Liste de vérification des conditions requises pour le déploiement d'un dispositif Microsoft Azure Edge

Public concerné par cette liste de vérification

Cette liste de vérification s'applique aux comptes clients Horizon Cloud qui n'ont jamais présenté de déploiement d'Horizon Cloud on Microsoft Azure dans leur environnement de locataire. Ces locataires peuvent être appelés environnements entièrement nouveaux ou vierges.

Vous devez effectuer certains éléments qui suivent avant de déployer Horizon Cloud. Vous pouvez différer certains éléments jusqu'à ce que le déploiement soit terminé et en cours d'exécution.

Conditions requises pour les abonnements Microsoft Azure

Pour connaître les limites de configuration, reportez-vous au Dimensionnement de votre déploiement d'Horizon Cloud Service - next-gen, qui inclut des informations sur l'utilisation de l'outil Valeurs maximales de configuration VMware. À partir de la page Valeurs maximales de configuration, sélectionnez Afficher les limites, VMware Horizon Cloud Service - next-gen, la version la plus récente et les catégories à afficher.


☐	Abonnements Microsoft Azure valides dans un environnement Microsoft Azure pris en charge (Azure Commercial). Si vous souhaitez déployer des dispositifs Horizon Edge, ce qui inclut des instances de la passerelle Passerelle Horizon Edge et d'Unified Access Gateway, dans leur propre fournisseur dédié (abonnement Microsoft Azure), procurez-vous un autre abonnement Microsoft Azure valide pour déployer des pools. Note : Horizon Cloud prend en charge la plupart des régions Microsoft Azure.
☐	Privilèges d'administration Microsoft Azure valides dans chaque abonnement Microsoft Azure, pour que vous utilisiez le portail Microsoft Azure et effectuiez les étapes de préparation du déploiement d'Horizon Cloud.
☐	Créez un ou plusieurs principaux de service dans chaque abonnement Microsoft Azure, en notant l'ID d'abonnement, l'ID d'annuaire et l'ID d'application, et attribuez le rôle approprié à chaque principal de service dans vos abonnements. Reportez-vous à la section Créer un principal de service pour l'abonnement Microsoft Azure. Pour utiliser un rôle personnalisé pour votre principal de service, reportez-vous à la section Pour utiliser un rôle personnalisé pour l'enregistrement d'applications Horizon Cloud. Note : Lorsque vous créez plusieurs principaux de service, ils partagent l'ID d'abonnement et l'ID d'annuaire, mais chaque principal de service dispose de son propre ID d'application.
☐	Déterminez le type de format Microsoft Azure Edge que vous souhaitez déployer. Les options suivantes sont disponibles. Passerelle Edge (VM) = Machine virtuelle de la passerelle Edge La passerelle Edge (VM) est destinée aux déploiements plus petits sans haute disponibilité. Passerelle Edge (AKS) = Azure Kubernetes Service de la passerelle Edge La passerelle Edge (AKS) fournit une haute disponibilité.
☐	Pour déployer une passerelle Edge (AKS), créez une identité gérée par l'utilisateur Microsoft Azure. Horizon Edge utilisant un cluster AKS nécessite une identité gérée par l'utilisateur avec le rôle Contributeur de réseaux dans la portée du groupe de ressources du réseau virtuel de gestion et le rôle Opérateur d'identité gérée dans la portée de l'abonnement Microsoft Azure. Reportez-vous à la documentation de Microsoft sur la gestion des identités attribuées par l'utilisateur. Si votre sous-réseau de gestion dispose d'une table de routage et que le groupe de ressources de celle-ci est différent de celui du réseau virtuel, le rôle Contributeur de réseaux doit également être attribué au groupe de ressources de la table de routage.
☐	Enregistrez les fournisseurs de ressources requis pour votre abonnement Microsoft Azure. Reportez-vous à la section Confirmer que les fournisseurs de ressources requis sont enregistrés dans votre abonnement Microsoft Azure.
☐	Créez un rôle personnalisé qui fournit des autorisations READ aux galeries de calcul Azure dans vos abonnements et attribuez ce rôle personnalisé à tous les principaux de service configurés pour un dispositif Horizon Edge donné.
☐	L'abonnement doit autoriser la création de groupes de ressources qui ne contiennent pas de balises.

Configurations requises pour la capacité Microsoft Azure

Lorsque le tableau suivant fait référence à la capacité Microsoft Azure, aucune installation manuelle n'est nécessaire. Tant que les capacités indiquées sont disponibles dans l'abonnement, le système de déploiement instancie automatiquement les VM décrites.


