Environnements cloud Microsoft Azure Resource Manager

Suivez les instructions de cet article lorsque vous utilisez Microsoft Azure Resource Manager pour provisionner des machines virtuelles dans votre déploiement Citrix Virtual Apps and Desktops™.

Nous supposons que vous êtes familiarisé avec les éléments suivants :

• Azure Active Directory : https://docs.microsoft.com/en-in/azure/active-directory/fundamentals/active-directory-whatis/
• Cadre de consentement : https://docs.microsoft.com/fr-fr/azure/active-directory/manage-apps/plan-an-application-integration
• Principal de service : https://docs.microsoft.com/fr-fr/azure/active-directory/develop/app-objects-and-service-principals/

Provisionnement à la demande Azure

Avec le provisionnement à la demande Azure, les machines virtuelles sont créées uniquement lorsque Citrix Virtual Apps and Desktops initie une action de mise sous tension, une fois le provisionnement terminé.

Lorsque vous utilisez MCS pour créer des catalogues de machines dans Azure Resource Manager, la fonctionnalité de provisionnement à la demande Azure :

• Réduit vos coûts de stockage
• Permet une création de catalogue plus rapide

Lorsque vous créez un catalogue MCS, le portail Azure affiche le groupe de sécurité réseau, les interfaces réseau, les images de base et les disques d’identité dans les groupes de ressources.

Le portail Azure n’affiche pas de machine virtuelle tant que Citrix Virtual Apps and Desktops n’a pas initié une action de mise sous tension pour celle-ci. Il existe deux types de machines avec les différences suivantes :

• Pour une machine en pool, le disque du système d’exploitation et le cache en écriture différée n’existent que lorsque la machine virtuelle existe. Lorsque vous arrêtez une machine en pool dans la console, la machine virtuelle n’est pas visible dans le portail Azure. Il y a une économie significative sur les coûts de stockage si vous arrêtez régulièrement les machines (par exemple, en dehors des heures de travail).
• Pour une machine dédiée, le disque du système d’exploitation est créé la première fois que la machine virtuelle est mise sous tension. La machine virtuelle dans le portail Azure reste en stockage jusqu’à ce que l’identité de la machine soit supprimée. Lorsque vous arrêtez une machine dédiée dans la console, la machine virtuelle est toujours visible dans le portail Azure.

Connexion à Azure Resource Manager

Connexions et ressources décrit les assistants qui créent une connexion. Les informations suivantes couvrent les détails spécifiques aux connexions Azure Resource Manager.

Considérations :

• Citrix® recommande d’utiliser un principal de service avec le rôle de contributeur. Cependant, consultez la section Autorisations minimales pour obtenir la liste des autorisations minimales.
• Lors de la création de la première connexion, Azure vous invite à lui accorder les autorisations nécessaires. Pour les connexions futures, vous devrez toujours vous authentifier, mais Azure se souviendra de votre consentement précédent et n’affichera plus l’invite.
• Les comptes utilisés pour l’authentification doivent disposer des autorisations nécessaires pour attribuer des rôles dans l’abonnement à l’aide d’Azure RBAC. Par exemple, Owner, Role Based Access Control Administrator ou User Access Administrator de l’abonnement.
• Le compte utilisé pour l’authentification doit être membre du répertoire de l’abonnement. Il existe deux types de comptes à connaître : « Work or School » et « compte Microsoft personnel ». Consultez CTX219211 pour plus de détails.

• Bien que vous puissiez utiliser un compte Microsoft existant en l’ajoutant en tant que membre du répertoire de l’abonnement, des complications peuvent survenir si l’utilisateur a déjà bénéficié d’un accès invité à l’une des ressources du répertoire. Dans ce cas, il pourrait avoir une entrée d’espace réservé dans le répertoire qui ne lui accorde pas les autorisations nécessaires, et une erreur est renvoyée.

  Corrigez cela en supprimant les ressources du répertoire et en les rajoutant explicitement. Cependant, utilisez cette option avec prudence, car elle peut avoir des effets indésirables sur d’autres ressources auxquelles ce compte peut accéder.

• Il existe un problème connu où certains comptes sont détectés comme invités du répertoire alors qu’ils en sont en fait membres. Des configurations comme celle-ci se produisent généralement avec des comptes de répertoire plus anciens et établis. Solution de contournement : ajoutez un compte au répertoire, ce qui prend la valeur d’appartenance appropriée.
• Les groupes de ressources sont simplement des conteneurs pour les ressources, et ils peuvent contenir des ressources provenant de régions autres que leur propre région. Cela peut potentiellement prêter à confusion si vous vous attendez à ce que les ressources affichées dans la région d’un groupe de ressources soient disponibles.
• Assurez-vous que votre réseau et votre sous-réseau sont suffisamment grands pour héberger le nombre de machines dont vous avez besoin. Cela demande une certaine anticipation, mais Microsoft vous aide à spécifier les bonnes valeurs, avec des conseils sur la capacité de l’espace d’adressage.

Vous pouvez établir une connexion d’hôte à Azure de deux manières :

• Authentifiez-vous auprès d’Azure pour créer un principal de service.
• Utilisez les détails d’un principal de service créé précédemment pour vous connecter à Azure.

Créer un principal de service

Important :

Cette fonctionnalité n’est pas encore disponible pour les abonnements Azure Chine et Azure Allemagne.

Avant de commencer, authentifiez-vous auprès d’Azure. Assurez-vous que :

• Vous disposez d’un compte utilisateur dans le locataire Azure Active Directory de votre abonnement.
• Les comptes utilisés pour l’authentification doivent disposer des autorisations nécessaires pour attribuer des rôles dans l’abonnement à l’aide d’Azure RBAC. Par exemple, Propriétaire, Administrateur du contrôle d’accès basé sur les rôles ou Administrateur de l’accès utilisateur de l’abonnement.
• Vous disposez des autorisations d’administrateur global, d’administrateur d’application ou de développeur d’application pour l’authentification. Ces autorisations peuvent être révoquées après la création de la connexion d’hôte. Pour plus d’informations sur les rôles, consultez Rôles intégrés Azure AD.

