此檢查清單旨在幫助您瞭解第一代 Horizon Cloud on Microsoft Azure 部署所需的元素。遵循此檢查清單,可確保成功執行網繭部署工具,並完成首日工作。

小心: 此資訊僅適用於在您有權存取第一代控制平面中的第一代租用戶環境時。如 知識庫文章 92424 中所述,第一代控制平面已終止提供 (EOA)。請參閱此文章以取得詳細資料。

自 2022 年 8 月起,Horizon Cloud Service - next-gen 開始正式提供,並提供了自己的《使用 Horizon 控制平面下一代》指南。

在您登入您的環境並查看 Horizon Universal Console 標籤後,瀏覽器 URL 欄位中顯示的模式可指出您擁有的是下一代環境還是第一代環境。對於下一代環境,主控台的 URL 位址會包含類似 /hcsadmin/ 的部分。第一代主控台的 URL 則具有不同的內容 (/horizonadmin/)。

檢查清單對象

此檢查清單主要適用於在 2023 年 11 月 2 日服務更新之前,從未在其租用戶環境中進行 Horizon Cloud on Microsoft Azure 部署的 Horizon Cloud 客戶帳戶。您可能會聽到此類租用戶環境被稱為全新環境或綠地環境。

此處說明的集合主要用於生產部署。試驗部署和大多數的概念驗證部署通常可以使用其中一部分來處理,如簡化的概念驗證部署中所示。

下面列出的某些章節必須在執行 [新增網繭] 部署精靈之前設定就位。

某些項目可以延遲到部署完成且正在執行時再設定。

有些項目列為選用,因為它們與您選給 Horizon Cloud on Microsoft Azure 部署的選項有關。

例如,您可以在不選擇 Unified Access Gateway 組態的情況下執行 [新增網繭] 精靈,並在網繭部署後再新增閘道組態。在這種情況下,等網繭部署之後,才需履行 Unified Access Gateway 需求。

執行 [新增網繭] 精靈之前需先履行: 可在部署網繭後再完成:
  • 控制平面租用戶帳戶
  • Microsoft Azure 訂閱項目
  • 網路
  • 連接埠和通訊協定
  • 選用 Unified Access Gateway 項目
  • Active Directory
  • 選用 Unified Access Gateway (在部署後新增)
  • Universal Broker
  • DNS 記錄
  • 最佳配置映像、桌面、伺服器陣列容量
  • Microsoft Windows 作業系統授權

一些重要注意事項

在進行試驗或概念驗證 Horizon Cloud on Microsoft Azure 部署時,您可以是將用於部署之 Microsoft Azure 訂閱的擁有者,也可以代表擁有該訂閱的組織進行概念驗證。

訂閱擁有者必須確定網繭訂閱中所有作用中的 Microsoft Azure 原則都不會封鎖、拒絕或限制建立網繭的元件。

之所以要確定這一點,是因為在網繭部署過程中,網繭部署工具會使用 API 呼叫,在 [新增網繭] 精靈中指定的訂閱內建立資源。如果該訂閱中有作用中的 Microsoft Azure 原則會封鎖、拒絕或限制建立網繭的元件,則部署將失敗,此時需要向 VMware 支援團隊提交支援要求。

