有关此帐户与 Horizon Cloud 租户帐户之间关系的概述，您可以参阅 Horizon Service 部署和容器载入页面。

如果您本人或您的组织将使用该功能在与容器订阅不同的订阅中部署外部网关配置，则该网关订阅也需要一个 Horizon Cloud 应用程序注册和一个客户端密码。

为此服务主体分配允许 Horizon Cloud 在容器订阅中进行 API 调用的角色。

通常，会在容器订阅级别分配 Contributor 角色。

此外，该角色也可以是在容器订阅级别分配的自定义角色。

在单独订阅的现有资源组中部署外部网关配置时，可以为该网关订阅的服务主体分配自定义角色或 Contributor 角色。

当您本人或您的组织希望 Horizon Cloud 应用程序注册使用自定义角色时，请参阅当您的组织希望使用自定义角色时页面，该页面介绍了自定义角色必须能够执行的操作。

如果您不打算使用部署向导的自定义资源标记功能，则必须确认您的 Microsoft Azure 策略允许在目标订阅中创建容器的未标记资源组。如果未在向导中指定自定义资源标记，并且 Microsoft Azure 订阅具有某种类型的资源标记要求，则在尝试将容器部署到该订阅中时，或者在容器更新或将网关配置添加到容器时，容器部署将失败。有关由部署程序创建的资源组的名称，请参阅容器部署程序创建的资源组。

要使用该功能，需要在运行容器部署程序之前在该订阅中创建相应的资源组。此外，为使容器部署程序能够在标准容器更新中将 Unified Access Gateway 配置部署到该资源组、管理该配置并更新 Unified Access Gateway 软件，您还必须确保具有必要的权限。有关自定义角色必须包含的权限的详细信息，请参阅当您的组织希望使用自定义角色时。

容器

• 容器管理器 — 2 个 Standard_D4_v3（如果区域中没有 Standard_D4_v3，则使用 2 个 Standard_D3_v2）
• Microsoft Azure Database for PostgreSQL 服务 — 第 5 代、内存优化、2 个 vCore、10 GB 存储空间

• 在容器可供使用后，您在 Microsoft Azure 云中的容量还必须容纳您在该容器中创建的导入的虚拟机、最佳配置映像、虚拟桌面、RDSH 场以及 App Volumes 应用程序捕获虚拟机。请参阅下面的 Horizon Cloud 基础映像、桌面和场部分。
• 在特殊情况中，当您提交支持请求并且 VMware 技术支持团队确定响应该请求的方法是临时部署与支持相关的 jump box 虚拟机时，您的容量必须能够容纳当时的 Standard_F2 型号虚拟机部署。

外部 Unified Access Gateway（与容器位于同一 VNet 中）

2 个 Standard_A4_v2 或 2 个 Standard_F8s_v2

外部 Unified Access Gateway（位于其自身的 VNet 中）

• 外部网关连接器 — 1 个 Standard_A1_v2
• 外部 Unified Access Gateway — 2 x Standard_A4_v2 或 2 x Standard_F8s_v2。

内部 Unified Access Gateway

2 个 Standard_A4_v2 或 2 个 Standard_F8s_v2

如果订阅的区域不提供 Standard_F8s_v2 VM 大小，则容器部署程序向导不会在“指定网关”向导步骤中的选择器中显示该选项。

将外部 Unified Access Gateway 部署在自身的 VNet（不同于容器的 VNet）中时，请通过适用地址空间在与容器的 VNet 相同的 Microsoft Azure 区域中创建该 Unified Access Gateway VNet 以覆盖所需子网，并将两个 VNet 对等互连。

• 管理子网 — 最小为 /27
• 虚拟机子网 - 主（租户）— 根据桌面和 RDS 服务器的数量，最小为 /27，首选为 /24 - /22
• DMZ 子网 — 将 Unified Access Gateway 部署在容器的 VNet 中时最小为 /28（可选）

• 管理子网 — 最小为 /27
• 后端子网 — 根据桌面和 RDS 服务器的数量，最小为 /27，首选为 /24 - /22
• DMZ（前端）子网 — 最小为 /28

配置应包括：

• 供 Unified Access Gateway 解析该身份验证服务器名称的 DNS 地址
• 供 Unified Access Gateway 解析指向该身份验证服务器的网络路由的路由

• 通过 VPN/Express Route 连接的内部部署 Active Directory 服务器
• 位于 Microsoft Azure 中的 Active Directory 服务器
• Microsoft Azure Active Directory 域服务