Lorsque vous vous authentifiez auprès d’Azure pour créer un principal de service, une application est enregistrée dans Azure. Une clé secrète (secret client) est créée pour l’application enregistrée. L’application enregistrée utilise le secret client pour s’authentifier auprès d’Azure AD. Assurez-vous de modifier le secret client avant son expiration. Vous recevez une alerte sur la console avant l’expiration de la clé secrète.

Pour vous authentifier auprès d’Azure afin de créer un principal de service, suivez les étapes suivantes dans l’assistant Ajouter une connexion et des ressources :

1. Sur la page Connexion, sélectionnez Créer une nouvelle connexion, le type de connexion Microsoft Azure et votre environnement Azure.

2. Sélectionnez les outils à utiliser pour créer les machines virtuelles, puis sélectionnez Suivant.

3. Sur la page Détails de la connexion, entrez votre ID d’abonnement Azure et un nom pour la connexion. Une fois l’ID d’abonnement entré, le bouton Créer nouveau est activé.

   Remarque :

   Le nom de la connexion peut contenir 1 à 64 caractères et ne peut pas contenir uniquement des espaces vides ni les caractères \/;:#.*?=<>|[]{}"'()'.

4. Sélectionnez Créer nouveau, puis entrez le nom d’utilisateur et le mot de passe du compte Azure Active Directory.
5. Sélectionnez Se connecter.
6. Sélectionnez Accepter pour accorder à Citrix Virtual Apps and Desktops les autorisations répertoriées. Citrix Virtual Apps and Desktops crée un principal de service qui lui permet de gérer les ressources Azure au nom de l’utilisateur spécifié.

7. Après avoir sélectionné Accepter, vous revenez à la page Connexion de l’assistant.

   Remarque :

   Après vous être authentifié avec succès auprès d’Azure, les boutons Créer nouveau et Utiliser existant disparaissent. Le texte Connexion réussie apparaît, avec une coche verte, indiquant la connexion réussie à votre abonnement Azure.

8. Sur la page Détails de la connexion, sélectionnez Suivant.

   Remarque :

   Vous ne pouvez pas passer à la page suivante tant que vous ne vous êtes pas authentifié avec succès auprès d’Azure et que vous n’avez pas consenti à accorder les autorisations requises.

9. Configurez les ressources pour la connexion. Les ressources comprennent la région et le réseau.

   • Sur la page Région, sélectionnez une région.
   • Sur la page Réseau, effectuez les opérations suivantes :
     • Saisissez un nom de ressource de 1 à 64 caractères pour aider à identifier la combinaison région et réseau. Un nom de ressource ne peut pas contenir uniquement des espaces vides ni les caractères \/;:#.*?=<>|[]{}"'()'.
     • Sélectionnez une paire réseau virtuel/groupe de ressources. (Si vous avez plusieurs réseaux virtuels portant le même nom, l’association du nom du réseau au groupe de ressources fournit des combinaisons uniques.) Si la région que vous avez sélectionnée sur la page précédente ne contient aucun réseau virtuel, revenez à cette page et sélectionnez une région qui en contient.
10. Sur la page Résumé, affichez un résumé des paramètres et sélectionnez Terminer pour finaliser votre configuration.

Utiliser les détails d’un principal de service créé précédemment pour se connecter à Azure

Pour créer un principal de service manuellement, connectez-vous à votre abonnement Azure Resource Manager et utilisez les cmdlets PowerShell fournies dans les sections suivantes.

Conditions préalables :

• SubscriptionId : SubscriptionID de l’abonnement Azure Resource Manager où vous souhaitez provisionner des VDA.
• ActiveDirectoryID : ID de locataire de l’application que vous avez enregistrée auprès d’Azure AD.
• ApplicationName : Nom de l’application à créer dans Azure AD.

Pour créer un principal de service :

1. Connectez-vous à votre abonnement Azure Resource Manager.

   Connect-AzAccount

2. Sélectionnez l’abonnement Azure Resource Manager dans lequel vous souhaitez créer le principal de service.

   Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

3. Créez l’application dans votre locataire AD.

   $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

4. Créez un principal de service.

   New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

5. Attribuez un rôle au principal de service.

   New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

6. Dans la fenêtre de sortie de la console PowerShell, notez l’ApplicationId. Vous fournissez cet ID lors de la création de la connexion d’hôte.

Dans l’assistant Ajouter une connexion et des ressources :

1. Sur la page Connexion, sélectionnez Créer une nouvelle connexion, le type de connexion Microsoft Azure et votre environnement Azure.

2. Sélectionnez les outils à utiliser pour créer les machines virtuelles, puis sélectionnez Suivant.

3. Sur la page Détails de la connexion, entrez votre ID d’abonnement Azure et un nom pour la connexion.

   Remarque :

   Le nom de la connexion peut contenir de 1 à 64 caractères et ne peut pas contenir uniquement des espaces vides ni les caractères \/;:#.*?=<>|[]{}"'()'.

4. Sélectionnez Utiliser l’existant. Dans la fenêtre Détails du principal de service existant, entrez les paramètres suivants pour le principal de service existant. Après avoir entré les détails, le bouton Enregistrer est activé. Sélectionnez Enregistrer. Vous ne pouvez pas passer à la page suivante tant que vous n’avez pas fourni de détails valides.

   • ID d’abonnement. Entrez votre ID d’abonnement Azure. Pour obtenir votre ID d’abonnement, connectez-vous au portail Azure et accédez à Abonnements > Vue d’ensemble.
   • ID Active Directory (ID de locataire). Entrez l’ID de répertoire (locataire) de l’application que vous avez enregistrée auprès d’Azure AD.
   • ID d’application. Entrez l’ID d’application (client) de l’application que vous avez enregistrée auprès d’Azure AD.
   • Secret d’application. Créez une clé secrète (secret client). L’application enregistrée utilise la clé pour s’authentifier auprès d’Azure AD. Nous vous recommandons de changer les clés régulièrement à des fins de sécurité. Assurez-vous de sauvegarder la clé car vous ne pourrez pas la récupérer ultérieurement.

   • Date d’expiration du secret. Entrez la date après laquelle le secret d’application expire. Vous recevez une alerte sur la console avant l’expiration de la clé secrète. Cependant, si la clé secrète expire, vous recevez des erreurs.

     Remarque :

     Pour des raisons de sécurité, la période d’expiration ne peut pas dépasser deux ans à compter de maintenant.

