Lista de comprobación de requisitos para implementar Microsoft Azure Edge

Destinatarios de la lista de comprobación

Esta lista de comprobación se utiliza para cuentas de cliente de Horizon Cloud que nunca hayan tenido una implementación de Horizon Cloud en Microsoft Azure en su entorno de arrendatario. Posiblemente haya oído hablar de estos arrendatarios como entornos limpios o entornos nuevos.

Debe llevar a cabo algunos puntos que se detallan a continuación antes de implementar Horizon Cloud. Puede aplazar algunos puntos hasta que finalice y se ejecute la implementación.

Requisitos de suscripción de Microsoft Azure

Para conocer los límites de configuración, consulte Considerar el tamaño de la implementación de Horizon Cloud Service - next-gen, que incluye información sobre el uso de la herramienta VMware Configuration Maximums. En la página Configuration Maximums, seleccione Ver límites, VMware Horizon Cloud Service - next-gen, la versión más reciente y las categorías que desea ver.


☐	Suscripciones de Microsoft Azure válidas en un entorno de Microsoft Azure compatible (Azure Commercial). Si desea implementar dispositivos de Horizon Edge, lo cual incluye instancias de Horizon Edge Gateway y Unified Access Gateway, en su propio proveedor dedicado (suscripción de Microsoft Azure), obtenga otra suscripción de Microsoft Azure válida para implementar grupos. Nota: Horizon Cloud admite la mayoría de las regiones de Microsoft Azure.
☐	Privilegios administrativos válidos de Microsoft Azure en cada suscripción de Microsoft Azure para poder utilizar el portal de Microsoft Azure y realizar los pasos de preparación de implementación de Horizon Cloud.
☐	Cree una o varias entidades de servicio en cada suscripción de Microsoft Azure, anotando el identificador de suscripción, el identificador de directorio y el identificador de aplicación, y asigne la función adecuada a cada entidad de servicio en las suscripciones. Consulte Crear una entidad de servicio para la suscripción de Microsoft Azure. Para usar una función personalizada para la entidad de servicio, consulte Utilizar una función personalizada para el registro de aplicaciones de Horizon Cloud. Nota: Cuando se crean varias entidades de servicio, estas comparten el identificador de suscripción y el identificador de directorio, pero cada entidad de servicio tiene su propio identificador de aplicación.
☐	Determine el tipo de formato de Microsoft Azure Edge que desea implementar. Se encuentran disponibles las siguientes opciones: Edge Gateway (VM) = Máquina virtual de Edge Gateway Edge Gateway (VM) es para implementaciones más pequeñas sin alta disponibilidad. Edge Gateway (AKS) = Servicio Kubernetes de Azure de Edge Gateway Edge Gateway (AKS) proporciona alta disponibilidad.
☐	Para implementar Edge gateway (AKS), cree una identidad administrada por el usuario de Microsoft Azure. Las instancias de Horizon Edge que utilizan un clúster de AKS requieren una identidad administrada por el usuario con la función de colaborador de red en el ámbito del grupo de recursos de la red virtual de administración y la función de operador de identidad administrada en el ámbito de suscripción de Microsoft Azure. Consulte la documentación de Microsoft sobre la administración de identidades administradas asignadas por el usuario. Si la subred de administración tiene una tabla de rutas y el grupo de recursos de esa tabla de rutas es diferente al grupo de recursos de la VNet, la función de colaborador de red también debe asignarse al grupo de recursos de la tabla de rutas.
☐	Registre los proveedores de recursos necesarios para la suscripción de Microsoft Azure. Consulte Confirmar que los proveedores de recursos necesarios estén registrados en la suscripción de Microsoft Azure.
☐	Cree una función personalizada que proporcione permisos de lectura a Azure Compute Galleries en sus suscripciones y asigne esa función personalizada a todas las entidades principales de servicio configuradas para una instancia de Horizon Edge determinada.
☐	La suscripción debe permitir la creación de grupos de recursos que no incorporen etiquetas.

Requisitos de capacidad de Microsoft Azure

En los casos en los que la siguiente tabla hace referencia a una capacidad de Microsoft Azure, no se necesita una instalación manual. Siempre que las capacidades indicadas estén disponibles en la suscripción, el implementador creará automáticamente instancias de las máquinas virtuales descritas.


