Locataires de première génération - Spécifier la configuration de la passerelle de l'espace Horizon Cloud

Dans cette étape de l'assistant, indiquez les informations nécessaires au déploiement de l'espace basé sur un gestionnaire d'espace avec une ou plusieurs passerelles configurées. Unified Access Gateway fournit l'environnement de passerelle pour ce type d'espace.

Important : Ces informations s'appliquent uniquement lorsque vous avez accès à un environnement de locataire de première génération dans le plan de contrôle de première génération. Comme décrit dans l' article 92424 de la base de connaissances, le plan de contrôle de première génération a atteint la fin de disponibilité (EOA). Pour plus d'informations, consultez cet article.

Configuration de la passerelle externe: La configuration de passerelle externe permet de fournir l'accès aux postes de travail et aux applications pour les utilisateurs finaux situés en dehors de votre réseau d'entreprise. Lorsque l'espace dispose de cette configuration de passerelle externe, il inclut une ressource d'équilibrage de charge Azure et des instances d' Unified Access Gateway pour fournir cet accès. Dans ce cas précis, les instances disposent de trois cartes réseau chacune : une sur le sous-réseau de gestion, une sur le sous-réseau de poste de travail et une sur le sous-réseau de zone DMZ. Dans l'assistant de déploiement, vous avez la possibilité de spécifier le type d'équilibrage de charge privé ou public, selon que vous voulez une adresse IP privée ou publique pour celui-ci. Si vous désactivez cette option d'adresse IP publique dans l'assistant, l'assistant affiche un champ dans lequel vous devez spécifier une adresse IP. Dans ce type de configuration, les connexions PCoIP à la passerelle à partir des instances d'Horizon Client utiliseront cette adresse IP.
Pour une configuration de passerelle externe, vous avez également la possibilité de déployer la configuration dans un réseau virtuel distinct du réseau virtuel de l'espace. Les réseaux virtuels doivent être liés. Ce type de configuration permet de déployer l'espace dans des topologies de réseau plus complexes dans Microsoft Azure, comme une topologie de réseau en étoile.

Note : Si, dans la première étape de l'assistant, vous avez activé l'option obligeant la passerelle externe à utiliser son propre abonnement, vous devez déployer la passerelle externe dans son propre réseau virtuel, le réseau virtuel associé à cet abonnement. Si vous avez activé cette option, vous pouvez éventuellement sélectionner un groupe de ressources existant dans cet abonnement pour les ressources de la passerelle externe. Vous devez avoir préparé ce groupe de ressources à l'avance pour pouvoir le sélectionner dans cette étape de l'assistant.
Configuration de la passerelle interne: La configuration de passerelle interne permet aux utilisateurs finaux situés à l'intérieur de votre réseau d'entreprise d'avoir des connexions HTML Access (Blast) approuvées à leurs postes de travails et à leurs applications. Si l'espace n'est pas configuré avec une configuration de passerelle interne, les utilisateurs finaux à l'intérieur de votre réseau d'entreprise voient l'erreur de certificat non approuvé du navigateur standard lorsqu'ils utilisent celui-ci pour établir des connexions HTML Access (Blast) à leurs postes de travail et à leurs applications. Lorsque l'espace dispose de cette configuration de passerelle interne, il inclut une ressource d'équilibrage de charge Azure et des instances d' Unified Access Gateway pour fournir cet accès. Dans ce cas précis, les instances disposent de deux cartes réseau chacune : une sur le sous-réseau de gestion et une sur le sous-réseau de poste de travail. Par défaut, le type d'équilibrage de charge de cette passerelle est privé.

La capture d'écran suivante est un exemple de l'étape lorsqu'elle s'affiche initialement. Certains contrôles ne s'affichent que lorsque vous les avez sélectionnés à la première étape de l'assistant afin d'utiliser un autre abonnement pour la configuration de la passerelle de passerelle externe.

Horizon Cloud on Microsoft Azure : étape 3 de l'assistant de déploiement de l'espace lors de son affichage initial.

Conditions préalables

Vérifiez que vous avez respecté les conditions préalables décrites dans la section Locataires de première génération - Conditions préalables à l'exécution de l'assistant de déploiement de l'espace de première génération.

Décidez quel modèle de VM vous souhaitez utiliser pour les instances d'Unified Access Gateway. Vous devez vous assurer que l'abonnement Microsoft Azure que vous avez spécifié pour cet espace peut fournir la capacité de deux machines virtuelles du modèle sélectionné. Si vous prévoyez que votre environnement s'adaptera à 2 000 sessions par espace, sélectionnez F8s_v2. Comme indiqué dans Limites de VMware Horizon Cloud Service sur le service Microsoft Azure, le modèle de machine virtuelle A4_v2 suffit uniquement pour les validations de concept, les pilotes ou les environnements plus petits dans lesquels vous savez que vous ne dépasserez pas 1 000 sessions actives sur l'espace.

