Boas práticas sobre os dois tipos de função que você concede às pessoas para usarem o Horizon Universal Console para trabalhar no ambiente do Horizon Cloud

Este tópico de documentação descreve as boas práticas para os dois tipos de função que você deverá atribuir às pessoas quando desejar que elas façam login no Horizon Universal Console e trabalhem no ambiente do Horizon Cloud. Um tipo de função é usado para ativar ou desativar diferentes partes da própria interface de usuário do Horizon Universal Console. O outro tipo de função é usado para determinar quais ações podem ser invocadas por pessoas que têm essa função atribuída. Você deverá garantir que a combinação final das duas funções atribuídas a um indivíduo específico reflita o resultado desejado para ele.

Importante: Como um tipo de função rege o que o usuário pode ver no console e o outro tipo de função rege a invocação de ações, você deve garantir que a combinação geral das duas funções de um indivíduo específico reflita os resultados desejados para ele. As combinações das boas práticas são descritas nas seções a seguir. Se você não seguir essas boas práticas, podem ocorrer contradição. Por exemplo, se as funções atribuídas não corresponderem às diretrizes descritas aqui, um indivíduo poderá fazer login no console e não poder executar as ações que você deseja que ele realize, ou a pessoa poderá fazer login e executar ações que você não deseja que ela faça. Portanto, é importante que você tenha certeza de que deseja alinhar a função do indivíduo na área Contas do My VMware da página Configurações Gerais com a função atribuída ao grupo do Active Directory do indivíduo na página Funções e Permissões.

As seções a seguir descrevem os dois tipos de função e as combinações de boas práticas a serem usadas com base nos cenários padrão em organizações típicas.

Lembrete: Conforme descrito em Tour pelo Horizon Universal Console com base na nuvem, o console de primeira geração é dinâmico e reflete os recursos apropriados para a configuração atualizada do seu ambiente de tenant de primeira geração. O acesso aos recursos descritos nessa documentação pode depender de fatores incluindo, e não se limitando a:

Se o recurso depende do código do sistema disponível apenas no manifesto de pod do Horizon Cloud de primeira geração mais recente, na versão do pod do Horizon ou na versão do Horizon Cloud Connector.
Se o acesso ao recurso está com disponibilidade limitada, conforme declarado nas Notas da versão no lançamento do recurso.
Se o recurso exige licenciamento ou SKUs específicos.

Quando você vir a menção de um recurso nesta documentação, mas não vir esse recurso no console de primeira geração, primeiro consulte as Notas da versão para saber se o acesso ao recurso é limitado e de que maneira você pode solicitar sua ativação no seu tenant. Como alternativa, quando você acreditar que tem o direito de usar um recurso descrito nessa documentação e não o encontrar no console, poderá pedir ao seu representante do VMware Horizon Cloud Service ou, se não tiver um representante, poderá registrar uma solicitação de serviço (SR) para a equipe do Horizon Cloud Service, conforme descrito em Como registrar uma solicitação de suporte no Customer Connect (VMware KB 2006985).

Funções que ativam ou desativam partes diferentes da interface do usuário do console para pessoas no grupo do Active Directory que têm essa função atribuída

Essas funções são predefinidas no sistema e estão relacionadas aos seus grupos do Active Directory. Quando um indivíduo é autenticado no seu ambiente do Horizon Cloud, o console detecta em qual grupo do Active Directory (AD) a conta do indivíduo está localizada. O console também identifica quais dessas funções estão atribuídas a esse grupo do AD na página Funções e Permissões do console. Em seguida, à medida que a pessoa navega pelas páginas de interface do usuário, guias e janelas do console, esses itens são exibidos como ativados ou desativados de acordo com a função atribuída do grupo do AD da pessoa.

Importante: Esse ponto que essas funções podem ser atribuídas somente a grupos e não a contas de usuário individuais do AD também significa que você deve evitar atribuir duas dessas funções ao mesmo grupo de domínios do AD. Se você fornecer duas dessas funções para o mesmo grupo do AD e um indivíduo desse grupo fizer login, quando o console identificar que ambas as funções estão atribuídas ao grupo dessa pessoa, à medida que navegarem pelas páginas da interface do usuário, eles poderão ver os itens desativados, pois uma das duas funções impede o acesso a esses itens.

