Citrix DaaS

Verbindung zu Microsoft Azure

Unter Erstellen und Verwalten von Verbindungen werden die Assistenten zum Erstellen einer Verbindung beschrieben. Die folgenden Informationen beziehen sich speziell auf Azure Resource Manager-Cloudumgebungen.

Hinweis:

Bevor Sie eine Verbindung zu Microsoft Azure herstellen, müssen Sie zunächst Ihr Azure-Konto als Ressourcenstandort eingerichtet haben. Siehe Microsoft Azure Resource Manager-Cloudumgebungen.

Verbindung mit Azure Resource Manager

Überlegungen:

  • Citrix empfiehlt, den Dienstprinzipal mit der Rolle “Mitwirkender” zu verwenden. Beachten Sie jedoch die Liste der Mindestberechtigungen im Abschnitt Mindestberechtigungen.
  • Beim Erstellen der ersten Verbindung fordert Azure Sie auf, die erforderlichen Berechtigungen zu erteilen. Sie müssen sich für zukünftige Verbindungen neu authentifizieren, Ihre Zustimmung wird jedoch in Azure gespeichert und die Aufforderung nicht wieder angezeigt.
  • Für die Authentifizierung verwendete Konten müssen Co-Administrator des Abonnements sein.
  • Das für die Authentifizierung verwendete Konto muss Mitglied des Verzeichnisses des Abonnements sein. Es gibt zwei Arten von Konten, auf die Sie achten sollten: “Arbeitsplatz oder Schule” und “Persönliches Microsoft-Konto”. Weitere Informationen finden Sie unter CTX219211.
  • Sie können zwar ein bestehendes Microsoft-Konto als Mitglied des Abonnementverzeichnisses hinzufügen und verwenden, doch kann es zu Komplikationen kommen, wenn dem Konto zuvor Gastzugriff auf eine der Verzeichnisressourcen gewährt worden war. In diesem Fall besitzt das Konto möglicherweise einen Platzhaltereintrag im Verzeichnis, der nicht die erforderlichen Berechtigungen gewährt, und es wird ein Fehler zurückgegeben.

    Entfernen Sie zur Behebung die Ressourcen aus dem Verzeichnis und fügen Sie sie wieder hinzu. Dabei ist jedoch Vorsicht geboten, denn dies hat unbeabsichtigte Auswirkungen auf andere Ressourcen, auf die das Konto zugreifen kann.

  • Es gibt ein bekanntes Problem, bei dem bestimmte Konten, die eigentlich Mitglieder sind, als Verzeichnisgäste erkannt werden. Diese Konfiguration gibt es normalerweise bei älteren Verzeichniskonten. Fügen Sie als Workaround dem Verzeichnis jeweils ein Konto hinzu, das den richtigen Mitgliedschaftswert erhält.
  • Ressourcengruppen sind Container für Ressourcen und können Ressourcen aus ihrer eigenen und aus anderen Regionen enthalten. Dies kann Verwirrung auslösen, wenn Sie erwarten, dass die in der Region einer Ressourcengruppe angezeigten Ressourcen verfügbar sind.
  • Stellen Sie sicher, dass Ihr Netzwerk und Subnetz groß genug zum Hosten der benötigten Maschinenzahl ist. Dies erfordert einiges an Vorausschau, doch Microsoft kann Ihnen bei der Wahl der richtigen Werte und der Planung der erforderlichen Adressraumkapazität helfen.

Sie können eine Hostverbindung mit Azure auf zweierlei Weise herstellen:

  • Authentifizierung bei Azure zum Erstellen eines Dienstprinzipals
  • Verwenden der Informationen eines zuvor erstellten Dienstprinzipals für die Verbindung mit Azure

Erstellen eines Dienstprinzipals

Wichtig:

Dieses Feature ist für deutsche Azure-Abonnements noch nicht verfügbar.

Authentifizieren Sie sich zunächst bei Azure. Stellen Sie Folgendes sicher:

  • Sie haben ein Benutzerkonto des Azure Active Directory-Mandanten Ihres Abonnements.
  • Das Azure Active Directory-Benutzerkonto ist Co-Administrator des Azure-Abonnements, das Sie für die Bereitstellung von Ressourcen verwenden möchten.
  • Sie haben globale Administrator-, Anwendungsadministrator- oder Anwendungsentwicklerberechtigungen für die Authentifizierung. Die Berechtigungen können widerrufen werden, nachdem Sie eine Hostverbindung erstellt haben. Weitere Informationen zu Rollen finden Sie unter Integrierte Azure AD-Rollen.

