最初のポッドと Horizon Cloud のペアリングが最初に成功した後、cloud.horizon.vmware.com で Horizon Cloud にログインし、Active Directory ドメインを Horizon Cloud に登録します。登録ワークフローが完了すると、その Active Directory ドメインは、Horizon Cloud 顧客アカウントの最初のクラウド構成の Active Directory ドメインになります。登録ワークフローは、全体として複数手順からなるプロセスです。

この Active Directory ドメイン登録プロセスは、最初のポッドを Horizon Cloud とクラウドでペアリングした直後またはそのすぐ後に実行する必要があります。ポッドが Horizon Cloud とクラウドでペアリングされるのは、ポッドのデプロイが Horizon Cloud から開始されたとき(Microsoft Azure のポッドの場合)、または Horizon Cloud Connector を使用して開始されたとき(オンプレミスまたは VMware Cloud on AWSHorizon ポッドの場合)です。この登録ワークフローの全体的な手順は次のとおりです。

  1. Horizon Cloud が Active Directory ドメインのクエリに使用できる Active Directory ドメインの名前関連情報、プロトコル関連情報、およびドメイン バインド サービス アカウントの資格情報を入力します。そのドメイン バインド アカウントに必要な Horizon Cloud については、ドメイン バインド アカウントの要件を参照してください。
  2. Horizon Cloud がマシン名を解決するために使用する DNS サーバの IP アドレス、ポッドのデスクトップ関連仮想マシン (VM) を含めたい組織単位 (OU)、およびそれらのデスクトップ関連仮想マシンを参加させるために Horizon Cloud で使用できるドメイン参加サービス アカウントの資格情報を指定します。このような仮想マシンには、インポートされたマスター仮想マシン、ファーム RDSH インスタンス、および VDI デスクトップ インスタンスなどが含まれます。そのドメイン参加アカウントに必要な Horizon Cloud については、ドメイン参加アカウントの要件を参照してください。
  3. Horizon Cloud スーパー管理者ロールを Active Directory ドメイン グループに割り当てます。
重要: 登録ワークフローについての理解を確認するため、以下の点を確認してください。
  • コンソールでその他のページに移動する前に、登録している最初のドメインに対して全体の Active Directory 登録プロセスを終了する必要があります。これらのタスクを完了しないと、主要なサービスを利用できません。
  • また、既知の問題により、Horizon Cloud Connector を使用してオンプレミスの Horizon ポッドと VMware Cloud on AWS の Horizon ポッドを接続するときに、この最初のポッドの Active Directory ドメイン登録プロセスを完了せずに後続のポッドのコネクタのクラウド ペアリング ワークフローを実行しようとすると、予期しない結果が発生する可能性があります。クラウド ペアリング ワークフローは、Horizon Cloud への最初の Active Directory ドメイン登録を完了する前に複数のポッドに対して実行することができますが、最初のドメイン登録を完了する前に次のポッドでそのクラウド ペアリング プロセスを実行しようとすると、このドメイン登録プロセスが失敗することがあります。その場合は、以下を実行する必要があります。
    1. Horizon Cloud Connector 構成ポータルで [接続解除] アクションを使用し、クラウド接続されたポッドが 1 つになるまでそれらのクラウド接続された各ポッド間の接続を解除します。
    2. 失敗した Active Directory ドメイン登録を Horizon Cloud から削除するの手順に従い、失敗した登録を削除します。
    3. そのポッドに関連する、最初の Active Directory ドメイン登録プロセスを完了します。
    4. 他のポッドで Horizon Cloud Connector ワークフローを再実行します。
  • このリリースのポッドでは、これらの手順で指定したドメイン参加アカウントは Microsoft Azure のポッドでのみ使用されますが、クラウド接続された Horizon ポッドのみを環境で使用している場合でも、後でスーパー管理者ロールを割り当てるプロンプトがアクティブになるよう、ドメイン参加アカウントの手順を完了しておくことが賢明です。Active Directory ドメイン グループへのこのロールの割り当ては、すべてのタイプのクラウド接続ポッドで必要な手順です。
重要: ドメイン バインドやドメイン参加アカウントに関連する [バインド ユーザー名] および [参加ユーザー名] のテキスト ボックスに、アカウント名を指定します。これは、 ouraccountname など、ドメイン名なしのユーザー ログオン名のようになります。

前提条件

ドメイン参加アカウントの手順に失敗しないようにするために、Active Directory インフラストラクチャが正確な時間のソースと同期するようにします。失敗した場合は、VMware のサポートに問い合わせる必要があります。[ドメイン バインド] 手順は成功したが、ドメイン参加の手順に失敗した場合、ドメインをリセットし、時間のソースを調整する必要があるかどうかを確認してみてください。ドメインをリセットする方法については、Active Directory ドメイン登録の削除の手順を参照してください。

