Para las implementaciones de Horizon Cloud Service on Microsoft Azure, el servicio utiliza llamadas API para implementar recursos en una suscripción de Microsoft Azure y administrar esos recursos. Para proporcionar la capacidad de que Horizon Cloud utilice sus llamadas de API en la suscripción de Microsoft Azure, cree una entidad de servicio, que se denomina registro de aplicaciones en Microsoft Entra ID.

Cree un máximo de cuatro entidades de servicio únicas para un proveedor. Para admitir un total de 5000 máquinas virtuales, agregue cuatro entidades de servicio. Cuando se dispone de varias entidades de servicio, estas comparten el identificador de suscripción y el identificador de directorio, pero cada entidad de servicio tiene su propio identificador de aplicación.
Importante: Utilice la misma función para cada entidad de servicio.

Debe crear una entidad de servicio para acceder a la capacidad de su suscripción a Microsoft Azure y utilizarla para Horizon Cloud. El identificador de suscripción de Microsoft Azure, el identificador de directorio, el identificador de aplicación y la clave se utilizan en Horizon Cloud.

Nota: Realice las tareas de esta sección en el portal de Microsoft Azure. Puede encontrar los detalles de configuración en la documentación de Microsoft, Uso del portal para crear una aplicación de Azure AD y una entidad de servicio con acceso a los recursos. Mientras que Microsoft solicita el uso de una autenticación basada en certificados para la entidad de servicio, VMware requiere una autenticación basada en clave/secreto para la entidad de servicio.

La entidad de servicio de Horizon Cloud debe tener una función asignada en la suscripción. Por lo general, Horizon Cloud utiliza la función de Contributor integrada con la suscripción.

La función de Contributor se utiliza porque esta función abarca todas las llamadas de API que Horizon Cloud debe realizar dentro de la suscripción. La asignación de la función debe ser una asignación directa. El uso de una asignación de una función basada en grupos de una función, en la que la función está asignada a un grupo y la entidad de servicio es miembro de ese grupo, no se admite.

Si su organización prefiere evitar el uso de la función Contributor en la suscripción Horizon Cloud admite el uso de una función personalizada, alternativamente. Si se recurre a esta opción, la función personalizada debe hacer posibles las llamadas de API específicas que Horizon Cloud necesita realizar. Para obtener más información, consulte Utilizar una función personalizada para el registro de aplicaciones de Horizon Cloud.
Nota: Al eliminar un grupo unido a Microsoft Entra ID o una máquina virtual, la entidad de servicio debe tener permisos para eliminar la entrada del dispositivo de Microsoft Entra ID.

Los permisos son de los tipos siguientes:

Ámbito: https://graph.microsoft.com/

Permiso: Device.ReadWrite.All Read and write devices

Consentimiento del administrador: Yes

El permiso se puede conceder accediendo a la siguiente ubicación:

Suscripción > Azure Active Directory > Registros de aplicaciones > Seleccionar la aplicación a la que se debe conceder el permiso > Permiso de API > Seleccionar Microsoft GRAPH > Seleccionar Device.ReadWriteAll

Los siguientes pasos proporcionan la configuración que se utilizará para el entorno de Horizon Cloud:

Procedimiento

  • Configure hasta cuatro entidades de servicio y secretos de cliente para la suscripción.
    1. Establezca la duración de caducidad del secreto de cliente según su longitud preferida, como 24 Months.
    2. Guarde una copia del secreto de cliente para consultarla en el futuro.
    3. Asigne la función adecuada a cada entidad de servicio para permitir que la entidad de servicio administre los recursos de la suscripción.

Qué hacer a continuación

Registre los proveedores de recursos necesarios. Consulte Confirmar que los proveedores de recursos requeridos estén registrados en la suscripción de Microsoft Azure.