Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Visualizza PDF

Connessione a Microsoft Azure

January 24, 2025
Grazie al contributo di: 
C

Nota:

Da luglio 2023, Microsoft ha rinominato Azure Active Directory (Azure AD) in Microsoft Entra ID. Nel presente documento, qualsiasi riferimento ad Azure Active Directory, Azure AD o AAD fa ora riferimento a Microsoft Entra ID.

Crea e gestisci connessioni e risorse descrive le procedure guidate che creano una connessione. Le informazioni seguenti riguardano i dettagli specifici degli ambienti cloud di Azure Resource Manager.

Nota:

Prima di creare una connessione a Microsoft Azure, è necessario completare la configurazione dell’account Azure come posizione della risorsa. Vedere Ambienti cloud di Microsoft Azure Resource Manager.

Creare principi di servizio e connessioni

Prima di creare connessioni, è necessario configurare le entità servizio che le connessioni utilizzeranno per accedere alle risorse di Azure. Puoi creare una connessione in due modi:

  • Crea un’entità di servizio e una connessione insieme utilizzando Web Studio
  • Crea una connessione utilizzando un’entità di servizio creata in precedenza

Questa sezione mostra come completare queste attività:

Considerazioni

  • Citrix consiglia di utilizzare Service Principal con ruolo di collaboratore. Tuttavia, vedere la sezione Autorizzazioni minime per ottenere l’elenco delle autorizzazioni minime.
  • Quando si crea la prima connessione, Azure chiede di concedere le autorizzazioni necessarie. Per le connessioni future dovrai comunque autenticarti, ma Azure ricorderà il tuo consenso precedente e non visualizzerà più la richiesta.
  • Gli account utilizzati per l’autenticazione devono disporre delle autorizzazioni per assegnare ruoli nella sottoscrizione tramite Azure RBAC. Ad esempio, proprietario, amministratore del controllo degli accessi basato sui ruoli o amministratore dell’accesso utente dell’abbonamento.
  • L’account utilizzato per l’autenticazione deve essere membro della directory dell’abbonamento. Ci sono due tipi di account di cui essere a conoscenza: “Lavoro o scuola” e “account Microsoft personale”. Per i dettagli, vedere CTX219211 .

  • Sebbene sia possibile utilizzare un account Microsoft esistente aggiungendolo come membro della directory dell’abbonamento, potrebbero verificarsi delle complicazioni se all’utente è stato precedentemente concesso l’accesso come ospite a una delle risorse della directory. In questo caso, potrebbero avere una voce segnaposto nella directory che non concede loro le autorizzazioni necessarie e viene restituito un errore.

    Per risolvere il problema, rimuovere le risorse dalla directory e aggiungerle nuovamente in modo esplicito. Tuttavia, è opportuno utilizzare questa opzione con cautela, poiché ha effetti indesiderati su altre risorse a cui l’account può accedere.

  • Esiste un problema noto per cui alcuni account vengono rilevati come ospiti della directory quando in realtà ne sono membri. Configurazioni di questo tipo si verificano in genere con account di directory più vecchi. Soluzione alternativa: aggiungere un account alla directory, che assume il valore di appartenenza corretto.
  • I gruppi di risorse sono semplicemente contenitori per risorse e possono contenere risorse provenienti da regioni diverse dalla propria. Ciò potrebbe potenzialmente creare confusione se ci si aspetta che le risorse visualizzate nella regione di un gruppo di risorse siano disponibili.
  • Assicurati che la tua rete e la tua subnet siano sufficientemente grandi da ospitare il numero di macchine di cui hai bisogno. Ciò richiede una certa lungimiranza, ma Microsoft aiuta a specificare i valori corretti, con indicazioni sulla capacità dello spazio degli indirizzi.

Creare un’entità di servizio e una connessione utilizzando Web Studio

Importante:

Questa funzionalità non è ancora disponibile per gli abbonamenti ad Azure Cina.

Con Web Studio puoi creare sia un’entità servizio sia una connessione in un unico flusso di lavoro. I principi di servizio consentono alle connessioni di accedere alle risorse di Azure. Quando si esegue l’autenticazione in Azure per creare un’entità servizio, un’applicazione viene registrata in Azure. Per l’applicazione registrata viene creata una chiave segreta (denominata segreto client o segreto dell’applicazione). L’applicazione registrata (in questo caso una connessione) utilizza il segreto client per l’autenticazione ad Azure AD.

