オプションとして、Horizon Cloud 顧客アカウントに追加の Active Directory ドメインを登録することができます。Active Directory ドメインを登録すると、そのドメインが Horizon Cloud 顧客アカウントに関連付けられた一連のクラウド構成のドメインに追加されます。ドメインがクラウド構成のドメインのセットにある場合、そのドメインのユーザー アカウントとグループがシステム提供の機能を使用できるようにすることができます。たとえば、ヘルプ デスク管理者のためのヘルプ デスク機能や、エンド ユーザーのためのデスクトップ関連機能などです。

重要: ドメイン バインドやドメイン参加アカウントに関連する [バインド ユーザー名] および [参加ユーザー名] のテキスト ボックスに、アカウント名を指定します。これは、 ouraccountname など、ドメイン名なしのユーザー ログイン名のようになります。
注: 配布グループは、セキュリティ グループにネストされていてもサポートされません。Active Directory グループを作成するときは、常に [グループ タイプ][セキュリティ] を選択します。

テナントで、Horizon Cloud on Microsoft Azure と LDAPS サポートで説明されている機能を使用できるようになっている場合、手順 3 のコンソールの画面は、ここで説明する画面とは異なります。テナントでその機能を使用できる場合は、代わりにそのページに従ってください。

前提条件

ドメイン参加アカウントの手順が失敗しないようにするには、Active Directory インフラストラクチャが正確な時間のソースと同期していることを確認します。このような障害が発生した場合は、Horizon Cloud サポートにお問い合わせください。[ドメイン バインド] 手順は成功したが、ドメイン参加の手順に失敗した場合、ドメインをリセットし、時間のソースを調整する必要があるかどうかを確認してみてください。ドメインをリセットするには、Active Directory ドメイン登録の削除の手順を参照してください。

必要なプライマリおよび補助ドメイン バインド アカウントの場合、Horizon Cloud の運用に必要なサービス アカウントに記載されている要件を満たす 2 つの Active Directory ユーザー アカウントの情報があることを確認します。

注意: 偶発的なロックアウトによって、 Horizon Cloud 環境を管理するためにクラウドベースのコンソールにログインできなくなるのを防ぐには、ドメイン バインド アカウントの期限切れ、変更、ロックアウトが発生しないようにする必要があります。このタイプのアカウント設定を使用する必要があります。これは、システムでは Active Directory ドメインを問い合わせてコンソールへのログインに使用する認証情報を検証するために、プライマリ ドメイン バインド アカウントがサービス アカウントとして使用されるためです。何らかの理由でプライマリ ドメイン バインド アカウントにアクセスできない場合、システムは補助ドメイン バインド アカウントを使用します。プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、コンソールにログインし、構成を更新してアクセス可能なドメイン バインド アカウントを使用することができません。

プライマリ ドメイン バインド アカウントおよび補助ドメイン バインド アカウントには、常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、管理者が指定したドメイン バインド アカウントにアクセスできないようにする必要があります。

ドメイン参加アカウントについては、アカウントが、 Horizon Cloud の運用に必要なサービス アカウントに記載されている要件を満たしていることを確認します。
注意:
  • スーパー管理者ロールが割り当てられた Active Directory グループが 1 つしかない場合は、そのグループを Active Directory サーバから削除しないでください。これを行うと、以降のログインで問題が発生する可能性があります。
  • ポッド フリートに 1600.0 より古いマニフェストを実行している Microsoft Azure の Horizon Cloud ポッドがある場合は、ドメイン参加アカウントにスーパー管理者ロールを付与する必要があります。2298 より前のマニフェストはサポート対象外であり、ナレッジベースの記事 KB86476 の記載に従って更新する必要があります。

Active Directory ドメインの NetBIOS 名と DNS ドメイン名があることを確認します。これらの値は、このワークフローの最初のステップでコンソールの [Active Directory の登録] ウィンドウに入力します。これらの値を特定する方法の例については、Horizon Cloud の [Active Directory の登録] ワークフローの NETBIOS 名および DNS ドメイン名のフィールドに必要な情報の特定を参照してください。

注意: 追加の Active Directory ドメインを登録するときは、クラウド接続されたすべてのポッドがそのドメインとの通信路を確立した状態であることを確認します。同じ顧客アカウント レコードのすべてのポッドは、そのアカウントに登録された同じクラウド構成の Active Directory ドメインのセットに到達できる必要があります。すべてのポッドは、同じ Active Directory サーバに到達できる必要があります。また、DNS 構成でこれらのすべてのクラウド構成の Active Directory ドメインを解決する必要があります。

