オプションとして、Horizon Cloud 顧客アカウントに追加の Active Directory ドメインを登録することができます。Active Directory ドメインを登録すると、そのドメインが Horizon Cloud 顧客アカウントに関連付けられた一連のクラウド構成のドメインに追加されます。ドメインがクラウド構成のドメインのセットにある場合、そのドメインのユーザー アカウントとグループがシステム提供の機能を使用できるようにすることができます。たとえば、ヘルプ デスク管理者のためのヘルプ デスク機能や、エンド ユーザーのためのデスクトップ関連機能などです。

重要: ドメイン バインドやドメイン参加アカウントに関連する [バインド ユーザー名] および [参加ユーザー名] のテキスト ボックスに、アカウント名を指定します。これは、 ouraccountname など、ドメイン名なしのユーザー ログオン名のようになります。
注: 配布グループは、セキュリティ グループにネストされていてもサポートされません。Active Directory グループを作成するときは、常に [グループ タイプ][セキュリティ] を選択します。

前提条件

ドメイン参加アカウントの手順に失敗しないようにするために、Active Directory インフラストラクチャが正確な時間のソースと同期するようにします。失敗した場合は、VMware のサポートに問い合わせる必要があります。[ドメイン バインド] 手順は成功したが、ドメイン参加の手順に失敗した場合、ドメインをリセットし、時間のソースを調整する必要があるかどうかを確認してみてください。ドメインをリセットする方法については、Active Directory ドメイン登録の削除の手順を参照してください。

必要なプライマリおよび補助ドメイン バインド アカウントについては、ドメイン バインド アカウントの要件で説明する要件に準拠する 2 つの Active Directory ユーザー アカウントであることを確認します。

注意: 偶発的なロックアウトによって、 Horizon Cloud 環境を管理するためにクラウドベースのコンソールにログインできなくなるのを防ぐには、ドメイン バインド アカウントの期限切れ、変更、ロックアウトが発生しないようにする必要があります。このタイプのアカウント設定を使用する必要があります。これは、システムでは Active Directory ドメインを問い合わせてコンソールへのログインに使用する認証情報を検証するために、プライマリ ドメイン バインド アカウントがサービス アカウントとして使用されるためです。何らかの理由でプライマリ ドメイン バインド アカウントにアクセスできない場合、システムは補助ドメイン バインド アカウントを使用します。プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、コンソールにログインし、構成を更新してアクセス可能なドメイン バインド アカウントを使用することができません。

プライマリ ドメイン バインド アカウントおよび補助ドメイン バインド アカウントには、常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、管理者が指定したドメイン バインド アカウントにアクセスできないようにする必要があります。

ドメイン参加アカウントの場合、アカウントが ドメイン参加アカウントの要件に記載された要件を満たしていることを確認します。ドメイン参加アカウントは、コンソールでスーパー管理者のロールに追加する Active Directory グループにも存在する必要があります。Horizon Cloud の役割は、グループ レベルのみで割り当てることができます。
注意: このことは、Microsoft Azure のポッドが関与するシステム操作にとって重要です。Active Directory ドメイン登録のドメイン参加アカウントの手順で指定したドメイン参加アカウントが、スーパー管理者の役割を割り当てられる Active Directory グループのいずれにもない場合、そのアカウントの Active Directory グループを作成して、そのドメイン参加アカウントにスーパー管理者の役割を確実に割り当てられるようにします。

スーパー管理者ロールが割り当てられた Active Directory グループが 1 つしかない場合は、そのグループを Active Directory サーバから削除しないでください。これを行うと、以降のログインで問題が発生する可能性があります。

Active Directory ドメインの NetBIOS 名と DNS ドメイン名があることを確認します。これらの値は、このワークフローの最初のステップでコンソールの [Active Directory の登録] ウィンドウに入力します。これらの値を見つける方法の例については、Horizon Cloud の Active Directory の登録ワークフローの NETBIOS 名と DNS ドメイン名のフィールドに必要な情報の検索を参照してください。

注意: 追加の Active Directory ドメインを登録するときは、クラウド接続されたすべてのポッドがそのドメインとの通信路を確立した状態であることを確認します。同じ顧客アカウント レコードのすべてのポッドは、そのアカウントに登録された同じクラウド構成の Active Directory ドメインのセットに到達できる必要があります。すべてのポッドは、同じ Active Directory サーバに到達できる必要があります。また、DNS 構成でこれらのすべてのクラウド構成の Active Directory ドメインを解決する必要があります。

