-
Planifier et créer un déploiement
-
-
Créer des catalogues de machines
-
Pools d'identités de machines de différents types de jonction
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Comptes de service Azure AD
Un compte de service Azure AD est un conteneur permettant de stocker l’ID d’application et la clé secrète d’un principal de service Azure AD, qui dispose d’autorisations suffisantes pour gérer les appareils joints à Azure AD ou inscrits dans Microsoft Intune. MCS peut utiliser ce compte de service pour nettoyer automatiquement toutes les machines Azure AD ou Microsoft Intune obsolètes générées au cours du cycle de vie des machines provisionnées.
Autorisations requises pour un principal de service Azure AD
Les autorisations requises pour un principal de service Azure AD utilisé par un compte de service dépendent des fonctionnalités activées pour le compte de service.
- Pour le compte de service doté de la fonctionnalité de gestion des appareils joints à Azure AD, le principal du service Azure AD doit disposer de l’autorisation
Device.ReadWrite.alldans le locataire Azure AD. - Pour le compte de service doté de la fonctionnalité de gestion des appareils inscrits dans Microsoft Intune, le principal du service Azure AD doit disposer de l’autorisation
DeviceManagementManagedDevices.ReadWrite.alldans le locataire Azure AD. - Pour le compte de service avec la fonctionnalité de gestion des groupes de sécurité Azure AD, le principal du service Azure AD doit disposer des autorisations
Group.ReadWrite.AlletGroupMember.ReadWrite.Alldans votre locataire Azure AD.
Limitation
Actuellement, le contrôle d’accès basé sur un rôle Azure AD n’est pas pris en charge. Vous devez donc attribuer les autorisations Azure AD directement au principal du service.
Création d’un compte de service Azure AD
Utilisez Studio ou PowerShell pour créer un compte de service Azure AD.
Conditions préalables
Pour créer un compte de service Azure AD, veillez à effectuer la tâche suivante :
- Créez un principal Azure AD dans votre locataire Azure AD avec des autorisations suffisantes en fonction des fonctionnalités avec lesquelles vous souhaitez activer le compte de service.
Utiliser Studio
- Dans la vignette DaaS, cliquez sur Gérer.
- Dans le panneau gauche, sélectionnez Administrateurs.
- Dans l’onglet Comptes de service, cliquez sur Créer un compte de service.
- Sur la page Type d’identité, sélectionnez Azure Active Directory. Une nouvelle option pour acheminer le trafic est activée.
- Cochez la case Acheminer le trafic via des Citrix Cloud Connector.
- Sélectionnez les zones disponibles pour acheminer le trafic et cliquez sur Suivant.
- Sur la page Informations d’identification, entrez l’ID du locataire Azure AD, l’ID d’application et la clé secrète client, puis définissez la date d’expiration des informations d’identification.
- Choisissez les fonctionnalités du compte de service.
- Sélectionnez une ou plusieurs étendues pour le compte de service.
- Entrez un nom convivial et une description (facultatif) pour le compte de service.
- Cliquez sur Terminer pour terminer la création.
Remarque
- La fonctionnalité de gestion des appareils joints à Azure AD est sélectionnée par défaut et vous ne pouvez pas la désélectionner.
- Pour utiliser une application Azure AD multilocataire invitée dans votre locataire, l’ID de locataire Azure AD que vous avez entré doit être votre propre ID de locataire plutôt que l’ID du locataire principal de l’application.
Utiliser PowerShell
Vous pouvez également utiliser les commandes PowerShell pour créer un compte de service Azure AD. Par exemple :
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Azure AD tenant'
<!--NeedCopy-->
Faire migrer la gestion des appareils joints à Azure AD vers un compte de service
Citrix proposait auparavant une option permettant d’activer la gestion des appareils joints à Azure AD lors de la création ou de la modification d’une connexion d’hébergement à Microsoft Azure Resource Manager. Pour gérer l’appareil joint à Azure AD obsolète, MCS utilisait les autorisations du principal de service Azure AD (SPN de provisioning) stockées ainsi que la connexion d’hébergement. Avec les comptes de service, vous pouvez gérer les appareils connectés à Azure AD ou inscrits dans Microsoft Intune à l’aide d’un principal de service Azure AD dédié (SPN de gestion des identités) stocké, ainsi que d’un compte de service.
Afin de séparer les responsabilités du SPN de provisioning et du SPN de gestion des identités, Citrix recommande de passer de la gestion des appareils via la connexion hôte à la gestion des appareils via un compte de service.
Toutes les connexions hôtes déjà activées avec la gestion des appareils joints à Azure AD peuvent être, désactivées comme suit :
- Dans Studio, sélectionnez Hébergement dans le panneau gauche.
- Sélectionnez la connexion, puis sélectionnez Modifier la connexion dans le volet Actions.
- Sur la page Propriétés de connexion, désactivez la case Activer la gestion des appareils joints à Azure AD.
- Cliquez sur Enregistrer pour appliquer les modifications.
Remarque
Actuellement, vous ne pouvez pas activer la gestion des appareils joints à Azure AD lors de la création d’une nouvelle connexion hôte.
Autres ressources
- Pour créer des catalogues joints à Azure Active Directory, reportez-vous à Pool d’identité de machine jointe à Azure Active Directory.
- Pour gérer les comptes de service, reportez-vous à Gérer les comptes de service.
Partager
Partager
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.