☐	Capacidad de Microsoft Azure para los artefactos recursos principales de Horizon Edge que se implementarán en esa suscripción. Tenga en cuenta que los requisitos de capacidad varían según el formato de Microsoft Azure Edge que implemente, ya sea Edge Gateway (AKS) o Edge Gateway (VM). Edge Gateway (AKS): cuota suficiente para un clúster de AKS de 4 nodos y un nodo adicional durante las actualizaciones. Una implementación de Edge Gateway (AKS) utiliza un clúster de Servicio Kubernetes de Azure (AKS) que requiere cuatro nodos de uno de los tamaños de máquina virtual compatibles a efectos de capacidad. A continuación se muestran los tamaños de SKU de máquina virtual admitidos para una implementación de Edge Gateway (AKS) en orden de prioridad descendente. Si la suscripción de Microsoft Azure tiene capacidad para al menos uno de los siguientes tamaños, se aceptará la implementación de Edge (en caso contrario, se rechazará). Standard_D2s_v3: 2 VCPU, 8 GB de memoria Standard_D2ds_v5: 2 VCPU, 8 GB de memoria Standard_D2a_v4: 2 VCPU, 8 GB de memoria Durante el funcionamiento normal del clúster de AKS, se requieren cuatro nodos de máquina virtual. Se requiere un nodo adicional y se utiliza durante el proceso de actualización. Edge Gateway (VM): cuota suficiente para una sola máquina virtual. A continuación se muestran los tamaños de SKU de máquina virtual admitidos para una implementación de Edge Gateway (VM) en orden de prioridad descendente. Si la suscripción de Microsoft Azure tiene capacidad para al menos uno de los siguientes tamaños, se aceptará la implementación de Edge (en caso contrario, se rechazará). Standard_D4s_v3: 4 vCPU, 16 GB de memoria Standard_D4s_v4: 4 vCPU, 16 GB de memoria Standard_D4s_v5: 4 vCPU, 16 GB de memoria Ejecute comandos para comprobar la disponibilidad del modelo de máquina virtual de Microsoft Azure y la salida de la CPU regional. Consulte Comprobar la disponibilidad del modelo de máquina virtual de Microsoft Azure. Instancias de Unified Access Gateway: un mínimo de 2 de los tamaños admitidos que se indican a continuación. El tamaño predeterminado y recomendado es Standard_F8s_v2. Standard_A4_v2 Standard_D8s_v4 Standard_D16s_v4 Standard_D8s_v5 Standard_D16s_v5 Standard_F8s_v2 Standard_F16s_v2 Nota: El modelo de máquina virtual de `A4_v2` solo es suficiente para pruebas de concepto (PoC), pruebas piloto o entornos más pequeños en los que se sabe que no se superarán las 1000 sesiones activas en Horizon Edge. Cuando la instancia de Horizon Edge ya está lista para utilizarse, su capacidad en la nube de Microsoft Azure también tendrá que incorporar las máquinas virtuales importadas, las imágenes, las máquinas virtuales de grupo y las máquinas virtuales de captura de aplicación de App Volumes que se creen en la instancia de Horizon Edge. Consulte la sección Image Management System Requirements.

Requisitos de red

Los siguientes requisitos de red incluyen los detalles necesarios para implementar y operar correctamente Horizon Edge. Las dos tablas que aparecen a continuación son similares, pero diferentes. Utilice la tabla que se aplica al tipo de formato de Microsoft Azure Edge que desea implementar, Edge Gateway (VM) o Edge Gateway (AKS).

Edge Gateway (VM): Utilice la siguiente tabla para una implementación de Edge Gateway (VM).