Important : Choisissez judicieusement le modèle de machine virtuelle. Dans la version de service actuelle, le modèle de machine virtuelle utilisé par les instances déployées ne peut pas être modifié facilement après le déploiement de la configuration de la passerelle. La modification du modèle de machine virtuelle après le déploiement implique la suppression de la configuration de la passerelle et son redéploiement.

Important : Pour terminer cette étape, vous devez disposer du nom de domaine complet (FQDN) requis que vos utilisateurs finaux utiliseront pour accéder au service et d'un certificat SSL signé (au format PEM) basé sur ce nom de domaine complet. Le certificat doit être signé par une autorité de certification approuvée. Un fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine, clé privée. Pour plus d'informations, reportez-vous à la section Locataires de première génération - Convertir un fichier de certificat au format PEM requis pour les déploiements d'espaces Horizon Cloud de première génération.

Vérifiez que tous les certificats de la chaîne comprennent des périodes valides. Si un certificat quelconque de la chaîne est expiré, des défaillances inattendues peuvent se produire ultérieurement dans le processus d'intégration de l'espace.

Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d'Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.

Lorsque vous sélectionnez une configuration de passerelle externe, Horizon Cloud s'attend à ce que le nom de domaine complet spécifié pour la configuration de la passerelle externe puisse être résolu publiquement. Si vous désactivez l'option Activer l'adresse IP publique ? dans l'assistant pour spécifier une adresse IP à partir de votre configuration de pare-feu ou NAT, il vous incombe de vous assurer que ce nom de domaine complet est attribué à cette adresse IP dans votre configuration de pare-feu ou NAT. Ce nom de domaine complet est utilisé pour les connexions PCoIP à la passerelle.

Si votre locataire est configuré avec Universal Broker sur lequel une authentification à deux facteurs est configurée, vous devez configurer une instance d'Unified Access Gateway externe avec des paramètres d'authentification à deux facteurs.

Procédure

Si vous souhaitez utiliser la configuration de passerelle externe, remplissez les champs de la section Passerelle externe.