最初のポッドが正常にデプロイされていることを確認します。[はじめに] ウィザードの [キャパシティ] セクションでは、最初のポッドが正常にデプロイされたことを緑色のチェックマーク アイコンで示します(緑色の丸いアイコンと白いチェックマークがデプロイの成功を示します)。

必要なプライマリおよび補助ドメイン バインド アカウントについては、ドメイン バインド アカウントの要件で説明する要件に準拠する 2 つの Active Directory ユーザー アカウントであることを確認します。

注意: 偶発的なロックアウトによって、 Horizon Cloud 環境を管理するためにクラウドベースのコンソールにログインできなくなるのを防ぐには、ドメイン バインド アカウントの期限切れ、変更、ロックアウトが発生しないようにする必要があります。このタイプのアカウント設定を使用する必要があります。これは、システムでは Active Directory ドメインを問い合わせてコンソールへのログインに使用する認証情報を検証するために、プライマリ ドメイン バインド アカウントがサービス アカウントとして使用されるためです。何らかの理由でプライマリ ドメイン バインド アカウントにアクセスできない場合、システムは補助ドメイン バインド アカウントを使用します。プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、コンソールにログインし、構成を更新してアクセス可能なドメイン バインド アカウントを使用することができません。

プライマリ ドメイン バインド アカウントおよび補助ドメイン バインド アカウントには、常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、管理者が指定したドメイン バインド アカウントにアクセスできないようにする必要があります。

ドメイン参加アカウントの場合、アカウントが ドメイン参加アカウントの要件に記載された要件を満たしていることを確認します。ドメイン参加アカウントは、コンソールでスーパー管理者のロールに追加する Active Directory グループにも存在する必要があります。Horizon Cloud の役割は、グループ レベルのみで割り当てることができます。
注意: このことは、Microsoft Azure のポッドが関与するシステム操作にとって重要です。Active Directory ドメイン登録のドメイン参加アカウントの手順で指定したドメイン参加アカウントが、スーパー管理者の役割を割り当てられる Active Directory グループのいずれにもない場合、そのアカウントの Active Directory グループを作成して、そのドメイン参加アカウントにスーパー管理者の役割を確実に割り当てられるようにします。

スーパー管理者ロールが割り当てられた Active Directory グループが 1 つしかない場合は、そのグループを Active Directory サーバから削除しないでください。これを行うと、以降のログインで問題が発生する可能性があります。

重要: Microsoft Azure のポッドの場合、このドメイン参加アカウントはスーパー管理者ロールを付与する Active Directory グループのいずれかに存在する必要があります。ドメイン管理者アカウントがスーパー管理者ロールを付与されたグループに属していない場合、マスター イメージのインポートや RDSH ファームおよび仮想デスクトップの作成など、ポッドの仮想マシンをドメインに参加させることを含むシステム操作は失敗します。

Active Directory ドメインの NetBIOS 名と DNS ドメイン名があることを確認します。これらの値は、このワークフローの最初のステップでコンソールの [Active Directory の登録] ウィンドウに入力します。これらの値を見つける方法の例については、Horizon Cloud の Active Directory の登録ワークフローの NETBIOS 名と DNS ドメイン名のフィールドに必要な情報の検索を参照してください。

将来、同じ Horizon Cloud 顧客アカウントを使用して他の Horizon ポッドを接続したり、ある統一された環境で Microsoft Azure にポッドをデプロイする計画がある場合は、ポッドを接続またはデプロイするときに、それらのポッドはこの同じ Active Directory ドメインを認識できる必要があることに注意してください。

手順

  1. ブラウザを使用し、希望の方法を使用して cloud.horizon.vmware.com にあるクラウドベースのコンソールにログインします。
    • ログイン ページの [My VMware の認証情報] セクションで、My VMware アカウントの認証情報を入力します。アカウントの認証情報は、user@example.com のようなプライマリ メール アドレスと、アカウントのプロファイルで設定されているパスワードです。この選択により、認証要求が Horizon Cloud 制御プレーンに送信されます。
    • ログイン ページの [VMware Cloud Services] セクションで、[VMware Cloud ログイン] をクリックします。このボタンをクリックすると、認証要求が VMware Cloud Services にリダイレクトされ、組織の構成に従って認証されます。VMware Cloud Services を使用して Horizon Cloud テナントにアクセスするように組織から依頼される場合があります。
    次のスクリーンショットは、 My VMware アカウントの認証情報を入力してログインする方法を示しています。
    Horizon Cloud on Microsoft Azure:初回ログイン時の My VMware アカウントのログイン画面のスクリーンショット

