Pour obtenir un aperçu de la relation de ce compte avec votre compte de locataire Horizon Cloud, vous pouvez vous reporter à la page Déploiements de services Horizon et intégration d'espaces.

Lorsque vous (ou votre organisation) utiliserez la fonctionnalité pour déployer la configuration de la passerelle externe dans un abonnement distinct de celui de l'espace, cet abonnement de passerelle a également besoin d'un enregistrement d'application Horizon Cloud et d'une clé secrète du client.

Attribuez à ce principal de service un rôle qui permet à Horizon Cloud d'effectuer des appels d'API dans l'abonnement de l'espace.

En général, le rôle Contributor est attribué au niveau de l'abonnement de l'espace.

Il peut s'agir également d'un rôle personnalisé attribué au niveau de l'abonnement de l'espace.

Lorsque vous déployez la configuration de la passerelle externe dans un groupe de ressources existant dans un abonnement distinct, vous pouvez attribuer un rôle personnalisé ou le rôle Contributor pour le principal de service de cet abonnement de passerelle.

Lorsque vous (ou votre organisation) souhaitez que l'enregistrement d'application Horizon Cloud utilise un rôle personnalisé, reportez-vous à la page suivante qui décrit les actions que ce rôle personnalisé doit posséder, Lorsque votre organisation préfère utiliser un rôle personnalisé.

Si vous ne prévoyez pas d'utiliser la fonctionnalité de balises de ressources personnalisées de l'assistant de déploiement, vous devez vérifier que vos stratégies Microsoft Azure permettent la création des groupes de ressources non balisées de l'espace dans l'abonnement cible. Si vous ne spécifiez aucune balise de ressource personnalisée dans l'assistant et que votre abonnement Microsoft Azure comporte un type de condition requise de balise de ressource, le déploiement de l'espace échoue lorsque vous tentez de déployer un espace dans cet abonnement ou au moment des mises à jour de l'espace ou de l'ajout d'une configuration de passerelle à un espace. Pour connaître les noms des groupes de ressources créés par le système de déploiement, reportez-vous à la section Groupes de ressources créés par le système de déploiement de l'espace.

L'utilisation de cette fonctionnalité vous oblige à créer ce groupe de ressources dans cet abonnement avant d'exécuter le système de déploiement de l'espace. Vous devez également vous assurer que les autorisations nécessaires sont en place pour que le système de déploiement de l'espace déploie la configuration d'Unified Access Gateway dans ce groupe de ressources, gère la configuration et mette à jour le logiciel Unified Access Gateway dans le processus de mise à jour de l'espace standard. Pour plus d'informations sur les autorisations nécessaires à inclure dans le rôle personnalisé, reportez-vous à la section Lorsque votre organisation préfère utiliser un rôle personnalisé.

Espace

• Gestionnaires d'espace : 2 x Standard_D4_v3 (en l'absence de Standard_D4_v3 dans la région, 2 x Standard_D3_v2)
• Base de données Microsoft Azure pour le service PostgreSQL : génération 5, mémoire optimisée, 2 vCore, 10 Go de stockage

• Lorsque l'espace est prêt à l'emploi, votre capacité dans le cloud Microsoft Azure doit également intégrer les VM importées, les images standard, les postes de travail virtuels, les batteries de serveurs RDSH et les VM de capture d'application App Volumes que vous créez dans cet espace. Reportez-vous à la section Images de base, postes de travail et batteries de serveurs Horizon Cloud ci-dessous.
• Dans un cas spécial où vous ouvrez une demande de support et le support VMware détermine que la façon de traiter cette demande consiste à déployer temporairement une VM JumpBox liée au support, votre capacité devra prendre en charge le déploiement d'une VM modèle Standard_F2 à ce stade.

 Instance d' Unified Access Gateway externe dans le même réseau virtuel de l'espace

2 x Standard_A4_v2 ou 2 x Standard_F8s_v2

Instance d' Unified Access Gateway externe dans son propre réseau virtuel

• Connecteur de passerelle externe : 1 x Standard_A1_v2
• Unified Access Gateway externe : 2 x Standard_A4_v2 ou 2 x Standard_F8s_v2.

Instance d' Unified Access Gateway interne

2 x Standard_A4_v2 ou 2 x Standard_F8s_v2

Si la région de votre abonnement ne fournit pas les tailles de Standard_F8s_v2 VM, l'assistant du système de déploiement de l'espace n'affiche pas ce choix dans le sélecteur de l'étape de l'assistant Spécifier les passerelles.

