このチェックリストの目的は、Horizon 制御プレーン を使用してネイティブの Microsoft Azure デプロイを実行するために必要な要素をユーザーに通知することです。

重要: Horizon Cloud on Microsoft Azure デプロイとは、ネイティブの Microsoft Azure インフラストラクチャを指します。

チェックリスト対象者

このチェックリストは、テナント環境に Horizon Cloud on Microsoft Azure をデプロイしたことがない Horizon Cloud 顧客アカウントを対象としています。クリーンスレート環境またはグリーンフィールド環境と呼ばれるこのようなテナントについて聞いたことがあるかもしれません。

Horizon Cloud をデプロイする前に、以降のいくつかの項目を実行する必要があります。一部の項目は、デプロイが完了して実行状態になるまで延期できます。

Microsoft Azure サブスクリプションの要件

構成の制限については、「Horizon Cloud Service - next-gen デプロイのサイジング」を参照してください。これには、VMware 構成の上限ツールの使用に関する情報が含まれています。[構成の上限] ページから、[制限の表示][VMware Horizon Cloud Service - next-gen]、最新バージョン、および表示するカテゴリを選択します。

サポートされている Microsoft Azure 環境 (Azure Commercial) で有効な Microsoft Azure サブスクリプション。Horizon Edge Gateway および Unified Access Gateway インスタンスを含む Horizon Edge アプライアンスを独自の専用プロバイダ(Microsoft Azure サブスクリプション)にデプロイする場合は、プールをデプロイするために別の有効な Microsoft Azure サブスクリプションを取得します。
注:

Horizon Cloud は、ほとんどの Microsoft Azure リージョンをサポートします。
Microsoft Azure ポータルを使用して、Horizon Cloud デプロイの準備手順を実行するための各 Microsoft Azure サブスクリプションで有効な Microsoft Azure 管理者権限。
各 Microsoft Azure サブスクリプションに 1 つ以上のサービス プリンシパルを作成し、サブスクリプション ID、ディレクトリ ID、アプリケーション ID を確認して、サブスクリプションの各サービス プリンシパルに適切なロールを割り当てます。
注: 複数のサービス プリンシパルを作成すると、サブスクリプション ID とディレクトリ ID が共有されますが、各サービス プリンシパルには独自のアプリケーション ID があります。
デプロイする Microsoft Azure Edge 形式のタイプを決定します。次のオプションを使用できます。
  • Edge Gateway (VM) = Edge Gateway 仮想マシン

    Edge Gateway (VM) は、高可用性を使用しない小規模なデプロイ向けです。

  • Edge Gateway (AKS) = Edge Gateway Azure Kubernetes サービス

    Edge Gateway (AKS) は高可用性を提供します。
Edge Gateway (AKS) をデプロイするには、Microsoft Azure ユーザー管理 ID を作成します。

AKS クラスタを使用する Horizon Edge には、管理 VNet のリソース グループ スコープでのネットワーク コントリビュータ ロール、および Microsoft Azure サブスクリプション スコープでの管理対象 ID オペレータ ロールを持つユーザー管理 ID が必要です。ユーザー割り当ての管理対象 ID の管理に関する Microsoft のドキュメントを参照してください。

管理サブネットにルート テーブルがあり、そのルート テーブルのリソース グループが VNet のリソース グループと異なる場合は、ネットワーク コントリビュータ ロールもルート テーブルのリソース グループに割り当てる必要があります。
Microsoft Azure サブスクリプションに必要なリソース プロバイダを登録します。必要なリソース プロバイダが Microsoft Azure サブスクリプションに登録されていることの確認を参照してください。
サブスクリプション内の Azure Compute Gallery に読み取り権限を付与するカスタム ロールを作成し、そのカスタム ロールを特定の Horizon Edge 用に構成されたすべてのサービス プリンシパルに割り当てます。
サブスクリプションでは、タグのないリソース グループの作成を許可する必要があります。

Microsoft Azure のキャパシティの要件

次の表で Microsoft Azure のキャパシティを参照している場合、手動インストールは必要ありません。指定されたキャパシティがサブスクリプションで使用可能である限り、デプロイヤは説明された仮想マシンを自動的にインスタンス化します。

