Checkliste der Anforderungen für die Bereitstellung eines Microsoft Azure Edge

Checklisten-Zielgruppe

Diese Checkliste gilt für Horizon Cloud-Kundenkonten, die noch nie eine Horizon Cloud on Microsoft Azure-Bereitstellung in ihrer Mandantenumgebung hatten. Solche Mandanten werden oft als saubere (clean-slate) Umgebungen oder Umgebungen auf der grünen Wiese (greenfield) bezeichnet.

Sie müssen einige der folgenden Elemente ausführen, bevor Sie Horizon Cloud bereitstellen. Sie können einige Elemente aufschieben, bis die Bereitstellung abgeschlossen ist und ausgeführt wird.

Anforderungen für Microsoft Azure-Abonnements

Informationen zu Grenzwerten für die Konfiguration finden Sie in Dimensionierung Ihrer Horizon Cloud Service - next-gen-Bereitstellung. Dieses Kapitel enthält darüber hinaus Informationen zur Verwendung des Tools für die Maximalwerte für die VMware-Konfiguration. Wählen Sie auf der Seite „Maximalwerte für Konfigurationen“ die Option Grenzwerte anzeigen, VMware Horizon Cloud Service – next-gen, die aktuelle Version und die anzuzeigenden Kategorien aus.


☐	Gültige Microsoft Azure-Abonnements in einer unterstützten Microsoft Azure-Umgebung (Azure Commercial). Wenn Sie Horizon Edge-Appliances, zu denen Horizon Edge Gateway- und Unified Access Gateway-Instanzen gehören, in einem eigenen dedizierten Anbieter (Microsoft Azure-Abonnement) bereitstellen möchten, müssen Sie ein weiteres gültiges Microsoft Azure-Abonnement erwerben, um Pools bereitzustellen. Hinweis: Horizon Cloud unterstützt die meisten Microsoft Azure-Regionen.
☐	Gültige Microsoft Azure-Administrationsrechte in diesem Microsoft Azure-Abonnement, damit Sie das Microsoft Azure-Portal verwenden und die Schritte zur Vorbereitung der Horizon Cloud-Bereitstellung durchführen können.
☐	Erstellen Sie einen oder mehrere Dienstprinzipale in jedem Microsoft Azure-Abonnement, notieren Sie sich die Abonnement-ID, die Verzeichnis-ID und die Anwendungs-ID, und weisen Sie jedem Dienstprinzipal in Ihren Abonnements die entsprechende Rolle zu. Siehe Erstellen eines Dienstprinzipals für das Microsoft Azure-Abonnement. Informationen zum Verwenden einer benutzerdefinierten Rolle für Ihren Dienstprinzipal finden Sie unter Verwenden einer benutzerdefinierten Rolle für die Horizon Cloud App-Registrierung. Hinweis: Wenn Sie mehrere Dienstprinzipale erstellen, teilen sie sich die Abonnement-ID und die Verzeichnis-ID, aber jeder Dienstprinzipal verfügt über eine eigene Anwendungs-ID.
☐	Geben Sie den Typ des Microsoft Azure Edge-Formats an, das Sie bereitstellen möchten. Die folgenden Optionen sind verfügbar. Edge-Gateway (VM) = Virtuelle Maschine des Edge-Gateways Edge-Gateway (VM) ist für kleinere Bereitstellungen ohne Hochverfügbarkeit vorgesehen. Edge-Gateway (AKS) = Azure Kubernetes Service des Edge-Gateways Edge-Gateway (AKS) bietet Hochverfügbarkeit.
☐	Erstellen Sie zur Bereitstellung eines Edge-Gateways (AKS) eine benutzerverwaltete Microsoft Azure-Identität. Ein Horizon Edge, der einen AKS-Cluster verwendet, erfordert eine benutzerverwaltete Identität mit der Rolle „Netzwerkmitwirkender“ im Bereich der Ressourcengruppe des Verwaltungs-VNets und der Rolle „Verwalteter Identitätsoperator“ im Bereich des Microsoft Azure-Abonnements. Weitere Informationen zur Verwaltung von vom Benutzer zugewiesenen verwalteten Identitäten finden Sie in der Microsoft-Dokumentation. Wenn Ihr Management-Subnetz über eine Routentabelle verfügt und die Ressourcengruppe dieser Routentabelle sich von der Ressourcengruppe des VNet unterscheidet, muss die Rolle Netzwerk-Contributor auch der Ressourcengruppe der Routentabelle zugewiesen werden.
☐	Registrieren Sie die erforderlichen Ressourcenanbieter für Ihr Microsoft Azure-Abonnement. Weitere Informationen finden Sie unter Überprüfen, ob die erforderlichen Ressourcenanbieter in Ihrem Microsoft Azure-Abonnement registriert sind.
☐	Erstellen Sie eine benutzerdefinierte Rolle, die Leseberechtigungen für die Azure Compute Galleries in Ihren Abonnements bietet, und weisen Sie diese benutzerdefinierte Rolle allen Dienstprinzipalen zu, die für einen bestimmten Horizon Edge konfiguriert sind.
☐	Das Abonnement muss die Erstellung von Ressourcengruppen zulassen, die nicht mit Tags versehen sind.

Anforderungen an Microsoft Azure-Kapazität

Wenn sich die folgende Tabelle auf die Microsoft Azure-Kapazität bezieht, ist keine manuelle Installation erforderlich. Sofern die angegebenen Kapazitäten im Abonnement verfügbar sind, instanziiert der Bereitsteller automatisch die beschriebenen VMs.


