如需有關此帳戶與 Horizon Cloud 租用戶帳戶之間關係的概述，您可以參閱 Horizon 服務部署和上架網繭頁面。

如果您或您的組織會使用該功能，在有別於網繭訂閱的訂閱中部署外部閘道組態，則該閘道訂閱也需要 Horizon Cloud 應用程式登錄和用戶端秘密金鑰。

請指派角色給此服務主體，以允許 Horizon Cloud 在網繭訂閱中進行 API 呼叫。

一般而言，會在網繭訂閱層級指派 Contributor 角色。

此外，該角色也可以是在網繭訂閱層級所指派的自訂角色。

當您在個別訂閱的現有資源群組中部署外部閘道組態時，可以指派自訂角色或 Contributor 角色給該閘道訂閱的服務主體。

當您或您的組織希望 Horizon Cloud 應用程式登錄使用自訂角色時，請參閱當您的組織希望使用自訂角色時頁面，其中說明了自訂角色必須能夠執行的動作。

如果您不打算使用部署精靈的自訂資源標記功能，則必須確認您的 Microsoft Azure 原則允許在目標訂閱中建立網繭未標記的資源群組。如果您未在精靈中指定自訂資源標籤，且您的 Microsoft Azure 訂閱具有任何類型的資源標籤需求，當您嘗試將網繭部署至該訂閱，則網繭部署將會失敗，或在網繭更新或將閘道組態新增至網繭時將會失敗。有關由部署工具建立的資源群組名稱，請參閱網繭部署工具建立的資源群組。

使用該功能時，您必須先在該訂閱中建立該資源群組，然後才能執行網繭部署工具。您還必須確定已具備必要的權限，讓網繭部署工具能夠將 Unified Access Gateway 組態部署至該資源群組、管理組態，以及在標準網繭更新程序中更新 Unified Access Gateway 軟體。如需有關自訂角色必須包含的權限的詳細資料，請參閱當您的組織希望使用自訂角色時。

網繭

• 網繭管理員 — 2 個 Standard_D4_v3 (如果區域中沒有 Standard_D4_v3，則為 2 個 Standard_D3_v2)
• 適用於 PostgreSQL 的 Microsoft Azure 資料庫服務 — 第 5 代、記憶體最佳化、2 個虛擬核心、10 GB 的儲存區

• 在網繭可供使用後，您在 Microsoft Azure 雲端中的容量也將必須容納您在該網繭中所建立匯入的虛擬機器、最佳配置映像、虛擬桌面、RDSH 伺服器陣列以及 App Volumes 應用程式擷取虛擬機器。請參閱下方的 Horizon Cloud 基礎映像、桌面和伺服器陣列章節。
• 在特殊情況中，當您開立支援要求時，如果「VMware 支援」決定處理該要求的作法是暫時部署一個與支援相關的 Jumpbox 虛擬機器，則您的容量必須能夠容納當時 Standard_F2 型號虛擬機器的部署。

外部 Unified Access Gateway (與網繭位於相同 VNet 中)

2 個 Standard_A4_v2 或 2 個 Standard_F8s_v2

外部 Unified Access Gateway (位於其本身的 VNet 中)

• 外部閘道連接器 — 1 個 Standard_A1_v2
• 外部 Unified Access Gateway — 2 個 Standard_A4_v2 或 2 個 Standard_F8s_v2。

內部 Unified Access Gateway

2 個 Standard_A4_v2 或 2 個 Standard_F8s_v2

如果您訂閱的區域未提供 Standard_F8s_v2 VM 大小，則網繭部署工具精靈將不會在 [指定閘道] 精靈步驟的選取器中顯示該選項。

將外部 Unified Access Gateway 部署至其本身的 VNet (與網繭的 VNet 不同) 時，請在與網繭的 VNet 相同的 Microsoft Azure 區域中建立該 Unified Access Gateway VNet，並提供適當的位址空間來涵蓋所需的子網路，且兩個 VNet 必須對等。

• 管理子網路 - 至少 /27
• 虛擬機器子網路 -主要 (租用戶) - 至少 /27，優先使用 /24 - /22，視桌面和 RDS 伺服器的數目而定
• DMZ 子網路 — 在網繭的 VNet 中部署 Unified Access Gateway 時，至少 /28 (選用)

• 管理子網路 - 至少 /27
• 後端子網路 - 至少 /27，優先使用 /24 - /22，視桌面和 RDS 伺服器的數目而定
• DMZ (前端) 子網路 — 至少 /28

其組態應包括：

• Unified Access Gateway 用來解析驗證伺服器名稱的 DNS 位址
• Unified Access Gateway 用來解析驗證伺服器網路路由的路由

• 透過 VPN/Express Route 連線的內部部署 Active Directory 伺服器
• 位於 Microsoft Azure 中的 Active Directory 伺服器
• Microsoft Azure Active Directory 網域服務

