Conclua as tarefas a seguir para preparar seus componentes do pod do Horizon para conexão com o Horizon Cloud. Garanta que todas as etapas estejam concluídas, conforme descrito nas seções a seguir, para concluir uma implantação bem-sucedida.

As seções neste tópico da documentação são:

Essa lista de verificação destina-se principalmente a contas de cliente do Horizon Cloud que nunca tiveram um pod implantado no ambiente do tenant ou conectado com esse ambiente por meio da nuvem antes da data da versão de manutenção de maio de 2021. Esses ambientes podem ser chamados de ambientes novos ou ambientes greenfield.

Alguns dos requisitos listados nas seções a seguir são necessários para a integração bem-sucedida de um pod do Horizon ao Horizon Cloud. Alguns requisitos são necessários para as principais tarefas realizadas após a integração do pod do Horizon para gerar um ambiente do tenant produtivo, capaz de fornecer atribuições de várias nuvens aos usuários finais.

Requisitos de camada de controle do Horizon Cloud

Conta ativa do My VMware para fazer logon na camada de controle do Horizon Cloud.
Licença universal válida do Horizon. Para obter mais informações, consulte a página Licença Universal do Horizon.

Requisitos do Active Directory

Níveis funcionais de domínio do Microsoft Windows Active Directory Domain Services (AD DS) compatíveis:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
Todos os pods conectados à nuvem na mesma conta de cliente do Horizon Cloud devem ter linha de visão para o mesmo conjunto de domínios do Active Directory no momento em que você implanta esses pods. Esse requisito se aplica não apenas aos pods do Horizon adicionais que você posteriormente conecta na nuvem usando o Horizon Cloud Connector após o primeiro pod, mas também para os pods implantados no Microsoft Azure usando a mesma conta de cliente. Você pode ver a lista de verificação dos pods do Microsoft Azure em Lista de verificação de requisitos do VMware Horizon Cloud Service on Microsoft Azure para novas implantações de pod: atualizada conforme apropriado para pods implantados a partir da data da versão de manutenção de maio de 2021.

Conta de BIND de domínio.

  • Uma conta de BIND de domínio do Active Directory (um usuário padrão com acesso de leitura) que tem o seguinte atributo sAMAccountName. O atributo sAMAccountName deve ter 20 caracteres ou menos e não pode conter nenhum dos seguintes caracteres: "/ \ [ ] : ; | = , + * ? < >
  • A conta deve ter as seguintes permissões:
    • Conteúdo da lista
    • Ler todas as propriedades
    • Permissões de leitura
    • Read tokenGroupsGlobalAndUniversal (implicado por Ler todas as propriedades)
  • Se você estiver familiarizado com a oferta do VMware Horizon no local, as permissões acima serão o mesmo conjunto necessário para as contas de credenciais secundárias da oferta do Horizon no local, definidas no tópico da documentação do Horizon no local.
  • Em geral, as contas de BIND de domínio devem receber as permissões padrão relacionadas ao acesso de leitura prontas para uso que são normalmente concedidas a Usuários Autenticados em uma implantação do Microsoft Active Directory. No entanto, se os administradores do AD da sua organização optarem por bloquear permissões relacionadas ao acesso de leitura para usuários regulares, você deverá solicitar que os administradores do AD preservem os padrões de Usuários Autenticados para as contas de BIND de domínio que você usará para o Horizon Cloud.

Você também deve definir a senha da conta para Nunca Expirar para garantir o acesso contínuo para fazer login no seu ambiente do Horizon Cloud.

Para obter mais detalhes e requisitos, consulte Contas de serviço que o Horizon Cloud requer para suas operações

Conta de BIND de domínio auxiliar: não pode usar a mesma conta que a mencionada acima.