☐	Capacité Microsoft Azure pour les ressources Horizon Edge principales à déployer dans cet abonnement. Notez que les capacités requises varient selon le format Microsoft Azure Edge que vous déployez, la passerelle Edge (AKS) ou la passerelle Edge (VM). Passerelle Edge (AKS) : quota suffisant pour un cluster AKS à 4 nœuds et un nœud supplémentaire pendant les mises à niveau. Un déploiement de passerelle Edge (AKS) utilise un cluster Azure Kubernetes Service (AKS), qui nécessite quatre nœuds de l'une des tailles de VM prises en charge pour la capacité. Vous trouverez ci-dessous la liste des tailles de SKU de VM prises en charge pour un déploiement de passerelle Edge (AKS) dans l'ordre de priorité décroissant. Si votre abonnement Microsoft Azure dispose d'une capacité pour au moins l'une des tailles de SKU de VM suivantes, le déploiement de dispositifs Edge est accepté. Sinon, le déploiement de dispositifs Edge est refusé. Standard_D2s_v3 - 2 vCPU, 8 Go de mémoire Standard_D2ds_v5 - 2 vCPU, 8 Go de mémoire Standard_D2a_v4 - 2 vCPU, 8 Go de mémoire Lorsque le cluster AKS fonctionne normalement, quatre nœuds de VM sont requis. Un nœud supplémentaire est requis et utilisé pendant le processus de mise à niveau. Passerelle Edge (VM) : quota suffisant pour une machine virtuelle unique. Vous trouverez ci-dessous la liste des tailles de SKU de VM prises en charge pour un déploiement de passerelle Edge (VM) dans l'ordre de priorité décroissant. Si votre abonnement Microsoft Azure dispose d'une capacité pour au moins l'une des tailles de SKU de VM suivantes, le déploiement de dispositifs Edge est accepté. Sinon, le déploiement de dispositifs Edge est refusé. Standard_D4s_v3 - 4 vCPU, mémoire de 16 Go Standard_D4s_v4 - 4 vCPU, mémoire de 16 Go Standard_D4s_v5 - 4 vCPU, mémoire de 16 Go Exécutez des commandes pour vérifier la disponibilité du modèle de VM Microsoft Azure et pour vérifier la sortie de CPU régionale. Reportez-vous à la section Vérifier la disponibilité du modèle de VM Microsoft Azure. Instances d'Unified Access Gateway : au moins 2 des tailles prises en charge qui suivent. La taille par défaut et recommandée est Standard_F8s_v2. Standard_A4_v2 Standard_D8s_v4 Standard_D16s_v4 Standard_D8s_v5 Standard_D16s_v5 Standard_F8s_v2 Standard_F16s_v2 Note : Le modèle de VM `A4_v2` suffit uniquement pour les validations de concept (PoC), les pilotes ou les environnements plus petits dans lesquels vous savez que vous ne dépasserez pas 1 000 sessions actives sur Horizon Edge. Lorsque votre instance d'Horizon Edge est prête à l'emploi, votre capacité dans le cloud Microsoft Azure doit également intégrer les VM importées, les images, les VM de pool et les VM de capture d'application App Volumes que vous créez dans cette instance d'Horizon Edge. Reportez-vous à la section Image Management System Requirements.

Conditions requises pour le réseau

La configuration réseau requise suivante inclut les détails nécessaires au déploiement et à l'utilisation d'un dispositif Horizon Edge. Les deux tableaux suivants sont semblables, mais différents. Utilisez le tableau qui s'applique au type de format Microsoft Azure Edge que vous prévoyez de déployer, Passerelle Edge (VM) ou Passerelle Edge (AKS).

Passerelle Edge (VM): Utilisez le tableau suivant pour un déploiement de passerelle Edge (VM).