☐	Microsoft Azure-Kapazität für die Kern-Horizon Edge-Ressourcen, die in diesem Abonnement bereitgestellt werden sollen. Beachten Sie, dass die Kapazitätsanforderungen je nach bereitgestelltem Microsoft Azure Edge-Format (Edge-Gateway (AKS) oder Edge-Gateway (VM)) variieren. Edge-Gateway (AKS) – ausreichendes Kontingent für einen AKS-Cluster mit vier Knoten und einen zusätzlichen Knoten während Upgrades. Eine Bereitstellung vom Typ „Edge-Gateway (AKS)“ verwendet einen AKS-Cluster (Azure Kubernetes Service), der vier Knoten einer der unterstützten VM-Größen für die Kapazität benötigt. Im Folgenden finden Sie eine Liste der unterstützten VM-SKU-Größen für eine Bereitstellung vom Typ „Edge-Gateway (AKS)“ in absteigender Reihenfolge nach Priorität. Wenn Ihr Microsoft Azure-Abonnement Kapazität für mindestens eine der folgenden VM-SKU-Größen aufweist, wird die Edge-Bereitstellung akzeptiert. Andernfalls wird die Edge-Bereitstellung abgelehnt. Standard_D2s_v3 – 2 vCPUs, 8 GB Arbeitsspeicher Standard_D2ds_v5 – 2 vCPUs, 8 GB Arbeitsspeicher Standard_D2a_v4 – 2 vCPUs, 8 GB Arbeitsspeicher Während des normalen Betriebs des AKS-Clusters werden vier VM-Knoten benötigt. Ein zusätzlicher Knoten ist erforderlich und wird während des Upgrade-Vorgangs verwendet. Edge-Gateway (VM) – ausreichendes Kontingent für eine einzelne virtuelle Maschine. Im Folgenden finden Sie eine Liste der unterstützten VM-SKU-Größen für eine Bereitstellung vom Typ „Edge-Gateway (VM)“ in absteigender Reihenfolge nach Priorität. Wenn Ihr Microsoft Azure-Abonnement Kapazität für mindestens eine der folgenden VM-SKU-Größen aufweist, wird die Edge-Bereitstellung akzeptiert. Andernfalls wird die Edge-Bereitstellung abgelehnt. Standard_D4s_v3 – 4 vCPUs, 16 GB Arbeitsspeicher Standard_D4s_v4 – 4 vCPUs, 16 GB Arbeitsspeicher Standard_D4s_v5 – 4 vCPUs, 16 GB Arbeitsspeicher Führen Sie Befehle aus, um die Verfügbarkeit des Microsoft Azure-VM-Modells und die regionale CPU-Ausgabe zu überprüfen. Siehe Überprüfen der Verfügbarkeit des Microsoft Azure-VM-Modells. Unified Access Gateway-Instanzen – Mindestens 2 x der folgenden unterstützten Größen. Die Standardgröße und empfohlene Größe ist Standard_F8s_v2. Standard_A4_v2 Standard_D8s_v4 Standard_D16s_v4 Standard_D8s_v5 Standard_D16s_v5 Standard_F8s_v2 Standard_F16s_v2 Hinweis: Das `A4_v2`-VM-Modell reicht nur für Proof-of-Concept (PoCs), Pilotversuche oder kleinere Umgebungen aus, in denen 1.000 aktive Sitzungen auf dem Horizon Edge nicht überschritten werden. Wenn Ihre Horizon Edge-Instanz einsatzbereit ist, muss Ihre Kapazität in der Microsoft Azure-Cloud auch die importierten VMs, Images, Pool-VMs und App Volumes-VMs mit App-Erfassung aufnehmen können, die Sie in dieser Horizon Edge-Instanz erstellen. Siehe Abschnitt Image Management System Requirements.

Netzwerkanforderungen

Die folgenden Netzwerkanforderungen enthalten die Details, die für die erfolgreiche Bereitstellung und den Betrieb eines Horizon Edge erforderlich sind. Die beiden folgenden Tabellen sind ähnlich, weisen aber Unterschiede auf. Verwenden Sie die Tabelle, die auf den bereitzustellenden Microsoft Azure Edge-Formattyp (Edge-Gateway (VM) oder Edge-Gateway (AKS)) zutrifft.

Edge-Gateway (VM): Verwenden Sie die folgende Tabelle für eine Edge-Gateway(VM)-Bereitstellung.

