Vous pouvez éventuellement enregistrer des domaines Active Directory supplémentaires avec votre compte client Horizon Cloud. L'enregistrement du domaine Active Directory ajoute ce domaine à l'ensemble des domaines configurés par le cloud, associés à ce compte client Horizon Cloud. Lorsque le domaine se trouve dans l'ensemble de domaines configurés par le cloud, vous pouvez activer les comptes d'utilisateur et les groupes de ce domaine pour utiliser les fonctionnalités fournies par le système, par exemple les administrateurs du support technique utilisant les fonctionnalités du support technique ou les utilisateurs finaux utilisant les fonctionnalités liées aux postes de travail.

Important : Dans les zones de texte Nom d'utilisateur de liaison et Nom d'utilisateur de jonction relatifs aux comptes de liaison de domaines et de jonction de domaines, indiquez le nom du compte lui-même, par exemple ouraccountname, tel que le nom d'ouverture de session de l'utilisateur sans le nom de domaine.
Note : Les groupes de distribution ne sont pas pris en charge, même s'ils sont imbriqués sous un groupe de sécurité. Lors de la création de groupes Active Directory, sélectionnez toujours Sécurité pour Type de groupe.

Conditions préalables

Vérifiez que l'infrastructure Active Directory est synchronisée avec une source de temps précise afin d'éviter l'échec de l'étape de compte de jonction de domaine. Un tel échec peut vous obliger à contacter le support VMware pour obtenir de l'aide. Si l'étape de liaison de domaine réussit, mais que l'étape de jonction de domaine échoue, vous pouvez essayer de réinitialiser le domaine et de rechercher si vous devez ajouter la source de temps. Pour réinitialiser le domaine, consultez les étapes de la section Supprimer l'enregistrement du domaine Active Directory.

Pour les comptes de liaison de domaine principal et auxiliaire requis, vérifiez que vous disposez des informations de deux comptes d'utilisateurs Active Directory qui respectent les conditions requises décrites dans la section Conditions requises de compte de liaison de domaine.

Attention : Pour éviter les verrouillages accidentels qui vous empêcheraient de vous connecter à la console basée sur le cloud pour gérer votre environnement Horizon Cloud, vous devez vérifier que vos comptes de liaison de domaines ne peuvent pas expirer, être modifiés ou bloqués. Vous devez utiliser ce type de configuration de compte, car le système utilise le compte de liaison de domaine principal comme compte de service pour interroger votre domaine Active Directory afin de vérifier les informations d'identification pour vous connecter à la console. Si le compte de liaison de domaine principal devient inaccessible pour une raison quelconque, le système utilise le compte de liaison de domaine auxiliaire. Si les comptes de liaison de domaines principal et auxiliaire expirent ou ne sont plus accessibles, vous ne pourrez pas vous connecter à la console et mettre à jour la configuration afin d'utiliser un compte de liaison de domaine accessible.

le rôle Super administrateur est toujours attribué aux comptes de liaison de domaine principal et auxiliaire, ce qui accorde toutes les autorisations pour effectuer des actions de gestion dans la console. Vous devez vous assurer que les comptes de liaison de domaine spécifiés ne sont pas accessibles aux utilisateurs qui ne doivent pas disposer des autorisations de super administrateur.

Pour le compte de jonction de domaine, vérifiez que le compte répond aux conditions requises décrites dans la section Configurations requises de compte de jonction de domaine. Le compte de jonction de domaine doit également se trouver dans un groupe Active Directory que vous ajoutez au rôle Super administrateur dans la console. Les rôles d’Horizon Cloud peuvent être attribués à un niveau de groupe uniquement.
Attention : Ce point est crucial pour les opérations système impliquant des espaces dans Microsoft Azure. Si le compte de jonction de domaine que vous fournissez dans l'étape de compte de jonction de domaine de l'enregistrement du domaine Active Directory ne se trouve pas déjà dans un des groupes Active Directory auxquels vous pouvez attribuer le rôle Super administrateur, créez un groupe Active Directory pour ce compte afin de garantir l'attribution du rôle Super administrateur à ce compte de jonction de domaine.

Si vous ne disposez que d'un seul groupe Active Directory auquel le rôle Super administrateur est attribué, ne supprimez pas ce groupe du serveur Active Directory. Cela peut entraîner des problèmes avec les connexions futures.

Vérifiez que vous disposez du nom NetBIOS et du nom de domaine de DNS du domaine Active Directory. Vous fournirez ces valeurs dans la fenêtre Enregistrer Active Directory de la console à la première étape de ce workflow. Pour obtenir un exemple de méthode de localisation de ces valeurs, reportez-vous à la section Localisation des informations requises pour les champs Nom NETBIOS et Nom de domaine DNS du workflow Enregistrer Active Directory d'Horizon Cloud.

Attention : Lorsque vous enregistrez un domaine Active Directory supplémentaire, assurez-vous que tous vos espaces connectés au cloud ont une vue directe sur ce domaine. Tous les espaces du même enregistrement de compte client doivent pouvoir accéder au même ensemble de domaines Active Directory configurés par le cloud, qui sont enregistrés avec ce compte. Tous les espaces doivent être capables d'accéder aux mêmes serveurs Active Directory, et la configuration du DNS doit résoudre tous ces domaines Active Directory configurés par le cloud.