例如,網繭部署工具要求網繭訂閱中所有作用中的 Microsoft Azure 原則均不得封鎖、拒絕或限制在 Azure 儲存區帳戶上建立元件。

在執行 [新增網繭] 精靈之前,需向訂閱擁有者確認 Microsoft Azure 原則的內建原則定義不會封鎖、拒絕或限制建立網繭的元件。

Horizon Cloud 控制平面需求

VMware 已設定成登入 Horizon Cloud 控制平面的 VMware Customer Connect 帳戶。

如需有關此帳戶與 Horizon Cloud 租用戶帳戶之間關係的概述,您可以參閱 Horizon 服務部署和上架網繭頁面。

Microsoft Azure 訂閱需求

支援的 Microsoft Azure 環境 (Azure Commercial、Azure China 或 Azure Government) 中的有效 Microsoft Azure 訂閱。如果您要使用閘道本身的訂閱在個別的 VNet 中部署外部 Unified Access Gateway,請在相同的 Microsoft Azure 環境中取得其他有效的 Microsoft Azure 訂閱。
備註: Horizon Cloud 支援多數的 Microsoft Azure 區域。如需目前不支援的 Microsoft Azure 區域清單,請參閱 VMware 知識庫文章 Microsoft Azure Regions with Horizon Cloud Service on Microsoft Azure (Microsoft Azure 區域與 Horizon Cloud Service on Microsoft Azure) (77121)
該 Microsoft Azure 訂閱中的有效 Microsoft Azure 管理權限,可讓您在執行網繭部署準備步驟期間使用 Microsoft Azure 入口網站。
已在網繭的訂閱中建立 Horizon Cloud 應用程式登錄和用戶端秘密金鑰。請參閱第一代租用戶 - 在網繭的訂閱中建立 Horizon Cloud 應用程式登錄

如果您或您的組織會使用該功能,在有別於網繭訂閱的訂閱中部署外部閘道組態,則該閘道訂閱也需要 Horizon Cloud 應用程式登錄和用戶端秘密金鑰。

按照標準 Microsoft Azure 行為,在訂閱中建立 Horizon Cloud 應用程式登錄時,會自動建立服務主體。

請指派角色給此服務主體,以允許 Horizon Cloud 在網繭訂閱中進行 API 呼叫。

一般而言,會在網繭訂閱層級指派 Contributor 角色。

此外,該角色也可以是在網繭訂閱層級所指派的自訂角色。

當您在個別訂閱的現有資源群組中部署外部閘道組態時,可以指派自訂角色或 Contributor 角色給該閘道訂閱的服務主體。

當您或您的組織希望 Horizon Cloud 應用程式登錄使用自訂角色時,請參閱當您的組織希望使用自訂角色時頁面,其中說明了自訂角色必須能夠執行的動作。

備註: 必須將角色直接指派給 Horizon Cloud 應用程式登錄的服務主體。不支援對此服務主體使用以群組為基礎的角色指派。
在每個 Microsoft Azure 訂閱中登錄的必要資源提供者。請參閱登錄資源提供者
用來識別訂閱的訂閱識別碼、目錄識別碼、應用程式識別碼和金鑰,您將在部署精靈中指定這些值。
訂閱必須允許使用 Azure StorageV2 帳戶類型。請確定訂閱的 Microsoft Azure 原則不會限制或拒絕建立需要使用 Azure StorageV2 帳戶類型的內容。
除非您在網繭部署精靈中指定自訂資源標籤,訂閱必須允許建立沒有標籤的資源群組。除非您在精靈中指定自訂資源標籤,網繭部署程序會在網繭的訂閱中建立沒有標籤的資源群組。

如果您不打算使用部署精靈的自訂資源標記功能,則必須確認您的 Microsoft Azure 原則允許在目標訂閱中建立網繭未標記的資源群組。如果您未在精靈中指定自訂資源標籤,且您的 Microsoft Azure 訂閱具有任何類型的資源標籤需求,當您嘗試將網繭部署至該訂閱,則網繭部署將會失敗,或在網繭更新或將閘道組態新增至網繭時將會失敗。有關由部署工具建立的資源群組名稱,請參閱網繭部署工具建立的資源群組

選用。如果您的組織可能指定,對於位於個別 VNet 和不同於網繭訂閱之個別訂閱中的外部 Unified Access Gateway,必須使用預先建立並由組織指名的特定資源群組,且您的組織要求使用預先建立並由組織指名的特定資源群組,則您將需要使用該功能,將外部 Unified Access Gateway 部署至您自己指名的資源群組中。如果不使用該功能,網繭部署工具會自動使用其本身的命名慣例來建立資源群組。

使用該功能時,您必須先在該訂閱中建立該資源群組,然後才能執行網繭部署工具。您還必須確定已具備必要的權限,讓網繭部署工具能夠將 Unified Access Gateway 組態部署至該資源群組、管理組態,以及在標準網繭更新程序中更新 Unified Access Gateway 軟體。如需有關自訂角色必須包含的權限的詳細資料,請參閱當您的組織希望使用自訂角色時

