Designentscheidung: Azure-spezifische Überlegungen

Azure-Konten werden für die konsolidierte Abrechnung verwendet, können jedoch keine Azure-Ressourcen direkt enthalten. Azure-Konten enthalten ein oder mehrere Abonnements. Abonnements dienen als Sicherheitsgrenzen und enthalten die eigentlichen Azure-Ressourcen, wie virtuelle Maschinen.

Ein Abonnement ist eine Vereinbarung mit Microsoft über die Nutzung einer oder mehrerer Microsoft-Cloud-Plattformen oder -Dienste. Gebühren fallen entweder basierend auf einer Benutzerlizenzgebühr oder auf dem Cloud-basierten Ressourcenverbrauch an. Abonnements können verwendet werden, um die Kosten oder den administrativen Zugriff nach Bedarf weiter zu unterteilen.

Verwaltungsgruppen werden in Azure verwendet, um Zugriff, Richtlinien, Governance und Compliance über alle Abonnements hinweg effizient zu verwalten. Sie sind für den Betrieb von Mandanten mit mehreren Abonnements in Azure von unschätzbarem Wert. Jedes Abonnement erbt automatisch die Bedingungen, Richtlinien und den Zugriff seiner übergeordneten Verwaltungsgruppe.

Hier sind die Fragen, die Sie zur Azure-Infrastruktur beantworten müssen

Wie viele Azure-Mandanten brauche ich?

  • Verwenden Sie einen einzigen Azure-Mandanten für die Citrix-Ressourcen und die Benutzer und Geräte, die auf diese Ressourcen zugreifen

  • Verwenden Sie mehrere Mandanten, bei denen mehrere Azure Active Directories erforderlich sind Entwicklung/Test mit einem separaten Authentifizierungsverzeichnis oder ein Unternehmen mit mehreren on-premises AD-Verzeichnisdiensten sind zwei Beispiele.

  • Der Azure-Kontoinhaber muss demselben Mandanten zugeordnet sein, in dem die Abonnements für das Konto bereitgestellt werden.

  • Azure-Kontoinhaber sind automatisch Abonnementbesitzer für alle Abonnements im Konto

Welche Microsoft-Lizenzmodelle sollte ich verwenden?

  • Wenden Sie den Hybrid Use Benefit (HUB) Ihrer aktuellen EA-Lizenz an, wenn er Windows Server Software Assurance umfasst. HUB reduziert die Rechenkosten in der Cloud erheblich. Mit diesem Lizenzmodell können Sie bis zu 40% der stündlichen Kosten einsparen, da Sie die Basispreise für VM für Windows Server- oder SQL Server-Instanzen in Azure verwenden können.

  • Verwenden Sie bei Verwendung der Microsoft Office-Suite Benutzerlizenzen, die die Windows 10 Virtual Desktop-Lizenzen enthalten, wie z. B. die E3/E5-Abonnements

    • Microsoft 365 E3/E5: Umfasst Azure Virtual Desktop-Lizenzen und Microsoft Office-Lizenzen
    • Microsoft 365 Business Premium: Umfasst Azure Virtual Desktop-Lizenzen und Microsoft Office-Lizenzen
    • Windows 10 Enterprise E3/E5: Beinhaltet Azure Virtual Desktop-Lizenzen

Wie viele Azure-Abonnements benötige ich?

  • Alle Abonnements innerhalb derselben Verwaltungsgruppe müssen demselben Azure Active Directory-Mandanten vertrauen

  • Ein Abonnement kann jeweils nur mit einem Konto verknüpft werden und muss über einen zugehörigen Kontoinhaber verfügen

  • Abonnements können keine Netzwerke teilen, aber sie können über VNET-Peering und Azure ExpressRoute kommunizieren

  • Abonnements sind Grenzen für Richtlinien, Verwaltung, Governance und Verwaltung von Azure. Planen Sie daher Abonnements für Geschäftsbereiche, die separate administrative oder abrechnende Anforderungen haben

  • Mehrfachabonnements reduzieren den Explosionsradius und die Gefährdung für den Fall, dass Anmeldeinformationen beeinträchtigt werden

  • Planen Sie, Entwicklungs- und Testabonnements von Produktionsabonnements zu isolieren, um zusätzliche Leistung, Sicherheit, Governance und Compliance zu gewährleisten

  • Einige Umgebungen wie Produktion und Benutzerakzeptanztests oder Vorproduktion können in einem einzigen Abonnement gemeinsam genutzt werden.