Tableau 1. Configuration réseau requise pour une passerelle Edge (VM)
☐	Réseau virtuel Microsoft Azure créé dans la région Microsoft Azure cible avec l'espace d'adresses applicable pour couvrir les sous-réseaux requis. Reportez-vous à la section Configurer les paramètres réseau pour les régions Microsoft Azure.
☐	Les conditions requises suivantes pour le sous-réseau sont minimales. Pour des environnements plus grands, des sous-réseaux de taille plus grande peuvent être requis. Sous-réseau de gestion : /26 minimum Sous-réseau de poste de travail (locataire) - principal : /27 minimum, mais d'une taille appropriée en fonction du nombre de postes de travail et de serveurs RDS. Vous pouvez ajouter d'autres sous-réseaux si nécessaire. Sous-réseau de zone DMZ : /27 minimum pour le cluster d'instances d'Unified Access Gateway (non requis pour le type d'accès à l'instance interne d'Unified Access Gateway). Vous devez créer manuellement des sous-réseaux sur le réseau virtuel comme condition préalable. Reportez-vous à la section Configurer les paramètres réseau pour les régions Microsoft Azure. Il est recommandé de ne pas attacher d'autres ressources aux sous-réseaux. Si vous choisissez d'utiliser un fournisseur dédié pour déployer des dispositifs de passerelle Horizon (Passerelle Horizon Edge et Unified Access Gateway), vous devez créer des sous-réseaux principaux dans le fournisseur à partir duquel les postes de travail seront déployés.
☐	Configurez le serveur DNS du réseau virtuel, pointant vers un serveur DNS valide qui peut résoudre les noms de machines internes et externes. Reportez-vous à la section Configurer les enregistrements DNS requis après le déploiement de la passerelle Passerelle Horizon Edge et d'Unified Access Gateway. Pour les points de terminaison internes, le serveur AD en est un exemple. Pour les points de terminaison externes, l'accès Internet sortant sur les réseaux virtuels que vous utilisez pour le déploiement de la passerelle doit résoudre et atteindre des noms DNS spécifiques à l'aide de ports et de protocoles spécifiques. Cette condition est requise pour le déploiement et les opérations en cours.
☐	L'accès Internet sortant sur les réseaux virtuels que vous utilisez pour le déploiement d'Horizon Edge doit résoudre et atteindre des noms DNS spécifiques à l'aide de ports et de protocoles spécifiques. Cette condition est requise pour le déploiement et les opérations en cours. Pour obtenir la liste des noms et des ports DNS, reportez-vous à la section Rendre les URL de destination appropriées accessibles pour déployer une passerelle Passerelle Horizon Edge dans un environnement Microsoft Azure.
☐	Facultatif. Informations sur le serveur proxy, si cela s'avère nécessaire pour l'accès Internet sortant sur le réseau virtuel qui est utilisé pendant le déploiement et les opérations en cours de l'environnement Horizon Cloud.
☐	Facultatif. Microsoft Azure VPN/Express Route configurés, lorsque vous souhaitez établir une mise en réseau entre le réseau virtuel et votre réseau d'entreprise sur site.

Passerelle Edge (AKS): Utilisez le tableau suivant pour un déploiement de passerelle Edge (AKS). Ces conditions requises incluent la prise en charge de la configuration de la passerelle Passerelle Horizon Edge à l'aide d'un cluster AKS. La configuration de la passerelle Passerelle Horizon Edge à l'aide d'un cluster AKS fournit une solution plus facilement évolutive.

