-
Planejar e criar uma implantação
-
-
Contas de serviço do Azure AD
-
Pools de identidade de diferentes tipos de ingresso de identidade de máquina
-
Migrar cargas de trabalho entre locais de recursos usando o Serviço de Portabilidade de Imagem
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Contas de serviço do Azure AD
Uma conta de serviço do Azure AD é um contêiner para armazenar a ID do aplicativo e o segredo de uma entidade de serviço do Azure AD, que tem permissões suficientes para gerenciar dispositivos ingressados no Azure AD ou registrados no Microsoft Intune. O MCS pode usar essa conta de serviço para limpar automaticamente quaisquer dispositivos obsoletos do Azure AD ou do Microsoft Intune gerados durante o ciclo de vida das máquinas provisionadas.
Permissões necessárias para uma entidade de serviço do Azure AD
As permissões necessárias para uma entidade de serviço do Azure AD usada por uma conta de serviço dependem dos recursos habilitados para a conta de serviço.
- Para a conta de serviço com capacidade de gerenciamento de dispositivos ingressados no Azure AD, a entidade de serviço do Azure AD deve ter a permissão
Device.ReadWrite.All
em seu locatário do Azure AD. - Para a conta de serviço com capacidade de gerenciamento de dispositivos registrados no Microsoft Intune, a entidade de serviço do Azure AD deve ter a permissão
DeviceManagementManagedDevices.ReadWrite.All
em seu locatário do Azure AD. - Para a conta de serviço com capacidade de gerenciamento de grupo de segurança do Azure AD, a entidade de serviço do Azure AD deve ter as permissões
Group.ReadWrite.All
eGroupMember.ReadWrite.All
em seu locatário do Azure AD.
Limitação
O controle de acesso baseado em função do Azure AD não é atualmente suportado. Portanto, atribua as permissões do Azure AD diretamente à entidade de serviço.
Criar uma conta de serviço do Azure AD
Use o Studio ou o PowerShell para criar uma conta de serviço do Azure AD.
Pré-requisito
Para criar uma conta de serviço do Azure AD, certifique-se de concluir a seguinte tarefa:
- Crie uma entidade do Azure AD em seu locatário do Azure AD com permissões suficientes com base nos recursos que você deseja habilitar para a conta de serviço.
Usar o Studio
- No bloco DaaS, clique em “Gerenciar”.
- No painel esquerdo, selecione “Administradores”.
- Na guia “Contas de Serviço”, clique em “Criar Conta de Serviço”.
- Na página “Tipo de Identidade”, selecione “Azure Active Directory”. Uma nova opção para rotear o tráfego é habilitada.
- Selecione a caixa de seleção “Roteie o tráfego por meio dos Citrix Cloud™ Connectors”.
- Selecione as zonas disponíveis para rotear o tráfego e clique em “Avançar”.
- Na página “Credenciais”, insira a ID do locatário do Azure AD, a ID do aplicativo e o segredo do cliente e defina a data de expiração da credencial.
- Escolha os recursos para a conta de serviço.
- Selecione um ou mais escopos para a conta de serviço.
- Insira um nome amigável e uma descrição (opcional) para a conta de serviço.
- Clique em “Concluir” para finalizar a criação.
Nota:
- A capacidade de gerenciamento de dispositivos ingressados no Azure AD é selecionada por padrão e não pode ser desmarcada.
- Para usar um aplicativo Azure AD multilocatário, que é convidado para o seu locatário, a ID do locatário do Azure AD que você inseriu deve ser a ID do seu próprio locatário, e não a ID do locatário inicial do aplicativo.
Usar o PowerShell
Alternativamente, você pode usar comandos do PowerShell para criar uma conta de serviço do Azure AD. Por exemplo:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Azure AD tenant'
<!--NeedCopy-->
Migrar o gerenciamento de dispositivos ingressados no Azure AD para a conta de serviço
Anteriormente, a Citrix® fornecia uma opção para habilitar o gerenciamento de dispositivos ingressados no Azure AD ao criar ou editar uma conexão de hospedagem com o Microsoft Azure Resource Manager. O MCS usava as permissões da entidade de serviço do Azure AD (SPN de provisionamento) armazenadas junto com a conexão de hospedagem para gerenciar o dispositivo obsoleto ingressado no Azure AD. Com as contas de serviço, você pode usar uma entidade de serviço do Azure AD dedicada (SPN de gerenciamento de identidade) armazenada junto com uma conta de serviço para gerenciar dispositivos ingressados no Azure AD ou registrados no Microsoft Intune.
A Citrix recomenda migrar do gerenciamento de dispositivos baseado em conexão de hospedagem para o gerenciamento de dispositivos baseado em conta de serviço para separar a responsabilidade do SPN de provisionamento e do SPN de gerenciamento de identidade.
Para quaisquer conexões de hospedagem existentes que já estejam habilitadas com o gerenciamento de dispositivos ingressados no Azure AD, você pode desabilitá-lo da seguinte forma:
- No Studio, selecione “Hospedagem” no painel esquerdo.
- Selecione a conexão e, em seguida, selecione “Editar Conexão” na barra de ações.
- Na página “Propriedades da Conexão”, desmarque a caixa de seleção “Habilitar gerenciamento de dispositivos ingressados no Azure AD”.
- Clique em “Salvar” para aplicar as alterações.
Nota:
Atualmente, você não pode habilitar o gerenciamento de dispositivos ingressados no Azure AD ao criar uma nova conexão de hospedagem.
Roteie o gerenciamento de dispositivos do Azure AD e o tráfego de gerenciamento de grupo de segurança
Crie e modifique uma conta de serviço do Azure AD para rotear o gerenciamento de dispositivos do Azure AD e o tráfego de gerenciamento de grupo de segurança do Delivery Controller para o Azure AD por meio do Citrix Cloud Connector.
Inclua a seguinte propriedade personalizada ao criar ou modificar uma conta de serviço do Azure AD:
CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}
Nota:
O
$ZoneUid
é o Uid da zona (local do recurso) para a qual o tráfego de rede deve ser roteado. Obtenha o Uid do comandoGet-ConfigZone
.
Por exemplo:
-
Para criar uma nova conta de serviço do Azure AD:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationSecret = xxxxxxxxxxxxxxx $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd> -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}' <!--NeedCopy-->
-
Para modificar uma conta de serviço do Azure AD existente:
Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}' <!--NeedCopy-->
Onde ir em seguida
- Para criar catálogos ingressados no Azure Active Directory, consulte Pool de identidade de identidade de máquina ingressada no Azure Active Directory.
- Para gerenciar contas de serviço, consulte Gerenciar contas de serviço.
Compartilhar
Compartilhar
Neste artigo
- Permissões necessárias para uma entidade de serviço do Azure AD
- Criar uma conta de serviço do Azure AD
- Migrar o gerenciamento de dispositivos ingressados no Azure AD para a conta de serviço
- Roteie o gerenciamento de dispositivos do Azure AD e o tráfego de gerenciamento de grupo de segurança
- Onde ir em seguida
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.