ウィザードのこの手順では、ゲートウェイが構成されているポッドをデプロイするために必要な情報を指定します。Unified Access Gateway は、Microsoft Azure にデプロイされたポッドのゲートウェイ環境を提供します。新しいポッドをデプロイするときには、外部または内部ゲートウェイ構成を使用するか、同じポッドで両方のタイプを使用するかを選択できます。デフォルトでは、このウィザードの手順が表示されるときに、外部ゲートウェイ構成が選択されます。

外部ゲートウェイ構成
外部ゲートウェイ構成では、企業のネットワークの外部にいるユーザーがデスクトップおよびアプリケーションにアクセスできるようにすることができます。ポッドにこの外部ゲートウェイ構成がある場合、ポッドには、このアクセスを提供するための Azure ロード バランサ リソースUnified Access Gateway インスタンスが含まれています。この場合、各インスタンスには 3 つの NIC があります:1 つは管理サブネット上の NIC、1 つはデスクトップ サブネット上の NIC、そしてもう 1 つは DMZ サブネット上の NIC です。デプロイ ウィザードでは、ロード バランサにプライベート IP アドレスを使用するか、パブリック IP アドレスを使用するかに応じて、ロード バランシング タイプをプライベートまたはパブリックのいずれかに指定するためのオプションがあります。パブリック IP のトグルを無効にする場合、エンド ユーザーの Horizon Client がゲートウェイとの PCoIP 接続に使用する FQDN に DNS サーバでマッピングした IP アドレスを指定する必要があります。

外部ゲートウェイ構成の場合、ポッドの VNet とは別の VNet に構成をデプロイするオプションもあります。VNet をピアリングする必要があります。このタイプの構成では、ポッドをハブ - スポーク ネットワーク トポロジなど Microsoft Azure のより複雑なネットワーク トポロジーにデプロイできます。

注: 最初のウィザードのステップで、外部ゲートウェイが専用のサブスクリプションを使用するトグルを有効にした場合、外部ゲートウェイを専用の VNet(そのサブスクリプションに関連付けられている VNet)にデプロイする必要があります。このトグルを有効にした場合、必要に応じて、外部ゲートウェイのリソース用にそのサブスクリプションの既存のリソース グループを選択できます。このウィザードのステップで選択できるように、事前にそのリソース グループを準備しておく必要があります。
内部ゲートウェイ構成
内部ゲートウェイ構成は、企業のネットワークの内部にいるエンド ユーザーに対して、デスクトップおよびアプリケーションへの信頼される HTML Access (Blast) 接続機能を提供します。内部ゲートウェイ構成を使用してポッドが構成されていない場合、企業のネットワーク内のエンド ユーザーは、ブラウザを使用してデスクトップやアプリケーションに HTML Access (Blast) 接続をする際に標準ブラウザの信頼されていない証明書エラーに遭遇します。ポッドにこの内部ゲートウェイ構成がある場合、ポッドには、このアクセスを提供するための Azure ロード バランサのリソースUnified Access Gateway インスタンスが含まれています。この場合、各インスタンスには 2 つの NIC があります:1 つは管理サブネット上の NIC、1 つはデスクトップ サブネット上の NIC です。デフォルトでは、このゲートウェイのロード バランシング タイプはプライベートです。

次のスクリーンショットは、最初に表示されるときの手順の例です。一部のコントロールは、最初のウィザード手順で外部ゲートウェイ構成に別のサブスクリプションを使用することを選択した場合にのみ表示されます。


Horizon Cloud on Microsoft Azure:最初に表示されるポッド デプロイ ウィザードのステップ 3。

前提条件

ポッド デプロイ ウィザードを実行するための前提条件に記載されている前提条件を満たしていることを確認します。

重要: この手順を完了するには、エンド ユーザーがサービスにアクセスするために必要な完全修飾ドメイン名 (FQDN) と、その FQDN に基づく署名付きの SSL 証明書(PEM 形式)を取得する必要があります。証明書は信頼されている認証局 (CA) によって署名する必要があります。1 つの PEM ファイルに、SSL 証明書の中間証明書、ルート CA 証明書、プライベート キーを含む、完全な証明書チェーンが含まれている必要があります。詳細については、 証明書ファイルをポッドのデプロイに必要な PEM 形式に変換するを参照してください。

証明書チェーン内のすべての証明書の有効期限が切れていないことを確認します。証明書チェーン内のいずれかの証明書の有効期限が切れている場合、後からポッドのオンボーディング プロセスで予期しない不具合が発生する可能性があります。

この FQDN には、アンダー スコアを含めることはできません。このリリースでは、FQDN にアンダー スコアが含まれていると、Unified Access Gateway インスタンスへの接続が失敗します。

