Verbindung zu Microsoft Azure
Hinweis:
Seit Juli 2023 hat Microsoft Azure Active Directory (Azure AD) in Microsoft Entra ID umbenannt. In diesem Dokument bezieht sich jeder Verweis auf Azure Active Directory, Azure AD oder AAD jetzt auf Microsoft Entra ID.
Unter Verbindungen und Ressourcen erstellen und verwalten werden die Assistenten zum Erstellen einer Verbindung beschrieben. Die folgenden Informationen beziehen sich speziell auf Azure Resource Manager-Cloudumgebungen.
Hinweis:
Bevor Sie eine Verbindung zu Microsoft Azure herstellen, müssen Sie Ihr Azure-Konto als Ressourcenstandort eingerichtet haben. Siehe Microsoft Azure Resource Manager-Cloudumgebungen.
Dienstprinzipale und Verbindungen erstellen
Bevor Sie Verbindungen erstellen, müssen Sie Dienstprinzipale einrichten, über die Verbindungen auf Azure-Ressourcen zugreifen. Es gibt zwei Optionen zum Erstellen einer Verbindung:
- Dienstprinzipal und Verbindung gemeinsam in Web Studio erstellen
- Verbindung mithilfe eines zuvor erstellten Dienstprinzipals erstellen
In diesem Abschnitt erfahren Sie, wie Sie diese Aufgaben ausführen:
- Dienstprinzipal und Verbindung mit Web Studio erstellen
- Dienstprinzipal mithilfe von PowerShell erstellen
- Anwendungsgeheimnis in Azure abrufen
- Verbindung mithilfe von vorhandenem Dienstprinzipal erstellen
Überlegungen
- Citrix empfiehlt, den Dienstprinzipal mit der Rolle “Mitwirkender” zu verwenden. Beachten Sie jedoch die Liste der Mindestberechtigungen im Abschnitt Mindestberechtigungen.
- Beim Erstellen der ersten Verbindung fordert Azure Sie auf, die erforderlichen Berechtigungen zu erteilen. Sie müssen sich für zukünftige Verbindungen neu authentifizieren, Ihre Zustimmung wird jedoch in Azure gespeichert und die Aufforderung nicht wieder angezeigt.
- Konten, die für die Authentifizierung verwendet werden, müssen über Berechtigungen verfügen, um Rollen im Abonnement mithilfe von Azure RBAC zuzuweisen. Beispiel: Besitzer, Administrator für rollenbasierte Zugriffskontrolle oder Administrator für Benutzerzugriff des Abonnements.
- Das für die Authentifizierung verwendete Konto muss Mitglied des Verzeichnisses des Abonnements sein. Es gibt zwei Arten von Konten, auf die Sie achten sollten: “Arbeitsplatz oder Schule” und “Persönliches Microsoft-Konto”. Weitere Informationen finden Sie unter CTX219211.
-
Sie können zwar ein bestehendes Microsoft-Konto als Mitglied des Abonnementverzeichnisses hinzufügen und verwenden, doch kann es zu Komplikationen kommen, wenn dem Konto zuvor Gastzugriff auf eine der Verzeichnisressourcen gewährt worden war. In diesem Fall besitzt das Konto möglicherweise einen Platzhaltereintrag im Verzeichnis, der nicht die erforderlichen Berechtigungen gewährt, und es wird ein Fehler zurückgegeben.
Entfernen Sie zur Behebung die Ressourcen aus dem Verzeichnis und fügen Sie sie wieder hinzu. Dabei ist jedoch Vorsicht geboten, denn dies hat unbeabsichtigte Auswirkungen auf andere Ressourcen, auf die das Konto zugreifen kann.
- Es gibt ein bekanntes Problem, bei dem bestimmte Konten, die eigentlich Mitglieder sind, als Verzeichnisgäste erkannt werden. Diese Konfiguration gibt es normalerweise bei älteren Verzeichniskonten. Fügen Sie als Workaround dem Verzeichnis jeweils ein Konto hinzu, das den richtigen Mitgliedschaftswert erhält.
- Ressourcengruppen sind Container für Ressourcen und können Ressourcen aus ihrer eigenen und aus anderen Regionen enthalten. Dies kann Verwirrung auslösen, wenn Sie erwarten, dass die in der Region einer Ressourcengruppe angezeigten Ressourcen verfügbar sind.
- Stellen Sie sicher, dass Ihr Netzwerk und Subnetz groß genug zum Hosten der benötigten Maschinenzahl ist. Dies erfordert einiges an Vorausschau, doch Microsoft kann Ihnen bei der Wahl der richtigen Werte und der Planung der erforderlichen Adressraumkapazität helfen.
Dienstprinzipal und Verbindung mit Web Studio erstellen
Wichtig:
Dieses Feature ist für chinesische Azure-Abonnements noch nicht verfügbar.