Tableau 2. Configuration réseau requise pour une passerelle Edge (AKS)
☐	Réseau virtuel Microsoft Azure créé dans la région Microsoft Azure cible avec l'espace d'adresses applicable pour couvrir les sous-réseaux requis. Reportez-vous à la section Configurer les paramètres réseau pour les régions Microsoft Azure.
☐	Les conditions requises suivantes pour le sous-réseau sont minimales. Pour des environnements plus grands, des sous-réseaux de taille plus grande peuvent être requis. Sous-réseau de gestion : /26 minimum En cas de déploiement d'une passerelle Edge (AKS), configurez une passerelle NAT pour le sous-réseau de gestion, car un dispositif Horizon Edge utilisant un cluster AKS a besoin d'une passerelle NAT pour la connectivité sortante. Sous-réseau de poste de travail (locataire) - principal : /27 minimum, mais d'une taille appropriée en fonction du nombre de postes de travail et de serveurs RDS. Vous pouvez ajouter d'autres sous-réseaux si nécessaire. Sous-réseau de zone DMZ : /27 minimum pour le cluster d'instances d'Unified Access Gateway (non requis pour le type d'accès à l'instance interne d'Unified Access Gateway). Vous devez créer manuellement des sous-réseaux sur le réseau virtuel comme condition préalable. Reportez-vous à la section Configurer les paramètres réseau pour les régions Microsoft Azure. Il est recommandé de ne pas attacher d'autres ressources aux sous-réseaux. Si vous choisissez d'utiliser un fournisseur dédié pour déployer des dispositifs de passerelle Horizon (Passerelle Horizon Edge et Unified Access Gateway), vous devez créer des sous-réseaux principaux dans le fournisseur à partir duquel les postes de travail seront déployés.
☐	Si vous déployez une passerelle Edge (AKS) et que vous sélectionnez la valeur de type de cluster sortant comme passerelle NAT au moment de la création du dispositif Edge, configurez une passerelle NAT sur le sous-réseau de gestion pour activer la connectivité sortante du dispositif Passerelle Horizon Edge. Si vous sélectionnez la valeur de type de cluster sortant comme routes définies par l'utilisateur lors de la création du dispositif Edge, configurez une table de routage sur le sous-réseau de gestion avec la route par défaut 0.0.0.0/0 pointant vers un tronçon suivant de type VirtualAppliance ou VirtualNetworkGateway.
☐	Collectez les plages d'adresses IP CIDR suivantes pour lesquelles vous devez configurer Passerelle Horizon Edge pendant le déploiement. Note : Assurez-vous que ces plages ne sont pas en conflit avec les autres plages utilisées dans votre environnement. CIDR de service : /27 minimum CIDR d'espace : /21 minimum Si vous déployez une passerelle Edge (AKS), vous devez vous conformer à la condition requise suivante de Microsoft Azure pour déployer le cluster AKS. Lorsque vous déployez Horizon Edge à l'aide d'Horizon Universal Console, assurez-vous que le CIDR de service, le CIDR d'espace et l'espace d'adresses du réseau virtuel du sous-réseau de gestion ne sont pas en conflit avec les plages d'adresses IP suivantes : 169.254.0.0/16 172.30.0.0/16 172.31.0.0/16 192.0.2.0/24
☐	Configurez le serveur DNS du réseau virtuel, pointant vers un serveur DNS valide qui peut résoudre les noms de machines internes et externes. Reportez-vous à la section Configurer les enregistrements DNS requis après le déploiement de la passerelle Passerelle Horizon Edge et d'Unified Access Gateway. Pour les points de terminaison internes, le serveur AD en est un exemple. Pour les points de terminaison externes, l'accès Internet sortant sur les réseaux virtuels que vous utilisez pour le déploiement de la passerelle doit résoudre et atteindre des noms DNS spécifiques à l'aide de ports et de protocoles spécifiques. Cette condition est requise pour le déploiement et les opérations en cours.
☐	L'accès Internet sortant sur les réseaux virtuels que vous utilisez pour le déploiement d'Horizon Edge doit résoudre et atteindre des noms DNS spécifiques à l'aide de ports et de protocoles spécifiques. Cette condition est requise pour le déploiement et les opérations en cours. Pour obtenir la liste des noms et des ports DNS, reportez-vous à la section Rendre les URL de destination appropriées accessibles pour déployer une passerelle Passerelle Horizon Edge dans un environnement Microsoft Azure.
☐	Facultatif. Informations sur le serveur proxy, si cela s'avère nécessaire pour l'accès Internet sortant sur le réseau virtuel qui est utilisé pendant le déploiement et les opérations en cours de l'environnement Horizon Cloud.
☐	Facultatif. Microsoft Azure VPN/Express Route configurés, lorsque vous souhaitez établir une mise en réseau entre le réseau virtuel et votre réseau d'entreprise sur site.
☐	Si vous déployez une passerelle Edge (AKS), concernant l'utilisation d'un cluster AKS par le dispositif Horizon Edge, si le réseau virtuel que vous utilisez pour le déploiement d'Horizon Edge dispose d'un serveur DNS personnalisé, vous pouvez ajouter l'adresse IP 168.63.129.16 de DNS Microsoft Azure comme redirecteur DNS pour la résolution des noms externes.

Conditions requises pour les ports et les protocoles


☐	Des ports et protocoles spécifiques sont requis pour le déploiement et les opérations en cours de votre environnement Horizon Cloud. Reportez-vous à la section Conditions requises pour les ports et les protocoles pour votre déploiement d'Horizon Cloud dans Microsoft Azure.

Conditions requises pour Unified Access Gateway

Un cluster de VM Unified Access Gateway est associé à un pool qui permet aux clients de disposer de connexions HTML Access approuvées aux VM de ce pool.

Utilisez Horizon Universal Console pour configurer Horizon Cloud avec Unified Access Gateway. Les éléments ci-dessous sont requis pour ce type de configuration.


