Horizon Cloud は、Active Directory (AD) ドメイン内の 2 つのアカウントをサービス アカウントとして使用する必要があります。このトピックでは、これら 2 つのアカウントが満たす必要がある要件について説明します。
Horizon Cloud では、これらの 2 つのサービス アカウントとして使用する 2 つの AD アカウントを指定する必要があります。
- AD ドメイン内の検索を実行するために使用するドメイン バインド アカウント。
- コンピュータ アカウントをドメインに参加させ、Sysprep 処理を実行するために使用するドメイン参加アカウント。
注: Microsoft Azure のポッドの場合、システムは Microsoft Azure Marketplace からのイメージのインポート、ファーム RDSH インスタンスの作成、VDI デスクトップ インスタンスの作成など、仮想マシンをドメインに参加させる必要のあるポッド操作でこのドメイン参加アカウントを使用します。
これらのサービス アカウントに指定する Active Directory アカウントは、Horizon Cloud の次の動作要件を満たす必要があります。最初のポッドのテナントへのオンボーディングを行った後、クラウドベースの管理コンソールを使用して、これらのアカウントの認証情報を入力します。
重要:
- これらのサービス アカウントは、Horizon Cloud Active Directory ドメイン登録の構成のみで使用してください。これらのサービス アカウントを他の構成で再利用すると、予期しない結果が発生する可能性があります。たとえば、Workspace ONE Access Connector の構成設定では、同じドメイン バインド アカウントを使用しないでください。さもないと、ドメイン バインド アカウントに関する予期しない通知が Horizon Universal Console に表示されることがあります。
- ここに記述されているとおりに、OU およびオブジェクトのうちユーザーが使用するものや、システムが使用することが予想されるものはすべて、ドメイン バインドやドメイン参加アカウントに引き続き権限が付与されていることを確認する必要があります。Horizon Cloud には、環境においてどの Active Directory グループが使用されるかを事前設定したり、予測する機能はありません。コンソールを使用して、ドメイン バインド アカウントとドメイン参加アカウントを Horizon Cloud に構成する必要があります。
注意:
すべての権限を個別に設定する代わりに、アカウントに対してフル コントロールを設定することもできますが、権限を個別に設定することを推奨します。
ドメイン バインド アカウント - 必須の特性
- ドメイン バインド アカウントは、期限切れにしたり、変更やロックアウトをすることができません。このタイプのアカウント設定を使用する必要があります。これは、システムでは Active Directory を問い合わせるためにプライマリ ドメイン バインド アカウントがサービス アカウントとして使用されるためです。何らかの理由でプライマリ ドメイン バインド アカウントにアクセスできない場合、システムは補助ドメイン バインド アカウントを使用します。プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、クラウドベースのコンソールにログインして設定を更新することができません。
重要: プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、コンソールにログインして設定を有効なドメイン バインド アカウント情報に更新することができません。プライマリまたは補助ドメイン バインド アカウントで [Never Expires(有効期限なし)] を設定しない場合、両方に異なる有効期限を設定する必要があります。有効期限が近くなったら常に追跡しながら、有効期限の時刻に達する前に Horizon Cloud ドメイン バインド アカウント情報を更新する必要があります。
- ドメイン バインド アカウントには、sAMAccountName 属性が必要です。sAMAccountName 属性は 20 文字以下にする必要があります。また、次の文字を含めることはできません。"/\ []:; |= , + * ?< >
- ドメイン バインド アカウントには常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を付与しないユーザーは、ドメイン バインド アカウントにアクセスできないようにする必要があります。コンソールで使用されるロールの詳細については、Horizon Universal Console を使用して Horizon Cloud 環境で作業するためにユーザーに付与する 2 種類のロールに関するベスト プラクティスを参照してください。
ドメイン バインド アカウント - 必須の Active Directory 権限
ドメイン バインド アカウントには読み取り権限が付与されている必要があります。Horizon Cloud のサービスとしてのデスクトップ操作でエンド ユーザーへのデスクトップ仮想マシンの割り当てなどの操作を行う際など、AD 組織単位 (OU) の AD アカウントをすべて検索できる機能を使用されることが想定されます。ドメイン バインド アカウントには、Active Directory からオブジェクトを列挙する機能が必要です。ドメイン バインド アカウントには、Horizon Cloud での使用が予想されるすべての OU およびオブジェクトに対する次の権限が必要です。
- コンテンツの一覧表示
- すべてのプロパティの読み取り
- アクセス許可の読み取り
- tokenGroupsGlobalAndUniversal の読み取り([すべてのプロパティの読み取り] 権限により暗黙に含まれる)
重要: 一般的に、ドメイン バインド アカウントには、Microsoft Active Directory デプロイで
認証されたユーザーに通常付与される、設定済みのデフォルトの読み取りアクセス関連の権限が付与されている必要があります。標準の Microsoft Active Directory デプロイでは、
Authenticated Users に通常付与されるデフォルト設定により、標準ドメイン ユーザー アカウントは、
Horizon Cloud がドメイン バインド アカウントに必要な列挙を行うことができます。ただし、組織の Active Directory 管理者が通常ユーザーの読み取りアクセス権に関連する権限をロックダウンすることを選択した場合は、それらの Active Directory 管理者に、
Horizon Cloud に使用するドメイン バインド アカウントの
