對於第一代 Horizon Cloud Service on Microsoft Azure 部署,服務會使用 API 呼叫,將網繭部署到 Microsoft Azure 訂閱,並管理該網繭及其佈建的 VDI 桌面和伺服器陣列。若要使第一代 Horizon Cloud 能夠在網繭的訂閱中使用其 API 呼叫,請建立應用程式登錄。

重要: 此資訊僅適用於在您有權存取第一代控制平面中的第一代租用戶環境時。如 知識庫文章 92424 中所述,第一代控制平面已終止提供 (EOA)。請參閱此文章以取得詳細資料。

簡介

對於網繭的初始部署,網繭部署工具會在您選擇用於網繭的 Microsoft Azure 訂閱中呼叫 API。這些 API 呼叫會在網繭訂閱中執行動作,以建立網繭管理員虛擬機器、虛擬機器 NIC、NIC 上的網路安全性群組 (NSG) 等項目,所有這些都是 Horizon Cloud Pod 所需的資源。

接著,在網繭部署後,Horizon Cloud 必須能夠繼續在網繭的訂閱中呼叫 API。網繭部署後,服務會使用 API 呼叫,為最佳配置映像建立基礎映像虛擬機器、在最佳配置映像上執行 sysprep、建立伺服器陣列主機和 VDI 桌面虛擬機器、新增及編輯網繭的閘道組態,以及維護及升級網繭。

在執行網繭部署工具之前建立應用程式登錄

由於網繭部署工具需要在網繭部署過程中呼叫 API,以便在網繭的訂閱中以程式設計方式建立網繭資源,因此在啟動部署精靈之前,應用程式登錄和用戶端秘密金鑰必須已存在。建立應用程式登錄時,會自動在網繭訂閱中建立服務主體物件。

必須在 Azure 入口網站中產生用戶端秘密金鑰,並為 Horizon Cloud 應用程式登錄指派角色,以便能夠在網繭的訂閱層級運作。

如果外部 Unified Access Gateway 組態部署在其本身的訂閱中,而不是網繭的訂閱中,當您想要使用此功能時,則在您執行精靈以部署該外部閘道時,Horizon Cloud 還必須能夠在該閘道的訂閱中呼叫 API。在這種情況下,除了網繭訂閱之外,該訂閱中也需要具有應用程式登錄和用戶端秘密金鑰。

關於指派角色給應用程式登錄

必須在網繭訂閱中為 Horizon Cloud 應用程式登錄指派角色。一般而言,內建的 Contributor 角色是 Horizon Cloud 用於網繭訂閱的角色。之所以使用 Contributor 角色,是因為此角色涵蓋了 Horizon Cloud 在網繭訂閱中所需執行的所有 API 呼叫。

角色指派必須是直接指派。目前不支援使用以群組為基礎的角色指派 (在這種情況中,會將角色指派給群組,且應用程式登錄是該群組中的成員)。

如果您的組織希望避免在網繭訂閱中使用 Contributor 角色,則 Horizon Cloud 也支援使用自訂角色。如果使用自訂角色,該角色需提供 Horizon Cloud 所需使用的特定 API 呼叫。如需詳細資訊,請參閱此頁面底端附近的自訂角色一節。

登錄資源提供者

在網繭的訂閱中,下列資源提供者必須全處於 Registered 狀態。您可能會看到此清單中的某些資源提供者已處於 Registered 狀態,有些則沒有。這是標準 Microsoft Azure 行為的結果,Microsoft Azure 通常會為所有 Azure 訂閱登錄一組資源提供者。

在執行網繭部署精靈之前,您需要確定下列資源提供者均處於 Registered 狀態。在精靈的最後一個步驟中,會驗證這些資源提供者是否處於 Registered 狀態,只要有資源提供者尚未登錄,則會阻止啟動網繭部署。