Microsoft Azure 容量需求

如果下表代表 Microsoft Azure 容量,則不需要手動安裝。只要訂閱中具有所述的可用容量,網繭部署工具便會自動具現化所述的虛擬機器。

針對涉及虛擬機器系列的容量,Microsoft Azure 入口網站也還使用配額一詞。

將核心 Horizon Cloud Pod 構件部署至該訂閱中所需的 Microsoft Azure 容量。(此清單排除選用 Unified Access Gateway 組態以及所預期桌面和應用程式工作負載所需的容量。)
網繭
  • 網繭管理員 — 2 個 Standard_D4_v3 (如果區域中沒有 Standard_D4_v3,則為 2 個 Standard_D3_v2)
  • 適用於 PostgreSQL 的 Microsoft Azure 資料庫服務 — 第 5 代、記憶體最佳化、2 個虛擬核心、10 GB 的儲存區
  • 在網繭可供使用後,您在 Microsoft Azure 雲端中的容量也將必須容納您在該網繭中所建立匯入的虛擬機器、最佳配置映像、虛擬桌面、RDSH 伺服器陣列以及 App Volumes 應用程式擷取虛擬機器。請參閱下方的 Horizon Cloud 基礎映像、桌面和伺服器陣列章節。
  • 在特殊情況中,當您開立支援要求時,如果「VMware 支援」決定處理該要求的作法是暫時部署一個與支援相關的 Jumpbox 虛擬機器,則您的容量必須能夠容納當時 Standard_F2 型號虛擬機器的部署。
選用。指定針對網繭使用 Unified Access Gateway 時所需的容量。
備註: A4_v2 虛擬機器型號僅足夠用於概念驗證 (PoC)、試驗,或您知道網繭上不會超過 1,000 個作用中工作階段的較小型環境。
外部 Unified Access Gateway (與網繭位於相同 VNet 中)
2 個 Standard_A4_v2 或 2 個 Standard_F8s_v2
外部 Unified Access Gateway (位於其本身的 VNet 中)
  • 外部閘道連接器 — 1 個 Standard_A1_v2
  • 外部 Unified Access Gateway — 2 個 Standard_A4_v2 或 2 個 Standard_F8s_v2。
內部 Unified Access Gateway
2 個 Standard_A4_v2 或 2 個 Standard_F8s_v2

如果您訂閱的區域未提供 Standard_F8s_v2 VM 大小,則網繭部署工具精靈將不會在 [指定閘道] 精靈步驟的選取器中顯示該選項。

網路需求

在您的目標 Microsoft Azure 區域中建立 Microsoft Azure 虛擬網路 (VNet),且有適當的位址空間可涵蓋所需的子網路。請參閱第一代 Horizon Cloud --在 Microsoft Azure 中設定所需的虛擬網路

將外部 Unified Access Gateway 部署至其本身的 VNet (與網繭的 VNet 不同) 時,請在與網繭的 VNet 相同的 Microsoft Azure 區域中建立該 Unified Access Gateway VNet,並提供適當的位址空間來涵蓋所需的子網路,且兩個 VNet 必須對等。

在網繭的 VNet 中為子網路保留 3 個非重疊的位址範圍 (採用 CIDR 格式)。
  • 管理子網路 - 至少 /27
  • 虛擬機器子網路 -主要 (租用戶) - 至少 /27,優先使用 /24 - /22,視桌面和 RDS 伺服器的數目而定
  • DMZ 子網路 — 在網繭的 VNet 中部署 Unified Access Gateway 時,至少 /28 (選用)
子網路可以在 VNet 上手動建立,或是在部署期間由 Horizon Cloud 建立。如果使用手動建立的子網路,則無法連結任何其他資源。
提示: 在部署網繭後,您可以編輯網繭來新增租用戶子網路,以便與伺服器陣列和桌面指派中的虛擬機器一起使用。其他租用戶子網路可位於網繭部署所在的相同 VNet 中,或在對等 VNet 中。如需詳細資料,請參閱 使用多個租用戶子網路的概觀
將外部 Unified Access Gateway 部署至與網繭 VNet 不同的 VNet 時,在 Unified Access Gateway 的 VNet 中為子網路保留 3 個非重疊的位址範圍 (採用 CIDR 格式)。
  • 管理子網路 - 至少 /27
  • 後端子網路 - 至少 /27,優先使用 /24 - /22,視桌面和 RDS 伺服器的數目而定
  • DMZ (前端) 子網路 — 至少 /28
子網路可以在 VNet 上手動建立,或是在部署期間由 Horizon Cloud 建立。如果使用手動建立的子網路,則無法連結任何其他資源。在此使用案例中,通常會手動建立子網路。在此使用案例中,後端子網路的目的與上表所述虛擬機器子網路 (主要) 的用途類似。
可從 Horizon Cloud Pod 和 Unified Access Gateway 執行個體使用和存取的一或多個 NTP 伺服器。
設定 VNet (虛擬網路) DNS 伺服器,指向可解析內部機器名稱和外部名稱的有效 DNS 伺服器。
您用於網繭和閘道部署之 VNet 上的輸出網際網路存取,必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。在執行部署和進行中的作業時需要此功能。如需有關 DNS 名稱和連接埠清單,請參閱 DNS 需求連接埠和通訊協定需求
選用。在執行 Horizon Cloud 環境的部署和進行中作業期間使用的 VNet 中進行輸出網際網路存取時可能需要的 Proxy 伺服器資訊。
選用。已設定 Microsoft Azure VPN/Express Route (當您希望在 VNet 與內部部署公司網路之間建立網路連線時)。