コアの Horizon Edge リソースをそのサブスクリプションにデプロイするための Microsoft Azure キャパシティ。

キャパシティ要件は、デプロイする Microsoft Azure Edge の形式(Edge Gateway (AKS) または Edge Gateway (VM))によって異なります。

  • [Edge Gateway (AKS)]:アップグレード中の 4 ノード AKS クラスタと追加ノードに十分な割り当て。
    • Edge Gateway (AKS) デプロイでは、Azure Kubernetes サービス (AKS) クラスタを使用します。これには、キャパシティ用にサポートされている仮想マシン サイズの 1 つを使用する 4 つのノードが必要です。

      Edge Gateway (AKS) デプロイでサポートされている仮想マシン SKU サイズのリストを優先順位の降順で次に示します。Microsoft Azure サブスクリプションに、次の仮想マシン SKU サイズの少なくとも 1 つに対するキャパシティがある場合、Edge のデプロイは受け入れられます。それ以外の場合、Edge のデプロイは拒否されます。

      • Standard_D2s_v3 - vCPU x 2、8 GB メモリ
      • Standard_D2ds_v5 - vCPU x 2、8 GB メモリ
      • Standard_D2a_v4 - vCPU x 2、8 GB メモリ

      AKS クラスタの通常の動作中は、4 つの仮想マシン ノードが必要です。追加のノードが 1 つ必要で、アップグレード中に使用されます。

  • [Edge Gateway (VM)]:単一の仮想マシンに十分な割り当て。

    Edge Gateway (VM) デプロイでサポートされている仮想マシン SKU サイズのリストを優先順位の降順で次に示します。Microsoft Azure サブスクリプションに、次の仮想マシン SKU サイズの少なくとも 1 つに対するキャパシティがある場合、Edge のデプロイは受け入れられます。それ以外の場合、Edge のデプロイは拒否されます。

    • Standard_D4s_v3 - vCPU x 4、16 GB メモリ
    • Standard_D4s_v4 - vCPU x 4、16 GB メモリ
    • Standard_D4s_v5 - vCPU x 4、16 GB メモリ
  • コマンドを実行して、Microsoft Azure 仮想マシン モデルの可用性を確認し、リージョン CPU 出力を確認します。Microsoft Azure 仮想マシン モデルの可用性の確認を参照してください。
  • Unified Access Gateway インスタンス – 次のサポートされるサイズの 2 倍以上。デフォルトおよび推奨サイズは Standard_F8s_v2 です。
    • Standard_A4_v2
    • Standard_D8s_v4
    • Standard_D16s_v4
    • Standard_D8s_v5
    • Standard_D16s_v5
    • Standard_F8s_v2
    • Standard_F16s_v2
    注: A4_v2 仮想マシン モデルが十分に機能するのは、 Horizon Edge でのアクティブなセッション数が 1,000 を超えないことが分かっている PoC(事前検証)環境、パイロット環境、または小規模な環境のみとなります。
Horizon Edge インスタンスを使用する準備ができたら、Microsoft Azure クラウドのキャパシティは、インポートされた仮想マシン、イメージ、プール仮想マシン、およびその Horizon Edge インスタンスで作成する App Volumes アプリキャプチャ仮想マシンにも対応する必要があります。Image Management System Requirementsセクションを参照してください。

ネットワーク要件

次のネットワーク要件には、Horizon Edge を正常にデプロイして運用するために必要な詳細が含まれます。次の 2 つの表は似ていますが、異なります。デプロイを計画している Microsoft Azure Edge 形式のタイプ(Edge Gateway (VM) または Edge Gateway (AKS))に適用される表を使用してください。

Edge Gateway (VM)
Edge Gateway (VM) のデプロイには、次の表を使用します。
表 1. Edge Gateway (VM) のネットワーク要件
必要なサブネットをカバーする適切なアドレス空間を使用して、ターゲットの Microsoft Azure リージョンに Microsoft Azure 仮想ネットワーク (VNet) が作成済みであること。Microsoft Azure リージョンのネットワーク設定の構成を参照してください。

