No processo de autenticação no console administrativo com base na nuvem, após a autenticação na tela de login inicial usando uma conta do My VMware, o indivíduo da sua organização insere suas credenciais de conta de usuário do Active Directory na segunda tela de login, de acordo com o domínio do Active Directory que você registrou no ambiente. O sistema fornece as funções predefinidas que podem ser atribuídas aos seus vários grupos do Active Directory. Essas funções relacionadas ao domínio do Active Directory controlam quais áreas do console podem ser visualizadas e ativadas ou visualizadas e desativadas enquanto a pessoa conectada navega pelo console. Você deve atribuir uma função aos grupos apropriados do Active Directory da sua organização para que os usuários nesse grupo possam usar o console para fazer as atividades de trabalho que deseja que eles façam.

A função que você atribui usando as etapas aqui é de um dos dois tipos de funções que o console usa para determinar o que a sessão autenticada de uma pessoa permite que ela visualize no console e quais ações ela pode executar no console. No fluxo de trabalho de login padrão, a primeira tela de login do console usa contas do My VMware, que são associadas às funções usando a página Configurações Gerais. A segunda tela de login usa as credenciais do Active Directory, que são associadas às funções usando esta página Funções e Permissões. Essas funções relacionadas ao domínio do Active Directory determinam a visibilidade dos recursos e dos elementos do console. Essa função também determina quais elementos de interface do usuário podem aparecer desativados enquanto a pessoa navega pelo console. Por exemplo, uma pessoa em um grupo do Active Directory que recebe a função de Administrador Somente Leitura do Suporte Técnico pode navegar até os cartões de usuário dos usuários finais e visualizar as informações, mas não realizar operações nas áreas de trabalho. Uma pessoa em um grupo do Active Directory que recebe a função de Administrador de Suporte Técnico pode navegar até os cartões de usuário e realizar operações de solução de problemas, bem como visualizar as informações.

Essas funções relacionadas ao domínio do Active Directory funcionam em conjunto com as funções das contas do My VMware que as pessoas da sua organização usam para fazer login usando o fluxo de trabalho de login padrão. Portanto, você deve garantir que a combinação geral das duas funções continue a refletir os resultados desejados para um determinado indivíduo, mesmo quando a pessoa muda de cargo e grupos do Active Directory dentro da sua organização. Para obter detalhes sobre os dois tipos de funções e as boas práticas de emparelhamento das atribuições de função, consulte Boas práticas sobre os dois tipos de função que você concede às pessoas para usarem o Console administrativo do Horizon Cloud para trabalhar no ambiente do Horizon Cloud.

Observação: As alterações de função que você faz usando a plataforma Horizon Cloud Service, por meio de VMware Cloud Services em cloud.vmware.com, não aparecem no Console administrativo do Horizon Cloud. Você deve fazer as alterações de função diretamente no Console administrativo do Horizon Cloud, conforme descrito a seguir.
Cuidado: Tenha em mente que a função de Superadministrador rege quais das suas contas de usuário do AD podem fazer login em sua conta de tenant do Horizon Cloud e realizar operações administrativas no console, incluindo as etapas aqui para atribuir funções aos seus grupos do AD. Se você tiver apenas um único grupo do AD único atribuído à função de Superadministrador, não remova esse grupo de administradores do sistema do Active Directory ou altere seu GUID como ele aparece no sistema do Active Directory até que você tenha adicionado outro grupo de administradores a esta função de Superadministrador. Se você remover o grupo do seu sistema do Active Directory ou alterá-lo de forma que seu GUID no sistema do Active Directory mudará, essa alteração não será comunicada com o plano de controle do Horizon Cloud e o conhecimento do Horizon Cloud desse grupo do AD que possui a função de Superadministrador será quebrado. Se esse grupo for o único grupo que você atribuiu à função de Superadministrador, pode ser que nenhuma das suas contas do AD que eram usadas para fazer login com o nível de acesso de Superadministrador consiga fazer login e executar operações administrativas, incluindo a operação de atribuir a função a um grupo do AD para restabelecer um conjunto de contas do AD com acesso de Superadministrador. A conta de BIND de domínio sempre é atribuída à função de superadministrador. Se você tiver removido o único grupo do AD atribuído à função de superadministrador, e a conta de BIND de domínio não estiver nesse grupo, poderá tentar fazer logon no console usando as credenciais da conta de BIND de domínio e executando as etapas para atribuir a função de superadministrador a um novo grupo do AD. No entanto, se você não puder fazer login com êxito usando a conta de BIND de domínio, precisará entrar em contato com o suporte da VMware para recuperar o acesso administrativo à sua conta de tenant.
Importante: Essas funções do Horizon Cloud podem ser atribuídas a somente grupos. O sistema não fornece uma maneira de você escolher contas de usuário individuais do Active Directory para cada função.
  • É fundamental compreender esse ponto quando se trata da conta de ingresso no domínio e os pods conectados à nuvem estão no Microsoft Azure. Se a conta de ingresso no domínio que você registrou para seu pod inicial no Microsoft Azure já estiver em um dos seus grupos do Active Directory, crie um grupo do Active Directory para essa conta para que você possa garantir que a função de Superadministrador possa ser atribuída a essa conta de ingresso no domínio. Essa conta de ingresso no domínio deve receber a função Superadministrador, de forma que as operações do sistema que envolvem a conexão de máquinas virtuais ao domínio funcionem adequadamente em pods no Microsoft Azure. Para obter mais detalhes, consulte Contas de serviço que o Horizon Cloud requer para suas operações.
  • Esse ponto que as funções podem ser atribuídas somente a grupos e não a contas individuais também significa que você deve evitar atribuir duas funções ao mesmo grupo de domínios do Active Directory. A função de Superadministrador destina-se a conceder todas as permissões para executar todas as ações de gerenciamento no console, ao passo que a função de Administrador de Demonstração é uma função somente leitura. Se você fornecer ambas as funções ao mesmo grupo do Active Directory, todos os usuários nesse grupo não receberão as permissões da função de Superadministrador. Suas ações serão restritas no console, o que poderá impedir a disponibilidade de gerenciamento completo do seu ambiente.

