Para implantações do Horizon Cloud Service on Microsoft Azure de primeira geração, o serviço usa chamadas de API para implantar o pod em uma assinatura do Microsoft Azure e gerenciar esse pod e os desktops e farms VDI provisionados pelo pod. Para fornecer a capacidade de que o Horizon Cloud de primeira geração use suas chamadas de API na assinatura do pod, crie um registro de aplicativo.

Importante: Essas informações aplicam-se apenas quando você tem acesso a um ambiente de tenant de primeira geração na camada de controle de primeira geração. Conforme descrito em KB-92424, a camada de controle de primeira geração atingiu o fim da disponibilidade (EOA). Consulte esse artigo para obter detalhes.

Breve introdução

Para a implantação inicial do pod, o implantador do pod chama as APIs na assinatura do Microsoft Azure que você optou por usar para o pod. Essas chamadas de API realizam ações na assinatura do pod para criar itens como a VM do gerenciador de pods, as NICs da VM e os grupos de segurança de rede (network security groups, NSGs) nessas NICS, todos os recursos necessários para um pod do Horizon Cloud.

Em seguida, após a implantação do pod, o Horizon Cloud deve continuar a ter a capacidade de chamar APIs na assinatura do pod. Após a implantação de pod, o serviço usa chamadas de API para criar as VMs da imagem de base para as golden images, executar o sysprep nas golden images, criar hosts de farm e VMs de área de trabalho VDI, adicionar e editar as configurações de gateway do pod e manter e fazer upgrade do pod.

Criar o registro de aplicativo antes de executar o implantador de pod

Como o implantador do pod precisa chamar as APIs do durante o processo de implantação do pod para criar programaticamente os recursos do pod na assinatura do pod, o registro de aplicativo e a chave secreta do cliente devem existir antes de iniciar o assistente de implantação. A criação do registro de aplicativo cria automaticamente um objeto da entidade de serviço na assinatura do pod.

A chave secreta do cliente deve ser gerada no Portal do Azure e uma função atribuída ao registro do aplicativo do Horizon Cloud para operar no nível da assinatura do pod.

Se você quiser usar o recurso no qual a configuração externa do Unified Access Gateway está implantada na própria assinatura, separada da assinatura do pod, o Horizon Cloud também deverá ter a capacidade de chamar APIs nessa assinatura no momento em que você executar o assistente para implantar esse gateway externo. Nesse caso, um registro de aplicativo e uma chave secreta do cliente são necessários nessa assinatura, além daqueles para a assinatura do pod.

Sobre a atribuição de uma função ao registro de aplicativo

O registro de aplicativo do Horizon Cloud deve ter uma função atribuída na assinatura do pod. Normalmente, a função Contributor interna é a função usada pelo Horizon Cloud com a assinatura do pod. O motivo pelo qual a função de administrador do Contributor é usada é porque essa função abrange todas as chamadas de API que Horizon Cloud precisariam realizar na assinatura do pod.

A atribuição de função deve ser uma atribuição direta. O uso de uma atribuição baseada em grupo de uma função, na qual a função é atribuída a um grupo e o registro do aplicativo é um membro desse grupo, não tem suporte no momento.

Se a sua organização preferir evitar o uso da função do Contributor na assinatura do pod, o Horizon Cloud também oferecerá suporte ao uso de uma função personalizada. Se usada, a função personalizada precisa fornecer as chamadas de API específicas que o Horizon Cloud precisa usar. Para obter mais informações, consulte a seção Funções personalizadas próxima à parte inferior desta página.

Registrar provedores de recursos

Na assinatura do pod, os seguintes provedores de recursos devem ter o status Registered. Você pode ver que alguns dos provedores de recursos nesta lista já têm status Registered, enquanto outros não têm. Isso é resultado do comportamento padrão do Microsoft Azure, em que eles têm um conjunto de provedores de recursos normalmente registrados para todas as assinaturas do Azure.

Você deseja garantir que esses provedores de recursos listados tenham o status Registered antes de executar o assistente de implantação de pod. Na etapa final do assistente, ele validará que esses provedores de recursos têm o status Registered e impedirão o início da implantação do pod se um tiver o registro cancelado.