Tabelle 1. Netzwerkanforderungen für ein Edge-Gateway (VM)
☐	Virtuelles Microsoft Azure-Netzwerk (VNet), das in der gewünschten Microsoft Azure-Region mit dem anwendbaren Adressbereich zur Abdeckung der erforderlichen Subnetze erstellt wurde. Siehe Konfigurieren von Netzwerkeinstellungen für Microsoft Azure-Regionen.
☐	Die folgenden Subnetzanforderungen sind Mindestanforderungen. Für größere Umgebungen sind möglicherweise größere Subnetze erforderlich. Verwaltungs-Subnetz – mindestens /26 Desktop-Subnetz (Mandant) – Primär — mindestens /27, jedoch in Abhängigkeit von der Anzahl der Desktops und RDS-Server entsprechend dimensioniert. Sie können nach Bedarf weitere Subnetze hinzufügen. DMZ-Subnetz – mindestens /27 für den Cluster von Unified Access Gateway-Instanzen (nicht erforderlich für den internen Unified Access Gateway-Zugriffstyp). Als Voraussetzung müssen Sie Subnetze manuell im VNet erstellen. Weitere Informationen finden Sie unter Konfigurieren von Netzwerkeinstellungen für Microsoft Azure-RegionenEs wird empfohlen, keine anderen Ressourcen an die Subnetze anzuhängen. Wenn Sie einen dedizierten Anbieter für die Bereitstellung von Horizon Gateway-Appliances (Horizon Edge Gateway und Unified Access Gateway) verwenden möchten, müssen Sie Backend-Subnetze in dem Anbieter erstellen, über den Desktops bereitgestellt werden.
☐	Konfigurieren Sie den DNS-Server des VNet (virtuellen Netzwerks), der auf einen gültigen DNS-Server verweist, der sowohl interne Computernamen als auch externe Namen auflösen kann. Siehe Konfigurieren der erforderlichen DNS-Datensätze nach der Bereitstellung von Horizon Edge Gateway und Unified Access Gateway. Für interne Endpoints ist der AD-Server ein Beispiel. Für externe Endpoints muss der ausgehende Internetzugriff auf den VNets, die Sie für die Bereitstellung des Gateways verwenden, bestimmte DNS-Namen auflösen und über bestimmte Ports und Protokolle erreichen können. Dies ist für die Bereitstellung und den laufenden Betrieb erforderlich.
☐	Ausgehender Internetzugriff auf den VNets, die Sie für die Horizon Edge-Bereitstellung verwenden, muss bestimmte DNS-Namen auflösen und über bestimmte Ports und Protokolle erreichen können. Dies ist für die Bereitstellung und den laufenden Betrieb erforderlich. Eine Liste der DNS-Namen und Ports finden Sie unter Erreichbarkeit geeigneter Ziel-URLs für die Bereitstellung von Horizon Edge Gateway in einer Microsoft Azure-Umgebung.
☐	Optional. Proxy-Serverinformationen bei Bedarf für ausgehenden Internetzugriff auf dem VNet, das während der Bereitstellung und des laufenden Betriebs der Horizon Cloud-Umgebung verwendet wird.
☐	Optional. Microsoft Azure VPN/Express Route konfiguriert, wenn Sie ein Netzwerk zwischen dem VNet und Ihrem lokalen Unternehmensnetzwerk herstellen möchten.

Edge-Gateway (AKS): Verwenden Sie die folgende Tabelle für eine Bereitstellung vom Typ „Edge-Gateway (AKS)“. Diese Anforderungen umfassen Unterstützung für die Konfiguration von Horizon Edge Gateway unter Verwendung eines AKS-Clusters. Wenn Sie Horizon Edge Gateway mithilfe eines AKS-Clusters konfigurieren, erhalten Sie eine leichter skalierbare Lösung.