• Microsoft Windows Server 2008 R2
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2016

域绑定帐户

具有 sAMAccountName 属性的 Active Directory 域绑定帐户（具有读取访问权限的标准用户）。sAMAccountName 属性必须至多包含 20 个字符，并且不能包含以下任意字符： "/ \ [ ] : ; | = , + * ? < >

帐户必须具有以下权限：

• 列出内容
• 读取全部属性
• 读取权限
• 读取 tokenGroupsGlobalAndUniversal（读取全部属性隐含的权限）

您还应将帐户密码设置为永不过期，以确保能够继续登录到您的 Horizon Cloud 环境。

• 如果您熟悉 VMware Horizon 内部部署产品，您便会知晓上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
• 一般来说，应为域绑定帐户授予即时可用的默认读取访问相关权限，该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是，如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限，则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

参考：Horizon Cloud 执行操作所需的服务帐户

辅助域绑定帐户

必须不同于主域绑定帐户。UI 将禁止在这两个字段中重复使用相同的帐户。

具有 sAMAccountName 属性的 Active Directory 域绑定帐户（具有读取访问权限的标准用户）。sAMAccountName 属性必须至多包含 20 个字符，并且不能包含以下任意字符："/ \ [ ] : ; | = , + * ? < >

帐户必须具有以下权限：

• 列出内容
• 读取全部属性
• 读取权限
• 读取 tokenGroupsGlobalAndUniversal（读取全部属性隐含的权限）

您还应将帐户密码设置为永不过期，以确保能够继续登录到您的 Horizon Cloud 环境。

• 如果您熟悉 VMware Horizon 内部部署产品，您便会知晓上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
• 一般来说，应为域绑定帐户授予即时可用的默认读取访问相关权限，该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是，如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限，则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

参考：Horizon Cloud 执行操作所需的服务帐户

域加入帐户

Active Directory 域加入帐户，系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。（ 域加入用户帐户）

帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符，并且不能包含以下任意字符："/ \ [ ] : ; | = , + * ? < >

目前不支持在帐户的用户名中使用空格。

此外，您还应将帐户密码设置为永不过期，以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。

此帐户需要应用于计算机 OU 或将在控制台的“域加入”UI 中输入的 OU 的以下 Active Directory 权限。

• 读取所有属性 - 仅限此对象
• 创建计算机对象 - 该对象和所有后代对象
• 删除计算机对象 - 该对象和所有后代对象
• 写入全部属性 - 后代计算机对象
• 重置密码 - 后代计算机对象

对于计划用于场和 VDI 桌面分配的目标组织单位 (OU)，该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

有关更多详细信息，请参阅 Horizon Cloud 执行操作所需的服务帐户

在 Microsoft Active Directory 中，当您创建新的 OU 时，系统可能会自动设置 Prevent Accidental Deletion 属性，该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此，如果您为域加入帐户明确分配了“删除计算机对象”权限，对于新创建的 OU，Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny，因此，对于新添加的 OU，您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限，然后才能在 Horizon Cloud 控制台中使用域加入帐户。

可选辅助域加入帐户

Active Directory 域加入帐户，系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。（ 域加入用户帐户）

帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符，并且不能包含以下任意字符："/ \ [ ] : ; | = , + * ? < >

目前不支持在帐户的用户名中使用空格。

此外，您还应将帐户密码设置为永不过期，以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。

此帐户需要应用于计算机 OU 或将在控制台的“域加入”UI 中输入的 OU 的以下 Active Directory 权限。

• 读取所有属性 - 仅限此对象
• 创建计算机对象 - 该对象和所有后代对象
• 删除计算机对象 - 该对象和所有后代对象
• 写入全部属性 - 后代计算机对象
• 重置密码 - 后代计算机对象

对于计划用于场和 VDI 桌面分配的目标组织单位 (OU)，该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

有关更多详细信息，请参阅 Horizon Cloud 执行操作所需的服务帐户

在 Microsoft Active Directory 中，当您创建新的 OU 时，系统可能会自动设置 Prevent Accidental Deletion 属性，该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此，如果您为域加入帐户明确分配了“删除计算机对象”权限，对于新创建的 OU，Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny，因此，对于新添加的 OU，您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限，然后才能在 Horizon Cloud 控制台中使用域加入帐户。