☐	L'accès Internet sortant à .horizon.vmware.com est requis dans tous les types de configuration. Lorsque l'option Autoriser l'accès interne sur un réseau d'entreprise est le Type d'accès à Unified Access Gateway, vous pouvez appliquer le routage défini par l'utilisateur ou la passerelle NAT au sous-réseau de gestion pour autoriser le trafic sortant. Lorsque le Type d'accès à Unified Access Gateway est configuré en externe avec un réseau DMZ, vous devez configurer l'accès externe à .horizon.vmware.com sur le réseau DMZ.
☐	Le nom de domaine complet est requis pour la configuration d'Unified Access Gateway.
☐	Un ou plusieurs certificats pour Unified Access Gateway au format PEM correspondant au nom de domaine complet. Note : Si le ou les certificats que vous fournissez à cet effet utilisent des paramètres CRL (listes de révocation des certificats) ou OCSP (Online Certificate Status Protocol) qui font référence à des noms DNS spécifiques, vous devez vous assurer que l'accès Internet sortant sur le réseau virtuel peut être résolu et accessible. Lors de la configuration de votre certificat fourni dans la configuration d' Unified Access Gateway, le logiciel Unified Access Gateway accède à ces noms DNS pour vérifier l'état de révocation du certificat. Si ces noms DNS ne sont pas accessibles, le déploiement échoue. Ces noms dépendent beaucoup de l'autorité de certification que vous avez utilisée pour obtenir les certificats, ce qui est en dehors du contrôle de VMware.

Présentation de l'identité d'utilisateur et de l'identité de machine

Horizon Cloud Service - next-gen diffère des autres environnements dans la manière dont il gère l'identité. Dans Horizon Cloud Service - next-gen, le service fait la distinction entre l'identité d'utilisateur et l'identité de machine, et il s'appuie sur les deux types d'identité lors de l'établissement d'une connexion sécurisée entre un client et une application ou un poste de travail distant.

Note : Cette distinction entre identité d'utilisateur et identité de machine peut vous sembler nouvelle si vous connaissez mieux les environnements qui utilisent un fournisseur d'identité unique pour authentifier à la fois l'identité d'utilisateur et de machine, comme l'environnement Horizon Cloud de première génération ou un environnement Horizon 8 sur site.

Dans Horizon Cloud Service - next-gen, vous devez configurer une configuration d'identité composée d'un fournisseur d'identité pour authentifier l'identité d'utilisateur et d'un fournisseur d'identité pour authentifier l'identité de machine.

Identité d'utilisateur: Horizon Cloud Service - next-gen nécessite l'enregistrement d'un fournisseur d'identité utilisateur. Le service utilise ce fournisseur d'identité pour authentifier les utilisateurs clients qui tentent d'accéder à des applications et des postes de travail distants.
Identité de machine: Horizon Cloud Service - next-gen nécessite également l'enregistrement d'un fournisseur d'identité de machine. Le service utilise ce fournisseur d'identité pour établir l'identité de machine des machines virtuelles qui fournissent des applications et des postes de travail distants.
Par le biais du fournisseur d'identité de machine, le service joint les postes de travail distants et les sources de machines virtuelles pour les applications distantes au domaine de réseau approuvé auquel les utilisateurs clients sont autorisés à accéder.

Configurations d'identité prises en charge

Horizon Cloud Service - next-gen nécessite l'enregistrement d'une configuration d'identité qui se compose d'un fournisseur d'identité d'utilisateur et d'un fournisseur d'identité de machine. Les capacités de la fonctionnalité peuvent varier en fonction des fournisseurs d'identité particuliers inclus dans la configuration.

Horizon Cloud Service - next-gen prend en charge les configurations d'identité suivantes.

Tableau 3. Configurations d'identité prises en charge pour Horizon Cloud Service - next-gen
Configuration de l'identité	Fournisseur d'identité d'utilisateur	Fournisseur d'identité de machine	Considérations relatives aux fonctionnalités
A	Microsoft Entra ID	Active Directory	Prend en charge SSO pour des applications et des postes de travail distants
B	Microsoft Entra ID	Microsoft Entra ID	Ne prend pas en charge Single Sign-On (SSO) pour des applications et des postes de travail distants
C	Workspace ONE Access	Active Directory	Prend en charge SSO pour des applications et des postes de travail distants Prend en charge l'intégration à Workspace ONE

Les sections suivantes de cette page décrivent les conditions requises détaillées pour chaque fournisseur d'identité d'utilisateur et fournisseur d'identité de machine pris en charge.

Conditions requises pour l'identité d'utilisateur

Cette section décrit les conditions requises pour le fournisseur d'identité d'utilisateur que vous choisissez d'utiliser dans votre configuration d'identité. Horizon Cloud Service - next-gen prend en charge Microsoft Entra ID et Workspace ONE Access comme fournisseurs d'identité d'utilisateur.