    これまでにこれらの My VMware 認証情報を使用して Horizon Cloud の利用規約に同意していなかった場合、 [ログイン] ボタンをクリックした後に利用規約に関する通知ボックスが表示されます。利用規約に合意して続行します。
    ログインが正常に認証されると、コンソールが開き、[はじめに] ウィザードが表示されます。

    最初にログインするときに、[はじめに] ウィザードが表示されない場合は、[設定] > [はじめに] の順にクリックして開きます。

  2. [はじめに] ウィザードで、[全般的なセットアップ] セクションがまだ展開されていない場合は展開します。
  3. [Active Directory] で [構成] をクリックします。
  4. [Active Directory の登録] ダイアログ ボックスで、必要な登録情報を指定します。
    重要: 前提条件で説明されているとおりに、プライマリおよび補助ドメイン バインド アカウントのガイドラインに準拠する Active Directory アカウントを使用します。
    オプション 説明
    NETBIOS 名
    • 顧客アカウントの最初のクラウド接続ポッドが Horizon ポッドである場合、このステップでは Horizon ポッドが認識できるすべての Active Directory ドメインの名前が入力された選択メニューが表示されます。最初に登録する Active Directory ドメインを選択します。
    • 顧客アカウントの最初のクラウド接続ポッドが Microsoft Azure のポッドである場合、このステップではテキスト ボックスが表示されます。ポッドが認識できる Active Directory ドメインの NetBIOS 名を入力します。通常、この名前にはピリオドは含まれません。Active Directory ドメイン環境から使用する値を見つける方法の例については、Horizon Cloud の Active Directory の登録ワークフローの NETBIOS 名と DNS ドメイン名のフィールドに必要な情報の検索を参照してください。
    注: 同じ Horizon Cloud 顧客アカウントを使用して追加の Horizon ポッドを接続したり、ある統一された環境で Microsoft Azure にポッドをデプロイする計画がある場合は、ポッドを接続またはデプロイするときに、それらの後続のポッドがこの同じ Active Directory ドメインを認識できる必要があることに注意してください。
    DNS ドメイン名
    • 顧客アカウントの最初のクラウド接続ポッドが Horizon ポッドの場合、システムは、[NETBIOS 名] に選択した Active Directory ドメインの完全修飾 DNS ドメイン名を自動的に表示します。
    • 顧客アカウントの最初のクラウド接続ポッドが Microsoft Azure のポッドである場合、テキスト ボックスが表示されます。[NETBIOS 名] に指定した Active Directory ドメインの完全修飾 DNS ドメイン名を入力します。Active Directory ドメイン環境から使用する値を見つける方法の例については、Horizon Cloud の Active Directory の登録ワークフローの NETBIOS 名と DNS ドメイン名のフィールドに必要な情報の検索を参照してください。
    プロトコル サポートされているプロトコルとして、LDAP が自動的に表示されます。
    [バインド ユーザー名] プライマリ LDAP バインド アカウントとして使用するドメインのユーザー アカウント。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
    バインド パスワード [バインド ユーザー名] テキスト ボックスの名前と関連付けられているパスワード。
    補助アカウント番号 1 [バインド ユーザー名][バインド パスワード] フィールドに、補助 LDAP バインド アカウントとその関連パスワードとして使用するドメイン内のユーザー アカウントを入力します。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
    オプションで、詳細プロパティの値を指定できます。
    オプション 説明
    ポート デフォルトは [LDAP -> 389] です。標準ポートを使用している場合は、このテキスト ボックスを変更する必要はありません。
    ドメイン コントローラの IP アドレス (オプション)Active Directory トラフィックで特定のドメイン コントローラを使用する場合、希望するドメイン コントローラ IP アドレスをカンマで区切って入力します。テキスト ボックスを空のままにしておくと、システムではこの Active Directory ドメインに使用可能なドメイン コントローラが使用されます。
    コンテキスト LDAP 命名コンテキスト。このテキスト ボックスには、[DNS ドメイン名] テキスト ボックスで指定した情報に基づいて自動的にデータが入力されます。
    次のスクリーン ショットは、Microsoft Azure が、最初のクラウドに接続されたポッドの場合、[Active Directory の登録] ウィンドウを示しています。フィールドには、 ENAUTO の NetBIOS 名と ENAUTO.com の DNS ドメイン名の例 Active Directory ドメインの値があります。
    サンプル値を入力した [Active Directory の登録] ウィンドウのスクリーン ショット。

