Citrix Virtual Apps and Desktops Service — Implémentation d’Azure avec les Azure Active Directory Domain Services pour les fournisseurs de services de domaine

Architecture

Azure Active Directory Domain Services est un service Active Directory entièrement géré sur Microsoft Azure. À ne pas confondre avec Azure AD, qui est un service d’identité et d’authentification basé sur le cloud pour les services Microsoft, Azure AD Domain Services (ADDS) fournit des contrôleurs de domaine gérés. Azure ADDS inclut des fonctionnalités d’entreprise telles que la jointure de domaine et la stratégie de groupe. Alors qu’Azure AD exploite les protocoles d’authentification et d’autorisation modernes tels que OpenID Connect et OAuth 2.0, Azure ADDS utilise des protocoles traditionnels qui reposent sur Active Directory, comme LDAP et Kerberos. Azure AD Domain Services synchronise automatiquement les identités d’Azure AD vers votre environnement AD géré.

Azure ADDS déploie et gère automatiquement les contrôleurs de domaine Active Directory hautement disponibles sur votre abonnement Azure. L’accès au contrôleur de domaine est restreint et vous ne pouvez gérer votre domaine qu’en déployant des instances de gestion à l’aide des outils d’administration de serveur distant. En outre, les autorisations Admin de domaine et Administrateur d’entreprise ne sont pas disponibles sous le service géré. L’instance Azure ADDS est déployée directement sur un réseau virtuel (VNet) au sein de votre abonnement, les ressources peuvent être déployées sur le même réseau virtuel ou dans des réseaux virtuels différents. Si des ressources sont déployées sur un réseau virtuel différent, il doit être connecté au réseau virtuel Azure ADDS via un appairage de réseau virtuel.

Azure ADDS peut être déployé en tant forêt utilisateurque forêt de ressources ou de ressources. Pour cette implémentation, nous déployons Azure ADDS en tant que forêt utilisateur, sans configurer une approbation pour un environnement AD local externe. En outre, les ressources du service Citrix Virtual Apps and Desktops sont déployées en fonction de notre Architecture de référence CSP.

Scénario d’architecture

Ce scénario de déploiement implique les considérations suivantes :

  • Azure AD :
    • Locataire Azure AD partagé pour tous les clients
  • Azure AJOUTE :
    • Instance ADDS Azure partagée pour tous les clients
  • Abonnements :
    • Abonnement Azure partagé pour les petits clients
    • Abonnements Azure dédiés pour les grands clients
  • Connectivité réseau :
    • Peering de réseaux virtuels à partir d’abonnements dédiés à l’abonnement partagé pour la connectivité Azure ADDS

CSP-Image-001

Scénario d’architecture

Ce scénario de déploiement implique les considérations suivantes :

  • Azure AD :
    • Locataire Azure AD partagé pour tous les clients
    • Locataire Azure AD dédié pour les grands clients
  • Azure AJOUTE :
    • Instance ADDS Azure partagée pour tous les clients
  • Abonnements :
    • Abonnement Azure partagé pour les petits clients
    • Abonnements Azure dédiés pour les grands clients
  • Connectivité réseau :
    • Peering de réseaux virtuels à partir d’abonnements dédiés à l’abonnement partagé pour la connectivité Azure ADDS

CSP-Image-002

Scénario d’architecture

Ce scénario de déploiement implique les considérations suivantes :

  • Azure AD :
    • Locataire Azure AD partagé pour tous les clients
    • Locataire Azure AD dédié pour les grands clients
  • Azure AJOUTE :
    • Instance ADDS Azure partagée pour les petits clients
    • Instance Azure ADDS dédiée pour les grands clients
  • Abonnements :
    • Abonnement Azure partagé pour les petits clients
    • Abonnements Azure dédiés pour les grands clients
  • Connectivité réseau :
    • Aucun appairage VNET entre les abonnements dédiés et les abonnements partagés

CSP-Image-003

Hiérarchie des ressources Azure

Lors de la conception et de l’organisation de vos ressources d’abonnement Azure, prenez en considération la hiérarchie de ressources suivante :

CSP-Image-004

Hypothèses initiales

Azure ADDS

  • Le locataire Azure AD existe
  • L’abonnement Azure existe
  • Un compte Azure AD avec les autorisations suivantes est disponible :
    • Azure AD : Administrateur global
    • Abonnement : Contributeur
  • Azure ADDS sera déployé en tant que forêt utilisateur autonome, aucune approbation ne sera configurée
  • Bien qu’il soit possible, les utilisateurs AD existants ne seront pas synchronisés via Azure AD Connect
  • La réinitialisation du mot de passe en libre-service sera déployée pour forcer la réinitialisation des mots de passe pour la synchronisation de hachage

Citrix Cloud

  • Un abonnement Citrix Cloud est disponible
  • Citrix Cloud Connector sera déployé
  • L’image maître VDA sera déployée
  • Les connexions d’hébergement Azure seront configurées
  • Le catalogue de machines et le groupe de mise à disposition seront configurés

Terminologie

Voici les termes Azure les plus courants que vous devez comprendre, comme décrit dans la documentation Azure :

