Citrix DaaS

Verbindung zu Microsoft Azure

Unter Verbindungen und Ressourcen erstellen und verwalten werden die Assistenten zum Erstellen einer Verbindung beschrieben. Die folgenden Informationen beziehen sich speziell auf Azure Resource Manager-Cloudumgebungen.

Hinweis:

Bevor Sie eine Verbindung zu Microsoft Azure herstellen, müssen Sie Ihr Azure-Konto als Ressourcenstandort eingerichtet haben. Weitere Informationen finden Sie unter Microsoft Azure Resource Manager-Virtualisierungsumgebungen.

Dienstprinzipale und Verbindungen erstellen

Bevor Sie Verbindungen erstellen, müssen Sie Dienstprinzipale einrichten, über die Verbindungen auf Azure-Ressourcen zugreifen. Es gibt zwei Optionen zum Erstellen einer Verbindung:

  • Dienstprinzipal und Verbindung gemeinsam in “Vollständige Konfiguration” erstellen
  • Verbindung mithilfe eines zuvor erstellten Dienstprinzipals erstellen

In diesem Abschnitt erfahren Sie, wie Sie diese Aufgaben ausführen:

Überlegungen

Bevor Sie beginnen, sollten Sie Folgendes berücksichtigen:

  • Citrix empfiehlt, Dienstprinzipale mit der Rolle Mitwirkender zu verwenden. Beachten Sie jedoch die Liste der Mindestberechtigungen im Abschnitt Mindestberechtigungen.
  • Beim Erstellen der ersten Verbindung fordert Azure Sie auf, die erforderlichen Berechtigungen zu erteilen. Sie müssen sich für zukünftige Verbindungen neu authentifizieren, Ihre Zustimmung wird jedoch in Azure gespeichert und die Aufforderung nicht wieder angezeigt.
  • Für die Authentifizierung verwendete Konten müssen Co-Administrator des Abonnements sein.
  • Das für die Authentifizierung verwendete Konto muss Mitglied des Verzeichnisses des Abonnements sein. Es gibt zwei Arten von Konten, auf die Sie achten sollten: “Arbeitsplatz oder Schule” und “Persönliches Microsoft-Konto”. Weitere Informationen finden Sie unter CTX219211.
  • Sie können zwar ein bestehendes Microsoft-Konto als Mitglied des Abonnementverzeichnisses hinzufügen und verwenden, doch kann es zu Komplikationen kommen, wenn dem Konto zuvor Gastzugriff auf eine der Verzeichnisressourcen gewährt worden war. In diesem Fall besitzt das Konto möglicherweise einen Platzhaltereintrag im Verzeichnis, der nicht die erforderlichen Berechtigungen gewährt, und es wird ein Fehler zurückgegeben.

    Entfernen Sie die Ressourcen aus dem Verzeichnis und fügen Sie sie wieder hinzu, um das Problem zu beheben. Dabei ist jedoch Vorsicht geboten, denn dies hat unbeabsichtigte Auswirkungen auf andere Ressourcen, auf die das Konto zugreifen kann.

  • Es gibt ein bekanntes Problem, bei dem bestimmte Konten, die eigentlich Mitglieder sind, als Verzeichnisgäste erkannt werden. Konfigurationen wie diese treten normalerweise bei älteren Verzeichniskonten auf. Fügen Sie als Workaround dem Verzeichnis jeweils ein Konto hinzu, das den richtigen Mitgliedschaftswert erhält.
  • Ressourcengruppen sind Container für Ressourcen und können Ressourcen aus ihrer eigenen und aus anderen Regionen enthalten. Dies kann Verwirrung auslösen, wenn Sie erwarten, dass die in der Region einer Ressourcengruppe angezeigten Ressourcen verfügbar sind.
  • Stellen Sie sicher, dass Ihr Netzwerk und Subnetz groß genug zum Hosten der benötigten Maschinenzahl ist. Dies erfordert einiges an Vorausschau, doch Microsoft kann Ihnen bei der Wahl der richtigen Werte und der Planung der erforderlichen Adressraumkapazität helfen.

Dienstprinzipal und Verbindung gemeinsam in “Vollständige Konfiguration” erstellen

Wichtig:

Dieses Feature ist für chinesische Azure-Abonnements noch nicht verfügbar.

In “Vollständige Konfiguration” können Sie Dienstprinzipal und Verbindung in einem einzigen Workflow erstellen. Dienstprinzipale gewähren Verbindungen Zugriff auf Azure-Ressourcen. Wenn Sie sich bei Azure authentifizieren, um einen Dienstprinzipal zu erstellen, wird eine Anwendung in Azure registriert. Für die registrierte Anwendung wird ein geheimer Schlüssel erstellt (geheimer Clientschlüssel oder Anwendungsgeheimnis). Die registrierte Anwendung (in diesem Fall eine Verbindung) verwendet den geheimen Clientschlüssel zur Authentifizierung bei Azure AD.

Stellen Sie vor Beginn sicher, dass Sie die folgenden Voraussetzungen erfüllen:

  • Sie haben ein Benutzerkonto des Azure Active Directory-Mandanten Ihres Abonnements.
  • Das Azure Active Directory-Benutzerkonto ist Co-Administrator des Azure-Abonnements, das Sie für die Bereitstellung von Ressourcen verwenden möchten.
  • Sie haben globale Administrator-, Anwendungsadministrator- oder Anwendungsentwicklerberechtigungen für die Authentifizierung. Die Berechtigungen können widerrufen werden, nachdem Sie eine Hostverbindung erstellt haben. Weitere Informationen zu Rollen finden Sie unter Integrierte Azure AD-Rollen.

Verwenden Sie den Assistenten für Verbindung und Ressourcen hinzufügen, um Dienstprinzipal und Verbindung gemeinsam zu erstellen:

  1. Wählen Sie auf der Seite Verbindung die Option Neue Verbindung erstellen, als Verbindungstyp Microsoft Azure und Ihre Azure-Umgebung.