Outre les conditions requises décrites dans cette section, reportez-vous à Configurations d'identité prises en charge pour plus d'informations sur les considérations relatives aux fonctionnalités et les fournisseurs d'identité de machine que vous pouvez utiliser avec chaque fournisseur d'identité d'utilisateur. Pour obtenir une présentation de la manière dont Horizon Cloud Service - next-gen gère les identités, reportez-vous à la section Présentation de l'identité d'utilisateur et de l'identité de machine.

Microsoft Entra ID


☐	Lorsque Microsoft Entra ID est votre fournisseur d'identité, un utilisateur disposant de privilèges d'administrateur global doit effectuer les opérations suivantes. Approuvez les autorisations demandées. Donnez votre consentement à l'ensemble de l'organisation.

Workspace ONE Access


☐	Lorsque Workspace ONE Access Workspace ONE Access est votre fournisseur d'identité d'utilisateur, un utilisateur disposant de privilèges d'administrateur doit effectuer les opérations suivantes. Approuvez les autorisations demandées. Donnez votre consentement à l'ensemble de l'organisation.

Conditions requises pour l'identité de machine

Cette section décrit les conditions requises pour le fournisseur d'identité de machine que vous choisissez d'utiliser dans votre configuration d'identité. Horizon Cloud Service - next-gen prend en charge Microsoft Entra ID et Active Directory comme fournisseurs d'identité de machine.

Outre les conditions requises décrites dans cette section, reportez-vous à Configurations d'identité prises en charge pour plus d'informations sur les considérations relatives aux fonctionnalités et les fournisseurs d'identité d'utilisateur que vous pouvez utiliser avec chaque fournisseur d'identité de machine. Pour obtenir une présentation de la manière dont Horizon Cloud Service - next-gen gère les identités, reportez-vous à la section Présentation de l'identité d'utilisateur et de l'identité de machine.

Microsoft Entra ID


☐	Pour activer la suppression d'un pool ou d'une VM, le principal de service doit disposer des autorisations de suppression de l'entrée de périphérique à partir de Microsoft Entra ID. Les autorisations sont les suivantes : `Scope: https://graph.microsoft.com/` `Permission : Device.ReadWrite.All` `Read and write devices` `Admin Consent : Yes` L'autorisation peut être accordée en accédant à l'emplacement suivant : Abonnement -> Azure Active Directory -> Enregistrements d'applications -> Sélectionner l'application à laquelle l'autorisation doit être accordée -> Autorisation d'API -> Sélectionner Microsoft Graph -> Sélectionner Device.ReadWriteAll
☐	Configurez RBAC dans Microsoft Entra ID. Cette configuration garantit que seuls les utilisateurs ou les groupes d'utilisateurs disposant d'un rôle Connexion d'administrateur de machine virtuelle ou Connexion d'utilisateur de machine virtuelle peuvent se connecter à leurs droits.

