Produktdokumentation
Citrix DaaS™
PDF anzeigen

Microsoft Entra-Dienstkonten

March 25, 2026
Beitrag von: 
C

Ein Microsoft Entra-Dienstkonto ist ein Container zum Speichern der Anwendungs-ID und des Geheimnisses eines Microsoft Entra-Dienstprinzipals, der über ausreichende Berechtigungen zur Verwaltung von in Microsoft Entra eingebundenen oder in Microsoft Intune registrierten Geräten verfügt. MCS kann dieses Dienstkonto verwenden, um veraltete Microsoft Entra- oder Microsoft Intune-Geräte, die während des Lebenszyklus der bereitgestellten Maschinen generiert wurden, automatisch zu bereinigen.

Erforderliche Berechtigungen für einen Microsoft Entra-Dienstprinzipal

Die für einen von einem Dienstkonto verwendeten Microsoft Entra-Dienstprinzipal erforderlichen Berechtigungen hängen von den für das Dienstkonto aktivierten Funktionen ab.

  • Für das Dienstkonto mit der Funktion zur Verwaltung von in Microsoft Entra eingebundenen Geräten muss der Microsoft Entra-Dienstprinzipal über die Berechtigung Device.ReadWrite.All in Ihrem Microsoft Entra-Mandanten verfügen.
  • Für das Dienstkonto mit der Funktion zur Verwaltung von in Microsoft Intune registrierten Geräten muss der Microsoft Entra-Dienstprinzipal über die Berechtigung DeviceManagementManagedDevices.ReadWrite.All in Ihrem Microsoft Entra-Mandanten verfügen.
  • Für das Dienstkonto mit der Funktion zur Verwaltung von Microsoft Entra-Sicherheitsgruppen muss der Microsoft Entra-Dienstprinzipal über die Berechtigungen Group.ReadWrite.All und GroupMember.ReadWrite.All in Ihrem Microsoft Entra-Mandanten verfügen.

Einschränkung

Die rollenbasierte Zugriffssteuerung von Microsoft Entra wird derzeit nicht unterstützt. Weisen Sie daher die Microsoft Entra-Berechtigungen direkt dem Dienstprinzipal zu.

Erstellen eines Microsoft Entra-Dienstkontos

Verwenden Sie Studio oder PowerShell, um ein Microsoft Entra-Dienstkonto zu erstellen.

Voraussetzung

Um ein Microsoft Entra-Dienstkonto zu erstellen, stellen Sie sicher, dass Sie die folgende Aufgabe abgeschlossen haben:

  • Erstellen Sie einen Microsoft Entra-Prinzipal in Ihrem Microsoft Entra-Mandanten mit ausreichenden Berechtigungen, basierend auf den Funktionen, die Sie für das Dienstkonto aktivieren möchten.

Verwenden von Studio

  1. Klicken Sie in der Kachel DaaS auf Verwalten.
  2. Wählen Sie im linken Bereich Administratoren aus.
  3. Klicken Sie auf der Registerkarte Dienstkonten auf Dienstkonto erstellen.
  4. Wählen Sie auf der Seite Identitätstyp die Option Microsoft Entra ID aus. Eine neue Option zum Weiterleiten des Datenverkehrs wird aktiviert.
    1. Aktivieren Sie das Kontrollkästchen Datenverkehr über Citrix Cloud Connectors leiten.
    2. Wählen Sie die verfügbaren Zonen zum Weiterleiten des Datenverkehrs aus und klicken Sie auf Weiter.
  5. Geben Sie auf der Seite Anmeldeinformationen die Microsoft Entra-Mandanten-ID, die Anwendungs-ID und das Clientgeheimnis ein und legen Sie das Ablaufdatum der Anmeldeinformationen fest.
  6. Wählen Sie die Funktionen für das Dienstkonto aus.
  7. Wählen Sie einen oder mehrere Bereiche für das Dienstkonto aus.
  8. Geben Sie einen Anzeigenamen und eine Beschreibung (optional) für das Dienstkonto ein.
  9. Klicken Sie auf Fertig stellen, um die Erstellung abzuschließen.