  2. Wählen Sie die Tools, die zum Erstellen der virtuellen Maschinen verwendet werden sollen, und wählen Sie dann Weiter.

  3. Erstellen Sie auf der Seite Verbindungsdetails einen Dienstprinzipal und legen Sie den Verbindungsnamen wie folgt fest:

    1. Zum Gewähren der Verbindungsberechtigung für die automatische Bereinigung veralteter in Azure AD eingebundener Geräte wählen Sie Verwaltung in Azure AD eingebundener Geräte aktivieren. Wir empfehlen, diese Option auszuwählen, wenn Sie über diese Verbindung in Azure AD eingebundene Maschinen erstellen möchten. Weitere Informationen finden Sie unter Verwaltung in Azure AD eingebundener Geräte aktivieren.

    2. Geben Sie die ID Ihres Azure-Abonnements und einen Namen für die Verbindung ein. Nachdem Sie die Abonnement-ID eingegeben haben, wird die Schaltfläche Neu erstellen verfügbar.

    Hinweis:

    Der Verbindungsname muss aus 1–64 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten: \/;:#.*?=<>|[]{}"'()'

    1. Wählen Sie Neu erstellen und geben Sie den Benutzernamen und das Kennwort des Azure Active Directory-Kontos ein.

    2. Wählen Sie Anmelden.

    3. Wählen Sie Akzeptieren, um Citrix DaaS die aufgelisteten Berechtigungen zu erteilen. In Azure wird ein Dienstprinzipal erstellt, der Citrix DaaS die Verwaltung von Azure-Ressourcen für den angegebenen Benutzer ermöglicht.

    4. Nach Auswahl von Akzeptieren kehren Sie zur Seite Verbindungsdetails zurück.

      Hinweis:

      Nachdem Sie sich bei Azure authentifiziert haben, werden die Schaltflächen Neu erstellen und Vorhandene verwenden ausgeblendet. Der Text Verbindung erfolgreich und ein grünes Häkchen zeigen die erfolgreiche Verbindung mit Ihrem Azure-Abonnement an.

    5. Um API-Anforderungen über Citrix Cloud Connectors an Azure weiterzuleiten, aktivieren Sie das Kontrollkästchen Datenverkehr über Citrix Cloud Connectors weiterleiten.

      Alternativ können Sie das Feature mit PowerShell aktivieren. Weitere Informationen finden Sie unter Sichere Umgebung für von Azure verwalteten Netzwerkverkehr erstellen.

      Hinweis:

      Diese Option ist nur verfügbar, wenn die Bereitstellung aktive Citrix Cloud Connectors enthält. Derzeit wird dieses Feature für Connector Appliances nicht unterstützt.

    6. Wählen Sie Weiter.

    Hinweis:

    Sie können im Assistenten erst fortfahren, wenn Sie sich bei Azure authentifiziert und die Erteilung der erforderlichen Berechtigungen akzeptiert haben.

  4. Konfigurieren Sie die Verbindungsressourcen wie folgt:

    • Wählen Sie auf der Seite Region eine Region aus.
    • Gehen Sie auf der Seite Netzwerk wie folgt vor:
      • Geben Sie einen Ressourcennamen zur Identifizierung der Kombination aus Region und Netzwerk ein. Der Name muss aus 1–64 Zeichen bestehen. Der Ressourcenname darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten: \/;:#.*?=<>|[]{}"'()'.
      • Wählen Sie eine Kombination aus virtuellem Netzwerk und Ressourcengruppe. (Wenn Sie mehrere virtuelle Netzwerke mit dem gleichen Namen haben, erzielen Sie durch die Kombination aus Netzwerknamen und Ressourcengruppe Einmaligkeit.) Wenn die auf der vorherigen Seite ausgewählte Region keine virtuellen Netzwerke enthält, kehren Sie zu der Seite zurück und wählen Sie eine Region, die virtuelle Netzwerke enthält.
  5. Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen und wählen Sie Fertig stellen, um die Einrichtung abzuschließen.

Anzeigen der Anwendungs-ID

Nachdem Sie eine Verbindung erstellt haben, können Sie die Anwendungs-ID einsehen, die die Verbindung für den Zugriff auf Azure-Ressourcen verwendet.

Wählen Sie in der Liste Verbindung und Ressourcen hinzufügen die Verbindung aus, um die Details anzuzeigen. Auf der Registerkarte Details wird die Anwendungs-ID angezeigt.

Anwendungs-ID auf der Seite "Verbindung und Ressourcen hinzufügen"

Dienstprinzipal mithilfe von PowerShell erstellen

Zum Erstellen eines Dienstprinzipals mit PowerShell stellen Sie zunächst eine Verbindung mit Ihrem Azure Resource Manager-Abonnement her. Verwenden Sie dann die nachfolgend aufgeführten PowerShell-Cmdlets.

Stellen Sie sicher, dass Sie diese Elemente verfügbar haben:

  • SubscriptionId: Azure Resource Manager-SubscriptionID des Abonnements, für das Sie VDAs bereitstellen möchten.
  • ActiveDirectoryID: Mandanten-ID der Anwendung ein, die Sie bei Azure AD registriert haben.
  • ApplicationName: Name der Anwendung, die in Azure AD erstellt werden soll.

Verfahren:

  1. Stellen Sie eine Verbindung mit Ihrem Azure Resource Manager-Abonnement her.

    Connect-AzAccount

  2. Wählen Sie das Azure Resource Manager-Abonnement, in dem Sie den Dienstprinzipal erstellen möchten.

    Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

  3. Erstellen Sie die Anwendung im AD-Mandanten.

    $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

  4. Erstellen Sie einen Dienstprinzipal.

    New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

  5. Weisen Sie dem Dienstprinzipal eine Rolle zu.

    New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

  6. Notieren Sie die im Ausgabefenster der PowerShell-Konsole angezeigte Anwendungs-ID (ApplicationId). Sie müssen diese ID beim Erstellen der Hostverbindung angeben.

