このページは、第 1 世代の Horizon Cloud 環境があり、Horizon ポッドをその環境にオンボーディングする場合にのみ使用します。

重要: Horizon Plus サブスクライバの場合は、このページを使用してポッドをオンボーディングしないでください。Horizon Plus サブスクライバの場合、Horizon Plus サブスクリプションでライセンス供与された機能を使用するには、それらの Horizon デプロイを次世代の制御プレーンにオンボーディングする必要があります。このページの内容は、第 1 世代の制御プレーンのみを対象としています。

Horizon Plus サブスクライバの場合は、次世代の制御プレーンにオンボーディングして Horizon Edge のデプロイを開始する最初の手順について、このページの Horizon Plus に関する情報を参照してください。

注目: Horizon Universal サブスクライバの場合、ライセンス使用の目的でのみ Horizon ポッドをオンボーディングする場合は、これらのポッドを第 1 世代の制御プレーンではなく、次世代の制御プレーンにオンボーディングすることを強くお勧めします。このページは、第 1 世代の制御プレーンに固有です。

ライセンス使用の目的でのみポッドをオンボーディングする場合のベスト プラクティスは、Horizon Cloud - next-gen のデプロイとオンボーディングの説明に従って、次世代の制御プレーンにオンボーディングすることです。

ライセンスを使用だけでなく、IMS や Universal Broker などの追加のクラウドベースのサービスをポッドで使用する場合は、それらのポッドをこの第 1 世代の制御プレーンにオンボーディングできます。

概要

次のタスクを完了して、ポッドを第 1 世代の Horizon Cloud 制御プレーンにオンボーディングするために Horizon ポッドのコンポーネントを準備します。オンボーディングを正常に完了するために、以下のセクションの説明に従って、要件を満たしていることを確認します。

チェックリスト対象者

このチェックリストは、主に、2022 年 10 月 20 日のサービス リリース以前に、ポッドがテナント環境にオンボーディングされていないクリーンスレート、グリーンフィールドの Horizon Cloud ユーザー アカウントを対象としています。

次のセクションに記載されている要件の一部は、ポッドでサブスクリプション ライセンスを使用する目的で Horizon ポッドを正常にオンボーディングするために必要なものです。一部の要件は、ポッドでの Horizon Cloud 制御プレーン サービスの使用を有効にするために最初のオンボーディング後に実行する主要なタスクに必要なものです。

参考までに、Horizon ポッドをクラウド接続するワークフローの概要については、Horizon ポッドの Horizon Cloud 制御プレーンへのオンボーディングを参照してください。

Horizon Cloud 制御プレーンの要件

Horizon Cloud 制御プレーンにログインするためのアクティブな VMware Customer Connect アカウント(My VMware という名前は、VMware Customer Connect の以前の名前でした)。
有効な Horizon ユニバーサル ライセンス。このライセンスの詳細については、Horizon ユニバーサル ライセンスページを参照してください。

Horizon ポッドと Horizon Cloud Connector の要件

VMware 相互運用性マトリックスに記載されているように、Horizon Cloud Connector バージョンと Horizon バージョン間の相互運用性のためには Horizon ポッドが 7.13.0 より前のバージョンで実行されていてはなりません。また、クラウド接続されたポッドで最新のクラウド サービスと機能を使用するには、最新バージョンの Horizon ポッド ソフトウェアを実行している必要があります。
本書の執筆時点では、新しいデプロイの場合は、Horizon Cloud Connector バージョン 2.2.x 以降を使用することを強くお勧めします。最新バージョンの 2.2.x より前のバージョンは、最新の修正および改善が含まれていないため、新しいデプロイには使用しないでください。

クラウド接続されたポッドで最新のクラウド サービスおよび機能を使用し、最新のセキュリティの修正を適用するには、最新バージョンの Horizon Cloud Connector を実行している必要があります。

