Effectuez les tâches suivantes pour préparer les composants de l'espace Horizon à l'intégration de l'espace au plan de contrôle Horizon Cloud. Assurez-vous que les conditions requises sont remplies conformément aux sections suivantes afin de réussir l'intégration.

Public concerné par cette liste de vérification

Cette liste de vérification est principalement destinée aux comptes clients Horizon Cloud entièrement nouveaux sur lesquels aucun espace n'a jamais été intégré à l'environnement de locataire avant la date de la version de service v2204.

Certaines des conditions requises répertoriées dans les sections suivantes sont celles nécessaires à l'intégration réussie d'un espace Horizon à des fins d'utilisation d'une licence d'abonnement avec l'espace. Certaines conditions requises sont nécessaires à l'exécution des tâches clés après cette intégration initiale pour permettre l'utilisation des services du plan de contrôle Horizon Cloud avec l'espace.

Pour référence, le workflow général de connexion au cloud d'un espace Horizon est décrit dans la section Intégration d'un espace Horizon au plan de contrôle Horizon Cloud.

Conditions requises pour le plan de contrôle d'Horizon Cloud

Compte VMware Customer Connect actif pour la connexion au plan de contrôle d'Horizon Cloud. (Le nom My VMware était anciennement utilisé pour VMware Customer Connect.)
Licence universelle Horizon valide. Pour plus d'informations sur cette licence, reportez-vous à la page Licence universelle Horizon.

Conditions requises pour l'espace Horizon et Horizon Cloud Connector

Comme l'indique la Matrice d'interopérabilité VMware, pour l'interopérabilité entre les versions d'Horizon Cloud Connector et d'Horizon, l'espace Horizon ne doit pas exécuter une version antérieure à 7.13.0. Ensuite, pour utiliser les derniers services et les dernières fonctionnalités du cloud avec l'espace connecté au cloud, il doit exécuter la version la plus récente disponible du logiciel de l'espace Horizon.
Au moment de la rédaction de ce document, il est fortement recommandé d'utiliser Horizon Cloud Connector version 2.2.x ou ultérieure pour les nouveaux déploiements. Les versions antérieures à la dernière version 2.2.x ne doivent pas être utilisées pour les nouveaux déploiements, car elles ne contiendront pas les derniers correctifs et les dernières améliorations.

Pour utiliser les derniers services et les dernières fonctionnalités de cloud avec l'espace connecté au cloud et disposer des derniers correctifs de sécurité, ce dernier doit exécuter la version la plus récente d'Horizon Cloud Connector.

La procédure de déploiement du dispositif Horizon Cloud Connector utilise les éléments suivants :

  • IP statique
  • Enregistrements de recherche DNS directe et inversée
Conditions requises en matière de ressources pour le dispositif virtuel Horizon Cloud Connector. Ces conditions dépendent de l'architecture de l'espace Horizon déployé : architecture intégrée à SDDC ou fédérée. Les listes ci-dessous indiquent les versions actuellement prises en charge pour les nouveaux déploiements pour chaque conception.
Architecture intégrée à SDDC
Dans l'architecture intégrée à SDDC, le format OVA du dispositif est déployé dans une instance de VMware SDDC.
Version 2.1.2
  • Nœud principal : 4 vCPU, mémoire de 8 Go (RAM), banque de données de 40 Go
  • Chaque nœud worker supplémentaire : 4 vCPU, mémoire de 8 Go (RAM), banque de données de 40 Go
Version 2.2.x
  • Nœud principal : 4 vCPU, mémoire de 8 Go (RAM), banque de données de 40 Go
  • Chaque nœud worker supplémentaire : 4 vCPU, mémoire de 8 Go (RAM), banque de données de 40 Go
Architecture fédérée
Dans l'architecture fédérée, un format cloud natif du dispositif est déployé dans l'infrastructure cloud native spécifique. Ces listes sont les formats cloud natifs actuellement pris en charge et les téléchargements de fichiers disponibles. Les formats natifs de cloud disponibles varient selon chaque version spécifique d' Horizon Cloud Connector.