Anwendungsgeheimnis in Azure abrufen

Um eine Verbindung mithilfe eines vorhandenen Dienstprinzipals herzustellen, müssen Sie zunächst die Anwendungs-ID und das Anwendungsgeheimnis des Dienstprinzipals im Azure-Portal abrufen.

Verfahren:

  1. Rufen Sie die Anwendungs-ID über die Benutzeroberfläche “Vollständige Konfiguration” oder mithilfe von PowerShell ab.
  2. Melden Sie sich beim Azure-Portal an.
  3. Wählen Sie in Azure Active Directory.
  4. Wählen Sie in Azure AD unter App registrations Ihre Anwendung aus.
  5. Gehen Sie zu Certificates & secrets.
  6. Klicken Sie auf Client secrets.

Anwendungsgeheimnis im Azure-Portal

Verbindung mithilfe von vorhandenem Dienstprinzipal erstellen

Wenn Sie bereits über einen Dienstprinzipal verfügen, können Sie ihn verwenden, um in “Vollständige Konfiguration” eine Verbindung herzustellen.

Stellen Sie sicher, dass Sie diese Elemente verfügbar haben:

  • Abonnement-ID
  • ActiveDirectory-ID (Mandanten-ID)
  • Anwendungs-ID
  • Anwendungsgeheimnis

    Weitere Informationen finden Sie unter Anwendungsgeheimnis abrufen.

  • Ablaufdatum des Geheimnisses

Verfahren:

Führen Sie im Assistenten Verbindung und Ressourcen hinzufügen folgende Schritte aus:

  1. Wählen Sie auf der Seite Verbindung die Option Neue Verbindung erstellen, als Verbindungstyp Microsoft Azure und Ihre Azure-Umgebung.

  2. Wählen Sie die Tools, die zum Erstellen der virtuellen Maschinen verwendet werden sollen, und wählen Sie dann Weiter.

  3. Geben Sie auf der Seite Verbindungsdetails die ID Ihres Azure-Abonnements und einen Namen für die Verbindung ein.

    Hinweis:

    Der Verbindungsname muss aus 1–64 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten: \/;:#.*?=<>|[]{}"'()'

  4. Wählen Sie Vorhandene verwenden. Geben Sie im Fenster Vorhandene Dienstprinzipaldetails die folgenden Einstellungen für den bestehenden Dienstprinzipal ein. Nachdem Sie die Details eingegeben haben, ist die Schaltfläche Speichern aktiviert. Wählen Sie Speichern. Sie können erst fortfahren, wenn Sie gültige Angaben gemacht haben.

    • Abonnement-ID. Geben Sie Ihre Azure-Abonnement-ID ein. Um Ihre Abonnement-ID zu erhalten, melden Sie sich beim Azure-Portal an und gehen Sie zu Abonnements > Übersicht.
    • Active Directory-ID (Mandanten-ID). Geben Sie die Verzeichnis-ID (Mandanten-ID) der Anwendung ein, die Sie bei Azure AD registriert haben.
    • Anwendungs-ID. Geben Sie die Anwendungs-ID (Client-ID) der Anwendung ein, die Sie bei Azure AD registriert haben.
    • Anwendungsgeheimnis. Geben Sie einen geheimen Clientschlüssel ein. Die registrierte Anwendung verwendet den Schlüssel zur Authentifizierung bei Azure AD. Es wird empfohlen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Speichern Sie den Schlüssel unbedingt, da Sie ihn später nicht abrufen können.
    • Ablaufdatum des Geheimnisses. Geben Sie das Datum ein, nach dem das Anwendungsgeheimnis abläuft. Sie erhalten eine Warnung in der Konsole, bevor der geheime Schlüssel abläuft. Wenn der geheime Schlüssel abläuft, erhalten Sie Fehler.

      Hinweis:

      Aus Sicherheitsgründen darf das Ablaufdatum nicht mehr als zwei Jahre in der Zukunft liegen.

    • Authentifizierungs-URL. Dieses Feld wird automatisch ausgefüllt und kann nicht bearbeitet werden.
    • Verwaltungs-URL. Dieses Feld wird automatisch ausgefüllt und kann nicht bearbeitet werden.
    • Speichersuffix. Dieses Feld wird automatisch ausgefüllt und kann nicht bearbeitet werden.

      Für die Erstellung eines MCS-Katalogs in Azure ist Zugriff auf die folgenden Endpunkte erforderlich. Durch Zugriff auf diese Endpunkte wird die Konnektivität zwischen Ihrem Netzwerk und dem Azure-Portal und seinen Diensten optimiert.

  5. Nachdem Sie Speichern gewählt haben, wird die Seite Verbindungsdetails wieder angezeigt. Wählen Sie Weiter, um mit der nächsten Seite fortzufahren.

  6. Konfigurieren Sie die Verbindungsressourcen wie folgt:

    • Wählen Sie auf der Seite Region eine Region aus.
    • Gehen Sie auf der Seite Netzwerk wie folgt vor:
      • Geben Sie einen Ressourcennamen zur Identifizierung der Kombination aus Region und Netzwerk ein. Der Name muss aus 1–64 Zeichen bestehen. Der Ressourcenname darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten: \/;:#.*?=<>|[]{}"'()'.
      • Wählen Sie eine Kombination aus virtuellem Netzwerk und Ressourcengruppe. (Wenn Sie mehrere virtuelle Netzwerke mit dem gleichen Namen haben, erzielen Sie durch die Kombination aus Netzwerknamen und Ressourcengruppe Einmaligkeit.) Wenn die auf der vorherigen Seite ausgewählte Region keine virtuellen Netzwerke enthält, kehren Sie zu der Seite zurück und wählen Sie eine Region, die virtuelle Netzwerke enthält.
  7. Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen und wählen Sie Fertig stellen, um die Einrichtung abzuschließen.

