En el proceso de autenticación en la consola administrativa basada en la nube, después de autenticarse en la pantalla de inicio de sesión inicial con una cuenta de My VMware, la persona de la organización introduce las credenciales de la cuenta de usuario de Active Directory en la segunda pantalla de inicio de sesión, de acuerdo con el dominio de Active Directory registrado en el entorno. El sistema proporciona dos funciones predefinidas que puede asignar a los diversos grupos de Active Directory. Estas funciones relacionadas con el dominio de Active Directory controlan qué áreas de la consola se pueden ver, habilitar o deshabilitar, ya que la persona que inició sesión se desplaza a través de la consola. Debe asignar una función a los grupos apropiados de Active Directory de su organización para que los usuarios de ese grupo puedan utilizar la consola para realizar las actividades de trabajo que desea que realicen.

La función que se asigna mediante los pasos que se indican a continuación es uno de los dos tipos de funciones que utiliza la consola para determinar lo que la sesión autenticada de una persona permite a esa persona ver en la consola y las acciones que puede realizar sobre lo que pueden ver en la consola. En el flujo de trabajo de inicio de sesión estándar, la consola utiliza las cuentas de My VMware, que se asocian con las funciones en la página Configuración general. La segunda pantalla de inicio de sesión utiliza las credenciales de Active Directory, que están asociadas con las funciones mediante esta página Funciones y permisos. Estas funciones relacionadas con el dominio de Active Directory determinan la visibilidad de las características y los elementos de la consola. Esta función también determina qué elementos de la interfaz de usuario pueden aparecer desactivados, ya que la persona se desplaza a través de la consola. Por ejemplo, una persona en un grupo de Active Directory con la función Administrador del departamento de soporte técnico de solo lectura puede navegar a las tarjetas de usuario para los usuarios finales y ver la información, pero no realizar operaciones en los escritorios. Una persona en un grupo de Active Directory con la función Administrador del departamento de soporte técnico puede navegar a las tarjetas de usuario y realizar operaciones de solución de problemas, así como ver la información.

Estas funciones relacionadas con el dominio de Active Directory trabajan conjuntamente con las funciones de las cuentas de My VMware que los usuarios de la organización utilizan para iniciar sesión mediante el flujo de trabajo de inicio de sesión estándar. Por lo tanto, debe asegurarse de que la combinación general de las dos funciones siga reflejando los resultados que desee para un individuo concreto, incluso cuando el individuo se traslade a diferentes puestos de trabajo y grupos de Active Directory dentro de la organización. Para obtener más información sobre los dos tipos de funciones y los emparejamientos recomendados de las asignaciones de funciones, consulte Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Consola administrativa de Horizon Cloud para trabajar en su entorno de Horizon Cloud.

Nota: Los cambios de función que se realizan mediante la plataforma Horizon Cloud Service (a través de VMware Cloud Services en cloud.vmware.com) no aparecen en Consola administrativa de Horizon Cloud. Debe realizar los cambios de función directamente en Consola administrativa de Horizon Cloud como se describe a continuación.
Precaución: Tenga en cuenta que la función de superadministrador controla qué cuentas de usuario de AD pueden iniciar sesión en su cuenta de tenant de Horizon Cloud y realizar operaciones administrativas en la consola, incluidos los pasos que se indican a continuación para asignar funciones a los grupos de AD. Si solo tiene un único grupo de AD asignado a la función de superadministrador, no elimine ese grupo de administradores del sistema de Active Directory ni cambie su GUID tal como aparece en el sistema de Active Directory hasta que haya agregado otro grupo de administradores a esta función de superadministrador. Si elimina el grupo del sistema de Active Directory o lo cambia del mismo modo que su GUID en el sistema de Active Directory, el cambio no se comunicará al plano de control de Horizon Cloud, y Horizon Cloud dejará de detectar el grupo de AD que tenga la función de superadministrador. Si el grupo es el único grupo que ha asignado a la función de superadministrador, es posible que ninguna de sus cuentas de AD que haya utilizado para poder iniciar sesión con el nivel de acceso de superadministrador pueda iniciar sesión y realizar operaciones administrativas, incluida la operación para asignar la función a un grupo de AD de cara a restablecer un conjunto de cuentas de AD con acceso de superadministrador. A la cuenta de enlace de dominio siempre se le asigna la función de superadministrador. Si ha eliminado su único grupo de AD asignado a la función de superadministrador y la cuenta de enlace de dominio no estaba en ese grupo, puede intentar iniciar sesión en la consola con las credenciales de la cuenta de enlace de dominio y realizar los pasos para asignar la función de superadministrador a un nuevo grupo de AD. Sin embargo, si no puede iniciar sesión correctamente con la cuenta de enlace de dominio, tendrá que ponerse en contacto con el equipo de soporte técnico de VMware para que le ayuden a recuperar el acceso administrativo a su cuenta de tenant.
Importante: Estas funciones de Horizon Cloud pueden asignarse solo a los grupos. El sistema no proporciona una manera de elegir las cuentas de usuario de Active Directory individuales para cada función.
  • Es fundamental comprender este punto cuando se trata de la cuenta de unión al dominio cuando los pods conectados a la nube se encuentran en Microsoft Azure. Si la cuenta de unión al dominio que registró para el pod inicial en Microsoft Azure no está ya en uno de los grupos de Active Directory, cree un grupo de Active Directory para esa cuenta para que pueda garantizar que la función de superadministrador pueda asignarse a dicha cuenta de unión al dominio. Esa cuenta de unión al dominio debe recibir la función de superadministrador para que esas operaciones del sistema que implican unir las máquinas virtuales al dominio funcionen correctamente para los pods en Microsoft Azure. Para obtener más información, consulte Cuentas de servicio que requiere Horizon Cloud para sus operaciones.
  • Este punto de que las funciones se pueden asignar solo a grupos y no a cuentas individuales también significa que se debe evitar asignar dos funciones al mismo grupo de dominios de Active Directory. La función de superadministrador está diseñada para otorgar todos los permisos para realizar todas las acciones de administración en la consola y la función de administrador de demostración es una función de solo lectura. Si asigna estas dos funciones al mismo grupo de Active Directory, ninguno de los usuarios de ese grupo recibirá los permisos de la función de superadministrador. Dado que las acciones se restringen en la consola, desde ahí se puede limitar la disponibilidad de las funciones de administración del entorno.