• Microsoft Windows Server 2008 R2
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2016

網域繫結帳戶

具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元，且不得包含下列任何字元： "/ \ [ ] : ; | = , + * ? < >

帳戶必須具有下列權限：

• 列出內容
• 讀取全部內容
• 讀取權限
• 讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示)

您也應該將帳戶密碼設定為永不到期，以確保可持續存取並登入 Horizon Cloud 環境。

• 如果您熟悉 VMware Horizon 的內部部署供應項目，則上述權限即為 Horizon 內部部署供應項目之次要認證帳戶所需的一組相同權限。
• 一般而言，對於網域繫結帳戶，應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的驗證使用者)。但是，如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限，您必須要求這些 AD 管理員保留驗證使用者標準預設值，以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。

參考：Horizon Cloud 作業所需的服務帳戶

輔助網域繫結帳戶

必須不同於主要網域繫結帳戶。UI 將防止在這兩個欄位中重複使用相同的帳戶。

具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元，且不得包含下列任何字元："/ \ [ ] : ; | = , + * ? < >

帳戶必須具有下列權限：

• 列出內容
• 讀取全部內容
• 讀取權限
• 讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示)

您也應該將帳戶密碼設定為永不到期，以確保可持續存取並登入 Horizon Cloud 環境。

• 如果您熟悉 VMware Horizon 的內部部署供應項目，則上述權限即為 Horizon 內部部署供應項目之次要認證帳戶所需的一組相同權限。
• 一般而言，對於網域繫結帳戶，應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的驗證使用者)。但是，如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限，您必須要求這些 AD 管理員保留驗證使用者標準預設值，以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。

參考：Horizon Cloud 作業所需的服務帳戶

網域加入帳戶

Active Directory 網域加入帳戶，系統可以使用該帳戶執行 Sysprep 作業並將虛擬電腦加入網域。通常是專為此目的而建立的新帳戶。(一個 網域加入使用者帳戶)

帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元，且不得包含下列任何字元："/ \ [ ] : ; | = , + * ? < >

目前不支援在帳戶的使用者名稱中使用空格。

您也應該將帳戶密碼設定為永不到期，以確保 Horizon Cloud 能夠持續執行 Sysprep 作業並將虛擬電腦加入網域。

此帳戶需要下列 Active Directory 權限，且這些權限適用於電腦 OU 或適用於您將輸入到主控台 [網域加入] UI 中的 OU。

• 讀取全部內容 - 僅限此物件
• 建立電腦物件 - 此物件和所有子系物件
• 刪除電腦物件 - 此物件和所有子系物件
• 寫入全部內容 - 子系電腦物件
• 重設密碼 - 子系電腦物件

對於計畫用於伺服器陣列和 VDI 桌面指派的目標組織單位 (OU)，此帳戶也需要在該目標組織單位 (OU) 的所有子系物件上具有名為「寫入全部內容」的 Active Directory 權限。

如需更多詳細資料，請參閱 Horizon Cloud 作業所需的服務帳戶

在 Microsoft Active Directory 中，當您建立新的 OU 時，系統可能會自動設定 Prevent Accidental Deletion 屬性，而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此，如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶，則在新建立的 OU 中，Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny，因此針對新增的 OU，您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限，才能在 Horizon Cloud 主控台中使用網域加入帳戶。

選用輔助網域加入帳戶

Active Directory 網域加入帳戶，系統可以使用該帳戶執行 Sysprep 作業並將虛擬電腦加入網域。通常是專為此目的而建立的新帳戶。(一個 網域加入使用者帳戶)

帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元，且不得包含下列任何字元："/ \ [ ] : ; | = , + * ? < >

目前不支援在帳戶的使用者名稱中使用空格。

您也應該將帳戶密碼設定為永不到期，以確保 Horizon Cloud 能夠持續執行 Sysprep 作業並將虛擬電腦加入網域。

此帳戶需要下列 Active Directory 權限，且這些權限適用於電腦 OU 或適用於您將輸入到主控台 [網域加入] UI 中的 OU。

• 讀取全部內容 - 僅限此物件
• 建立電腦物件 - 此物件和所有子系物件
• 刪除電腦物件 - 此物件和所有子系物件
• 寫入全部內容 - 子系電腦物件
• 重設密碼 - 子系電腦物件

對於計畫用於伺服器陣列和 VDI 桌面指派的目標組織單位 (OU)，此帳戶也需要在該目標組織單位 (OU) 的所有子系物件上具有名為「寫入全部內容」的 Active Directory 權限。

如需更多詳細資料，請參閱 Horizon Cloud 作業所需的服務帳戶

在 Microsoft Active Directory 中，當您建立新的 OU 時，系統可能會自動設定 Prevent Accidental Deletion 屬性，而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此，如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶，則在新建立的 OU 中，Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny，因此針對新增的 OU，您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限，才能在 Horizon Cloud 主控台中使用網域加入帳戶。