手順

  1. コンソールで、[設定] > [Active Directory] の順に選択します。
  2. [登録] をクリックします。
  3. [Active Directory の登録] ダイアログ ボックスで、必要な登録情報を指定します。
    重要: 前提条件で説明されているとおりに、プライマリおよび補助ドメイン バインド アカウントのガイドラインに準拠する Active Directory アカウントを使用します。
    オプション 説明
    NETBIOS 名
    • クラウド接続された Horizon ポッドがある場合、このステップでは Horizon ポッドが認識できるすべての Active Directory ドメインの名前が入力された選択メニューが表示されます。最初に登録する Active Directory ドメインを選択します。
    • クラウド接続されたポッドのみが Microsoft Azure にある場合、このステップではテキスト ボックスが表示されます。登録する Active Directory ドメインの NetBIOS 名を入力します。通常、この名前にはピリオドは含まれません。Active Directory ドメイン環境から使用する値を見つける方法の例については、Horizon Cloud の Active Directory の登録ワークフローの NETBIOS 名と DNS ドメイン名のフィールドに必要な情報の検索を参照してください。
    DNS ドメイン名
    プロトコル サポートされているプロトコルとして、LDAP が自動的に表示されます。
    [バインド ユーザー名] プライマリ LDAP バインド アカウントとして使用するドメインのユーザー アカウント。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
    バインド パスワード [バインド ユーザー名] テキスト ボックスの名前と関連付けられているパスワード。
    補助アカウント番号 1 [バインド ユーザー名][バインド パスワード] フィールドに、補助 LDAP バインド アカウントとその関連パスワードとして使用するドメイン内のユーザー アカウントを入力します。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
  4. [ドメイン バインド] をクリックします。
    ドメイン バインドの手順が成功すると、[ドメイン参加] ダイアログ ボックスが表示され、次の手順を続行できます。
  5. [ドメイン参加] ダイアログ ボックスで、必須の情報を入力します。
    注: 前提条件に説明されているドメイン参加アカウントのガイドラインに準拠した Active Directory アカウントを使用します。
    オプション 説明
    プライマリ DNS サーバ IP Horizon Cloud でマシン名の解決に使用するプライマリ DNS サーバの IP アドレス。

    Microsoft Azure のポッドの場合、この DNS サーバは、Microsoft Azure クラウド内のマシン名、および外部名を解決できる必要があります。