Dienstprinzipale und Verbindungen verwalten

In diesem Abschnitt erfahren Sie, wie Sie Dienstprinzipale und Verbindungen verwalten können:

Einstellungen für Azure-Drosselung konfigurieren

Azure Resource Manager drosselt Anforderungen von Abonnements und Mandanten durch das Routing von Datenverkehr gemäß Grenzwerten, die auf die spezifischen Anforderungen des Anbieters zugeschnitten sind. Weitere Informationen finden Sie auf der Website von Microsoft unter Drosseln von Resource Manager-Anforderungen. Es gibt Grenzwerte für Abonnements und Mandanten, wenn die Verwaltung zahlreicher Maschinen problematisch werden kann. Beispielsweise können bei einem Abonnement mit zahlreichen Maschinen Leistungsprobleme im Zusammenhang mit Energievorgängen auftreten.

Tipp:

Weitere Informationen finden Sie unter Verbessern der Azure-Leistung mit Maschinenerstellungsdiensten.

Zur Lösung solcher Probleme können Sie in Citrix DaaS die interne MCS-Einschränkung entfernen, um das Azure-Anforderungskontingent stärker zu nutzen.

Für große Abonnements (z. B. mit 1000 oder mehr VMs) empfehlen wir die folgenden optimalen Einstellungen für das Ein- und Ausschalten von VMs:

  • Absolute gleichzeitige Operationen: 500
  • Maximale neue Operationen pro Minute: 2000
  • Maximale Gleichzeitigkeit von Operationen: 500

Verwenden Sie die Oberfläche “Vollständige Konfiguration”, um Azure-Operationen für eine Hostverbindung zu konfigurieren:

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Hosting.
  2. Wählen Sie eine Azure-bezogene Verbindung zur Bearbeitung aus.
  3. Wählen Sie Erweitert im Assistenten Verbindung bearbeiten.
  4. Geben Sie auf der Seite Erweitert die Anzahl gleichzeitiger Aktionen, die maximale Anzahl neuer Aktionen pro Minute und ggf. weitere Verbindungsoptionen an.

Azure-Drosselung

MCS unterstützt standardmäßig maximal 500 gleichzeitige Vorgänge. Alternativ können Sie mit dem Remote PowerShell SDK die maximale Anzahl gleichzeitiger Vorgänge festlegen.

Geben Sie über die PowerShell-Eigenschaft MaximumConcurrentProvisioningOperations die maximale Anzahl gleichzeitiger Azure-Provisioningvorgänge an. Beachten Sie Folgendes bei der Verwendung dieser Eigenschaft:

  • Der Standardwert von MaximumConcurrentProvisioningOperations ist 500.
  • Konfigurieren Sie den Parameter MaximumConcurrentProvisioningOperations mit dem PowerShell-Befehl Set-item.

Verwaltung in Azure AD eingebundener Geräte aktivieren

Veraltete, in Azure AD eingebundene Geräte können den Beitritt neuer Maschinen zu Azure AD verhindern und dazu führen, dass diese nicht ordnungsgemäß funktionieren. Um Probleme zu vermeiden, können Sie zulassen, dass Verbindungen in Azure AD eingebundene Geräte verwalten. Mit dieser Berechtigung können Verbindungen veraltete, in Azure AD eingebundene Geräte automatisch bereinigen.

Hinweis:

In Azure AD eingebundene Geräte können nicht aus Azure AD gelöscht werden, wenn Sie Maschinen oder Maschinenkataloge löschen.

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Hosting.
  2. Wählen Sie die Verbindung und dann in der Aktionsleiste Verbindung bearbeiten aus.
  3. Wählen Sie im linken Bereich Verbindungseigenschaften.
  4. Gehen Sie auf der Seite Verbindungseigenschaften wie folgt vor:

    1. Wählen Sie Verwaltung in Azure AD eingebundener Geräte aktivieren.
    2. Klicken Sie auf Speichern.
    3. Geben Sie in dem nun angezeigten Azure-Anmeldefenster Ihr Abonnementkennwort ein und klicken Sie auf Anmelden.

      Nach Abschluss der Anmeldung wird wieder die Liste der Hostingverbindungen und Ressourcen angezeigt. Klicken Sie in der Liste auf die Verbindung und dann im unteren Bereich auf die Registerkarte Details. Sie können sehen, dass das Feld für die Verwaltung in Azure AD eingebundener Geräte als Aktiviert angezeigt wird.

Wenn Sie in “Vollständige Konfiguration” die Verwaltung in Azure AD eingebundener Geräte aktivieren, müssen Sie sich unabhängig vom gewählten Verfahren zur Erstellung der Hostverbindung (“Neu erstellen” oder “Vorhandene verwenden”) bei Azure AD authentifizieren. Die in Azure AD integrierte Rolle Cloudgeräteadministrator ist dem Dienstprinzipal zugewiesen. Um stattdessen Mindestberechtigungen zur Verwaltung in Azure AD eingebundener Geräte festzulegen, können Sie die zugewiesene Rolle Cloudgeräteadministrator manuell aus dem Dienstprinzipal entfernen, eine benutzerdefinierte Azure AD-Rolle erstellen, die nur die Mindestberechtigungen enthält, und diese dem Dienstprinzipal zuweisen.