   • URL d’authentification. Ce champ est automatiquement renseigné et n’est pas modifiable.
   • URL de gestion. Ce champ est automatiquement renseigné et n’est pas modifiable.

   • Suffixe de stockage. Ce champ est automatiquement renseigné et n’est pas modifiable.

     L’accès aux points de terminaison suivants est requis pour créer un catalogue MCS dans Azure. L’accès à ces points de terminaison optimise la connectivité entre votre réseau et le portail Azure et ses services.

     • URL d’authentification : https://login.microsoftonline.com/
     • URL de gestion : https://management.azure.com/. Il s’agit d’une URL de requête pour les API du fournisseur Azure Resource Manager. Le point de terminaison pour la gestion dépend de l’environnement. Par exemple, pour Azure Global, il s’agit de https://management.azure.com/, et pour Azure US Government, il s’agit de https://management.usgovcloudapi.net/.
     • Suffixe de stockage : https://*.core.windows.net./. Ce (*) est un caractère générique pour le suffixe de stockage. Par exemple, https://demo.table.core.windows.net/.

5. Après avoir sélectionné Enregistrer, vous revenez à la page Détails de la connexion. Sélectionnez Suivant pour passer à la page suivante.

6. Configurez les ressources pour la connexion. Les ressources comprennent la région et le réseau.

   • Sur la page Région, sélectionnez une région.
   • Sur la page Réseau, effectuez les opérations suivantes :
     • Saisissez un nom de ressource de 1 à 64 caractères pour aider à identifier la combinaison région et réseau. Un nom de ressource ne peut pas contenir uniquement des espaces vides ni les caractères \/;:#.*?=<>|[]{}"'()'.
     • Sélectionnez une paire réseau virtuel/groupe de ressources. (Si vous avez plusieurs réseaux virtuels portant le même nom, l’association du nom du réseau au groupe de ressources fournit des combinaisons uniques.) Si la région que vous avez sélectionnée sur la page précédente ne contient aucun réseau virtuel, revenez à cette page et sélectionnez une région qui contient des réseaux virtuels.

7. Sur la page Résumé, affichez un résumé des paramètres et sélectionnez Terminer pour finaliser votre configuration.

Créer un catalogue de machines à l’aide d’une image Azure Resource Manager

Une image peut être un disque, un instantané ou une version d’image d’une définition d’image dans Azure Compute Gallery, utilisée pour créer les machines virtuelles dans un catalogue de machines. Pour des informations générales sur les images, consultez Créer des catalogues de machines.

Limitation Azure

Azure Resource Manager limite les requêtes pour les abonnements et les locataires, en acheminant le trafic en fonction de limites définies, adaptées aux besoins spécifiques du fournisseur. Consultez Limitation des requêtes Resource Manager sur le site Microsoft pour plus d’informations. Des limites existent pour les abonnements et les locataires, où la gestion de nombreuses machines peut devenir problématique. Par exemple, un abonnement contenant de nombreuses machines peut rencontrer des problèmes de performances liés aux opérations d’alimentation.

Conseil :

Pour plus d’informations, consultez Amélioration des performances Azure avec Machine Creation Services.

Pour aider à atténuer ces problèmes, vous pouvez supprimer la limitation interne de MCS afin d’utiliser davantage le quota de requêtes disponible d’Azure.

Nous recommandons les paramètres optimaux suivants lors de la mise sous tension ou hors tension de machines virtuelles dans de grands abonnements, par exemple, ceux contenant 1 000 machines virtuelles :

• Opérations simultanées absolues : 500
• Nombre maximal de nouvelles opérations par minute : 2000
• Concurrence maximale des opérations : 500

MCS prend en charge 500 opérations concurrentes maximales par défaut. Vous pouvez également utiliser le SDK PowerShell distant pour définir le nombre maximal d’opérations concurrentes.

Utilisez la propriété PowerShell, MaximumConcurrentProvisioningOperations, pour spécifier le nombre maximal d’opérations de provisionnement Azure concurrentes. Lors de l’utilisation de cette propriété, tenez compte des éléments suivants :

• La valeur par défaut de MaximumConcurrentProvisioningOperations est 500.
• Configurez le paramètre MaximumConcurrentProvisioningOperations à l’aide de la commande PowerShell Set-item.

Groupes de ressources Azure

Les groupes de ressources de provisionnement Azure permettent de provisionner les machines virtuelles qui fournissent des applications et des bureaux aux utilisateurs. Vous pouvez ajouter des groupes de ressources Azure vides existants lors de la création d’un catalogue de machines MCS, ou en faire créer de nouveaux pour vous. Pour plus d’informations sur les groupes de ressources Azure, consultez la documentation Microsoft.

Utilisation des groupes de ressources Azure

Il n’y a aucune limite sur le nombre de machines virtuelles, de disques gérés, d’instantanés et d’images par groupe de ressources Azure. (La limite de 240 machines virtuelles pour 800 disques gérés par groupe de ressources Azure a été supprimée.)

• Lors de l’utilisation d’un principal de service à portée complète pour créer un catalogue de machines, MCS ne crée qu’un seul groupe de ressources Azure et utilise ce groupe pour le catalogue.
• Lors de l’utilisation d’un principal de service à portée limitée pour créer un catalogue de machines, vous devez fournir un groupe de ressources Azure vide et pré-créé pour le catalogue.

Disques éphémères Azure

Un disque éphémère Azure vous permet de réaffecter le disque de cache ou le disque temporaire pour stocker le disque du système d’exploitation d’une machine virtuelle compatible Azure. Cette fonctionnalité est utile pour les environnements Azure qui nécessitent un disque SSD plus performant qu’un disque HDD standard. Pour utiliser des disques éphémères, vous devez définir la propriété personnalisée UseEphemeralOsDisk sur true lors de l’exécution de New-ProvScheme.

Remarque :

Si la propriété personnalisée UseEphemeralOsDisk est définie sur false ou si aucune valeur n’est spécifiée, tous les VDA provisionnés continuent d’utiliser un disque de système d’exploitation provisionné.

