ 您可以將 BYOL BYOP WorkSpaces 從 Windows 10 遷移至 Windows 11，並將包含授權的 BYOP WorkSpaces 從 Windows Server 2019 遷移至 Windows Server 2022。
+ 您可以將任何 Windows Server 支援的 WorkSpace 套件遷移至 Windows Server 2025。遷移後，您將使用 DCV 串流通訊協定來啟用高效能遠端桌面串流，即使使用圖形密集型應用程式，在不同的網路條件下也是如此，即使使用功能較差的用戶端裝置也是如此。
+ 您可以將任何包含 BYOP WorkSpace 授權的 Windows Server 套件遷移至 BYOP Windows Server 2025。

如需 Amazon WorkSpaces 套件的詳細資訊，請參閱 [WorkSpaces Personal 的套件和映像](amazon-workspaces-bundles.md)。

遷移程序會使用目標套件映像中的新根磁碟區以及原始 WorkSpace 的最後可用快照中的使用者磁碟區來重新建立 WorkSpace。遷移期間會產生新的使用者設定檔，以提高相容性。舊的使用者設定檔會重新命名，然後舊使用者設定檔中的某些檔案會移至新的使用者設定檔。(如需移動內容的詳細資訊，請參閱 [遷移期間發生的事](#during-migration)。)

每個 WorkSpace 的遷移程序最多需要一小時的時間。當您起始遷移程序時，會建立新的 WorkSpace。如果發生阻止成功遷移的錯誤，原始 WorkSpace 會復原並回到其原始狀態，而且終止新的 WorkSpace。

**Contents**
+ [遷移限制](#migration-limits)
+ [遷移案例](#migration-scenarios)
+ [遷移期間發生的事](#during-migration)
+ [最佳實務](#migration-best-practices)
+ [疑難排解](#migration_troubleshooting)
+ [計費影響](#migration-billing)
+ [遷移 WorkSpace](#migration-workspaces)

## 遷移限制
<a name="migration-limits"></a>
+ 您無法遷移至公用或自訂 Windows 7 桌面體驗套件。您也無法遷移至自帶授權 (BYOL) Windows 7 套件。
+ 您只能將 BYOL WorkSpaces 遷移至其他 BYOL 套件。若要將 BYOL WorkSpace 從 PCoIP 遷移至 DCV，您必須先使用 DCV 通訊協定建立 BYOL 套件。然後，您可以將 PCoIP BYOL WorkSpaces 遷移至該 DCV BYOL 套件。
+ 您無法將從公用或自訂套件建立的 WorkSpace 遷移至 BYOL 套件。
+ DCV 通訊協定支援 Windows 上的 Graphics G6 套件、Graphics.g4dn 和 GraphicsPro.g4dn 在 Ubuntu 上，只有 Graphics.g4dn 和 GraphicsPro.g4dn 可用。
+ PCoIP 通訊協定僅支援 Windows 上的 Graphics.g4dn 和 GraphicsPro.g4dn 套件。
+ 目前不支援遷移 Linux WorkSpaces。
+ 在支援多種語言的 AWS 區域中，您可以在語言套件之間遷移 WorkSpaces。
+ 來源和目標套件必須不同。(但是，在支援多種語言的區域中，只要語言不同，您就可以遷移至相同的 Windows 10 套件。) 如果您想要使用相同的套件重新整理 WorkSpace，請改為[重新建置 WorkSpace](rebuild-workspace.md)。
+ 您無法跨區域遷移 WorkSpaces。
+ 在某些情況下，如果遷移無法順利完成，您可能不會收到錯誤訊息，而且可能遷移程序似乎尚未開始。如果 WorkSpace 套件在嘗試遷移一小時後維持不變，則遷移不成功。聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)尋求協助。
+ 您無法將 BYOP WorkSpaces 遷移至 PCoIP 或 DCV WorkSpaces。
+ 您無法將 Active Directory 加入網域的 WorkSpaces 遷移至 Microsoft 加入的 WorkSpaces。

## 遷移案例
<a name="migration-scenarios"></a>

下表顯示可用的遷移案例：


| 來源作業系統 | 目標作業系統 | 可用？ | 
| --- | --- | --- | 
|  公用或自訂套件 Windows 7  |  公用或自訂套件 Windows 10  |  是  | 
|  自訂套件 Windows 7  |  公用套件 Windows 7  |  否  | 
|  自訂套件 Windows 7  |  自訂套件 Windows 7  |  否  | 
|  公用套件 Windows 7  |  自訂套件 Windows 7  |  否  | 
|  公用或自訂套件 Windows 10  |  公用或自訂套件 Windows 7  |  否  | 
|  公用或自訂套件 Windows 10  |  自訂套件 Windows 10  |  是  | 
|  Windows 7 BYOL 套件  |  Windows 7 BYOL 套件  | 否 | 
| Windows 7 BYOL 套件 |  Windows 10 BYOL 套件  |  是  | 
|  Windows 10 BYOL 套件  |  Windows 7 BYOL 套件  |  否  | 
|  Windows 10 BYOL 套件  |  Windows 10 BYOL 套件  |  是  | 
|  Windows Server 2016 支援的公用 Windows 10 套件  |  Windows Server 2019 支援的公用 Windows 10 套件  |  是  | 
|  Windows Server 2019 支援的公用 Windows 10 套件  |  Windows Server 2016 支援的公用 Windows 10 套件  |  是  | 
|  Windows 10 BYOL 套件  |  Windows 11 BYOL 套件  |  是  | 
|  Windows 11 BYOL 套件  |  Windows 10 BYOL 套件  |  否  | 
|  Windows Server 2016 支援的自訂 Windows 10 套件  |  Windows Server 2019 支援的公用 Windows 10 套件  |  是  | 
|  Windows Server 2016 支援的自訂 Windows 10 套件  |  Windows Server 2022 支援的公用 Windows 10 套件  |  是  | 
|  Windows Server 2019 支援的自訂 Windows 10 套件  |  Windows Server 2022 支援的公用 Windows 10 套件  |  是  | 
| Windows 10 BYOP BYOL | Windows 11 BYOP BYOL | 是 | 
| Windows 11 BYOP BYOL | Windows 10 BYOP BYOL | 否 | 
| Windows Server 2019 支援的公有 BYOP  | 採用 Windows Server 2022 技術的公有 BYOP  | 是 | 
| 採用 Windows Server 2022 技術的公有 BYOP  | Windows Server 2019 支援的公有 BYOP  | 否 | 
| Windows Server 2019 支援的公有 BYOP  | 採用 Windows Server 2025 技術的公有 BYOP  | 是 | 
| 採用 Windows Server 2025 技術的公有 BYOP  | Windows Server 2019 支援的公有 BYOP  | 否 | 
| 採用 Windows Server 2022 技術的公有 BYOP  | 採用 Windows Server 2025 技術的公有 BYOP  | 是 | 
| 採用 Windows Server 2025 技術的公有 BYOP  | 採用 Windows Server 2022 技術的公有 BYOP  | 否 | 
| Windows Server 2019 支援的公用 Windows 10 套件  | 採用 Windows Server 2025 技術的公有 BYOP  | 是 | 
| Windows Server 2019 支援的自訂 Windows 10 套件  | 採用 Windows Server 2025 技術的公有 BYOP  | 是 | 
| Windows Server 2022 支援的公用 Windows 10 套件  | 採用 Windows Server 2025 技術的公有 BYOP  | 是 | 
| 支援 Windows Server 2022 的自訂 Windows 10 套件  | 採用 Windows Server 2025 技術的公有 BYOP  | 是 | 

**注意**  
Web 存取不適用於 Windows Server 2019 支援的公用 Windows 10 套件 PCoIP 分支。

## 遷移期間發生的事
<a name="during-migration"></a>

在遷移期間，會保留使用者磁碟區 (磁碟機 D) 上的資料，但是根磁碟區 (磁碟機 C) 上的所有資料都會遺失。這表示不會保留任何已安裝的應用程式、設定和登錄變更。舊的使用者設定檔資料夾會以 `.NotMigrated` 字尾重新命名，並建立新的使用者設定檔。

遷移程序會根據原始使用者磁碟區的最後一個快照重新建立磁碟機 D。在新 WorkSpace 第一次啟動期間，遷移程序會將原始 `D:\Users\%USERNAME%` 資料夾移至名為 `D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` 的資料夾。新的作業系統會產生新的 `D:\Users\%USERNAME%\` 資料夾。

建立新的使用者設定檔之後，下列使用者 shell 資料夾中的檔案會從舊的 `.NotMigrated` 設定檔移至新設定檔：
+ `D:\Users\%USERNAME%\Desktop`
+ `D:\Users\%USERNAME%\Documents`
+ `D:\Users\%USERNAME%\Downloads`
+ `D:\Users\%USERNAME%\Favorites`
+ `D:\Users\%USERNAME%\Music`
+ `D:\Users\%USERNAME%\Pictures`
+ `D:\Users\%USERNAME%\Videos`

**重要**  
遷移程序會嘗試將檔案從舊使用者設定檔移至新設定檔。遷移期間內任何未移動的檔案都會保留在 `D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` 資料夾中。如果遷移成功，您可以查看哪些檔案移入 `C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs`。您可以手動移動任何未自動移動的檔案。  
依預設，公用套件會停用本機搜尋檢索。若要加以啟用，則預設會搜尋 `C:\Users` 而不是 `D:\Users`，因此您也需要進行調整。如果您已將本機搜尋檢索特別設定為 `D:\Users\username` 而非 `D:\Users`，則本機搜尋檢索可能無法在遷移後對 `D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` 資料夾中的任何使用者檔案運作。

任何指派給原始 WorkSpace 的標籤都會在遷移期間延續，而且保留 WorkSpace 的執行模式。不過，新的 WorkSpace 會取得新的 WorkSpace ID、電腦名稱和 IP 地址。

## 最佳實務
<a name="migration-best-practices"></a>

遷移 WorkSpace 之前，請執行下列操作：
+ 將磁碟機 C 上的所有重要資料備份到另一個位置。遷移期間，磁碟機 C 上的所有資料都會清除。
+ 確定進行遷移的 WorkSpace 至少存留 12 小時，以確保已建立使用者磁碟區的快照。在 Amazon WorkSpaces 主控台的**遷移 WorkSpaces** 頁面上，您可以查看最後一次快照的時間。遷移期間，最後一次快照之後建立的任何資料都會遺失。
+ 若要避免潛在的資料遺失，請確定使用者已登出其 WorkSpaces，而且在遷移程序完成之前不會重新登入。請注意，無法遷移處於 `ADMIN_MAINTENANCE` 模式的 WorkSpaces。
+ 確定您要遷移的 WorkSpaces 的狀態為 `AVAILABLE`、`STOPPED` 或 `ERROR`。
+ 確定您有足夠的 IP 地址可供您要遷移的 WorkSpaces 使用。在遷移期間，系統會為 WorkSpaces 配置新的 IP 地址。
+ 如果您使用指令碼來遷移 WorkSpaces，請以一次不超過 25 個 WorkSpaces 的方式分批遷移。

## 疑難排解
<a name="migration_troubleshooting"></a>
+ 如果使用者在遷移之後回報遺失檔案，請查看其使用者設定檔是否未在遷移過程中移動。您可以查看哪些檔案移入 `C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs`。未移動的檔案將位於 `D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` 資料夾中。您可以手動移動任何未自動移動的檔案。
+ 如果您使用 API 來遷移 WorkSpaces，但遷移未成功，則不會使用 API 所傳回的目標 WorkSpace ID，而且 WorkSpace 仍會有原始 WorkSpace ID。
+ 如果遷移未成功完成，請檢查 Active Directory 以查看其是否已相應地清除。您可能需要手動移除不再需要的 WorkSpaces。

## 計費影響
<a name="migration-billing"></a>

在進行遷移的月份，您需按比例支付新的 WorkSpace 和原始 WorkSpace 費用。例如，如果您在 5 月 10 日將 WorkSpace A 遷移到 WorkSpace B，則您需支付從 5 月 1 日至 5 月 10 日的 WorkSpace A 費用，以及支付從 5 月 11 日至 5 月 30 日的 WorkSpace B 費用。

**注意**  
如果您要將 WorkSpace 遷移至不同的套件類型 (例如，從 Performance 遷移至 Power，或從超值遷移至標準)，則在遷移過程中，根磁碟區 (磁碟機 C) 和使用者磁碟區 (磁碟機 D) 的大小可能會增加。如有必要，根磁碟區會增加以符合新套件的預設根磁碟區大小。但是，如果您已經為使用者磁碟區指定的大小與原始套件的預設值不同 (更大或更小)，則在遷移過程中會保留相同的使用者磁碟區大小。否則，遷移程序會使用較大的來源 WorkSpace 使用者磁碟區大小，以及新套件的預設使用者磁碟區大小。

## 遷移 WorkSpace
<a name="migration-workspaces"></a>

您可以透過 Amazon WorkSpaces 主控台、 AWS CLI 或 Amazon WorkSpaces API 遷移 WorkSpaces。 Amazon WorkSpaces 

**移轉 WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取您的 WorkSpace，然後選擇**動作**、**遷移 WorkSpaces**。

1. 在**套件**之下，選取您要將 WorkSpace 遷移至的套件。
**注意**  
若要將 BYOL WorkSpace 從 PCoIP 遷移至 DCV，您必須先使用 DCV 通訊協定建立 BYOL 套件。然後，您可以將 PCoIP BYOL WorkSpaces 遷移至該 DCV BYOL 套件。

1. 選擇**遷移 WorkSpaces**。

   狀態為 `PENDING` 的新 WorkSpace 會出現在 Amazon WorkSpaces 主控台中。遷移完成時，原始 WorkSpace 會終止，而新 WorkSpace 的狀態會設定為 `AVAILABLE`。

1. (選用) 若要刪除您不再需要的任何自訂套件和映像，請參閱 [在 WorkSpaces Personal 中刪除自訂套件或映像](delete_bundle.md)。

若要透過 遷移 WorkSpaces AWS CLI，請使用 [migrate-workspace](https://docs.aws.amazon.com/cli/latest/reference/workspaces/migrate-workspace.html) 命令。若要透過 Amazon WorkSpaces API 遷移 WorkSpaces，請參閱《Amazon WorkSpaces API 參考》**中的 [MigrateWorkSpace](https://docs.aws.amazon.com/workspaces/latest/api/API_MigrateWorkspace.html)。

# 在 WorkSpace WorkSpaces
<a name="delete-workspaces"></a>

WorkSpace 結束使用後即可刪除。您也可以刪除相關資源。

**警告**  
刪除 WorkSpace 是永久動作，無法復原。WorkSpace 使用者的資料不會持續存在，而且會被銷毀。如需備份使用者資料的協助，請聯絡 AWS 支援。

**注意**  
您可以免費使用 Simple AD 和 AD Connector，以便與 WorkSpaces 搭配使用。如果連續 30 天沒有任何 WorkSpaces 搭配您的 Simple AD 或 AD Connector 目錄使用，則此目錄會自動取消註冊以便搭配 Amazon WorkSpaces 使用，而且您需依據 [AWS Directory Service 定價條款](https://aws.amazon.com/directoryservice/pricing/)支付此目錄的費用。  
若要刪除空目錄，請參閱 [刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。如果您刪除 Simple AD 或 AD Connector 目錄，當您想要再次開始使用 WorkSpaces 時，隨時都可以建立新的目錄。

**如要刪除 WorkSpace**

您可以刪除處於**暫停**以外任何狀態的 WorkSpace。

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取您的 WorkSpace，然後選擇**刪除**。

1. 出現確認提示時，請選擇**刪除 WorkSpace**。刪除 WorkSpace 大約需要 5 分鐘。在刪除期間，WorkSpace 的狀態會設定為**終止中**。刪除完成時，WorkSpace 會從主控台中消失。

1. (選用) 若要刪除您已完成的任何自訂套件和映像，請參閱 [在 WorkSpaces Personal 中刪除自訂套件或映像](delete_bundle.md)。

1. (選用) 刪除目錄中的所有 WorkSpaces 之後，您可以刪除該目錄。如需詳細資訊，請參閱[刪除 WorkSpaces Personal 的目錄](delete-workspaces-directory.md)。

1. (選用) 刪除目錄的虛擬私有雲端 (VPC) 中的所有資源後，您可以刪除 VPC 並釋放用於 NAT 閘道的彈性 IP 地址。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[刪除 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting)和[使用彈性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs)。

**使用 刪除 WorkSpace AWS CLI**  
使用 [terminate-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/terminate-workspaces.html) 命令。

# WorkSpaces Personal 的套件和映像
<a name="amazon-workspaces-bundles"></a>

*WorkSpace 套件*是作業系統、儲存體、運算和軟體資源的組合。當您啟動 WorkSpace 時，請選取符合您需求的套件。WorkSpaces 可用的預設套件稱為*公用套件*。如需有關可用於 WorkSpaces 之各種公用套件的詳細資訊，請參閱 [Amazon WorkSpaces 套件](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)。

如果您已啟動 Windows 或 Linux WorkSpace 並加以自訂，您可從該 WorkSpace 建立自訂映像檔。

*自訂映像*僅包含 WorkSpace 的作業系統、軟體和設定。*自訂套件*是該自訂映像和可從中啟動 WorkSpace 之硬體的組合。

建立自訂映像後，您可以建置自訂套件，以結合自訂 WorkSpace 映像和您選取的基礎運算和儲存體組態。然後，您可以在啟動新 WorkSpaces 時指定此自訂套件，以確保新的 WorkSpaces 具有相同的一致組態 (硬體和軟體)。

如果您需要執行軟體更新或在 WorkSpaces 上安裝其他軟體，您可以更新自訂套件並使用它來重新建置 WorkSpaces。

WorkSpaces 支援數種不同的作業系統 (OS)、串流通訊協定和套件。下表提供每個作業系統支援的授權、串流通訊協定和套件的相關資訊。


| 作業系統 | 授權 | 串流通訊協定 | 支援的套件 | 生命週期政策/淘汰日期 | 
| --- | --- | --- | --- | --- | 
| Windows Server 2016 | 包含 | DCV、PCoIP | Value、Standard、Performance、Power、PowerPro、GraphicsPro、Graphics G4dn | [2027 年 1 月 12 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2016) | 
| Windows Server 2019 | 包含 | DCV、PCoIP | Value、Standard、Performance、Power、PowerPro、GraphicsPro、Graphics G4dn | [2029 年 1 月 9 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2019) | 
| Windows Server 2022 | 包含 | DCV、PCoIP | Standard、Performance、Power、PowerPro、GeneralPurpose、 Graphics G4dn、Graphics G6 | [2031 年 10 月 14 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2022) | 
| Windows Server 2025 | 包含 | DCV | Standard、Performance、Power、PowerPro、GeneralPurpose、 Graphics G4dn、Graphics G6 | [2034 年 11 月 14 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2025) | 
| Windows 10 | 使用自有授權 (BYOL) | DCV、PCoIP | Value、Standard、Performance、Power、PowerPro、GraphicsPro、Graphics G4dn | [支援中](https://learn.microsoft.com/en-us/windows/release-health/release-information) | 
| Windows 11 | 使用自有授權 (BYOL) | DCV | Standard、Performance、Power、PowerPro、GeneralPurpose、 Graphics G4dn、Graphics G6 | [支援中](https://learn.microsoft.com/en-us/windows/release-health/windows11-release-information) | 
| Amazon Linux 2 | 包含 | DCV、PCoIP | 值、標準、效能、電源、PowerPro | [支援中](https://aws.amazon.com/amazon-linux-2/faqs/) | 
| Ubuntu 22.04 LTS | 包含 | DCV | Value、Standard、Performance、Power、PowerPro、Graphics G4dn | [2032 年 6 月](https://ubuntu.com/about/release-cycle) | 
| Rocky Linux 8 | 包含 | DCV | 值、標準、效能、電源、PowerPro | [2029 年 5 月 31 日](https://ciq.com/services/long-term-support/) | 
| Red Hat Enterprise Linux 8 | 包含 | DCV | 值、標準、效能、電源、PowerPro | [2029 年 5 月 31 日](https://access.redhat.com/support/policy/updates/errata) | 

**注意**  
廠商不再支援的作業系統版本不保證可正常運作，也不支援 AWS 支援。
對於在 Windows 作業系統上執行的 WorkSpaces，圖形套件僅支援 PCoIP 串流通訊協定。

**Topics**
+ [WorkSpaces Personal 的套件選項](bundle-options.md)
+ [建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件](create-custom-bundle.md)
+ [更新 WorkSpaces Personal 的自訂套件](update-custom-bundle.md)
+ [在 WorkSpaces Personal 中複製自訂映像](copy-custom-image.md)
+ [在 WorkSpaces Personal 中共用或取消共用自訂映像](share-custom-image.md)
+ [在 WorkSpaces Personal 中刪除自訂套件或映像](delete_bundle.md)

# WorkSpaces Personal 的套件選項
<a name="bundle-options"></a>

選取套件之前，確定您要選取的套件與您 WorkSpaces 的協定、作業系統、網路和運算類型相容。如需有關協定的詳細資訊，請參閱 [Amazon WorkSpaces 的協定](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-protocols.html)。如需有關網路的詳細資訊，請參閱 [Amazon WorkSpaces 用戶端網路需求](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-network-requirements.html)。

**注意**  
對於 PCoIP WorkSpaces，我們建議不要超過 250 毫秒的網路延遲上限。為了獲得最佳的 PCoIP WorkSpaces 使用者體驗，我們建議將網路延遲保持在 100 毫秒以下。當往返時間 (RTT) 超過 375 毫秒時，WorkSpaces 用戶端連線將會關閉。為了獲得最佳 DCV 使用者體驗，我們建議將 RTT 保持在 250 毫秒以下。如果 RTT 介於 250 毫秒到 400 毫秒之間，使用者可以存取 WorkSpace，但效能會大幅降低。
建議執行並使用可複寫使用者日常工作的應用程式，以測試您要在測試環境中選擇的套件效能。
BYOP （自帶通訊協定） 套件適用於 WorkSpaces Core。Amazon WorkSpaces 提供的 BYOP 套件未安裝 WorkSpaces 提供的串流通訊協定。您將無法使用 WorkSpaces 用戶端或閘道進行連線。若要了解 Amazon WorkSpaces Core 的共同責任模型，請參閱 [ Amazon WorkSpaces Core 的技術合作夥伴整合指南](chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://docs.aws.amazon.com/pdfs/workspaces-core/latest/pg/workspacescore-pg.pdf)。如需詳細資訊，請參閱 [ Amazon WorkSpaces Core](https://aws.amazon.com/workspaces-family/core/)。

**重要**  
GraphicsPro 套件已於 2025 年 10 月 31 日end-of-life 我們建議您在 2025 年 10 月 31 日之前將 GraphicsPro WorkSpaces 遷移至支援的套件。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](migrate-workspaces.md)。
在 2023 年 11 月 30 日之後，不再支援 Graphics 套件。建議使用圖形套件切換到 WorkSpaces 支援的 GPU 啟用套件。
亞太 (孟買) 地區目前無法使用 Graphics 和 GraphicsPro 套件。
2025 年 10 月 14 日之後，將不再支援搭配 Office 2016 或 Office 2019 的 Plus 應用程式套件組合。我們建議您將 WorkSpaces 套件與那些 Office 版本一起遷移，以使用 Office 2021 或 Office 2024。如需詳細資訊，請參閱[管理 WorkSpaces Personal 中的應用程式](manage-applications)。

以下是 WorkSpaces 提供的套件。如需 WorkSpaces 中套件的相關資訊，請參閱 [Amazon WorkSpaces 套件](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)。

## 超值套件
<a name="value"></a>

此套件非常適合下列各項：
+ 基本文字編輯和資料輸入
+ 輕度使用的網頁瀏覽
+ 即時訊息

不建議將此套件用於文字處理、音訊和視訊會議、螢幕共用、軟體開發工具、商業智慧應用程式和圖形應用程式。

## 標準套件
<a name="standard"></a>

此套件非常適合下列各項：
+ 基本文字編輯和資料輸入
+ 網頁瀏覽
+ 即時訊息
+ Email

不建議將此套件用於音訊和視訊會議、螢幕共用、文字處理、軟體開發工具、商業智慧應用程式和圖形應用程式。

## 效能套件
<a name="performance"></a>

此套件非常適合下列各項：
+ 網頁瀏覽
+ 文字處理
+ 即時訊息
+ 電子郵件
+ 試算表
+ 音訊處理
+ 課程教材

不建議將此套件用於視訊會議、螢幕共用、軟體開發工具、商業智慧應用程式和圖形應用程式。

## Power 套件
<a name="power"></a>

此套件非常適合下列各項：
+ 網頁瀏覽
+ 文字處理
+ 電子郵件
+ 即時訊息
+ 試算表
+ 音訊處理
+ 軟體開發 (整合式開發環境 (IDE))
+ 入門到中級資料處理
+ 音訊和視訊會議

不建議將此套件用於螢幕共用、軟體開發工具、商業智慧應用程式和圖形應用程式。

## PowerPro 套件
<a name="powerpro"></a>

此套件非常適合下列各項：
+ 網頁瀏覽
+ 文字處理
+ 電子郵件
+ 即時訊息
+ 試算表
+ 音訊處理
+ 軟體開發 (整合式開發環境 (IDE))
+ 資料倉儲
+ 商業智慧應用程式
+ 音訊和視訊會議

不建議將此套件用於機器學習模型訓練和圖形應用程式。

## 一般用途套件
<a name="generalpurpose"></a>

這些套件非常適合下列情況，包括 GeneralPurpose.4xlarge 和 GeneralPurpose.8xlarge,：
+ 網頁瀏覽
+ 文字處理
+ 電子郵件
+ 即時訊息
+ 試算表
+ 音訊處理
+ 軟體開發 (整合式開發環境 (IDE))
+ 資料倉儲
+ 商業智慧應用程式
+ 音訊和視訊會議
+ 批次處理
+ CPU 型 ML （機器學習） 模型訓練

不建議將此套件用於複雜模型的 3D 渲染、逼真的設計、遊戲串流或 ML 模型訓練。

## 圖形 G6 套件
<a name="graphicsg6"></a>

G6 WorkSpace 套件使用 NVIDIA L4 GPUs 搭配第三代 AMD EPYC (Milan) 處理器，提供三種變體：G6, Gr6 和 G6f。G6 WorkSpaces 具有標準 1：4 vCPU-to-memory比率，可為一般圖形工作負載提供平衡的運算和記憶體資源。Gr6 WorkSpaces 提供 1：8 vCPU-to-memory比率，為具有較高記憶體需求的圖形應用程式提供每個 vCPU 兩倍的記憶體。G6f WorkSpaces 提供小數 GPU 配置，使其適用於不需要完整 GPU 處理容量以進行運算密集型操作的工作負載。如需詳細資訊，請參閱 [Amazon EC2 G6 執行個體頁面](https://aws.amazon.com/ec2/instance-types/g6/)。G6 WorkSpace 套件支援現有套件支援的所有使用案例，例如每日任務、資料處理和分析、音訊會議和軟體開發。此外，它們會啟用下列使用案例：
+ 圖形設計
+ CAD/CAM (電腦輔助設計/電腦輔助製造)
+ 視訊轉碼
+ 3D 轉譯
+ 遊戲串流
+ ML (機器學習) 模型訓練與 ML 推論

## Graphics.g4dn 套件
<a name="graphicsg4dn"></a>

此套件為 WorkSpaces 提供高層級的圖形效能，以及中等層級的 CPU 效能和記憶體，非常適合下列各項：
+ 網頁瀏覽
+ 文字處理
+ 電子郵件
+ 試算表
+ 即時訊息
+ 音訊會議
+ 軟體開發 (整合式開發環境 (IDE))
+ 入門到中級資料處理
+ 資料倉儲
+ 商業智慧應用程式
+ 圖形設計
+ CAD/CAM (電腦輔助設計/電腦輔助製造)

不建議將此套件用於音訊和視訊會議、3D 渲染、逼真的設計和機器學習模型訓練。

## GraphicsPro.g4dn 套件
<a name="graphicsprog4dn"></a>

此套件可為 WorkSpaces 提供高等級的圖形效能、CPU 效能和記憶體，非常適合下列各項：
+ 網頁瀏覽
+ 文字處理
+ 電子郵件
+ 試算表
+ 即時訊息
+ 音訊會議
+ 軟體開發 (整合式開發環境 (IDE))
+ 入門到中級資料處理
+ 資料倉儲
+ 商業智慧應用程式
+ 圖形設計
+ CAD/CAM (電腦輔助設計/電腦輔助製造)
+ 視訊轉碼
+ 3D 轉譯
+ 相片寫實風格設計
+ 遊戲串流
+ ML (機器學習) 模型訓練與 ML 推論

不建議將此套件用於音訊和視訊會議。

# 建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件
<a name="create-custom-bundle"></a>

如果您已啟動 Windows 或 Linux WorkSpace 並加以自訂，您可以從該 WorkSpace 建立自訂映像和自訂套件。

*自訂映像*僅包含 WorkSpace 的作業系統、軟體和設定。*自訂套件*是該自訂映像與可從中啟動 WorkSpace 之硬體的組合。

**注意**  
請務必在刪除套件後等待至少 2 小時，再以相同名稱建立新的套件。

建立自訂映像後，您可以建置自訂套件，其結合自訂映像以及您選取的基礎運算和儲存組態。然後，您可以在啟動新的 WorkSpaces 時指定此自訂套件，以確保新的 WorkSpaces 具有相同的一致組態 (硬體和軟體)。