L'instance de machine sous-jacente que vous utilisez pour déployer le dispositif doit respecter ou dépasser les exigences de ressources suivantes.

Version 2.1.2
Pour ces déploiements, l'utilisation du nœud principal uniquement est prise en charge.
  • Azure VMware Solution (AVS) - 8 vCPU, mémoire de 32 Go (RAM), banque de données de 40 Go. L'instance d'Azure Cloud Standard_D8_v3 est l'instance validée par le support technique qui fournit au moins 8 vCPU.
  • Google Cloud VMware Engine (GCVE) - 8 vCPU, mémoire de 32 Go (RAM), banque de données de 40 Go. L'instance de Google Cloud n2-standard-8 est l'instance validée par le support technique qui fournit au moins 8 vCPU.
  • VMware Cloud on AWS - 8 vCPU, mémoire de 16 Go (RAM), banque de données de 40 Go. L'instance d'Amazon c5.2xlarge est l'instance validée par le support technique qui fournit au moins 8 vCPU.
Version 2.2.x
Pour ces déploiements, l'utilisation du nœud principal uniquement est prise en charge.
  • Azure VMware Solution (AVS) - 8 vCPU, mémoire de 32 Go (RAM), banque de données de 40 Go. L'instance d'Azure Cloud Standard_D8_v3 est l'instance validée par le support technique qui fournit au moins 8 vCPU.
  • Google Cloud VMware Engine (GCVE) - 8 vCPU, mémoire de 32 Go (RAM), banque de données de 40 Go. L'instance de Google Cloud n2-standard-8 est l'instance validée par le support technique qui fournit au moins 8 vCPU.
  • VMware Cloud on AWS - 8 vCPU, mémoire de 16 Go (RAM), banque de données de 40 Go. L'instance d'Amazon c5.2xlarge est l'instance validée par le support technique qui fournit au moins 8 vCPU.
Utilisateur Active Directory imposé dans le processus d'intégration de l'espace, lors du couplage d'Horizon Cloud Connector avec le Serveur de connexion de l'espace. Cet utilisateur Active Directory doit disposer du rôle d'Administrateurs prédéfini de l'espace dans le groupe d'accès racine, tel qu'affiché dans l'instance d'Horizon Console de l'espace de Vue générale des administrateurs > Autorisations de rôle > Administrateurs. En d'autres termes, l'utilisateur Active Directory spécifié pour le processus d'intégration de l'espace est un super utilisateur pour cet espace, comme indiqué dans le Guide d'administration d'Horizon ou le Guide d'administration d'Horizon Console qui s'applique à la version du logiciel de votre espace.

Conditions requises pour Active Directory

Niveaux fonctionnels de domaine des services de domaine Microsoft Windows Active Directory (AD DS) pris en charge :
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
Tous les espaces connectés au cloud du même locataire Horizon Cloud doivent avoir une vue directe sur le même ensemble de domaines Active Directory lors de l'intégration de ces espaces au plan de contrôle de cloud. Cette condition requise de vue directe s'applique non seulement aux espaces Horizon supplémentaires que vous intégrez par la suite à votre flotte d'espaces après le premier, mais également aux espaces Horizon Cloud déployés dans Microsoft Azure en utilisant le même locataire de cloud.

Compte de liaison de domaine.

  • Compte de liaison de domaine Active Directory (utilisateur standard avec accès en lecture) disposant de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : "/ \ [ ] : ; | = , + * ? < >
  • Le compte doit disposer des autorisations suivantes :
    • Contenu de la liste
    • Toutes les propriétés - accès en lecture
    • Autorisations d'accès en lecture
    • tokenGroupsGlobalAndUniversal - accès en lecture (sous-entendu par Toutes les propriétés - accès en lecture)
  • Si vous connaissez bien l'offre VMware Horizon sur site, les autorisations ci-dessus sont les mêmes que celles requises pour les comptes d'informations d'identification secondaires de l'offre Horizon sur site, mentionnées dans cette rubrique de la documentation d'Horizon sur site.
  • En règle générale, les comptes de liaison de domaine doivent se voir accorder les autorisations prêtes à l'emploie liées à l'accès en lecture par défaut et en général accordées aux utilisateurs authentifiés dans un déploiement Microsoft Active Directory. Cependant, si les administrateurs AD de votre organisation ont choisi de verrouiller les autorisations liées à l'accès en lecture pour les utilisateurs standard, vous devez demander aux administrateurs AD de conserver les valeurs standard par défaut des utilisateurs authentifiés pour les comptes de liaison de domaine que vous utiliserez pour Horizon Cloud.

