No Horizon Cloud Service - next-gen, conclua as seguintes etapas no Horizon Universal Console para registrar o primeiro domínio do Active Directory no serviço ou registrar domínios do Active Directory adicionais.

Observação: Esta página de documentação se aplica quando seu ambiente terá uma implantação do Horizon Edge no Microsoft Azure. Ela não se aplica a implantações do Horizon 8 nem à assinatura do Horizon Plus.

Conforme descrito em Gerenciamento de Identidade e Acesso do Horizon Cloud Service, o serviço usa o Active Directory registrado para identidade de máquina para áreas de trabalho virtuais e aplicativos remotos.

Pré-requisitos

Requisitos do Active Directory
O assistente de Registro de Domínio do console requer a entrada de informações específicas. Antes de realizar essas etapas no console, verifique se você ou sua equipe de TI atendeu aos requisitos relacionados ao Active Directory, conforme descrito na seção Requisitos do Active Directory, na lista de verificação de requisitos para implantar um Microsoft Azure Edge.
Pontos-chave e requisitos específicos do LDAPS
Se você planeja usar o LDAPS na sua implantação, observe os seguintes pontos-chave e requisitos.
  • Os certificados da CA intermediária e raiz codificados por PEM devem estar prontos para carregamento.
  • Não há suporte para certificados autoassinados.
  • O serviço requer que o seu DNS tenha registros SRV para os domínios configurados para usar o LDAPS. A escolha de usar LDAPS para um domínio impõe implicitamente o uso de registros SRV.
  • Como uma recomendação expressa, seu ambiente do AD deve ser configurado para impor associação de canal. Impor associação de canal é uma parte vital da proteção correta do LDAPS, especialmente para evitar ataques man-in-the-middle (MITM).
  • A configuração do seu firewall deve permitir conexões de saída do Horizon Edge Gateway para os controladores de domínio com as seguintes portas e protocolos, conforme descrito em Requisitos de porta e protocolo para sua implantação do Horizon Cloud no Microsoft Azure.
    • Porta 88/TCP: autenticação Kerberos
    • Portas 636/TCP e 3269/TCP: comunicação LDAPS
  • Você deve ter um endpoint de revogação HTTP definido para todos os certificados na cadeia de confiança, exceto para o certificado raiz, e esse endpoint deve ser acessível em HTTP. Esse requisito inclui os seguintes pontos:
    • O LDAP não deve ser usado para endpoints de revogação.
    • O serviço executará verificações de revogação usando as URLs OCSP ou CRL HTTP definidas em seus certificados.
    • O serviço não poderá realizar uma verificação de revogação se um certificado não definir um endpoint OCSP ou CRL para o protocolo HTTP. Nesse caso, a conectividade LDAPS falha.
    • A revogação da linha de visão deve estar disponível para endpoints. Seus firewalls não devem bloquear o tráfego de saída para o endpoint de revogação por meio de HTTP.

Procedimento

  1. Clique em Integrações no painel esquerdo e, no bloco Identidade e Acesso, clique em Gerenciar.
  2. Na guia Domínio, inicie o assistente de Registro de Domínio do console clicando em Adicionar.
  3. Na primeira etapa do assistente, forneça as informações indicadas
    Campo Descrição
    Nome O nome do domínio do Active Directory.
    Descrição Descrição opcional.
    Nome de Domínio DNS O nome totalmente qualificado desse domínio do Active Directory (por exemplo, our-ad.example.com).
    UO padrão Digite uma UO padrão apropriada.

    Essa UO é a unidade organizacional (UO) do Active Directory que você deseja que o serviço use como padrão ao adicionar as identidades de máquina que ele cria para as áreas de trabalho virtuais e os aplicativos remotos.

    Digite o nome distinto completo da UO, como OU=MyOrg,DC=our-ad,DC=example,DC=com.

