-
Planifier et créer un déploiement
-
Communication WebSocket entre le VDA et le Delivery Controller™
-
-
-
Comptes de service Microsoft Entra
-
Créer des catalogues de machines d'images préparées
-
Créer une image préparée pour les instances gérées Amazon WorkSpaces Core
-
Créer un catalogue d'instances gérées Amazon WorkSpaces Core
-
Créer un catalogue de machines d'images préparées dans AWS EC2
-
Créer un catalogue de machines d'images préparées dans Azure
-
Créer un catalogue de machines d'images préparées dans Red Hat OpenShift
-
Créer un catalogue de machines d'images préparées dans VMware
-
Créer un catalogue de machines d'images préparées dans XenServer
-
-
Créer des catalogues de machines
-
Pools d'identités de différents types de jonction d'identité de machine
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Comptes de service Microsoft Entra
Un compte de service Microsoft Entra est un conteneur permettant de stocker l’ID d’application et le secret d’un principal de service Microsoft Entra, qui dispose des autorisations suffisantes pour gérer les appareils joints à Microsoft Entra ou inscrits à Microsoft Intune. MCS peut utiliser ce compte de service pour nettoyer automatiquement tous les appareils Microsoft Entra ou Microsoft Intune obsolètes générés pendant le cycle de vie des machines provisionnées.
Autorisations requises pour un principal de service Microsoft Entra
Les autorisations requises pour un principal de service Microsoft Entra utilisé par un compte de service dépendent des fonctionnalités activées pour ce compte de service.
- Pour le compte de service avec la capacité de gestion des appareils joints à Microsoft Entra, le principal de service Microsoft Entra doit disposer de l’autorisation
Device.ReadWrite.Alldans votre locataire Microsoft Entra. - Pour le compte de service avec la capacité de gestion des appareils inscrits à Microsoft Intune, le principal de service Microsoft Entra doit disposer de l’autorisation
DeviceManagementManagedDevices.ReadWrite.Alldans votre locataire Microsoft Entra. - Pour le compte de service avec la capacité de gestion des groupes de sécurité Microsoft Entra, le principal de service Microsoft Entra doit disposer des autorisations
Group.ReadWrite.AlletGroupMember.ReadWrite.Alldans votre locataire Microsoft Entra.
Limitation
Le contrôle d’accès basé sur les rôles Microsoft Entra n’est actuellement pas pris en charge. Par conséquent, attribuez les autorisations Microsoft Entra directement au principal de service.
Créer un compte de service Microsoft Entra
Utilisez Studio ou PowerShell pour créer un compte de service Microsoft Entra.
Prérequis
Pour créer un compte de service Microsoft Entra, assurez-vous d’effectuer la tâche suivante :
- Créez un principal Microsoft Entra dans votre locataire Microsoft Entra avec des autorisations suffisantes, en fonction des capacités que vous souhaitez activer pour le compte de service.
Utiliser Studio
- Dans la vignette DaaS, cliquez sur Gérer.
- Dans le volet gauche, sélectionnez Administrateurs.
- Dans l’onglet Comptes de service, cliquez sur Créer un compte de service.
- Sur la page Type d’identité, sélectionnez Microsoft Entra ID. Une nouvelle option pour acheminer le trafic est activée.
- Cochez la case Acheminer le trafic via les Citrix Cloud Connectors.
- Sélectionnez les zones disponibles pour acheminer le trafic et cliquez sur Suivant.
- Sur la page Informations d’identification, entrez l’ID de locataire Microsoft Entra, l’ID d’application et le secret client, puis définissez la date d’expiration des informations d’identification.
- Choisissez les capacités du compte de service.
- Sélectionnez une ou plusieurs étendues pour le compte de service.
- Entrez un nom convivial et une description (facultatif) pour le compte de service.
- Cliquez sur Terminer pour finaliser la création.
Remarque :
- La capacité de gestion des appareils joints à Microsoft Entra est sélectionnée par défaut et vous ne pouvez pas la désélectionner.
- Pour utiliser une application Microsoft Entra mutualisée, invitée à votre locataire, l’ID de locataire Microsoft Entra que vous avez entré doit être votre propre ID de locataire plutôt que l’ID de locataire d’origine de l’application.
Utiliser PowerShell
Vous pouvez également utiliser des commandes PowerShell pour créer un compte de service Microsoft Entra. Par exemple :
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Microsoft Entra tenant'
<!--NeedCopy-->
Migrer la gestion des appareils joints à Microsoft Entra vers un compte de service
Auparavant, Citrix® offrait une option permettant d’activer la gestion des appareils joints à Microsoft Entra lors de la création ou de la modification d’une connexion d’hébergement à Microsoft Azure Resource Manager. MCS utilisait les autorisations du principal de service Microsoft Entra (SPN de provisionnement) stockées avec la connexion d’hébergement pour gérer l’appareil joint à Microsoft Entra obsolète. Avec les comptes de service, vous pouvez utiliser un principal de service Microsoft Entra dédié (SPN de gestion des identités) stocké avec un compte de service pour gérer les appareils joints à Microsoft Entra ou inscrits à Microsoft Intune.
Citrix recommande de migrer de la gestion des appareils basée sur la connexion d’hébergement vers la gestion des appareils basée sur le compte de service afin de séparer la responsabilité du SPN de provisionnement et du SPN de gestion des identités.
Pour toute connexion d’hébergement existante déjà activée avec la gestion des appareils joints à Microsoft Entra, vous pouvez la désactiver comme suit :
- Dans Studio, sélectionnez Hébergement dans le volet gauche.
- Sélectionnez la connexion, puis sélectionnez Modifier la connexion dans la barre d’actions.
- Sur la page Propriétés de la connexion, désactivez la case à cocher Activer la gestion des appareils joints à Microsoft Entra.
- Cliquez sur Enregistrer pour appliquer les modifications.
Remarque :
Actuellement, vous ne pouvez pas activer la gestion des appareils joints à Microsoft Entra lors de la création d’une nouvelle connexion d’hébergement.
Acheminer le trafic de gestion des appareils et des groupes de sécurité Microsoft Entra
Créez et modifiez un compte de service Microsoft Entra pour acheminer le trafic de gestion des appareils et des groupes de sécurité Microsoft Entra du Delivery Controller vers Microsoft Entra ID via Citrix Cloud Connector.
Incluez la propriété personnalisée suivante lors de la création ou de la modification d’un compte de service Microsoft Entra :
CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}
Remarque :
$ZoneUidest l’UID de la zone (emplacement des ressources) vers laquelle le trafic réseau doit être acheminé. Obtenez l’UID à l’aide de la commandeGet-ConfigZone.
Par exemple :
-
Pour créer un nouveau compte de service Microsoft Entra :
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationSecret = xxxxxxxxxxxxxxx $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd> -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}' <!--NeedCopy--> -
Pour modifier un compte de service Microsoft Entra existant :
Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}' <!--NeedCopy-->
Où aller ensuite
- Pour créer des catalogues joints à Microsoft Entra, consultez Pool d’identités d’identité de machine jointe à Microsoft Entra.
- Pour gérer les comptes de service, consultez Gérer les comptes de service.
Partager
Partager
Dans cet article
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.