手順

  1. 外部ゲートウェイ構成を使用する場合、[外部ゲートウェイ] セクションのフィールドをすべて入力します。
    オプション 説明
    [外部ゲートウェイを有効にしますか?] ポッドに外部ゲートウェイ構成があるかどうかを制御します。外部構成を使用すると、企業のネットワークの外部にいるユーザーがデスクトップおよびアプリケーションにアクセスできるようになります。ポッドには、このアクセスを提供する Microsoft Azure ロード バランサ リソースと Unified Access Gateway インスタンスが含まれています。
    注: デフォルトの有効になっている設定にしておくことをお勧めします。

    このトグルをオフにすると、クライアントはポッドと統合された Workspace ONE Access を介して、またはポッド マネージャのロード バランサに直接接続するか、内部ゲートウェイ構成を介して接続する必要があります。クライアントがポッドに統合された Workspace ONE Access を介して、または直接接続する場合、いくつかのデプロイ後の手順が必要です。この場合、ポッドをデプロイした後に、Horizon Cloud 管理ガイド におけるポッドへの SSL 証明書のアップロードに関する情報を参照してください。

    [FQDN] サービスへのアクセスでエンド ユーザーが使用する完全修飾ドメイン名 (FQDN) を入力します(例:ourOrg.example.com)。このドメイン名を所有し、その FQDN を検証可能な PEM 形式の証明書を取得する必要があります。
    重要: この FQDN には、アンダー スコアを含めることはできません。このリリースでは、FQDN にアンダー スコアが含まれていると、 Unified Access Gateway インスタンスへの接続が失敗します。
    [DNS アドレス] オプションで、Unified Access Gateway が名前解決に使用できる追加の DNS サーバのアドレスを、カンマ区切りで入力します。オンプレミスの RADIUS サーバで 2 要素認証を使用するためにこの外部 Unified Access Gateway 構成を設定するときは、オンプレミスの RADIUS サーバの名前を解決できる DNS サーバのアドレスを指定します。

    デプロイの前提条件 で説明したように、最初に DNS サーバをサブスクリプション内にセットアップし、外部名を解決できるように構成する必要があります。Unified Access Gateway インスタンスは、デフォルトではその DNS サーバを使用します。このフィールドにアドレスを指定する場合、デプロイした Unified Access Gateway インスタンスは、サブスクリプションの仮想ネットワークで構成した前提条件の DNS サーバに加えて、アドレスを使用します。

    [ルート] オプションで、デプロイした Unified Access Gateway インスタンスが、エンド ユーザー アクセス用のネットワークのルーティングを解決するために使用する、追加のゲートウェイへのカスタム ルートを指定します。指定したルートは、Unified Access Gateway が 2 要素認証の RADIUS サーバなどにネットワーク ルーティングを解決できるようにするために使用されます。

    このポッドをオンプレミスの RADIUS サーバで 2 要素認証を使用するように構成する場合は、Unified Access Gateway インスタンスが RADIUS サーバに接続するための正しいルートを入力する必要があります。たとえば、オンプレミスの RADIUS サーバがその IP アドレスとして 10.10.60.20 を使用している場合、10.10.60.0/24 とデフォルト ルートのゲートウェイ アドレスをカスタム ルートとして入力することになります。この環境で使用している Express ルートまたは VPN 構成からデフォルト ルートのゲートウェイ アドレスを取得します。

    形式 ipv4-network-address/bits ipv4-gateway-address で、カンマ区切りリストとしてカスタム ルートを指定します(例:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)。

    [仮想マシン モデル] Unified Access Gateway インスタンスに使用するモデルを選択します。このポッドに指定した Microsoft Azure サブスクリプションが、選択したモデルの 2 台の仮想マシンのキャパシティを確実に満たすようにする必要があります。
    [証明書] Microsoft Azure で実行中の Unified Access Gateway インスタンスへの接続をクライアントが信頼できるようにするために、Unified Access Gateway で使用される PEM 形式の証明書をアップロードします。証明書は、入力した FQDN に基づいたものにして、信頼されている認証局 (CA) によって署名されている必要があります。PEM ファイルに、SSL 証明書の中間証明書、ルート CA 証明書、プライベート キーを含む、完全な証明書チェーンが含まれている必要があります。

