이 계정과 Horizon Cloud 테넌트 계정 간 관계에 대한 개요를 보려면 Horizon 서비스 배포 및 포드 온보딩 페이지를 참조하십시오.

사용자 또는 조직에서 이 기능을 사용하여 외부 게이트웨이 구성을 포드의 구독과는 별개인 구독에 배포하는 경우 해당 게이트웨이 구독에는 Horizon Cloud 앱 등록 및 클라이언트 비밀 키도 필요합니다.

이 서비스 주체에게 Horizon Cloud가 포드 구독에서 API 호출을 수행하도록 허용하는 역할을 할당합니다.

일반적으로 Contributor 역할은 포드의 구독 수준에서 할당됩니다.

또는 이 역할은 포드 구독 수준에서 할당된 사용자 지정 역할일 수 있습니다.

별도의 구독에서 기존 리소스 그룹에 외부 게이트웨이 구성을 배포하는 경우 해당 게이트웨이 구독의 서비스 주체에 사용자 지정 역할 또는 Contributor 역할을 할당할 수 있습니다.

사용자 또는 조직에서 Horizon Cloud 앱 등록에 사용자 지정 역할을 사용하도록 하려면 사용자 지정 역할이 있어야 하는 작업을 설명하는 조직에서 사용자 지정 역할을 사용하려는 경우 페이지를 참조하십시오.

배포 마법사의 사용자 지정 리소스 태그 기능을 사용하지 않으려는 경우 Microsoft Azure 정책에 따라 대상 구독에 태그가 지정되지 않은 포드 리소스 그룹을 생성할 수 있도록 허용되는지 확인해야 합니다. 마법사에서 사용자 지정 리소스 태그를 지정하지 않으며 Microsoft Azure 구독에 특정 유형의 리소스 태그 요구 사항이 있는 경우, 포드를 해당 구독에 배포하려고 하면 포드 배포가 실패하고 포드를 업데이트하거나 포드에 게이트웨이 구성을 추가할 때 이 작업이 실패합니다. 배포자 생성 리소스 그룹의 이름은 포드 배포자가 생성하는 리소스 그룹을 참조하십시오.

이 기능을 사용하려면 포드 배포자를 실행하기 전에 해당 구독에 해당 리소스 그룹을 생성해야 합니다. 또한 포드 배포자가 Unified Access Gateway 구성을 해당 리소스 그룹에 배포하고, 구성을 관리하고, 표준 포드 업데이트 프로세스에서 Unified Access Gateway 소프트웨어를 업데이트하려면 필요한 사용 권한이 있는지 확인해야 합니다. 사용자 지정 역할에 포함하는 데 필요한 사용 권한에 대한 자세한 내용은 조직에서 사용자 지정 역할을 사용하려는 경우를 참조하십시오.

포드

• 포드 관리자 - Standard_D4_v3 2개(해당 지역에 Standard_D4_v3가 없는 경우 Standard_D3_v2 2개)
• Microsoft Azure Database for PostgreSQL 서비스 - 5세대, 메모리 최적화, vCore 2개, 10GB 스토리지

• 포드를 사용할 준비가 되면 Microsoft Azure 클라우드의 용량은 가져온 VM, 골든 이미지, 가상 데스크톱, RDSH 팜 및 해당 포드에서 생성한 App Volumes 애플리케이션 캡처 VM을 수용해야 합니다. 아래의 Horizon Cloud 기본 이미지, 데스크톱 및 팜 섹션을 참조하십시오.
• 지원 요청을 열고 VMware 지원에서 해당 요청을 서비스하는 방법이 지원 관련 Jumpbox VM을 일시적으로 배포하는 것이라고 결정하면 해당 시점에 Standard_F2 모델 VM의 배포를 수용할 수 있는 용량이 있어야 합니다.

포드의 동일한 VNet에 있는 외부 Unified Access Gateway

Standard_A4_v2 2개 또는 Standard_F8s_v2 2개

자체 VNet의 외부 Unified Access Gateway

• 외부 게이트웨이 커넥터 - Standard_A1_v2 1개
• 외부 Unified Access Gateway - Standard_A4_v2 2개 또는 Standard_F8s_v2 2개

내부 Unified Access Gateway

Standard_A4_v2 2개 또는 Standard_F8s_v2 2개

구독 지역이 Standard_F8s_v2 VM 크기를 제공하지 않는 경우 포드 배포자 마법사는 [게이트웨이 지정] 마법사 단계의 선택기에 해당 옵션을 표시하지 않습니다.