Voici un exemple d’ensemble de propriétés personnalisées à utiliser dans le schéma de provisionnement :

"CustomProperties": [
            {
                "Name": "UseManagedDisks",
                "Value": "true"
            },
            {
                "Name": "StorageType",
                "Value": "Standard_LRS"
            },
            {
                "Name": "UseSharedImageGallery",
                "Value": "true"
            },
            {
                "Name": "SharedImageGalleryReplicaRatio",
                "Value": "40"
            },
            {
                "Name": "SharedImageGalleryReplicaMaximum",
                "Value": "10"
            },
            {
                "Name": "LicenseType",
                "Value": "Windows_Server"
            },
            {
                "Name": "UseEphemeralOsDisk",
                "Value": "true"
            }
        ],
<!--NeedCopy-->

Comment créer des machines à l’aide de disques de système d’exploitation éphémères

Les disques de système d’exploitation éphémères sont contrôlés en fonction de la propriété UseEphemeralOsDisk dans le paramètre CustomProperties.

Considérations importantes concernant les disques éphémères

Pour provisionner des disques de système d’exploitation éphémères à l’aide de New-ProvScheme, tenez compte des contraintes suivantes :

• La taille de la VM utilisée pour le catalogue doit prendre en charge les disques de système d’exploitation éphémères.
• La taille du disque de cache ou temporaire associé à la taille de la VM doit être supérieure ou égale à la taille du disque de système d’exploitation.
• La taille du disque temporaire doit être supérieure à la taille du disque de cache.

Tenez également compte de ces problèmes lors de :

• La création du schéma de provisionnement.
• La modification du schéma de provisionnement.
• La mise à jour de l’image.

Disque éphémère Azure et optimisation du stockage Machine Creation Services (MCS) (MCS I/O)

Le disque de système d’exploitation éphémère Azure et MCS I/O ne peuvent pas être activés simultanément.

Les considérations importantes sont les suivantes :

• Vous ne pouvez pas créer un catalogue de machines avec le disque de système d’exploitation éphémère et MCS I/O activés simultanément.

• Les paramètres PowerShell (UseWriteBackCache et UseEphemeralOsDisk) définis sur true dans New-ProvScheme ou Set-ProvScheme échouent avec un message d’erreur approprié.
• Pour les catalogues de machines existants créés avec les deux fonctionnalités activées, vous pouvez toujours :
  • mettre à jour un catalogue de machines.
  • ajouter ou supprimer des VM.
  • supprimer un catalogue de machines.

Chiffrement côté serveur Azure

Citrix Virtual Apps and Desktops et Citrix DaaS prend en charge les clés de chiffrement gérées par le client pour les disques gérés Azure via Azure Key Vault. Grâce à cette prise en charge, vous pouvez gérer vos exigences organisationnelles et de conformité en chiffrant les disques gérés de votre catalogue de machines à l’aide de votre propre clé de chiffrement. Pour plus d’informations, consultez Chiffrement côté serveur du stockage sur disque Azure.

Lorsque vous utilisez cette fonctionnalité pour les disques gérés :

• Pour modifier la clé avec laquelle le disque est chiffré, vous modifiez la clé actuelle dans le DiskEncryptionSet. Toutes les ressources associées à ce DiskEncryptionSet sont chiffrées avec la nouvelle clé.

• Lorsque vous désactivez ou supprimez votre clé, toutes les machines virtuelles dont les disques utilisent cette clé s’arrêtent automatiquement. Après l’arrêt, les machines virtuelles ne sont pas utilisables à moins que la clé ne soit réactivée ou que vous n’attribuiez une nouvelle clé. Tout catalogue utilisant la clé ne peut pas être mis sous tension, et vous ne pouvez pas y ajouter de machines virtuelles.

Considérations importantes lors de l’utilisation de clés de chiffrement gérées par le client

Tenez compte des éléments suivants lorsque vous utilisez cette fonctionnalité :

• Toutes les ressources liées à vos clés gérées par le client (coffres de clés Azure, ensembles de chiffrement de disque, machines virtuelles, disques et instantanés) doivent résider dans le même abonnement et la même région.

• Une fois que vous avez activé la clé de chiffrement gérée par le client, vous ne pouvez plus la désactiver ultérieurement. Si vous souhaitez désactiver ou supprimer la clé de chiffrement gérée par le client, copiez toutes les données sur un autre disque géré qui n’utilise pas la clé de chiffrement gérée par le client.

• Les disques créés à partir d’images personnalisées chiffrées à l’aide du chiffrement côté serveur et de clés gérées par le client doivent être chiffrés à l’aide des mêmes clés gérées par le client. Ces disques doivent se trouver dans le même abonnement.

• Les instantanés créés à partir de disques chiffrés avec le chiffrement côté serveur et des clés gérées par le client doivent être chiffrés avec les mêmes clés gérées par le client.

• Les disques, instantanés et images chiffrés avec des clés gérées par le client ne peuvent pas être déplacés vers un autre groupe de ressources et abonnement.

• Les disques gérés actuellement ou précédemment chiffrés à l’aide d’Azure Disk Encryption ne peuvent pas être chiffrés à l’aide de clés gérées par le client.

• Reportez-vous au site Microsoft pour connaître les limitations des ensembles de chiffrement de disque par région.

Remarque :

Consultez Démarrage rapide : Créer un coffre de clés à l’aide du portail Azure pour plus d’informations sur la configuration du chiffrement côté serveur Azure.

Clé de chiffrement gérée par le client Azure

Lors de la création d’un catalogue de machines, vous pouvez choisir de chiffrer ou non les données sur les machines provisionnées dans le catalogue. Le chiffrement côté serveur avec une clé de chiffrement gérée par le client vous permet de gérer le chiffrement au niveau du disque géré et de protéger les données sur les machines du catalogue. Un ensemble de chiffrement de disque (DES) représente une clé gérée par le client. Pour utiliser cette fonctionnalité, vous devez d’abord créer votre DES dans Azure. Un DES se présente sous le format suivant :

• /subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

Sélectionnez un DES dans la liste. Le DES que vous sélectionnez doit se trouver dans le même abonnement et la même région que vos ressources. Si votre image est chiffrée avec un DES, utilisez le même DES lors de la création du catalogue de machines. Vous ne pouvez pas modifier le DES après avoir créé le catalogue.

Si vous créez un catalogue avec une clé de chiffrement et que vous désactivez ultérieurement le DES correspondant dans Azure, vous ne pouvez plus démarrer les machines du catalogue ni y ajouter de machines.