Option	Description
Activer la passerelle externe ?	Contrôle si l'espace dispose d'une configuration de passerelle externe. La configuration externe permet de fournir l'accès aux postes de travail et aux applications pour les utilisateurs finaux situés en dehors de votre réseau d'entreprise. L'espace inclut une ressource d'équilibrage de charge Microsoft Azure et des instances d'Unified Access Gateway pour fournir cet accès. Note : Il est recommandé de conserver le paramètre activé par défaut. Lorsque cette option est désactivée, les clients doivent se connecter via Workspace ONE Access à l'aide de leur dispositif de connecteur intégré directement aux gestionnaires d'espaces, ou directement à l'équilibrage de charge des gestionnaires d'espace, voire via une configuration de passerelle interne. Dans les deux premiers scénarios mentionnés, certaines étapes postérieures au déploiement seront requises pour les clients se connectant via Workspace ONE Access intégré à l'espace ou directement à l'équilibrage de charge. Dans ces scénarios, chargez les certificats SSL sur les VM du gestionnaire d'espace après le déploiement de l'espace en suivant les étapes de la section Configurer les certificats SSL directement sur les VM du gestionnaire d'espace.
FQDN	Entrez le nom de domaine complet (FQDN) requis, tel que `ourOrg.example.com`, que le système de déploiement de l'espace spécifiera dans la configuration des instances d'Unified Access Gateway de la passerelle. Vous devez posséder ce nom de domaine et disposer d'un certificat au format PEM pouvant valider ce nom de domaine complet. Horizon Cloud s'attend à ce que ce nom de domaine complet spécifié pour la configuration de la passerelle externe soit résolu publiquement. Si vous désactivez l'option Activer l'adresse IP publique ? pour spécifier une adresse IP à partir de votre configuration de pare-feu ou NAT, il vous incombe de vous assurer que ce nom de domaine complet est attribué à cette adresse IP dans votre configuration de pare-feu ou NAT. Ce nom de domaine complet est utilisé pour les connexions PCoIP à la passerelle. Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
Adresses DNS	Entrez éventuellement des adresses séparées par des virgules pour les serveurs DNS supplémentaires pouvant être utilisés par Unified Access Gateway pour la résolution des noms. Lorsque vous établissez cette configuration d'Unified Access Gateway externe pour utiliser l'authentification à deux facteurs avec un serveur d'authentification à deux facteurs situé à l'extérieur de la topologie du réseau virtuel dans laquelle les instances d'Unified Access Gateway sont déployées, vous devez indiquer l'adresse d'un serveur DNS qui peut résoudre le nom d'hôte de ce serveur d'authentification. Lorsque votre authentification à deux facteurs se trouve sur site, par exemple, entrez un serveur DNS qui peut résoudre le nom de ce serveur d'authentification. Comme décrit dans les conditions préalables au déploiement, la topologie de réseau virtuel utilisée pour le déploiement Horizon Cloud on Microsoft Azure doit pouvoir communiquer avec votre serveur DNS afin de fournir une résolution des noms externes lors du déploiement des instances d'Unified Access Gateway et de leurs opérations en cours. Par défaut, le serveur DNS configuré sur le réseau virtuel dans lequel les instances sont déployées est celui utilisé. Lorsque vous spécifiez des adresses dans Adresses DNS, les instances d'Unified Access Gateway déployées utilisent ces adresses en complément des informations du serveur DNS dans la configuration de votre réseau virtuel.
Routes	Spécifiez éventuellement des routes personnalisées vers des passerelles supplémentaires que vous souhaitez que les instances d'Unified Access Gateway déployées utilisent pour résoudre le routage réseau pour l'accès des utilisateurs finaux. Les routes spécifiées sont utilisées pour autoriser Unified Access Gateway à résoudre le routage réseau comme pour la communication avec des serveurs d'authentification à deux facteurs. Lorsque vous configurez cet espace afin d'utiliser l'authentification à deux facteurs avec un serveur d'authentification sur site, vous devez entrer la route appropriée que les instances d'Unified Access Gateway peuvent utiliser pour atteindre ce serveur. Si votre serveur d'authentification sur site utilise, par exemple, 10.10.60.20 comme adresse IP, vous pouvez entrer 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour ce déploiement Horizon Cloud on Microsoft Azure. Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme `ipv4-network-address/bits ipv4-gateway-address`, par exemple : `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Hériter des serveurs NTP de l'espace	Cette option est activée par défaut pour que les instances d'Unified Access Gateway utilisent le même serveur NTP que celui spécifié pour les instances du gestionnaire d'espace. Il est fortement recommandé de conserver cette option activée. Il est recommandé d'utiliser le même serveur NTP pour les instances du gestionnaire d'espace, les instances d'Unified Access Gateway et vos serveurs Active Directory. Lorsque ces instances utilisent des serveurs NTP différents, cela peut entraîner une différence de temps. Ces différences de temps peuvent entraîner ultérieurement des échecs lorsque la passerelle tente d'authentifier les sessions des utilisateurs finaux sur leurs postes de travail et applications. Lorsque cette option est activée et que vous déployez la passerelle externe dans son propre réseau virtuel distinct du réseau virtuel de l'espace, assurez-vous que les serveurs NTP spécifiés pour les instances du gestionnaire d'espace sont accessibles à partir du réseau virtuel que vous sélectionnez pour le déploiement de la passerelle externe.
Modèle de VM	Sélectionnez le modèle à utiliser pour les instances d'Unified Access Gateway. Vous devez vous assurer que l'abonnement Microsoft Azure que vous avez spécifié pour cet espace peut fournir la capacité de deux machines virtuelles du modèle sélectionné. Important : Dans la version de service actuelle, le modèle de machine virtuelle utilisé par ces instances ne peut pas être modifié facilement après le déploiement de la configuration de la passerelle dans votre abonnement. La modification du modèle de machine virtuelle après le déploiement nécessite la suppression de la configuration de la passerelle et son redéploiement. Si vous prévoyez que votre environnement s'adaptera à 2 000 sessions par espace, sélectionnez `F8s_v2`. Comme indiqué dans Limites de VMware Horizon Cloud Service sur le service Microsoft Azure, le modèle de machine virtuelle `A4_v2` suffit uniquement pour les validations de concept, les pilotes ou les environnements plus petits dans lesquels vous savez que vous ne dépasserez pas 1 000 sessions actives sur l'espace.
Certificat	Téléchargez le certificat au format PEM que l'instance d'Unified Access Gateway utilisera pour autoriser les clients à approuver les connexions aux instances d'Unified Access Gateway exécutées dans Microsoft Azure. Le certificat doit être basé sur le nom de domaine complet entré et être signé par une autorité de certification approuvée. Le fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine et clé privée.
Port TCP Blast Extreme	Sélectionnez le port TCP à utiliser dans le paramètre TCP Blast Extreme dans la configuration d'Unified Access Gateway. Ce paramètre se rapporte à Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données envoyé par le client. Le port 8443 est préféré, car il est plus efficace, fournit de meilleures performances et utilise moins de ressources sur les instances d'Unified Access Gateway. Pour ces raisons, 8443 est la valeur par défaut pour l'assistant. L'autre choix, 443 est moins efficace, moins performant et provoque une surcharge du CPU dans les instances, ce qui peut entraîner des retards de trafic observables dans les clients des utilisateurs finaux. Le choix 443 doit être utilisé uniquement si votre organisation a défini des restrictions côté client, comme votre organisation n'autorise que le port 443 sortant. Note : Le port UDP utilisé pour Blast Extreme n'est pas affecté par ce paramètre et est toujours UDP 8443.
Suites de chiffrement	Même si dans la plupart des cas, il n'est pas nécessaire de modifier les paramètres par défaut, Unified Access Gateway fournit cette fonctionnalité pour spécifier éventuellement les algorithmes de chiffrement utilisés pour chiffrer les communications entre les clients et les dispositifs Unified Access Gateway. Vous devez sélectionner au moins une suite de chiffrement dans la liste à l'écran. Celle-ci affiche les suites de chiffrement autorisées pour le déploiement d'Horizon Cloud on Microsoft Azure.