Wenn Sie sich bei Azure authentifizieren, um einen Dienstprinzipal zu erstellen, wird eine Anwendung in Azure registriert. Für die registrierte Anwendung wird ein geheimer Clientschlüssel erstellt. Die registrierte Anwendung verwendet den geheimen Clientschlüssel zur Authentifizierung bei Azure AD. Stellen Sie sicher, dass Sie den geheimen Clientschlüssel ändern, bevor er abläuft. Sie erhalten eine Warnung in der Konsole, bevor der geheime Schlüssel abläuft. Siehe Anwendungsgeheimnis und Ablaufdatum für Geheimnis.

Um sich bei Azure zu authentifizieren und einen Dienstprinzipal zu erstellen, führen Sie im Assistenten zum Hinzufügen von Verbindung und Ressourcen die folgenden Schritte aus:

  1. Wählen Sie auf der Seite Verbindung die Option Neue Verbindung erstellen, als Verbindungstyp Microsoft Azure und Ihre Azure-Umgebung.

  2. Wählen Sie die Tools, die zum Erstellen der virtuellen Maschinen verwendet werden sollen, und wählen Sie dann Weiter.

  3. Geben Sie auf der Seite Verbindungsdetails die ID Ihres Azure-Abonnements und einen Namen für die Verbindung ein. Nachdem Sie die Abonnement-ID eingegeben haben, wird die Schaltfläche Neu erstellen verfügbar.

    Hinweis:

    Der Verbindungsname muss aus 1–64 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten: \/;:#.*?=<>|[]{}"'()'

  4. Wählen Sie Neu erstellen und geben Sie den Benutzernamen und das Kennwort des Azure Active Directory-Kontos ein.

  5. Wählen Sie Anmelden.

  6. Wählen Sie Akzeptieren, um Citrix Virtual Apps and Desktops die aufgelisteten Berechtigungen zu erteilen. In Citrix Virtual Apps and Desktops wird ein Dienstprinzipal erstellt, der die Verwaltung von Azure-Ressourcen für den angegebenen Benutzer ermöglicht.

  7. Nachdem Sie Akzeptieren gewählt haben, kehren Sie auf die Seite Verbindung im Assistenten zurück.

    Hinweis:

    Nachdem Sie sich bei Azure authentifiziert haben, werden die Schaltflächen Neu erstellen und Vorhandene verwenden ausgeblendet. Der Text Verbindung erfolgreich und ein grünes Häkchen zeigen die erfolgreiche Verbindung mit Ihrem Azure-Abonnement an.

  8. Wählen Sie Weiter auf der Seite Verbindungsdetails.

    Hinweis:

    Sie können im Assistenten erst fortfahren, wenn Sie sich bei Azure authentifiziert und die Erteilung der erforderlichen Berechtigungen akzeptiert haben.

  9. Konfigurieren Sie Ressourcen für die Verbindung. Ressourcen umfassen Region und Netzwerk.

    • Wählen Sie auf der Seite Region eine Region aus.
    • Gehen Sie auf der Seite Netzwerk wie folgt vor:
      • Geben Sie einen Ressourcennamen zur Identifizierung der Kombination aus Region und Netzwerk ein. Der Name muss aus 1–64 Zeichen bestehen. Der Ressourcenname darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten: \/;:#.*?=<>|[]{}"'()'.
      • Wählen Sie eine Kombination aus virtuellem Netzwerk und Ressourcengruppe. (Wenn Sie mehrere virtuelle Netzwerke mit dem gleichen Namen haben, erzielen Sie durch die Kombination aus Netzwerknamen und Ressourcengruppe Einmaligkeit.) Wenn die auf der vorherigen Seite ausgewählte Region keine virtuellen Netzwerke enthält, kehren Sie zu der Seite zurück und wählen Sie eine Region, die virtuelle Netzwerke enthält.
  10. Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen und wählen Sie Fertig stellen, um die Einrichtung abzuschließen.

