Lors du processus d'authentification sur la console d'administration basée sur le cloud, après l'authentification sur l'écran de connexion initiale à l'aide d'un compte My VMware, l'individu de votre organisation entre ses informations d'identification de compte d'utilisateur Active Directory dans le deuxième écran de connexion, en fonction du domaine Active Directory que vous avez enregistré dans l'environnement. Le système fournit des rôles prédéfinis que vous pouvez attribuer à vos différents groupes Active Directory. Ces rôles liés au domaine Active Directory contrôlent les zones de la console qui sont visibles et activées ou visibles et désactivées, car la personne connectée parcourt la console. Vous devez attribuer un rôle aux groupes Active Directory appropriés de votre organisation afin que les utilisateurs de ce groupe puissent utiliser la console pour effectuer les activités de travail que vous souhaitez.

Le rôle que vous attribuez à l'aide des étapes ici est l'un des deux types de rôles que la console utilise pour déterminer ce que la session authentifiée d'une personne permet à cette personne d'afficher dans la console et les actions qu'elle peut effectuer sur les éléments visibles dans la console. Dans le workflow de connexion standard, l'écran de première connexion de la console utilise les comptes My VMware, qui sont associés aux rôles à l'aide de la page Paramètres généraux. Le deuxième écran de connexion utilise les informations d'identification d'Active Directory, qui sont associées aux rôles sur cette page Rôles et autorisations. Ces rôles liés au domaine Active Directory déterminent la visibilité des fonctionnalités et des éléments de la console. Ce rôle détermine également les éléments de l'interface utilisateur qui peuvent s'afficher comme étant désactivés lorsque la personne parcourt la console. Par exemple, une personne d'un groupe Active Directory qui reçoit le rôle Administrateur du support technique en lecture seule peut accéder aux fiches utilisateurs pour les utilisateurs finaux et afficher les informations, mais ne peut pas effectuer des opérations sur les postes de travail. Une personne d'un groupe Active Directory qui reçoit le rôle Administrateur de support technique peut accéder aux fiches utilisateurs et effectuer des opérations de dépannage ainsi qu'afficher les informations.

Ces rôles liés au domaine Active Directory fonctionnent conjointement avec les rôles sur les comptes My VMware que les personnes de votre organisation utilisent pour se connecter à l'aide du workflow de connexion standard. Par conséquent, vous devez vous assurer que la combinaison globale des deux rôles continue de refléter les résultats souhaités pour un particulier, même si celui-ci est transféré vers des postes et des groupes Active Directory différents au sein de votre organisation. Pour plus d'informations sur les deux types de rôles et les couplages des meilleures pratiques des attributions de rôles, reportez-vous à la section Meilleures pratiques concernant les deux types de rôles que vous attribuez aux personnes pour qu'elles utilisent la Console d'administration d'Horizon Cloud afin d'exploiter votre environnement Horizon Cloud.