Hôtes dédiés Azure

Vous pouvez utiliser MCS pour provisionner des machines virtuelles sur des hôtes dédiés Azure. Avant de provisionner des machines virtuelles sur des hôtes dédiés Azure :

• Créez un groupe d’hôtes.
• Créez des hôtes dans ce groupe d’hôtes.
• Assurez-vous qu’une capacité d’hôte suffisante est réservée pour la création de catalogues et de machines virtuelles.

Vous pouvez créer un catalogue de machines avec une location d’hôte définie via le script PowerShell suivant :

New-ProvScheme <otherParameters> -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <Property xsi:type="StringProperty" Name="HostGroupId" Value="myResourceGroup/myHostGroup" />
 ...other Custom Properties...
 </CustomProperties>
<!--NeedCopy-->

Lorsque vous utilisez MCS pour provisionner des machines virtuelles sur des hôtes dédiés Azure, tenez compte des éléments suivants :

• Un hôte dédié est une propriété de catalogue et ne peut pas être modifiée une fois le catalogue créé. La location dédiée n’est actuellement pas prise en charge sur Azure.
• Un groupe d’hôtes Azure préconfiguré, dans la région de l’unité d’hébergement, est requis lors de l’utilisation du paramètre HostGroupId.
• Le placement automatique Azure est requis. Cette fonctionnalité envoie une demande d’intégration de l’abonnement associé au groupe d’hôtes. Pour plus d’informations, consultez VM Scale Set on Azure Dedicated Hosts - Public Preview. Si le placement automatique n’est pas activé, MCS génère une erreur lors de la création du catalogue.

Galerie d’images partagées Azure

Utilisez la galerie d’images partagées Azure comme référentiel d’images publiées pour les machines provisionnées par MCS dans Azure. Vous pouvez stocker une image publiée dans la galerie pour accélérer la création et l’hydratation des disques de système d’exploitation, améliorant ainsi les temps de démarrage et de lancement des applications pour les machines virtuelles non persistantes. La galerie d’images partagées contient les trois éléments suivants :

• Galerie : les images y sont stockées. MCS crée une galerie pour chaque catalogue de machines.
• Définition d’image de galerie : cette définition inclut des informations (type et état du système d’exploitation, région Azure) sur l’image publiée. MCS crée une définition d’image pour chaque image créée pour le catalogue.
• Version d’image de galerie : chaque image d’une galerie d’images partagées peut avoir plusieurs versions, et chaque version peut avoir plusieurs réplicas dans différentes régions. Chaque réplica est une copie complète de l’image publiée.

Remarque :

La fonctionnalité de galerie d’images partagées ne fonctionne qu’avec les disques gérés. Elle n’est pas disponible pour les catalogues de machines hérités.

Pour plus d’informations, consultez Présentation de la galerie d’images partagées Azure.

Configurer la galerie d’images partagées

Utilisez la commande New-ProvScheme pour créer un schéma de provisionnement avec prise en charge de la galerie d’images partagées. Utilisez la commande Set-ProvScheme pour activer ou désactiver cette fonctionnalité pour un schéma de provisionnement et pour modifier le rapport de réplication et les valeurs maximales de réplication.

Trois propriétés personnalisées ont été ajoutées aux schémas de provisionnement pour prendre en charge la fonctionnalité de galerie d’images partagées :

UseSharedImageGallery

• Définit si la galerie d’images partagées doit être utilisée pour stocker les images publiées. Si la valeur est True, l’image est stockée en tant qu’image de galerie d’images partagées, sinon l’image est stockée en tant qu’instantané.
• Les valeurs valides sont True et False.
• Si la propriété n’est pas définie, la valeur par défaut est False.

SharedImageGalleryReplicaRatio

• Définit le rapport entre les machines et les réplicas de version d’image de galerie.
• Les valeurs valides sont des nombres entiers supérieurs à 0.
• Si la propriété n’est pas définie, les valeurs par défaut sont utilisées. La valeur par défaut pour les disques de système d’exploitation persistants est 1000 et la valeur par défaut pour les disques de système d’exploitation non persistants est 40.

SharedImageGalleryReplicaMaximum

• Définit le nombre maximal de réplicas pour chaque version d’image de galerie.
• Les valeurs valides sont des nombres entiers supérieurs à 0.
• Si la propriété n’est pas définie, la valeur par défaut est 10.
• Azure prend actuellement en charge jusqu’à 10 réplicas pour une version unique d’image de galerie. Si la propriété est définie sur une valeur supérieure à celle prise en charge par Azure, MCS tente d’utiliser la valeur spécifiée. Azure génère une erreur, que MCS enregistre, puis laisse le nombre de réplicas actuel inchangé.

Conseil :

Lorsque vous utilisez Shared Image Gallery pour stocker une image publiée pour les catalogues provisionnés par MCS, MCS définit le nombre de réplicas de version d’image de galerie en fonction du nombre de machines dans le catalogue, du rapport de réplicas et du nombre maximal de réplicas. Le nombre de réplicas est calculé en divisant le nombre de machines du catalogue par le rapport de réplicas (arrondi à l’entier le plus proche), puis en plafonnant la valeur au nombre maximal de réplicas. Par exemple, avec un rapport de réplicas de 20 et un maximum de 5, 0 à 20 machines ont un réplica créé, 21 à 40 ont 2 réplicas, 41 à 60 ont 3 réplicas, 61 à 80 ont 4 réplicas, 81+ ont 5 réplicas.

Cas d’utilisation : Mise à jour du rapport de réplicas et du nombre maximal de réplicas de Shared Image Gallery

Le catalogue de machines existant utilise Shared Image Gallery. Utilisez la commande Set-ProvScheme pour mettre à jour les propriétés personnalisées de toutes les machines existantes du catalogue et de toutes les machines futures :

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Cas d’utilisation : Conversion d’un catalogue d’instantanés en catalogue de Shared Image Gallery

Pour ce cas d’utilisation :

1. Exécutez Set-ProvScheme avec l’indicateur UseSharedImageGallery défini sur True. Incluez éventuellement les propriétés SharedImageGalleryReplicaRatio et SharedImageGalleryReplicaMaximum.
2. Mettez à jour le catalogue.
3. Redémarrez les machines pour forcer une mise à jour.