Hinweis:

  • Die Mindestberechtigungen zur Verwaltung in Azure AD eingebundener Geräte sind Azure AD-Berechtigungen und nicht die Azure Resource Manager-Berechtigungen. Sie können einem Dienstprinzipal nicht explizit zugewiesen werden. Sie müssen in Azure AD eine benutzerdefinierte Rolle erstellen, die diese Berechtigungen enthält, und diese Rolle dem Dienstprinzipal zuweisen. Weitere Informationen finden Sie unter Create and assign a custom role in Azure Active Directory.
  • Um eine benutzerdefinierte Rolle in Azure AD zu erstellen, benötigen Sie eine Azure AD Premium P1- oder P2-Lizenz.

Imagefreigabe in Azure aktivieren

Beim Erstellen oder Aktualisieren von Maschinenkatalogen können Sie per Azure Compute Gallery freigegebene Images aus anderen Azure-Mandanten und -Abonnements auswählen. Um die Imagefreigabe innerhalb oder zwischen Mandanten zu aktivieren, müssen Sie die erforderlichen Einstellungen in Azure vornehmen:

Images innerhalb eines Mandanten freigeben (abonnementübergreifend)

Um ein Image in Azure Compute Gallery auszuwählen, das zu einem anderen Abonnement gehört, muss es für den Dienstprinzipal (SPN) dieses Abonnements freigegeben werden.

Dienstprinzipal SPN 1 ist in Studio beispielsweise wie folgt konfiguriert:

Dienstprinzipal: SPN 1

Abonnement: Abonnement 1

Mandant: Mandant 1

Das Image ist in einem anderen Abonnement, was in Studio wie folgt konfiguriert ist:

Abonnement: Abonnement 2

Mandant: Mandant 1

Wenn Sie das Image in Abonnement 2 für Abonnement 1 (SPN 1) freigeben möchten, gehen Sie zu Abonnement 2 und geben Sie die Ressourcengruppe für SPN1 frei.

Die Imagefreigabe muss über die rollenbasierte Zugriffssteuerung (RBAC) von Azure erfolgen. Azure RBAC ist das bei der Verwaltung des Zugriffs auf Azure-Ressourcen verwendete Autorisierungssystem. Weitere Informationen zu Azure RBAC finden Sie im Microsoft-Dokument Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?. Um Zugriff zu gewähren, weisen Sie Dienstprinzipals Rollen im Bereich der Ressourcengruppe mit der Rolle “Mitwirkender” zu. Um Azure-Rollen zuzuweisen, benötigen Sie die Berechtigung Microsoft.Authorization/roleAssignments/write (z. B. als Benutzerzugriffsadministrator oder Besitzer). Weitere Informationen zum Freigeben von Images für andere SPNs finden Sie im Microsoft-Dokument Zuweisen von Azure-Rollen über das Azure-Portal.

Images mandantenübergreifend freigeben

Um Images mit Azure Compute Gallery für andere Mandaten freizugeben, erstellen Sie eine Anwendungsregistrierung.

Wenn beispielsweise zwei Mandanten vorliegen (Mandant 1 und Mandant 2) und Sie Ihren Image-Katalog mit Mandant 1 teilen möchten, gehen Sie wie folgt vor:

  1. Erstellen Sie eine Anwendungsregistrierung für Mandant 1. Weitere Informationen finden Sie unter Create the app registration.

  2. Fordern Sie über einen Browser eine Anmeldung an, um Mandant 2 Zugriff auf die Anwendung zu geben. Ersetzen Sie Tenant2 ID durch die ID von Mandant 1. Ersetzen Sie Application (client) ID durch die Anwendungs-ID der von Ihnen erstellten Anwendungsregistrierung. Wenn Sie die IDs ersetzt haben, fügen Sie die URL in einen Browser ein und folgen Sie den Schritten zum Anmelden bei Mandant 2. Beispiel:

    https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F
    <!--NeedCopy-->
    

    Weitere Informationen finden Sie unter Give Tenant 2 access.

  3. Gewähren Sie der Anwendung Zugriff auf die Ressourcengruppe von Mandant 2. Melden Sie sich als Mandant 2 an und gewähren Sie der Anwendungsregistrierung Zugriff auf die Ressourcengruppe, die das Katalogimage enthält. Weitere Informationen finden Sie unter Authenticate requests across tenants.

Gemeinsam genutzte Mandanten mithilfe der vollständigen Konfiguration zu einer Verbindung hinzufügen

Beim Erstellen oder Aktualisieren von Maschinenkatalogen in der Benutzeroberfläche für die vollständige Konfiguration können Sie per Azure Compute Gallery freigegebene Images aus anderen Azure-Mandanten und -Abonnements auswählen. Für dieses Feature müssen Sie Informationen zu freigegebenen Mandanten und Abonnements für zugehörige Hostverbindungen angeben.

Hinweis:

Vergewissern Sie sich, dass Sie die erforderlichen Einstellungen in Azure vorgenommen haben, um die Imagefreigabe innerhalb oder zwischen Mandanten zu aktivieren. Weitere Informationen finden Sie unter Images mandantenübergreifend freigeben.

Führen Sie die folgenden Schritte für eine Verbindung aus:

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Hosting.
  2. Wählen Sie die Verbindung und dann in der Aktionsleiste Verbindung bearbeiten aus.

    Freigegebene Mandanten

  3. Führen Sie unter Freigegebene Mandanten die folgenden Schritte aus:
    1. Geben Sie die dem Abonnement der Verbindung zugeordnete Anwendungs-ID und das Anwendungsgeheimnis an. DaaS verwendet diese Informationen zur Authentifizierung bei Azure AD.
    2. Fügen Sie Mandanten und Abonnements hinzu, die sich die Azure Compute Gallery mit dem Abonnement der Verbindung teilen. Sie können bis zu acht freigegebene Mandanten und acht Abonnements für jeden Mandanten hinzufügen.
  4. Abschließend wählen Sie entweder Übernehmen, damit die Änderungen angewendet werden und das Fenster geöffnet bleibt, oder OK, damit die Änderungen angewendet werden und das Fenster geschlossen wird.