  • Uma conta de BIND de domínio do Active Directory (um usuário padrão com acesso de leitura) que tem o seguinte atributo sAMAccountName. O atributo sAMAccountName deve ter 20 caracteres ou menos e não pode conter nenhum dos seguintes caracteres: "/ \ [ ] : ; | = , + * ? < >
  • A conta deve ter as seguintes permissões:
    • Conteúdo da lista
    • Ler todas as propriedades
    • Permissões de leitura
    • Read tokenGroupsGlobalAndUniversal (implicado por Ler todas as propriedades)
  • Se você estiver familiarizado com a oferta do VMware Horizon no local, as permissões acima serão o mesmo conjunto necessário para as contas de credenciais secundárias da oferta do Horizon no local, definidas no tópico da documentação do Horizon no local.
  • Em geral, as contas de BIND de domínio devem receber as permissões padrão relacionadas ao acesso de leitura prontas para uso que são normalmente concedidas a Usuários Autenticados em uma implantação do Microsoft Active Directory. No entanto, se os administradores do AD da sua organização optarem por bloquear permissões relacionadas ao acesso de leitura para usuários regulares, você deverá solicitar que os administradores do AD preservem os padrões de Usuários Autenticados para as contas de BIND de domínio que você usará para o Horizon Cloud.

Você também deve definir a senha da conta para Nunca Expirar para garantir o acesso contínuo para fazer login no seu ambiente do Horizon Cloud.

Para obter mais detalhes e requisitos, consulte Contas de serviço que o Horizon Cloud requer para suas operações

Conta de ingresso no domínio
  • Conta de ingresso no domínio do Active Directory que pode ser usada pelo sistema para executar operações de Sysprep e ingressar computadores no domínio, normalmente uma nova conta (conta de usuário de ingresso no domínio)
  • Defina a senha da conta como Nunca Expirar
  • Essa conta requer as seguintes permissões do Active Directory: listar conteúdo, ler todas as propriedades, ler permissões, redefinir a senha, criar objetos de computador, excluir objetos de computador.
  • Essa conta também requer a permissão do Active Directory chamada Gravar Todas as Propriedades nos objetos descendentes da unidade organizacional (UO) de destino que você pretende usar nos farms e nas atribuições de área de trabalho VDI que criar por meio do Horizon Universal Console.
  • Para obter mais detalhes e requisitos, consulte Contas de serviço que o Horizon Cloud requer para suas operações
Observação:
  • Não há suporte para o uso de espaços em branco no nome de logon da conta de ingresso no domínio. Se o nome de logon da conta de ingresso no domínio contiver um espaço em branco, ocorrerão resultados inesperados nas operações do sistema que dependerem dessa conta.
  • No Microsoft Active Directory, quando você cria uma nova UO, pode ser que o sistema defina automaticamente o atributo Prevent Accidental Deletion que aplica um Deny à permissão Excluir Todos os Objetos Herdeiros para a UO recém-criada e todos os objetos descendentes. Como resultado, se você tiver atribuído explicitamente a permissão Excluir Objetos de Computador à conta de ingresso no domínio, no caso de uma UO recém-criada, o Active Directory poderá ter aplicado uma substituição a essa permissão Excluir Objetos de Computador explicitamente atribuída. Como limpar o sinalizador Impedir Exclusão Acidental pode não limpar automaticamente o Deny que o Active Directory aplicou à permissão Excluir Todos os Objetos Herdeiros, no caso de uma UO recentemente adicionada, talvez você precise verificar e limpar manualmente o conjunto de permissões Deny para as permissões Excluir Todos os Objetos Herdeiros na OU e todas as UOs herdeiras antes de usar a conta de ingresso no domínio no console do Horizon Cloud.
  • Antes do manifesto 1600.0, essa conta exigia as permissões da função de superadministrador do sistema. Se o seu ambiente de tenant tiver algum pod do Horizon Cloud no Microsoft Azure executando manifestos anteriores ao 1600.0, a conta de ingresso no domínio deverá estar no grupo descrito Administradores do Horizon Cloud. O sistema usa essa conta de ingresso no domínio com todos os pods do Horizon Cloud do seu tenant no Microsoft Azure. Quando o seu tenant tem pods de manifestos existentes anteriores ao 1600.0, a conta de ingresso no domínio deve atender a esse requisito. Consulte Contas de serviço que o Horizon Cloud exige para suas operações para obter detalhes.
