Active Directory ドメインの設定

Horizon Cloud Service - next-gen で、Horizon Universal Console の次の手順を実行して、最初の Active Directory ドメインをサービスに登録するか、追加の Active Directory ドメインを登録します。

注：このドキュメントページは、環境で Microsoft Azure に Horizon Edge を展開する場合に適用されます。これは、Horizon 8 のデプロイにも Horizon Plus サブスクリプションにも適用されません。

Horizon Cloud Service ID とアクセス管理で説明されているように、サービスは仮想デスクトップおよびリモートアプリケーションのマシン ID に登録された Active Directory を使用します。

前提条件

Active Directory の要件

コンソールの [ドメイン登録] ウィザードでは、特定の情報を入力する必要があります。コンソールでこれらの手順を実行する前に、ユーザーまたは IT チームが Microsoft Azure Edge をデプロイするための要件チェックリストの Active Directory の要件セクションで説明されている Active Directory に関連する要件を満たしていることを確認します。

LDAPS 固有の重要なポイントと要件

デプロイで LDAPS を使用する場合は、次の重要なポイントと要件に注意してください。

PEM でエンコードされたルート CA 証明書と中間 CA 証明書のアップロードの準備ができている必要があります。
自己署名証明書はサポートされていません。
このサービスでは、LDAPS を使用するように構成されたドメインの SRV レコードが DNS に含まれている必要があります。ドメインに LDAPS を使用することを選択すると、SRV レコードの使用が暗黙的に指定されます。
チャネルのバインドを強制するように Active Directory 環境を構成することが強く推奨されます。チャネルバインドの強制は、LDAPS を正しく保護するために（特に中間者攻撃 (MITM) を回避するために）不可欠です。
「Microsoft Azure での Horizon Cloud 環境のポートとプロトコルの要件」で説明するように、ファイアウォール構成では、次のポートとプロトコルを使用して、Horizon Edge Gateway からドメインコントローラへの送信接続を許可する必要があります。
- ポート 88/TCP：Kerberos 認証
- ポート 636/TCP、3269/TCP：LDAPS 通信
ルート証明書を除く、信頼チェーン内のすべての証明書に対して HTTP の失効エンドポイントが定義されている必要があり、そのエンドポイントは HTTP を介してアクセスできる必要があります。この要件には次のポイントが含まれています。
- 失効エンドポイントには LDAP を使用できません。
- サービスは、証明書に定義されている OCSP または CRL HTTP URL を使用して失効チェックを実行します。
- 証明書で HTTP プロトコルの OCSP または CRL エンドポイントが定義されていない場合、サービスは失効チェックを実行できません。その場合、LDAPS 接続が失敗します。
- エンドポイントには可視化の失効を利用できる必要があります。ファイアウォールは、HTTP を介して失効エンドポイントに向かう送信トラフィックをブロックすることはできません。

手順

左側のペインで [統合] をクリックし、[ID とアクセス] タイルで [管理] をクリックします。
[ドメイン] タブで、[追加] をクリックして、コンソールの [ドメイン登録] ウィザードを起動します。