외부 Unified Access Gateway를 포드의 VNet과는 별개인 고유한 VNet에 배포하는 경우, 필요한 서브넷을 포함하기 위한 해당 주소 공간이 있는 포드 VNet과 동일한 Microsoft Azure 지역에 해당 Unified Access Gateway VNet을 생성하고 두 VNet을 피어링합니다.

• 관리 서브넷 — 최소 /27
• VM 서브넷 - 기본(테넌트) — 데스크톱 및 RDS 서버 수 기준, 최소 /27, /24-/22 권장
• DMZ 서브넷 — 포드 VNet에 Unified Access Gateway가 배포된 경우 최소 /28(선택 사항)

• 관리 서브넷 — 최소 /27
• 백엔드 서브넷 — 데스크톱 및 RDS 서버 수 기준, 최소 /27, /24-/22 권장
• DMZ(프런트엔드) 서브넷 - 최소 /28

구성에는 다음이 포함되어야 합니다.

• 해당 인증 서버의 이름을 확인하기 위한 Unified Access Gateway의 DNS 주소
• 해당 인증 서버의 네트워크 라우팅을 확인하는 Unified Access Gateway의 경로

• VPN/Express 경로를 통해 연결된 온 프레미스 Active Directory 서버
• Microsoft Azure에 있는 Active Directory 서버
• Microsoft Azure Active Directory Domain Services

• Microsoft Windows Server 2008 R2
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2016

도메인 바인딩 계정

sAMAccountName 특성이 있는 Active Directory 도메인 바인딩 계정(읽기 권한이 있는 표준 사용자). sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.

계정에는 다음과 같은 사용 권한이 있어야 합니다.

• 컨텐츠 나열
• 모든 속성 읽기
• 사용 권한 읽기
• tokenGroupsGlobalAndUniversal 읽기(모든 속성 읽기에 내포)

또한 Horizon Cloud 환경에 로그인하기 위한 지속적인 액세스를 보장하도록 계정 암호를 만료되지 않음으로 설정해야 합니다.

• VMware Horizon 온 프레미스 제공에 익숙한 경우 위 사용 권한은 Horizon 온 프레미스 제공의 보조 자격 증명 계정에 필요한 것과 동일한 사용 권한 집합입니다.
• 일반적으로 도메인 바인딩 계정에는 Microsoft Active Directory 배포에서 인증된 사용자에게 일반적으로 부여되는 즉시 사용 가능한 기본 읽기 액세스 관련 사용 권한이 부여되어야 합니다. 그러나 조직의 AD 관리자가 일반 사용자에 대해 읽기 액세스 관련 사용 권한을 잠그도록 선택한 경우에는 해당 AD 관리자가 Horizon Cloud에 사용할 도메인 바인딩 계정에 대해 인증된 사용자 표준 기본값을 보존하도록 요청해야 합니다.

참조: Horizon Cloud 작업에 필요한 서비스 계정

보조 도메인 바인딩 계정

기본 도메인 바인딩 계정과 분리되어야 합니다. UI는 두 필드 모두에서 동일한 계정을 다시 사용하지 못하게 합니다.

sAMAccountName 특성이 있는 Active Directory 도메인 바인딩 계정(읽기 권한이 있는 표준 사용자). sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.

계정에는 다음과 같은 사용 권한이 있어야 합니다.

• 컨텐츠 나열
• 모든 속성 읽기
• 사용 권한 읽기
• tokenGroupsGlobalAndUniversal 읽기(모든 속성 읽기에 내포)

또한 Horizon Cloud 환경에 로그인하기 위한 지속적인 액세스를 보장하도록 계정 암호를 만료되지 않음으로 설정해야 합니다.

• VMware Horizon 온 프레미스 제공에 익숙한 경우 위 사용 권한은 Horizon 온 프레미스 제공의 보조 자격 증명 계정에 필요한 것과 동일한 사용 권한 집합입니다.
• 일반적으로 도메인 바인딩 계정에는 Microsoft Active Directory 배포에서 인증된 사용자에게 일반적으로 부여되는 즉시 사용 가능한 기본 읽기 액세스 관련 사용 권한이 부여되어야 합니다. 그러나 조직의 AD 관리자가 일반 사용자에 대해 읽기 액세스 관련 사용 권한을 잠그도록 선택한 경우에는 해당 AD 관리자가 Horizon Cloud에 사용할 도메인 바인딩 계정에 대해 인증된 사용자 표준 기본값을 보존하도록 요청해야 합니다.

