Décision de conception : considérations spécifiques à Azure

Les comptes Azure sont utilisés pour la facturation consolidée, mais ne peuvent pas contenir directement de ressources Azure. Les comptes Azure contiennent un ou plusieurs abonnements. Les abonnements servent de limites de sécurité et contiennent les ressources Azure réelles, telles que les machines virtuelles.

Un abonnement est un accord conclu avec Microsoft pour utiliser une ou plusieurs plateformes ou services cloud Microsoft. Les frais s’accumulent en fonction des frais de licence par utilisateur ou de la consommation des ressources basées sur le cloud. Les abonnements peuvent être utilisés pour subdiviser davantage les coûts ou l’accès administratif selon les besoins.

Les groupes de gestion sont utilisés dans Azure pour gérer efficacement l’accès, les stratégies, la gouvernance et la conformité entre les abonnements. Ils sont d’une valeur inestimable pour exploiter des locataires multi-abonnements dans Azure à grande échelle. Chaque abonnement hérite automatiquement des conditions, des stratégies et de l’accès de son groupe d’administration parent.

Voici les questions auxquelles vous devez répondre concernant l’infrastructure Azure

De combien de locataires Azure ai-je besoin ?

  • Utilisez un seul tenant Azure pour les ressources Citrix et les utilisateurs et appareils qui accèdent à ces ressources

  • Utilisez plusieurs locataires lorsque plusieurs annuaires Azure Active Directories sont nécessaires. Le développement/test ayant un répertoire d’authentification distinct ou une entreprise disposant de plusieurs services d’annuaire AD sur site en sont deux exemples.

  • Le propriétaire du compte Azure doit être associé au même locataire que celui où les abonnements pour le compte sont provisionnés

  • Les propriétaires de compte Azure sont automatiquement propriétaires des abonnements pour tous les abonnements du compte.

Quels modèles de licence Microsoft dois-je utiliser ?

  • Appliquez l’avantage d’utilisation hybride (HUB) de votre licence EA actuelle si celle-ci inclut la garantie logicielle Windows Server. HUB réduit considérablement les coûts de calcul dans le cloud. Ce modèle de licence peut vous faire économiser jusqu’à 40 % sur le coût horaire, car vous pouvez utiliser la tarification de base des machines virtuelles pour les instances Windows Server ou SQL Server dans Azure.

  • Si vous utilisez la suite Microsoft Office, utilisez des licences par utilisateur qui incluent les licences Windows 10 Virtual Desktop, telles que les abonnements E3/E5

    • Microsoft 365 E3/E5 : inclut les licences Azure Virtual Desktop et les licences Microsoft Office
    • Microsoft 365 Business Premium : inclut les licences Azure Virtual Desktop et les licences Microsoft Office
    • Windows 10 Enterprise E3/E5 : inclut les licences Azure Virtual Desktop

De combien d’abonnements Azure ai-je besoin ?

  • Tous les abonnements au sein d’un même groupe de gestion doivent faire confiance au même tenant Azure Active Directory

  • Un abonnement ne peut être associé qu’à un seul compte à la fois et doit avoir un titulaire de compte associé

  • Les abonnements ne peuvent pas partager de réseaux, mais ils peuvent communiquer via l’appairage VNET et Azure ExpressRoute

  • Les abonnements sont des limites pour les stratégies, la gestion, la gouvernance et l’administration Azure. Par conséquent, planifiez des abonnements pour les unités commerciales qui ont des exigences administratives ou de facturation distinctes

  • Les abonnements multiples réduisent le rayon d’action et l’exposition au cas où les informations d’identification seraient compromises

  • Prévoyez d’isoler les abonnements de développement et de test des abonnements de production afin de fournir des performances, une sécurité, une gouvernance et une conformité accrues

  • Certains environnements, tels que la production et les tests d’acceptation par l’utilisateur ou la préproduction, peuvent être partagés dans un seul abonnement

  • Les abonnements dédiés aux charges de travail Citrix simplifient l’administration et la gestion des stratégies

  • Citrix recommande de limiter l’abonnement à 2 500 Virtual Delivery Agents (VDA)

  • Utilisez les abonnements en tant qu’unités de mise à l’échelle et adaptez-les au besoin pour prendre en charge les ressources requises

  • Microsoft définit des limites de ressources au sein d’un abonnement et ces limites doivent être prises en compte lors de la détermination du nombre d’abonnements nécessaires pour prendre en charge les charges de travail Citrix.

De combien de groupes de gestion aurai-je besoin ?

  • Les abonnements ne peuvent appartenir qu’à un seul groupe de gestion à la fois

  • Les groupes d’administration sont associés à un seul parent

  • Les groupes de gestion peuvent avoir une profondeur allant jusqu’à 6 niveaux et Microsoft recommande de maintenir la hiérarchie des groupes de gestion aussi plate que possible

  • Les groupes de gestion sont utilisés pour les stratégies, et non pour les groupes de facturation ou de secteur d’activité. Créez des groupes de gestion en fonction des exigences de stratégie telles que les types d’instances, les règles de pare-feu, la journalisation, le stockage, le chiffrement, le modèle RBAC, etc.