Horizon Cloud Connector アプライアンスのデプロイ手順では、次を使用します。

  • 固定 IP アドレス
  • DNS 正引きおよび逆引き参照レコード
Horizon Cloud Connector 仮想アプライアンスのリソース要件。リソース要件は、デプロイされた Horizon ポッドのアーキテクチャ(オールイン SDDC またはフェデレーション アーキテクチャ)によって異なります。以下のリストは、各設計の新しいデプロイで現在サポートされているバージョンを反映しています。
オールイン SDDC アーキテクチャ
オールイン SDDC アーキテクチャでは、アプライアンスの OVA 形式が VMware SDDC 内にデプロイされます。
バージョン 2.2.x
  • プライマリ ノード:vCPU x 4、8 GB メモリ (RAM)、40 GB データストア
  • 追加の各ワーカー ノード:vCPU x 4、8 GB メモリ (RAM)、40 GB データストア
バージョン 2.3.x
  • プライマリ ノード:vCPU x 4、8 GB メモリ (RAM)、40 GB データストア
  • 追加の各ワーカー ノード:vCPU x 4、8 GB メモリ (RAM)、40 GB データストア
バージョン 2.4.x
  • プライマリ ノード:vCPU x 4、8 GB メモリ (RAM)、40 GB データストア
  • 追加の各ワーカー ノード:vCPU x 4、8 GB メモリ (RAM)、40 GB データストア
フェデレーション アーキテクチャ
フェデレーション アーキテクチャでは、クラウドネイティブ形式のアプライアンスが特定のクラウドネイティブ インフラストラクチャ内にデプロイされます。以下のリストは、現在サポートされているクラウドネイティブ形式で、ファイルのダウンロードが可能です。使用可能なクラウドネイティブ形式は、 Horizon Cloud Connector の特定のバージョンごとに異なります。

アプライアンスのデプロイに使用する基盤となるマシン インスタンスは、次のリソース要件以上を満たしている必要があります。

バージョン 2.2.x
これらのデプロイでは、プライマリ ノードのみの使用がサポートされます。
  • Azure VMware Solution (AVS) - vCPU x 8、32 GB メモリ (RAM)、40 GB データストア。Azure Cloud インスタンス Standard_D8_v3 は、8 個以上の vCPU に対して提供するサポート検証済みのインスタンスです。
  • Google Cloud VMware Engine (GCVE) - vCPU x 8、32 GB メモリ (RAM)、40 GB データストア。Google Cloud インスタンス n2-standard-8 は、8 個以上の vCPU に対して提供するサポート検証済みのインスタンスです。
  • VMware Cloud on AWS - vCPU x 8、16 GB メモリ (RAM)、40 GB データストア。Amazon インスタンス c5.2xlarge は、8 個以上の vCPU に対して提供するサポート検証済みのインスタンスです。
バージョン 2.3.x
これらのデプロイでは、プライマリ ノードのみの使用がサポートされます。
  • Azure VMware Solution (AVS) - vCPU x 8、32 GB メモリ (RAM)、40 GB データストア。Azure Cloud インスタンス Standard_D8_v3 は、8 個以上の vCPU に対して提供するサポート検証済みのインスタンスです。
  • Google Cloud VMware Engine (GCVE) - vCPU x 8、32 GB メモリ (RAM)、40 GB データストア。Google Cloud インスタンス n2-standard-8 は、8 個以上の vCPU に対して提供するサポート検証済みのインスタンスです。
  • VMware Cloud on AWS - vCPU x 8、16 GB メモリ (RAM)、40 GB データストア。Amazon インスタンス c5.2xlarge は、8 個以上の vCPU に対して提供するサポート検証済みのインスタンスです。
バージョン 2.4.x
これらのデプロイでは、プライマリ ノードのみの使用がサポートされます。
  • Azure VMware Solution (AVS) - vCPU x 8、32 GB メモリ (RAM)、40 GB データストア。Azure Cloud インスタンス Standard_D8_v3 は、8 個以上の vCPU に対して提供するサポート検証済みのインスタンスです。
  • Google Cloud VMware Engine (GCVE) - vCPU x 8、32 GB メモリ (RAM)、40 GB データストア。Google Cloud インスタンス n2-standard-8 は、8 個以上の vCPU に対して提供するサポート検証済みのインスタンスです。
  • VMware Cloud on AWS - vCPU x 8、16 GB メモリ (RAM)、40 GB データストア。Amazon インスタンス c5.2xlarge は、8 個以上の vCPU に対して提供するサポート検証済みのインスタンスです。
Horizon Cloud Connector とポッドの Connection Server をペアリングするときにポッドのオンボーディング プロセスに必須の Active Directory ユーザー。この Active Directory ユーザーには、ポッドの Horizon Console([グローバル管理者ビュー] > [ロールの権限] > [管理者])に示すように、root アクセス グループにポッドの事前定義された 管理者 ロールが必要です。つまり、ポッドのソフトウェア バージョンに適用される VMware Horizon 7 または VMware Horizon 8 ドキュメントの『Horizon 管理』ガイドまたは『Horizon Console 管理』ガイドで説明されているように、ポッドのオンボーディング プロセスに指定された Active Directory ユーザーはそのポッドのスーパー ユーザーです。