手順

  1. コンソールで、[設定] > [Active Directory] の順に選択します。
  2. [登録] をクリックします。
  3. [Active Directory の登録] ダイアログ ボックスで、必要な登録情報を指定します。
    重要: 前提条件で説明されているとおりに、プライマリおよび補助ドメイン バインド アカウントのガイドラインに準拠する Active Directory アカウントを使用します。
    オプション 説明
    NETBIOS 名
    • クラウド接続された Horizon ポッドがある場合、このステップでは Horizon ポッドが認識できるすべての Active Directory ドメインの名前が入力された選択メニューが表示されます。最初に登録する Active Directory ドメインを選択します。
    • クラウド接続されたポッドのみが Microsoft Azure にある場合、このステップではテキスト ボックスが表示されます。登録する Active Directory ドメインの NetBIOS 名を入力します。通常、この名前にはピリオドは含まれません。Active Directory ドメイン環境から使用する値を見つける方法の例については、NETBIOS 名と DNS ドメイン名の情報を取得するを参照してください。
    DNS ドメイン名
    • クラウド接続された Horizon ポッドがある場合、[NETBIOS 名] に選択した Active Directory ドメインの完全修飾ドメイン名が自動的に表示されます。
    • クラウド接続されたポッドのみが Microsoft Azure にある場合、テキスト ボックスが表示されます。[NETBIOS 名] に指定した Active Directory ドメインの完全修飾 DNS ドメイン名を入力します。Active Directory ドメイン環境から使用する値を見つける方法の例については、NETBIOS 名と DNS ドメイン名の情報を取得するを参照してください。
    プロトコル サポートされているプロトコルとして、LDAP が自動的に表示されます。
    [バインド ユーザー名] プライマリ LDAP バインド アカウントとして使用するドメインのユーザー アカウント。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
    バインド パスワード [バインド ユーザー名] テキスト ボックスの名前と関連付けられているパスワード。
    補助アカウント #1 [バインド ユーザー名][バインド パスワード] フィールドに、補助 LDAP バインド アカウントとして使用するドメイン内のユーザー アカウントとそれに関連するパスワードを入力します。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
  4. [ドメイン バインド] をクリックします。
    ドメイン バインドの手順が成功すると、[ドメイン参加] ダイアログ ボックスが表示され、次の手順を続行できます。
  5. [ドメイン参加] ダイアログ ボックスで、必須の情報を入力します。
    注: 前提条件に説明されているドメイン参加アカウントのガイドラインに準拠した Active Directory アカウントを使用します。
    オプション 説明
    プライマリ DNS サーバ IP アドレス Horizon Cloud でマシン名の解決に使用するプライマリ DNS サーバの IP アドレス。

    Microsoft Azure のポッドの場合、この DNS サーバは、Microsoft Azure クラウド内のマシン名、および外部名を解決できる必要があります。

