Lors du déploiement initial d'un espace Horizon Cloud dans Microsoft Azure sans passerelle ou avec un seul type de passerelle, vous pouvez ajouter ultérieurement une configuration de passerelle à l'espace à l'aide du workflow Modifier l'espace. Vous lancez ce workflow depuis la page de détails de l'espace.

Info-bulle : La console est dynamique. Seuls les workflows, les options et les champs appropriés en fonction de la configuration actuelle de l'espace et de la configuration de votre environnement global seront affichés dans l'interface utilisateur.

Comme indiqué à la section Introduction aux espaces Horizon Cloud dans Microsoft Azure, un espace peut comprendre une configuration externe ou interne, voire les deux. Vous pouvez utiliser ce workflow pour ajouter le type que l'espace ne possède pas déjà. Lorsque vous modifiez l'espace pour ajouter une configuration de passerelle, vous pouvez également spécifier des paramètres d'authentification à deux facteurs pour celle-ci.

Important : Lors de la modification de l'espace à l'aide de ces étapes, gardez à l'esprit les points suivants :
  • Gardez à l'esprit que le paramètre IP pour l'équilibrage de charge d'une passerelle externe ne peut pas être modifié après la définition initiale de la configuration de la passerelle externe. Lorsque vous ajoutez une configuration de passerelle externe, vous avez la possibilité d'utiliser une adresse IP privée pour l'équilibrage de charge de la passerelle au lieu d'une adresse publique. Par défaut, une adresse IP publique est utilisée.
  • Pendant la période où le système modifie la configuration de l'espace jusqu'à la fin de l'opération, les limitations suivantes s’appliquent :
    • Vous ne pouvez pas effectuer des tâches d’administration sur l'espace.
    • Les utilisateurs finaux sans session connectée à leurs postes de travail ou applications distantes desservis par l'espace et qui tentent de se connecter n'y parviennent pas.
    • Les sessions actives des utilisateurs finaux disposant de sessions connectées desservies par l'espace des sessions seront déconnectées. Aucune donnée ne sera perdue. Une fois les modifications de la configuration terminées, ces utilisateurs peuvent se reconnecter.

Conditions préalables

Note : Si la haute disponibilité de l'espace est activée et que l'une des machines virtuelles du gestionnaire de l'espace est hors ligne, le système empêche d'ajouter une passerelle à l'espace. Le message s'affiche lorsque vous cliquez sur Enregistrer et quitter. Avant de pouvoir ajouter la passerelle, vous devez mettre à nouveau en ligne la machine virtuelle du gestionnaire de l'espace hors ligne à l'aide du portail Microsoft Azure.

Lors de l'ajout d'une configuration de passerelle à un espace existant dans Microsoft Azure, pour renseigner les champs de l'assistant Modifier l'espace, vous devez fournir les informations décrites dans la section Conditions préalables pour les configurations de Unified Access Gateway. Si vous spécifiez également les paramètres d'authentification à deux facteurs lorsque vous ajoutez la passerelle, vous devez fournir les informations décrites dans la section Conditions préalables au déploiement avec une configuration de l'authentification à deux facteurs. Si vous ajoutez une configuration de passerelle externe et que vous souhaitez qu'elle utilise son propre abonnement, vous devez également disposer des informations d'abonnement et vous assurer que le réseau virtuel que vous utiliserez pour cette passerelle répond aux exigences du réseau virtuel. Pour connaître les exigences du réseau virtuel, reportez-vous à Configurer le réseau virtuel requis dans Microsoft Azure.

Important : Tous les certificats de la chaîne doivent comprendre des périodes valides. Les machines virtuelles Unified Access Gateway requièrent que tous les certificats de la chaîne, y compris les certificats intermédiaires, aient des périodes valides. Si un certificat dans la chaîne est expiré, des défaillances inattendues peuvent se produire ultérieurement, car le certificat est téléchargé dans la configuration d' Unified Access Gateway.

