-
Pianificare e creare una distribuzione
-
Creare e gestire le connessioni
-
-
Account di servizio Azure AD
-
Creare cataloghi di macchine con immagini preparate
-
Creare un'immagine preparata per le istanze gestite di Amazon WorkSpaces Core
-
Creare un catalogo di istanze gestite di Amazon WorkSpaces Core
-
Creare un catalogo di macchine con immagini preparate in Azure
-
Creare un catalogo di macchine con immagini preparate in Red Hat OpenShift
-
Creare un catalogo di macchine con immagini preparate in VMware
-
Creare un catalogo di macchine con immagini preparate in XenServer
-
-
Pool di identità di diversi tipi di join di identità delle macchine
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Account di servizio Azure AD
Un account di servizio Azure AD è un contenitore per archiviare l’ID applicazione e il segreto di un’entità servizio Azure AD, che dispone di autorizzazioni sufficienti per gestire i dispositivi aggiunti ad Azure AD o registrati in Microsoft Intune. MCS può utilizzare questo account di servizio per pulire automaticamente tutti i dispositivi Azure AD o Microsoft Intune obsoleti generati durante il ciclo di vita delle macchine sottoposte a provisioning.
Autorizzazioni richieste per un’entità servizio Azure AD
Le autorizzazioni richieste per un’entità servizio Azure AD utilizzata da un account di servizio dipendono dalle funzionalità abilitate per l’account di servizio.
- Per l’account di servizio con funzionalità di gestione dei dispositivi aggiunti ad Azure AD, l’entità servizio Azure AD deve disporre dell’autorizzazione
Device.ReadWrite.All
nel tenant di Azure AD. - Per l’account di servizio con funzionalità di gestione dei dispositivi registrati in Microsoft Intune, l’entità servizio Azure AD deve disporre dell’autorizzazione
DeviceManagementManagedDevices.ReadWrite.All
nel tenant di Azure AD. - Per l’account di servizio con funzionalità di gestione dei gruppi di sicurezza di Azure AD, l’entità servizio Azure AD deve disporre delle autorizzazioni
Group.ReadWrite.All
eGroupMember.ReadWrite.All
nel tenant di Azure AD.
Limitazione
Il controllo degli accessi basato sui ruoli di Azure AD non è attualmente supportato. Pertanto, assegnare le autorizzazioni di Azure AD direttamente all’entità servizio.
Creare un account di servizio Azure AD
Utilizzare Studio o PowerShell per creare un account di servizio Azure AD.
Prerequisito
Per creare un account di servizio Azure AD, assicurarsi di completare la seguente attività:
- Creare un’entità Azure AD nel tenant di Azure AD con autorizzazioni sufficienti in base alle funzionalità che si desidera abilitare per l’account di servizio.
Utilizzare Studio
- Nel riquadro DaaS, fare clic su Gestisci.
- Nel riquadro sinistro, selezionare Amministratori.
- Nella scheda Account di servizio, fare clic su Crea account di servizio.
- Nella pagina Tipo di identità, selezionare Azure Active Directory. Viene abilitata una nuova opzione per instradare il traffico.
- Selezionare la casella di controllo Instrada il traffico tramite i connettori Citrix Cloud™.
- Selezionare le zone disponibili per instradare il traffico e fare clic su Avanti.
- Nella pagina Credenziali, immettere l’ID tenant di Azure AD, l’ID applicazione e il segreto client e impostare la data di scadenza delle credenziali.
- Scegliere le funzionalità per l’account di servizio.
- Selezionare uno o più ambiti per l’account di servizio.
- Immettere un nome descrittivo e una descrizione (facoltativa) per l’account di servizio.
- Fare clic su Fine per completare la creazione.
Nota:
- La funzionalità di gestione dei dispositivi aggiunti ad Azure AD è selezionata per impostazione predefinita e non è possibile deselezionarla.
- Per utilizzare un’applicazione Azure AD multi-tenant, invitata al proprio tenant, l’ID tenant di Azure AD immesso deve essere il proprio ID tenant anziché l’ID tenant principale dell’applicazione.
Utilizzare PowerShell
In alternativa, è possibile utilizzare i comandi PowerShell per creare un account di servizio Azure AD. Ad esempio:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Azure AD tenant'
<!--NeedCopy-->
Migrare la gestione dei dispositivi aggiunti ad Azure AD all’account di servizio
In precedenza, Citrix® forniva un’opzione per abilitare la gestione dei dispositivi aggiunti ad Azure AD durante la creazione o la modifica di una connessione di hosting a Microsoft Azure Resource Manager. MCS utilizzava le autorizzazioni dell’entità servizio Azure AD (SPN di provisioning) archiviate insieme alla connessione di hosting per gestire il dispositivo aggiunto ad Azure AD obsoleto. Con gli account di servizio, è possibile utilizzare un’entità servizio Azure AD dedicata (SPN di gestione delle identità) archiviata insieme a un account di servizio per gestire i dispositivi aggiunti ad Azure AD o registrati in Microsoft Intune.
Citrix consiglia di eseguire la migrazione dalla gestione dei dispositivi basata su connessione di hosting alla gestione dei dispositivi basata su account di servizio per separare la responsabilità dell’SPN di provisioning e dell’SPN di gestione delle identità.
Per tutte le connessioni di hosting esistenti già abilitate con la gestione dei dispositivi aggiunti ad Azure AD, è possibile disabilitarla come segue:
- Da Studio, selezionare Hosting nel riquadro sinistro.
- Selezionare la connessione e quindi selezionare Modifica connessione nella barra delle azioni.
- Nella pagina Proprietà connessione, deselezionare la casella di controllo Abilita gestione dispositivi aggiunti ad Azure AD.
- Fare clic su Salva per applicare le modifiche.
Nota:
Attualmente, non è possibile abilitare la gestione dei dispositivi aggiunti ad Azure AD durante la creazione di una nuova connessione di hosting.
Instradare il traffico di gestione dei dispositivi e dei gruppi di sicurezza di Azure AD
Creare e modificare un account di servizio Azure AD per instradare il traffico di gestione dei dispositivi e dei gruppi di sicurezza di Azure AD da Delivery Controller ad Azure AD tramite Citrix Cloud Connector.
Includere la seguente proprietà personalizzata durante la creazione o la modifica di un account di servizio Azure AD:
CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}
Nota:
$ZoneUid
è l’Uid della zona (posizione della risorsa) a cui si desidera instradare il traffico di rete. Ottenere l’Uid dal comandoGet-ConfigZone
.
Ad esempio:
-
Per la creazione di un nuovo account di servizio Azure AD:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationSecret = xxxxxxxxxxxxxxx $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd> -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}' <!--NeedCopy-->
-
Per la modifica di un account di servizio Azure AD esistente:
Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}' <!--NeedCopy-->
Dove andare dopo
- Per creare cataloghi aggiunti ad Azure Active Directory, vedere Pool di identità di identità macchina aggiunta ad Azure Active Directory.
- Per gestire gli account di servizio, vedere Gestire gli account di servizio.
Condividi
Condividi
In questo articolo
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.