Prima di iniziare, assicurati di aver soddisfatto questi prerequisiti:

  • Hai un account utente nel tenant di Azure Active Directory del tuo abbonamento.
  • Gli account utilizzati per l’autenticazione devono disporre delle autorizzazioni per assegnare ruoli nella sottoscrizione tramite Azure RBAC. Ad esempio, proprietario, amministratore del controllo degli accessi basato sui ruoli o amministratore dell’accesso utente dell’abbonamento.
  • Per l’autenticazione disponi delle autorizzazioni di amministratore globale, amministratore dell’applicazione o sviluppatore dell’applicazione. Queste autorizzazioni possono essere revocate dopo aver creato la connessione host. Per ulteriori informazioni sui ruoli, vedere Ruoli predefiniti di Azure AD.

Utilizzare la procedura guidata Aggiungi connessione e risorse per creare insieme un’entità servizio e una connessione:

  1. Nella pagina Connessione , seleziona Crea una nuova connessione, il tipo di connessione Microsoft Azure e il tuo ambiente Azure.

  2. Seleziona gli strumenti da utilizzare per creare le macchine virtuali, quindi seleziona Avanti.

  3. Nella pagina Dettagli connessione , immetti l’ID della tua sottoscrizione di Azure e un nome per la connessione. Dopo aver inserito l’ID dell’abbonamento, il pulsante Crea nuovo viene abilitato.

    Nota:

    Il nome della connessione può contenere da 1 a 64 caratteri e non può contenere solo spazi né i caratteri \/;:#.*?=<>|[]{}"'()'.

  4. Selezionare Crea nuovo , quindi immettere il nome utente e la password dell’account Azure Active Directory.
  5. Seleziona Accedi.
  6. Selezionare Accetta per concedere a Citrix Virtual Apps and Desktops le autorizzazioni elencate. Citrix Virtual Apps and Desktops crea un’entità servizio che consente di gestire le risorse di Azure per conto dell’utente specificato.

  7. Dopo aver selezionato Accetta, si torna alla pagina Connessione della procedura guidata.

    Nota:

    Dopo aver eseguito correttamente l’autenticazione ad Azure, i pulsanti Crea nuovo e Usa esistente scompaiono. Viene visualizzato il testo Connessione riuscita , con un segno di spunta verde, a indicare la connessione riuscita alla sottoscrizione di Azure.

  8. Nella pagina Dettagli connessione , seleziona Avanti.

    Nota:

    Non è possibile procedere alla pagina successiva finché non si esegue correttamente l’autenticazione ad Azure e non si acconsente alla concessione delle autorizzazioni richieste.

  9. Configurare le risorse per la connessione. Le risorse comprendono la regione e la rete.

    • Nella pagina Regione , seleziona una regione.
    • Nella pagina Rete , procedi come segue:
      • Digitare un nome di risorsa di 1–64 caratteri per facilitare l’identificazione della combinazione di regione e rete. Il nome di una risorsa non può contenere solo spazi vuoti né i caratteri \/;:#.*?=<>|[]{}"'()'.
      • Selezionare una coppia rete virtuale/gruppo di risorse. (Se hai più di una rete virtuale con lo stesso nome, l’associazione del nome della rete al gruppo di risorse fornisce combinazioni univoche.) Se la regione selezionata nella pagina precedente non ha reti virtuali, torna a quella pagina e seleziona una regione che abbia reti virtuali.
  10. Nella pagina Riepilogo , visualizza un riepilogo delle impostazioni e seleziona Fine per completare la configurazione.

Visualizza l’ID dell’applicazione

Dopo aver creato una connessione, è possibile visualizzare l’ID applicazione utilizzato dalla connessione per accedere alle risorse di Azure.

Nell’elenco Aggiungi connessione e risorse , seleziona la connessione per visualizzarne i dettagli. La scheda Dettagli mostra l’ID applicazione.

Creare un’entità servizio tramite PowerShell

Per creare un’entità servizio tramite PowerShell, connettersi alla sottoscrizione di Azure Resource Manager e utilizzare i cmdlet di PowerShell forniti nelle sezioni seguenti.

Assicurati di avere pronti questi elementi:

  • SubscriptionId: Azure Resource Manager SubscriptionID per la sottoscrizione in cui si desidera effettuare il provisioning di VDA.
  • ActiveDirectoryID: ID tenant dell’applicazione registrata con Azure AD.
  • ApplicationName: Nome dell’applicazione da creare in Azure AD.

I passaggi dettagliati sono i seguenti:

Connettiti al tuo abbonamento ad Azure Resource Manager.

  `Connect-AzAccount`

  1. Selezionare la sottoscrizione di Azure Resource Manager in cui si desidera creare l’entità servizio.

    Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

  2. Crea l’applicazione nel tuo tenant AD.

    $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

  3. Creare un’entità di servizio.

    New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

  4. Assegnare un ruolo al servizio principale.

    New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

  5. Dalla finestra di output della console di PowerShell, annotare l’ApplicationId. Tale ID viene fornito durante la creazione della connessione host.