  • Dedizierte Abonnements für Citrix-Workloads vereinfachen die Verwaltung und Richtlinienverwaltung

  • Citrix empfiehlt, ein Abonnement auf 2.500 Virtual Delivery Agents (VDAs) zu beschränken

  • Verwenden Sie Abonnements als Maßstabseinheiten und skalieren Sie sie nach Bedarf, um die erforderlichen Ressourcen zu unterstützen

  • Microsoft legt Beschränkungen für Ressourcen innerhalb eines Abonnements fest, und diese Beschränkungen müssen berücksichtigt werden, wenn bestimmt wird, wie viele Abonnements zur Unterstützung der Citrix Workloads erforderlich sind.

Wie viele Managementgruppen brauche ich?

  • Abonnements können jeweils nur einer Verwaltungsgruppe angehören

  • Verwaltungsgruppen sind einem einzigen Elternteil zugeordnet

  • Verwaltungsgruppen können bis zu 6 Ebenen tief sein, und Microsoft empfiehlt, die Verwaltungsgruppenhierarchie so flach wie möglich zu halten

  • Verwaltungsgruppen werden für Richtlinien verwendet, nicht für Fakturierungs- oder Geschäftsbereichsgruppen. Erstellen Sie Verwaltungsgruppen basierend auf Richtlinienanforderungen wie Instanztypen, Firewallregeln, Protokollierung, Speicher, Verschlüsselung, RBAC-Modell usw.

  • Begrenzen Sie die Anzahl der Azure-Richtlinienzuweisungen im Stammverzeichnis der Verwaltungsgruppe, anstatt sie den einzelnen Verwaltungsgruppen zuzuordnen

  • Citrix empfiehlt die Erstellung einer Verwaltungsgruppe für Citrix-Workload-Abonnements

  • Verwaltungsgruppen werden zum Aggregieren von Azure-Richtlinien verwendet, sodass Abonnements mit ähnlichen Richtlinienanforderungen unter derselben Verwaltungsgruppe zusammengefasst werden

  • Verwenden von Ressourcen-Tags, auf die von der Azure-Richtlinie verwiesen werden

Damit Citrix Cloud Maschinenkataloge in der Azure-Cloud verbinden und bereitstellen kann, ist ein Dienstprinzipalkonto erforderlich. Dieses Konto benötigt die richtigen Berechtigungen zum Erstellen, Löschen und Verwalten von Citrix-Ressourcen in jedem Abonnement. Das Dienstprinzipalkonto wird durch eine Anwendungsregistrierung innerhalb des Azure AD-Mandanten erstellt. Die Erstellung des Dienstprinzipalkontos kann automatisch von Citrix oder manuell von einem globalen Azure AD-Administrator erstellt werden.

Die Erstellung des Dienstprinzipalobjekts kann von Citrix automatisch durchgeführt werden, wenn der Benutzer, der den Citrix Hostverbindungsassistenten ausführt, über Mitwirkungsberechtigungen für das Abonnement verfügt. Während der Einrichtung der Hostverbindung fordert der Assistent alle erforderlichen Berechtigungen an, einschließlich der Berechtigungen für Mitwirkende für das Abonnement, und behält diese Akzeptanz für zukünftige Verbindungen bei.

Sicherheitssensible Umgebungen erlauben es Service Principals nicht, auf Abonnementebene über Contributor-Berechtigungen zu verfügen. Citrix bietet eine alternative Lösung, die als Narrow Scope Service Principal bezeichnet wird. Ein globaler Azure AD-Administrator muss eine Anwendungsregistrierung manuell erstellen. Anschließend erteilt ein Abonnementadministrator dem Hauptkonto des Dienstes manuell die entsprechenden Berechtigungen. Eng begrenzte Serviceprinzipale haben keine Mitwirkungsberechtigungen für das gesamte Abonnement. Ihre Berechtigungen beziehen sich nur auf die Ressourcengruppen, Netzwerke und Images, die zum Erstellen und Verwalten der Maschinenkataloge erforderlich sind.