Tabla 1. Requisitos de red para Edge Gateway (VM)
☐	La red virtual (VNet) de Microsoft Azure creada en la región de Microsoft Azure de destino con el espacio de direcciones aplicable para cubrir las subredes requeridas. Consulte Configurar los ajustes de red para las regiones de Microsoft Azure.
☐	Los siguientes requisitos de subred son mínimos. Para entornos más grandes, es posible que se requieran subredes más grandes. Subred de administración: /26 (mínimo) Subred de escritorio (arrendatario) - principal: /27 mínimo, pero con un tamaño adecuado según el número de escritorios y servidores RDS. Puede agregar más subredes según sea necesario. Subred DMZ: 27 como mínimo para el clúster de las instancias de Unified Access Gateway (no se requiere para el tipo de acceso de Unified Access Gateway interno). Debe crear subredes manualmente en la red virtual como requisito previo. Consulte Configurar los ajustes de red para las regiones de Microsoft Azure. Como práctica recomendada, no asocie otros recursos a las subredes. Si decide utilizar un proveedor dedicado para implementar dispositivos de Horizon Gateway (Horizon Edge Gateway y Unified Access Gateway) debe crear subredes de back-end en el proveedor desde el que se implementarán los escritorios.
☐	Configure el servidor DNS de la VNet (red virtual) para que se señale a un servidor DNS válido que puede resolver los nombres máquinas internos y externos. Consulte Configurar los registros de DNS necesarios después de implementar Horizon Edge Gateway y Unified Access Gateway. Para los endpoints internos, el servidor de AD es un ejemplo. Para los endpoints externos, el acceso saliente a Internet en las redes virtuales que está utilizando para la implementación de puerta de enlace debe resolver y alcanzar nombres DNS específicos mediante protocolos y puertos específicos. Esto es necesario para la implementación y las operaciones en curso.
☐	El acceso saliente a Internet en las redes virtuales que está utilizando para la implementación de Horizon Edge debe resolver y alcanzar nombres DNS específicos mediante protocolos y puertos específicos. Esto es necesario para la implementación y las operaciones en curso. Para obtener una lista de los puertos y los nombres DNS, consulte Hacer que las URL de destino adecuadas sean accesibles para implementar Horizon Edge Gateway en un entorno de Microsoft Azure.
☐	Opcional. Información del servidor proxy si se requiere para el acceso a Internet saliente en la VNet que se utiliza durante la implementación y las operaciones en curso del entorno de Horizon Cloud.
☐	Opcional. Configuración de una VPN de Microsoft Azure/Express Route, en caso de querer establecer una red entre la VNet y la red corporativa local.

Edge Gateway (AKS): Utilice la siguiente tabla para una implementación de Edge Gateway (AKS). Estos requisitos incluyen la compatibilidad con la configuración de Horizon Edge Gateway mediante un clúster de AKS. La configuración de Horizon Edge Gateway mediante un clúster de AKS proporciona una solución más fácil de escalar.

Tabla 2. Requisitos de red para Edge Gateway (AKS)
☐	La red virtual (VNet) de Microsoft Azure creada en la región de Microsoft Azure de destino con el espacio de direcciones aplicable para cubrir las subredes requeridas. Consulte Configurar los ajustes de red para las regiones de Microsoft Azure.
☐	Los siguientes requisitos de subred son mínimos. Para entornos más grandes, es posible que se requieran subredes más grandes. Subred de administración: /26 (mínimo) Si implementa una instancia de Edge Gateway (AKS), configure una puerta de enlace NAT para la subred de administración porque una instancia de Horizon Edge que utiliza un clúster de AKS necesita una puerta de enlace NAT para la conectividad saliente. Subred de escritorio (arrendatario) - principal: /27 mínimo, pero con un tamaño adecuado según el número de escritorios y servidores RDS. Puede agregar más subredes según sea necesario. Subred DMZ: 27 como mínimo para el clúster de las instancias de Unified Access Gateway (no se requiere para el tipo de acceso de Unified Access Gateway interno). Debe crear subredes manualmente en la red virtual como requisito previo. Consulte Configurar los ajustes de red para las regiones de Microsoft Azure. Como práctica recomendada, no asocie otros recursos a las subredes. Si decide utilizar un proveedor dedicado para implementar dispositivos de Horizon Gateway (Horizon Edge Gateway y Unified Access Gateway) debe crear subredes de back-end en el proveedor desde el que se implementarán los escritorios.
☐	Si implementa una instancia de Edge Gateway (AKS) y selecciona el valor del tipo de salida del clúster como puerta de enlace NAT en el momento de la creación de la instancia de Edge, configure una puerta de enlace NAT en la subred de administración para habilitar la conectividad saliente para Horizon Edge Gateway. Si selecciona el valor del tipo de salida del clúster como Rutas definidas por el usuario en el momento de la creación de la instancia de Edge, configure una tabla de rutas en la subred de administración con la ruta predeterminada 0.0.0.0/0 que apunte a un próximo salto de tipo VirtualAppliance o VirtualNetworkGateway.
☐	Recopile los siguientes rangos de direcciones IP de CIDR, que necesitará para configurar Horizon Edge Gateway durante la implementación. Nota: Asegúrese de que estos rangos no entren en conflicto con otros rangos en uso en su entorno. CIDR de servicio: /27 mínimo CIDR de pod: /21 mínimo Si implementa Edge Gateway (AKS), para implementar correctamente el clúster de AKS, debe cumplir con el siguiente requisito de Microsoft Azure. En el momento en que implemente Horizon Edge mediante Horizon Universal Console, asegúrese de que el CIDR de servicio, el CIDR del pod y el espacio de direcciones de la red virtual de la subred de administración no entren en conflicto con los siguientes rangos de IP: 169.254.0.0/16 172.30.0.0/16 172.31.0.0/16 192.0.2.0/24
☐	Configure el servidor DNS de la VNet (red virtual) para que se señale a un servidor DNS válido que puede resolver los nombres máquinas internos y externos. Consulte Configurar los registros de DNS necesarios después de implementar Horizon Edge Gateway y Unified Access Gateway. Para los endpoints internos, el servidor de AD es un ejemplo. Para los endpoints externos, el acceso saliente a Internet en las redes virtuales que está utilizando para la implementación de puerta de enlace debe resolver y alcanzar nombres DNS específicos mediante protocolos y puertos específicos. Esto es necesario para la implementación y las operaciones en curso.
☐	El acceso saliente a Internet en las redes virtuales que está utilizando para la implementación de Horizon Edge debe resolver y alcanzar nombres DNS específicos mediante protocolos y puertos específicos. Esto es necesario para la implementación y las operaciones en curso. Para obtener una lista de los puertos y los nombres DNS, consulte Hacer que las URL de destino adecuadas sean accesibles para implementar Horizon Edge Gateway en un entorno de Microsoft Azure.
☐	Opcional. Información del servidor proxy si se requiere para el acceso a Internet saliente en la VNet que se utiliza durante la implementación y las operaciones en curso del entorno de Horizon Cloud.
☐	Opcional. Configuración de una VPN de Microsoft Azure/Express Route, en caso de querer establecer una red entre la VNet y la red corporativa local.
☐	Si implementa una instancia de Edge Gateway (AKS), en relación con las instancias de Horizon Edge que utilizan un clúster de AKS, si la red virtual que se utiliza para la implementación de Horizon Edge tiene un servidor DNS personalizado, puede agregar la dirección IP de DNS de Microsoft Azure 168.63.129.16 como un reenviador de DNS para una resolución de nombre externo.