In Web Studio können Sie Dienstprinzipal und Verbindung in einem einzigen Workflow erstellen. Dienstprinzipale gewähren Verbindungen Zugriff auf Azure-Ressourcen. Wenn Sie sich bei Azure authentifizieren, um einen Dienstprinzipal zu erstellen, wird eine Anwendung in Azure registriert. Für die registrierte Anwendung wird ein geheimer Schlüssel erstellt (geheimer Clientschlüssel oder Anwendungsgeheimnis). Die registrierte Anwendung (in diesem Fall eine Verbindung) verwendet den geheimen Clientschlüssel zur Authentifizierung bei Azure AD.
Stellen Sie vor Beginn sicher, dass Sie die folgenden Voraussetzungen erfüllen:
- Sie haben ein Benutzerkonto des Azure Active Directory-Mandanten Ihres Abonnements.
- Konten, die für die Authentifizierung verwendet werden, müssen über Berechtigungen verfügen, um Rollen im Abonnement mithilfe von Azure RBAC zuzuweisen. Beispiel: Besitzer, Administrator für rollenbasierte Zugriffskontrolle oder Administrator für Benutzerzugriff des Abonnements.
- Sie haben globale Administrator-, Anwendungsadministrator- oder Anwendungsentwicklerberechtigungen für die Authentifizierung. Diese Berechtigungen können widerrufen werden, wenn Sie eine Hostverbindung erstellt haben. Weitere Informationen zu Rollen finden Sie unter Integrierte Azure AD-Rollen.
Verwenden Sie den Assistenten für Verbindung und Ressourcen hinzufügen, um Dienstprinzipal und Verbindung gemeinsam zu erstellen:
-
Wählen Sie auf der Seite Verbindung die Option Neue Verbindung erstellen, als Verbindungstyp Microsoft Azure und Ihre Azure-Umgebung.
-
Wählen Sie die Tools, die zum Erstellen der virtuellen Maschinen verwendet werden sollen, und wählen Sie dann Weiter.
-
Geben Sie auf der Seite Verbindungsdetails die ID Ihres Azure-Abonnements und einen Namen für die Verbindung ein. Nachdem Sie die Abonnement-ID eingegeben haben, wird die Schaltfläche Neu erstellen verfügbar.
Hinweis:
Der Verbindungsname muss aus 1–64 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten:
\/;:#.*?=<>|[]{}"'()'
- Wählen Sie Neu erstellen und geben Sie den Benutzernamen und das Kennwort des Azure Active Directory-Kontos ein.
- Wählen Sie Anmelden.
- Wählen Sie Akzeptieren, um Citrix Virtual Apps and Desktops die aufgelisteten Berechtigungen zu erteilen. In Citrix Virtual Apps and Desktops wird ein Dienstprinzipal erstellt, der die Verwaltung von Azure-Ressourcen für den angegebenen Benutzer ermöglicht.
-
Nachdem Sie Akzeptieren gewählt haben, kehren Sie auf die Seite Verbindung im Assistenten zurück.
Hinweis:
Nachdem Sie sich bei Azure authentifiziert haben, werden die Schaltflächen Neu erstellen und Vorhandene verwenden ausgeblendet. Der Text Verbindung erfolgreich und ein grünes Häkchen zeigen die erfolgreiche Verbindung mit Ihrem Azure-Abonnement an.
-
Wählen Sie Weiter auf der Seite Verbindungsdetails.
Hinweis:
Sie können im Assistenten erst fortfahren, wenn Sie sich bei Azure authentifiziert und die Erteilung der erforderlichen Berechtigungen akzeptiert haben.
-
Konfigurieren Sie Ressourcen für die Verbindung. Ressourcen umfassen Region und Netzwerk.
- Wählen Sie auf der Seite Region eine Region aus.
- Gehen Sie auf der Seite Netzwerk wie folgt vor:
- Geben Sie einen Ressourcennamen zur Identifizierung der Kombination aus Region und Netzwerk ein. Der Name muss aus 1–64 Zeichen bestehen. Der Ressourcenname darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten:
\/;:#.*?=<>|[]{}"'()'
. - Wählen Sie eine Kombination aus virtuellem Netzwerk und Ressourcengruppe. (Wenn Sie mehrere virtuelle Netzwerke mit dem gleichen Namen haben, erzielen Sie durch die Kombination aus Netzwerknamen und Ressourcengruppe Einmaligkeit.) Wenn die auf der vorherigen Seite ausgewählte Region keine virtuellen Netzwerke enthält, kehren Sie zu der Seite zurück und wählen Sie eine Region, die virtuelle Netzwerke enthält.
- Geben Sie einen Ressourcennamen zur Identifizierung der Kombination aus Region und Netzwerk ein. Der Name muss aus 1–64 Zeichen bestehen. Der Ressourcenname darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten:
- Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen und wählen Sie Fertig stellen, um die Einrichtung abzuschließen.