  5. [ドメイン バインド] をクリックします。
    ドメイン バインドの手順が成功すると、[ドメイン参加] ダイアログ ボックスが表示され、次の手順を続行できます。
    重要: ドメイン バインドの手順が失敗し、そのままドメイン参加アカウントの追加を続行してシステムがスーパー管理者ロールの手順に進んだ場合、システムが次のステップに進んだとしても登録プロセスは完了しません。この状況が発生した場合、 Active Directory ドメイン登録の削除の手順を実施した後に、手順 4 を再度実行します。
  6. [ドメイン参加] ダイアログ ボックスで、必須の情報を入力します。
    注:
    • ポッドのタイプに関係なく、この Active Directory ドメイン登録プロセスを実行する場合は、このステップで必須フィールドを入力する必要があります。このリリースでは、ドメイン参加アカウントは主に Microsoft Azure のポッドにある仮想マシンを含むシステム操作に使用されますが、この手順を完了すると、スーパー管理者の役割を付与するために必要な次の手順が確実に完了します。
    • 前提条件に説明されているドメイン参加アカウントのガイドラインに準拠した Active Directory アカウントを使用します。
    オプション 説明
    プライマリ DNS サーバ IP Horizon Cloud でマシン名の解決に使用するプライマリ DNS サーバの IP アドレス。

    Microsoft Azure のポッドの場合、この DNS サーバは、Microsoft Azure クラウド内のマシン名、および外部名を解決できる必要があります。

    セカンダリ DNS サーバ IP (オプション)セカンダリ DNS サーバの IP アドレス
    デフォルト OU インポートされた仮想マシン、ファーム RDSH 仮想マシン、VDI デスクトップ インスタンスなど、ポッドのデスクトップ関連の仮想マシンで使用する Active Directory 組織単位 (OU)。Active Directory OU の形式は、OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent のようになります。システム デフォルトは CN=Computers です。CN=myexample など、必要に応じてデフォルトを変更できます。
    注: ネストされた組織の名前の説明については、 ネストされた Active Directory ドメイン組織単位の使用についての考慮事項を参照してください。入力した個々の OU は、 OU= の入力部分を除いて 64 文字以内の長さでなければなりません。Microsoft は、個々の OU を 64 文字以内に制限します。64 文字を超える OU パスは、個々の OU が 64 文字を超えていなければ、有効です。ただし、個々の OU はそれぞれ 64 文字以内である必要があります。
    参加ユーザー名 その Active Directory ドメインにコンピュータを参加させる権限を持つ Active Directory のユーザー アカウント。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
    参加パスワード [参加ユーザー名] テキスト ボックスの名前と関連付けられているパスワード。
  7. (オプション) 補助ドメイン参加アカウントを指定します。
    指定したプライマリ ドメイン参加アカウントにアクセスできない場合、システムは、Microsoft Azure のポッドで、イメージ仮想マシンのインポート、ファーム RDSH インスタンスの作成、VDI デスクトップ インスタンスの作成など、ドメインに参加する必要がある操作に対して補助ドメイン参加アカウントを使用します。
    注:
    • 前提条件に説明されているプライマリ ドメイン参加アカウントの同じガイドラインに準拠した Active Directory アカウントを使用します。両方のアカウントに [Never Expires(有効期限なし)] が設定されている場合を除き、この補助ドメイン参加アカウントの有効期限はプライマリ ドメイン参加アカウントとは異なることを確認します。プライマリおよび補助ドメイン参加アカウントの両方の有効期限が同時に切れる場合、ファーム RDSH 仮想マシンと VDI デスクトップ仮想マシンのプロビジョニングやイメージのシーリングにおけるシステム動作が失敗します。
    • Horizon Cloud で登録する各 Active Directory に対して 1 つの補助ドメイン参加アカウントのみを追加できます。
    • この時点で補助ドメイン参加アカウントを追加しない場合、後でコンソールを使用して追加することができます。
    • このアカウントは、後で更新したり削除したりすることができます。
    • システムが仮想マシンで補助ドメイン参加アカウントを使用するには、デスクトップ関連仮想マシン(シールド イメージ、ファーム RDSH インスタンス、または VDI デスクトップ インスタンスなど)のエージェント関連ソフトウェアがバージョン 18.1 以降である必要があります。
    オプション 説明
    補助参加ユーザー名 その Active Directory ドメインにシステムを参加させる権限を持つ Active Directory のユーザー アカウント。
    重要: このフィールドには、アカウント名のみを指定します。つまり、 ouraccountname など、ドメイン名なしのユーザー ログオン名のようになります。スラッシュまたは @ 記号を入力するとエラーが表示されます。
    補助参加パスワード [補助参加ユーザー名] テキスト ボックスの名前と関連付けられているパスワード。
  8. [保存] をクリックします。
    ドメイン参加の手順が成功すると、[スーパー管理者の追加] ダイアログ ボックスが表示され、次の手順を続行できます。
    重要: ドメイン参加の手順が失敗した場合、登録プロセスは完了していません。この状況が発生した場合、 Active Directory ドメイン登録の削除の手順を実施した後に、手順 4 を再度実行します。
  9. [スーパー管理者の追加] ダイアログ ボックスで、Active Directory 検索機能を使用し、このコンソールを使用して環境で管理アクションを実行する Active Directory 管理者グループを選択します。
    この顧客アカウントの Active Directory ドメインが設定されたので、この割り当てにより、少なくとも 1 つの Active Directory ドメインのユーザー アカウントに対して、このコンソールにログインするための権限が付与されます。
    重要: スーパー管理者の役割に、前提条件の記載どおりに、ドメイン参加アカウントを含む Active Directory グループを追加します。ドメイン参加アカウントが、スーパー管理者ロールを持つどの Active Directory グループにもない場合、仮想マシンをドメインに参加させることを含む、Microsoft Azure のポッドに対するシステム操作は失敗します。
    注意: この Active Directory グループをスーパー管理者ロールに割り当てた後は、 Active Directory グループへの Horizon Cloud 管理ロールの割り当てで説明するように、このスーパー管理者ロールに別の管理者グループを追加していない限り、指定した管理者グループを Active Directory システムから削除したり、Active Directory システムに表示される GUID を変更したりしないでください。このスーパー管理者ロールは、どの Active Directory ユーザー アカウントが Horizon Cloud テナント アカウントにログインしてコンソールで管理操作を実行できるかを管理します。Active Directory システムからグループを削除したり、Active Directory システム内でその GUID を変更したりしても、その変更は Horizon Cloud 制御プレーンに伝達されないため、Horizon Cloud はスーパー管理者の役割を持つ Active Directory グループを正しく認識できなくなります。そのグループがこのスーパー管理者ロールに割り当てられている唯一のグループである場合、スーパー管理者アクセス権を持っていた Active Directory アカウントは、管理操作実行するアクセス権を持つ Horizon Cloud テナント アカウントにログインできません。これにより、管理アクセスを再取得するために別の Active Directory グループにロールを割り当てることができなくなります。その場合、VMware サポートに連絡して、テナント アカウントへの管理アクセスの回復を依頼する必要があります。
  10. [保存] をクリックします。
    [保存] をクリックすると、ログイン画面に戻ります。ポッドを Active Directory ドメインに登録したので、システムはログインし直すことを要求します。これにより、My VMware の認証情報とともに Active Directory アカウントの使用が強制されます。たとえば、この場合、My VMware アカウントを使用してログインし、次にスーパー管理者ロールを割り当てた Active Directory グループ内のユーザーの Active Directory アカウントの認証情報を使用してログインします。

