Il s'agit d'une liste de haut niveau des étapes lorsque vous vous trouvez dans votre tout premier espace connecté au cloud en exécutant le système de déploiement de l'espace pour déployer un espace Horizon Cloud dans votre capacité Microsoft Azure. Après que votre premier espace connecté au cloud est entièrement déployé et que vous avez terminé les étapes d'enregistrement d'Horizon Cloud avec le domaine Active Directory prévu de l'espace, vous pouvez utiliser toutes les fonctionnalités fournies par Horizon Cloud, en particulier pour le provisionnement des postes de travail VDI, les postes de travail basés sur une session RDSH ou les applications distantes basées sur RDSH à vos utilisateurs finaux depuis cet espace. Lorsque votre compte client est configuré pour utiliser des fonctionnalités d'App Volumes avec vos espaces dans Microsoft Azure, vous pouvez également provisionner des applications à partir de ces fonctionnalités d'App Volumes et les autoriser à accéder à vos utilisateurs finaux.

Pour obtenir une introduction générale aux espaces dans Microsoft Azure, consultez la section Introduction aux espaces Horizon Cloud dans Microsoft Azure.

Effectuez les étapes suivantes lorsque vous déployez votre tout premier espace connecté au cloud et que vous utilisez l'assistant de déploiement d'espace pour le déployer dans Microsoft Azure.

  1. Répondez aux conditions préalables. Reportez-vous à la section Liste de vérification des conditions préalables de VMware Horizon Cloud Service on Microsoft Azure pour les déploiements de nouveaux espaces.
  2. Effectuez les tâches de préparation en dehors d'Horizon Cloud. Reportez-vous à la section Préparation du déploiement d'un espace Horizon Cloud dans Microsoft Azure.
  3. Vérifiez que vous respectez les conditions requises pour le DNS, les ports et les protocoles pour le déploiement de l'espace. Reportez-vous aux sections Conditions requises de DNS pour un espace Horizon Cloud dans Microsoft Azure et Conditions requises des ports et des protocoles pour un espace Horizon Cloud dans la version de manifeste de septembre 2019 ou une version ultérieure.
  4. Déployez l'espace. Reportez-vous à la section Déployer un espace Horizon Cloud dans Microsoft Azure.
  5. Inscrivez votre domaine Active Directory avec l'espace déployé, en fournissant le nom d’un compte de jonction de domaine. Reportez-vous à la section Enregistrement de votre premier domaine Active Directory dans l'environnement Horizon Cloud.
  6. Attribuez le rôle Super administrateurs d'Horizon Cloud à un groupe Active Directory qui inclut ce compte de jonction de domaine en tant que membre.
    Important : Vous devez vous assurer que le compte de jonction de domaine que vous entrez lors de l'inscription du domaine est également dans un des groupes Active Directory auxquels vous attribuez le rôle Super administrateurs d' Horizon Cloud. Les opérations de jonction de domaine du système avec l'espace varient en fonction du compte de jonction de domaine ayant le rôle de Super administrateurs d' Horizon Cloud. Reportez-vous à Attribuez des rôles à des groupes Active Directory qui contrôlent les zones de la Console d'administration d'Horizon Cloud qui sont activées pour les individus de ces groupes après s'être authentifiées dans votre environnement de locataire Horizon Cloud
  7. Sélectionnez le type d'intermédiation que vous souhaitez que les espaces de votre locataire utilisent lors de l'intermédiation des ressources provisionnées par l'espace à vos utilisateurs finaux. Reportez-vous à la section Présentation d'Universal Broker et du Broker pour les espaces uniques et à ses rubriques et sous-rubriques connexes.
    Attention : Il est recommandé d'effectuer cette étape de sélection d'intermédiation avant de déployer des espaces supplémentaires dans Microsoft Azure.
  8. En relation avec l'étape précédente, si vous sélectionnez la configuration du Broker à espace unique lors de cette étape précédente et que vous prévoyez d'utiliser Workspace ONE Access avec l'espace ou que vous prévoyez de connecter Horizon Clients directement à l'espace (et non via une configuration de passerelle de l'espace), procédez comme suit :
    • Dans votre serveur DNS, mappez un nom de domaine complet à l'adresse IP de l'équilibrage de charge Microsoft Azure du gestionnaire d'espace.
    • Procurez-vous un certificat SSL basé sur ce nom de domaine complet mappé