Anzeigen der Anwendungs-ID
Nachdem Sie eine Verbindung erstellt haben, können Sie die Anwendungs-ID einsehen, die die Verbindung für den Zugriff auf Azure-Ressourcen verwendet.
Wählen Sie in der Liste Verbindung und Ressourcen hinzufügen die Verbindung aus, um die Details anzuzeigen. Auf der Registerkarte Details wird die Anwendungs-ID angezeigt.
Dienstprinzipal mithilfe von PowerShell erstellen
Zum Erstellen eines Dienstprinzipals mit PowerShell stellen Sie zunächst eine Verbindung mit Ihrem Azure Resource Manager-Abonnement her. Verwenden Sie dann die nachfolgend aufgeführten PowerShell-Cmdlets.
Stellen Sie sicher, dass Sie diese Elemente verfügbar haben:
-
SubscriptionId: Azure Resource Manager-
SubscriptionID
des Abonnements, für das Sie VDAs bereitstellen möchten. - ActiveDirectoryID: Mandanten-ID der Anwendung ein, die Sie bei Azure AD registriert haben.
- ApplicationName: Name der Anwendung, die in Azure AD erstellt werden soll.
Verfahren:
Stellen Sie eine Verbindung mit Ihrem Azure Resource Manager-Abonnement her.
`Connect-AzAccount`
-
Wählen Sie das Azure Resource Manager-Abonnement, in dem Sie den Dienstprinzipal erstellen möchten.
Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription
-
Erstellen Sie die Anwendung im AD-Mandanten.
$AzureADApplication = New-AzADApplication -DisplayName $ApplicationName
-
Erstellen Sie einen Dienstprinzipal.
New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId
-
Weisen Sie dem Dienstprinzipal eine Rolle zu.
New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId
-
Notieren Sie die im Ausgabefenster der PowerShell-Konsole angezeigte Anwendungs-ID (ApplicationId). Sie müssen diese ID beim Erstellen der Hostverbindung angeben.
Anwendungsgeheimnis in Azure abrufen
Um eine Verbindung über einen vorhandenen Dienstprinzipal herzustellen, müssen Sie zunächst die Anwendungs-ID und das Anwendungsgeheimnis des Dienstprinzipals im Azure-Portal abrufen.
Verfahren:
- Rufen Sie die Anwendungs-ID mithilfe von Web Studio oder PowerShell ab.
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie in Azure Active Directory.
- Wählen Sie in Azure AD unter App registrations Ihre Anwendung aus.
- Gehen Sie zu Certificates & secrets.
- Klicken Sie auf Client secrets.
Verbindung mithilfe von vorhandenem Dienstprinzipal erstellen
Wenn Sie bereits über einen Dienstprinzipal verfügen, können Sie ihn verwenden, um in Web Studio eine Verbindung herzustellen.
Stellen Sie sicher, dass Sie diese Elemente verfügbar haben:
- Abonnement-ID
- ActiveDirectory-ID (Mandanten-ID)
- Anwendungs-ID
-
Anwendungsgeheimnis
Weitere Informationen finden Sie unter Anwendungsgeheimnis abrufen.
- Ablaufdatum des Geheimnisses
Verfahren:
Führen Sie im Assistenten Verbindung und Ressourcen hinzufügen folgende Schritte aus:
-
Wählen Sie auf der Seite Verbindung die Option Neue Verbindung erstellen, als Verbindungstyp Microsoft Azure und Ihre Azure-Umgebung.
-
Wählen Sie die Tools, die zum Erstellen der virtuellen Maschinen verwendet werden sollen, und wählen Sie dann Weiter.
-
Geben Sie auf der Seite Verbindungsdetails die ID Ihres Azure-Abonnements und einen Namen für die Verbindung ein.
Hinweis:
Der Verbindungsname muss aus 1–64 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten:
\/;:#.*?=<>|[]{}"'()'
-
Wählen Sie Vorhandene verwenden. Geben Sie im Fenster Vorhandene Dienstprinzipaldetails die folgenden Einstellungen für den bestehenden Dienstprinzipal ein. Nachdem Sie die Details eingegeben haben, ist die Schaltfläche Speichern aktiviert. Wählen Sie Speichern. Sie können erst fortfahren, wenn Sie gültige Angaben gemacht haben.
- Abonnement-ID. Geben Sie Ihre Azure-Abonnement-ID ein. Um Ihre Abonnement-ID zu erhalten, melden Sie sich beim Azure-Portal an und gehen Sie zu Abonnements > Übersicht.
- Active Directory-ID (Mandanten-ID). Geben Sie die Verzeichnis-ID (Mandanten-ID) der Anwendung ein, die Sie bei Azure AD registriert haben.
- Anwendungs-ID. Geben Sie die Anwendungs-ID (Client-ID) der Anwendung ein, die Sie bei Azure AD registriert haben.