Tabelle 2. Netzwerkanforderungen für ein Edge-Gateway (AKS)
☐	Virtuelles Microsoft Azure-Netzwerk (VNet), das in der gewünschten Microsoft Azure-Region mit dem anwendbaren Adressbereich zur Abdeckung der erforderlichen Subnetze erstellt wurde. Siehe Konfigurieren von Netzwerkeinstellungen für Microsoft Azure-Regionen.
☐	Die folgenden Subnetzanforderungen sind Mindestanforderungen. Für größere Umgebungen sind möglicherweise größere Subnetze erforderlich. Verwaltungs-Subnetz – mindestens /26 Konfigurieren Sie bei der Bereitstellung eines Edge-Gateways (AKS) ein NAT-Gateway für das Verwaltungssubnetz, da ein Horizon Edge, der ein AKS-Cluster verwendet, ein NAT-Gateway für ausgehende Konnektivität benötigt. Desktop-Subnetz (Mandant) – Primär — mindestens /27, jedoch in Abhängigkeit von der Anzahl der Desktops und RDS-Server entsprechend dimensioniert. Sie können nach Bedarf weitere Subnetze hinzufügen. DMZ-Subnetz – mindestens /27 für den Cluster von Unified Access Gateway-Instanzen (nicht erforderlich für den internen Unified Access Gateway-Zugriffstyp). Als Voraussetzung müssen Sie Subnetze manuell im VNet erstellen. Siehe Konfigurieren von Netzwerkeinstellungen für Microsoft Azure-Regionen. Es wird empfohlen, keine anderen Ressourcen an die Subnetze anzuhängen. Wenn Sie einen dedizierten Anbieter für die Bereitstellung von Horizon Gateway-Appliances (Horizon Edge Gateway und Unified Access Gateway) verwenden möchten, müssen Sie Backend-Subnetze in dem Anbieter erstellen, über den Desktops bereitgestellt werden.
☐	Wenn Sie ein Edge-Gateway (AKS) bereitstellen und bei der Edge-Erstellung den Wert „NAT-Gateway“ als Typ des ausgehenden Clusters auswählen, konfigurieren Sie ein NAT-Gateway im Verwaltungssubnetz, um ausgehende Konnektivität für das Horizon Edge Gateway zu ermöglichen. Wenn Sie den Wert für ausgehenden Cluster zum Zeitpunkt der Edge-Erstellung als Wert für ausgehenden Cluster als Benutzerdefinierte Routen auswählen, konfigurieren Sie eine Routentabelle im Verwaltungs-Subnetz mit der Standardroute 0.0.0.0/0, die auf einen nächsten Hop vom Typ VirtualAppliance oder VirtualNetworkGateway verweist.
☐	Sammeln Sie die folgenden CIDR-IP-Adressbereiche, die Sie zum Konfigurieren des Horizon Edge Gateway während der Bereitstellung benötigen. Hinweis: Stellen Sie sicher, dass diese Bereiche nicht mit anderen in Ihrer Umgebung verwendeten Bereichen in Konflikt stehen. Dienst-CIDR – mindestens /27 Pod-CIDR – mindestens /21 Wenn Sie ein Edge-Gateway (AKS) zur erfolgreichen Bereitstellung des AKS-Clusters bereitstellen, müssen Sie die folgenden Microsoft Azure-Anforderungen erfüllen. Stellen Sie bei der Bereitstellung von Horizon Edge mit der Horizon Universal Console sicher, dass der Dienst-CIDR, der Pod-CIDR und der Adressbereich des VNet des Verwaltungs-Subnetzes nicht mit den folgenden IP-Bereichen in Konflikt stehen: 169.254.0.0/16 172.30.0.0/16 172.31.0.0/16 192.0.2.0/24
☐	Konfigurieren Sie den DNS-Server des VNet (virtuellen Netzwerks), der auf einen gültigen DNS-Server verweist, der sowohl interne Computernamen als auch externe Namen auflösen kann. Siehe Konfigurieren der erforderlichen DNS-Datensätze nach der Bereitstellung von Horizon Edge Gateway und Unified Access Gateway. Für interne Endpoints ist der AD-Server ein Beispiel. Für externe Endpoints muss der ausgehende Internetzugriff auf den VNets, die Sie für die Bereitstellung des Gateways verwenden, bestimmte DNS-Namen auflösen und über bestimmte Ports und Protokolle erreichen können. Dies ist für die Bereitstellung und den laufenden Betrieb erforderlich.
☐	Ausgehender Internetzugriff auf den VNets, die Sie für die Horizon Edge-Bereitstellung verwenden, muss bestimmte DNS-Namen auflösen und über bestimmte Ports und Protokolle erreichen können. Dies ist für die Bereitstellung und den laufenden Betrieb erforderlich. Eine Liste der DNS-Namen und Ports finden Sie unter Erreichbarkeit geeigneter Ziel-URLs für die Bereitstellung von Horizon Edge Gateway in einer Microsoft Azure-Umgebung.
☐	Optional. Proxy-Serverinformationen bei Bedarf für ausgehenden Internetzugriff auf dem VNet, das während der Bereitstellung und des laufenden Betriebs der Horizon Cloud-Umgebung verwendet wird.
☐	Optional. Microsoft Azure VPN/Express Route konfiguriert, wenn Sie ein Netzwerk zwischen dem VNet und Ihrem lokalen Unternehmensnetzwerk herstellen möchten.
☐	Wenn Sie ein Edge-Gateway (AKS) bezüglich eines Horizon Edge mit einem AKS-Cluster bereitstellen und das VNet, das Sie für die Horizon Edge-Bereitstellung verwenden, über einen benutzerdefinierten DNS-Server verfügt, können Sie die Microsoft Azure DNS-IP-Adresse 168.63.129.16 als DNS-Weiterleitung für die Auflösung externer Namen hinzufügen.

Port- und Protokollanforderungen


☐	Bestimmte Ports und Protokolle sind für die Bereitstellung und den laufenden Betrieb Ihrer Horizon Cloud-Umgebung erforderlich. Siehe Port- und -Protokollanforderungen für Ihre Horizon Cloud-Bereitstellung in Microsoft Azure.

Unified Access Gateway-Anforderungen

Ein Cluster aus Unified Access Gateway-VMs ist einem Pool zugeordnet, mit der Clients vertrauenswürdige HTML Access-Verbindungen zu den VMs in diesem Pool herstellen können.

Sie verwenden die Horizon Universal Console, um Horizon Cloud mit dem Unified Access Gateway zu konfigurieren. Die folgenden Elemente sind für diese Art der Konfiguration erforderlich.


☐	Der ausgehende Internetzugriff auf .horizon.vmware.com ist für alle Konfigurationstypen erforderlich. Wenn Internen Zugriff über ein Unternehmensnetzwerk zulassen der Unified Access Gateway-Zugriffstyp ist, kann entweder benutzerdefiniertes Routing oder NAT Gateway auf das Management-Subnetz angewendet werden, um ausgehenden Datenverkehr zuzulassen. Wenn der Unified Access Gateway-Zugriffstyp extern mit einem DMZ-Netzwerk konfiguriert ist, muss der externe Zugriff auf .horizon.vmware.com im DMZ-Netzwerk konfiguriert werden.
☐	FQDN ist für die Unified Access Gateway-Konfiguration erforderlich.
☐	Zertifikat oder Zertifikate für das Unified Access Gateway im PEM-Format, das dem FQDN entspricht. Hinweis: Wenn das Zertifikat oder die Zertifikate, die Sie für diesen Zweck bereitstellen, CRLs (Zertifikatsperrlisten) oder OCSP (Online Certificate Status Protocol)-Einstellungen verwenden, die sich auf bestimmte DNS-Namen beziehen, müssen Sie sicherstellen, dass der ausgehende Internetzugriff aus dem VNet diese DNS-Server auflösen und erreichen kann. Während der Konfiguration Ihres bereitgestellten Zertifikats in der Unified Access Gateway-Konfiguration greift die Unified Access Gateway-Software auf diese DNS-Namen zu, um den Sperrstatus des Zertifikats zu überprüfen. Wenn diese DNS-Namen nicht erreichbar sind, schlägt die Bereitstellung fehl. Diese Namen hängen in hohem Maße von der Zertifizierungsstelle ab, die Sie für den Erhalt der Zertifikate verwendet haben. Dies liegt außerhalb der Kontrolle von VMware.

