部署 Microsoft Azure Edge 的要求检查表

检查表受众

该检查表适用于从未在租户环境中进行 Horizon Cloud on Microsoft Azure 部署的 Horizon Cloud 客户帐户。您可能会听到此类租户环境被称为干净的环境或绿地环境。

在部署 Horizon Cloud 之前，必须执行下面的一些项目。您可以将某些项目延迟到部署完成并且运行之后。

Microsoft Azure 订阅要求

有关配置限制，请参阅调整 Horizon Cloud Service - next-gen 部署规模，其中包括有关使用 VMware 最高配置工具的信息。从“最高配置”页面开始，选择查看限制、VMware Horizon Cloud Service - next-gen、最新版本以及要查看的类别。


☐	受支持的 Microsoft Azure 环境（Azure 商业）中的有效 Microsoft Azure 订阅。如果要在自己的专用提供程序（Microsoft Azure 订阅）中部署 Horizon Edge 设备（包括 Horizon Edge 网关和 Unified Access Gateway 实例），请获取另一个有效的 Microsoft Azure 订阅来部署池。注： Horizon Cloud 支持大多数 Microsoft Azure 区域。
☐	每个 Microsoft Azure 订阅中的有效 Microsoft Azure 管理特权，以允许您使用 Microsoft Azure 门户并执行 Horizon Cloud 部署准备步骤。
☐	在每个 Microsoft Azure 订阅中创建一个或多个服务主体，记下订阅 ID、目录 ID 和应用程序 ID，并为订阅中的每个服务主体分配相应的角色。请参阅为 Microsoft Azure 订阅创建服务主体。要将自定义角色用于服务主体，请参阅要为 Horizon Cloud 应用注册使用自定义角色。注：创建多个服务主体时，它们将共享订阅 ID 和目录 ID，但每个服务主体都有自己的应用程序 ID。
☐	确定要部署的 Microsoft Azure Edge 格式类型。可用选项如下： Edge 网关（虚拟机）= Edge 网关虚拟机 Edge 网关（虚拟机）适用于没有高可用性的小型部署。 Edge 网关 (AKS) = Edge 网关 Azure Kubernetes 服务 Edge 网关 (AKS) 提供了高可用性。
☐	要部署 Edge 网关 (AKS)，请创建 Microsoft Azure 用户管理的身份。使用 AKS 集群的 Horizon Edge 需要用户管理的身份在管理 VNet 的资源组范围内具有网络参与者角色，并在 Microsoft Azure 订阅范围内具有受管身份操作员角色。请参阅有关管理用户分配的受管身份的 Microsoft 文档。如果您的管理子网具有路由表，并且该路由表的资源组与 VNet 的资源组不同，则还必须为路由表的资源组分配网络参与者角色。
☐	注册 Microsoft Azure 订阅所需的资源提供程序。请参阅确认所需的资源提供程序已在 Microsoft Azure 订阅中注册。
☐	创建一个自定义角色，以便提供对订阅中 Azure 计算库的读取权限，并将该自定义角色分配给为给定 Horizon Edge 配置的所有服务主体。
☐	订阅必须允许创建没有标记的资源组。

