Cette étape de l'assistant permet de spécifier les informations nécessaires au déploiement de l'espace avec une passerelle configurée. Unified Access Gateway fournit l'environnement de passerelle pour un espace déployé dans Microsoft Azure. Lors du déploiement du nouvel espace, vous pouvez choisir d'avoir une configuration de passerelle externe ou interne, ou les deux types sur le même espace. Par défaut, lorsque cette étape de l'assistant s'affiche, la configuration de la passerelle externe est sélectionnée.

Configuration de la passerelle externe
La configuration de passerelle externe permet de fournir l'accès aux postes de travail et aux applications pour les utilisateurs finaux situés en dehors de votre réseau d'entreprise. Lorsque l'espace dispose de cette configuration de passerelle externe, il inclut une ressource d'équilibrage de charge Azure et des instances d' Unified Access Gateway pour fournir cet accès. Dans ce cas précis, les instances disposent de trois cartes réseau chacune : une sur le sous-réseau de gestion, une sur le sous-réseau de poste de travail et une sur le sous-réseau de zone DMZ. Dans l'assistant de déploiement, vous avez la possibilité de spécifier le type d'équilibrage de charge privé ou public, selon que vous voulez une adresse IP privée ou publique pour celui-ci. Si vous désactivez cette option d'adresse IP publique dans l'assistant, vous devez spécifier l'adresse IP que vous avez mappée dans votre serveur DNS au nom de domaine complet que les clients Horizon des utilisateurs finaux utiliseront pour les connexions PCoIP à la passerelle.

Pour une configuration de passerelle externe, vous avez également la possibilité de déployer la configuration dans un réseau virtuel distinct du réseau virtuel de l'espace. Les réseaux virtuels doivent être liés. Ce type de configuration permet de déployer l'espace dans des topologies de réseau plus complexes dans Microsoft Azure, comme une topologie de réseau en étoile.

Note : Si, dans la première étape de l'assistant, vous avez activé l'option obligeant la passerelle externe à utiliser son propre abonnement, vous devez déployer la passerelle externe dans son propre réseau virtuel, le réseau virtuel associé à cet abonnement. Si vous avez activé cette option, vous pouvez éventuellement sélectionner un groupe de ressources existant dans cet abonnement pour les ressources de la passerelle externe. Vous devez avoir préparé ce groupe de ressources à l'avance pour pouvoir le sélectionner dans cette étape de l'assistant.
Configuration de la passerelle interne
La configuration de passerelle interne permet aux utilisateurs finaux situés à l'intérieur de votre réseau d'entreprise d'avoir des connexions HTML Access (Blast) approuvées à leurs postes de travails et à leurs applications. Si l'espace n'est pas configuré avec une configuration de passerelle interne, les utilisateurs finaux à l'intérieur de votre réseau d'entreprise voient l'erreur de certificat non approuvé du navigateur standard lorsqu'ils utilisent celui-ci pour établir des connexions HTML Access (Blast) à leurs postes de travail et à leurs applications. Lorsque l'espace dispose de cette configuration de passerelle interne, il inclut une ressource d'équilibrage de charge Azure et des instances d' Unified Access Gateway pour fournir cet accès. Dans ce cas précis, les instances disposent de deux cartes réseau chacune : une sur le sous-réseau de gestion et une sur le sous-réseau de poste de travail. Par défaut, le type d'équilibrage de charge de cette passerelle est privé.

La capture d'écran suivante est un exemple de l'étape lorsqu'elle s'affiche initialement. Certains contrôles ne s'affichent que lorsque vous les avez sélectionnés à la première étape de l'assistant afin d'utiliser un autre abonnement pour la configuration de la passerelle de passerelle externe.


Horizon Cloud on Microsoft Azure : étape 3 de l'assistant de déploiement de l'espace lors de son affichage initial.

Conditions préalables

Vérifiez que vous avez respecté les conditions préalables décrites dans la section Conditions préalables à l'exécution de l'assistant de déploiement de l'espace.

