Il s'agit d'une liste générale des étapes lorsque vous parvenez à votre tout premier espace connecté au cloud en exécutant le système de déploiement d'espace pour déployer un espace reposant sur un gestionnaire d'espaces dans votre abonnement Microsoft Azure. Ce type d'espace est basé sur la technologie VMware Horizon Cloud de gestionnaire d'espaces (contrairement à un espace Horizon basé sur des composants logiciels Horizon Connection Server). Une fois que ce premier espace connecté au cloud est entièrement déployé et que vous avez terminé les étapes d'enregistrement d'Horizon Cloud dans le domaine Active Directory prévu de l'espace, vous pouvez utiliser toutes les fonctionnalités fournies par Horizon Cloud, en particulier pour le provisionnement des postes de travail VDI à session unique, les postes de travail multissession, les postes de travail basés sur une session RDSH ou les applications distantes à vos utilisateurs finaux depuis cet espace. Lorsque votre compte client est configuré pour utiliser des fonctionnalités d'App Volumes avec vos espaces dans Microsoft Azure, vous pouvez également provisionner des applications à partir de ces fonctionnalités d'App Volumes et les autoriser à accéder à vos utilisateurs finaux.

Important : Le workflow ci-dessous ne s'applique pas à un espace Horizon sur Azure VMware Solution (AVS). Un espace Horizon sur AVS est un espace Horizon sur le VMware SDDC, car AVS est un cluster vSphere, comme décrit dans la documentation de Microsoft Didacticiel : Déployer un cloud privé Azure VMware Solution dans Azure et un cluster vSphere est un VMware SDDC (Software-Defined Data Center, centre de données défini par logiciel) au sens strict du terme. Les articles Tech Zone suivants donnent des détails sur un espace Horizon sur AVS : Configuration d'Horizon sur Azure VMware Solution et Architecture d'Horizon sur Azure VMware Solution.
Important : La console d'administration est dynamique et reflète les éléments disponibles au niveau du service en cours. En revanche, lorsque vous disposez d'espaces connectés au cloud qui ne sont pas encore mis à jour vers les derniers niveaux du logiciel de l'espace, la console n'affiche pas ces fonctionnalités qui dépendent du dernier niveau logiciel de l'espace. En outre, dans une version particulière, Horizon Cloud peut inclure des fonctionnalités sous licence distincte ou des fonctionnalités qui ne sont disponibles que pour des configurations de compte de locataire particulières. La console reflète dynamiquement les éléments associés à ces fonctionnalités uniquement lorsque votre configuration de licence ou de compte de locataire comprend l'utilisation de ces fonctionnalités. Pour obtenir des exemples, reportez-vous à la section Visite de la console basée sur le cloud pour découvrir les tâches administratives dans Horizon Cloud.

Lorsque vous ne voyez pas une fonctionnalité dans la console d'administration, conformément à vos attentes, contactez votre représentant du compte VMware pour vérifier si votre configuration de licence et de compte de locataire vous autorise à l'utiliser.

Effectuez les étapes suivantes lorsque vous déployez votre tout premier espace connecté au cloud et que vous utilisez l'assistant de déploiement d'espace dans Horizon Universal Console pour le déployer dans Microsoft Azure.