  • Abonnements Azure : les abonnements Azure sont un accord conclu avec Microsoft pour utiliser les services Azure. La facturation est liée à un abonnement basé sur les ressources consommées, et les ressources ne peuvent pas être déployées sans abonnement. Les abonnements vous permettent d’organiser l’accès aux ressources. Les types d’abonnement comprennent l’essai, le paiement à l’avance, le contrat Entreprise et MSDN, et chacun peut avoir une configuration de paiement différente. Les abonnements Azure doivent être liés à un client Azure AD.
  • Azure AD : Azure AD est le service de gestion des identités basé sur le cloud de Microsoft pour les utilisateurs, les groupes et les appareils. Azure AD ne doit pas être considéré comme un remplacement des services de domaine Active Directory traditionnels, car il ne prend pas en charge LDAP ou Kerberos. Plusieurs abonnements Azure peuvent être liés à un seul client Azure AD. Azure AD propose différents types de licences (Free, Premium 1 et Premium 2) qui offrent des fonctionnalités différentes en fonction du niveau de licence.
  • Groupes de gestion : Azure Management Groups sont des conteneurs qui vous permettent de gérer l’accès, les stratégies et la conformité sur plusieurs abonnements. Les groupes de gestion peuvent contenir des abonnements ou d’autres groupes de gestion.
  • Azure RBAC : Azure RBAC est utilisé pour gérer l’autorisation des ressources Azure. Azure RBAC contient plus de 70 rôles intégrés et vous permet de créer des rôles personnalisés pour gérer l’autorisation des ressources en fonction de vos besoins. Les autorisations sont mises en cascade des groupes de gestion aux abonnements, des abonnements à des groupes de ressources et des groupes de ressources aux ressources. Le rôle RBAC Propriétaire fournit le plus haut niveau d’autorisations sur une ressource Azure et vous permet également de gérer les autorisations de ressources pour d’autres utilisateurs.
  • Rôles Azure AD : les rôles Azure AD sont utilisés pour gérer les actions liées à Azure AD, telles que la création d’utilisateurs, de groupes, d’enregistrements d’applications, d’interaction avec les API, etc. Le rôle Administrateur global accorde le niveau d’autorisation le plus élevé dans Azure AD, y compris l’accès à toutes les fonctionnalités Azure AD, la gestion des rôles et des licences pour d’autres utilisateurs, et bien plus encore. Le rôle Administrateur global est automatiquement attribué à l’utilisateur qui crée le client Azure AD.
  • Domaine Azure AD personnalisé : Tous les nouveaux locataires Azure AD sont créés sous le domaine onmicrosoft.com, les domaines personnalisés peuvent être configurés en validant la propriété auprès de votre bureau d’enregistrement de domaine.
  • Groupes de ressources : Les groupes de ressources sont des conteneurs logiques utilisés pour organiser les ressources dans Azure et gérer leurs autorisations via RBAC. Généralement, les ressources d’un groupe de ressources partagent un cycle de vie similaire. Un groupe de ressources ne peut pas contenir d’autres groupes de ressources et les ressources Azure ne peuvent pas être créées sauf si vous spécifiez un groupe de ressources. Lorsqu’un groupe de ressources est déployé dans une région Azure, il peut contenir des ressources provenant de différentes régions.
  • VNET : Un réseau virtuel Azure est un réseau défini par logiciel qui vous permet de gérer et de déployer des ressources sous un espace d’adressage isolé dans Azure. Les réseaux virtuels permettent aux ressources de communiquer avec d’autres ressources sur le même réseau virtuel, Internet, ressources dans d’autres réseaux virtuels ou sur site. L’accès aux réseaux virtuels et à partir de réseaux virtuels est sécurisé via les groupes de sécurité réseau et vous pouvez également configurer des itinéraires en implémentant des itinéraires définis par l’utilisateur. Les réseaux virtuels Azure sont des superpositions de couche 3, de sorte qu’ils ne comprennent aucune sémantique de couche 2 comme les VLAN ou GARP. Tous les réseaux virtuels contiennent un espace d’adressage principal et doivent contenir au moins un sous-réseau avec un espace d’adressage. Les adresses IP de machine virtuelle dans un VNET ne sont pas attachées à l’instance de machine virtuelle réelle, elles sont affectées à la carte réseau de la machine virtuelle, qui est gérée en tant que ressource indépendante.
  • Peering de réseaux virtuels : Un appairage permet à 2 réseaux virtuels de se connecter et de communiquer via l’épine dorsale Azure, par opposition à la connexion VNET-VNET traditionnelle, qui achemine le trafic via l’Internet public. Les peerings permettent une faible latence et peuvent être configurés dans différentes régions, différents abonnements et même différents locataires Azure AD. Les connexions d’appairage sont non transitives par défaut, une configuration avancée est nécessaire pour modifier ce comportement. Dans une architecture hub et en rayon, un réseau virtuel en étoile ne peut communiquer qu’avec le hub, mais il est incapable de communiquer avec les ressources d’autres rayons.
  • Groupe de sécurité réseau : Un groupe de sécurité réseau (NSG) est un ensemble de règles qui vous permettent de contrôler l’accès entrant et sortant aux ressources dans un VNET, elles peuvent être attachées à un sous-réseau ou à une carte réseau. Les règles entrantes et sortantes au sein d’un groupe de sécurité réseau sont gérées indépendamment, et toutes les règles doivent avoir une priorité de 100 et 4096. Par défaut, les groupes de sécurité réseau incluent un ensemble de règles par défaut qui autorisent le trafic entre les ressources du même réseau virtuel, accès Internet sortant, entre autres. Les groupes de sécurité réseau n’ont aucune relation avec les configurations de pare-feu au niveau du système d’exploitation et, en règle générale, une approche zéro confiance est recommandée lors de la conception de vos groupes de sécurité réseau.
  • Enregistrement d’application : L’enregistrement d’une application est un compte Azure AD qui permet à une application externe d’interagir avec les API Azure. Lorsqu’un enregistrement d’application est créé, Azure AD génère un ID d’application et un secret, qui agissent comme nom d’utilisateur et mot de passe. Dans cette implémentation, un enregistrement d’application est créé pour permettre à Citrix Cloud d’interagir avec Azure et d’effectuer des tâches de création de machines et de gestion de l’alimentation.