Conta de ingresso no domínio auxiliar (opcional, não pode usar a mesma conta que a mencionada acima)
  • Conta de ingresso no domínio do Active Directory que pode ser usada pelo sistema para executar operações de Sysprep e ingressar computadores no domínio, normalmente uma nova conta (conta de usuário de ingresso no domínio)
  • Defina a senha da conta como Nunca Expirar
  • Essa conta requer as seguintes permissões do Active Directory: listar conteúdo, ler todas as propriedades, ler permissões, redefinir a senha, criar objetos de computador, excluir objetos de computador.
  • Essa conta também requer a permissão do Active Directory chamada Gravar Todas as Propriedades nos objetos descendentes da unidade organizacional (UO) de destino que você pretende usar nos farms e nas atribuições de área de trabalho VDI que criar por meio do Horizon Universal Console.
  • Para obter mais detalhes e requisitos, consulte Contas de serviço que o Horizon Cloud requer para suas operações
Observação:
  • Não há suporte para o uso de espaços em branco no nome de logon da conta de ingresso no domínio. Se o nome de logon da conta de ingresso no domínio contiver um espaço em branco, ocorrerão resultados inesperados nas operações do sistema que dependerem dessa conta.
  • No Microsoft Active Directory, quando você cria uma nova UO, pode ser que o sistema defina automaticamente o atributo Prevent Accidental Deletion que aplica um Deny à permissão Excluir Todos os Objetos Herdeiros para a UO recém-criada e todos os objetos descendentes. Como resultado, se você tiver atribuído explicitamente a permissão Excluir Objetos de Computador à conta de ingresso no domínio, no caso de uma UO recém-criada, o Active Directory poderá ter aplicado uma substituição a essa permissão Excluir Objetos de Computador explicitamente atribuída. Como limpar o sinalizador Impedir Exclusão Acidental pode não limpar automaticamente o Deny que o Active Directory aplicou à permissão Excluir Todos os Objetos Herdeiros, no caso de uma UO recentemente adicionada, talvez você precise verificar e limpar manualmente o conjunto de permissões Deny para as permissões Excluir Todos os Objetos Herdeiros na OU e todas as UOs herdeiras antes de usar a conta de ingresso no domínio no console do Horizon Cloud.
  • Antes do manifesto 1600.0, essa conta exigia as permissões da função de superadministrador do sistema. Se o seu ambiente de tenant tiver algum pod do Horizon Cloud no Microsoft Azure executando manifestos anteriores ao 1600.0, a conta de ingresso no domínio deverá estar no grupo descrito Administradores do Horizon Cloud. O sistema usa essa conta de ingresso no domínio com todos os pods do Horizon Cloud do seu tenant no Microsoft Azure. Quando o seu tenant tem pods de manifestos existentes anteriores ao 1600.0, a conta de ingresso no domínio deve atender a esse requisito. Consulte Contas de serviço que o Horizon Cloud exige para suas operações para obter detalhes.
Grupos do Active Directory
  • Administradores do Horizon Cloud: Grupo de segurança do Active Directory para administradores do Horizon Cloud. Contém a conta de ingresso no domínio e usuários administrativos do Horizon Cloud. Esse grupo recebe a função Superadministrador no Horizon Cloud.
  • Usuários do Horizon Cloud: Grupo de segurança do Active Directory para os usuários que terão acesso a áreas de trabalho virtuais e aplicativos publicados e áreas de trabalho baseadas em sessão RDS no Horizon Cloud.
Observação: Se o seu ambiente de tenant tiver algum pod do Horizon Cloud no Microsoft Azure executando manifestos anteriores ao 1600.0, a conta de ingresso no domínio e quaisquer contas auxiliares de ingresso no domínio também deverão estar no grupo de administradores do Horizon Cloud ou em um grupo do Active Directory que tenha recebido a função de Superadministrador no Horizon Cloud.