藉由為每個套件選取不同的運算和儲存選項，您可使用相同的自訂映像來建立各種自訂套件。<a name="important_note"></a>

**重要**  
如果您打算從 Windows 10 WorkSpace 建立映像，請注意，不支援在從某個 Windows 10 版本升級到較新 Windows 10 版本 (Windows 功能/版本升級) 的 Windows 10 系統上建立映像。不過，WorkSpaces 映像建立程序支援 Windows 累積或安全性更新。
在 2020 年 1 月 14 日之後，就無法從公用 Windows 7 套件建立映像。您可以考慮將 Windows 7 WorkSpaces 遷移到 Windows 10。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](migrate-workspaces.md)。
自 2023 年 11 月 30 日起不再支援 Graphics 套件，且 GraphicsPro 套件將於 2025 年 10 月 31 日end-of-life 建議您將 WorkSpaces 遷移至支援的 GPU 套件。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](migrate-workspaces.md)。
GraphicsPro 套件已於 2025 年 10 月 31 日end-of-life 我們建議您在 2025 年 10 月 31 日之前將 GraphicsPro WorkSpaces 遷移至支援的 GPU 套件。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](migrate-workspaces.md)。
自訂套件儲存磁碟區不能小於映像儲存磁碟區。
2025 年 10 月 14 日之後，將不再支援搭配 Office 2016 或 Office 2019 的 Plus 應用程式套件組合。建議您將 WorkSpaces 套件組合與那些 Office 版本一起移轉，以使用 Office 2021。如需詳細資訊，請參閱[管理 WorkSpaces Personal 中的應用程式](manage-applications)。

自訂套件的成本與其建立的公有套件相同。如需定價的詳細資訊，請參閱 [Amazon WorkSpaces 定價](https://aws.amazon.com/workspaces/pricing/)。

**Topics**
+ [建立 Windows 自訂映像的需求](#windows_custom_image_requirements)
+ [建立 Linux 自訂映像的需求](#linux_custom_image_requirements)
+ [最佳實務](#custom_image_best_practices)
+ [(選用) 步驟 1：指定映像的自訂電腦名稱格式](#custom_computer_name)
+ [步驟 2：執行映像檢查程式](#run_image_checker)
+ [步驟 3：建立自訂映像和自訂套件](#create_custom_image_bundle)
+ [Windows WorkSpaces 自訂映像所包含的內容](#image_creation_windows)
+ [Linux WorkSpace 自訂映像所包含的內容](#image_creation_linux)

## 建立 Windows 自訂映像的需求
<a name="windows_custom_image_requirements"></a>

**注意**  
Windows 目前將 1 GB 定義為 1,073,741,824 個位元組。客戶必須確保在 C 磁碟機上有超過 12,884,901,888 個位元組 (或 12 GiB) 可用，而且使用者設定檔小於 10,737,418,240 個位元組 (或 10 GiB)，才能建立 WorkSpace 的映像。
+ WorkSpace 的狀態必須為**可用**，且其修改狀態必須為**無**。
+ WorkSpaces 映像上的所有應用程式和使用者設定檔都必須與 Microsoft Sysprep 相容。
+ 要包含在映像中的所有應用程式都必須安裝在 `C` 磁碟機上。
+ 對於 Windows 7 WorkSpaces，其總大小 (檔案和資料) 必須小於 10 GB。
+ 對於 Windows 7 WorkSpaces，`C` 磁碟機必須至少有 12 GB 的可用空間。
+ 在 WorkSpace 上執行的所有應用程式服務都必須使用本機系統帳戶，而非網域使用者認證。例如，您不能使用網域使用者的認證執行 Microsoft SQL Server Express 安裝。
+ WorkSpace 不得加密。目前不支援從加密的 WorkSpace 建立映像。
+ 映像中需要下列元件。若沒有這些元件，您從映像啟動的 WorkSpaces 將無法正常運作。如需詳細資訊，請參閱[WorkSpaces Personal 所需的組態和服務元件](required-service-components.md)。
  + Windows PowerShell 3.0 版或更新版本
  + 遠端桌面服務
  + AWS PV 驅動程式
  + Windows 遠端管理 (WinRM)
  + Teradici PCoIP 代理程式和驅動程式
  + STXHD 代理程式和驅動程式
  + AWS 和 WorkSpaces 憑證
  + Skylight 代理程式

## 建立 Linux 自訂映像的需求
<a name="linux_custom_image_requirements"></a>
+ WorkSpace 的狀態必須為**可用**，且其修改狀態必須為**無**。
+ 要包含在映像中的所有應用程式都必須安裝在使用者磁碟區 (`/home` 目錄) 之外。
+ 根磁碟區 (/) 的填滿程序應小於 97%。
+ WorkSpace 不得加密。目前不支援從加密的 WorkSpace 建立映像。
+ 映像中需要下列元件。若沒有這些元件，您從映像啟動的 WorkSpaces 將無法正常運作：
  + Cloud-init
  + Teradici PCoIP 或 DCV 代理程式和驅動程式
  + Skylight 代理程式

## 最佳實務
<a name="custom_image_best_practices"></a>

在您從 WorkSpace 建立映像之前，請執行下列操作：
+ 使用未連線到生產環境的個別 VPC。
+ 在私有子網路中部署 WorkSpace 並將 NAT 執行個體用於輸出流量。
+ 使用小型 Simple AD 目錄。
+ 使用來源 WorkSpace 的最小磁碟區大小，然後在建立自訂套件時視需要調整磁碟區大小。
+ 在 WorkSpace 上安裝所有作業系統更新 (Windows 功能/版本更新除外) 和所有應用程式更新。如需詳細資訊，請參閱本主題開頭的[重要備註](#important_note)。
+ 從 WorkSpace 中刪除不應包含在套件中的快取資料 (例如，瀏覽器歷史記錄、快取檔案和瀏覽器 cookie)。
+ 從 WorkSpace 中刪除不應包含在套件中的組態設定 (例如，電子郵件設定檔)。
+ 使用 DHCP 切換到動態 IP 地址設定。
+ 確保您尚未超過區域中允許的 WorkSpace 映像配額。根據預設，您在每個區域中允許有 40 個 WorkSpace 映像。如果您已達到此配額，建立映像的新嘗試將會失敗。若要請求提高配額，請使用 [WorkSpaces 限制表單](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=workspaces)。
+ 請確定您並未嘗試從加密的 WorkSpace 建立映像。目前不支援從加密的 WorkSpace 建立映像。
+ 如果您在 WorkSpace 上執行任何防毒軟體，請在嘗試建立映像時將其停用。
+ 如果您在 WorkSpace Spaces 上啟用了防火牆，請確保它不會封鎖任何必要的連接埠。如需詳細資訊，請參閱[WorkSpaces Personal 的 IP 位址和連接埠要求](workspaces-port-requirements.md)。
+ 對於 Windows WorkSpaces，請勿在建立映像之前設定任何群組政策物件 (GPO)。
+ 對於 Windows WorkSpaces，請勿在建立映像之前自訂預設使用者設定檔 (`C:\Users\Default`)。建議您透過 GPO 對使用者設定檔進行任何自訂，並在建立映像之後套用自訂。GPO 可輕易地加以修改或回復，因此比對預設使用者設定檔進行的自訂更不容易發生錯誤。
+ 對於 Linux WorkSpaces，另請參閱[「準備適用於 Linux 的 Amazon WorkSpaces 映像的最佳實務」](https://docs.aws.amazon.com/whitepapers/latest/workspaces-linux-best-practices/welcome.html)白皮書。
+ 如果您想要在啟用 DCV 的 Linux WorkSpaces 上使用智慧卡，請參閱 [在 WorkSpaces Personal 中使用智慧卡進行身分驗證](smart-cards.md) 以取得在建立映像之前必須對 Linux WorkSpace 進行的自訂。
+ 確保更新 WorkSpaces 上的聯網相依性驅動程式，例如 ENA、NVMe 和 PV 驅動程式。您應該至少每 6 個月執行一次此操作。如需詳細資訊，請參閱[安裝或升級彈性網路轉接器 (ENA) 驅動程式 ](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[AWS NVMe 驅動程式 適用於 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)的 ，以及[升級 Windows 執行個體上的 PV 驅動程式](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)。
+ 請務必定期將 EC2Config, EC2Launch 和 EC2Launch V2 代理程式更新為最新版本。您應該至少每 6 個月執行一次此操作。如需詳細資訊，請參閱[更新 EC2Config 和 EC2Launch](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)。

## (選用) 步驟 1：指定映像的自訂電腦名稱格式
<a name="custom_computer_name"></a>

對於從您的自訂或自帶授權 (BYOL) 映像啟動的 WorkSpaces，您可以為電腦名稱格式指定自訂前置詞，而不是使用[預設電腦名稱格式](launch-workspaces-tutorials.md)。若要指定自訂前置詞，請遵循適合您映像類型的程序。

### 若要指定自訂映像的自訂電腦名稱格式
<a name="custom_computer_name_custom_image"></a>

**注意**  
根據預設，Windows 10 WorkSpaces 的電腦名稱格式為 ，Windows 11 WorkSpaces `DESKTOP-XXXXX`為 `WORKSPA-XXXXX`。

1. 在您用來建立自訂映像的 WorkSpace 上，在記事本或其他文字編輯器中開啟 `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep\Unattend.xml`。如需有關使用 `Unattend.xml` 檔案的詳細資訊，請參閱 Microsoft 文件中的[回應檔案 (unattend.xml)](https://docs.microsoft.com/windows-hardware/manufacture/desktop/update-windows-settings-and-scripts-create-your-own-answer-file-sxs)。
**注意**  
若要在 WorkSpace 上從 Windows 檔案總管存取 C: 磁碟機，請在網址列中輸入 **C:\$1**。

1. 在 `<settings pass="specialize">` 區段中，確定 `<ComputerName>` 已設定為星號 (`*`)。如果 `<ComputerName>` 設定為任何其他值，則會忽略您的自訂電腦名稱設定。如需有關 `<ComputerName>` 設定的詳細資訊，請參閱 Microsoft 文件中的 [ComputerName](https://docs.microsoft.com/windows-hardware/customize/desktop/unattend/microsoft-windows-shell-setup-computername)。

1. 在 `<settings pass="specialize">` 區段中，將 `<RegisteredOrganization>` 和 `<RegisteredOwner>` 設定為您偏好的值。

   在 Sysprep 期間，您為 `<RegisteredOwner>` 和 `<RegisteredOrganization>` 指定的值會串連在一起，而且合併字串的前 7 個字元用於建立電腦名稱。例如，如果您**Amazon.com**為 指定 `<RegisteredOrganization>`，**EC2**並為 指定 `<RegisteredOwner>`。對於以 Windows 10 為基礎的映像，使用自訂套件的 WorkSpaces 電腦名稱將以 EC2AMAZ-*xxxxxxx* 開頭。對於以 Windows 11 為基礎的映像，使用自訂套件的 WorkSpaces 電腦名稱將以 WORKSPA-*xxxxxxx* 開頭。
**注意**  
`<settings pass="oobeSystem">` 區段中的 `<RegisteredOrganization>` 和 `<RegisteredOwner>` 值會被 Sysprep 忽略。
<RegisteredOrganization> 和 <RegisteredOwner> 都是必要值。

1. 儲存您對 `Unattend.xml` 檔案所做的變更。

### 若要為 BYOL 映像指定自訂電腦名稱格式
<a name="custom_computer_name_byol"></a>

1. 如果您使用 Windows 10，請在記事本或其他文字編輯器中開啟 `C:\Program Files\Amazon\Ec2ConfigService\Sysprep2008.xml`。如果您使用 Windows 11，請開啟 `C:\ProgramData\Amazon\EC2Launch\sysprep\OOBE_unattend.xml`。

1. 在 `<settings pass="specialize">`區段中，如果您使用的是 Windows 10，請取消註解 `<ComputerName>*</ComputerName>`。如果您使用的是 Windows 11，則不需要取消註解本節。確定 `<ComputerName>` 設定為星號 (`*`)。如果 `<ComputerName>` 設定為任何其他值，則會忽略您的自訂電腦名稱設定。如需有關 `<ComputerName>` 設定的詳細資訊，請參閱 Microsoft 文件中的 [ComputerName](https://docs.microsoft.com/windows-hardware/customize/desktop/unattend/microsoft-windows-shell-setup-computername)。

1. 在 `<settings pass="specialize">`區段中，Windows 10 和 Windows 11 將出現 `<RegisteredOrganization>` 欄位。根據預設，`<RegisteredOwner>`標籤只會出現在 Windows 10 中。如果您使用的是 Windows 11，則需要新增此標籤。將 `<RegisteredOrganization>`和 `<RegisteredOwner>` 設定為您偏好的值。

   在 Sysprep 期間，您為 `<RegisteredOwner>` 和 `<RegisteredOrganization>` 指定的值會串連在一起，而且合併字串的前 7 個字元用於建立電腦名稱。例如，如果您為 `<RegisteredOrganization>` 指定**Amazon.com** 和為 `<RegisteredOwner>` 指定 **EC2**，則從自訂套件建立的 WorkSpaces 的電腦名稱會以 EC2AMAZ-*xxxxxxx* 開頭。
**注意**  
`<settings pass="oobeSystem">` 區段中的 `<RegisteredOrganization>` 和 `<RegisteredOwner>` 值會被 Sysprep 忽略。
<RegisteredOrganization> 和 <RegisteredOwner> 都是必要值。

1. 如果您使用 Windows 10，請儲存您對 `Sysprep2008.xml` 檔案所做的變更。如果您使用 Windows 11，請儲存您對 `OOBE_unattend.xml` 所做的變更。

## 步驟 2：執行映像檢查程式
<a name="run_image_checker"></a>

**注意**  
映像檢查程式僅適用於 Windows WorkSpaces。如果您要從 Linux WorkSpace 建立映像，請跳至 [步驟 3：建立自訂映像和自訂套件](#create_custom_image_bundle)。

若要確認您的 Windows WorkSpace 符合映像建立的需求，建議您執行映像檢查程式。映像檢查程式會在您要用來建立映像的 WorkSpace 上執行一系列測試，並提供如何解決所發現的任何問題的指引。

**重要**  
WorkSpace 必須先通過映像檢查程式執行的所有測試，才能使用它來建立映像。
在您執行映像檢查程式之前，請確認您的 WorkSpace 上已安裝最新的 Windows 安全和累積更新。

若要取得映像檢查程式，請執行下列其中一項操作：
+ [重新啟動 WorkSpace](reboot-workspaces.md)。映像檢查程式會在重新啟動期間自動下載並安裝於 `C:\Program Files\Amazon\ImageChecker.exe`。
+ 從 [https://tools.amazonworkspaces.com/ImageChecker.zip](https://tools.amazonworkspaces.com/ImageChecker.zip) 下載 Amazon WorkSpaces 映像檢查程式，然後將 `ImageChecker.exe` 檔案解壓縮。將此檔案複製到 `C:\Program Files\Amazon\`。

**若要執行映像檢查程式**

1. 開啟 `C:\Program Files\Amazon\ImageChecker.exe` 檔案。

1. 在 **Amazon WorkSpaces 映像檢查程式**對話方塊中，選擇**執行**。

1. 每次測試完成後，您可以檢視測試的狀態。

   對於狀態為**失敗**的任何測試，請選擇**資訊**以顯示如何解決造成失敗之問題的相關資訊。如需有關如何解決這些問題的資訊，請參閱 [用以解決映像檢查程式偵測到的問題的秘訣](#image_checker_tips)。

   如果有任何測試顯示**警告**狀態，請選擇**修正所有警告**按鈕。

   此工具會在映像檢查程式所在的相同目錄中產生輸出日誌檔。此檔案的預設位置為 `C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log`。
**提示**  
請勿刪除此日誌檔。如果發生問題，此日誌檔可能有助於疑難排解。

1. 如果適用，請解決導致測試失敗和警告的任何問題，並重複執行映像檢查程式的程序，直到 WorkSpace 通過所有測試為止。您必須先解決所有失敗和警告，才能建立映像。

1. 在 WorkSpace 通過所有測試之後，您會看到**驗證成功**訊息。您現在可以建立自訂套件。

### 用以解決映像檢查程式偵測到的問題的秘訣
<a name="image_checker_tips"></a>

除了諮詢下列秘訣以解決映像檢查程式偵測到的問題之外，務必檢閱映像檢查程式日誌檔，網址為 `C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log`。<a name="tips_powershell"></a>

#### 必須安裝 PowerShell 3.0 版或更新版本
<a name="tips_powershell"></a>

安裝最新版的 [Microsoft Windows PowerShell](https://docs.microsoft.com/powershell)。

**重要**  
必須將 WorkSpace 的 PowerShell 執行政策設定為允許 **RemoteSigned** 指令碼。若要檢查執行政策，請執行 **Get-ExecutionPolicy** PowerShell 命令。如果執行政策未設定為**不受限制**或 **RemoteSigned**，請執行 **Set-ExecutionPolicy – ExecutionPolicy RemoteSigned** 命令，以變更執行政策的值。**RemoteSigned** 設定允許在 Amazon WorkSpaces 上執行指令碼，這是建立映像所需的指令碼。<a name="tips_local_drives"></a>

#### 只有 C 和 D 磁碟機可以存在
<a name="tips_local_drives"></a>

只有 `C` 和 `D` 磁碟機可存在於用來製作映像的 WorkSpace 上。移除所有其他磁碟機，包括虛擬磁碟機。<a name="tips_pending_updates"></a>

#### 無法偵測到由於 Windows Update 的擱置中重新啟動
<a name="tips_pending_updates"></a>
+ 直到 Windows 重新啟動以完成安裝安全或累積更新，才能執行「建立映像」程序。重新啟動 Windows 以套用這些更新，並確定不需要安裝其他擱置中的 Windows 安全或累積更新。
+ 不支援在從某個 Windows 10 版本升級到較新 Windows 10 版本 (Windows 功能/版本升級) 的 Windows 10 系統上建立映像。不過，WorkSpaces 映像建立程序支援 Windows 累積或安全性更新。<a name="tips_blank_sysprep"></a>

#### Sysprep 檔案必須存在且不能空白
<a name="tips_blank_sysprep"></a>

如果您的 Sysprep 檔案有問題，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)，以修復 EC2Config 或 EC2Launch。<a name="tips_profile_missing"></a>

#### 使用者設定檔大小必須少於 10 GB
<a name="tips_profile_missing"></a>

對於 Windows 7 WorkSpaces，使用者設定檔 (`D:\Users\username`) 總計必須少於 10 GB。視需要移除檔案，以減少使用者設定檔的大小。<a name="tips_drive_c_full"></a>

#### 磁碟機 C 必須有足夠的可用空間
<a name="tips_drive_c_full"></a>

對於 Windows 7 WorkSpaces，您必須在磁碟機 `C` 上至少有 12 GB 的可用空間。視需要移除檔案以釋放磁碟機 `C` 上的空間。對於 Windows 10 WorkSpaces，如果您收到 `FAILED` 訊息且磁碟空間超過 2GB，請忽略。<a name="tips_services_domain_accounts"></a>

#### 任何服務都不能在網域帳戶下執行
<a name="tips_services_domain_accounts"></a>

若要執行「建立映像」程序，WorkSpace 上的任何服務都不能在網域帳戶下執行。所有服務都必須在本機帳戶下執行。

**若要在本機帳戶下執行服務**

1. 開啟 `C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log` 並尋找在網域帳戶下執行的服務清單。

1. 在 Windows 搜尋方塊中，輸入 **services.msc** 以開啟 Windows Services Manager。

1. 在**登入身分**之下，尋找在網域帳戶下執行的服務。(以**本機系統**、**本機服務**或**網路服務**形式執行的服務不會干擾映像建立。)

1. 選取在網域帳戶下執行的服務，然後依序選擇**動作**、**內容**。

1. 開啟**登入**索引標籤。在**登入身分**之下，選擇**本機系統帳戶**。

1. 選擇**確定**。<a name="tips_static_ip"></a>

#### 必須將 WorkSpace 設定為使用 DHCP
<a name="tips_static_ip"></a>

您必須將 WorkSpace 上的所有網路介面卡設定為使用 DHCP，而非靜態 IP 地址。

**若要將所有網路介面卡設定為使用 DHCP**

1. 在 Windows 搜尋方塊中，輸入 **control panel** 以開啟「控制台」。

1. 選擇**網路和網際網路**。

1. 選擇**網路和共用中心**。

1. 選擇**變更介面卡設定**，然後選取介面卡。

1. 選擇**變更此連線的設定**。

1. 在**網路**索引標籤上，選取**網際網路通訊協定第 4 版 (TCP/IPv4)**，然後選擇**內容**。

1. 在**網際網路通訊協定第 4 版 (TCP/IPv4) 內容**對話方塊中，選取**自動取得 IP 地址**。

1. 選擇**確定**。

1. 對 WorkSpace 上的所有網路介面卡重複此程序。<a name="tips_enable_rds"></a>

#### 必須啟用遠端桌面服務
<a name="tips_enable_rds"></a>

「建立映像」程序需要啟用遠端桌面服務。

**若要啟用遠端桌面服務**

1. 在 Windows 搜尋方塊中，輸入 **services.msc** 以開啟 Windows Services Manager。

1. 在**名稱**欄中，尋找**遠端桌面服務**。

1. 選取**遠端桌面服務**，然後依序選擇**動作**、**內容**。

1. 在**一般**索引標籤上，針對**啟動類型**選擇**手動**或**自動**。

1. 選擇**確定**。<a name="tips_user_profile_missing"></a>

#### 使用者設定檔必須存在
<a name="tips_user_profile_missing"></a>

您用來建立映像的 WorkSpace 必須具有使用者設定檔 (`D:\Users\username`)。如果測試失敗，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)尋求協助。<a name="tips_environment_variables"></a>

#### 環境變數路徑必須設定正確
<a name="tips_environment_variables"></a>

本機電腦的環境變數路徑缺少 System32 和 Windows PowerShell 的項目。執行「建立映像」時需要這些項目。

**若要設定環境變數路徑**

1. 在 Windows 搜尋方塊中，輸入 **environment variables**，然後選擇**編輯系統環境變數**。

1. 在**系統內容**對話方塊中，開啟**進階**索引標籤，然後選擇**環境變數**。

1. 在**環境變數**對話方塊的**系統變數**之下，選取**路徑**項目，然後選擇**編輯**。

1. 選擇**新增**，然後新增下列路徑：

   `C:\Windows\System32`

1. 再次選擇**新增**，然後新增下列路徑：

   `C:\Windows\System32\WindowsPowerShell\v1.0\`

1. 選擇**確定**。

1. 重新啟動 WorkSpace。
**提示**  
項目出現在環境變數路徑中的順序很重要。若要判斷正確的順序，您可以比較 WorkSpace 的環境變數路徑與新建立的 WorkSpace 或新 Windows 執行個體中的環境變數路徑。<a name="tips_enable_wmi"></a>

#### 必須啟用 Windows Modules Installer
<a name="tips_enable_wmi"></a>

「建立映像」程序需要啟用 Windows Modules Installer 服務。

**若要啟用 Windows Modules Installer 服務**

1. 在 Windows 搜尋方塊中，輸入 **services.msc** 以開啟 Windows Services Manager。

1. 在**名稱**欄中，尋找 **Windows Modules Installer**。

1. 選取 **Windows Modules Installer**，然後依序選擇**動作**、**內容**。

1. 在**一般**索引標籤上，針對**啟動類型**選擇**手動**或**自動**。

1. 選擇**確定**。<a name="tips_disable_ssm"></a>

#### 必須停用 Amazon SSM Agent
<a name="tips_disable_ssm"></a>

「建立映像」程序需要停用 Amazon SSM Agent 服務。

**若要停用 Amazon SSM Agent 服務**

1. 在 Windows 搜尋方塊中，輸入 **services.msc** 以開啟 Windows Services Manager。

1. 在**名稱**欄中，尋找 **Amazon SSM Agent**。

1. 選取 **Amazon SSM Agent**，然後依序選擇**動作**、**內容**。

1. 在**一般**索引標籤上，針對**啟動類型**，選擇**停用**。

1. 選擇**確定**。<a name="tips_enable_ssl_tls"></a>

#### 必須啟用 SSL 和 TLS 1.2 版
<a name="tips_enable_ssl_tls"></a>

若要設定 Windows 的 SSL/TLS，請參閱 Microsoft Windows 文件中的[如何啟用 TLS 1.2](https://docs.microsoft.com/configmgr/core/plan-design/security/enable-tls-1-2)。<a name="tips_remove_extra_profiles"></a>

#### WorkSpace 上只能存在一個使用者設定檔
<a name="tips_remove_extra_profiles"></a>

您用來建立映像的 WorkSpace 上只能有一個 WorkSpaces 使用者設定檔 (`D:\Users\username`)。刪除不屬於 WorkSpace 預定使用者的任何使用者設定檔。

若要能夠建立映像，您的 WorkSpace 只能有三個使用者設定檔：
+ WorkSpace 預定使用者的使用者設定檔 (`D:\Users\username`)
+ 預設使用者設定檔 (也稱為「預設設定檔」)
+ 管理員使用者設定檔

如果有其他使用者設定檔，您可以透過 Windows 控制台中的進階系統內容將其刪除。

**若要刪除使用者設定檔**

1. 若要存取進階系統內容，請執行下列其中一項操作：
   + 按 **Windows 鍵\$1Pause Break**，然後在**控制台** > **系統和安全性** > **系統**對話方塊的左窗格中選擇**進階系統設定**。
   + 在 Windows 搜尋方塊中，輸入 **control panel**。在 [控制台] 中，選擇**系統和安全性**，然後選擇 [系統]，然後在**控制台** > **系統和安全性系統** > **系統**對話方塊的左窗格中選擇 **進階系統設定**。

1. 在**系統內容**對話方塊的**進階**索引標籤上，選擇**使用者設定檔**之下的**設定**。

1. 如果除了管理員設定檔、預設設定檔及預定 WorkSpaces 使用者的設定檔以外，還列出任何設定檔，請選取該額外設定檔，然後選擇**刪除**。

1. 當系統詢問您是否要刪除設定檔時，請選擇**是**。

1. 如有必要，請重複步驟 3 和 4 以移除不屬於 WorkSpace 的任何其他設定檔。

1. 選擇**確定**兩次，然後關閉控制台。

1. 重新啟動 WorkSpace。<a name="tips_unstage_appx"></a>

#### 任何 AppX 套件都不能處於暫存狀態
<a name="tips_unstage_appx"></a>

一或多個 AppX 套件處於暫存狀態。這可能在建立映像期間造成 Sysprep 錯誤。

**若要移除所有暫存 AppX 套件**

1. 在 Windows 搜尋方塊中，輸入 **powershell**。選擇**以管理員身分執行**。

1. 當系統詢問「您要允許此應用程式對裝置進行變更嗎？」時，請選擇**是**。

1. 在 Windows PowerShell 視窗中，輸入下列命令以列出所有暫存 AppX 套件，然後在每個套件之後按 Enter 鍵。

   ```
   $workSpaceUserName = $env:username
   ```

   ```
   $allAppxPackages = Get-AppxPackage -AllUsers
   ```

   ```
   $packages = $allAppxPackages |    Where-Object { `
                                   (($_.PackageUserInformation -like "*S-1-5-18*" -and !($_.PackageUserInformation -like "*$workSpaceUserName*")) -and `
                                   ($_.PackageUserInformation -like "*Staged*" -or $_.PackageUserInformation -like "*Installed*")) -or `
                                   ((!($_.PackageUserInformation -like "*S-1-5-18*") -and $_.PackageUserInformation -like "*$workSpaceUserName*") -and `
                                   $_.PackageUserInformation -like "*Staged*")
                                   }
   ```

1. 以更高的 SYSTEM 權限執行下列命令，以移除所有暫存 AppX 套件佈建項目，然後按 Enter 鍵。

   ```
   $packages | Remove-AppxPackage -ErrorAction SilentlyContinue
   ```

1. 再次執行映像檢查程式。如果此測試仍然失敗，請輸入下列命令以移除所有 AppX 套件，並在每個套件之後按 Enter 鍵。

   ```
   Get-AppxProvisionedPackage -Online | Remove-AppxProvisionedPackage -Online -ErrorAction SilentlyContinue
   ```

   ```
   Get-AppxPackage -AllUsers | Remove-AppxPackage -ErrorAction SilentlyContinue
   ```<a name="tips_version_upgrade"></a>

#### Windows 不得從以前的版本升級
<a name="tips_version_upgrade"></a>

不支援在從某個 Windows 10 版本升級到較新 Windows 10 版本 (Windows 功能/版本升級) 的 Windows 系統上建立映像。

若要建立映像，請使用尚未進行 Windows 功能/版本升級的 WorkSpace。<a name="tips_reset_rearm_count"></a>

#### Windows 重設授權計數不得為 0
<a name="tips_reset_rearm_count"></a>

重設授權功能允許您延長 Windows 試用版的啟用期間。建立映像程序要求重設授權計數必須是 0 以外的值。

**若要檢查 Windows 重設授權計數**

1. 在 Windows **Start (開始)** 功能表，選擇 **Windows System (Windows 系統)**，然後選擇 **Command Prompt (命令提示字元)**。

1. 在命令提示視窗中，輸入以下命令，然後按 Enter 鍵。

   `cscript C:\Windows\System32\slmgr.vbs /dlv`

若要將重設授權計數重設為 0 以外的值，請參閱 Microsoft Windows 文件中的 [Sysprep (一般化) Windows 安裝](https://docs.microsoft.com/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation)。

#### 其他疑難排解秘訣
<a name="images_troubleshooting_tips"></a>

如果您的 WorkSpace 通過映像檢查程式執行的所有測試，但仍無法從 WorkSpace 建立映像，請檢查下列問題：
+ 請確定 WorkSpace 未指派給**網域訪客**群組中的使用者。若要檢查是否有任何網域帳戶，請執行下列 PowerShell 命令。

  ```
  Get-WmiObject -Class Win32_Service | Where-Object { $_.StartName -like "*$env:USERDOMAIN*" }
  ```
+ 僅適用於 Windows 7 WorkSpaces：如果在建立映像期間複製使用者設定檔時發生問題，請檢查下列問題：
  + 較長的設定檔路徑可能導致映像建立錯誤。請確定使用者設定檔內所有資料夾的路徑都少於 261 個字元。
  + 務必將設定檔資料夾的完整許可授與系統和所有應用程式套件。
  + 如果使用者設定檔中有任何檔案被處理程序鎖定或在建立映像期間正在使用中，則複製設定檔可能會失敗。
+ 在 Windows 執行個體設定期間，當 EC2Config 服務或 EC2Launch 指令碼請求 RDP 憑證指紋時，有些群組政策物件 (GPO) 會限制對 RDP 憑證指紋的存取。在您嘗試建立映像之前，請將 WorkSpace 移至已封鎖繼承且未套用 GPO 的新組織單位 (OU)。
+ 請確定 Windows 遠端管理 (WinRM) 服務已設定為自動啟動。請執行下列操作：