  • Limitez le nombre d’attributions de stratégie Azure à la racine du groupe de gestion, au lieu de les placer sur les groupes d’administration individuels

  • Citrix recommande de créer un groupe de gestion pour les abonnements de charge de travail Citrix

  • Les groupes de gestion sont utilisés pour agréger les stratégies Azure, de sorte que les abonnements de groupe ayant des exigences de stratégie similaires sont regroupés dans le même groupe de gestion

  • Utiliser des balises de ressources pouvant être référencées par la stratégie Azure

Pour que Citrix Cloud puisse connecter et déployer des catalogues de machines dans le cloud Azure, un compte principal de service est requis. Ce compte doit disposer des autorisations appropriées pour créer, supprimer et gérer des ressources Citrix dans chaque abonnement. Le compte principal de service est créé via l’enregistrement d’une application au sein du locataire Azure AD. La création du compte principal de service peut être créée automatiquement par Citrix ou manuellement par un administrateur global Azure AD.

La création de l’objet principal de service peut être effectuée automatiquement par Citrix si l’utilisateur exécutant l’assistant Citrix Host Connection Wizard dispose des autorisations de contributeur sur l’abonnement. Lors de la configuration de la connexion hôte, l’Assistant demande toutes les autorisations requises, y compris les autorisations de contributeur sur l’abonnement, et conserve cette acceptation pour les connexions futures.

Les environnements sensibles à la sécurité ne permettent pas aux principaux de service d’avoir des autorisations de contributeur au niveau de l’abonnement. Citrix fournit une solution alternative appelée principal de service Narrow Scope. Un administrateur global Azure AD doit créer manuellement un enregistrement d’application. Ensuite, un administrateur d’abonnement accorde manuellement au compte principal de service les autorisations appropriées. Les principaux de service à portée limitée ne disposent pas d’autorisations de contributeur sur l’ensemble de l’ abonnement. Leurs autorisations sont limitées aux groupes de ressources, aux réseaux et aux images nécessaires à la création et à la gestion des catalogues de machines.

Voici les questions auxquelles vous devez répondre concernant le compte principal de service :

Dois-je utiliser un compte principal de service dans le cadre de l’abonnement ?

  • Nécessite des autorisations d’administrateur global Azure AD

  • Le rôle de contributeur pour l’ensemble de l’abonnement est créé automatiquement et Azure demandera l’approbation des autorisations lors de la connexion initiale

  • À utiliser lorsque la sécurité des informations permet à un compte principal de service de se voir accorder des autorisations de contributeur sur l’ensemble de l’abonnement et que les administrateurs Citrix ont accès contributeur à l’abonnement

  • Les comptes utilisés pour l’authentification lors de la création de la connexion hôte doivent être au moins co-administrateurs de l’abonnement et être membres d’Azure Active Directory

  • Recommandé lorsque les abonnements sont dédiés aux ressources Citrix ou que l’environnement contient de nombreux groupes de ressources

  • À utiliser lorsqu’une expérience de gestion simple est recherchée

  • À utiliser lorsque Citrix Studio est utilisé pour gérer l’environnement plus que PowerShell

  • À privilégier lors des déploiements de validation de concept

Dois-je utiliser un principal de service à portée limitée ?

  • Le principal de service à portée limitée est créé manuellement par un administrateur global Azure AD

  • Avant d’exécuter l’assistant Ajouter des machines dans le catalogue de machines, le groupe de ressources cible doit être créé au préalable et doté des autorisations suivantes :

    • Groupe de ressources pré-créé : contributeur de machine virtuelle, contributeur de compte de stockage et contributeur d’instantané de disque
    • Réseau virtuel : contributeur de machine virtuelle
    • Compte de stockage : contributeur de machine virtuelle
  • Recommandé lorsque le nombre de groupes de ressources est gérable via la console Azure ou via l’automatisation

  • Recommandé pour les environnements à haut niveau de sécurité où les autorisations sont étroitement contrôlées et où le contrôle d’accès précis est répandu

  • Recommandé lorsque les abonnements ne peuvent pas être dédiés aux ressources Citrix et hébergent d’autres services

  • Recommandé lorsque les administrateurs Azure disposent d’autorisations d’abonnement différentes en fonction de leur rôle

  • Pour les environnements plus importants, pensez à utiliser des scripts de génération ou des modèles ARM pour pré-créer des groupes de ressources et accorder les autorisations requises

Dois-je utiliser des rôles personnalisés pour le principal de service ?

  • Citrix recommande d’utiliser des rôles personnalisés pour définir les autorisations pour le principal de service lorsque plusieurs abonnements sont utilisés.

  • Microsoft recommande de définir les autorisations de rôle au niveau du groupe de gestion via la stratégie Azure

Liens vers d’autres ressources

Limites d’abonnement et de service Azure, quotas et contraintes

Conseils Citrix : Dimensionnement des abonnements Azure

Conseils Citrix : Citrix sur Azure - Zones d’atterrissage à l’échelle de l’entreprise - Partie 2

Inscription au contrat d’entreprise et locataires Azure Active Directory

Groupe de gestion et organisation d’abonnement

Limiter les demandes d’abonnement et les limites des locataires

Que sont les groupes de gestion Azure ?

Tarification Azure Virtual Desktop

Objets principaux d’application et de service dans Azure Active Directory

Comment accorder à XenApp et XenDesktop l’accès à votre abonnement Azure

Octroi manuel de l’accès à Citrix Cloud à votre abonnement Azure

Décision de conception : considérations spécifiques à Azure