Ajouter une configuration de passerelle à un espace Horizon Cloud déployé

Lors du déploiement initial d'un espace Horizon Cloud dans Microsoft Azure sans passerelle ou avec un seul type de passerelle, vous pouvez ajouter ultérieurement une configuration de passerelle à l'espace à l'aide du workflow Modifier l'espace. Vous lancez ce workflow depuis la page de détails de l'espace.

Info-bulle : La console est dynamique. Seuls les workflows, les options et les champs appropriés en fonction de la configuration actuelle de l'espace et de la configuration de votre environnement global seront affichés dans l'interface utilisateur.

Comme indiqué à la section Vos déploiements d'Horizon Cloud on Microsoft Azure, un espace peut comprendre une configuration externe ou interne, voire les deux. Vous pouvez utiliser ce workflow pour ajouter le type que l'espace ne possède pas déjà. Lorsque vous modifiez l'espace pour ajouter une configuration de passerelle, vous pouvez également spécifier des paramètres d'authentification à deux facteurs pour celle-ci.

Important : Lors de la modification de l'espace à l'aide de ces étapes, gardez à l'esprit les points suivants :

Gardez à l'esprit que le paramètre IP pour l'équilibrage de charge d'une passerelle externe ne peut pas être modifié après la définition initiale de la configuration de la passerelle externe. Lorsque vous ajoutez une configuration de passerelle externe, vous avez la possibilité d'utiliser une adresse IP privée pour l'équilibrage de charge de la passerelle au lieu d'une adresse publique. Par défaut, une adresse IP publique est utilisée.
Lorsque le locataire est configuré pour utiliser Universal Broker et que l'authentification à deux facteurs est activée pour les paramètres du Broker, le même type d'authentification à deux facteurs doit être défini sur les passerelles externes de tous les espaces de la flotte.
Pendant la période où le système modifie la configuration de l'espace jusqu'à la fin de l'opération, les limitations suivantes s’appliquent :
- Vous ne pouvez pas effectuer des tâches d’administration sur l'espace.
- Les utilisateurs finaux sans session connectée à leurs postes de travail ou applications distantes desservis par l'espace et qui tentent de se connecter n'y parviennent pas.
- Les sessions actives des utilisateurs finaux disposant de sessions connectées desservies par l'espace des sessions seront déconnectées. Aucune donnée ne sera perdue. Une fois les modifications de la configuration terminées, ces utilisateurs peuvent se reconnecter.

Conditions préalables

Note : Lorsque la haute disponibilité de l'espace est activée et que l'une des VM du gestionnaire d'espace est hors ligne, le système empêche l'ajout d'une passerelle à l'espace. Le message s'affiche lorsque vous cliquez sur Enregistrer et quitter. Avant de pouvoir ajouter la passerelle, vous devez mettre à nouveau en ligne la machine virtuelle du gestionnaire de l'espace hors ligne à l'aide du portail Microsoft Azure.

Lors de l'ajout d'une configuration de passerelle à un espace existant dans Microsoft Azure, pour renseigner les champs de l'assistant Modifier l'espace, vous devez fournir les informations décrites dans la section Conditions préalables pour les configurations de Unified Access Gateway. Si vous spécifiez également les paramètres d'authentification à deux facteurs lorsque vous ajoutez la passerelle, vous devez fournir les informations décrites dans la section Conditions préalables au déploiement avec une configuration de l'authentification à deux facteurs. Si vous ajoutez une configuration de passerelle externe et que vous souhaitez qu'elle utilise son propre abonnement, vous devez également disposer des informations d'abonnement et vous assurer que le réseau virtuel que vous utiliserez pour cette passerelle répond aux exigences du réseau virtuel. Pour connaître les exigences du réseau virtuel, reportez-vous à Configurer le réseau virtuel requis dans Microsoft Azure.

Important : Tous les certificats de la chaîne doivent comprendre des périodes valides. Les machines virtuelles Unified Access Gateway requièrent que tous les certificats de la chaîne, y compris les certificats intermédiaires, aient des périodes valides. Si un certificat dans la chaîne est expiré, des défaillances inattendues peuvent se produire ultérieurement, car le certificat est téléchargé dans la configuration d' Unified Access Gateway.

