Pour les déploiements d'Horizon Cloud Service on Microsoft Azure de première génération, le service utilise des appels d'API pour déployer l'espace dans un abonnement Microsoft Azure et gérer cet espace, ainsi que les batteries de serveurs et les postes de travail VDI provisionnés par l'espace. Pour permettre à Horizon Cloud de première génération d'utiliser ses appels d'API dans l'abonnement de l'espace, créez un enregistrement d'application.

Important : Ces informations s'appliquent uniquement lorsque vous avez accès à un environnement de locataire de première génération dans le plan de contrôle de première génération. Comme décrit dans l' article 92424 de la base de connaissances, le plan de contrôle de première génération a atteint la fin de disponibilité (EOA). Pour plus d'informations, consultez cet article.

Brève introduction

Pour le déploiement initial de l'espace, le système de déploiement de l'espace appelle les API de l'abonnement Microsoft Azure que vous avez choisi d'utiliser pour l'espace. Ces appels d'API effectuent des actions dans l'abonnement de l'espace pour créer des éléments tels que la VM du gestionnaire d'espace, les cartes réseau de la VM, les groupes de sécurité réseau (NSG) sur ces cartes réseau, toutes les ressources requises par un espace Horizon Cloud.

Ensuite, Horizon Cloud doit garder la capacité d'appeler les API dans l'abonnement de l'espace après le déploiement de celui-ci. Après le déploiement de l'espace, le service utilise des appels d'API pour créer les VM d'image de base pour les images standard, exécuter Sysprep sur les images standard, créer des hôtes de batterie de serveurs et des VM de poste de travail VDI, ajouter et modifier les configurations de passerelle de l'espace, et maintenir et mettre à niveau l'espace.

Créer l'enregistrement d'application avant d'exécuter le système de déploiement de l'espace

Étant donné que le système de déploiement de l'espace doit appeler les API pendant le processus de déploiement de l'espace pour créer par programmation les ressources de l'espace dans l'abonnement de l'espace, l'enregistrement d'application et la clé secrète du client doivent être présents avant le démarrage de l'assistant de déploiement. La création de l'enregistrement d'application crée automatiquement un objet de principal de service dans l'abonnement à l'espace.

La clé secrète du client doit être générée dans le portail Azure et un rôle doit être attribué à l'enregistrement d'application Horizon Cloud pour fonctionner au niveau de l'abonnement de l'espace.

Si vous souhaitez utiliser la fonctionnalité dans laquelle la configuration externe d'Unified Access Gateway est déployée dans son propre abonnement, distincte de l'abonnement de l'espace, Horizon Cloud doit également avoir la possibilité d'appeler des API dans cet abonnement au moment où vous exécutez l'assistant pour déployer cette passerelle externe. Dans ce cas, un enregistrement d'application et une clé secrète du client sont nécessaires dans cet abonnement en plus de ceux de l'abonnement de l'espace.

À propos de l'attribution d'un rôle à l'enregistrement d'application

Un rôle doit être attribué à l'enregistrement d'application Horizon Cloud dans l'abonnement de l'espace. En général, le rôle Contributor intégré est celui utilisé par Horizon Cloud avec l'abonnement de l'espace. La raison pour laquelle le rôle Contributor est utilisé est qu'il couvre tous les appels d'API qu'Horizon Cloud doit effectuer dans l'abonnement de l'espace.

L'attribution de rôle doit être une attribution directe. L'utilisation d'une attribution basée sur un groupe d'un rôle, dans laquelle le rôle est attribué à un groupe et l'enregistrement d'application est membre de ce groupe, n'est pas prise en charge actuellement.

Si votre organisation préfère éviter l'utilisation du rôle Contributor dans l'abonnement de l'espace, Horizon Cloud prend également en charge l'utilisation d'un rôle personnalisé à la place. S'il est utilisé, le rôle personnalisé doit fournir les appels d'API spécifiques qu'Horizon Cloud doit utiliser. Pour plus d'informations, reportez-vous à la section Rôles personnalisés au bas de cette page.

Enregistrer les fournisseurs de services

Dans l'abonnement de l'espace, l'état des fournisseurs de ressources suivants doit être Registered. Vous pouvez constater que l'état de certains des fournisseurs de ressources de cette liste est déjà Registered, contrairement à d'autres qui ne disposent d'aucun état. Cela est dû au comportement standard de Microsoft Azure, dans lequel un ensemble de fournisseurs de ressources est généralement enregistré pour tous les abonnements Azure.

Vous devez vous assurer que l'état de ces fournisseurs de ressources répertoriés est Registered avant d'exécuter l'assistant de déploiement de l'espace. Lors de l'étape finale de l'assistant, celui-ci confirme que l'état de ces fournisseurs de ressources est Registered et empêche le démarrage du déploiement de l'espace si l'enregistrement de l'un d'entre eux est annulé.