Considérations Azure ADDS

  • Azure ADDS synchronise automatiquement les identités utilisateur à partir d’Azure AD
  • La synchronisation fonctionne à partir d’Azure AD vers Azure ADDS, pas de la manière opposée
  • Il peut tirer parti des utilisateurs créés dans le Cloud, ou des utilisateurs synchronisés via Azure AD Connect
  • Azure AD Connect ne peut pas être installé sur un environnement Azure ADDS pour synchroniser des objets vers Azure AD
  • Les fonctions d’écriture LDAP ne fonctionnent que pour les objets créés directement sur ADDS, et non pour les utilisateurs synchronisés à partir d’Azure AD
  • Azure ADDS ne peut être utilisé qu’en tant que domaine autonome (une forêt, un seul domaine), et non comme extension d’un domaine local
  • Le service est déployé sur les zones de disponibilité Azure lorsque disponible
  • Azure ADDS est déployé en tant que forêt utilisateur par défaut, au moment de cet écriture, le modèle de déploiement de la forêt de ressources est en prévisualisation
  • Pour les utilisateurs synchronisés à partir d’Azure AD, le hachage du mot de passe n’est pas synchronisé tant que les utilisateurs n’ont pas réinitialisé leur mot de passe, la réinitialisation du mot de passe libre-service Azure est utilisée pour aider les utilisateurs à réinitialiser leurs mots de passe
  • Le groupe Administrateurs de contrôleur de domaine AAD, créé lors du déploiement de l’instance Azure ADDS, ne peut pas être modifié dans ADUC. Le groupe Administrateurs de domaine AAD DC ne peut être modifié qu’à partir de groupes Azure AD dans la console Azure
  • Pour les utilisateurs synchronisés à partir d’Azure AD :
    • Impossible de réinitialiser le mot de passe depuis la console ADUC
    • Impossible de déplacer vers une autre unité d’organisation
    • Ces utilisateurs sont généralement utilisés pour gérer l’instance Azure ADDS en tant que CSP, les utilisateurs clients finaux peuvent être créés dans ADUC
  • Les objets de stratégie de groupe peuvent être créés et liés aux unités organisationnelles précréées des ordinateurs AADDC et des utilisateurs AADC, et non à d’autres unités d’organisation précréées.
    • Vous pouvez créer votre propre structure d’unité d’organisation et déployer des objets de stratégie de groupe
    • Impossible de créer des objets de stratégie de groupe au niveau du domaine et du site
  • Le verrouillage de l’unité d’organisation est possible à l’aide de l’Assistant Délégation de contrôle sur les nouvelles unités d’organisation
    • Ne fonctionne pas sur les U pré-créées

Considérations relatives au processus de connexion

Azure ADDS synchronise les comptes d’utilisateur à partir du client Azure AD sous lequel est créé. Il inclut les comptes créés avec un domaine personnalisé, les comptes créés avec le domaine onmicrosoft.com initial et les comptes B2B (comptes externes ajoutés à Azure AD en tant qu’invités). En fonction du type de compte utilisateur, les utilisateurs auront une expérience d’ouverture de session différente :

  • Comptes de domaine personnalisés :
    • Connexion en utilisant UPN (user@domain.com) : Connexion réussie
    • Connexion à l’aide de NetBIOS (domaine \ utilisateur) : Connexion réussie
  • Comptes de domaine OnMicrosoft :
    • Connexion en utilisant UPN (user@domain.onmicrosoft.com) : Connexion infructueuse (1)
    • Connexion à l’aide de NetBIOS (domaine \ utilisateur) : Connexion réussie (2)
  • Comptes B2B (invités) :
    • Connexion en utilisant UPN (user@domain.com) : Connexion infructueuse
    • Connexion à l’aide de NetBIOS (domaine \ utilisateur) : Connexion infructueuse (3)

REMARQUE :
(1) L’ajout d’un autre nom UPN n’est pas autorisé sur Azure ADDS, de sorte que ces utilisateurs ne peuvent pas se connecter via UPN.

( 2) Cela fonctionne correctement car le nom NetBIOS est le même pour tous les utilisateurs.

( 3) Ces utilisateurs ne peuvent pas s’authentifier auprès d’Azure ADD, même s’ils sont synchronisés, Azure n’a pas accès à leur hachage de mot de passe.

Implémentation

Composants Azure

Étape 1 : Créer un groupe de ressources pour Azure ADDS

1- Dans le menu du portail Azure, sélectionnez Groupes de ressources, puis cliquez sur Ajouter

CSP-Image-005

Considérations :

  • Cette étape suppose qu’un abonnement Azure a été créé et qu’il est prêt à déployer les ressources.