Procédure

Dans la console, accédez à Paramètres > Capacité, puis cliquez sur le nom de l'espace pour ouvrir sa page de détails.
Sur la page de détails de l'espace, cliquez sur Modifier.
Dans l'étape Abonnement, si vous ajoutez une configuration de passerelle externe et souhaitez qu'elle utilise un abonnement différent de celui de l'espace, activez Utiliser un autre abonnement pour la passerelle externe et entrez les informations d'abonnement.
Cliquez sur Suivant jusqu'à ce que vous atteigniez l'étape Paramètres de la passerelle.
Cette étape comporte une section relative à la configuration de la passerelle externe et une section relative à la configuration de la passerelle interne. L'interface utilisateur reflète la configuration actuelle de l'espace et les paramètres de la passerelle dont il dispose déjà.

Pour ajouter une passerelle externe, activez l'option Activer l'instance externe d'UAG ? et remplissez les champs de la section Instance externe d'UAG.

Option	Description
Activer la passerelle externe ?	Contrôle si l'espace dispose d'une configuration de passerelle externe. La configuration externe permet de fournir l'accès aux postes de travail et aux applications pour les utilisateurs finaux situés en dehors de votre réseau d'entreprise. L'espace inclut une ressource d'équilibrage de charge Microsoft Azure et des instances d'Unified Access Gateway pour fournir cet accès. Note : Il est recommandé de conserver le paramètre activé par défaut. Lorsque cette option est désactivée, les clients doivent se connecter via Workspace ONE Access à l'aide de leur dispositif de connecteur intégré directement aux gestionnaires d'espaces, ou directement à l'équilibrage de charge des gestionnaires d'espace, voire via une configuration de passerelle interne. Dans les deux premiers scénarios mentionnés, certaines étapes postérieures au déploiement seront requises pour les clients se connectant via Workspace ONE Access intégré à l'espace ou directement à l'équilibrage de charge. Dans ces scénarios, chargez les certificats SSL sur les VM du gestionnaire d'espace après le déploiement de l'espace en suivant les étapes de la section Configurer les certificats SSL directement sur les VM du gestionnaire d'espace.
FQDN	Entrez le nom de domaine complet (FQDN) requis, tel que `ourOrg.example.com`, que le système de déploiement de l'espace spécifiera dans la configuration des instances d'Unified Access Gateway de la passerelle. Vous devez posséder ce nom de domaine et disposer d'un certificat au format PEM pouvant valider ce nom de domaine complet. Horizon Cloud s'attend à ce que ce nom de domaine complet spécifié pour la configuration de la passerelle externe soit résolu publiquement. Si vous désactivez l'option Activer l'adresse IP publique ? pour spécifier une adresse IP à partir de votre configuration de pare-feu ou NAT, il vous incombe de vous assurer que ce nom de domaine complet est attribué à cette adresse IP dans votre configuration de pare-feu ou NAT. Ce nom de domaine complet est utilisé pour les connexions PCoIP à la passerelle. Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
Adresses DNS	Entrez éventuellement des adresses séparées par des virgules pour les serveurs DNS supplémentaires pouvant être utilisés par Unified Access Gateway pour la résolution des noms. Lorsque vous établissez cette configuration d'Unified Access Gateway externe pour utiliser l'authentification à deux facteurs avec un serveur d'authentification à deux facteurs situé à l'extérieur de la topologie du réseau virtuel dans laquelle les instances d'Unified Access Gateway sont déployées, vous devez indiquer l'adresse d'un serveur DNS qui peut résoudre le nom d'hôte de ce serveur d'authentification. Lorsque votre authentification à deux facteurs se trouve sur site, par exemple, entrez un serveur DNS qui peut résoudre le nom de ce serveur d'authentification. Comme décrit dans les conditions préalables au déploiement, la topologie de réseau virtuel utilisée pour le déploiement Horizon Cloud on Microsoft Azure doit pouvoir communiquer avec votre serveur DNS afin de fournir une résolution des noms externes lors du déploiement des instances d'Unified Access Gateway et de leurs opérations en cours. Par défaut, le serveur DNS configuré sur le réseau virtuel dans lequel les instances sont déployées est celui utilisé. Lorsque vous spécifiez des adresses dans Adresses DNS, les instances d'Unified Access Gateway déployées utilisent ces adresses en complément des informations du serveur DNS dans la configuration de votre réseau virtuel.
