Connessione a Microsoft Azure
Creare e gestire connessioni descrive le procedure guidate che creano una connessione. Le seguenti informazioni riguardano i dettagli specifici degli ambienti cloud di Azure Resource Manager.
Nota:
Prima di creare una connessione a Microsoft Azure, è necessario completare la configurazione del proprio account Azure come posizione delle risorse. Vedere Ambienti cloud Microsoft Azure Resource Manager.
Creare entità servizio e connessioni
Prima di creare connessioni, è necessario configurare le entità servizio usate dalle connessioni per accedere alle risorse di Azure. È possibile creare una connessione in due modi:
- Creare un’entità servizio e una connessione allo stesso tempo utilizzando Full Configuration
- Creare una connessione utilizzando un’entità servizio creata in precedenza
Questa sezione mostra come completare queste attività:
- Creare un’entità servizio e una connessione utilizzando Full Configuration
- Creare un’entità servizio utilizzando PowerShell
- Ottenere il segreto dell’applicazione in Azure
- Creare una connessione utilizzando un’entità servizio esistente
Considerazioni
Prima di iniziare, tenere presenti queste considerazioni:
- Citrix consiglia di utilizzare entità servizio con il ruolo di Contributor. Tuttavia, consulta la sezione Autorizzazioni minime per ottenere l’elenco delle autorizzazioni minime.
- Quando si crea la prima connessione, Azure richiede di concederle le autorizzazioni necessarie. Per le connessioni future è comunque necessario autenticarsi, ma Azure ricorda il consenso precedente e non visualizza più la richiesta.
- Gli account utilizzati per l’autenticazione devono essere co-amministratori della sottoscrizione.
- L’account utilizzato per l’autenticazione deve essere un membro della directory della sottoscrizione. Esistono due tipi di account di cui tenere conto: “lavoro o scuola” e “account Microsoft personale”. Vedere CTX219211 per i dettagli.
-
Sebbene sia possibile utilizzare un account Microsoft esistente aggiungendolo come membro della directory della sottoscrizione, possono verificarsi complicazioni se all’utente è stato precedentemente concesso l’accesso come ospite a una delle risorse della directory. In questo caso, potrebbe essere presente una voce di segnaposto nella directory che non concede loro le autorizzazioni necessarie e viene restituito un errore.
Correggere questo problema rimuovendo le risorse dalla directory e aggiungendole di nuovo esplicitamente. Tuttavia, utilizzare questa opzione con attenzione, perché ha effetti indesiderati su altre risorse a cui può accedere questo account.
- Esiste un problema noto per cui alcuni account vengono rilevati come ospiti della directory quando invece sono membri. Configurazioni come questa si verificano in genere con account di directory consolidati precedenti. Soluzione: aggiungere un account alla directory, che assume il valore di appartenenza corretto.
- I gruppi di risorse sono semplicemente contenitori per le risorse e possono contenere risorse provenienti da regioni diverse dalla propria. Ciò può creare potenzialmente confusione se si prevede che le risorse visualizzate nella regione di un gruppo di risorse siano disponibili.
- Assicurarsi che la rete e la subnet siano sufficientemente grandi da ospitare il numero di macchine necessarie. Ciò richiede una certa lungimiranza, ma Microsoft aiuta a specificare i valori corretti, con indicazioni sulla capacità dello spazio degli indirizzi.
Creare un’entità servizio e una connessione utilizzando Full Configuration
Importante:
Questa funzionalità non è ancora disponibile per le sottoscrizioni di Azure in Cina.
Con Full Configuration, è possibile creare sia un’entità servizio che una connessione in un unico flusso di lavoro. Le entità servizio consentono alle connessioni di accedere alle risorse di Azure. Quando si esegue l’autenticazione in Azure per creare un’entità servizio, un’applicazione viene registrata in Azure. Viene creata una chiave segreta (chiamata segreto del client o segreto dell’applicazione) per l’applicazione registrata. L’applicazione registrata (in questo caso una connessione) utilizza il segreto del client per l’autenticazione in Azure AD.
Prima di iniziare, assicurarsi che siano soddisfatti questi prerequisiti:
- Avere un account utente nel tenant Azure Active Directory della propria sottoscrizione.
- L’account utente Azure AD sia anche co-amministratore per la sottoscrizione di Azure che si desidera utilizzare per il provisioning delle risorse.
- Si dispone delle autorizzazioni di amministratore globale, amministratore dell’applicazione o sviluppatore di applicazioni per l’autenticazione. Le autorizzazioni possono essere revocate dopo aver creato una connessione host. Per ulteriori informazioni sui ruoli, vedere Ruoli predefiniti di Azure AD.
Utilizzare la procedura guidata Add Connection and Resources (Aggiungi connessione e risorse) per creare insieme un’entità servizio e una connessione allo stesso tempo:
-
Nella pagina Connection (Connessione), selezionare Create a new connetion (Crea una nuova connessione), il tipo di connessione Microsoft Azure e l’ambiente Azure.
-
Selezionare gli strumenti da utilizzare per creare le macchine virtuali, quindi selezionare Next (Avanti).
