Documentação de produtos
Citrix DaaS
Ver PDF

Criar catálogos ingressados no Azure Active Directory

December 21, 2022
Contribuição de: 
C

Este artigo descreve como criar catálogos ingressados do Azure Active Directory (AD) usando o Citrix DaaS.

Para obter informações sobre requisitos, limitações e considerações, consulte Ingressado no Azure Active Directory.

Antes de criar o catálogo de máquinas, você precisa do seguinte:

  1. Novo local de recursos
    • Navegue até a interface de usuário do administrador do Citrix Cloud > menu de hambúrguer superior esquerdo > Resource Locations.
    • Clique em + Resource Location.
    • Insira um nome para o novo local do recurso e clique em Save.
  2. Criar uma conexão de hospedagem. Consulte a seção Criar e gerenciar conexões para obter detalhes. Ao implantar máquinas no Azure, consulte Conexão com o Azure Resource Manager.

Você pode criar catálogos ingressados no Azure AD usando a interface Full Configuration ou o PowerShell.

Usar a interface Full Configuration

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas. Para criar catálogos ingressados no Azure AD, siga as orientações gerais nesse artigo, considerando os detalhes específicos dos catálogos ingressados no Azure AD.

No assistente de criação de catálogo:

  1. Na página Master Image:
    • Selecione 2106 (ou posterior) como o nível funcional.
    • Selecione Use a machine profile e selecione a máquina apropriada na lista.

  2. Na página Machine Identities, selecione Azure Active Directory joined. As máquinas criadas pertencem a uma organização e estão conectadas a uma conta do Azure AD que pertence a essa organização. Elas existem apenas na nuvem.

    Nota:

    • O tipo de identidade Azure Active Directory joined requer a versão 2106 ou posterior como o nível funcional mínimo para o catálogo.
    • As máquinas são ingressadas no Azure AD associado com o locatário ao qual a conexão de hospedagem está vinculada.
  3. Os usuários devem receber acesso explícito no Azure para fazer login nas máquinas usando suas credenciais AAD. Consulte a seção Azure Active Directory ingressado para obter mais detalhes.

Usar o PowerShell

A seguir estão as etapas do PowerShell equivalentes às operações em Full Configuration. Para obter informações sobre como criar um catálogo usando o Remote PowerShell SDK, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

A diferença entre os catálogos ingressados no AD local e os ingressados no Azure AD está na criação do pool de identidades e do esquema de provisionamento.

Para criar um pool de identidades para catálogos ingressados no Azure AD:

New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Para criar um esquema de provisionamento para catálogos ingressados no Azure AD, o parâmetro MachineProfile é necessário em New-ProvScheme:

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Todos os outros comandos usados para criar catálogos ingressados no Azure AD são os mesmos dos tradicionais catálogos ingressados no AD local.

Exibir o status do processo de ingresso no Azure AD

Na interface Full Configuration, o status do processo de ingresso do Azure AD é visível quando as máquinas ingressadas no Azure AD em um grupo de entrega estão em um estado ligado. Para exibir o status, use Search para identificar as máquinas e depois a guia Details, no painel inferior, para cada Machine Identity. As informações a seguir podem aparecer em Machine Identity:

  • Ingressado no Azure AD
  • Not yet joined to Azure AD

Nota:

Se as máquinas não estiverem no estado ingressado no Azure AD, elas não serão registradas no Delivery Controller. O status de registro delas aparece como Initialization.

Além disso, usando a interface Full Configuration, você pode descobrir por que as máquinas não estão disponíveis. Para isso, clique em uma máquina no nó Search, selecione Registration na guia Details no painel inferior e leia a dica de ferramenta para obter informações adicionais.

Grupo de entrega

Consulte a seção Criar grupos de entrega para obter detalhes.

Habilitar Rendezvous

Depois que o grupo de entrega for criado, você pode habilitar o Rendezvous. Consulte Rendezvous V2 para obter detalhes.

Solução de problemas

Se as máquinas não conseguirem ingressar no Azure AD, faça o seguinte:

  • Verifique se a identidade gerenciada atribuída ao sistema está habilitada para as máquinas. As máquinas provisionadas pelo MCS devem ter essa opção ativada automaticamente. O processo de ingresso do Azure AD falha sem a identidade gerenciada atribuída ao sistema. Se a identidade gerenciada atribuída ao sistema não estiver ativada para as máquinas provisionadas pelo MCS, o motivo pode ser:

    • IdentityType do pool de identidades associado ao esquema de provisionamento não está definido como AzureAD. Você pode verificar isso executando Get-AcctIdentityPool.

  • Verifique o status de provisionamento da extensão AADLoginForWindows das máquinas. O MCS depende dessa extensão para ingressar uma máquina virtual no Azure AD. Se a extensão AADLoginForWindows não existir, os motivos podem ser:

    • IdentityType do pool de identidades associado ao esquema de provisionamento não está definido como AzureAD. Você pode verificar isso executando Get-AcctIdentityPool.

    • A instalação da extensão AADLoginForWindows está bloqueada pela política do Azure.

  • Para solucionar falhas de provisionamento de extensões AADLoginForWindows, você pode verificar os logs em C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows na máquina provisionada pelo MCS.

  • Verifique o status de ingresso e os logs de depuração do Azure AD executando o comando dsregcmd /status /debug na máquina provisionada pelo MCS.

  • Verifique os logs de eventos do Windows em Logs de Aplicativos e Serviços > Microsoft > Windows > Registro de dispositivo de usuário.

Criar catálogos ingressados no Azure Active Directory
December 21, 2022
Contribuição de: 
C
December 21, 2022
Contribuição de: 
C

Neste artigo

Feedback do site | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento
© 1999- Cloud Software Group, Inc. All rights reserved.