Ottieni il segreto dell’applicazione in Azure

Per creare una connessione utilizzando un’entità servizio esistente, è necessario prima ottenere l’ID applicazione e il segreto dell’entità servizio nel portale di Azure.

I passaggi dettagliati sono i seguenti:

  1. Ottieni l’ID applicazione ** da Web Studio o tramite PowerShell.
  2. Accedi al portale di Azure.
  3. In Azure, seleziona Azure Active Directory.
  4. Da Registrazioni app in Azure AD, seleziona la tua applicazione.
  5. Vai a Certificati & segreti.
  6. Fare clic su Segreti client.

Crea una connessione utilizzando un’entità di servizio esistente

Se disponi già di un’entità servizio, puoi utilizzarla per creare una connessione tramite Web Studio.

Assicurati di avere pronti questi elementi:

  • ID abbonamento
  • ActiveDirectoryID (ID tenant)
  • ID applicazione

  • Segreto dell’applicazione

    Per ulteriori informazioni, vedere Ottieni il segreto dell’applicazione.

  • Data di scadenza segreta

I passaggi dettagliati sono i seguenti:

Nella procedura guidata Aggiungi connessione e risorse :

  1. Nella pagina Connessione , seleziona Crea una nuova connessione, il tipo di connessione Microsoft Azure e il tuo ambiente Azure.

  2. Seleziona gli strumenti da utilizzare per creare le macchine virtuali, quindi seleziona Avanti.

  3. Nella pagina Dettagli connessione , immetti l’ID della tua sottoscrizione di Azure e un nome per la connessione.

    Nota:

    Il nome della connessione può contenere da 1 a 64 caratteri e non può contenere solo spazi né i caratteri \/;:#.*?=<>|[]{}"'()'.

  4. Seleziona Usaesistente. Nella finestra Dettagli del servizio principale esistente , immettere le seguenti impostazioni per il servizio principale esistente. Dopo aver inserito i dettagli, il pulsante Salva viene abilitato. Seleziona Salva. Non puoi procedere oltre questa pagina finché non fornisci dati validi.

    • ID abbonamento. Inserisci l’ID della tua sottoscrizione Azure. Per ottenere l’ID della sottoscrizione, accedi al portale di Azure e vai a Sottoscrizioni > Panoramica.
    • ID di Active Directory (ID tenant). Immetti l’ID directory (tenant) dell’applicazione registrata con Azure AD.
    • ID applicazione. Immetti l’ID applicazione (client) dell’applicazione registrata con Azure AD.
    • Segreto dell’applicazione. Creare una chiave segreta (segreto client). L’applicazione registrata utilizza la chiave per l’autenticazione ad Azure AD. Per motivi di sicurezza, ti consigliamo di cambiare regolarmente le chiavi. Assicuratevi di conservare la chiave perché non potrete recuperarla in seguito.

    • Data di scadenza del segreto. Inserisci la data di scadenza del segreto dell’applicazione. Riceverai un avviso sulla console prima che la chiave segreta scada. Tuttavia, se la chiave segreta scade, si verificano degli errori.

      Nota:

      Per motivi di sicurezza, il periodo di scadenza non può essere superiore a due anni.

    • URL di autenticazione. Questo campo viene compilato automaticamente e non è modificabile.
    • URL di gestione. Questo campo viene compilato automaticamente e non è modificabile.

    • Suffisso di archiviazione. Questo campo viene compilato automaticamente e non è modificabile.

      Per creare un catalogo MCS in Azure è necessario l’accesso ai seguenti endpoint. L’accesso a questi endpoint ottimizza la connettività tra la rete e il portale di Azure e i suoi servizi.

  5. Dopo aver selezionato Salva, tornerai alla pagina Dettagli connessione . Selezionare Avanti per passare alla pagina successiva.

  6. Configurare le risorse per la connessione. Le risorse comprendono la regione e la rete.

    • Nella pagina Regione , seleziona una regione.
    • Nella pagina Rete , procedi come segue:
      • Digitare un nome di risorsa di 1–64 caratteri per facilitare l’identificazione della combinazione di regione e rete. Il nome di una risorsa non può contenere solo spazi vuoti né i caratteri \/;:#.*?=<>|[]{}"'()'.
      • Selezionare una coppia rete virtuale/gruppo di risorse. (Se hai più di una rete virtuale con lo stesso nome, l’associazione del nome della rete al gruppo di risorse fornisce combinazioni univoche.) Se la regione selezionata nella pagina precedente non ha reti virtuali, torna a quella pagina e seleziona una regione che abbia reti virtuali.

  7. Nella pagina Riepilogo , visualizza un riepilogo delle impostazioni e seleziona Fine per completare la configurazione.