Par exemple :

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Conseil :

Les paramètres SharedImageGalleryReplicaRatio et SharedImageGalleryReplicaMaximum ne sont pas requis. Une fois la commande Set-ProvScheme terminée, l’image de Shared Image Gallery n’a pas encore été créée. Une fois le catalogue configuré pour utiliser la galerie, la prochaine opération de mise à jour du catalogue stocke l’image publiée dans la galerie. La commande de mise à jour du catalogue crée la galerie, l’image de la galerie et la version de l’image. Le redémarrage des machines les met à jour, à quel point le nombre de réplicas est mis à jour, le cas échéant. À partir de ce moment, toutes les machines non persistantes existantes sont réinitialisées à l’aide de l’image de Shared Image Gallery et toutes les machines nouvellement provisionnées sont créées à l’aide de l’image. L’ancien instantané est nettoyé automatiquement en quelques heures.

Cas d’utilisation : Conversion d’un catalogue de Shared Image Gallery en catalogue d’instantanés

Pour ce cas d’utilisation :

1. Exécutez Set-ProvScheme avec l’indicateur UseSharedImageGallery défini sur False ou non défini.
2. Mettez à jour le catalogue.
3. Redémarrez les machines pour forcer une mise à jour.

Par exemple :

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="False"/></CustomProperties>'
<!--NeedCopy-->

Conseil :

Contrairement à la mise à jour d’un instantané vers un catalogue de Shared Image Gallery, les données personnalisées de chaque machine ne sont pas encore mises à jour pour refléter les nouvelles propriétés personnalisées. Exécutez la commande suivante pour afficher les propriétés personnalisées d’origine de Shared Image Gallery : Get-ProvVm -ProvisioningSchemeName catalog-name. Une fois la commande Set-ProvScheme terminée, l’instantané de l’image n’a pas encore été créé. Une fois le catalogue configuré pour ne pas utiliser la galerie, la prochaine opération de mise à jour du catalogue stocke l’image publiée sous forme d’instantané. À partir de ce moment, toutes les machines non persistantes existantes sont réinitialisées à l’aide de l’instantané et toutes les machines nouvellement provisionnées sont créées à partir de l’instantané. Le redémarrage des machines les met à jour, et à ce moment-là, les données personnalisées de la machine sont mises à jour pour refléter que UseSharedImageGallery est défini sur False. Les anciens actifs de Shared Image Gallery (galerie, image et version) sont automatiquement nettoyés en quelques heures.

Provisionner des machines dans des zones de disponibilité spécifiées

Vous pouvez provisionner des machines dans des zones de disponibilité spécifiques dans les environnements Azure. Vous pouvez y parvenir à l’aide de PowerShell.

Remarque :

Si aucune zone n’est spécifiée, MCS permet à Azure de placer les machines dans la région. Si plusieurs zones sont spécifiées, MCS distribue aléatoirement les machines entre elles.

Configuration des zones de disponibilité via PowerShell

À l’aide de PowerShell, vous pouvez afficher les éléments d’inventaire d’offres en utilisant Get-Item. Par exemple, pour afficher l’offre de service Standard_B1ls de la région Est des États-Unis :

$serviceOffering = Get-Item -path "XDHyp:\Connections\my-connection-name\East US.region\serviceoffering.folder\Standard_B1ls.serviceoffering"
<!--NeedCopy-->

Pour afficher les zones, utilisez le paramètre AdditionalData pour l’élément :

$serviceOffering.AdditionalData

Si les zones de disponibilité ne sont pas spécifiées, il n’y a aucun changement dans la façon dont les machines sont provisionnées.

Pour configurer les zones de disponibilité via PowerShell, utilisez la propriété personnalisée Zones disponible avec l’opération New-ProvScheme. La propriété Zones définit une liste de zones de disponibilité dans lesquelles provisionner des machines. Ces zones peuvent inclure une ou plusieurs zones de disponibilité. Par exemple, <Property xsi:type="StringProperty" Name="Zones" Value="1, 3"/> pour les zones 1 et 3.

Utilisez la commande Set-ProvScheme pour mettre à jour les zones d’un schéma de provisionnement.

Si une zone non valide est fournie, le schéma de provisionnement n’est pas mis à jour et un message d’erreur s’affiche, fournissant des instructions sur la façon de corriger la commande non valide.

Conseil :

Si vous spécifiez une propriété personnalisée non valide, le schéma de provisionnement n’est pas mis à jour et un message d’erreur pertinent s’affiche.

Disque éphémère Azure

Les disques éphémères Azure vous permettent de réaffecter le cache ou le disque temporaire pour stocker le disque du système d’exploitation d’une machine virtuelle compatible Azure. Cette fonctionnalité est utile pour les environnements Azure qui nécessitent un disque SSD plus performant qu’un disque HDD standard.

Remarque :

Les catalogues persistants ne prennent pas en charge les disques de système d’exploitation éphémères.

Les disques de système d’exploitation éphémères exigent que votre schéma de provisionnement utilise des disques gérés et une galerie d’images partagées. Pour plus d’informations, consultez Galerie d’images partagées Azure.

Utilisation de PowerShell pour configurer un disque éphémère

Pour configurer un disque de système d’exploitation éphémère Azure pour un catalogue, utilisez le paramètre UseEphemeralOsDisk dans Set-ProvScheme. Définissez la valeur du paramètre UseEphemeralOsDisk sur true.

Remarque :

Pour utiliser cette fonctionnalité, vous devez également activer les paramètres UseManagedDisks et UseSharedImageGallery.

Par exemple :

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="true" />
<Property xsi:type="StringProperty" Name="UseEphemeralOsDisk" Value="true" />
</CustomProperties>'
<!--NeedCopy-->

Stockage d’un disque temporaire de système d’exploitation éphémère

Vous avez la possibilité de stocker un disque de système d’exploitation éphémère sur le disque temporaire de la machine virtuelle ou sur un disque de ressources. Cette fonctionnalité vous permet d’utiliser un disque de système d’exploitation éphémère avec une machine virtuelle qui n’a pas de cache, ou dont le cache est insuffisant. Ces machines virtuelles disposent d’un disque temporaire ou d’un disque de ressources pour stocker un disque de système d’exploitation éphémère, tel que Ddv4.