Microsoft Azure 容量要求

如果下表指 Microsoft Azure 容量，则无需手动安装。只要订阅中具有指定的容量，部署程序便会自动实例化所述的虚拟机。


☐	为将核心 Horizon Edge 资源部署到该订阅中所需的 Microsoft Azure 容量。请注意，容量要求因您部署的 Microsoft Azure Edge 格式而异，即 Edge 网关 (AKS) 还是 Edge 网关（虚拟机）。 Edge 网关 (AKS) – 升级期间为 4 节点 AKS 集群和额外节点提供足够的配额。 Edge 网关 (AKS) 部署使用 Azure Kubernetes 服务 (AKS) 集群，该集群需要使用四个具有某个受支持虚拟机大小的节点来提供容量。下面列出了 Edge 网关 (AKS) 部署支持的虚拟机 SKU 大小（按优先级降序排列）。如果您的 Microsoft Azure 订阅具有至少一个以下虚拟机 SKU 大小的容量，则接受 Edge 部署。否则，将拒绝 Edge 部署。 Standard_D2s_v3 - 2 vCPU、8GB 内存 Standard_D2ds_v5 - 2 vCPU、8GB 内存 Standard_D2a_v4 - 2 vCPU、8GB 内存在 AKS 集群的正常操作过程中，需要四个虚拟机节点。在升级过程中，需要使用一个额外的节点。 Edge 网关（虚拟机）– 为单个虚拟机提供足够的配额。下面列出了 Edge 网关（虚拟机）部署支持的虚拟机 SKU 大小（按优先级降序排列）。如果您的 Microsoft Azure 订阅具有至少一个以下虚拟机 SKU 大小的容量，则接受 Edge 部署。否则，将拒绝 Edge 部署。 Standard_D4s_v3 - 4 个 vCPU、16 GB 内存 Standard_D4s_v4 - 4 个 vCPU、16 GB 内存 Standard_D4s_v5 - 4 个 vCPU、16 GB 内存运行命令以检查 Microsoft Azure 虚拟机型号的可用性并检查区域 CPU 输出。请参阅检查 Microsoft Azure 虚拟机型号的可用性。 Unified Access Gateway 实例 - 至少为以下支持大小的 2 倍。默认的建议大小为 Standard_F8s_v2。 Standard_A4_v2 Standard_D8s_v4 Standard_D16s_v4 Standard_D8s_v5 Standard_D16s_v5 Standard_F8s_v2 Standard_F16s_v2 注： `A4_v2` 虚拟机型号仅足够满足概念证明 (Proof-of-Concept, PoC)、试运行项目或较小环境（即 Horizon Edge 上的活动会话数不超过 1,000 个）的需求。在 Horizon Edge 实例可供使用后，您在 Microsoft Azure 云中的容量还必须容纳您在该 Horizon Edge 实例中创建的导入的虚拟机、映像、池虚拟机以及 App Volumes 应用程序捕获虚拟机。请参阅Image Management System Requirements部分。

网络要求

以下网络要求包括成功部署和运行 Horizon Edge 所需的详细信息。后面的两个表相似，但不同。使用适用于您计划部署的 Microsoft Azure Edge 格式类型的表：Edge 网关（虚拟机）或 Edge 网关 (AKS)。

Edge 网关（虚拟机）: 对于 Edge 网关（虚拟机）部署，请使用下表。

表 1. Edge 网关（虚拟机）的网络要求
☐	在目标 Microsoft Azure 区域中创建的 Microsoft Azure 虚拟网络 (VNet)，该网络具有适用的地址空间，可覆盖所需子网。请参阅配置 Microsoft Azure 区域的网络设置。
☐	以下是最低的子网要求。对于较大的环境，可能需要使用更大的子网。管理子网 — 最小为 /26 桌面（租户）子网 - 主 — 最小为 /27，但可以根据桌面和 RDS 服务器的数量相应地调整大小。您可以根据需要添加更多子网。 DMZ 子网 — Unified Access Gateway 实例集群最小为 /27（内部 Unified Access Gateway 访问类型不需要）。作为必备条件，必须在 VNet 上手动创建子网。请参阅配置 Microsoft Azure 区域的网络设置。最佳做法是，不要将其他资源连接到子网。选择使用专用提供程序来部署 Horizon Gateway 设备（Horizon Edge 网关和 Unified Access Gateway）时，您必须在提供程序中创建后端子网，以便从中部署桌面。
☐	配置 VNet（虚拟网络）DNS 服务器，使其指向可解析内部计算机名称和外部名称的有效 DNS 服务器。请参阅部署 Horizon Edge 网关和 Unified Access Gateway 后配置所需的 DNS 记录。对于内部端点，AD 服务器就是一个示例。对于外部端点，用于网关部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。
☐	用于 Horizon Edge 部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。有关 DNS 名称和端口的列表，请参阅使相应的目标 URL 可访问以在 Microsoft Azure 环境中部署 Horizon Edge 网关。
☐	可选。代理服务器信息（如果 VNet 上的出站 Internet 访问需要该信息），在 Horizon Cloud 环境中执行部署和日常操作期间将使用该信息。
☐	可选。配置的 Microsoft Azure VPN/Express Route，当希望在 VNet 和内部部署企业网络之间建立网络连接时使用。

Edge 网关 (AKS): 对于 Edge 网关 (AKS) 部署，请使用下表。这些要求还包括支持配置使用 AKS 集群的 Horizon Edge 网关。配置使用 AKS 集群的 Horizon Edge 网关可提供更易于扩展的解决方案。