Verwenden der Informationen eines zuvor erstellten Dienstprinzipals für die Verbindung mit Azure

Zum manuellen Erstellen eines Dienstprinzipals stellen Sie eine Verbindung mit Ihrem Azure Resource Manager-Abonnement her und verwenden Sie die in den nachfolgenden Abschnitten aufgeführten PowerShell-Cmdlets.

Voraussetzungen:

  • SubscriptionId: Azure Resource Manager-SubscriptionID des Abonnements, für das Sie VDAs bereitstellen möchten.
  • ActiveDirectoryID: Mandanten-ID der Anwendung ein, die Sie bei Azure AD registriert haben.
  • ApplicationName: Name der Anwendung, die in Azure AD erstellt werden soll.

Führen Sie zum Erstellen eines Dienstprinzipals folgende Schritte aus:

  1. Stellen Sie eine Verbindung mit Ihrem Azure Resource Manager-Abonnement her.

    Connect-AzAccount

  2. Wählen Sie das Azure Resource Manager-Abonnement, in dem Sie den Dienstprinzipal erstellen möchten.

    Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

  3. Erstellen Sie die Anwendung im AD-Mandanten.

    $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

  4. Erstellen Sie einen Dienstprinzipal.

    New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

  5. Weisen Sie dem Dienstprinzipal eine Rolle zu.

    New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

  6. Notieren Sie die im Ausgabefenster der PowerShell-Konsole angezeigte Anwendungs-ID (ApplicationId). Sie müssen diese ID beim Erstellen der Hostverbindung angeben.

Führen Sie im Assistenten Verbindung und Ressourcen hinzufügen folgende Schritte aus:

  1. Wählen Sie auf der Seite Verbindung die Option Neue Verbindung erstellen, als Verbindungstyp Microsoft Azure und Ihre Azure-Umgebung.

  2. Wählen Sie die Tools, die zum Erstellen der virtuellen Maschinen verwendet werden sollen, und wählen Sie dann Weiter.

  3. Geben Sie auf der Seite Verbindungsdetails die ID Ihres Azure-Abonnements und einen Namen für die Verbindung ein.

    Hinweis:

    Der Verbindungsname muss aus 1–64 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten: \/;:#.*?=<>|[]{}"'()'

  4. Wählen Sie Vorhandene verwenden. Geben Sie im Fenster Vorhandene Dienstprinzipaldetails die folgenden Einstellungen für den bestehenden Dienstprinzipal ein. Nachdem Sie die Details eingegeben haben, ist die Schaltfläche Speichern aktiviert. Wählen Sie Speichern. Sie können erst fortfahren, wenn Sie gültige Angaben gemacht haben.

    • Abonnement-ID. Geben Sie Ihre Azure-Abonnement-ID ein. Um Ihre Abonnement-ID zu erhalten, melden Sie sich beim Azure-Portal an und gehen Sie zu Abonnements > Übersicht.
    • Active Directory-ID (Mandanten-ID). Geben Sie die Verzeichnis-ID (Mandanten-ID) der Anwendung ein, die Sie bei Azure AD registriert haben.
    • Anwendungs-ID. Geben Sie die Anwendungs-ID (Client-ID) der Anwendung ein, die Sie bei Azure AD registriert haben.
    • Anwendungsgeheimnis. Erstellen Sie einen geheimen Clientschlüssel. Die registrierte Anwendung verwendet den Schlüssel zur Authentifizierung bei Azure AD. Es wird empfohlen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Speichern Sie den Schlüssel unbedingt, da Sie ihn später nicht abrufen können. Siehe Anwendungsgeheimnis und Ablaufdatum für Geheimnis.
    • Ablaufdatum des Geheimnisses. Geben Sie das Datum ein, nach dem das Anwendungsgeheimnis abläuft. Sie erhalten eine Warnung in der Konsole, bevor der geheime Schlüssel abläuft. Wenn der geheime Schlüssel abläuft, erhalten Sie Fehler.

      Hinweis:

      Aus Sicherheitsgründen darf das Ablaufdatum nicht mehr als zwei Jahre in der Zukunft liegen.