次のサブネット要件が最小です。大規模な環境では、より大きなサブネットが必要になる場合があります。

  • 管理サブネット - /26 以上
  • デスクトップ(テナント)サブネット - プライマリ - /27 以上。ただしデスクトップと RDS サーバの数に基づいて適切なサイズを設定します。必要に応じてサブネットを追加できます。
  • DMZ サブネット - Unified Access Gateway インスタンスのクラスタの /27 以上(内部 Unified Access Gateway アクセス タイプには不要)。
前提条件として、VNet でサブネットを手動で作成する必要があります。Microsoft Azure リージョンのネットワーク設定の構成を参照してください。ベスト プラクティスとして、他のリソースをサブネットに接続しないでください。

専用プロバイダを使用して Horizon Gateway アプライアンス(Horizon Edge Gateway および Unified Access Gateway)をデプロイする場合は、デスクトップのデプロイ元となるプロバイダにバックエンド サブネットを作成する必要があります。

内部マシン名と外部名の両方を解決できる有効な DNS サーバを参照するように VNet (仮想ネットワーク) DNS サーバを構成していること。Horizon Edge Gateway および Unified Access Gateway のデプロイ後に必要な DNS レコードを構成するを参照してください。

内部エンドポイントの場合、Active Directory サーバは 1 つの例です。

外部エンドポイントの場合、ゲートウェイのデプロイに対して使用している VNet 上のアウトバウンド インターネット アクセスでは、特定のポートとプロトコルを使用して特定の DNS 名を解決し、その名前にアクセスする必要があります。これは、デプロイおよび継続的な運用に必要です。
Horizon Edge デプロイに対して使用している VNet 上のアウトバウンド インターネット アクセスでは、特定のポートとプロトコルを使用して特定の DNS 名を解決し到達する必要があります。これは、デプロイおよび継続的な運用に必要です。DNS 名とポートのリストについては、Microsoft Azure 環境に Horizon Edge Gateway をデプロイするために適切なターゲット URL をアクセス可能にするを参照してください。
任意。プロキシ サーバ情報(VNet での外部へのインターネット アクセスに必要な場合)。Horizon Cloud 環境のデプロイおよび継続的な運用で使用されます。
任意。VNet とオンプレミスの企業のネットワーク間のネットワークが必要な場合は、Microsoft Azure VPN/Express Route を構成します。
Edge Gateway (AKS)
Edge Gateway (AKS) のデプロイには、次の表を使用します。これらの要件には、AKS クラスタを使用した Horizon Edge Gateway の構成のサポートが含まれています。AKS クラスタを使用して Horizon Edge Gateway を構成すると、より簡単に拡張可能なソリューションが提供されます。
表 2. Edge Gateway (AKS) のネットワーク要件
必要なサブネットをカバーする適切なアドレス空間を使用して、ターゲットの Microsoft Azure リージョンに Microsoft Azure 仮想ネットワーク (VNet) が作成済みであること。Microsoft Azure リージョンのネットワーク設定の構成を参照してください。

次のサブネット要件が最小です。大規模な環境では、より大きなサブネットが必要になる場合があります。

  • 管理サブネット - /26 以上

    Edge Gateway (AKS) をデプロイする場合は、AKS クラスタを使用する Horizon Edge は送信接続用の NAT ゲートウェイを必要とするため、管理サブネットの NAT ゲートウェイを構成します。

  • デスクトップ(テナント)サブネット - プライマリ - /27 以上。ただしデスクトップと RDS サーバの数に基づいて適切なサイズを設定します。必要に応じてサブネットを追加できます。
  • DMZ サブネット - Unified Access Gateway インスタンスのクラスタの /27 以上(内部 Unified Access Gateway アクセス タイプには不要)。
前提条件として、VNet でサブネットを手動で作成する必要があります。Microsoft Azure リージョンのネットワーク設定の構成を参照してください。ベスト プラクティスとして、他のリソースをサブネットに接続しないでください。

専用プロバイダを使用して Horizon Gateway アプライアンス(Horizon Edge Gateway および Unified Access Gateway)をデプロイする場合は、デスクトップのデプロイ元となるプロバイダにバックエンド サブネットを作成する必要があります。

