次のタスクを実行して、Horizon ポッドのコンポーネントを Horizon Cloud と接続するための準備をします。デプロイを正常に完了するには、以下のセクションに従ってすべての手順を完了しておく必要があります。

このドキュメント トピックのセクションは次のとおりです。

このチェックリストは、2021 年 5 月のサービス リリース日より前に、ポッドがテナント環境にデプロイまたはクラウド接続されていない Horizon Cloud ユーザー アカウントを対象としています。このような環境は、クリーンスレート環境またはグリーンフィールド環境と呼ばれる場合があります。

以下のセクションにリストされている要件のいくつかは、Horizon ポッドを Horizon Cloud に正常にオンボーディングするために必要な要件です。これらの要件は、マルチクラウド割り当てをエンドユーザーに提供する本番のテナント環境を取得するために、Horizon ポッドのオンボーディング後に実行される主要なタスクに必要な要件です。

Horizon Cloud 制御プレーンの要件

Horizon Cloud 制御プレーンにログインするためのアクティブな My VMware アカウント。
有効な Horizon ユニバーサル ライセンス。詳細については、Horizon ユニバーサル ライセンスページを参照してください。

Active Directory の要件

サポートされる Microsoft Windows Active Directory Domain Services (AD DS) ドメイン機能レベル:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
同じ Horizon Cloud 顧客アカウントのすべてのクラウド接続されたポッドは、それらのポッドをデプロイするときに、Active Directory ドメインの同じセットを認識できる必要があります。この要件は、最初のポッドの後に Horizon Cloud Connector を使用してクラウド接続する追加の Horizon ポッドだけでなく、同じ顧客アカウントを使用して Microsoft Azure にデプロイされるポッドにも適用されます。新しいポッドのデプロイに対する VMware Horizon Cloud Service on Microsoft Azure 要件チェックリスト:2021 年 5 月のサービス リリース日以降にデプロイするポッドのために適切に更新されましたでは、Microsoft Azure ポッドのチェックリストを確認できます。

ドメイン バインド アカウント。

  • sAMAccountName 属性を持つ Active Directory ドメイン バインド アカウント(読み取りアクセス権限を持つ標準ユーザー)。sAMAccountName 属性は 20 文字以下にする必要があります。また、"/ \ [ ] : ; | = , + * ? < > の文字を含めることはできません。
  • アカウントは、以下の権限を持つ必要があります。
    • コンテンツの一覧表示
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    • tokenGroupsGlobalAndUniversal の読み取りすべてのプロパティの読み取り により暗黙に含まれる)
  • VMware Horizon オンプレミス製品に精通しているのであれば、上記の権限は、この Horizon オンプレミスのドキュメント トピックに記載されている、Horizon オンプレミス製品のセカンダリ認証情報アカウントに必要なセットと同じであることがわかります。
  • 一般的に、ドメイン バインド アカウントには、Microsoft Active Directory デプロイで認証されたユーザーに通常付与される、デフォルトの特別な設定は不要の読み取りアクセス関連の権限が付与されている必要があります。ただし、組織の Active Directory 管理者が通常ユーザーの読み取りアクセス権に関連する権限をロックダウンすることを選択した場合は、それらの Active Directory 管理者に、Horizon Cloud に使用するドメイン バインド アカウントの認証済みユーザーの標準デフォルト設定を保持するように要求する必要があります。

また、アカウントのパスワードを 無期限 に設定して、Horizon Cloud 環境にログインするために引き続きアクセスできるようにする必要があります。

詳細および要件については、Horizon Cloud の運用に必要なサービス アカウントを参照。

補助ドメイン バインド アカウント(上記と同じアカウントは使用できません)。

  • sAMAccountName 属性を持つ Active Directory ドメイン バインド アカウント(読み取りアクセス権限を持つ標準ユーザー)。sAMAccountName 属性は 20 文字以下にする必要があります。また、"/ \ [ ] : ; | = , + * ? < > の文字を含めることはできません。
  • アカウントは、以下の権限を持つ必要があります。
    • コンテンツの一覧表示
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    • tokenGroupsGlobalAndUniversal の読み取りすべてのプロパティの読み取り により暗黙に含まれる)
  • VMware Horizon オンプレミス製品に精通しているのであれば、上記の権限は、この Horizon オンプレミスのドキュメント トピックに記載されている、Horizon オンプレミス製品のセカンダリ認証情報アカウントに必要なセットと同じであることがわかります。
  • 一般的に、ドメイン バインド アカウントには、Microsoft Active Directory デプロイで認証されたユーザーに通常付与される、デフォルトの特別な設定は不要の読み取りアクセス関連の権限が付与されている必要があります。ただし、組織の Active Directory 管理者が通常ユーザーの読み取りアクセス権に関連する権限をロックダウンすることを選択した場合は、それらの Active Directory 管理者に、Horizon Cloud に使用するドメイン バインド アカウントの認証済みユーザーの標準デフォルト設定を保持するように要求する必要があります。