  • Microsoft.Compute
  • microsoft.insights
  • Microsoft.Network
  • Microsoft.Storage
  • Microsoft.KeyVault
  • Microsoft.Authorization
  • Microsoft.Resources
  • Microsoft.ResourceHealth
  • Microsoft.ResourceGraph
  • Microsoft.Security
  • Microsoft.DBforPostgreSQL
  • Microsoft.Sql
  • Microsoft.MarketplaceOrdering

La capture d'écran suivante est une illustration de l'affichage de l'état Enregistré et de l'état Non enregistré dans le portail Azure.


Écran Fournisseurs de ressources avec une flèche verte pointant vers un fournisseur désinscrit.

Pour vérifier les fournisseurs de ressources dans l'abonnement de l'espace :

  1. Connectez-vous au portail Azure et recherchez l'abonnement dans lequel vous prévoyez de déployer l'espace.
  2. Cliquez sur le nom de l'abonnement et faites défiler l'écran vers le bas jusqu'à ce que la page Choix du menu Fournisseurs de ressources dans le menu Paramètres de l'abonnement (Fournisseurs de ressources) s'affiche.
  3. Recherchez les fournisseurs de ressources dans la liste précédente et vérifiez qu'ils affichent chacun l'état Icône de l'état Enregistré dans le portail Azure pour un fournisseur de ressources (Enregistré).

    Pour toute ressource fournie dans la liste précédente qui s'affiche sous la forme NotRegistered, utilisez le portail pour l'enregistrer.

Création de l'enregistrement d'application Horizon Cloud

Vous devez effectuer cette procédure à l'aide du portail Microsoft Azure applicable à votre compte inscrit. Par exemple, il existe des points de terminaison spécifiques du portail pour ces clouds Microsoft Azure.

  • Microsoft Azure Commercial (régions globales standard)
  • Microsoft Azure Chine
  • Microsoft Azure US Government

Lors de l'utilisation de la fonctionnalité Horizon Cloud dans laquelle la passerelle externe utilise son propre abonnement, distinct de celui de l'espace, vous devez répéter les étapes de cet abonnement pour l'enregistrement de l'application.

Pour effectuer vous-même toutes les étapes suivantes dans le portail Azure, votre connexion au portail doit disposer d'autorisations suffisantes pour créer un enregistrement d'application et attribuer un rôle à cet enregistrement d'application dans l'abonnement pour lequel vous prévoyez de déployer l'espace. Si vous n'êtes pas le propriétaire ou l'administrateur de cet abonnement, demandez à l'un d'entre eux si vous disposez des autorisations requises pour créer un enregistrement d'application et attribuer un rôle à celui-ci.

  1. Se connecter au portail Microsoft Azure à l'aide d'informations d'identification permettant d'enregistrer des applications
  2. Dans la barre de recherche du portail, recherchez App registrations, puis cliquez sur l'option Enregistrements d'application lorsqu'elle s'affiche dans la liste des résultats.
    Capture d'écran montrant la recherche dans le portail Azure des mots Enregistrements d'application et leur affichage dans les résultats

    Le portail affiche la page Enregistrements d'application.

  3. Sur la page Enregistrements d'application, cliquez sur Nouvel enregistrement.
    Capture d'écran illustrant l'emplacement de l'action Nouvel enregistrement sur la page Enregistrements d'application du portail Azure
  4. Tapez un nom complet qui vous rappellera que cet enregistrement est destiné à l'utilisation d'Horizon Cloud.
  5. Sélectionnez Comptes dans ce répertoire d'organisation uniquement.
  6. Laissez la section URI de redirection facultative dans son état vide par défaut.
  7. Pour terminer la création de l'enregistrement d'application, cliquez sur le bouton Enregistrer.

    L'enregistrement d'application qui vient d'être créé s'affiche à l'écran.

  8. Copiez l'ID d'application et l'ID d'annuaire, puis enregistrez-les dans un emplacement où vous pourrez les récupérer ultérieurement au moment de l'exécution de l'assistant de déploiement. La capture d'écran suivante illustre un enregistrement d'application nommé Hzn-Cloud-Principal et une flèche verte pointant vers l'emplacement de l'affichage de l'ID d'application et de l'ID d'annuaire.
    Écran des détails du principal de service avec une flèche pointant vers l'ID d'application.

  9. Créez ensuite la clé secrète du client de l'enregistrement d'application :
    1. Dans la capture d'écran précédente, notez l'emplacement où Élément de menu Certificats et secrets dans le portail Microsoft Azure s'affiche. Dans le portail Azure, sur la page d'enregistrement d'application que vous venez de créer, cliquez sur Certificats et secrets).
    2. Cliquez sur Nouveau secret du client.
    3. Comme l'illustre la capture d'écran suivante, le portail affiche l'écran Ajouter un secret du client. Tapez une description, sélectionnez une durée d'expiration, puis cliquez sur Ajouter. La description de la clé doit contenir au maximum 16 caractères, par exemple Hzn-Cloud-Key1.
      Écran Clés indiquant la nouvelle clé ajoutée avec la durée N'expire jamais.