Edge Gateway (AKS) をデプロイし、Edge の作成時にクラスタ送信タイプの値として NAT ゲートウェイを選択する場合は、管理サブネットで NAT ゲートウェイを構成して、Horizon Edge Gateway の送信接続を有効にします。Edge の作成時にクラスタ送信タイプの値としてユーザー定義ルートを選択した場合は、デフォルト ルート 0.0.0.0/0 がタイプ [VirtualAppliance] または [VirtualNetworkGateway] のネクスト ホップを指しているルート テーブルを管理サブネット上に構成します。
デプロイ時に Horizon Edge Gateway を構成するために必要な、次の CIDR IP アドレス範囲を収集します。
注: これらの範囲が環境内で使用されている他の範囲と競合しないようにしてください。
  • サービス CIDR - /27 以上
  • ポッド CIDR - /21 以上

Edge Gateway (AKS) をデプロイする場合、AKS クラスタを正常に展開するには、次の Microsoft Azure 要件に準拠する必要があります。Horizon Universal Console を使用して Horizon Edge をデプロイするときは、管理サブネットの VNet のサービス CIDR、ポッド CIDR、およびアドレス空間が次の IP アドレス範囲と競合していないことを確認します。

  • 169.254.0.0/16
  • 172.30.0.0/16
  • 172.31.0.0/16
  • 192.0.2.0/24
内部マシン名と外部名の両方を解決できる有効な DNS サーバを参照するように VNet (仮想ネットワーク) DNS サーバを構成していること。Horizon Edge Gateway および Unified Access Gateway のデプロイ後に必要な DNS レコードを構成するを参照してください。

内部エンドポイントの場合、Active Directory サーバは 1 つの例です。

外部エンドポイントの場合、ゲートウェイのデプロイに対して使用している VNet 上のアウトバウンド インターネット アクセスでは、特定のポートとプロトコルを使用して特定の DNS 名を解決し、その名前にアクセスする必要があります。これは、デプロイおよび継続的な運用に必要です。
Horizon Edge デプロイに対して使用している VNet 上のアウトバウンド インターネット アクセスでは、特定のポートとプロトコルを使用して特定の DNS 名を解決し到達する必要があります。これは、デプロイおよび継続的な運用に必要です。DNS 名とポートのリストについては、Microsoft Azure 環境に Horizon Edge Gateway をデプロイするために適切なターゲット URL をアクセス可能にするを参照してください。
任意。プロキシ サーバ情報(VNet での外部へのインターネット アクセスに必要な場合)。Horizon Cloud 環境のデプロイおよび継続的な運用で使用されます。
任意。VNet とオンプレミスの企業のネットワーク間のネットワークが必要な場合は、Microsoft Azure VPN/Express Route を構成します。
Edge Gateway (AKS) をデプロイする場合、AKS クラスタを使用する Horizon Edge に関して、Horizon Edge のデプロイに使用している VNet にカスタム DNS サーバがある場合は、Microsoft Azure DNS IP アドレス 168.63.129.16 を、外部名解決用の DNS フォワーダとして追加できます。

ポートとプロトコルの要件

デプロイと Horizon Cloud 環境の継続的な運用には特定のポートとプロトコルが必要です。Microsoft Azure での Horizon Cloud 環境のポートとプロトコルの要件を参照してください。

Unified Access Gateway の要件

Unified Access Gateway 仮想マシンのクラスタがプールに関連付けられているため、クライアントはそのプール内の仮想マシンへの信頼された HTML Access 接続を確立できます。

Horizon Universal Console を使用して Horizon CloudUnified Access Gateway を構成します。以下の項目は、そのタイプの構成に必要です。

*.horizon.vmware.com への送信インターネット アクセスはすべての構成タイプで必要です。

[企業のネットワーク経由の内部アクセスの許可][Unified Access Gateway アクセス タイプ] である場合、ユーザー定義のルーティングまたは NAT ゲートウェイのいずれかを管理サブネットに適用して、送信トラフィックを許可できます。