Procédure

  1. Dans la console, accédez à Paramètres > Capacité, puis cliquez sur le nom de l'espace pour ouvrir sa page de détails.
  2. Sur la page de détails de l'espace, cliquez sur Modifier.
  3. Dans l'étape Abonnement, si vous ajoutez une configuration de passerelle externe et souhaitez qu'elle utilise un abonnement différent de celui de l'espace, activez Utiliser un autre abonnement pour la passerelle externe et entrez les informations d'abonnement.
  4. Cliquez sur Suivant jusqu'à ce que vous atteigniez l'étape Paramètres de la passerelle.
    Cette étape comporte une section relative à la configuration de la passerelle externe et une section relative à la configuration de la passerelle interne. L'interface utilisateur reflète la configuration actuelle de l'espace et les paramètres de la passerelle dont il dispose déjà.
  5. Pour ajouter une passerelle externe, activez l'option Activer l'instance externe d'UAG ? et remplissez les champs de la section Instance externe d'UAG.
    Option Description
    Activer la passerelle externe ? Contrôle si l'espace dispose d'une configuration de passerelle externe. La configuration externe permet de fournir l'accès aux postes de travail et aux applications pour les utilisateurs finaux situés en dehors de votre réseau d'entreprise. L'espace inclut une ressource d'équilibrage de charge Microsoft Azure et des instances d'Unified Access Gateway pour fournir cet accès.
    Note : Il est recommandé de conserver le paramètre activé par défaut.

    Lorsque cette option est désactivée, les clients doivent se connecter via Workspace ONE Access intégré à l'espace ou directement à l'équilibrage de charge des gestionnaires d'espaces, ou se connecter via une configuration de passerelle interne. Dans le cas où des clients se connectent via Workspace ONE Access intégré à l'espace ou directement, certaines étapes sont requises après le déploiement. Dans ce cas, une fois l'espace déployé, suivez les étapes décrites dans la section Configurez les certificats SSL directement sur les VM du gestionnaire d'espace, par exemple lors de l'intégration du dispositif Workspace ONE Access Connector au dispositif Horizon Cloud dans Microsoft Azure, afin que le connecteur puisse approuver les connexions aux VM du gestionnaire d'espace.

    FQDN Entrez le nom de domaine complet (FQDN) requis, tel que ourOrg.example.com, que vos utilisateurs finaux utiliseront pour accéder au service. Vous devez posséder ce nom de domaine et disposer d'un certificat au format PEM pouvant valider ce nom de domaine complet.
    Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
    Adresses DNS Entrez éventuellement des adresses pour d'autres serveurs DNS qu'Unified Access Gateway peut utiliser pour la résolution de noms, séparées par des virgules. Lorsque vous effectuez cette configuration externe d'Unified Access Gateway pour utiliser l'authentification à deux facteurs avec votre serveur RADIUS sur site, vous devez spécifier l'adresse d'un serveur DNS pouvant résoudre le nom de votre serveur RADIUS sur site.

    Comme indiqué dans les conditions préalables au déploiement, un serveur DNS doit être configuré en interne dans votre abonnement et configuré pour fournir la résolution de nom externe. Les instances d'Unified Access Gateway utilisent ce serveur DNS par défaut. Si vous spécifiez des adresses dans ce champ, les instances d'Unified Access Gateway déployées utilisent les adresses en plus du serveur DNS requis au préalable que vous avez configuré dans le réseau virtuel de votre abonnement.

    Routes Spécifiez éventuellement des routes personnalisées vers des passerelles supplémentaires que vous souhaitez que les instances d'Unified Access Gateway déployées utilisent pour résoudre le routage réseau pour l'accès des utilisateurs finaux. Les routes spécifiées sont utilisées pour autoriser Unified Access Gateway à résoudre le routage réseau tel que vers des serveurs RADIUS pour l'authentification à deux facteurs.

    Lorsque vous configurez cet espace pour utiliser l'authentification à deux facteurs avec un serveur RADIUS sur site, vous devez entrer la route correcte que les instances d'Unified Access Gateway peuvent utiliser pour atteindre le serveur RADIUS. Par exemple, si votre serveur RADIUS sur site utilise 10.10.60.20 comme adresse IP, vous pouvez entrer 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement.

    Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme ipv4-network-address/bits ipv4-gateway-address, par exemple : 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modèle de VM Sélectionnez le modèle à utiliser pour les instances d'Unified Access Gateway. Vous devez vous assurer que l'abonnement Microsoft Azure que vous avez spécifié pour cet espace peut fournir la capacité de deux machines virtuelles du modèle sélectionné.
    Certificat Téléchargez le certificat au format PEM que l'instance d'Unified Access Gateway utilisera pour autoriser les clients à approuver les connexions aux instances d'Unified Access Gateway exécutées dans Microsoft Azure. Le certificat doit être basé sur le nom de domaine complet entré et être signé par une autorité de certification approuvée. Le fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine et clé privée.

    Indiquez les paramètres de l'équilibrage de charge Microsoft de cette passerelle.