참조: Horizon Cloud 작업에 필요한 서비스 계정

도메인 가입 계정

시스템에서 Sysprep 작업을 수행하고 가상 컴퓨터를 도메인에 가입시키는 데 사용할 수 있는 Active Directory 도메인 가입 계정입니다. 일반적으로 이 명시적 용도로 생성하는 새 계정입니다. ( 도메인 가입 사용자 계정)

계정에 sAMAccountName 특성이 있어야 합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.

계정의 사용자 이름에 공백을 사용하는 것은 현재 지원되지 않습니다.

또한 Horizon Cloud에서 Sysprep 작업을 수행하고 가상 컴퓨터를 도메인에 가입시키도록 계속 지원하려면 계정 암호를 만료되지 않음으로 설정해야 합니다.

이 계정에는 컴퓨터 OU 또는 콘솔의 도메인 가입 UI에 입력할 OU에 적용되는 다음과 같은 Active Directory 권한이 필요합니다.

• 모든 속성 읽기 - 이 개체만 해당
• 컴퓨터 개체 생성 - 이 개체 및 모든 하위 개체
• 컴퓨터 개체 삭제 - 이 개체 및 모든 하위 개체
• 모든 속성 쓰기 - 하위 컴퓨터 개체
• 암호 재설정 - 하위 컴퓨터 개체

팜 및 VDI 데스크톱 할당에 사용하려는 대상 OU(조직 구성 단위)와 관련하여 이 계정에는 해당 대상 OU(조직 구성 단위)의 모든 하위 개체에 대한 [모든 속성 쓰기]라는 Active Directory 사용 권한도 필요합니다.

자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.

Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.

선택적 보조 도메인 가입 계정

시스템에서 Sysprep 작업을 수행하고 가상 컴퓨터를 도메인에 가입시키는 데 사용할 수 있는 Active Directory 도메인 가입 계정입니다. 일반적으로 이 명시적 용도로 생성하는 새 계정입니다. ( 도메인 가입 사용자 계정)

계정에 sAMAccountName 특성이 있어야 합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.

계정의 사용자 이름에 공백을 사용하는 것은 현재 지원되지 않습니다.

또한 Horizon Cloud에서 Sysprep 작업을 수행하고 가상 컴퓨터를 도메인에 가입시키도록 계속 지원하려면 계정 암호를 만료되지 않음으로 설정해야 합니다.

이 계정에는 컴퓨터 OU 또는 콘솔의 도메인 가입 UI에 입력할 OU에 적용되는 다음과 같은 Active Directory 권한이 필요합니다.

• 모든 속성 읽기 - 이 개체만 해당
• 컴퓨터 개체 생성 - 이 개체 및 모든 하위 개체
• 컴퓨터 개체 삭제 - 이 개체 및 모든 하위 개체
• 모든 속성 쓰기 - 하위 컴퓨터 개체
• 암호 재설정 - 하위 컴퓨터 개체

팜 및 VDI 데스크톱 할당에 사용하려는 대상 OU(조직 구성 단위)와 관련하여 이 계정에는 해당 대상 OU(조직 구성 단위)의 모든 하위 개체에 대한 [모든 속성 쓰기]라는 Active Directory 사용 권한도 필요합니다.

자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.

Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.

Active Directory 그룹

• Horizon Cloud 관리자 — Horizon Cloud 관리자용 Active Directory 보안 그룹. Horizon Cloud 관리 사용자를 포함합니다. 이 그룹에는 Horizon Cloud에서 슈퍼 관리자 역할이 부여됩니다.
• Horizon Cloud 사용자 — Horizon Cloud에서 가상 데스크톱과 RDS 세션 기반 데스크톱 및 게시된 애플리케이션에 액세스할 수 있는 사용자의 Active Directory 보안 그룹

Horizon Cloud는 관리자 로그인 및 최종 사용자 권한 모두에 대해 Active Directory 보안 그룹 사용을 지원합니다. 중첩된 그룹은 지원됩니다. 그룹 멤버 자격은 tokenGroups 계산 특성 요청을 통해 평가되고, Horizon Cloud에 중첩 깊이 제한은 없지만 Active Directory에 설정된 항목을 지원합니다.

Active Directory 그룹과 Horizon Cloud 및 Universal Broker와 Workspace ONE Access Cloud의 조합에 따른 추가 고려 사항 또는 제한 사항이 있는지 묻는 메시지가 표시되면 해당 질문에 대한 응답은 아니요입니다.