Routes	Spécifiez éventuellement des routes personnalisées vers des passerelles supplémentaires que vous souhaitez que les instances d'Unified Access Gateway déployées utilisent pour résoudre le routage réseau pour l'accès des utilisateurs finaux. Les routes spécifiées sont utilisées pour autoriser Unified Access Gateway à résoudre le routage réseau comme pour la communication avec des serveurs d'authentification à deux facteurs. Lorsque vous configurez cet espace afin d'utiliser l'authentification à deux facteurs avec un serveur d'authentification sur site, vous devez entrer la route appropriée que les instances d'Unified Access Gateway peuvent utiliser pour atteindre ce serveur. Si votre serveur d'authentification sur site utilise, par exemple, 10.10.60.20 comme adresse IP, vous pouvez entrer 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour ce déploiement Horizon Cloud on Microsoft Azure. Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme `ipv4-network-address/bits ipv4-gateway-address`, par exemple : `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Hériter des serveurs NTP de l'espace	Cette option est activée par défaut pour que les instances d'Unified Access Gateway utilisent le même serveur NTP que celui spécifié pour les instances du gestionnaire d'espace. Il est fortement recommandé de conserver cette option activée. Il est recommandé d'utiliser le même serveur NTP pour les instances du gestionnaire d'espace, les instances d'Unified Access Gateway et vos serveurs Active Directory. Lorsque ces instances utilisent des serveurs NTP différents, cela peut entraîner une différence de temps. Ces différences de temps peuvent entraîner ultérieurement des échecs lorsque la passerelle tente d'authentifier les sessions des utilisateurs finaux sur leurs postes de travail et applications. Lorsque cette option est activée et que vous déployez la passerelle externe dans son propre réseau virtuel distinct du réseau virtuel de l'espace, assurez-vous que les serveurs NTP spécifiés pour les instances du gestionnaire d'espace sont accessibles à partir du réseau virtuel que vous sélectionnez pour le déploiement de la passerelle externe.
Modèle de VM	Sélectionnez le modèle à utiliser pour les instances d'Unified Access Gateway. Vous devez vous assurer que l'abonnement Microsoft Azure que vous avez spécifié pour cet espace peut fournir la capacité de deux machines virtuelles du modèle sélectionné. Important : Dans la version de service actuelle, le modèle de machine virtuelle utilisé par ces instances ne peut pas être modifié facilement après le déploiement de la configuration de la passerelle dans votre abonnement. La modification du modèle de machine virtuelle après le déploiement nécessite la suppression de la configuration de la passerelle et son redéploiement. Si vous prévoyez que votre environnement s'adaptera à 2 000 sessions par espace, sélectionnez `F8s_v2`. Comme indiqué dans Limites de VMware Horizon Cloud Service sur le service Microsoft Azure, le modèle de machine virtuelle `A4_v2` suffit uniquement pour les validations de concept, les pilotes ou les environnements plus petits dans lesquels vous savez que vous ne dépasserez pas 1 000 sessions actives sur l'espace.
Certificat	Téléchargez le certificat au format PEM que l'instance d'Unified Access Gateway utilisera pour autoriser les clients à approuver les connexions aux instances d'Unified Access Gateway exécutées dans Microsoft Azure. Le certificat doit être basé sur le nom de domaine complet entré et être signé par une autorité de certification approuvée. Le fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine et clé privée.
Port TCP Blast Extreme	Sélectionnez le port TCP à utiliser dans le paramètre TCP Blast Extreme dans la configuration d'Unified Access Gateway. Ce paramètre se rapporte à Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données envoyé par le client. Le port 8443 est préféré, car il est plus efficace, fournit de meilleures performances et utilise moins de ressources sur les instances d'Unified Access Gateway. Pour ces raisons, 8443 est la valeur par défaut pour l'assistant. L'autre choix, 443 est moins efficace, moins performant et provoque une surcharge du CPU dans les instances, ce qui peut entraîner des retards de trafic observables dans les clients des utilisateurs finaux. Le choix 443 doit être utilisé uniquement si votre organisation a défini des restrictions côté client, comme votre organisation n'autorise que le port 443 sortant. Note : Le port UDP utilisé pour Blast Extreme n'est pas affecté par ce paramètre et est toujours UDP 8443.
Suites de chiffrement	Même si dans la plupart des cas, il n'est pas nécessaire de modifier les paramètres par défaut, Unified Access Gateway fournit cette fonctionnalité pour spécifier éventuellement les algorithmes de chiffrement utilisés pour chiffrer les communications entre les clients et les dispositifs Unified Access Gateway. Vous devez sélectionner au moins une suite de chiffrement dans la liste à l'écran. Celle-ci affiche les suites de chiffrement autorisées pour le déploiement d'Horizon Cloud on Microsoft Azure.

Indiquez les paramètres de l'équilibrage de charge Microsoft de cette passerelle.