  1. 在 Windows 搜尋方塊中，輸入 **services.msc** 以開啟 Windows Services Manager。

  1. 在**名稱**欄中，尋找 **Windows 遠端管理 (WS-管理)**。

  1. 選取 **Windows 遠端管理 (WS-管理)**，然後依序選擇**動作**、**內容**。

  1. 在**一般**索引標籤上，針對**啟動類型**，選擇**自動**。

  1. 選擇**確定**。

## 步驟 3：建立自訂映像和自訂套件
<a name="create_custom_image_bundle"></a>

驗證您的 WorkSpace 映像之後，您可以繼續建立自訂映像和自訂套件。

**若要建立自訂映像和自訂套件**

1. 如果您仍然連線至 WorkSpace，請在 WorkSpaces 用戶端應用程式中選擇 **Amazon WorkSpaces** 和**中斷連線**來中斷連線。

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. <a name="step_create_image"></a>選取 WorkSpace 以開啟其詳細資訊頁面，然後選擇**建立映像**。如果 WorkSpace 的狀態為**已停止**，您必須先加以啟動 (選擇**動作**、**啟動 WorkSpaces**)，然後才能選擇**動作**、**建立映像**。
**注意**  
若要以程式設計方式建立映像，請使用 CreateWorkspaceImage API 動作。如需詳細資訊，請參閱《*Amazon WorkSpaces * [ WorkSpaces API 參考》中的 CreateWorkspaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaceImage.html)。

1. 隨即顯示一則訊息，提示您先重新啟動 WorkSpace，然後繼續執行。重新啟動 WorkSpace 會將 Amazon WorkSpaces 軟體更新為最新版本。

   關閉訊息並遵循 [在 WorkSpace WorkSpaces](reboot-workspaces.md) 中的步驟，以重新啟動 WorkSpace。完成後，請重複此程序的[Step 4](#step_create_image)，但這次在重新啟動訊息出現時選擇**下一步**。若要建立映像，WorkSpace 的狀態必須為**可用**，且其修改狀態必須為**無**。

1. 輸入映像名稱和描述以協助您識別映像，然後選擇**建立映像**。正在建立映像時，WorkSpace 的狀態為**已暫停**且無法使用 WorkSpace。
**注意**  
輸入影像描述時，請確定您沒有使用特殊字元 "-"，否則您會收到錯誤。

1. 在導覽窗格中，選擇**映像**。當 WorkSpace 的狀態變更為**可用**時，映像即完成 (最多可能需要 45 分鐘)。

1. 選取映像，然後依序選擇**動作**、**建立套件**。
**注意**  
若要以程式設計方式建立套件，請使用 **CreateWorkspaceBundle** API 動作。如需詳細資訊，請參閱《Amazon WorkSpaces API 參考》**中的 [CreateWorkspaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaceBundle.html)。

1. 輸入套件名稱和描述，然後執行以下操作：
   + 針對**套件硬體類型**，選擇從此自訂套件啟動 WorkSpaces 時要使用的硬體。
   + 針對**儲存設定**，選取根磁碟區和使用者磁碟區大小的預設組合之一，或選取**自訂**，然後輸入**根磁碟區大小**和**使用者磁碟區大小**的值 (最大 2000 GB)。

     根磁碟區 (Microsoft Windows 為 `C` 磁碟機，而 Linux 為 /) 和使用者磁碟區 (Windows 為 `D` 磁碟機，而 Linux 為 /home) 的預設可用大小組合如下所示：
     + 根磁碟機：80 GB，使用者：10 GB、50 GB 或 100 GB
     + 根磁碟機：175 GB，使用者：100 GB
     + 啟用 GPU 的 WorkSpaces 儲存需求會隨著執行個體大小調整按比例擴展。當您選取較大的 GPU 啟用 WorkSpaces 組態時，必須配置對應的較大儲存磁碟區，以維持最佳效能並因應增加的工作負載需求。對於最小執行個體大小，請從下列儲存配置開始：根：100 GB，使用者：100 GB

     或者，您可以將根磁碟區和使用者磁碟區擴充為每個 2000 GB。
**注意**  
為了確保您的資料得以保留，您無法在啟動 WorkSpace 之後縮減根磁碟區或使用者磁碟區的大小。相反地，務必在啟動 WorkSpace 時指定這些磁碟區的大小下限。  
您可以啟動至少根磁碟區為 80 GB 和使用者磁碟區為 10 GB 的超值、標準、效能、Power 或 PowerPro WorkSpace。
您可以啟動 GeneralPurpose.4xlarge 或 GeneralPurpose.8xlarge WorkSpace，根磁碟區至少 175GB，使用者磁碟區至少 100 GB。

1. 選擇**建立套件**。

1. 若要確認您的套件已建立，請選擇**套件**並確認已列出該套件。

## Windows WorkSpaces 自訂映像所包含的內容
<a name="image_creation_windows"></a>

當您從 Windows 7、Windows 10 或 Windows 11 WorkSpace 建立映像時，`C` 磁碟機的整個內容都包含在內。

對於 Windows 10 或 11 WorkSpaces，`D:\Users\username` 中的使用者設定檔不包含在自訂映像中。

對於 Windows 7 WorkSpaces，除了下列項目，`D:\Users\username` 中使用者設定檔的整個內容都包含在內：
+ 聯絡人
+ 下載
+ 音樂
+ 圖片
+ 儲存的遊戲
+ 影片
+ Podcast
+ 虛擬機器
+ .virtualbox
+ 追蹤
+ appdata\$1local\$1temp
+ appdata\$1roaming\$1apple computer\$1mobilesync\$1
+ appdata\$1roaming\$1apple computer\$1logs\$1
+ appdata\$1roaming\$1apple computer\$1itunes\$1iphone software updates\$1
+ appdata\$1roaming\$1macromedia\$1flash player\$1macromedia.com\$1support\$1flashplayer\$1sys\$1
+ appdata\$1roaming\$1macromedia\$1flash player\$1\$1sharedobjects\$1
+ appdata\$1roaming\$1adobe\$1flash player\$1assetcache\$1
+ appdata\$1roaming\$1microsoft\$1windows\$1recent\$1
+ appdata\$1roaming\$1microsoft\$1office\$1recent\$1
+ appdata\$1roaming\$1microsoft office\$1live meeting
+ appdata\$1roaming\$1microsoft shared\$1livemeeting shared\$1
+ appdata\$1roaming\$1mozilla\$1firefox\$1crash reports\$1
+ appdata\$1roaming\$1mcafee\$1common framework\$1
+ appdata\$1local\$1microsoft\$1feeds cache
+ appdata\$1local\$1microsoft\$1windows\$1temporary internet files\$1
+ appdata\$1local\$1microsoft\$1windows\$1history\$1
+ appdata\$1local\$1microsoft\$1internet explorer\$1domstore\$1
+ appdata\$1local\$1microsoft\$1internet explorer\$1imagestore\$1
+ appdata\$1locallow\$1microsoft\$1internet explorer\$1iconcache\$1
+ appdata\$1locallow\$1microsoft\$1internet explorer\$1domstore\$1
+ appdata\$1locallow\$1microsoft\$1internet explorer\$1imagestore\$1
+ appdata\$1local\$1microsoft\$1internet explorer\$1recovery\$1
+ appdata\$1local\$1mozilla\$1firefox\$1profiles\$1

## Linux WorkSpace 自訂映像所包含的內容
<a name="image_creation_linux"></a>

當您從 Amazon Linux WorkSpace 建立映像時，使用者磁碟區 (/home) 的整個內容會遭到移除。除了下列已移除的適用資料夾和金鑰之外，包含根磁碟區 (/) 的內容：
+ /tmp
+ /var/spool/mail
+ /var/tmp
+ /var/lib/dhcp
+ /var/lib/cloud
+ /var/cache
+ /var/backups
+ /etc/sudoers.d
+ /etc/udev/rules.d/70-persistent-net.rules
+ /etc/network/interfaces.d/50-cloud-init.cfg
+ /var/log/amazon/ssm
+ /var/log/pcoip-agent
+ /var/log/skylight
+ /var/lock/.skylight.domain-join.lock
+ /var/lib/skylight/domain-join-status
+ /var/lib/skylight/configuration-data
+ /var/lib/skylight/config-data.json
+ /home
+ /etc/default/grub.d/zz-hibernation.cfg
+ /etc/netplan/zz-workspaces-domain.yaml
+ /etc/netplan/yy-workspaces-base.yaml
+ /var/lib/AccountsService/users

在建立自訂映像期間，下列金鑰會被銷毀：
+ /etc/ssh/ssh\$1host\$1\$1\$1key
+ /etc/ssh/ssh\$1host\$1\$1\$1key.pub
+ /var/lib/skylight/tls.\$1
+ /var/lib/skylight/private.key
+ /var/lib/skylight/public.key

# 更新 WorkSpaces Personal 的自訂套件
<a name="update-custom-bundle"></a>

您可以修改以套件為基礎的 WorkSpace，從 WorkSpace 建立映像，以及使用新映像來更新套件，進而更新現有的自訂 WorkSpaces 套件。然後，您可以使用更新的套件來啟動新的 WorkSpaces。

**重要**  
當您更新現有 WorkSpaces 所依據的套件時，不會自動更新現有 WorkSpaces。若要更新以您已更新的套件為基礎的現有 WorkSpaces，您必須重新建置 WorkSpaces 或刪除並重新建立它們。

**使用主控台更新套件**

1. 連線至以套件軟體為基礎的 WorkSpace，並進行您想要的變更。例如，您可以套用最新的作業系統和應用程式修補程式，並安裝其他應用程式。

   或者，您可使用與用於建立套件的映像相同的基礎軟體套件 (增強或標準) 來建立新的 WorkSpace，並進行變更。

1. 如果您仍然連線至 WorkSpace，請在 WorkSpaces 用戶端應用程式中選擇 **Amazon WorkSpaces** 和**中斷連線**來中斷連線。

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取 WorkSpace，然後選擇**動作**、**建立映像**。如果 WorkSpace 的狀態為 `STOPPED`，您必須先加以啟動 (選擇**動作**、**啟動 WorkSpaces**)，然後才能選擇**動作**、**建立映像**。

1. 輸入映像名稱和描述，然後選擇**建立映像**。正在建立映像時，無法使用 WorkSpace。如需映像建立程序的詳細資訊，請參閱 [建立 WorkSpaces Personal 的自訂 WorkSpaces 映像和套件](create-custom-bundle.md)。

1. 在導覽窗格中，選擇**套件**。

1. 選擇套件以開啟其詳細資訊頁面，然後在**來源映像**之下選擇**編輯**。

1. 在**更新來源映像**頁面上，選取您建立的映象，然後選擇**更新套件**。

1. 視需要重新建置 WorkSpaces 或予以刪除並重新建立，以便更新以套件為基礎的任何現有 WorkSpaces。如需詳細資訊，請參閱[在 WorkSpace WorkSpaces](rebuild-workspace.md)。

**以程式設計方式更新套件**  
若要以程式設計方式更新套件，請使用 **UpdateWorkspaceBundle** API 動作。如需詳細資訊，請參閱《Amazon WorkSpaces API 參考》**中的 [UpdateWorkspaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_UpdateWorkspaceBundle.html)。

# 在 WorkSpaces Personal 中複製自訂映像
<a name="copy-custom-image"></a>

您可以在 AWS區域內或跨區域複製自訂 WorkSpaces 映像。複製映像就會建立具有自己唯一識別碼的相同映像。

只要目的地區域已啟用自帶授權 (BYOL)，您就可以將 BYOL 映像複製到其他區域。確定已針對所有相關帳戶和區域啟用 BYOL。

**注意**  
在中國 (寧夏) 區域，您只能複製相同區域內的映像。  
在 AWS GovCloud (US) Region中，若要將映像複製到其他區域或從其他AWS區域複製映像，請聯絡 AWSSupport。  
在選擇加入區域中，若要將映像複製到其他區域，請聯絡 AWS支援。如需選擇加入區域的詳細資訊，請參閱[可用區域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions)。

您也可以複製另一個AWS帳戶與您共用的映像。如需共用映像的詳細資訊，請參閱 [在 WorkSpaces Personal 中共用或取消共用自訂映像](share-custom-image.md)。

在區域內或跨區域複製映像無須額外收費。不過會套用目的地區域中映像數量的配額。如需 Amazon WorkSpaces 配額的詳細資訊，請參閱 [Amazon WorkSpaces 配額](workspaces-limits.md)。

**複製映像的 IAM 許可**  
若您使用 IAM 使用者來複製映像，該使用者必須具備 `workspaces:DescribeWorkspaceImages` 和 `workspaces:CopyWorkspaceImage` 的許可。

下列範例政策允許使用者將指定的映像複製到指定區域中的指定帳戶。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:DescribeWorkspaceImages",
        "workspaces:CopyWorkspaceImage"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:workspaceimage/wsi-a1bcd2efg"
      ]
    }
  ]
}
```

------

**重要**  
如果您要建立 IAM 政策，以便替未擁有映像的帳戶複製共用映像，則無法在 ARN 中指定帳戶 ID。您必須針對帳戶 ID 使用 `*`，如以下範例政策所示。  

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:DescribeWorkspaceImages",
        "workspaces:CopyWorkspaceImage"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:workspaceimage/wsi-a1bcd2efg"
      ]
    }
  ]
}
```
只有當該帳戶擁有要複製的映像時，您才可以在 ARN 中指定帳戶 ID。

如需使用 IAM 的詳細資訊，請參閱 [適用於 WorkSpaces 的身分和存取管理](workspaces-access-control.md)。

**大量複製映像**  
您可以使用主控台來逐一複製映像。若要大量複製映像，請使用 **CopyWorkspaceImage** API 操作或 AWS Command Line Interface() 中的 **copy-workspace-image**命令AWS CLI。如需詳細資訊，請參閱《Amazon WorkSpaces API 參考》**中的 [CopyWorkspaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_CopyWorkspaceImage.html)，或參閱《AWS CLI 命令參考》**中的 [copy-workspace-image](https://docs.aws.amazon.com/cli/latest/reference/workspaces/copy-workspace-image.html)。

**重要**  
複製共用映像之前，請務必確認它已從正確的AWS帳戶共用。若要判斷映像是否已共用以及查看擁有映像的 AWS 帳戶 ID，請使用 [DescribeWorkSpaceImages](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImages.html) 和 [DescribeWorkspaceImagePermissions](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html) API 操作或 AWS CLI 中的 [describe-workspace-images](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-images.html) 和 [describe-workspace-image-permissions](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html) 命令。

**若要使用主控台複製映像**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**映像**。

1. 選取快照，然後依序選擇**動作**、**複製**。

1. 針對**選取目的地**，選取AWS您要複製映像的區域。

1. 在**複製的名稱**中，輸入所複製映像的新名稱，然後針對**描述**輸入所複製映像的描述。

1. (選用) 在**標籤**下，輸入所複製映像的標籤。如需詳細資訊，請參閱[標記 WorkSpaces Personal 中的資源](tag-workspaces-resources.md)。

1. 選擇**複製映像**。

# 在 WorkSpaces Personal 中共用或取消共用自訂映像
<a name="share-custom-image"></a>

您可以在相同 AWS 區域內跨 AWS 帳戶共用自訂 WorkSpaces 映像。共用映像之後，收件人帳戶可以視需要將映像複製到其他 AWS 區域。如需複製映像的詳細資訊，請參閱 [在 WorkSpaces Personal 中複製自訂映像](copy-custom-image.md)。

**注意**  
在中國 (寧夏) 區域，您只能複製相同區域內的映像。  
在 AWS GovCloud (US) Region中，若要將映像複製到其他區域或從其他 AWS 區域複製映像，請聯絡 AWS Support。

共用映像無須額外收費。不過，適用 AWS 區域中影像數量的配額。直到收件者複製映像，共用的映像才會計入收件者帳戶的配額。如需 Amazon WorkSpaces 配額的詳細資訊，請參閱 [Amazon WorkSpaces 配額](workspaces-limits.md)。

若要刪除共用的映像，您必須先取消共用映像，才能加以刪除。

**共用自帶授權映像**  
您只能與已啟用 BYOL AWS 的帳戶共用自帶授權 (BYOL) 映像。您要與之共用 BYOL 映像 AWS 的帳戶也必須是組織的一部分 （在相同的付款人帳戶下）。

**注意**  
 AWS GovCloud （美國西部） 和 AWS GovCloud （美國東部） 區域目前不支援跨 AWS 帳戶共用 BYOL 映像。若要在 AWS GovCloud （美國西部） 和 AWS GovCloud （美國東部） 區域中跨帳戶共用 BYOL 映像，請聯絡 AWS Support。

**與您共用的映像**  
如果與您共用映像，您可以複製它們。接著，您可使用共用映像的複本來建立套件，以便啟動新的 WorkSpaces。

**重要**  
複製共用映像之前，請務必確認已從正確的 AWS 帳戶共用。若要以程式設計方式判斷映像是否已共用，請使用 [DescribeWorkSpaceImages](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImages.html) 和 [DescribeWorkspaceImagePermissions](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html) API 操作，或 AWS 命令列界面 (CLI) 中的 [describe-workspace-images](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-images.html) 和 [describe-workspace-image-permissions](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html) 命令。

針對與您共用的映像所顯示的建立日期是映像的最初建立日期，而不是與您共用映像的日期。

如果與您共用映像，您就無法與其他帳戶進一步共用該映像。

**共用映像**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇**映像**。

1. 選擇映像以開啟其詳細資訊頁面。

1. 在映像詳細資訊頁面的**共用的帳戶**區段中，選擇**新增帳戶**。

1. 在**新增帳戶**頁面的**新增要共用的帳戶**底下，輸入您要與其共用映像之帳戶的帳戶 ID。
**重要**  
共享映像之前，請確認您共用的 AWS 帳戶 ID 是正確的。

1. 選擇**共用映像**。
**注意**  
若要使用共用的映像，收件者帳戶必須先[複製映像](copy-custom-image.md)。接著，收件者帳戶可以使用共用映像的複本來建立套件，以便啟動新的 WorkSpaces。

**停止共用映像**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**映像**。

1. 選擇映像以開啟其詳細資訊頁面。

1. 在影像詳細資訊頁面上的**共用帳戶**區段中，選取要停止共用 AWS 的帳戶，然後選擇**取消共用**。

1. 當系統提示您確認取消共用映像時，請選擇**取消共用**。
**注意**  
如果要在取消共用映像後刪除該映像，您必須先從共用該映像的所有帳戶中取消共用該映像。

如果您停止共用映像，收件者帳戶無法再複製映像。不過，已存在於收件者帳戶中共用映像的任何複本都會保留在該帳戶中，而且可以從這些複本啟動新的 WorkSpaces。

**以程式設計方式共用或取消共用映像**  
若要以程式設計方式共用或取消共用映像，請使用 [UpdateWorkspaceImagePermission](https://docs.aws.amazon.com/workspaces/latest/api/API_UpdateWorkspaceImagePermission.html) API 操作或 [update-workspace-image-permission](https://docs.aws.amazon.com/cli/latest/reference/workspaces/update-workspace-image-permission.html) AWS Command Line Interface (AWS CLI) 命令。若要判斷映像是否已共用，請使用 [DescribeWorkspaceImagePermissions](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html) API 操作或 [describe-workspace-image-permissions](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html) CLI 命令。

# 在 WorkSpaces Personal 中刪除自訂套件或映像
<a name="delete_bundle"></a>

您可以視需要刪除未使用的自訂套件或自訂映像。

## 刪除套件
<a name="delete_bundle_console"></a>

若要刪除套件，您必須先刪除以套件為基礎的所有 WorkSpaces。

**若要使用主控台刪除套件**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**套件**。

1. 選取套件，然後選擇**刪除**。

1. 出現確認提示時，請選擇**刪除**。

**若要以程式設計方式刪除套件**  
若要以程式設計方式刪除套件，請使用 **DeleteWorkspaceBundle** API 動作。如需詳細資訊，請參閱《Amazon WorkSpaces API 參考》**中的 [DeleteWorkspaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_DeleteWorkspaceBundle.html)。

**注意**  
刪除套件後，請務必等待至少 2 小時，再以相同名稱建立新的套件。

## 刪除映像
<a name="delete_images"></a>

刪除自訂套件後，您可以刪除用於建立或更新套件的映像。

若要刪除映像，您必須先刪除與該映像相關聯的任何套件，或者必須更新這些套映以使用其他來源映像。如果映像與其他帳戶共用，您也必須取消共用該映像。映像也不能處於**待定**或**驗證中**狀態。

**若要使用主控台刪除映像**

1. 開啟 WorkSpaces 主控台，網址為 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在導覽窗格中，選擇**映像**。

1. 選取映像，然後選擇**刪除**。

1. 出現確認提示時，請選擇**刪除**。

**若要以程式設計方式刪除映像**  
若要以程式設計方式刪除映像，請使用 **DeleteWorkspaceImage** API 動作。如需詳細資訊，請參閱《Amazon WorkSpaces API 參考》**中的 [DeleteWorkspaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_DeleteWorkspaceImage.html)。

# 監控 WorkSpaces Personal
<a name="amazon-workspaces-monitoring"></a>

您可以使用下列功能來監控 WorkSpaces。

**CloudWatch 指標**  
Amazon WorkSpaces 會將有關 WorkSpaces 的資料點發佈到 Amazon CloudWatch。CloudWatch 可讓使用一組時間序列資料的形式來擷取這些資料點的相關統計資料，也就是*指標*。您可以使用這些指標來確認您的 WorkSpaces 是否依照預期執行。如需詳細資訊，請參閱[使用 CloudWatch 指標監控 WorkSpaces](cloudwatch-metrics.md)。

**CloudWatch Events**  
當使用者登入您的 WorkSpace 時，Amazon WorkSpaces 可以將事件提交至 Amazon CloudWatch Events。這可讓您在事件發生時做出回應。如需詳細資訊，請參閱[使用 Amazon EventBridge 監控 WorkSpaces](cloudwatch-events.md)。

**CloudTrail 日誌**  
AWS CloudTrail 提供 WorkSpaces 中使用者、角色或服務 AWS 所採取動作的記錄。您可以利用 CloudTrail 所收集的資訊來判斷向 WorkSpaces 發出的請求，以及發出請求的 IP 地址、人員、時間和其他詳細資訊。如需詳細資訊，請參閱[使用 CloudTrail.logs 為智慧卡使用者記錄 WorkSpaces API 呼叫](https://docs.aws.amazon.com/workspaces/latest/api/cloudtrail_logging.html)成功和失敗的登入事件。 AWS CloudTrail 如需詳細資訊，請參閱[了解智慧卡使用者的 AWS 登入事件](signin-events.md)。

**CloudWatch 網路監視器**  
Amazon CloudWatch Internet Monitor 可讓您了解網際網路問題如何影響託管於 和最終使用者之間的應用程式的效能 AWS 和可用性。您也可以使用 CloudWatch 網路監視器：  
+ 為一或多個 WorkSpace 目錄建立監視器。
+ 監控網際網路效能。
+ 針對最終使用者的城市網路 (這通常是網際網路服務供應商 (ISP)，包括其位置和 ASN) 與其 WorkSpace 區域之間的問題，取得相關警示。
網路監視器使用從其全球網路足跡 AWS 擷取的連線資料，來計算面向網際網路流量的效能和可用性基準。網路監視器目前無法為個人最終使用者提供網際網路效能，但其可提供城市和 ISP 層級的效能。

**Amazon S3 存取日誌**  
如果使用者在 Amazon S3 儲存貯體中儲存了應用程式設定資料或主資料夾資料，請考慮查看 Amazon S3 伺服器存取日誌來監控存取。這些日誌提供了對儲存貯體進行請求的詳細記錄。伺服器存取日誌對許多應用程式來說，都是個很有用的資料。舉例來說，存取記錄資訊在安全與存取稽核中相當實用。如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》**中的[Amazon S3 伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html)。

# 使用 CloudWatch 自動儀表板監控您的 WorkSpaces 運作狀態
<a name="cloudwatch-dashboard"></a>

您可以使用 CloudWatch 自動儀表板監控 WorkSpaces，該儀表板會收集原始資料並將其處理為可讀且近乎即時的指標。這些指標會保留 15 個月，以存取歷史資訊並監控 Web 應用程式或服務的效能。您也可以設定留意特定閾值的警示，當滿足這些閾值時傳送通知或採取動作。如需詳細資訊，請參閱 [Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。

當您使用 AWS 帳戶設定 WorkSpaces 時，會自動建立 CloudWatch 儀表板。儀表板可讓您跨區域監控 WorkSpaces 指標，例如其運作狀態和效能。您也可以將儀表板用於下列目的：
+ 識別運作狀態不佳的 WorkSpace 執行個體。
+ 識別運作狀態不佳的 WorkSpace 執行個體的執行模式、通訊協定和作業系統。
+ 檢視一段時間內的關鍵資源使用率。
+ 識別異常以協助故障診斷。

WorkSpaces CloudWatch 自動儀表板適用於所有 AWS 商業區域。

**使用 WorkSpaces CloudWatch 自動儀表板**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，選擇 **Dashboards** (儀表板)。

1. 選擇**自動儀表板**索引標籤。

1. 選擇 **WorkSpaces**。

## 了解 WorkSpaces CloudWatch 自動儀表板
<a name="understanding-cloudwatch-dashboard"></a>

CloudWatch 自動儀表板可讓您深入了解 WorkSpaces 資源的效能，並協助您識別效能問題。

![\[WorkSpaces 用戶端登入畫面\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/cw_dashboard_withcallouts.png)


**儀表板包含下列功能：**

1. 使用時間和日期範圍控制項檢視歷史資料。

1. 將自訂儀表板檢視新增至 CloudWatch 自訂儀表板。

1. 執行下列動作來監控 WorkSpaces 的整體運作狀態和使用率狀態：

   1. 檢視佈建的 WorkSpaces 總數、連線的使用者數目、運作狀態不佳和運作狀態良好的 WorkSpace 執行個體數目。

   1. 檢視運作狀態不佳的 WorkSpaces 及其不同的變數，例如通訊協定和運算模式。

   1. 將滑鼠游標暫留在折線圖上，以檢視特定通訊協定和執行模式在一段時間內運作狀態良好或不良好的 WorkSpace 執行個體數量。

   1. 選擇省略號選單，然後選擇在**指標中檢視**，以在時間比例圖上檢視指標。

1. 檢視您的連線指標及其不同的變數，例如連線嘗試次數、成功的連線，以及在任何特定時間 WorkSpaces 環境中失敗的連線。

1. 檢視影響使用者體驗的 InSession 延遲，例如往返時間 (RTT)，以判斷連線運作狀態和封包遺失，以監控網路運作狀態。

1. 檢視主機效能和資源使用率，以識別和疑難排解潛在的效能問題。

# 使用 CloudWatch 指標監控 WorkSpaces
<a name="cloudwatch-metrics"></a>

WorkSpaces 與 Amazon CloudWatch 整合，因此您可收集和分析效能指標。您可以使用 CloudWatch 主控台、CloudWatch 命令列界面或以程式設計方式使用 CloudWatch API 來監控這些指標。CloudWatch 也可讓您設定達到指標的指定閾值時的警示。

如需使用 CloudWatch 和警示的詳細資訊，請參閱 [Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)。

**必要條件**  
若要取得 CloudWatch 指標，請啟用 `us-east-1`  區域中 `AMAZON` 子集上連接埠 443 的存取權。如需詳細資訊，請參閱 [WorkSpaces Personal 的 IP 位址和連接埠要求](workspaces-port-requirements.md)。

**Topics**
+ [WorkSpaces 指標](#wsp-metrics)
+ [WorkSpaces 指標的維度](#wsp-metric-dimensions)
+ [監控範例](#monitoring_example)

## WorkSpaces 指標
<a name="wsp-metrics"></a>

`AWS/WorkSpaces` 命名空間包含下列指標。


| 指標 | 描述 | 維度 | 統計資料 | 單位 | 
| --- | --- | --- | --- | --- | 
| `Available`1 |  傳回良好運作狀態的 WorkSpaces 數目。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `Unhealthy`1 |  傳回不良運作狀態的 WorkSpaces 數目。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `ConnectionAttempt`2 |  連線嘗試次數。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `ConnectionSuccess`2 |  成功連線數目。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `ConnectionFailure`2 |  失敗連線數目。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `SessionLaunchTime`2，6 | 起始 WorkSpaces 工作階段所需的時間量。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 秒 (時間) | 
| `InSessionLatency`2，6 | WorkSpaces 用戶端與 WorkSpace 之間的往返時間。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 毫秒 (時間) | 
| `SessionDisconnect`2，6 | 已關閉的連線數目，包括使用者起始和失敗的連線。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `UserConnected`3 | 有使用者連線的 WorkSpaces 數目。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `Stopped` | 已停止的 WorkSpaces 數目。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `Maintenance`4 | 正在維護的 WorkSpaces 數目。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `TrustedDeviceValidationAttempt`5，6 | 裝置驗證簽章驗證嘗試次數。 |  `DirectoryId`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `TrustedDeviceValidationSuccess`5，6 | 成功的裝置驗證簽章驗證數目。 |  `DirectoryId`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `TrustedDeviceValidationFailure`5，6 | 失敗的裝置驗證簽章驗證數目。  |  `DirectoryId`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `TrustedDeviceCertificateDaysBeforeExpiration`6 | 與目錄相關聯的根憑證到期前的剩餘天數。 |  `CertificateId`  | 平均值、總和、最大值、最小值、資料樣本 | 計數 | 
| `CPUUsage` | 使用的 CPU 資源百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值 | 百分比 | 
| `MemoryUsage` | 使用的機器記憶體百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值 | 百分比 | 
| `RootVolumeDiskUsage` | 使用的根磁碟區百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值 | 百分比 | 
| `UserVolumeDiskUsage` | 使用者磁碟區使用的百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值 | 百分比 | 
| `UDPPacketLossRate`7 | 用戶端與閘道之間捨棄的封包百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均、最大值、最小值、資料範例 | 百分比 | 
| `UpTime` | 自上次重新啟動 WorkSpace 以來的時間。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均、最大值、最小值、資料範例 | 秒鐘 | 