ウィザードの最初の手順で、指示された情報を入力します。


フィールド	説明
[名前]	Active Directory ドメインの名前。
[説明]	（オプション）説明。
[DNS ドメイン名]	この Active Directory ドメイン（our-ad.example.com など）の完全修飾名。
[デフォルト OU]	適切なデフォルト OU を入力します。この OU は、仮想デスクトップおよびリモートアプリケーション用に作成されたマシン ID を追加するときに、サービスでデフォルトとして使用する Active Directory 組織単位 (OU) です。 OU=MyOrg,DC=our-ad,DC=example,DC=com などの OU の完全な識別名 (DN) を入力します。注：デフォルトの CN=Computers を使用する場合は、フィールドに入力する必要があります。ユーザーインターフェイスのフィールドにこのデフォルト値が表示される場合でも、このフィールドに直接入力しない限り、ウィザードで [次へ] ボタンを使用できるようにはなりません。
[ドメインバインドアカウント]	Microsoft Azure Edge をデプロイするためのチェックリスト要件のActive Directory の要件セクションの説明に従って、ユーザーまたはユーザーの IT チームがこの目的のために構成した 2 つのサービスアカウントのユーザー名とパスワードを入力します。これらのサービスアカウントは、Active Directory ドメインでルックアップを実行するために使用されます。最初に入力したアカウントは、サービスがこの目的で使用するプライマリアカウントです。補助アカウントは、プライマリアカウントのバックアップです。ここに入力したアカウントが、要件チェックリストに記載されている要件を満たしていることを確認します。
[ドメイン参加アカウント]	Microsoft Azure Edge をデプロイするためのチェックリスト要件のActive Directory の要件セクションの説明に従って、ユーザーまたはユーザーの IT チームがこの目的のために構成した 2 つのサービスアカウントのユーザー名とパスワードを入力します。これらのサービスアカウントは、マシン ID を Active Directory ドメインに参加させ、Sysprep 操作を実行するために使用されます。最初に入力したアカウントは、サービスがこの目的で使用するプライマリアカウントです。補助アカウントは、プライマリアカウントのバックアップです。ここに入力したアカウントが、要件チェックリストに記載されている要件を満たしていることを確認します。
[プロトコル]	Active Directory を Horizon Edge Gateway に接続するために使用するプロトコル（[LDAP] または [LDAPS]）を選択します。 [LDAPS] を選択した場合は、[参照] 機能を使用して PEM でエンコードされたルート CA 証明書と中間 CA 証明書をアップロードします。これらの証明書は、このタスクの前提条件で参照されます。

必要なすべての情報を入力すると、 [次へ] ボタンが使用可能になります。

[次へ] をクリックして、次のウィザード手順に進みます。
この時点で、ドメイン情報のシステムへの保存を完了するための [保存] アクションが、ウィザードで使用できるようになります。
- SSO を使用する予定がない場合は、[保存] をクリックして、この時点で UI ウィザードを完了できます。
- True SSO 機能を使用する予定がある場合は、このページの次の手順に進みます。True SSO 機能を使用するには、Microsoft Azure で Horizon Edge により SSO を使用するためにサポートされる認証局タイプに説明されているように、Microsoft Enterprise Certificate Authority が必要です。
- VMware CA または Microsoft Enterprise Certificate Authority 以外の認証局に依存する SSO を使用する場合は、[保存] をクリックして、この時点で UI ウィザードを完了できます。後で、Horizon Cloud Service - next-gen への VMware CA 向けの SSO 構成の追加の手順を使用して SSO 構成を完了できます。
（オプション） エンドユーザーの仮想デスクトップとリモートアプリケーションで True SSO を使用する場合は、ウィザードの [ドメイン登録サービスアカウント] セクションで、[登録サービスアカウントを使用] トグルをオンにします。

このトグルをオンにすると、True SSO 機能で必要なドメイン登録アカウントのアカウント認証情報を入力するためのフィールドがユーザーインターフェイスに表示されます。情報を入力します。

注目: 代わりに、VMware CA に依存する SSO を使用する場合は、ドメイン登録アカウント情報を入力するこの手順をスキップできます。

ドメイン登録アカウントは、True SSO 機能が Microsoft AD CS（Active Directory 証明書サービス）から短期証明書を取得するために使用する登録サービスアカウントです。True SSO は認証に証明書を使用し、ユーザーに Active Directory 認証情報の入力を求めるプロンプトを表示しないようにします。Horizon Universal Console では、ドメイン登録アカウント、登録サービスアカウント、およびドメイン登録サービスアカウントという用語が同じ意味で使用されている場合があります。

フィールドの入力が完了すると、ウィザードでドメイン情報のシステムへの保存を完了するための [保存] アクションが使用できるようになります。

[保存] をクリックして、ウィザードで入力したすべての情報の保存を完了します。

結果

Horizon Edge を使用した Active Directory の構成が完了しました。ただし、デプロイの構成を続行するときに、Active Directory 接続の問題を検出した場合は、 Horizon Edge の診断 - Microsoft Azure デプロイの Active Directory 接続を参照してください。

次のタスク

前述の手順が完了すると、サービスには、Horizon Cloud on Microsoft Azure 環境に必要な Active Directory ドメイン情報が含まれます。

エンドユーザーがデスクトップおよびアプリケーションにアクセスするときにシングルサインオン (SSO) 機能を追加する方法については、Microsoft Azure で Horizon Edge により SSO を使用するためにサポートされる認証局タイプを参照してください。