Considérez les points suivants :

• Un disque éphémère est stocké soit dans le disque de cache de la machine virtuelle, soit dans le disque temporaire (de ressources) de la machine virtuelle. Le disque de cache est préféré au disque temporaire, sauf si le disque de cache n’est pas suffisamment grand pour contenir le contenu du disque du système d’exploitation.
• Pour les mises à jour, une nouvelle image plus grande que le disque de cache mais plus petite que le disque temporaire entraîne le remplacement du disque de système d’exploitation éphémère par le disque temporaire de la machine virtuelle.

Conserver une machine virtuelle provisionnée lors du redémarrage

Choisissez de conserver ou non une machine virtuelle provisionnée lors du redémarrage. Utilisez le paramètre PowerShell New-ProvScheme CustomProperties. Ce paramètre prend en charge une propriété supplémentaire, PersistVm, utilisée pour déterminer si une machine virtuelle provisionnée persiste lors du redémarrage. Définissez la propriété PersistVm sur true pour qu’une machine virtuelle persiste lorsqu’elle est éteinte, ou définissez la propriété sur false pour vous assurer que la machine virtuelle n’est pas conservée lorsqu’elle est éteinte.

Remarque :

La propriété PersistVm s’applique uniquement à un schéma de provisionnement avec les propriétés CleanOnBoot et UseWriteBackCache activées. Si la propriété PersistVm n’est pas spécifiée pour les machines virtuelles non persistantes, elles sont supprimées de l’environnement Azure lorsqu’elles sont éteintes.

Dans l’exemple suivant, le paramètre New-ProvScheme CustomProperties définit la propriété PersistVm sur true :

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="false" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
<Property xsi:type="StringProperty" Name="PersistVm" Value="true" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="demo-resourcegroup" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>
<!--NeedCopy-->

Dans l’exemple suivant, le paramètre New-ProvScheme CustomProperties préserve le cache en écriture différée en définissant PersistVM sur true :

 New-ProvScheme
 -AzureAdJoinType "None"
 -CleanOnBoot
 -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"Standard_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"false`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"PersistVm`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"demo-resourcegroup`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Client`" /></CustomProperties>"
 -HostingUnitName "demo"
 -IdentityPoolName "NonPersistent-MCSIO-PersistVM"
 -MasterImageVM "XDHyp:\HostingUnits\demo\image.folder\scale-test.resourcegroup\demo-snapshot.snapshot"
 -NetworkMapping @ {"0"="XDHyp:\HostingUnits\demo\\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\ji-test.resourcegroup\jitest-vnet.virtualprivatecloud\default.network"}
-ProvisioningSchemeName "NonPersistent-MCSIO-PersistVM"
 -ServiceOffering "XDHyp:\HostingUnits\demo\serviceoffering.folder\Standard_B2ms.serviceoffering" -UseWriteBackCache
 -WriteBackCacheDiskSize 127
 -WriteBackCacheMemorySize 256
 <!--NeedCopy-->

Conseil :

La propriété PersistVm détermine s’il faut conserver une machine virtuelle provisionnée. La propriété PersistOsdisk détermine s’il faut rendre le disque du système d’exploitation persistant. Pour conserver une machine virtuelle provisionnée, conservez d’abord le disque du système d’exploitation. Vous ne pouvez pas supprimer le disque du système d’exploitation sans avoir d’abord supprimé la machine virtuelle. Vous pouvez utiliser la propriété PersistOsdisk sans spécifier le paramètre PersistVm.

Types de stockage

Sélectionnez différents types de stockage pour les machines virtuelles dans les environnements Azure qui utilisent MCS. Pour les machines virtuelles cibles, MCS prend en charge :

• Disque du système d’exploitation : SSD Premium, SSD ou HDD
• Disque de cache en écriture différée : SSD Premium, SSD ou HDD

Lorsque vous utilisez ces types de stockage, tenez compte des éléments suivants :

• Assurez-vous que votre machine virtuelle prend en charge le type de stockage sélectionné.
• Si votre configuration utilise un disque éphémère Azure, l’option de paramétrage du disque de cache en écriture différée n’est pas disponible.

Conseil :

StorageType est configuré pour un type de système d’exploitation et un compte de stockage. WBCDiskStorageType est configuré pour le type de stockage de cache en écriture différée. Pour un catalogue normal, StorageType est requis. Si WBCDiskStorageType n’est pas configuré, StorageType est utilisé par défaut pour WBCDiskStorageType.

Si WBCDiskStorageType n’est pas configuré, alors StorageType est utilisé par défaut pour WBCDiskStorageType.

Configuration des types de stockage

Pour configurer les types de stockage pour une VM, utilisez le paramètre StorageType dans New-ProvScheme. Définissez la valeur du paramètre StorageType sur l’un des types de stockage pris en charge.

Voici un exemple de jeu du paramètre CustomProperties dans un schéma de provisionnement :

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>'
<!--NeedCopy-->

Récupérer des informations sur les VM Azure, les instantanés, le disque du système d’exploitation et la définition d’image de galerie

Vous pouvez afficher des informations pour une VM Azure, y compris le disque et le type de système d’exploitation, l’instantané et la définition d’image de galerie. Ces informations sont affichées pour les ressources de l’image principale lorsqu’un catalogue de machines est attribué. Utilisez cette fonctionnalité pour afficher et sélectionner une image Linux ou Windows. Une propriété PowerShell, TemplateIsWindowsTemplate, a été ajoutée au paramètre AdditionDatafield. Ce champ contient des informations spécifiques à Azure : type de VM, disque du système d’exploitation, informations sur l’image de galerie et informations sur le type de système d’exploitation. La définition de TemplateIsWindowsTemplate sur True indique que le type de système d’exploitation est Windows ; la définition de TemplateIsWindowsTemplate sur False indique que le type de système d’exploitation est Linux.

Conseil :

Les informations affichées par la propriété PowerShell TemplateIsWindowsTemplate sont dérivées de l’API Azure. Dans certains cas, ce champ peut être vide. Par exemple, un instantané d’un disque de données ne contient pas le champ TemplateIsWindowsTemplate car le type de système d’exploitation ne peut pas être récupéré à partir d’un instantané.