Indiquez les paramètres de l'équilibrage de charge Microsoft de cette passerelle.

Option	Description
Activer les adresses IP publiques ?	Contrôle si le type d'équilibrage de charge de cette passerelle est configuré comme privé ou public. Si cette option est activée, la ressource d'équilibrage de charge Microsoft Azure déployée est configurée avec une adresse IP publique. Si elle est désactivée, la ressource d'équilibrage de charge Microsoft Azure est configurée avec une adresse IP privée. Important : Dans cette version, vous ne pouvez pas modifier ultérieurement le type d'équilibrage de charge de la passerelle externe de public à privé ou de privé à public. Le seul moyen d'effectuer cette modification serait de supprimer entièrement la configuration de la passerelle de l'espace déployé, puis de modifier l'espace pour l'ajouter à nouveau avec le paramètre opposé. Si vous désactivez cette option, le champ Adresse IP publique pour le nom de domaine complet Horizon s'affiche.
Adresse IP publique pour le nom de domaine complet Horizon	Lorsque vous avez choisi de ne pas configurer l'équilibrage de charge Microsoft Azure déployé avec une adresse IP publique, vous devez fournir l'adresse IP à laquelle vous attribuez le nom de domaine complet que vous avez spécifié dans le champ Nom de domaine complet. Les instances d'Horizon Client de vos utilisateurs finaux utiliseront ce nom de domaine complet pour les connexions PCoIP à la passerelle. Le système de déploiement configurera cette adresse IP dans les paramètres de configuration d'Unified Access Gateway.

Option

Description

Activer les adresses IP publiques ?

Contrôle si le type d'équilibrage de charge de cette passerelle est configuré comme privé ou public. Si cette option est activée, la ressource d'équilibrage de charge Microsoft Azure déployée est configurée avec une adresse IP publique. Si elle est désactivée, la ressource d'équilibrage de charge Microsoft Azure est configurée avec une adresse IP privée.

Important : Dans cette version, vous ne pouvez pas modifier ultérieurement le type d'équilibrage de charge de la passerelle externe de public à privé ou de privé à public. Le seul moyen d'effectuer cette modification serait de supprimer entièrement la configuration de la passerelle de l'espace déployé, puis de modifier l'espace pour l'ajouter à nouveau avec le paramètre opposé.

Si vous désactivez cette option, le champ Adresse IP publique pour le nom de domaine complet Horizon s'affiche.

Adresse IP publique pour le nom de domaine complet Horizon

Lorsque vous avez choisi de ne pas configurer l'équilibrage de charge Microsoft Azure déployé avec une adresse IP publique, vous devez fournir l'adresse IP à laquelle vous attribuez le nom de domaine complet que vous avez spécifié dans le champ Nom de domaine complet. Les instances d'Horizon Client de vos utilisateurs finaux utiliseront ce nom de domaine complet pour les connexions PCoIP à la passerelle. Le système de déploiement configurera cette adresse IP dans les paramètres de configuration d'Unified Access Gateway.

Indiquez les paramètres de mise en réseau de la passerelle externe.

