Dans Horizon Cloud Service - next-gen, procédez comme suit dans Horizon Universal Console pour enregistrer le premier domaine Active Directory dans le service ou enregistrer les domaines Active Directory supplémentaires.

Note : Cette page de documentation s'applique lorsque votre environnement dispose d'un déploiement d'Horizon Edge dans Microsoft Azure. Elle ne s'applique pas aux déploiements d'Horizon 8 ni à l'abonnement Horizon Plus.

Comme décrit dans Gestion des identités et des accès Horizon Cloud Service, le service utilise le domaine Active Directory enregistré pour l'identité de machine pour les postes de travail virtuels et les applications distantes.

Conditions préalables

Conditions requises pour Active Directory
L'assistant Enregistrement de domaine de la console nécessite la saisie d'informations spécifiques. Avant d'effectuer ces étapes dans la console, vérifiez que vous ou votre équipe informatique avez répondu aux exigences relatives à Active Directory, comme décrit dans la section Exigences relatives à Active Directory dans la liste de vérification des exigences pour le déploiement d'un dispositif Microsoft Azure Edge.
Points clés et conditions requises propres à LDAPS
Si vous prévoyez d'utiliser LDAPS dans votre déploiement, notez les points clés et conditions requises suivants.
  • Les certificats d'autorité de certification racine et intermédiaire codés au format PEM doivent être prêts pour le chargement.
  • Les certificats auto-signés ne sont pas pris en charge.
  • Le service nécessite que votre DNS dispose d'enregistrements SRV pour les domaines configurés pour utiliser LDAPS. Choisir d'utiliser LDAPS pour un domaine impose implicitement l'utilisation d'enregistrements SRV.
  • Il est fortement recommandé de configurer votre environnement AD pour appliquer la liaison de canal. L'application de la liaison de canal est une partie essentielle de la sécurisation correcte de LDAPS, en particulier pour éviter les attaques de l'intercepteur (MITM).
  • La configuration de votre pare-feu doit autoriser les connexions sortantes depuis la passerelle Passerelle Horizon Edge vers vos contrôleurs de domaine avec les ports et protocoles suivants, comme décrit dans la section Conditions requises pour les ports et les protocoles pour votre déploiement d'Horizon Cloud dans Microsoft Azure.
    • Port 88/TCP : authentification Kerberos
    • Ports 636/TCP et 3269/TCP : communication LDAPS
  • Vous devez disposer d'un point de terminaison de révocation HTTP défini pour tous les certificats de la chaîne d'approbation, à l'exception du certificat racine. Ce point de terminaison doit être accessible sur HTTP. Cette condition requise inclut les points suivants :
    • LDAP ne doit pas être utilisé pour les points de terminaison de révocation.
    • Le service effectuera des vérifications de révocation à l'aide des URL HTTP OCSP ou CRL qui sont définies dans vos certificats.
    • Le service ne peut pas vérifier la révocation si un certificat ne définit pas de point de terminaison OCSP ou CRL pour le protocole HTTP. Dans ce cas, la connectivité LDAPS échoue.
    • La révocation de la vue directe doit être disponible pour les points de terminaison. Vos pare-feu ne doivent pas bloquer le trafic sortant vers votre point de terminaison de révocation sur HTTP.

Procédure

  1. Cliquez sur Intégrations dans le volet de gauche, puis, dans la vignette Identité et accès, cliquez sur Gérer.
  2. Dans l'onglet Domaines, démarrez l'assistant Enregistrement de domaine en cliquant sur Ajouter.
  3. Dans la première étape de l'assistant, fournissez les informations indiquées
    Champ Description
    Nom Nom du domaine Active Directory.
    Description Description facultative.
    Nom de domaine DNS Nom complet de ce domaine Active Directory (par exemple, our-ad.example.com).
    Unité d'organisation par défaut Entrez une unité d'organisation par défaut appropriée.

    Cette unité d'organisation est l'unité d'organisation Active Directory que vous souhaitez que le service utilise par défaut lorsqu'il ajoute les identités de machine qu'il crée pour les postes de travail virtuels et les applications distantes.

    Tapez le nom unique complet de l'unité d'organisation, tel que OU=MyOrg,DC=our-ad,DC=example,DC=com.