Par exemple, définissez le paramètre AdditionData de la VM Azure sur True pour le type de système d’exploitation Windows à l’aide de PowerShell :

PS C:\Users\username> (get-item XDHyp:\HostingUnits\mynetwork\image.folder\username-dev-testing-rg.resourcegroup\username-dev-tsvda.vm).AdditionalData
Key Value
ServiceOfferingDescription Standard_B2ms
HardDiskSizeGB 127
ResourceGroupName FENGHUAJ-DEV-TESTING-RG
ServiceOfferingMemory 8192
ServiceOfferingCores 2
TemplateIsWindowsTemplate True
ServiceOfferingWithTemporaryDiskSizeInMb 16384
SupportedMachineGenerations Gen1,Gen2
<!--NeedCopy-->

Azure Marketplace

Citrix Virtual Apps and Desktops et Citrix DaaS prennent en charge l’utilisation d’une image principale sur Azure qui contient des informations de plan pour créer un catalogue de machines. Pour plus d’informations, consultez Microsoft Azure Marketplace.

Conseil :

Certaines images trouvées sur l’Azure Marketplace, comme l’image standard de Windows Server, n’ajoutent pas d’informations de plan. La fonctionnalité Citrix DaaS™ est destinée aux images payantes.

Assurez-vous que l’image créée dans la Galerie d’images partagées contient les informations du plan Azure

Utilisez la procédure de cette section pour afficher les images de la Galerie d’images partagées dans Citrix Studio. Ces images peuvent éventuellement être utilisées pour une image principale. Pour placer l’image dans une Galerie d’images partagées, créez une définition d’image dans une galerie.

Dans la page Options de publication, vérifiez les informations du plan d’achat.

Les champs d’informations du plan d’achat sont initialement vides. Remplissez ces champs avec les informations du plan d’achat utilisées pour l’image. L’absence de renseignement des informations du plan d’achat peut entraîner l’échec du processus de catalogue de machines.

Après avoir vérifié les informations du plan d’achat, créez une version d’image dans la définition. Celle-ci est utilisée comme image principale. Cliquez sur Ajouter une version :

Dans la section Détails de la version, sélectionnez l’instantané d’image ou le disque géré comme source :

À propos des autorisations Azure

Cette section contient les autorisations minimales et générales requises pour Azure.

Autorisations minimales

Les autorisations minimales offrent un meilleur contrôle de la sécurité. Cependant, les nouvelles fonctionnalités qui nécessitent des autorisations supplémentaires échoueront en raison de l’utilisation uniquement des autorisations minimales.

Création d’une connexion d’hôte

Ajoutez une nouvelle connexion d’hôte en utilisant les informations obtenues d’Azure.

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

Gestion de l’alimentation des machines virtuelles

Mettez sous tension ou hors tension les instances de machine.

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Création, mise à jour ou suppression de machines virtuelles

Créez un catalogue de machines, puis ajoutez, supprimez, mettez à jour des machines et supprimez le catalogue de machines.

Voici la liste des autorisations minimales requises lorsque l’image principale est un disque géré ou que les instantanés sont situés dans la même région que la connexion d’hébergement.

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Vous avez besoin des autorisations supplémentaires suivantes, basées sur les autorisations minimales, pour les fonctionnalités suivantes :

• Si l’image principale est un VHD dans un compte de stockage situé dans la même région que la connexion d’hébergement :

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   <!--NeedCopy-->
  

• Si l’image principale est une ImageVersion de la Galerie d’images partagées :

   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   <!--NeedCopy-->
  

• Si l’image principale est un disque géré. Les instantanés ou le VHD se trouvent dans une région différente de celle de la connexion d’hébergement :

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   "Microsoft.Storage/storageAccounts/write",
   "Microsoft.Storage/storageAccounts/delete",
   <!--NeedCopy-->
  

• Si vous utilisez un groupe de ressources géré par Citrix :

   "Microsoft.Resources/subscriptions/resourceGroups/write",
   "Microsoft.Resources/subscriptions/resourceGroups/delete",
   <!--NeedCopy-->
  

• Si vous placez l’image principale dans la Galerie d’images partagées :

   "Microsoft.Compute/galleries/write",
   "Microsoft.Compute/galleries/images/write",
   "Microsoft.Compute/galleries/images/versions/write",
   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   "Microsoft.Compute/galleries/delete",
   "Microsoft.Compute/galleries/images/delete",
   "Microsoft.Compute/galleries/images/versions/delete",
   <!--NeedCopy-->
  

• Si vous utilisez la prise en charge de l’hôte dédié Azure :

   "Microsoft.Compute/hostGroups/read",
   "Microsoft.Compute/hostGroups/write",
   "Microsoft.Compute/hostGroups/hosts/read",
   <!--NeedCopy-->
  

• Si vous utilisez le chiffrement côté serveur (SSE) avec des clés gérées par le client (CMK) :

   "Microsoft.Compute/diskEncryptionSets/read",
   <!--NeedCopy-->
  

• Si vous déployez des machines virtuelles à l’aide de modèles ARM (profil de machine) :

   "Microsoft.Resources/deployments/write",
   "Microsoft.Resources/deployments/operationstatuses/read",
   "Microsoft.Resources/deployments/read",
   "Microsoft.Resources/deployments/delete",
   <!--NeedCopy-->
  

• Si vous utilisez la spécification de modèle Azure comme profil de machine :

   "Microsoft.Resources/templateSpecs/read",
   "Microsoft.Resources/templateSpecs/versions/read",
   <!--NeedCopy-->
  

Création, mise à jour et suppression de machines avec un disque non géré

Voici la liste des autorisations minimales requises lorsque l’image principale est VHD et que le groupe de ressources est fourni par l’administrateur :

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Autorisation générale

Le rôle de contributeur a un accès complet pour gérer toutes les ressources. Cet ensemble d’autorisations ne vous empêche pas d’obtenir de nouvelles fonctionnalités.

L’ensemble d’autorisations suivant offre la meilleure compatibilité à l’avenir, bien qu’il inclue plus d’autorisations que nécessaire avec l’ensemble de fonctionnalités actuel :

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Plus d’informations

• Connexions et ressources
• Créer des catalogues de machines
• CTX219211: Configurer un compte Microsoft Azure Active Directory
• CTX219243: Accorder l’accès de XenApp et XenDesktop à votre abonnement Azure
• CTX219271: Déployer un cloud hybride à l’aide d’un VPN site à site