Gestire i principali servizi e le connessioni

Questa sezione descrive in dettaglio come gestire i principali servizi e le connessioni:

Configurare le impostazioni di limitazione di Azure

Azure Resource Manager limita le richieste di sottoscrizioni e tenant, instradando il traffico in base a limiti definiti, personalizzati in base alle esigenze specifiche del provider. Per ulteriori informazioni, vedere Limitazione delle richieste di Resource Manager sul sito Microsoft. Esistono limiti per gli abbonamenti e gli inquilini, per cui la gestione di molte macchine può diventare problematica. Ad esempio, un abbonamento contenente molte macchine potrebbe presentare problemi di prestazioni relativi alle operazioni di alimentazione.

Mancia:

Per ulteriori informazioni, vedere Miglioramento delle prestazioni di Azure con i servizi di creazione macchine.

Per attenuare questi problemi, puoi rimuovere la limitazione interna di MCS per utilizzare una quota maggiore di richieste disponibile da Azure.

Si consigliano le seguenti impostazioni ottimali quando si accendono o spengono le VM in abbonamenti di grandi dimensioni, ad esempio quelli contenenti 1.000 VM:

  • Operazioni simultanee assolute: 500
  • Numero massimo di nuove operazioni al minuto: 2000
  • Concorrenza massima delle operazioni: 500

Utilizzare Web Studio per configurare le operazioni di Azure per una determinata connessione di Azure:

  1. In Web Studio, seleziona Hosting nel riquadro di sinistra.
  2. Selezionare la connessione.
  3. Nella procedura guidata Modifica connessione , seleziona Avanzate.
  4. Nella pagina Avanzate , utilizzare le opzioni di configurazione per specificare il numero di azioni simultanee e il numero massimo di nuove azioni al minuto, nonché eventuali opzioni di connessione aggiuntive.

Limitazione di Azure

Per impostazione predefinita, MCS supporta un massimo di 500 operazioni simultanee. In alternativa, è possibile utilizzare Remote PowerShell SDK per impostare il numero massimo di operazioni simultanee.

Utilizzare la proprietà PowerShell , MaximumConcurrentProvisioningOperations, per specificare il numero massimo di operazioni di provisioning di Azure simultanee. Quando si utilizza questa proprietà, considerare:

  • Il valore predefinito di MaximumConcurrentProvisioningOperations è 500.
  • Configurare il parametro MaximumConcurrentProvisioningOperations utilizzando il comando PowerShell Set-item.

Abilitare la condivisione delle immagini in Azure

Durante la creazione o l’aggiornamento dei cataloghi delle macchine, è possibile selezionare immagini condivise da diversi tenant e sottoscrizioni di Azure (condivise tramite Azure Compute Gallery). Per abilitare la condivisione delle immagini all’interno o tra i tenant, è necessario effettuare le impostazioni necessarie in Azure:

Condividere immagini all’interno di un tenant (tra gli abbonamenti)

Per selezionare un’immagine in Azure Compute Gallery che appartiene a una sottoscrizione diversa, l’immagine deve essere condivisa con l’entità servizio (SPN) di tale sottoscrizione.

Ad esempio, se è presente un’entità servizio (SPN 1), configurata in Studio come:

Principale del servizio: SPN 1

Abbonamento: abbonamento 1

Inquilino: inquilino 1

L’immagine è in un abbonamento diverso, configurato in Studio come:

Abbonamento: abbonamento 2

Inquilino: inquilino 1

Se si desidera condividere l’immagine nell’abbonamento 2 con l’abbonamento 1 (SPN 1), andare all’abbonamento 2 e condividere il gruppo di risorse con SPN1.

L’immagine deve essere condivisa con un altro SPN tramite il controllo degli accessi basato sui ruoli di Azure (RBAC). Azure RBAC è il sistema di autorizzazione utilizzato per gestire l’accesso alle risorse di Azure. Per ulteriori informazioni su Azure RBAC, vedere il documento Microsoft Che cos’è il controllo degli accessi in base al ruolo di Azure (Azure RBAC). Per concedere l’accesso, assegnare ruoli ai principali servizi nell’ambito del gruppo di risorse con il ruolo di Collaboratore. Per assegnare ruoli di Azure, è necessario disporre dell’autorizzazione Microsoft.Authorization/roleAssignments/write , ad esempio Amministratore accesso utente o Proprietario. Per ulteriori informazioni sulla condivisione di immagini con un altro SPN, vedere il documento Microsoft Assegnare ruoli di Azure tramite il portale di Azure.

Per informazioni sulla selezione di un’immagine da un abbonamento diverso tramite comandi di PowerShell, Seleziona un’immagine da un abbonamento diverso.

Condividi le immagini tra i tenant

Per condividere immagini tra tenant con Azure Compute Gallery, creare una registrazione dell’applicazione.

