Considérez l'intégralité de votre déploiement, y compris votre façon d'intégrer des ressources, lorsque vous prenez des décisions concernant les exigences en matériel, en ressources et en matière de réseau.
Versions de vSphere et ESX compatibles
Les versions suivantes des serveurs vSphere et ESXi sont prises en charge :
- 8.0, 7.0, 6.7 et 6.5
Compatibilité entre le service Workspace ONE Access et le connecteur
Avec le service Workspace ONE Access sur site, vous pouvez utiliser des versions du connecteur prises en charge qui sont égales ou inférieures à la version du service. Par exemple, avec le service Workspace ONE Access 24.04, vous pouvez utiliser la version 24.04 et les versions antérieures du connecteur. Vous ne pouvez pas utiliser une version du connecteur supérieure à la version du service. Par exemple, vous ne pouvez pas utiliser la version 24.04 du connecteur avec le service 23.09. Il est recommandé d'utiliser la dernière version disponible du connecteur.
Pour plus d'informations sur les versions prises en charge, reportez-vous à https://www.vmware.com/support/policies/lifecycle.html.
Exigences de dimensionnement de matériel
Assurez-vous que vous respectez les exigences pour le nombre de dispositifs virtuels Workspace ONE Access et les ressources allouées à chaque dispositif.
- 4 vCPU
- 8 Go de mémoire
- 100 Go d'espace disque
| Nombre d'utilisateurs | Jusqu'à 1 000 | De 1 000 à 10 000 | De 10 000 à 25 000 | De 25 000 à 50 000 | De 50 000 à 100 000 |
|---|---|---|---|---|---|
| Nombre de serveurs Workspace ONE Access | 1 serveur | 3 serveurs à équilibrage de charge | 3 serveurs à équilibrage de charge | 3 serveurs à équilibrage de charge | 3 serveurs à équilibrage de charge |
| CPU (par serveur) | 4 CPU | 4 CPU | 4 CPU | 8 CPU | 8 CPU |
| RAM (par serveur) | 8 Go | 8 Go | 8 Go | 16 Go | 32 Go |
| Espace disque (par serveur) | 100 Go | 100 Go | 100 Go | 100 Go | 100 Go |
Vérifiez également que vous respectez les exigences concernant le nombre d'instances de Workspace ONE Access Connector. Consultez la section Installation et configuration de Workspace ONE Access Connector.
Configuration requise pour la base de données
Configurez Workspace ONE Access avec la base de données appropriée pour stocker et organiser les données du serveur. Vous pouvez utiliser la base de données PostgreSQL interne ou une base de données Microsoft SQL externe.
Une base de données PostgreSQL interne est intégrée au dispositif Workspace ONE Access, mais il n'est pas recommandé de l'utiliser avec des déploiements de production.
Les bases de données externes prises en charge sont Microsoft SQL Server 2014, 2016, 2017, 2019 et 2022. Pour plus d'informations sur les versions de base de données Microsoft SQL et les configurations de Service Pack prises en charge, consultez les matrices d'interopérabilité des produits VMware sur https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Les conditions préalables de base de données suivantes s'appliquent. Les spécifications exactes nécessaires dépendent de la taille et des besoins de votre déploiement.
| Nombre d'utilisateurs | Jusqu'à 1 000 | De 1 000 à 10 000 | De 10 000 à 25 000 | De 25 000 à 50 000 | De 50 000 à 100 000 |
|---|---|---|---|---|---|
| CPU | 2 CPU | 2 CPU | 4 CPU | 8 CPU | 8 CPU |
| RAM | 4 Go | 4 Go | 8 Go | 16 Go | 32 Go |
| Espace disque | 50 Go | 50 Go | 50 Go | 100 Go | 100 Go |
La fonctionnalité SQL Server AlwaysOn est une combinaison de clustering de basculement et de mise en miroir de base de données associée à l'envoi de journaux pour une haute disponibilité plus rapide. AlwaysOn autorise plusieurs copies en lecture de votre base de données et une seule copie en lecture-écriture pour les opérations. Si votre environnement de déploiement dispose d'une bande passante suffisante pour prendre en charge le trafic généré, la base de données de Workspace ONE Access prend en charge AlwaysOn.