Procédure

  1. Dans la console, sélectionnez Paramètres > Active Directory.
  2. Cliquez sur Enregistrer.
  3. Dans la boîte de dialogue Enregistrer Active Directory, fournissez les informations d'enregistrement demandées.
    Important : Utilisez des comptes Active Directory qui respectent les recommandations des comptes de liaison de domaine principal et auxiliaire décrites dans les conditions préalables.
    Option Description
    Nom NETBIOS
    • Lorsque vous disposez d'espaces Horizon connectés au cloud, à cette étape, le système affiche un menu de sélection renseigné avec les noms de tous les domaines Active Directory que l'espace Horizon peut voir. Sélectionnez le domaine Active Directory que vous souhaitez enregistrer en premier.
    • Lorsque vos espaces uniquement connectés au cloud se trouvent dans Microsoft Azure, à cette étape, le système affiche une zone de texte. Entrez le nom NetBIOS du domaine Active Directory à enregistrer. En général, ce nom ne contient aucun point. Pour obtenir un exemple de localisation de la valeur à utiliser depuis votre environnement de domaine Active Directory, reportez-vous à Localisation des informations requises pour les champs Nom NETBIOS et Nom de domaine DNS du workflow Enregistrer Active Directory d'Horizon Cloud.
    Nom de domaine DNS
    Protocole Affiche automatiquement LDAP, le protocole pris en charge.
    Nom d'utilisateur de liaison Compte d'utilisateur dans le domaine à utiliser comme compte de liaison LDAP principal.
    Note : Fournissez uniquement le nom d'utilisateur lui-même. N'incluez pas le nom de domaine ici.
    Mot de passe de liaison Mot de passe associé au nom dans la zone de texte Nom d'utilisateur de liaison.
    Compte auxiliaire N°1 Dans les champs Nom d'utilisateur de liaison et Mot de passe de liaison, saisissez un compte d'utilisateur dans le domaine à utiliser comme compte de liaison LDAP auxiliaire et le mot de passe associé.
    Note : Fournissez uniquement le nom d'utilisateur lui-même. N'incluez pas le nom de domaine ici.
  4. Cliquez sur Liaison de domaine.
    Lorsque l'étape de liaison de domaine réussit, la boîte de dialogue Jonction de domaine s'affiche et vous pouvez passer à l'étape suivante.
  5. Dans la boîte de dialogue Jonction de domaine, fournissez les informations requises.
    Note : Utilisez un compte Active Directory qui respecte les recommandations du compte de jonction de domaine décrites dans les conditions préalables.
    Option Description
    Adresse IP du serveur DNS principal L'adresse IP du serveur DNS principal qu'Horizon Cloud utilise selon votre souhait pour résoudre les noms de machines.

    Pour un espace dans Microsoft Azure, ce serveur DNS doit être en mesure de résoudre les noms de machines dans votre cloud Microsoft Azure et de résoudre les noms externes.