Grundlegendes zur Benutzer- und Maschinenidentität

Horizon Cloud Service - next-gen unterscheidet sich von anderen Umgebungen in der Identitätsverarbeitung. In Horizon Cloud Service - next-gen unterscheidet der Dienst zwischen Benutzer- und Maschinenidentität und stützt sich beim Aufbau einer sicheren Verbindung zwischen einem Client und einem Remote-Desktop oder einer Anwendung auf beide Identitätstypen.

Hinweis: Diese Unterscheidung zwischen Benutzer- und Maschinenidentität ist für Sie möglicherweise neu, wenn Sie eher mit Umgebungen vertraut sind, in denen ein einziger Identitätsanbieter zur Authentifizierung der Benutzer- und Maschinenidentität verwendet wird, wie z. B. der First-Gen- Horizon Cloud-Umgebung oder einer lokalen Horizon 8-Umgebung.

In Horizon Cloud Service - next-gen müssen Sie eine Identitätskonfiguration einrichten, die aus einem Identitätsanbieter zur Authentifizierung der Benutzeridentität und einem Identitätsanbieter zur Authentifizieren der Maschinenidentität besteht.

Benutzeridentität: Für Horizon Cloud Service - next-gen müssen Sie einen Benutzeridentitätsanbieter registrieren. Der Dienst verwendet diesen Identitätsanbieter zur Authentifizierung von Clientbenutzern, die auf Remote-Desktops und -anwendungen zuzugreifen möchten.
Maschinenidentität: Für Horizon Cloud Service - next-gen ist auch die Registrierung eines Maschinenidentitätsanbieters erforderlich. Der Dienst verwendet diesen Identitätsanbieter, um die Maschinenidentität von virtuellen Maschinen festzulegen, die Remote-Desktops und -anwendungen bereitstellen.
Der Dienst verbindet über den Maschinenidentitätsanbieter Remote-Desktops und die VM-Quellen für Remoteanwendungen mit der Domäne des vertrauenswürdigen Netzwerks, auf die Clientbenutzer zugreifen können.

Unterstützte Identitätskonfigurationen

Horizon Cloud Service - next-gen erfordert, dass Sie eine Identitätskonfiguration registrieren, die aus einem Benutzeridentitätsanbieter und einem Maschinenidentitätsanbieter besteht. Die Funktionen können je nach den in der Konfiguration enthaltenen Identitätsanbietern variieren.

Horizon Cloud Service - next-gen unterstützt die folgenden Identitätskonfigurationen.

Tabelle 3. Unterstützte Identitätskonfigurationen für Horizon Cloud Service - next-gen
Identitätskonfiguration	Benutzeridentitätsanbieter	Maschinenidentitätsanbieter	Überlegungen zu Funktionen
A	Microsoft Entra ID	Active Directory	Unterstützt SSO für Remote-Desktops und -anwendungen
B	Microsoft Entra ID	Microsoft Entra ID	Bietet keine Unterstützung für Single Sign-On (SSO) für Remote-Desktops und -anwendungen
C	Workspace ONE Access	Active Directory	Unterstützt SSO für Remote-Desktops und -anwendungen Unterstützt die Integration mit Workspace ONE

In den nächsten Abschnitten auf dieser Seite werden die detaillierten Anforderungen für jeden unterstützten Benutzeridentitätsanbieter und Maschinenidentitätsanbieter beschrieben.

Anforderungen an die Benutzeridentität

In diesem Abschnitt werden die Anforderungen für den Benutzeridentitätsanbieter beschrieben, den Sie in Ihrer Identitätskonfiguration verwenden möchten. Horizon Cloud Service - next-gen unterstützt Microsoft Entra ID und Workspace ONE Access als Anbieter von Benutzeridentitäten.

Zusätzlich zu den in diesem Abschnitt beschriebenen Anforderungen finden Sie unter Unterstützte Identitätskonfigurationen Informationen zu den Überlegungen für Funktionen und den Maschinenidentitätsanbietern, die Sie mit jedem Benutzeridentitätsanbieter verwenden können. Eine Übersicht über die Verwaltung von Identitäten mithilfe von Horizon Cloud Service - next-gen finden Sie unter Grundlegendes zur Benutzer- und Maschinenidentität.

Microsoft Entra ID


☐	Wenn Microsoft Entra ID als Benutzeridentitätsanbieter fungiert, muss ein Benutzer mit den Rechten eines globalen Administrators die folgenden Schritte ausführen. Die angeforderten Berechtigungen genehmigen. Die Zustimmung für die gesamte Organisation erteilen.

Workspace ONE Access


☐	Wenn Workspace ONE Access Workspace ONE Access als Benutzeridentitätsanbieter fungiert, muss ein Benutzer mit Administratorrechten die folgenden Schritte ausführen. Die angeforderten Berechtigungen genehmigen. Die Zustimmung für die gesamte Organisation erteilen.

Anforderungen an die Maschinenidentität

In diesem Abschnitt werden die Anforderungen für den Maschinenidentitätsanbieter beschrieben, den Sie in Ihrer Identitätskonfiguration verwenden möchten. Horizon Cloud Service - next-gen unterstützt Microsoft Entra ID und Active Directory als Anbieter von Maschinenidentitäten.