結果

これで以下の項目が設定されました。
  • Active Directory ドメインは、この Horizon Cloud 顧客アカウントに関連付けられた最初のクラウド構成の Active Directory ドメインとしてクラウド プレーンに構成されます。
  • Microsoft Azure のポッドの場合、Horizon Cloud には、デスクトップ関連の仮想マシンをドメインに参加させることを含むシステム操作に必要なドメイン参加アカウントがあります。また、ドメイン参加アカウントには必要なスーパー管理者ロールがあり、これらの操作は適切に動作します。
  • コンソールでの管理アクティビティにアクセス可能になりました。
  • Horizon Cloud テナントには最初に登録された Active Directory ドメインが含まれるようになり、コンソールにログインするときのログイン フローが変更されました。ログイン フローの概要については、Horizon Cloud テナント環境への認証についてを参照してください。
  • スーパー管理者ロールが付与されたグループ内のユーザーは、関連する My VMware アカウントを使用してログインするときに、コンソールにアクセスして管理アクティビティを実行できます。これらの管理者が自分の My VMware アカウント認証情報を使用して Horizon Cloud で認証できるようにするには、Horizon Cloud テナント環境にログインする管理者の追加で説明する手順を実行します。
  • 登録された Active Directory ドメインからのユーザー アカウントは、Microsoft Azure のポッドからのリソースを含む割り当てに対して選択できます。
  • コンソールのヘルプ デスク機能は、その登録された Active Directory ドメインのユーザー アカウントで使用できます。

次のタスク

この時点から、通常は次のタスクを実行します。