連接埠和通訊協定需求

為您 Horizon Cloud 環境上架網繭和進行中作業時需要特定的連接埠和通訊協定。請參閱連接埠和通訊協定

Unified Access Gateway 需求

您可以在不選擇 Unified Access Gateway 組態的情況下執行 [新增網繭] 精靈,並在網繭部署後再新增閘道組態。在這種情況下,等網繭部署之後,才需履行 Unified Access Gateway 需求。根據定義,外部 Unified Access Gateway 允許外部網路上的用戶端啟動虛擬桌面和應用程式,而內部 Unified Access Gateway 則允許內部網路上的用戶端建立受信任的 HTML Access (Blast) 連線。若要支援使用者透過網際網路進行連線並啟動其虛擬桌面和應用程式,網繭必須設定外部 Unified Access Gateway

如果您在 [新增網繭] 精靈中選取了 Unified Access Gateway 選項,則精靈會要求您指定下列特定項目。

Unified Access Gateway 組態的 FQDN。
符合 FQDN 且採用 PEM 格式的一或多個 Unified Access Gateway 憑證。
備註: 如果您為此目的提供的一或多個憑證使用參考了特定 DNS 名稱的 CRL (憑證撤銷清單) 或 OCSP (線上憑證狀態通訊協定) 設定,則必須確保在 VNet 上對那些 DNS 名稱的輸出網際網路存取是可供解析且可連線。在 Unified Access Gateway 閘道組態中設定您提供的憑證期間, Unified Access Gateway 軟體將會連線至這些 DNS 名稱,以檢查憑證的撤銷狀態。如果無法連線到這些 DNS 名稱,網繭部署將會在其 連線階段失敗。這些名稱高度依存於您用來取得憑證的 CA,因此不會由 VMware 控制。
選用,除非您想要讓使用者使用雙因素驗證。在這種情況下,必須將 Unified Access Gateway 設定成使用支援用於 Horizon Cloud on Microsoft Azure 部署的其中一種驗證系統類型,來進行雙因素驗證。

其組態應包括:

  • Unified Access Gateway 用來解析驗證伺服器名稱的 DNS 位址
  • Unified Access Gateway 用來解析驗證伺服器網路路由的路由
備註: 部署網繭並在 Universal Broker 設定中設定了雙因素驗證後,如果您還希望內部使用者跳過使用該雙因素驗證,還需要一些額外的組態。當網繭具有內部 Unified Access Gateway 組態時,該組態會將此類內部使用者的連線要求路由至虛擬桌面和應用程式。如果您想要讓 Universal Broker 跳過針對內部使用者的雙因素驗證步驟,則在部署網繭並設定 Universal Broker 後,請輸入與內部使用者流量對應的出口 NAT 位址範圍。這些範圍可讓 Universal Broker 識別來自內部使用者的用戶端流量,並區分來自外部使用者的流量,從而跳過雙因素驗證。如需詳細資料,請參閱說明文件主題 為 Universal Broker 定義內部網路範圍

網繭部署工作流程

上述項目是開始網繭部署精靈之前所需的項目。確定您有上述項目後,請依照第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 高階順序中的網繭部署步驟 1 到 4 來部署網繭。

然後,在網繭部署成功後,請確保您已具備下一節中所述的項目,以便您可以完成該高階工作流程中的剩餘重要步驟。

Active Directory 需求

主控台的 Active Directory 登錄工作流程要求下列項目。若要充分瞭解該此工作流程,請參閱執行您在 Horizon Cloud 環境中的第一個 Active Directory 網域登錄

