Il s'agit d'une liste de haut niveau des étapes lorsque vous vous trouvez dans votre tout premier espace connecté au cloud en exécutant le système de déploiement de l'espace pour déployer un espace Horizon Cloud dans votre capacité Microsoft Azure. Après que votre premier espace connecté au cloud est entièrement déployé et que vous avez terminé les étapes d'enregistrement d'Horizon Cloud avec le domaine Active Directory prévu de l'espace, vous pouvez utiliser toutes les fonctionnalités fournies par Horizon Cloud, en particulier pour le provisionnement des postes de travail VDI, les postes de travail basés sur une session RDSH ou les applications distantes basées sur RDSH à vos utilisateurs finaux depuis cet espace. Lorsque votre compte client est configuré pour utiliser des fonctionnalités App Volumes avec vos espaces dans Microsoft Azure, vous pouvez également provisionner des applications à partir de ces fonctionnalités App Volumes et les autoriser à accéder à vos utilisateurs finaux.

Effectuez les étapes suivantes lorsque vous déployez votre tout premier espace connecté au cloud et que vous utilisez l'assistant de déploiement d'espace pour le déployer dans Microsoft Azure.

  1. Répondez aux conditions préalables. Reportez-vous à Liste de vérification des conditions requises de VMware Horizon Cloud Service on Microsoft Azure pour les déploiements de nouveaux espaces : mise à jour de manière appropriée pour les espaces déployés à partir de la version de service de juillet 2020.
  2. Effectuez les tâches de préparation en dehors d'Horizon Cloud. Reportez-vous à la section Préparation au déploiement d'un espace Horizon Cloud dans Microsoft Azure.
  3. Vérifiez que vous respectez les conditions requises pour le DNS, les ports et les protocoles pour le déploiement de l'espace. Reportez-vous aux sections Conditions requises de DNS pour un espace Horizon Cloud dans Microsoft Azure et Conditions requises des ports et des protocoles pour un espace Horizon Cloud dans la version de manifeste de septembre 2019 ou une version ultérieure.
  4. Déployez l'espace. Reportez-vous à la section Déployer un espace Horizon Cloud dans Microsoft Azure.
  5. Inscrivez votre domaine Active Directory avec l'espace déployé, en fournissant le nom d’un compte de jonction de domaine. Reportez-vous à la section Enregistrement de votre premier domaine Active Directory du Guide d'administration.
  6. Attribuez le rôle Super administrateurs d'Horizon Cloud à un groupe Active Directory qui inclut ce compte de jonction de domaine en tant que membre.
    Important : Vous devez vous assurer que le compte de jonction de domaine que vous entrez lors de l'inscription du domaine est également dans un des groupes Active Directory auxquels vous attribuez le rôle Super administrateurs d' Horizon Cloud. Les opérations de jonction de domaine du système avec l'espace varient en fonction du compte de jonction de domaine ayant le rôle de Super administrateurs d' Horizon Cloud. Reportez-vous à la section Attribuer des rôles administratifs aux groupes Active Directory.
  7. Sélectionnez le type d'intermédiation que vous souhaitez que les espaces de votre locataire utilisent lors de l'intermédiation des ressources provisionnées par l'espace à vos utilisateurs finaux. Reportez-vous à la rubrique Présentation d'Universal Broker et de l'intermédiation à espace unique, ainsi qu'à ses rubriques et sous-rubriques connexes dans le Guide d'administration de .
  8. Si vous prévoyez d'utiliser Workspace ONE Access avec l'espace ou de permettre la connexion directe d'Horizon Clients à l'espace (pas via une configuration de passerelle d'espace), procédez comme suit :
    • Dans votre serveur DNS, mappez un nom de domaine complet à l'adresse IP de l'équilibrage de charge Microsoft Azure du gestionnaire d'espace.
    • Procurez-vous un certificat SSL basé sur ce nom de domaine complet mappé

    Téléchargerez un certificat SSL vers l'espace basé sur le nom de domaine complet que vous avez mappé à l'adresse IP de l'équilibrage de charge Microsoft Azure du gestionnaire d'espace dans votre DNS afin que les connexions reliées aux machines virtuelles du gestionnaire d'espace établissent des connexions approuvées. Ces connexions incluent Horizon Clients, pour vos utilisateurs auxquels vous attribuez le nom de domaine complet mappé et le connecteur Workspace ONE Access qui est utilisé lorsque vous intégrez Workspace ONE Access à l'espace. Le connecteur Workspace ONE Access doit se connecter à l'espace à l'aide d'un nom de domaine complet mappé à l'adresse IP de l'équilibrage de charge Microsoft Azure du gestionnaire d'espace.

