-
Planificar y crear una implementación
-
Comunicación WebSocket entre el VDA y el Delivery Controller
-
Crear y administrar conexiones
-
-
Grupos de identidad de diferentes tipos de unión de identidad de máquinas
-
Grupo de identidades de la identidad de la máquina unida a Active Directory local
-
Grupo de identidades de la identidad de máquina unida a Azure Active Directory
-
Grupo de identidades de la identidad de la máquina unida a Azure Active Directory híbrido
-
Grupo de identidades de la identidad de máquina habilitada para Microsoft Intune
-
Grupo de identidades de la identidad de máquina no unida a ningún dominio
-
-
Servicio independiente Citrix Secure Ticketing Authority (STA)
-
Migrar cargas de trabajo entre ubicaciones de recursos mediante Image Portability Service
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Cuentas de servicio de Azure AD
Una cuenta de servicio de Azure AD es un contenedor para almacenar el ID y el secreto de aplicación de una entidad principal de servicio de Azure AD, que tiene los permisos suficientes para administrar dispositivos unidos a Azure AD o inscritos en Microsoft Intune. MCS puede usar esta cuenta de servicio para eliminar automáticamente cualquier dispositivo obsoleto de Azure AD o Microsoft Intune generado durante el ciclo de vida de las máquinas aprovisionadas.
Permisos necesarios para una entidad principal de servicio de Azure AD
Los permisos que se necesitan para una entidad principal de servicio de Azure AD usada por una cuenta de servicio dependen de las capacidades que tenga habilitadas la cuenta de servicio.
- Para una cuenta de servicio con capacidad de administración de dispositivos unidos a Azure AD, la entidad principal de servicio de Azure AD debe tener el permiso
Device.ReadWrite.Allen el arrendatario de Azure AD. - Para una cuenta de servicio con capacidad de administración de dispositivos inscritos en Microsoft Intune, la entidad principal de servicio de Azure AD debe tener el permiso
DeviceManagementManagedDevices.ReadWrite.Allen el arrendatario de Azure AD. - Para la cuenta de servicio con capacidad de administración de grupos de seguridad de Azure AD, la entidad principal de servicio de Azure AD debe tener permisos
Group.ReadWrite.AllyGroupMember.ReadWrite.Allen el arrendatario de Azure AD.
Limitación
Actualmente no se admite el control de acceso por roles de Azure AD. Por lo tanto, asigne los permisos de Azure AD directamente a la entidad principal de servicio.
Crear una cuenta de servicio de Azure AD
Use Studio o PowerShell para crear una cuenta de servicio de Azure AD.
Requisito previo
Para crear una cuenta de servicio de Azure AD, deberá completar la siguiente tarea:
- Cree una entidad principal de Azure AD en su arrendatario de Azure AD con los permisos suficientes en función de las capacidades que quiera habilitar para la cuenta de servicio.
Usar Studio
- En el mosaico de DaaS, haga clic en Administrar.
- En el panel izquierdo, seleccione Administradores.
- En la ficha Cuentas de servicio, haga clic en Crear cuenta de servicio.
- En la página Tipo de identidad, seleccione Azure Active Directory. Se habilita una nueva opción para redirigir el tráfico.
- Seleccione la casilla de verificación Redirigir tráfico a través de Citrix Cloud Connectors.
- Seleccione las zonas disponibles para redirigir el tráfico y haga clic en Siguiente.
- En la página Credenciales, introduzca el ID de arrendatario, el ID de aplicación y el secreto del cliente de Azure AD y establezca la fecha de caducidad de la credencial.
- Elija las capacidades de la cuenta de servicio.
- Seleccione uno o más ámbitos para la cuenta de servicio.
- Introduzca un nombre descriptivo y una descripción (opcional) para la cuenta de servicio.
- Para completar la creación, haga clic en Finalizar.
Nota: No
- La capacidad de administrar dispositivos unidos a Azure AD está seleccionada de forma predeterminada y no se puede deseleccionar.
- Para usar una aplicación multiarrendatario de Azure AD que se haya invitado a su entorno, el ID de arrendatario de Azure AD introducido debe ser su propio ID de arrendatario, no el ID de arrendatario de donde procede la aplicación.
Usar PowerShell
Como alternativa, puede usar los comandos de PowerShell para crear una cuenta de servicio de Azure AD. Por ejemplo:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Azure AD tenant'
<!--NeedCopy-->
Migrar la administración de dispositivos unidos de Azure AD a la cuenta de servicio
Anteriormente, Citrix ofrecía una opción para habilitar la administración de dispositivos unidos a Azure AD al crear o modificar una conexión de host a Microsoft Azure Resource Manager. MCS usaba los permisos de la entidad principal de servicio de Azure AD (SPN de aprovisionamiento) almacenados junto con la conexión de host para administrar el dispositivo obsoleto unido a Azure AD. Con las cuentas de servicio, puede usar una entidad principal de servicio dedicada de Azure AD (SPN de administración de identidades) almacenada junto con una cuenta de servicio para administrar los dispositivos unidos a Azure AD o inscritos en Microsoft Intune.
Citrix recomienda usar cuentas de servicio, en vez de conexiones de host, para administrar los dispositivos; de esta forma se separan el SPN de aprovisionamiento y el SPN de administración de identidades.
Para cualquier conexión de host existente que ya tenga habilitada la administración de dispositivos unidos a Azure AD, puede inhabilitarla de la siguiente manera:
- En Studio, seleccione Alojamiento en el panel de la izquierda.
- Seleccione la conexión y, a continuación, seleccione Modificar conexión en la barra de acciones.
- En la página Propiedades de la conexión, desactive la casilla Habilitar la administración de dispositivos unidos a Azure AD.
- Haga clic en Guardar para aplicar los cambios.
Nota: No
Actualmente, no puede habilitar la administración de dispositivos unidos a Azure AD al crear una nueva conexión de host.
Qué hacer a continuación
- Para crear catálogos unidos a Azure Active Directory, consulte Grupo de identidades de la identidad de máquina unida a Azure Active Directory.
- Para administrar cuentas de servicio, consulte Administrar cuentas de servicio.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.