Decisión de diseño: Consideraciones específicas de Azure

Las cuentas de Azure se utilizan para la facturación consolidada, pero no pueden contener recursos de Azure directamente. Las cuentas de Azure contienen una o más suscripciones. Las suscripciones sirven como límites de seguridad y contienen los recursos reales de Azure, como las máquinas virtuales.

Una suscripción es un acuerdo con Microsoft para usar una o más plataformas o servicios en la nube de Microsoft. Los cargos se acumulan en función de una tarifa de licencia por usuario o del consumo de recursos basados en la nube. Las suscripciones se pueden utilizar para subdividir aún más los costes o el acceso administrativo según sea necesario.

Los grupos de administración se utilizan en Azure para administrar de manera eficiente el acceso, las políticas, el gobierno y el cumplimiento en todas las suscripciones. Son invaluables para operar a escala los inquilinos de múltiples suscripciones en Azure. Cada suscripción hereda automáticamente las condiciones, las políticas y el acceso de su grupo de administración principal.

Estas son las preguntas que debe responder sobre la infraestructura de Azure

¿Cuántos inquilinos de Azure necesito?

  • Usar un solo inquilino de Azure para los recursos de Citrix y los usuarios y dispositivos que acceden a esos recursos

  • Utilice varios arrendatarios cuando se requieran varios Azure Active Directories. Dos ejemplos son el desarrollo/prueba que tiene un directorio de autenticación independiente o una empresa que tiene varios servicios de directorio de AD locales.

  • El propietario de la cuenta de Azure debe estar asociado al mismo inquilino en el que se aprovisionan las suscripciones de la cuenta.

  • Los propietarios de las cuentas de Azure son automáticamente propietarios de suscripciones para todas las suscripciones de la cuenta

¿Qué modelos de licencia de Microsoft debo usar?

  • Aplique el beneficio de uso híbrido (HUB) de su licencia de EA actual si incluye Windows Server Software Assurance. HUB reduce significativamente los costes de procesamiento en la nube. Este modelo de licencias puede ahorrarle hasta un 40% del coste por hora porque puede usar los precios básicos de VM para las instancias de Windows Server o SQL Server en Azure.

  • Si usa el paquete Microsoft Office, use licencias por usuario que incluyan las licencias de escritorio virtual de Windows 10, como las suscripciones E3/E5

    • Microsoft 365 E3/E5: incluye licencias de Azure Virtual Desktop y licencias de Microsoft Office
    • Microsoft 365 Business Premium: incluye licencias de Azure Virtual Desktop y licencias de Microsoft Office
    • Windows 10 Enterprise E3/E5: incluye licencias de Azure Virtual Desktop

¿Cuántas suscripciones de Azure voy a necesitar?

  • Todas las suscripciones dentro del mismo grupo de administración deben confiar en el mismo inquilino de Azure Active Directory

  • Una suscripción solo se puede asociar a una cuenta a la vez y debe tener un propietario de cuenta asociado

  • Las suscripciones no pueden compartir redes, pero pueden comunicarse a través de la interconexión de VNET y Azure ExpressRoute

  • Las suscripciones son límites para las políticas, la gestión, el gobierno y la administración de Azure, por lo que debe planificar suscripciones para unidades de negocio que tengan requisitos administrativos o de facturación independientes

  • Las suscripciones múltiples reducen el radio de explosión y la exposición en caso de que las credenciales se vean

  • Planifique aislar las suscripciones de desarrollo y prueba de las suscripciones de producción para proporcionar rendimiento, seguridad, gobierno y cumplimiento adicionales

  • Algunos entornos, como la producción y la aceptación del usuario, las pruebas o la preproducción, se pueden compartir en una sola suscripción.

  • La dedicación de suscripciones a las cargas de trabajo de Citrix simplifica la administración y la gestión

  • Citrix recomienda limitar la suscripción a 2500 Virtual Delivery Agents (VDA)

  • Utilice las suscripciones como unidades de escala y amplíelas según sea necesario para admitir los recursos necesarios

  • Microsoft establece límites a los recursos de una suscripción y esos límites deben tenerse en cuenta al determinar cuántas suscripciones son necesarias para admitir las cargas de trabajo de Citrix.

¿Cuántos grupos de administración voy a necesitar?

  • Las suscripciones solo pueden pertenecer a un grupo de administración a la vez

  • Los grupos de administración están asociados con un padre soltero

  • Los grupos de administración pueden tener hasta 6 niveles de profundidad y Microsoft recomienda mantener la jerarquía de grupos de administración lo más plana posible.

  • Los grupos de administración se utilizan para políticas, no para grupos de facturación o de línea de negocio. Crear grupos de administración en función de los requisitos de políticas, como tipos de instancias, reglas de firewall, registro, almacenamiento, cifrado, modelo RBAC, etc.

  • Limitar el número de asignaciones de directivas de Azure en la raíz del grupo de administración, en lugar de colocarlas en los grupos de administración individuales

  • Citrix recomienda crear un grupo de administración para suscripciones de cargas de trabajo de Citrix

  • Los grupos de administración se utilizan para agregar políticas de Azure, por lo que se agrupan las suscripciones con requisitos de políticas similares en el mismo grupo de administración.