Active Directory 组

• Horizon Cloud 管理员 — Horizon Cloud 管理员的 Active Directory 安全组。包含 Horizon Cloud 管理用户。此组在 Horizon Cloud 中被授予超级管理员角色。
• Horizon Cloud 用户 — 用户的 Active Directory 安全组，这些用户将有权访问 Horizon Cloud 中的虚拟桌面和基于会话的 RDS 桌面以及已发布的应用程序。

Horizon Cloud 支持对管理员登录和最终用户授权使用 Active Directory 安全组。支持嵌套组。组成员身份可通过请求 tokenGroups 计算属性进行评估，这意味着 Horizon Cloud 没有嵌套深度限制，但支持在 Active Directory 中设置任何内容。

当系统询问 Active Directory 组上下文以及 Horizon Cloud + Universal Broker + Workspace ONE Access Cloud 的组合方面是否存在其他注意事项或其他限制时，其答案是“否”、“无”。

如果您的租户环境中有任何 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0，则域加入帐户以及任何辅助域加入帐户还必须位于 Horizon Cloud 管理员组中，或者位于在 Horizon Cloud 中被授予超级管理员角色的 Active Directory 组中。

在 Microsoft Active Directory 中，当您创建新的 OU 时，系统可能会自动设置 Prevent Accidental Deletion 属性，该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此，如果您为域加入帐户明确分配了“删除计算机对象”权限，对于新创建的 OU，Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny，因此，对于新添加的 OU，您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限，然后才能在 Horizon Cloud 控制台中使用域加入帐户。

• 如果最终用户通过 Internet 进行连接并启动其虚拟桌面和应用程序，则必须为容器配置外部 Unified Access Gateway。
• 如果始终通过内部网络进行所有最终用户连接，则无需在容器上配置 Unified Access Gateway，除非您希望 Universal Broker 对这些内部最终用户连接强制执行双因素身份验证。

Universal Broker 会将身份验证请求传递到 Unified Access Gateway，后者会与身份验证服务器通信，然后将响应传回到 Universal Broker。

该外部 Unified Access Gateway 配置需要以下项目：

• 供 Unified Access Gateway 解析身份验证服务器的名称的 DNS 地址
• 供 Unified Access Gateway 解析指向身份验证服务器的网络路由的路由

• Standard_DS2_v2
• Standard_NV12s_v3（适用于服务的“从应用商店导入虚拟机”自动向导或手动导入方法和 NVIDIA GRID 图形驱动程序）、Standard_NV8as_v4（适用于手动导入方法和 AMD 图形驱动程序）
• Standard_D4s_v3

当使用控制台的“从应用商店导入虚拟机”自动向导来创建基础虚拟机时，默认情况下，系统将自动使用上述某个虚拟机大小。系统的默认选择基于其内部设置和特定操作系统 (OS)。

系统会将如下所示的型号用于单容器映像和多容器映像。

“从应用商店导入虚拟机”向导将创建：

• 非 GPU、非 Windows 11，Standard_DS2_v2 虚拟机
• 非 GPU、使用 Windows 11，Standard_D4s_v3 虚拟机
• 支持 GPU，Standard_NV12s_v3 虚拟机

对于生产环境，VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。

在将运行 Microsoft Windows 10 企业版多会话或 Windows 11 企业版多会话的虚拟机与 Horizon Cloud 结合使用时，该要求也适用于该虚拟机。正如 Microsoft Azure 虚拟桌面文档的 Microsoft Windows 企业版多会话常见问题解答中所述，Microsoft Windows 企业版多会话是一种允许多个并发交互会话的远程桌面会话主机 (RDSH) 类型，以前仅 Microsoft Windows Server 操作系统能够提供该功能。适用于 RDS 服务器的 Horizon Cloud 工作流也适用于 Microsoft Windows 企业版多会话。

对于生产环境，VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。

• 在所有参与容器和订阅中使用相同的服务主体。
• 每个服务主体必须对参与容器使用的每个 Microsoft Azure 订阅具有读取访问权限。

由于容器可能位于不同的订阅中，因此这个读取访问权限要求可使每个参与容器的订阅都能够查看其他参与容器的订阅。该服务需要具有这种查看能力才能使用 Azure 共享映像库功能创建多容器映像。

• Microsoft.Compute/galleries/read
• Microsoft.Compute/galleries/write
• Microsoft.Compute/galleries/delete
• Microsoft.Compute/galleries/images/*
• Microsoft.Compute/galleries/images/versions/*