Lors du déploiement de la passerelle externe d'Unified Access Gateway facultative dans son propre réseau virtuel distinct du réseau virtuel de l'espace, créez le réseau virtuel Unified Access Gateway dans la même région Microsoft Azure que celle du réseau virtuel de l'espace avec l'espace d'adresses applicable pour couvrir les sous-réseaux requis, et liez les deux réseaux virtuels.

• Sous-réseau de gestion : /27 minimum
• Sous-réseau de VM - principal (locataire) : 27 minimum avec une préférence pour /24 - /22, en fonction du nombre de postes de travail et de serveurs RDS
• Sous-réseau de zone DMZ : /28 minimum lorsque Unified Access Gateway est déployé dans le réseau virtuel de l'espace (facultatif)

• Sous-réseau de gestion : /27 minimum
• Sous-réseau principal : /27 minimum avec une préférence pour /24 - /22, en fonction du nombre de postes de travail et de serveurs RDS
• Sous-réseau de zone DMZ (frontal) : /28 minimum

La configuration doit inclure les éléments suivants :

• Adresses DNS pour qu'Unified Access Gateway résolve le nom de ce serveur d'authentification
• Routes pour qu'Unified Access Gateway résolve le routage réseau vers le serveur d'authentification

• Serveur Active Directory sur site connecté via un VPN/ExpressRoute
• Serveur Active Directory situé dans Microsoft Azure
• Active Directory Domain Services de Microsoft Azure

• Microsoft Windows Server 2008 R2
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2016

Compte de liaison de domaine

Compte de liaison de domaine Active Directory (utilisateur standard avec accès en lecture) disposant de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : "/ \ [ ] : ; | = , + * ? < >

Le compte doit disposer des autorisations suivantes :

• Contenu de la liste
• Toutes les propriétés - accès en lecture
• Autorisations d'accès en lecture
• tokenGroupsGlobalAndUniversal - accès en lecture (sous-entendu par Toutes les propriétés - accès en lecture)

Vous devez également définir le mot de passe du compte sur N'expire jamais pour garantir un accès continu à la connexion à votre environnement Horizon Cloud.

• Si vous connaissez bien l'offre VMware Horizon sur site, les autorisations ci-dessus sont les mêmes que celles requises pour les comptes d'informations d'identification secondaires de l'offre Horizon sur site.
• En règle générale, les comptes de liaison de domaine doivent se voir accorder les autorisations prêtes à l'emploie liées à l'accès en lecture par défaut et en général accordées aux utilisateurs authentifiés dans un déploiement Microsoft Active Directory. Cependant, si les administrateurs AD de votre organisation ont choisi de verrouiller les autorisations liées à l'accès en lecture pour les utilisateurs standard, vous devez demander aux administrateurs AD de conserver les valeurs standard par défaut des utilisateurs authentifiés pour les comptes de liaison de domaine que vous utiliserez pour Horizon Cloud.

Référence : Comptes de service dont Horizon Cloud a besoin pour ses opérations.

Compte de liaison de domaine auxiliaire

Doit être distinct du compte de liaison de domaine principal. L'interface utilisateur empêche la réutilisation du même compte dans les deux champs.

Compte de liaison de domaine Active Directory (utilisateur standard avec accès en lecture) disposant de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : "/ \ [ ] : ; | = , + * ? < >

Le compte doit disposer des autorisations suivantes :

• Contenu de la liste
• Toutes les propriétés - accès en lecture
• Autorisations d'accès en lecture
• tokenGroupsGlobalAndUniversal - accès en lecture (sous-entendu par Toutes les propriétés - accès en lecture)

Vous devez également définir le mot de passe du compte sur N'expire jamais pour garantir un accès continu à la connexion à votre environnement Horizon Cloud.

• Si vous connaissez bien l'offre VMware Horizon sur site, les autorisations ci-dessus sont les mêmes que celles requises pour les comptes d'informations d'identification secondaires de l'offre Horizon sur site.
• En règle générale, les comptes de liaison de domaine doivent se voir accorder les autorisations prêtes à l'emploie liées à l'accès en lecture par défaut et en général accordées aux utilisateurs authentifiés dans un déploiement Microsoft Active Directory. Cependant, si les administrateurs AD de votre organisation ont choisi de verrouiller les autorisations liées à l'accès en lecture pour les utilisateurs standard, vous devez demander aux administrateurs AD de conserver les valeurs standard par défaut des utilisateurs authentifiés pour les comptes de liaison de domaine que vous utiliserez pour Horizon Cloud.

Référence : Comptes de service dont Horizon Cloud a besoin pour ses opérations.