  • Microsoft.Compute
  • microsoft.insights
  • Microsoft.Network
  • Microsoft.Storage
  • Microsoft.KeyVault
  • Microsoft.Authorization
  • Microsoft.Resources
  • Microsoft.ResourceHealth
  • Microsoft.ResourceGraph
  • Microsoft.Security
  • Microsoft.DBforPostgreSQL
  • Microsoft.Sql
  • Microsoft.MarketplaceOrdering

在下列螢幕擷取畫面中,您會看到 Azure 入口網站中顯示了已登錄狀態和未登錄狀態。


以綠色箭頭指出未登錄之資源提供者的資源提供者畫面。

若要驗證網繭訂閱中的資源提供者,請執行以下動作:

  1. 登入 Azure 入口網站,然後搜尋您打算在其中部署網繭的訂閱。
  2. 按一下相應的訂閱名稱,並向下捲動直到您看到 [訂閱] 設定功能表中的 [資源提供者] 功能表選項 (資源提供者)。
  3. 查看上述清單中的資源提供者,並確認它們均顯示 Azure 入口網站中資源提供者的 [已登錄] 狀態圖示 (已登錄) 狀態。

    上述清單中只要有資源提供者顯示成 NotRegistered,請使用入口網站來登錄它。

建立 Horizon Cloud 應用程式登錄

您可以使用您已登錄的帳戶適用的 Microsoft Azure 入口網站來執行這些步驟。例如,下列 Microsoft Azure 雲端皆有其特定的入口網站端點。

  • Microsoft Azure Commercial (標準全球區域)
  • Microsoft Azure China
  • Microsoft Azure US Government

當外部閘道使用其本身的訂閱,而不是網繭的訂閱時,如果您要使用 Horizon Cloud 功能,您需要在閘道的訂閱中,對其應用程式登錄重複執行這些步驟。

若要自行在 Azure 入口網站中完成下列所有步驟,您的入口網站登入帳戶必須具有足夠的權限,以便在您打算部署網繭的訂閱中建立應用程式登錄,並指派角色給該應用程式登錄。如果您不是該訂閱的擁有者或管理員,請詢問其中一人,瞭解您是否具備必要權限,來建立應用程式登錄及指派角色給該應用程式登錄。

  1. 使用能夠登錄應用程式的認證來登入 Microsoft Azure 入口網站
  2. 在入口網站的搜尋列中,搜尋 App registrations,然後按一下結果清單中顯示的應用程式登錄
    此螢幕擷取畫面示範了在 Azure 入口網站中搜尋「App registrations」(應用程式登錄) 詞彙,且在結果中看到了「App registrations」(應用程式登錄)

    此時,入口網站會顯示 [應用程式登錄] 頁面。

  3. 在 [應用程式登錄] 頁面上,按一下新增登錄
    此螢幕擷取畫面展示了 [新增登錄] 動作在 Azure 入口網站的 [應用程式登錄] 頁面上的位置
  4. 輸入顯示名稱,以提醒您此登錄供 Horizon Cloud 使用。
  5. 選取僅限此組織目錄中的帳戶
  6. 讓選用的 [重新導向 URI] 區段維持預設的空白狀態。
  7. 按一下登錄按鈕,完成建立應用程式登錄。

    畫面上會顯示新建立的應用程式登錄。

  8. 複製應用程式識別碼和目錄識別碼,並儲存到您後續在執行部署精靈時可供擷取的位置。下列螢幕擷取畫面展示了名為 Hzn-Cloud-Principal 的應用程式登錄,其中,綠色箭頭指向顯示的應用程式識別碼和目錄識別碼。
    以箭頭指出應用程式識別碼的服務主體詳細資料畫面。

  9. 然後,建立應用程式登錄的用戶端秘密金鑰:
    1. 在上方的螢幕擷取畫面中,查看 Microsoft Azure 入口網站中的 [憑證和密碼] 功能表項目 所在的位置。在 Azure 入口網站中,在新建的應用程式登錄頁面上,按一下憑證和密碼
    2. 按一下新增用戶端密碼
    3. 入口網站會顯示新增用戶端密碼畫面,如下列螢幕擷取畫面所示。輸入說明、選取到期期間,然後按一下新增。金鑰說明的長度必須在 16 個字元以內,例如 Hzn-Cloud-Key1
      顯示要以永不到期的期間新增金鑰的金鑰畫面。

