-
Pianificare e creare una distribuzione
-
Creare e gestire le connessioni
-
-
Account di servizio Microsoft Entra
-
-
Pool di identità di diversi tipi di join per l'identità della macchina
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Account di servizio Microsoft Entra
Un account di servizio Microsoft Entra è un contenitore per archiviare l’ID applicazione e il segreto di un’entità servizio Microsoft Entra, che dispone di autorizzazioni sufficienti per gestire i dispositivi aggiunti a Microsoft Entra o registrati in Microsoft Intune. MCS può utilizzare questo account di servizio per pulire automaticamente qualsiasi dispositivo Microsoft Entra o Microsoft Intune obsoleto generato durante il ciclo di vita delle macchine sottoposte a provisioning.
-
Autorizzazioni richieste per un’entità servizio Microsoft Entra
-
Le autorizzazioni richieste per un’entità servizio Microsoft Entra utilizzata da un account di servizio dipendono dalle funzionalità abilitate per l’account di servizio.
- Per l’account di servizio con funzionalità di gestione dei dispositivi aggiunti a Microsoft Entra, l’entità servizio Microsoft Entra deve disporre dell’autorizzazione
Device.ReadWrite.Allnel tenant Microsoft Entra. - Per l’account di servizio con funzionalità di gestione dei dispositivi registrati in Microsoft Intune, l’entità servizio Microsoft Entra deve disporre dell’autorizzazione
DeviceManagementManagedDevices.ReadWrite.Allnel tenant Microsoft Entra. - Per l’account di servizio con funzionalità di gestione dei gruppi di sicurezza Microsoft Entra, l’entità servizio Microsoft Entra deve disporre delle autorizzazioni
Group.ReadWrite.AlleGroupMember.ReadWrite.Allnel tenant Microsoft Entra.
Limitazione
Il controllo degli accessi basato sui ruoli di Microsoft Entra non è attualmente supportato. Pertanto, assegnare le autorizzazioni di Microsoft Entra direttamente all’entità servizio.
Creare un account di servizio Microsoft Entra
Utilizzare Studio o PowerShell per creare un account di servizio Microsoft Entra.
Prerequisito
Per creare un account di servizio Microsoft Entra, assicurarsi di completare l’attività seguente:
- Creare un’entità Microsoft Entra nel tenant Microsoft Entra con autorizzazioni sufficienti in base alle funzionalità che si desidera abilitare per l’account di servizio.
Utilizzare Studio
- Nel riquadro DaaS, fare clic su Gestisci.
- Nel riquadro sinistro, selezionare Amministratori.
- Nella scheda Account di servizio, fare clic su Crea account di servizio.
- Nella pagina Tipo di identità, selezionare Microsoft Entra ID. Viene abilitata una nuova opzione per instradare il traffico.
- Selezionare la casella di controllo Instrada il traffico tramite i Citrix Cloud Connector.
- Selezionare le zone disponibili per instradare il traffico e fare clic su Avanti.
- Nella pagina Credenziali, immettere l’ID tenant Microsoft Entra, l’ID applicazione e il segreto client e impostare la data di scadenza delle credenziali.
- Scegliere le funzionalità per l’account di servizio.
- Selezionare uno o più ambiti per l’account di servizio.
- Immettere un nome descrittivo e una descrizione (facoltativa) per l’account di servizio.
- Fare clic su Fine per completare la creazione.
Nota:
- La funzionalità di gestione dei dispositivi aggiunti a Microsoft Entra è selezionata per impostazione predefinita e non è possibile deselezionarla.
- Per utilizzare un’applicazione Microsoft Entra multi-tenant, invitata al proprio tenant, l’ID tenant Microsoft Entra immesso deve essere il proprio ID tenant anziché l’ID tenant principale dell’applicazione.
Utilizzare PowerShell
In alternativa, è possibile utilizzare i comandi PowerShell per creare un account di servizio Microsoft Entra. Ad esempio:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Microsoft Entra tenant'
<!--NeedCopy-->
In precedenza, Citrix® forniva un’opzione per abilitare la gestione dei dispositivi aggiunti a Microsoft Entra durante la creazione o la modifica di una connessione di hosting a Microsoft Azure Resource Manager. MCS utilizzava le autorizzazioni dell’entità servizio Microsoft Entra (SPN di provisioning) archiviate insieme alla connessione di hosting per gestire il dispositivo aggiunto a Microsoft Entra obsoleto. Con gli account di servizio, è possibile utilizzare un’entità servizio Microsoft Entra dedicata (SPN di gestione delle identità) archiviata insieme a un account di servizio per gestire i dispositivi aggiunti a Microsoft Entra o registrati in Microsoft Intune.
Citrix consiglia di migrare dalla gestione dei dispositivi basata su connessione di hosting alla gestione dei dispositivi basata su account di servizio per separare la responsabilità dell’SPN di provisioning e dell’SPN di gestione delle identità.
Per le connessioni di hosting esistenti già abilitate con la gestione dei dispositivi aggiunti a Microsoft Entra, è possibile disabilitarla come segue:
-
- Da Studio, selezionare Hosting nel riquadro sinistro.
- Selezionare la connessione e quindi selezionare Modifica connessione nella barra delle azioni.
- Nella pagina Proprietà connessione, deselezionare la casella di controllo Abilita gestione dispositivi aggiunti a Microsoft Entra.
- Fare clic su Salva per applicare le modifiche.
-
Nota:
-
Attualmente, non è possibile abilitare la gestione dei dispositivi aggiunti a Microsoft Entra durante la creazione di una nuova connessione di hosting.
Instradare il traffico di gestione dei dispositivi Microsoft Entra e di gestione dei gruppi di sicurezza
Creare e modificare un account di servizio Microsoft Entra per instradare il traffico di gestione dei dispositivi Microsoft Entra e di gestione dei gruppi di sicurezza dal Delivery Controller a Microsoft Entra ID tramite Citrix Cloud Connector.
Includere la seguente proprietà personalizzata durante la creazione o la modifica di un account di servizio Microsoft Entra:
CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}
Nota:
Il
$ZoneUidè l’Uid della zona (posizione della risorsa) a cui il traffico di rete desidera essere instradato. Ottenere l’Uid dal comandoGet-ConfigZone.
Ad esempio:
-
Per la creazione di un nuovo account di servizio Microsoft Entra:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationSecret = xxxxxxxxxxxxxxx $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd> -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}' <!--NeedCopy--> -
Per la modifica di un account di servizio Microsoft Entra esistente:
Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}' <!--NeedCopy-->
Dove andare dopo
- Per creare cataloghi aggiunti a Microsoft Entra, vedere Pool di identità dell’identità della macchina aggiunta a Microsoft Entra.
- Per gestire gli account di servizio, vedere Gestire gli account di servizio.
Condividi
Condividi
In questo articolo
- Autorizzazioni richieste per un’entità servizio Microsoft Entra
- Creare un account di servizio Microsoft Entra
- Migrare la gestione dei dispositivi aggiunti a Microsoft Entra all’account di servizio
- Instradare il traffico di gestione dei dispositivi Microsoft Entra e di gestione dei gruppi di sicurezza
- Dove andare dopo
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.