表 2. Edge 网关 (AKS) 的网络要求
☐	在目标 Microsoft Azure 区域中创建的 Microsoft Azure 虚拟网络 (VNet)，该网络具有适用的地址空间，可覆盖所需子网。请参阅配置 Microsoft Azure 区域的网络设置。
☐	以下是最低的子网要求。对于较大的环境，可能需要使用更大的子网。管理子网 — 最小为 /26 如果要部署 Edge 网关 (AKS)，请为管理子网配置 NAT 网关，因为使用 AKS 集群的 Horizon Edge 需要使用 NAT 网关进行出站连接。桌面（租户）子网 - 主 — 最小为 /27，但可以根据桌面和 RDS 服务器的数量相应地调整大小。您可以根据需要添加更多子网。 DMZ 子网 — Unified Access Gateway 实例集群最小为 /27（内部 Unified Access Gateway 访问类型不需要）。作为必备条件，必须在 VNet 上手动创建子网。请参阅配置 Microsoft Azure 区域的网络设置。最佳做法是，不要将其他资源附加到子网。选择使用专用提供程序来部署 Horizon Gateway 设备（Horizon Edge 网关和 Unified Access Gateway）时，您必须在提供程序中创建后端子网，以便从中部署桌面。
☐	如果要部署 Edge 网关 (AKS) 并在创建 Edge 时选择“NAT 网关”作为集群出站类型值，请在管理子网上配置一个 NAT 网关，以便为 Horizon Edge 网关启用出站连接。如果在创建 Edge 时选择“用户定义的路由”作为集群出站类型值，请在管理子网上配置一个路由表，并使其默认路由 0.0.0.0/0 指向类型为 VirtualAppliance 或 VirtualNetworkGateway 的下一跃点。
☐	收集以下 CIDR IP 地址范围，需要使用这些范围来在部署期间配置 Horizon Edge 网关。注：确保这些范围不会与环境中使用的其他范围冲突。服务 CIDR — 最小为 /27 容器 CIDR — 最小为 /21 部署 Edge 网关 (AKS) 时，要成功部署 AKS 集群，则必须满足以下 Microsoft Azure 要求。在使用 Horizon Universal Console 部署 Horizon Edge 时，请确保管理子网 VNet 的服务 CIDR、容器 CIDR 和地址空间不会与以下 IP 范围冲突： 169.254.0.0/16 172.30.0.0/16 172.31.0.0/16 192.0.2.0/24
☐	配置 VNet（虚拟网络）DNS 服务器，使其指向可解析内部计算机名称和外部名称的有效 DNS 服务器。请参阅部署 Horizon Edge 网关和 Unified Access Gateway 后配置所需的 DNS 记录。对于内部端点，AD 服务器就是一个示例。对于外部端点，用于网关部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。
☐	用于 Horizon Edge 部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。有关 DNS 名称和端口的列表，请参阅使相应的目标 URL 可访问以在 Microsoft Azure 环境中部署 Horizon Edge 网关。
☐	可选。代理服务器信息（如果 VNet 上的出站 Internet 访问需要该信息），在 Horizon Cloud 环境中执行部署和日常操作期间将使用该信息。
☐	可选。配置的 Microsoft Azure VPN/Express Route，当希望在 VNet 和内部部署企业网络之间建立网络连接时使用。
☐	在部署 Edge 网关 (AKS) 时，对于使用 AKS 集群的 Horizon Edge，如果用于 Horizon Edge 部署的 VNet 具有自定义 DNS 服务器，您可以将 Microsoft Azure DNS IP 地址 168.63.129.16 添加为 DNS 转发器以进行外部名称解析。

端口和协议要求


☐	在 Horizon Cloud 环境中部署和执行日常操作需要特定的端口和协议。请参阅在 Microsoft Azure 中部署 Horizon Cloud 的端口和协议要求。

Unified Access Gateway 要求

将由 Unified Access Gateway 虚拟机组成的集群与池相关联，从而使客户端能够与该池中的虚拟机建立受信任的 HTML Access 连接。

您可以使用 Horizon Universal Console 来为 Horizon Cloud 配置 Unified Access Gateway。该类型的配置需要以下项目。