Active Directory の要件

サポートされる Microsoft Windows Active Directory Domain Services (AD DS) ドメイン機能レベル:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
同じ Horizon Cloud テナントのすべてのクラウド接続されたポッドは、それらのポッドをクラウド制御プレーンにオンボーディングするときに、Active Directory ドメインの同じセットを認識できる必要があります。この認識要件は、最初のポッドの後にポッド フリートにオンボーディングされる追加の Horizon ポッドだけでなく、同じクラウド テナントを使用して Microsoft Azure にデプロイされる Horizon Cloud ポッドにも適用されます。

ドメイン バインド アカウント。

  • sAMAccountName 属性を持つ Active Directory ドメイン バインド アカウント(読み取りアクセス権限を持つ標準ユーザー)。sAMAccountName 属性は 20 文字以下にする必要があります。また、"/ \ [ ] : ; | = , + * ? < > の文字を含めることはできません。
  • アカウントは、以下の権限を持つ必要があります。
    • コンテンツの一覧表示
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    • tokenGroupsGlobalAndUniversal の読み取りすべてのプロパティの読み取り により暗黙に含まれる)
  • VMware Horizon オンプレミス製品に精通しているのであれば、上記の権限は、この Horizon オンプレミスのドキュメント トピックに記載されている、Horizon オンプレミス製品のセカンダリ認証情報アカウントに必要なセットと同じであることがわかります。
  • 一般的に、ドメイン バインド アカウントには、Microsoft Active Directory デプロイで認証されたユーザーに通常付与される、デフォルトの特別な設定は不要の読み取りアクセス関連の権限が付与されている必要があります。ただし、組織の Active Directory 管理者が通常ユーザーの読み取りアクセス権に関連する権限をロックダウンすることを選択した場合は、それらの Active Directory 管理者に、Horizon Cloud に使用するドメイン バインド アカウントの認証済みユーザーの標準デフォルト設定を保持するように要求する必要があります。

また、アカウントのパスワードを 無期限 に設定して、Horizon Cloud 環境にログインするために引き続きアクセスできるようにする必要があります。

詳細および要件については、Horizon Cloud の運用に必要なサービス アカウントを参照。

補助ドメイン バインド アカウント(上記と同じアカウントは使用できません)。

  • sAMAccountName 属性を持つ Active Directory ドメイン バインド アカウント(読み取りアクセス権限を持つ標準ユーザー)。sAMAccountName 属性は 20 文字以下にする必要があります。また、"/ \ [ ] : ; | = , + * ? < > の文字を含めることはできません。
  • アカウントは、以下の権限を持つ必要があります。
    • コンテンツの一覧表示
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    • tokenGroupsGlobalAndUniversal の読み取りすべてのプロパティの読み取り により暗黙に含まれる)
  • VMware Horizon オンプレミス製品に精通しているのであれば、上記の権限は、この Horizon オンプレミスのドキュメント トピックに記載されている、Horizon オンプレミス製品のセカンダリ認証情報アカウントに必要なセットと同じであることがわかります。
  • 一般的に、ドメイン バインド アカウントには、Microsoft Active Directory デプロイで認証されたユーザーに通常付与される、デフォルトの特別な設定は不要の読み取りアクセス関連の権限が付与されている必要があります。ただし、組織の Active Directory 管理者が通常ユーザーの読み取りアクセス権に関連する権限をロックダウンすることを選択した場合は、それらの Active Directory 管理者に、Horizon Cloud に使用するドメイン バインド アカウントの認証済みユーザーの標準デフォルト設定を保持するように要求する必要があります。