테넌트 환경에 매니페스트 1600.0 이전의 매니페스트를 실행하는 Microsoft Azure의 Horizon Cloud 포드가 있는 경우 도메인 가입 계정 및 보조 도메인 가입 계정은 Horizon Cloud 관리자 그룹 또는 Horizon Cloud에서 슈퍼 관리자 역할이 부여된 Active Directory 그룹에도 있어야 합니다.

Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.

• 인터넷에서 최종 사용자 연결을 수행하고 가상 데스크톱 및 애플리케이션을 실행하려면 포드에 외부 Unified Access Gateway가 구성되어 있어야 합니다.
• 모든 최종 사용자 연결이 항상 내부 네트워크에서 제공되는 경우 Universal Broker가 해당 내부 최종 사용자 연결에 2단계 인증을 적용하는 경우를 제외하면 포드에 Unified Access Gateway가 필요하지 않습니다.

Universal Broker는 인증 서버와 통신하는 Unified Access Gateway로 인증 요청을 전달한 다음, 응답을 다시 Universal Broker로 전달합니다.

해당 외부 Unified Access Gateway 구성에는 다음 항목이 필요합니다.

• 인증 서버의 이름을 확인하기 위한 Unified Access Gateway의 DNS 주소
• 인증 서버에 대한 네트워크 라우팅을 확인하기 위한 Unified Access Gateway의 경로

• Standard_DS2_v2
• Standard_NV12s_v3(서비스의 자동화된 [마켓플레이스에서 VM 가져오기] 마법사 또는 수동 가져오기, NVIDIA GRID 그래픽 드라이버용), Standard_NV8as_v4(수동 가져오기 방법 및 AMD 그래픽 드라이버용)
• Standard_D4s_v3

콘솔의 자동화된 [마켓플레이스에서 VM 가져오기] 마법사를 사용하여 기본 VM을 생성하는 경우 시스템은 기본적으로 위의 VM 크기 중 하나를 자동으로 사용합니다. 시스템의 기본 선택은 내부 설정 및 특정 운영 체제(OS)를 기준으로 합니다.

시스템은 단일 포드 이미지 및 다중 포드 이미지 모두에 표시된 대로 모델을 사용합니다.

[마켓플레이스에서 VM 가져오기] 마법사가 다음을 생성합니다.

• 비 GPU, 비 Windows 11, Standard_DS2_v2 VM
• Windows 11을 사용하는 비 GPU, Standard_D4s_v3 VM
• GPU 지원, Standard_NV12s_v3 VM

VMware 확장 테스트에 따르면 운영 환경에서는 최소 2개의 CPU가 있는 모델을 사용하는 것이 좋습니다.

이 요구 사항은 VM이 Horizon Cloud와 함께 사용될 때 Microsoft Windows 10 Enterprise 다중 세션 또는 Windows 11 Enterprise 다중 세션을 실행하는 VM에도 적용됩니다. Microsoft Azure Virtual Desktop 설명서의 Microsoft Windows Enterprise 다중 세션 FAQ에 설명된 대로 Microsoft Windows Enterprise 다중 세션은 이전에 Microsoft Windows Server 운영 체제에서만 제공할 수 있는 여러 동시 대화형 세션을 허용하는 RDSH(원격 데스크톱 세션 호스트) 유형입니다. RDS 서버에 적용되는 Horizon Cloud 워크플로는 Microsoft Windows Enterprise 다중 세션에 적용될 수 있습니다.

VMware 확장 테스트에 따르면 운영 환경에서는 최소 2개의 CPU가 있는 모델을 사용하는 것이 좋습니다.

• 모든 참여 포드 및 구독에서 동일한 서비스 주체가 사용되어야 합니다.
• 각 서비스 주체는 참여 포드에서 사용하는 모든 Microsoft Azure 구독에 대한 읽기 액세스 권한이 있어야 합니다.

포드가 서로 다른 구독에 있을 가능성이 높기 때문에 읽기 액세스를 위해서는 각 참여 포드의 구독에서 다른 참여 포드 구독을 확인할 수 있어야 합니다. 이러한 가시성은 서비스가 다중 포드 이미지를 생성하기 위해 Azure Shared Image Gallery의 기능을 사용하기 위해 필요합니다.

• Microsoft.Compute/galleries/read
• Microsoft.Compute/galleries/write
• Microsoft.Compute/galleries/delete
• Microsoft.Compute/galleries/images/*
• Microsoft.Compute/galleries/images/versions/*