    セカンダリ DNS サーバ IP アドレス (オプション)セカンダリ DNS サーバの IP アドレス
    デフォルト OU インポートされた仮想マシン、ファーム RDSH 仮想マシン、VDI デスクトップ インスタンスなど、ポッドのデスクトップ関連の仮想マシンで使用する Active Directory 組織単位 (OU)。Active Directory OU の形式は、OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent のようになります。システム デフォルトは CN=Computers です。CN=myexample など、必要に応じてデフォルトを変更できます。
    注: ネストされた組織の名前の説明については、 ネストされた Active Directory ドメイン組織単位の使用についての考慮事項を参照してください。入力した個々の OU は、 OU= の入力部分を除いて 64 文字以内の長さでなければなりません。Microsoft は、個々の OU を 64 文字以内に制限します。64 文字を超える OU パスは、個々の OU が 64 文字を超えていなければ、有効です。ただし、個々の OU はそれぞれ 64 文字以内である必要があります。
    参加ユーザー名 その Active Directory ドメインにコンピュータを参加させる権限を持つ Active Directory のユーザー アカウント。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
    参加パスワード [参加ユーザー名] テキスト ボックスの名前と関連付けられているパスワード。
  6. (オプション) 補助ドメイン参加アカウントを指定します。
    指定したプライマリ ドメイン参加アカウントにアクセスできない場合、システムは、Microsoft Azure のポッドで、イメージ仮想マシンのインポート、ファーム RDSH インスタンスの作成、VDI デスクトップ インスタンスの作成など、ドメインに参加する必要がある操作に対して補助ドメイン参加アカウントを使用します。
    注:
    • 前提条件に説明されているプライマリ ドメイン参加アカウントの同じガイドラインに準拠した Active Directory アカウントを使用します。両方のアカウントに [Never Expires(有効期限なし)] が設定されている場合を除き、この補助ドメイン参加アカウントの有効期限はプライマリ ドメイン参加アカウントとは異なることを確認します。プライマリおよび補助ドメイン参加アカウントの両方の有効期限が同時に切れる場合、ファーム RDSH 仮想マシンと VDI デスクトップ仮想マシンのプロビジョニングやイメージのシーリングにおけるシステム動作が失敗します。
    • Horizon Cloud で登録する各 Active Directory に対して 1 つの補助ドメイン参加アカウントのみを追加できます。
    • この時点で補助ドメイン参加アカウントを追加しない場合、後でコンソールを使用して追加することができます。
    • このアカウントは、後で更新したり削除したりすることができます。
    • システムが仮想マシンで補助ドメイン参加アカウントを使用するには、デスクトップ関連仮想マシン(シールド イメージ、ファーム RDSH インスタンス、または VDI デスクトップ インスタンスなど)のエージェント関連ソフトウェアがバージョン 18.1 以降である必要があります。
    オプション 説明
    補助参加ユーザー名 その Active Directory ドメインにシステムを参加させる権限を持つ Active Directory のユーザー アカウント。
    重要: このフィールドには、アカウント名のみを指定します。つまり、 ouraccountname など、ドメイン名なしのユーザー ログイン名のようになります。スラッシュまたは @ 記号を入力するとエラーが表示されます。
    補助参加パスワード [補助参加ユーザー名] テキスト ボックスの名前と関連付けられているパスワード。
  7. [保存] をクリックします。
    この時点で、ドメイン参加の手順が完了すると、[管理者の追加] ダイアログ ボックスが表示され、次の手順を続行できます。
  8. [スーパー管理者の追加] ダイアログ ボックスで、Active Directory 検索機能を使用し、コンソールを使用して環境で管理アクションを実行する Active Directory 管理者グループを選択します。
    この顧客アカウントの Active Directory ドメインが設定されたので、この割り当てにより、少なくとも 1 つの Active Directory ドメインのユーザー アカウントに対して、 標準のログイン ワークフローを使用してログインするための権限が付与されます。
    重要: ポッド フリートに 1600.0 より古いマニフェストを実行している Microsoft Azure の Horizon Cloud ポッドがある場合は、前提条件の説明に従って、ドメイン参加アカウントを含む Active Directory グループをスーパー管理者ロールに追加する必要があります。ポッド フリートにそれらの古いマニフェストで実行されているポッドがある場合、ドメイン参加アカウントがスーパー管理者ロールを持つどの Active Directory グループにも属していない場合、これらのポッドで仮想マシンのインポート ワークフローを使用すると失敗する可能性があります。
  9. [保存] をクリックします。

結果

これで以下の項目が設定されました。
  • Active Directory ドメインは、この Horizon Cloud 顧客アカウントに関連付けられたクラウド構成の Active Directory ドメインの 1 つです。
  • Microsoft Azure のポッドの場合、Horizon Cloud には、デスクトップ関連の仮想マシンをドメインに参加させることを含むシステム操作に必要なドメイン参加アカウントがあります。
  • VMware アカウントの認証情報を使用して Horizon Cloud にログインした後、Active Directory ログイン ウィンドウで、その Active Directory 内で Horizon Cloud ロールを割り当てられたユーザーは、Active Directory アカウントに対応するドメインを選択できます。
  • スーパー管理者ロールが付与されたグループ内のユーザーは、最初のログイン画面で関連付けられた VMware アカウントの認証情報を使用してログインすると、コンソールにアクセスして管理アクティビティを実行できます。これらの管理者が最初のログイン手順で自分の VMware アカウントの認証情報を使用できるようにするには、Horizon Cloud テナント環境にログインし、Horizon Universal Console を使用してアクションを実行するための管理者ロールを組織内の個人に付与するで説明する手順を実行します。
  • 登録された Active Directory ドメインからのユーザー アカウントは、Microsoft Azure のポッドからのリソースを含む割り当てに対して選択できます。
  • コンソールのヘルプ デスク機能は、その登録された Active Directory ドメインのユーザー アカウントで使用できます。

次のタスク

この時点から、通常は次のタスクを実行します。