2- Sous l’onglet Principes de base, entrez les informations suivantes, puis cliquez sur Review + Create

  • Abonnement
  • Nom du groupe de ressources
  • Région du groupe de ressources

CSP-Image-006

3- Dans l’onglet Révision + créer, cliquez sur Créer

CSP-Image-007

Considérations :

  • Répétez ces étapes pour créer des groupes de ressources pour les ressources des clients, les réseaux, etc.
  • Vous pouvez éventuellement créer des groupes de ressources à utiliser par Citrix Machine Creation Services. Machine Creation Services (MCS) ne peut utiliser que des groupes de ressources vides.

Étape 2 : Créer le vNet Azure ADDS

1- Dans le menu du portail Azure, sélectionnez Réseaux virtuels, puis cliquez sur Ajouter.

CSP-Image-008

2- Sous l’onglet Principes de base, entrez les informations suivantes, puis cliquez sur Suivant : Adresses IP :

  • Abonnement
  • Nom du groupe de ressources
  • Nom VNET
  • Région VNET

CSP-Image-009

3- Sous l’onglet Adresses IP, entrez les informations suivantes, puis cliquez sur Suivant : Sécurité :

  • Espace d’adressage IPv4
  • Ajouter des sous-réseaux

CSP-Image-010

Considérations :

  • Ajoutez des sous-réseaux comme déterminé par vos décisions de conception de réseau. Dans ce cas, nous ajoutons un sous-réseau pour le service ADDS et un sous-réseau pour les ressources d’infrastructure partagées, y compris Citrix Cloud Connector, les images principales, etc.

4- Sous l’onglet Sécurité, configurez les DDoS et le pare-feu selon les besoins, puis cliquez sur Review + Create

CSP-Image-011

5- Dans l’onglet Révision + créer, cliquez sur Créer.

CSP-Image-012

Considérations :

  • Répétez ces étapes pour créer des réseaux clients, à la fois dans le même abonnement ou tout abonnement supplémentaire.

Étape 3 : Configurer les peerings de vNet

1- Dans le menu du portail Azure, sélectionnez Réseaux virtuelset sélectionnez le VNET où ADDS sera déployé.

CSP-Image-013

Considérations :

  • Pour cette implémentation, la mise en réseau est conçue dans une architecture hub and spoke. Un appairage VNET sera configuré à partir du réseau ADDS Azure (hub) vers les réseaux clients (rayons).
  • Par défaut, les peerings VNET ne sont pas transitifs, de sorte que les réseaux en étoile ne sont pas en mesure de communiquer les uns avec les autres sauf configuré intentionnellement.
  • Si l’appairage de réseaux sur différents abonnements Azure et locataires Azure AD :
    • Les utilisateurs doivent être ajoutés en tant qu’utilisateurs invités sur l’abonnement opposé et bénéficier des autorisations RBAC aux réseaux homologues.
    • Les groupes de sécurité réseau doivent être correctement configurés des deux côtés.

2- Sur la lame VNET, cliquez sur Peerings et Ajouter.

CSP-Image-014

3- Sur le bouton Ajouter une lame d’appairage, entrez les informations suivantes :

  • Nom de l’appairage du VNET source vers le VNET de destination
  • Abonnement
  • Réseau virtuel de destination
  • Nom de l’appairage entre le VNET de destination et le VNET source

CSP-Image-015

4- Faites défiler vers le bas et cliquez sur OK

CSP-Image-016

Considérations :

  • Répétez ces étapes pour appairer d’autres réseaux de clients (en étoile).

Étape 4 : Créer l’instance Azure AD Domain Services

1- Dans la barre de recherche Azure, tapez Services de domaine, puis cliquez sur Azure AD Domain Services

CSP-Image-017

2- Sur la page Services de domaine Azure AD, cliquez sur + Ajouter.

CSP-Image-018

3- Sous l’onglet Principes de base, entrez les informations suivantes, puis cliquez sur Suivant :

  • Abonnement
  • Nom du groupe de ressources
  • Nom de domaine DNS
  • Région
  • SKU
  • Type de forêt

CSP-Image-019

Considérations :

  • La région d’instance AAD DS doit correspondre à celle du réseau que vous avez pré-créé lors des étapes précédentes.
  • Une forêt utilisateur est le type de forêt par défaut sur Azure ADDS, ils synchronisent tous les comptes d’utilisateurs Azure AD vers Azure ADDS afin qu’ils s’authentifient auprès de l’instance Azure ADDS. Ce modèle suppose que les hachages de mot de passe utilisateur peuvent être synchronisés.
  • Une forêt de ressources : est un type de forêt récemment pris en charge, qui est en prévisualisation. Sous ce modèle de déploiement, Azure ADDS est utilisé pour gérer les comptes de machines. Une approbation unidirectionnelle est configurée à partir d’Azure ADDS (domaine d’approbation) vers un environnement AD local (le domaine approuvé). Avec cette configuration, les comptes d’utilisateur de l’environnement local peuvent se connecter aux ressources hébergées dans Azure qui sont jointes au domaine Azure ADDS. Ce type de forêt suppose que la connectivité réseau au domaine local est configurée.

4- Sous l’onglet Mise en réseau, entrez les informations suivantes, puis cliquez sur Suivant :

  • Réseau virtuel
  • Sous-réseau

CSP-Image-020

5- Sous l’onglet Administration, cliquez sur Gérer l’appartenance au groupe

CSP-Image-021

6- Sur la lame Membres, cliquez sur + Ajouter des membres

CSP-Image-022

7- Dans la lame Ajouter des membres, recherchez les comptes que vous souhaitez ajouter en tant que membres du groupe Administrateurs du contrôleur de domaine AAD.