Ad esempio, se ci sono due inquilini (Inquilino 1 e Inquilino 2) e desideri condividere la tua galleria di immagini con l’Inquilino 1, allora:

  1. Creare una registrazione dell’applicazione per il Tenant 1. Per ulteriori informazioni, vedere Creare la registrazione dell’app.

  2. Concedere all’Inquilino 2 l’accesso all’applicazione richiedendo l’accesso tramite un browser. Sostituisci ID Tenant2 con l’ID tenant del Tenant 1. Sostituisci ID applicazione (client) con l’ID applicazione della registrazione dell’applicazione che hai creato. Una volta completate le sostituzioni, incolla l’URL in un browser e segui le istruzioni di accesso per accedere al Tenant 2. Per esempio:

      https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F
<!--NeedCopy-->

    Per ulteriori informazioni, vedere Concedere all’inquilino 2 l’accesso.

  3. Concedere all’applicazione l’accesso al gruppo di risorse Tenant 2. Accedi come Tenant 2 e consenti all’applicazione di accedere al gruppo di risorse contenente l’immagine della galleria. Per ulteriori informazioni, vedere Autenticare le richieste tra i tenant.

Per creare un catalogo utilizzando un’immagine da un tenant diverso tramite i comandi di PowerShell:

  1. Aggiorna le proprietà personalizzate della connessione di hosting con ID tenant condivisi.
  2. Seleziona un’immagine da un tenant diverso.

Aggiungere tenant condivisi a una connessione tramite Web Studio

Quando si creano o si aggiornano cataloghi di macchine in Web Studio, è possibile selezionare immagini condivise da diversi tenant e sottoscrizioni di Azure (condivise tramite Azure Compute Gallery). Per questa funzionalità è necessario fornire informazioni condivise sul tenant e sull’abbonamento per le connessioni host associate.

Nota:

Assicurati di aver configurato le impostazioni necessarie in Azure per abilitare la condivisione delle immagini tra i tenant. Per ulteriori informazioni, vedere Condividere immagini tra tenant.

Per effettuare una connessione, completare i seguenti passaggi:

  1. In Web Studio, seleziona Hosting nel riquadro di sinistra.

  2. Selezionare la connessione, quindi selezionare Modifica connessione nella barra delle azioni.

    Inquilini condivisi

  3. In Shared Tenants, procedere come segue:

    • Fornire l’ID dell’applicazione e il segreto dell’applicazione associati alla sottoscrizione della connessione. Citrix Virtual Apps and Desktops utilizza queste informazioni per l’autenticazione ad Azure AD.
    • Aggiungere tenant e sottoscrizioni che condividono Azure Compute Gallery con la sottoscrizione della connessione. È possibile aggiungere fino a 8 tenant condivisi e 8 abbonamenti per ciascun tenant.
  4. Una volta terminato, seleziona Applica per applicare le modifiche apportate e mantenere la finestra aperta, oppure seleziona OK per applicare le modifiche e chiudere la finestra.

Implementare la condivisione delle immagini tramite PowerShell

Questa sezione illustra i processi di condivisione delle immagini tramite PowerShell:

Seleziona un’immagine da un abbonamento diverso

È possibile selezionare un’immagine in Azure Compute Gallery che appartiene a una sottoscrizione condivisa diversa nello stesso tenant di Azure per creare e aggiornare i cataloghi MCS utilizzando i comandi di PowerShell.

  1. Nella cartella radice dell’unità di hosting, Citrix crea una nuova cartella di sottoscrizione condivisa denominata sharedsubscription.

  2. Elenca tutti gli abbonamenti condivisi in un tenant.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder"
<!--NeedCopy-->

  3. Selezionare una sottoscrizione condivisa, quindi elencare tutti i gruppi di risorse condivise di tale sottoscrizione condivisa.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription"
<!--NeedCopy-->

  4. Seleziona un gruppo di risorse, quindi elenca tutte le gallerie di quel gruppo di risorse.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup"
<!--NeedCopy-->

  5. Seleziona una galleria, quindi elenca tutte le definizioni delle immagini presenti in quella galleria.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery"
<!--NeedCopy-->

  6. Seleziona una definizione dell’immagine, quindi elenca tutte le versioni dell’immagine di quella definizione.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition"
<!--NeedCopy-->

  7. Crea e aggiorna un catalogo MCS utilizzando i seguenti elementi:

    • Gruppo di risorse
    • Galleria
    • Definizione dell’immagine della galleria
    • Versione immagine galleria

    Per informazioni su come creare un catalogo utilizzando Remote PowerShell SDK, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Aggiorna le proprietà personalizzate della connessione di hosting con ID tenant condivisi

Utilizzare Set-Item per aggiornare le proprietà personalizzate della connessione di hosting con ID tenant condivisi e ID di sottoscrizione. Aggiungere una proprietà SharedTenants in CustomProperties. Il formato di Shared Tenant è:

  [{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->

Per esempio:

  Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
  <Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
  <Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
  <Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
  <Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
  <Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
  <Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
  </CustomProperties>"
  -LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
  $psd
<!--NeedCopy-->

Nota:

È possibile aggiungere più di un inquilino. Ogni tenant può avere più di un abbonamento.