[Unified Access Gateway アクセス タイプ] が DMZ ネットワークを使用して外部に構成されている場合は、DMZ ネットワーク上で *.horizon.vmware.com への外部アクセスを構成する必要があります。
Unified Access Gateway の構成には FQDN が必要です。
FQDN に一致する PEM 形式の Unified Access Gateway の証明書。
注: この目的で提供する 1 つまたは複数の証明書が、特定の DNS 名を参照する CRL(証明書失効リスト)または OCSP(オンライン証明書ステータス プロトコル)の設定を使用する場合、次に、それらの DNS 名への VNet 上のアウトバウンド インターネット アクセスが解決可能で到達可能であることを確認する必要があります。 Unified Access Gateway 構成で提供された証明書を構成するときに、 Unified Access Gateway ソフトウェアはこれらの DNS 名にアクセスして、証明書の失効ステータスを確認します。これらの DNS 名にアクセスできない場合、デプロイは失敗します。これらの名前は、証明書の取得に使用した CA に大きく依存し、VMware のコントロールには含まれません。

ユーザー ID とマシン ID について

Horizon Cloud Service - next-gen は、ID の処理方法が他の環境とは異なります。Horizon Cloud Service - next-gen では、サービスはユーザー ID とマシン ID を区別し、クライアントとリモート デスクトップまたはアプリケーション間の安全な接続を確立するときに両方のタイプの ID に依存します。

注: 第 1 世代の Horizon Cloud 環境や Horizon 8 オンプレミス環境など、単一の ID プロバイダを使用してユーザーとマシンの両方の ID を認証する環境に慣れている場合は、ユーザー ID とマシン ID の区別を行うのは初めてかもしれません。

Horizon Cloud Service - next-gen では、ユーザー ID を認証するための ID プロバイダとマシン ID を認証するための ID プロバイダで構成される ID 構成を設定する必要があります。

ユーザー ID
Horizon Cloud Service - next-gen では、ユーザー ID プロバイダを登録する必要があります。サービスは、この ID プロバイダを使用して、リモート デスクトップおよびアプリケーションにアクセスしようとするクライアント ユーザーを認証します。
マシン ID
Horizon Cloud Service - next-gen では、マシン ID プロバイダも登録する必要があります。サービスは、この ID プロバイダを使用して、リモート デスクトップとアプリケーションを提供する仮想マシンのマシン ID を確立します。

マシン ID プロバイダを介して、サービスはリモート デスクトップとリモート アプリケーションの仮想マシン ソースを、クライアント ユーザーがアクセスする資格が付与されている信頼できるネットワーク ドメインに参加させます。

サポートされている ID 構成

Horizon Cloud Service - next-gen では、ユーザー ID プロバイダとマシン ID プロバイダで構成される ID 構成を登録する必要があります。機能は、構成に含まれる特定の ID プロバイダによって異なる場合があります。

Horizon Cloud Service - next-gen は、次の ID 構成をサポートしています。

表 3. Horizon Cloud Service - next-gen でサポートされる ID 構成
ID 構成 ユーザー ID プロバイダ マシン ID プロバイダ 機能に関する注意事項
A Microsoft Entra ID Active Directory
  • リモート デスクトップおよびアプリケーションへの SSO をサポート
B Microsoft Entra ID Microsoft Entra ID
  • リモート デスクトップおよびアプリケーションへのシングル サインオン (SSO) をサポートしない
C Workspace ONE Access Active Directory
  • リモート デスクトップおよびアプリケーションへの SSO をサポート
  • Workspace ONE との統合をサポート

このページの次のセクションでは、サポートされている各ユーザー ID プロバイダとマシン ID プロバイダの詳細な要件について説明します。

ユーザー ID の要件

このセクションでは、ID 構成で使用するユーザー ID プロバイダの要件について説明します。Horizon Cloud Service - next-gen は、ユーザー ID のプロバイダとして Microsoft Entra ID と Workspace ONE Access をサポートします。

このセクションで説明する要件に加えて、機能の考慮事項と各ユーザー ID プロバイダで使用できるマシン ID プロバイダについては、「サポートされている ID 構成」を参照してください。Horizon Cloud Service - next-gen が ID を管理する方法の概要については、「ユーザー ID とマシン ID について」を参照してください。

