-
Planejar e criar uma implantação
-
-
Contas de serviço do Microsoft Entra
-
-
Pools de identidade de diferentes tipos de junção de identidade de máquina
-
Migrar cargas de trabalho entre locais de recursos usando o Serviço de Portabilidade de Imagens
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Contas de serviço do Microsoft Entra
Uma conta de serviço do Microsoft Entra é um contêiner para armazenar o ID do aplicativo e o segredo de uma entidade de serviço do Microsoft Entra, que possui permissões suficientes para gerenciar dispositivos ingressados no Microsoft Entra ou registrados no Microsoft Intune. O MCS pode usar essa conta de serviço para limpar automaticamente quaisquer dispositivos obsoletos do Microsoft Entra ou do Microsoft Intune gerados durante o ciclo de vida das máquinas provisionadas.
-
Permissões necessárias para uma entidade de serviço do Microsoft Entra
-
As permissões necessárias para uma entidade de serviço do Microsoft Entra usada por uma conta de serviço dependem dos recursos habilitados para a conta de serviço.
- Para a conta de serviço com o recurso de gerenciamento de dispositivos ingressados no Microsoft Entra, a entidade de serviço do Microsoft Entra deve ter a permissão
Device.ReadWrite.Allem seu locatário do Microsoft Entra. - Para a conta de serviço com o recurso de gerenciamento de dispositivos registrados no Microsoft Intune, a entidade de serviço do Microsoft Entra deve ter a permissão
DeviceManagementManagedDevices.ReadWrite.Allem seu locatário do Microsoft Entra. - Para a conta de serviço com o recurso de gerenciamento de grupo de segurança do Microsoft Entra, a entidade de serviço do Microsoft Entra deve ter as permissões
Group.ReadWrite.AlleGroupMember.ReadWrite.Allem seu locatário do Microsoft Entra.
Limitação
O controle de acesso baseado em função do Microsoft Entra não é atualmente suportado. Portanto, atribua as permissões do Microsoft Entra diretamente à entidade de serviço.
Criar uma conta de serviço do Microsoft Entra
Use o Studio ou o PowerShell para criar uma conta de serviço do Microsoft Entra.
Pré-requisito
Para criar uma conta de serviço do Microsoft Entra, certifique-se de concluir a seguinte tarefa:
- Crie uma entidade de serviço do Microsoft Entra em seu locatário do Microsoft Entra com permissões suficientes com base nos recursos que você deseja habilitar para a conta de serviço.
Usar o Studio
- No bloco DaaS, clique em “Gerenciar”.
- No painel esquerdo, selecione “Administradores”.
- Na guia “Contas de Serviço”, clique em “Criar Conta de Serviço”.
- Na página “Tipo de Identidade”, selecione “Microsoft Entra ID”. Uma nova opção para rotear o tráfego é habilitada.
- Selecione a caixa de seleção “Roteie o tráfego por meio dos Citrix Cloud Connectors”.
- Selecione as zonas disponíveis para rotear o tráfego e clique em “Avançar”.
- Na página “Credenciais”, insira o ID do locatário do Microsoft Entra, o ID do aplicativo e o segredo do cliente e defina a data de expiração da credencial.
- Escolha os recursos para a conta de serviço.
- Selecione um ou mais escopos para a conta de serviço.
- Insira um nome amigável e uma descrição (opcional) para a conta de serviço.
- Clique em “Concluir” para finalizar a criação.
Observação:
- O recurso de gerenciamento de dispositivos ingressados no Microsoft Entra é selecionado por padrão e você não pode desmarcá-lo.
- Para usar um aplicativo Microsoft Entra multilocatário, que é convidado para o seu locatário, o ID do locatário do Microsoft Entra que você inseriu deve ser o ID do seu próprio locatário, e não o ID do locatário de origem do aplicativo.
Usar o PowerShell
Alternativamente, você pode usar comandos do PowerShell para criar uma conta de serviço do Microsoft Entra. Por exemplo:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Microsoft Entra tenant'
<!--NeedCopy-->
## Migrar o gerenciamento de dispositivos ingressados no Microsoft Entra para a conta de serviço
Anteriormente, a Citrix® fornecia uma opção para habilitar o gerenciamento de dispositivos ingressados no Microsoft Entra ao criar ou editar uma conexão de hospedagem com o Microsoft Azure Resource Manager. O MCS usava as permissões da entidade de serviço do Microsoft Entra (SPN de provisionamento) armazenadas junto com a conexão de hospedagem para gerenciar o dispositivo obsoleto ingressado no Microsoft Entra. Com as contas de serviço, você pode usar uma entidade de serviço do Microsoft Entra dedicada (SPN de gerenciamento de identidade) armazenada junto com uma conta de serviço para gerenciar dispositivos ingressados no Microsoft Entra ou registrados no Microsoft Intune.
A Citrix recomenda migrar do gerenciamento de dispositivos baseado em conexão de hospedagem para o gerenciamento de dispositivos baseado em conta de serviço para separar a responsabilidade do SPN de provisionamento e do SPN de gerenciamento de identidade.
Para quaisquer conexões de hospedagem existentes que já estejam habilitadas com o gerenciamento de dispositivos ingressados no Microsoft Entra, você pode desabilitá-lo da seguinte forma:
-
- No Studio, selecione “Hospedagem” no painel esquerdo.
- Selecione a conexão e, em seguida, selecione “Editar Conexão” na barra de ações.
- Na página “Propriedades da Conexão”, desmarque a caixa de seleção “Habilitar gerenciamento de dispositivos ingressados no Microsoft Entra”.
- Clique em “Salvar” para aplicar as alterações.
-
Observação:
-
Atualmente, você não pode habilitar o gerenciamento de dispositivos ingressados no Microsoft Entra ao criar uma nova conexão de hospedagem.
Roteie o gerenciamento de dispositivos do Microsoft Entra e o tráfego de gerenciamento de grupo de segurança
Crie e modifique uma conta de serviço do Microsoft Entra para rotear o gerenciamento de dispositivos do Microsoft Entra e o tráfego de gerenciamento de grupo de segurança do Delivery Controller para o Microsoft Entra ID por meio do Citrix Cloud Connector.
Inclua a seguinte propriedade personalizada ao criar ou modificar uma conta de serviço do Microsoft Entra:
CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}
Observação:
O
$ZoneUidé o Uid da zona (local do recurso) para a qual o tráfego de rede deve ser roteado. Obtenha o Uid do comandoGet-ConfigZone.
Por exemplo:
-
Para criar uma nova conta de serviço do Microsoft Entra:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx $applicationSecret = xxxxxxxxxxxxxxx $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd> -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}' <!--NeedCopy-->Para modificar uma conta de serviço do Microsoft Entra existente:
Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}' <!--NeedCopy-->
Próximos passos
- Para criar catálogos ingressados no Microsoft Entra, consulte Pool de identidades de identidade de máquina ingressada no Microsoft Entra.
- Para gerenciar contas de serviço, consulte Gerenciar contas de serviço.
Compartilhar
Compartilhar
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.