Vous devez également définir le mot de passe du compte sur N'expire jamais pour garantir un accès continu à la connexion à votre environnement Horizon Cloud.

Pour obtenir des informations et des conditions requises supplémentaires, reportez-vous à la section Comptes de service dont Horizon Cloud a besoin pour ses opérations.

Compte de liaison de domaine auxiliaire : impossible d'utiliser le même compte que celui indiqué ci-dessus.

  • Compte de liaison de domaine Active Directory (utilisateur standard avec accès en lecture) disposant de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : "/ \ [ ] : ; | = , + * ? < >
  • Le compte doit disposer des autorisations suivantes :
    • Contenu de la liste
    • Toutes les propriétés - accès en lecture
    • Autorisations d'accès en lecture
    • tokenGroupsGlobalAndUniversal - accès en lecture (sous-entendu par Toutes les propriétés - accès en lecture)
  • Si vous connaissez bien l'offre VMware Horizon sur site, les autorisations ci-dessus sont les mêmes que celles requises pour les comptes d'informations d'identification secondaires de l'offre Horizon sur site, mentionnées dans cette rubrique de la documentation d'Horizon sur site.
  • En règle générale, les comptes de liaison de domaine doivent se voir accorder les autorisations prêtes à l'emploie liées à l'accès en lecture par défaut et en général accordées aux utilisateurs authentifiés dans un déploiement Microsoft Active Directory. Cependant, si les administrateurs AD de votre organisation ont choisi de verrouiller les autorisations liées à l'accès en lecture pour les utilisateurs standard, vous devez demander aux administrateurs AD de conserver les valeurs standard par défaut des utilisateurs authentifiés pour les comptes de liaison de domaine que vous utiliserez pour Horizon Cloud.

Vous devez également définir le mot de passe du compte sur N'expire jamais pour garantir un accès continu à la connexion à votre environnement Horizon Cloud.

Pour obtenir des informations et des conditions requises supplémentaires, reportez-vous à la section Comptes de service dont Horizon Cloud a besoin pour ses opérations.