Image-Freigabe mithilfe von PowerShell implementieren

Dieser Abschnitt erläutert die Prozesse zur Image-Freigabe mithilfe von PowerShell:

Image aus einem anderen Abonnement auswählen

Sie können in Azure Compute Gallery ein Image auswählen, das zu einem anderen freigegebenen Abonnement im selben Azure-Mandanten gehört, um MCS-Kataloge mit PowerShell-Befehlen zu erstellen und zu aktualisieren.

  1. Im Stammordner der Hostingeinheit erstellt Citrix einen neuen freigegebenen Abonnementordner unter dem Namen sharedsubscription.
  2. Listen Sie alle freigegebenen Abonnements im Mandanten auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder"
    <!--NeedCopy-->
    
  3. Wählen Sie ein freigegebenes Abonnement und listen Sie dann alle freigegebenen Ressourcengruppen dieses Abonnements auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription"
    <!--NeedCopy-->
    
  4. Wählen Sie eine Ressourcengruppe und listen Sie dann alle Kataloge in der Ressourcengruppe auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup"
    <!--NeedCopy-->
    
  5. Wählen Sie einen Katalog und listen Sie dann alle Imagedefinitionen des Katalogs auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery"
    <!--NeedCopy-->
    
  6. Wählen Sie eine Imagedefinition und listen Sie dann alle Imageversionen der Imagedefinition auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition"
    <!--NeedCopy-->
    
  7. Zum Erstellen und Aktualisieren eines MCS-Katalogs verwenden Sie die folgenden Elemente:

    • Ressourcengruppe
    • Katalog
    • Katalogimagedefinition
    • Katalogimageversion

    Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Benutzerdefinierte Eigenschaften der Hostverbindung mit IDs für freigegebene Mandanten aktualisieren

Mit Set-Item können Sie die benutzerdefinierten Eigenschaften der Hostverbindung mit den IDs der freigegebenen Mandanten und den Abonnement-IDs aktualisieren. Fügen Sie eine Eigenschaft SharedTenants in CustomProperties hinzu. Das Format von Shared Tenants ist:

[{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->

Beispiel:

Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
<Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
<Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
<Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
</CustomProperties>"
-LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
$psd
<!--NeedCopy-->

Hinweis:

Sie können mehrere Mandanten hinzufügen. Jeder Mandant kann mehrere Abonnements haben.

Image eines anderen Mandanten auswählen

Sie können in der Azure Compute Gallery mit PowerShell-Befehlen ein Image auswählen, das zu einem anderen Azure-Mandanten gehört, um MCS-Kataloge zu erstellen und zu aktualisieren.

  1. Im Stammordner der Hostingeinheit erstellt Citrix einen neuen freigegebenen Abonnementordner unter dem Namen sharedsubscription.
  2. Listen Sie alle freigegebenen Abonnements auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder
    <!--NeedCopy-->
    
  3. Wählen Sie ein freigegebenes Abonnement und listen Sie dann alle freigegebenen Ressourcengruppen dieses Abonnements auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription
    <!--NeedCopy-->
    
  4. Wählen Sie eine Ressourcengruppe und listen Sie dann alle Kataloge in der Ressourcengruppe auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup
    <!--NeedCopy-->
    
  5. Wählen Sie einen Katalog und listen Sie dann alle Imagedefinitionen des Katalogs auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery
    <!--NeedCopy-->
    
  6. Wählen Sie eine Imagedefinition und listen Sie dann alle Imageversionen der Imagedefinition auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition
    <!--NeedCopy-->
    
  7. Zum Erstellen und Aktualisieren eines MCS-Katalogs verwenden Sie die folgenden Elemente:

    • Ressourcengruppe
    • Katalog
    • Katalogimagedefinition
    • Katalogimageversion

    Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Sichere Umgebung für von Azure verwalteten Netzwerkverkehr erstellen

MCS ermöglicht das Weiterleiten von Netzwerkverkehr (API-Aufrufe von Citrix Cloud an Azure-Hypervisor) über Cloud Connectors in Ihrer Umgebung. Diese Implementierung hilft Ihnen, Ihr Azure-Abonnement zu sperren, um Netzwerkverkehr von bestimmten IP-Adressen zuzulassen. Fügen Sie hierfür ProxyHypervisorTrafficThroughConnector in CustomProperties hinzu. Nachdem Sie die benutzerdefinierten Eigenschaften festgelegt haben, können Sie Azure-Richtlinien konfigurieren, um einen privaten Zugriff auf Azure Managed Disks einzurichten.

Wenn Sie die Azure-Richtlinie so konfigurieren, dass Datenträgerzugriffe für jeden neuen Datenträger zur Verwendung privater Endpunkte automatisch erstellt werden, können Sie maximal fünf Datenträger oder Snapshots gleichzeitig mit demselben Datenträgerzugriffsobjekt hoch- oder herunterladen (Azure-Einschränkung). Dieses Limit gilt für jeden Maschinenkatalog, wenn Sie die Azure-Richtlinie auf Ressourcengruppenebene konfigurieren, und für alle Maschinenkataloge, wenn Sie die Azure-Richtlinie auf Abonnementebene konfigurieren. Wenn Sie die Azure-Richtlinie nicht so konfigurieren, dass Datenträgerzugriffe für jeden neuen Datenträger zur Verwendung privater Endpunkte automatisch erstellt werden, wird das Limit von fünf gleichzeitigen Vorgängen nicht durchgesetzt.

Hinweis:

Derzeit wird dieses Feature für die Connector Appliance nicht unterstützt.

Einschränkungen

Aufgrund der Azure-Beschränkung wird dieses Feature derzeit nicht unterstützt, wenn verwaltete Datenträger über eine serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln verfügen. Weitere diesbezügliche Einschränkungen finden Sie unter Einschränken des Import-/Exportzugriffs für verwaltete Datenträger mithilfe von Azure Private Link.