Option	Description
Activer les adresses IP publiques ?	Contrôle si le type d'équilibrage de charge de cette passerelle est configuré comme privé ou public. Si cette option est activée, la ressource d'équilibrage de charge Microsoft Azure déployée est configurée avec une adresse IP publique. Si elle est désactivée, la ressource d'équilibrage de charge Microsoft Azure est configurée avec une adresse IP privée. Important : Dans cette version, vous ne pouvez pas modifier ultérieurement le type d'équilibrage de charge de la passerelle externe de public à privé ou de privé à public. Le seul moyen d'effectuer cette modification serait de supprimer entièrement la configuration de la passerelle de l'espace déployé, puis de modifier l'espace pour l'ajouter à nouveau avec le paramètre opposé. Si vous désactivez cette option, le champ Adresse IP publique pour le nom de domaine complet Horizon s'affiche.
Adresse IP publique pour le nom de domaine complet Horizon	Lorsque vous avez choisi de ne pas configurer l'équilibrage de charge Microsoft Azure déployé avec une adresse IP publique, vous devez fournir l'adresse IP à laquelle vous attribuez le nom de domaine complet que vous avez spécifié dans le champ Nom de domaine complet. Les instances d'Horizon Client de vos utilisateurs finaux utiliseront ce nom de domaine complet pour les connexions PCoIP à la passerelle. Le système de déploiement configurera cette adresse IP dans les paramètres de configuration d'Unified Access Gateway.

Option

Description

Activer les adresses IP publiques ?

Contrôle si le type d'équilibrage de charge de cette passerelle est configuré comme privé ou public. Si cette option est activée, la ressource d'équilibrage de charge Microsoft Azure déployée est configurée avec une adresse IP publique. Si elle est désactivée, la ressource d'équilibrage de charge Microsoft Azure est configurée avec une adresse IP privée.

Important : Dans cette version, vous ne pouvez pas modifier ultérieurement le type d'équilibrage de charge de la passerelle externe de public à privé ou de privé à public. Le seul moyen d'effectuer cette modification serait de supprimer entièrement la configuration de la passerelle de l'espace déployé, puis de modifier l'espace pour l'ajouter à nouveau avec le paramètre opposé.

Si vous désactivez cette option, le champ Adresse IP publique pour le nom de domaine complet Horizon s'affiche.

Adresse IP publique pour le nom de domaine complet Horizon

Lorsque vous avez choisi de ne pas configurer l'équilibrage de charge Microsoft Azure déployé avec une adresse IP publique, vous devez fournir l'adresse IP à laquelle vous attribuez le nom de domaine complet que vous avez spécifié dans le champ Nom de domaine complet. Les instances d'Horizon Client de vos utilisateurs finaux utiliseront ce nom de domaine complet pour les connexions PCoIP à la passerelle. Le système de déploiement configurera cette adresse IP dans les paramètres de configuration d'Unified Access Gateway.

Indiquez les paramètres de mise en réseau de la passerelle externe.

