Workspace ONE Access と Horizon の統合の一環として、ネットワーク範囲に基づいて正しいサーバに接続できるように、ネットワーク範囲のクライアント アクセス FQDN を指定します。また、ネットワーク範囲ごとにユーザー グループを指定することでユーザーをフィルタリングできます。

注: ユーザー グループをネットワーク範囲に関連付けるオプションは、 Workspace ONE Access Cloud サービスでのみ使用できます。

Horizon 仮想アプリケーションのコレクションを作成すると、ウィザードはコレクション内のポッドおよびポッド フェデレーションのクライアント アクセス FQDN を構成するための [ネットワーク範囲] ページに移動します。コレクションを作成した後は、いつでもクライアント アクセス FQDN を編集できます。

テナント内のすべてのネットワーク範囲には、Horizon ポッドおよびポッド フェデレーション用に設定されたクライアント アクセス FQDN が必要です。ネットワーク範囲にクライアント アクセス FQDN が定義されていない場合、そのネットワーク範囲を介して Horizon リソースにアクセスしているユーザーは、自分に割り当てられたアプリケーションおよびデスクトップを起動できません。新しいネットワーク範囲を作成するときは常に、仮想アプリケーションのコレクションを編集して、Horizon ポッドおよびポッド フェデレーションのクライアント アクセス FQDN を新しいネットワーク範囲に追加します。

次の方法で、Workspace ONE Access にクライアント アクセス FQDN を構成できます。

  • ネットワーク範囲のみを使用して、適切なクライアント アクセス FQDN にユーザーを移動します。

    複数のネットワーク範囲を作成し、ネットワーク範囲ごとにクライアント アクセス FQDN を指定します。ネットワーク範囲にユーザー グループを選択しないでください。すべてのユーザーは、割り当てられた Horizon Apps およびデスクトップにアクセスしているネットワーク範囲に基づいてクライアント アクセス FQDN に移動します。

    たとえば、内部アクセスと外部アクセスに別々のネットワーク範囲を作成し、範囲ごとに適切なクライアント アクセス FQDN を指定できます。

  • ネットワーク範囲とグループの両方を使用して、適切なクライアント アクセス FQDN にユーザーを移動します。

    複数のネットワーク範囲を作成し、範囲ごとにクライアント アクセス FQDN を指定します。ネットワーク範囲のユーザー グループも選択します。ユーザーがクライアント アクセス FQDN から Horizon Apps およびデスクトップを起動するには、クライアント IP アドレスがネットワーク範囲と一致し、ネットワーク範囲に対して選択されたグループの少なくとも 1 つに属している必要があります。ネットワーク範囲に対してグループが選択されていない場合、クライアント IP アドレスがネットワーク範囲と一致するすべてのユーザーは、そのネットワーク範囲のクライアント アクセス FQDN からアプリケーションとデスクトップを起動できます。

    たとえば、内部アクセスと外部アクセスに別々のネットワーク範囲を作成し、ユーザーが正社員グループに属しているか派遣社員グループに属しているかに基づいて、範囲ごとにユーザーをフィルタリングできます。

    注: 複数のネットワーク範囲を作成しない場合は、仮想アプリケーションのコレクションごとにデフォルトの [すべての範囲] ネットワーク範囲でユーザー グループを構成できます。選択したグループのいずれかに属するユーザーのみが、 [すべての範囲] クライアント アクセス FQDN から Horizon Apps およびデスクトップを起動できます。

    たとえば、さまざまな地域のポッド用にさまざまな仮想アプリケーションのコレクションを作成し、地域ごとにユーザー グループを作成し、各コレクションの [すべての範囲] ネットワーク範囲に適切なユーザー グループを選択できます。

重複するネットワーク範囲を構成する場合、Workspace ONE Access は次のルールを適用して、ユーザーに最適な範囲を見つけます。

  • ユーザーのクライアント IP アドレスが複数の範囲に一致し、どのネットワーク範囲にもグループが指定されていない場合、最後に作成されたネットワーク範囲を使用して、ユーザーのクライアント アクセス FQDN を決定します。
  • ユーザーのクライアント IP アドレスが複数のネットワーク範囲に一致し、ユーザーのグループがそれらのネットワーク範囲の 1 つにのみ一致する場合、クライアント IP アドレスとグループの両方に一致するネットワーク範囲を使用して、ユーザーのクライアント アクセス FQDN を決定します。
  • クライアント IP アドレスが複数のネットワーク範囲に一致し、ユーザーがそれらすべてのネットワーク範囲の 1 つ以上のグループに属している場合、ユーザー グループの一致が最も多いネットワーク範囲を使用して、ユーザーのクライアント アクセス FQDN を決定します。
  • クライアント IP アドレスが複数のネットワーク範囲と一致し、一致するユーザー グループの数が複数のネットワーク範囲で同一の場合、最後に作成されたネットワーク範囲を使用して、ユーザーのクライアント アクセス FQDN を決定します。