CSP-Image-023

8- Une fois les utilisateurs ajoutés, cliquez sur Sélectionner

CSP-Image-024

9- Retour dans l’onglet Administration, cliquez sur Suivant

CSP-Image-025

Considérations :

  • L’appartenance au groupe Administrateurs de domaine AAD DC ne peut être gérée qu’à partir d’Azure AD, elle ne peut pas être gérée à partir de la console ADUC dans l’instance Azure ADDS.

10- Sous l’onglet Synchronisation, cliquez sur Suivant

CSP-Image-026

Considérations :

  • Cette page peut être utilisée en option pour sélectionner les objets Azure AD à synchroniser avec Azure ADDS en sélectionnant le type de synchronisation étendue.

11- Sous l’onglet Révision, cliquez sur Créer

CSP-Image-027

12- Dans la fenêtre contextuelle de confirmation, cliquez sur OK

CSP-Image-028

Considérations :

  • Le processus de création de l’instance Azure ADDS peut prendre jusqu’à 1 heure.

Étape 5 : Configurer DNS pour le VNET Azure ADDS

1- Une fois l’instance Azure ADDS créée, sous Mettre à jour les paramètres du serveur DNS pour votre réseau virtuel, cliquez sur Configurer

CSP-Image-029

Considérations :

  • Cette étape configure automatiquement les paramètres DNS du VNET où l’instance Azure ADDS a été créée (réseau Hub). Une fois configurées, toutes les requêtes DNS sont transférées aux contrôleurs de domaine gérés.
  • Les paramètres DNS des réseaux clients (rayons) doivent être mis à jour manuellement.

Étape 6 : Configurer le DNS pour les réseaux clients

1- Dans le menu du portail Azure, sélectionnez Réseaux virtuelset sélectionnez votre VNET client (en étoile).

CSP-Image-030

2- Sur la lame VNET, cliquez sur Serveurs DNS, sélectionnez Personnalisé, entrez l’adresse IP des contrôleurs de domaine géré et cliquez sur Enregistrer

CSP-Image-031

Considérations :

  • Répétez ces étapes pour chaque VNET client (en étoile) et tout autre VNET externe qui est apairé au VNET hébergeant l’instance Azure ADDS.

Étape 7 : Configurer la réinitialisation du mot de passe en libre-service (SSPR)

1- Dans le menu du portail Azure, sélectionnez Azure Active Directory, puis cliquez sur Réinitialiser le mot de passe

CSP-Image-032

Considérations :

  • Lorsque les utilisateurs Azure AD sont initialement synchronisés avec Azure ADDS, leur hachage de mot de passe n’est pas synchronisé. Par conséquent, les utilisateurs doivent réinitialiser leur mot de passe pour que cela se produise. SSPR est utilisé pour permettre aux utilisateurs de réinitialiser leurs mots de passe de manière simple et sécurisée.
  • L’authentification utilisateur contre Azure ADDS ne fonctionne pas tant que cette étape n’est pas effectuée.
  • L’étape pour activer SSPR n’est requise que si elle n’a pas été configurée précédemment.
  • Cette étape n’est requise que si les utilisateurs Azure AD sont gérés à partir du portail Azure (pas les utilisateurs synchronisés depuis AD sur site via Azure AD Connect). Pour les utilisateurs synchronisés à partir d’AD sur site via Azure AD connect, procédez comme suit.

2- Dans la lame Propriétés, sélectionnez Tout, puis cliquez sur Enregistrer.

CSP-Image-033

Considérations :

  • Vous pouvez choisir Sélectionné pour activer SSPR uniquement pour un sous-ensemble d’utilisateurs.
  • La prochaine fois que les utilisateurs se connecteront, ils seront obligés de s’inscrire à SSPR.

Étape 8 : Processus d’inscription des utilisateurs de la RSPS

1- Lorsqu’un utilisateur se connecte, il est redirigé vers l’écran d’enregistrement SSPR et configurer ses méthodes d’authentification.

CSP-Image-034

Considérations :

  • Les méthodes d’authentification SSPR peuvent être sélectionnées sur la lame de configuration SSPR dans le portail Azure.
  • Pour cet exemple, SSPR a été activé avec les paramètres de base, ce qui nécessite la configuration d’un téléphone et d’un e-mail.

2- Une fois que les utilisateurs saisissent leurs informations d’authentification, le processus d’inscription SSPR est terminé.

CSP-Image-035

3- Les utilisateurs peuvent maintenant naviguer vers pour Réinitialisation en libre-service des mots de passe réinitialiser leur mot de passe.

CSP-Image-036

Considérations :

  • Une fois cette étape terminée et que les utilisateurs réinitialisent leur mot de passe, le hachage du mot de passe est synchronisé d’Azure AD vers Azure ADDS.
  • Pour les utilisateurs synchronisés, l’ADUC ne peut pas être utilisé pour réinitialiser leur mot de passe.