1 WorkSpaces 會定期傳送狀態要求給 WorkSpace。WorkSpace 會在回應這些要求時標示為 `Available`，以及在無法回應這些要求時標示為 `Unhealthy`。這些指標可在每個 WorkSpace 的精細層級取得，也可針對組織中的所有 WorkSpaces 彙總。

2 WorkSpaces 會記錄對每個 WorkSpace 進行之連線的指標。這些指標會在使用者透過 WorkSpaces 用戶端成功驗證，然後用戶端起始工作階段後發出。這些指標可在每個 WorkSpace 的精細層級取得，並且會針對目錄中的所有 WorkSpaces 彙總。

3 WorkSpaces 會定期傳送連線狀態要求給 WorkSpace。當使用者主動使用其工作階段時，系統會回報使用者已連線。這個指標可在每個 WorkSpace 的精細層級取得，也可針對組織中的所有 WorkSpaces 彙總。

4 此指標適用於使用 AutoStop 執行模式設定的 WorkSpaces。如果您已針對 WorkSpaces 啟用維護，此指標會擷取目前正在維護的 WorkSpaces 數目。此指標可在每個 WorkSpace 的精細層級取得，用以說明 WorkSpace 何時進行維護及何時移除。

5 如果目錄已啟用可信任的裝置功能，Amazon WorkSpaces 會使用憑證型驗證來判斷裝置是否可信任。當使用者嘗試存取其 WorkSpaces 時，系統會發出這些指標，指出可信任的裝置驗證成功或失敗。這些指標可在每個目錄的精細層級取得，且僅適用於 Amazon WorkSpaces Windows 和 macOS 用戶端應用程式。

6 不適用於 WorkSpaces Web Access。

7 此指標會測量平均封包遺失。
+ **在 PCoIP** 上：測量從用戶端到閘道的平均 UDP 封包遺失。
**注意**  
這是在閘道測量。
+ **在 DCV** 上：測量從閘道到用戶端的 UDP 封包遺失。
**注意**  
這是在閘道測量。

## WorkSpaces 指標的維度
<a name="wsp-metric-dimensions"></a>

若要篩選指標資料，請使用下列維度。


| 維度 | 描述 | 
| --- | --- | 
| `DirectoryId` | 篩選指標資料至指定目錄中的 WorkSpaces。目錄 ID 的形式為 `d-XXXXXXXXXX`。 | 
| `WorkspaceId` | 篩選指標資料至指定的 WorkSpace。WorkSpace ID 的形式為 `ws-XXXXXXXXXX`。 | 
| `CertificateId` | 篩選指標資料至與目錄相關聯的指定根憑證。憑證 ID 的形式為 `wsc-XXXXXXXXX`。 | 
| `RunningMode` | 依執行模式篩選 WorkSpaces 的指標資料。執行模式的形式為 AutoStop 或 AlwaysOn。 | 
| `BundleId` | 依通訊協定將指標資料篩選至 WorkSpaces。套件的形式為 `wsb-XXXXXXXXXX`。 | 
| `ComputeType` | 依運算類型篩選 WorkSpaces 的指標資料。 | 
| `Protocol` | 依通訊協定類型將指標資料篩選至 WorkSpaces。 | 
| `UserName` |  依使用者名稱篩選指標資料至 WorkSpaces。  `UserName` 不能包含非 ASCII 字元，如下所示：  重音字母：é、à、ö、ñ 等 非拉丁字母 符號：©️、®️、€、£、μ、¥ 等。    | 
| `ComputerName` | 篩選指標資料至指定的 WorkSpace。請參閱 [WorkSpaces 電腦名稱]( https://docs.aws.amazon.com/workspaces/latest/adminguide/wsp-directory-identify-computer.html)的各種格式。 | 

## 監控範例
<a name="monitoring_example"></a>

下列範例示範如何使用 AWS CLI 來回應 CloudWatch 警示，並判斷目錄中的哪些 WorkSpaces 發生連線失敗。

**若要回應 CloudWatch 警示**

1. 使用 [describe-alarms](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/describe-alarms.html) 命令來判斷警示套用至哪個目錄。

   ```
   aws cloudwatch describe-alarms --state-value "ALARM"
   
   {
     "MetricAlarms": [
       {
         ...
         "Dimensions": [
           {
             "Name": "DirectoryId",
             "Value": "directory_id"
           }
         ],
         ...
       }
     ]
   }
   ```

1. 使用 [describe-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspaces.html) 命令來取得指定目錄中的 WorkSpaces 清單。

   ```
   aws workspaces describe-workspaces --directory-id directory_id
   
   {
     "Workspaces": [
       {
         ...
         "WorkspaceId": "workspace1_id",
         ...
       },
       {
         ...
         "WorkspaceId": "workspace2_id",
         ...
       },
       {
         ...
         "WorkspaceId": "workspace3_id",
         ...
       }
     ]
   }
   ```

1. 使用 [get-metric-statistics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html) 命令來取得目錄中每個 WorkSpace 的 CloudWatch 指標。

   ```
   aws cloudwatch get-metric-statistics \
   --namespace AWS/WorkSpaces \
   --metric-name ConnectionFailure \
   --start-time 2015-04-27T00:00:00Z \
   --end-time 2015-04-28T00:00:00Z \
   --period 3600 \
   --statistics Sum \
   --dimensions "Name=WorkspaceId,Value=workspace_id"
   
   {
     "Datapoints" : [
       {
         "Timestamp": "2015-04-27T00:18:00Z",
         "Sum": 1.0,
         "Unit": "Count"
       },
       {
         "Timestamp": "2014-04-27T01:18:00Z",
         "Sum": 0.0,
         "Unit": "Count"
       }
     ],
     "Label" : "ConnectionFailure"
   }
   ```

# 使用 Amazon EventBridge 監控 WorkSpaces
<a name="cloudwatch-events"></a>

您可使用 Amazon WorkSpaces 中的事件來檢視、搜尋、下載、封存、分析和回應 WorkSpaces 的成功登入。例如，您可以針對下列目的使用事件：
+ 將 WorkSpaces 登入事件儲存或封存為日誌，以供未來參考、分析日誌以尋找模式，並根據這些模式採取行動。
+ 使用 WAN IP 地址來判斷使用者從何處登入，然後使用政策讓使用者只能存取 WorkSpaces 中符合在 `WorkSpaces Access` 的事件類型中找到之存取條件的檔案或資料。
+ 分析登入資料並使用 執行自動化動作 AWS Lambda。
+ 使用政策控制來封鎖來自未經授權的 IP 地址對檔案和應用程式的存取。
+ 找出用來連線至 WorkSpaces 的 WorkSpaces 用戶端版本。

Amazon WorkSpaces 會全力發出這些事件。事件會以接近即時的方式遞送到 EventBridge。使用 EventBridge，您可以建立觸發程式設計動作以回應事件的規則。例如，您可以設定呼叫 SNS 主題以傳送電子郵件通知的規則，或呼叫 Lambda 函數以採取一些動作。如需詳細資訊，請參閱《Amazon EventBridge 使用者指南》[https://docs.aws.amazon.com/eventbridge/latest/userguide/](https://docs.aws.amazon.com/eventbridge/latest/userguide/)。

## WorkSpaces 存取事件
<a name="workspaces-event-types"></a>

WorkSpaces 用戶端應用程式會在使用者成功登入 WorkSpace 時傳送 `WorkSpaces Access` 事件。所有 WorkSpaces 用戶端都會傳送這些事件。

使用 DCV 為 WorkSpaces 發出的事件需要 WorkSpaces 用戶端應用程式 4.0.1 版或更新版本。

事件會以 JSON 物件的形式表示。以下是 `WorkSpaces Access` 事件的範例資料。

```
{
    "version": "0",
    "id": "64ca0eda-9751-dc55-c41a-1bd50b4fc9b7",
    "detail-type": "WorkSpaces Access",
    "source": "aws.workspaces",
    "account": "123456789012",
    "time": "2023-04-05T16:13:59Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "clientIpAddress": "192.0.2.3",
        "actionType": "successfulLogin",
        "workspacesClientProductName": "WorkSpacesWebClient",
        "loginTime": "2023-04-05T16:13:37.603Z",
        "clientPlatform": "Windows",
        "directoryId": "domain/d-123456789",
        "clientVersion": "5.7.0.3472",
        "workspaceId": "ws-xyskdga"
    }
}
```事件特定欄位

`clientIpAddress`  
用戶端應用程式的 WAN IP 地址。如果是 PCoIP 零客戶端，則此為 Terdici 驗證用戶端的 IP 地址。

`actionType`  
這個值一律為 `successfulLogin`。

`workspacesClientProductName`  
下列值會區分大小寫。  
+ `WorkSpaces Desktop client`—Windows、macOS 和 Linux 用戶端
+ `Amazon WorkSpaces Mobile client`—iOS 用戶端
+ `WorkSpaces Mobile Client`—Android 用戶端
+ `WorkSpaces Chrome Client`—Chromebook 用戶端
+ `WorkSpacesWebClient`—Web Access 用戶端
+ `AmazonWorkSpacesThinClient` — Amazon WorkSpaces 精簡型客戶端裝置
+ `Teradici PCoIP Zero Client, Teradici PCoIP Desktop Client, or Dell Wyse PCoIP Client `—零客戶端

`loginTime`  
使用者登入 WorkSpace Spaces 的時間。

`clientPlatform`  
+ `Android`
+ `Chrome`
+ `iOS`
+ `Linux`
+ `OSX`
+ `Windows`
+ `Teradici PCoIP Zero Client and Tera2`
+ `Web`

`directoryId`  
工作空間 目錄的識別碼。您必須在目錄識別碼前面加上 `domain/`。例如 `"domain/d-123456789"`。

`clientVersion`  
用來連線至 WorkSpaces 的用戶端版本。

`workspaceId`  
WorkSpace 的識別碼。

## 建立規則以處理 WorkSpaces 事件
<a name="create-event-rule"></a>

請依照下列程序建立規則，以處理 WorkSpaces 事件。

**先決條件**

若要接收電子郵件通知，請建立 Amazon Simple Notification Service 主題。

1. 在 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) 開啟 Amazon SNS 主控台。

1. 在導覽窗格中，選擇**主題**。

1. 請選擇**建立主題**。

1. 針對**類型**，選擇**標準**。

1. 在 **Name** (名稱) 中，輸入主題名稱。

1. 請選擇**建立主題**。

1. 選擇**建立訂閱**。

1. 對於**通訊協定**，選擇**電子郵件**。

1. 在 **Endpoint** (端點) 中，輸入接收通知的電子郵件地址。

1. 選擇**建立訂閱**。

1. 您會收到帶有下列主旨行的電子郵件訊息：AWS Notification - Subscription Confirmation。請依照指示來確認訂閱。

**若建立規則以處理 WorkSpaces 事件**

1. 在 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。

1. 選擇 **Create rule** (建立規則)。

1. 在 **Name** (名稱) 中，輸入規則名稱。

1. 針對**規則類型**，選擇**具有事件模式的規則**。

1. 選擇**下一步**。

1. 針對 **Event pattern** (事件模式)，請執行下列動作：

   1. 在 **Event source (事件來源)**，選擇 **AWS 服務**。

   1. 針對 **AWS 服務**，選擇 **WorkSpaces**。

   1. 針對**事件類型**，選擇 **WorkSpaces 存取權**。

   1. 根據預設，我們會傳送每個事件的通知。如果您想要，可以建立事件模式來篩選特定用戶端或工作區的事件。

1. 選擇**下一步**。

1. 如下所示指定目標：

   1. 對於 **Target types** (目標類型)，選擇 **AWS 服務**。

   1. 對於 **Select a target** (選取目標)，選擇 **SNS topic** (SNS 主題)。

   1. 對於**主題**，選擇您為通知建立的 SNS 主題。

1. 選擇**下一步**。

1. (選用) 將標籤新增至您的規則。

1. 選擇**下一步**。

1. 選擇**建立規則**。

# 了解智慧卡使用者的 AWS 登入事件
<a name="signin-events"></a>

AWS CloudTrail 會記錄智慧卡使用者成功和失敗的登入事件。這包括每次提示使用者解決特定憑證挑戰或要素時擷取的登入事件，以及該特定憑證驗證請求的狀態。使用者只會在完成所有必要的憑證挑戰後才會登入，這會導致 `UserAuthentication` 事件被記錄。

下表擷取每個登入 CloudTrail 事件名稱及其目的。


| 事件名稱 | 事件目的 | 
| --- | --- | 
| `CredentialChallenge` |  通知 AWS 登入已請求使用者解決特定的登入資料挑戰`CredentialType`，並指定必要的 （例如，SMARTCARD)。  | 
| `CredentialVerification` |  通知使用者已嘗試解決特定 `CredentialChallenge` 請求，並指定該憑證是成功還是失敗。  | 
| `UserAuthentication` |  通知使用者遭到挑戰的所有驗證需求都已成功完成，且使用者已成功登入。當使用者無法順利完成所需的憑證挑戰時，不會記錄任何 `UserAuthentication` 事件。  | 

下表擷取特定登入 CloudTrail 事件中包含的其他實用事件資料欄位。


| 事件名稱 | 事件目的 | 登入事件適用性 | 範例值 | 
| --- | --- | --- | --- | 
| `AuthWorkflowID` |  使整個登入序列中發出的所有事件產生關聯。對於每次使用者登入， AWS 登入可以發出多個事件。  |  `CredentialChallenge`, `CredentialVerification`, `UserAuthentication`  |  "AuthWorkflowID": "9de74b32-8362-4a01-a524-de21df59fd83"  | 
| `CredentialType` |  通知使用者已嘗試解決特定 `CredentialChallenge` 請求，並指定該憑證是成功還是失敗。  |  `CredentialChallenge`, `CredentialVerification`, `UserAuthentication`  |  CredentialType": "SMARTCARD" (現今可能的值：SMARTCARD)  | 
| `LoginTo` |  通知使用者遭到挑戰的所有驗證需求都已成功完成，且使用者已成功登入。當使用者無法順利完成所需的憑證挑戰時，不會記錄任何 `UserAuthentication` 事件。  |  `UserAuthentication`  |  "LoginTo": "https://skylight.local“  | 

## AWS 登入案例的範例事件
<a name="example-event-signin"></a>

下列範例顯示不同登入案例中 CloudTrail 事件的預期序列。

**Topics**
+ [使用智慧卡驗證時登入成功](#successful-signin)
+ [僅使用智慧卡驗證時登入失敗](#failed-signin)

### 使用智慧卡驗證時登入成功
<a name="successful-signin"></a>

下列事件序列會擷取智慧卡登入成功的範例。

**CredentialChallenge**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:29Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialChallenge", 
    "awsRegion": "us-east-1", 
    "sourceIPAddress": "AWS Internal", 
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "65551a6d-654a-4be8-90b5-bbfef7187d3a",
    "eventID": "fb603838-f119-4304-9fdc-c0f947a82116",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        CredentialChallenge": "Success"
    }
}
```

**成功的 CredentialVerification**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:39Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialVerification",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5",
    "eventID": "84c0a2ff-413f-4d0f-9108-f72c90a41b6c",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "509318101470",
    "serviceEventDetails": {
        CredentialVerification": "Success"
    }
}
```

**成功的 UserAuthentication**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:39Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "UserAuthentication", 
    "awsRegion": "us-east-1", 
    "sourceIPAddress": "AWS Internal", 
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e", 
        "LoginTo": "https://skylight.local", 
        "CredentialType": "SMARTCARD"
    },
    "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5", 
    "eventID": "acc0dba8-8e8b-414b-a52d-6b7cd51d38f6", 
    "readOnly": false,
    "eventType": "AwsServiceEvent", 
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        UserAuthentication": "Success"
    }
}
```

### 僅使用智慧卡驗證時登入失敗
<a name="failed-signin"></a>

下列事件序列會擷取智慧卡登入失敗的範例。

**CredentialChallenge**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:06Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialChallenge", 
    "awaRegion": "us-east-1", 
    "sourceIPAddress": "AWS Internal", 
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "73eb499d-91a8-4c18-9c5d-281fd45ab50a",
    "eventID": "f30a50ec-71cf-415a-a5ab-e287edc800da",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        CredentialChallenge": "Success"
    }
}
```