Weitere Informationen zur serverseitigen Verschlüsselung finden Sie unter Azure-serverseitige Verschlüsselung.

Proxy aktivieren

Um den Proxy zu aktivieren, legen Sie die benutzerdefinierten Eigenschaften für die Hostverbindung wie folgt fest:

  1. Öffnen Sie ein PowerShell-Fenster mit dem Remote PowerShell SDK. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-daas/sdk-api.html#citrix-virtual-apps-and-desktops-remote-powershell-sdk/.
  2. Führen Sie die folgenden Befehle aus:

    Add-PSSnapin citrix*.
    cd XDHyp:\Connections\
    dir
    <!--NeedCopy-->
    
  3. Kopieren Sie die CustomProperties aus der Verbindung in einen Editor und hängen Sie die Eigenschaftseinstellung <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" /> an die CustomProperties an, um den Proxy zu aktivieren. Beispiel:

    <CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation">
    <Property xsi:type="StringProperty" Name="SubscriptionId" Value="4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx" />
    <Property xsi:type="StringProperty" Name="ManagementEndpoint" Value="https://management.azure.com/" />
    <Property xsi:type="StringProperty" Name="AuthenticationAuthority" Value="https://login.microsoftonline.com/" />
    <Property xsi:type="StringProperty" Name="StorageSuffix" Value="core.windows.net" />
    <Property xsi:type="StringProperty" Name="TenantId" Value="5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx" />
    <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" />
    </CustomProperties>
    <!--NeedCopy-->
    
  4. Weisen Sie im PowerShell-Fenster den geänderten benutzerdefinierten Eigenschaften eine Variable zu. Beispiel:

    $customProperty = '<CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation">
    <Property xsi:type="StringProperty" Name="SubscriptionId" Value="4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx" />
    <Property xsi:type="StringProperty" Name="ManagementEndpoint" Value="https://management.azure.com/" />
    <Property xsi:type="StringProperty" Name="AuthenticationAuthority" Value="https://login.microsoftonline.com/" />
    <Property xsi:type="StringProperty" Name="StorageSuffix" Value="core.windows.net" />
    <Property xsi:type="StringProperty" Name="TenantId" Value="5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx" />
    <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" />
    </CustomProperties>'
    <!--NeedCopy-->
    
  5. Führen Sie $cred = Get-Credential aus. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für die Verbindung ein. Die Anmeldeinformationen sind Azure-Anwendungs-ID und das Geheimnis.
  6. Führen Sie Set-Item -PSPath XDHyp:\Connections\<Connection_Name> -CustomProperties $customProperty -username $cred.username -Securepassword $cred.password aus.

    Wichtig:

    Wenn in einer Meldung angezeigt wird, dass SubscriptionId fehlt, ersetzen Sie in der benutzerdefinierten Eigenschaft alle doppelten Anführungszeichen (“) durch Graviszeichen plus doppelte Anführungszeichen (`“). Beispiel:

    <CustomProperties xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`" xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`">
    <Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx`" />
    <Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
    <Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
    <Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
    <Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx`" />
    <Property xsi:type=`"StringProperty`" Name=`"ProxyHypervisorTrafficThroughConnector`" Value=`"True`" />
    </CustomProperties>
    <!--NeedCopy-->
    
  7. Führen Sie dir aus, um die aktualisierten Einstellungen für CustomProperties zu überprüfen.

Anwendungsgeheimnis und Ablaufdatum für Geheimnis verwalten

Sie müssen das Anwendungsgeheimnis für eine Verbindung vor Ablauf des Geheimnisses ändern. Sie werden in der Benutzeroberfläche “Vollständige Konfiguration” benachrichtigt, bevor der geheime Schlüssel abläuft.

Anwendungsgeheimnis in Azure erstellen

Sie können über das Azure-Portal ein Anwendungsgeheimnis für eine Verbindung erstellen.

  1. Wählen Sie Azure Active Directory.
  2. Wählen Sie in Azure AD unter App registrations Ihre Anwendung aus.
  3. Gehen Sie zu Certificates & secrets.
  4. Klicken Sie auf Client secrets > New client secret.

    Anwendungsgeheimnis erstellen

  5. Geben Sie eine Beschreibung des geheimen Schlüssels ein und legen Sie eine Dauer fest. Wenn Sie fertig sind, wählen Sie Hinzufügen.

    Hinweis:

    Speichern Sie den geheimen Clientschlüssel unbedingt, da Sie ihn später nicht abrufen können.

  6. Kopieren Sie das Clientgeheimnis und das Ablaufdatum.
  7. Bearbeiten Sie in der Schnittstellen “Volle Konfiguration” die entsprechende Verbindung und ersetzen Sie den Inhalt in den Feldern Anwendungsgeheimnis und Ablaufdatum des Geheimnisses durch die Werte, den Sie kopiert haben.

Ändern des Ablaufdatums des Geheimnisses

Sie können die Oberfläche “Vollständige Konfiguration” verwenden, um das Ablaufdatum für das verwendete Anwendungsgeheimnis hinzuzufügen oder zu ändern.

  1. Klicken Sie im Assistenten Verbindung und Ressourcen hinzufügen mit der rechten Maustaste auf eine Verbindung und dann auf Verbindung bearbeiten.
  2. Klicken Sie auf der Seite Verbindungseigenschaften auf Ablaufdatum des Geheimnisses, um das Ablaufdatum für das verwendete Anwendungsgeheimnis hinzuzufügen oder zu ändern.

Ablaufdatum des Geheimnisses ändern

Erforderliche Azure-Berechtigungen

Dieser Abschnitt enthält die für Azure erforderlichen Mindestberechtigungen und allgemeinen Berechtigungen.