Option	Description
Utiliser un autre réseau virtuel	Cette option contrôle si la passerelle externe sera déployée dans son propre réseau virtuel, distinct du réseau virtuel de l'espace. Les lignes suivantes décrivent les différents cas. Note : Lorsque vous avez indiqué l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant, cette option est activée par défaut. Vous devez choisir un réseau virtuel pour la passerelle dans cette situation. Lorsque cette option est activée et que l'option Hériter des serveurs NTP de l'espace est activée, assurez-vous que les serveurs NTP spécifiés pour les instances du gestionnaire d'espace sont accessibles à partir du réseau virtuel que vous sélectionnez pour le déploiement de la passerelle externe.
Utiliser un autre réseau virtuel : désactivé	Lorsque l'option est désactivée, la passerelle externe est déployée dans le VNet de l'espace. Dans ce cas, vous devez spécifier le sous-réseau de la zone DMZ. Sous-réseau de zone DMZ - Lorsque l'option Utiliser le sous-réseau existant est activée dans l'étape précédente de l'assistant de configuration de l'espace, Sous-réseau de zone DMZ répertorie les sous-réseaux disponibles sur le réseau virtuel sélectionné pour Réseau virtuel. Sélectionnez le sous-réseau existant à utiliser pour le sous-réseau de zone DMZ de l'espace. Important : Sélectionnez un sous-réseau vide auquel aucune ressource n'est associée. Si le sous-réseau n'est pas vide, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace. Sous-réseau de zone DMZ (CIDR) : lorsque l'option Utiliser le sous-réseau existant est désactivée dans l'étape précédente de l'assistant, entrez le sous-réseau (en notation CIDR) pour le réseau de la zone DMZ (zone démilitarisée) qui sera configuré pour connecter les instances d'Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.
Utiliser un autre réseau virtuel : activé	Lorsque l'option est activée, la passerelle externe est déployée dans son propre réseau virtuel. Dans ce cas, vous devez sélectionner le réseau virtuel à utiliser, puis préciser les trois sous-réseaux requis. Activez l'option Utiliser le sous-réseau existant pour effectuer une sélection parmi les sous-réseaux que vous avez créés à l'avance sur le réseau virtuel spécifié. Sinon, indiquez les sous-réseaux dans la notation CIDR. Important : Sélectionnez des sous-réseaux vides auxquels aucune ressource n'est associée. Si les sous-réseaux ne sont pas vides, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace. Dans ce cas, le réseau virtuel de la passerelle et le réseau virtuel de l'espace sont liés. La meilleure pratique consiste à créer les sous-réseaux à l'avance et à ne pas utiliser les entrées CIDR ici. Reportez-vous à la section Conditions préalables lors du déploiement avec une configuration Unified Access Gateway externe à l'aide de son propre réseau virtuel ou abonnement distinct du réseau virtuel ou de l'abonnement de l'espace. Sous-réseau de gestion - Spécifiez le sous-réseau à utiliser pour le sous-réseau de gestion de la passerelle. Un CIDR d'au moins /27 est requis. Le service Microsoft.SQL du sous-réseau doit être configuré en tant que point de terminaison de service. Sous-réseau principal - Spécifiez le sous-réseau à utiliser pour le sous-réseau principal de la passerelle. Un CIDR d'au moins /27 est requis. Sous-réseau frontal - Indiquez le sous-réseau du sous-réseau frontal qui sera configuré pour connecter les instances de Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.

Option

Description

Utiliser un autre réseau virtuel

Cette option contrôle si la passerelle externe sera déployée dans son propre réseau virtuel, distinct du réseau virtuel de l'espace.

Les lignes suivantes décrivent les différents cas.

Note : Lorsque vous avez indiqué l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant, cette option est activée par défaut. Vous devez choisir un réseau virtuel pour la passerelle dans cette situation.

Lorsque cette option est activée et que l'option Hériter des serveurs NTP de l'espace est activée, assurez-vous que les serveurs NTP spécifiés pour les instances du gestionnaire d'espace sont accessibles à partir du réseau virtuel que vous sélectionnez pour le déploiement de la passerelle externe.

Utiliser un autre réseau virtuel : désactivé

Lorsque l'option est désactivée, la passerelle externe est déployée dans le VNet de l'espace. Dans ce cas, vous devez spécifier le sous-réseau de la zone DMZ.

Sous-réseau de zone DMZ - Lorsque l'option Utiliser le sous-réseau existant est activée dans l'étape précédente de l'assistant de configuration de l'espace, Sous-réseau de zone DMZ répertorie les sous-réseaux disponibles sur le réseau virtuel sélectionné pour Réseau virtuel. Sélectionnez le sous-réseau existant à utiliser pour le sous-réseau de zone DMZ de l'espace.
Important : Sélectionnez un sous-réseau vide auquel aucune ressource n'est associée. Si le sous-réseau n'est pas vide, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace.
Sous-réseau de zone DMZ (CIDR) : lorsque l'option Utiliser le sous-réseau existant est désactivée dans l'étape précédente de l'assistant, entrez le sous-réseau (en notation CIDR) pour le réseau de la zone DMZ (zone démilitarisée) qui sera configuré pour connecter les instances d'Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.

Utiliser un autre réseau virtuel : activé

Lorsque l'option est activée, la passerelle externe est déployée dans son propre réseau virtuel. Dans ce cas, vous devez sélectionner le réseau virtuel à utiliser, puis préciser les trois sous-réseaux requis. Activez l'option Utiliser le sous-réseau existant pour effectuer une sélection parmi les sous-réseaux que vous avez créés à l'avance sur le réseau virtuel spécifié. Sinon, indiquez les sous-réseaux dans la notation CIDR.

Important : Sélectionnez des sous-réseaux vides auxquels aucune ressource n'est associée. Si les sous-réseaux ne sont pas vides, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace.

Dans ce cas, le réseau virtuel de la passerelle et le réseau virtuel de l'espace sont liés. La meilleure pratique consiste à créer les sous-réseaux à l'avance et à ne pas utiliser les entrées CIDR ici. Reportez-vous à la section Conditions préalables lors du déploiement avec une configuration Unified Access Gateway externe à l'aide de son propre réseau virtuel ou abonnement distinct du réseau virtuel ou de l'abonnement de l'espace.