      Important : Laissez cet écran ouvert pour copier la valeur secrète et la coller dans un emplacement où vous pourrez la récupérer ultérieurement.

      Clé d'authentification affichée dans l'écran des secrets du client avec une valeur pixellisée.

    4. Copiez la valeur secrète dans un emplacement où vous pourrez la récupérer ultérieurement au moment de l'exécution de l'assistant de déploiement. L'assistant dispose d'un champ dans lequel vous pouvez coller cette valeur.
  10. Ajoutez une attribution de rôle à l'enregistrement d'application Horizon Cloud. Attribuez le rôle au niveau de l'abonnement :
    1. Accédez à l'écran des paramètres de l'abonnement en cliquant successivement sur Tous les services dans la barre de navigation principale du portail Microsoft Azure, sur Abonnements, puis sur le nom de l'abonnement dans lequel le système de déploiement de l'espace doit déployer celui-ci.
      Note : À ce stade, sur l'écran, notez l'ID d'abonnement dont vous aurez besoin ultérieurement dans l'assistant de déploiement.

      Détails de l'abonnement dans le portail Azure avec des ID pixellisés et une flèche verte pointant vers l'ID.

    2. Cliquez sur Élément de menu Contrôle d'accès (IAM) (Contrôle d'accès (IAM)), puis sur Ajouter > Ajouter une attribution de rôle pour ouvrir l'écran Ajouter une attribution de rôle.
    3. Dans l'écran Ajouter une attribution de rôle, dans Rôle, sélectionnez le rôle Contributor.

      Si votre organisation a indiqué qu'elle préfère utiliser un rôle personnalisé pour Horizon Cloud, sélectionnez le rôle personnalisé que votre organisation a configuré à cette fin.

    4. Dans la liste déroulante Attribuer l'accès à, sélectionnez Utilisateur, groupe ou application AD Azure.
    5. Utilisez la zone Sélectionner pour rechercher le nom de l'enregistrement d'application Horizon Cloud. La capture d'écran suivante illustre cette étape.
      Capture d'écran de l'écran Ajouter des autorisations du portail Azure avec le rôle Propriétaire sélectionné et recherche du principal de service.

    6. Cliquez sur le nom que vous avez donné à l'enregistrement d'application Horizon Cloud créé pour en faire un membre sélectionné, puis cliquez sur Enregistrer.
      Sur l'écran Ajouter des autorisations, principal de service ajouté comme membre sélectionné du rôle Propriétaire.

Résumé

À ce stade, vous avez créé et configuré l'enregistrement d'application Horizon Cloud, confirmé l'état d'enregistrement des fournisseurs de ressources requis par Horizon Cloud et vous disposez des valeurs associées aux abonnements à entrer à la première étape de l'assistant de déploiement de l'espace. Les quatre valeurs associés aux abonnements sont :

  • ID d'abonnement
  • ID Azure Active Directory
  • ID d'application
  • Valeur de clé d’application
Note : Horizon Cloud ne peut pas détecter ni connaître la durée d'expiration que vous avez définie pour la clé secrète du client de l'enregistrement d'application. Pour vous assurer qu' Horizon Cloud peut continuer à utiliser cet enregistrement d'application pour effectuer ses appels d'API nécessaires à la gestion de l'espace et de ses ressources, vous devez penser à actualiser la clé avant sa date d'expiration, puis à entrer la nouvelle clé dans votre environnement Horizon Cloud. Actuellement, la durée d'expiration la plus longue que vous pouvez définir à l'aide du portail Microsoft Azure est de deux (2) ans. Si la clé expire au bout de deux ans et que vous ne l'avez pas actualisée ni entré de nouvelles informations de clé dans votre environnement Horizon Cloud à utiliser avec l'espace, celui associé à la clé expirée cesse de fonctionner. Si vous préférez créer une clé secrète avec une durée de vie supérieure aux deux ans autorisés par l'interface utilisateur du portail Microsoft Azure, cette dernière fournit actuellement cette possibilité à l'aide de PowerShell, l'interface de ligne de commande (CLI) Azure ou l'API Graph.

Rôles personnalisés et enregistrement d'application Horizon Cloud

Lorsque votre organisation préfère éviter l'utilisation du rôle Contributor dans l'abonnement de l'espace, elle peut créer un rôle personnalisé à la place et l'attribuer à l'enregistrement d'application Horizon Cloud. Le rôle personnalisé doit être configuré afin d'autoriser les appels d'API requis par Horizon Cloud. Si votre organisation préfère éviter l'utilisation du rôle Contributor dans l'abonnement de l'espace, reportez-vous aux informations de la section Locataires de première génération - Lorsque votre organisation préfère utiliser un rôle personnalisé pour l'enregistrement d'application Horizon Cloud de première génération.