    Observação: Se quiser usar o padrão de CN=Computadores, digite isso no campo. Mesmo que você possa ver a UI exibindo esse valor padrão no campo, o assistente não disponibilizará o botão Próximo, a menos que você o digite diretamente nesse campo.
    Contas de BIND de domínio Forneça os nomes de usuário e as senhas para as duas contas de serviço que você ou sua equipe de TI configurou para essa finalidade, conforme descrito na seção Requisitos do Active Directory, na lista de verificação de requisitos para implantar um Microsoft Azure Edge.

    Essas contas de serviço são usadas para realizar pesquisas no domínio do Active Directory. A primeira conta inserida é a conta primária que o serviço usa para essa finalidade. A conta auxiliar é um backup dessa conta primária.

    Certifique-se de que as contas inseridas aqui atendam aos requisitos detalhados na lista de verificação de requisitos.
    Contas de Ingresso no Domínio Forneça os nomes de usuário e as senhas para as duas contas de serviço que você ou sua equipe de TI configurou para essa finalidade, conforme descrito na seção Requisitos do Active Directory, na lista de verificação de requisitos para implantar um Microsoft Azure Edge.

    Essas contas de serviço são usadas para associar as identidades de máquina ao domínio Active Directory e para realizar operações de Sysprep. A primeira conta inserida é a conta primária que o serviço usa para essa finalidade. A conta auxiliar é um backup dessa conta primária.

    Certifique-se de que as contas inseridas aqui atendam aos requisitos detalhados na lista de verificação de requisitos.
    Protocolo Selecione o protocolo, LDAP ou LDAPS, a ser usado para conectar seu Active Directory ao Horizon Edge Gateway.

    Se você selecionar LDAPS, use o recurso Navegar para carregar seus certificados da CA intermediária e raiz codificados em PEM, que são referenciados nos pré-requisitos dessa tarefa.
    Quando você tiver inserido todas as informações necessárias, o sistema disponibilizará o botão Próximo.
  4. Vá para a próxima etapa do assistente clicando em Avançar.
    Nesse ponto, o assistente disponibiliza a ação Salvar para concluir o salvamento das informações do domínio no sistema.
  5. (Opcional) Se você planeja usar o True SSO com as áreas de trabalho virtuais e aplicativos remotos dos usuários finais, na seção Conta de Serviço de Inscrição de Domínio do assistente , ative o botão de alternância Usar Conta de Serviço de Inscrição.

    Quando esse botão de alternância está ativado, a UI exibe campos para você inserir as credenciais de conta das contas de inscrição de domínio exigidas pelo recurso True SSO. Forneça essas informações.

    Atenção: Se você planeja usar um SSO que depende da VMware CA, pode ignorar essa etapa ede especificação de informações da conta de inscrição de domínio.

    Uma conta de inscrição de domínio é uma conta de serviço de inscrição que o recurso True SSO utiliza para obter certificados de curto prazo do Microsoft AD CS (Active Directory Certificate Services). O True SSO usa os certificados para autenticação, para evitar solicitar credenciais do Active Directory aos usuários. Você pode ver o Horizon Universal Console usando os termos “conta de inscrição de domínio”, “conta de serviço de inscrição” e “conta de serviço de inscrição de domínio” de maneira intercambiável.

    Depois que você preencher os campos, o assistente disponibilizará a ação Salvar para concluir o salvamento das informações do domínio no sistema.

    Clique em Salvar para concluir o salvamento de todas as informações fornecidas no assistente.

Resultados

Sua configuração do Active Directory com o Horizon Edge está concluída. No entanto, à medida que você continuar a configurar a implantação, se detectar problemas na conexão Active Directory, consulte Diagnosticar Horizon Edges: Conectividade do Active Directory para Implantações do Microsoft Azure.

O que Fazer Depois

Após a conclusão das etapas anteriores, o serviço terá as informações de domínio do Active Directory necessárias para uma implantação do Horizon Cloud on Microsoft Azure.

Para saber como adicionar a capacidade de os usuários finais terem SSO (single sign-on) ao acessarem seus desktops e aplicativos, consulte Tipos de autoridade de certificação compatíveis para o uso de SSO com um Horizon Edge no Microsoft Azure.