Requisitos de puertos y protocolos


☐	Se requieren puertos y protocolos específicos para la implementación y las operaciones en curso del entorno de Horizon Cloud. Consulte Requisitos de puertos y protocolos para la implementación de Horizon Cloud en Microsoft Azure.

Requisitos de Unified Access Gateway

Un clúster de máquinas virtuales de Unified Access Gateway está asociado a un grupo, lo cual permite a los clientes tener conexiones de HTML Access de confianza con las máquinas virtuales de ese grupo.

Utilice Horizon Universal Console para configurar Horizon Cloud con Unified Access Gateway. Los siguientes elementos son obligatorios para ese tipo de configuración.


☐	Se requiere acceso saliente a Internet a .horizon.vmware.com en todos los tipos de configuración. Cuando Permitir acceso interno a través de una red corporativa es Tipo de acceso de Unified Access Gateway, se puede aplicar tanto un enrutamiento definido por el usuario como una puerta de enlace NAT en Subred de administración para permitir el tráfico saliente. Cuando Tipo de acceso de Unified Access Gateway está configurado externamente con una red DMZ, se debe configurar un acceso externo a .horizon.vmware.com en esa red DMZ.
☐	Se requiere el FQDN para la configuración de Unified Access Gateway.
☐	Certificado o certificados para Unified Access Gateway en formato PEM que coincide con el FQDN. Nota: Si el certificado o los certificados que proporciona para este propósito usan ajustes de CRL (Lista de revocación de certificados) o OCSP (Protocolo de estado de certificados en línea) que hacen referencia a nombres de DNS específicos, debe asegurarse de que el acceso a Internet saliente en la red virtual se pueda resolver y que se pueda acceder a ellos. Durante la configuración del certificado proporcionado en la configuración de Unified Access Gateway, el software de Unified Access Gateway accederá a esos nombres DNS para comprobar el estado de revocación del certificado. Si no se puede acceder a esos nombres DNS, se produce un error en la implementación. Estos nombres dependen en gran medida de la entidad de certificación que se utilizó para obtener los certificados, y esto queda fuera del control de VMware.

Información sobre la identidad del usuario y la identidad de las máquinas

Horizon Cloud Service - next-gen se diferencia de otros entornos en cuanto a cómo gestiona la identidad. En Horizon Cloud Service - next-gen, el servicio distingue entre la identidad del usuario y la identidad de la máquina, y se basa en ambos tipos de identidad al establecer una conexión segura entre un cliente y una aplicación o escritorio remotos.

Nota: Es posible que no conozca anteriormente esta distinción entre la identidad del usuario y la identidad de la máquina si está más familiarizado con los entornos que utilizan un único proveedor de identidades para autenticar la identidad del usuario y de la máquina, como el entorno de Horizon Cloud - first-gen o un entorno de Horizon 8 local.