☐	所有配置类型都需要对 .horizon.vmware.com 进行出站 Internet 访问。当 Unified Access Gateway 访问类型为允许通过企业网络进行内部访问时，可以将用户定义的路由或 NAT 网关应用于管理子网以允许出站流量。如果在外部为 Unified Access Gateway 访问类型配置了 DMZ 网络，必须在 DMZ 网络上配置对 .horizon.vmware.com 的外部访问。
☐	Unified Access Gateway 配置需要 FQDN。
☐	与 FQDN 匹配的一个或多个采用 PEM 格式的 Unified Access Gateway 证书。注：如果您出于此目的提供的证书使用 CRL（证书吊销列表）或引用特定 DNS 名称的 OCSP（联机证书状态协议）设置，则必须确保针对那些 DNS 名称的 VNet 上的出站 Internet 访问可解析并可访问。在 Unified Access Gateway 配置中配置提供的证书期间， Unified Access Gateway 软件将访问这些 DNS 名称以检查证书的吊销状态。如果无法访问这些 DNS 名称，部署将失败。这些名称高度依赖于用于获取证书的 CA，这不在 VMware 的控制内。

了解用户身份和计算机身份

Horizon Cloud Service - next-gen 处理身份的方式与其他环境有所不同。在 Horizon Cloud Service - next-gen 中，服务会区分用户身份和计算机身份，并会在客户端与远程桌面或应用程序之间建立安全连接时同时依赖这两种身份。

注：如果您更熟悉使用单个身份提供程序对用户身份和计算机身份进行验证的环境，例如第一代 Horizon Cloud 环境或 Horizon 8 内部部署环境，您可能会对用户身份与计算机身份之间的这种区分感到陌生。

在 Horizon Cloud Service - next-gen 中，您设置的身份配置必须包含两个身份提供程序，一个用于验证用户身份，另一个则用于验证计算机身份。

用户身份: Horizon Cloud Service - next-gen 要求您注册用户身份提供程序。服务使用此身份提供程序对尝试访问远程桌面和应用程序的客户端用户进行身份验证。
计算机身份: Horizon Cloud Service - next-gen 还要求您注册计算机身份提供程序。服务使用此身份提供程序为提供远程桌面和应用程序的虚拟机建立计算机标识。
通过计算机身份提供程序，服务将远程桌面和远程应用程序的虚拟机源加入客户端用户有权访问的受信任网络域。

支持的身份配置

Horizon Cloud Service - next-gen 要求您注册一个包含用户身份提供程序和计算机身份提供程序的身份配置。功能可能会因配置中包含的特定身份提供程序而异。

Horizon Cloud Service - next-gen 支持以下身份配置。

表 3. Horizon Cloud Service - next-gen 支持的身份配置
身份配置	用户身份提供程序	计算机身份提供程序	功能注意事项
A	Microsoft Entra ID	Active Directory	支持通过 SSO 访问远程桌面和应用程序
B	Microsoft Entra ID	Microsoft Entra ID	不支持通过单点登录（SSO）访问远程桌面和应用程序
C	Workspace ONE Access	Active Directory	支持通过 SSO 访问远程桌面和应用程序支持与 Workspace ONE 集成

此页面上的下一部分介绍了每个受支持的用户身份提供程序和计算机身份提供程序的详细要求。

用户身份要求

本节介绍在您的身份配置中选择使用的用户身份提供程序的要求。Horizon Cloud Service - next-gen 支持将 Microsoft Entra ID 和 Workspace ONE Access 作为用户身份的提供程序。

除了本节所述的要求外，请参阅支持的身份配置，以了解有关功能注意事项及可与每个用户身份提供程序结合使用的计算机身份提供程序的信息。有关 Horizon Cloud Service - next-gen 如何管理身份的概述，请参阅了解用户身份和计算机身份。

Microsoft Entra ID


☐	当 Microsoft Entra ID 是您的用户身份提供程序时，具有全局管理员特权的用户必须执行以下操作。批准请求的权限。代表整个组织同意。

Workspace ONE Access


☐	如果 Workspace ONE Access Workspace ONE Access 是您的用户身份提供程序，具有管理员特权的用户必须执行以下操作。批准请求的权限。代表整个组织同意。

计算机身份要求

本节介绍了在身份配置中选择使用的计算机身份提供程序的要求。Horizon Cloud Service - next-gen 支持将 Microsoft Entra ID 和 Active Directory 作为计算机身份的提供程序。