- Anwendungsgeheimnis. Erstellen Sie einen geheimen Clientschlüssel. Die registrierte Anwendung verwendet den Schlüssel zur Authentifizierung bei Azure AD. Es wird empfohlen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Speichern Sie den Schlüssel unbedingt, da Sie ihn später nicht abrufen können.
-
Ablaufdatum des Geheimnisses. Geben Sie das Datum ein, nach dem das Anwendungsgeheimnis abläuft. Sie erhalten eine Warnung in der Konsole, bevor der geheime Schlüssel abläuft. Wenn der geheime Schlüssel abläuft, erhalten Sie Fehler.
Hinweis:
Aus Sicherheitsgründen darf das Ablaufdatum nicht mehr als zwei Jahre in der Zukunft liegen.
- Authentifizierungs-URL. Dieses Feld wird automatisch ausgefüllt und kann nicht bearbeitet werden.
- Verwaltungs-URL. Dieses Feld wird automatisch ausgefüllt und kann nicht bearbeitet werden.
-
Speichersuffix. Dieses Feld wird automatisch ausgefüllt und kann nicht bearbeitet werden.
Für die Erstellung eines MCS-Katalogs in Azure ist Zugriff auf die folgenden Endpunkte erforderlich. Durch Zugriff auf diese Endpunkte wird die Konnektivität zwischen Ihrem Netzwerk und dem Azure-Portal und seinen Diensten optimiert.
- Authentifizierungs-URL: https://login.microsoftonline.com/
- Verwaltungs-URL: https://management.azure.com/. Dies ist eine Anforderungs-URL für Azure Resource Manager-Anbieter-APIs. Der Endpunkt für die Verwaltung hängt von der Umgebung ab. Für Azure Global ist dies beispielsweise https://management.azure.com/, und für Azure US Government ist es https://management.usgovcloudapi.net/.
- Speichersuffix: https://*.core.windows.net./. Dieses (*) ist ein Platzhalterzeichen für das Speichersuffix. Beispiel:
https://demo.table.core.windows.net/
.
-
Nachdem Sie Speichern gewählt haben, wird die Seite Verbindungsdetails wieder angezeigt. Wählen Sie Weiter, um mit der nächsten Seite fortzufahren.
-
Konfigurieren Sie Ressourcen für die Verbindung. Ressourcen umfassen Region und Netzwerk.
- Wählen Sie auf der Seite Region eine Region aus.
- Gehen Sie auf der Seite Netzwerk wie folgt vor:
- Geben Sie einen Ressourcennamen zur Identifizierung der Kombination aus Region und Netzwerk ein. Der Name muss aus 1–64 Zeichen bestehen. Der Ressourcenname darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten:
\/;:#.*?=<>|[]{}"'()'
. - Wählen Sie eine Kombination aus virtuellem Netzwerk und Ressourcengruppe. (Wenn Sie mehrere virtuelle Netzwerke mit dem gleichen Namen haben, erzielen Sie durch die Kombination aus Netzwerknamen und Ressourcengruppe Einmaligkeit.) Wenn die auf der vorherigen Seite ausgewählte Region keine virtuellen Netzwerke enthält, kehren Sie zu der Seite zurück und wählen Sie eine Region, die virtuelle Netzwerke enthält.
- Geben Sie einen Ressourcennamen zur Identifizierung der Kombination aus Region und Netzwerk ein. Der Name muss aus 1–64 Zeichen bestehen. Der Ressourcenname darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten:
-
Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen und wählen Sie Fertig stellen, um die Einrichtung abzuschließen.
Dienstprinzipale und Verbindungen verwalten
In diesem Abschnitt erfahren Sie, wie Sie Dienstprinzipale und Verbindungen verwalten können:
- Einstellungen für Azure-Drosselung konfigurieren
- Imagefreigabe in Azure aktivieren
- Gemeinsam genutzte Mandanten mithilfe der vollständigen Konfiguration zu einer Verbindung hinzufügen
- Image-Freigabe mithilfe von PowerShell implementieren
- Anwendungsgeheimnis und Ablaufdatum für Geheimnis verwalten
Einstellungen für Azure-Drosselung konfigurieren
Azure Resource Manager drosselt Anforderungen von Abonnements und Mandanten durch das Routing von Datenverkehr gemäß Grenzwerten, die auf die spezifischen Anforderungen des Anbieters zugeschnitten sind. Weitere Informationen finden Sie auf der Website von Microsoft unter Drosseln von Resource Manager-Anforderungen. Es gibt Grenzwerte für Abonnements und Mandanten, wenn die Verwaltung zahlreicher Maschinen problematisch werden kann. Beispielsweise können bei einem Abonnement mit zahlreichen Maschinen Leistungsprobleme im Zusammenhang mit Energievorgängen auftreten.