Você aplica cada uma dessas funções no nível de um grupo do AD. Como elas são aplicadas no grupo e não no nível individual, todas as pessoas no mesmo grupo do AD receberão a função que você atribuir a esse grupo do Active Directory usando a página Funções e Permissões do console. Você controla quais indivíduos estão nos seus grupos do AD no seu ambiente do AD. Portanto, ao mover indivíduos no ambiente do AD de um grupo do AD para outro, você deve garantir que eles sejam movidos para um grupo que tenha uma das funções que continua a ser alinhada com a outra função atribuída, ou seja, aquela atribuída à conta deles no My VMware. Ao mover uma pessoa de um grupo do AD para outro, você deve verificar se o outro tipo de função, aquela atribuída à conta do My VMware do indivíduo, precisa ser ajustada para permanecer alinhada com a função desse tipo de função atribuída ao novo grupo do AD do indivíduo.

Um exemplo de uma dessas funções é Help Desk Read Only Administrator. Quando um grupo do AD é atribuído a essa função na página Funções e Permissões, o console permite que indivíduos nesse grupo naveguem até os cartões de usuário dos usuários finais e visualizem as informações, mas não realizem operações nas áreas de trabalho.

Funções que determinam quais ações podem ser invocadas por pessoas que têm essa função atribuída à sua conta do My VMware

Como o outro tipo de função, essas funções são predefinidas no sistema. Essas funções referem-se às contas do My VMware configuradas na área Contas do My VMware da página Configurações gerais. Quando um indivíduo é autenticado no seu ambiente do Horizon Cloud , o console detecta qual função está atribuída à conta do My VMware usada para autenticar a sessão conectada. Em seguida, quando a pessoa tenta invocar uma ação no console, o sistema permite que a chamada da interface de programação de aplicativos seja realizada ou a impede, dependendo da função que está atribuída à conta do My VMware da pessoa que fez login na página Configurações Gerais.

Como resultado, após a autenticação inicial para o console, essa função atribuída frequentemente funciona em conjunto com o outro tipo de função atribuída:

A pessoa navega pelas páginas de interface do usuário, guias e janelas do console e vê elementos da interface do usuário exibidos como ativados ou desativados de acordo com a função atribuída do grupo do AD da pessoa.
Quando essa pessoa clica em um botão que invocaria uma chamada da interface de programação de aplicativos para executar uma ação, se a função atribuída à sua conta do My VMware não permitir que essa ação seja executada, essa chamada não será realizada e a ação não será concluída.

Importante: Considerando que, no console, essa função funciona em conjunto com a função atribuída ao grupo do AD de uma pessoa, a última determina quais elementos do console estão ativos e a primeira determina quais ações podem ser concluídas quando um elemento é clicado. Você deve garantir que a combinação geral das duas funções de um indivíduo específico reflita os resultados desejados para esse indivíduo específico. Caso contrário, poderão ocorrer resultados contraditórios. Quando você mover um indivíduo de um grupo do AD para outro, confirme se a função na conta dele do My VMware está alinhada com a função no novo grupo do AD e ajuste-a conforme necessário. As combinações de boas práticas padrão são descritas nas seções a seguir.

As cinco combinações de funções padrão de boas práticas

Como pode ocorrer comportamento contraditório quando as duas funções de uma pessoa não estão alinhadas com a tabela abaixo, é recomendável que você alinhe as funções concedidas aos indivíduos da sua organização de acordo com a tabela a seguir. O sistema não impede que você atribua uma função a um grupo do AD que seja mais permissivo do que a função atribuída às contas do My VMware dos indivíduos nesse grupo. Se um indivíduo pertencer a vários grupos do AD, certifique-se de que as funções atribuídas a esses grupos na página Funções e Permissões também estejam alinhadas entre si e com a função na conta do My VMware do indivíduo.


Função na conta do My VMware da pessoa na página Configurações Gerais	Função no grupo do Active Directory da pessoa na página Funções e Permissões	Descrição
Administrador do Cliente	Super administrador	Acesso completo para visualizar todas as áreas do console e realizar todas as ações nele.
Administrador de Atribuição de Cliente	Administrador de Atribuição	Capacidade de visualizar todas as áreas do console e executar ações relacionadas à modificação e ao gerenciamento de atribuições de usuário final e farms.
Administrador do Cliente somente Leitura	Administrador de demonstração	Capacidade de visualizar todas as áreas do console, exibir configurações e selecionar opções para ver opções adicionais e sem a capacidade de invocar ações que alteram o ambiente, como a exclusão de itens. Um exemplo de uso dessa combinação é permitir que as pessoas na sua organização façam login e demonstrem os recursos do sistema para outros, ao mesmo tempo em que evitam que alterações sejam feitas no sistema.
Assistência Técnica do Cliente	Administrador do Suporte Técnico	Acesso para visualizar as áreas relacionadas ao suporte técnico do console e realizar todas as ações relacionadas ao suporte técnico que o console fornece. O objetivo dessa combinação é que as pessoas trabalhem com os recursos do cartão de usuário para ver o status das sessões de usuário final e realizar operações de solução de problemas nas sessões.
Assistência Técnica do Cliente - Somente Leitura	Administrador Somente Leitura do Suporte Técnico	Acesso para visualizar as áreas relacionadas ao suporte técnico do console e ver o status das sessões de usuário final no cartão de usuário, impedindo a capacidade de invocar as ações relacionadas ao suporte técnico.