Microsoft Entra ID
Microsoft Entra ID がユーザー ID プロバイダの場合、グローバル管理者権限を持つユーザーは次の操作を行う必要があります。
  • 要求された権限を承認する。
  • 組織全体の同意書を提供する。
Workspace ONE Access
Workspace ONE Access Workspace ONE Access がユーザー ID プロバイダの場合、管理者権限を持つユーザーは次の操作を行う必要があります。
  • 要求された権限を承認する。
  • 組織全体の同意書を提供する。

マシン ID の要件

このセクションでは、ID 構成で使用するマシン ID プロバイダの要件について説明します。Horizon Cloud Service - next-gen は、マシン ID のプロバイダとして Microsoft Entra ID と Active Directory をサポートします。

このセクションで説明する要件に加えて、機能の考慮事項と各マシン ID プロバイダで使用できるユーザー ID プロバイダについては、「サポートされている ID 構成」を参照してください。Horizon Cloud Service - next-gen が ID を管理する方法の概要については、「ユーザー ID とマシン ID について」を参照してください。

Microsoft Entra ID

プールまたは仮想マシンの削除を可能にする場合、サービス プリンシパルには Microsoft Entra ID からデバイス エントリを削除する権限が必要です。

権限は次のとおりです。

  • Scope: https://graph.microsoft.com/
  • Permission : Device.ReadWrite.All
  • Read and write devices
  • Admin Consent : Yes

権限を付与するには、次の場所に移動します。

[サブスクリプション -> Azure Active Directory -> アプリケーションの登録 -> 権限を付与する必要があるアプリケーションを選択 -> API 権限 -> Microsoft GRAPH -> Device.ReadWriteAll を選択]

Microsoft Entra ID で RBAC を構成します。

この構成により、[仮想マシン管理者ログイン] または [仮想マシン ユーザー ログイン] ロールを持つユーザーまたはユーザー グループのみが資格にログインできるようになります。
Active Directory
Horizon Edge Gateway インスタンスとデスクトップ サブネットを認識できる Active Directory サーバ。次に例を示します。
  • VPN/ExpressRoute を介して接続されたオンプレミス Active Directory サーバ
  • Microsoft Azure にある Active Directory サーバ
LDAPS を使用して Active Directory に接続する場合は、Active Directory ドメインの PEM でエンコードされたルート CA 証明書と中間 CA 証明書を収集します。

Horizon Universal Console を使用して Active Directory ドメインを設定すると、その時点で、PEM エンコードされたルート CA 証明書と中間 CA 証明書をアップロードするように求められます。
サポートされる Microsoft Windows Active Directory Domain Services (AD DS) のドメイン機能レベル。
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

サポートされる Microsoft Windows Active Directory Domain Services (AD DS) の OS バージョン。

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R
ドメイン バインド アカウント
sAMAccountName 属性を持つ Active Directory ドメイン バインド アカウント(読み取りアクセス権限を持つ標準ユーザー)。sAMAccountName 属性は 20 文字以下にする必要があります。また、 "/ \ [ ] : ; | = , + * ? < > の文字を含めることはできません。

アカウントは、以下の権限を持つ必要があります。

  • コンテンツの一覧表示
  • すべてのプロパティの読み取り
  • アクセス許可の読み取り
  • tokenGroupsGlobalAndUniversal の読み取りすべてのプロパティの読み取り により暗黙に含まれる)

また、アカウントのパスワードを 無期限 に設定して、Horizon Cloud 環境にログインするために引き続きアクセスできるようにします。

  • Horizon オンプレミス サービスに精通している場合、上記の権限は、Horizon オンプレミス サービスの 2 番目の認証情報アカウントに必要なセットと同じです。
  • ドメイン バインド アカウントには、Microsoft Active Directory デプロイで認証されたユーザーに通常付与される、デフォルトの特別な設定は不要の読み取りアクセス関連の権限が付与されています。ただし、組織の Active Directory 管理者が通常ユーザーの読み取りアクセス権に関連する権限をロックダウンすることを選択した場合は、それらの Active Directory 管理者に、Horizon Cloud に使用するドメイン バインド アカウントの認証済みユーザーの標準デフォルト設定を保持するように要求する必要があります。