  • Microsoft.Compute
  • microsoft.insights
  • Microsoft.Network
  • Microsoft.Storage
  • Microsoft.KeyVault
  • Microsoft.Authorization
  • Microsoft.Resources
  • Microsoft.ResourceHealth
  • Microsoft.ResourceGraph
  • Microsoft.Security
  • Microsoft.DBforPostgreSQL
  • Microsoft.Sql
  • Microsoft.MarketplaceOrdering

A seguinte captura de tela é uma ilustração de como ver o status Registrado e o status não registrado no portal do Azure.


Tela Provedores de recursos com uma seta verde apontando para o recurso não registrado.

Para verificar os provedores de recursos na assinatura do pod:

  1. Faça login no portal do Azure e procure a assinatura na qual você planeja implantar o pod.
  2. Clique no nome da assinatura e role para baixo até ver Provedores de recursos no menu Configurações de assinatura (Provedores de recursos).
  3. Procure o recurso fornecido na lista anterior e verifique se cada um deles exibe Ícone de status Registrado no portal do Azure para um status de de provedor de recursos (Registrado).

    Para qualquer recurso fornecido da lista anterior mostrado como NotRegistered, use o portal para registrá-lo.

Como criar o registro de aplicativo do Horizon Cloud

Você executa estas etapas usando o portal do Microsoft Azure apropriado para sua conta registrada. Por exemplo, há endpoints de portal específicos para essas nuvens do Microsoft Azure.

  • Microsoft Azure Comercial (regiões globais padrão)
  • Microsoft Azure na China
  • Microsoft Azure Governo dos EUA

Quando você pretender usar o recurso Horizon Cloud em que o gateway externo usa a própria assinatura, separada da assinatura do pod, deverá repetir as etapas nessa assinatura para o registro do aplicativo.

Para concluir todas as etapas a seguir no portal do Azure você mesmo, seu login no portal do deve ter permissões suficientes para criar um registro de aplicativo e atribuir uma função a esse registro de aplicativo na assinatura na qual você planeja implantar o pod. Se você não for o proprietário ou administrador dessa assinatura, pergunte a um deles se você tem as permissões necessárias para criar um registro de aplicativo e atribuir uma função a esse registro de aplicativo.

  1. Faça login no portal do Microsoft Azure usando credenciais que têm a capacidade de registrar aplicativos
  2. Na barra de pesquisa do portal, procure App registrations e clique em Aplicativos quando você o encontrar na lista de resultados.
    Captura de tela que demonstra pesquisar no Portal do Azure pelas palavras Registros de aplicativo e sua exibição nos resultados

    O portal exibe a página Registros de aplicativo.

  3. Na página Registros de aplicativo, clique em Novo registro.
    Captura de tela que ilustra a localização da ação Novo registro na página Registros de Aplicativos do Portal do Azure
  4. Digite um nome para exibição que lembrará que esse registro é para uso do Horizon Cloud.
  5. Selecione Contas somente neste diretório organizacional.
  6. Deixe a seção URI de Redirecionamento opcional em seu estado padrão vazio.
  7. Clique no botão Registrar para concluir a criação do registro do aplicativo.

    O registro do aplicativo recém-criado aparece na tela.

  8. Copie o ID do aplicativo e o ID do diretório e salve-os em um local onde possa recuperá-los mais tarde ao executar o assistente de implantação. A captura de tela a seguir ilustra um registro de aplicativo chamado Hzn-Cloud-Principal e uma seta verde apontando para onde o ID do aplicativo e o ID do diretório são exibidos.
    Tela de detalhes da entidade de serviço com uma seta apontando para o ID do aplicativo.

  9. Em seguida, crie a chave secreta do cliente do registro de aplicativo:
    1. Na captura de tela anterior, veja onde o item Certificados e segredos no portal do Microsoft Azure é exibido. No portal do Azure, na página de registro de aplicativos recém-criada, clique em Certificados e segredos).
    2. Clique em Novo segredo do cliente.
    3. Conforme ilustrado na seguinte captura de tela, o portal exibe a tela Adicionar um segredo do cliente. Digite uma descrição, selecione uma duração da expiração e clique em Adicionar. A descrição da chave deve ter 16 caracteres ou menos, por exemplo, Hzn-Cloud-Key1.
      Tela Chaves exibindo a nova chave sendo adicionada com a duração Nunca expirar.