Requisitos do Horizon Cloud Connector e do pod do Horizon

Pod do Horizon com no mínimo a versão 7.10 ou posterior. Para obter o uso dos serviços e recursos de nuvem mais recentes com o pod conectado à nuvem, ele deve ter a versão mais atual disponível do software do pod do Horizon.
Dispositivo virtual do Horizon Cloud Connector, no mínimo a versão 1.8 ou posteriores. Para obter o uso dos serviços e recursos de nuvem mais recentes com o pod conectado à nuvem, ele deve ter a versão mais atual, o Horizon Cloud Connector versão 1.10.
  • IP estático
  • Registros de pesquisa direta e inversa de DNS
Requisitos de recursos para o dispositivo virtual do Horizon Cloud Connector:
  • Para a versão 1.8:
    • Perfil completo do recurso: 8 vCPUs, 8 GB de memória (RAM), 40 GB de repositório de dados
    • Perfil básico de recurso: 4 vCPUs, 6 GB de memória (RAM), 40 GB de repositório de dados
  • Para a versão 1.9:
    • Perfil completo do recurso: 8 vCPUs, 8 GB de memória (RAM), 40 GB de repositório de dados
    • Perfil básico de recurso: 4 vCPUs, 6 GB de memória (RAM), 40 GB de repositório de dados
  • Para a versão 1.10: 8 vCPUs, 8 GB de memória (RAM), 40 GB de repositório de dados
Importante: Juntamente com a capacidade de reserva para os componentes de gerenciamento do Horizon, como as VMs do Servidor de Conexão, as VMs do Unified Access Gateway e outros componentes, você deve planejar a reserva de capacidade para o componente do Horizon Cloud Connector. O Horizon Cloud Connector é um componente de infraestrutura implantado no ambiente de pod do Horizon para conectar um pod do Horizon ao Horizon Cloud para os casos de uso do uso de licenças de assinatura do Horizon e serviços hospedados na nuvem com esse pod.
Usuário do Active Directory usado no processo de integração do pod ao emparelhar o Horizon Cloud Connector com o Servidor de Conexão do pod. Este usuário do Active Directory deve ter a função Administradores predefinida do pod no grupo de acesso raiz, conforme exibido no Horizon Console do pod em Exibição de Administradores Globais > Permissões de Função > Administradores. Em outras palavras, o usuário do Active Directory especificado para o processo de integração de pod é um superusuário desse pod, conforme descrito na documentação do Horizon no guia de Administração do Horizon ou no guia de administração do Horizon Console aplicável à sua versão de software do pod.

Requisitos de DNS, portas e protocolos

As portas e os protocolos específicos são necessários para integração de um pod do Horizon ao Horizon Cloud e para as operações contínuas do pod, o Horizon Cloud Connector emparelhado com esse pod e seu ambiente de tenant do Horizon Cloud. Consulte Requisitos de DNS, portas e protocolos ao usar o Horizon Cloud Connector e um pod do Horizon.

Requisitos do Universal Broker

Depois de concluir a integração do seu primeiro pod, você poderá configurar o uso do Universal Broker como método de intermediação no seu ambiente Horizon Cloud. Quando você configura o Universal Broker no seu ambiente, em alto nível, os itens a seguir são necessários. Para obter mais especificações, consulte Configurar o Universal Broker e Requisitos de sistema do Universal Broker.

Para usar o Universal Broker com um pod do Horizon conectado à nuvem, o pod deve ter o Unified Access Gateway configurado.
O Universal Broker tem requisitos específicos de DNS, porta e protocolo para funcionar com os pods do Horizon participantes. Consulte Pods do Horizon: requisitos de porta e protocolo do Universal Broker.
Opcional: configure os gateways do pod para a autenticação de dois fatores com um servidor de autenticação RADIUS se você quiser que o Universal Broker use a autenticação de dois fatores para o pod.
  • Endereços DNS para o Unified Access Gateway para resolver o nome do servidor de autenticação
  • Rotas para o Unified Access Gateway para resolver o roteamento de rede para o servidor de autenticação
Opcional: um FQDN personalizado que os usuários finais usarão para acessar o serviço do Universal Broker e o certificado com base nesse FQDN (opcional)

Licenciamento para os sistemas operacionais Microsoft Windows

O Horizon Cloud não fornece nenhum licenciamento de sistema operacional convidado necessário para o uso de sistemas operacionais Microsoft Windows que você utiliza durante o uso dos fluxos de trabalho do Horizon Cloud. Você, o cliente, tem a responsabilidade de possuir licenças válidas e elegíveis da Microsoft que lhe autorizem a criar, realizar fluxos de trabalho nas e operar as VMs de área de trabalho baseadas no Windows e as VMs RDSH que você escolhe usar em seu ambiente de tenant do Horizon Cloud. O licenciamento necessário depende do uso pretendido.

Licenciamento para um ou mais dos seguintes tipos: Microsoft Windows 7, Microsoft Windows 10
Licenciamento para um ou mais dos seguintes tipos: Microsoft Windows Server 2012 R2, Microsoft Server 2016, Microsoft Server 2019
Servidores de licenciamento Microsoft Windows RDS – para alta disponibilidade, são recomendados servidores de licenciamento redundantes
CAL por usuário ou CAL por dispositivo do Microsoft RDS ou ambas