また、アカウントのパスワードを 無期限 に設定して、Horizon Cloud 環境にログインするために引き続きアクセスできるようにする必要があります。

詳細および要件については、Horizon Cloud の運用に必要なサービス アカウントを参照。
ドメイン参加アカウント
  • システムが Sysprep 操作を実行し、コンピュータをドメインに参加させるために使用できる Active Directory ドメイン参加アカウント。通常は新規アカウントです(「ドメイン参加ユーザー アカウント」)。
  • アカウント パスワードを「無期限」に設定。
  • このアカウントには、次の Active Directory 権限が必要です:コンテンツの一覧表示、すべてのプロパティの読み取り、アクセス権の読み取り、パスワードのリセット、コンピュータ オブジェクトの作成、およびコンピュータ オブジェクトの削除。
  • また、このアカウントには、Horizon Universal Console を使用して作成するファームおよび VDI デスクトップ割り当てに使用するターゲット組織単位 (OU) の OU 子孫オブジェクトに対する「すべてのプロパティの書き込み」という Active Directory 権限が必要です。
  • 詳細および要件については、Horizon Cloud の運用に必要なサービス アカウントを参照。
注:
  • ドメイン参加アカウントのログイン名に空白を使用することはサポートされていません。ドメイン参加アカウントのログイン名に空白が含まれている場合、そのアカウントに依存するシステム操作で予期しない結果が発生します。
  • Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に Deny を適用する Prevent Accidental Deletion 属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用した Deny が自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Cloud コンソールでドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定した Deny 権限を確認して手動でクリアする必要がある場合があります。
  • マニフェスト 1600.0 以前は、このアカウントにはシステムのスーパー管理者ロールの権限が必要でした。テナント環境の Microsoft Azure に、1600.0 より古いマニフェストを実行している Horizon Cloud ポッドがある場合、ドメイン参加アカウントは説明されている Horizon Cloud 管理者グループに属している必要があります。システムは、このドメイン参加アカウントを、テナントの Microsoft Azure 内のすべての Horizon Cloud ポッドで使用します。テナントに 1600.0 より古いマニフェストの既存のポッドがある場合、ドメイン参加アカウントはこの要件を満たす必要があります。詳細については、Horizon Cloud の運用に必要なサービス アカウントを参照してください。
補助ドメイン参加アカウント(オプション。上記と同じアカウントは使用できません)。
  • システムが Sysprep 操作を実行し、コンピュータをドメインに参加させるために使用できる Active Directory ドメイン参加アカウント。通常は新規アカウントです(「ドメイン参加ユーザー アカウント」)。
  • アカウント パスワードを「無期限」に設定。
  • このアカウントには、次の Active Directory 権限が必要です:コンテンツの一覧表示、すべてのプロパティの読み取り、アクセス権の読み取り、パスワードのリセット、コンピュータ オブジェクトの作成、およびコンピュータ オブジェクトの削除。
  • また、このアカウントには、Horizon Universal Console を使用して作成するファームおよび VDI デスクトップ割り当てに使用するターゲット組織単位 (OU) の OU 子孫オブジェクトに対する「すべてのプロパティの書き込み」という Active Directory 権限が必要です。
  • 詳細および要件については、Horizon Cloud の運用に必要なサービス アカウントを参照。
注:
  • ドメイン参加アカウントのログイン名に空白を使用することはサポートされていません。ドメイン参加アカウントのログイン名に空白が含まれている場合、そのアカウントに依存するシステム操作で予期しない結果が発生します。
  • Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に Deny を適用する Prevent Accidental Deletion 属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用した Deny が自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Cloud コンソールでドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定した Deny 権限を確認して手動でクリアする必要がある場合があります。
  • マニフェスト 1600.0 以前は、このアカウントにはシステムのスーパー管理者ロールの権限が必要でした。テナント環境の Microsoft Azure に、1600.0 より古いマニフェストを実行している Horizon Cloud ポッドがある場合、ドメイン参加アカウントは説明されている Horizon Cloud 管理者グループに属している必要があります。システムは、このドメイン参加アカウントを、テナントの Microsoft Azure 内のすべての Horizon Cloud ポッドで使用します。テナントに 1600.0 より古いマニフェストの既存のポッドがある場合、ドメイン参加アカウントはこの要件を満たす必要があります。詳細については、Horizon Cloud の運用に必要なサービス アカウントを参照してください。
Active Directory グループ
  • Horizon Cloud 管理者 — Horizon Cloud 管理者の Active Directory セキュリティ グループ。Horizon Cloud 管理ユーザーとドメイン参加アカウントが含まれています。このグループには、Horizon Cloudスーパー管理者ロールが付与されます。
  • Horizon Cloud ユーザー — Horizon Cloud の仮想デスクトップおよび RDS セッションベースのデスクトップと公開済みアプリケーションにアクセスするユーザーの Active Directory セキュリティ グループ。
注: テナント環境の Microsoft Azure に 1600.0 より古いマニフェストを実行している Horizon Cloud ポッドがある場合、ドメイン参加アカウントと補助ドメイン参加アカウントも Horizon Cloud 管理者グループ、または Horizon Cloudスーパー管理者ロールが付与された Active Directory グループに含まれている必要があります。