    • Authentifizierungs-URL. Dieses Feld wird automatisch ausgefüllt und kann nicht bearbeitet werden.
    • Verwaltungs-URL. Dieses Feld wird automatisch ausgefüllt und kann nicht bearbeitet werden.
    • Speichersuffix. Dieses Feld wird automatisch ausgefüllt und kann nicht bearbeitet werden.

      Für die Erstellung eines MCS-Katalogs in Azure ist Zugriff auf die folgenden Endpunkte erforderlich. Durch Zugriff auf diese Endpunkte wird die Konnektivität zwischen Ihrem Netzwerk und dem Azure-Portal und seinen Diensten optimiert.

  5. Nachdem Sie Speichern gewählt haben, wird die Seite Verbindungsdetails wieder angezeigt. Wählen Sie Weiter, um mit der nächsten Seite fortzufahren.

  6. Konfigurieren Sie Ressourcen für die Verbindung. Ressourcen umfassen Region und Netzwerk.

    • Wählen Sie auf der Seite Region eine Region aus.
    • Gehen Sie auf der Seite Netzwerk wie folgt vor:
      • Geben Sie einen Ressourcennamen zur Identifizierung der Kombination aus Region und Netzwerk ein. Der Name muss aus 1–64 Zeichen bestehen. Der Ressourcenname darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten: \/;:#.*?=<>|[]{}"'()'.
      • Wählen Sie eine Kombination aus virtuellem Netzwerk und Ressourcengruppe. (Wenn Sie mehrere virtuelle Netzwerke mit dem gleichen Namen haben, erzielen Sie durch die Kombination aus Netzwerknamen und Ressourcengruppe Einmaligkeit.) Wenn die auf der vorherigen Seite ausgewählte Region keine virtuellen Netzwerke enthält, kehren Sie zu der Seite zurück und wählen Sie eine Region, die virtuelle Netzwerke enthält.
  7. Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen und wählen Sie Fertig stellen, um die Einrichtung abzuschließen.

Anwendungsgeheimnis und Ablaufdatum für Geheimnis

Anzeigen der Anwendungs-ID

Sie können die Anwendungs-ID in der Oberfläche “Vollständige Konfiguration” anzeigen.

Wählen Sie im Assistenten Verbindung und Ressourcen hinzufügen die Verbindung aus, um die Details anzuzeigen. Auf der Registerkarte Details wird die Anwendungs-ID angezeigt.

Anwendungs-ID auf der Seite "Verbindung und Ressourcen hinzufügen"

Anzeigen des Anwendungsgeheimnisses

Sie können das Anwendungsgeheimnis im Azure-Portal anzeigen.

  1. Lesen Sie die Anwendungs-ID auf der Oberfläche “Vollständige Konfiguration” ab.
  2. Melden Sie sich beim Azure-Portal an.
  3. Wählen Sie in Azure Azure Active Directory.
  4. Wählen Sie in Azure AD unter App registrations Ihre Anwendung aus.
  5. Gehen Sie zu Certificates & secrets.
  6. Klicken Sie auf Client secrets.

Anwendungsgeheimnis im Azure-Portal

Ändern des Ablaufdatums des Geheimnisses

Verwenden Sie die Schnittstelle “Vollständige Konfiguration”, um das Ablaufdatum für das verwendete Anwendungsgeheimnis hinzuzufügen oder zu ändern.

  1. Klicken Sie im Assistenten Verbindung und Ressourcen hinzufügen mit der rechten Maustaste auf eine Verbindung und dann auf Verbindung bearbeiten.
  2. Klicken Sie auf der Seite Verbindungseigenschaften auf Ablaufdatum des Geheimnisses, um das Ablaufdatum für das verwendete Anwendungsgeheimnis hinzuzufügen oder zu ändern.

Ablaufdatum des Geheimnisses ändern

Erstellen eines neuen Anwendungsgeheimnisses

Sie können über das Azure-Portal ein neues Anwendungsgeheimnis für eine Verbindung erstellen.

  1. Wählen Sie Azure Active Directory.
  2. Wählen Sie in Azure AD unter App registrations Ihre Anwendung aus.
  3. Gehen Sie zu Certificates & secrets.
  4. Klicken Sie auf Client secrets > New client secret.