Zusätzlich zu den in diesem Abschnitt beschriebenen Anforderungen finden Sie unter Unterstützte Identitätskonfigurationen Informationen zu den Überlegungen für Funktionen und den Benutzeridentitätsanbietern, die Sie mit jedem Maschinenidentitätsanbieter verwenden können. Eine Übersicht über die Verwaltung von Identitäten mithilfe von Horizon Cloud Service - next-gen finden Sie unter Grundlegendes zur Benutzer- und Maschinenidentität.

Microsoft Entra ID


☐	Um das Löschen eines Pools oder einer VM zu aktivieren, sollte der Dienstprinzipal über die Berechtigung zum Löschen des Geräteeintrags aus der Microsoft Entra-ID verfügen. Die Berechtigungen lauten wie folgt: `Scope: https://graph.microsoft.com/` `Permission : Device.ReadWrite.All` `Read and write devices` `Admin Consent : Yes` Die Berechtigung kann erteilt werden, indem Sie zum folgenden Speicherort navigieren: Abonnement -> Azure Active Directory -> App-Registrierungen -> App auswählen, für die eine Berechtigung erteilt werden soll -> API-Berechtigung -> Microsoft GRAPH auswählen -> Device.ReadWriteAll auswählen
☐	Konfigurieren Sie RBAC in Microsoft Entra ID. Mit dieser Konfiguration wird sichergestellt, dass sich nur die Benutzer oder Benutzergruppen mit der Rolle VM-Administratoranmeldung oder VM-Benutzeranmeldung bei Ihren Berechtigungen anmelden können.

