Horizon Cloud 依賴外部身分識別提供者,且目前支援 Microsoft Azure Active Directory 和 VMware Workspace ONE® Access™。您使用 Horizon Cloud 來設定的身分識別提供者,會在使用者嘗試存取其桌面時執行必要的驗證。

在這兩種情況下,對於 Microsoft Azure Active Directory 或 Workspace ONE Access,您都必須將內部部署 Active Directory 連線至外部身分識別提供者。

如果您的身分識別提供者尚未與內部部署 Active Directory 整合,請根據您選擇的身分識別提供者,執行以下適用指示。

將 Microsoft Azure Active Directory 設定為身分識別提供者

如果使用 Microsoft Azure Active Directory 作為身分識別提供者,但 Microsoft Azure Active Directory 尚未與內部部署 Active Directory 整合,請執行以下步驟。

完成 Microsoft Azure 登錄和同步化工作。

必要條件

程序

  1. 如果您沒有現有租用戶,請建立新的 Microsoft Azure 租用戶。請參閱適當的 Microsoft 說明文件,例如快速入門:在 Azure Active Directory 中建立新的租用戶
  2. 在 Microsoft Azure 上建立一個具有全域管理員角色的使用者。
  3. 將內部部署 Active Directory 同步到 Microsoft Azure。
    1. 在內部部署 Active Directory 伺服器上,建立使用者和群組,並將使用者指派給群組。
      確認所有使用者都是群組的成員。
    2. 在內部部署 Active Directory 伺服器上安裝 Microsoft Azure AD Connect 以連結 Microsoft Azure。如需安裝指示,請參閱 Microsoft 說明文件,例如 Azure AD Connect 的先決條件
    3. 當 Microsoft Azure AD Connect 組態完成後,請確認 Microsoft Azure AD 中已建立使用者和群組。

下一步

建立所需的 Active Directory 網域帳戶。請參閱 建立 Active Directory 網域繫結帳戶和網域加入帳戶

將 VMware Workspace ONE Access 設定為身分識別提供者

如果使用 Workspace ONE Access 作為身分識別提供者,但 Workspace ONE Access 尚未與內部部署 Active Directory 整合,請執行以下步驟。

必要條件

程序

下一步

建立所需的 Active Directory 網域帳戶。請參閱 建立 Active Directory 網域繫結帳戶和網域加入帳戶。然後完成以下工作,需要使用 Workspace ONE Access 作為 Horizon Cloud 的身分識別提供者。

建立 Active Directory 網域繫結帳戶和網域加入帳戶

設定身分識別提供者後,請在內部部署 Active Directory 上建立兩個網域繫結帳戶和兩個網域加入帳戶。稍後,您將使用 Horizon Universal Console 將這些帳戶的詳細資料提供給 Horizon Cloud

Horizon Cloud 需要您指定以下 AD 帳戶的兩個執行個體作為服務帳戶。

  • 一個網域繫結帳戶,用於在 AD 網域中執行查閱。
  • 一個網域加入帳戶,用於將電腦帳戶加入網域、從網域中移除電腦帳戶,以及執行 Sysprep 作業
重要:

請遵守以下準則來為這些服務帳戶指定 Active Directory 帳戶。

  • 如果主要和輔助網域繫結帳戶都過期或變得無法存取,則單一登入無法運作,您也無法加入新桌面。如果在主要或輔助網域繫結帳戶上未設定永不到期,請確保帳戶有不同的到期時間。您將必須隨著到期時間接近持續追蹤,並且在到達到期時間之前更新 Horizon Cloud 網域繫結帳戶資訊。
  • 如果主要和輔助網域加入帳戶都過期或變得無法存取,則單一登入無法運作,您也無法加入新桌面。如果在主要或輔助網域加入帳戶上設定永不到期,請確保帳戶有不同的到期時間。您必須隨著到期時間接近持續追蹤,並且在到達到期時間之前更新 Horizon Cloud 網域加入帳戶資訊。

網域繫結帳戶 - 必要的 Active Directory 權限

針對您預期 Horizon Cloud 所提供的桌面即服務作業 (例如將桌面虛擬機器指派給使用者) 中會用到的所有 AD 組織單位 (OU),網域繫結帳戶必須具有讀取權限來查詢 AD 帳戶。網域繫結帳戶需要能夠列舉您 Active Directory 中的物件。網域繫結帳戶需要您預期要與 Horizon Cloud 搭配使用之所有 OU 和物件的下列權限:

  • 列出內容
  • 讀取全部內容
  • 讀取權限
  • 讀取 tokenGroupsGlobalAndUniversal (由 [讀取全部內容] 權限隱含表示)
重要: 一般而言,對於網域繫結帳戶,應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的 驗證使用者)。在立即可用的 Microsoft Active Directory 部署中,一般會為 驗證使用者授與的預設設定,通常會讓標準網域使用者帳戶能夠執行 Horizon Cloud 在網域繫結帳戶方面所需的必要列舉。但是,如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限,您必須要求這些 AD 管理員保留 驗證使用者標準預設值,以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。