  1. Répondez aux conditions préalables. Reportez-vous à la section Liste de vérification des conditions préalables de VMware Horizon Cloud Service on Microsoft Azure pour les déploiements de nouveaux espaces.
  2. Effectuez les tâches de préparation en dehors d'Horizon Cloud. Reportez-vous à la section Préparation du déploiement d'un espace Horizon Cloud dans Microsoft Azure.
  3. Vérifiez que vous respectez les conditions requises pour le DNS, les ports et les protocoles pour le déploiement de l'espace. Reportez-vous aux sections Conditions requises de DNS pour un espace Horizon Cloud dans Microsoft Azure et Conditions requises des ports et des protocoles pour un espace Horizon Cloud au manifeste de la version de septembre 2019 ou une version ultérieure.
  4. Déployez l'espace.
  5. Inscrivez votre domaine Active Directory avec l'espace déployé, en fournissant le nom des comptes de service. Assurez-vous que ces comptes de service répondent aux conditions requises décrites dans la section Comptes de service dont Horizon Cloud a besoin pour ses opérations
  6. Attribuez les rôles appropriés aux personnes de votre organisation pour s'authentifier et effectuer des opérations dans la console d'administration. Il existe deux types de rôles utilisés dans Horizon Cloud. Reportez-vous à la section Meilleures pratiques concernant les deux types de rôles que vous attribuez aux personnes pour qu'elles utilisent la console basée sur le cloud dans votre environnement Horizon Cloud.
  7. Dans le cas rare atypique où votre environnement de locataire dispose déjà d'espaces Horizon Cloud dans Microsoft Azure qui exécutent des manifestes antérieurs au manifeste 1600.0, vous devez accorder le rôle Super administrateurs d'Horizon Cloud à un groupe Active Directory qui comprend le compte de jonction de domaine en tant que membre. Consultez la rubrique Attribuer des rôles administratifs Horizon Cloud aux groupes Active Directory dans le Guide d'administration.
  8. Sélectionnez le type d'intermédiation que vous souhaitez que les espaces de votre locataire utilisent lors de l'intermédiation des ressources provisionnées par l'espace à vos utilisateurs finaux. Reportez-vous à la rubrique Présentation d'Universal Broker et de l'intermédiation à espace unique, ainsi qu'à ses rubriques et sous-rubriques connexes.
    Attention : Il est recommandé d'effectuer cette étape de sélection d'intermédiation avant de déployer des espaces supplémentaires dans Microsoft Azure.
  9. Créez les enregistrements CNAME requis dans votre serveur DNS. Pour plus d'informations sur l'objectif de ces enregistrements CNAME, reportez-vous à la section Comment obtenir les informations d'équilibrage de charge de la passerelle d'espace Horizon Cloud à mapper dans votre serveur DNS. Lorsque votre locataire est configuré avec Universal Broker, reportez-vous également aux exigences d'enregistrement CNAME incluses dans la section Configurer les paramètres Universal Broker.
    Note : Lorsque la configuration de la passerelle externe utilise une adresse IP privée pour l'équilibrage de charge Azure de la configuration, vous devez disposer d'un pare-feu ou d'un NAT gérant le trafic Internet vers cette adresse IP privée, et ce pare-feu ou NAT doit fournir une adresse IP publique et être configuré de telle sorte que le nom de domaine complet spécifié lors du déploiement de la configuration de la passerelle externe puisse être résolu publiquement. Le plan de contrôle Horizon Cloud doit pouvoir communiquer avec le nom de domaine complet spécifié pour la passerelle externe.
  10. En ce qui concerne l'étape précédente, si vous sélectionnez la configuration du broker à espace unique à cette étape précédente et que vous prévoyez d'utiliser Workspace ONE Access avec l'espace, procédez comme suit :
    • Dans votre serveur DNS, mappez un nom de domaine complet à l'adresse IP de l'équilibrage de charge Microsoft Azure du gestionnaire d'espace.
    • Procurez-vous un certificat SSL basé sur ce nom de domaine complet mappé

    Téléchargerez un certificat SSL vers l'espace basé sur le nom de domaine complet que vous avez mappé à l'adresse IP de l'équilibrage de charge Microsoft Azure du gestionnaire d'espace dans votre DNS afin que les connexions reliées aux machines virtuelles du gestionnaire d'espace établissent des connexions approuvées. L'instance de Workspace ONE Access Connector qui est utilisée lorsque vous intégrez Workspace ONE Access à l'espace dans une configuration de broker à espace unique doit établir une telle connexion approuvée. Le connecteur Workspace ONE Access doit se connecter à l'espace à l'aide d'un nom de domaine complet mappé à l'adresse IP de l'équilibrage de charge Microsoft Azure du gestionnaire d'espace.

    Attention : Lorsque votre environnement est configuré pour l'intermédiation à espace unique et que vous intégrez Workspace ONE Access à l'espace, vous devez charger un certificat SSL vers celui-ci et configurer votre instance de Workspace ONE Access Connector pour qu'elle pointe vers l'espace et non vers les configurations de Unified Gateway Access de l'espace.

    Cependant, gardez à l'esprit que, lorsque vous téléchargez un certificat SSL basé sur votre nom de domaine complet mappé au DNS, si vous tentez de vous connecter en tapant directement ce nom de domaine complet dans un navigateur, sans passer par un Workspace ONE Access correctement configuré, l'utilisation du nom de domaine complet pur s'affiche sous la forme de connexions non approuvées au navigateur. Cela s'explique par le simple fait que le chargement de ce nom de domaine complet dans un navigateur est une connexion à l'aide de HTML Access (Blast) et que c'est ainsi que HTML Access (Blast) se comporte. Par conséquent, lorsque vous chargez ce nom de domaine complet dans un navigateur, il affiche l'erreur de certificat non approuvé typique.