-
Nella pagina Connection Details (Dettagli della connessione), creare un’entità servizio e impostare il nome della connessione come segue:
-
Per concedere l’autorizzazione di connessione per pulire automaticamente i dispositivi aggiunti ad Azure AD obsoleti, selezionare Enable Azure AD joined device management (Abilita la gestione dei dispositivi aggiunti ad Azure AD). Consigliamo di selezionare questa opzione se si desidera creare macchine aggiunte ad Azure AD tramite questa connessione. Per altre informazioni, vedere Abilitare la gestione dei dispositivi aggiunti ad Azure AD.
-
Inserire il proprio ID della sottoscrizione di Azure e un nome da dare alla connessione. Dopo aver inserito l’ID sottoscrizione, viene abilitato il pulsante Create new (Crea nuova).
Nota:
Il nome della connessione può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri
\/;:#.*?=<>|[]{}"'()'
.-
Selezionare Create new (Crea nuova), quindi inserire il nome utente e la password dell’account Azure Active Directory.
-
Selezionare Sign in (Accedi).
-
Selezionare Accept per concedere a Citrix DaaS le autorizzazioni elencate. Azure crea un’entità servizio che consente a Citrix DaaS di gestire le risorse di Azure per conto dell’utente specificato.
-
Dopo aver selezionato Accept, si torna alla pagina Connection Details.
Nota:
Dopo aver eseguito l’autenticazione in Azure, i pulsanti Create new (Crea nuova) e Use existing (Usa esistente) scompaiono. Viene visualizzato il testo Connection successful (Connessione riuscita), con un segno di spunta verde che indica la connessione riuscita alla sottoscrizione di Azure.
-
Per instradare le richieste API verso Azure tramite Citrix Cloud Connectors, selezionare la casella di controllo Route traffic through Citrix Cloud Connectors (Instrada il traffico tramite Citrix Cloud Connector).
In alternativa, è possibile abilitare questa funzionalità utilizzando PowerShell. Per ulteriori informazioni, vedere Creare un ambiente sicuro per il traffico gestito di Azure.
Nota:
Questa opzione è disponibile solo quando nella distribuzione sono presenti Citrix Cloud Connector attivi. Attualmente, questa funzionalità non è supportata per le Connector Appliance.
-
Selezionare Next (Avanti).
Nota:
Non è possibile passare alla pagina successiva finché non ci si autentica correttamente in Azure e non si acconsente a concedere le autorizzazioni richieste.
-
-
Configurare le risorse per la connessione come segue:
- Nella pagina Region (Regione), selezionare una regione.
- Nella pagina Network (Rete), procedere come segue:
- Digitare un nome da 1 a 64 caratteri per la risorsa, per semplificare l’identificazione della combinazione di regione e rete. Il nome di una risorsa non può contenere solo spazi vuoti e nemmeno i caratteri
\/;:#.*?=<>|[]{}"'()'
. - Selezionare una coppia rete virtuale/gruppo di risorse (se si dispone di più di una rete virtuale con lo stesso nome, l’associazione del nome della rete con il gruppo di risorse fornisce combinazioni univoche). Se la regione selezionata nella pagina precedente non dispone di reti virtuali, tornare a quella pagina e selezionare una regione con reti virtuali.
- Digitare un nome da 1 a 64 caratteri per la risorsa, per semplificare l’identificazione della combinazione di regione e rete. Il nome di una risorsa non può contenere solo spazi vuoti e nemmeno i caratteri
-
Nella pagina Summary (Riepilogo), visualizzare un riepilogo delle impostazioni e selezionare Finish (Fine) per completare la configurazione.
Visualizzare l’ID dell’applicazione
Dopo aver creato una connessione, è possibile visualizzare l’ID dell’applicazione utilizzata dalla connessione per accedere alle risorse di Azure.
Nell’elenco Add Connection and Resources (Aggiungi connessione e risorse), selezionare la connessione per visualizzare i dettagli. La scheda Details (Dettagli) mostra l’ID dell’applicazione.
Creare un’entità servizio utilizzando PowerShell
Per creare un’entità servizio utilizzando PowerShell, connettersi alla sottoscrizione di Azure Resource Manager e utilizzare i cmdlet PowerShell forniti nelle sezioni seguenti.
Assicurarsi di avere a portata di mano quanto segue:
-
SubscriptionId:
SubscriptionID
di Azure Resource Manager per la sottoscrizione in cui si desidera eseguire il provisioning di VDA. - ActiveDirectoryID: ID tenant dell’applicazione registrata con Azure AD.
- ApplicationName: nome dell’applicazione da creare in Azure AD.
I passaggi dettagliati sono i seguenti:
-
Connettersi alla sottoscrizione Azure Resource Manager.
Connect-AzAccount
-
Selezionare la sottoscrizione Azure Resource Manager in cui si desidera creare l’entità servizio.
Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription
-
Creare l’applicazione nel proprio tenant AD.
$AzureADApplication = New-AzADApplication -DisplayName $ApplicationName
-
Creare un’entità servizio.
New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId
-
Assegnare un ruolo all’entità servizio.
New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId
-
Dalla finestra di output della console PowerShell, prendere nota dell’ApplicationId. Fornire questo ID quando si crea la connessione host.
Ottenere il segreto dell’applicazione in Azure
Per creare una connessione utilizzando un’entità servizio esistente, è prima necessario ottenere l’ID e il segreto dell’applicazione dell’entità servizio nel portale di Azure.
I passaggi dettagliati sono i seguenti:
- Ottenere l’ID dell’applicazione dall’interfaccia Full Configuration o utilizzando PowerShell.