    Adresse IP du serveur DNS secondaire (Facultatif) Adresse IP d'un serveur DNS secondaire
    Unité d'organisation par défaut Unité d'organisation (OU) Active Directory utilisée selon votre souhait par les machines virtuelles liées au poste de travail de l'espace, par exemple les VM importées, les VM RDSH de batterie de serveurs et les instances de poste de travail VDI. Une unité d'organisation Active Directory est au format OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent. La valeur par défaut du système est CN=Computers. Vous pouvez modifier la valeur par défaut en fonction de vos besoins, telle que CN=myexample.
    Note : Pour obtenir une description des noms d'organisations imbriqués, reportez-vous à Considérations relatives à l’utilisation des unités d’organisation du domaine Active Directory imbriquées. Chaque unité d'organisation entrée individuelle doit contenir 64 caractères au maximum, sans compter la partie OU= de votre entrée. Microsoft limite une unité d’organisation individuelle à 64 caractères au maximum. Un chemin d’unité d’organisation qui contient plus de 64 caractères, mais sans unité d’organisation individuelle contenant plus de 64 caractères, est valide. Chaque unité d’organisation individuelle doit toutefois contenir 64 caractères au maximum.
    Nom d'utilisateur de jonction Compte d'utilisateur dans le domaine Active Directory disposant d'autorisations pour joindre des ordinateurs à ce domaine Active Directory.
    Note : Fournissez uniquement le nom d'utilisateur lui-même. N'incluez pas le nom de domaine ici.
    Mot de passe de jonction Mot de passe associé au nom dans la zone de texte Nom d'utilisateur de jonction.
  6. (Facultatif) Spécifiez un compte de jonction de domaine auxiliaire.
    Si le compte de jonction de domaine principal que vous avez spécifié n'est plus inaccessible, le système utilise le compte de jonction de domaine auxiliaire pour ces opérations dans des espaces de Microsoft Azure qui nécessitent la jonction du domaine, telles que l'importation de machines virtuelles d'image, la création d'instances RDSH de batterie de serveurs, la création d'instances de poste de travail VDI, etc.
    Note :
    • Utilisez un compte Active Directory qui respecte les mêmes recommandations que celles du compte de jonction de domaine, décrites dans les conditions préalables. Assurez-vous que ce compte de jonction de domaine auxiliaire possède un délai d'expiration différent du compte de jonction de domaine principal, sauf si l'option N'expire jamais est définie sur les deux comptes. Si les comptes de jonction de domaine principal et auxiliaire expirent simultanément, les opérations du système pour la fermeture des images et le provisionnement des machines virtuelles RDSH de batterie de serveurs et de poste de travail VDI échoueront.
    • Vous ne pouvez ajouter qu'un seul compte de jonction de domaine auxiliaire pour chaque compte Active Directory que vous enregistrez avec Horizon Cloud.
    • Si vous n'ajoutez pas de compte de jonction de domaine auxiliaire à ce stade, vous pourrez le faire un ultérieurement à l'aide de la console.
    • Vous pouvez mettre à jour ou supprimer ce compte ultérieurement.
    • Le logiciel lié à l'agent sur une machine virtuelle liée au poste de travail, par exemple une image fermée, une instance RDSH de batterie de serveurs ou une instance de poste de travail VDI, doit être à la version 18.1 ou à une version ultérieure afin d'utiliser le compte de jonction de domaine auxiliaire avec cette machine virtuelle.
    Option Description
    Nom d'utilisateur de jonction auxiliaire Compte d'utilisateur dans l'annuaire Active Directory disposant d'autorisations pour joindre des systèmes à ce domaine Active Directory.
    Important : Indiquez uniquement le nom de compte dans ce champ, par exemple ouraccountname, tel que le nom d'ouverture de session de l'utilisateur sans le nom de domaine. La saisie de barres obliques ou de symboles @ affichera une erreur.
    Mot de passe de jonction auxiliaire Mot de passe associé au nom dans la zone de texte Nom d'utilisateur de jonction auxiliaire.
  7. Cliquez sur Enregistrer.
    À ce stade, si l'étape de jonction de domaine réussit, la boîte de dialogue Ajouter un administrateur s'affiche et vous pouvez passer à l'étape suivante.
  8. Dans la boîte de dialogue Ajouter un super administrateur, utilisez la fonction de recherche d'Active Directory pour sélectionner le groupe d'administrateurs Active Directory devant réaliser des actions de gestion sur votre environnement à l'aide de la console.
    Cette attribution vérifie qu'au minimum l'un de vos comptes d'utilisateurs du domaine Active Directory se voit accorder les autorisations pour se connecter à l'aide du workflow de connexion standard, à présent que le domaine Active Directory est configuré pour ce compte client.
    Important : Ajoutez le groupe Active Directory au rôle Super Administrateur, qui inclut le compte de jonction de domaine, comme décrit dans les prérequis. Si le compte de jonction de domaine ne se trouve pas dans un des groupes Active Directory qui disposent du rôle Super administrateur, ces opérations système des espaces dans Microsoft Azure qui impliquent la jonction des machines virtuelles au domaine échoueront.
  9. Cliquez sur Enregistrer.

Résultats

Les éléments suivants sont maintenant en place :
  • Le domaine Active Directory se trouve dans l'un des domaines Active Directory configurés par le cloud, associés à ce compte client Horizon Cloud.
  • Pour un espace dans Microsoft Azure, Horizon Cloud dispose du compte de jonction de domaine nécessaire à ces opérations système impliquant la jonction des machines virtuelles, liées au poste de travail, à ce domaine. En outre, le compte de jonction de domaine dispose du rôle Super administrateur requis, pour que ces opérations fonctionnent correctement.
  • Après la connexion à Horizon Cloud à l’aide des informations d’identification de My VMware, dans la fenêtre de connexion Active Directory, les utilisateurs dans Active Directory qui ont reçu un rôle d'Horizon Cloud peuvent sélectionner le domaine qui correspond à leur compte Active Directory.
  • Les utilisateurs du groupe auquel vous avez accordé le rôle Super administrateur pourront accéder à la console et effectuer des activités de gestion lorsqu'ils utilisent le compte My VMware associé pour l'écran de première connexion. Pour permettre à ces administrateurs d'utiliser leurs propres informations d'identification du compte My VMware pour l'étape de première connexion, effectuez les étapes décrites dans la section Attribuez des rôles administratifs aux individus de votre organisation pour qu'ils se connectent et effectuent des actions dans votre environnement de locataire Horizon Cloud à l'aide de la Console d'administration d'Horizon Cloud.
  • Vous pouvez sélectionner les comptes d'utilisateurs du domaine Active Directory enregistré pour les attributions impliquant des ressources provenant d'espaces dans Microsoft Azure.
  • Vous pouvez utiliser les fonctionnalités du support technique de la console avec les comptes d'utilisateurs de ce domaine Active Directory enregistré.

Que faire ensuite

À partir de là, vous effectuez généralement les tâches suivantes :