Compte de jonction de domaine
  • Compte de jonction de domaine Active Directory qui peut être utilisé par le système pour effectuer des opérations Sysprep et joindre des ordinateurs au domaine, généralement un nouveau compte (compte d'utilisateur de jonction de domaine).
  • Définissez le mot de passe du compte sur N'expire jamais.
  • Ce compte nécessite les autorisations Active Directory suivantes : Lister le contenu, Lire toutes les propriétés, Lire les autorisations, Réinitialiser le mot de passe, Créer des objets d'ordinateur, Supprimer des objets d'ordinateur.
  • Ce compte nécessite également l'autorisation Active Directory nommée Toutes les propriétés - accès en écriture sur les objets descendants de l'unité d'organisation (UO) cible que vous prévoyez d'utiliser pour les batteries de serveurs et les attributions de poste de travail VDI que vous créez à l'aide de la Horizon Universal Console.
  • Pour obtenir des informations et des conditions requises supplémentaires, reportez-vous à la section Comptes de service dont Horizon Cloud a besoin pour ses opérations.
Note :
  • L'utilisation d'espaces blancs dans le nom de connexion du compte de jonction de domaine n'est pas prise en charge. Si le nom de connexion du compte de jonction de domaine contient un espace blanc, des résultats inattendus se produisent dans les opérations système qui reposent sur ce compte.
  • Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut Prevent Accidental Deletion qui applique un Deny à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement le Deny qu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisation Deny définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.
  • Avant le manifeste 1600.0, ce compte nécessitait les autorisations du rôle Super administrateur du système. Si votre environnement de locataire dispose d'espaces Horizon Cloud dans Microsoft Azure exécutant des manifestes antérieurs au manifeste 1600.0, le compte de jonction de domaine doit se trouver dans le groupe d'administrateurs Horizon Cloud décrit. Le système utilise ce compte de jonction de domaine avec tous les espaces Horizon Cloud de locataire dans Microsoft Azure. Lorsque votre locataire dispose d'espaces de manifestes antérieurs à 1600.0, le compte de jonction de domaine doit répondre à cette condition requise. Pour plus d'informations, reportez-vous à la section Comptes de service dont Horizon Cloud a besoin pour ses opérations.
Compte de jonction de domaine auxiliaire (facultatif, impossible d'utiliser le même compte que celui indiqué ci-dessus)
  • Compte de jonction de domaine Active Directory qui peut être utilisé par le système pour effectuer des opérations Sysprep et joindre des ordinateurs au domaine, généralement un nouveau compte (compte d'utilisateur de jonction de domaine).
  • Définissez le mot de passe du compte sur N'expire jamais.
  • Ce compte nécessite les autorisations Active Directory suivantes : Lister le contenu, Lire toutes les propriétés, Lire les autorisations, Réinitialiser le mot de passe, Créer des objets d'ordinateur, Supprimer des objets d'ordinateur.
  • Ce compte nécessite également l'autorisation Active Directory nommée Toutes les propriétés - accès en écriture sur les objets descendants de l'unité d'organisation (UO) cible que vous prévoyez d'utiliser pour les batteries de serveurs et les attributions de poste de travail VDI que vous créez à l'aide de la Horizon Universal Console.
  • Pour obtenir des informations et des conditions requises supplémentaires, reportez-vous à la section Comptes de service dont Horizon Cloud a besoin pour ses opérations.
Note :
  • L'utilisation d'espaces blancs dans le nom de connexion du compte de jonction de domaine n'est pas prise en charge. Si le nom de connexion du compte de jonction de domaine contient un espace blanc, des résultats inattendus se produisent dans les opérations système qui reposent sur ce compte.
  • Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut Prevent Accidental Deletion qui applique un Deny à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement le Deny qu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisation Deny définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.
  • Avant le manifeste 1600.0, ce compte nécessitait les autorisations du rôle Super administrateur du système. Si votre environnement de locataire dispose d'espaces Horizon Cloud dans Microsoft Azure exécutant des manifestes antérieurs au manifeste 1600.0, le compte de jonction de domaine doit se trouver dans le groupe d'administrateurs Horizon Cloud décrit. Le système utilise ce compte de jonction de domaine avec tous les espaces Horizon Cloud de locataire dans Microsoft Azure. Lorsque votre locataire dispose d'espaces de manifestes antérieurs à 1600.0, le compte de jonction de domaine doit répondre à cette condition requise. Pour plus d'informations, reportez-vous à la section Comptes de service dont Horizon Cloud a besoin pour ses opérations.
Groupes Active Directory.
  • Administrateurs Horizon Cloud : groupe de sécurité Active Directory pour les administrateurs d'Horizon Cloud. Contient les utilisateurs administratifs d'Horizon Cloud et le compte de jonction de domaine. Le rôle Super administrateur est accordé à ce groupe dans Horizon Cloud.
  • Utilisateurs d'Horizon Cloud : groupe de sécurité Active Directory pour les utilisateurs qui auront accès aux postes de travail virtuels et aux postes de travail basés sur une session RDS, ainsi qu'aux applications publiées dans Horizon Cloud.
Note : Si votre environnement de locataire dispose d'espaces Horizon Cloud dans Microsoft Azure exécutant des manifestes dont la version est postérieure à 1600.0, le compte de jonction de domaine et tous les comptes de jonction de domaine auxiliaires doivent également se trouver dans le groupe d'administrateurs Horizon Cloud, ou dans un groupe Active Directory disposant du rôle Super administrateur dans Horizon Cloud.