    En l'absence de Workspace ONE Access dans ce type de configuration, pour empêcher que les connexions utilisant HTML Access (Blast), avec un navigateur à la base, ne génèrent l'affichage de l'erreur de certificat non approuvé, vous devez placer une configuration de passerelle sur l'espace et faire en sorte que ces connexions utilisent l'équilibrage de charge et les instances de Unified Access Gateway à partir de la configuration de cette passerelle. Si vous ne souhaitez pas afficher votre nom de domaine complet sur Internet, vous pouvez déployer une configuration interne d'Unified Access Gateway. Cette configuration interne d'Unified Access Gateway utilise un équilibrage de charge interne Microsoft Azure auquel les utilisateurs finaux internes à votre réseau d'entreprise peuvent établir leurs connexions.

  11. Téléchargez directement un certificat SSL dans l'espace à l'aide de la page Résumé de l'espace dans la console d'administration, si vous prévoyez de disposer d'un ou de deux des cas d'utilisation suivants décrits à l'étape précédente. Reportez-vous à la section Configurer des certificats SSL sur les VM du gestionnaire de l'espace Horizon Cloud.
    Info-bulle : Si le seul cas d'utilisation d'accès à prendre en charge est celui où les connexions sont reliées aux instances de Unified Access Gateway de l'espace via l'équilibrage de charge connecté à ces instances, le téléchargement direct du certificat SSL vers l'espace est superflu. Cependant, l'exécution de l'étape précédant immédiatement ci-dessus et l'étape actuelle est recommandée, car elle garantit que si vous attribuez un jour ce nom de domaine complet aux utilisateurs à entrer dans leurs Horizon Clients, ces clients peuvent disposer de connexions approuvées. L'exécution de l'étape précédant immédiatement et l'étape actuelle offre également la possibilité d'intégrer un jour plus rapidement l'espace à un environnement de Broker à espace unique avec Workspace ONE Access, car le nom de domaine complet serait mappé et le certificat SSL serait déjà en place sur l'espace.
  12. Facultatif : si votre compte de locataire Horizon Cloud n'est pas déjà intégré à la plate-forme d'engagement de VMware Cloud Services, envisagez de l'intégrer maintenant. L'intégration à la plate-forme d'engagement de VMware Cloud Services est une condition préalable à l'activation des fonctionnalités de Surveillance de l'infrastructure Horizon pour vos espaces déployés dans Microsoft Azure. Reportez-vous à la section Intégrer votre locataire Horizon Cloud à la plate-forme d'engagement VMware Cloud Services à l'aide de la console basée sur le cloud.
  13. Facultatif : activez Surveillance de l'infrastructure Horizon. Une condition préalable à cette activation est que votre locataire Horizon Cloud doit être intégré à la plate-forme d'engagement de VMware Cloud Services. Reportez-vous à la section Surveillance de l'infrastructure Horizon et les espaces dans votre environnement Horizon Cloud.
  14. Créez une image standard. La création d'une image standard est un processus à plusieurs étapes. Pour obtenir une présentation générale des différentes méthodes de création d'une image standard pouvant être utilisée dans votre locataire Horizon Cloud, reportez-vous à la section Création d'images de poste de travail pour un espace Horizon Cloud dans Microsoft Azure. La création d'une image standard commence par l'importation d'une machine virtuelle de base, que vous personnalisez ensuite en fonction des besoins de votre entreprise et de vos utilisateurs finaux.
  15. En fonction du type d'attribution d'utilisateur final pour laquelle l'image est destinée à être utilisée, effectuez une ou plusieurs des étapes suivantes, le cas échéant.
  16. Effectuez une conversion de cette image en image attribuable, processus également appelée fermeture ou publication de l'image. Reportez-vous à la section Convertir une machine virtuelle configurée en une image attribuable.
  17. Pour provisionner des postes de travail sur une session et des applications distantes à partir d'une image multissession publiée :
    1. Créez une batterie de serveurs de postes de travail pour fournir des postes de travail de session, puis créez des attributions pour autoriser les utilisateurs finaux à utiliser ces postes de travail. Reportez-vous aux sections Créer une batterie de serveurs et Créer une attribution de poste de travail de session RDSH.
    2. Créez une batterie de serveurs d'application pour fournir des applications distantes, ajoutez-les à votre inventaire d'applications, puis créez des attributions pour autoriser les utilisateurs finaux à utiliser ces applications distantes. Reportez-vous aux sections Créer une batterie de serveurs, Importer de nouvelles applications distantes à partir de batteries de serveurs RDSH et Créer une attribution d'application distante.