また、アカウントのパスワードを 無期限 に設定して、Horizon Cloud 環境にログインするために引き続きアクセスできるようにする必要があります。

詳細および要件については、Horizon Cloud の運用に必要なサービス アカウントを参照。

ドメイン参加アカウント
  • システムが Sysprep 操作を実行し、コンピュータをドメインに参加させるために使用できる Active Directory ドメイン参加アカウント。通常は新規アカウントです(「ドメイン参加ユーザー アカウント」)。
  • アカウント パスワードを「無期限」に設定。
  • このアカウントには、次の Active Directory 権限が必要です:コンテンツの一覧表示、すべてのプロパティの読み取り、アクセス権の読み取り、パスワードのリセット、コンピュータ オブジェクトの作成、およびコンピュータ オブジェクトの削除。
  • また、このアカウントには、Horizon Universal Console を使用して作成するファームおよび VDI デスクトップ割り当てに使用するターゲット組織単位 (OU) の OU 子孫オブジェクトに対する「すべてのプロパティの書き込み」という Active Directory 権限が必要です。
  • 詳細および要件については、Horizon Cloud の運用に必要なサービス アカウントを参照。
注:
  • ドメイン参加アカウントのログイン名に空白を使用することはサポートされていません。ドメイン参加アカウントのログイン名に空白が含まれている場合、そのアカウントに依存するシステム操作で予期しない結果が発生します。
  • Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に Deny を適用する Prevent Accidental Deletion 属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用した Deny が自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Cloud コンソールでドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定した Deny 権限を確認して手動でクリアする必要がある場合があります。
  • マニフェスト 1600.0 以前は、このアカウントにはシステムのスーパー管理者ロールの権限が必要でした。テナント環境の Microsoft Azure に、1600.0 より古いマニフェストを実行している Horizon Cloud ポッドがある場合、ドメイン参加アカウントは説明されている Horizon Cloud 管理者グループに属している必要があります。システムは、このドメイン参加アカウントを、テナントの Microsoft Azure 内のすべての Horizon Cloud ポッドで使用します。テナントに 1600.0 より古いマニフェストの既存のポッドがある場合、ドメイン参加アカウントはこの要件を満たす必要があります。詳細については、Horizon Cloud の運用に必要なサービス アカウントを参照してください。
補助ドメイン参加アカウント(オプション。上記と同じアカウントは使用できません)。
  • システムが Sysprep 操作を実行し、コンピュータをドメインに参加させるために使用できる Active Directory ドメイン参加アカウント。通常は新規アカウントです(「ドメイン参加ユーザー アカウント」)。
  • アカウント パスワードを「無期限」に設定。
  • このアカウントには、次の Active Directory 権限が必要です:コンテンツの一覧表示、すべてのプロパティの読み取り、アクセス権の読み取り、パスワードのリセット、コンピュータ オブジェクトの作成、およびコンピュータ オブジェクトの削除。
  • また、このアカウントには、Horizon Universal Console を使用して作成するファームおよび VDI デスクトップ割り当てに使用するターゲット組織単位 (OU) の OU 子孫オブジェクトに対する「すべてのプロパティの書き込み」という Active Directory 権限が必要です。
  • 詳細および要件については、Horizon Cloud の運用に必要なサービス アカウントを参照。
注:
  • ドメイン参加アカウントのログイン名に空白を使用することはサポートされていません。ドメイン参加アカウントのログイン名に空白が含まれている場合、そのアカウントに依存するシステム操作で予期しない結果が発生します。
  • Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に Deny を適用する Prevent Accidental Deletion 属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用した Deny が自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Cloud コンソールでドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定した Deny 権限を確認して手動でクリアする必要がある場合があります。
  • マニフェスト 1600.0 以前は、このアカウントにはシステムのスーパー管理者ロールの権限が必要でした。テナント環境の Microsoft Azure に、1600.0 より古いマニフェストを実行している Horizon Cloud ポッドがある場合、ドメイン参加アカウントは説明されている Horizon Cloud 管理者グループに属している必要があります。システムは、このドメイン参加アカウントを、テナントの Microsoft Azure 内のすべての Horizon Cloud ポッドで使用します。テナントに 1600.0 より古いマニフェストの既存のポッドがある場合、ドメイン参加アカウントはこの要件を満たす必要があります。詳細については、Horizon Cloud の運用に必要なサービス アカウントを参照してください。
Active Directory グループ
  • Horizon Cloud 管理者 — Horizon Cloud 管理者の Active Directory セキュリティ グループ。Horizon Cloud 管理ユーザーとドメイン参加アカウントが含まれています。このグループには、Horizon Cloudスーパー管理者ロールが付与されます。
  • Horizon Cloud ユーザー — Horizon Cloud の仮想デスクトップおよび RDS セッションベースのデスクトップと公開済みアプリケーションにアクセスするユーザーの Active Directory セキュリティ グループ。
注: テナント環境の Microsoft Azure に 1600.0 より古いマニフェストを実行している Horizon Cloud ポッドがある場合、ドメイン参加アカウントと補助ドメイン参加アカウントも Horizon Cloud 管理者グループ、または Horizon Cloudスーパー管理者ロールが付与された Active Directory グループに含まれている必要があります。