**失敗的 CredentialVerification**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:13Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialVerification",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "051ca316-0b0d-4d38-940b-5fe5794fda03",
    "eventID": "4e6fbfc7-0479-48da-b7dc-e875155a8177",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        CredentialVerification": "Failure"
    }
}
```

# 使用 CloudFormation 範本建立自訂 CloudWatch 儀表板
<a name="cloudformation-templates"></a>

AWS 提供 CloudFormation 範本，可用來為 WorkSpaces 建立自訂 CloudWatch 儀表板。從下列 CloudFormation 範本選項中選擇，在 CloudFormation 主控台中為您的 WorkSpaces 建立自訂儀表板。

## 入門前的考量事項
<a name="before-starting-custom-cw-templates"></a>

開始使用自訂 CloudWatch 儀表板之前，請考慮下列事項：
+ 在與您要監控的已部署 WorkSpaces AWS 區域 相同的 中建立儀表板。
+ 您也可以使用 CloudWatch 主控台建立自訂儀表板。
+ 成本可能與自訂 CloudWatch 儀表板相關聯。如需定價的相關資訊，請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing)

## 服務台儀表板
<a name="help-desk-dashboard"></a>

服務台儀表板會顯示特定 WorkSpace 的下列指標：
+ CPU 用量
+ 記憶體用量
+ 工作階段內延遲
+ 根磁碟區
+ 使用者磁碟區
+ 封包遺失
+ 硬碟使用量

以下是服務台儀表板的範例。

![\[CloudWatch 的範例服務台儀表板。\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/help-desk.png)


完成下列程序，使用 在 CloudWatch 中建立自訂儀表板 CloudFormation。

1. [在 CloudFormation 主控台中開啟建立堆疊頁面](https://console.aws.amazon.com/cloudformation/home#/stacks/new?stackName=YourStackName&templateURL=https://cfn-templates-global-prod-iad.s3.us-east-1.amazonaws.com/cfn-templates/workspaces_helpdesk_dashboard.yaml)。此連結會開啟頁面，其中包含預先填入服務台自訂 CloudWatch 儀表板範本的 Amazon S3 儲存貯體位置。

1. 檢閱**建立堆疊**頁面上的預設選取項目。請注意，**Amazon S3 URL** 欄位會預先填入 CloudFormation 範本的 Amazon S3 儲存貯體位置。

1. 選擇**下一步**。

1. 在**堆疊名稱**文字方塊中，輸入堆疊的名稱。

   堆疊名稱是一個識別碼，可協助您從堆疊清單中找到特定堆疊。堆疊名稱只能包含英數字元 (區分大小寫) 和連字號。必須以字母字元開頭，且長度不可超過 128 個字元。

1. 在 **DashboardName** 文字方塊中，輸入您要提供儀表板的名稱。

   儀表板名稱只能包含英數字元、破折號 (`–`) 和底線 ()`_`。

1. 選擇**下一步**。

1. 檢閱**設定堆疊選項**頁面上的預設選擇，然後選擇**下一步**。

1. 向下捲動至**轉換可能需要存取功能**，並勾選確認方塊。然後選擇**提交**以建立堆疊和自訂 CloudWatch 儀表板。
**重要**  
成本可能與自訂 CloudWatch 儀表板相關聯。如需定價的相關資訊，請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing)

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在左側導覽列中，選擇**儀表板**。

1. 在**自訂儀表板**下，使用您在此程序中稍早輸入的儀表板名稱選擇儀表板。

1. 使用服務台範例範本，輸入 WorkSpace 的 UserName 來監控其資料。

## Connection Insights 儀表板
<a name="connection-insights-dashboard"></a>

Connection Insights 儀表板會顯示連線至 WorkSpaces 的用戶端版本、平台和 IP 地址。此儀表板可讓您更了解使用者連線的方式，以便使用過時的用戶端主動通知使用者。動態變數可讓您監控 IP 地址或特定目錄的詳細資訊。

以下是 Connection Insights 儀表板的範例。

![\[CloudWatch 的範例連線洞察儀表板。\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/connection-insights.png)


完成下列程序，使用 在 CloudWatch 中建立自訂儀表板 CloudFormation。

1. [在 CloudFormation 主控台中開啟建立堆疊頁面](https://console.aws.amazon.com/cloudformation/home#/stacks/new?stackName=YourStackName&templateURL=https://cfn-templates-global-prod-iad.s3.us-east-1.amazonaws.com/cfn-templates/workspaces_connection_insights_dashboard.yaml)。此連結會開啟頁面，其中已預先填入 Connection Insights 自訂 CloudWatch 儀表板範本的 Amazon S3 儲存貯體位置。

1. 檢閱**建立堆疊**頁面上的預設選取項目。請注意，**Amazon S3 URL** 欄位會預先填入 CloudFormation 範本的 Amazon S3 儲存貯體位置。

1. 選擇**下一步**。

1. 在**堆疊名稱**文字方塊中，輸入堆疊的名稱。

   堆疊名稱是一個識別碼，可協助您從堆疊清單中找到特定堆疊。堆疊名稱只能包含英數字元 (區分大小寫) 和連字號。必須以字母字元開頭，且長度不可超過 128 個字元。

1. 在 **DashboardName** 文字方塊中，輸入您要提供儀表板的名稱。輸入其他相關的 CloudWatch 存取群組設定資訊。

   儀表板名稱只能包含英數字元、破折號 (`–`) 和底線 ()`_`。

1. 在 **LogRetention** 下，輸入您要保留 LogGroup 的天數。

1. 在 **SetupEventBridge** 下，選擇是否要部署 EventBridge 規則以取得 WorkSpaces 存取日誌。

1. 在 **WorkSpaceAccessLogsName** 下，輸入具有 WorkSpaces 存取日誌的 CloudWatch LogGroup 名稱。

1. 選擇**下一步**。

1. 檢閱**設定堆疊選項**頁面上的預設選擇，然後選擇**下一步**。

1. 向下捲動至**轉換可能需要存取功能**，並勾選確認方塊。然後選擇**提交**以建立堆疊和自訂 CloudWatch 儀表板。
**重要**  
成本可能與自訂 CloudWatch 儀表板相關聯。如需定價的資訊，請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing)

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在左側導覽列中，選擇**儀表板**。

1. 在**自訂儀表板**下，使用您在此程序中稍早輸入的儀表板名稱選擇儀表板。

1. 您現在可以使用 Connection Insights 儀表板監控 WorkSpace 的資料。

## 網路監控儀表板
<a name="cloudwatch-internet-monitoring-dashboard"></a>

網路監控儀表板會顯示您的使用者用來加入 WorkSpaces 執行個體的網際網路服務供應商 (ISP) 詳細資訊。它提供有關城市、州、ASN、網路名稱、連線 WorkSpaces 數量、效能和體驗分數的詳細資訊。您也可以使用特定 IP 地址，取得從特定位置連線之使用者的詳細資訊。部署 CloudWatch 網際網路監視器以取得 ISP 資料資訊。如需詳細資訊，請參閱[使用 Amazon CloudWatch 網路監視器](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-InternetMonitor.html)。

以下是網際網路監控儀表板的範例。

![\[CloudWatch 的網際網路監控儀表板範例。\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/cw-internet-monitor.png)


**使用 在 CloudWatch 中建立自訂儀表板 CloudFormation**
**注意**  
建立自訂儀表板之前，請務必使用 CloudWatch 網路監視器建立網路監視器。如需詳細資訊，請參閱[使用主控台在 Amazon CloudWatch 網路監視器中建立監視器](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/CloudWatch-IM-get-started.create.html)

1. [在 CloudFormation 主控台中開啟建立堆疊頁面](https://console.aws.amazon.com/cloudformation/home#/stacks/new?stackName=YourStackName&templateURL=https://cfn-templates-global-prod-iad.s3.us-east-1.amazonaws.com/cfn-templates/workspaces_cloudwatch_internet_monitor_dashboard.yaml)。此連結會開啟頁面，並預先填入網際網路監控自訂 CloudWatch 儀表板範本的 Amazon S3 儲存貯體位置。

1. 檢閱**建立堆疊**頁面上的預設選取項目。請注意，**Amazon S3 URL** 欄位會預先填入 CloudFormation 範本的 Amazon S3 儲存貯體位置。

1. 選擇**下一步**。

1. 在**堆疊名稱**文字方塊中，輸入堆疊的名稱。

   堆疊名稱是一個識別碼，可協助您從堆疊清單中找到特定堆疊。堆疊名稱只能包含英數字元 (區分大小寫) 和連字號。必須以字母字元開頭，且長度不可超過 128 個字元。

1. 在 **DashboardName** 文字方塊中，輸入您要提供儀表板的名稱。輸入其他相關的 CloudWatch 存取群組設定資訊。

   儀表板名稱只能包含英數字元、破折號 (`–`) 和底線 ()`_`。

1. 在 **ResourcesToMonitor** 下，輸入您已啟用網際網路監控之目錄的目錄 ID。

1. 在 **MonitorName** 下，輸入您要使用的網際網路監視器名稱。

1. 選擇**下一步**。

1. 檢閱**設定堆疊選項**頁面上的預設選擇，然後選擇**下一步**。

1. 向下捲動至**轉換可能需要存取功能**，並勾選確認方塊。然後選擇**提交**以建立堆疊和自訂 CloudWatch 儀表板。
**重要**  
成本可能與自訂 CloudWatch 儀表板相關聯。如需定價的資訊，請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing)

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在左側導覽列中，選擇**儀表板**。

1. 在**自訂儀表板**下，使用您在此程序中稍早輸入的儀表板名稱選擇儀表板。

1. 您現在可以使用網際網路監控儀表板來監控 WorkSpace 的資料。

# WorkSpaces Personal 的業務持續性
<a name="business-continuity"></a>

Amazon WorkSpaces 建置於 AWS 全球基礎設施上，該基礎設施組織成 AWS 區域和可用區域。這些區域和可用區域在實體隔離和資料備援方面提供彈性。如需詳細資訊，請參閱[Amazon WorkSpaces 的恢復能力](disaster-recovery-resiliency.md)。

Amazon WorkSpaces 也提供跨區域重新導向，這項功能可與您的網域名稱系統 (DNS) 路由政策搭配運作，以在 WorkSpaces 使用者的主要 WorkSpaces 無法使用時，將他們重新導向至替代 WorkSpaces。例如，藉由使用 DNS 容錯移轉路由政策，您可在使用者無法存取其主要區域中的 WorkSpaces 時，將他們連線至指定容錯移轉區域中的 WorkSpaces。

您可以使用跨區域重新導向來實現區域彈性和高可用性。您也可將其用於其他目的，例如流量分配或在維護期間提供替代 WorkSpaces。如果您使用 Amazon Route 53 進行 DNS 設定，則可利用運作狀態檢查來監控 Amazon CloudWatch 警示。

Amazon WorkSpaces 多區域恢復能力在次要 WorkSpace 區域中提供自動化的備援虛擬桌面基礎架構，並在主要區域因服務中斷而無法連線時，簡化將使用者重新導向至次要區域的程序。

您可以使用 WorkSpaces 多區域恢復能力搭配跨區域重新導向，在次要 WorkSpace 區域中部署備援虛擬桌面基礎架構，並設計跨區域容錯移轉策略，以準備因應中斷性事件。您也可將此解決方案用於其他目的，例如流量分配或在維護期間提供替代 WorkSpaces。如果您使用 Route 53 進行 DNS 設定，則可利用運作狀態檢查來監控 CloudWatch 警示。

**Topics**
+ [WorkSpaces Personal 的跨區域重新導向](cross-region-redirection.md)
+ [WorkSpaces Personal 的多區域彈性](multi-region-resilience.md)

# WorkSpaces Personal 的跨區域重新導向
<a name="cross-region-redirection"></a>

透過 Amazon WorkSpaces 中的跨區域重新導向功能，您可以使用完整網域名稱 (FQDN) 做為 WorkSpaces 的註冊碼。跨區域重新導向可搭配網域名稱系統 (DNS) 路由政策運作，以在 WorkSpaces 使用者的主要 WorkSpaces 無法使用時，將他們重新導向至替代 WorkSpaces。例如，透過使用 DNS 容錯移轉路由政策，您可以在使用者無法存取主要區域中的 WorkSpaces AWS 時，將使用者連線到指定容錯移轉區域中的 WorkSpaces。

您可以使用跨區域重新導向搭配 DNS 容錯移轉路由政策，以達到區域彈性和高可用性。您也可將此功能用於其他目的，例如流量分配或在維護期間提供替代 WorkSpaces。如果您使用 Amazon Route 53 進行 DNS 設定，則可利用運作狀態檢查來監控 Amazon CloudWatch 警示。

若要使用此功能，您必須在兩個 （或更多） AWS 區域中為使用者設定 WorkSpaces。您也必須建立稱為*連線別名*的特殊 FQDN 型註冊碼。這些連線別名會取代 WorkSpaces 使用者的區域特定註冊碼。(區域特定註冊碼仍然有效；不過，若要讓跨區域重新導向運作，您的使用者必須改用 FQDN 做為其註冊碼。)

若要建立連線別名，請指定*連接字串*，這是 FQDN，例如 `www.example.com` 或 `desktop.example.com`。若要使用此網域進行跨區域重新導向，您必須向網域註冊機構註冊，並為您的網域設定 DNS 服務。

建立連線別名後，您可以將它們與不同區域中的 WorkSpaces 目錄建立*關聯配對*。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。如果主要區域發生中斷，您的 DNS 容錯移轉路由政策會將 WorkSpaces 使用者重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。

若要指定主要和容錯移轉區域，您可以在設定 DNS 容錯移轉路由政策時定義區域優先順序 (主要或次要)。

**Topics**
+ [先決條件](#cross-region-redirection-prerequisites)
+ [限制](#cross-region-redirection-limitations)
+ [步驟 1：建立連線別名](#cross-region-redirection-create-connection-aliases)
+ [(選用) 步驟 2：與其他帳戶共用連線別名](#cross-region-redirection-share-connection-alias)
+ [步驟 3：將連線別名與每個區域中的目錄建立關聯](#cross-region-redirection-associate-connection-aliases)
+ [步驟 4：設定您的 DNS 服務並設定 DNS 路由政策](#cross-region-redirection-configure-DNS-routing)
+ [步驟 5：將連接字串傳送給您的 WorkSpaces 使用者](#cross-region-redirection-send-connection-string-to-users)
+ [跨區域重新導向架構圖](#cross-region-redirection-architecture-diagram)
+ [啟動跨區域重新導向](#initiate-cross-region-redirection)
+ [跨區域重新導向期間發生什麼狀況](#cross-region-redirection-what-happens)
+ [取消連線別名與目錄的關聯](#cross-region-redirection-disassociate-connection-alias)
+ [取消共用連線別名](#cross-region-redirection-unshare-connection-alias)
+ [刪除連線別名](#cross-region-redirection-delete-connection-alias)
+ [關聯和取消關聯連線別名的 IAM 許可](#cross-region-redirection-iam)
+ [停止使用跨區域重新導向時的安全性考量](#cross-region-redirection-security-considerations)

## 先決條件
<a name="cross-region-redirection-prerequisites"></a>
+ 您必須擁有並註冊要在連線別名中當作 FQDN 使用的網域。如果您尚未使用其他網域註冊機構，您可使用 Amazon Route 53 來註冊您的網域。如需詳細資訊，請參閱《Amazon Route 53 開發人員指南》**中的[使用 Amazon Route 53 註冊網域名稱](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)。
**重要**  
您必須擁有所有必要的權利，才能使用任何與 Amazon WorkSpaces 搭配使用的網域名稱。您同意網域名稱不違反或侵犯任何第三方的合法權利，或以其他方式違反適用法律。

  您的網域名稱總長度不得超過 255 個字元。如需有關網域名稱的詳細資訊，請參閱《Amazon Route 53 開發人員指南》**中的 [DNS 網域名稱格式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DomainNameFormat.html)。

  跨區域重新導向適用於公用網域名稱和私有 DNS 區域中的網域名稱。如果您使用私有 DNS 區域，則必須提供與包含 WorkSpaces 的虛擬私有雲端 (VPC) 的虛擬私有網路 (VPN)。如果 WorkSpaces 使用者嘗試從公用網際網路使用私有 FQDN，WorkSpaces 用戶端應用程式會傳回下列錯誤訊息：

  `"We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."`
+ 您必須設定 DNS 服務並設定必要的 DNS 路由政策。跨區域重新導向會與您的 DNS 路由政策搭配使用，視需要重新導向 WorkSpaces 使用者。
+ 在您要設定跨區域重新導向的每個主要和容錯移轉區域中，為您的使用者建立 WorkSpaces。請確定您在每個區域的每個 WorkSpaces 目錄中使用相同的使用者名稱。若要讓您的 Active Directory 使用者資料保持同步，我們建議您使用 AD Connector 指向您已為使用者設定 WorkSpaces 的每個區域中的相同 Active Directory。如需建立 WorkSpaces 的詳細資訊，請參閱[啟動 WorkSpaces](launch-workspaces-tutorials.md)。
**重要**  
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫，則只能註冊主要區域中的目錄，以便與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。

  完成跨區域重新導向的設定時，您必須確定 WorkSpaces 使用者使用 FQDN 型註冊碼，而不是其主要區域的區域型註冊碼 (例如 `WSpdx+ABC12D`)。若要執行此操作，您必須使用 [步驟 5：將連接字串傳送給您的 WorkSpaces 使用者](#cross-region-redirection-send-connection-string-to-users) 中的程序，傳送包含 FQDN 連接字串的電子郵件給他們。
**注意**  
如果您在 WorkSpaces 主控台中建立使用者，而不是在 Active Directory 中建立使用者，則每當您啟動新的 WorkSpace 時，WorkSpaces 都會自動將邀請電子郵件傳送給您的使用者，其中包含區域型註冊碼。這表示當您在容錯移轉區域中為使用者設定 WorkSpaces 時，使用者也會自動接收這些容錯移轉 WorkSpaces 的電子郵件。您需要指示使用者忽略包含區域型註冊碼的電子郵件。

## 限制
<a name="cross-region-redirection-limitations"></a>
+ 跨區域重新導向不會自動檢查與主要區域的連線是否失敗，然後將您的 WorkSpaces 容錯移轉至其他區域。換句話說，不會發生自動容錯移轉。

  若要實作自動容錯移轉案例，您必須使用其他機制搭配跨區域重新導向。例如，您可以使用 Amazon Route 53 容錯移轉 DNS 路由政策搭配 Route 53 運作狀態檢查，以監控主要區域中的 CloudWatch 警示。如果主要區域已觸發 CloudWatch 警示，您的 DNS 容錯移轉路由政策則會將 WorkSpaces 使用者重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。
+ 只有 3.0.9 版或更新版本的 Linux、macOS 和 Windows WorkSpaces 用戶端應用程式支援跨區域重新導向。您也可以使用跨區域重新導向搭配 Web Access。
+ 跨區域重新導向適用於所有[AWS 可使用 Amazon WorkSpaces 的區域](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)，但 AWS GovCloud (US) Region和中國 （寧夏） 區域除外。

## 步驟 1：建立連線別名
<a name="cross-region-redirection-create-connection-aliases"></a>

使用相同的 AWS 帳戶，在您要設定跨區域重新導向的每個主要和容錯移轉區域中建立連線別名。

**若要建立連線別名**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. <a name="step_select_region_create_alias"></a>在主控台的右上角，選取 WorkSpaces 的主要 AWS 區域。

1. 在導覽窗格中，選擇 **Account Settings (帳戶設定)**。

1. 在**跨區域重新導向**之下，選擇**建立連線別名**。

1. 在**連接字串**中，輸入 FQDN，例如 `www.example.com` 或 `desktop.example.com`。連接字串最多可以是 255 個字元。其只能包含字母 (A-Z 和 a-z)、數字 (0-9) 和下列字元： .-
**重要**  
建立連線字串後，該字串一律會與您的 AWS 帳戶建立關聯。即使您從原始帳戶中刪除連接字串的所有執行個體，也無法使用不同的帳戶重新建立相同的連接字串。連接字串會全域保留給您的帳戶使用。

1. (選用) 在**標籤**下，指定要與連線別名產生關聯的任何標籤。

1. 選擇**建立連線別名**。

1. 重複這些步驟，但務必在 [Step 2](#step_select_region_create_alias) 中選取 WorkSpaces 的容錯移轉區域。如果您有多個容錯移轉區域，請為每個容錯移轉區域重複這些步驟。請務必使用相同的 AWS 帳戶，在每個容錯移轉區域中建立連線別名。

## (選用) 步驟 2：與其他帳戶共用連線別名
<a name="cross-region-redirection-share-connection-alias"></a>

您可以與相同 AWS 區域中的另一個 AWS 帳戶共用連線別名。與另一個帳戶共享連線別名會授予該帳戶的許可，您只能將該別名與相同區域中該帳戶擁有的目錄建立關聯或解除關聯。只有擁有連線別名的帳戶才能刪除別名。

**注意**  
連線別名只能與每個 AWS 區域的一個目錄建立關聯。如果您與其他 AWS 帳戶共用連線別名，則只有一個帳戶 （您的帳戶或共用帳戶） 可以將別名與該區域中的目錄建立關聯。

**與其他 AWS 帳戶共用連線別名**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在主控台的右上角，選取您要與其他 AWS 帳戶共用連線別名 AWS 的區域。

1. 在導覽窗格中，選擇 **Account Settings (帳戶設定)**。

1. 在**跨區域重新導向關聯**底下，選取連接字串，然後選擇**動作**、**共用/取消共用連線別名**。

   您也可以從連線別名的詳細資訊頁面共用別名。若要這麼做，請在**共用帳戶**下，選擇**共用連線別名**。

1. 在**共用/取消共用連線別名**頁面**的與帳戶共用**下，輸入您要在此 AWS 區域中與之共用連線別名 AWS 的帳戶 ID。

1. 選擇**共用**。

## 步驟 3：將連線別名與每個區域中的目錄建立關聯
<a name="cross-region-redirection-associate-connection-aliases"></a>

將相同的連線別名與兩個或多個區域中的 WorkSpaces 目錄建立關聯，會在不同的目錄之間建立關聯配對。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。

例如，如果主要區域是美國西部 (奧勒岡) 區域，您可以將美國西部 (奧勒岡) 區域中的 WorkSpaces 目錄與美國東部 (維吉尼亞北部) 區域中的 WorkSpaces 目錄配對。如果主要區域發生中斷，則跨區域重新導向會搭配 DNS 容錯移轉路由政策和您在美國西部 (奧勒岡) 區域進行的任何運作狀態檢查運作，以將使用者重新導向至您在美國東部 (維吉尼亞北部) 區域中為他們設定的 WorkSpaces。如需有關跨區域重新導向體驗的詳細資訊，請參閱 [跨區域重新導向期間發生什麼狀況](#cross-region-redirection-what-happens)。

**注意**  
如果 WorkSpaces 使用者與容錯移轉區域相距很遠 (例如，距離數千英里)，其 WorkSpaces 體驗可能比平常的回應更慢。若要檢查從您所在位置到各個 AWS 區域的往返時間 (RTT)，請使用 [Amazon WorkSpaces 連線運作狀態檢查](https://clients.amazonworkspaces.com/Health.html)。

**若要建立連線別名與目錄的關聯**

每個 AWS 區域只能將連線別名與一個目錄建立關聯。如果您已與其他 AWS 帳戶共用連線別名，則只有一個帳戶 （您的帳戶或共用帳戶） 可以將別名與該區域中的目錄建立關聯。

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. <a name="step_select_region_associate_alias"></a>在主控台的右上角，選取 WorkSpaces 的主要 AWS 區域。

1. 在導覽窗格中，選擇 **Account Settings (帳戶設定)**。

1. 在**跨區域重新導向關聯**底下，選取連接字串，然後選擇**動作**、**關聯/取消關聯**。

   您也可以從連線別名的詳細資訊頁面，建立連線別名與目錄的關聯。若要這麼做，請在**關聯的目錄**下選擇**關聯目錄**。

1. 在**關聯/取消關聯**頁面上，在與**目錄建立關聯**下，選取您要在此 AWS 區域中將連線別名與 建立關聯的目錄。
**注意**  
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫，則只有主要區域中的目錄可以與 Amazon WorkSpaces 搭配使用。嘗試使用所複寫區域中的目錄搭配 Amazon WorkSpaces 將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。

1. 選擇**關聯**。

1. 重複這些步驟，但務必在 [Step 2](#step_select_region_associate_alias) 中選取 WorkSpaces 的容錯移轉區域。如果您有多個容錯移轉區域，請為每個容錯移轉區域重複這些步驟。務必將相同的連線別名與每個容錯移轉區域中的目錄產生關聯。

## 步驟 4：設定您的 DNS 服務並設定 DNS 路由政策
<a name="cross-region-redirection-configure-DNS-routing"></a>

建立連線別名和連線別名關聯配對之後，您可以接著為您在連接字串中使用的網域設定 DNS 服務。您可以為此目的使用任何 DNS 服務供應商。如果您還沒有偏好的 DNS 服務供應商，您可以使用 Amazon Route 53。如需詳細資訊，請參閱《Amazon Route 53 開發人員指南》**中的[設定 Amazon Route 53 做為 DNS 服務](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring.html)。

為網域設定 DNS 服務之後，您必須設定要用於跨區域重新導向的 DNS 路由政策。例如，您可以使用 Amazon Route 53 運作狀態檢查來判斷使用者是否可以連線到特定區域中的 WorkSpaces。如果您的使用者無法連線，您可使用 DNS 容錯移轉政策，將 DNS 流量從一個區域路由傳送到另一個區域。

如需有關選擇 DNS 路由政策的資訊，請參閱《Amazon Route 53 開發人員指南》**中的[選擇路由政策](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)。如需有關 Amazon Route 53 運作狀態檢查的詳細資訊，請參閱《Amazon Route 53 開發人員指南》**中的 [Amazon Route 53 如何檢查資源的運作狀態](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html)。

當您設定 DNS 路由政策時，您需要*連線識別碼*進行連線別名與主要區域中 WorkSpaces 目錄之間的關聯。您也需要連線別名與容錯移轉區域中 WorkSpaces 目錄之間關聯的連線識別碼。

**注意**  
連線識別碼與連線別名 ID **不同**。連線別名 ID 的開頭為 `wsca-`。

**若要尋找連線別名關聯的連線識別碼**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. <a name="step_select_region_connection_id"></a>在主控台的右上角，選取 WorkSpaces 的主要 AWS 區域。

1. 在導覽窗格中，選擇 **Account Settings (帳戶設定)**。

1. 在**跨區域重新導向關聯**下，選取連接字串文字 (FQDN) 以檢視連線別名詳細資訊頁面。

1. 在連線別名的詳細資訊頁面上，於**關聯的目錄**之下，記下針對**連線識別碼**所顯示的值。

1. 重複這些步驟，但務必在 [Step 2](#step_select_region_connection_id) 中選取 WorkSpaces 的容錯移轉區域。如果您有多個容錯移轉區域，請重複這些步驟以尋找每個容錯移轉區域的連線識別碼。

**範例：使用 Route 53 設定 DNS 容錯移轉路由政策**

下列範例會為您的網域設定公用託管區域。不過，您可以設定公用或私有託管區域。如需有關設定託管區域的詳細資訊，請參閱《Amazon Route 53 開發人員指南》**中的[使用託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-working-with.html)。

此範例也會使用容錯移轉路由政策。您可以針對跨區域重新導向策略使用其他路由政策類型。如需有關選擇 DNS 路由政策的資訊，請參閱《Amazon Route 53 開發人員指南》**中的[選擇路由政策](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)。

當您在 Route 53 中設定容錯移轉路由政策時，主要區域需要進行運作狀態檢查。如需在 Route 53 中建立運作狀態檢查的詳細資訊，請參閱《Amazon Route 53 開發人員指南》**中的[建立 Amazon Route 53 運作狀態檢查及設定 DNS 容錯移轉](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)和[建立、更新及刪除運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。

如果您想要使用 Amazon CloudWatch 警示搭配 Route 53 運作狀態檢查，則也需要設定 CloudWatch 警示來監控主要區域中的資源。如需 CloudWatch 的詳細資訊，請參閱《Amazon CloudWatch 使用者指南》**中的[什麼是 Amazon CloudWatch？](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)。如需有關 Route 53 如何在其運作狀態檢查中使用 CloudWatch 警示的詳細資訊，請參閱《Amazon Route 53 開發人員指南》**中的 [Route 53 如何判斷用於監控 CloudWatch 警示的運作狀態檢查的狀態](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-determining-health-of-endpoints.html#dns-failover-determining-health-of-endpoints-cloudwatch)和[監控 CloudWatch 警示](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-cloudwatch)。

若要在 Route 53 中設定 DNS 容錯移轉路由政策，您必須先為網域建立託管區域。

1. 請在 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。

1. 在導覽窗格中，選擇**託管區域**，然後選擇**建立託管區域**。

1. 在**已建立的託管區域**頁面上，在**網域名稱**之下輸入您的網域名稱 (例如 `example.com`)。

1. 在**類型**之下，選擇**公共託管區域**。

1. 選擇**建立託管區域**。

然後針對主要區域建立運作狀態檢查。

1. 請在 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。

1. 在導覽窗格中，選擇**運作狀態檢查**，然後選擇**建立運作狀態檢查**。

1. 在**設定運作狀態檢查**頁面上，輸入運作狀態檢查的名稱。

1. 針對**要監控的內容**，選取**端點**、**其他運作狀態檢查的狀態 (計算的運作狀態檢查)** 或 **CloudWatch 警示的狀態**。

1. 根據您在上一個步驟中選取的項目，設定運作狀態檢查，然後選擇**下一步**。

1. 在**運作狀態檢查失敗時收到通知**頁面上，針對**建立警示**，選擇**是**或**否**。

1. 選擇**建立運作狀態檢查**。

建立運作狀態檢查之後，您可以建立 DNS 容錯移轉記錄。

1. 請在 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。

1. 在導覽窗格中，選擇 **Hosted zones (託管區域)**。

1. 在**託管區域**頁面上，選取您的網域名稱。

1. 在您網域名稱的詳細資訊頁面上，選擇**建立記錄**。

1. 在**選擇路由政策**頁面上選取**容錯移轉**，然後選擇**下一步**。

1. 在**設定記錄**頁面的**基本組態**下，針對**記錄名稱**，輸入您的子網域名稱。例如，如果您的 FQDN 是 `desktop.example.com`，請輸入 **desktop**。
**注意**  
如果您想要使用根網域，請將**記錄名稱**保留空白。不過，我們建議使用子網域，例如 `desktop` 或 `workspaces`，除非您已設定僅供 WorkSpaces 使用的網域。

1. 針對**記錄類型**，選取 **TXT - 用於驗證電子郵件寄件者和應用程式特定值**。

1. 將 **TTL 秒數**設定保留為預設值。

1. 在**要新增至 *your\$1domain\$1name* 的容錯移轉記錄**下，選擇**定義容錯移轉記錄**。

現在，您需要針對主要和容錯移轉區域設定容錯移轉記錄。

**範例：設定主要區域的容錯移轉記錄**

1. 在**定義容錯移轉記錄**對話方塊中，針對**值/路由傳送流量至**，選取**取決於記錄類型的 IP 地址或其他值**。

1. 隨即開啟一個方塊，供您輸入範例文字項目。輸入主要區域之連線別名關聯的連線識別碼。

1. 針對**容錯移轉記錄類型**，選取**主要**。

1. 針對**運作狀態檢查**，選取您為主要區域建立的運作狀態檢查。

1. 針對**記錄 ID**，輸入用於識別此記錄的描述。

1. 選擇**定義容錯移轉記錄**。您的新容錯移轉記錄會出現在**要新增至 *your\$1domain\$1name* 的容錯移轉記錄**之下。

**範例：設定容錯移轉區域的容錯移轉記錄**

1. 在**要新增至 *your\$1domain\$1name* 的容錯移轉記錄**下，選擇**定義容錯移轉記錄**。

1. 在**定義容錯移轉記錄**對話方塊中，針對**值/路由傳送流量至**，選取**取決於記錄類型的 IP 地址或其他值**。

1. 隨即開啟一個方塊，供您輸入範例文字項目。輸入容錯移轉區域之連線別名關聯的連線識別碼。

1. 針對**容錯移轉記錄類型**，選取**次要**。

1. (選用) 針對**運作狀態檢查**，輸入您為容錯移轉區域建立的運作狀態檢查。

1. 針對**記錄 ID**，輸入用於識別此記錄的描述。

1. 選擇**定義容錯移轉記錄**。您的新容錯移轉記錄會出現在**要新增至 *your\$1domain\$1name* 的容錯移轉記錄**之下。

如果您為主要區域設定的運作狀態檢查失敗，您的 DNS 容錯移轉路由政策會將 WorkSpaces 使用者重新導向至您的容錯移轉區域。Route 53 會繼續監控主要區域的運作狀態檢查，而當主要區域的運作狀態檢查不再失敗時，Route 53 就會自動將 WorkSpaces 使用者重新導向至主要區域中的 WorkSpaces。

如需有關建立 DNS 記錄的詳細資訊，請參閱《Amazon Route 53 開發人員指南》**中的[使用 Amazon Route 53 主控台建立記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)。如需有關設定 DNS TXT 記錄的詳細資訊，請參閱《Amazon Route 53 開發人員指南》**中的 [TXT 記錄類型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#TXTFormat)。

## 步驟 5：將連接字串傳送給您的 WorkSpaces 使用者
<a name="cross-region-redirection-send-connection-string-to-users"></a>

若要確保在中斷期間會視需要重新導向使用者的 WorkSpaces，您必須將連接字串 (FQDN) 傳送給使用者。如果您已經向 WorkSpaces 使用者發行了區域型註冊碼 (例如 `WSpdx+ABC12D`)，這些註冊碼仍然有效。不過，若要讓跨區域重新導向運作，WorkSpaces 使用者在 WorkSpaces 用戶端應用程式中註冊 WorkSpaces 時，必須使用連接字串做為其註冊碼。

**重要**  
如果您在 WorkSpaces 主控台中建立使用者，而不是在 Active Directory 中建立使用者，則每當您啟動新的 WorkSpace 時，WorkSpaces 都會自動將邀請電子郵件傳送給您的使用者，其中包含區域型註冊碼 (例如 `WSpdx+ABC12D`)。即使您已經設定了跨區域重新導向，自動為新的 WorkSpaces 傳送的邀請電子郵件也包含此區域型註冊碼，而不包含您的連接字串。  
若要確保您的 WorkSpaces 使用者使用連接字串而非區域型註冊碼，您必須使用下列程序，向他們傳送另一封含有連接字串的電子郵件。

**若要將連接字串傳送給您的 WorkSpaces 使用者**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在主控台的右上角，選取 WorkSpaces 的主要 AWS 區域。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 在 **WorkSpaces** 頁面上，使用搜尋方塊來搜尋您要傳送邀請的使用者，然後從搜尋結果中選取對應的 WorkSpace。您一次只能選取一個 WorkSpace。

1. 選擇**動作**、**邀請使用者**。

1. 在**邀請使用者前往其 WorkSpaces** 頁面上，您會看到要傳送給使用者的電子郵件範本。

1. (選用) 如果有多個連線別名與您的 WorkSpaces 目錄相關聯，請從**連線別名字串**清單中選取您希望使用者使用的連接字串。電子郵件範本會更新，以顯示您所選擇的字串。

1. 複製電子郵件範本文字，並使用您自己的電子郵件應用程式將其貼到給使用者的電子郵件中。在電子郵件應用程式中，您可以視需要修改內文。邀請電子郵件準備就緒時，請將其傳送給您的使用者。

## 跨區域重新導向架構圖
<a name="cross-region-redirection-architecture-diagram"></a>

下圖說明跨區域重新導向的部署程序。

![\[跨區域重新導向\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/Doppel-admin-LT-MRR.png)


**注意**  
跨區域重新導向只會促進跨區域容錯移轉和備用。它無法協助在次要區域中建立和維護 WorkSpaces，也不允許跨區域資料複寫。主要和次要區域中的 WorkSpaces 應分別管理。

## 啟動跨區域重新導向
<a name="initiate-cross-region-redirection"></a>

如果發生中斷，您可以手動更新 DNS 記錄，或根據運作狀態檢查使用自動路由政策，以決定容錯移轉區域。我們建議您遵循[使用 Amazon Route 53 建立災難復原機制中概述的災難復原](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)機制。

## 跨區域重新導向期間發生什麼狀況
<a name="cross-region-redirection-what-happens"></a>

在區域容錯移轉期間，您的 WorkSpaces 使用者會與主要區域中的 WorkSpaces 中斷連線。當他們嘗試重新連線時，他們會收到下列錯誤訊息：

`We can't connect to your WorkSpace. Check your network connection, and then try again.`

然後系統會提示使用者再次登入。如果他們使用 FQDN 做為註冊碼，當他們再次登入時，您的 DNS 容錯移轉路由政策會將它們重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。

**注意**  
在某些情況下，使用者可能無法於再次登入時重新連線。如果發生此行為，他們必須關閉並重新啟動 WorkSpaces 用戶端應用程式，然後嘗試再次登入。

## 取消連線別名與目錄的關聯
<a name="cross-region-redirection-disassociate-connection-alias"></a>

只有擁有目錄的帳戶才能取消連線別名與目錄的關聯。

如果您已與其他帳戶共用連線別名，且該帳戶已將連線別名與該帳戶擁有的目錄建立關聯，則該帳戶必須用於取消連線別名與目錄的關聯。

**若要取消連線別名與目錄的關聯**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在主控台的右上角，選取包含您要取消關聯的連線別名 AWS 的區域。

1. 在導覽窗格中，選擇 **Account Settings (帳戶設定)**。

1. 在**跨區域重新導向關聯**底下，選取連接字串，然後選擇**動作**、**關聯/取消關聯**。

   您也可以從連線別名詳細資訊頁面取消連線別名的關聯。若要這麼做，請在**關聯的目錄**下選擇**取消關聯**。

1. 在**關聯/取消關聯**頁面上，選擇**取消關聯**。

1. 在要求您確認取消關聯的對話方塊中，選擇**取消關聯**。

## 取消共用連線別名
<a name="cross-region-redirection-unshare-connection-alias"></a>

只有連線別名的擁有者可以取消共用別名。如果您取消與某個帳戶共用連線別名，該帳戶就無法再將連線別名與目錄產生關聯。

**若要取消共用連線別名**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在主控台的右上角，選取包含您要取消共用之連線別名 AWS 的區域。

1. 在導覽窗格中，選擇 **Account Settings (帳戶設定)**。

1. 在**跨區域重新導向關聯**底下，選取連接字串，然後選擇**動作**、**共用/取消共用連線別名**。

   您也可以從連線別名詳細資訊頁面取消共用連線別名。若要這麼做，請在**共用帳戶**底下選擇**取消共用**。

1. 在**共用/取消共用連線別名**頁面上，選擇**取消共用**。

1. 在要求您確認取消共用連線別名的對話方塊中，選擇**取消共用**。

## 刪除連線別名
<a name="cross-region-redirection-delete-connection-alias"></a>

只有在連線別名由您的帳戶擁有且並未與目錄相關聯時，您才可以刪除連線別名。

如果您已與其他帳戶共用連線別名，且該帳戶已將連線別名與該帳戶擁有的目錄建立關聯，則該帳戶必須先取消連線別名與目錄的關聯，您才能刪除連線別名。

**重要**  
建立連線字串後，該字串一律會與您的 AWS 帳戶建立關聯。即使您從原始帳戶中刪除連接字串的所有執行個體，也無法使用不同的帳戶重新建立相同的連接字串。連接字串會全域保留給您的帳戶使用。

**警告**  
**如果您不再使用 FQDN 做為 WorkSpaces 使用者的註冊碼，則必須採取某些預防措施以防止潛在的安全性問題。**如需詳細資訊，請參閱[停止使用跨區域重新導向時的安全性考量](#cross-region-redirection-security-considerations)。

**若要刪除連線別名**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在主控台的右上角，選取包含您要刪除之連線別名 AWS 的區域。

1. 在導覽窗格中，選擇 **Account Settings (帳戶設定)**。

1. 在**跨區域重新導向關聯**底下，選取連接字串，然後選擇**刪除**。

   您也可以從連線別名詳細資訊頁面刪除連線別名。若要這麼做，請選擇頁面右上角的**刪除**。
**注意**  
如果已停用**刪除**按鈕，請確定您是別名的擁有者，並確定別名與目錄沒有關聯。

1. 在要求您要確認刪除的對話方塊中，選擇**刪除**。

## 關聯和取消關聯連線別名的 IAM 許可
<a name="cross-region-redirection-iam"></a>

如果您使用 IAM 使用者來建立或取消連線別名的關聯，該使用者必須具有 `workspaces:AssociateConnectionAlias` 和 `workspaces:DisassociateConnectionAlias` 的許可。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
```