Tipp:
Weitere Informationen finden Sie unter Verbessern der Azure-Leistung mit Maschinenerstellungsdiensten.
Zur Lösung solcher Probleme können Sie die interne MCS-Drosselung entfernen, um das Azure-Anforderungskontingent stärker zu nutzen.
Für große Abonnements (z. B. mit 1000 oder mehr VMs) empfehlen wir die folgenden optimalen Einstellungen für das Ein- und Ausschalten von VMs:
- Absolute gleichzeitige Operationen: 500
- Maximale neue Operationen pro Minute: 2000
- Maximale Gleichzeitigkeit von Operationen: 500
Gehen Sie zum Konfigurieren von Azure-Operationen für eine Azure-Verbindung mit Web Studio folgendermaßen vor:
- Wählen Sie in Web Studio im linken Bereich Hosting.
- Wählen Sie die Verbindung aus.
- Wählen Sie Erweitert im Assistenten Verbindung bearbeiten.
- Geben Sie auf der Seite Erweitert die Anzahl gleichzeitiger Aktionen, die maximale Anzahl neuer Aktionen pro Minute und ggf. weitere Verbindungsoptionen an.
MCS unterstützt standardmäßig maximal 500 gleichzeitige Vorgänge. Alternativ können Sie mit dem Remote PowerShell SDK die maximale Anzahl gleichzeitiger Vorgänge festlegen.
Geben Sie über die PowerShell-Eigenschaft MaximumConcurrentProvisioningOperations
die maximale Anzahl gleichzeitiger Azure-Provisioningvorgänge an. Beachten Sie Folgendes bei der Verwendung dieser Eigenschaft:
- Der Standardwert von
MaximumConcurrentProvisioningOperations
ist 500. - Konfigurieren Sie den Parameter
MaximumConcurrentProvisioningOperations
mit dem PowerShell-BefehlSet-item
.
Imagefreigabe in Azure aktivieren
Beim Erstellen oder Aktualisieren von Maschinenkatalogen können Sie per Azure Compute Gallery freigegebene Images aus anderen Azure-Mandanten und -Abonnements auswählen. Um die Imagefreigabe innerhalb oder zwischen Mandanten zu aktivieren, müssen Sie die erforderlichen Einstellungen in Azure vornehmen:
- Images innerhalb eines Mandanten freigeben (abonnementübergreifend)
- Images mandantenübergreifend freigeben
Images innerhalb eines Mandanten freigeben (abonnementübergreifend)
Um ein Image in Azure Compute Gallery auszuwählen, das zu einem anderen Abonnement gehört, muss es für den Dienstprinzipal (SPN) dieses Abonnements freigegeben werden.
Dienstprinzipal SPN 1 ist in Studio beispielsweise wie folgt konfiguriert:
Dienstprinzipal: SPN 1
Abonnement: Abonnement 1
Mandant: Mandant 1
Das Image ist in einem anderen Abonnement, das in Studio wie folgt konfiguriert ist:
Abonnement: Abonnement 2
Mandant: Mandant 1
Wenn Sie das Image in Abonnement 2 für Abonnement 1 (SPN 1) freigeben möchten, gehen Sie zu Abonnement 2 und geben Sie die Ressourcengruppe für SPN1 frei.
Die Imagefreigabe muss über die rollenbasierte Zugriffssteuerung (RBAC) von Azure erfolgen. Azure RBAC ist das bei der Verwaltung des Zugriffs auf Azure-Ressourcen verwendete Autorisierungssystem. Weitere Informationen zu Azure RBAC finden Sie im Microsoft-Dokument Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?. Um Zugriff zu gewähren, weisen Sie Dienstprinzipals Rollen im Bereich der Ressourcengruppe mit der Rolle “Mitwirkender” zu. Um Azure-Rollen zuzuweisen, benötigen Sie die Berechtigung Microsoft.Authorization/roleAssignments/write
(z. B. als Benutzerzugriffsadministrator oder Besitzer). Weitere Informationen zum Freigeben von Images für andere SPNs finden Sie im Microsoft-Dokument Zuweisen von Azure-Rollen über das Azure-Portal.
Informationen zum Auswählen von Images aus einem anderen Abonnement mit PowerShell-Befehlen finden Sie unter Image aus einem anderen Abonnement auswählen.
Images mandantenübergreifend freigeben
Um Images mit Azure Compute Gallery für andere Mandaten freizugeben, erstellen Sie eine Anwendungsregistrierung.
Wenn beispielsweise zwei Mandanten vorliegen (Mandant 1 und Mandant 2) und Sie Ihren Image-Katalog mit Mandant 1 teilen möchten, gehen Sie wie folgt vor:
-
Erstellen Sie eine Anwendungsregistrierung für Mandant 1. Weitere Informationen finden Sie unter Create the app registration.