Horizon ポッドと Horizon Cloud Connector の要件

Horizon ポッドが 7.10 以降のバージョンを実行していること。クラウド接続されたポッドで最新のクラウド サービスおよび機能を使用するには、Horizon ポッド ソフトウェアの現在使用可能な最新バージョンを実行している必要があります。
バージョン 1.8 以降の Horizon Cloud Connector 仮想アプライアンス。クラウド接続されたポッドで最新のクラウド サービスおよび機能を使用するには、最新バージョンである Horizon Cloud Connector バージョン 1.10 を実行している必要があります。
  • 固定 IP アドレス
  • DNS 正引きおよび逆引き参照レコード
Horizon Cloud Connector 仮想アプライアンスのリソース要件:
  • バージョン 1.8 の場合:
    • フル機能プロファイル:vCPU x 8、8 GB メモリ (RAM)、40 GB のデータストア
    • 基本機能プロファイル:vCPU x 8、8 GB メモリ (RAM)、40 GB のデータストア
  • バージョン 1.9 の場合:
    • フル機能プロファイル:vCPU x 8、8 GB メモリ (RAM)、40 GB のデータストア
    • 基本機能プロファイル:vCPU x 8、8 GB メモリ (RAM)、40 GB のデータストア
  • バージョン 1.10 の場合:vCPU x 8、8 GB メモリ (RAM)、40 GB のデータストア
重要: Connection Server 仮想マシン、Unified Access Gateway 仮想マシン、およびその他のコンポーネントなどの Horizon 管理コンポーネントの容量を予約するとともに、 Horizon Cloud Connector コンポーネントの容量を予約する必要があります。 Horizon Cloud Connector は、 Horizon ポッドを Horizon Cloud に接続するために Horizon ポッド環境にデプロイされるインフラストラクチャ コンポーネントです。これは、そのポッドで Horizon サブスクリプション ライセンスとクラウドホスト型サービスを使用するユースケースを想定しています。
Horizon Cloud Connector とポッドの Connection Server をペアリングするときにポッドのオンボーディング プロセスで使用される Active Directory ユーザー。この Active Directory ユーザーには、ポッドの Horizon Console([グローバル管理者ビュー] > [ロールの権限] > [管理者])に示すように、root アクセス グループにポッドの事前定義された 管理者 ロールが必要です。つまり、ポッドのソフトウェア バージョンに適用される Horizon ドキュメントの『Horizon 管理ガイド』または『Horizon Console 管理ガイド』で説明されているように、ポッドのオンボーディング プロセスに指定された Active Directory ユーザーはそのポッドのスーパー ユーザーです。

DNS、ポートおよびプロトコルの要件

特定のポートとプロトコルは、Horizon ポッドを Horizon Cloud にオンボーディングするため、およびポッド、そのポッドとペアリングされた Horizon Cloud Connector、および Horizon Cloud テナント環境の継続的な運用のために必要です。Horizon Cloud Connector と Horizon ポッドを使用するときの DNS、ポート、およびプロトコルの要件を参照してください。

Universal Broker の要件

最初のポッドのオンボーディングが完了したら、Horizon Cloud 環境の仲介方法として Universal Broker の使用を設定できます。ご使用の環境に Universal Broker を構成することを選択した場合は、概要レベルで次の項目が必要になります。詳細については、Universal Broker の構成Universal Broker のシステム要件を参照してください。

クラウドに接続された Horizon ポッドで Universal Broker を使用するには、ポッドに Unified Access Gateway が構成されている必要があります。
Universal Broker には、参加している Horizon ポッドと連携するための特定の DNS、ポート、およびプロトコルの要件があります。Horizon ポッド - Universal Broker のポートとプロトコルの要件を参照してください。
オプション : Universal Broker でポッドに 2 要素認証を使用する場合は、RADIUS 認証サーバへの 2 要素認証用にポッドのゲートウェイを構成します。
  • 認証サーバの名前を解決するための Unified Access Gateway の DNS アドレス
  • 認証サーバへのネットワーク ルーティングを解決する Unified Access Gateway のルート
オプション : エンドユーザーが Universal Broker サービスおよびその FQDN に基づく証明書にアクセスするために使用するカスタムの FQDN(オプション)

Microsoft Windows オペレーティング システムのライセンス

Horizon Cloud は、Horizon Cloud ワークフローを使用する過程で使用する Microsoft Windows オペレーティング システムの使用に必要なゲスト OS ライセンスを提供しません。ユーザーは、Horizon Cloud テナント環境で使用するために選択した Windows ベースのデスクトップ仮想マシンおよび RDSH 仮想マシンの作成、ワークフローの実行、および操作を行う資格が付与される有効で適格な Microsoft ライセンスを所有している責任があります。必要なライセンスは、使用目的によって異なります。

次のいずれかのタイプのライセンス:Microsoft Windows 7、Microsoft Windows 10
次のいずれかのタイプのライセンス:Microsoft Windows Server 2012 R2、Microsoft Windows 2016、Microsoft Server 2019
Microsoft Windows RDS ライセンス サーバ — 高可用性のために冗長ライセンス サーバを推奨
Microsoft RDS ユーザーまたはデバイス CAL(またはその両方)