Sous-réseau de gestion - Spécifiez le sous-réseau à utiliser pour le sous-réseau de gestion de la passerelle. Un CIDR d'au moins /27 est requis. Le service Microsoft.SQL du sous-réseau doit être configuré en tant que point de terminaison de service.
Sous-réseau principal - Spécifiez le sous-réseau à utiliser pour le sous-réseau principal de la passerelle. Un CIDR d'au moins /27 est requis.
Sous-réseau frontal - Indiquez le sous-réseau du sous-réseau frontal qui sera configuré pour connecter les instances de Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.

(Facultatif) Dans la section Déploiement, utilisez l'option pour sélectionner éventuellement un groupe de ressources existant dans lequel il est souhaitable que le système de déploiement déploie les ressources pour la configuration de passerelle externe.
Cette option indique lorsque vous avez spécifié l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant. Lorsque vous activez l'option, un champ s'affiche dans lequel vous pouvez rechercher et sélectionner le groupe de ressources.

Pour ajouter une passerelle interne, activez l'option Activer l'instance interne d'UAG ? et remplissez les champs de la section Instance interne d'UAG.

Option	Description
Activer la passerelle interne ?	Contrôle si l'espace dispose d'une configuration de passerelle interne. La configuration interne fournit un accès approuvé aux postes de travail et aux applications pour les connexions HTML Access (Blast) pour les utilisateurs situés à l'intérieur de votre réseau d'entreprise. L'espace inclut une ressource d'équilibrage de charge Azure et des instances d'Unified Access Gateway pour fournir cet accès. Par défaut, le type d'équilibrage de charge de cette passerelle est privé. L'équilibrage de charge est configuré avec une adresse IP privée.
FQDN	Entrez le nom de domaine complet (FQDN) requis, tel que `ourOrg.example.com`, que vos utilisateurs finaux utiliseront pour accéder au service. Vous devez posséder ce nom de domaine et disposer d'un certificat au format PEM pouvant valider ce nom de domaine complet. Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
Adresses DNS	Entrez éventuellement des adresses séparées par des virgules pour les serveurs DNS supplémentaires pouvant être utilisés par Unified Access Gateway pour la résolution des noms. Lorsque vous effectuez cette configuration interne d'Unified Access Gateway pour utiliser l'authentification à deux facteurs avec un serveur d'authentification à deux facteurs situé à l'extérieur de la topologie du réseau virtuel dans laquelle les instances d'Unified Access Gateway sont déployées, vous devez indiquer l'adresse d'un serveur DNS qui peut résoudre le nom d'hôte de ce serveur d'authentification. Lorsque votre authentification à deux facteurs se trouve sur site, par exemple, entrez un serveur DNS qui peut résoudre le nom de ce serveur d'authentification. Comme décrit dans les conditions préalables au déploiement, la topologie de réseau virtuel utilisée pour le déploiement Horizon Cloud on Microsoft Azure doit pouvoir communiquer avec votre serveur DNS afin de fournir une résolution des noms externes lors du déploiement des instances d'Unified Access Gateway et de leurs opérations en cours. Par défaut, le serveur DNS configuré sur le réseau virtuel dans lequel les instances sont déployées est celui utilisé. Lorsque vous spécifiez des adresses dans Adresses DNS, les instances d'Unified Access Gateway déployées utilisent ces adresses en complément des informations du serveur DNS dans la configuration de votre réseau virtuel.
Routes	Spécifiez éventuellement des routes personnalisées vers des passerelles supplémentaires que vous souhaitez que les instances d'Unified Access Gateway déployées utilisent pour résoudre le routage réseau pour l'accès des utilisateurs finaux. Les routes spécifiées sont utilisées pour autoriser Unified Access Gateway à résoudre le routage réseau comme pour la communication avec des serveurs d'authentification à deux facteurs. Lorsque vous configurez cet espace afin d'utiliser l'authentification à deux facteurs avec un serveur d'authentification sur site, vous devez entrer la route appropriée que les instances d'Unified Access Gateway peuvent utiliser pour atteindre ce serveur. Si votre serveur d'authentification sur site utilise, par exemple, 10.10.60.20 comme adresse IP, vous pouvez entrer 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement. Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme `ipv4-network-address/bits ipv4-gateway-address`, par exemple : `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Hériter des serveurs NTP de l'espace	Cette option est activée par défaut pour que les instances d'Unified Access Gateway utilisent le même serveur NTP que celui spécifié pour les instances du gestionnaire d'espace. Il est fortement recommandé de conserver cette option activée. Il est recommandé d'utiliser le même serveur NTP pour les instances du gestionnaire d'espace, les instances d'Unified Access Gateway et vos serveurs Active Directory. Lorsque ces instances utilisent des serveurs NTP différents, cela peut entraîner une différence de temps. Ces différences de temps peuvent entraîner ultérieurement des échecs lorsque la passerelle tente d'authentifier les sessions des utilisateurs finaux sur leurs postes de travail et applications.