Note : Les modifications de rôles que vous effectuez à l'aide de la plate-forme Horizon Cloud Service, via VMware Cloud Services sur cloud.vmware.com, ne s'affichent pas dans la Console d'administration d'Horizon Cloud. Vous devez apporter des modifications de rôles directement dans la Console d'administration d'Horizon Cloud, comme décrit ci-dessous.
Attention : Gardez à l'esprit que le rôle Super administrateur détermine les comptes d'utilisateurs AD qui peuvent se connecter à votre compte de locataire Horizon Cloud et effectuer des opérations administratives dans la console, y compris les étapes à suivre pour attribuer des rôles à vos groupes AD. Si vous ne disposez que d'un seul groupe AD attribué au rôle Super administrateur, ne supprimez pas ce groupe d'administrateurs de votre système Active Directory ou ne modifiez pas son GUID tel qu'il s'affiche dans votre système Active Directory jusqu'à ce que vous ayez ajouté un autre groupe d'administrateurs à ce rôle Super administrateur. Si vous supprimez le groupe de votre système Active Directory ou si vous le modifiez de sorte que son GUID dans votre système Active Directory change, cette modification n'est pas communiquée au plan de contrôle d'Horizon Cloud et les connaissances par Horizon Cloud de ce groupe AD disposant du rôle Super administrateur seront interrompues. Si ce groupe est le seul que vous ayez attribué au rôle Super administrateur, il se peut alors qu'aucun de vos comptes AD qui étaient en mesure de se connecter avec le niveau d'accès Super administrateur ne puisse se connecter et effectuer des opérations d'administration, y compris l'opération d'attribution du rôle à un groupe AD pour rétablir un ensemble de comptes AD avec l'accès Super administrateur. Le rôle Super administrateur est toujours attribué au compte de liaison de domaine. Si vous avez supprimé votre seul groupe AD attribué au rôle Super administrateur et que le compte de liaison de domaine ne se trouvait pas dans ce groupe, vous pouvez essayer de vous connecter à la console à l'aide des informations d'identification du compte de liaison de domaine et d'effectuer les étapes pour attribuer le rôle Super administrateur à un nouveau groupe AD. Cependant, si vous ne parvenez pas à vous connecter avec le compte de liaison de domaine, vous devrez contacter le support VMware pour vous aider à récupérer l'accès administratif à votre compte de locataire.
Important : Ces rôles d' Horizon Cloud ne peuvent être attribués qu'à des groupes. Le système ne permet pas de choisir des comptes d'utilisateurs Active Directory individuels pour chaque rôle.
  • Il est essentiel de bien comprendre ce point lorsqu'il s'agit du compte de jonction de domaine, lorsque vos espaces connectés au cloud se trouvent dans Microsoft Azure. Si le compte de jonction de domaine que vous avez inscrit pour votre espace initial dans Microsoft Azure n’est pas déjà dans un de vos groupes Active Directory, créez-en un pour ce compte afin de vous assurer que le rôle Super administrateur peut être attribué à ce compte de jonction de domaine. Le rôle Super administrateur doit être attribué à ce compte de jonction de domaine pour que ces opérations système, qui impliquent la jonction des machines virtuelles au domaine, fonctionnent correctement pour les espaces dans Microsoft Azure. Pour plus de détails, reportez-vous à Comptes de service requis par Horizon Cloud pour ses opérations.
  • Ce point selon lequel les rôles peuvent être uniquement attribués à des groupes et pas à des comptes individuels implique également que vous devez éviter d'attribuer deux rôles au même groupe de domaines Active Directory. Le rôle Super administrateur doit accorder l'ensemble des autorisations nécessaires pour effectuer toutes les actions de gestion dans la console, et le rôle Administrateur de démo est un rôle en lecture seule. Si vous attribuez ces deux rôles au même groupe Active Directory, tous les utilisateurs de ce groupe ne recevront pas les autorisations du rôle Super administrateur. Leurs actions sont restreintes dans la console, ce qui peut empêcher la disponibilité de la gestion complète de votre environnement.

Les rôles prédéfinis suivants sont fournis par défaut. Les rôles prédéfinis ne peuvent pas être modifiés.

Tableau 1. Groupes de contrôle d’accès basé sur les rôles Horizon Cloud
Rôle Description
Super administrateur Rôle obligatoire devant être attribué à au moins un groupe dans votre domaine Active Directory et éventuellement à d'autres. Ce rôle accorde toutes les autorisations permettant d'accéder à toutes les zones de la console et d'effectuer des actions de gestion dans la console.
Important : Assurez-vous que le compte de jonction de domaine que vous avez spécifié lors de l'inscription du domaine Active Directory dans le premier espace est dans l'un des groupes ayant le rôle Super administrateur. Pour la réussite complète des opérations impliquant des images et des opérations de jonction de domaines, le rôle Super administrateur doit être attribué à ce compte de jonction de domaine.

le rôle Super administrateur est toujours attribué aux comptes de liaison de domaine principal et auxiliaire, ce qui accorde toutes les autorisations pour effectuer des actions de gestion dans la console. Vous devez vous assurer que les comptes de liaison de domaine spécifiés ne sont pas accessibles aux utilisateurs qui ne doivent pas disposer des autorisations de super administrateur.