Seleziona un’immagine da un tenant diverso

È possibile selezionare un’immagine nella Galleria di Azure Compute che appartiene a un tenant di Azure diverso per creare e aggiornare i cataloghi MCS utilizzando i comandi di PowerShell.

  1. Nella cartella radice dell’unità di hosting, Citrix crea una nuova cartella di sottoscrizione condivisa denominata sharedsubscription.

  2. Elenca tutti gli abbonamenti condivisi.

      Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder
<!--NeedCopy-->

  3. Selezionare una sottoscrizione condivisa, quindi elencare tutti i gruppi di risorse condivise di tale sottoscrizione condivisa.

      Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription
<!--NeedCopy-->

  4. Seleziona un gruppo di risorse, quindi elenca tutte le gallerie di quel gruppo di risorse.

      Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup
<!--NeedCopy-->

  5. Seleziona una galleria, quindi elenca tutte le definizioni delle immagini presenti in quella galleria.

      Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery
<!--NeedCopy-->

  6. Seleziona una definizione dell’immagine, quindi elenca tutte le versioni dell’immagine di quella definizione.

      Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition
<!--NeedCopy-->

  7. Crea e aggiorna un catalogo MCS utilizzando i seguenti elementi:

    • Gruppo di risorse
    • Galleria
    • Definizione dell’immagine della galleria
    • Versione immagine galleria

    Per informazioni su come creare un catalogo utilizzando Remote PowerShell SDK, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Gestire il segreto dell’applicazione e la data di scadenza del segreto

Assicuratevi di modificare il segreto dell’applicazione per una connessione prima che scada. Riceverai un avviso su Web Studio prima che la chiave segreta scada.

Creare un segreto dell’applicazione in Azure

È possibile creare un segreto applicativo per una connessione tramite il portale di Azure.

  1. Selezionare Azure Active Directory.
  2. Da Registrazioni app in Azure AD, seleziona la tua applicazione.
  3. Vai a Certificati & segreti.
  4. Fai clic su Segreti client > Nuovo segreto client.

  5. Fornire una descrizione del segreto e specificarne la durata. Una volta terminato, seleziona Aggiungi.

    Nota:

    Assicurati di salvare il segreto del client perché non potrai recuperarlo in seguito.

  6. Copia il valore del segreto client e la data di scadenza.
  7. In Web Studio, modifica la connessione corrispondente e sostituisci il contenuto nei campi Segreto applicazione e Data di scadenza del segreto con i valori copiati.

Cambia la data di scadenza del segreto

È possibile utilizzare Web Studio per aggiungere o modificare la data di scadenza del segreto dell’applicazione in uso.

  1. Nella procedura guidata Aggiungi connessione e risorse , fai clic con il pulsante destro del mouse su una connessione e fai clic su Modifica connessione.
  2. Nella pagina Proprietà connessione , fare clic su Data di scadenza del segreto per aggiungere o modificare la data di scadenza del segreto dell’applicazione in uso.

Autorizzazioni Azure richieste

Questa sezione contiene le autorizzazioni minime e generali richieste per Azure.

Permessi minimi

Le autorizzazioni minime garantiscono un migliore controllo della sicurezza. Tuttavia, le nuove funzionalità che richiedono autorizzazioni aggiuntive non funzionano perché vengono utilizzate solo le autorizzazioni minime.

Creazione di una connessione host

Aggiungere una nuova connessione host utilizzando le informazioni ottenute da Azure.

  "Microsoft.Network/virtualNetworks/read",
  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Compute/disks/read",
<!--NeedCopy-->

Gestione dell’alimentazione delle VM

Accendere o spegnere le istanze della macchina.

  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Resources/subscriptions/resourceGroups/read",
  "Microsoft.Compute/virtualMachines/deallocate/action",
  "Microsoft.Compute/virtualMachines/start/action",
  "Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Creazione, aggiornamento o eliminazione di VM

Creare un catalogo macchine, quindi aggiungere, eliminare, aggiornare macchine ed eliminare il catalogo macchine.

Di seguito è riportato l’elenco delle autorizzazioni minime richieste quando l’immagine master è gestita su disco o gli snapshot si trovano nella stessa regione della connessione di hosting.