  18. Pour provisionner des postes de travail VDI à session unique à partir d'une image de poste de travail VDI à session unique publiée, créez une attribution de poste de travail VDI dédié ou flottant. Reportez-vous à la section À propos des attributions de poste de travail pour les espaces de votre environnement Horizon Cloud dans Microsoft Azure et à sa section sur la création de ces attributions de poste de travail.
  19. Pour provisionner des applications App Volumes pour vos utilisateurs finaux, ajoutez les applications App Volumes à votre inventaire d'applications et créez une attribution d'application pour autoriser les utilisateurs finaux à utiliser ces applications. Ensuite, créez une attribution de poste de travail qui donne droit à ces utilisateurs finaux à des postes de travail de base dans lesquels ils peuvent utiliser ces applications. L'attribution d'applications donne droit à l'utilisation des applications App Volumes autorisées de l'utilisateur dans le système d'exploitation Windows du poste de travail octroyé à l'utilisateur. Reportez-vous à la section Applications App Volumes – Présentation et conditions préalables.
  20. Lorsqu'un espace est déployé pour disposer d'une authentification à deux facteurs RADIUS pour les passerelles de l'espace, vous devez effectuer les tâches suivantes :
    • Si vous avez configuré une passerelle externe avec des paramètres RADIUS et que le serveur RADIUS n'est pas accessible dans le même réseau virtuel que celui utilisé par l'espace, ou dans la topologie de réseau virtuel liée si vous avez déployé la passerelle externe dans son propre réseau virtuel, configurez le serveur RADIUS de manière à autoriser les connexions client à partir de l'adresse IP de l'équilibrage de charge de la passerelle externe. Dans une configuration de passerelle externe, les instances d'Unified Access Gateway tentent de contacter le serveur RADIUS à l'aide de cette adresse d'équilibrage de charge. Pour autoriser les connexions, assurez-vous que l'adresse IP de la ressource d'équilibrage de charge qui se trouve dans le groupe de ressources de la passerelle externe est spécifiée en tant que client dans la configuration du serveur RADIUS.
    • Si vous avez configuré une passerelle interne ou externe et que votre serveur RADIUS est accessible dans le même réseau virtuel que celui utilisé par l'espace, configurez le serveur RADIUS pour autoriser les connexions à partir des cartes réseau appropriées qui ont été créées dans le groupe de ressources de la passerelle dans Microsoft Azure qui doit communiquer avec le serveur RADIUS. Votre administrateur réseau détermine la visibilité du réseau du serveur RADIUS sur le réseau virtuel Azure et les sous-réseaux de l'espace. Votre serveur RADIUS doit autoriser les connexions client à partir des adresses IP des cartes réseau de la passerelle qui correspondent au sous-réseau pour lequel votre administrateur réseau a accordé une visibilité réseau au serveur RADIUS. Le groupe de ressources de la passerelle dans Microsoft Azure a quatre cartes réseau qui correspondent à ce sous-réseau, deux qui sont actuellement actives pour les deux instances d'Unified Access Gateway et deux inactives qui deviennent actives après la mise à jour de l'espace. Pour prendre en charge la connectivité entre la passerelle et le serveur RADIUS pour les opérations d'espace en cours et après chaque mise à jour de l'espace, assurez-vous que les adresses IP de ces quatre cartes réseau sont spécifiées en tant que clients dans la configuration du serveur RADIUS.

    Pour plus d'informations sur l'obtention de ces adresses IP, reportez-vous à la rubrique Mettre à jour votre système RADIUS avec les informations de passerelle d'espace Horizon Cloud requises.

Une fois les étapes de workflow ci-dessus terminées, vos utilisateurs finaux peuvent utiliser Horizon Client ou horizon HTML Access (le client Web) pour lancer leurs postes de travail et applications distantes autorisés :

  • Dans un environnement configuré avec Universal Broker, en utilisant votre nom de domaine complet d'intermédiation Universal Broker dans son client.
  • Dans un environnement configuré avec l'intermédiation à espace unique, en utilisant votre nom de domaine complet dans son client, celui que vous avez mappé à l'aide des enregistrements CNAME dans votre DNS.

Pour plus d'informations sur la réalisation de chaque étape du workflow, consultez les rubriques associées à chacune des étapes ci-dessus.