Citrix DaaS™

Contas de serviço do Azure AD

Uma conta de serviço do Azure AD é um contêiner para armazenar a ID do aplicativo e o segredo de uma entidade de serviço do Azure AD, que tem permissões suficientes para gerenciar dispositivos ingressados no Azure AD ou registrados no Microsoft Intune. O MCS pode usar essa conta de serviço para limpar automaticamente quaisquer dispositivos obsoletos do Azure AD ou do Microsoft Intune gerados durante o ciclo de vida das máquinas provisionadas.

Permissões necessárias para uma entidade de serviço do Azure AD

As permissões necessárias para uma entidade de serviço do Azure AD usada por uma conta de serviço dependem dos recursos habilitados para a conta de serviço.

  • Para a conta de serviço com capacidade de gerenciamento de dispositivos ingressados no Azure AD, a entidade de serviço do Azure AD deve ter a permissão Device.ReadWrite.All em seu locatário do Azure AD.
  • Para a conta de serviço com capacidade de gerenciamento de dispositivos registrados no Microsoft Intune, a entidade de serviço do Azure AD deve ter a permissão DeviceManagementManagedDevices.ReadWrite.All em seu locatário do Azure AD.
  • Para a conta de serviço com capacidade de gerenciamento de grupo de segurança do Azure AD, a entidade de serviço do Azure AD deve ter as permissões Group.ReadWrite.All e GroupMember.ReadWrite.All em seu locatário do Azure AD.

Limitação

O controle de acesso baseado em função do Azure AD não é atualmente suportado. Portanto, atribua as permissões do Azure AD diretamente à entidade de serviço.

Criar uma conta de serviço do Azure AD

Use o Studio ou o PowerShell para criar uma conta de serviço do Azure AD.

Pré-requisito

Para criar uma conta de serviço do Azure AD, certifique-se de concluir a seguinte tarefa:

  • Crie uma entidade do Azure AD em seu locatário do Azure AD com permissões suficientes com base nos recursos que você deseja habilitar para a conta de serviço.

Usar o Studio

  1. No bloco DaaS, clique em “Gerenciar”.
  2. No painel esquerdo, selecione “Administradores”.
  3. Na guia “Contas de Serviço”, clique em “Criar Conta de Serviço”.
  4. Na página “Tipo de Identidade”, selecione “Azure Active Directory”. Uma nova opção para rotear o tráfego é habilitada.
    1. Selecione a caixa de seleção “Roteie o tráfego por meio dos Citrix Cloud™ Connectors”.
    2. Selecione as zonas disponíveis para rotear o tráfego e clique em “Avançar”.
  5. Na página “Credenciais”, insira a ID do locatário do Azure AD, a ID do aplicativo e o segredo do cliente e defina a data de expiração da credencial.
  6. Escolha os recursos para a conta de serviço.
  7. Selecione um ou mais escopos para a conta de serviço.
  8. Insira um nome amigável e uma descrição (opcional) para a conta de serviço.
  9. Clique em “Concluir” para finalizar a criação.

Nota:

  • A capacidade de gerenciamento de dispositivos ingressados no Azure AD é selecionada por padrão e não pode ser desmarcada.
  • Para usar um aplicativo Azure AD multilocatário, que é convidado para o seu locatário, a ID do locatário do Azure AD que você inseriu deve ser a ID do seu próprio locatário, e não a ID do locatário inicial do aplicativo.

Usar o PowerShell

Alternativamente, você pode usar comandos do PowerShell para criar uma conta de serviço do Azure AD. Por exemplo:

$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force

New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Azure AD tenant'
<!--NeedCopy-->

Migrar o gerenciamento de dispositivos ingressados no Azure AD para a conta de serviço

Anteriormente, a Citrix® fornecia uma opção para habilitar o gerenciamento de dispositivos ingressados no Azure AD ao criar ou editar uma conexão de hospedagem com o Microsoft Azure Resource Manager. O MCS usava as permissões da entidade de serviço do Azure AD (SPN de provisionamento) armazenadas junto com a conexão de hospedagem para gerenciar o dispositivo obsoleto ingressado no Azure AD. Com as contas de serviço, você pode usar uma entidade de serviço do Azure AD dedicada (SPN de gerenciamento de identidade) armazenada junto com uma conta de serviço para gerenciar dispositivos ingressados no Azure AD ou registrados no Microsoft Intune.

A Citrix recomenda migrar do gerenciamento de dispositivos baseado em conexão de hospedagem para o gerenciamento de dispositivos baseado em conta de serviço para separar a responsabilidade do SPN de provisionamento e do SPN de gerenciamento de identidade.

Para quaisquer conexões de hospedagem existentes que já estejam habilitadas com o gerenciamento de dispositivos ingressados no Azure AD, você pode desabilitá-lo da seguinte forma:

  1. No Studio, selecione “Hospedagem” no painel esquerdo.
  2. Selecione a conexão e, em seguida, selecione “Editar Conexão” na barra de ações.
  3. Na página “Propriedades da Conexão”, desmarque a caixa de seleção “Habilitar gerenciamento de dispositivos ingressados no Azure AD”.
  4. Clique em “Salvar” para aplicar as alterações.

Nota:

Atualmente, você não pode habilitar o gerenciamento de dispositivos ingressados no Azure AD ao criar uma nova conexão de hospedagem.

Roteie o gerenciamento de dispositivos do Azure AD e o tráfego de gerenciamento de grupo de segurança

Crie e modifique uma conta de serviço do Azure AD para rotear o gerenciamento de dispositivos do Azure AD e o tráfego de gerenciamento de grupo de segurança do Delivery Controller para o Azure AD por meio do Citrix Cloud Connector.

Inclua a seguinte propriedade personalizada ao criar ou modificar uma conta de serviço do Azure AD:

CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}

Nota:

O $ZoneUid é o Uid da zona (local do recurso) para a qual o tráfego de rede deve ser roteado. Obtenha o Uid do comando Get-ConfigZone.

Por exemplo:

  • Para criar uma nova conta de serviço do Azure AD:

     $tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
     $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
     $applicationSecret = xxxxxxxxxxxxxxx
     $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force
     New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd>  -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}'
     <!--NeedCopy-->
    
  • Para modificar uma conta de serviço do Azure AD existente:

     Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}'
     <!--NeedCopy-->
    

Onde ir em seguida

Contas de serviço do Azure AD