      重要: 在您將祕密金鑰值複製並貼到您後續可加以擷取的位置之前,請讓此畫面保持開啟。

      用戶端密碼畫面上顯示驗證金鑰,並將值像素化處理。

    4. 將祕密值複製到您後續在執行部署精靈時可加以擷取的位置。精靈中有一個可讓您貼上此值的欄位。
  10. 新增角色指派給 Horizon Cloud 應用程式登錄。在訂閱層級指派角色:
    1. 在 Microsoft Azure 入口網站的主導覽列中,按一下所有服務,以導覽至訂閱的設定畫面,接著按一下訂閱,然後按一下您打算讓網繭部署工具在其中部署網繭的訂閱名稱。
      備註: 此時,請記下訂閱識別碼,後續您在部署精靈中需要用到它。

      Azure 入口網站中將識別碼像素化處理,並以綠色箭頭指出識別碼的訂閱詳細資料。

    2. 按一下 存取控制 (IAM) 功能表項目 (存取控制 (IAM)),然後按一下新增 > 新增指派以開啟新增角色指派畫面。
    3. 新增角色指派畫面中,針對角色,選取 Contributor 角色。

      如果您的組織希望對 Horizon Cloud 使用自訂角色,請選取您的組織特地為此所設定的自訂角色。

    4. 指派存取權給下拉式清單中,選取 Azure AD 使用者、群組或應用程式
    5. 使用選取方塊,來搜尋 Horizon Cloud 應用程式登錄的名稱。下列螢幕擷取畫面展示了此步驟。
      此螢幕擷取畫面顯示 Azure 入口網站中已選取「擁有者角色」、且正在搜尋服務主體的新增權限畫面。

    6. 按一下您提供給所建立 Horizon Cloud 應用程式登錄的名稱,使其成為選定成員,然後按一下儲存
      在新增權限畫面中,服務主體新增為選取的擁有者角色成員。

摘要

此時,您已建立並設定 Horizon Cloud 應用程式登錄、已確認 Horizon Cloud 所需的資源提供者登錄狀態,並且取得了訂閱的相關值,這是您在網繭部署精靈的第一個步驟中所需輸入的。四個訂閱相關值如下:

  • 訂閱識別碼
  • Azure Active Directory 識別碼
  • 應用程式識別碼
  • 應用程式金鑰值
備註: Horizon Cloud 無法偵測或知道您設定給應用程式登錄用戶端秘密金鑰的到期時間。為了確保 Horizon Cloud 可以繼續使用此應用程式登錄來進行必要的 API 呼叫,以管理網繭及其資源,您必須記得在已屆金鑰到期日之前重新整理金鑰,然後在 Horizon Cloud 環境中輸入新金鑰。目前,可使用 Microsoft Azure 入口網站來設定的最長到期時間為兩 (2) 年。如果金鑰在兩年後到期,而您未重新整理金鑰或在 Horizon Cloud 環境中輸入新金鑰資訊以將其用於網繭,則與已到期金鑰相關聯的網繭將停止工作。如果您所要建立秘密金鑰的生命週期超過 Microsoft Azure 入口網站使用者介面允許的兩年期間,則 Microsoft Azure 目前支援使用 PowerShell、Azure CLI 或圖形 API 來實現這一點。

自訂角色和 Horizon Cloud 應用程式登錄

如果您的組織希望避免在網繭的訂閱中使用 Contributor 角色,您組織可以建立自訂角色,並將其指派給 Horizon Cloud 應用程式登錄。必須對該自訂角色進行設定,以允許進行 Horizon Cloud 所需的 API 呼叫。如果您的組織希望避免在網繭訂閱中使用 Contributor 角色,請參閱第一代租用戶 - 當您的組織希望對第一代 Horizon Cloud 應用程式登錄使用自訂角色時中的資訊。