下列其中一項支援的 Active Directory 組態:
  • 透過 VPN/Express Route 連線的內部部署 Active Directory 伺服器
  • 位於 Microsoft Azure 中的 Active Directory 伺服器
  • Microsoft Azure Active Directory 網域服務
支援的 Active Directory 網域服務 (AD DS) 網域功能性層級:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
在您部署那些網繭時,相同 Horizon Cloud 客戶帳戶中所有雲端連線網繭皆必須對相同的 Active Directory 網域集合具有直視性。此需求不僅適用於您後續在第一個網繭之後部署至 Microsoft Azure 中的其他網繭,也適用於使用 Horizon Cloud Connector 雲端連線至相同客戶帳戶的任何 Horizon 網繭。
網域繫結帳戶
具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元: "/ \ [ ] : ; | = , + * ? < >

帳戶必須具有下列權限:

  • 列出內容
  • 讀取全部內容
  • 讀取權限
  • 讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示)

您也應該將帳戶密碼設定為永不到期,以確保可持續存取並登入 Horizon Cloud 環境。

  • 如果您熟悉 VMware Horizon 的內部部署供應項目,則上述權限即為 Horizon 內部部署供應項目之次要認證帳戶所需的一組相同權限。
  • 一般而言,對於網域繫結帳戶,應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的驗證使用者)。但是,如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限,您必須要求這些 AD 管理員保留驗證使用者標準預設值,以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。

參考:Horizon Cloud 作業所需的服務帳戶

輔助網域繫結帳戶
必須不同於主要網域繫結帳戶。UI 將防止在這兩個欄位中重複使用相同的帳戶。

具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >

帳戶必須具有下列權限:

  • 列出內容
  • 讀取全部內容
  • 讀取權限
  • 讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示)

您也應該將帳戶密碼設定為永不到期,以確保可持續存取並登入 Horizon Cloud 環境。

  • 如果您熟悉 VMware Horizon 的內部部署供應項目,則上述權限即為 Horizon 內部部署供應項目之次要認證帳戶所需的一組相同權限。
  • 一般而言,對於網域繫結帳戶,應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的驗證使用者)。但是,如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限,您必須要求這些 AD 管理員保留驗證使用者標準預設值,以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。

參考:Horizon Cloud 作業所需的服務帳戶

網域加入帳戶
Active Directory 網域加入帳戶,系統可以使用該帳戶執行 Sysprep 作業並將虛擬電腦加入網域。通常是專為此目的而建立的新帳戶。(一個 網域加入使用者帳戶)

帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >

目前不支援在帳戶的使用者名稱中使用空格。

您也應該將帳戶密碼設定為永不到期,以確保 Horizon Cloud 能夠持續執行 Sysprep 作業並將虛擬電腦加入網域。

此帳戶需要下列 Active Directory 權限,且這些權限適用於電腦 OU 或適用於您將輸入到主控台 [網域加入] UI 中的 OU。

  • 讀取全部內容 - 僅限此物件
  • 建立電腦物件 - 此物件和所有子系物件
  • 刪除電腦物件 - 此物件和所有子系物件
  • 寫入全部內容 - 子系電腦物件
  • 重設密碼 - 子系電腦物件

對於計畫用於伺服器陣列和 VDI 桌面指派的目標組織單位 (OU),此帳戶也需要在該目標組織單位 (OU) 的所有子系物件上具有名為「寫入全部內容」的 Active Directory 權限。

如需更多詳細資料,請參閱 Horizon Cloud 作業所需的服務帳戶

在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。

選用輔助網域加入帳戶
Active Directory 網域加入帳戶,系統可以使用該帳戶執行 Sysprep 作業並將虛擬電腦加入網域。通常是專為此目的而建立的新帳戶。(一個 網域加入使用者帳戶)

帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >

目前不支援在帳戶的使用者名稱中使用空格。

您也應該將帳戶密碼設定為永不到期,以確保 Horizon Cloud 能夠持續執行 Sysprep 作業並將虛擬電腦加入網域。

此帳戶需要下列 Active Directory 權限,且這些權限適用於電腦 OU 或適用於您將輸入到主控台 [網域加入] UI 中的 OU。

  • 讀取全部內容 - 僅限此物件
  • 建立電腦物件 - 此物件和所有子系物件
  • 刪除電腦物件 - 此物件和所有子系物件
  • 寫入全部內容 - 子系電腦物件
  • 重設密碼 - 子系電腦物件