Option	Description
Utiliser un autre réseau virtuel	Cette option contrôle si la passerelle externe sera déployée dans son propre réseau virtuel, distinct du réseau virtuel de l'espace. Les lignes suivantes décrivent les différents cas. Note : Lorsque vous avez indiqué l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant, cette option est activée par défaut. Vous devez choisir un réseau virtuel pour la passerelle dans cette situation. Lorsque cette option est activée et que l'option Hériter des serveurs NTP de l'espace est activée, assurez-vous que les serveurs NTP spécifiés pour les instances du gestionnaire d'espace sont accessibles à partir du réseau virtuel que vous sélectionnez pour le déploiement de la passerelle externe.
Utiliser un autre réseau virtuel : désactivé	Lorsque l'option est désactivée, la passerelle externe est déployée dans le VNet de l'espace. Dans ce cas, vous devez spécifier le sous-réseau de la zone DMZ. Sous-réseau de zone DMZ - Lorsque l'option Utiliser le sous-réseau existant est activée dans l'étape précédente de l'assistant de configuration de l'espace, Sous-réseau de zone DMZ répertorie les sous-réseaux disponibles sur le réseau virtuel sélectionné pour Réseau virtuel. Sélectionnez le sous-réseau existant à utiliser pour le sous-réseau de zone DMZ de l'espace. Important : Sélectionnez un sous-réseau vide auquel aucune ressource n'est associée. Si le sous-réseau n'est pas vide, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace. Sous-réseau de zone DMZ (CIDR) : lorsque l'option Utiliser le sous-réseau existant est désactivée dans l'étape précédente de l'assistant, entrez le sous-réseau (en notation CIDR) pour le réseau de la zone DMZ (zone démilitarisée) qui sera configuré pour connecter les instances d'Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.
Utiliser un autre réseau virtuel : activé	Lorsque l'option est activée, la passerelle externe est déployée dans son propre réseau virtuel. Dans ce cas, vous devez sélectionner le réseau virtuel à utiliser, puis préciser les trois sous-réseaux requis. Activez l'option Utiliser le sous-réseau existant pour effectuer une sélection parmi les sous-réseaux que vous avez créés à l'avance sur le réseau virtuel spécifié. Sinon, indiquez les sous-réseaux dans la notation CIDR. Important : Sélectionnez des sous-réseaux vides auxquels aucune ressource n'est associée. Si les sous-réseaux ne sont pas vides, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace. Dans ce cas, le réseau virtuel de la passerelle et le réseau virtuel de l'espace sont liés. La meilleure pratique consiste à créer les sous-réseaux à l'avance et à ne pas utiliser les entrées CIDR ici. Reportez-vous à la section Conditions préalables lors du déploiement avec une configuration Unified Access Gateway externe à l'aide de son propre réseau virtuel ou abonnement distinct du réseau virtuel ou de l'abonnement de l'espace. Sous-réseau de gestion - Spécifiez le sous-réseau à utiliser pour le sous-réseau de gestion de la passerelle. Un CIDR d'au moins /27 est requis. Le service Microsoft.SQL du sous-réseau doit être configuré en tant que point de terminaison de service. Sous-réseau principal - Spécifiez le sous-réseau à utiliser pour le sous-réseau principal de la passerelle. Un CIDR d'au moins /27 est requis. Sous-réseau frontal - Indiquez le sous-réseau du sous-réseau frontal qui sera configuré pour connecter les instances de Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.

Option

Description

Utiliser un autre réseau virtuel

Cette option contrôle si la passerelle externe sera déployée dans son propre réseau virtuel, distinct du réseau virtuel de l'espace.

Les lignes suivantes décrivent les différents cas.

Note : Lorsque vous avez indiqué l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant, cette option est activée par défaut. Vous devez choisir un réseau virtuel pour la passerelle dans cette situation.

Lorsque cette option est activée et que l'option Hériter des serveurs NTP de l'espace est activée, assurez-vous que les serveurs NTP spécifiés pour les instances du gestionnaire d'espace sont accessibles à partir du réseau virtuel que vous sélectionnez pour le déploiement de la passerelle externe.

Utiliser un autre réseau virtuel : désactivé

Lorsque l'option est désactivée, la passerelle externe est déployée dans le VNet de l'espace. Dans ce cas, vous devez spécifier le sous-réseau de la zone DMZ.

Sous-réseau de zone DMZ - Lorsque l'option Utiliser le sous-réseau existant est activée dans l'étape précédente de l'assistant de configuration de l'espace, Sous-réseau de zone DMZ répertorie les sous-réseaux disponibles sur le réseau virtuel sélectionné pour Réseau virtuel. Sélectionnez le sous-réseau existant à utiliser pour le sous-réseau de zone DMZ de l'espace.
Important : Sélectionnez un sous-réseau vide auquel aucune ressource n'est associée. Si le sous-réseau n'est pas vide, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace.
Sous-réseau de zone DMZ (CIDR) : lorsque l'option Utiliser le sous-réseau existant est désactivée dans l'étape précédente de l'assistant, entrez le sous-réseau (en notation CIDR) pour le réseau de la zone DMZ (zone démilitarisée) qui sera configuré pour connecter les instances d'Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.