Étape 9 : Créer la machine virtuelle de gestion AD

1- Dans le menu du portail Azure, sélectionnez Machines virtuelles, puis cliquez sur Ajouter

CSP-Image-037

2- Sous l’onglet Principes de base, entrez les informations suivantes, puis cliquez sur Suivant : Disques :

  • Abonnement
  • Groupe de ressources
  • Nom de la VM
  • Région
  • Options de disponibilité
  • Image
  • Taille
  • Détails du compte d’administrateur

CSP-Image-038

CSP-Image-039

3- Sous l’onglet Disques, entrez le type de disque du système d’exploitation, puis cliquez sur Suivant : Mise en réseau

CSP-Image-040

4- Sous l’onglet Mise en réseau, configurez les informations suivantes, puis cliquez sur Suivant : Gestion :

  • Réseau virtuel
  • Sous-réseau
  • IP publique (le cas échéant)
  • Groupe de sécurité réseau

CSP-Image-041

5- Sous l’onglet Gestion, configurez les informations suivantes, puis cliquez sur Suivant : Avancé :

  • Surveillance
  • Arrêt automatique
  • Sauvegarde

CSP-Image-042

CSP-Image-043

6- Sous l’onglet Avancé, laissez les paramètres par défaut et cliquez sur Suivant : Balises

CSP-Image-044

7- Sous l’onglet Balises, créez les balises requises pour l’instance de machine virtuelle, puis cliquez sur Suivant : Review + Create

CSP-Image-045

8- Dans l’onglet Review + Create, assurez-vous que toutes les informations sont correctes, puis cliquez sur Créer

CSP-Image-046

Considérations :

  • Répétez les étapes précédentes pour créer toutes les machines virtuelles supplémentaires : Cloud Connector, Master Images, etc.

Étape 10 : Joindre la machine virtuelle de gestion au domaine

1- Connectez-vous à l’instance via RDP et ouvrez le Gestionnaire de serveur, puis cliquez sur Ajouter des rôles et des fonctionnalités

CSP-Image-047

2- Dans l’Assistant Ajout de rôles et de fonctionnalités, ajoutez les fonctionnalités suivantes :

  • Outils d’administration des rôles
  • Outils ADDS et AD LDS
  • Module Active Directory pour Windows PowerShell
  • Outils AD DS
  • Composants logiciels enfichables AD DS et outils de ligne de commande
  • Console de gestion des stratégies de groupe (GPMC)
  • Gestionnaire DNS

CSP-Image-048

3- Lorsque l’installation se termine, joignez la machine virtuelle au domaine Azure ADDS.

CSP-Image-049

Considérations :

  • Répétez les étapes précédentes pour joindre toutes les autres machines virtuelles au domaine Azure ADDS.
  • L’installation des outils RSAT n’est requise que pour les machines virtuelles utilisées pour gérer l’instance Azure ADDS.
  • Assurez-vous que le mot de passe du compte d’utilisateur utilisé pour joindre les machines virtuelles au domaine Azure ADDS a été réinitialisé avant d’essayer ces étapes.

Étape 11 : Créer un enregistrement d’application Azure AD

1- Dans le menu du portail Azure, sélectionnez Azure Active Directory > Enregistrements d’applications > + Nouvel enregistrement

CSP-Image-050

2- Dans la lame Enregistrer une application, entrez les informations suivantes, puis cliquez sur Enregistrer :

  • Nom de l’application
  • Types de comptes supportés
  • URL de redirection
    • Web
    • https://citrix.cloud.com

CSP-Image-051

3- Sur la lame Vue d’ensemble, copiez les valeurs suivantes dans un bloc-notes :

  • ID d’application (client)
  • ID de répertoire (locataire)

CSP-Image-052

Considérations :

  • Les valeurs d’ID d’application et d’ID d’annuaire seront utilisées ultérieurement lors de la création d’une connexion d’hébergement pour Citrix MCS afin de gérer les ressources Azure.

4- Cliquez sur Certificats et secrets, puis +Nouveau secret client

CSP-Image-053

5- Dans la fenêtre contextuelle Ajouter un secret client, entrez une description et une expiration, puis cliquez sur Ajouter.

CSP-Image-054

6- Retour sur l’écran Certificats & secrets, copiez la valeur du secret client

CSP-Image-055

Considérations :

  • Alors que l’ID client agit comme nom d’utilisateur pour l’enregistrement de l’application, le secret client agit comme mot de passe.

7- Cliquez sur les autorisations API, puis Ajouter une autorisation

CSP-Image-056

8- Sur la lame Demander des autorisations API, sous API mon organisation utilise la recherche de Windows Azureet sélectionnez Windows Azure Active Directory

CSP-Image-057

9- Sur la lame Azure Active Directory Graph API, sélectionnez Autorisations déléguées, attribuez l’autorisation Lire tous les profils de base des utilisateurs, puis cliquez sur Ajouter des autorisations

CSP-Image-058

10- Retour sur la lame Demander des autorisations API, sous API mon organisation utilise à nouveau la recherche de Windows Azure et sélectionnez l’ API de gestion des services Windows Azure

CSP-Image-059

11- Sur la lame de l’API Azure Service Management, sélectionnez Autorisations déléguées, attribuez l’autorisation Access Azure Service Management en tant qu’utilisateurs de l’organisation et cliquez sur Ajouter des autorisations

CSP-Image-060

12- Dans le menu du portail Azure, cliquez sur Abonnements et copiez la valeur de votre ID d’abonnement

CSP-Image-061

Considérations :

  • Copiez la valeur de tous les abonnements utilisés pour gérer les ressources via Citrix MCS. La connexion d’hébergement pour chaque abonnement Azure doit être configurée indépendamment.