除了本节所述的要求外，请参阅支持的身份配置，以了解有关功能注意事项及可与每个计算机身份提供程序结合使用的用户身份提供程序的信息。有关 Horizon Cloud Service - next-gen 如何管理身份的概述，请参阅了解用户身份和计算机身份。

Microsoft Entra ID


☐	要允许删除池或虚拟机，服务主体应具有从 Microsoft Entra ID 中删除设备条目的权限。权限相关内容如下： `Scope: https://graph.microsoft.com/` `Permission : Device.ReadWrite.All` `Read and write devices` `Admin Consent : Yes` 可以通过导航到以下位置来授予权限：订阅 -> Azure Active Directory -> 应用程序注册 -> 选择需要授予权限的应用程序 -> API 权限 -> 选择 Microsoft GRAPH -> 选择 Device.ReadWriteAll
☐	在 Microsoft Entra ID 中配置 RBAC。此配置可确保只有具有虚拟机管理员登录或虚拟机用户登录角色的用户或用户组才能登录到其授权。

Active Directory


☐	Active Directory能够查看 Horizon Edge 网关实例和桌面子网的服务器。例如：通过 VPN/Express Route 连接的内部部署 Active Directory 服务器位于 Microsoft Azure 中的 Active Directory 服务器
☐	如果您计划使用 LDAPS 连接 Active Directory，请收集 Active Directory 域的 PEM 编码的根和中间 CA 证书。使用 Horizon Universal Console 设置 Active Directory 域时，系统当时会提示您上载 PEM 编码的根 CA 证书和中间 CA 证书。
☐	受支持的 Microsoft Windows Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别。 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 受支持的 Microsoft Windows Active Directory 域服务 (AD DS) 操作系统版本。 Windows Server 2019 Windows Server 2016 Windows Server 2012 R
☐	域绑定帐户具有 sAMAccountName 属性的 Active Directory 域绑定帐户（具有读取访问权限的标准用户）。sAMAccountName 属性必须至多包含 20 个字符，并且不能包含以下任意字符： `"/ \ [ ] : ; \| = , + * ? < >` 帐户必须具有以下权限：列出内容读取全部属性读取权限读取 tokenGroupsGlobalAndUniversal（读取全部属性隐含的权限）将帐户密码设置为永不过期，以确保能够继续登录到您的 Horizon Cloud 环境。如果您熟悉 Horizon 内部部署产品，则上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。为域绑定帐户授予即时可用的默认读取访问相关权限，该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是，如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限，则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。参考：创建 Active Directory 域绑定和域加入帐户
☐	辅助域绑定帐户必须不同于主域绑定帐户。UI 将禁止在这两个字段中重复使用相同的帐户。具有 sAMAccountName 属性的 Active Directory 域绑定帐户（具有读取访问权限的标准用户）。sAMAccountName 属性必须至多包含 20 个字符，并且不能包含以下任意字符：`"/ \ [ ] : ; \| = , + * ? < >` 帐户必须具有以下权限：列出内容读取全部属性读取权限读取 tokenGroupsGlobalAndUniversal（读取全部属性隐含的权限）将帐户密码设置为永不过期，以确保能够继续登录到您的 Horizon Cloud 环境。如果您熟悉 Horizon 内部部署产品，则上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。为域绑定帐户授予即时可用的默认读取访问相关权限，该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是，如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限，则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。
☐	域加入帐户 Active Directory 域加入帐户，系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。（域加入用户帐户）帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符，并且不能包含以下任意字符：`"/ \ [ ] : ; \| = , + * ? < >` 目前不支持在帐户的用户名中使用空格。将帐户密码设置为永不过期，以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。此帐户需要应用于计算机 OU 或将在控制台的“域加入”UI 中输入的 OU 的以下 Active Directory 权限。读取所有属性 - 仅限此对象创建计算机对象 - 该对象和所有后代对象删除计算机对象 - 该对象和所有后代对象写入全部属性 - 后代计算机对象重置密码 - 后代计算机对象对于计划用于池的目标组织单位 (OU)，该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。有关创建和重用域加入帐户的更多详细信息，请参阅创建 Active Directory 域绑定和域加入帐户。在 Microsoft Active Directory 中，当您创建新的 OU 时，系统可能会自动设置 `Prevent Accidental Deletion` 属性，该属性会将 `Deny` 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此，如果您为域加入帐户明确分配了“删除计算机对象”权限，对于新创建的 OU，Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 `Deny`，因此，对于新添加的 OU，您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 `Deny` 权限，然后才能在 Horizon Cloud 控制台中使用域加入帐户。
☐	可选辅助域加入帐户 Active Directory 域加入帐户，系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。（域加入用户帐户）帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符，并且不能包含以下任意字符：`"/ \ [ ] : ; \| = , + * ? < >` 目前不支持在帐户的用户名中使用空格。将帐户密码设置为永不过期，以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。此帐户需要应用于计算机 OU 或将在控制台的“域加入”UI 中输入的 OU 的以下 Active Directory 权限。读取所有属性 - 仅限此对象创建计算机对象 - 该对象和所有后代对象删除计算机对象 - 该对象和所有后代对象写入全部属性 - 后代计算机对象重置密码 - 后代计算机对象对于计划用于池的目标组织单位 (OU)，该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。在 Microsoft Active Directory 中，当您创建新的 OU 时，系统可能会自动设置 `Prevent Accidental Deletion` 属性，该属性会将 `Deny` 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此，如果您为域加入帐户明确分配了“删除计算机对象”权限，对于新创建的 OU，Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 `Deny`，因此，对于新添加的 OU，您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 `Deny` 权限，然后才能在 Horizon Cloud 控制台中使用域加入帐户。
☐	虚拟桌面和基于会话的 RDS 桌面以及/或者已发布的应用程序的一个或多个 Active Directory 组织单位 (Organizational Unit, OU)。在 Microsoft Active Directory 中，当您创建新的 OU 时，系统可能会自动设置 `Prevent Accidental Deletion` 属性，该属性会将 `Deny` 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此，如果您为域加入帐户明确分配了“删除计算机对象”权限，对于新创建的 OU，Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 `Deny`，因此，对于新添加的 OU，您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 `Deny` 权限，然后才能在 Horizon Cloud 控制台中使用域加入帐户。

