产品文档
Citrix DaaS™
查看 PDF

Microsoft Entra 服务帐户

May 4, 2026
投稿者: 
C C

Microsoft Entra 服务帐户是一个容器,用于存储 Microsoft Entra 服务主体的应用程序 ID 和密钥,该服务主体具有足够的权限来管理已加入 Microsoft Entra 或已注册 Microsoft Intune 的设备。MCS 可以使用此服务帐户自动清理在预配计算机生命周期内生成的任何陈旧 Microsoft Entra 或 Microsoft Intune 设备。

  • Microsoft Entra 服务主体所需的权限

  • 服务帐户使用的 Microsoft Entra 服务主体所需的权限取决于为该服务帐户启用的功能。

  • 对于具有 Microsoft Entra 加入设备管理功能的 服务帐户,Microsoft Entra 服务主体必须在您的 Microsoft Entra 租户中拥有 Device.ReadWrite.All 权限。
  • 对于具有 Microsoft Intune 注册设备管理功能的 服务帐户,Microsoft Entra 服务主体必须在您的 Microsoft Entra 租户中拥有 DeviceManagementManagedDevices.ReadWrite.All 权限。
  • 对于具有 Microsoft Entra 安全组管理功能的 服务帐户,Microsoft Entra 服务主体必须在您的 Microsoft Entra 租户中拥有 Group.ReadWrite.AllGroupMember.ReadWrite.All 权限。

限制

目前不支持 Microsoft Entra 基于角色的访问控制。因此,请将 Microsoft Entra 权限直接分配给服务主体。

创建 Microsoft Entra 服务帐户

使用 Studio 或 PowerShell 创建 Microsoft Entra 服务帐户。

先决条件

要创建 Microsoft Entra 服务帐户,请务必完成以下任务:

  • 在您的 Microsoft Entra 租户中创建一个 Microsoft Entra 主体,该主体具有根据您要为服务帐户启用的功能而定的足够权限。

使用 Studio

  1. DaaS 磁贴中,单击管理
  2. 在左侧窗格中,选择管理员
  3. 服务帐户选项卡中,单击创建服务帐户
  4. 身份类型页面上,选择 Microsoft Entra ID。将启用一个用于路由流量的新选项。
    1. 选中通过 Citrix Cloud Connectors 路由流量复选框。
    2. 选择可用于路由流量的区域,然后单击下一步
  5. 凭据页面上,输入 Microsoft Entra 租户 ID、应用程序 ID 和客户端密钥,并设置凭据过期日期。
  6. 选择服务帐户的功能。
  7. 为服务帐户选择一个或多个范围。
  8. 输入服务帐户的友好名称和描述(可选)。
  9. 单击完成以完成创建。

注意:

  • 默认情况下,已选择 Microsoft Entra 加入设备管理功能,您无法取消选择它。
  • 要使用已邀请到您的租户的多租户 Microsoft Entra 应用程序,您输入的 Microsoft Entra 租户 ID 必须是您自己的租户 ID,而不是应用程序的家庭租户 ID。

使用 PowerShell

或者,您可以使用 PowerShell 命令创建 Microsoft Entra 服务帐户。例如:


$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force

New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Microsoft Entra tenant'

<!--NeedCopy-->

  • 将 Microsoft Entra 加入设备管理迁移到服务帐户

以前,Citrix® 提供了在创建或编辑到 Microsoft Azure Resource Manager 的托管连接时启用 Microsoft Entra 加入设备管理的选项。MCS 使用与托管连接一起存储的 Microsoft Entra 服务主体(预配 SPN)的权限来管理陈旧的 Microsoft Entra 加入设备。通过服务帐户,您可以使用与服务帐户一起存储的专用 Microsoft Entra 服务主体(身份管理 SPN)来管理已加入 Microsoft Entra 或已注册 Microsoft Intune 的设备。

Citrix 建议从基于托管连接的设备管理迁移到基于服务帐户的设备管理,以分离预配 SPN 和身份管理 SPN 的职责。

对于已启用 Microsoft Entra 加入设备管理的任何现有托管连接,您可以按如下方式禁用它:

    1. 在 Studio 中,在左侧窗格中选择托管
  1. 选择连接,然后在操作栏中选择编辑连接
  2. 连接属性页面上,清除启用 Microsoft Entra 加入设备管理复选框。
  3. 单击保存以应用更改。

注意:

目前,在创建新的托管连接时,您无法启用 Microsoft Entra 加入设备管理。

路由 Microsoft Entra 设备管理和安全组管理流量

创建和修改 Microsoft Entra 服务帐户,以通过 Citrix Cloud Connector 将 Microsoft Entra 设备管理和安全组管理流量从 Delivery Controller 路由到 Microsoft Entra ID。

在创建或修改 Microsoft Entra 服务帐户时,请包含以下自定义属性:

CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}

注意:

$ZoneUid 是网络流量要路由到的区域(资源位置)的 Uid。从 Get-ConfigZone 命令获取 Uid。

例如:

  • 要创建新的 Microsoft Entra 服务帐户:

    
 $tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
 $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
 $applicationSecret = xxxxxxxxxxxxxxx
 $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force
 New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd>  -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}'

 <!--NeedCopy-->

  • 要修改现有的 Microsoft Entra 服务帐户:

    
 Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}'

 <!--NeedCopy-->

后续步骤

Microsoft Entra 服务帐户
May 4, 2026
投稿者: 
C C
May 4, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.