Hier sind die Fragen, die Sie zum Service Principal Account beantworten müssen:

Sollte ich ein Service-Hauptkonto im Abonnementbereich verwenden?

  • Erfordert globale Azure AD-Administratorberechtigungen

  • Die Mitwirkendenrolle für das gesamte Abonnement wird automatisch erstellt und Azure fordert Sie bei der ersten Verbindung zur Genehmigung der Genehmigung auf.

  • Verwenden Sie diese Option, wenn die Informationssicherheit es ermöglicht, einem Service Principal Account Contributor-Berechtigungen für das gesamte Abonnement zu gewähren und Citrix Administratoren Contributorzugriff auf das Abonnement haben.

  • Konten, die während der Erstellung der Hostverbindung für die Authentifizierung verwendet werden, müssen mindestens Co-Administratoren des Abonnements und Mitglied von Azure Active Directory sein

  • Empfohlen, wenn Abonnements dediziert für Citrix-Ressourcen sind oder die Umgebung viele Ressourcengruppen enthält

  • Verwenden Sie diese Option, wenn eine einfache Managementerfahrung gewünscht wird

  • Wird verwendet, wenn Citrix Studio mehr als PowerShell zur Verwaltung der Umgebung verwendet wird

  • Wird bei Proof-of-Concept-Bereitstellungen bevorzugt

Sollte ich einen Service Principal mit engem Umfang verwenden?

  • Der enge Leistungsprinzipal wird manuell von einem globalen Azure AD-Administrator erstellt

  • Vor dem Ausführen des Assistenten zum Hinzufügen von Maschinenkatalogen muss die Zielressourcengruppe vorab erstellt und die folgenden Berechtigungen erteilt werden:

    • Vorab erstellte Ressourcengruppe: Mitwirkender virtueller Maschinen, Mitwirkender des Speicherkontos und Mitwirkender Datenträger
    • Virtuelles Netzwerk: Mitwirkender virtuellen Maschine
    • Speicherkonto: Mitwirkender virtuellen Maschine
  • Empfohlen, wenn die Anzahl der Ressourcengruppen entweder über die Azure-Konsole oder durch Automatisierung verwaltbar ist

  • Empfohlen für Umgebungen mit höherer Sicherheit, in denen die Berechtigungen streng kontrolliert werden und eine feinkörnige Zugriffskontrolle vorherrscht

  • Empfohlen, wenn Abonnements nicht für Citrix-Ressourcen dediziert werden können und andere Dienste hosten

  • Empfohlen, wenn Azure-Administratoren je nach Rolle unterschiedliche Abonnementberechtigungen haben

  • Erwägen Sie in größeren Umgebungen die Verwendung von Buildskripten oder ARM-Vorlagen, um Ressourcengruppen vorab zu erstellen und die erforderlichen Berechtigungen

Sollte ich benutzerdefinierte Rollen für den Service Principal verwenden?

  • Citrix empfiehlt die Verwendung von benutzerdefinierten Rollen zum Festlegen von Berechtigungen für den Dienstprinzipal, wenn mehr als ein Abonnement verwendet wird.

  • Microsoft empfiehlt, die Rollenberechtigungen auf Verwaltungsgruppenebene über die Azure-Richtlinie festzulegen.

Azure-Abonnement- und Service-Limits, Kontingente und Einschränkungen

Citrix TIPS: Größenbestimmung für Azure-Abonnements

Citrix TIPS: Citrix auf Azure — Landing Zones im Unternehmensmaßstab — Teil 2

Registrierung von Unternehmensvereinbarungen und Azure Active Directory-Mandanten

Verwaltungsgruppe und Abonnementorganisation

Einschränken von Anforderungen für Abonnement- und Mandantenlimits

Was sind Azure-Verwaltungsgruppen?

Preise für Azure Virtual Desktop

Hauptobjekte für Anwendungen und Dienste in Azure Active Directory

So gewähren Sie Citrix Virtual Apps and Desktops Zugriff auf Ihr Azure-Abonnement

Manuelles Gewähren Citrix Cloud-Zugriff auf Ihr Azure-Abonnement

Designentscheidung: Azure-spezifische Überlegungen