Active Directory


☐	Serveur Active Directory avec une vue directe sur les instances de la passerelle Horizon Edge et les sous-réseaux de poste de travail. Par exemple : Serveur Active Directory sur site connecté via un VPN/Express Route Un serveur Active Directory situé dans Microsoft Azure
☐	Si vous prévoyez de connecter votre annuaire Active Directory avec LDAPS, collectez les certificats d'autorité de certification racine et intermédiaire codés au format PEM pour votre domaine Active Directory. Lorsque vous utilisez Horizon Universal Console pour configurer votre domaine Active Directory, vous êtes alors invité à charger les certificats d'autorité de certification racine et intermédiaire codés au format PEM.
☐	Niveaux fonctionnels de domaine des services de domaine Microsoft Windows Active Directory (AD DS) pris en charge. Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Versions de SE des services de domaine Microsoft Windows Active Directory (AD DS) prises en charge. Windows Server 2019 Windows Server 2016 Windows Server 2012 R
☐	Compte de liaison de domaine Compte de liaison de domaine Active Directory (utilisateur standard avec accès en lecture) disposant de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : `"/ \ [ ] : ; \| = , + * ? < >` Le compte doit disposer des autorisations suivantes : Contenu de la liste Toutes les propriétés - accès en lecture Autorisations d'accès en lecture tokenGroupsGlobalAndUniversal - accès en lecture (sous-entendu par Toutes les propriétés - accès en lecture) Définissez le mot de passe du compte sur N'expire jamais pour garantir un accès continu pour vous connecter à votre environnement Horizon Cloud. Si vous connaissez bien l'offre Horizon sur site, les autorisations ci-dessus sont les mêmes que celles requises pour les comptes d'informations d'identification secondaires de l'offre Horizon sur site. Les comptes de liaison de domaine se voient accorder les autorisations prêtes à l'emploi liées à l'accès en lecture par défaut et en général accordées aux Utilisateurs authentifiés dans un déploiement de Microsoft Active Directory. Cependant, si les administrateurs AD de votre organisation ont choisi de verrouiller les autorisations liées à l'accès en lecture pour les utilisateurs standard, vous devez demander aux administrateurs AD de conserver les valeurs standard par défaut des utilisateurs authentifiés pour les comptes de liaison de domaine que vous utiliserez pour Horizon Cloud. Référence : Création de comptes de liaison de domaine et de jonction de domaine dans Active Directory
☐	Compte de liaison de domaine auxiliaire Doit être distinct du compte de liaison de domaine principal. L'interface utilisateur empêche la réutilisation du même compte dans les deux champs. Compte de liaison de domaine Active Directory (utilisateur standard avec accès en lecture) disposant de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : `"/ \ [ ] : ; \| = , + * ? < >` Le compte doit disposer des autorisations suivantes : Contenu de la liste Toutes les propriétés - accès en lecture Autorisations d'accès en lecture tokenGroupsGlobalAndUniversal - accès en lecture (sous-entendu par Toutes les propriétés - accès en lecture) Définissez le mot de passe du compte sur N'expire jamais pour garantir un accès continu pour vous connecter à votre environnement Horizon Cloud. Si vous connaissez bien l'offre Horizon sur site, les autorisations ci-dessus sont les mêmes que celles requises pour les comptes d'informations d'identification secondaires de l'offre Horizon sur site. Les comptes de liaison de domaine se voient accorder les autorisations prêtes à l'emploi liées à l'accès en lecture par défaut et en général accordées aux Utilisateurs authentifiés dans un déploiement de Microsoft Active Directory. Cependant, si les administrateurs AD de votre organisation ont choisi de verrouiller les autorisations liées à l'accès en lecture pour les utilisateurs standard, vous devez demander aux administrateurs AD de conserver les valeurs standard par défaut des utilisateurs authentifiés pour les comptes de liaison de domaine que vous utiliserez pour Horizon Cloud.
☐	Compte de jonction de domaine Compte de jonction de domaine Active Directory qui peut être utilisé par le système pour effectuer des opérations Sysprep et joindre les ordinateurs virtuels au domaine. Généralement, il s'agit d'un nouveau compte que vous créez dans ce but explicite. (Un compte d'utilisateur de jonction de domaine) Le compte doit disposer de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : `"/ \ [ ] : ; \| = , + * ? < >` L'utilisation d'espaces blancs dans le nom d'utilisateur du compte n'est actuellement pas prise en charge. Définissez le mot de passe du compte sur N'expire jamais pour qu'Horizon Cloud puisse continuer à effectuer les opérations Sysprep et à joindre les ordinateurs virtuels au domaine. Ce compte nécessite les autorisations Active Directory suivantes, appliquées à l'unité d'organisation Ordinateurs ou à l'unité d'organisation que vous entrez dans l'interface utilisateur de jonction de domaine de la console. Toutes les propriétés - accès en lecture : cet objet uniquement Créer des objets ordinateur : cet objet et tous les objets descendants Supprimer les objets ordinateur : cet objet et tous les objets descendants Toutes les propriétés - accès en écriture : objets ordinateur descendants Réinitialiser le mot de passe : objets ordinateur descendants En ce qui concerne l'unité d'organisation (OU) cible que vous prévoyez d'utiliser pour les pools, ce compte nécessite également l'autorisation Active Directory nommée Toutes les propriétés - accès en écriture sur tous les objets descendants de cette unité d'organisation (OU) cible. Pour plus d'informations sur la création et la réutilisation de comptes de jonction de domaine, reportez-vous à la section Création de comptes de liaison de domaine et de jonction de domaine dans Active Directory. Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut `Prevent Accidental Deletion` qui applique un `Deny` à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement le `Deny` qu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisation `Deny` définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.
☐	Compte de jonction de domaine auxiliaire facultatif Compte de jonction de domaine Active Directory qui peut être utilisé par le système pour effectuer des opérations Sysprep et joindre les ordinateurs virtuels au domaine. Généralement, il s'agit d'un nouveau compte que vous créez dans ce but explicite. (Un compte d'utilisateur de jonction de domaine) Le compte doit disposer de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : `"/ \ [ ] : ; \| = , + * ? < >` L'utilisation d'espaces blancs dans le nom d'utilisateur du compte n'est actuellement pas prise en charge. Définissez le mot de passe du compte sur N'expire jamais pour qu'Horizon Cloud puisse continuer à effectuer les opérations Sysprep et à joindre les ordinateurs virtuels au domaine. Ce compte nécessite les autorisations Active Directory suivantes, appliquées à l'unité d'organisation Ordinateurs ou à l'unité d'organisation que vous entrez dans l'interface utilisateur de jonction de domaine de la console. Toutes les propriétés - accès en lecture : cet objet uniquement Créer des objets ordinateur : cet objet et tous les objets descendants Supprimer les objets ordinateur : cet objet et tous les objets descendants Toutes les propriétés - accès en écriture : objets ordinateur descendants Réinitialiser le mot de passe : objets ordinateur descendants En ce qui concerne l'unité d'organisation (OU) cible que vous prévoyez d'utiliser pour les pools, ce compte nécessite également l'autorisation Active Directory nommée Toutes les propriétés - accès en écriture sur tous les objets descendants de cette unité d'organisation (OU) cible. Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut `Prevent Accidental Deletion` qui applique un `Deny` à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement le `Deny` qu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisation `Deny` définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.
☐	Unités d'organisation Active Directory pour les postes de travail virtuels et les postes de travail basés sur une session RDS et/ou les applications publiées. Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut `Prevent Accidental Deletion` qui applique un `Deny` à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement le `Deny` qu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisation `Deny` définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.