De forma predeterminada, se proporcionan las siguientes funciones predefinidas. Las funciones predefinidas no se pueden modificar.

Tabla 1. Horizon Cloud Grupos de control de acceso basado en funciones
Función Descripción
Superadministrador Una función obligatoria que debe asignar al menos a un grupo del dominio de Active Directory y de forma opcional a otros. Esta función concede todos los permisos para acceder a todas las áreas de la consola y realizar acciones de administración en la consola.
Importante: Asegúrese de que la cuenta de unión al dominio que especificó al registrar el dominio de Active Directory con el primer pod sea uno de los grupos a los que se les otorgó la función de superadministrador. Para el éxito total de las operaciones relacionadas con las imágenes y las operaciones de unión al dominio, debe concederse a esa cuenta de unión a dominio esta función de superadministrador.

A las cuentas de enlace de dominio principal y auxiliar se les asigna siempre la función de superadministrador, que concede todos los permisos para realizar acciones de administración en la consola. Asegúrese de que los usuarios a los que no desea conceder permisos de superadministrador no puedan acceder a las cuentas especificadas.

Administrador del departamento de soporte técnico Una función que puede asignar de forma opcional a uno o varios grupos. Esta función proporciona acceso a la consola, y los grupos de Active Directory que la tienen asignada pueden trabajar con las características de la tarjeta de usuario para realizar las siguientes acciones:
  • Ver el estado de las sesiones de usuario final.
  • Realizar operaciones de solución de problemas en las sesiones.
Administrador del departamento de soporte técnico de solo lectura Una función que puede asignar de forma opcional a uno o varios grupos. Esta función proporciona acceso a la consola, y los grupos de Active Directory que la tienen asignada pueden trabajar con las características de la tarjeta de usuario para ver el estado de las sesiones de usuario final.
Administrador de demostración Una función que puede asignar de forma opcional a uno o varios grupos. Cuando se emparejan con la función de Solo lectura para administrador de cliente en la cuenta de My VMware, los usuarios de este grupo pueden ver la configuración y seleccionar opciones para ver las opciones adicionales en la consola, pero las selecciones no cambian los ajustes de configuración.

Requisitos previos

Precaución: Antes de asignar funciones a los grupos de Active Directory existentes, revise la membresía de la cuenta de usuario en los grupos de Active Directory para asegurarse de que una cuenta de usuario reciba solo una de estas funciones de Horizon Cloud. Cree grupos específicos de Active Directory si es necesario. Debido a que estas funciones se asignan en el nivel del grupo de Active Directory, pueden producirse algunos resultados inesperados si una cuenta de usuario de Active Directory pertenece a dos grupos de Active Directory y cada grupo tiene asignada una función diferente. Las funciones de la consola se muestran por orden de prioridad:
  1. Superadministrador
  2. Administrador del departamento de soporte técnico
  3. Administrador de demostración
  4. Administrador del departamento de soporte técnico de solo lectura

Como resultado de este orden de prioridad, si una cuenta de Active Directory de un usuario pertenece a dos grupos de Active Directory (ADGroup1 y ADGroup2), se asigna la función de superadministrador a ADGroup1 y se asigna la función de administrador del departamento de soporte técnico de solo lectura a ADGroup2, la consola muestra todas las características que corresponden a la función de superadministrador (en lugar del subconjunto de características de la otra función) porque tiene prioridad.

También debe revisar las funciones asignadas a las cuentas de My VMware de los miembros del grupo para asegurarse de que dichas funciones reflejen la función que asigna a su grupo de Active Directory. Siga los emparejamientos recomendados que se describen en Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Consola administrativa de Horizon Cloud para trabajar en su entorno de Horizon Cloud.

Procedimiento

  1. En la consola, vaya a Configuración > Funciones y permisos.
  2. Seleccione una de las funciones predefinidas y haga clic en Editar.
  3. Use el cuadro de búsqueda para buscar y seleccionar un grupo de Active Directory.
    Debe escribir al menos tres caracteres en el cuadro de búsqueda para que se muestren los resultados.
    El grupo se agrega al conjunto de grupos seleccionados.
  4. Haga clic en Guardar.

Qué hacer a continuación

Asegúrese de que los usuarios del grupo de dominios tengan las funciones adecuadas en sus cuentas de My VMware. Consulte Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Consola administrativa de Horizon Cloud para trabajar en su entorno de Horizon Cloud y Otorgar funciones administrativas a las personas de la organización para iniciar sesión y realizar acciones en el entorno de arrendatario de Horizon Cloud con Consola administrativa de Horizon Cloud.