Important : Pour terminer cette étape, vous devez disposer du nom de domaine complet (FQDN) requis que vos utilisateurs finaux utiliseront pour accéder au service et d'un certificat SSL signé (au format PEM) basé sur ce nom de domaine complet. Le certificat doit être signé par une autorité de certification approuvée. Un fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine, clé privée. Pour plus d'informations, reportez-vous à la section Convertir un fichier de certificat au format PEM requis pour le déploiement de l'espace.

Vérifiez que tous les certificats de la chaîne comprennent des périodes valides. Si un certificat quelconque de la chaîne est expiré, des défaillances inattendues peuvent se produire ultérieurement dans le processus d'intégration de l'espace.

Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d'Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.

Procédure

  1. Si vous souhaitez utiliser la configuration de passerelle externe, remplissez les champs de la section Passerelle externe.
    Option Description
    Activer la passerelle externe ? Contrôle si l'espace dispose d'une configuration de passerelle externe. La configuration externe permet de fournir l'accès aux postes de travail et aux applications pour les utilisateurs finaux situés en dehors de votre réseau d'entreprise. L'espace inclut une ressource d'équilibrage de charge Microsoft Azure et des instances d'Unified Access Gateway pour fournir cet accès.
    Note : Il est recommandé de conserver le paramètre activé par défaut.

    Lorsque cette option est désactivée, les clients doivent se connecter via Workspace ONE Access intégré à l'espace ou directement à l'équilibrage de charge des gestionnaires d'espaces, ou se connecter via une configuration de passerelle interne. Dans le cas où des clients se connectent via Workspace ONE Access intégré à l'espace ou directement, certaines étapes sont requises après le déploiement. Dans ce cas, une fois l'espace déployé, suivez les étapes décrites dans la section Configurez les certificats SSL directement sur les VM du gestionnaire d'espace, par exemple lors de l'intégration du dispositif Workspace ONE Access Connector au dispositif Horizon Cloud dans Microsoft Azure, afin que le connecteur puisse approuver les connexions aux VM du gestionnaire d'espace.

    FQDN Entrez le nom de domaine complet (FQDN) requis, tel que ourOrg.example.com, que vos utilisateurs finaux utiliseront pour accéder au service. Vous devez posséder ce nom de domaine et disposer d'un certificat au format PEM pouvant valider ce nom de domaine complet.
    Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
    Adresses DNS Entrez éventuellement des adresses pour d'autres serveurs DNS qu'Unified Access Gateway peut utiliser pour la résolution de noms, séparées par des virgules. Lorsque vous effectuez cette configuration externe d'Unified Access Gateway pour utiliser l'authentification à deux facteurs avec votre serveur RADIUS sur site, vous devez spécifier l'adresse d'un serveur DNS pouvant résoudre le nom de votre serveur RADIUS sur site.

    Comme indiqué dans les conditions préalables au déploiement, un serveur DNS doit être configuré en interne dans votre abonnement et configuré pour fournir la résolution de nom externe. Les instances d'Unified Access Gateway utilisent ce serveur DNS par défaut. Si vous spécifiez des adresses dans ce champ, les instances d'Unified Access Gateway déployées utilisent les adresses en plus du serveur DNS requis au préalable que vous avez configuré dans le réseau virtuel de votre abonnement.

    Routes Spécifiez éventuellement des routes personnalisées vers des passerelles supplémentaires que vous souhaitez que les instances d'Unified Access Gateway déployées utilisent pour résoudre le routage réseau pour l'accès des utilisateurs finaux. Les routes spécifiées sont utilisées pour autoriser Unified Access Gateway à résoudre le routage réseau tel que vers des serveurs RADIUS pour l'authentification à deux facteurs.

    Lorsque vous configurez cet espace pour utiliser l'authentification à deux facteurs avec un serveur RADIUS sur site, vous devez entrer la route correcte que les instances d'Unified Access Gateway peuvent utiliser pour atteindre le serveur RADIUS. Par exemple, si votre serveur RADIUS sur site utilise 10.10.60.20 comme adresse IP, vous pouvez entrer 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement.

    Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme ipv4-network-address/bits ipv4-gateway-address, par exemple : 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modèle de VM Sélectionnez le modèle à utiliser pour les instances d'Unified Access Gateway. Vous devez vous assurer que l'abonnement Microsoft Azure que vous avez spécifié pour cet espace peut fournir la capacité de deux machines virtuelles du modèle sélectionné.
    Certificat Téléchargez le certificat au format PEM que l'instance d'Unified Access Gateway utilisera pour autoriser les clients à approuver les connexions aux instances d'Unified Access Gateway exécutées dans Microsoft Azure. Le certificat doit être basé sur le nom de domaine complet entré et être signé par une autorité de certification approuvée. Le fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine et clé privée.

    Indiquez les paramètres de l'équilibrage de charge Microsoft de cette passerelle.

    Option Description
    Activer les adresses IP publiques ? Contrôle si le type d'équilibrage de charge de cette passerelle est configuré comme privé ou public. Si cette option est activée, la ressource d'équilibrage de charge Microsoft Azure déployée est configurée avec une adresse IP publique. Si elle est désactivée, la ressource d'équilibrage de charge Microsoft Azure est configurée avec une adresse IP privée.
    Important : Dans cette version, vous ne pouvez pas modifier ultérieurement le type d'équilibrage de charge de la passerelle externe de public à privé ou de privé à public. Le seul moyen d'effectuer cette modification serait de supprimer entièrement la configuration de la passerelle de l'espace déployé, puis de modifier l'espace pour l'ajouter à nouveau avec le paramètre opposé.

    Si vous désactivez cette option, le champ Adresse IP publique pour le nom de domaine complet Horizon s'affiche.

    Adresse IP publique pour le nom de domaine complet Horizon Lorsque vous avez choisi de ne pas configurer l'équilibrage de charge Microsoft Azure déployé avec une adresse IP publique, vous devez fournir l'adresse IP que vous mappez dans votre DNS au nom de domaine complet que les clients Horizon des utilisateurs finaux utiliseront pour les connexions PCoIP à la passerelle. Le système de déploiement configurera cette adresse IP dans les paramètres de configuration d'Unified Access Gateway.

    Indiquez les paramètres de mise en réseau de la passerelle externe.

    Option Description
    Utiliser un autre réseau virtuel Cette option contrôle si la passerelle externe sera déployée dans son propre réseau virtuel, distinct du réseau virtuel de l'espace.

    Les lignes suivantes décrivent les différents cas.

    Note : Lorsque vous avez indiqué l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant, cette option est activée par défaut. Vous devez choisir un réseau virtuel pour la passerelle dans cette situation.
    Utiliser un autre réseau virtuel : désactivé Lorsque l'option est désactivée, la passerelle externe est déployée dans le VNet de l'espace. Dans ce cas, vous devez spécifier le sous-réseau de la zone DMZ.
    • Sous-réseau de zone DMZ - Lorsque l'option Utiliser le sous-réseau existant est activée dans l'étape précédente de l'assistant de configuration de l'espace, Sous-réseau de zone DMZ répertorie les sous-réseaux disponibles sur le réseau virtuel sélectionné pour Réseau virtuel. Sélectionnez le sous-réseau existant à utiliser pour le sous-réseau de zone DMZ de l'espace.
      Important : Sélectionnez un sous-réseau vide auquel aucune ressource n'est associée. Si le sous-réseau n'est pas vide, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace.
    • Sous-réseau de zone DMZ (CIDR) : lorsque l'option Utiliser le sous-réseau existant est désactivée dans l'étape précédente de l'assistant, entrez le sous-réseau (en notation CIDR) pour le réseau de la zone DMZ (zone démilitarisée) qui sera configuré pour connecter les instances de Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.
    Utiliser un autre réseau virtuel : activé Lorsque l'option est activée, la passerelle externe est déployée dans son propre réseau virtuel. Dans ce cas, vous devez sélectionner le réseau virtuel à utiliser, puis préciser les trois sous-réseaux requis. Activez l'option Utiliser le sous-réseau existant pour effectuer une sélection parmi les sous-réseaux que vous avez créés à l'avance sur le réseau virtuel spécifié. Sinon, indiquez les sous-réseaux dans la notation CIDR.
    Important : Sélectionnez des sous-réseaux vides auxquels aucune ressource n'est associée. Si les sous-réseaux ne sont pas vides, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace.