    Option Description
    Activer les adresses IP publiques ? Contrôle si le type d'équilibrage de charge de cette passerelle est configuré comme privé ou public. Si cette option est activée, la ressource d'équilibrage de charge Microsoft Azure déployée est configurée avec une adresse IP publique. Si elle est désactivée, la ressource d'équilibrage de charge Microsoft Azure est configurée avec une adresse IP privée.
    Important : Dans cette version, vous ne pouvez pas modifier ultérieurement le type d'équilibrage de charge de la passerelle externe de public à privé ou de privé à public. Le seul moyen d'effectuer cette modification serait de supprimer entièrement la configuration de la passerelle de l'espace déployé, puis de modifier l'espace pour l'ajouter à nouveau avec le paramètre opposé.

    Si vous désactivez cette option, le champ Adresse IP publique pour le nom de domaine complet Horizon s'affiche.

    Adresse IP publique pour le nom de domaine complet Horizon Lorsque vous avez choisi de ne pas configurer l'équilibrage de charge Microsoft Azure déployé avec une adresse IP publique, vous devez fournir l'adresse IP que vous mappez dans votre DNS au nom de domaine complet que les clients Horizon des utilisateurs finaux utiliseront pour les connexions PCoIP à la passerelle. Le système de déploiement configurera cette adresse IP dans les paramètres de configuration d'Unified Access Gateway.

    Indiquez les paramètres de mise en réseau de la passerelle externe.

    Option Description
    Utiliser un autre réseau virtuel Cette option contrôle si la passerelle externe sera déployée dans son propre réseau virtuel, distinct du réseau virtuel de l'espace.

    Les lignes suivantes décrivent les différents cas.

    Note : Lorsque vous avez indiqué l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant, cette option est activée par défaut. Vous devez choisir un réseau virtuel pour la passerelle dans cette situation.
    Utiliser un autre réseau virtuel : désactivé Lorsque l'option est désactivée, la passerelle externe est déployée dans le VNet de l'espace. Dans ce cas, vous devez spécifier le sous-réseau de la zone DMZ.
    • Sous-réseau de zone DMZ - Lorsque l'option Utiliser le sous-réseau existant est activée dans l'étape précédente de l'assistant de configuration de l'espace, Sous-réseau de zone DMZ répertorie les sous-réseaux disponibles sur le réseau virtuel sélectionné pour Réseau virtuel. Sélectionnez le sous-réseau existant à utiliser pour le sous-réseau de zone DMZ de l'espace.
      Important : Sélectionnez un sous-réseau vide auquel aucune ressource n'est associée. Si le sous-réseau n'est pas vide, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace.
    • Sous-réseau de zone DMZ (CIDR) : lorsque l'option Utiliser le sous-réseau existant est désactivée dans l'étape précédente de l'assistant, entrez le sous-réseau (en notation CIDR) pour le réseau de la zone DMZ (zone démilitarisée) qui sera configuré pour connecter les instances de Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.
    Utiliser un autre réseau virtuel : activé Lorsque l'option est activée, la passerelle externe est déployée dans son propre réseau virtuel. Dans ce cas, vous devez sélectionner le réseau virtuel à utiliser, puis préciser les trois sous-réseaux requis. Activez l'option Utiliser le sous-réseau existant pour effectuer une sélection parmi les sous-réseaux que vous avez créés à l'avance sur le réseau virtuel spécifié. Sinon, indiquez les sous-réseaux dans la notation CIDR.
    Important : Sélectionnez des sous-réseaux vides auxquels aucune ressource n'est associée. Si les sous-réseaux ne sont pas vides, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace.

    Dans ce cas, le réseau virtuel de la passerelle et le réseau virtuel de l'espace sont liés. La meilleure pratique consiste à créer les sous-réseaux à l'avance et à ne pas utiliser les entrées CIDR ici. Reportez-vous à la section Conditions préalables lors du déploiement avec une configuration Unified Access Gateway externe à l'aide de son propre réseau virtuel ou abonnement distinct du réseau virtuel ou de l'abonnement de l'espace.