    Téléchargerez un certificat SSL vers l'espace basé sur le nom de domaine complet que vous avez mappé à l'adresse IP de l'équilibrage de charge Microsoft Azure du gestionnaire d'espace dans votre DNS afin que les connexions reliées aux machines virtuelles du gestionnaire d'espace établissent des connexions approuvées. Ces connexions incluent Horizon Clients, pour vos utilisateurs auxquels vous attribuez le nom de domaine complet mappé, et Workspace ONE Access Connector, qui est utilisé lorsque vous intégrez Workspace ONE Access à l'espace dans une configuration de Broker à espace unique. Le connecteur Workspace ONE Access doit se connecter à l'espace à l'aide d'un nom de domaine complet mappé à l'adresse IP de l'équilibrage de charge Microsoft Azure du gestionnaire d'espace.

    Attention : Lorsque votre environnement est configuré pour l'intermédiation à espace unique et que vous intégrez Workspace ONE Access à l'espace, vous devez charger un certificat SSL vers celui-ci et configurer votre instance de Workspace ONE Access Connector pour qu'elle pointe vers l'espace et non vers les configurations de Unified Gateway Access de l'espace.

    Cependant, gardez à l'esprit que, lorsque vous téléchargez un certificat SSL basé sur votre nom de domaine complet mappé au DNS, si vous tentez de vous connecter en tapant directement ce nom de domaine complet dans un navigateur, sans passer par un Workspace ONE Access correctement configuré, l'utilisation du nom de domaine complet pur s'affiche sous la forme de connexions non approuvées au navigateur. Cela s'explique par le simple fait que le chargement de ce nom de domaine complet dans un navigateur est une connexion à l'aide de HTML Access (Blast) et que c'est ainsi que HTML Access (Blast) se comporte. Par conséquent, lorsque vous chargez ce nom de domaine complet dans un navigateur, il affiche l'erreur de certificat non approuvé typique.

    En l'absence de Workspace ONE Access dans ce type de configuration, pour empêcher que les connexions utilisant HTML Access (Blast), avec un navigateur à la base, ne génèrent l'affichage de l'erreur de certificat non approuvé, vous devez placer une configuration de passerelle sur l'espace et faire en sorte que ces connexions utilisent l'équilibrage de charge et les instances de Unified Access Gateway à partir de la configuration de cette passerelle. Si vous ne souhaitez pas afficher votre nom de domaine complet sur Internet, vous pouvez déployer une configuration interne d'Unified Access Gateway. Cette configuration interne d'Unified Access Gateway utilise un équilibrage de charge interne Microsoft Azure auquel les utilisateurs finaux internes à votre réseau d'entreprise peuvent établir leurs connexions.