En Horizon Cloud Service - next-gen, debe establecer una configuración de identidad compuesta por un proveedor de identidad para autenticar la identidad del usuario y un proveedor de identidad para autenticar la identidad de la máquina.

Identidad del usuario: Horizon Cloud Service - next-gen requiere que registre un proveedor de identidad de usuario. El servicio utiliza este proveedor de identidades para autenticar a los usuarios cliente que intentan acceder a aplicaciones y escritorios remotos.
Identidad de la máquina: Horizon Cloud Service - next-gen también requiere que registre un proveedor de identidad de máquina. El servicio utiliza este proveedor de identidades para establecer la identidad de las máquinas virtuales que proporcionan aplicaciones y escritorios remotos.
A través del proveedor de identidad de la máquina, el servicio une los escritorios remotos y los orígenes de las máquinas virtuales para las aplicaciones remotas al dominio de red de confianza para el que los usuarios del cliente tienen autorización.

Configuraciones de identidad admitidas

Horizon Cloud Service - next-gen requiere que registre una configuración de identidad compuesta por un proveedor de identidad de usuario y un proveedor de identidad de máquina. Las capacidades de las funciones pueden variar en función de los proveedores de identidades específicos incluidos en la configuración.

Horizon Cloud Service - next-gen es compatible con las siguientes configuraciones de identidad.

Tabla 3. Configuraciones de identidad compatibles con Horizon Cloud Service - next-gen
Configuración de identidad	Proveedor de identidad del usuario	Proveedor de identidad de máquina	Consideraciones sobre funciones
A	Microsoft Entra ID	Active Directory	Admite SSO en aplicaciones y escritorios remotos
B	Microsoft Entra ID	Microsoft Entra ID	No admite el inicio de sesión único (SSO) en aplicaciones y escritorios remotos
C	Workspace ONE Access	Active Directory	Admite SSO en aplicaciones y escritorios remotos Admite la integración con Workspace ONE

Las siguientes secciones de esta página describen los requisitos detallados para cada proveedor de identidad de usuario y proveedor de identidad de máquina compatible.

Requisitos de identidad del usuario

En esta sección se describen los requisitos del proveedor de identidad de usuario que decide utilizar en la configuración de identidad. Horizon Cloud Service - next-gen admite Microsoft Entra ID y Workspace ONE Access como proveedores de identidad de usuario.

Además de los requisitos descritos en esta sección, consulte Configuraciones de identidad admitidas para obtener información sobre las consideraciones sobre las funciones y los proveedores de identidad de máquinas que puede utilizar con cada proveedor de identidad de usuario. Para obtener una descripción general de cómo Horizon Cloud Service - next-gen administra la identidad, consulte Información sobre la identidad del usuario y la identidad de las máquinas.

Microsoft Entra ID


☐	Cuando Microsoft Entra ID es el proveedor de identidad del usuario, un usuario con privilegios de administrador global debe hacer lo siguiente. Apruebe los permisos solicitados. Proporcione el consentimiento de toda la organización.

Workspace ONE Access


☐	Cuando Workspace ONE Access Workspace ONE Access es el proveedor de identidad del usuario, un usuario con privilegios de administrador debe hacer lo siguiente. Apruebe los permisos solicitados. Proporcione el consentimiento de toda la organización.

Requisitos de identidad de máquina

En esta sección se describen los requisitos del proveedor de identidad de máquina que decide utilizar en la configuración de identidad. Horizon Cloud Service - next-gen admite Microsoft Entra ID y Active Directory como proveedores de identidad de máquina.

Además de los requisitos descritos en esta sección, consulte Configuraciones de identidad admitidas para obtener información sobre las consideraciones sobre las funciones y los proveedores de identidad de usuario que puede utilizar con cada proveedor de identidad de máquina. Para obtener una descripción general de cómo Horizon Cloud Service - next-gen administra la identidad, consulte Información sobre la identidad del usuario y la identidad de las máquinas.

Microsoft Entra ID


☐	Para habilitar la eliminación de un grupo o una máquina virtual, la entidad de servicio debe tener permisos para eliminar la entrada del dispositivo de Microsoft Entra ID. Los permisos son de los tipos siguientes: `Scope: https://graph.microsoft.com/` `Permission : Device.ReadWrite.All` `Read and write devices` `Admin Consent : Yes` El permiso se puede conceder accediendo a la siguiente ubicación: Suscripción -> Azure Active Directory -> Registros de aplicaciones -> Seleccionar la aplicación a la que se debe conceder el permiso -> Permiso de API -> Seleccionar Microsoft GRAPH -> Seleccionar Device.ReadWriteAll
☐	Configure RBAC en Microsoft Entra ID. Esta configuración garantiza que solo los usuarios o grupos de usuarios que tengan la función de Inicio de sesión de administrador de máquina virtual o Inicio de sesión de usuario de máquina virtual puedan iniciar sesión en sus autorizaciones.