    このゲートウェイの Microsoft ロード バランサの設定を指定します。

    オプション 説明
    [パブリック IP アドレスを有効にしますか?] このゲートウェイのロード バランシング タイプがプライベートとして構成されるか、パブリックとして構成されるかを制御します。オンに切り替えると、デプロイされた Microsoft Azure ロード バランサ リソースがパブリック IP アドレスで構成されます。オフに切り替えると、Microsoft Azure ロード バランサ リソースがプライベート IP アドレスで構成されます。
    重要: このリリースでは、外部ゲートウェイのロード バランシング タイプを後でパブリックからプライベートに、またはプライベートからパブリックに変更することはできません。この変更を行う唯一の方法は、デプロイされたポッドからゲートウェイ構成を完全に削除してから、ポッドを編集して逆の設定で追加することです。

    このトグルを無効にすると、[Horizon FQDN のパブリック IP アドレス] フィールドが表示されます。

    [Horizon FQDN のパブリック IP アドレス] デプロイされた Microsoft Azure ロード バランサにパブリック IP を構成しないことを選択した場合、エンド ユーザーの Horizon Client がゲートウェイとの PCoIP 接続に使用する FQDN に DNS でマッピングする IP アドレスを提供する必要があります。デプロイヤは、この IP アドレスを Unified Access Gateway 構成の設定で構成します。

    外部ゲートウェイのネットワーク設定を指定します。

    オプション 説明
    [別の仮想ネットワークを使用] このトグルは、外部ゲートウェイをポッドの VNet とは別の専用の VNet にデプロイするかどうかを制御します。

    次の行は、さまざまなケースを示しています。

    注: ウィザードの最初のステップで外部ゲートウェイに別のサブスクリプションを使用するように指定した場合、このトグルはデフォルトで有効になっています。その場合は、ゲートウェイの VNet を選択する必要があります。
    [別の仮想ネットワークを使用] — 無効 トグルを無効にすると、外部ゲートウェイがポッドの VNet にデプロイされます。この場合は、DMZ サブネットを指定する必要があります。
    • [DMZ サブネット] - ポッドのセットアップ ウィザード手順で [既存のサブネットを使用] を有効にすると、[DMZ サブネット] には [仮想ネットワーク] に対して選択された VNet 上で使用可能なサブネットが表示されます。ポッドの DMZ サブネットに使用する既存のサブネットを選択します。
      重要: 接続されているその他のリソースがない空のサブネットを選択します。サブネットが空でない場合、デプロイ プロセス中またはポッドの操作中に予期しない結果が発生する可能性があります。
    • [DMZ サブネット (CIDR)] - 前のウィザード手順で [既存のサブネットを使用] が無効になっている場合、DMZ(非武装地帯)ネットワークのサブネットを CIDR 表記で入力します。このネットワークは、Unified Access Gateway インスタンスをゲートウェイの Microsoft Azure パブリック ロード バランサに接続するように構成されます。
    [別の仮想ネットワークを使用] — 有効 トグルを有効にすると、外部ゲートウェイが専用の VNet にデプロイされます。この場合、使用する VNet を選択してから、必要な 3 つのサブネットを指定する必要があります。[既存のサブネットを使用] トグルを有効にして、指定した VNet で事前に作成したサブネットから選択します。そうでない場合は、サブネットを CIDR 表記で指定します。
    重要: 接続されているその他のリソースがない空のサブネットを選択します。サブネットが空でない場合、デプロイ プロセス中またはポッドの操作中に予期しない結果が発生する可能性があります。

    この場合、ゲートウェイの VNet とポッドの VNet がピアリングされます。ベスト プラクティスは、サブネットを事前に作成し、ここで CIDR エントリを使用しないことです。ポッドの VNet またはサブスクリプションとは別の専用の VNet またはサブスクリプションを使用して外部 Unified Access Gateway 構成でデプロイする場合の前提条件を参照してください。