Image Management System Requirements

Votre abonnement Microsoft Azure doit intégrer les conditions requises suivantes en fonction des types d'images à provisionner à partir du dispositif Horizon Edge déployé.


☐	Base de l'image. Une ou plusieurs des configurations de VM Microsoft Azure prises en charge. Les VM Microsoft Azure de génération 1 et 2 sont prises en charge. Assurez-vous que vous disposez d'un quota suffisant pour le modèle à utiliser pour la VM de base. Les types de modèles suivants sont définis par défaut et recommandés. Sans GPU : Standard_DS2_v2 GPU activé : Standard_NV12s_v3 Outre les types répertoriés Sans GPU et Avec GPU activé, les types de modèles sont pris en charge, mais pas nécessairement vérifiés. Assurez-vous que vous disposez d'un quota suffisant dans votre abonnement si vous sélectionnez l'un de ces modèles.

Configuration requise pour les VM de pool

Votre abonnement Microsoft Azure doit intégrer les conditions requises suivantes en fonction des types de VM de pool à provisionner à partir du dispositif Horizon Edge déployé.


☐	Sélection du modèle de VM dans les pools : toutes les configurations de VM Microsoft Azure disponibles dans la région Microsoft Azure, à l'exception de celles qui ne sont pas compatibles avec les opérations de poste de travail Horizon Cloud. Tenez compte des détails suivants lors de la sélection d'un modèle de VM. La décision de choisir entre un type de modèle avec GPU activé et un type de modèle sans GPU dépend de la VM sélectionnée lors de la création de l'image. Pour créer un pool à plusieurs sessions, sélectionnez une image créée à l'aide d'un système d'exploitation à plusieurs sessions. Pour les environnements de production, le test de dimensionnement recommande d'utiliser des modèles disposant d'au moins 2 CPU. Reportez-vous à la section Types et tailles de VM Microsoft Azure pour Horizon Cloud Service - next-gen (89090) pour en savoir plus sur la compatibilité des différents types et des différentes tailles de VM Microsoft Azure avec VMware Horizon Cloud Service - next-gen. Les VM Microsoft Azure de génération 1 et 2 sont prises en charge dans les pools.

Conditions requises pour Horizon Client et Horizon HTML Access (client Web)


☐	Pour activer l'accès des utilisateurs finaux aux ressources autorisées dans votre environnement Horizon Cloud, assurez-vous qu'ils utilisent l'un des clients pris en charge suivants. Horizon Client Les utilisateurs finaux peuvent utiliser les versions d' Horizon Client suivantes : Horizon Client pour Windows 2111 ou version ultérieure Horizon Client pour Mac 2111 ou version ultérieure Horizon Client pour Linux 2206 ou version ultérieure Horizon Client 2303 pour Android ou une version ultérieure Horizon Client 2303 pour iOS ou une version ultérieure Horizon Client 2306 pour Chrome ou une version ultérieure Horizon HTML Access Les utilisateurs finaux peuvent se connecter à la version d'HTML Access intégrée à l'environnement Horizon Cloud.