    Neues Anwendungsgeheimnis erstellen

  5. Geben Sie eine Beschreibung des geheimen Schlüssels ein und legen Sie eine Dauer fest. Wählen Sie zum Schluss Hinzufügen.

    Hinweis:

    Speichern Sie den geheimen Clientschlüssel unbedingt, da Sie ihn später nicht abrufen können.

  6. Kopieren Sie das Clientgeheimnis und das Ablaufdatum.
  7. Bearbeiten Sie in der Schnittstellen “Volle Konfiguration” die entsprechende Verbindung und ersetzen Sie den Inhalt in den Feldern Anwendungsgeheimnis und Ablaufdatum des Geheimnisses durch die Werte, den Sie kopiert haben.

Azure-Hostverbindungen

Azure-Drosselung

Azure Resource Manager drosselt Anforderungen von Abonnements und Mandanten durch das Routing von Datenverkehr gemäß Grenzwerten, die auf die spezifischen Anforderungen des Anbieters zugeschnitten sind. Weitere Informationen finden Sie auf der Website von Microsoft unter Drosseln von Resource Manager-Anforderungen. Es gibt Grenzwerte für Abonnements und Mandanten, wenn die Verwaltung zahlreicher Maschinen problematisch werden kann. Beispielsweise können bei einem Abonnement mit zahlreichen Maschinen Leistungsprobleme im Zusammenhang mit Energievorgängen auftreten.

Tipp:

Weitere Informationen finden Sie unter Verbessern der Azure-Leistung mit Maschinenerstellungsdiensten.

Zur Lösung solcher Probleme können Sie in Citrix DaaS die interne MCS-Einschränkung entfernen, um das Azure-Anforderungskontingent stärker zu nutzen.

Für große Abonnements (z. B. mit 1000 oder mehr VMs) empfehlen wir die folgenden optimalen Einstellungen für das Ein- und Ausschalten von VMs:

  • Absolute gleichzeitige Operationen: 500
  • Maximale neue Operationen pro Minute: 2000
  • Maximale Gleichzeitigkeit von Operationen: 500

Verwenden Sie die Oberfläche “Vollständige Konfiguration”, um Azure-Operationen für eine Hostverbindung zu konfigurieren:

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Hosting.
  2. Wählen Sie eine Azure-bezogene Verbindung zur Bearbeitung aus.
  3. Wählen Sie Erweitert im Assistenten Verbindung bearbeiten.
  4. Geben Sie auf der Seite Erweitert die Anzahl gleichzeitiger Aktionen, die maximale Anzahl neuer Aktionen pro Minute und ggf. weitere Verbindungsoptionen an.

Azure-Drosselung

MCS unterstützt standardmäßig maximal 500 gleichzeitige Vorgänge. Alternativ können Sie mit dem Remote PowerShell SDK die maximale Anzahl gleichzeitiger Vorgänge festlegen.

Geben Sie über die PowerShell-Eigenschaft MaximumConcurrentProvisioningOperations die maximale Anzahl gleichzeitiger Azure-Provisioningvorgänge an. Beachten Sie Folgendes bei der Verwendung dieser Eigenschaft:

  • Der Standardwert von MaximumConcurrentProvisioningOperations ist 500.
  • Konfigurieren Sie den Parameter MaximumConcurrentProvisioningOperations mit dem PowerShell-Befehl Set-item.

Freigeben von Images für andere Dienstprinzipals im selben Mandanten

Um ein Image in Azure Compute Gallery auszuwählen, das zu einem anderen Abonnement gehört, muss es für den Dienstprinzipal (SPN) dieses Abonnements freigegeben werden.

Dienstprinzipal SPN 1 ist in Studio beispielsweise wie folgt konfiguriert:

Dienstprinzipal: SPN 1

Abonnement: Abonnement 1

Mandant: Mandant 1

Das Image ist in einem anderen Abonnement, das in Studio wie folgt konfiguriert ist:

Abonnement: Abonnement 2

Mandant: Mandant 1

Wenn Sie das Image in Abonnement 2 für Abonnement 1 (SPN 1) freigeben möchten, gehen Sie zu Abonnement 2 und geben Sie die Ressourcengruppe für SPN1 frei.