参照:Active Directory ドメイン バインドおよびドメイン参加アカウントの作成
補助ドメイン バインド アカウント
メインのドメイン バインド アカウントとは別にする必要があります。ユーザー インターフェイスでは、両方のフィールドで同じアカウントを再利用しません。

sAMAccountName 属性を持つ Active Directory ドメイン バインド アカウント(読み取りアクセス権限を持つ標準ユーザー)。sAMAccountName 属性は 20 文字以下にする必要があります。また、"/ \ [ ] : ; | = , + * ? < > の文字を含めることはできません。

アカウントは、以下の権限を持つ必要があります。

  • コンテンツの一覧表示
  • すべてのプロパティの読み取り
  • アクセス許可の読み取り
  • tokenGroupsGlobalAndUniversal の読み取りすべてのプロパティの読み取り により暗黙に含まれる)

また、アカウントのパスワードを 無期限 に設定して、Horizon Cloud 環境にログインするために引き続きアクセスできるようにします。

  • Horizon オンプレミス サービスに精通している場合、上記の権限は、Horizon オンプレミス サービスの 2 番目の認証情報アカウントに必要なセットと同じです。
  • ドメイン バインド アカウントには、Microsoft Active Directory デプロイで認証されたユーザーに通常付与される、デフォルトの特別な設定は不要の読み取りアクセス関連の権限が付与されています。ただし、組織の Active Directory 管理者が通常ユーザーの読み取りアクセス権に関連する権限をロックダウンすることを選択した場合は、それらの Active Directory 管理者に、Horizon Cloud に使用するドメイン バインド アカウントの認証済みユーザーの標準デフォルト設定を保持するように要求する必要があります。
ドメイン参加アカウント
システムが Sysprep 操作を実行し、仮想コンピュータをドメインに参加させるために使用できる Active Directory ドメイン参加アカウント。通常は、この明確な目的のために作成する新しいアカウントです。( ドメイン参加ユーザー アカウント

このアカウントには、sAMAccountName 属性が必須です。sAMAccountName 属性は 20 文字以下にする必要があります。また、"/ \ [ ] : ; | = , + * ? < > の文字を含めることはできません。

アカウントのユーザー名に空白を使用することは、現在サポートされていません。

Horizon Cloud が継続して Sysprep 操作を実行し、仮想コンピュータをドメインに参加させるために、アカウントのパスワードを 無期限 に設定します。

このアカウントには、コンピュータ OU、またはコンソールのドメイン参加ユーザー インターフェイスに入力する OU に適用される次の Active Directory 権限が必要です。

  • すべてのプロパティの読み取り:このオブジェクトのみ
  • コンピュータ オブジェクトの作成:このオブジェクトとすべての子孫オブジェクト
  • コンピュータ オブジェクトの削除:このオブジェクトとすべての子孫オブジェクト
  • すべてのプロパティの書き込み:子孫コンピュータ オブジェクト
  • パスワードのリセット:子孫コンピュータ オブジェクト

プールに使用するターゲット組織単位 (OU) については、このアカウントには、そのターゲット組織単位 (OU) のすべての子孫オブジェクトに対する「すべてのプロパティの書き込み」という名前の Active Directory 権限も必要です。

ドメイン参加アカウントの作成と再利用の詳細については、Active Directory ドメイン バインドおよびドメイン参加アカウントの作成を参照してください。

Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に Deny を適用する Prevent Accidental Deletion 属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用した Deny が自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Cloud コンソールでドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定した Deny 権限を確認して手動でクリアする必要がある場合があります。
オプションの補助ドメイン参加アカウント
システムが Sysprep 操作を実行し、仮想コンピュータをドメインに参加させるために使用できる Active Directory ドメイン参加アカウント。通常は、この明確な目的のために作成する新しいアカウントです。( ドメイン参加ユーザー アカウント

このアカウントには、sAMAccountName 属性が必須です。sAMAccountName 属性は 20 文字以下にする必要があります。また、"/ \ [ ] : ; | = , + * ? < > の文字を含めることはできません。

アカウントのユーザー名に空白を使用することは、現在サポートされていません。

Horizon Cloud が継続して Sysprep 操作を実行し、仮想コンピュータをドメインに参加させるために、アカウントのパスワードを 無期限 に設定します。