Active Directory


☐	Servidor de Active Directory con visibilidad de las instancias de Horizon Edge Gateway y las subredes de escritorio. Por ejemplo: Un servidor de Active Directory local conectado a través de VPN/Express Route Un servidor Active Directory ubicado en Microsoft Azure
☐	Si tiene pensado conectar Active Directory mediante LDAPS, recopile certificados de CA intermedios y raíz con codificación PEM para el dominio de Active Directory. Cuando se utiliza Horizon Universal Console para configurar el dominio de Active Directory, se le solicita en ese momento que cargue los certificados de CA raíz e intermedio con codificación PEM.
☐	Niveles funcionales de dominios de Active Directory Domain Services (AD DS) de Microsoft Windows admitidos. Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Versiones de SO de Active Directory Domain Services (AD DS) de Microsoft Windows admitidas. Windows Server 2019 Windows Server 2016 Windows Server 2012 R
☐	Cuenta de enlace de dominio Cuenta de enlace de dominio de Active Directory (usuario estándar con acceso de lectura) que tiene el atributo sAMAccountName. El atributo sAMAccountName debe tener 20 caracteres o menos, y no puede contener ninguno de los siguientes caracteres: `"/ \ [ ] : ; \| = , + * ? < >` La cuenta debe tener los siguientes permisos: Mostrar contenido Lectura de todas las propiedades Permisos de lectura Lectura de tokenGroupsGlobalAndUniversal (implícito en Lectura de todas las propiedades) Establezca la contraseña de la cuenta en Nunca caducar para garantizar el acceso continuado al inicio de sesión en el entorno de Horizon Cloud. Si está familiarizado con las opciones de Horizon local, puede ver que los permisos anteriores constituyen el mismo conjunto que se requiere para las cuentas de credenciales secundarias de dicha versión. Se concede a las cuentas de enlace de dominio los permisos de acceso de lectura predeterminados que se conceden normalmente a los Usuarios autenticados en una implementación de Microsoft Active Directory. Sin embargo, si los administradores de AD de su organización han decidido bloquear los permisos relacionados con el acceso de lectura para los usuarios normales, debe solicitar que los administradores de AD conserven los valores predeterminados estándar de los Usuarios autenticados para las cuentas de enlace de dominio que utilizará para Horizon Cloud. Referencia: Crear cuentas de unión de dominio y enlace de dominio de Active Directory
☐	Cuenta auxiliar de enlace de dominio Debe ser independiente de la cuenta de enlace de dominio principal. La interfaz de usuario impedirá que se vuelva a utilizar la misma cuenta en ambos campos. Cuenta de enlace de dominio de Active Directory (usuario estándar con acceso de lectura) que tiene el atributo sAMAccountName. El atributo sAMAccountName debe tener 20 caracteres o menos, y no puede contener ninguno de los siguientes caracteres: `"/ \ [ ] : ; \| = , + * ? < >` La cuenta debe tener los siguientes permisos: Mostrar contenido Lectura de todas las propiedades Permisos de lectura Lectura de tokenGroupsGlobalAndUniversal (implícito en Lectura de todas las propiedades) Establezca la contraseña de la cuenta en Nunca caducar para garantizar el acceso continuado al inicio de sesión en el entorno de Horizon Cloud. Si está familiarizado con las opciones de Horizon local, puede ver que los permisos anteriores constituyen el mismo conjunto que se requiere para las cuentas de credenciales secundarias de dicha versión. Se concede a las cuentas de enlace de dominio los permisos de acceso de lectura predeterminados que se conceden normalmente a los Usuarios autenticados en una implementación de Microsoft Active Directory. Sin embargo, si los administradores de AD de su organización han decidido bloquear los permisos relacionados con el acceso de lectura para los usuarios normales, debe solicitar que los administradores de AD conserven los valores predeterminados estándar de los Usuarios autenticados para las cuentas de enlace de dominio que utilizará para Horizon Cloud.
☐	Cuenta de unión de dominio Cuenta de unión de dominio de Active Directory que puede utilizar el sistema para realizar operaciones de Sysprep y unir los equipos virtuales al dominio. Por lo general, es una nueva cuenta que se crea para este propósito explícito. (Una cuenta de usuario de unión de dominio) La cuenta debe tener el atributo sAMAccountName. El atributo sAMAccountName debe tener 20 caracteres o menos, y no puede contener ninguno de los siguientes caracteres: `"/ \ [ ] : ; \| = , + * ? < >` Actualmente, no se admite el uso de espacios en blanco en el nombre de usuario de la cuenta. Establezca la contraseña de la cuenta en Nunca caducar para garantizar la capacidad permanente de Horizon Cloud para realizar las operaciones de Sysprep y unir los equipos virtuales al dominio. Esta cuenta requiere los siguientes permisos de Active Directory, que se aplican a la unidad organizativa Equipos o a la unidad organizativa que se especifique en la interfaz de usuario de unión de dominio de la consola. Leer todas las propiedades: Solo este objeto Crear objetos de equipo: Este objeto y todos los descendientes Eliminar objetos de equipo: Este objeto y todos los descendientes Escribir todas las propiedades: Objetos de equipo descendientes Restablecer contraseña: Objetos de equipo descendientes En relación con la unidad organizativa (OU) de destino que planea usar para los grupos, esta