    Dans ce cas, le réseau virtuel de la passerelle et le réseau virtuel de l'espace sont liés. La meilleure pratique consiste à créer les sous-réseaux à l'avance et à ne pas utiliser les entrées CIDR ici. Reportez-vous à la section Conditions préalables lors du déploiement avec une configuration Unified Access Gateway externe à l'aide de son propre réseau virtuel ou abonnement distinct du réseau virtuel ou de l'abonnement de l'espace.

    • Sous-réseau de gestion - Spécifiez le sous-réseau à utiliser pour le sous-réseau de gestion de la passerelle. Un CIDR d'au moins /27 est requis. Le service Microsoft.SQL du sous-réseau doit être configuré en tant que point de terminaison de service.
    • Sous-réseau principal - Spécifiez le sous-réseau à utiliser pour le sous-réseau principal de la passerelle. Un CIDR d'au moins /27 est requis.
    • Sous-réseau frontal - Indiquez le sous-réseau du sous-réseau frontal qui sera configuré pour connecter les instances de Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.
  2. (Facultatif) Dans la section Passerelle externe, configurez éventuellement l'authentification à deux facteurs pour la passerelle externe.
  3. (Facultatif) Dans la section Déploiement, utilisez l'option pour sélectionner éventuellement un groupe de ressources existant dans lequel il est souhaitable que le système de déploiement déploie les ressources pour la configuration de passerelle externe.
    Cette option indique lorsque vous avez spécifié l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant. Lorsque vous activez l'option, un champ s'affiche dans lequel vous pouvez rechercher et sélectionner le groupe de ressources.
  4. Dans la section Passerelle interne, si vous souhaitez la configuration de passerelle interne, activez l'option Activer la passerelle interne ? et remplissez les champs qui s'affichent.
    Option Description
    Activer la passerelle interne ? Contrôle si l'espace dispose d'une configuration de passerelle interne. La configuration interne fournit un accès approuvé aux postes de travail et aux applications pour les connexions HTML Access (Blast) pour les utilisateurs situés à l'intérieur de votre réseau d'entreprise. L'espace inclut une ressource d'équilibrage de charge Azure et des instances d'Unified Access Gateway pour fournir cet accès. Par défaut, le type d'équilibrage de charge de cette passerelle est privé. L'équilibrage de charge est configuré avec une adresse IP privée.
    FQDN Entrez le nom de domaine complet (FQDN) requis, tel que ourOrg.example.com, que vos utilisateurs finaux utiliseront pour accéder au service. Vous devez posséder ce nom de domaine et disposer d'un certificat au format PEM pouvant valider ce nom de domaine complet.

    Si vous avez spécifié un nom de domaine complet pour la passerelle externe, vous devez entrer le même nom de domaine complet ici.

    Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
    Adresses DNS Entrez éventuellement des adresses pour d'autres serveurs DNS qu'Unified Access Gateway peut utiliser pour la résolution de noms, séparées par des virgules. Lorsque vous effectuez cette configuration de passerelle interne pour utiliser l'authentification à deux facteurs avec votre serveur RADIUS sur site, vous devez spécifier l'adresse d'un serveur DNS pouvant résoudre le nom de votre serveur RADIUS sur site.

    Comme indiqué dans les conditions préalables au déploiement, un serveur DNS doit être configuré en interne dans votre abonnement et configuré pour fournir la résolution de nom. Les instances d'Unified Access Gateway utilisent ce serveur DNS par défaut. Si vous spécifiez des adresses dans ce champ, les instances d'Unified Access Gateway déployées utilisent les adresses en plus du serveur DNS requis au préalable que vous avez configuré dans le réseau virtuel de votre abonnement.