Modèle de VM	Sélectionnez le modèle à utiliser pour les instances d'Unified Access Gateway. Vous devez vous assurer que l'abonnement Microsoft Azure que vous avez spécifié pour cet espace peut fournir la capacité de deux machines virtuelles du modèle sélectionné. Important : Dans la version de service actuelle, le modèle de machine virtuelle utilisé par ces instances ne peut pas être modifié facilement après le déploiement de la configuration de la passerelle dans votre abonnement. La modification du modèle de machine virtuelle après le déploiement nécessite la suppression de la configuration de la passerelle et son redéploiement. Si vous prévoyez que votre environnement s'adaptera à 2 000 sessions par espace, sélectionnez `F8s_v2`. Comme indiqué dans Limites de VMware Horizon Cloud Service sur le service Microsoft Azure, le modèle de machine virtuelle `A4_v2` suffit uniquement pour les validations de concept, les pilotes ou les environnements plus petits dans lesquels vous savez que vous ne dépasserez pas 1 000 sessions actives sur l'espace.
Certificat	Téléchargez le certificat au format PEM que l'instance d'Unified Access Gateway utilisera pour autoriser les clients à approuver les connexions aux instances d'Unified Access Gateway exécutées dans Microsoft Azure. Le certificat doit être basé sur le nom de domaine complet entré et être signé par une autorité de certification approuvée. Le fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine et clé privée.
Port TCP Blast Extreme	Sélectionnez le port TCP à utiliser dans le paramètre TCP Blast Extreme dans la configuration d'Unified Access Gateway. Ce paramètre se rapporte à Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données envoyé par le client. Le port 8443 est préféré, car il est plus efficace, fournit de meilleures performances et utilise moins de ressources sur les instances d'Unified Access Gateway. Pour ces raisons, 8443 est la valeur par défaut pour l'assistant. L'autre choix, 443 est moins efficace, moins performant et provoque une surcharge du CPU dans les instances, ce qui peut entraîner des retards de trafic observables dans les clients des utilisateurs finaux. Le choix 443 doit être utilisé uniquement si votre organisation a défini des restrictions côté client, comme votre organisation n'autorise que le port 443 sortant. Note : Le port UDP utilisé pour Blast Extreme n'est pas affecté par ce paramètre et est toujours UDP 8443.
Suites de chiffrement	Même si dans la plupart des cas, les paramètres par défaut sont suffisants, Unified Access Gateway fournit cette fonctionnalité pour spécifier les algorithmes de chiffrement utilisés pour chiffrer les communications entre les clients et les dispositifs Unified Access Gateway. Vous devez sélectionner au moins une suite de chiffrement dans la liste à l'écran. Celle-ci affiche les suites de chiffrement autorisées pour le déploiement d'Horizon Cloud on Microsoft Azure.

Si vous voulez éventuellement configurer les postes de travail des utilisateurs finaux pour utiliser l'authentification à deux facteurs dans la section de la passerelle que vous ajoutez, procédez comme indiqué dans la section Activer l'authentification à deux facteurs sur les passerelles d'un espace Horizon Cloud.
Dans la section Balises de ressources Azure, si vous souhaitez spécifier des balises de ressources pour les groupes de ressources liés à la passerelle qui sont différents de ceux spécifiés dans les autres groupes de ressources de l'espace, désactivez l'option Hériter des balises d'espace et spécifiez les balises dans les champs qui s'affichent.
Pour obtenir une description des balises des champs de l'option Balises de ressources Azure, reportez-vous à la section Locataires de première génération - Spécifier la configuration de la passerelle de l'espace Horizon Cloud. Le même ensemble de balises est utilisé pour les deux types de passerelles sur l'espace.
Cliquez sur Enregistrer et quitter.
Un message de confirmation s’affiche et vous demande de confirmer le démarrage du workflow.
Cliquez sur Oui pour démarrer le workflow.