Exigences de configuration réseau
| Composant | Configuration minimale requise |
|---|---|
| Enregistrement DNS et adresse IP | Adresse IP et enregistrement DNS. |
| Port du pare-feu | Assurez-vous que le port 443 du pare-feu entrant est ouvert pour les utilisateurs extérieurs au réseau, pour l'instance de Workspace ONE Access ou l'équilibreur de charge. |
| Proxy inverse | Déployez un proxy inverse, tel que F5 Access Policy Manager, dans la zone DMZ pour permettre aux utilisateurs d'accéder en toute sécurité au portail de l'utilisateur de Workspace ONE Access à distance. VMware Unified Access Gateway 2.8 et versions ultérieures prennent en charge la fonctionnalité de proxy inverse pour autoriser les utilisateurs à accéder en toute sécurité au catalogue unifié de Workspace ONE Access à distance. Vous pouvez déployer Unified Access Gateway dans la zone DMZ derrière les équilibrages de charge se trouvant devant le dispositif Workspace ONE Access. |
Exigences du port
Les ports utilisés dans la configuration du serveur sont décrits dans le tableau suivant. Pour obtenir les informations les plus à jour, reportez-vous à la page https://ports.vmware.com/home/Workspace-ONE-Access.
- Pour synchroniser les utilisateurs et les groupes à partir d'Active Directory, Workspace ONE Access doit se connecter à Active Directory.
- Pour se synchroniser sur ThinApp, Workspace ONE Access doit joindre le domaine Active Directory et se connecter au partage de référentiel ThinApp.
| Port | Protocole | Source | Cible | Description |
|---|---|---|---|---|
| 443 | HTTPS | Équilibrage de charge | Machine Workspace ONE Access |
|
| 443 | HTTPS | Machine Workspace ONE Access | Équilibrage de charge | Nécessaire à la validation du nom de domaine complet de l'équilibrage de charge, lorsqu'il est défini. |
| 443, 8443 | HTTPS/HTTP | Machine Workspace ONE Access | Machine Workspace ONE Access | Pour toutes les instances de Workspace ONE Access d'un cluster et entre les clusters de différents centres de données. |
| 443 | HTTPS | Navigateurs | Machine Workspace ONE Access | |
| 443, 80 | HTTPS, HTTP | Machine Workspace ONE Access | vapp-updates.vmware.com | Accès au serveur de mise à niveau |
| 443 | HTTPS | Machine Workspace ONE Access | discovery.awmdm.com | Accès pour la détection automatique de l'application Workspace ONE Intelligent Hub |
| 443 | HTTPS | Machine Workspace ONE Access | catalog.vmwareidentity.com | Accès au catalogue de Cloud |
| 443 | HTTPS | Machine Workspace ONE Access | signing.awmdm.com | Obligatoire pour lancer la console des services du Hub et pour provisionner des certificats pour le service de notifications Workspace ONE. |
| 7443 | TCP | Navigateurs | Machine Workspace ONE Access | Authentification par certificat SSL |
| 8443 | HTTPS | Navigateurs | Machine Workspace ONE Access | Port administrateur |
| 25 | SMTP | Machine Workspace ONE Access | SMTP | Port pour le relais du courrier sortant. |
| 389 636 3268 3269 |
LDAP LDAPS MSFT-GC MSFT-GC-SSL |
Machine Workspace ONE Access | Active Directory | Les valeurs par défaut sont affichées. Ces ports sont configurables. |
| 445 | TCP | Machine Workspace ONE Access | Référentiel ThinApp VMware | Accès au référentiel ThinApp. |
| 5555 | UDP | Machine Workspace ONE Access | serveur RSA SecurID | La valeur par défaut est affichée. Ce port est configurable. |
| 53 | TCP/UDP | Machine Workspace ONE Access | Serveur DNS | Chaque dispositif virtuel doit avoir accès au serveur DNS sur le port 53 et autoriser le trafic SSH entrant sur le port 22. |
| 88, 464, 135, 445 | TCP/UDP | Machine Workspace ONE Access | Contrôleur de domaine | |
| 9300 |
TCP | Machine Workspace ONE Access | Machine Workspace ONE Access |
Besoins d'audit. |
| 54328 |
UDP | |||