Utiliser un autre réseau virtuel : activé

Lorsque l'option est activée, la passerelle externe est déployée dans son propre réseau virtuel. Dans ce cas, vous devez sélectionner le réseau virtuel à utiliser, puis préciser les trois sous-réseaux requis. Activez l'option Utiliser le sous-réseau existant pour effectuer une sélection parmi les sous-réseaux que vous avez créés à l'avance sur le réseau virtuel spécifié. Sinon, indiquez les sous-réseaux dans la notation CIDR.

Important : Sélectionnez des sous-réseaux vides auxquels aucune ressource n'est associée. Si les sous-réseaux ne sont pas vides, des résultats inattendus peuvent se produire lors du processus de déploiement ou des opérations de l'espace.

Dans ce cas, le réseau virtuel de la passerelle et le réseau virtuel de l'espace sont liés. La meilleure pratique consiste à créer les sous-réseaux à l'avance et à ne pas utiliser les entrées CIDR ici. Reportez-vous à la section Conditions préalables lors du déploiement avec une configuration Unified Access Gateway externe à l'aide de son propre réseau virtuel ou abonnement distinct du réseau virtuel ou de l'abonnement de l'espace.

Sous-réseau de gestion - Spécifiez le sous-réseau à utiliser pour le sous-réseau de gestion de la passerelle. Un CIDR d'au moins /27 est requis. Le service Microsoft.SQL du sous-réseau doit être configuré en tant que point de terminaison de service.
Sous-réseau principal - Spécifiez le sous-réseau à utiliser pour le sous-réseau principal de la passerelle. Un CIDR d'au moins /27 est requis.
Sous-réseau frontal - Indiquez le sous-réseau du sous-réseau frontal qui sera configuré pour connecter les instances de Unified Access Gateway à l'équilibrage de charge public Microsoft Azure de la passerelle.

(Facultatif) Dans la section Passerelle externe, configurez éventuellement l'authentification à deux facteurs pour la passerelle externe.
Effectuez la procédure décrite dans la section Locataires de première génération - Spécifier la fonctionnalité d'authentification à deux facteurs pour l'espace.
(Facultatif) Dans la section Déploiement, utilisez l'option pour sélectionner éventuellement un groupe de ressources existant dans lequel il est souhaitable que le système de déploiement déploie les ressources pour la configuration de passerelle externe.
Cette option indique lorsque vous avez spécifié l'utilisation d'un autre abonnement pour la passerelle externe dans la première étape de l'assistant. Lorsque vous activez l'option, un champ s'affiche dans lequel vous pouvez rechercher et sélectionner le groupe de ressources.

Dans la section Passerelle interne, si vous souhaitez la configuration de passerelle interne, activez l'option Activer la passerelle interne ? et remplissez les champs qui s'affichent.