    • 管理サブネット - ゲートウェイの管理サブネットに使用するサブネットを指定します。少なくとも /27 の CIDR が必要です。このサブネットにはサービス エンドポイントとして Microsoft.SQL サービスが構成されている必要があります。
    • バックエンド サブネット - ゲートウェイのバックエンド サブネットに使用するサブネットを指定します。少なくとも /27 の CIDR が必要です。
    • フロントエンド サブネット - Unified Access Gateway インスタンスをゲートウェイの Microsoft Azure パブリック ロード バランサに接続するように構成されるフロントエンド サブネットのサブネットを指定します。
  2. (オプション) [外部ゲートウェイ] セクションで、外部ゲートウェイの 2 要素認証をオプションで設定します。
    ポッドのための 2 要素認証機能の指定 の手順を完了させます。
  3. (オプション) [デプロイ] セクションで、トグルを使用して、必要に応じてデプロイヤが外部ゲートウェイ構成のリソースを展開する既存のリソース グループを選択します。
    このトグルは、ウィザードの最初のステップで外部ゲートウェイに別のサブスクリプションを使用するように指定した場合に表示されます。トグルを有効にすると、リソース グループを検索して選択するフィールドが表示されます。
  4. [内部ゲートウェイ] セクションで、内部ゲートウェイ構成が必要な場合は、[内部ゲートウェイを有効にしますか? ] トグルをオンにして、表示されるフィールドに入力します。
    オプション 説明
    [内部ゲートウェイを有効にしますか?] ポッドに内部ゲートウェイ構成があるかどうかを制御します。内部構成は、企業のネットワーク内に存在するユーザーが HTML Access (Blast) でデスクトップおよびアプリケーションに接続するときに信頼されたアクセスを提供します。ポッドには、このアクセスを提供する Azure ロード バランサ リソースと Unified Access Gateway インスタンスが含まれています。デフォルトでは、このゲートウェイのロード バランシング タイプはプライベートです。ロード バランサは、プライベート IP アドレスで構成されます。
    [FQDN] サービスへのアクセスでエンド ユーザーが使用する完全修飾ドメイン名 (FQDN) を入力します(例:ourOrg.example.com)。このドメイン名を所有し、その FQDN を検証可能な PEM 形式の証明書を取得する必要があります。

    外部ゲートウェイに FQDN を指定した場合は、ここで同じ FQDN を入力する必要があります。

    重要: この FQDN には、アンダー スコアを含めることはできません。このリリースでは、FQDN にアンダー スコアが含まれていると、 Unified Access Gateway インスタンスへの接続が失敗します。
    [DNS アドレス] オプションで、Unified Access Gateway が名前解決に使用できる追加の DNS サーバのアドレスを、カンマ区切りで入力します。オンプレミスの RADIUS サーバで 2 要素認証を使用するようにこの内部ゲートウェイ構成を設定するときは、オンプレミスの RADIUS サーバの名前を解決できる DNS サーバのアドレスを指定します。

    デプロイの前提条件 で説明したように、最初に DNS サーバをサブスクリプション内にセットアップし、名前を解決できるように構成する必要があります。Unified Access Gateway インスタンスは、デフォルトではその DNS サーバを使用します。このフィールドにアドレスを指定する場合、デプロイした Unified Access Gateway インスタンスは、サブスクリプションの仮想ネットワークで構成した前提条件の DNS サーバに加えて、アドレスを使用します。

    [ルート] オプションで、デプロイした Unified Access Gateway インスタンスが、エンド ユーザー アクセス用のネットワークのルーティングを解決するために使用する、追加のゲートウェイへのカスタム ルートを指定します。指定したルートは、Unified Access Gateway が 2 要素認証の RADIUS サーバなどにネットワーク ルーティングを解決できるようにするために使用されます。

    このポッドをオンプレミスの RADIUS サーバで 2 要素認証を使用するように構成する場合は、Unified Access Gateway インスタンスが RADIUS サーバに接続するための正しいルートを入力する必要があります。たとえば、オンプレミスの RADIUS サーバがその IP アドレスとして 10.10.60.20 を使用している場合、10.10.60.0/24 とデフォルト ルートのゲートウェイ アドレスをカスタム ルートとして入力することになります。この環境で使用している Express ルートまたは VPN 構成からデフォルト ルートのゲートウェイ アドレスを取得します。

    形式 ipv4-network-address/bits ipv4-gateway-address で、カンマ区切りリストとしてカスタム ルートを指定します(例:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)。

    [仮想マシン モデル] Unified Access Gateway インスタンスに使用するモデルを選択します。このポッドに指定した Microsoft Azure サブスクリプションが、選択したモデルの 2 台の仮想マシンのキャパシティを確実に満たすようにする必要があります。
    [証明書] Microsoft Azure で実行中の Unified Access Gateway インスタンスへの接続をクライアントが信頼できるようにするために、Unified Access Gateway で使用される PEM 形式の証明書をアップロードします。証明書は、入力した FQDN に基づいたものにして、信頼されている認証局 (CA) によって署名されている必要があります。PEM ファイルに、SSL 証明書の中間証明書、ルート CA 証明書、プライベート キーを含む、完全な証明書チェーンが含まれている必要があります。
  5. (オプション) [内部ゲートウェイ] セクションで、内部 Unified Access Gateway の 2 要素認証をオプションで設定します。
    ポッドのための 2 要素認証機能の指定 の手順を完了させます。

結果

選択したオプションに関連付けられている必要な情報を提供した場合、 [検証と続行] をクリックしてウィザードの最後の手順まで続行することができます。 検証と続行、およびポッドのデプロイ プロセスの開始を参照してください。