    Routes Spécifiez éventuellement des routes personnalisées vers des passerelles supplémentaires que vous souhaitez que les instances d'Unified Access Gateway déployées utilisent pour résoudre le routage réseau pour l'accès des utilisateurs finaux. Les routes spécifiées sont utilisées pour autoriser Unified Access Gateway à résoudre le routage réseau tel que vers des serveurs RADIUS pour l'authentification à deux facteurs.

    Lorsque vous configurez cet espace pour utiliser l'authentification à deux facteurs avec un serveur RADIUS sur site, vous devez entrer la route correcte que les instances d'Unified Access Gateway peuvent utiliser pour atteindre le serveur RADIUS. Par exemple, si votre serveur RADIUS sur site utilise 10.10.60.20 comme adresse IP, vous pouvez entrer 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement.

    Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme ipv4-network-address/bits ipv4-gateway-address, par exemple : 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modèle de VM Sélectionnez le modèle à utiliser pour les instances d'Unified Access Gateway. Vous devez vous assurer que l'abonnement Microsoft Azure que vous avez spécifié pour cet espace peut fournir la capacité de deux machines virtuelles du modèle sélectionné.
    Certificat Téléchargez le certificat au format PEM que l'instance d'Unified Access Gateway utilisera pour autoriser les clients à approuver les connexions aux instances d'Unified Access Gateway exécutées dans Microsoft Azure. Le certificat doit être basé sur le nom de domaine complet entré et être signé par une autorité de certification approuvée. Le fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine et clé privée.
  5. (Facultatif) Dans la section Passerelle interne, configurez éventuellement l'authentification à deux facteurs pour l'instance interne d'Unified Access Gateway.
  6. (Facultatif) Dans la section Balises de ressources Azure, ajoutez éventuellement des balises personnalisées aux groupes de ressources qui contiennent toutes les instances d'Unified Access Gateway internes et externes que vous avez configurées pour l'espace.
    Option Description
    Hériter des balises d'espace

    Activez cette option pour ajouter les balises de ressources de l'espace aux groupes de ressources contenant toutes les instances d'Unified Access Gateway que vous avez configurées. Chaque groupe de ressources reçoit les balises de ressources que vous avez définies à l'étape de l'assistant de configuration de l'espace.

    Désactivez cette option pour définir de nouvelles balises de ressources pour les instances d'Unified Access Gateway.

    Balises de ressources Azure

    Ce paramètre devient visible lorsque vous désactivez l'option Hériter des balises d'espace. Utilisez ce paramètre pour ajouter de nouvelles balises de ressources aux groupes de ressources contenant les instances d'Unified Access Gateway que vous avez configurées.

    Pour créer la première balise, entrez des informations dans les champs Nom et Valeur. Pour créer une balise supplémentaire, cliquez sur +, puis entrez des informations dans les champs Nom et Valeur qui s'affichent en dessous de ceux existants.

    • Vous pouvez créer 10 balises au maximum.
    • Le nom de balise est limité à 512 caractères tandis que la valeur de balise est limitée à 256 caractères. Pour les comptes de stockage, le nom de balise est limité à 128 caractères tandis que la valeur de balise est limitée à 256 caractères.
    • Les noms de balise ne peuvent pas contenir les caractères suivants :

      < > % & \ ? /

    • Les noms de balise ne peuvent pas contenir ces chaînes non sensibles à la casse :

      « azure », « windows », « microsoft »

    • Les noms de balises et les valeurs de balises ne peuvent contenir que des caractères ASCII. Les espaces et les caractères en dehors de l'ensemble ASCII de 128 caractères (aussi appelé caractères ASCII élevés ou ASCII étendus) ne sont pas autorisés.

Résultats

Lorsque vous avez fourni les informations requises associées à vos options sélectionnées, cliquez sur Valider et continuer pour passer à la dernière étape de l'assistant. Suivez les étapes finales dans Déploiement d'espaces Horizon Cloud dans Microsoft Azure sur la page Capacité.