  "Microsoft.Resources/subscriptions/resourceGroups/read",
  "Microsoft.Resources/deployments/validate/action",
  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Compute/virtualMachines/write",
  "Microsoft.Compute/virtualMachines/delete",
  "Microsoft.Compute/virtualMachines/deallocate/action",
  "Microsoft.Compute/snapshots/read",
  "Microsoft.Compute/snapshots/write",
  "Microsoft.Compute/snapshots/delete",
  "Microsoft.Compute/snapshots/beginGetAccess/action",
  "Microsoft.Compute/snapshots/endGetAccess/action",
  "Microsoft.Compute/disks/read",
  "Microsoft.Compute/disks/write",
  "Microsoft.Compute/disks/delete",
  "Microsoft.Compute/disks/beginGetAccess/action",
  "Microsoft.Compute/disks/endGetAccess/action",
  "Microsoft.Network/virtualNetworks/read",
  "Microsoft.Network/virtualNetworks/subnets/join/action",
  "Microsoft.Network/virtualNetworks/subnets/read",
  "Microsoft.Network/networkSecurityGroups/read",
  "Microsoft.Network/networkSecurityGroups/write",
  "Microsoft.Network/networkSecurityGroups/delete",
  "Microsoft.Network/networkSecurityGroups/join/action",
  "Microsoft.Network/networkInterfaces/read",
  "Microsoft.Network/networkInterfaces/write",
  "Microsoft.Network/networkInterfaces/delete",
  "Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Sono necessarie le seguenti autorizzazioni aggiuntive basate sulle autorizzazioni minime per le seguenti funzionalità:

  • Se l’immagine master è un VHD in un account di archiviazione situato nella stessa regione della connessione di hosting:

       "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
 <!--NeedCopy-->

  • Se l’immagine master è un ImageVersion dalla Galleria immagini condivise:

       "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
 <!--NeedCopy-->

  • Se l’immagine master è un disco gestito, gli snapshot o il VHD si trovano in una regione diversa dalla regione di hosting della connessione:

       "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   "Microsoft.Storage/storageAccounts/write",
   "Microsoft.Storage/storageAccounts/delete",
 <!--NeedCopy-->

  • Se si utilizza un gruppo di risorse gestito da Citrix:

       "Microsoft.Resources/subscriptions/resourceGroups/write",
   "Microsoft.Resources/subscriptions/resourceGroups/delete",
 <!--NeedCopy-->

  • Se inserisci l’immagine master nella Galleria immagini condivise:

       "Microsoft.Compute/galleries/write",
   "Microsoft.Compute/galleries/images/write",
   "Microsoft.Compute/galleries/images/versions/write",
   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   "Microsoft.Compute/galleries/delete",
   "Microsoft.Compute/galleries/images/delete",
   "Microsoft.Compute/galleries/images/versions/delete",
 <!--NeedCopy-->

  • Se utilizzi il supporto host dedicato di Azure:

       "Microsoft.Compute/hostGroups/read",
   "Microsoft.Compute/hostGroups/write",
   "Microsoft.Compute/hostGroups/hosts/read",
 <!--NeedCopy-->

  • Se si utilizza la crittografia lato server (SSE) con chiavi gestite dal cliente (CMK):

       "Microsoft.Compute/diskEncryptionSets/read",
 <!--NeedCopy-->

  • Se distribuisci VM utilizzando modelli ARM (profilo macchina):

       "Microsoft.Resources/deployments/write",
   "Microsoft.Resources/deployments/operationstatuses/read",
   "Microsoft.Resources/deployments/read",
   "Microsoft.Resources/deployments/delete",
 <!--NeedCopy-->

  • Se si utilizza la specifica del modello di Azure come profilo macchina:

       "Microsoft.Resources/templateSpecs/read",
   "Microsoft.Resources/templateSpecs/versions/read",
 <!--NeedCopy-->

Creazione, aggiornamento ed eliminazione di macchine con disco non gestito

Di seguito è riportato l’elenco delle autorizzazioni minime richieste quando l’immagine master è VHD e utilizza il gruppo di risorse fornito dall’amministratore:

  "Microsoft.Resources/subscriptions/resourceGroups/read",
  "Microsoft.Storage/storageAccounts/delete",
  "Microsoft.Storage/storageAccounts/listKeys/action",
  "Microsoft.Storage/storageAccounts/read",
  "Microsoft.Storage/storageAccounts/write",
  "Microsoft.Compute/virtualMachines/deallocate/action",
  "Microsoft.Compute/virtualMachines/delete",
  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Compute/virtualMachines/write",
  "Microsoft.Resources/deployments/validate/action",
  "Microsoft.Network/networkInterfaces/delete",
  "Microsoft.Network/networkInterfaces/join/action",
  "Microsoft.Network/networkInterfaces/read",
  "Microsoft.Network/networkInterfaces/write",
  "Microsoft.Network/networkSecurityGroups/delete",
  "Microsoft.Network/networkSecurityGroups/join/action",
  "Microsoft.Network/networkSecurityGroups/read",
  "Microsoft.Network/networkSecurityGroups/write",
  "Microsoft.Network/virtualNetworks/subnets/read",
  "Microsoft.Network/virtualNetworks/read",
  "Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Permesso generale

Il ruolo di collaboratore ha pieno accesso alla gestione di tutte le risorse. Questo set di autorizzazioni non ti impedisce di ottenere nuove funzionalità.