Hinweis:

  • Die Funktion zur Verwaltung von in Microsoft Entra eingebundenen Geräten ist standardmäßig ausgewählt und kann nicht abgewählt werden.
  • Um eine mandantenfähige Microsoft Entra-Anwendung zu verwenden, die in Ihren Mandanten eingeladen wurde, muss die von Ihnen eingegebene Microsoft Entra-Mandanten-ID Ihre eigene Mandanten-ID sein und nicht die Home-Mandanten-ID der Anwendung.

Verwenden von PowerShell

Alternativ können Sie PowerShell-Befehle verwenden, um ein Microsoft Entra-Dienstkonto zu erstellen. Zum Beispiel:

$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force

New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Microsoft Entra tenant'
<!--NeedCopy-->

Migrieren der Verwaltung von in Microsoft Entra eingebundenen Geräten zu Dienstkonten

Zuvor bot Citrix® die Möglichkeit, die Verwaltung von in Microsoft Entra eingebundenen Geräten beim Erstellen oder Bearbeiten einer Hosting-Verbindung zu Microsoft Azure Resource Manager zu aktivieren. MCS verwendete die Berechtigungen des Microsoft Entra-Dienstprinzipals (Bereitstellungs-SPN), der zusammen mit der Hosting-Verbindung gespeichert war, um das veraltete in Microsoft Entra eingebundene Gerät zu verwalten. Mit Dienstkonten können Sie einen dedizierten Microsoft Entra-Dienstprinzipal (Identitätsverwaltungs-SPN) verwenden, der zusammen mit einem Dienstkonto gespeichert ist, um in Microsoft Entra eingebundene oder in Microsoft Intune registrierte Geräte zu verwalten.

Citrix empfiehlt die Migration von der über Hosting-Verbindungen gesteuerten Geräteverwaltung zur über Dienstkonten gesteuerten Geräteverwaltung, um die Verantwortlichkeiten von Bereitstellungs-SPN und Identitätsverwaltungs-SPN zu trennen.

Für alle vorhandenen Hosting-Verbindungen, bei denen die Verwaltung von in Microsoft Entra eingebundenen Geräten bereits aktiviert ist, können Sie diese wie folgt deaktivieren:

  1. Wählen Sie in Studio im linken Bereich Hosting aus.
  2. Wählen Sie die Verbindung aus und klicken Sie dann in der Aktionsleiste auf Verbindung bearbeiten.
  3. Deaktivieren Sie auf der Seite Verbindungseigenschaften das Kontrollkästchen Verwaltung von in Microsoft Entra eingebundenen Geräten aktivieren.
  4. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

Hinweis:

Derzeit können Sie die Verwaltung von in Microsoft Entra eingebundenen Geräten beim Erstellen einer neuen Hosting-Verbindung nicht aktivieren.

Weiterleiten des Datenverkehrs für Microsoft Entra-Geräteverwaltung und Sicherheitsgruppenverwaltung

Erstellen und ändern Sie ein Microsoft Entra-Dienstkonto, um den Datenverkehr für die Microsoft Entra-Geräteverwaltung und Sicherheitsgruppenverwaltung vom Delivery Controller über den Citrix Cloud Connector an Microsoft Entra ID weiterzuleiten.

Fügen Sie beim Erstellen oder Ändern eines Microsoft Entra-Dienstkontos die folgende benutzerdefinierte Eigenschaft hinzu:

CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}

Hinweis:

$ZoneUid ist die Uid der Zone (Ressourcenstandort), an die der Netzwerkverkehr weitergeleitet werden soll. Rufen Sie die Uid mit dem Befehl Get-ConfigZone ab.

Zum Beispiel:

  • Zum Erstellen eines neuen Microsoft Entra-Dienstkontos:

     $tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
 $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
 $applicationSecret = xxxxxxxxxxxxxxx
 $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force
 New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd>  -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}'
 <!--NeedCopy-->

  • Zum Ändern eines vorhandenen Microsoft Entra-Dienstkontos:

     Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}'
 <!--NeedCopy-->

Nächste Schritte

Microsoft Entra-Dienstkonten
March 25, 2026
Beitrag von: 
C
March 25, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.