Die Imagefreigabe muss über die rollenbasierte Zugriffssteuerung (RBAC) von Azure erfolgen. Azure RBAC ist das bei der Verwaltung des Zugriffs auf Azure-Ressourcen verwendete Autorisierungssystem. Weitere Informationen zu Azure RBAC finden Sie im Microsoft-Dokument Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?. Um Zugriff zu gewähren, weisen Sie Dienstprinzipals Rollen im Bereich der Ressourcengruppe mit der Rolle “Mitwirkender” zu. Um Azure-Rollen zuzuweisen, benötigen Sie die Berechtigung Microsoft.Authorization/roleAssignments/write (z. B. als Benutzerzugriffsadministrator oder Besitzer). Weitere Informationen zum Freigeben von Images für andere SPNs finden Sie im Microsoft-Dokument Zuweisen von Azure-Rollen über das Azure-Portal.

Image-Freigabe unter Azure-Mandanten

Um Images mit Azure Compute Gallery für andere Mandaten freizugeben, erstellen Sie eine Anwendungsregistrierung.

Wenn beispielsweise zwei Mandanten vorliegen (Mandant 1 und Mandant 2) und Sie Ihren Image-Katalog mit Mandant 1 teilen möchten, gehen Sie wie folgt vor:

  1. Erstellen Sie eine Anwendungsregistrierung für Mandant 1. Weitere Informationen finden Sie unter Create the app registration.

  2. Fordern Sie über einen Browser eine Anmeldung an, um Mandant 2 Zugriff auf die Anwendung zu geben. Ersetzen Sie Tenant2 ID durch die ID von Mandant 1. Ersetzen Sie Application (client) ID durch die Anwendungs-ID der von Ihnen erstellten Anwendungsregistrierung. Wenn Sie die IDs ersetzt haben, fügen Sie die URL in einen Browser ein und folgen Sie den Schritten zum Anmelden bei Mandant 2. Beispiel:

    https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F
    <!--NeedCopy-->
    

    Weitere Informationen finden Sie unter Give Tenant 2 access.

  3. Gewähren Sie der Anwendung Zugriff auf die Ressourcengruppe von Mandant 2. Melden Sie sich als Mandant 2 an und gewähren Sie der Anwendungsregistrierung Zugriff auf die Ressourcengruppe, die das Katalogimage enthält. Weitere Informationen finden Sie unter Authenticate requests across tenants.

Benutzerdefinierte Eigenschaften der Hostingverbindung aktualisieren

Mit Set-Item können Sie die benutzerdefinierten Eigenschaften der Hostingverbindung mit der freigegebenen Mandanten-ID und der Abonnement-ID aktualisieren. Fügen Sie eine Eigenschaft SharedTenants in CustomProperties hinzu. Das Format von Shared Tenants ist:

[{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->

Beispiel:

Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
<Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
<Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
<Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
</CustomProperties>"
-LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
$psd
<!--NeedCopy-->

Hinweis:

Sie können mehrere Mandanten hinzufügen. Jeder Mandant kann mehrere Abonnements haben.

Freigegebene Images zum Erstellen oder Aktualisieren von Maschinenkatalogen mithilfe der vollständigen Konfiguration verwenden

Beim Erstellen oder Aktualisieren von Maschinenkatalogen in der Schnittstelle für die vollständige Konfiguration können Sie per Azure Compute Gallery freigegebene Images aus anderen Azure-Mandanten und -Abonnements auswählen. Für dieses Feature müssen Sie Informationen zu freigegebenen Mandanten und Abonnements für zugehörige Hostverbindungen angeben. Führen Sie die folgenden Schritte für eine Verbindung aus:

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Hosting.
  2. Wählen Sie die Verbindung und dann in der Aktionsleiste Verbindung bearbeiten aus.
  3. Führen Sie unter Freigegebene Mandanten die folgenden Schritte aus:
    1. Geben Sie die dem Abonnement der Verbindung zugeordnete Anwendungs-ID und das Anwendungsgeheimnis an. DaaS verwendet diese Informationen zur Authentifizierung bei Azure AD.
    2. Fügen Sie Mandanten und Abonnements hinzu, die sich die Azure Compute Gallery mit dem Abonnement der Verbindung teilen. Sie können bis zu acht freigegebene Mandanten und acht Abonnements für jeden Mandanten hinzufügen.
  4. Abschließend wählen Sie entweder Übernehmen, damit die Änderungen angewendet werden und das Fenster geöffnet bleibt, oder OK, damit die Änderungen angewendet werden und das Fenster geschlossen wird.