對於計畫用於伺服器陣列和 VDI 桌面指派的目標組織單位 (OU),此帳戶也需要在該目標組織單位 (OU) 的所有子系物件上具有名為「寫入全部內容」的 Active Directory 權限。

如需更多詳細資料,請參閱 Horizon Cloud 作業所需的服務帳戶

在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。

Active Directory 群組

  • Horizon Cloud 管理員 — Horizon Cloud 管理員的 Active Directory 安全群組。包含 Horizon Cloud 管理使用者。此群組被授與 Horizon Cloud 中的超級管理員角色。
  • Horizon Cloud 使用者 — 使用者的 Active Directory 安全群組,將有權在 Horizon Cloud 中存取虛擬桌面和 RDS 工作階段型桌面與已發佈的應用程式。

Horizon Cloud 支援對管理員登入和使用者權利使用 Active Directory 安全群組。支援巢狀群組。群組成員身分可藉由要求 tokenGroups 計算屬性來進行評估,這表示 Horizon Cloud 沒有巢狀深度限制,但支援在 Active Directory 中設定任何內容。

當系統詢問 Active Directory 群組環境中以及 Horizon CloudUniversal BrokerWorkspace ONE Access Cloud 這三項的組合中,是否存在其他考量事項或其他限制時,其答案是 [否]/[無]。

如果您的租用戶環境在 Microsoft Azure 中有任何 Horizon Cloud Pod 執行的資訊清單早於資訊清單 1600.0,則網域加入帳戶和任何輔助網域加入帳戶也必須位於 Horizon Cloud 管理員群組中,或位於獲授與 Horizon Cloud超級管理員角色的 Active Directory 群組中。

虛擬桌面和 RDS 工作階段型桌面和/或已發佈應用程式適用的一或多個 Active Directory 組織單位 (OU)。

在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。

如果您要使用設定了 LDAPS 的 Active Directory,您必須要求在 Horizon Cloud 租用戶中啟用 LDAPS 支援的功能。如需更多詳細資料,請參閱使用設定了 LDAPS 的 Active Directory 環境

Universal Broker 組態

對於 Universal Broker 組態,請確定滿足下表中適用於您所要選項的各個項目。如需完整詳細資料,請參閱設定 Universal Broker

您用於網繭之 VNet 上的輸出網際網路存取,必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。Universal Broker 組態和進行中的作業需要此功能。如需 DNS 名稱和連接埠的清單,請參閱第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 主機名稱解析需求、DNS 名稱第一代租用戶 - Horizon Cloud Pod - 連接埠和通訊協定需求
取決於您想要提供的使用者連線類型:
  • 若要讓使用者透過網際網路進行連線並啟動其虛擬桌面和應用程式,網繭必須設定外部 Unified Access Gateway
  • 如果一律從內部網路進行所有使用者連線,則網繭上不需要 Unified Access Gateway,除非您想要讓 Universal Broker 對那些內部使用者連線強制執行雙因素驗證。
選用。如果您希望 Universal Broker 強制執行雙因素驗證,則網繭必須將外部 Unified Access Gateway 設定成使用支援用於 Horizon Cloud on Microsoft Azure 部署的其中一種驗證系統類型,來進行雙因素驗證。

Universal Broker 會將驗證要求傳遞至 Unified Access Gateway,後者會與驗證伺服器通訊,然後將回應轉送回 Universal Broker

該外部 Unified Access Gateway 組態需要下列項目:

  • Unified Access Gateway 用來解析驗證伺服器名稱的 DNS 位址
  • Unified Access Gateway 用來解析驗證伺服器網路路由的路由
選用:您的使用者將用來存取 Universal Broker 服務的自訂 FQDN,以及以該 FQDN 為基礎的憑證。如果您想要使用 VMware 提供的代理 FQDN,則不需要自訂 FQDN。

DNS 記錄需求

將網繭部署至 Microsoft Azure 雲端後,並根據您的業務狀況和您想要利用的功能,請務必在可將完整網域名稱 (FQDN) 與網繭相關 IP 位址對應的 DNS 伺服器中設定記錄。如需關於 DNS 記錄對應的背景資訊,請參閱 Microsoft 雲端服務說明文件頁面為 Azure 雲端服務設定自訂網域名稱