    • Sous-réseau de gestion - Spécifiez le sous-réseau à utiliser pour le sous-réseau de gestion de la passerelle. Un CIDR d'au moins /27 est requis. Le service Microsoft.SQL du sous-réseau doit être configuré en tant que point de terminaison de service.
    • Sous-réseau principal - Spécifiez le sous-réseau à utiliser pour le sous-réseau principal de la passerelle. Un CIDR d'au moins /27 est requis.
    • Sous-réseau frontal - Indiquez le sous-réseau du sous-réseau frontal qui sera configuré pour connecter les instances de Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.
  6. (Facultatif) Dans la section Déploiement, utilisez l'option pour sélectionner éventuellement un groupe de ressources existant dans lequel il est souhaitable que le système de déploiement déploie les ressources pour la configuration de passerelle externe.
    Cette option indique lorsque vous avez spécifié l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant. Lorsque vous activez l'option, un champ s'affiche dans lequel vous pouvez rechercher et sélectionner le groupe de ressources.
  7. Pour ajouter une passerelle interne, activez l'option Activer l'instance interne d'UAG ? et remplissez les champs de la section Instance interne d'UAG.
    Option Description
    Activer la passerelle interne ? Contrôle si l'espace dispose d'une configuration de passerelle interne. La configuration interne fournit un accès approuvé aux postes de travail et aux applications pour les connexions HTML Access (Blast) pour les utilisateurs situés à l'intérieur de votre réseau d'entreprise. L'espace inclut une ressource d'équilibrage de charge Azure et des instances d'Unified Access Gateway pour fournir cet accès. Par défaut, le type d'équilibrage de charge de cette passerelle est privé. L'équilibrage de charge est configuré avec une adresse IP privée.
    FQDN Entrez le nom de domaine complet (FQDN) requis, tel que ourOrg.example.com, que vos utilisateurs finaux utiliseront pour accéder au service. Vous devez posséder ce nom de domaine et disposer d'un certificat au format PEM pouvant valider ce nom de domaine complet.

    Si vous avez spécifié un nom de domaine complet pour la passerelle externe, vous devez entrer le même nom de domaine complet ici.

    Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
    Adresses DNS Entrez éventuellement des adresses pour d'autres serveurs DNS qu'Unified Access Gateway peut utiliser pour la résolution de noms, séparées par des virgules. Lorsque vous effectuez cette configuration de passerelle interne pour utiliser l'authentification à deux facteurs avec votre serveur RADIUS sur site, vous devez spécifier l'adresse d'un serveur DNS pouvant résoudre le nom de votre serveur RADIUS sur site.

    Comme indiqué dans les conditions préalables au déploiement, un serveur DNS doit être configuré en interne dans votre abonnement et configuré pour fournir la résolution de nom. Les instances d'Unified Access Gateway utilisent ce serveur DNS par défaut. Si vous spécifiez des adresses dans ce champ, les instances d'Unified Access Gateway déployées utilisent les adresses en plus du serveur DNS requis au préalable que vous avez configuré dans le réseau virtuel de votre abonnement.

    Routes Spécifiez éventuellement des routes personnalisées vers des passerelles supplémentaires que vous souhaitez que les instances d'Unified Access Gateway déployées utilisent pour résoudre le routage réseau pour l'accès des utilisateurs finaux. Les routes spécifiées sont utilisées pour autoriser Unified Access Gateway à résoudre le routage réseau tel que vers des serveurs RADIUS pour l'authentification à deux facteurs.

    Lorsque vous configurez cet espace pour utiliser l'authentification à deux facteurs avec un serveur RADIUS sur site, vous devez entrer la route correcte que les instances d'Unified Access Gateway peuvent utiliser pour atteindre le serveur RADIUS. Par exemple, si votre serveur RADIUS sur site utilise 10.10.60.20 comme adresse IP, vous pouvez entrer 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement.

    Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme ipv4-network-address/bits ipv4-gateway-address, par exemple : 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modèle de VM Sélectionnez le modèle à utiliser pour les instances d'Unified Access Gateway. Vous devez vous assurer que l'abonnement Microsoft Azure que vous avez spécifié pour cet espace peut fournir la capacité de deux machines virtuelles du modèle sélectionné.
    Certificat Téléchargez le certificat au format PEM que l'instance d'Unified Access Gateway utilisera pour autoriser les clients à approuver les connexions aux instances d'Unified Access Gateway exécutées dans Microsoft Azure. Le certificat doit être basé sur le nom de domaine complet entré et être signé par une autorité de certification approuvée. Le fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine et clé privée.
  8. Dans la section de la passerelle que vous ajoutez, si vous voulez éventuellement configurer les postes de travail des utilisateurs finaux pour utiliser l'authentification à deux facteurs RADIUS, procédez comme indiqué dans la section Activer l'authentification à deux facteurs sur les passerelles d'un espace Horizon Cloud.
  9. Dans la section Balises de ressources Azure, si vous souhaitez spécifier des balises de ressources pour les groupes de ressources liés à la passerelle qui sont différents de ceux spécifiés dans les autres groupes de ressources de l'espace, désactivez l'option Hériter des balises d'espace et spécifiez les balises dans les champs qui s'affichent.
    Pour obtenir une description des balises des champs de l'option Balises de ressources Azure, reportez-vous à la section Spécifier la configuration de la passerelle de l'espace Horizon Cloud. Le même ensemble de balises est utilisé pour les deux types de passerelles sur l'espace.
  10. Cliquez sur Enregistrer et quitter.
    Un message de confirmation s’affiche et vous demande de confirmer le démarrage du workflow.
  11. Cliquez sur Oui pour démarrer le workflow.