cuenta también requiere el permiso de Active Directory denominado Escribir todas las propiedades en todos los objetos descendientes de esa unidad organizativa (OU) de destino. Para obtener más información sobre cómo crear y reutilizar cuentas de unión a dominio, consulte Crear cuentas de unión de dominio y enlace de dominio de Active Directory. En Microsoft Active Directory, cuando se crea una nueva unidad organizativa, el sistema puede establecer automáticamente el atributo `Prevent Accidental Deletion`, que aplica un `Deny` al permiso para eliminar todos los objetos secundarios para la unidad organizativa recién creada y todos los objetos descendientes. Como resultado, si asigna de forma explícita el permiso para eliminar objetos de equipo a la cuenta de unión al dominio, en el caso de una unidad organizativa recién creada, Active Directory podría haber aplicado un reemplazo al permiso para eliminar objetos de equipo asignado explícitamente. Dado que borrar la marca para Evitar la eliminación accidental no borra automáticamente el `Deny` que Active Directory aplicó al permiso para eliminar todos los objetos secundarios, en el caso de una unidad organizativa recién agregada, es posible que tenga que verificar y borrar manualmente el conjunto de permisos `Deny` para eliminar todos los objetos secundarios en la unidad organizativa y todas las unidades organizativas secundarias antes de usar la cuenta de unión al dominio en Horizon Cloud.
☐	Cuenta de unión de dominio auxiliar opcional Cuenta de unión de dominio de Active Directory que puede utilizar el sistema para realizar operaciones de Sysprep y unir los equipos virtuales al dominio. Por lo general, es una nueva cuenta que se crea para este propósito explícito. (Una cuenta de usuario de unión de dominio) La cuenta debe tener el atributo sAMAccountName. El atributo sAMAccountName debe tener 20 caracteres o menos, y no puede contener ninguno de los siguientes caracteres: `"/ \ [ ] : ; \| = , + * ? < >` Actualmente, no se admite el uso de espacios en blanco en el nombre de usuario de la cuenta. Establezca la contraseña de la cuenta en Nunca caducar para garantizar la capacidad permanente de Horizon Cloud para realizar las operaciones de Sysprep y unir los equipos virtuales al dominio. Esta cuenta requiere los siguientes permisos de Active Directory, que se aplican a la unidad organizativa Equipos o a la unidad organizativa que se especifique en la interfaz de usuario de unión de dominio de la consola. Leer todas las propiedades: Solo este objeto Crear objetos de equipo: Este objeto y todos los descendientes Eliminar objetos de equipo: Este objeto y todos los descendientes Escribir todas las propiedades: Objetos de equipo descendientes Restablecer contraseña: Objetos de equipo descendientes En relación con la unidad organizativa (OU) de destino que planea usar para los grupos, esta cuenta también requiere el permiso de Active Directory denominado Escribir todas las propiedades en todos los objetos descendientes de esa unidad organizativa (OU) de destino. En Microsoft Active Directory, cuando se crea una nueva unidad organizativa, el sistema puede establecer automáticamente el atributo `Prevent Accidental Deletion`, que aplica un `Deny` al permiso para eliminar todos los objetos secundarios para la unidad organizativa recién creada y todos los objetos descendientes. Como resultado, si asigna de forma explícita el permiso para eliminar objetos de equipo a la cuenta de unión al dominio, en el caso de una unidad organizativa recién creada, Active Directory podría haber aplicado un reemplazo al permiso para eliminar objetos de equipo asignado explícitamente. Dado que borrar la marca para Evitar la eliminación accidental no borra automáticamente el `Deny` que Active Directory aplicó al permiso para eliminar todos los objetos secundarios, en el caso de una unidad organizativa recién agregada, es posible que tenga que verificar y borrar manualmente el conjunto de permisos `Deny` para eliminar todos los objetos secundarios en la unidad organizativa y todas las unidades organizativas secundarias antes de usar la cuenta de unión al dominio en Horizon Cloud.
☐	Unidad organizativa (OU) o unidades organizativas (OU) de Active Directory para escritorios virtuales y aplicaciones publicadas o escritorios basados en sesiones RDS, o ambos. En Microsoft Active Directory, cuando se crea una nueva unidad organizativa, el sistema puede establecer automáticamente el atributo `Prevent Accidental Deletion`, que aplica un `Deny` al permiso para eliminar todos los objetos secundarios para la unidad organizativa recién creada y todos los objetos descendientes. Como resultado, si asigna de forma explícita el permiso para eliminar objetos de equipo a la cuenta de unión al dominio, en el caso de una unidad organizativa recién creada, Active Directory podría haber aplicado un reemplazo al permiso para eliminar objetos de equipo asignado explícitamente. Dado que borrar la marca para Evitar la eliminación accidental no borra automáticamente el `Deny` que Active Directory aplicó al permiso para eliminar todos los objetos secundarios, en el caso de una unidad organizativa recién agregada, es posible que tenga que verificar y borrar manualmente el conjunto de permisos `Deny` para eliminar todos los objetos secundarios en la unidad organizativa y todas las unidades organizativas secundarias antes de usar la cuenta de unión al dominio en Horizon Cloud.