Conditions requises de DNS, ports et protocoles

Des ports et des protocoles spécifiques sont requis pour l'intégration d'un espace Horizon à Horizon Cloud et pour les opérations en cours de l'espace avec l'instance d'Horizon Cloud Connector couplée avec cet espace, et Horizon Cloud Connector avec le plan de contrôle Horizon Cloud. Reportez-vous à la section Conditions requises du DNS, des ports et des protocoles lors de l'utilisation d'Horizon Cloud Connector et d'un espace Horizon.

Universal Broker

Lors de l'utilisation de la console pour la configuration d'Universal Broker du locataire, assurez-vous de remplir les éléments du tableau suivant qui s'appliquent aux options souhaitées. Pour plus d'informations, reportez-vous à la section Configurer Universal Broker.

Les communications sortantes à partir de l'instance d'Horizon Cloud Connector couplée de l'espace doivent être résolues et atteindre des noms DNS spécifiques à l'aide de ports et de protocoles spécifiques. Cela est nécessaire pour la configuration Universal Broker et les opérations en cours. Reportez-vous à la section Espaces Horizon - Conditions requises de ports et de protocoles pour Universal Broker.
Selon les types de connexions d'utilisateurs finaux que vous souhaitez fournir :
  • Pour les connexions d'utilisateurs finaux à partir d'Internet et le lancement de leurs applications et postes de travail virtuels, une instance d'Unified Access Gateway externe doit être configurée sur un espace.
  • Si toutes vos connexions d'utilisateurs finaux s'effectuent toujours à partir de votre réseau interne, aucune instance d'Unified Access Gateway n'est requise sur l'espace, sauf pour qu'Universal Broker applique l'authentification à deux facteurs avec ces connexions d'utilisateurs finaux internes.
Facultatif : nom de domaine complet personnalisé que vos utilisateurs finaux utiliseront pour accéder au service Universal Broker et le certificat basé sur ce nom de domaine complet. Pour utiliser le nom de domaine complet d'intermédiation fourni par VMware, aucun nom de domaine complet personnalisé n'est requis.
Facultatif. Pour qu'Universal Broker applique l'authentification à deux facteurs, une instance d'Unified Access Gateway externe doit être configurée sur les espaces pour l'authentification à deux facteurs sur un serveur d'authentification. Universal Broker transmet la demande d'authentification à Unified Access Gateway, qui communique avec le serveur d'authentification, puis relaie la réponse à Universal Broker. Cette configuration d'Unified Access Gateway externe nécessite les éléments suivants :
  • Adresses DNS pour Unified Access Gateway pour résoudre le nom du serveur d'authentification
  • Routes pour Unified Access Gateway pour résoudre le routage réseau vers le serveur d'authentification

Attribution de licence pour les systèmes d'exploitation Microsoft Windows

Horizon Cloud n'attribue aucune licence de système d'exploitation invité requise pour utiliser les systèmes d'exploitation Microsoft Windows que vous utilisez dans le cadre de l'utilisation des workflows Horizon Cloud. En tant que client, il vous incombe de disposer de licences Microsoft valides et éligibles qui vous autorisent à créer et à utiliser des VM de poste de travail Windows et des VM RDSH que vous choisissez d'utiliser dans votre environnement de locataire Horizon Cloud. Vous êtes également autorisé à effectuer des workflows sur ces VM. L'attribution de licence requise dépend de votre utilisation prévue.

Attribution de licence pour un ou plusieurs des types suivants : Microsoft Windows 7, Microsoft Windows 10
Attribution de licence pour un ou plusieurs des types suivants : Microsoft Windows Server 2012 R2, Microsoft Server 2016, Microsoft Server 2019
Serveurs de licences RDS Microsoft Windows : pour la haute disponibilité, des serveurs de licence redondants sont recommandés.
Licences d'accès client pour appareil et/ou utilisateur RDS Microsoft.