-
Fordern Sie über einen Browser eine Anmeldung an, um Mandant 2 Zugriff auf die Anwendung zu geben. Ersetzen Sie
Tenant2 ID
durch die ID von Mandant 1. Ersetzen SieApplication (client) ID
durch die Anwendungs-ID der von Ihnen erstellten Anwendungsregistrierung. Wenn Sie die IDs ersetzt haben, fügen Sie die URL in einen Browser ein und folgen Sie den Schritten zum Anmelden bei Mandant 2. Beispiel:https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F <!--NeedCopy-->
Weitere Informationen finden Sie unter Give Tenant 2 access.
-
Gewähren Sie der Anwendung Zugriff auf die Ressourcengruppe von Mandant 2. Melden Sie sich als Mandant 2 an und gewähren Sie der Anwendungsregistrierung Zugriff auf die Ressourcengruppe, die das Katalogimage enthält. Weitere Informationen finden Sie unter Authenticate requests across tenants.
Zum Erstellen eines Katalogs mithilfe von PowerShell-Befehlen und einem Image von einem anderen Mandanten gehen Sie folgendermaßen vor:
- Aktualisieren Sie benutzerdefinierte Eigenschaften der Hostverbindung mit IDs für freigegebene Mandanten.
- Wählen Sie ein Image eines anderen Mandanten aus.
Gemeinsam genutzte Mandanten mithilfe der vollständigen Konfiguration zu einer Verbindung hinzufügen
Beim Erstellen oder Aktualisieren von Maschinenkatalogen in Web Studio können Sie per Azure Compute Gallery freigegebene Images aus anderen Azure-Mandanten und -Abonnements auswählen. Für dieses Feature müssen Sie Informationen zu freigegebenen Mandanten und Abonnements für zugehörige Hostverbindungen angeben.
Hinweis:
Vergewissern Sie sich, dass Sie die erforderlichen Einstellungen in Azure vorgenommen haben, um die Imagefreigabe innerhalb oder zwischen Mandanten zu aktivieren. Weitere Informationen finden Sie unter Images mandantenübergreifend freigeben.
Führen Sie die folgenden Schritte für eine Verbindung aus:
- Wählen Sie in Web Studio im linken Bereich Hosting.
-
Wählen Sie die Verbindung und dann in der Aktionsleiste Verbindung bearbeiten aus.
-
Führen Sie unter Freigegebene Mandanten die folgenden Schritte aus:
- Geben Sie die dem Abonnement der Verbindung zugeordnete Anwendungs-ID und das Anwendungsgeheimnis an. Citrix Virtual Apps and Desktops verwendet diese Informationen zur Authentifizierung bei Azure AD.
- Fügen Sie Mandanten und Abonnements hinzu, die sich die Azure Compute Gallery mit dem Abonnement der Verbindung teilen. Sie können bis zu acht freigegebene Mandanten und acht Abonnements für jeden Mandanten hinzufügen.
- Abschließend wählen Sie entweder Übernehmen, damit die Änderungen angewendet werden und das Fenster geöffnet bleibt, oder OK, damit die Änderungen angewendet werden und das Fenster geschlossen wird.
Image-Freigabe mithilfe von PowerShell implementieren
Dieser Abschnitt erläutert die Prozesse zur Image-Freigabe mithilfe von PowerShell:
- Image aus einem anderen Abonnement auswählen
- Benutzerdefinierte Eigenschaften der Hostverbindung mit IDs für freigegebene Mandanten aktualisieren
- Image eines anderen Mandanten auswählen
Image aus einem anderen Abonnement auswählen
Sie können in Azure Compute Gallery ein Image auswählen, das zu einem anderen freigegebenen Abonnement im selben Azure-Mandanten gehört, um MCS-Kataloge mit PowerShell-Befehlen zu erstellen und zu aktualisieren.
- Im Stammordner der Hostingeinheit erstellt Citrix einen neuen freigegebenen Abonnementordner unter dem Namen
sharedsubscription
. -
Listen Sie alle freigegebenen Abonnements im Mandanten auf.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder" <!--NeedCopy-->
-
Wählen Sie ein freigegebenes Abonnement und listen Sie dann alle freigegebenen Ressourcengruppen dieses Abonnements auf.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription" <!--NeedCopy-->
-
Wählen Sie eine Ressourcengruppe und listen Sie dann alle Kataloge in der Ressourcengruppe auf.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup" <!--NeedCopy-->
-
Wählen Sie einen Katalog und listen Sie dann alle Imagedefinitionen des Katalogs auf.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery" <!--NeedCopy-->
-
Wählen Sie eine Imagedefinition und listen Sie dann alle Imageversionen der Imagedefinition auf.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition" <!--NeedCopy-->
-
Zum Erstellen und Aktualisieren eines MCS-Katalogs verwenden Sie die folgenden Elemente:
- Ressourcengruppe
- Katalog
- Katalogimagedefinition
- Katalogimageversion
Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.