    Attention : Lorsque vous intégrez Workspace ONE Access à l'espace, vous devez télécharger un certificat SSL vers celui-ci et configurer votre Workspace ONE Access pour qu'il pointe vers l'espace et non vers les configurations de Unified Gateway Access de l'espace.

    Cependant, gardez à l'esprit que, lorsque vous téléchargez un certificat SSL basé sur votre nom de domaine complet mappé au DNS, si vous tentez de vous connecter en tapant directement ce nom de domaine complet dans un navigateur, sans passer par un Workspace ONE Access correctement configuré, l'utilisation du nom de domaine complet pur s'affiche sous la forme de connexions non approuvées au navigateur. Cela s'explique par le simple fait que le chargement de ce nom de domaine complet dans un navigateur est une connexion à l'aide de HTML Access (Blast) et que c'est ainsi que HTML Access (Blast) se comporte. Par conséquent, lorsque vous chargez ce nom de domaine complet dans un navigateur, il affiche l'erreur de certificat non approuvé typique.

    En l'absence de Workspace ONE Access, pour établir des connexions à l'aide de HTML Access (Blast),en utilisant un navigateur à la base, évitez l'erreur de certificat non approuvé affiché. Vous devez placer une configuration de passerelle sur l'espace et faire en sorte que ces connexions utilisent l'équilibrage de charge et les instances d'Unified Access Gateway à partir de la configuration de cette passerelle. Si vous ne souhaitez pas afficher votre nom de domaine complet sur Internet, vous pouvez déployer une configuration interne d'Unified Access Gateway. Cette configuration interne d'Unified Access Gateway utilise un équilibrage de charge interne Microsoft Azure auquel les utilisateurs finaux internes à votre réseau d'entreprise peuvent établir leurs connexions.