------

**重要**  
如果您要建立 IAM 政策來針對不擁有連線別名的帳戶，建立或取消連線別名的關聯，則無法在 ARN 中指定帳戶 ID。您必須改為使用 `*` 帳戶 ID，如下列範例政策所示。  

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
```
只有當該帳戶擁有要關聯或取消關聯的連線別名時，您才可以在 ARN 中指定帳戶 ID。

如需使用 IAM 的詳細資訊，請參閱 [適用於 WorkSpaces 的身分和存取管理](workspaces-access-control.md)。

## 停止使用跨區域重新導向時的安全性考量
<a name="cross-region-redirection-security-considerations"></a>

如果您不再使用 FQDN 做為 WorkSpaces 使用者的註冊碼，則必須採取下列預防措施以防止潛在的安全性問題：
+ 務必向 WorkSpaces 使用者發出其 WorkSpaces 目錄的區域特定註冊碼 (例如 `WSpdx+ABC12D`)，並指示他們停止使用 FQDN 做為其註冊碼。
+ **如果您仍然擁有此網域**，務必更新 DNS TXT 記錄以移除此網域，使其無法在網路釣魚攻擊中遭到利用。如果您從 DNS TXT 記錄中移除此網域，而且 WorkSpaces 使用者嘗試使用 FQDN 做為其註冊碼，則他們的連線嘗試將會失敗，但不會造成任何損害。
+ **如果您不再擁有此網域**，您的 WorkSpaces 使用者**必須**使用其區域特定註冊碼。如果他們繼續嘗試使用 FQDN 做為註冊碼，則可能會將其連線嘗試重新導向至惡意網站。

# WorkSpaces Personal 的多區域彈性
<a name="multi-region-resilience"></a>

Amazon WorkSpaces 多區域彈性 (MRR) 可讓您在主要 WorkSpaces 區域因中斷事件而無法連線時，將使用者重新導向至次要區域，而不需要使用者在登入其待命 WorkSpaces 時切換註冊碼。待命 WorkSpaces 是 Amazon WorkSpaces 多區域恢復能力的一項功能，可簡化待命部署的建立和管理作業。在次要區域中設定使用者目錄後，請在您的主要區域中選取您要為其建立待命 WorkSpace 的 WorkSpace。系統會自動將主要 WorkSpace 套件映像鏡像處理到次要區域。然後，其會在次要區域中自動佈建新的待命 WorkSpace

Amazon WorkSpaces 多區域恢復能力是建置在跨區域重新導向上，而跨區域重新導向會運用 DNS 運作狀態檢查和容錯移轉功能。它可讓您使用完整網域名稱 (FQDN) 作為 WorkSpaces 註冊碼。當使用者登入 WorkSpaces 時，您可以根據 FQDN 的網域名稱系統 (DNS) 政策，跨支援的 WorkSpaces 區域重新導引使用者。如果您使用 Amazon Route 53，我們建議您在設計適用於 WorkSpaces 的跨區域重新導向策略時，使用運作狀態檢查來監控 Amazon CloudWatch 警示。如需詳細資訊，請參閱[《Amazon Route 53 開發人員指南》中的建立 Amazon Route 53 運作狀態檢查和設定 DNS 容錯移轉](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)。 * *

資料複寫是待命 WorkSpaces 的附加功能，可將資料從主要區域單向複寫到次要區域。啟用資料複寫之後，系統及使用者磁碟區的 EBS 快照會每 12 小時擷取一次。多區域恢復能力會定期檢查是否有新的快照。找到快照時，它會啟動次要區域的複本。當副本送達次要區域時，它們會用來更新次要 WorkSpace。

**Topics**
+ [先決條件](#multi-region-resilience-prerequisites)
+ [限制](#multi-region-resilience-limitations)
+ [設定多區域彈性待命 WorkSpace](#multi-region-resilience-congfigurations)
+ [建立待命 WorkSpace](#create-standby-workspace)
+ [管理待命 WorkSpace](#manage-standby-workspace)
+ [刪除待命 WorkSpace](#delete-standby-workspace)
+ [待命 WorkSpaces 的單向資料複寫](#one-way-data-replication)
+ [計劃保留 Amazon EC2 容量進行復原](#mrr-ec2-recovery)

## 先決條件
<a name="multi-region-resilience-prerequisites"></a>
+ 您必須先為主要區域中的使用者建立 WorkSpaces，才能建立待命 WorkSpaces。如需建立 WorkSpaces 的詳細資訊，請參閱 [建立 WorkSpaces Personal 的目錄](launch-workspaces-tutorials.md)。
+ 若要在待命 WorkSpaces 上啟用資料複寫，您應該設定自我管理 Active Directory 或 AWS Managed Microsoft AD 以複寫到您的待命區域。如需詳細資訊，請參閱[建立 AWS Managed Microsoft AD 目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)和[新增複寫區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-add-region.html)。
+ 請確定您在主要 WorkSpaces 上更新網路相依性驅動程式，例如 ENA、NVMe 和 PV 驅動程式。您應該至少每 6 個月執行一次此操作。如需詳細資訊，請參閱[安裝或升級彈性網路轉接器 (ENA) 驅動程式 ](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[AWS NVMe 驅動程式 適用於 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)的 ，以及[升級 Windows 執行個體上的 PV 驅動程式](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)。
+ 請務必定期將 EC2Config, EC2Launch 和 EC2Launch V2 代理程式更新至最新版本。您應該至少每 6 個月執行一次此操作。如需詳細資訊，請參閱[更新 EC2Config 和 EC2Launch](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)。
+ 為了確保適當的資料複寫，請確保主要和次要區域中的 Active Directory 與 FQDN、OU 和使用者 SID 同步。
+ 待命 WorkSpaces 的預設配額 (限制) 為 0。在建立待命 WorkSpace 之前，您必須要求提高服務配額。如需詳細資訊，請參閱[Amazon WorkSpaces 配額](workspaces-limits.md)。
+ 請確定您使用[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)來加密主要和待命 WorkSpaces。您可以使用單一區域金鑰或[多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)來加密主要和待命 WorkSpaces。

## 限制
<a name="multi-region-resilience-limitations"></a>
+ 待命 WorkSpaces 只會複製主要 WorkSpaces 的套件映像，但不會從主要 WorkSpaces 複製系統磁碟區 （磁碟機 C) 或使用者磁碟區 （磁碟機 D)。若要將系統磁碟區 （磁碟機 C) 或使用者磁碟區 （磁碟機 D) 從主要 WorkSpaces 複製到待命 WorkSpaces，您必須啟用資料複寫。
+ 您無法直接修改、重新建置、還原或遷移待命 WorkSpace。
+ 跨區域重新導向的容錯移轉是由 DNS 設定所控制。若要實作自動容錯移轉案例，您必須使用不同機制搭配跨區域重新導向。例如，您可以使用 Amazon Route 53 容錯移轉 DNS 路由政策搭配 Route 53 運作狀態檢查，以監控主要區域中的 CloudWatch 警示。如果主要區域已調用 CloudWatch 警示，您的 DNS 容錯移轉路由政策則會將 WorkSpaces 使用者重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。
+ 資料複寫只會以一種方式進行，將資料從主要區域複製到次要區域。在待命 WorkSpaces 容錯移轉期間，您可以在 12 到 24 小時內存取資料和應用程式。在中斷之後，手動備份您在次要 WorkSpace 上建立的任何資料並登出。建議您將工作儲存至外部磁碟機，例如網路磁碟機，以便從主要 WorkSpace 存取資料。
+ 資料複寫不支援 AWS Simple AD。
+ 當您在待命 WorkSpaces 上啟用資料複寫時，會每 12 小時擷取一次主要 WorkSpaces （根磁碟區和系統磁碟區） 的 EBS 快照。特定資料磁碟區的初始快照已滿，後續快照為增量。因此，特定 WorkSpace 的第一個複寫需要比後續的複寫更長的時間。快照是根據 WorkSpaces 內部的排程啟動，您無法控制時間。
+ 如果主要 WorkSpace 和待命 WorkSpace 使用相同的網域聯結，我們建議您只在指定時間點連線到主要 WorkSpace 或待命 WorkSpace，以避免失去與網域控制器的連線。
+ 如果您 AWS Managed Microsoft AD 將 設定為多區域複寫，則只能註冊主要區域中的目錄，以便與 WorkSpaces 搭配使用。如果您嘗試在複寫區域中註冊目錄以搭配 WorkSpaces 使用，則會失敗。複寫區域內的 WorkSpaces AWS Managed Microsoft AD 不支援搭配 的多區域複寫。
+ 如果您已經設定跨區域重新導向，並且在主要和次要區域中建立 WorkSpaces，而未使用待命 WorkSpaces，則無法將次要區域中的現有 WorkSpace 直接轉換為待命 WorkSpace。相反地，您需要關閉次要區域中的 WorkSpace，在主要區域中選取要為其建立待命 WorkSpace 的 WorkSpace，然後使用待命 WorkSpaces 來建立待命 WorkSpace。
+ 在中斷之後，手動備份您在次要 WorkSpace 上建立的任何資料並登出。建議您將工作儲存至外部磁碟機，例如網路磁碟機，以便從主要 WorkSpace 存取資料。
+ WorkSpaces 多區域恢復能力目前適用於下列區域：
  + 美國東部 (維吉尼亞北部) 區域
  + 美國西部 (奧勒岡) 區域
  + 歐洲 (法蘭克福) 區域
  + 歐洲 (愛爾蘭) 區域
+ 只有 3.0.9 版或更新版本的 Linux、macOS 和 Windows WorkSpaces 用戶端應用程式支援 WorkSpaces 多區域恢復能力。您也可以使用多區域恢復能力搭配 Web Access。
+ WorkSpaces 多區域恢復能力支援 Windows 和自帶授權 (BYOL) WorkSpaces。它不支援 Amazon Linux 2、Ubuntu、Red Hat Enterprise Linux、GeneralPurpose.4xlarge,GeneralPurpose.8xlarge,或啟用 GPU 的 WorkSpaces （例如 Graphics G6、Graphics.g4dn 或 GraphicsPro.g4dn).
+ 容錯移轉或容錯回復完成後，請等待 15 到 30 分鐘，再連線至 WorkSpace。

## 設定多區域彈性待命 WorkSpace
<a name="multi-region-resilience-congfigurations"></a>

**設定多區域彈性待命 WorkSpace**

1. 在主要和次要區域中設定使用者目錄。確保在每個區域的每個 WorkSpaces 目錄中使用相同的使用者名稱。

   若要讓您的 Active Directory 使用者資料保持同步，我們建議您使用 AD Connector 指向您已為使用者設定 WorkSpaces 的每個區域中的相同 Active Directory。如需有關建立目錄的詳細資訊，請參閱[向 WorkSpaces 註冊目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/register-deregister-directory.html)。
**重要**  
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫，則只能註冊主要區域中的目錄以搭配 WorkSpaces 使用。嘗試在複寫的區域中註冊目錄以搭配 WorkSpaces 使用將會失敗。複寫區域中的 WorkSpaces AWS Managed Microsoft AD 不支援搭配 的多區域複寫。

1. 為主要區域中的使用者建立 WorkSpaces。如需建立 WorkSpaces 的詳細資訊，請參閱[啟動 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)。

1. 在次要區域中建立待命 WorkSpace。如需建立待命 WorkSpace 的詳細資訊，請參閱[建立待命 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/multi-region-resilience.html#create-standby-workspace)。

1. 在主要和次要區域中建立連線字串 (FQDN) 並將其與使用者目錄建立關聯。

   您必須在帳戶中啟用跨區域重新導向，因為待命 WorkSpaces 是建置在跨區域重新導向上。請遵循 [Amazon WorkSpaces 跨區域重新導向](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-create-connection-aliases)的步驟 1 - 3。

1. 設定 DNS 服務和設定 DNS 路由政策。

   您必須設定 [ DNS 服務並設定必要的 DNS 路由政策](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-configure-DNS-routing)。跨區域重新導向會與您的 DNS 路由政策搭配使用，視需要重新導向 WorkSpaces 使用者。

1. 完成跨區域重新導向的設定時，您必須將含有 FQDN 連接字串的電子郵件傳送給使用者。如需詳細資訊，請參閱[步驟 5：將連接字串傳送給您的 WorkSpaces 使用者](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-send-connection-string-to-users)。確定 WorkSpaces 使用者對其主要區域使用 FQDN 型註冊碼，而不是以區域為基礎的註冊碼 (例如 WSPDx\$1ABC12D)。
**重要**  
如果您在 WorkSpaces 主控台中建立使用者，而不是在 Active Directory 中建立使用者，則每當您啟動新的 WorkSpace 時，WorkSpaces 都會自動將邀請電子郵件傳送給您的使用者，其中包含區域型註冊碼。這表示當您在次要區域中為使用者設定 WorkSpaces 時，使用者也會自動接收這些次要 WorkSpaces 的電子郵件。您需要指示使用者忽略包含區域型註冊碼的電子郵件。
區域特定的註冊碼仍然有效；不過，若要跨區域重新導向運作，您的使用者必須使用 FQDN 做為註冊碼。

## 建立待命 WorkSpace
<a name="create-standby-workspace"></a>

在建立待命 WorkSpace 之前，請確定您已完成先決條件，包括在主要和次要區域中建立使用者目錄、為主要區域中的使用者佈建 WorkSpaces、在帳戶中設定跨區域重新導向，以及透過服務配額請求待命 WorkSpaces 限制增加。

**若要建立待命 WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在主控台的右上角，選取 WorkSpaces 的主要 AWS 區域。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取您要為其建立待命 WorkSpace 的 WorkSpace。

1. 選擇**動作**，然後選擇**建立待命 WorkSpace**。

1. 選取您要在其中建立待命 WorkSpace 的次要區域，然後選擇**下一步**。

1. 選取次要區域中的使用者目錄，然後選擇**下一步**。

1. （選用） 新增加密金鑰、啟用資料加密和管理標籤。
   + 若要新增加密金鑰，請在輸入加密金鑰下輸入。
   + 若要啟用資料複寫，請選擇**啟用資料複寫**。然後，勾選核取方塊以確認您授權額外的每月費用。
   + 若要新增標籤，請選擇**新增標籤**。

   然後選擇**下一步**。
**注意**  
如果原始 WorkSpace 已加密，則會預先填入此欄位。但是，您可選擇以自己的加密金鑰來取代它。
更新資料複寫狀態需要幾分鐘的時間。
使用主要 WorkSpace 的快照成功更新待命 WorkSpace 之後，您可以在**復原快照**下找到快照的時間戳記。

1. 檢閱待命 WorkSpaces 的設定，然後選擇**建立**。
**注意**  
若要檢視待命 WorkSpaces 的相關資訊，請前往主要 WorkSpace 詳細資訊頁面。
待命 WorkSpace 只會複製主要 WorkSpace 的套件映像，但不會從主要 WorkSpaces 複製系統磁碟區 （磁碟機 C) 或使用者磁碟區 （磁碟機 D)。根據預設，資料複寫會關閉。若要將系統磁碟區 （磁碟機 C) 或使用者磁碟區 （磁碟機 D) 從主要 WorkSpaces 複製到待命 WorkSpaces，您必須啟用資料複寫。

## 管理待命 WorkSpace
<a name="manage-standby-workspace"></a>

您無法直接修改、重新建置、還原或遷移待命 WorkSpace。

**啟用待命 WorkSpace 的資料複寫**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 前往您的主要區域，選取主要 WorkSpace ID。

1. 向下捲動至待命 WorkSpace 區段，然後選擇**編輯待命 WorkSpace**。

1. 選擇**啟用資料複寫**。然後，勾選核取方塊以確認您授權額外的每月費用。然後選擇 **Save (儲存)**。

**注意**  
待命 WorkSpaces 無法休眠。如果您停止待命 WorkSpace，它不會保留您未儲存的工作。我們建議使用者在結束其待命 WorkSpaces 之前一律儲存其工作。
若要在待命 WorkSpaces 上啟用資料複寫，您應該設定自我管理 Active Directory 或 AWS Managed Microsoft AD 以複寫到您的待命區域。若要設定目錄，請遵循[使用 Amazon WorkSpaces 和 AWS Directory Services 建立業務持續性](https://aws.amazon.com/blogs/desktop-and-application-streaming/building-for-business-continuity-with-amazon-workspaces-and-aws-directory-services/#:~:text=Region(s).-,Walkthrough,-Step%201%3A%20Provision)逐步解說一節中的步驟 1 到 3，或參閱[搭配 Amazon WorkSpaces 使用多區域 AWS 受管 Active Directory](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/using-multi-region-aws-managed-active-directory-with-amazon-workspaces.html)。多區域複寫僅支援 Managed Microsoft AD 企業版 AWS 。
更新資料複寫狀態需要幾分鐘的時間。
使用主要 WorkSpace 的快照成功更新待命 WorkSpace 之後，您可以在**復原快照**下找到快照的時間戳記。

## 刪除待命 WorkSpace
<a name="delete-standby-workspace"></a>

您可使用與終止一般 WorkSpace 相同的方式來終止待命 WorkSpace。

**若要刪除待命 WorkSpace**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在主控台的右上角，選取 WorkSpaces 的主要 AWS 區域。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取待命 WorkSpace，然後選擇**刪除**。刪除待命 WorkSpace 大約需要 5 分鐘。刪除期間，待命 WorkSpace 的狀態會設定為**終止中**。刪除完成時，待命 WorkSpace 會從主控台中消失。

**注意**  
刪除待命 WorkSpace 是永久動作，無法復原。待命 WorkSpace 使用者的資料不會持續存在，而且會被銷毀。如需備份使用者資料的協助，請聯絡 AWS Support。

## 待命 WorkSpaces 的單向資料複寫
<a name="one-way-data-replication"></a>

在多區域恢復能力中啟用資料複寫可讓您將資料從主要區域複寫到次要區域。在穩定狀態期間，多區域恢復能力會每 12 小時擷取一次主要 WorkSpaces 系統 (C 磁碟機） 和資料 (D 磁碟機） 的快照。這些快照會傳輸至次要區域，並用於更新待命 WorkSpaces。根據預設，待命 WorkSpaces 的資料複寫已停用。

為待命 WorkSpaces 啟用資料複寫後，特定資料磁碟區的初始快照即完成，而後續快照則為增量。因此，特定 WorkSpace 的第一個複寫需要比後續的複寫更長的時間。快照會在 WorkSpaces 內以預定間隔觸發，且時間無法由使用者控制。

![\[待命 WorkSpaces 的單向資料複寫\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/Doppel-admin-LT-one-way.png)


在容錯移轉期間，當使用者重新導向至次要區域時，他們可以使用 12 到 24 小時之間的資料和應用程式存取其待命 WorkSpaces。當使用者使用待命 WorkSpaces 時，多區域恢復能力不會強制他們登出待命 WorkSpaces 或使用主要區域的快照更新待命 WorkSpaces。

中斷後，使用者應先手動備份在次要 WorkSpaces 上建立的任何資料，再登出待命 WorkSpaces。當他們再次登入時，他們將被導向至主要區域及其主要 WorkSpaces。

## 計劃保留 Amazon EC2 容量進行復原
<a name="mrr-ec2-recovery"></a>

根據預設，Amazon Multi-Region Resilience(MRR) 依賴 Amazon EC2 隨需集區。如果特定 Amazon EC2 執行個體類型無法支援您的復原，MRR 會自動重複嘗試擴展執行個體，直到找到可用的執行個體類型為止，但在極端情況下，執行個體可能不一定可用。若要改善您最關鍵 WorkSpaces 所需執行個體類型的可用性，請聯絡 AWS Support，我們將協助您規劃容量。

# 故障診斷 WorkSpaces Personal 的問題
<a name="amazon-workspaces-troubleshooting"></a>

以下資訊有助於您對 WorkSpaces 的問題進行疑難排解。

## 啟用進階記錄
<a name="advanced-logging"></a>

若要協助對使用者可能遇到的問題進行疑難排解，您可以在任何 Amazon WorkSpaces 用戶端上啟用進階記錄功能。

進階記錄會產生包含診斷資訊和偵錯層級詳細資料 (包括詳細效能資料) 的日誌。對於 1.0\$1 和 2.0\$1 用戶端，這些進階日誌檔案會自動上傳至 中的資料庫 AWS。

**注意**  
若要 AWS 檢閱進階日誌檔案，以及接收 WorkSpaces 用戶端問題的技術支援，請聯絡 AWS 支援。如需詳細資訊，請參閱 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

### 若要啟用 Web Access 的進階記錄
<a name="logging-web-access"></a>

**若要啟用 Web Access 的進階記錄**

1. 開啟 Amazon WorkSpaces Web Access 用戶端。

1. 在 WorkSpaces 登入頁面頂端，選擇**診斷記錄**。

1. 在快顯對話方塊中，確定已啟用**診斷記錄**。

1. 針對**日誌層級**，選擇**進階記錄**。

**若要在 Google Chrome、Microsoft Edge 和 Firefox 中存取日誌檔案**

1. 在瀏覽器上開啟內容 (滑鼠右鍵) 功能表，或在鍵盤上按 **Ctrl**\$1**Shift**\$1**I** (或對於 Mac，按 **command**\$1**option**\$1**I**)，以開啟開發人員工具面板。

1. 在開發人員工具面板中，選擇**控制台**索引標籤以尋找日誌檔案。

**若要在 Safari 中存取日誌檔案**

1. 依序選擇 **Safari**、**設定**。

1. 在**設定**視窗上，選擇**進階**索引標籤。

1. 選擇**在功能表列中顯示開發功能表**。

1. 從功能表列的**開發**索引標籤中，選擇**開發** > **顯示 Web Inspector**。

1. 在 Safari Web Inspector 面板中，選擇**主控台**索引標籤以尋找日誌檔案。

### 若要為 4.0\$1 用戶端啟用進階記錄
<a name="logging-new-clients"></a>

**Topics**

Windows 用戶端日誌會儲存在下列位置：

`%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs`

**若要為 Windows 用戶端啟用進階記錄**

1. 關閉 Amazon WorkSpaces 用戶端。

1. 開啟命令提示應用程式。

1. 啟動具有 `-l3` 旗標的 WorkSpaces 用戶端。

   `c:`

   `cd "C:\Program Files\Amazon Web Services, Inc\Amazon WorkSpaces"`

   `workspaces.exe -l3`
**注意**  
如果 WorkSpaces 是針對一個使用者而非所有使用者安裝，請使用下列命令：  
`c:`  
`cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"`  
`workspaces.exe -l3`

**Topics**

macOS 用戶端日誌會儲存在下列位置：

`~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs`

**若要為 macOS 用戶端啟用進階記錄**

1. 關閉 Amazon WorkSpaces 用戶端。

1. 開啟終端機。

1. 執行下列命令。

   `open -a workspaces --args -l3`

**Topics**

**若要為 Android 用戶端啟用進階記錄**

1. 關閉 Amazon WorkSpaces 用戶端。

1. 開啟 Android 用戶端功能表。

1. 選取**支援**。

1. 選取**記錄設定**。

1. 選取**啟用進階記錄**。

**若要在啟用進階記錄後擷取 Android 用戶端的日誌：**
+ 選取**擷取日誌**以在本機儲存壓縮的日誌。

**Topics**

Linux 用戶端日誌會儲存在下列位置：

`~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs`

**若要為 Linux 用戶端啟用進階記錄**

1. 關閉 Amazon WorkSpaces 用戶端。

1. 開啟終端機。

1. 執行下列命令。

   `/opt/workspacesclient/workspacesclient -l3`

### 若要為 3.0 用戶端啟用進階記錄
<a name="logging-new-clients"></a>

**Topics**

Windows 用戶端日誌會儲存在下列位置：

`%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs`

**若要為 Windows 用戶端啟用進階記錄**

1. 關閉 Amazon WorkSpaces 用戶端。

1. 開啟命令提示應用程式。

1. 啟動具有 `-l3` 旗標的 WorkSpaces 用戶端。

   `c:`

   `cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"`

   `workspaces.exe -l3`
**注意**  
如果 WorkSpaces 是針對一個使用者而非所有使用者安裝，請使用下列命令：  
`c:`  
`cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"`  
`workspaces.exe -l3`

**Topics**

macOS 用戶端日誌會儲存在下列位置：

`~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs`

**若要為 macOS 用戶端啟用進階記錄**

1. 關閉 Amazon WorkSpaces 用戶端。

1. 開啟終端機。

1. 執行下列命令。

   `open -a workspaces --args -l3`

**Topics**

**若要為 Android 用戶端啟用進階記錄**

1. 關閉 Amazon WorkSpaces 用戶端。

1. 開啟 Android 用戶端功能表。

1. 選取**支援**。

1. 選取**記錄設定**。

1. 選取**啟用進階記錄**。

**若要在啟用進階記錄後擷取 Android 用戶端的日誌：**
+ 選取**擷取日誌**以在本機儲存壓縮的日誌。

**Topics**

Linux 用戶端日誌會儲存在下列位置：

`~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs`

**若要為 Linux 用戶端啟用進階記錄**

1. 關閉 Amazon WorkSpaces 用戶端。

1. 開啟終端機。

1. 執行下列命令。

   `/opt/workspacesclient/workspacesclient -l3`

### 若要為 1.0\$1 和 2.0\$1 用戶端啟用進階記錄
<a name="logging-legacy-clients"></a>

1. 開啟 WorkSpaces 用戶端。

1. 選擇用戶端應用程式右上角的齒輪圖示。

1. 選擇 **Advanced Settings (進階設定)**。

1. 選取**啟用進階記錄**核取方塊。

1. 選擇**儲存**。

Windows 用戶端日誌會儲存在下列位置：

`%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs`

macOS 用戶端日誌會儲存在下列位置：

`~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0`

## 對特定問題進行疑難排解
<a name="troubleshooting-specific-issues"></a>

以下資訊有助於您對 WorkSpaces 的特定問題進行疑難排解。

**Topics**
+ [我無法建立 Amazon Linux WorkSpace，因為使用者名稱中有無效字元](#linux_workspace_provision_fail_username)
+ [我改變了 Amazon Linux WorkSpace 的 Shell，現在我無法佈建 PCoIP 工作階段](#linux_workspace_provision_fail_shell_override)
+ [我的 Amazon Linux WorkSpaces 無法啟動](#linux_workspace_provision_fail_pcoip_agent_upgrade)
+ [在連線的目錄中啟動 WorkSpaces 通常會失敗](#provision_fail)
+ [啟動 WorkSpaces 因內部錯誤而失敗](#launch-failure-ipv6)
+ [當我嘗試註冊目錄時，註冊失敗並使目錄處於 ERROR 狀態](#cannot-register-directory)
+ [我的使用者無法使用互動式登入橫幅連線到 Windows WorkSpace](#logon_banner)
+ [我的使用者無法連線到 Windows WorkSpace](#gpo_security_user_rights)
+ [我的使用者在嘗試從 WorkSpaces Web Access 登入 WorkSpaces 時遇到問題](#byol_logon_issues)
+ [Amazon WorkSpaces 用戶端會在返回登入畫面之前顯示灰色的「載入中...」畫面一段時間。不會顯示其他錯誤訊息。](#loading_screen)
+ [我的使用者收到訊息：「WorkSpace 狀態：運作狀態不佳。我們無法將您連線到您的 WorkSpace。請過幾分鐘後再試。」](#unhealthy_cant_connect)
+ [我的使用者收到訊息：「此裝置未獲授權存取 WorkSpace。請聯絡管理員以尋求協助。」](#device_not_authorized)
+ [我的使用者收到訊息：「沒有網路。網路連線中斷。請檢查您的網路連線或聯絡您的管理員尋求協助。」 嘗試連線至 DCV WorkSpace 時](#no_network)
+ [WorkSpaces 用戶端會讓我的使用者發生網路錯誤，但他們可以在其裝置上使用其他具有網路功能的應用程式](#network_error)
+ [我的 WorkSpace 使用者看到下列錯誤訊息：「裝置無法連線至註冊服務。請檢查您的網路設定。」](#registration_service_failure)
+ [我的 PCoIP 零客戶端使用者會收到錯誤訊息「提供的憑證因為時間戳記而無效」](#pcoip_zero_client_ntp)
+ [USB 印表機和其他 USB 周邊設備不適用於 PCoIP 零客戶端](#pcoip_zero_client_usb)
+ [我的使用者略過了更新其 Windows 或 macOS 用戶端應用程式，但沒收到安裝最新版本的提示](#client_update_skipped)
+ [我的使用者無法在其 Chromebook 上安裝 Android 用戶端應用程式](#install_android_chromebook)
+ [我的使用者並未收到邀請電子郵件或密碼重設電子郵件](#welcome_emails)
+ [我的使用者在用戶端登入畫面上看不到「忘記密碼？」選項](#forgot_password)
+ [當我嘗試在 Windows WorkSpace 上安裝應用程式時，我收到「系統管理員已設定政策來防止此安裝」訊息](#msi_wont_install)
+ [我的目錄中沒有任何 WorkSpaces 可連線至網際網路](#no_internet)
+ [我的 WorkSpace 已失去其網際網路存取權](#lost_internet_access)
+ [當我嘗試連線到內部部署目錄時，收到「DNS 無法使用」錯誤](#dns_unavailable)
+ [當我嘗試連線到內部部署目錄時，收到「偵測到連線問題」錯誤](#connectivity_issues_detected)
+ [當我嘗試連線到內部部署目錄時，收到「SRV 記錄」錯誤](#srv_record_not_found)
+ [我的 Windows WorkSpace 在閒置時進入睡眠狀態](#windows_workspace_sleeps_when_idle)
+ [我的其中一個 WorkSpaces 的狀態為 `UNHEALTHY`](#unhealthy)
+ [我的 WorkSpace 意外當機或重新啟動](#crash_web_access)
+ [相同的使用者名稱有多個 WorkSpace，但使用者只能登入其中一個 WorkSpaces](#multiple_workspaces_same_username)
+ [我在使用 Docker 搭配 Amazon WorkSpaces 時遇到問題](#docker_support)
+ [我收到我的一些 API 呼叫有 ThrottlingException 錯誤](#throttled-api-calls)
+ [當我讓我的 WorkSpace 在背景執行時，其不斷中斷連線](#workspaces-disconnecting)
+ [SAML 2.0 聯合並未運作。我的使用者未獲授權串流其 WorkSpaces 桌面。](#saml-federation-not-working)
+ [我的使用者每 60 分鐘就會中斷與其 WorkSpaces 工作階段的連線。](#disconnected-workspace)
+ [使用者在使用 SAML 2.0 身分提供者 (IdP) 起始的流程進行聯合時會收到重新導向 URI 錯誤，或者每次使用者在聯合至 IdP 後嘗試從用戶端登入時，WorkSpaces 用戶端應用程式的其他執行個體都會啟動。](#invalid-redirect-uri)
+ [我的使用者在聯合至 IdP 之後嘗試登入 WorkSpaces 用戶端應用程式時會收到「出現錯誤：啟動 WorkSpace 時發生錯誤」訊息。](#federating-error-message)
+ [我的使用者在聯合至 IdP 後嘗試登入 WorkSpaces 用戶端應用程式時會收到「無法驗證標籤」訊息。](#unable-to-validate-tags)
+ [我的使用者收到「用戶端和伺服器無法通訊，因為其沒有通用的演算法」訊息。](#no-common-algorithm)
+ [我的麥克風或網路攝影機無法在 Windows WorkSpaces 上運作。](#microphone-not-working)
+ [我的使用者無法使用憑證型驗證進行登入，而且當他們連線至桌面工作階段時，系統會在 WorkSpaces 用戶端或 Windows 登入畫面中提示輸入密碼。](#cert-based-auth-troubleshooting)
+ [我正嘗試做一些需要 Windows 安裝媒體的操作，但 WorkSpaces 未提供該媒體。](#install-media-troubleshooting)
+ [我想要使用在不支援的 WorkSpaces 區域中建立的現有 AWS 受管目錄來啟動 WorkSpaces。](#unsupported-regions-troubleshooting)
+ [我想在 Amazon Linux 2 上更新 Firefox。](#firefox_al2)
+ [我的使用者能夠使用 WorkSpaces 用戶端重設密碼，忽略其設定的精細分割密碼政策 (FFGP) 設定 AWS Managed Microsoft AD。](#password-setting-mad)
+ [嘗試使用 Web Access 存取 Windows/Linux WorkSpace 時，我的使用者會收到錯誤訊息「此作業系統/平台未獲授權存取您的 WorkSpace」](#os-authorized-access)
+ [我使用者的 WorkSpace 在連線至處於停止狀態的 AutoStop WorkSpace 後顯示為運作狀態不佳](#autostop-unhealthy)
+ [登入後 WorkSpaces Ubuntu 套件上的 Gnome 損毀](#gnome-crashes-ubuntu)

### 我無法建立 Amazon Linux WorkSpace，因為使用者名稱中有無效字元
<a name="linux_workspace_provision_fail_username"></a>

對於 Amazon Linux WorkSpaces，使用者名稱：
+ 最多可包含 20 個字元
+ 可包含可以 UTF-8 表示的英文字母、空格和數字
+ 可包含下列特殊字元：\$1.-\$1
+ 不能以連字號 (-) 開頭作為使用者名稱的第一個字元

**注意**  
這些限制不適用於 Windows WorkSpaces。Windows WorkSpaces 支援使用者名稱中所有字元的 @ 和 - 符號。

### 我改變了 Amazon Linux WorkSpace 的 Shell，現在我無法佈建 PCoIP 工作階段
<a name="linux_workspace_provision_fail_shell_override"></a>

若要覆寫 Linux WorkSpaces 的預設 Shell，請參閱 [覆寫 Amazon Linux WorkSpaces 的預設 Shell](manage_linux_workspace.md#linux_shell)。

### 我的 Amazon Linux WorkSpaces 無法啟動
<a name="linux_workspace_provision_fail_pcoip_agent_upgrade"></a>

自 2020 年 7 月 20 日起，Amazon Linux WorkSpaces 將使用新的授權憑證。這些新憑證僅與 PCoIP 代理程式的 2.14.1.1、2.14.7、2.14.9 及 20.10.6 版或更新版本相容。

如果您使用不受支援的 PCoIP 代理程式版本，則必須將其升級至最新版本 (20.10.6)，其中包含與新憑證相容的最新修正程式和效能改進。如果您未在 7 月 20 日前進行這些升級，則 Linux WorkSpaces 的工作階段佈建將會失敗，且使用者將無法連線至其 WorkSpaces。

**若要將 PCoIP 代理升級到最新版本**

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中，選擇 **WorkSpaces**。

1. 選取您的 Linux WorkSpace，然後選擇**動作**、**重新啟動 WorkSpaces** 來將其重新啟動。如果 WorkSpace 狀態為 `STOPPED`，您必須先選擇**動作**、**啟動 WorkSpaces**，然後等到其狀態為 `AVAILABLE`，才能將其重新啟動。

1. <a name="step_maintenance_mode"></a>在 WorkSpace 重新啟動且其狀態為 `AVAILABLE` 之後，建議您在執行此升級時，將 WorkSpace 的狀態變更為 `ADMIN_MAINTENANCE`。完成時，將 WorkSpace 的狀態變更為 `AVAILABLE`。如需有關 `ADMIN_MAINTENANCE` 模式的詳細資訊，請參閱[手動維護](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html#admin-maintenance)。

   若要將 WorkSpace 的狀態變更為 `ADMIN_MAINTENANCE`，請執行下列操作：

   1. 選取 WorkSpace，然後選擇**動作**、**修改 WorkSpace**。

   1. 選擇**修改狀態**。

   1. 針對**預期狀態**，選取 **ADMIN\$1MAINTENANCE**。

   1. 選擇 **Modify** (修改)。

1. 透過 SSH 連線至您的 Linux WorkSpace。如需詳細資訊，請參閱[在 WorkSpaces Personal 中啟用 Linux WorkSpaces 的 SSH 連線](connect-to-linux-workspaces-with-ssh.md)。

1. 若要更新 PCoIP 代理程式，請執行下列命令：

   ```
   sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6
   ```

1. 若要驗證代理程式版本並確認更新成功，請執行下列命令：

   ```
   rpm -q pcoip-agent-standard
   ```

   驗證命令應產生以下結果：

   ```
   pcoip-agent-standard-20.10.6-1.el7.x86_64
   ```

1. 中斷與 WorkSpace 的連線，然後再次重新啟動。

1. 如果您在 [Step 4](#step_maintenance_mode) 中將 WorkSpace 的狀態設定為 `ADMIN_MAINTENANCE`，請重複 [Step 4](#step_maintenance_mode) 並將**預期狀態**設定為 `AVAILABLE`。

如果 Linux WorkSpace 在您升級 PCoIP 代理程式之後仍無法啟動，請聯絡 AWS 支援。

### 在連線的目錄中啟動 WorkSpaces 通常會失敗
<a name="provision_fail"></a>

確認當您連線到內部部署目錄時，可從指定的每個子網路存取該目錄中的兩個 DNS 伺服器或網域控制站。在每個子網路中啟動 Amazon EC2 執行個體，並使用這兩個 DNS 伺服器的 IP 地址將執行個體加入您的目錄，即可驗證此連線能力。

### 啟動 WorkSpaces 因內部錯誤而失敗
<a name="launch-failure-ipv6"></a>

檢查您的子網路是否設定為自動指派 IPv6 位址給子網路中啟動的執行個體。若要檢查此設定，請開啟 Amazon VPC 主控台，選取您的子網路，然後選擇**子網路動作**、**修改自動指派 IP 設定**。如果啟用此設定，您無法使用 Performance 或 Graphics 套件來啟動 WorkSpaces。請改為停用此設定，並在啟動執行個體時手動指定 IPv6 位址。

### 當我嘗試註冊目錄時，註冊失敗並使目錄處於 ERROR 狀態
<a name="cannot-register-directory"></a>

如果您嘗試註冊已設定為多區域複寫的 AWS Managed Microsoft AD 目錄，可能會發生此問題。雖然主要區域中的目錄可成功註冊以搭配 Amazon WorkSpaces 使用，但嘗試在複寫的區域中註冊目錄失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。

### 我的使用者無法使用互動式登入橫幅連線到 Windows WorkSpace
<a name="logon_banner"></a>

如果已實作互動式登入訊息來顯示登入橫幅，這可防止使用者存取其 Windows WorkSpaces。PCoIP WorkSpaces 目前不支援互動式登入訊息群組政策設定。將 WorkSpaces 移至未套用 **Interactive logon: Message text for users attempting to log on** 群組政策的組織單位 (OU)。DCV WorkSpaces 支援登入訊息，使用者在接受登入橫幅後必須再次登入。

### 我的使用者無法連線到 Windows WorkSpace
<a name="gpo_security_user_rights"></a>

我的使用者在嘗試連線至其 Windows WorkSpaces 時收到下列錯誤：