備註: 如果您以具有相同 FQDN 的外部和內部閘道組態部署網繭,在網繭部署後,請設定分割 DNS (分割網域名稱系統),以根據使用者用戶端的 DNS 查詢的來源網路,將閘道位址解析為外部閘道或內部閘道。
為租用戶的 Universal Broker 設定自訂 FQDN 時
建立一個公用 DNS 記錄,以將自訂 FQDN 對應至您 Universal Broker 組態中 VMware 提供的代理 FQDN。請參閱設定 Universal Broker
當網繭具有外部 Unified Access Gateway
為外部使用者存取建立一個公用 DNS 記錄,該記錄與外部閘道組態上的 FQDN 相符。此 DNS 記錄會將該 FQDN 指向網繭外部 Unified Access Gateway 組態中的 Microsoft Azure 外部負載平衡器。

如需關於 DNS 記錄對應的背景資訊,請參閱 Microsoft 說明文件頁面為 Azure 雲端服務設定自訂網域名稱

當網繭具有內部 Unified Access Gateway
為內部使用者存取建立一個內部 DNS 記錄,該記錄與內部閘道組態上的 FQDN 相符。此 DNS 記錄會將該 FQDN 指向網繭內部 Unified Access Gateway 組態中的 Microsoft Azure 內部負載平衡器。

Horizon Cloud 最佳配置映像、桌面和伺服器陣列

您的 Microsoft Azure 訂閱必須符合下列需求,這取決於您想要從已部署網繭佈建的最佳配置映像、VDI 桌面和 RDS 伺服器陣列的類型。

備註: 如果您的帳戶已啟用 App Volumes 功能,且您使用主控台的 擷取動作將 App Volumes 應用程式新增至詳細目錄,則系統會產生兩個桌面虛擬機器的桌面指派,以支援該擷取工作流程。在執行擷取工作流程時,您的容量也必須足以建立這些桌面。當您為環境完成應用程式的擷取後,您可以刪除該桌面指派。

此外,若為客體作業系統 Windows 10 和 Windows 11,請注意以下有關使用 Microsoft Azure 虛擬機器型號第 1 代虛擬機器和第 2 代虛擬機器的支援對照表。

Azure 虛擬機器型號 Windows 10 Windows 11
第 1 代虛擬機器 支援 不支援
第 2 代虛擬機器 不支援 支援
最佳配置映像的基礎 - 一或多個支援的 Microsoft Azure 虛擬機器組態。
  • Standard_DS2_v2
  • Standard_NV12s_v3 (適用於服務的 [從 Marketplace 匯入虛擬機器] 自動化精靈或手動匯入,以及 NVIDIA GRID 圖形驅動程式)、Standard_NV8as_v4 (適用於手動匯入方法和 AMD 圖形驅動程式)
  • Standard_D4s_v3

使用主控台的 [從 Marketplace 匯入虛擬機器] 自動化精靈來建立基礎虛擬機器時,依預設系統會自動使用上述其中一個虛擬機器大小。系統的預設選擇是以其內部設定和特定作業系統 (OS) 為依據。

系統會將如下所示的型號用於單一網繭映像和多網繭映像。

[從 Marketplace 匯入虛擬機器] 精靈會建立:
  • 非 GPU、非 Windows 11,Standard_DS2_v2 虛擬機器
  • 非 GPU、使用 Windows 11,Standard_D4s_v3 虛擬機器
  • 具備 GPU 功能,Standard_NV12s_v3 虛擬機器
VDI 桌面指派中的桌面虛擬機器模式選取項目 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態 (與 Horizon Cloud 桌面作業不相容的那些組態除外)。

對於生產環境,VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。

伺服器陣列中的 RDSH 虛擬機器模式選取項目 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態 (與 Horizon Cloud RDS 伺服器陣列作業不相容的那些組態除外)。

當該虛擬機器與 Horizon Cloud 搭配使用時,此需求也適用於執行 Microsoft Windows 10 企業版多重工作階段或 Windows 11 企業版多重工作階段的虛擬機器。如 Microsoft Azure 虛擬桌面說明文件的 Microsoft Windows 企業版多重工作階段常見問題集中所述,Microsoft Windows 企業版多重工作階段是一種遠端桌面工作階段主機 (RDSH) 類型,可允許多個並行的互動式工作階段,此功能先前只有 Microsoft Windows Server 作業系統可提供。適用於 RDS 伺服器的 Horizon Cloud 工作流程,即適用於 Microsoft Windows 企業版多重工作階段。