Active Directory


☐	Active Directory Server mit Sichtverbindung zu den Horizon Edge Gateway-Instanzen und Desktop-Subnetzen. Beispiel: Ein lokaler Active Directory-Server, der über VPN/Express-Route verbunden ist Ein Active Directory-Server in Microsoft Azure
☐	Wenn Sie planen, Ihr Active Directory über LDAPS zu verbinden, sammeln Sie PEM-codierte Root- und Zwischen-CA-Zertifikate für Ihre Active Directory-Domäne. Wenn Sie Ihre Active Directory-Domäne über die Horizon Universal Console einrichten, werden Sie zu diesem Zeitpunkt aufgefordert, die PEM-codierten Root- und Zwischen-CA-Zertifikate hochzuladen.
☐	Unterstützte Domänenfunktionsebenen von Microsoft Windows Active Directory Domain Services (AD DS). Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Unterstützte Betriebssystemversionen von Microsoft Windows Active Directory Domain Services (AD DS). Windows Server 2019 Windows Server 2016 Windows Server 2012 R
☐	Domänendienstkonto Active Directory-Domänendienstkonto (ein Standardbenutzer mit Lesezugriff), das das Attribut sAMAccountName hat. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: `"/ \ [ ] : ; \| = , + * ? < >` Das Konto muss über die folgenden Berechtigungen verfügen: Inhalt auflisten Alle Eigenschaften lesen Berechtigungen lesen Read tokenGroupsGlobalAndUniversal (implizit enthalten in Alle Eigenschaften lesen) Legen Sie das Kennwort für das Konto auf Läuft nie ab fest, um den Dauerzugriff auf die Anmeldung bei Ihrer Horizon Cloud-Umgebung zu gewährleisten. Wenn Sie mit dem lokalen Horizon-Angebot vertraut sind, sind die oben genannten Berechtigungen derselbe Satz, der für die sekundären Anmeldekonten des lokalen Horizon-Angebots erforderlich sind. Domänendienstkonten erhalten standardmäßig die Standardberechtigungen für den Lesezugriff, die üblicherweise Authentifizierte Benutzer in einer Microsoft Active Directory-Bereitstellung erhalten. Wenn sich die AD-Administratoren Ihrer Organisation jedoch dafür entschieden haben, schreibgeschützte Berechtigungen für reguläre Benutzer zu sperren, müssen Sie diese AD-Administrator bitten, die Standardeinstellungen für Authentifizierte Benutzer für die Domänendienstkonten beizubehalten, die Sie für Horizon Cloud verwenden. Referenz: Erstellen von Active Directory-Domänendienst- und -Domänenbeitrittskonten
☐	Zusätzliches Domänendienstkonto Muss vom Hauptdomänendienstkonto getrennt sein. Die Benutzeroberfläche verhindert die erneute Verwendung desselben Kontos in beiden Feldern. Active Directory-Domänendienstkonto (ein Standardbenutzer mit Lesezugriff), das das Attribut sAMAccountName hat. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: `"/ \ [ ] : ; \| = , + * ? < >` Das Konto muss über die folgenden Berechtigungen verfügen: Inhalt auflisten Alle Eigenschaften lesen Berechtigungen lesen Read tokenGroupsGlobalAndUniversal (implizit enthalten in Alle Eigenschaften lesen) Legen Sie das Kennwort für das Konto auf Läuft nie ab fest, um den Dauerzugriff auf die Anmeldung bei Ihrer Horizon Cloud-Umgebung zu gewährleisten. Wenn Sie mit dem lokalen Horizon-Angebot vertraut sind, sind die oben genannten Berechtigungen derselbe Satz, der für die sekundären Anmeldekonten des lokalen Horizon-Angebots erforderlich sind. Domänendienstkonten erhalten standardmäßig die Standardberechtigungen für den Lesezugriff, die üblicherweise Authentifizierte Benutzer in einer Microsoft Active Directory-Bereitstellung erhalten. Wenn sich die AD-Administratoren Ihrer Organisation jedoch dafür entschieden haben, schreibgeschützte Berechtigungen für reguläre Benutzer zu sperren, müssen Sie diese AD-Administrator bitten, die Standardeinstellungen für Authentifizierte Benutzer für die Domänendienstkonten beizubehalten, die Sie für Horizon Cloud verwenden.
☐	Domänenbeitrittskonto Active Directory-Domänenbeitrittskonto, das vom System zum Durchführen von Sysprep-Vorgängen und zum Hinzufügen der virtuellen Computer zur Domäne verwendet werden kann. In der Regel ein neues Konto, das Sie für diesen ausdrücklichen Zweck erstellen. (Ein Benutzerkonto für den Domänenbeitritt) Das Konto muss das Attribut sAMAccountName haben. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: `"/ \ [ ] : ; \| = , + * ? < >` Die Verwendung von Leerzeichen im Benutzernamen des Kontos wird derzeit nicht unterstützt. Legen Sie das Kontokennwort auch auf Läuft nie ab fest, um sicherzustellen, dass Horizon Cloud die Sysprep-Vorgänge weiterhin ausführen und die virtuellen Computer zur Domäne hinzufügen kann. Für dieses Konto sind die folgenden Active Directory-Berechtigungen erforderlich, die auf die Computer-OE oder auf die OE angewendet werden, die Sie in die Benutzeroberfläche für den Domänenbeitritt der Konsole eingeben. Alle Eigenschaften lesen – nur dieses Objekt Computerobjekte erstellen – dieses Objekt und alle abgeleiteten Objekte Computerobjekte löschen – dieses Objekt und alle abgeleiteten Objekte Alle Eigenschaften schreiben – Abgeleitete Computerobjekte Kennwort zurücksetzen – abgeleitete Computerobjekte In Bezug auf die Ziel-Organisationseinheit (OE), die Sie für Pools verwenden möchten, benötigt dieses Konto auch die Active Directory-Berechtigung „Alle Eigenschaften schreiben“ für alle abhängigen Objekte dieser Ziel-Organisationseinheit (OE). Weitere Informationen zum Erstellen und Wiederverwenden von Domänenbeitrittskonten finden Sie unter Erstellen von Active Directory-Domänendienst- und -Domänenbeitrittskonten. Wenn Sie in Microsoft Active Directory eine neue OE erstellen, legt das System möglicherweise automatisch das Attribut `Prevent Accidental Deletion` fest, das für die neu erstellte OE und alle abgeleiteten Objekte für die Berechtigung „Alle untergeordneten Objekte löschen“ `Deny` anwendet. Wenn Sie daher dem Domänenbeitrittskonto explizit die Berechtigung „Computerobjekte löschen“ zugewiesen haben, hat Active Directory im Fall einer neu erstellten OE möglicherweise eine Außerkraftsetzung auf die explizit zugewiesene Berechtigung „Computerobjekte löschen“ angewendet. Da durch das Löschen des Flags Versehentliches Löschen verhindern das von Active Directory auf die Berechtigung „Alle untergeordneten Objekte löschen“ angewendete `Deny` möglicherweise nicht automatisch gelöscht wird, müssen Sie im Fall einer neu hinzugefügten OE das für die Berechtigung zum Löschen aller untergeordneten Objekte in der OE und allen untergeordneten OEs festgelegte `Deny` möglicherweise prüfen und manuell löschen, bevor Sie das Domänenbeitrittskonto in der Horizon Cloud-Konsole verwenden.
☐	Optionales Hilfsdomänenbeitrittskonto Active Directory-Domänenbeitrittskonto, das vom System zum Durchführen von Sysprep-Vorgängen und zum Hinzufügen der virtuellen Computer zur Domäne verwendet werden kann. In der Regel ein neues Konto, das Sie für diesen ausdrücklichen Zweck erstellen. (Ein Benutzerkonto für den Domänenbeitritt) Das Konto muss das Attribut sAMAccountName haben. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: `"/ \ [ ] : ; \| = , + * ? < >` Die Verwendung von Leerzeichen im Benutzernamen des Kontos wird derzeit nicht unterstützt. Legen Sie das Kontokennwort auch auf Läuft nie ab fest, um sicherzustellen, dass Horizon Cloud die Sysprep-Vorgänge weiterhin ausführen und die virtuellen Computer zur Domäne hinzufügen kann. Für dieses Konto sind die folgenden Active Directory-Berechtigungen erforderlich, die auf die Computer-OE oder auf die OE angewendet werden, die Sie in die Benutzeroberfläche für den Domänenbeitritt der Konsole eingeben. Alle Eigenschaften lesen – nur dieses Objekt Computerobjekte erstellen – dieses Objekt und alle abgeleiteten Objekte Computerobjekte löschen – dieses Objekt und alle abgeleiteten Objekte Alle Eigenschaften schreiben – Abgeleitete Computerobjekte Kennwort zurücksetzen – abgeleitete Computerobjekte In Bezug auf die Ziel-Organisationseinheit (OE), die Sie für Pools verwenden möchten, benötigt dieses Konto auch die Active Directory-Berechtigung „Alle Eigenschaften schreiben“ für alle abhängigen Objekte dieser Ziel-Organisationseinheit (OE). Wenn Sie in Microsoft Active Directory eine neue OE erstellen, legt das System möglicherweise automatisch das Attribut `Prevent Accidental Deletion` fest, das für die neu erstellte OE und alle abgeleiteten Objekte für die Berechtigung „Alle untergeordneten Objekte löschen“ `Deny` anwendet. Wenn Sie daher dem Domänenbeitrittskonto explizit die Berechtigung „Computerobjekte löschen“ zugewiesen haben, hat Active Directory im Fall einer neu erstellten OE möglicherweise eine Außerkraftsetzung auf die explizit zugewiesene Berechtigung „Computerobjekte löschen“ angewendet. Da durch das Löschen des Flags Versehentliches Löschen verhindern das von Active Directory auf die Berechtigung „Alle untergeordneten Objekte löschen“ angewendete `Deny` möglicherweise nicht automatisch gelöscht wird, müssen Sie im Fall einer neu hinzugefügten OE das für die Berechtigung zum Löschen aller untergeordneten Objekte in der OE und allen untergeordneten OEs festgelegte `Deny` möglicherweise prüfen und manuell löschen, bevor Sie das Domänenbeitrittskonto in der Horizon Cloud-Konsole verwenden.
☐	Active Directory-Organisationseinheit (OU) bzw. -einheiten (OUs) für virtuelle Desktops und RDS-sitzungsbasierte Desktops oder veröffentlichte Anwendungen oder beides. Wenn Sie in Microsoft Active Directory eine neue OE erstellen, legt das System möglicherweise automatisch das Attribut `Prevent Accidental Deletion` fest, das für die neu erstellte OE und alle abgeleiteten Objekte für die Berechtigung „Alle untergeordneten Objekte löschen“ `Deny` anwendet. Wenn Sie daher dem Domänenbeitrittskonto explizit die Berechtigung „Computerobjekte löschen“ zugewiesen haben, hat Active Directory im Fall einer neu erstellten OE möglicherweise eine Außerkraftsetzung auf die explizit zugewiesene Berechtigung „Computerobjekte löschen“ angewendet. Da durch das Löschen des Flags Versehentliches Löschen verhindern das von Active Directory auf die Berechtigung „Alle untergeordneten Objekte löschen“ angewendete `Deny` möglicherweise nicht automatisch gelöscht wird, müssen Sie im Fall einer neu hinzugefügten OE das für die Berechtigung zum Löschen aller untergeordneten Objekte in der OE und allen untergeordneten OEs festgelegte `Deny` möglicherweise prüfen und manuell löschen, bevor Sie das Domänenbeitrittskonto in der Horizon Cloud-Konsole verwenden.