```
"An error occurred while launching your WorkSpace. Please try again."
```

當 WorkSpace 無法使用 PCoIP 載入 Windows 桌面時，通常會發生此錯誤。請檢查以下內容：
+ 如果未執行 Windows 服務的 PCoIP 標準代理程式，就會出現此訊息。[使用 RDP 連線](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)以確認服務是否正在執行、已設定為自動啟動，以及可透過管理介面 (eth0) 進行通訊。
+ 如果 PCoIP 代理程式已解除安裝，請透過 Amazon WorkSpaces 主控台將 WorkSpace 重新啟動，以自動重新安裝。
+ 如果 [WorkSpaces 安全群組](amazon-workspaces-security-groups.md)已修改為限制輸出流量，則在長時間延遲後，您也可能在 Amazon WorkSpaces 用戶端上收到此錯誤。限制輸出流量可防止 Windows 與您的目錄控制器通訊來進行登入。確認您的安全群組允許 WorkSpaces 透過主要網路介面與所有[必要連接埠](workspaces-port-requirements.md)上的目錄控制器通訊。

此錯誤的另一個原因與使用者權限指派群組政策有關。如果下列群組政策設定不正確，這會防止使用者存取其 Windows WorkSpaces：

**Computer Configuration\$1Windows Settings\$1Security Settings\$1Local Policies\$1User Rights Assignment**
+ **不正確的政策：**

  政策：**從網路存取此電腦**

  設定：*網域名稱*\$1網域電腦

  獲勝的 GPO：允許檔案存取
+ **正確的政策：**

  政策：**從網路存取此電腦**

  設定：*網域名稱*\$1網域使用者

  獲勝的 GPO：允許檔案存取

**注意**  
此政策設定應套用至**網域使用者**，而非**網域電腦**。

如需詳細資訊，請參閱 Microsoft Windows 文件中的[從網路存取此電腦 - 安全政策設定](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/access-this-computer-from-the-network)和[設定安全政策設定](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)。

### 我的使用者在嘗試從 WorkSpaces Web Access 登入 WorkSpaces 時遇到問題
<a name="byol_logon_issues"></a>

Amazon WorkSpaces 依賴特定登入畫面組態，讓使用者能夠從其 Web Access 用戶端成功登入。

若要讓 Web Access 使用者登入其 WorkSpaces，您必須設定群組政策設定和三個安全政策設定。如果未正確進行這些設定，使用者在嘗試登入其 WorkSpaces 時可能會遇到冗長的登入時間或畫面變黑。若要進行這些設定，請參閱 [啟用和設定 WorkSpaces Personal 的 WorkSpaces Web 存取](web-access.md)。

**重要**  
自 2020 年 10 月 1 日起，客戶無法再使用 Amazon WorkSpaces Web Access 用戶端來連線到 Windows 7 自訂 WorkSpaces 或 Windows 7 自帶授權 (BYOL) WorkSpaces。

### Amazon WorkSpaces 用戶端會在返回登入畫面之前顯示灰色的「載入中...」畫面一段時間。不會顯示其他錯誤訊息。
<a name="loading_screen"></a>

此行為通常表示 WorkSpaces 用戶端可以透過連接埠 443 進行身分驗證，但無法透過連接埠 4172 (PCoIP) 或連接埠 4195 (DCV) 建立串流連線。如果不符合[網路必要條件](workspaces-port-requirements.md)，就可能會發生這種情況。用戶端的問題通常會導致用戶端的網路檢查失敗。若要查看哪些運作狀態檢查失敗，請選擇網路檢查圖示 (通常為 2.0\$1 用戶端的登入畫面右下角有驚嘆號的紅色三角形，或是 3.0\$1 用戶端右上角的網路圖示 ![\[Network icon\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/network-icon.png))。

**注意**  
此問題的最常見原因是用戶端防火牆或 Proxy 防止透過連接埠 4172 或 4195 (TCP 和 UDP) 進行存取。如果此運作狀態檢查失敗，請檢查您的本機防火牆設定。

如果網路檢查通過，WorkSpace 的網路組態可能有問題。例如，Windows 防火牆規則可能會封鎖管理介面上的連接埠 UDP 4172 或 4195。[使用遠端桌面協定 (RDP) 用戶端連線至 WorkSpace](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)，以確認 WorkSpace 符合必要的[連接埠需求](workspaces-port-requirements.md)。

### 我的使用者收到訊息：「WorkSpace 狀態：運作狀態不佳。我們無法將您連線到您的 WorkSpace。請過幾分鐘後再試。」
<a name="unhealthy_cant_connect"></a>

此錯誤通常表示 SkyLightWorkSpacesConfigService 服務並未回應運作狀態檢查。

如果您剛重新啟動或啟動 WorkSpace，請等候幾分鐘，然後再次嘗試。

如果 WorkSpace 已執行一段時間，但您仍看到這個錯誤，請[使用 RDP 連線](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)以確認 SkyLightWorkSpacesConfigService 服務：
+ 正在執行。
+ 已設定為自動啟動。
+ 可透過管理介面 (eth0) 進行通訊。
+ 不會被任何第三方防毒軟體封鎖。

### 我的使用者收到訊息：「此裝置未獲授權存取 WorkSpace。請聯絡管理員以尋求協助。」
<a name="device_not_authorized"></a>

此錯誤表示可能發生下列其中一種情況：
+ [IP 存取控制群組](amazon-workspaces-ip-access-control-groups.md)是在 WorkSpace 目錄上設定，但不允許列出用戶端 IP 地址。

  檢查您目錄上的設定。確認使用者連線自的公用 IP 地址允許存取 WorkSpace。
+ 在存取控制下，不允許將裝置的作業系統做為信任的裝置，或者您的裝置在使用**信任的裝置**選項時未安裝適當的憑證。執行下列動作，將您的裝置類型新增為信任的裝置：

  1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

  1. 在導覽窗格中，選擇**目錄**。

  1. 選擇您正在使用的目錄。

  1. 向下捲動至**存取控制選項**，然後選擇**編輯**。

  1. 在**信任的裝置**下，針對您要允許存取的裝置類型，在下拉式清單中選擇**允許全部**。如果您想要將裝置限制為已安裝用戶端憑證的裝置，請選擇**信任的裝置**。

  1. 如果您在上一個步驟中選擇**信任的裝置**，請確定您至少已匯入一個根憑證，且已由根憑證授權機構 (CA) 發行的用戶端憑證已安裝在用戶端上。如需建立、部署和匯入根憑證的詳細資訊，請參閱[限制對 WorkSpaces Personal 受信任裝置的存取](trusted-devices.md)。

  1. 選擇**儲存**。
+ 您的裝置類型不會獲得 WorkSpaces 的存取權。執行下列動作，授予裝置類型的存取權：

  1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

  1. 在導覽窗格中，選擇**目錄**。

  1. 選擇您正在使用的目錄。

  1. 向下捲動至**其他平台**，然後選擇**編輯**。

  1. 檢查下列其中一個您要授予 WorkSpaces 存取權的裝置類型。
     + ChromeOS
     + iOS
     + Linux
     + Web Access
     + 零用戶端

  1. 選擇**儲存**。



### 我的使用者收到訊息：「沒有網路。網路連線中斷。請檢查您的網路連線或聯絡您的管理員尋求協助。」 嘗試連線至 DCV WorkSpace 時
<a name="no_network"></a>

如果發生此錯誤且使用者沒有連線問題，請確定網路防火牆上已開啟連接埠 4195。對於使用 DCV 的 WorkSpaces，用於串流用戶端工作階段的連接埠已從 4172 變更為 4195。

### WorkSpaces 用戶端會讓我的使用者發生網路錯誤，但他們可以在其裝置上使用其他具有網路功能的應用程式
<a name="network_error"></a>

WorkSpaces 用戶端應用程式依賴 AWS雲端的資源存取，而且需要可提供至少 1 Mbps 下載頻寬的連線。如果裝置與網路間歇性連線，WorkSpaces 用戶端應用程式可能會回報網路問題。

自 2018 年 5 月起，WorkSpaces 強制使用 Amazon Trust Services 發行的數位憑證。Amazon Trust Services 在 WorkSpaces 支援的作業系統上已經是可信任的根 CA。如果作業系統的根 CA 清單不是最新的，則裝置無法連線至 WorkSpaces，且用戶端會發生網路錯誤。

**若要辨識憑證失敗所造成的連線問題**
+ PCoIP 零客戶端—下列錯誤訊息會顯示。

  ```
  Failed to connect. The server provided a certificate that is invalid. See below for details:
  - The supplied certificate is invalid due to timestamp
  - The supplied certificate is not rooted in the devices local certificate store
  ```
+ 其他用戶端—運作狀態檢查失敗並出現**網際網路**的紅色警告三角形。

**Topics**
+ [Windows 用戶端應用程式](#certificate-issues-windows)
+ [PCoIP 零客戶端](#certificate-issues-zero-clients)
+ [其他用戶端應用程式](#certificate-issues-other)

#### Windows 用戶端應用程式
<a name="certificate-issues-windows"></a>

針對憑證失敗，使用下列其中一個解決方案。

**解決方案 1：更新用戶端應用程式**  
從 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) 下載並安裝最新的 Windows 用戶端應用程式。在安裝期間，用戶端應用程式可確保您的作業系統信任 Amazon Trust Services 發行的憑證。

**解決方案 2：將 Amazon Trust Services 新增至本機根 CA 清單**

1. 開啟 [https://www.amazontrust.com/repository/](https://www.amazontrust.com/repository/)。

1. 下載 DER 格式的 Starfield 憑證 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。

1. 開啟 Microsoft Management Console。(從命令提示，執行 **mmc**。)

1. 選擇 **File (檔案)**、**Add/Remove Snap-in (新增/移除嵌入式管理單元)**、**Certificates (憑證)**、**Add (新增)**。

1. 在 **Certificates snap-in (憑證嵌入式管理單元)** 頁面中，選取 **Computer account (電腦帳戶)**，然後選擇 **Next (下一步)**。保留預設值 **Local computer (本機電腦)**。選擇**完成**。選擇**確定**。

1. 展開**憑證 (本機電腦)** 並選取**可信任的根憑證授權單位**。選擇 **Action (動作)**、**All Tasks (所有任務)**、**匯入 (Import)**。

1. 遵循精靈來匯入您下載的憑證。

1. 結束並重新啟動 WorkSpaces 用戶端應用程式。

**解決方案 3：使用群組政策將 Amazon Trust Services 部署為可信任的 CA**  
使用群組政策將 Starfield 憑證新增至網域可信任的根 CA。如需詳細資訊，請參閱[使用政策來散發憑證](https://docs.microsoft.com/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc772491(v=ws.11))。

#### PCoIP 零客戶端
<a name="certificate-issues-zero-clients"></a>

若要使用韌體 6.0 版或更新版本直接連線至 WorkSpace，請下載並安裝 Amazon Trust Services 發行的憑證。

**若要將 Amazon Trust Services 新增為可信任的根 CA**

1. 開啟 [https://certs.secureserver.net/repository/](https://certs.secureserver.net/repository/)。

1. 下載 **Starfield Certificate Chain** 之下具有指紋 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 的憑證。

1. 將憑證上傳到零客戶端。如需詳細資訊，請參閱 Teradici 文件中的[上傳憑證](https://www.teradici.com/web-help/TER1504003/6.0/default.htm#05_Managing/04_UploadCertificate.htm)。

#### 其他用戶端應用程式
<a name="certificate-issues-other"></a>

從 [Amazon Trust Services](https://www.amazontrust.com/repository/) 新增 Starfield 憑證 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。如需如何新增根 CA 的詳細資訊，請參閱下列文件：
+ Android：[新增和移除憑證](https://support.google.com/nexus/answer/2844832)
+ Chrome 作業系統：[管理 Chrome 裝置上的用戶端憑證](https://support.google.com/chrome/a/answer/6080885)
+ macOS 和 iOS：[在測試裝置上安裝 CA 的根憑證](https://developer.apple.com/library/content/qa/qa1948/_index.html#/apple_ref/doc/uid/DTS40017603-CH1-SECINSTALLING)

### 我的 WorkSpace 使用者看到下列錯誤訊息：「裝置無法連線至註冊服務。請檢查您的網路設定。」
<a name="registration_service_failure"></a>

發生註冊服務失敗時，WorkSpace 使用者可能會在**連線運作狀態檢查**頁面上看到下列錯誤訊息：「您的裝置無法連線至 WorkSpaces 註冊服務。您將無法向 WorkSpaces 註冊您的裝置。請檢查您的網路設定。」

當 WorkSpaces 用戶端應用程式無法連到註冊服務時，就會發生這個錯誤。通常，當 WorkSpaces 目錄遭到刪除時，就會發生這種情況。若要解決此錯誤，請確定註冊碼有效且對應至 AWS 雲端中的執行中目錄。

### 我的 PCoIP 零客戶端使用者會收到錯誤訊息「提供的憑證因為時間戳記而無效」
<a name="pcoip_zero_client_ntp"></a>

如果 Teradici 中未啟用網路時間協定 (NTP)，PCoIP 零客戶端使用者可能會收到憑證失敗錯誤。若要設定 NTP，請參閱 [為 WorkSpaces Personal 設定 PCoIP 零用戶端](set-up-pcoip-zero-client.md)。

### USB 印表機和其他 USB 周邊設備不適用於 PCoIP 零客戶端
<a name="pcoip_zero_client_usb"></a>

從 PCoIP 代理程式 20.10.4 版開始，Amazon WorkSpaces 預設會透過 Windows 登錄停用 USB 重新導向。當使用者使用 PCoIP 零客戶端裝置來連線至其 WorkSpaces 時，此登錄設定會影響 USB 周邊設備的行為。

如果您的 WorkSpaces 使用 20.10.4 或更新版本的 PCoIP 代理程式，則在您啟用 USB 重新導向之前，USB 周邊裝置將無法搭配 PCoIP 零客戶端裝置運作。

**注意**  
如果您使用 32 位元的虛擬印表機驅動程式，您也必須將這些驅動程式更新為 64 位元版本。

**若要啟用 PCoIP 零客戶端裝置的 USB 重新導向**

我們建議您透過群組政策將這些登錄變更推送至 WorkSpaces。如需詳細資訊，請參閱 Teradici 文件中的[設定代理程式](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/)和[可設定的設定](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/#enabledisable-usb-in-the-pcoip-session)。

1. 將下列登錄機碼值設為 1 (已啟用)：

   KeyPath = **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Policies\$1Teradici\$1PCoIP\$1pcoip\$1admin**

   KeyName = **pcoip.enable\$1usb**

   KeyType = **DWORD**

   KeyValue = **1**

1. 將下列登錄機碼值設為 1 (已啟用)：

   KeyPath = **HKEY\$1LOCAL\$1MACHINE\$1SOFTWARE\$1Policies\$1Teradici\$1PCoIP\$1pcoip\$1admin\$1defaults**

   KeyName = **pcoip.enable\$1usb**

   KeyType = **DWORD**

   KeyValue = **1**

1. 如果您尚未這麼做，請登出 WorkSpace，然後再次登入。您的 USB 裝置現在應可運作。

### 我的使用者略過了更新其 Windows 或 macOS 用戶端應用程式，但沒收到安裝最新版本的提示
<a name="client_update_skipped"></a>

當使用者略過 Amazon WorkSpaces Windows 用戶端應用程式的更新時，系統會設定 **SkipthisVersion** 登錄機碼，而且在發行新版用戶端時，不再提示他們更新其用戶端。若要更新至最新版本，您可以如 *Amazon WorkSpaces 使用者指南*中的[將 WorkSpaces Windows 用戶端應用程式更新為較新版本](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_setup)所述編輯登錄。您也可以執行以下 PowerShell 命令：

```
Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"
```

當使用者略過 Amazon WorkSpaces macOS 用戶端應用程式的更新時，系統會設定 `SUSkippedVersion` 偏好設定，並且在發行新版用戶端時，不再提示他們更新其用戶端。若要更新至最新版本，您可以如《Amazon WorkSpaces 使用者指南》**中的[將 WorkSpaces macOS 用戶端應用程式更新為較新版本](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_setup)所述重設此偏好設定。

### 我的使用者無法在其 Chromebook 上安裝 Android 用戶端應用程式
<a name="install_android_chromebook"></a>

版本 2.4.13 是 Amazon WorkSpaces Chromebook 用戶端應用程式的最終版本。由於 [Google 正逐步淘汰對 Chrome 應用程式的支援](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html)，因此不會進一步更新 WorkSpaces Chromebook 用戶端應用程式，而且不支援其使用。

對於[支援安裝 Android 應用程式的 Chromebook](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps)，我們建議改用 [WorkSpaces Android 用戶端應用程式](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html)。

在某些情況下，您可能需要啟用使用者的 Chromebook 才能安裝 Android 應用程式。如需詳細資訊，請參閱[為 WorkSpaces Personal 設定 Android for Chromebook](set-up-android-chromebook.md)。

### 我的使用者並未收到邀請電子郵件或密碼重設電子郵件
<a name="welcome_emails"></a>

對於使用 AD Connector 或信任網域建立的 WorkSpaces，使用者不會自動收到歡迎或密碼重設電子郵件。如果使用者已經存在於 Active Directory 中，也不會自動傳送邀請電子郵件。

若要手動傳送歡迎電子郵件給這些使用者，請參閱 [傳送邀請電子郵件](manage-workspaces-users.md#send-invitation)。

若要重設使用者密碼，請參閱 [設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)。

### 我的使用者在用戶端登入畫面上看不到「忘記密碼？」選項
<a name="forgot_password"></a>

如果您使用 AD Connector 或可信任的網域，使用者將無法重設自己的密碼。(WorkSpaces 用戶端應用程式登入畫面上的**忘記密碼？**選項將無法使用。) 如需重設使用者密碼的詳細資訊，請參閱 [設定 WorkSpaces Personal 的 Active Directory 管理工具](directory_administration.md)。

### 當我嘗試在 Windows WorkSpace 上安裝應用程式時，我收到「系統管理員已設定政策來防止此安裝」訊息
<a name="msi_wont_install"></a>

您可以修改 Windows 安裝程式群組政策設定來解決此問題。若要將此政策部署到目錄中的多個 WorkSpaces，請將此設定套用至從加入網域的 EC2 執行個體連結至 WorkSpaces 組織單位 (OU) 的群組政策物件。如果您使用 AD Connector，您可以從網域控制站進行這些變更。如需有關使用 Active Directory 管理工具來處理群組政策物件的詳細資訊，請參閱《AWS Directory Service 管理指南》**中的[安裝 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)。

下列程序示範如何設定 WorkSpaces 群組政策物件的 Windows Installer 設定。

1. 確定您的網域中已安裝最新的 [WorkSpaces 群組政策管理範本](group_policy.md#gp_install_template)。

1. 在 Windows WorkSpace 用戶端上開啟群組政策管理工具，然後瀏覽至 WorkSpaces 機器帳戶的 WorkSpaces 群組政策物件並加以選取。從主功能表，依序選擇**動作**、**編輯**。

1. 在群組政策管理編輯器中，選擇**電腦設定**、**政策**、**管理範本**、**傳統管理範本**、**Windows 元件**、**Windows Installer**。

1. 開啟**關閉 Windows Installer** 設定。

1. 在**關閉 Windows Installer** 對話方塊中，將**未設定**變更為**已啟用**，然後將**停用 Windows Installer** 設為**絕不**。

1. 選擇**確定**。

1. 若要套用群組政策變更，請執行下列其中一項：
   + 重新啟動 WorkSpace (在 WorkSpaces 主控台中，選取 WorkSpace，然後依序選擇**動作**、**重新啟動 WorkSpaces**)。
   + 在管理命令提示中輸入 **gpupdate /force**。

### 我的目錄中沒有任何 WorkSpaces 可連線至網際網路
<a name="no_internet"></a>

依預設，WorkSpaces 無法與網際網路通訊。您必須明確提供網際網路存取權。如需詳細資訊，請參閱[提供 WorkSpaces Personal 的網際網路存取](amazon-workspaces-internet-access.md)。

### 我的 WorkSpace 已失去其網際網路存取權
<a name="lost_internet_access"></a>

如果您的 WorkSpace 無法存取網際網路，而且您無法[使用 RDP 連線至 WorkSpace](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)，則此問題可能是由遺失 WorkSpace 的公用 IP 地址所造成。如果您已在目錄層級[啟用彈性 IP 地址的自動指派](automatic-assignment.md)，則會在 WorkSpace 啟動時將[彈性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) (來自 Amazon 提供的集區) 指派給您的 WorkSpace。但是，如果您將擁有的彈性 IP 地址與 WorkSpace 建立關聯，然後之後將該彈性 IP 地址與 WorkSpace 取消關聯，則 WorkSpace 將失去其公用 IP 地址，且不會自動從 Amazonon 提供的集區取得新的 IP 地址。

若要將 Amazon 提供的集區中的新公用 IP 地址與 WorkSpace 建立關聯，您必須[重建 WorkSpace](rebuild-workspace.md)。如果您不想重建 WorkSpace，則必須將您擁有的另一個彈性 IP 地址與 WorkSpace 建立關聯。

建議您不要在 WorkSpace 啟動後，修改 WorkSpace 的彈性網路介面。將彈性 IP 地址指派給 WorkSpace 之後，WorkSpace 會保留相同的公用 IP 地址 (除非重建 WorkSpace，在此情況下會取得新的公用 IP 地址)。

### 當我嘗試連線到內部部署目錄時，收到「DNS 無法使用」錯誤
<a name="dns_unavailable"></a>

當您連線到內部部署目錄時，您會收到類似下列的錯誤訊息。

```
DNS unavailable (TCP port 53) for IP: dns-ip-address
```

AD Connector 必須能夠經由透過連接埠 53 的 TCP 和 UDP 與您的內部部署 DNS 伺服器通訊。確認您的安全群組和內部部署防火牆允許透過此連接埠的 TCP 和 UDP 通訊。

### 當我嘗試連線到內部部署目錄時，收到「偵測到連線問題」錯誤
<a name="connectivity_issues_detected"></a>

當您連線到內部部署目錄時，您會收到類似下列的錯誤訊息。

```
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
Please ensure that the listed ports are available and retry the operation.
```

AD Connector 必須能夠經由透過下列連接埠的 TCP 和 UDP 與您的內部部署網域控制器通訊。確認您的安全群組和內部部署防火牆允許透過這些連接埠的 TCP 和 UDP 通訊：
+ 88 (Kerberos)
+ 389 (LDAP)

### 當我嘗試連線到內部部署目錄時，收到「SRV 記錄」錯誤
<a name="srv_record_not_found"></a>

當您連線到內部部署目錄時，您會收到類似下列一或多個錯誤訊息：