    Note : Si vous souhaitez utiliser la valeur par défaut CN=Computers, vous devez l'entrer dans le champ. Même si vous pouvez voir l'interface utilisateur afficher cette valeur par défaut dans le champ, l'assistant ne rendra pas le bouton Suivant disponible, sauf si vous l'entrez directement dans ce champ.
    Comptes de liaison de domaine Fournissez les noms d'utilisateur et les mots de passe des deux comptes de service que vous ou votre équipe informatique avez configurés à cette fin, comme décrit dans la section Exigences relatives à Active Directory dans la liste de vérification des exigences pour le déploiement d'un dispositif Microsoft Azure Edge.

    Ces comptes de service sont utilisés pour effectuer des recherches dans le domaine Active Directory. Le premier compte entré est le compte principal que le service utilise à cette fin. Le compte auxiliaire est une sauvegarde du compte principal.

    Assurez-vous que les comptes entrés ici répondent aux exigences détaillées dans la liste de vérification des exigences.
    Comptes de jonction de domaine Fournissez les noms d'utilisateur et les mots de passe des deux comptes de service que vous ou votre équipe informatique avez configurés à cette fin, comme décrit dans la section Exigences relatives à Active Directory dans la liste de vérification des exigences pour le déploiement d'un dispositif Microsoft Azure Edge.

    Ces comptes de service sont utilisés pour joindre les identités de machine au domaine Active Directory et pour effectuer des opérations Sysprep. Le premier compte entré est le compte principal que le service utilise à cette fin. Le compte auxiliaire est une sauvegarde du compte principal.

    Assurez-vous que les comptes entrés ici répondent aux exigences détaillées dans la liste de vérification des exigences.
    Protocole Sélectionnez le protocole, LDAP ou LDAPS, à utiliser pour connecter votre annuaire Active Directory à la passerelle Passerelle Horizon Edge.

    Si vous sélectionnez LDAPS, utilisez la fonctionnalité Parcourir pour charger vos certificats d'autorité de certification racine et intermédiaire codés au format PEM, qui sont référencés dans les conditions préalables de cette tâche.
    Une fois que vous avez saisi toutes les informations requises, le système rend le bouton Suivant disponible.
  4. Passez à l'étape suivante de l'assistant en cliquant sur Suivant.
    À ce stade, l'assistant rend l'action Enregistrer disponible pour terminer l'enregistrement des informations de domaine dans le système.
  5. (Facultatif) Si vous prévoyez d'utiliser True SSO avec les postes de travail virtuels et les applications distantes de vos utilisateurs finaux, dans la section Compte de service d'inscription de domaine de l'assistant, activez l'option Utiliser le compte d'inscription de domaine.

    Lorsque cette option est activée, l'interface utilisateur affiche des champs vous permettant d'entrer les informations d'identification des comptes d'inscription de domaine requis par la fonctionnalité True SSO. Fournissez les informations en question.

    Attention : Si vous prévoyez plutôt d'utiliser la fonctionnalité SSO qui repose sur l'autorité VMware CA, vous pouvez ignorer cette étape de saisie des informations du compte d'inscription de domaine.

    Un compte d'inscription de domaine est un compte de service d'inscription utilisé par la fonctionnalité True SSO pour obtenir des certificats de courte durée des Services de certificats Active Directory (AD CS). True SSO utilise les certificats pour l'authentification, afin d'éviter d'inviter les utilisateurs à entrer les informations d'identification Active Directory. Vous pouvez voir Horizon Universal Console utiliser de façon interchangeable les termes Compte d'inscription de domaine, Compte de service d'inscription et Compte de service d'inscription de domaine.

    Une fois les champs remplis, l'assistant rend disponible l'action Enregistrer pour terminer l'action d'enregistrement des informations de domaine dans le système.

    Cliquez sur Enregistrer pour terminer l'enregistrement de toutes les informations fournies dans l'assistant.

Résultats

Votre configuration d'Active Directory avec Horizon Edge est terminée. Cependant, lorsque vous continuez à configurer votre déploiement, reportez-vous à la section Diagnostic de Dispositifs Horizon Edge : connectivité Active Directory pour les déploiements Microsoft Azure si vous détectez des problèmes avec la connexion Active Directory.

Que faire ensuite

À la fin des étapes précédentes, le service dispose des informations de domaine Active Directory dont il a besoin pour un déploiement Horizon Cloud on Microsoft Azure.

Pour en savoir plus sur l'ajout de la possibilité pour vos utilisateurs finaux de disposer de la fonctionnalité Single Sign-On (SSO) lors de l'accès à leurs postes de travail et applications, reportez-vous à la section Types d'autorité de certification pris en charge pour l'utilisation de SSO avec un dispositif Horizon Edge dans Microsoft Azure.