DNS、ポートおよびプロトコルの要件

特定のポートとプロトコルは、Horizon ポッドを Horizon Cloud にオンボーディングするため、およびポッド、そのポッドとペアリングされた Horizon Cloud ConnectorHorizon Cloud 制御プレーンを使用する Horizon Cloud Connector での継続的な運用のために必要です。Horizon Cloud Connector と Horizon ポッドを使用するときの DNS、ポート、およびプロトコルの要件を参照してください。

Universal Broker

コンソールを使用してテナントの Universal Broker を構成する場合は、次の表に記載されている項目のうち、目的のオプションに該当する項目を満たしていることを確認してください。詳細については、Universal Broker の構成を参照してください。

ポッドのペアリングされた Horizon Cloud Connector からのアウトバンド通信は、特定のポートおよびプロトコルを使用して特定の DNS 名を解決し、アクセスする必要があります。これは Universal Broker の構成および継続的な運用のために必要です。Horizon ポッド - Universal Broker のポートとプロトコルの要件を参照してください。
提供するエンドユーザー接続のタイプに応じて、以下の構成が必要です。
  • インターネットからのエンドユーザー接続で、仮想デスクトップおよびアプリケーションを起動する場合は、ポッドで外部 Unified Access Gateway が構成されている必要があります。
  • すべてのエンドユーザー接続が常に内部ネットワークからのものである場合、ポッドでは Unified Access Gateway は必要ありません。ただし、Universal Broker でこれらの内部エンドユーザー接続に 2 要素認証を適用する場合は除きます。
オプション:カスタムの FQDN。エンド ユーザーがこれを使用して Universal Broker サービスおよびその FQDN に基づく証明書にアクセスします。VMware 提供の仲介 FQDN を使用する場合、カスタム FQDN は必要ありません。
任意。Universal Broker で 2 要素認証を適用する場合、ポッドには、認証サーバへの 2 要素認証用に構成された外部 Unified Access Gateway が必要です。Universal Broker は認証要求を Unified Access Gateway に渡します。後者は認証サーバと通信し、応答を中継して Universal Broker に返します。この外部 Unified Access Gateway 構成には、次の項目が必要です。
  • 認証サーバの名前を解決するための Unified Access Gateway の DNS アドレス
  • 認証サーバへのネットワーク ルーティングを解決する Unified Access Gateway のルート

Microsoft Windows オペレーティング システムのライセンス

Horizon Cloud は、Horizon Cloud ワークフローを使用する過程で使用する Microsoft Windows オペレーティング システムの使用に必要なゲスト OS ライセンスを提供しません。ユーザーは、Horizon Cloud テナント環境で使用するために選択した Windows ベースのデスクトップ仮想マシンおよび RDSH 仮想マシンの作成、ワークフローの実行、および操作を行う資格が付与される有効で適格な Microsoft ライセンスを所有している責任があります。必要なライセンスは、使用目的によって異なります。

次のいずれかのタイプのライセンス:Microsoft Windows 7、Microsoft Windows 10
次のいずれかのタイプのライセンス:Microsoft Windows Server 2012 R2、Microsoft Windows 2016、Microsoft Server 2019
Microsoft Windows RDS ライセンス サーバ — 高可用性のために冗長ライセンス サーバを推奨
Microsoft RDS ユーザーまたはデバイス CAL(またはその両方)