  9. Téléchargez directement un certificat SSL dans l'espace à l'aide de la page Résumé de l'espace dans la console d'administration, si vous prévoyez de disposer d'un ou de deux des cas d'utilisation suivants décrits à l'étape précédente.Reportez-vous à la section Configurer des certificats SSL sur les VM du gestionnaire de l'espace Horizon Cloud.
    Info-bulle : Si le seul cas d'utilisation d'accès à prendre en charge est celui où les connexions sont reliées aux instances de Unified Access Gateway de l'espace via l'équilibrage de charge connecté à ces instances, le téléchargement direct du certificat SSL vers l'espace est superflu. Cependant, l'exécution de l'étape précédant immédiatement ci-dessus et l'étape actuelle est recommandée, car elle garantit que si vous attribuez un jour ce nom de domaine complet aux utilisateurs à entrer dans leurs Horizon Clients, ces clients peuvent disposer de connexions approuvées. L'exécution de l'étape précédant immédiatement et l'étape actuelle offre également la possibilité d'intégrer un jour plus rapidement l'espace à Workspace ONE Access, car le nom de domaine complet serait mappé et le certificat SSL serait déjà en place sur l'espace.
  10. Importez une image de base. Sur la page VM importées, utilisez l'action Réinitialiser le couplage d'agent pour associer la nouvelle image à Horizon Cloud. Reportez-vous à la section Création des images de poste de travail pour un espace Horizon Cloud dans Microsoft Azure.
    Note : Tech Preview : l'utilisation du système d'exploitation Microsoft Windows 10 Enterprise multi-session avec App Volumes est actuellement dans la version Tech Preview. Pour importer une image de base pour ce cas d'utilisation, procédez comme suit : Tech Preview : comment configurer une machine virtuelle de sessions multiples Windows 10 pour une utilisation avec les fonctionnalités d'App Volumes dans cette version d'Horizon Cloud.
  11. En fonction du type d'attribution d'utilisateur final pour laquelle l'image est destinée à être utilisée, effectuez une ou plusieurs des étapes suivantes, le cas échéant.
    • Dans une machine virtuelle d'image maître utilisée pour le provisionnement de postes de travail VDI ou d'applications natives, installez les applications tierces que doivent utiliser vos utilisateurs finaux dans leurs postes de travail VDI et configurez d'autres personnalisations applicables, comme la configuration du papier peint du bureau, l'installation des pilotes GPU NVIDIA (pour les images avec GPU activé), etc. Optimisez également l'image selon les recommandations Sysprep de Microsoft, si cela n'est pas effectué dans le cadre du processus d'importation d'image. Reportez-vous à la section Personnaliser le système d'exploitation Windows de la machine virtuelle d'image et à ses sous-rubriques, ainsi qu'à la section Installer les pilotes graphiques NVIDIA dans une image avec GPU activé du Guide d'administration.
      Info-bulle : Pour affiner la machine virtuelle d'image afin de fournir une configuration améliorée pour l'utilisation de VMware Blast Extreme dans des cas d'utilisation de VDI, il est recommandé de lire le Guide d'optimisation de VMware Blast Extreme et d'effectuer un réglage supplémentaire pour les options de codec de l'image en fonction des recommandations de ce guide.
    • Dans une image compatible RDS qui sera utilisée pour le provisionnement de postes de travail de session RDSH et d'applications distantes, installez les applications tierces que vous souhaitez fournir à vos utilisateurs finaux à partir de cette image RDS et configurez d'autres personnalisations applicables, comme la configuration du papier peint du bureau, l'installation des pilotes GPU NVIDIA (pour des images avec GPU activé), etc. Optimisez également l'image selon les recommandations Sysprep de Microsoft, si cela n'est pas effectué dans le cadre du processus d'importation d'image. Si la VM importée exécute l'un des systèmes Microsoft Windows 10 Enterprise multisession qui comprend par défaut Office 365 ProPlus, vous devez vérifier que la VM est configurée pour l'activation d'ordinateurs partagés pour Office 365 ProPlus, comme indiqué dans la rubrique de la documentation de Microsoft Présentation de l'activation d'ordinateurs partagés pour Office 365 ProPlus. Si Office 365 ProPlus n'est pas configuré pour l'activation d'ordinateurs partagés sur la machine virtuelle importée, utilisez la méthode décrite dans ce document de Microsoft qui convient à votre situation. Reportez-vous à la section Personnaliser le système d'exploitation Windows de la machine virtuelle d'image et à ses sous-rubriques, ainsi qu'à la section Installer les pilotes graphiques NVIDIA dans une image avec GPU activé du Guide d'administration.
      Info-bulle : Pour affiner la machine virtuelle d'image afin de fournir une configuration améliorée pour l'utilisation de VMware Blast Extreme dans des cas d'utilisation de VDI, il est recommandé de lire le Guide d'optimisation de VMware Blast Extreme et d'effectuer un réglage supplémentaire pour les options de codec de l'image en fonction des recommandations de ce guide.
  12. Effectuez une conversion de cette image en image attribuable, processus également appelée fermeture ou publication de l'image. Reportez-vous à la section Convertir une machine virtuelle configurée en une image attribuable du Guide d'administration.
  13. Pour provisionner des postes de travail RDSH basés sur une session et des applications distantes à partir d'une image de serveur publiée :
    1. Créez une batterie de serveurs RDSH de postes de travail pour fournir des postes de travail de session, puis créez des attributions pour autoriser les utilisateurs finaux à utiliser ces postes de travail. Reportez-vous aux sections Créer une batterie de serveurs et Créer une attribution de poste de travail de session RDSH du Guide d'administration.
    2. Créez une batterie de serveurs RDSH pour fournir des applications distantes, ajoutez-les à votre inventaire d'applications, puis créez des attributions pour autoriser les utilisateurs finaux à utiliser ces applications distantes. Reportez-vous aux sections Créer une batterie de serveurs , Importer de nouvelles applications distantes à partir de batteries de serveurs RDSH et Créer une attribution d'application distante du Guide d'administration.
  14. Pour provisionner des postes de travail VDI à partir d'une image de poste de travail VDI publiée, créez une attribution de poste de travail VDI dédiée ou flottante. Reportez-vous à la section Création d'attributions de poste de travail dans Horizon Cloud et ses sous-rubriques relatives à VDI du Guide d'administration.
  15. Pour provisionner des applications App Volumes pour vos utilisateurs finaux, ajoutez les applications App Volumes à votre inventaire d'applications et créez une attribution d'application pour autoriser les utilisateurs finaux à utiliser ces applications. Créez ensuite une attribution de poste de travail basée sur la même image publiée pour autoriser les utilisateurs finaux à accéder à des postes de travail dans lesquels ils peuvent lancer ces applications. Reportez-vous à la section Applications App Volumes : présentation et conditions préalables du Guide d'administration.
  16. Lorsqu'un espace est déployé avec une configuration de passerelle, vous devez créer un enregistrement CNAME dans votre serveur DNS qui mappe le nom de domaine complet (FQDN) que vous avez entré dans l'assistant de déploiement à la ressource d'équilibrage de charge Microsoft Azure appropriée configurée dans l'espace pour cette passerelle.
    • Pour une passerelle externe activée avec une adresse IP publique, mappez le nom de domaine complet entré dans l'assistant de déploiement au nom de domaine complet public généré automatiquement de la ressource d'équilibrage de charge Microsoft Azure de la passerelle. L'enregistrement de votre serveur DNS mappe ce nom de domaine complet public généré automatiquement de l'équilibrage de charge Microsoft Azure au nom de domaine complet que vos utilisateurs finaux utilisent et qui est utilisé dans le certificat téléchargé. La ligne de code suivante montre un exemple. Vous pouvez localiser l'ID à utiliser sur la page de détails de l'espace dans la console, après avoir enregistré le domaine Active Directory. Si la passerelle externe a été déployée dans son propre réseau virtuel, utilisez l'ID affiché dans le champ ID de déploiement.
      ourApps.ourOrg.example.com   vwm-hcs-ID-uag.région.cloudapp.azure.com
    • Pour une passerelle interne ou une passerelle externe sans adresse IP publique, mappez le nom de domaine complet entré dans l'assistant de déploiement à l'adresse IP privée de la ressource d'équilibrage de charge Microsoft Azure de la passerelle. L'enregistrement de votre serveur DNS mappe l'adresse IP de l'équilibrage de charge Microsoft Azure au nom de domaine complet que vos utilisateurs finaux utilisent, et qui est utilisé dans le certificat téléchargé. La ligne de code suivante montre un exemple.
      ourApps.ourOrg.example.com   Azure-load-balancer-private-IP