- Accedere al portale di Azure.
- In Azure, selezionare Azure Active Directory.
- Da Registrazioni app in Azure AD, selezionare la propria applicazione.
- Andare a Certificati e segreti.
- Fare clic su Client secrets (Segreti client).
Creare una connessione utilizzando un’entità servizio esistente
Se si dispone già di un’entità servizio, è possibile utilizzarla per creare una connessione utilizzando Full Configuration.
Assicurarsi di avere a portata di mano quanto segue:
- SubscriptionId
- ActiveDirectoryID (tenant ID)
- ID applicazione
-
Segreto dell’applicazione
Per ulteriori informazioni, vedere Ottenere il segreto dell’applicazione.
- Data di scadenza del segreto
I passaggi dettagliati sono i seguenti:
Nella procedura guidata Add Connection and Resources (Aggiungi connessione e risorse):
-
Nella pagina Connection (Connessione), selezionare Create a new connetion (Crea una nuova connessione), il tipo di connessione Microsoft Azure e l’ambiente Azure.
-
Selezionare gli strumenti da utilizzare per creare le macchine virtuali, quindi selezionare Next (Avanti).
-
Nella pagina Connection Details (Dettagli connessione), inserire il proprio ID sottoscrizione di Azure e un nome per la connessione.
Nota:
Il nome della connessione può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri
\/;:#.*?=<>|[]{}"'()'
. -
Selezionare Use existing (Usa esistente). Nella finestra Existing Service Principal Details (Dettagli entità servizio esistente), immettere le seguenti impostazioni per l’entità servizio esistente. Dopo aver inserito i dettagli, il pulsante Save (Salva) è abilitato. Selezionare Save (Salva). Non è possibile andare oltre questa pagina finché non si forniscono dettagli validi.
- Subscription ID (ID sottoscrizione). Inserire il proprio ID sottoscrizione di Azure. Per ottenere l’ID sottoscrizione, accedere al portale di Azure e andare a Sottoscrizioni > Panoramica.
- Active Directory ID (ID Active Directory) (ID tenant). Inserire l’ID Directory (tenant) dell’applicazione che si è registrata con Azure AD.
- Application ID (ID applicazione). Inserire l’ID applicazione (client) dell’applicazione registrata con Azure AD.
- Application secret (Segreto dell’applicazione). Inserire una chiave segreta (segreto del client). L’applicazione registrata utilizza la chiave per l’autenticazione in Azure AD. Si consiglia di cambiare le chiavi regolarmente per motivi di sicurezza. Assicurarsi di salvare la chiave, perché non è possibile recuperarla in un secondo momento.
-
Secret expiration date (Data di scadenza del segreto). Immettere la data dopo la quale il segreto dell’applicazione scade. Si riceverà un avviso sulla console prima della scadenza della chiave segreta. Tuttavia, se la chiave segreta scade, si ricevono errori.
Nota:
Per motivi di sicurezza, il periodo di scadenza non può essere superiore a due anni da oggi.
- Authentication URL (URL di autenticazione). Questo campo viene compilato automaticamente e non è modificabile.
- Management URL (URL di gestione). Questo campo viene compilato automaticamente e non è modificabile.
-
Storage suffix (Suffisso di archiviazione). Questo campo viene compilato automaticamente e non è modificabile.
L’accesso ai seguenti endpoint è necessario per creare un catalogo MCS in Azure. L’accesso a questi endpoint ottimizza la connettività tra la rete e il portale di Azure e i relativi servizi.
- Authentication URL: https://login.microsoftonline.com/
- Management URL: https://management.azure.com/. Questo è un URL di richiesta per le API del provider di Azure Resource Manager. L’endpoint per la gestione dipende dall’ambiente. Ad esempio, per Azure Global è https://management.azure.com/ e per Azure US Government è https://management.usgovcloudapi.net/.
- Storage suffix: https://*.core.windows.net./. Questo (*) è un carattere jolly per il suffisso di archiviazione. Ad esempio, https://demo.table.core.windows.net/.
-
Dopo aver selezionato Save, si torna alla pagina Connection Details (Dettagli connessione). Selezionare Next (Avanti) per passare alla pagina successiva.
-
Configurare le risorse per la connessione come segue:
- Nella pagina Region (Regione), selezionare una regione.
- Nella pagina Network (Rete), procedere come segue:
- Digitare un nome da 1 a 64 caratteri per la risorsa, per semplificare l’identificazione della combinazione di regione e rete. Il nome di una risorsa non può contenere solo spazi vuoti e nemmeno i caratteri
\/;:#.*?=<>|[]{}"'()'
. - Selezionare una coppia rete virtuale/gruppo di risorse (se si dispone di più di una rete virtuale con lo stesso nome, l’associazione del nome della rete con il gruppo di risorse fornisce combinazioni univoche). Se la regione selezionata nella pagina precedente non dispone di reti virtuali, tornare a quella pagina e selezionare una regione con reti virtuali.
- Digitare un nome da 1 a 64 caratteri per la risorsa, per semplificare l’identificazione della combinazione di regione e rete. Il nome di una risorsa non può contenere solo spazi vuoti e nemmeno i caratteri
-
Nella pagina Summary (Riepilogo), visualizzare un riepilogo delle impostazioni e selezionare Finish (Fine) per completare la configurazione.