Résultats

Tant que le système n'a pas terminé le déploiement des éléments pour la passerelle, la section de la page de résumé de l'espace pour ce type de configuration indique l'état En attente. De plus, vous ne pouvez pas effectuer d'autres activités liées au workflow Modifier l'espace tant que le système n'a pas terminé ses actions pour déployer la passerelle.

Une fois le workflow terminé, l'état indiquera Prêt et le nom de domaine complet de l'équilibrage de charge s'affichera sur la page.

Note : Lors de l'exécution de ce workflow pour un espace dans Microsoft Azure Chine, l'exécution du processus peut prendre plus d’une heure. Le processus est soumis à des problèmes de réseau liés à la géographie, qui peuvent entraîner une baisse de la vitesse de téléchargement, du fait que les fichiers binaires sont téléchargés depuis le plan de contrôle de cloud.

Que faire ensuite

Important : Avant que vos utilisateurs finaux puissent commencer à utiliser la passerelle récemment ajoutée, vous devez effectuer les tâches suivantes.
  • Pour la configuration de passerelle récemment ajoutée, vérifiez que vous disposez d'un enregistrement CNAME dans votre serveur DNS pour mapper l'équilibrage de charge déployé de la configuration au nom de domaine complet entré dans l'assistant de déploiement. Reportez-vous à la section Comment obtenir les informations d'équilibrage de charge de la passerelle de l'espace Horizon Cloud à mapper dans votre serveur DNS pour plus d'informations.
  • Si vous avez spécifié une authentification à deux facteurs RADIUS pour la passerelle ajoutée, vous devez effectuer les tâches suivantes :
    • Si vous avez configuré une passerelle externe avec des paramètres RADIUS et que le serveur RADIUS n'est pas accessible dans le même réseau virtuel que celui utilisé par l'espace, ou dans la topologie de réseau virtuel liée si vous avez déployé la passerelle externe dans son propre réseau virtuel, configurez le serveur RADIUS de manière à autoriser les connexions client à partir de l'adresse IP de l'équilibrage de charge de la passerelle externe. Dans une configuration de passerelle externe, les instances d'Unified Access Gateway tentent de contacter le serveur RADIUS à l'aide de cette adresse d'équilibrage de charge. Pour autoriser les connexions, assurez-vous que l'adresse IP de la ressource d'équilibrage de charge qui se trouve dans le groupe de ressources de la passerelle externe est spécifiée en tant que client dans la configuration du serveur RADIUS.
    • Si vous avez configuré une passerelle interne ou externe et que votre serveur RADIUS est accessible dans le même réseau virtuel que celui utilisé par l'espace, configurez le serveur RADIUS pour autoriser les connexions à partir des cartes réseau appropriées qui ont été créées dans le groupe de ressources de la passerelle dans Microsoft Azure qui doit communiquer avec le serveur RADIUS. Votre administrateur réseau détermine la visibilité du réseau du serveur RADIUS sur le réseau virtuel Azure et les sous-réseaux de l'espace. Votre serveur RADIUS doit autoriser les connexions client à partir des adresses IP des cartes réseau de la passerelle qui correspondent au sous-réseau pour lequel votre administrateur réseau a accordé une visibilité réseau au serveur RADIUS. Le groupe de ressources de la passerelle dans Microsoft Azure a quatre cartes réseau qui correspondent à ce sous-réseau, deux qui sont actuellement actives pour les deux instances d'Unified Access Gateway et deux inactives qui deviennent actives après la mise à jour de l'espace. Pour prendre en charge la connectivité entre la passerelle et le serveur RADIUS pour les opérations d'espace en cours et après chaque mise à jour de l'espace, assurez-vous que les adresses IP de ces quatre cartes réseau sont spécifiées en tant que clients dans la configuration du serveur RADIUS.

    Pour plus d'informations sur l'obtention de ces adresses IP, reportez-vous à la section Mettre à jour votre système RADIUS avec les informations de passerelle d'espace Horizon Cloud requises.