Option	Description
Activer la passerelle interne ?	Contrôle si l'espace dispose d'une configuration de passerelle interne. La configuration interne fournit un accès approuvé aux postes de travail et aux applications pour les connexions HTML Access (Blast) pour les utilisateurs situés à l'intérieur de votre réseau d'entreprise. L'espace inclut une ressource d'équilibrage de charge Azure et des instances d'Unified Access Gateway pour fournir cet accès. Par défaut, le type d'équilibrage de charge de cette passerelle est privé. L'équilibrage de charge est configuré avec une adresse IP privée.
FQDN	Entrez le nom de domaine complet (FQDN) requis, tel que `ourOrg.example.com`, que vos utilisateurs finaux utiliseront pour accéder au service. Vous devez posséder ce nom de domaine et disposer d'un certificat au format PEM pouvant valider ce nom de domaine complet. Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
Adresses DNS	Entrez éventuellement des adresses séparées par des virgules pour les serveurs DNS supplémentaires pouvant être utilisés par Unified Access Gateway pour la résolution des noms. Lorsque vous effectuez cette configuration interne d'Unified Access Gateway pour utiliser l'authentification à deux facteurs avec un serveur d'authentification à deux facteurs situé à l'extérieur de la topologie du réseau virtuel dans laquelle les instances d'Unified Access Gateway sont déployées, vous devez indiquer l'adresse d'un serveur DNS qui peut résoudre le nom d'hôte de ce serveur d'authentification. Lorsque votre authentification à deux facteurs se trouve sur site, par exemple, entrez un serveur DNS qui peut résoudre le nom de ce serveur d'authentification. Comme décrit dans les conditions préalables au déploiement, la topologie de réseau virtuel utilisée pour le déploiement Horizon Cloud on Microsoft Azure doit pouvoir communiquer avec votre serveur DNS afin de fournir une résolution des noms externes lors du déploiement des instances d'Unified Access Gateway et de leurs opérations en cours. Par défaut, le serveur DNS configuré sur le réseau virtuel dans lequel les instances sont déployées est celui utilisé. Lorsque vous spécifiez des adresses dans Adresses DNS, les instances d'Unified Access Gateway déployées utilisent ces adresses en complément des informations du serveur DNS dans la configuration de votre réseau virtuel.
Routes	Spécifiez éventuellement des routes personnalisées vers des passerelles supplémentaires que vous souhaitez que les instances d'Unified Access Gateway déployées utilisent pour résoudre le routage réseau pour l'accès des utilisateurs finaux. Les routes spécifiées sont utilisées pour autoriser Unified Access Gateway à résoudre le routage réseau comme pour la communication avec des serveurs d'authentification à deux facteurs. Lorsque vous configurez cet espace afin d'utiliser l'authentification à deux facteurs avec un serveur d'authentification sur site, vous devez entrer la route appropriée que les instances d'Unified Access Gateway peuvent utiliser pour atteindre ce serveur. Si votre serveur d'authentification sur site utilise, par exemple, 10.10.60.20 comme adresse IP, vous pouvez entrer 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement. Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme `ipv4-network-address/bits ipv4-gateway-address`, par exemple : `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Hériter des serveurs NTP de l'espace	Cette option est activée par défaut pour que les instances d'Unified Access Gateway utilisent le même serveur NTP que celui spécifié pour les instances du gestionnaire d'espace. Il est fortement recommandé de conserver cette option activée. Il est recommandé d'utiliser le même serveur NTP pour les instances du gestionnaire d'espace, les instances d'Unified Access Gateway et vos serveurs Active Directory. Lorsque ces instances utilisent des serveurs NTP différents, cela peut entraîner une différence de temps. Ces différences de temps peuvent entraîner ultérieurement des échecs lorsque la passerelle tente d'authentifier les sessions des utilisateurs finaux sur leurs postes de travail et applications.
Modèle de VM	Sélectionnez le modèle à utiliser pour les instances d'Unified Access Gateway. Vous devez vous assurer que l'abonnement Microsoft Azure que vous avez spécifié pour cet espace peut fournir la capacité de deux machines virtuelles du modèle sélectionné. Important : Dans la version de service actuelle, le modèle de machine virtuelle utilisé par ces instances ne peut pas être modifié facilement après le déploiement de la configuration de la passerelle dans votre abonnement. La modification du modèle de machine virtuelle après le déploiement nécessite la suppression de la configuration de la passerelle et son redéploiement. Si vous prévoyez que votre environnement s'adaptera à 2 000 sessions par espace, sélectionnez `F8s_v2`. Comme indiqué dans Limites de VMware Horizon Cloud Service sur le service Microsoft Azure, le modèle de machine virtuelle `A4_v2` suffit uniquement pour les validations de concept, les pilotes ou les environnements plus petits dans lesquels vous savez que vous ne dépasserez pas 1 000 sessions actives sur l'espace.
Certificat	Téléchargez le certificat au format PEM que l'instance d'Unified Access Gateway utilisera pour autoriser les clients à approuver les connexions aux instances d'Unified Access Gateway exécutées dans Microsoft Azure. Le certificat doit être basé sur le nom de domaine complet entré et être signé par une autorité de certification approuvée. Le fichier PEM doit contenir toute la chaîne de certificats et la clé privée : certificat SSL, certificats intermédiaires, certificat d’autorité de certification racine et clé privée.
Port TCP Blast Extreme	Sélectionnez le port TCP à utiliser dans le paramètre TCP Blast Extreme dans la configuration d'Unified Access Gateway. Ce paramètre se rapporte à Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données envoyé par le client. Le port 8443 est préféré, car il est plus efficace, fournit de meilleures performances et utilise moins de ressources sur les instances d'Unified Access Gateway. Pour ces raisons, 8443 est la valeur par défaut pour l'assistant. L'autre choix, 443 est moins efficace, moins performant et provoque une surcharge du CPU dans les instances, ce qui peut entraîner des retards de trafic observables dans les clients des utilisateurs finaux. Le choix 443 doit être utilisé uniquement si votre organisation a défini des restrictions côté client, comme votre organisation n'autorise que le port 443 sortant. Note : Le port UDP utilisé pour Blast Extreme n'est pas affecté par ce paramètre et est toujours UDP 8443.
Suites de chiffrement	Même si dans la plupart des cas, les paramètres par défaut sont suffisants, Unified Access Gateway fournit cette fonctionnalité pour spécifier les algorithmes de chiffrement utilisés pour chiffrer les communications entre les clients et les dispositifs Unified Access Gateway. Vous devez sélectionner au moins une suite de chiffrement dans la liste à l'écran. Celle-ci affiche les suites de chiffrement autorisées pour le déploiement d'Horizon Cloud on Microsoft Azure.

