-
Bereitstellung planen und aufbauen
-
-
WebSocket-Kommunikation zwischen VDA und Delivery Controller
-
Verbindungen erstellen und verwalten
-
Identitätspools verschiedener Verbindungstypen von Maschinenidentitäten
-
Identitätspool der lokalen, in Active Directory eingebundenen Maschinenidentität
-
Identitätspool der mit Azure Active Directory verbundenen Maschinenidentität
-
Identitätspool der hybriden, in Azure Active Directory eingebundenen Computeridentität
-
Identitätspool mit Microsoft Intune-fähiger Maschinenidentität
-
-
Eigenständiger Citrix Secure Ticketing Authority (STA)-Dienst
-
Workloads zwischen Ressourcenstandorten mit dem Image Portability Service migrieren
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Azure AD-Dienstkonten
Ein Azure AD-Dienstkonto ist ein Container zum Speichern der Anwendungs-ID und des Geheimnisses eines Azure AD-Dienstprinzipals, der über ausreichende Berechtigungen zum Verwalten von in Azure AD eingebundenen oder bei Microsoft Intune registrierten Geräten verfügt. MCS kann dieses Dienstkonto verwenden, um alle veralteten Azure AD- oder Microsoft Intune-Geräte, die während des Lebenszyklus der bereitgestellten Maschinen generiert wurden, automatisch zu reinigen.
Für einen Azure AD-Dienstprinzipal erforderliche Berechtigungen
Die Berechtigungen, die für einen Azure AD-Dienstprinzipal erforderlich sind, der von einem Dienstkonto verwendet wird, hängen von den für das Dienstkonto aktivierten Funktionen ab.
- Für das Dienstkonto mit der Verwaltungsfunktion für mit Azure AD verbundene Geräte muss der Azure AD-Dienstprinzipal über die
Device.ReadWrite.All-Berechtigung in Ihrem Azure AD-Mandanten verfügen. - Für das Dienstkonto mit der in Microsoft Intune registrierten Geräteverwaltungsfunktion muss der Azure AD-Dienstprinzipal über die
DeviceManagementManagedDevices.ReadWrite.All-Berechtigung in Ihrem Azure AD-Mandanten verfügen. - Für das Dienstkonto mit Azure AD-Sicherheitsgruppenverwaltungsfunktion muss der Azure AD-Dienstprinzipal in Ihrem Azure AD-Mandanten über die Berechtigungen
Group.ReadWrite.AllundGroupMember.ReadWrite.Allverfügen.
Einschränkung
Die rollenbasierte Azure AD-Zugriffskontrolle wird derzeit nicht unterstützt. Weisen Sie die Azure AD-Berechtigungen daher direkt dem Dienstprinzipal zu.
Azure AD-Dienstkonto erstellen
Verwenden Sie Studio oder PowerShell, um ein Azure AD-Dienstkonto zu erstellen.
Voraussetzung
Um ein Azure AD-Dienstkonto zu erstellen, müssen Sie die folgende Aufgabe ausführen:
- Erstellen Sie in Ihrem Azure AD-Mandanten einen Azure AD-Prinzipal mit ausreichenden Berechtigungen, basierend auf den Funktionen, mit denen Sie das Dienstkonto aktivieren möchten.
Studio verwenden
- Klicken Sie in der DaaS-Kachel auf Verwalten.
- Wählen Sie im linken Bereich Administrators aus.
- Klicken Sie in der Registerkarte Dienstkonten auf Dienstkonto erstellen.
- Wählen Sie auf der Seite Identitätstyp Azure Active Directory aus. Eine neue Option zum Weiterleiten des Datenverkehrs ist aktiviert.
- Aktivieren Sie das Kontrollkästchen Datenverkehr über Citrix Cloud Connectors weiterleiten.
- Wählen Sie die für die Verkehrsführung verfügbaren Zonen aus und klicken Sie auf Weiter.
- Geben Sie auf der Seite Anmeldeinformationen die Azure AD-Mandanten-ID, die Anwendungs-ID und das Clientgeheimnis ein und legen Sie das Ablaufdatum der Anmeldeinformationen fest.
- Wählen Sie die Funktionen für das Dienstkonto aus.
- Wählen Sie mindestens einen Bereich für das Dienstkonto aus.
- Geben Sie einen benutzerfreundlichen Namen und eine Beschreibung (optional) für das Dienstkonto ein.
- Klicken Sie auf Fertigstellen, um die Erstellung abzuschließen.
Hinweis
- Die Funktion zur Verwaltung verbundener Geräte in Azure AD ist standardmäßig aktiviert und kann nicht abgewählt werden.
- Um eine mehrmandantenfähige Azure AD-Anwendung zu verwenden, die zu Ihrem Mandanten eingeladen wird, muss die von Ihnen eingegebene Azure AD-Mandanten-ID Ihre eigene Mandanten-ID und nicht die Home-Mandanten-ID der Anwendung sein.
PowerShell verwenden
Alternativ können Sie PowerShell-Befehle verwenden, um ein Azure AD-Dienstkonto zu erstellen. Beispiel:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Azure AD tenant'
<!--NeedCopy-->
Migrieren Sie die mit Azure AD verbundene Geräteverwaltung zum Dienstkonto
Bisher bot Citrix eine Option an, um die Verwaltung verbundener Geräte mit Azure AD zu aktivieren, wenn eine Hostingverbindung zu Microsoft Azure Resource Manager erstellt oder bearbeitet wurde. MCS verwendete die Berechtigungen des Azure AD-Dienstprinzipals (Provisioning SPN), die zusammen mit der Hostingverbindung gespeichert waren, um das veraltete, mit Azure AD verbundene Gerät zu verwalten. Bei Dienstkonten können Sie einen dedizierten Azure AD-Dienstprinzipal (Identity Management SPN) verwenden, der zusammen mit einem Dienstkonto gespeichert ist, um Geräte zu verwalten, die mit Azure AD verbunden sind oder bei Microsoft Intune registriert sind.
Citrix empfiehlt die Migration von der Geräteverwaltung über Hostingverbindungen zur Geräteverwaltung über Dienstkonten, um die Verantwortung für die Bereitstellung von SPN und Identitätsverwaltungs-SPN zu trennen.
Für alle vorhandenen Hostingverbindungen, die bereits mit Azure AD Joined Device Management aktiviert sind, können Sie sie wie folgt deaktivieren:
- Wählen Sie in Studio im linken Bereich Hosting aus.
- Wählen Sie die Verbindung und dann in der Aktionsleiste Verbindung bearbeiten aus.
- Deaktivieren Sie auf der Seite Verbindungseigenschaften das Kontrollkästchen Verwaltung in Azure AD eingebundener Geräte aktivieren.
- Klicken Sie auf Speichern, um die Änderung zu übernehmen.
Hinweis
Derzeit können Sie die Verwaltung verbundener Geräte mit Azure AD nicht aktivieren, wenn Sie eine neue Hostingverbindung erstellen.
So geht es weiter
- Informationen zum Erstellen von Katalogen, die mit Azure Active Directory verbunden sind, finden Sie unter Identitätspool der Azure Active Directory-verbundenen Computeridentität.
- Informationen zur Verwaltung von Dienstkonten finden Sie unter Dienstkonten verwalten.
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.