Active Directory 群組

• Horizon Cloud 管理員 — Horizon Cloud 管理員的 Active Directory 安全群組。包含 Horizon Cloud 管理使用者。此群組被授與 Horizon Cloud 中的超級管理員角色。
• Horizon Cloud 使用者 — 使用者的 Active Directory 安全群組，將有權在 Horizon Cloud 中存取虛擬桌面和 RDS 工作階段型桌面與已發佈的應用程式。

Horizon Cloud 支援對管理員登入和使用者權利使用 Active Directory 安全群組。支援巢狀群組。群組成員身分可藉由要求 tokenGroups 計算屬性來進行評估，這表示 Horizon Cloud 沒有巢狀深度限制，但支援在 Active Directory 中設定任何內容。

當系統詢問 Active Directory 群組環境中以及 Horizon Cloud、Universal Broker 和 Workspace ONE Access Cloud 這三項的組合中，是否存在其他考量事項或其他限制時，其答案是 [否]/[無]。

如果您的租用戶環境在 Microsoft Azure 中有任何 Horizon Cloud Pod 執行的資訊清單早於資訊清單 1600.0，則網域加入帳戶和任何輔助網域加入帳戶也必須位於 Horizon Cloud 管理員群組中，或位於獲授與 Horizon Cloud 中超級管理員角色的 Active Directory 群組中。

在 Microsoft Active Directory 中，當您建立新的 OU 時，系統可能會自動設定 Prevent Accidental Deletion 屬性，而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此，如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶，則在新建立的 OU 中，Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny，因此針對新增的 OU，您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限，才能在 Horizon Cloud 主控台中使用網域加入帳戶。

• 若要讓使用者透過網際網路進行連線並啟動其虛擬桌面和應用程式，網繭必須設定外部 Unified Access Gateway。
• 如果一律從內部網路進行所有使用者連線，則網繭上不需要 Unified Access Gateway，除非您想要讓 Universal Broker 對那些內部使用者連線強制執行雙因素驗證。

Universal Broker 會將驗證要求傳遞至 Unified Access Gateway，後者會與驗證伺服器通訊，然後將回應轉送回 Universal Broker。

該外部 Unified Access Gateway 組態需要下列項目：

• Unified Access Gateway 用來解析驗證伺服器名稱的 DNS 位址
• Unified Access Gateway 用來解析驗證伺服器網路路由的路由

• Standard_DS2_v2
• Standard_NV12s_v3 (適用於服務的 [從 Marketplace 匯入虛擬機器] 自動化精靈或手動匯入，以及 NVIDIA GRID 圖形驅動程式)、Standard_NV8as_v4 (適用於手動匯入方法和 AMD 圖形驅動程式)
• Standard_D4s_v3

使用主控台的 [從 Marketplace 匯入虛擬機器] 自動化精靈來建立基礎虛擬機器時，依預設系統會自動使用上述其中一個虛擬機器大小。系統的預設選擇是以其內部設定和特定作業系統 (OS) 為依據。

系統會將如下所示的型號用於單一網繭映像和多網繭映像。

[從 Marketplace 匯入虛擬機器] 精靈會建立：

• 非 GPU、非 Windows 11，Standard_DS2_v2 虛擬機器
• 非 GPU、使用 Windows 11，Standard_D4s_v3 虛擬機器
• 具備 GPU 功能，Standard_NV12s_v3 虛擬機器

對於生產環境，VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。

當該虛擬機器與 Horizon Cloud 搭配使用時，此需求也適用於執行 Microsoft Windows 10 企業版多重工作階段或 Windows 11 企業版多重工作階段的虛擬機器。如 Microsoft Azure 虛擬桌面說明文件的 Microsoft Windows 企業版多重工作階段常見問題集中所述，Microsoft Windows 企業版多重工作階段是一種遠端桌面工作階段主機 (RDSH) 類型，可允許多個並行的互動式工作階段，此功能先前只有 Microsoft Windows Server 作業系統可提供。適用於 RDS 伺服器的 Horizon Cloud 工作流程，即適用於 Microsoft Windows 企業版多重工作階段。

對於生產環境，VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。

• 在所有參與的網繭和訂閱之間使用相同的服務主體。
• 每個服務主體皆必須對參與網繭所使用的每個 Microsoft Azure 訂閱具有讀取存取權。

由於網繭可能位於不同的訂閱中，讀取存取需求可讓每個參與網繭的訂閱對其他參與網繭的訂閱具有直視性。服務需要此直視性才能使用 Azure 共用映像庫的功能來建立多網繭映像。

• Microsoft.Compute/galleries/read
• Microsoft.Compute/galleries/write
• Microsoft.Compute/galleries/delete
• Microsoft.Compute/galleries/images/*
• Microsoft.Compute/galleries/images/versions/*