(Facultatif) Dans la section Passerelle interne, configurez éventuellement l'authentification à deux facteurs pour l'instance interne d'Unified Access Gateway.
Effectuez la procédure décrite dans la section Locataires de première génération - Spécifier la fonctionnalité d'authentification à deux facteurs pour l'espace.

(Facultatif) Dans la section Balises de ressources Azure, ajoutez éventuellement des balises personnalisées aux groupes de ressources qui contiennent toutes les instances d'Unified Access Gateway internes et externes que vous avez configurées pour l'espace.

Option Description

Option	Description
Hériter des balises d'espace	Activez cette option pour ajouter les balises de ressources de l'espace aux groupes de ressources contenant toutes les instances d'Unified Access Gateway que vous avez configurées. Chaque groupe de ressources reçoit les balises de ressources que vous avez définies à l'étape de l'assistant de configuration de l'espace. Désactivez cette option pour définir de nouvelles balises de ressources pour les instances d'Unified Access Gateway.
Balises de ressources Azure	Ce paramètre devient visible lorsque vous désactivez l'option Hériter des balises d'espace. Utilisez ce paramètre pour ajouter de nouvelles balises de ressources aux groupes de ressources contenant les instances d'Unified Access Gateway que vous avez configurées. Pour créer la première balise, entrez des informations dans les champs Nom et Valeur. Pour créer une balise supplémentaire, cliquez sur +, puis entrez des informations dans les champs Nom et Valeur qui s'affichent en dessous de ceux existants. Vous pouvez créer 10 balises au maximum. Le nom de balise est limité à 512 caractères tandis que la valeur de balise est limitée à 256 caractères. Pour les comptes de stockage, le nom de balise est limité à 128 caractères tandis que la valeur de balise est limitée à 256 caractères. Les noms de balise ne peuvent pas contenir les caractères suivants : `< > % & \ ? /` Les noms de balise ne peuvent pas contenir ces chaînes non sensibles à la casse : `azure`, `windows`, `microsoft` Les noms de balises et les valeurs de balises ne peuvent contenir que des caractères ASCII. Les espaces et les caractères en dehors de l'ensemble ASCII de 128 caractères (également appelé caractères ASCII étendus) ne sont pas autorisés.

Hériter des balises d'espace

Activez cette option pour ajouter les balises de ressources de l'espace aux groupes de ressources contenant toutes les instances d'Unified Access Gateway que vous avez configurées. Chaque groupe de ressources reçoit les balises de ressources que vous avez définies à l'étape de l'assistant de configuration de l'espace.

Désactivez cette option pour définir de nouvelles balises de ressources pour les instances d'Unified Access Gateway.

Balises de ressources Azure

Ce paramètre devient visible lorsque vous désactivez l'option Hériter des balises d'espace. Utilisez ce paramètre pour ajouter de nouvelles balises de ressources aux groupes de ressources contenant les instances d'Unified Access Gateway que vous avez configurées.

Pour créer la première balise, entrez des informations dans les champs Nom et Valeur. Pour créer une balise supplémentaire, cliquez sur +, puis entrez des informations dans les champs Nom et Valeur qui s'affichent en dessous de ceux existants.

Vous pouvez créer 10 balises au maximum.
Le nom de balise est limité à 512 caractères tandis que la valeur de balise est limitée à 256 caractères. Pour les comptes de stockage, le nom de balise est limité à 128 caractères tandis que la valeur de balise est limitée à 256 caractères.
Les noms de balise ne peuvent pas contenir les caractères suivants : < > % & \ ? /
Les noms de balise ne peuvent pas contenir ces chaînes non sensibles à la casse : azure, windows, microsoft
Les noms de balises et les valeurs de balises ne peuvent contenir que des caractères ASCII. Les espaces et les caractères en dehors de l'ensemble ASCII de 128 caractères (également appelé caractères ASCII étendus) ne sont pas autorisés.

Résultats

Lorsque vous avez fourni les informations requises associées à vos options sélectionnées, cliquez sur Valider et continuer pour passer à la dernière étape de l'assistant. Reportez-vous à la section Locataires de première génération - Valider et continuer, puis démarrer le processus de déploiement de l'espace.