Mindestberechtigungen

Mindestberechtigungen ermöglichen eine bessere Sicherheitskontrolle. Neue Features, die zusätzliche Berechtigungen erfordern, schlagen jedoch fehl, wenn nur Mindestberechtigungen erteilt sind. Dieser Abschnitt enthält die Mindestberechtigungen pro Aktion.

Erstellen einer Hostverbindung

Fügen Sie eine Hostverbindung unter Verwendung der von Azure abgerufenen Informationen hinzu.

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

Energieverwaltung virtueller Maschinen

Schalten Sie die Maschineninstanzen ein oder aus.

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Erstellen, Aktualisieren oder Löschen von VMs

Nach dem Erstellen eines Maschinenkatalogs können Sie Maschinen hinzufügen, löschen und aktualisieren und den Maschinenkatalog löschen.

Die folgende Liste umfasst notwendige Mindestberechtigungen, wenn Masterimages verwaltete Datenträger oder Snapshots sind, die sich in derselben Region wie die Hostverbindung befinden.

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Für die folgenden Features benötigen Sie zusätzlich zu den Mindestberechtigungen die folgenden Berechtigungen:

  • Wenn das Masterimage eine virtuelle Festplatte (VHD) in einem Speicherkonto ist, das sich in derselben Region wie die Hostverbindung befindet:

     "Microsoft.Storage/storageAccounts/read",
     "Microsoft.Storage/storageAccounts/listKeys/action",
     <!--NeedCopy-->
    
  • Wenn das Masterimage eine ImageVersion aus Azure Compute Gallery (früher Shared Image Gallery) ist:

     "Microsoft.Compute/galleries/read",
     "Microsoft.Compute/galleries/images/read",
     "Microsoft.Compute/galleries/images/versions/read",
     <!--NeedCopy-->
    
  • Wenn das Masterimage ein verwalteter Datenträger, ein Snapshot oder eine virtuelle Festplatte ist, die sich in einer anderen Region als die Hostverbindung befinden:

     "Microsoft.Storage/storageAccounts/read",
     "Microsoft.Storage/storageAccounts/listKeys/action",
     "Microsoft.Storage/storageAccounts/write",
     "Microsoft.Storage/storageAccounts/delete",
     <!--NeedCopy-->
    
  • Wenn Sie eine von Citrix verwaltete Ressourcengruppe verwenden:

     "Microsoft.Resources/subscriptions/resourceGroups/write",
     "Microsoft.Resources/subscriptions/resourceGroups/delete",
     <!--NeedCopy-->
    
  • Wenn Sie das Masterimage in Azure Compute Gallery (früher Shared Image Gallery) ablegen:

     "Microsoft.Compute/galleries/write",
     "Microsoft.Compute/galleries/images/write",
     "Microsoft.Compute/galleries/images/versions/write",
     "Microsoft.Compute/galleries/read",
     "Microsoft.Compute/galleries/images/read",
     "Microsoft.Compute/galleries/images/versions/read",
     "Microsoft.Compute/galleries/delete",
     "Microsoft.Compute/galleries/images/delete",
     "Microsoft.Compute/galleries/images/versions/delete",
     <!--NeedCopy-->
    
  • Wenn Sie dedizierte Azure-Hosts unterstützen:

     "Microsoft.Compute/hostGroups/read",
     "Microsoft.Compute/hostGroups/write",
     "Microsoft.Compute/hostGroups/hosts/read",
     <!--NeedCopy-->
    
  • Wenn Sie die serverseitige Verschlüsselung (SSE) mit vom Kunden verwalteten Schlüsseln (CMK) verwenden:

     "Microsoft.Compute/diskEncryptionSets/read",
     <!--NeedCopy-->
    
  • Wenn Sie VMs mit ARM-Vorlagen (Maschinenprofil) bereitstellen:

     "Microsoft.Resources/deployments/write",
     "Microsoft.Resources/deployments/operationstatuses/read",
     "Microsoft.Resources/deployments/read",
     "Microsoft.Resources/deployments/delete",
     <!--NeedCopy-->
    
  • Wenn Sie die Azure-Vorlagenspezifikation als Maschinenprofil verwenden:

     "Microsoft.Resources/templateSpecs/read",
     "Microsoft.Resources/templateSpecs/versions/read",
     <!--NeedCopy-->
    

Erstellen, Aktualisieren und Löschen von Maschinen mit nicht verwaltetem Datenträger

Die folgende Liste umfasst notwendige Mindestberechtigungen, wenn das Masterimage eine VHD ist und die vom Administrator bereitgestellte Ressourcengruppe verwendet wird:

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

In Azure AD eingebundene Geräte verwalten

Die folgende Liste enthält die Mindestberechtigungen, die für die Verwaltung der in Azure AD eingebundenen Geräte erforderlich sind:

microsoft.directory/devices/standard/read
microsoft.directory/devices/delete
<!--NeedCopy-->

Allgemeine Berechtigungen

Die Rolle “Mitwirkender” erhält Vollzugriff zur Verwaltung aller Ressourcen. Dieser Satz von Berechtigungen hindert Sie nicht daran, Neue Features zu erhalten.

Die folgenden Berechtigungen bieten die beste Kompatibilität für die zukünftige Verwendung, obwohl sie mehr Berechtigungen umfassen, als für aktuelle Features erforderlich sind:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Azure AD-Berechtigung

Wenn Sie Kataloge für in Azure AD eingebundene Maschinen erstellen, erfolgt die Verwaltung der Azure AD-Geräte über MCS, wenn Sie die Verwaltung in Azure AD eingebundener Geräte aktivieren. Die in Azure AD integrierte Rolle Cloudgeräteadministrator bietet langfristig die beste Kompatibilität, obwohl sie mehr Berechtigungen umfasst, als für die aktuellen Features erforderlich sind.

So geht es weiter

Weitere Informationen

Verbindung zu Microsoft Azure