13- Sélectionnez votre abonnement et sélectionnez Contrôle d’accès (IAM) > +Ajouter > Ajouter une attribution de rôle

CSP-Image-062

14- Dans la lame Ajouter une attribution de rôle, affectez le rôle de collaborateur à la nouvelle application d’enregistrement, puis cliquez sur Enregistrer

CSP-Image-063

Considérations :

  • Répétez cette étape pour ajouter des autorisations Contributor à l’inscription sur tout abonnement supplémentaire.
  • Si vous utilisez un abonnement secondaire appartenant à un client Azure AD distinct, un nouvel enregistrement d’application doit être configuré.

Composants Citrix

Étape 1 : Installer le Cloud Connector

1- Connectez-vous à la machine virtuelle Cloud Connector via RDP et utilisez un navigateur Web pour naviguer vers Citrix Cloud. Entrez vos informations d’identification Citrix Cloud et cliquez sur Se connecter

CSP-Image-064

2- Sous Domaines, cliquez sur Ajouter un nouveau

CSP-Image-065

3- Sous l’onglet Domaines sous Gestion des identités et des accès, cliquez sur +Domaine

CSP-Image-066

4- Dans la fenêtre Ajouter un Cloud Connector, cliquez sur Télécharger

CSP-Image-067

5- Enregistrez le fichier cwcconnector.exe sur l’instance.

CSP-Image-068

6- Cliquez avec le bouton droit sur le fichier cwcconnector.exe et sélectionnez Exécuter en tant qu’administrateur

CSP-Image-069

7- Dans la fenêtre Citrix Cloud Connector, cliquez sur Se connecter

CSP-Image-070

8- Dans la fenêtre de connexion, entrez vos informations d’identification Citrix Cloud, puis cliquez sur Se connecter

CSP-Image-071

9- Lorsque l’installation est terminée, cliquez sur Fermer.

CSP-Image-072

Considérations :

  • L’installation de Cloud Connector peut prendre jusqu’à 5 minutes.
  • Au minimum, 2 Cloud Connector doivent être configurés par emplacement de ressource.

Étape 2 : Configurer l’image principale VDA

1- Connectez-vous à la machine virtuelle d’image principale Citrix VDA via RDP et utilisez un navigateur Web pour naviguer Téléchargements de Citrix et télécharger la dernière version de Citrix VDA

CSP-Image-073

Considérations :

  • Les informations d’identification Citrix sont requises pour télécharger le logiciel VDA.
  • La version LTSR ou CR peut être installée.
  • Un programme d’installation VDA distinct doit être téléchargé pour les machines avec OS de bureau et serveur.

2- Cliquez avec le bouton droit sur le fichier d’installation du VDA et sélectionnez Exécuter en tant qu’administrateur

CSP-Image-074

3- Sur la page Environnement, sélectionnez Créer une image MCS principale

CSP-Image-075

4- Sur la page Composants principaux, cliquez sur Suivant

CSP-Image-076

5- Sur la page Composants supplémentaires, sélectionnez les composants qui s’appliquent le mieux à vos besoins, puis cliquez sur Suivant

CSP-Image-077

6- Sur la page Delivery Controller, entrez les informations suivantes, puis cliquez sur Suivant :

  • Sélectionnez « Faites-le manuellement »
  • Entrez le nom de domaine complet de chaque Cloud Connector
  • Cliquez sur Tester la connexion, puis sur Ajouter

CSP-Image-078

7- Sur la page Fonctionnalités, cochez les cases des fonctionnalités que vous souhaitez activer en fonction de vos besoins de déploiement, puis cliquez sur Suivant

CSP-Image-079

8- Sur la page Pare-feu, sélectionnez Automatiquement, puis cliquez sur Suivant

CSP-Image-080

9- Sur la page Résumé, vérifiez que tous les détails sont corrects, puis cliquez sur Installer

CSP-Image-081

10- La machine virtuelle sera redémarrée lors de l’installation

CSP-Image-082

11- Une fois l’installation terminée, dans la page Diagnostics, sélectionnez l’option qui correspond le mieux à vos besoins de déploiement, puis cliquez sur Suivant

CSP-Image-083

12- Sur la page Fin, assurez-vous que Redémarrer la machine est cochée, puis cliquez sur Terminer

CSP-Image-084

Étape 3 : Créer une connexion d’hébergement Azure

1- Dans le menu Hamburger Citrix Cloud, accédez à Mes services > Virtual Apps and Desktops

CSP-Image-085

2- Sous Gérer, sélectionnez Configuration complète

CSP-Image-086

3- Dans Citrix Studio, accédez à Citrix Studio > Configuration > Hébergement, puis sélectionnez Ajouter une connexion et des ressources

CSP-Image-087

4- Sur la page Connexion, cliquez sur le bouton radio en regard de Créer une nouvelle connexion, entrez les informations suivantes, puis cliquez sur Suivant :

  • Type de connexion
  • Environnement Azure

CSP-Image-088

5- Dans la page Détails de la connexion, entrez les informations suivantes, puis cliquez sur Utiliser l’existant :

  • ID d’abonnement
  • Nom de la connexion

CSP-Image-089

6- Sur la page Principal de service existant, entrez les informations suivantes, puis cliquez sur OK :

  • ID Active Directory
  • ID de l’application
  • Secret d’application

CSP-Image-090

7- Retour sur la page Détails de la connexion, cliquez sur Suivant

CSP-Image-091

8- Sur la page Région, sélectionnez la région où votre Cloud Connector et VDA ont été déployés, puis cliquez sur Suivant