Administrateur de support technique Rôle que vous pouvez éventuellement attribuer à un ou plusieurs groupes. L'objectif de ce rôle consiste à fournir un accès à la console afin que vos groupes Active Directory disposant de ce rôle puissent utiliser les fonctionnalités de la fiche utilisateur pour :
  • Consulter l'état des sessions d'utilisateurs finaux.
  • Effectuer des opérations de dépannage sur les sessions.
Administrateur de support technique en lecture seule Rôle que vous pouvez éventuellement attribuer à un des nombreux groupes. L'objectif de ce rôle consiste à fournir un accès à la console afin que vos groupes Active Directory disposant de ce rôle puissent utiliser les fonctionnalités de la fiche utilisateur pour consulter l'état des sessions d'utilisateurs finaux.
Administrateur de démo Rôle que vous pouvez éventuellement attribuer à un ou plusieurs groupes. En cas de couplage avec le rôle Administrateur du client en lecture seule sur le compte My VMware, les utilisateurs de ce groupe peuvent afficher les paramètres et sélectionner les options permettant de consulter d'autres choix dans la console. Toutefois, les sélections ne modifient pas les paramètres de configuration.

Conditions préalables

Attention : Avant d’attribuer des rôles à vos groupes Active Directory existants, examinez l’appartenance au compte d’utilisateur dans les groupes Active Directory pour vous assurer qu'un compte d’utilisateur reçoit uniquement un de ces rôles d' Horizon Cloud. Créez des groupes Active Directory spécifiques, si nécessaire. Étant donné que ces rôles sont attribués au niveau du groupe Active Directory, des résultats inattendus peuvent se produire si le compte Active Directory d'un utilisateur appartient à deux groupes Active Directory et qu'un rôle différent est attribué à chaque groupe. Les fonctionnalités de la console s'affichent en fonction de cet ordre de priorité :
  1. Super administrateur
  2. Administrateur de support technique
  3. Administrateur de démo
  4. Administrateur de support technique en lecture seule

À la suite de cet ordre de priorité, si le compte Active Directory d'un utilisateur appartient à la fois aux groupes Active Directory ADGroup1 et ADGroup2, et que vous attribuez le rôle Super administrateur à ADGroup1 et le rôle Administrateur de support technique en lecture seule à ADGroup2, la console affiche toutes les fonctionnalités en fonction du rôle Super administrateur, au lieu du sous-ensemble de fonctionnalités pour l'autre rôle, car le rôle Super administrateur est prioritaire.

Vérifiez également les rôles attribués aux comptes My VMware des membres du groupe pour vous assurer que ces rôles sont alignés sur celui que vous attribuez à leur groupe Active Directory. Suivez les couplages de meilleures pratiques décrits dans Meilleures pratiques concernant les deux types de rôles que vous attribuez aux personnes pour qu'elles utilisent la Console d'administration d'Horizon Cloud afin d'exploiter votre environnement Horizon Cloud.

Procédure

  1. Dans la console, accédez à Paramètres > Rôles et autorisations.
  2. Sélectionnez l'un des rôles prédéfinis et cliquez sur Modifier.
  3. Utilisez la zone de recherche pour rechercher et sélectionner un groupe Active Directory.
    Pour que les résultats s’affichent, vous devez taper au moins trois caractères dans la zone de recherche.
    Le groupe est ajouté à l'ensemble de groupes sélectionnés.
  4. Cliquez sur Enregistrer.

Que faire ensuite

Assurez-vous que les utilisateurs du groupe de domaines disposent des rôles appropriés sur leurs comptes My VMware. Reportez-vous aux sections Meilleures pratiques concernant les deux types de rôles que vous attribuez aux personnes pour qu'elles utilisent la Console d'administration d'Horizon Cloud afin d'exploiter votre environnement Horizon Cloud et Attribuez des rôles administratifs aux individus de votre organisation pour qu'ils se connectent et effectuent des actions dans votre environnement de locataire Horizon Cloud à l'aide de la Console d'administration d'Horizon Cloud.