Creare cataloghi aggiunti ad Azure Active Directory
In questo articolo viene descritto come creare cataloghi aggiunti ad Azure Active Directory (AD) utilizzando Citrix DaaS.
Per informazioni su requisiti, limitazioni e considerazioni, vedere Macchine aggiunte ad Azure Active Directory.
Prima di creare il catalogo di macchina, è necessario quanto segue:
- Nuova posizione risorsa
- Accedere all’interfaccia utente di amministrazione di Citrix Cloud > menu hamburger in alto a sinistra > Resource Locations (Posizioni risorsa).
- Fare clic su + Resource Location (+ Posizione risorsa).
- Immettere un nome per la nuova posizione risorsa e fare clic su Save (Salva).
- Creare una connessione host. Per i dettagli, vedere la sezione Creare e gestire connessioni. Quando si distribuiscono macchine in Azure, vedere Connettersi ad Azure Resource Manager.
È possibile creare cataloghi aggiunti ad Azure AD utilizzando l’interfaccia Full Configuration (Configurazione completa) o PowerShell.
Utilizzare l’interfaccia Full Configuration
Le seguenti informazioni sono un’aggiunta alle linee guida della sezione Creare cataloghi delle macchine. Per creare cataloghi aggiunti ad Azure AD, seguire le linee guida generali in quell’articolo, tenendo conto dei dettagli specifici dei cataloghi aggiunti ad Azure AD.
Nella procedura guidata per la creazione del catalogo:
- Nella pagina Master Image (Immagine master):
- Selezionare 2106 o successivo come livello funzionale.
- Selezionare Use a machine profile (Usa un profilo macchina) e selezionare il computer appropriato dall’elenco.
-
Nella pagina Machine Identities (Identità macchine), selezionare Azure Active Directory joined (Aggiunta ad Azure Active Directory). Le macchine create sono di proprietà di un’organizzazione e sono connesse con un account Azure AD appartenente a tale organizzazione. Esistono solo nel cloud.
Nota:
- Il tipo di identità Azure Active Directory joined (Aggiunta ad Azure Active Directory) richiede la versione 2106 o successiva come livello di funzionalità minimo per il catalogo.
- Le macchine vengono aggiunte al dominio Azure AD associato al tenant a cui è associata la connessione di hosting.
- Agli utenti deve essere concesso l’accesso esplicito in Azure per accedere alle macchine utilizzando le proprie credenziali AAD. Vedere la sezione Azure Active Directory joined per maggiori dettagli.
Utilizzare PowerShell
Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni nell’interfaccia Full Configuration (Configurazione completa). Per informazioni su come creare un catalogo utilizzando l’SDK di Remote PowerShell, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.
La differenza tra i cataloghi aggiunti ad AD on-premise e quelli aggiunti ad Azure AD sta nella creazione del pool di identità e dello schema di provisioning.
Per creare un pool di identità per i cataloghi aggiunti ad Azure AD:
New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Per creare uno schema di provisioning per i cataloghi aggiunti ad Azure AD, il parametro MachineProfile è richiesto in New-ProvScheme:
New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->
Tutti gli altri comandi utilizzati per creare cataloghi aggiunti ad Azure AD sono gli stessi dei tradizionali cataloghi aggiunti ad AD on-premise.
Visualizzare lo stato del processo di join di Azure AD
Nell’interfaccia Full Configuration (Configurazione completa), lo stato del processo di join di Azure AD è visibile quando le macchine aggiunte ad Azure AD in un gruppo di consegna sono in uno stato di accensione. Per visualizzare lo stato, utilizzare Search (Cerca) per identificare tali macchine e quindi per ogni controllo Machine Identity (Identità macchina) nella scheda Details (Dettagli) nel riquadro inferiore. In Machine Identity (Identità macchina) possono essere visualizzate le seguenti informazioni:
- Aggiunte ad Azure AD
- Not yet joined to Azure AD (Non ancora aggiunta ad Azure AD)
Nota:
Se le macchine non si trovano nello stato Azure AD joined (Aggiunta ad Azure AD), non vengono registrate con il Delivery Controller. Il loro stato di registrazione viene visualizzato come Initialization (Inizializzazione).
Inoltre, utilizzando l’interfaccia Full Configuration (Configurazione completa), è possibile scoprire perché le macchine non sono disponibili. A tale scopo, fare clic su una macchina nel nodo Search (Cerca), selezionare Registration (Registrazione) nella scheda Details (Dettagli) nel riquadro inferiore, quindi leggere la descrizione comando per ulteriori informazioni.
Gruppo di consegna
Per i dettagli, vedere la sezione Creare gruppi di consegna.
Abilitare Rendezvous
Una volta creato il gruppo di consegna, è possibile abilitare Rendezvous. Per i dettagli, vedere Rendezvous V2.
Risoluzione dei problemi
Se l’aggiunta delle macchine ad Azure AD non va a buon fine, procedere come segue:
-
Controllare se l’identità gestita assegnata al sistema è abilitata per le macchine. Le macchine di cui è stato eseguito il provisioning con MCS devono avere questa opzione abilitata automaticamente. Il processo di aggiunta ad Azure AD fallisce senza che al sistema venga assegnata un’identità gestita. Se l’identità gestita assegnata al sistema non è abilitata per le macchine di cui è stato eseguito il provisioning con MCS, il motivo possibile è:
-
IdentityTypedel pool di identità associato allo schema di provisioning non è impostato suAzureAD. È possibile verificarlo eseguendoGet-AcctIdentityPool.
-
-
Controllare lo stato di provisioning dell’estensione AADLoginForWindows per le macchine. MCS fa affidamento su questa estensione per aggiungere una macchina virtuale ad Azure AD. Se l’estensione AADLoginForWindows non esiste, i possibili motivi sono:
-
IdentityTypedel pool di identità associato allo schema di provisioning non è impostato suAzureAD. È possibile verificarlo eseguendoGet-AcctIdentityPool. -
L’installazione dell’estensione AADLoginForWindows è bloccata dalla politica di Azure.
-
-
Per risolvere gli errori di assegnazione dell’estensione AADLoginForWindows, è possibile controllare i registri in
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowsnella macchina di cui è stato eseguito il provisioning con MCS. -
Controllare lo stato di accesso e i registri di debug di Azure AD eseguendo il comando
dsregcmd /status /debugsulla macchina di cui è stato eseguito il provisioning con MCS. -
Controllare i registri degli eventi di Windows in Registri applicazioni e servizi > Microsoft > Windows > User Device Registration (Registrazione del dispositivo utente).