CSP-Image-092

9- Sur la page Réseau, entrez un nom pour les ressources, sélectionnez le réseau virtuel et le sous-réseau appropriés, puis cliquez sur Suivant

CSP-Image-093

10- Sur la page Résumé, vérifiez que toutes les informations sont correctes, puis cliquez sur Terminer

CSP-Image-094

Étape 4 : créer un catalogue de machines

1- Dans Citrix Studio, accédez à Citrix Studio > Catalogues de machines, puis sélectionnez Créer un catalogue de machines

CSP-Image-095

2- Sur la page Introduction, cliquez sur Suivant

CSP-Image-096

3- Sur la page Système d’exploitation, sélectionnez le système d’exploitation approprié, puis cliquez sur Suivant

CSP-Image-097

Considérations :

  • Les écrans suivants varieront légèrement en fonction du type de système d’exploitation sélectionné dans cette page.

4- Sur la page Gestion des machines, sélectionnez les informations suivantes, puis cliquez sur Suivant :

  • Le catalogue de machines utilisera : machines sous tension gérées
  • Déployer des machines à l’aide de : Citrix Machine Creation Services (MCS)
  • Ressources : sélectionnez votre connexion d’hébergement Azure

CSP-Image-098

5- Sur la page Expérience du bureau, sélectionnez les options qui s’adaptent le mieux à vos besoins, puis cliquez sur Suivant

CSP-Image-099

6- Sur la page Image principale, sélectionnez l’image principale, le niveau fonctionnel (version VDA), puis cliquez sur Suivant.

CSP-Image-100

7- Dans les types de stockage et de licence, sélectionnez les options qui s’adaptent le mieux à vos besoins, puis cliquez sur Suivant

CSP-Image-101

8- Dans la page Machines virtuelles, configurez le nombre de machines virtuelles à déployer, la taille de la machine, puis cliquez sur Suivant

CSP-Image-102

9- Dans la page Écriture arrière cache, sélectionnez vos options de cache d’écriture, puis cliquez sur Suivant

CSP-Image-103

10- Dans la page Groupes de ressources, sélectionnez entre la création de nouveaux groupes de ressources pour les ressources Citrix MCS ou l’utilisation de groupes de ressources précréés.

CSP-Image-104

Considérations :

  • Seuls les groupes de ressources vides apparaissent dans la liste des groupes de ressources existants.

11- Sur la page Cartes d’interface réseau, ajoutez des cartes réseau selon vos besoins, puis cliquez sur Suivant

CSP-Image-105

12- Dans la page Comptes d’ordinateurs Active Directory, configurez les options suivantes, puis cliquez sur Suivant :

  • Option de compte : Créer de nouveaux comptes AD
  • Domaine : sélectionnez votre domaine
  • unité d’organisation : unité d’organisation où les comptes d’ordinateur seront stockés
  • Schéma de nommage : convention de nommage à utiliser

CSP-Image-106

Considérations :

  • Les nombres remplaceront les signes de livre sur le schéma de dénomination
  • Soyez conscient de la limite de 15 caractères NetBIOS lors de la création d’un schéma de nommage

13- Sur la page Informations d’identification du domaine, cliquez sur Saisir les informations d’identification

CSP-Image-107

14- Dans la fenêtre contextuelle Sécurité Windows, entrez vos informations d’identification de domaine, puis cliquez sur OK

CSP-Image-108

15- Dans la page Résumé, entrez un nom et une description, puis cliquez sur Terminer

CSP-Image-109

Étape 5 : créer un groupe de mise à disposition

1- Dans Citrix Studio, accédez à Citrix Studio > Groupes de miseà disposition, puis sélectionnez Créer un groupe de mise à disposition

CSP-Image-110

2- Sur la page Mise en route, cliquez sur Suivant

CSP-Image-111

3- Sur la page Machines, sélectionnez votre catalogue de machines, le nombre de machines, puis cliquez sur Suivant

CSP-Image-112

4- Sur la page Utilisateurs, sélectionnez une option d’authentification, puis cliquez sur Suivant

CSP-Image-113

5- Sur la page Applications, cliquez sur Ajouter

CSP-Image-114

6- Dans la page Ajouter des applications, sélectionnez les applications que vous souhaitez publier, puis cliquez sur OK

CSP-Image-115

Considérations :

  • Bien que la plupart des applications s’affichent dans le menu Démarrer, vous pouvez également ajouter des applications manuellement.
  • Cette étape peut être ignorée si vous n’avez pas besoin de publier des applications transparentes.

7- Retour sur la page Applications, cliquez sur Suivant

CSP-Image-116

8- Sur la page Postes de travail, cliquez sur Ajouter

CSP-Image-117

9- Dans la page Ajouter un bureau, configurez le Bureau, puis cliquez sur OK

CSP-Image-118

Considérations :

  • Cette étape peut être ignorée si vous n’avez pas besoin de publier des postes de travail complets.

10- Retour sur la page Ordinateurs de bureau, cliquez sur Suivant

CSP-Image-119

11- Dans la page Résumé, entrez un nom, une description, puis cliquez sur Terminer

CSP-Image-120

Citrix Virtual Apps and Desktops Service — Implémentation d’Azure avec les Azure Active Directory Domain Services pour les fournisseurs de services de domaine