前提条件

ネットワーク範囲を作成および編集するには、スーパー管理者ロール、または ID とアクセス管理サービスで [設定管理] アクションを実行できるカスタム ロールが必要です。

手順

  1. Workspace ONE Access コンソールで、[カタログ] > [仮想アプリケーションのコレクション] タブの順に選択します。
  2. Horizon 仮想アプリケーションのコレクションをクリックし、[ネットワーク範囲] タブを選択します。
    注: Workspace ONE Access のオンプレミス展開では、 [ネットワーク範囲] タブの代わりに [ネットワーク範囲の編集] ボタンが表示されます。
  3. 編集するネットワーク範囲をクリックするか、必要に応じて新しいネットワーク範囲を作成します。
  4. ネットワーク範囲を新規作成する場合は、名前、オプションの説明、および IP アドレスの範囲を入力します。
  5. (オプション) [グループ メンバーシップ] セクションで、このネットワーク範囲に関連付けるユーザー グループを選択します。
    グループを選択した場合、このネットワーク範囲に関連付けられたクライアント アクセス FQDN から Horizon アプリケーションとデスクトップを起動するには、ユーザーは少なくとも 1 つのグループに属し、クライアント IP アドレスはネットワーク範囲と一致する必要があります。

    グループを選択しない場合、クライアント IP アドレスがネットワーク範囲と一致するすべてのユーザーは、このネットワーク範囲に関連付けられたクライアント アクセス FQDN から Horizon アプリケーションとデスクトップを起動できます。

    例:

    このイメージには、[ポッドをネットワーク範囲に割り当てる] ポップアップが表示されます。ネットワーク範囲の IP アドレス範囲が指定されています。ネットワーク範囲には、グループ A とグループ B の 2 つのグループも選択されています。
    注: [グループ メンバーシップ] オプションは、Workspace ONE Access Cloud サービスでのみ使用できます。オンプレミスの展開では利用できません。
  6. [ポッドおよびフェデレーション] セクションにスクロールします。
    [ポッド] セクションには、[ローカルの割り当てを同期] オプションが有効になったコレクションのすべての Horizon ポッドが表示されます。[Cloud Pod アーキテクチャのフェデレーション] セクションには、コレクション内のポッド フェデレーションが表示されます(存在する場合)。

    ビュー設定のネットワーク範囲の編集

  7. 各ポッドの [ポッド] セクションを編集し、このネットワーク範囲に適切な値を入力します。
    オプション 説明
    クライアント アクセスの FQDN このネットワーク範囲から要求が送信された場合、このポッドのローカル資格にアクセスするクライアントを接続するサーバの完全修飾ドメイン名 (FQDN)。この値には、Horizon Connection Server、セキュリティ サーバ、ロード バランサ、またはリバース プロキシの FQDN を使用できます。

    たとえば、internallb.example.com などです。

    ポッドのクライアント アクセスの FQDN は、ポッドからローカル資格が付与されたリソースを起動するために使用されます。

    ポート サーバ ポート。
    アーティファクト を JWT にラップ 検証ゲートウェイによる Horizon リソースの起動を参照してください。
    JWT の対象者 検証ゲートウェイによる Horizon リソースの起動を参照してください。
  8. 各ポッド フェデレーションの [Cloud Pod アーキテクチャのフェデレーション] セクションを編集し、このネットワーク範囲に適切な値を入力します。
    オプション 説明
    クライアント アクセスの FQDN このネットワーク範囲から要求が送信された場合、このポッド フェデレーションのグローバル資格にアクセスするクライアントを接続するサーバの完全修飾ドメイン名 (FQDN)。通常、この値はポッド フェデレーション環境のグローバル ロード バランサになります。

    たとえば、globallb.example.com などです。

    ポッド フェデレーションのクライアント アクセスの FQDN は、グローバル資格が付与されたリソースを起動するために使用されます。

    ポート サーバ ポート。
    アーティファクト を JWT にラップ Workspace ONE Access サービスが、F5 などの検証ゲートウェイと統合されている場合、ユーザーに割り当てられた Horizon リソースを認証するには、このオプションを有効にする必要があります。検証ゲートウェイによる Horizon リソースの起動を参照してください。
    JWT の対象者 検証ゲートウェイによる Horizon リソースの起動を参照してください。
  9. [保存] をクリックします。
  10. 必要に応じて、これらの手順を繰り返して、他のネットワーク範囲を編集します。
    重要: 環境内の各ネットワーク範囲にクライアント アクセスの FQDN が設定されていることを確認します。ネットワーク範囲にクライアント アクセスの FQDN が設定されていない場合、そのネットワーク範囲を介してリソースにアクセスしているユーザーは、自分の Horizon デスクトップおよびアプリケーションを起動できません。