このアカウントには、コンピュータ OU、またはコンソールのドメイン参加ユーザー インターフェイスに入力する OU に適用される次の Active Directory 権限が必要です。

  • すべてのプロパティの読み取り:このオブジェクトのみ
  • コンピュータ オブジェクトの作成:このオブジェクトとすべての子孫オブジェクト
  • コンピュータ オブジェクトの削除:このオブジェクトとすべての子孫オブジェクト
  • すべてのプロパティの書き込み:子孫コンピュータ オブジェクト
  • パスワードのリセット:子孫コンピュータ オブジェクト

プールに使用するターゲット組織単位 (OU) については、このアカウントには、そのターゲット組織単位 (OU) のすべての子孫オブジェクトに対する「すべてのプロパティの書き込み」という名前の Active Directory 権限も必要です。

Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に Deny を適用する Prevent Accidental Deletion 属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用した Deny が自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Cloud コンソールでドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定した Deny 権限を確認して手動でクリアする必要がある場合があります。
仮想デスクトップおよび RDS セッションベースのデスクトップまたは公開アプリケーション、またはその両方の Active Directory 組織単位 (OU)。

Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に Deny を適用する Prevent Accidental Deletion 属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用した Deny が自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Cloud コンソールでドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定した Deny 権限を確認して手動でクリアする必要がある場合があります。

Image Management System Requirements

Microsoft Azure サブスクリプションは、デプロイされた Horizon Edge からプロビジョニングするイメージの種類に応じて、次の要件を満たす必要があります。

イメージの基本。1 つ以上のサポートされている Microsoft Azure 仮想マシン構成。
  • Microsoft Azure 第 1 世代および第 2 世代の仮想マシンがサポートされています。

ベース仮想マシンに使用するモデルに十分な割り当てがあることを確認します。次のモデル タイプはデフォルトであり、推奨されます。

[非 GPU:]
  • Standard_DS2_v2

[GPU 対応:]

  • Standard_NV12s_v3

リストされている [非 GPU] および [GPU 対応] タイプ以外のモデル タイプもサポートされていますが、これらは必ずしも検証されているわけではありません。これらのモデルのいずれかを選択する場合は、サブスクリプションに十分な割り当てがあることを確認します。

プール仮想マシンの要件

Microsoft Azure サブスクリプションは、デプロイされた Horizon Edge からプロビジョニングするプール仮想マシンの種類に応じて、次の要件を満たす必要があります。

プールの仮想マシンのモデル選択 - Microsoft Azure リージョンで使用可能な Microsoft Azure 仮想マシン構成のいずれか(Horizon Cloud デスクトップ操作と互換性のないものを除く)。

仮想マシン モデルを選択するときは、次の詳細について考慮します。

  • GPU 対応モデル タイプと非 GPU モデル タイプの選択は、イメージの作成時に選択した仮想マシンによって決まります。
  • マルチセッション プールを作成するには、マルチセッション オペレーティング システムを使用して作成されたイメージを選択します。
  • 本番環境では、スケール テストでは、2 個以上の CPU を搭載したモデルを使用することをお勧めします。
  • Horizon Cloud Service - next-gen の Microsoft Azure 仮想マシンのタイプとサイズ (89090) を参照し、Microsoft Azure 仮想マシンのさまざまなタイプとサイズと VMware Horizon Cloud Service - next-gen との互換性を確認してください。
  • Microsoft Azure の第 1 世代および第 2 世代の仮想マシンは、プールでサポートされています。

Horizon Client および Horizon HTML Access(Web クライアント)の要件

Horizon Cloud 環境で使用資格が付与されたリソースへのエンド ユーザー アクセスを有効にするには、次のサポート対象クライアントのいずれかを使用していることを確認します。
Horizon Client
エンド ユーザーは、次の Horizon Client バージョンを使用できます。
  • Horizon Client for Windows 2111 以降
  • Horizon Client for Mac 2111 以降
  • Horizon Client for Linux 2206 以降
  • Horizon Client for Android 2303 以降
  • Horizon Client for iOS 2303 以降
  • Horizon Client for Chrome 2306 以降
Horizon HTML Access
エンド ユーザーは、 Horizon Cloud 環境に組み込まれている HTML Access のバージョンに接続できます。