認証済みユーザーの標準デフォルト設定を保持するように要求する必要があります。
ドメイン参加アカウント - 必須の特性
- ドメイン参加アカウントを変更またはロックアウトすることはできません。
- アカウントのユーザー名に空白を含めることはできません。名前に空白が含まれている場合、そのアカウントに依存するシステム操作で予期しない結果が発生します。
- ドメイン参加アカウントには、sAMAccountName 属性が必要です。sAMAccountName 属性は 20 文字以下にする必要があります。また、次の文字を含めることはできません。"/\ []:; |= , + * ?< >
- 次の条件のうち、少なくとも 1 つを満たしている必要があります。
- Active Directory で、ドメイン参加アカウントを [Never Expires(有効期限なし)] に設定します。
- または、最初のドメイン参加アカウントと有効期限の異なる補助ドメイン参加アカウントを構成します。この方法を選択する場合は、補助ドメイン参加アカウントが、コンソールに設定するメインのドメイン参加アカウントと同じ要件を満たしていることを確認します。
注意: ドメイン参加アカウントの有効期限が切れ、有効な補助ドメイン参加アカウントが構成されていない場合、 Horizon Cloud はイメージのシーリングとファーム RDSH の仮想マシンおよび VDI デスクトップ仮想マシンのプロビジョニングに失敗します。
重要: テナントに 1600.0 より古いマニフェストを実行している Microsoft Azure の
Horizon Cloud ポッドがある場合は、ドメインの登録時に入力するドメイン参加アカウントが、
Horizon Cloud スーパー管理者ロールを割り当てる Active Directory グループの 1 つにも属していることを確認する必要があります。これらの古いマニフェスト バージョンを実行しているポッドでのシステムの操作は、
Horizon Cloud スーパー管理者ロールによって付与された権限を持つドメイン参加アカウントに依存します。グループにロールを割り当てる方法の説明については、
Active Directory グループの個人が Horizon Cloud テナント環境に対して認証された後、その個人に対して Horizon Universal Console のどの部分を有効にするかを制御するロールをそのグループに割り当てるを参照してください。
ドメイン参加アカウント - 必須の Active Directory 権限
ドメイン参加アカウントは、テナント レベルで構成されます。テナントのフリート内のすべてのポッドで、ドメイン参加関連のすべての操作のために、Active Directory 登録で構成されている同じドメイン参加アカウントがシステムによって使用されます。
システムは、ファームと VDI デスクトップ割り当ての [コンピュータの組織単位 (OU)] テキスト ボックスが Active Directory 登録のデフォルトの OU と異なる場合、Active Directory 登録ワークフロー(そのワークフローの [デフォルトの組織単位 (OU)] テキスト ボックス)で指定する OU 内、および作成するファームおよび VDI デスクトップ割り当てで指定する OU 内のドメイン参加アカウントに対する明示的な権限チェックを実行します。
下位の OU を使用するケースにも対応するため、ベスト プラクティスとして、これらの必須のアクセス権限をコンピュータの組織単位のすべての子孫オブジェクトに適用するように設定します。
重要:
- ここに挙げる AD 権限の一部は通常、Active Directory により、デフォルトで アカウントに割り当てられます。ただし、Active Directory のセキュリティ許可を制限している場合、Horizon Cloud で使用すると予想されるすべての OU およびオブジェクトの権限についての記述を、ドメイン バインド アカウントが必ず読むようにする必要があります。
- Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に
Denyを適用するPrevent Accidental Deletion属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用したDenyが自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Cloud コンソールでドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定したDeny権限を確認して手動でクリアする必要がある場合があります。
ヒント: 2474.0 以降のポッド マニフェストの場合、ドメイン参加アカウントの必須の Active Directory 権限のセットが以前のセットよりも少なくなり、テナントの柔軟性が向上しています。ただし、ドメイン参加アカウントはテナント レベルで構成されているため、システムは、テナントのフリート内のすべてのポッドで、ドメイン参加関連の操作において同じドメイン参加アカウントを使用します。このため、フリートに 2474.0 以前のマニフェストのポッドが含まれている場合は、ドメイン参加アカウントに、これらのポッドに必要な以前の権限セットが含まれていることを確認する必要があります。Microsoft Azure のすべての Horizon ポッドがポッド マニフェスト 2474.0 以降にアップデートされると、ドメイン参加アカウントに対して、より新しい Active Directory 権限セットを採用できます。
| アクセス | 適用先 |
|---|---|
| すべてのプロパティの読み取り | このオブジェクトのみ |
| コンピュータ オブジェクトの作成 | このオブジェクトとすべての子孫オブジェクト |
| コンピュータ オブジェクトの削除 | このオブジェクトとすべての子孫オブジェクト |
| すべてのプロパティの書き込み | 子孫コンピュータ オブジェクト |
| パスワードのリセット | 子孫コンピュータ オブジェクト |
| アクセス | 適用先 |
|---|---|
| コンテンツの一覧表示 | このオブジェクトとすべての子孫オブジェクト |
| すべてのプロパティの読み取り | このオブジェクトとすべての子孫オブジェクト |
| コンピュータ オブジェクトの作成 | このオブジェクトとすべての子孫オブジェクト |
| コンピュータ オブジェクトの削除 | このオブジェクトとすべての子孫オブジェクト |
| すべてのプロパティの書き込み | すべての子孫オブジェクト |
| アクセス許可の読み取り | このオブジェクトとすべての子孫オブジェクト |
| パスワードのリセット | 子孫コンピュータ オブジェクト |