Gestire le entità servizio e le connessioni
Questa sezione descrive in dettaglio come gestire le entità servizio e le connessioni:
- Configurare le impostazioni di limitazione delle richieste di Azure
- Abilitare la gestione dei dispositivi aggiunti ad Azure AD
- Abilitare la condivisione di immagini in Azure
- Aggiungere tenant condivisi a una connessione utilizzando Full Configuration
- Implementare la condivisione di immagini tramite PowerShell
- Creare un ambiente sicuro per il traffico gestito di Azure
- Gestire il segreto dell’applicazione e la data di scadenza del segreto
Configurare le impostazioni di limitazione delle richieste di Azure
Azure Resource Manager limita le richieste di sottoscrizione e tenant, instradando il traffico in base a limiti definiti, a seconda delle esigenze specifiche del provider. Per ulteriori informazioni, vedere Limitazione delle richieste di Resource Manager sul sito Microsoft. Sono previsti dei limiti per sottoscrizioni e tenant, a causa dei quali la gestione di molte macchine può diventare problematica. Ad esempio, in una sottoscrizione contenente molte macchine potrebbero verificarsi dei problemi di prestazioni relativi alle operazioni di alimentazione.
Suggerimento:
Per ulteriori informazioni, vedere Miglioramento delle prestazioni di Azure con Machine Creation Services.
Per contribuire a mitigare questi problemi, Citrix DaaS consente di rimuovere la limitazione delle richieste interna di MCS per utilizzare maggiormente la quota di richieste disponibile da Azure.
Si consigliano le seguenti impostazioni ottimali quando si accendono o si spengono le macchine virtuali in sottoscrizioni di grandi dimensioni, ad esempio quelle contenenti 1.000 macchine virtuali:
- Operazioni simultanee assolute: 500
- Numero massimo di nuove operazioni al minuto: 2.000
- Numero massimo di operazioni simultanee: 500
Utilizzare l’interfaccia Full Configuration (Configurazione completa) per configurare le operazioni di Azure per una determinata connessione host:
- Da Manage > Full Configuration (Gestisci > Configurazione completa), selezionare Hosting nel riquadro di sinistra.
- Selezionare una connessione correlata ad Azure per modificarla.
- Nella procedura guidata Edit Connection (Modifica connessione), selezionare Advanced (Avanzate).
- Nella pagina Advanced (Avanzate), utilizzare le opzioni di configurazione per specificare il numero di azioni simultanee e il numero massimo di nuove azioni al minuto, nonché eventuali opzioni di connessione aggiuntive.
MCS supporta massimo 500 operazioni simultanee per impostazione predefinita. In alternativa, è possibile utilizzare l’SDK Remote PowerShell per impostare il numero massimo di operazioni simultanee.
Utilizzare la proprietà PowerShell MaximumConcurrentProvisioningOperations
per specificare il numero massimo di operazioni di provisioning simultanee di Azure. Quando si utilizza questa proprietà, considerare:
- Il valore predefinito di
MaximumConcurrentProvisioningOperations
è 500. - Configurare il parametro
MaximumConcurrentProvisioningOperations
utilizzando il comando PowerShellSet-item
.
Abilitare la gestione dei dispositivi aggiunti ad Azure AD
La presenza di dispositivi aggiunti ad Azure AD obsoleti in Azure potrebbe impedire l’aggiunta di nuove macchine ad Azure AD, causandone un funzionamento improprio. Per evitare potenziali problemi, è possibile concedere l’autorizzazione di connessione per gestire i dispositivi aggiunti ad Azure AD. Con questa autorizzazione, le connessioni possono ripulire automaticamente i dispositivi aggiunti ad Azure AD obsoleti.
Nota:
I dispositivi aggiunti ad Azure AD non possono essere eliminati da Azure AD quando si eliminano macchine o cataloghi di macchine.
- Da Manage > Full Configuration (Gestisci > Configurazione completa), selezionare Hosting nel riquadro di sinistra.
- Selezionare la connessione e quindi selezionare Edit Connection (Modifica connessione) nella barra delle azioni.
- Selezionare Connection Properties (Proprietà di connessione) nel riquadro di sinistra.
-
Nella pagina Connection Properties visualizzata, seguire questi passaggi:
- Selezionare Enable Azure AD joined device management (Abilita la gestione dei dispositivi aggiunti ad Azure AD).
- Fare clic su Salva.
-
Nella finestra di accesso ad Azure visualizzata, inserire la password della sottoscrizione e quindi fare clic su Sign in.
Una volta completato l’accesso, si è riportati all’elenco delle connessioni e delle risorse di hosting. Fare clic sulla connessione nell’elenco e quindi sulla scheda Details (Dettagli) nel riquadro inferiore. Si noterà che il campo Azure AD joined device management (Gestione dispositivi aggiunti ad Azure AD) riporta la dicitura Enabled (Abilitata).
Quando si abilita la gestione dei dispositivi aggiunti ad Azure AD con Full Configuration, è necessario autenticarsi con Azure AD indipendentemente dal metodo di creazione della connessione host scelto (crearne una nuova o usare quella esistente). Il ruolo Cloud Device Administrator integrato in Azure AD viene assegnato all’entità servizio. Per adottare le autorizzazioni minime per la gestione dei dispositivi aggiunti ad Azure AD, puoi rimuovere manualmente l’assegnazione del ruolo Cloud Device Administrator dall’entità servizio e creare un ruolo personalizzato di Azure AD che includa solo le autorizzazioni minime e assegnarlo all’entità servizio.