As seguintes funções predefinidas são fornecidas por padrão. As funções predefinidas não podem ser modificadas.

Tabela 1. Grupos de controle de acesso com base em função no Horizon Cloud
Função Descrição
Super administrador Uma função obrigatória que deve ser atribuída a pelo menos um grupo em seu domínio do Active Directory e opcionalmente a outros. Essa função concede todas as permissões para acessar todas as áreas do console e executar ações de gerenciamento no console.
Importante: Verifique se a conta de ingresso no domínio que você especificou ao registrar o domínio do Active Directory com o primeiro pod está em um dos grupos que receberam a função de Superadministrador. Para obter sucesso de ponta-a-ponta nas operações que envolvem imagens e operações de ingresso no domínio, essa conta de ingresso no domínio deve receber essa função de Superadministrador.

As contas de BIND de domínio principais e auxiliares sempre recebem a função de Superadministrador, que concede todas as permissões para executar ações de gerenciamento no console. Certifique-se de que suas contas de BIND de domínio especificadas não estejam acessíveis para os usuários que você não deseja que tenham permissões de superadministrador.

Administrador do Suporte Técnico Uma função que você pode atribuir opcionalmente a um ou mais grupos. O objetivo dessa função é fornecer acesso ao console para que seus grupos do Active Directory com essa função possam trabalhar com os recursos do cartão de usuário para:
  • Ver o status das sessões de usuário final.
  • Realizar operações de solução de problemas nas sessões.
Administrador Somente Leitura do Suporte Técnico Uma função que você pode atribuir opcionalmente a um ou mais grupos. O objetivo dessa função é fornecer acesso ao console para que seus grupos do Active Directory com essa função possam trabalhar com os recursos do cartão de usuário para ver o status das sessões de usuário final.
Administrador de demonstração Uma função que você pode atribuir opcionalmente a um ou mais grupos. Quando emparelhado com a função Administrador do Cliente somente Leitura na conta do My VMware, os usuários desse grupo podem visualizar as configurações e selecionar opções para ver opções adicionais no console, mas as seleções não alteram as definições de configuração.

Pré-requisitos

Cuidado: Antes de atribuir funções aos seus grupos existentes do Active Directory, revise a associação da conta de usuário nos grupos do Active Directory para garantir que uma conta de usuário receba apenas uma destas funções do Horizon Cloud. Crie grupos específicos do Active Directory, se necessário. Como essas funções são atribuídas no nível do grupo do Active Directory, poderão ocorrer alguns resultados inesperados se uma conta do Active Directory do usuário pertencer a dois grupos do Active Directory e cada grupo estiver atribuído a uma função diferente. Os recursos do console são visíveis, de acordo com esta ordem de precedência:
  1. Superadministrador
  2. Administrador do Suporte Técnico
  3. Administrador de Demonstração
  4. Administrador Somente Leitura do Suporte Técnico

Como resultado dessa ordem de precedência, se uma conta de usuário do Active Directory pertencer aos grupos do Active Directory ADGroup1 e ADGroup2, e você atribuir a função de Superadministrador ao ADGroup1 e atribuir a função de Administrador Somente Leitura de Suporte Técnico ao ADGroup2, o console exibirá todos os recursos de acordo com a função de Superadministrador, em vez do subconjunto de recursos para a outra função, pois a função de Superadministrador tem precedência.

Além disso, revise as funções atribuídas às contas de My VMware dos membros do grupo para garantir que essas funções estejam alinhadas com a função que você está atribuindo ao seu grupo do Active Directory. Siga as boas práticas de emparelhamento descritas em Boas práticas sobre os dois tipos de função que você concede às pessoas para usarem o Console administrativo do Horizon Cloud para trabalhar no ambiente do Horizon Cloud.

Procedimento

  1. No console, navegue até Configurações > Funções e Permissões.
  2. Selecione uma das funções predefinidas e clique em Editar.
  3. Utilize a caixa de pesquisa para buscar e selecionar um grupo do Active Directory.
    Você deve digitar pelo menos três caracteres na caixa de pesquisa para que os resultados apareçam.
    O grupo é adicionado ao conjunto de grupos selecionados.
  4. Clique em Salvar.

O que Fazer Depois

Certifique-se de que os usuários no grupo de domínio tenham as funções apropriadas em suas contas do My VMware. Consulte Boas práticas sobre os dois tipos de função que você concede às pessoas para usarem o Console administrativo do Horizon Cloud para trabalhar no ambiente do Horizon Cloud e Atribua funções administrativas aos indivíduos da sua organização para que façam login e executem ações em seu ambiente de tenant do Horizon Cloud usando o Console administrativo do Horizon Cloud.