      Importante: Mantenha essa tela aberta até copiar o valor secreto e colá-lo em um local onde poderá recuperá-lo mais tarde.

      A chave de autenticação aparece na tela Segredos do cliente com o valor pixelado.

    4. Copie o valor secreto para um novo local onde possa recuperá-lo mais tarde ao executar o assistente de implementação. O assistente tem um campo no qual você cola esse valor.
  10. Adicione uma atribuição de função ao registro de aplicativo do Horizon Cloud. Atribua a função no nível da assinatura:
    1. Navegue até a tela de configurações da assinatura clicando em Todos os serviços na barra de navegação principal do portal do Microsoft Azure, clicando em Assinaturas e, em seguida, clicando no nome da assinatura em que você planeja que o implantador de pod implante o pod.
      Observação: Nesse momento, na tela, anote a ID de assinatura, que será necessária mais tarde no assistente de implementação.

      Detalhes de assinatura no portal do Azure com IDs pixelizados e uma seta verde apontando para o ID.

    2. Clique no item de menu Controle de Acesso (IAM) (Controle de acesso (IAM)) e clique em Adicionar > Adicionar atribuição de função para abrir a tela Adicionar atribuição de função.
    3. Na tela Adicionar atribuição, para Função, selecione a função Contributor.

      Se a sua organização prefere que uma função personalizada seja usada para o Horizon Cloud, selecione a função personalizada que sua organização configurou para essa finalidade.

    4. Em Atribuição de acesso uma lista de , selecione Usuário, grupo ou aplicativo do Azure AD.
    5. Use a caixa Selecionar para pesquisar o nome do registro do aplicativo do Horizon Cloud. A captura de tela a seguir ilustra essa etapa.
      Captura de tela da tela Adicionar permissões do portal do Azure com a função de Proprietário selecionada e procurando a entidade de serviço.

    6. Clique no nome que você atribuiu ao seu registro do aplicativo do Horizon Cloud criado para torná-lo um membro selecionado e clique em Salvar.
      Na tela Adicionar permissões, a entidade de serviço adicionada como membro selecionado da função Proprietário.

Resumo

Nesse ponto, você criou e configurou o registro do aplicativo do Horizon Cloud, confirmou o status de registro dos provedores de recursos necessários ao Horizon Cloud e tem os valores relacionados à assinatura que precisará inserir na primeira etapa do assistente de implantação do pod. Os quatro valores relacionados à assinatura são:

  • ID da assinatura
  • ID do Azure Active Directory
  • ID de aplicativo
  • Valor da chave do aplicativo
Observação: O Horizon Cloud não pode detectar ou saber a duração da expiração definida para a chave secreta do cliente do registro do aplicativo. Para garantir que o Horizon Cloud possa continuar usando esse registro de aplicativo para fazer suas chamadas de API necessárias para gerenciar o pod e seus recursos, lembre-se de atualizar a chave antes da data de expiração da chave ser atingida e, em seguida, inserir a nova chave no seu ambiente do Horizon Cloud. Atualmente, a duração de expiração mais longa que se pode definir usando o portal do Microsoft Azure é de dois (2) anos. Se a chave expirar no final de dois anos e você não a tiver atualizado ou inserido novas informações de chave no ambiente do Horizon Cloud para uso com o pod, o pod associado à chave expirada não funcionará mais. Caso você prefira criar uma chave secreta com uma vida útil maior do que os dois anos que a interface de usuário do portal do Microsoft Azure permite, o Microsoft Azure atualmente fornece essa capacidade usando o PowerShell, a CLI do Azure ou a API do Graph.

Funções personalizadas e o registro de aplicativo do Horizon Cloud

Quando sua organização preferir evitar o uso da função Contributor na assinatura do pod, sua organização poderá criar uma função personalizada em vez disso e ter essa atribuída ao registro do aplicativo do Horizon Cloud. A função personalizada deve ser configurada para que ela permita as chamadas de API exigidas pelo Horizon Cloud. Se a sua organização preferir evitar o uso da função Contributor na assinatura do pod, consulte as informações em Tenants de primeira geração: quando sua organização prefere usar uma função personalizada para o registro de aplicativos do Horizon Cloud de primeira geração.