Nota:
- Le autorizzazioni minime per la gestione dei dispositivi aggiunti ad Azure AD sono le autorizzazioni di Azure AD e non le autorizzazioni di Azure Resource Manager. Non possono essere assegnate esplicitamente a un’entità servizio. È necessario creare un ruolo personalizzato in Azure AD che includa tali autorizzazioni e assegnarlo all’entità servizio. Per ulteriori informazioni, vedere Creare e assegnare un ruolo personalizzato in Azure Active Directory.
- Per creare un ruolo personalizzato in Azure AD, è necessaria la licenza Azure AD Premium P1 o P2.
Abilitare la condivisione di immagini in Azure
Quando si creano o si aggiornano cataloghi delle macchine, è possibile selezionare immagini condivise provenienti da diverse sottoscrizioni e tenant di Azure (condivise tramite la Raccolta di calcolo di Azure). Per abilitare la condivisione di immagini all’interno di tenant o fra uno e l’altro, è necessario configurare le impostazioni necessarie in Azure:
Condividere immagini all’interno di un tenant (tra abbonamenti)
Perché sia possibile selezionare in Raccolta di calcolo di Azure un’immagine che appartiene a una sottoscrizione diversa, l’immagine deve essere condivisa con l’entità servizio (SPN) di quella sottoscrizione.
Ad esempio, se esiste un’entità servizio (SPN 1) configurata in Studio come:
Entità servizio: SPN 1
Subscription: subscription 1
Tenant: tenant 1
L’immagine è in una sottoscrizione diversa, che è configurata in Studio come:
Subscription: subscription 2
Tenant: tenant 1
Se si intende condividere l’immagine della sottoscrizione 2 con la sottoscrizione 1 (SPN 1), passare alla sottoscrizione2 e condividere il gruppo di risorse con SPN1.
L’immagine deve essere condivisa con un altro SPN utilizzando il controllo degli accessi in base al ruolo di Azure (RBAC). Azure RBAC è il sistema di autorizzazione usato per gestire l’accesso alle risorse di Azure. Per ulteriori informazioni su Azure RBAC, vedere il documento Microsoft Che cos’è il controllo degli accessi in base al ruolo di Azure. Per concedere l’accesso, si assegnano ruoli alle entità servizio nell’ambito del gruppo di risorse con il ruolo di Contributor. Per assegnare i ruoli di Azure, è necessario disporre di un’autorizzazione Microsoft.Authorization/roleAssignments/write
, come nel caso di un Amministratore Accesso utenti o un Proprietario. Per ulteriori informazioni sulla condivisione di immagini con un altro SPN, vedere il documento Microsoft Assegnare ruoli di Azure usando il portale di Azure.
Condividere immagini tra tenant
Per condividere immagini tra tenant con la Raccolta di calcolo di Azure, creare una registrazione dell’applicazione.
Ad esempio, se ci sono due tenant (Tenant 1 e Tenant 2) e si desidera condividere la propria galleria di immagini con Tenant 1, allora:
-
Creare una domanda di registrazione per Tenant 1. Per ulteriori informazioni, vedere Creare la registrazione dell’app.
-
Consentire a Tenant 2 di accedere all’applicazione richiedendo l’accesso tramite un browser. Sostituire
Tenant2 ID
con l’ID tenant del Tenant 1. SostituireApplication (client) ID
con l’ID dell’applicazione della registrazione dell’applicazione creata. Quando si sono completate le sostituzioni, incollare l’URL in un browser e seguire le istruzioni di accesso per accedere al Tenant 2. Ad esempio:https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F <!--NeedCopy-->
Per ulteriori informazioni, vedere Concedere l’accesso al tenant 2.
-
Concedere all’applicazione l’accesso al gruppo di risorse Tenant 2. Accedere come Tenant 2 e concedere alla registrazione dell’app l’accesso al gruppo di risorse che contiene l’immagine della raccolta. Per ulteriori informazioni, vedere Eseguire l’autenticazione delle richieste su più tenant.
Aggiungere tenant condivisi a una connessione utilizzando Full Configuration
Quando si creano o si aggiornano cataloghi delle macchine nell’interfaccia Full Configuration (Configurazione completa), è possibile selezionare immagini condivise provenienti da diverse sottoscrizioni e tenant di Azure (condivise tramite la Raccolta di calcolo di Azure). La funzionalità richiede che vengano fornite informazioni condivise sul tenant e sulla sottoscrizione per le connessioni host associate.
Nota:
Assicurarsi di aver configurato le impostazioni necessarie in Azure per abilitare la condivisione di immagini tra tenant. Per ulteriori informazioni, vedere Condividere immagini tra tenant.
Completare i seguenti passaggi per una connessione:
- Da Manage > Full Configuration (Gestisci > Configurazione completa), selezionare Hosting nel riquadro di sinistra.
-
Selezionare la connessione e quindi selezionare Edit Connection (Modifica connessione) nella barra delle azioni.
- In Shared Tenants (Tenant condivisi), procedere come segue:
- Fornire l’ID dell’applicazione e il segreto dell’applicazione associati alla sottoscrizione della connessione. DaaS utilizza queste informazioni per l’autenticazione in Azure AD.