Résultats

Tant que le système n'a pas terminé le déploiement des éléments pour la passerelle, la section de la page de résumé de l'espace pour ce type de configuration indique l'état En attente. De plus, vous ne pouvez pas effectuer d'autres activités liées au workflow Modifier l'espace tant que le système n'a pas terminé ses actions pour déployer la passerelle.

Une fois le workflow terminé, l'état indiquera Prêt et le nom de domaine complet de l'équilibrage de charge s'affichera sur la page.

Note : Lors de l'exécution de ce workflow pour un espace dans Microsoft Azure Chine, l'exécution du processus peut prendre plus d’une heure. Le processus est soumis à des problèmes de réseau liés à la géographie, qui peuvent entraîner une baisse de la vitesse de téléchargement, du fait que les fichiers binaires sont téléchargés depuis le plan de contrôle de cloud.

Que faire ensuite

Important : Avant que vos utilisateurs finaux puissent commencer à utiliser la passerelle récemment ajoutée, vous devez effectuer les tâches suivantes.

Pour la configuration de passerelle récemment ajoutée, vérifiez que vous disposez d'un enregistrement CNAME dans votre serveur DNS pour mapper l'équilibrage de charge déployé de la configuration au nom de domaine complet entré dans l'assistant de déploiement. Reportez-vous à la section Comment obtenir les informations d'équilibrage de charge de la passerelle de l'espace Horizon Cloud à mapper dans votre serveur DNS pour plus d'informations.
Si vous avez spécifié l'authentification à deux facteurs pour la passerelle ajoutée, vous devez effectuer les tâches suivantes :
- Si la passerelle externe de l'espace dispose d'une authentification à deux facteurs configurée et que le serveur d'authentification à deux facteurs n'est pas accessible dans la même topologie de réseau virtuel que celle dans laquelle les instances d'Unified Access Gateway de la passerelle sont déployées, configurez le serveur d'authentification à deux facteurs afin qu'il autorise la communication à partir de l'adresse IP de l'équilibrage de charge de la passerelle externe.
  Dans ce scénario où le serveur d'authentification à deux facteurs n'est pas accessible dans la même topologie de réseau virtuel que le déploiement de la passerelle, les instances d'Unified Access Gateway tentent d'entrer en contact avec ce serveur à l'aide de cette adresse d'équilibrage de charge. Pour autoriser ce trafic de communication, assurez-vous que l'adresse IP de la ressource d'équilibrage de charge qui se trouve dans le groupe de ressources de cette passerelle externe est spécifiée comme client ou comme agent enregistré dans la configuration de votre serveur d'authentification à deux facteurs. Reportez-vous à la documentation de votre serveur d'authentification à deux facteurs pour savoir comment autoriser cette communication.
- Si votre serveur d'authentification à deux facteurs est accessible dans la même topologie de réseau virtuel, configurez le serveur d'authentification à deux facteurs afin qu'il autorise la communication à partir des cartes réseau appropriées qui ont été créées pour les instances d'Unified Access Gateway du déploiement dans Microsoft Azure.
  Votre administrateur réseau détermine la visibilité du réseau du serveur d'authentification à deux facteurs sur la topologie du réseau virtuel Azure et ses sous-réseaux utilisés pour le déploiement. Le serveur d'authentification à deux facteurs doit autoriser la communication à partir des adresses IP des cartes réseau des instances d'Unified Access Gateway qui correspondent au sous-réseau pour lequel votre administrateur réseau a fourni la visibilité du réseau au serveur d'authentification à deux facteurs.
  Le groupe de ressources de la passerelle dans Microsoft Azure dispose de quatre cartes réseau qui correspondent à ce sous-réseau, deux qui sont actuellement actives pour les deux instances d'Unified Access Gateway et deux inactives qui deviendront actives après la mise à jour de l'espace et de ses passerelles.
  Pour prendre en charge le trafic de communication entre la passerelle et le serveur d'authentification à deux facteurs pour les opérations en cours de l'espace et après chaque mise à jour de celui-ci, assurez-vous que les adresses IP de ces quatre cartes réseau sont spécifiées comme clients ou comme agents enregistrés dans la configuration de ce serveur. Reportez-vous à la documentation de votre serveur d'authentification à deux facteurs pour savoir comment autoriser cette communication.
Pour plus d'informations sur l'obtention de ces adresses IP, reportez-vous à la section Mettre à jour votre système d'authentification à deux facteurs avec les informations de passerelle d'espace Horizon Cloud requises.