Citrix DaaS™

Account di servizio Azure AD

Un account di servizio Azure AD è un contenitore per archiviare l’ID applicazione e il segreto di un’entità servizio Azure AD, che dispone di autorizzazioni sufficienti per gestire i dispositivi aggiunti ad Azure AD o registrati in Microsoft Intune. MCS può utilizzare questo account di servizio per pulire automaticamente tutti i dispositivi Azure AD o Microsoft Intune obsoleti generati durante il ciclo di vita delle macchine sottoposte a provisioning.

Autorizzazioni richieste per un’entità servizio Azure AD

Le autorizzazioni richieste per un’entità servizio Azure AD utilizzata da un account di servizio dipendono dalle funzionalità abilitate per l’account di servizio.

  • Per l’account di servizio con funzionalità di gestione dei dispositivi aggiunti ad Azure AD, l’entità servizio Azure AD deve disporre dell’autorizzazione Device.ReadWrite.All nel tenant di Azure AD.
  • Per l’account di servizio con funzionalità di gestione dei dispositivi registrati in Microsoft Intune, l’entità servizio Azure AD deve disporre dell’autorizzazione DeviceManagementManagedDevices.ReadWrite.All nel tenant di Azure AD.
  • Per l’account di servizio con funzionalità di gestione dei gruppi di sicurezza di Azure AD, l’entità servizio Azure AD deve disporre delle autorizzazioni Group.ReadWrite.All e GroupMember.ReadWrite.All nel tenant di Azure AD.

Limitazione

Il controllo degli accessi basato sui ruoli di Azure AD non è attualmente supportato. Pertanto, assegnare le autorizzazioni di Azure AD direttamente all’entità servizio.

Creare un account di servizio Azure AD

Utilizzare Studio o PowerShell per creare un account di servizio Azure AD.

Prerequisito

Per creare un account di servizio Azure AD, assicurarsi di completare la seguente attività:

  • Creare un’entità Azure AD nel tenant di Azure AD con autorizzazioni sufficienti in base alle funzionalità che si desidera abilitare per l’account di servizio.

Utilizzare Studio

  1. Nel riquadro DaaS, fare clic su Gestisci.
  2. Nel riquadro sinistro, selezionare Amministratori.
  3. Nella scheda Account di servizio, fare clic su Crea account di servizio.
  4. Nella pagina Tipo di identità, selezionare Azure Active Directory. Viene abilitata una nuova opzione per instradare il traffico.
    1. Selezionare la casella di controllo Instrada il traffico tramite i connettori Citrix Cloud™.
    2. Selezionare le zone disponibili per instradare il traffico e fare clic su Avanti.
  5. Nella pagina Credenziali, immettere l’ID tenant di Azure AD, l’ID applicazione e il segreto client e impostare la data di scadenza delle credenziali.
  6. Scegliere le funzionalità per l’account di servizio.
  7. Selezionare uno o più ambiti per l’account di servizio.
  8. Immettere un nome descrittivo e una descrizione (facoltativa) per l’account di servizio.
  9. Fare clic su Fine per completare la creazione.

Nota:

  • La funzionalità di gestione dei dispositivi aggiunti ad Azure AD è selezionata per impostazione predefinita e non è possibile deselezionarla.
  • Per utilizzare un’applicazione Azure AD multi-tenant, invitata al proprio tenant, l’ID tenant di Azure AD immesso deve essere il proprio ID tenant anziché l’ID tenant principale dell’applicazione.

Utilizzare PowerShell

In alternativa, è possibile utilizzare i comandi PowerShell per creare un account di servizio Azure AD. Ad esempio:

$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force

New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Azure AD tenant'
<!--NeedCopy-->

Migrare la gestione dei dispositivi aggiunti ad Azure AD all’account di servizio

In precedenza, Citrix® forniva un’opzione per abilitare la gestione dei dispositivi aggiunti ad Azure AD durante la creazione o la modifica di una connessione di hosting a Microsoft Azure Resource Manager. MCS utilizzava le autorizzazioni dell’entità servizio Azure AD (SPN di provisioning) archiviate insieme alla connessione di hosting per gestire il dispositivo aggiunto ad Azure AD obsoleto. Con gli account di servizio, è possibile utilizzare un’entità servizio Azure AD dedicata (SPN di gestione delle identità) archiviata insieme a un account di servizio per gestire i dispositivi aggiunti ad Azure AD o registrati in Microsoft Intune.

Citrix consiglia di eseguire la migrazione dalla gestione dei dispositivi basata su connessione di hosting alla gestione dei dispositivi basata su account di servizio per separare la responsabilità dell’SPN di provisioning e dell’SPN di gestione delle identità.

Per tutte le connessioni di hosting esistenti già abilitate con la gestione dei dispositivi aggiunti ad Azure AD, è possibile disabilitarla come segue:

  1. Da Studio, selezionare Hosting nel riquadro sinistro.
  2. Selezionare la connessione e quindi selezionare Modifica connessione nella barra delle azioni.
  3. Nella pagina Proprietà connessione, deselezionare la casella di controllo Abilita gestione dispositivi aggiunti ad Azure AD.
  4. Fare clic su Salva per applicare le modifiche.

Nota:

Attualmente, non è possibile abilitare la gestione dei dispositivi aggiunti ad Azure AD durante la creazione di una nuova connessione di hosting.

Instradare il traffico di gestione dei dispositivi e dei gruppi di sicurezza di Azure AD

Creare e modificare un account di servizio Azure AD per instradare il traffico di gestione dei dispositivi e dei gruppi di sicurezza di Azure AD da Delivery Controller ad Azure AD tramite Citrix Cloud Connector.

Includere la seguente proprietà personalizzata durante la creazione o la modifica di un account di servizio Azure AD:

CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}

Nota:

$ZoneUid è l’Uid della zona (posizione della risorsa) a cui si desidera instradare il traffico di rete. Ottenere l’Uid dal comando Get-ConfigZone.

Ad esempio:

  • Per la creazione di un nuovo account di servizio Azure AD:

     $tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
     $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
     $applicationSecret = xxxxxxxxxxxxxxx
     $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force
     New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd>  -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}'
     <!--NeedCopy-->
    
  • Per la modifica di un account di servizio Azure AD esistente:

     Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}'
     <!--NeedCopy-->
    

Dove andare dopo

Account di servizio Azure AD