Auswahl eines Images aus einem anderen Abonnement mit PowerShell

Sie können in Azure Compute Gallery ein Image auswählen, das zu einem anderen freigegebenen Abonnement im selben Azure-Mandanten gehört, um MCS-Kataloge mit PowerShell-Befehlen zu erstellen und zu aktualisieren.

  1. Im Stammordner der Hostingeinheit erstellt Citrix einen neuen freigegebenen Abonnementordner unter dem Namen sharedsubscription.
  2. Listen Sie alle freigegebenen Abonnements im Mandanten auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder"
    <!--NeedCopy-->
    
  3. Wählen Sie ein freigegebenes Abonnement und listen Sie dann alle freigegebenen Ressourcengruppen dieses Abonnements auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription"
    <!--NeedCopy-->
    
  4. Wählen Sie eine Ressourcengruppe und listen Sie dann alle Kataloge in der Ressourcengruppe auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup"
    <!--NeedCopy-->
    
  5. Wählen Sie einen Katalog und listen Sie dann alle Imagedefinitionen des Katalogs auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery"
    <!--NeedCopy-->
    
  6. Wählen Sie eine Imagedefinition und listen Sie dann alle Imageversionen der Imagedefinition auf.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition"
    <!--NeedCopy-->
    
  7. Zum Erstellen und Aktualisieren eines MCS-Katalogs verwenden Sie die folgenden Elemente:

    • Ressourcengruppe
    • Katalog
    • Katalogimagedefinition
    • Katalogimageversion

    Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Image eines anderen Mandanten mit PowerShell auswählen

Sie können in der Azure Compute Gallery mit PowerShell-Befehlen ein Image auswählen, das zu einem anderen Azure-Mandanten gehört, um MCS-Kataloge zu erstellen und zu aktualisieren.

  1. Im Stammordner der Hostingeinheit erstellt Citrix einen neuen freigegebenen Abonnementordner unter dem Namen sharedsubscription.
  2. Listen Sie alle freigegebenen Abonnements auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder
    <!--NeedCopy-->
    
  3. Wählen Sie ein freigegebenes Abonnement und listen Sie dann alle freigegebenen Ressourcengruppen dieses Abonnements auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription
    <!--NeedCopy-->
    
  4. Wählen Sie eine Ressourcengruppe und listen Sie dann alle Kataloge in der Ressourcengruppe auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup
    <!--NeedCopy-->
    
  5. Wählen Sie einen Katalog und listen Sie dann alle Imagedefinitionen des Katalogs auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery
    <!--NeedCopy-->
    
  6. Wählen Sie eine Imagedefinition und listen Sie dann alle Imageversionen der Imagedefinition auf.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition
    <!--NeedCopy-->
    
  7. Zum Erstellen und Aktualisieren eines MCS-Katalogs verwenden Sie die folgenden Elemente:

    • Ressourcengruppe
    • Katalog
    • Katalogimagedefinition
    • Katalogimageversion

    Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Informationen zu Azure-Berechtigungen

Dieser Abschnitt enthält die für Azure erforderlichen Mindestberechtigungen und allgemeinen Berechtigungen.

Mindestberechtigungen

Mindestberechtigungen ermöglichen eine bessere Sicherheitskontrolle. Was ist neu, die zusätzliche Berechtigungen erfordern, schlagen jedoch fehl, wenn nur die Mindestberechtigungen verwendet werden.

Erstellen einer Hostverbindung

Fügen Sie eine neue Hostverbindung unter Verwendung der von Azure abgerufenen Informationen hinzu.

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

Energieverwaltung virtueller Maschinen

Schalten Sie die Maschineninstanzen ein oder aus.

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Erstellen, Aktualisieren oder Löschen von VMs

Nach dem Erstellen eines Maschinenkatalogs können Sie Maschinen hinzufügen, löschen und aktualisieren und den Maschinenkatalog löschen.