  9. Téléchargez directement un certificat SSL dans l'espace à l'aide de la page Résumé de l'espace dans la console d'administration, si vous prévoyez de disposer d'un ou de deux des cas d'utilisation suivants décrits à l'étape précédente.Reportez-vous à la section Configurez les certificats SSL directement sur les VM du gestionnaire d'espace, par exemple lors de l'intégration du dispositif Workspace ONE Access Connector au dispositif Horizon Cloud dans Microsoft Azure, afin que le connecteur puisse approuver les connexions aux VM du gestionnaire d'espace.
    Info-bulle : Si le seul cas d'utilisation d'accès à prendre en charge est celui où les connexions sont reliées aux instances de Unified Access Gateway de l'espace via l'équilibrage de charge connecté à ces instances, le téléchargement direct du certificat SSL vers l'espace est superflu. Cependant, l'exécution de l'étape précédant immédiatement ci-dessus et l'étape actuelle est recommandée, car elle garantit que si vous attribuez un jour ce nom de domaine complet aux utilisateurs à entrer dans leurs Horizon Clients, ces clients peuvent disposer de connexions approuvées. L'exécution de l'étape précédant immédiatement et l'étape actuelle offre également la possibilité d'intégrer un jour plus rapidement l'espace à un environnement de Broker à espace unique avec Workspace ONE Access, car le nom de domaine complet serait mappé et le certificat SSL serait déjà en place sur l'espace.
  10. Importez une image de base. Sur la page VM importées, utilisez l'action Réinitialiser le couplage d'agent pour associer la nouvelle image à Horizon Cloud. Reportez-vous à la section Créer des images de poste de travail pour un espace Horizon Cloud dans Microsoft Azure.
    Note : Tech Preview : l'utilisation du système d'exploitation Microsoft Windows 10 Enterprise multi-session avec App Volumes est actuellement dans la version Tech Preview. Pour importer une image de base pour ce cas d'utilisation, utilisez plutôt ces étapes : Tech Preview – Comment configurer une image multisession Microsoft Windows 10 pour une utilisation avec les fonctionnalités d'App Volumes dans les espaces Horizon Cloud de Microsoft Azure.
  11. En fonction du type d'attribution d'utilisateur final pour laquelle l'image est destinée à être utilisée, effectuez une ou plusieurs des étapes suivantes, le cas échéant.
  12. Effectuez une conversion de cette image en image attribuable, processus également appelée fermeture ou publication de l'image. Reportez-vous à la section Convertir une VM d'image configurée en image attribuable dans Horizon Cloud.
  13. Pour provisionner des postes de travail RDSH basés sur une session et des applications distantes à partir d'une image de serveur publiée :
    1. Créez une batterie de serveurs RDSH de postes de travail pour fournir des postes de travail de session, puis créez des attributions pour autoriser les utilisateurs finaux à utiliser ces postes de travail. Reportez-vous aux sections Batteries de serveurs dans Horizon Cloud et Créer une attribution de poste de travail de session RDSH.
    2. Créez une batterie de serveurs RDSH pour fournir des applications distantes, ajoutez-les à votre inventaire d'applications, puis créez des attributions pour autoriser les utilisateurs finaux à utiliser ces applications distantes. Reportez-vous aux sections Batteries de serveurs dans Horizon Cloud, Applications distantes – Importation depuis des batteries de serveurs RDSH provisionnées par des espaces Horizon Cloud dans Microsoft Azure et Applications distantes : créer une attribution d'applications distantes provisionnées par des espaces Horizon Cloud dans Microsoft Azure.
  14. Pour provisionner des postes de travail VDI à partir d'une image de poste de travail VDI publiée, créez une attribution de poste de travail VDI dédiée ou flottante. Reportez-vous à Créer une attribution de postes de travail VDI flottants provisionnée par un seul espace dans Microsoft Azure et à Créer une attribution de postes de travail VDI dédiés provisionnée par un seul espace dans Microsoft Azure.
  15. Pour provisionner des applications App Volumes pour vos utilisateurs finaux, ajoutez les applications App Volumes à votre inventaire d'applications et créez une attribution d'application pour autoriser les utilisateurs finaux à utiliser ces applications. Créez ensuite une attribution de poste de travail basée sur la même image publiée pour autoriser les utilisateurs finaux à accéder à des postes de travail dans lesquels ils peuvent lancer ces applications. Reportez-vous à Applications App Volumes pour Horizon Cloud on Microsoft Azure - Présentation et conditions préalables.
  16. Lorsqu'un espace est déployé avec une configuration de passerelle, vous devez créer un enregistrement CNAME dans votre serveur DNS qui mappe le nom de domaine complet (FQDN) que vous avez entré dans l'assistant de déploiement à la ressource d'équilibrage de charge Microsoft Azure appropriée configurée dans l'espace pour cette passerelle.
    • Pour une passerelle externe activée avec une adresse IP publique, mappez le nom de domaine complet entré dans l'assistant de déploiement au nom de domaine complet public généré automatiquement de la ressource d'équilibrage de charge Microsoft Azure de la passerelle. L'enregistrement de votre serveur DNS mappe ce nom de domaine complet public généré automatiquement de l'équilibrage de charge Microsoft Azure au nom de domaine complet que vos utilisateurs finaux utilisent et qui est utilisé dans le certificat téléchargé. La ligne de code suivante montre un exemple. Vous pouvez localiser l'ID à utiliser sur la page de détails de l'espace dans la console, après avoir enregistré le domaine Active Directory. Si la passerelle externe a été déployée dans son propre réseau virtuel, utilisez l'ID affiché dans le champ ID de déploiement.
      ourApps.ourOrg.example.com   vwm-hcs-ID-uag.région.cloudapp.azure.com
    • Pour une passerelle interne ou une passerelle externe sans adresse IP publique, mappez le nom de domaine complet entré dans l'assistant de déploiement à l'adresse IP privée de la ressource d'équilibrage de charge Microsoft Azure de la passerelle. L'enregistrement de votre serveur DNS mappe l'adresse IP de l'équilibrage de charge Microsoft Azure au nom de domaine complet que vos utilisateurs finaux utilisent, et qui est utilisé dans le certificat téléchargé. La ligne de code suivante montre un exemple.
      ourApps.ourOrg.example.com   Azure-load-balancer-private-IP