- Aggiungere tenant e sottoscrizioni che condividono la Raccolta di calcolo di Azure con la sottoscrizione della connessione. È possibile aggiungere fino a otto tenant condivisi e otto sottoscrizioni per ogni tenant.
- Al termine, selezionare Apply (Applica) per applicare le modifiche apportate e mantenere aperta la finestra oppure selezionare OK per applicare le modifiche e chiudere la finestra.
Implementare la condivisione di immagini tramite PowerShell
Questa sezione illustra i processi di condivisione delle immagini tramite PowerShell:
- Selezionare un’immagine da un’altra sottoscrizione
- Aggiornare le proprietà personalizzate della connessione di hosting con ID tenant condivisi
- Selezionare un’immagine da un altro tenant
Selezionare un’immagine da un’altra sottoscrizione
È possibile selezionare un’immagine in Raccolta di calcolo di Azure che appartiene a una sottoscrizione condivisa diversa all’interno dello stesso tenant di Azure per creare e aggiornare i cataloghi MCS usando i comandi di PowerShell.
- Nella cartella principale dell’unità di hosting, Citrix crea una nuova cartella di sottoscrizione condivisa chiamata
sharedsubscription
. -
Elencare tutte le sottoscrizioni condivise di un tenant.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder" <!--NeedCopy-->
-
Selezionare un abbonamento condiviso, quindi elencare tutti i gruppi di risorse condivise di quella sottoscrizione condivisa.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription" <!--NeedCopy-->
-
Selezionare un gruppo di risorse, quindi elencare tutte le gallerie di quel gruppo di risorse.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup" <!--NeedCopy-->
-
Selezionare una raccolta, quindi elencare tutte le definizioni delle immagini di quella raccolta.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery" <!--NeedCopy-->
-
Selezionare una definizione di immagine, quindi elencare tutte le versioni dell’immagine in questione.
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition" <!--NeedCopy-->
-
Creare e aggiornare un catalogo MCS utilizzando i seguenti elementi:
- Gruppo di risorse
- Raccolta
- Definizione delle immagini della raccolta
- Versione delle immagini della raccolta.
Per informazioni su come creare un catalogo utilizzando l’SDK Remote PowerShell, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.
Aggiornare le proprietà personalizzate della connessione di hosting con ID tenant condivisi
Utilizzare Set-Item
per aggiornare le proprietà personalizzate della connessione di hosting con ID tenant e ID di abbonamento condivisi. Aggiungere una proprietà SharedTenants
in CustomProperties
. Il formato di Shared Tenants
è:
[{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->
Ad esempio:
Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
<Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
<Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
<Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
</CustomProperties>"
-LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
$psd
<!--NeedCopy-->
Nota:
È possibile aggiungere più di un tenant. Ogni inquilino può avere più di una sottoscrizione.
Selezionare un’immagine da un altro tenant
È possibile selezionare nella Raccolta di calcolo di Azure un’immagine che appartiene a un diverso tenant di Azure per creare e aggiornare i cataloghi MCS usando i comandi di PowerShell.
- Nella cartella principale dell’unità di hosting, Citrix crea una nuova cartella di sottoscrizione condivisa chiamata
sharedsubscription
. -
Elencare tutte le sottoscrizioni condivise.
Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder <!--NeedCopy-->
-
Selezionare un abbonamento condiviso, quindi elencare tutti i gruppi di risorse condivise di quella sottoscrizione condivisa.
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription <!--NeedCopy-->
-
Selezionare un gruppo di risorse, quindi elencare tutte le gallerie di quel gruppo di risorse.
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup <!--NeedCopy-->
-
Selezionare una raccolta, quindi elencare tutte le definizioni delle immagini di quella raccolta.
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery <!--NeedCopy-->
-
Selezionare una definizione di immagine, quindi elencare tutte le versioni dell’immagine in questione.
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition <!--NeedCopy-->
-
Creare e aggiornare un catalogo MCS utilizzando i seguenti elementi:
- Gruppo di risorse
- Raccolta
- Definizione delle immagini della raccolta
- Versione delle immagini della raccolta.
Per informazioni su come creare un catalogo utilizzando l’SDK Remote PowerShell, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.
Creare un ambiente sicuro per il traffico gestito di Azure
MCS consente il routing del traffico di rete (chiamate API da Citrix Cloud all’hypervisor Azure) tramite Cloud Connectors nel proprio ambiente. Questa implementazione aiuta a proteggere la propria sottoscrizione di Azure per consentire il traffico di rete da indirizzi IP specifici. Per fare ciò, aggiungere ProxyHypervisorTrafficThroughConnector
in CustomProperties
. Dopo aver impostato le proprietà personalizzate, è possibile configurare i criteri di Azure per avere accesso privato ai dischi gestiti di Azure.
Se si configurano i criteri di Azure per creare automaticamente accessi al disco in modo che ciascun nuovo disco utilizzi endpoint privati, non è possibile caricare o scaricare più di cinque dischi o snapshot contemporaneamente con lo stesso oggetto di accesso al disco applicato da Azure. Questo limite vale per ogni catalogo di macchine se si configurano i criteri di Azure a livello di gruppo di risorse e per tutti i cataloghi di macchine se si configurano i criteri di Azure a livello di sottoscrizione. Se si configurano i criteri di Azure per creare automaticamente accessi al disco in modo che ciascun nuovo disco utilizzi endpoint privati, il limite di cinque operazioni simultanee non viene applicato.