Benutzerdefinierte Eigenschaften der Hostverbindung mit IDs für freigegebene Mandanten aktualisieren
Mit Set-Item
können Sie die benutzerdefinierten Eigenschaften der Hostverbindung mit den IDs der freigegebenen Mandanten und den Abonnement-IDs aktualisieren. Fügen Sie eine Eigenschaft SharedTenants
in CustomProperties
hinzu. Das Format von Shared Tenants
ist:
[{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->
Beispiel:
Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
<Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
<Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
<Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
</CustomProperties>"
-LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
$psd
<!--NeedCopy-->
Hinweis:
Sie können mehrere Mandanten hinzufügen. Jeder Mandant kann mehrere Abonnements haben.
Image eines anderen Mandanten auswählen
Sie können in der Azure Compute Gallery mit PowerShell-Befehlen ein Image auswählen, das zu einem anderen Azure-Mandanten gehört, um MCS-Kataloge zu erstellen und zu aktualisieren.
- Im Stammordner der Hostingeinheit erstellt Citrix einen neuen freigegebenen Abonnementordner unter dem Namen
sharedsubscription
. -
Listen Sie alle freigegebenen Abonnements auf.
Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder <!--NeedCopy-->
-
Wählen Sie ein freigegebenes Abonnement und listen Sie dann alle freigegebenen Ressourcengruppen dieses Abonnements auf.
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription <!--NeedCopy-->
-
Wählen Sie eine Ressourcengruppe und listen Sie dann alle Kataloge in der Ressourcengruppe auf.
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup <!--NeedCopy-->
-
Wählen Sie einen Katalog und listen Sie dann alle Imagedefinitionen des Katalogs auf.
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery <!--NeedCopy-->
-
Wählen Sie eine Imagedefinition und listen Sie dann alle Imageversionen der Imagedefinition auf.
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition <!--NeedCopy-->
-
Zum Erstellen und Aktualisieren eines MCS-Katalogs verwenden Sie die folgenden Elemente:
- Ressourcengruppe
- Katalog
- Katalogimagedefinition
- Katalogimageversion
Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.
Anwendungsgeheimnis und Ablaufdatum für Geheimnis verwalten
Sie müssen das Anwendungsgeheimnis für eine Verbindung vor Ablauf des Geheimnisses ändern. Sie erhalten eine Warnung in Web Studio, bevor der geheime Schlüssel abläuft.
Anwendungsgeheimnis in Azure erstellen
Sie können über das Azure-Portal ein Anwendungsgeheimnis für eine Verbindung erstellen.
- Wählen Sie Azure Active Directory.
- Wählen Sie in Azure AD unter App registrations Ihre Anwendung aus.
- Gehen Sie zu Certificates & secrets.
- Klicken Sie auf Client secrets > New client secret.
-
Geben Sie eine Beschreibung des geheimen Schlüssels ein und legen Sie eine Dauer fest. Wenn Sie fertig sind, wählen Sie Hinzufügen.
Hinweis:
Speichern Sie den geheimen Clientschlüssel unbedingt, da Sie ihn später nicht abrufen können.
- Kopieren Sie das Clientgeheimnis und das Ablaufdatum.
- Bearbeiten Sie in Web Studio die entsprechende Verbindung und ersetzen Sie den Inhalt in den Feldern Anwendungsgeheimnis und Ablaufdatum des Geheimnisses durch die Werte, den Sie kopiert haben.
Ändern des Ablaufdatums des Geheimnisses
Sie können Web Studio verwenden, um das Ablaufdatum für das verwendete Anwendungsgeheimnis hinzuzufügen oder zu ändern.
- Klicken Sie im Assistenten Verbindung und Ressourcen hinzufügen mit der rechten Maustaste auf eine Verbindung und dann auf Verbindung bearbeiten.
- Klicken Sie auf der Seite Verbindungseigenschaften auf Ablaufdatum des Geheimnisses, um das Ablaufdatum für das verwendete Anwendungsgeheimnis hinzuzufügen oder zu ändern.
Erforderliche Azure-Berechtigungen
Dieser Abschnitt enthält die für Azure erforderlichen Mindestberechtigungen und allgemeinen Berechtigungen.
Mindestberechtigungen
Mindestberechtigungen ermöglichen eine bessere Sicherheitskontrolle. Was ist neu, die zusätzliche Berechtigungen erfordern, schlagen jedoch fehl, wenn nur die Mindestberechtigungen verwendet werden.
Hostverbindung erstellen
Fügen Sie eine neue Hostverbindung unter Verwendung der von Azure abgerufenen Informationen hinzu.
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->
Energieverwaltung virtueller Maschinen
Schalten Sie die Maschineninstanzen ein oder aus.
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->
Erstellen, Aktualisieren oder Löschen von VMs
Nach dem Erstellen eines Maschinenkatalogs können Sie Maschinen hinzufügen, löschen und aktualisieren und den Maschinenkatalog löschen.