    Une fois que l'espace est intégré et que vous pouvez accéder à la page Capacité de la console d'administration, accédez à cette page pour afficher la valeur vmw-hcs-ID-uag.region.cloudapp.azure.com requise pour mapper le nom de domaine complet dans votre DNS.

    Pour savoir comment rechercher le nom de domaine complet de l'équilibrage de charge Microsoft Azure dans la console d'administration, reportez-vous à la section Comment obtenir les informations d'équilibrage de charge de la passerelle de l'espace Horizon Cloud à mapper dans votre serveur DNS.

  17. Lorsqu'un espace est déployé pour disposer d'une authentification à deux facteurs RADIUS pour les passerelles de l'espace, vous devez effectuer les tâches suivantes :
    • Si vous avez configuré une passerelle externe avec des paramètres RADIUS et que le serveur RADIUS n'est pas accessible dans le même réseau virtuel que celui utilisé par l'espace, ou dans la topologie de réseau virtuel liée si vous avez déployé la passerelle externe dans son propre réseau virtuel, configurez le serveur RADIUS de manière à autoriser les connexions client à partir de l'adresse IP de l'équilibrage de charge de la passerelle externe. Dans une configuration de passerelle externe, les instances d'Unified Access Gateway tentent de contacter le serveur RADIUS à l'aide de cette adresse d'équilibrage de charge. Pour autoriser les connexions, assurez-vous que l'adresse IP de la ressource d'équilibrage de charge qui se trouve dans le groupe de ressources de la passerelle externe est spécifiée en tant que client dans la configuration du serveur RADIUS.
    • Si vous avez configuré une passerelle interne ou externe et que votre serveur RADIUS est accessible dans le même réseau virtuel que celui utilisé par l'espace, configurez le serveur RADIUS pour autoriser les connexions à partir des cartes réseau appropriées qui ont été créées dans le groupe de ressources de la passerelle dans Microsoft Azure qui doit communiquer avec le serveur RADIUS. Votre administrateur réseau détermine la visibilité du réseau du serveur RADIUS sur le réseau virtuel Azure et les sous-réseaux de l'espace. Votre serveur RADIUS doit autoriser les connexions client à partir des adresses IP des cartes réseau de la passerelle qui correspondent au sous-réseau pour lequel votre administrateur réseau a accordé une visibilité réseau au serveur RADIUS. Le groupe de ressources de la passerelle dans Microsoft Azure a quatre cartes réseau qui correspondent à ce sous-réseau, deux qui sont actuellement actives pour les deux instances d'Unified Access Gateway et deux inactives qui deviennent actives après la mise à jour de l'espace. Pour prendre en charge la connectivité entre la passerelle et le serveur RADIUS pour les opérations d'espace en cours et après chaque mise à jour de l'espace, assurez-vous que les adresses IP de ces quatre cartes réseau sont spécifiées en tant que clients dans la configuration du serveur RADIUS.

    Pour plus d'informations sur l'obtention de ces adresses IP, reportez-vous à la section Mettre à jour votre système RADIUS avec les informations de passerelle d'espace Horizon Cloud requises.

Une fois les étapes de workflow ci-dessus terminées, vos utilisateurs finaux peuvent utiliser Horizon Client ou horizon HTML Access (le client Web) pour lancer leurs postes de travail et applications distantes autorisés :

  • Dans un environnement configuré avec Universal Broker, en utilisant votre nom de domaine complet d'intermédiation Universal Broker dans son client.
  • Dans un environnement configuré avec l'intermédiation à espace unique, en utilisant votre nom de domaine complet dans son client, celui que vous avez mappé à l'étape 16.

Pour plus d’informations sur la réalisation de chaque étape du workflow, consultez les rubriques avec des liens dans chaque étape ci-dessus ou dans le guide complémentaire. Consultez Démarrage avec VMware Horizon Cloud Service on Microsoft Azure.