Image Management System Requirements

La suscripción de Microsoft Azure debe incluir los siguientes requisitos según los tipos de imágenes que desee aprovisionar desde la instancia de Horizon Edge implementada.


☐	Base para la imagen. Una o varias de las configuraciones de máquina virtual de Microsoft Azure admitidas. Las máquinas virtuales de Microsoft Azure de 1.ª y 2.ª generación se admiten. Asegúrese de tener suficiente cuota para el modelo que desea utilizar para la máquina virtual base. Los siguientes tipos de modelo son los predeterminados y recomendados. Sin GPU: Standard_DS2_v2 Habilitado para GPU: Standard_NV12s_v3 Se admiten tipos de modelo adicionales a los tipos Sin GPU y Habilitado para GPU, aunque no necesariamente se verifican. Asegúrese de tener suficiente cuota en la suscripción si selecciona uno de estos modelos.

Requisitos de máquina virtual de grupo

La suscripción de Microsoft Azure debe incluir los siguientes requisitos según los tipos de máquinas virtuales de grupo que desee aprovisionar desde la instancia de Horizon Edge implementada.


☐	Selección de modelo para las máquinas virtuales en los grupos: cualquiera de las configuraciones de máquina virtual de Microsoft Azure disponibles en la región de Microsoft Azure, excepto aquellas que no son compatibles con las operaciones de escritorio de Horizon Cloud. Tenga en cuenta los siguientes detalles al seleccionar un modelo de máquina virtual. La decisión de seleccionar entre un tipo de modelo habilitado para GPU y un tipo de modelo sin GPU depende de la máquina virtual seleccionada durante la creación de la imagen. Para crear un grupo multisesión, seleccione una imagen creada con un sistema operativo multisesión. Para los entornos de producción, las pruebas de escala recomiendan el uso de modelos que tengan un mínimo de 2 CPU o más. Consulte Tipos y tamaños de máquina virtual de Microsoft Azure para Horizon Cloud Service - next-gen (89090) para obtener información sobre la compatibilidad de los diferentes tipos y tamaños de máquina virtual de Microsoft Azure con VMware Horizon Cloud Service - next-gen. Las máquinas virtuales de Microsoft Azure de 1.ª y 2.ª generación se admiten en los grupos.

Requisitos de Horizon Client y Horizon HTML Access (el cliente web)


☐	Para habilitar el acceso de los usuarios finales a los recursos autorizados en el entorno de Horizon Cloud, asegúrese de que utilicen uno de los siguientes clientes compatibles. Horizon Client Los usuarios finales pueden utilizar las siguientes versiones de Horizon Client: Horizon Client para Windows 2111 o posterior Horizon Client para Mac 2111 o posterior Horizon Client para Linux 2206 o posterior Horizon Client para Android 2303 o versiones posteriores Horizon Client para iOS 2303 o posterior Horizon Client para Chrome 2306 o versiones posteriores Horizon HTML Access Los usuarios finales pueden conectarse a la versión de HTML Access integrada en el entorno de Horizon Cloud.