  • Usar etiquetas de recursos a las que pueda hacer referencia la política de Azure

Para que Citrix Cloud conecte e implemente catálogos de máquinas en la nube de Azure, se necesita una cuenta principal de servicio. Esa cuenta necesita los permisos correctos para crear, eliminar y mantener los recursos de Citrix en cada suscripción. La cuenta principal de servicio se crea mediante un registro de aplicación en el arrendatario de Azure AD. Citrix puede crear la cuenta principal de servicio de forma automática o manual por un administrador global de Azure AD.

Citrix puede crear automáticamente el objeto principal de servicio si el usuario que ejecuta el Asistente de conexión de host de Citrix tiene permisos de colaborador en la suscripción. Durante la configuración de la conexión del host, el asistente solicita todos los permisos necesarios, incluidos los permisos de colaborador en la suscripción, y mantiene esa aceptación para futuras conexiones.

Los entornos sensibles a la seguridad no permiten que las entidades de servicio tengan permisos de colaborador a nivel de suscripción. Citrix ofrece una solución alternativa denominada entidad de servicio de alcance limitado. Un administrador global de Azure AD necesita crear manualmente un registro de aplicación. A continuación, un administrador de suscripciones concede manualmente los permisos adecuados a la cuenta principal de servicio. Los principales de servicio de alcance limitado no tienen permisos de colaborador en toda la suscripción. Sus permisos se aplican únicamente a los grupos de recursos, las redes y las imágenes que se requieren para crear y administrar los catálogos de máquinas.

Estas son las preguntas que debe responder con respecto a la cuenta principal de servicio:

¿Debo usar una cuenta principal de servicio con alcance de suscripción?

  • Requiere permisos de administrador global de Azure AD

  • El rol de colaborador para toda la suscripción se crea automáticamente y Azure solicitará la aprobación de los permisos en la conexión inicial

  • Úselo cuando la seguridad de la información permita que se otorguen permisos de colaborador a una cuenta principal de servicio en toda la suscripción y los administradores de Citrix tengan acceso de colaborador a la suscripción

  • Las cuentas utilizadas para la autenticación durante la creación de la conexión de host deben ser al menos coadministradores de la suscripción y ser miembros de Azure Active Directory

  • Se recomienda cuando las suscripciones están dedicadas a los recursos de Citrix o el entorno contiene muchos grupos de recursos

  • Úselo cuando se desee una experiencia de gestión sencilla

  • Se usa cuando se usa Citrix Studio para administrar el entorno más que PowerShell

  • Se prefiere durante las implementaciones de prueba de concepto

¿Debo usar un principal de servicio de alcance limitado?

  • La entidad de servicio de alcance limitado la crea manualmente un administrador global de Azure AD

  • Antes de ejecutar el asistente Agregar máquinas del catálogo de máquinas, se debe crear previamente el grupo de recursos de destino y se deben conceder los siguientes permisos:

    • Grupo de recursos creado previamente: colaborador de máquinas virtuales, colaborador de cuentas de almacenamiento y colaborador de instantáneas de disco
    • Red virtual: colaborador de máquinas virtuales
    • Cuenta de almacenamiento: colaborador de máquinas virtuales
  • Se recomienda cuando el número de grupos de recursos se puede administrar a través de la consola de Azure o mediante la automatización

  • Recomendado para entornos de mayor seguridad en los que los permisos están estrictamente controlados y prevalece un control de acceso detallado

  • Se recomienda cuando las suscripciones no se pueden dedicar a los recursos de Citrix y alojan otros servicios

  • Se recomienda cuando los administradores de Azure tienen diferentes permisos de suscripción en función de su función

  • Para entornos más grandes, considere el uso de scripts de compilación o plantillas ARM para crear previamente grupos de recursos y conceder los permisos necesarios

¿Debo usar funciones personalizadas para el principal de servicio?

  • Citrix recomienda el uso de funciones personalizadas para establecer permisos para la entidad de servicio cuando se utilice más de una suscripción.

  • Microsoft recomienda configurar los permisos de función en el nivel del grupo de administración a través de la política de Azure

Enlaces a otros recursos

Límites, cuotas y restricciones de servicio y suscripción de Azure

Consejos de Citrix: dimensionamiento de la suscripción

Consejos de Citrix: Citrix en Azure - Zonas de destino a escala empresarial - Parte 2

Inscripción en acuerdos empresariales e inquilinos de Azure Active Directory

Grupo de administración y organización de suscripción

Limitar las solicitudes de límites de suscripción e inquilinos

¿Qué son los grupos administrativos de Azure?

Precios de Azure Virtual Desktop

Objetos principales de aplicaciones y servicios en Azure Active Directory

Cómo conceder acceso a XenApp y XenDesktop a su suscripción de Azure

Concesión manual de acceso a Citrix Cloud a su suscripción de Azure

Decisión de diseño: Consideraciones específicas de Azure

En este artículo