Image Management System Requirements

Ihr Microsoft Azure-Abonnement muss die folgenden Anforderungen erfüllen, je nachdem, welche Arten von Images Sie über den bereitgestellten Horizon Edge zur Verfügung stellen möchten.


☐	Basis für das Image. Mindestens eine der unterstützten Microsoft Azure-VM-Konfigurationen. Microsoft Azure-VMs der Generationen 1 und 2 werden unterstützt. Stellen Sie sicher, dass Sie über ein ausreichendes Kontingent für das Modell verfügen, das Sie für die Basis-VM verwenden möchten. Die folgenden Modelltypen sind Standard und werden empfohlen. Nicht-GPU: Standard_DS2_v2 GPU-fähig: Standard_NV12s_v3 Andere Modelltypen wie die aufgelisteten Typen Nicht-GPU und GPU-fähig werden unterstützt, aber nicht notwendigerweise verifiziert. Stellen Sie sicher, dass Ihr Abonnement über ein ausreichendes Kontingent verfügt, wenn Sie eines dieser Modelle auswählen.

Anforderungen für Pool-VMs

Ihr Microsoft Azure-Abonnement muss die folgenden Anforderungen erfüllen, je nachdem, welche Arten von Pool-VMs Sie über den bereitgestellten Horizon Edge zur Verfügung stellen möchten.


☐	Modellauswahl für die VMs in Pools – eine beliebige der in der Microsoft Azure-Region verfügbaren VM-Konfigurationen von Microsoft Azure, mit Ausnahme derjenigen, die nicht mit Horizon Cloud-Desktopvorgängen kompatibel sind. Beachten Sie bei der Auswahl eines VM-Modells die folgenden Details. Die Verwendung des Modelltyps „GPU-fähig“ oder „Nicht-GPU“ richtet sich nach der während der Image-Erstellung ausgewählten VM. Zum Erstellen eines Mehrfachsitzungspools wählen Sie ein Image aus, das mit einem Mehrfachsitzungs-Betriebssystem erstellt wurde. Für Produktionsumgebungen empfehlen Skalierungstests die Verwendung von Modellen mit mindestens 2 CPUs. Weitere Informationen zur Kompatibilität verschiedener Microsoft Azure-VM-Typen und -Größen mit VMware Horizon Cloud Service - next-gen finden Sie unter Microsoft Azure-VM-Typen und -Größen für Horizon Cloud Service - next-gen (89090). Microsoft Azure VMs der Generation 1 und 2 werden in Pools unterstützt.

Anforderungen für Horizon Client und Horizon HTML Access (der Web-Client)


☐	Um Endbenutzern den Zugriff auf berechtigte Ressourcen in Ihrer Horizon Cloud-Umgebung zu ermöglichen, stellen Sie sicher, dass sie einen der folgenden unterstützten Clients verwenden. Horizon Client Endbenutzer können die folgenden Horizon Client-Versionen verwenden: Horizon Client für Windows 2111 oder höher Horizon Client für Mac 2111 oder höher Horizon Client für Linux 2206 oder höher Horizon Client für Android 2303 oder höher Horizon Client für iOS 2303 oder höher Horizon Client für Chrome 2306 oder höher Horizon HTML Access Endbenutzer können sich mit der Version von HTML Access verbinden, die in die Horizon Cloud-Umgebung integriert ist.