```
SRV record for LDAP does not exist for IP: dns-ip-address

SRV record for Kerberos does not exist for IP: dns-ip-address
```

連線到您的目錄時，AD Connector 需要取得 `_ldap._tcp.dns-domain-name` 和 `_kerberos._tcp.dns-domain-name` SRV 記錄。如果此服務無法從您在連線到目錄時所指定的 DNS 伺服器取得這些記錄，您會收到此錯誤。確定您的 DNS 伺服器包含這些 SRV 記錄。如需詳細資訊，請參閱 Microsoft TechNet 上的 [SRV Resource Records](https://technet.microsoft.com/en-us/library/cc961719.aspx)。

### 我的 Windows WorkSpace 在閒置時進入睡眠狀態
<a name="windows_workspace_sleeps_when_idle"></a>

若要解決此問題，請連線至 WorkSpace，並使用下列程序將電源計畫變更為**高效能**：

1. 在 WorkSpace 中，開啟**控制台**，然後選擇**硬體**或選擇**硬體和音效** (視您的 Windows 版本而定，名稱可能有所不同)。

1. 在**電源選項**下，選擇**選擇電源計畫**。

1. 在**選擇或自訂電源計畫**窗格中，選擇**高效能**電源計畫，然後選擇**變更計畫設定**。
   + 如果停用了選擇**高效能**電源計畫的選項，請選擇**變更目前無法使用的設定**，然後選擇**高效能**電源計畫。
   + 如果看不到**高效能**計畫，請選擇**顯示其他計畫**右側的箭頭加以顯示，或在左側導覽中選擇**建立電源計畫**，選擇**高效能**，為電源計畫命名，然後選擇**下一步**。

1. 在**變更計畫設定：高效能**頁面上，確定**關閉顯示器**和 (可用的話) **讓電腦進入睡眠狀態**設定為**絕不**。

1. 如果您對高效能計畫進行了任何變更，請選擇**儲存變更** (如果您要建立新計畫，請選擇**建立**)。

如果上述步驟無法解決問題，請執行下列操作：

1. 在 WorkSpace 中，開啟**控制台**，然後選擇**硬體**或選擇**硬體和音效** (視您的 Windows 版本而定，名稱可能有所不同)。

1. 在**電源選項**下，選擇**選擇電源計畫**。

1. 在**選擇或自訂電源計畫**窗格中，選擇**高效能**電源計畫右側的**變更計畫設定**連結，然後選擇**變更進階電源設定**連結。

1. 在**電源選項**對話方塊的設定清單中，選擇**硬碟**左側的加號以顯示相關設定。

1. 確認**插電**的**在下列時間後關閉硬碟**值大於**使用電池**的值 (預設值為 20 分鐘)。

1. 選擇 **PCI Express** 左側的加號，然後對**連結狀態電源管理**執行相同的操作。

1. 確認**連結狀態電源管理**設定為**關閉**。

1. 選擇**確定** (或者您變更了任何設定，則選擇**套用**) 以關閉對話方塊。

1. 在**變更計畫設定**窗格中，如果您變更了任何設定，請選擇**儲存變更**。

### 我的其中一個 WorkSpaces 的狀態為 `UNHEALTHY`
<a name="unhealthy"></a>

WorkSpaces 服務會定期傳送狀態請求至 WorkSpace。當 WorkSpace 無法回應這些請求時，其會標示為 `UNHEALTHY`。這個問題的常見原因是：
+ WorkSpace 上的應用程式會封鎖網路連接埠，以防止 WorkSpace 回應狀態請求。
+ 高 CPU 使用率會讓 WorkSpace 無法及時回應狀態請求。
+ WorkSpace 的電腦名稱已變更。這可防止在 WorkSpaces 與此 WorkSpace 之間建立安全通道。

您可以嘗試使用下列方法更正此情況：
+ 從 WorkSpaces 主控台重新啟動 WorkSpace。
+ 使用下列程序來連線至運作狀態不佳的 WorkSpace，該程序只應用於疑難排解目的：

  1. 連線至與運作狀態不佳的 WorkSpace 位於相同目錄中的操作 WorkSpace。

  1. 從操作 WorkSpace，使用遠端桌面協定 (RDP)，使用運作狀態不佳 WorkSpace 的 IP 地址連線至運作狀態不佳的 WorkSpace。視問題的程度而定，您可能無法連線至運作狀態不佳的 WorkSpace。

  1. 在運作狀態不佳的 WorkSpace 上，確認符合最低[連接埠需求](workspaces-port-requirements.md)。
+ 確定 SkyLightWorkSpacesConfigService 服務可以回應運作狀態檢查。若要對此問題進行疑難排解，請參閱 [我的使用者收到訊息：「WorkSpace 狀態：運作狀態不佳。我們無法將您連線到您的 WorkSpace。請過幾分鐘後再試。」](#unhealthy_cant_connect)。
+ 從 WorkSpaces 主控台重建 WorkSpace。因為重建 WorkSpace 可能造成資料遺失，所以只有在更正問題的所有其他嘗試都不成功時，才應使用此選項。

### 我的 WorkSpace 意外當機或重新啟動
<a name="crash_web_access"></a>

如果為 PCoIP 設定的 WorkSpace 重複當機或重新啟動，而您的錯誤日誌或損毀傾印指向 `spacedeskHookKmode.sys` 或 `spacedeskHookUmode.dll` 的問題，或者您收到下列錯誤訊息，您可能需要停用 WorkSpace 的 Web Access：

```
The kernel power manager has initiated a shutdown transition.
Shutdown reason: Kernel API
```

```
The computer has rebooted from a bugcheck.
```

**注意**  
這些疑難排解步驟不適用於針對 DCV 設定的 WorkSpaces。僅適用於針對 PCoIP 設定的 WorkSpaces。
只有在您不允許使用者使用 Web Access 時，才應停用 Web Access。

若要停用對 WorkSpace 的 Web Access，您必須停用 WorkSpaces 目錄中的 Web Access，然後重新啟動 WorkSpace。

### 相同的使用者名稱有多個 WorkSpace，但使用者只能登入其中一個 WorkSpaces
<a name="multiple_workspaces_same_username"></a>

如果您刪除 Active Directory (AD) 中的使用者，但未先刪除其 WorkSpace，然後將使用者加回 Active Directory 並為該使用者建立新的 WorkSpace，則相同的使用者名稱在同一目錄中現有兩個 WorkSpaces。但是，如果使用者嘗試連線至其原始 WorkSpace，他們會收到下列錯誤：

```
"Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."
```

此外，即使兩個 WorkSpaces 仍然存在，在 Amazon WorkSpaces 主控台中搜尋使用者名稱也只會傳回新的 WorkSpace。(您可藉由搜尋 WorkSpace ID 而不是使用者名稱來尋找原始的 WorkSpace。)

如果您重新命名 Active Directory 中的使用者，而未先刪除其 WorkSpace，也會發生這種情況。如果您接著將使用者名稱變更回原始使用者名稱，並為使用者建立新的 WorkSpace，則相同的使用者名稱在目錄中會有兩個 WorkSpaces。

發生這個問題的原因是 Active Directory 使用使用者的安全識別碼 (SID) (而不是使用者名稱) 來唯一識別使用者。若在 Active Directory 中刪除並重建使用者，即使其使用者名稱保持不變，也會指派新的 SID 給使用者。在搜尋使用者名稱期間，Amazon WorkSpaces 主控台會使用 SID 來搜尋 Active Directory 中的相符項目。當使用者連線到 WorkSpaces 時，Amazon WorkSpaces 用戶端也會使用 SID 來識別使用者。

若要解決此問題，請執行下列其中一項：
+ 如果因為在 Active Directory 中刪除並重建使用者而發生這個問題，若已啟用 [Active Directory 中的資源回收筒功能](https://docs.microsoft.com/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-)，您可能能夠還原原始刪除的使用者物件。如果您能夠還原原始使用者物件，請確定使用者可連線至其原始 WorkSpace。如果可行，您可以在手動備份任何使用者資料並將該資料從新的 WorkSpace 移轉到原始 WorkSpace (如有需要) 之後，[刪除新的 WorkSpace](delete-workspaces.md)。
+ 如果您無法還原原始使用者物件，請[刪除使用者的原始 WorkSpace](delete-workspaces.md)。使用者應該能夠連線至並改用其新的 WorkSpace。務必手動備份任何使用者資料，並將其從原始 WorkSpace 移轉到新的 WorkSpace。
**警告**  
刪除 WorkSpace 是永久動作，無法復原。WorkSpace 使用者的資料不會持續存在，而且會被銷毀。如需備份使用者資料的協助，請聯絡 AWS 支援。

### 我在使用 Docker 搭配 Amazon WorkSpaces 時遇到問題
<a name="docker_support"></a>

**Windows WorkSpaces**  
Windows WorkSpaces 不支援巢狀虛擬化 (包括使用 Docker)。如需詳細資訊，請參閱 [Docker 文件](https://docs.docker.com/docker-for-windows/troubleshoot/#running-docker-desktop-in-nested-virtualization-scenarios)。

**Linux WorkSpaces**  
若要在 Linux WorkSpaces 上使用 Docker，請確定 Docker 使用的 CIDR 區塊不會與 WorkSpace 相關聯的兩個彈性網路介面 (ENI) 中使用的 CIDR 區塊重疊。如果您在 Linux WorkSpaces 上使用 Docker 時遇到問題，請聯絡 Docker 尋求協助。

### 我收到我的一些 API 呼叫有 ThrottlingException 錯誤
<a name="throttled-api-calls"></a>

WorkSpaces API 呼叫的預設允許速率是每秒兩次 API 呼叫的恆定速率，允許的「高載」速率上限為每秒五次 API 呼叫。下表顯示高載速率限制如何針對 API 請求運作。


| 秒 | 傳送的請求數 | 允許的淨請求 | 詳細資訊 | 
| --- | --- | --- | --- | 
|  1  |  0  |  5  |  在第 1 秒期間，允許五個請求，高達每秒五次呼叫的高載速率上限。  | 
|  2  |  2  |  5  |  由於第 1 秒內發出了兩次或更少呼叫，因此仍可使用五次呼叫的完整高載容量。  | 
|  3  |  5  |  5  |  由於第 2 秒內只發出了兩次呼叫，因此仍可使用五次呼叫的完整高載容量。  | 
|  4  |  2  |  2  |  由於第 3 秒內使用了完整高載容量，因此只能使用每秒兩次呼叫的恆定速率。  | 
|  5  |  3  |  2  |  由於沒有剩餘的高載容量，因此此時只允許兩次呼叫。這意味著三個 API 呼叫中的一個遭到限流。一個節流的呼叫將在短暫延遲之後回應。  | 
|  6  |  0  |  1  |  由於第 5 秒內的其中一次呼叫會在第 6 秒內重試，所以第 6 內只有一次額外呼叫的容量，因為每秒兩次呼叫的恆定速率限制。  | 
|  7  |  0  |  3  |  既然佇列中不再有任何限流的 API 呼叫，速率限制就會持續增加，直到五次呼叫的高載速率限制為止。  | 
|  8  |  0  |  5  |  由於第 7 秒內沒有發出任何呼叫，因此允許最大請求數。  | 
|  9  |  0  |  5  |  即使在第 8 秒內沒有發出任何呼叫，但速率限制也不會增加到超過五。  | 

### 當我讓我的 WorkSpace 在背景執行時，其不斷中斷連線
<a name="workspaces-disconnecting"></a>

若為 Mac 使用者，檢查「高效小睡」功能是否已開啟。如果已開啟，請將其關閉。若要關閉「高效小睡」，請開啟終端機並執行下列命令：

```
defaults write com.amazon.workspaces NSAppSleepDisabled -bool YES
```

### SAML 2.0 聯合並未運作。我的使用者未獲授權串流其 WorkSpaces 桌面。
<a name="saml-federation-not-working"></a>

若針對 SAML 2.0 聯合 IAM 角色內嵌的內嵌政策不包含從目錄 Amazon Resource Name (ARN) 串流的許可，便可能發生此情況。IAM 角色是由正在存取 WorkSpaces 目錄的聯合身分使用者擔任。編輯角色許可以包含目錄 ARN，並確定使用者在目錄中有 WorkSpace。如需詳細資訊，請參閱[使用 SAML 2.0 聯合身分進行 SAML 2.0 身分驗證](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)[和故障診斷 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html)。

### 我的使用者每 60 分鐘就會中斷與其 WorkSpaces 工作階段的連線。
<a name="disconnected-workspace"></a>

如果您已將 SAML 2.0 身分驗證設定為 WorkSpaces，則視您的身分提供者 (IdP) 而定，您可能需要將 IdP 作為 SAML 屬性傳遞至 的資訊 AWS 設定為身分驗證回應的一部分。這包括設定**屬性**元素，其 `SessionDuration` 屬性設定為 `https://aws.amazon.com/SAML/Attributes/SessionDuration`。

`SessionDuration` 指定在需要重新驗證之前，使用者的聯合串流工作階段可以保持作用中的時間上限。雖然 `SessionDuration` 是選用屬性，但我們建議您將它包含在 SAML 驗證回應中。如果您未指定此屬性，工作階段持續時間會預設為 60 分鐘。

若要解決此問題，請將 IdP 設定為在 SAML 驗證回應中包含 `SessionDuration` 值，然後視需要設定此值。如需詳細資訊，請參閱[步驟 5：針對 SAML 驗證回應建立聲明](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth)。

### 使用者在使用 SAML 2.0 身分提供者 (IdP) 起始的流程進行聯合時會收到重新導向 URI 錯誤，或者每次使用者在聯合至 IdP 後嘗試從用戶端登入時，WorkSpaces 用戶端應用程式的其他執行個體都會啟動。
<a name="invalid-redirect-uri"></a>

由於轉送狀態 URL 無效而發生這個錯誤。確定 IdP 聯合設定中的轉送狀態正確無誤，而且已針對 WorkSpaces 目錄屬性中的 IdP 聯合正確設定使用者存取 URL 和轉送狀態參數名稱。如果問題有效且問題仍然存在，請聯絡 AWS Support。如需詳細資訊，請參閱[設定 SAML](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml)。

### 我的使用者在聯合至 IdP 之後嘗試登入 WorkSpaces 用戶端應用程式時會收到「出現錯誤：啟動 WorkSpace 時發生錯誤」訊息。
<a name="federating-error-message"></a>

檢閱您的聯合適用的 SAML 2.0 聲明。**SAML 主體 NameID** 值必須與 WorkSpaces 使用者名稱相符，而且通常與 Active Directory 使用者的 **sAMAccountName** 屬性相同。此外，`PrincipalTag:Email` 屬性設定為 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` 的**屬性**元素必須與 WorkSpaces 目錄中定義的 WorkSpaces 使用者的電子郵件地址相符。如需詳細資訊，請參閱[設定 SAML](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml)。

### 我的使用者在聯合至 IdP 後嘗試登入 WorkSpaces 用戶端應用程式時會收到「無法驗證標籤」訊息。
<a name="unable-to-validate-tags"></a>

檢閱您的聯合的 SAML 2.0 聲明中的 `PrincipalTag` 屬性值，例如 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email`。標籤值可包含字元 `_ . : / = + - @`、字母、數字和空格的組合。如需詳細資訊，請參閱 [IAM 和 中標記的規則 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。

### 我的使用者收到「用戶端和伺服器無法通訊，因為其沒有通用的演算法」訊息。
<a name="no-common-algorithm"></a>

如果您未啟用 TLS 1.2，就可能發生這個問題。

### 我的麥克風或網路攝影機無法在 Windows WorkSpaces 上運作。
<a name="microphone-not-working"></a>

藉由開啟開始功能表來檢查您的隱私權設定
+ **開始** > **設定** > **隱私權** > **相機**
+ **開始** > **設定** > **隱私權** > **麥克風**

如果已關閉，請將其打開。

或者，WorkSpaces 管理員可以建立群組政策物件 (GPO)，視需要啟用麥克風和/或網路攝影機。

### 我的使用者無法使用憑證型驗證進行登入，而且當他們連線至桌面工作階段時，系統會在 WorkSpaces 用戶端或 Windows 登入畫面中提示輸入密碼。
<a name="cert-based-auth-troubleshooting"></a>

工作階段的憑證型驗證失敗。如果問題仍然存在，則憑證型驗證失敗可能是由下列其中一個問題所造成：
+ 不支援 WorkSpaces 或用戶端。使用最新 WorkSpaces Windows 用戶端應用程式的 DCV 套件上的 Windows WorkSpaces 支援憑證型身分驗證。
+ 在 WorkSpaces 目錄上啟用憑證型驗證之後，必須重新啟動 WorkSpaces。
+ WorkSpaces 無法與 通訊 AWS 私有 CA，或未 AWS 私有 CA 發出憑證。檢查 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/) 以判斷是否已發行憑證。如需詳細資訊，請參閱[管理憑證型驗證](certificate-based-authentication.md#manage-cert-based-auth)。
+ 網域控制站沒有用於智慧卡登入的網域控制站憑證，或憑證已過期。如需詳細資訊，請參閱 [先決條件](certificate-based-authentication.md#cert-based-auth-prerequesites) 中的步驟 7「*使用網域控制站憑證設定網域控制站以驗證智慧卡使用者*」。
+ 憑證不受信任。如需詳細資訊，請參閱 [先決條件](certificate-based-authentication.md#cert-based-auth-prerequesites) 中的步驟 7「*將 CA 發佈到 Active Directory*」。在網域控制`certutil –viewstore –enterprise NTAuth`站上執行 ，以確認 CA 已發佈。
+ 快取中有憑證，但是憑證無效的使用者的屬性已變更。聯絡 在憑證到期前 支援 (24 小時） 清除快取。如需詳細資訊，請參閱 [支援 中心](https://console.aws.amazon.com/support/home#/)。
+ `UserPrincipalName` SAML 屬性的 userPrincipalName 格式未正確格式化，或無法解析為使用者的實際網域。如需詳細資訊，請參閱 [先決條件](certificate-based-authentication.md#cert-based-auth-prerequesites) 中的步驟 1。
+ SAML 聲明中的 (選用) `ObjectSid` 屬性與 SAML\$1Subject `NameID` 中指定之使用者的 Active Directory 安全識別碼 (SID) 不符。確認您的 SAML 聯合中的屬性對應正確無誤，而且您的 SAML 身分提供者正在同步處理 Active Directory 使用者的 SID 屬性。
+ 有些群組政策設定正在修改智慧卡登入的預設 Active Directory 設定，或在智慧卡從讀卡機中移除時採取動作。這些設定可能導致上述錯誤以外的其他非預期行為。憑證型驗證會向執行個體作業系統出示虛擬智慧卡，並在登入完成後將其移除。檢查[智慧卡的主要群組政策設定](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#primary-group-policy-settings-for-smart-cards)以及[其他智慧卡群組政策設定和登錄機碼](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#additional-smart-card-group-policy-settings-and-registry-keys)，包括智慧卡移除行為。
+ 私有 CA 的 CRL 發佈點不在線上，也無法從 WorkSpaces 或網域控制站存取。如需詳細資訊，請參閱 [先決條件](certificate-based-authentication.md#cert-based-auth-prerequesites) 中的步驟 5。
+ 若要檢查網域或樹系中是否有任何過時的 CAs，請在 CA `PKIVIEW.msc`上執行 以驗證。如果有過時的 CAs，請使用 `PKIVIEW.msc` mmc 手動刪除它們。
+ 若要檢查 Active Directory 複寫是否正常運作，以及網域中沒有過時的網域控制站，請執行 `repadmin /replsum`。

其他疑難排解步驟包括檢閱 WorkSpaces 執行個體 Windows 事件日誌。在 Windows 安全日誌中，要針對登入失敗檢閱的常見事件是[事件 4625：帳戶登入失敗](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625)。

如果問題仍然存在，請聯絡 支援。如需詳細資訊，請參閱 [支援 中心](https://console.aws.amazon.com/support/home#/)。

### 我正嘗試做一些需要 Windows 安裝媒體的操作，但 WorkSpaces 未提供該媒體。
<a name="install-media-troubleshooting"></a>

 如果您使用的是 AWS提供的公有套件，您可以在需要時使用 Amazon EC2 提供的 Windows Server 作業系統安裝媒體 EBS 快照。

 從這些快照建立 EBS 磁碟區，將其附加到 Amazon EC2，然後將檔案移轉到需要檔案的 WorkSpace。如果您在 WorkSpaces 的 BYOL 上使用 Windows 10，而且需要安裝媒體，您將需要準備自己的安裝媒體。如需詳細資訊，請參閱[使用安裝媒體新增 Windows 元件](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/windows-optional-components.html#adding-windows-components-console)。由於您無法直接將 EBS 磁碟區附加到 WorkSpace，因此您需要將它附加到 Amazon EC2 執行個體並複製檔案。

### 我想要使用在不支援的 WorkSpaces 區域中建立的現有 AWS 受管目錄來啟動 WorkSpaces。
<a name="unsupported-regions-troubleshooting"></a>

若要在 WorkSpaces 目前不支援的區域中使用目錄啟動 Amazon WorkSpaces，請遵循以下步驟。

**注意**  
如果您在執行 AWS Command Line Interface 命令時收到錯誤，請確定您使用的是最新版本 AWS CLI 。如需詳細資訊，請參閱[確認您執行的是最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html#general-latest)。

#### 步驟 1：與您帳戶中的其他 VPC 建立虛擬私有雲端 (VPC) 對等互連
<a name="w2aac11c37b7c93b7"></a>

1. 與不同區域中的 VPC 建立 VPC 對等互連。如需詳細資訊，請參閱[在相同帳戶和不同區域中隨著 VPC 建立](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#same-account-different-region)。

1. 接受 VPC 對等互連。如需詳細資訊，請參閱[接受 VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/accept-vpc-peering-connection.html)。

1. 啟用 VPC 互連連線後，您可以使用 Amazon VPC 主控台 AWS CLI、 或 API 檢視 VPC 互連連線。

#### 步驟 2：更新兩個區域中 VPC 對等互連的路由表
<a name="w2aac11c37b7c93b9"></a>

 更新您的路由表，以開啟透過 IPv4 或 IPv6 與對等 VPC 的通訊。如需詳細資訊，請參閱[更新 VPC 對等互連的路由表](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-routing.html)。

#### 步驟 3：建立 AD Connector 並註冊 Amazon WorkSpaces
<a name="w2aac11c37b7c93c11"></a>

1.  若要檢閱 AD Connector 必要條件，請參閱 [AD Connector 必要條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。

1.  使用 AD Connector 連接現有的目錄。如需詳細資訊，請參閱[建立 AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html)。

1. 當 AD Connector 狀態變更為**作用中**時，請開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservice)，然後選擇**目錄 ID** 的超連結。

1. 對於 AWS 應用程式和服務，選擇 **Amazon WorkSpaces** 以開啟此目錄上 WorkSpaces 的存取權。

1. 向 WorkSpaces 註冊目錄。如需詳細資訊，請參閱[向 WorkSpaces 註冊目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/register-deregister-directory.html)。

### 我想在 Amazon Linux 2 上更新 Firefox。
<a name="firefox_al2"></a>

#### 步驟 1：確認已啟用自動更新
<a name="w2aac11c37b7c95b3"></a>

若要確認已啟用自動更新，請在 WorkSpace 上執行命令 `systemctl status *os-update-mgmt.timer | grep enabled`。在輸出中，應該有兩行包含 `enabled` 字詞。

#### 步驟 2：起始更新
<a name="w2aac11c37b7c95b5"></a>

Firefox 通常會在 Amazon Linux 2 WorkSpaces 中自動更新，以及在維護期間自動更新系統中的所有其他軟件套件。但是，這取決於您使用的 WorkSpaces 類型。
+ 對於 AlwaysOn WorkSpaces，每週維護時段是在 WorkSpace 的時區中的星期日上午 00 點到 04 點。
+ 對於 AutoStop WorkSpaces。 從每月第三個星期一開始，最多兩週內，維護時段會在 WorkSpace AWS 區域時區的每天大約 00：00 到 05：00 開放。

如需維護時段的詳細資訊，請參閱 [WorkSpace 維護](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html)。

重新啟動 WorkSpace 並在 15 分鐘後重新連線，也可以起始立即更新週期。您也可以輸入 `sudo yum update` 以起始更新。若只要起始 Firefox 的更新，請輸入 `sudo yum install firefox`。

 如果您無法設定 Amazon Linux 2 儲存庫的存取權，且偏好使用 Mozilla 所建置的二進位檔來安裝 Firefox，請參閱 Mozilla 支援上的[從 Mozilla 建置安裝 Firefox](https://support.mozilla.org/en-US/kb/install-firefox-linux#w_install-firefox-from-mozilla-builds)。我們建議您完全解除安裝 Firefox 的 RPM 封裝版本，以確保您不會錯誤地執行過時的版本。您可藉由執行命令 `sudo yum remove firefox` 將其解除安裝。

您也可以在不同的機器上執行 `yumdownloader firefox` 命令，從 Amazon Linux 2 儲存庫下載必要的 RPM 套件。然後，將儲存庫側載到 WorkSpaces 上，您可以在其中使用標準 `YUM` 命令 (如 `sudo yum install firefox-102.11.0-2.amzn2.0.1.x86_64.rpm`) 加以安裝。

**注意**  
確切的檔案名稱會根據套件版本而變更。

#### 步驟 3：確認已使用 Firefox 儲存庫
<a name="w2aac11c37b7c95b7"></a>

Amazon Linux Extras 會自動為 Amazon Linux 2 WorkSpaces 提供 Firefox 更新。在 2023 年 7 月 31 日之後建立的 Amazon Linux 2 WorkSpaces 已啟用 Firefox Extra 儲存庫。若要驗證 WorkSpace Spaces 是否使用 Firefox Extra 儲存庫，請執行下列命令。

```
yum repolist | grep amzn2extra-firefox
```

如果使用 Firefox Extra 儲存庫，命令輸出看起來應該類似 `amzn2extra-firefox/2/x86_64 Amazon Extras repo for firefox 10`。如果未使用 Firefox Extra 儲存庫，則輸出會是空的。如果未使用 Firefox Extra 儲存庫，您可以嘗試使用以下命令手動加以啟用：

```
sudo amazon-linux-extras install firefox
```

如果 Firefox Extra 儲存庫啟用仍然失敗，請檢查您的網際網路存取權並確定您的 VPC 端點並未設定。若要繼續透過 YUM 儲存庫接收 Amazon Linux 2 WorkSpaces 的 Firefox 更新，請確保您的 WorkSpaces 能夠連到 Amazon Linux 2 儲存庫。如需在沒有網際網路存取權的情況下存取 Amazon Linux 2 儲存庫的詳細資訊，請參閱[此知識中心文章](https://repost.aws/knowledge-center/ec2-al1-al2-update-yum-without-internet)。

### 我的使用者能夠使用 WorkSpaces 用戶端重設密碼，忽略其設定的精細分割密碼政策 (FFGP) 設定 AWS Managed Microsoft AD。
<a name="password-setting-mad"></a>

如果您使用者的 WorkSpaces 用戶端與 相關聯 AWS Managed Microsoft AD，他們將必須使用預設的複雜性設定重設密碼。

 預設複雜性密碼區分大小寫，長度必須介於 8 到 64 個字元之間。它必須至少包含下列每個類別的一個字元：
+ 小寫字元 (a-z)
+ 大寫字元 (A-Z)
+ 數字 (0-9)
+ 非英數字元 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

請確定密碼不包含不可列印的單碼字元，例如空格、換行標籤、換行符號和 null 字元。

如果您的組織要求您為 WorkSpaces 強制執行 FFGP，請聯絡您的 Active Directory 管理員，直接從 Active Directory 而非 WorkSpaces 用戶端重設使用者的密碼。

### 嘗試使用 Web Access 存取 Windows/Linux WorkSpace 時，我的使用者會收到錯誤訊息「此作業系統/平台未獲授權存取您的 WorkSpace」
<a name="os-authorized-access"></a>

您的使用者嘗試使用的作業系統版本與 WorkSpaces Web Access 不相容。請務必在 WorkSpace 目錄**的其他平台**設定下啟用 Web 存取。如需啟用 WorkSpace Web 存取的詳細資訊，請參閱 [啟用和設定 WorkSpaces Personal 的 WorkSpaces Web 存取](web-access.md)。

### 我使用者的 WorkSpace 在連線至處於停止狀態的 AutoStop WorkSpace 後顯示為運作狀態不佳
<a name="autostop-unhealthy"></a>

您的使用者可能正在使用已知在從休眠恢復時會導致網路介面發生問題的軟體。例如，如果 WorkSpace 已安裝 NPCAP 1.1 應用程式，請更新至 1.2 版或更新版本以解決此問題。

### 登入後 WorkSpaces Ubuntu 套件上的 Gnome 損毀
<a name="gnome-crashes-ubuntu"></a>

如果使用`ubuntu`使用者名稱啟動 WorkSpace，預設會與存在`ubuntu`的使用者發生衝突。這會導致 Gnome 損毀，並可能降低其他效能。若要避免此問題，請勿在佈建 Ubuntu WorkSpaces 時指定`ubuntu`使用者名稱。

# WorkSpaces Personal 中的 DCV 主機代理程式版本
<a name="workspaces-release-notes"></a>

DCV 主機代理程式是在 WorkSpace 中執行的主機代理程式。其會將 WorkSpace 的像素串流至用戶端應用程式，並包含工作階段內功能，例如雙向音訊和視訊以及列印功能。如需 DCV 的詳細資訊，請參閱 [Amazon WorkSpaces 的通訊協定](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-protocols.html)。

我們建議您將主機代理程式軟體更新為最新版本。您可以手動重新啟動 WorkSpaces 以更新 DCV 主機代理程式。DCV 主機代理程式也會在一般 WorkSpaces 預設維護時段期間自動更新。如需維護時段的詳細資訊，請參閱 [WorkSpace 維護](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html)。其中一些功能需要最新的 WorkSpaces 用戶端版本。如需最新用戶端版本的詳細資訊，請參閱 [WorkSpaces 用戶端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)。



下表說明 WorkSpaces Personal 每個 DCV 主機代理程式版本中的變更。


| 發行版本 | 日期 | 變更 | 
| --- | --- | --- | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2026 年 1 月 26 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 10 月 1 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 8 月 30 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 7 月 7 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 5 月 1 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 4 月 10 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 3 月 19 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 11 月 19 日 | 錯誤修正與效能改進。 | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 10 月 31 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 8 月 19 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 7 月 29 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 5 月 15 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 2 月 29 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 2 月 22 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 1 月 11 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 11 月 16 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 10 月 13 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 8 月 18 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 6 月 30 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 6 月 8 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 5 月 16 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 5 月 8 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/workspaces-release-notes.html)  | 



**注意**  
如需有關如何檢查主機代理程式版本的資訊，請參閱[最新版本 DCV 支援哪些用戶端和主機作業系統？](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20What%20client%20and%20host%20operating%20systems%20are%20supported%20by%20the%20latest%20version%20of%20WSP%3F)。
如需有關如何更新主機代理程式版本的資訊，請參閱[如果我已有 DCV WorkSpace，如何更新它？](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20If%20I%20already%20have%20a%20WSP%20WorkSpace%2C%20how%20do%20I%20update%20it%3F) 
如需 DCV macOS 用戶端版本備註，請參閱 WorkSpaces 使用者指南中的 WorkSpaces macOS 用戶端應用程式一節中的[版本備註](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx-release-notes)。
如需 DCV Windows 用戶端版本備註，請參閱 WorkSpaces 使用者指南中的 WorkSpaces Windows 用戶端應用程式一節中的[版本備註](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows-release-notes)。