Compte de jonction de domaine

Compte de jonction de domaine Active Directory qui peut être utilisé par le système pour effectuer des opérations Sysprep et joindre les ordinateurs virtuels au domaine. Généralement, il s'agit d'un nouveau compte que vous créez dans ce but explicite. (Un compte d'utilisateur de jonction de domaine)

Le compte doit disposer de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : "/ \ [ ] : ; | = , + * ? < >

L'utilisation d'espaces blancs dans le nom d'utilisateur du compte n'est actuellement pas prise en charge.

Vous devez également définir le mot de passe du compte sur N'expire jamais pour qu'Horizon Cloud puisse continuer à effectuer les opérations Sysprep et à joindre les ordinateurs virtuels au domaine.

Ce compte nécessite les autorisations Active Directory suivantes, appliquées à l'unité d'organisation Ordinateurs ou à l'unité d'organisation que vous entrez dans l'interface utilisateur de jonction de domaine de la console.

• Toutes les propriétés - accès en lecture : cet objet uniquement
• Créer des objets ordinateur : cet objet et tous les objets descendants
• Supprimer les objets ordinateur : cet objet et tous les objets descendants
• Toutes les propriétés - accès en écriture : objets ordinateur descendants
• Réinitialiser le mot de passe : objets ordinateur descendants

En ce qui concerne l'unité d'organisation (OU) cible que vous prévoyez d'utiliser pour les batteries de serveurs et les attributions de poste de travail VDI, ce compte nécessite également l'autorisation Active Directory nommée Toutes les propriétés - accès en écriture sur tous les objets descendants de cette unité d'organisation (OU) cible.

Pour plus d'informations, reportez-vous à la section Comptes de service dont Horizon Cloud a besoin pour ses opérations

Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut Prevent Accidental Deletion qui applique un Deny à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement le Deny qu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisation Deny définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.

Compte de jonction de domaine auxiliaire facultatif

Compte de jonction de domaine Active Directory qui peut être utilisé par le système pour effectuer des opérations Sysprep et joindre les ordinateurs virtuels au domaine. Généralement, il s'agit d'un nouveau compte que vous créez dans ce but explicite. (Un compte d'utilisateur de jonction de domaine)

Le compte doit disposer de l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut contenir aucun des caractères suivants : "/ \ [ ] : ; | = , + * ? < >

L'utilisation d'espaces blancs dans le nom d'utilisateur du compte n'est actuellement pas prise en charge.

Vous devez également définir le mot de passe du compte sur N'expire jamais pour qu'Horizon Cloud puisse continuer à effectuer les opérations Sysprep et à joindre les ordinateurs virtuels au domaine.

Ce compte nécessite les autorisations Active Directory suivantes, appliquées à l'unité d'organisation Ordinateurs ou à l'unité d'organisation que vous entrez dans l'interface utilisateur de jonction de domaine de la console.

• Toutes les propriétés - accès en lecture : cet objet uniquement
• Créer des objets ordinateur : cet objet et tous les objets descendants
• Supprimer les objets ordinateur : cet objet et tous les objets descendants
• Toutes les propriétés - accès en écriture : objets ordinateur descendants
• Réinitialiser le mot de passe : objets ordinateur descendants

En ce qui concerne l'unité d'organisation (OU) cible que vous prévoyez d'utiliser pour les batteries de serveurs et les attributions de poste de travail VDI, ce compte nécessite également l'autorisation Active Directory nommée Toutes les propriétés - accès en écriture sur tous les objets descendants de cette unité d'organisation (OU) cible.

Pour plus d'informations, reportez-vous à la section Comptes de service dont Horizon Cloud a besoin pour ses opérations

Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut Prevent Accidental Deletion qui applique un Deny à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement le Deny qu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisation Deny définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.

Groupes Active Directory.

• Administrateurs Horizon Cloud : groupe de sécurité Active Directory pour les administrateurs d'Horizon Cloud. Contient les utilisateurs administratifs d'Horizon Cloud. Le rôle Super administrateur est accordé à ce groupe dans Horizon Cloud.
• Utilisateurs d'Horizon Cloud : groupe de sécurité Active Directory pour les utilisateurs qui auront accès aux postes de travail virtuels et aux postes de travail basés sur une session RDS, ainsi qu'aux applications publiées dans Horizon Cloud.

Horizon Cloud prend en charge l'utilisation de groupes de sécurité Active Directory pour les connexions d'administrateurs et les droits d'utilisateurs finaux. Les groupes imbriqués sont pris en charge. L'appartenance au groupe est évaluée en demandant l'attribut calculé tokenGroups, ce qui signifie qu'Horizon Cloud ne présente aucune limitation de profondeur d'imbrication, mais prend en charge tous les éléments définis dans Active Directory.