Die folgende Liste umfasst notwendige Mindestberechtigungen, wenn das Masterimage ein verwalteter Datenträger ist oder wenn sich Snapshots in derselben Region wie die Hostverbindung befinden.

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Für die folgenden Features benötigen Sie zusätzlich zu den Mindestberechtigungen die folgenden Berechtigungen:

  • Wenn das Masterimage eine virtuelle Festplatte (VHD) in einem Speicherkonto ist, das sich in derselben Region wie die Hostverbindung befindet:

     "Microsoft.Storage/storageAccounts/read",
     "Microsoft.Storage/storageAccounts/listKeys/action",
     <!--NeedCopy-->
    
  • Wenn das Masterimage eine ImageVersion aus der Shared Image Gallery ist:

     "Microsoft.Compute/galleries/read",
     "Microsoft.Compute/galleries/images/read",
     "Microsoft.Compute/galleries/images/versions/read",
     <!--NeedCopy-->
    
  • Wenn das Masterimage ein verwalteter Datenträger ist. Snapshots, oder die virtuelle Festplatte ist nicht in derselben Region wie die Hostverbindung:

     "Microsoft.Storage/storageAccounts/read",
     "Microsoft.Storage/storageAccounts/listKeys/action",
     "Microsoft.Storage/storageAccounts/write",
     "Microsoft.Storage/storageAccounts/delete",
     <!--NeedCopy-->
    
  • Wenn Sie eine von Citrix verwaltete Ressourcengruppe verwenden:

     "Microsoft.Resources/subscriptions/resourceGroups/write",
     "Microsoft.Resources/subscriptions/resourceGroups/delete",
     <!--NeedCopy-->
    
  • Wenn Sie das Masterimage in der Shared Image Gallery ablegen:

     "Microsoft.Compute/galleries/write",
     "Microsoft.Compute/galleries/images/write",
     "Microsoft.Compute/galleries/images/versions/write",
     "Microsoft.Compute/galleries/read",
     "Microsoft.Compute/galleries/images/read",
     "Microsoft.Compute/galleries/images/versions/read",
     "Microsoft.Compute/galleries/delete",
     "Microsoft.Compute/galleries/images/delete",
     "Microsoft.Compute/galleries/images/versions/delete",
     <!--NeedCopy-->
    
  • Wenn Sie dedizierte Azure-Hosts unterstützen:

     "Microsoft.Compute/hostGroups/read",
     "Microsoft.Compute/hostGroups/write",
     "Microsoft.Compute/hostGroups/hosts/read",
     <!--NeedCopy-->
    
  • Wenn Sie die serverseitige Verschlüsselung (SSE) mit vom Kunden verwalteten Schlüsseln (CMK) verwenden:

     "Microsoft.Compute/diskEncryptionSets/read",
     <!--NeedCopy-->
    
  • Wenn Sie VMs mit ARM-Vorlagen (Maschinenprofil) bereitstellen:

     "Microsoft.Resources/deployments/write",
     "Microsoft.Resources/deployments/operationstatuses/read",
     "Microsoft.Resources/deployments/read",
     "Microsoft.Resources/deployments/delete",
     <!--NeedCopy-->
    
  • Wenn Sie die Azure-Vorlagenspezifikation als Maschinenprofil verwenden:

     "Microsoft.Resources/templateSpecs/read",
     "Microsoft.Resources/templateSpecs/versions/read",
     <!--NeedCopy-->
    

Erstellen, Aktualisieren und Löschen von Maschinen mit nicht verwaltetem Datenträger

Die folgende Liste umfasst notwendige Mindestberechtigungen, wenn das Masterimage eine VHD ist und die vom Administrator bereitgestellte Ressourcengruppe verwendet wird:

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Allgemeine Berechtigung

Die Rolle “Mitwirkender” erhält Vollzugriff zur Verwaltung aller Ressourcen. Dieser Satz von Berechtigungen hindert Sie nicht daran, Was ist neu zu erhalten.

Die folgenden Berechtigungen bieten die beste Kompatibilität für die zukünftige Verwendung, obwohl sie mehr Berechtigungen umfassen, als für aktuelle Features erforderlich sind:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

So geht es weiter

Weitere Informationen

Verbindung zu Microsoft Azure