對於生產環境,VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。

映像管理服務 (IMS) 需求

從 2021 年 7 月版本開始,當您的 Horizon Cloud Pod 皆執行資訊清單 2632 或更新版本,且您的租用戶環境已啟用 Universal BrokerHorizon 映像管理服務功能可與這些網繭搭配使用。使用服務提供的多網繭映像功能具有其他需求。如需使用這些功能的完整系統需求詳細資料,請參閱 Horizon 映像管理服務系統需求中的〈Microsoft Azure〉一節。下表列出當使用多網繭映像時,還需在網繭訂閱方面以及該訂閱的 Horizon Cloud 應用程式登錄及服務主體方面,應符合的額外需求。

那些參與多網繭映像網繭所使用的訂閱,必須位於單一 Microsoft Azure Active Directory (AAD) 租用戶內。
參與多網繭映像網繭所使用的 Horizon Cloud 應用程式登錄服務主體,必須符合下列其中一項需求:
  • 在所有參與的網繭和訂閱之間使用相同的服務主體。
  • 每個服務主體皆必須對參與網繭所使用的每個 Microsoft Azure 訂閱具有讀取存取權。

由於網繭可能位於不同的訂閱中,讀取存取需求可讓每個參與網繭的訂閱對其他參與網繭的訂閱具有直視性。服務需要此直視性才能使用 Azure 共用映像庫的功能來建立多網繭映像。

參與網繭之服務主體所使用的任何自訂角色,必須包含與使用 Azure 共用映像庫相關的下列權限。
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/write
  • Microsoft.Compute/galleries/delete
  • Microsoft.Compute/galleries/images/*
  • Microsoft.Compute/galleries/images/versions/*

Microsoft Windows 作業系統的授權

這些項目與已匯入的虛擬機器、最佳配置映像、支援 RDSH 的伺服器陣列虛擬機器和虛擬桌面虛擬機器中的 Microsoft Windows 作業系統有關。如需 Horizon Cloud 支援的 Microsoft Windows 作業系統清單,請參閱 VMware 知識庫文章 78170VMware 知識庫文章 70965

Horizon Cloud 不會提供您在使用 Horizon Cloud 工作流程的過程中使用 Microsoft Windows 作業系統所需的任何客體作業系統授權。您身為客戶有責任具備有效且合格的 Microsoft 授權,如此您才有權建立您選擇要在 Horizon Cloud 租用戶環境中使用的 Windows 桌面虛擬機器和 RDSH 虛擬機器,並對其執行工作流程和操作。所需的授權取決於您預期使用方式。

提示: 如需專用於 Windows 11 企業版多重工作階段、Windows 10 企業版多重工作階段和 Windows 7 企業版的 Microsoft Azure 虛擬桌面授權的相關資訊,請參閱 Microsoft Azure 說明文件主題 Azure 虛擬桌面定價
下列一或多個類型的授權:Microsoft Windows 7 企業版、Microsoft Windows 10、Microsoft Windows 11 (單一工作階段,VDI 用戶端類型)
Microsoft Windows 10 企業版多重工作階段或 Microsoft Windows 11 企業版多重工作階段的授權
下列一或多個類型的授權:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
Microsoft Windows RDS 授權伺服器 — 針對高可用性,建議使用備援授權伺服器
Microsoft RDS 使用者和/或裝置 CAL

參考架構

請參考下方的架構圖。

圖 1. 此圖顯示 Horizon Cloud Pod 架構,其中網繭同時具有外部和內部閘道組態、外部閘道部署在與網繭相同的 VNet 中、外部閘道虛擬機器上有三個 NIC、內部閘道虛擬機器上有兩個 NIC,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構

此架構圖顯示同時具有兩種類型的 Unified Access Gateway 組態,且外部閘道位於與網繭相同 VNet 中網繭的資源群組、虛擬機器和子網路。

圖 2. 顯示外部閘道在部署至其本身的 VNet (與網繭的 VNet 不同,具有三個 NIC),以及部署到由網繭部署工具建立的資源群組時,所具備的架構元素

外部閘道部署到其自己的 VNet (與網繭的 VNet 不同),以及部署到由網繭部署工具建立的資源群組時,外部閘道架構元素的圖解