Pour les déploiements d'Horizon Cloud Service on Microsoft Azure, le service utilise des appels d'API pour déployer des ressources dans un abonnement Microsoft Azure et pour gérer ces ressources. Pour permettre à Horizon Cloud d'utiliser ses appels d'API dans l'abonnement Microsoft Azure, créez un principal de service, appelé enregistrement d'application dans Microsoft Entra ID.

Créez un maximum de quatre principaux de service uniques pour un fournisseur. Pour prendre en charge un total de 5 000 VM, ajoutez quatre principaux de service. Lorsque vous disposez de plusieurs principaux de service, ils partagent l'ID d'abonnement et l'ID d'annuaire, mais chaque principal de service dispose de son propre ID d'application.
Important : Utilisez le même rôle pour chaque principal de service.

Créez un principal de service pour accéder à la capacité de votre abonnement Microsoft Azure et l'utiliser pour Horizon Cloud. L'ID d'abonnement Microsoft Azure, l'ID d'annuaire, l'ID d'application et la clé sont utilisés dans Horizon Cloud.

Note : Effectuez les tâches décrites dans cette section du portail Microsoft Azure. Vous trouverez les détails de la configuration dans la documentation de Microsoft, Utiliser le portail pour créer une application Azure AD et un principal de service pouvant accéder aux ressources. Alors que Microsoft recommande d'utiliser une authentification par certificat pour le principal de service, VMware requiert une authentification par clé ou secret pour le principal de service.

Un rôle doit être attribué au principal de service Horizon Cloud dans l'abonnement. En général, Horizon Cloud utilise le rôle Contributor intégré avec l'abonnement.

Le rôle Contributor est utilisé, car il couvre tous les appels d'API qu'Horizon Cloud doit effectuer dans l'abonnement. L'attribution de rôle doit être une attribution directe. L'utilisation d'une attribution basée sur un groupe d'un rôle, dans laquelle le rôle est attribué à un groupe et le principal de service est membre de ce groupe, n'est pas prise en charge.

Si votre organisation préfère éviter l'utilisation du rôle Contributor dans l'abonnement, Horizon Cloud prend en charge l'utilisation d'un rôle personnalisé à la place. S'il est utilisé, le rôle personnalisé doit fournir les appels d'API spécifiques qu' Horizon Cloud doit utiliser. Pour plus d'informations, reportez-vous à la section Pour utiliser un rôle personnalisé pour l'enregistrement d'applications Horizon Cloud.
Note : Lors de la suppression d'un pool joint à Microsoft Entra ID ou d'une VM, le principal de service doit disposer des autorisations de suppression de l'entrée de périphérique à partir de Microsoft Entra ID.

Les autorisations sont les suivantes :

Portée : https://graph.microsoft.com/

Autorisation : Device.ReadWrite.All Read and write devices

Consentement administrateur : Yes

L'autorisation peut être accordée en accédant à l'emplacement suivant :

Abonnement > Azure Active Directory > Enregistrements d'applications > Sélectionner l'application à laquelle l'autorisation doit être accordée > Autorisation d'API > Sélectionner Microsoft Graph > Sélectionner Device.ReadWriteAll

Les étapes suivantes fournissent les paramètres à utiliser pour votre environnement Horizon Cloud :

Procédure

  • Configurez jusqu'à quatre principaux de service et secrets du client pour l'abonnement.
    1. Définissez la durée d'expiration du secret du client sur votre longueur préférée, par exemple 24 Months.
    2. Enregistrez une copie du secret du client pour référence ultérieure.
    3. Attribuez le rôle approprié à chaque principal de service pour permettre à ce dernier de gérer les ressources dans l'abonnement.

Que faire ensuite

Enregistrez les fournisseurs de ressources requis. Reportez-vous à la section Confirmer que les fournisseurs de ressources requis sont enregistrés dans votre abonnement Microsoft Azure.