    Une fois que l'espace est intégré et que vous pouvez accéder à la page Capacité de la console d'administration, accédez à cette page pour afficher la valeur vmw-hcs-ID-uag.region.cloudapp.azure.com requise pour mapper le nom de domaine complet dans votre DNS.

    Pour plus d'informations sur la localisation du nom de domaine complet de l'équilibrage de charge Microsoft Azure dans la console, reportez-vous à la section Obtenir les informations d'équilibrage de charge de la passerelle de l'espace à mapper dans votre serveur DNS du Guide d'administration.

  17. Lorsqu'un espace est déployé pour disposer d'une authentification à deux facteurs RADIUS pour les passerelles de l'espace, vous devez effectuer les tâches suivantes :
    • Si vous avez configuré une passerelle externe avec des paramètres RADIUS et que le serveur RADIUS n'est pas accessible dans le même réseau virtuel que celui utilisé par l'espace, ou dans la topologie de réseau virtuel liée si vous avez déployé la passerelle externe dans son propre réseau virtuel, configurez le serveur RADIUS de manière à autoriser les connexions client à partir de l'adresse IP de l'équilibrage de charge de la passerelle externe. Dans une configuration de passerelle externe, les instances d'Unified Access Gateway tentent de contacter le serveur RADIUS à l'aide de cette adresse d'équilibrage de charge. Pour autoriser les connexions, assurez-vous que l'adresse IP de la ressource d'équilibrage de charge qui se trouve dans le groupe de ressources de la passerelle externe est spécifiée en tant que client dans la configuration du serveur RADIUS.
    • Si vous avez configuré une passerelle interne ou externe et que votre serveur RADIUS est accessible dans le même réseau virtuel que celui utilisé par l'espace, configurez le serveur RADIUS pour autoriser les connexions à partir des cartes réseau appropriées qui ont été créées dans le groupe de ressources de la passerelle dans Microsoft Azure qui doit communiquer avec le serveur RADIUS. Votre administrateur réseau détermine la visibilité du réseau du serveur RADIUS sur le réseau virtuel Azure et les sous-réseaux de l'espace. Votre serveur RADIUS doit autoriser les connexions client à partir des adresses IP des cartes réseau de la passerelle qui correspondent au sous-réseau pour lequel votre administrateur réseau a accordé une visibilité réseau au serveur RADIUS. Le groupe de ressources de la passerelle dans Microsoft Azure a quatre cartes réseau qui correspondent à ce sous-réseau, deux qui sont actuellement actives pour les deux instances d'Unified Access Gateway et deux inactives qui deviennent actives après la mise à jour de l'espace. Pour prendre en charge la connectivité entre la passerelle et le serveur RADIUS pour les opérations d'espace en cours et après chaque mise à jour de l'espace, assurez-vous que les adresses IP de ces quatre cartes réseau sont spécifiées en tant que clients dans la configuration du serveur RADIUS.

    Pour plus d'informations sur l'obtention de ces adresses IP, reportez-vous à la rubrique Mettre à jour votre système RADIUS avec les informations de passerelle d'espace Horizon Cloud requises.

Lorsque les étapes du workflow ci-dessus sont terminées, vos utilisateurs finaux peuvent lancer leurs applications distantes et leurs postes de travail autorisés en utilisant votre nom de domaine complet dans Horizon Client ou avec HTML Access.

Pour plus d’informations sur la réalisation de chaque étape du workflow, consultez les rubriques avec des liens dans chaque étape ci-dessus ou dans le guide complémentaire. Reportez-vous à la rubrique Administration de votre environnement de locataire Horizon Cloud et à votre flotte d'espaces intégrés et aux sous-rubriques associées.