Die folgende Liste umfasst notwendige Mindestberechtigungen, wenn das Masterimage ein verwalteter Datenträger ist oder wenn sich Snapshots in derselben Region wie die Hostverbindung befinden.
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->
Für die folgenden Features benötigen Sie zusätzlich zu den Mindestberechtigungen die folgenden Berechtigungen:
-
Wenn das Masterimage eine virtuelle Festplatte (VHD) in einem Speicherkonto ist, das sich in derselben Region wie die Hostverbindung befindet:
"Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/listKeys/action", <!--NeedCopy-->
-
Wenn das Masterimage eine ImageVersion aus der Shared Image Gallery ist:
"Microsoft.Compute/galleries/read", "Microsoft.Compute/galleries/images/read", "Microsoft.Compute/galleries/images/versions/read", <!--NeedCopy-->
-
Wenn das Masterimage ein verwalteter Datenträger ist, befinden sich die Snapshots bzw. die virtuelle Festplatte in einer anderen Region als die Hostverbindung:
"Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/listKeys/action", "Microsoft.Storage/storageAccounts/write", "Microsoft.Storage/storageAccounts/delete", <!--NeedCopy-->
-
Wenn Sie eine von Citrix verwaltete Ressourcengruppe verwenden:
"Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/delete", <!--NeedCopy-->
-
Wenn Sie das Masterimage in der Shared Image Gallery ablegen:
"Microsoft.Compute/galleries/write", "Microsoft.Compute/galleries/images/write", "Microsoft.Compute/galleries/images/versions/write", "Microsoft.Compute/galleries/read", "Microsoft.Compute/galleries/images/read", "Microsoft.Compute/galleries/images/versions/read", "Microsoft.Compute/galleries/delete", "Microsoft.Compute/galleries/images/delete", "Microsoft.Compute/galleries/images/versions/delete", <!--NeedCopy-->
-
Wenn Sie dedizierte Azure-Hosts unterstützen:
"Microsoft.Compute/hostGroups/read", "Microsoft.Compute/hostGroups/write", "Microsoft.Compute/hostGroups/hosts/read", <!--NeedCopy-->
-
Wenn Sie die serverseitige Verschlüsselung (SSE) mit vom Kunden verwalteten Schlüsseln (CMK) verwenden:
"Microsoft.Compute/diskEncryptionSets/read", <!--NeedCopy-->
-
Wenn Sie VMs mit ARM-Vorlagen (Maschinenprofil) bereitstellen:
"Microsoft.Resources/deployments/write", "Microsoft.Resources/deployments/operationstatuses/read", "Microsoft.Resources/deployments/read", "Microsoft.Resources/deployments/delete", <!--NeedCopy-->
-
Wenn Sie die Azure-Vorlagenspezifikation als Maschinenprofil verwenden:
"Microsoft.Resources/templateSpecs/read", "Microsoft.Resources/templateSpecs/versions/read", <!--NeedCopy-->
Erstellen, Aktualisieren und Löschen von Maschinen mit nicht verwaltetem Datenträger
Die folgende Liste umfasst notwendige Mindestberechtigungen, wenn das Masterimage eine VHD ist und die vom Administrator bereitgestellte Ressourcengruppe verwendet wird:
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->
Allgemeine Berechtigung
Die Rolle “Mitwirkender” erhält Vollzugriff zur Verwaltung aller Ressourcen. Dieser Satz von Berechtigungen hindert Sie nicht daran, Was ist neu zu erhalten.
Die folgenden Berechtigungen bieten die beste Kompatibilität für die zukünftige Verwendung, obwohl sie mehr Berechtigungen umfassen, als für aktuelle Features erforderlich sind:
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->
Erforderliche Azure-Hostverbindungsberechtigungen konfigurieren
Sie können ganz einfach alle Mindestberechtigungen konfigurieren, die für einen Dienstprinzipal oder ein Benutzerkonto in Azure erforderlich sind, das an eine Hostverbindung gebunden ist, um alle MCS-Operationen mithilfe einer ARM-Vorlage auszuführen. Diese ARM-Vorlage automatisiert Folgendes:
- Erstellung einer Azure-Rolle mit minimalen Berechtigungen, die für den Betrieb erforderlich sind.
- Zuweisung dieser Rolle an einen vorhandenen Azure-Dienstprinzipal auf Abonnementebene.
Sie können diese ARM-Vorlage mithilfe der Azure Portal- oder PowerShell-Befehle bereitstellen. Weitere Informationen finden Sie unter ARM-Vorlage für CVAD-Operationen.
So geht es weiter
- Wenn dies die erste Bereitstellung ist, lesen Sie Maschinenkatalog erstellen.
- Azure-spezifische Informationen finden Sie unter Microsoft Azure-Katalog erstellen.