| 5701 | TCP | Machine Workspace ONE Access | Machine Workspace ONE Access | Cache Hazelcast. |
| 40002 40003 |
TCP | Machine Workspace ONE Access | Machine Workspace ONE Access | Ehcache. |
| 1433 |
TCP | Machine Workspace ONE Access |
Base de données |
Le port Microsoft SQL par défaut est 1433. |
| 443 |
Machine Workspace ONE Access |
Horizon Connection Server |
Accès au Serveur de connexion Horizon. |
|
| 80, 443 | TCP | Machine Workspace ONE Access | Serveur Integration Broker | Connexion à Integration Broker. L'option de port varie selon qu'un certificat est ou non installé sur le serveur Integration Broker. |
| 443 | HTTPS |
Workspace ONE Access |
Workspace ONE UEM REST API | Pour la vérification de la conformité de périphérique et pour la méthode d'authentification par mot de passe AirWatch Cloud Connector, si celle-ci est utilisée. |
| 88 | UDP | Unified Access Gateway |
Machine Workspace ONE Access | Port UDP à ouvrir pour Mobile SSO. |
| 5262 | TCP | Périphérique mobile Android | Service proxy HTTPS de Workspace ONE UEM | Le client VMware Tunnel achemine le trafic vers le proxy HTTPS pour les périphériques Android. |
| 88 | TCP/UDP | Périphérique mobile iOS | Machine Workspace ONE Access | Port utilisé pour le trafic Kerberos à partir de périphériques iOS pour le service de cloud hébergé KDC. |
| 443 | HTTPS/TCP | |||
| 514 | UDP | Machine Workspace ONE Access | Serveur Syslog | UDP Pour le serveur Syslog externe, si configuré. |
Synchronisation de l'heure
La configuration de la synchronisation de l'heure sur toutes les instances de service Workspace ONE Access et de Connector est requise pour qu'un déploiement de Workspace ONE Access fonctionne correctement.
Pour plus d'informations sur la configuration de la synchronisation de l'heure pour le service Workspace ONE Access, consultez la section Configuration de la synchronisation de l'heure pour le service Workspace ONE Access.
Pour plus d'informations sur la configuration de la synchronisation de l'heure de Workspace ONE Access Connector, consultez la section Installation et configuration de Workspace ONE Access Connector.
Annuaires pris en charge
Intégrez votre annuaire d'entreprise à Workspace ONE Access pour synchroniser les utilisateurs et les groupes entre l'annuaire d'entreprise et le service.
- L'environnement Active Directory peut être composé d'un seul domaine Active Directory, de plusieurs domaines dans une forêt Active Directory unique ou de plusieurs domaines dans plusieurs forêts Active Directory.
Le service Workspace ONE Access prend en charge Active Directory sur Windows 2022, 2019, 2016, 2012 R2 avec un niveau fonctionnel Domaine et un niveau fonctionnel Forêt de Windows 2003 et versions ultérieures. Un niveau fonctionnel plus élevé peut être nécessaire pour certaines fonctionnalités. Par exemple, pour permettre aux utilisateurs de modifier des mots de passe Active Directory à partir de Workspace ONE, le niveau fonctionnel de domaine doit être Windows 2008 ou version ultérieure.
Navigateurs Web pris en charge pour accéder à la console Workspace ONE Access
La console Workspace ONE Access est une application Web qui vous permet de gérer le service Workspace ONE Access. Vous pouvez accéder à la console Workspace ONE Access depuis les dernières versions de Mozilla Firefox, Google Chrome, Safari et Microsoft Edge.
Navigateurs pris en charge pour accéder au portail Workspace ONE Intelligent Hub
Les utilisateurs finaux peuvent accéder au portail du Hub à partir des navigateurs suivants.
- Mozilla Firefox (dernière version)
- Google Chrome (dernière version)
- Safari (dernière version)
- Navigateur Microsoft Edge
- Navigateur natif et Google Chrome sur les périphériques Android
- Safari sur les périphériques iOS