    セカンダリ DNS サーバ IP (オプション)セカンダリ DNS サーバの IP アドレス
    デフォルト OU インポートされた仮想マシン、ファーム RDSH 仮想マシン、VDI デスクトップ インスタンスなど、ポッドのデスクトップ関連の仮想マシンで使用する Active Directory 組織単位 (OU)。Active Directory OU の形式は、OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent のようになります。システム デフォルトは CN=Computers です。CN=myexample など、必要に応じてデフォルトを変更できます。
    注: ネストされた組織の名前の説明については、 ネストされた Active Directory ドメイン組織単位の使用についての考慮事項を参照してください。入力した個々の OU は、 OU= の入力部分を除いて 64 文字以内の長さでなければなりません。Microsoft は、個々の OU を 64 文字以内に制限します。64 文字を超える OU パスは、個々の OU が 64 文字を超えていなければ、有効です。ただし、個々の OU はそれぞれ 64 文字以内である必要があります。
    参加ユーザー名 その Active Directory ドメインにコンピュータを参加させる権限を持つ Active Directory のユーザー アカウント。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
    参加パスワード [参加ユーザー名] テキスト ボックスの名前と関連付けられているパスワード。
  6. (オプション) 補助ドメイン参加アカウントを指定します。
    指定したプライマリ ドメイン参加アカウントにアクセスできない場合、システムは、Microsoft Azure のポッドで、イメージ仮想マシンのインポート、ファーム RDSH インスタンスの作成、VDI デスクトップ インスタンスの作成など、ドメインに参加する必要がある操作に対して補助ドメイン参加アカウントを使用します。
    注:
    • 前提条件に説明されているプライマリ ドメイン参加アカウントの同じガイドラインに準拠した Active Directory アカウントを使用します。両方のアカウントに [Never Expires(有効期限なし)] が設定されている場合を除き、この補助ドメイン参加アカウントの有効期限はプライマリ ドメイン参加アカウントとは異なることを確認します。プライマリおよび補助ドメイン参加アカウントの両方の有効期限が同時に切れる場合、ファーム RDSH 仮想マシンと VDI デスクトップ仮想マシンのプロビジョニングやイメージのシーリングにおけるシステム動作が失敗します。
    • Horizon Cloud で登録する各 Active Directory に対して 1 つの補助ドメイン参加アカウントのみを追加できます。
    • この時点で補助ドメイン参加アカウントを追加しない場合、後でコンソールを使用して追加することができます。
    • このアカウントは、後で更新したり削除したりすることができます。
    • システムが仮想マシンで補助ドメイン参加アカウントを使用するには、デスクトップ関連仮想マシン(シールド イメージ、ファーム RDSH インスタンス、または VDI デスクトップ インスタンスなど)のエージェント関連ソフトウェアがバージョン 18.1 以降である必要があります。
    オプション 説明
    補助参加ユーザー名 その Active Directory ドメインにシステムを参加させる権限を持つ Active Directory のユーザー アカウント。
    重要: このフィールドには、アカウント名のみを指定します。つまり、 ouraccountname など、ドメイン名なしのユーザー ログオン名のようになります。スラッシュまたは @ 記号を入力するとエラーが表示されます。
    補助参加パスワード [補助参加ユーザー名] テキスト ボックスの名前と関連付けられているパスワード。
  7. [保存] をクリックします。
    この時点で、ドメイン参加の手順が完了すると、[管理者の追加] ダイアログ ボックスが表示され、次の手順を続行できます。
  8. [スーパー管理者の追加] ダイアログ ボックスで、Active Directory 検索機能を使用し、コンソールを使用して環境で管理アクションを実行する Active Directory 管理者グループを選択します。
    この顧客アカウントの Active Directory ドメインが設定されたので、この割り当てにより、少なくとも 1 つの Active Directory ドメインのユーザー アカウントに対して、 標準のログイン ワークフローを使用してログインするための権限が付与されます。
    重要: スーパー管理者の役割に、前提条件の記載どおりに、ドメイン参加アカウントを含む Active Directory グループを追加します。ドメイン参加アカウントが、スーパー管理者ロールを持つどの Active Directory グループにもない場合、仮想マシンをドメインに参加させることを含む、Microsoft Azure のポッドに対するシステム操作は失敗します。
  9. [保存] をクリックします。

結果

これで以下の項目が設定されました。
  • Active Directory ドメインは、この Horizon Cloud 顧客アカウントに関連付けられたクラウド構成の Active Directory ドメインの 1 つです。
  • Microsoft Azure のポッドの場合、Horizon Cloud には、デスクトップ関連の仮想マシンをドメインに参加させることを含むシステム操作に必要なドメイン参加アカウントがあります。また、ドメイン参加アカウントには必要なスーパー管理者ロールがあり、これらの操作は適切に動作します。
  • My VMware 認証情報を使用して Horizon Cloud にログインした後、Active Directory ログイン ウィンドウで、その Active Directory 内の、割り当てられた Horizon Cloud の役割を持つユーザーは、Active Directory アカウントに対応するドメインを選択できます。
  • スーパー管理者ロールが付与されたグループ内のユーザーは、最初のログイン画面に関連する My VMware アカウントを使用するときに、コンソールにアクセスして管理アクティビティを実行できます。これらの管理者が最初のログイン手順で自分の My VMware アカウント認証情報を使用できるようにするには、Horizon Cloud テナント環境にログインし、Horizon Cloud 管理コンソール を使用してアクションを実行するための管理者ロールを組織内の個人に付与するで説明する手順を実行します。
  • 登録された Active Directory ドメインからのユーザー アカウントは、Microsoft Azure のポッドからのリソースを含む割り当てに対して選択できます。
  • コンソールのヘルプ デスク機能は、その登録された Active Directory ドメインのユーザー アカウントで使用できます。

次のタスク

この時点から、通常は次のタスクを実行します。