Quando você deseja conceder a uma pessoa acesso somente leitura e a visualização do acesso a todas as áreas do console

Se quiser que um indivíduo possa navegar em todas as páginas da interface do usuário do console, abrir caixas de diálogo e exibir relatórios, mas impedir que ele invoque ações que alterem itens no ambiente do tenant, você deverá garantir que ambas as condições a seguir sejam atendidas:

Na área Contas do My VMware da página Configurações Gerais, atribua a função de Customer Administrator Read-Only à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a função Customer Administrator Read-Only.
Na página Funções e Permissões, atribua a função de Demo Administrator ao grupo do Active Directory desse indivíduo.

Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, navegar até todas as páginas do console, navegar pelas páginas, abrir caixas de diálogo e visualizar relatórios, mas também será impedido de invocar ações que alterem itens no ambiente.

Observação: Como a página Funções e Permissões funciona no nível do grupo do AD, e não em um nível de conta individual, você deve garantir que o grupo do AD tenha as contas individuais apropriadas, de acordo com seus requisitos organizacionais.

Quando você deseja restringir o acesso de uma pessoa aos recursos de suporte técnico do console e que ela também tenha capacidade de executar ações no cartão do usuário

Se quiser que um indivíduo possa fazer login no console e fique restrito a acessar apenas os recursos relacionados ao suporte técnico, e não todas as áreas do console, permitindo também que ele realize ações relacionadas ao suporte técnico, você deve garantir que ambas as condições a seguir sejam atendidas:

Na área Contas do My VMware da página Configurações Gerais, atribua a função de Customer Helpdesk à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a função Customer Helpdesk.
Na página Funções e Permissões, atribua a função de Help Desk Administrator ao grupo do Active Directory desse indivíduo.

Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, além de ver recursos e realizar ações relacionadas ao suporte técnico.

Quando você deseja conceder a uma pessoa o acesso somente leitura aos recursos de suporte técnico do console

Se quiser que um indivíduo possa fazer login no console, tenha acesso somente leitura aos recursos relacionados ao suporte técnico e seja impedido de realizar ações relacionadas ao suporte técnico, você deverá garantir que ambas as condições a seguir sejam atendidas:

Na área Contas do My VMware da página Configurações Gerais, atribua a função de Customer Helpdesk Read-Only à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a função Customer Helpdesk Read-Only.
Na página Funções e Permissões, atribua a função de Help Desk Read Only Administrator ao grupo do Active Directory desse indivíduo.

Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console e usar os recursos relacionados ao suporte técnico no modo somente leitura.

Quando você deseja restringir o acesso de uma pessoa apenas aos recursos de atribuição e relacionados ao farm do console

Se quiser que um indivíduo tenha acesso ao console para realizar operações relacionadas ao gerenciamento de atribuições e farms de usuários finais e ao acesso somente leitura a todas as outras áreas do console, certifique-se de que ambas as condições a seguir sejam atendidas:

Na área Contas do My VMware da página Configurações Gerais, atribua a função de Customer Assignment Administrator à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a função Customer Assignment Administrator.
Na página Funções e Permissões, atribua a função de Assignment Administrator ao grupo do Active Directory desse indivíduo.

Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, navegar até e visualizar todas as páginas do console e invocar ações que criam, modificam ou excluem atribuições e farms de usuários finais. O indivíduo também poderá realizar operações relacionadas ao gerenciamento de atribuições e farms, como a configuração da VM, o gerenciamento de energia e a configuração de aplicativos remotos.

Quando você deseja que uma pessoa tenha acesso completo ao console, a todas as áreas e ações do console

Se você quiser que um indivíduo tenha acesso total ao console para exibir todas as áreas e invocar ações que alterem itens no seu ambiente de tenant, certifique-se de que ambas as condições a seguir sejam atendidas:

Na área Contas do My VMware da página Configurações Gerais, atribua a função de Customer Administrator à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a função Customer Administrator.
Na página Funções e Permissões, atribua a função de Super Administrator ao grupo do Active Directory desse indivíduo.

Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, navegar por todas as páginas do console e invocar ações que alterem itens no ambiente.