網域加入帳戶 - 必要的 Active Directory 權限

網域加入帳戶設定於租用戶層級。對於您租用戶機群中所有網繭的所有網域加入相關作業,系統都會使用在 Active Directory 登錄中設定的相同網域加入帳戶。

如果伺服器陣列和 VDI 桌面指派電腦 OU 文字方塊與 Active Directory 登錄中的預設 OU 不同,則系統會在您於 Active Directory 登錄工作流程 (位於該工作流程中的預設 OU 文字方塊) 中所指定 OU 內,以及您於所建立伺服器陣列和 VDI 桌面指派中所指定 OU 內的網域加入帳戶上執行明確的權限檢查。

若要涵蓋您可能曾經使用子 OU 的案例,適用的最佳做法是將這些必要權限設定為套用至電腦 OU 的所有子系物件。

重要:
  • 清單中的部分 AD 權限依預設通常由 Active Directory 指派給帳戶。不過,如果您在 Active Directory 中具有有限的安全性權限,則必須確保網域加入帳戶對您預期將與 Horizon Cloud 搭配使用的組織單位和物件具有這些權限。
  • 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除 OU 和所有子系 OU 中為「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Universal Console 中使用網域加入帳戶。

設定 Workspace ONE Access 使用者屬性以便與 Horizon Cloud 整合

如果使用 Workspace ONE Access 作為 Horizon Cloud 的身分識別提供者,請使用 Workspace ONE Access 主控台來設定必要的使用者屬性。

此程序目的是新增其他必要的 Workspace ONE Access 屬性,以便成功將 Workspace ONE Access 設定為 Horizon Cloud 的身分識別提供者,以及將這些必要屬性對應到 Active Directory 屬性。

userPrincipalNameobjectGuidsidnetBios Workspace ONE Access 屬性是必要的,且必須對應至適當的 Active Directory 屬性,如下列步驟所述。

必要條件

您必須先安裝 Workspace ONE Access Connector,並設定目錄與 Active Directory 的整合,才能在 Workspace ONE Access 主控台中設定使用者屬性。

程序

  1. 登入 Workspace ONE Access 主控台。
  2. 選取身分識別與存取管理 > 設定
    此螢幕擷取畫面顯示 Workspace ONE Access 主控台,其中選取了 [身分識別與存取管理] 索引標籤和 [設定] 按鈕
  3. 按一下使用者屬性
  4. 新增以下清單所示的必要屬性,然後按一下儲存
    重要: 請務必輸入與此清單中所示完全相同的區分大小寫屬性。
    • objectGuid
    • sid
    • netBios
    即使 userPrincipalName 也是此整合所需,但因為已出現在預設屬性清單中,所以不需要新增。
  5. 使用 Workspace ONE Access 主控台的身分識別與存取管理區域的管理區域,將 Workspace ONE Access 屬性對應至 Active Directory 屬性。
    1. 使用 Workspace ONE Access 主控台的身分識別與存取管理區域的管理部分、導覽至已設定目錄的畫面,然後按一下包含擁有 Horizon Cloud 權利之使用者和群組的目錄。
    2. 在該目錄的畫面中,開啟同步設定畫面,然後導覽至其對應的屬性頁面。
    3. Workspace ONE Access 使用者屬性對應至 Active Directory 屬性 (如下所示)。
      Workspace ONE Access 屬性 Active Directory 屬性
      userPrincipalName userPrincipalName
      objectGuid objectGUID
      sid objectSid
      netBios msDS-PrincipalName
  6. 按一下儲存
  7. 確認您已選取所有同步至 Horizon Cloud 環境的使用者與群組。
    Workspace ONE Access 主控台中,您可以從目錄的 同步設定畫面導覽至 使用者索引標籤和 群組索引標籤,以檢視和編輯使用者和群組的清單。
  8. Workspace ONE Access 主控台中,返回該目錄的頁面,然後按一下同步,以將使用者和群組同步至 Workspace ONE Access,現在使用所有正確的使用者屬性。

設定 Workspace ONE Access People Search 以便與 Horizon Cloud 整合

如果使用 Workspace ONE Access 作為 Horizon Cloud 的身分識別提供者,請確認已啟用 Workspace ONE Access 主控台 People Search 功能,這也會在 Horizon Cloud 中啟用使用者搜尋。

Workspace ONE Access 作為 Horizon Cloud 的身分識別提供者時,必須啟用 Workspace ONE Access People Search 功能,使用者搜尋在 Horizon Universal Console 中才能運作。

必要條件

您必須先安裝 Workspace ONE Access Connector,並設定目錄與 Active Directory 的整合,才能在 Workspace ONE Access 主控台啟用 People Search。

程序

  1. 登入 Workspace ONE Access 主控台。
  2. 選取目錄 > 設定
    此螢幕擷取畫面顯示 VMware Workspace ONE Access 主控台,其中選取了 [目錄] > [設定]
  3. 選取 People Search > 啟用 People Search,然後按下一步
  4. 選取目錄。
  5. 選取 businessUnit 屬性,然後按下一步
  6. 若要將 VMware Workspace ONE Access 中的屬性名稱對應到 Active Directory 中的屬性名稱,請在 Active Directory 中選取各自的屬性名稱,然後按下一步
    對於 managerDN 屬性,您可以定義自訂屬性,這樣也能對應。
  7. 指定使用者 DN 文字方塊中,如果預設值適用,請接受預設值,否則輸入使用者 DN (例如 OU=Organization,DC=example,DC=com),然後按一下儲存並同步

結果

最後登入 Horizon Universal Console 並執行使用者搜尋時,搜尋會成功。