Nota:
Attualmente, questa funzionalità non è supportata per Connector Appliance.
Limiti
A causa delle limitazioni di Azure, questa funzionalità non è attualmente supportata quando i dischi gestiti sono dotati di crittografia lato server con chiavi gestite dal cliente. Per altre limitazioni correlate, vedere Limitare l’accesso all’importazione/esportazione per i dischi gestiti usando un collegamento privato di Azure.
Per altre informazioni sulla crittografia lato server, vedere Crittografia lato server di Azure.
Abilitare il proxy
Per abilitare il proxy, impostare le proprietà personalizzate come segue sulla connessione host:
- Aprire una finestra di PowerShell utilizzando l’SDK Remote PowerShell. Per ulteriori informazioni, vedere https://docs.citrix.com/en-us/citrix-daas/sdk-api.html#citrix-virtual-apps-and-desktops-remote-powershell-sdk/.
-
Eseguire i seguenti comandi:
-
Add-PSSnapin citrix*
. cd XDHyp:\Connections\
dir
-
-
Copiare
CustomProperties
dalla connessione a un blocco note e aggiungere l’impostazione della proprietà<Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" />
aCustomProperties
per abilitare il proxy. Ad esempio:<CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation"> <Property xsi:type="StringProperty" Name="SubscriptionId" Value="4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx" /> <Property xsi:type="StringProperty" Name="ManagementEndpoint" Value="https://management.azure.com/" /> <Property xsi:type="StringProperty" Name="AuthenticationAuthority" Value="https://login.microsoftonline.com/" /> <Property xsi:type="StringProperty" Name="StorageSuffix" Value="core.windows.net" /> <Property xsi:type="StringProperty" Name="TenantId" Value="5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx" /> <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" /> </CustomProperties> <!--NeedCopy-->
-
Nella finestra di PowerShell assegnare una variabile alle proprietà personalizzate modificate. Ad esempio:
$customProperty = '<CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation"> <Property xsi:type="StringProperty" Name="SubscriptionId" Value="4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx" /> <Property xsi:type="StringProperty" Name="ManagementEndpoint" Value="https://management.azure.com/" /> <Property xsi:type="StringProperty" Name="AuthenticationAuthority" Value="https://login.microsoftonline.com/" /> <Property xsi:type="StringProperty" Name="StorageSuffix" Value="core.windows.net" /> <Property xsi:type="StringProperty" Name="TenantId" Value="5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx" /> <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" /> </CustomProperties>' <!--NeedCopy-->
- Eseguire
$cred = Get-Credential
. Se richiesto, fornire le credenziali di connessione. Le credenziali sono l’ID e il segreto dell’applicazione di Azure. -
Eseguire
Set-Item -PSPath XDHyp:\Connections\<Connection_Name> -CustomProperties $customProperty -username $cred.username -Securepassword $cred.password
.Importante:
Se si riceve un messaggio che indica che manca
SubscriptionId
, sostituire tutte le virgolette (“) con un apice inverso seguito da virgolette (`”) nella proprietà personalizzata. Ad esempio:<CustomProperties xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`" xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`"> <Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx`" /> <Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" /> <Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" /> <Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" /> <Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx`" /> <Property xsi:type=`"StringProperty`" Name=`"ProxyHypervisorTrafficThroughConnector`" Value=`"True`" /> </CustomProperties> <!--NeedCopy-->
- Eseguire
dir
per verificare le impostazioni aggiornate diCustomProperties
.
Gestire il segreto dell’applicazione e la data di scadenza del segreto
Accertarsi di aver modificato il segreto dell’applicazione per una connessione prima della scadenza del segreto. Si riceverà un avviso sull’interfaccia Full Configuration prima della scadenza della chiave segreta.
Creare un segreto dell’applicazione in Azure
È possibile creare un segreto dell’applicazione per una connessione tramite il portale di Azure.
- Selezionare Azure Active Directory.
- Da Registrazioni app in Azure AD, selezionare la propria applicazione.
- Andare a Certificati e segreti.
-
Fare clic su Segreti client > Nuovo segreto client.
-
Fornire una descrizione del segreto e specificare una durata. Al termine, selezionare Add (Aggiungi).
Nota:
Assicurarsi di salvare il segreto del client, perché non è possibile recuperarlo in un secondo momento.
- Copiare il valore del segreto del client e la data di scadenza.
- Nell’interfaccia Full Configuration (Configurazione completa), modificare la connessione corrispondente e sostituire il contenuto nei campi Application secret (Segreto applicazione) e Secret expiration date (Data di scadenza del segreto) con i valori copiati.
Modificare la data di scadenza del segreto
È possibile utilizzare l’interfaccia Full Configuration (Configurazione completa) per aggiungere o modificare la data di scadenza del segreto dell’applicazione in uso.
- Nella procedura guidata Add Connection and Resources (Aggiungi connessione e risorse), fare clic con il pulsante destro del mouse su una connessione e fare clic su Edit Connection (Modifica connessione).
- Nella pagina Connection Properties (Proprietà connessione), fare clic su Secret expiration date (Data di scadenza del segreto) per aggiungere o modificare la data di scadenza del segreto dell’applicazione in uso.