Il seguente set di autorizzazioni garantisce la migliore compatibilità futura, sebbene includa più autorizzazioni di quelle necessarie con l’attuale set di funzionalità:

  "Microsoft.Compute/diskEncryptionSets/read",
  "Microsoft.Compute/disks/beginGetAccess/action",
  "Microsoft.Compute/disks/delete",
  "Microsoft.Compute/disks/endGetAccess/action",
  "Microsoft.Compute/disks/read",
  "Microsoft.Compute/disks/write",
  "Microsoft.Compute/galleries/delete",
  "Microsoft.Compute/galleries/images/delete",
  "Microsoft.Compute/galleries/images/read",
  "Microsoft.Compute/galleries/images/versions/delete",
  "Microsoft.Compute/galleries/images/versions/read",
  "Microsoft.Compute/galleries/images/versions/write",
  "Microsoft.Compute/galleries/images/write",
  "Microsoft.Compute/galleries/read",
  "Microsoft.Compute/galleries/write",
  "Microsoft.Compute/hostGroups/hosts/read",
  "Microsoft.Compute/hostGroups/read",
  "Microsoft.Compute/hostGroups/write",
  "Microsoft.Compute/snapshots/beginGetAccess/action",
  "Microsoft.Compute/snapshots/delete",
  "Microsoft.Compute/snapshots/endGetAccess/action",
  "Microsoft.Compute/snapshots/read",
  "Microsoft.Compute/snapshots/write",
  "Microsoft.Compute/virtualMachines/deallocate/action",
  "Microsoft.Compute/virtualMachines/delete",
  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Compute/virtualMachines/restart/action",
  "Microsoft.Compute/virtualMachines/start/action",
  "Microsoft.Compute/virtualMachines/write",
  "Microsoft.Network/networkInterfaces/delete",
  "Microsoft.Network/networkInterfaces/join/action",
  "Microsoft.Network/networkInterfaces/read",
  "Microsoft.Network/networkInterfaces/write",
  "Microsoft.Network/networkSecurityGroups/delete",
  "Microsoft.Network/networkSecurityGroups/join/action",
  "Microsoft.Network/networkSecurityGroups/read",
  "Microsoft.Network/networkSecurityGroups/write",
  "Microsoft.Network/virtualNetworks/subnets/read",
  "Microsoft.Network/virtualNetworks/read",
  "Microsoft.Network/virtualNetworks/subnets/join/action",
  "Microsoft.Resources/deployments/operationstatuses/read",
  "Microsoft.Resources/deployments/read",
  "Microsoft.Resources/deployments/validate/action",
  "Microsoft.Resources/deployments/write",
  "Microsoft.Resources/deployments/delete",
  "Microsoft.Resources/subscriptions/resourceGroups/read",
  "Microsoft.Resources/subscriptions/resourceGroups/write",
  "Microsoft.Resources/subscriptions/resourceGroups/delete",
  "Microsoft.Storage/storageAccounts/delete",
  "Microsoft.Storage/storageAccounts/listKeys/action",
  "Microsoft.Storage/storageAccounts/read",
  "Microsoft.Storage/storageAccounts/write",
  "Microsoft.Resources/templateSpecs/read",
  "Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Configurare le autorizzazioni di connessione host di Azure richieste

È possibile configurare facilmente tutte le autorizzazioni minime richieste per un’entità servizio o un account utente in Azure associato a una connessione host per eseguire tutte le operazioni MCS utilizzando un modello ARM. Questo modello ARM automatizza quanto segue:

  • Creazione di un ruolo di Azure con le autorizzazioni minime necessarie per le operazioni.
  • Assegnazione di questo ruolo a un’entità servizio di Azure esistente a livello di sottoscrizione.

È possibile distribuire questo modello ARM utilizzando il portale di Azure o i comandi di PowerShell. Per ulteriori informazioni, vedere Modello ARM per operazioni CVAD.

Dove andare dopo

Ulteriori informazioni

Connessione a Microsoft Azure
January 24, 2025
Grazie al contributo di: 
C
January 24, 2025
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.