Image Management System Requirements

您的 Microsoft Azure 订阅必须满足以下要求，具体取决于您要在部署的 Horizon Edge 中置备的映像类型。


☐	映像的基础。一个或多个受支持的 Microsoft Azure 虚拟机配置。支持 Microsoft Azure 第 1 代和第 2 代虚拟机。确保为要用于基础虚拟机的型号提供足够的配额。以下型号类型为默认类型，同时为推荐类型。非 GPU： Standard_DS2_v2 已启用 GPU： Standard_NV12s_v3 除了列出的非 GPU 和已启用 GPU 类型之外，还支持其他型号类型，但这些型号类型未必经过验证。如果选择其中一个型号，请确保订阅中有足够的配额。

池虚拟机要求

您的 Microsoft Azure 订阅必须满足以下要求，具体取决于您要在部署的 Horizon Edge 中置备的池虚拟机的类型。


☐	为池中的虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置，与 Horizon Cloud 桌面操作不兼容的配置除外。选择虚拟机型号时，请考虑以下详细信息。选择启用 GPU 的模型类型还是非 GPU 模型类型，取决于在映像创建期间选择的虚拟机。要创建多会话池，请选择使用多会话操作系统创建的映像。对于生产环境，规模测试建议使用至少具有 2 个 CPU 或更大 CPU 的型号。请参阅适用于 Horizon Cloud Service - next-gen 的 Microsoft Azure 虚拟机类型和大小 (89090)，了解不同 Microsoft Azure 虚拟机类型和大小与 VMware Horizon Cloud Service - next-gen 之间的兼容性。池支持 Microsoft Azure 第 1 代和第 2 代虚拟机。

Horizon Client 和 Horizon HTML Access（Web 客户端）要求


☐	要允许最终用户访问 Horizon Cloud 环境中的授权资源，请确保他们使用以下受支持的客户端之一。 Horizon Client 最终用户可以使用以下 Horizon Client 版本：适用于 Windows 的 Horizon Client 2111 或更高版本适用于 Mac 的 Horizon Client 2111 或更高版本适用于 Linux 的 Horizon Client 2206 或更高版本适用于 Android 的 Horizon Client 2303 或更高版本适用于 iOS 的 Horizon Client 2303 或更高版本适用于 Chrome 的 Horizon Client 2306 或更高版本 Horizon HTML Access 最终用户可以连接到 Horizon Cloud 环境中内置的 HTML Access 版本。