Autorizzazioni Azure richieste
Questa sezione contiene i dettagli delle autorizzazioni minime e generali richieste per Azure.
Autorizzazioni minime
Le autorizzazioni minime offrono un migliore controllo della sicurezza. Tuttavia, le nuove funzionalità che richiedono autorizzazioni aggiuntive non funzioneranno se vengono fornite solo le autorizzazioni minime. Questa sezione elenca le autorizzazioni minime per azione.
Creazione di una connessione host
Aggiungere una connessione host utilizzando le informazioni ottenute da Azure.
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->
Gestione dell’alimentazione delle macchine virtuali
Accendere o spegnere le istanze della macchina.
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->
Creazione, aggiornamento o eliminazione di macchine virtuali
Creare un catalogo delle macchine, quindi aggiungere, eliminare, aggiornare le macchine ed eliminare il catalogo delle macchine.
Di seguito è riportato l’elenco delle autorizzazioni minime richieste quando le immagini master sono dischi gestiti o snapshot che si trovano nella stessa area geografica della connessione di hosting.
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->
Sono necessarie le seguenti autorizzazioni aggiuntive basate su autorizzazioni minime per le seguenti funzionalità:
-
Se l’immagine master è un disco rigido virtuale (VHD) in un account di archiviazione situato nella stessa area geografica della connessione host:
"Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/listKeys/action", <!--NeedCopy-->
-
Se l’immagine master è una ImageVersion della Raccolta di calcolo di Azure (in precedenza Raccolta immagini condivise):
"Microsoft.Compute/galleries/read", "Microsoft.Compute/galleries/images/read", "Microsoft.Compute/galleries/images/versions/read", <!--NeedCopy-->
-
Se l’immagine master è un disco gestito o una snapshot o se il VHD si trova in una regione diversa dalla regione della connessione di hosting:
"Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/listKeys/action", "Microsoft.Storage/storageAccounts/write", "Microsoft.Storage/storageAccounts/delete", <!--NeedCopy-->
-
Se si utilizza un gruppo di risorse gestito da Citrix:
"Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/delete", <!--NeedCopy-->
-
Se si colloca l’immagine master nella Raccolta di calcolo di Azure (in precedenza Raccolta immagini condivise):
"Microsoft.Compute/galleries/write", "Microsoft.Compute/galleries/images/write", "Microsoft.Compute/galleries/images/versions/write", "Microsoft.Compute/galleries/read", "Microsoft.Compute/galleries/images/read", "Microsoft.Compute/galleries/images/versions/read", "Microsoft.Compute/galleries/delete", "Microsoft.Compute/galleries/images/delete", "Microsoft.Compute/galleries/images/versions/delete", <!--NeedCopy-->
-
Se si utilizza il supporto degli host dedicati di Azure:
"Microsoft.Compute/hostGroups/read", "Microsoft.Compute/hostGroups/write", "Microsoft.Compute/hostGroups/hosts/read", <!--NeedCopy-->
-
Se si utilizza la crittografia lato server (SSE) con le chiavi gestite dal cliente (CMK):
"Microsoft.Compute/diskEncryptionSets/read", <!--NeedCopy-->
-
Se si distribuiscono macchine virtuali utilizzando modelli ARM (profilo macchina):
"Microsoft.Resources/deployments/write", "Microsoft.Resources/deployments/operationstatuses/read", "Microsoft.Resources/deployments/read", "Microsoft.Resources/deployments/delete", <!--NeedCopy-->
-
Se si utilizza la specifica del modello di Azure come profilo macchina:
"Microsoft.Resources/templateSpecs/read", "Microsoft.Resources/templateSpecs/versions/read", <!--NeedCopy-->
Creazione, aggiornamento ed eliminazione di macchine con disco non gestito
Di seguito è riportato l’elenco delle autorizzazioni minime richieste quando l’immagine master è un VHD e utilizza il gruppo di risorse come fornito dall’amministratore:
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->
Gestire i dispositivi aggiunti ad Azure AD
Di seguito è riportato l’elenco delle autorizzazioni minime richieste per la gestione dei dispositivi aggiunti ad Azure AD:
microsoft.directory/devices/standard/read
microsoft.directory/devices/delete
<!--NeedCopy-->
Autorizzazioni generali
Il ruolo di collaboratore ha accesso completo per gestire tutte le risorse. Questo set di autorizzazioni non impedisce di ottenere nuove funzionalità.
Il seguente set di autorizzazioni fornisce la migliore compatibilità in futuro, sebbene includa più autorizzazioni del necessario con il set di funzionalità corrente:
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->
Autorizzazione Azure AD
Se si creano cataloghi di macchine aggiunte ad Azure AD, MCS è responsabile della gestione dei dispositivi Azure AD quando si abilita la gestione dei dispositivi collegati ad Azure AD. Il ruolo di amminstratore del dispositivo cloud integrato in Azure AD offre la migliore compatibilità verso il futuro, sebbene includa più autorizzazioni di quelle necessarie per l’insieme di funzionalità corrente.
Passaggi successivi
- Se ci si trova nel processo di distribuzione iniziale, vedere Creare cataloghi delle macchine.
- Per informazioni specifiche su Azure, vedere Creare un catalogo di Microsoft Azure.