Lorsque l'on nous demande s'il existe des considérations ou des limitations supplémentaires dans le contexte de groupes Active Directory et de la combinaison de Horizon Cloud avec Universal Broker et Workspace ONE Access Cloud, la réponse à cette question est non, aucune.

Si votre environnement de locataire dispose d'espaces Horizon Cloud dans Microsoft Azure exécutant des manifestes dont la version est postérieure à 1600.0, le compte de jonction de domaine et tous les comptes de jonction de domaine auxiliaires doivent également se trouver dans le groupe d'administrateurs Horizon Cloud, ou dans un groupe Active Directory disposant du rôle Super administrateur dans Horizon Cloud.

Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut Prevent Accidental Deletion qui applique un Deny à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement le Deny qu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisation Deny définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.

• Pour les connexions d'utilisateurs finaux à partir d'Internet et le lancement de leurs applications et postes de travail virtuels, une instance d'Unified Access Gateway externe doit être configurée sur un espace.
• Si toutes vos connexions d'utilisateurs finaux s'effectuent toujours à partir de votre réseau interne, aucune instance d'Unified Access Gateway n'est requise sur l'espace, sauf pour qu'Universal Broker applique l'authentification à deux facteurs avec ces connexions d'utilisateurs finaux internes.

Universal Broker transmet la demande d'authentification à Unified Access Gateway, qui communique avec le serveur d'authentification, puis relaie la réponse à Universal Broker.

Cette configuration d'Unified Access Gateway externe nécessite les éléments suivants :

• Adresses DNS pour Unified Access Gateway pour résoudre le nom du serveur d'authentification
• Routes pour Unified Access Gateway pour résoudre le routage réseau vers le serveur d'authentification

• Standard_DS2_v2
• Standard_NV12s_v3 (pour l'assistant automatisé Importer la VM à partir de Marketplace du service ou l'importation manuelle, ainsi que pour le pilote graphique NVIDIA GRID), Standard_NV8as_v4 (pour la méthode d'importation manuelle et le pilote graphique AMD)
• Standard_D4s_v3

Lors de l'utilisation de l'assistant automatisé Importer une machine virtuelle à partir de Marketplace de la console pour créer une VM de base, le système utilise automatiquement par défaut l'une des tailles de VM ci-dessus. Le choix par défaut du système est basé sur ses paramètres internes et sur le système d'exploitation (OS) spécifique.

Le système utilise les modèles comme indiqué pour les images à espace unique et les images à plusieurs espaces.

L'assistant Importer la VM à partir de Marketplace crée les éléments suivants :

• Sans GPU, autre que Windows 11, VM Standard_DS2_v2
• Sans GPU utilisant Windows 11, VM Standard_D4s_v3
• Compatible avec le GPU, VM Standard_NV12s_v3

Pour les environnements de production, le test de dimensionnement de VMware recommande d'utiliser des modèles disposant d'au moins 2 CPU.

Cette condition requise s'applique également à une VM exécutant Microsoft Windows 10 Enterprise multisession ou Windows 11 Enterprise multisession lorsque cette VM est utilisée avec Horizon Cloud. Comme indiqué aux FAQ sur Windows Enterprise multisession de la documentation de Microsoft Azure Virtual Desktop, Microsoft Windows Enterprise multisession est un type d'hôte de session Bureau à distance (RDSH) qui autorise plusieurs sessions interactives simultanées, qui ne pouvaient être fournies auparavant que par les systèmes d'exploitation Microsoft Windows Server. Les workflows Horizon Cloud qui s'appliquent aux serveurs RDS s'appliquent également à Microsoft Windows Enterprise multisession.

Pour les environnements de production, le test de dimensionnement de VMware recommande d'utiliser des modèles disposant d'au moins 2 CPU.

• Le même principal de service est utilisé dans tous les espaces et abonnements participants.
• Chaque principal de service doit disposer d'un accès en lecture à chaque abonnement Microsoft Azure utilisé par ces espaces participants.

Comme les espaces sont susceptibles de se trouver dans des abonnements différents, l'exigence d'accès en lecture permet à l'abonnement de chaque espace participant d'avoir une vue directe sur les abonnements des autres espaces participants. Cette vue directe est nécessaire pour que le service utilise les fonctionnalités d'Azure Shared Image Gallery pour créer les images à plusieurs espaces.

• Microsoft.Compute/galleries/read
• Microsoft.Compute/galleries/write
• Microsoft.Compute/galleries/delete
• Microsoft.Compute/galleries/images/*
• Microsoft.Compute/galleries/images/versions/*