Microsoft Azureへの接続
注:
2023年7月より、MicrosoftはAzure Active Directory(Azure AD)の名前をMicrosoft Entra IDに変更しました。このドキュメントでは、Azure Active Directory、Azure AD、またはAADへの言及はすべて、Microsoft Entra IDを意味することになります。
「接続とリソースの作成と管理」では接続を作成するためのウィザードについて説明しています。以下の情報は、Azure Resource Managerクラウド環境に固有の詳細について説明しています。
注:
Microsoft Azureへの接続を作成する前に、Azureアカウントをリソースの場所として設定する必要があります。「Microsoft Azure Resource Manager仮想化環境」を参照してください。
サービスプリンシパルと接続の作成
接続を作成する前に、接続でAzureリソースへのアクセスに使用されるサービスプリンシパルを設定する必要があります。接続は次の2つの方法で作成できます:
- Studioを使用したサービスプリンシパルと接続の作成
- 以前に作成したサービスプリンシパルを使用した接続の作成
このセクションでは、次のタスクを完了する方法を説明します:
- Studioを使用したサービスプリンシパルと接続の作成
- PowerShellを使用したサービスプリンシパルの作成
- Azureでのアプリケーションシークレットの取得
- 既存のサービスプリンシパルを使用した接続の作成
注意事項
始める前に、次の考慮事項に注意してください:
- Contributor(投稿者)の役割でサービスプリンシパルを使用することをCitrixではお勧めします。ただし、最低限の権限の一覧を取得する方法については、「最低限の権限」セクションを参照してください。
- 最初の接続を作成するときに、必要な権限付与を求めるプロンプトがAzureで表示されます。その後の接続でも認証は必要ですが、Azureでは以前の同意が記憶され、このプロンプトは再表示されません。
- Azureで初めて認証すると、認証されたアカウントの代わりに、Citrix所有のマルチテナントアプリケーション(ID:
08b70dc3-76c5-4611-ba7d-3312ba36cb2b
)がAzure Active Directoryに招待されます。[接続の詳細] ページで [Azure AD参加済みデバイスの管理を有効にする ] を選択した場合は、ワークロードのプロビジョニングとAzure ADデバイス管理のためにこのアプリケーションを使用するか、既存のサービス プリンシパルの役割を手動で割り当てることを、Citrixに許可できます。 - 認証に使用されるアカウントには、Azure RBACを使用してサブスクリプションでの役割を割り当てるための権限が必要です。たとえば、サブスクリプションのOwner、Role Based Access Control Administrator、またはUser Access Administratorなどです。
- 認証に使用されるアカウントは、サブスクリプションのディレクトリのメンバーである必要があります。注意すべき2つのタイプのアカウントがあります。「職場または学校」と「個人用Microsoftアカウント」です。詳しくは、CTX219211を参照してください。
-
既存のMicrosoftアカウントは、サブスクリプションのディレクトリのメンバーとして追加することで使用できますが、ユーザーが以前にそのディレクトリのリソースのいずれかへのゲストアクセスを許可されていた場合は、複雑になる可能性があります。この場合、必要な権限を与えないディレクトリにプレースホルダーエントリが存在し、エラーが返されることがあります。
このエラーを修正するには、ディレクトリからリソースを削除し、明示的に追加し直します。ただし、そのアカウントがアクセスできる他のリソースに対して、予期しない影響を与えるので、このオプションは注意深く実行してください。
- 特定のアカウントが実際にメンバーであるときにディレクトリゲストとして検出されるという既知の問題があります。このような構成は、通常、以前に設定されたディレクトリアカウントで発生します。回避策:アカウントをディレクトリに追加します。これにより適切なメンバーシップ値が取得されます。
- リソースグループはリソースのコンテナにすぎず、そのリージョン以外のリージョンのリソースを含む場合があります。これが原因で、リソースグループのリージョンに表示されているリソースを利用できると期待した場合に、混乱を招く可能性があります。
- ネットワークとサブネットが、必要な数のマシンをホストするのに十分な大きさであることを確認してください。これには多少先見の明が必要ですが、Microsoftが、アドレススペースの容量に関するガイダンスを示して、適切な値を指定できるようサポートします。
Studioを使用したサービスプリンシパルと接続の作成
重要:
この機能は、Azure Chinaのサブスクリプションではまだ利用できません。
Studioを使用すると、サービスプリンシパルと接続の両方を1つのワークフローで作成できます。サービスプリンシパルにより、接続でAzureリソースにアクセスできるようになります。Azureに認証してサービスプリンシパルを作成すると、Azureにアプリケーションが登録されます。登録されたアプリケーションの秘密キー(クライアントシークレットまたはアプリケーションシークレットと呼ばれる)が作成されます。登録されたアプリケーション(この場合は接続)は、クライアントシークレットを使用してAzure ADに認証します。
手順を開始する前に、次の前提条件を満たしていることを確認してください。
- サブスクリプションのAzure Active Directoryテナントにユーザーアカウントがあること。
- 認証に使用されるアカウントには、Azure RBACを使用してサブスクリプションでの役割を割り当てるための権限が必要です。たとえば、サブスクリプションのOwner、Role Based Access Control Administrator、またはUser Access Administratorなどです。
- 認証のグローバル管理者、アプリケーション管理者、またはアプリケーション開発者の権限があること。この権限は、ホスト接続の作成後に失効する可能性があります。役割について詳しくは、「Azure ADの組み込みロール」を参照してください。
接続およびリソースの追加ウィザードを使用して、サービスプリンシパルと接続を同時に作成します。
-
[接続] ページで [新しい接続を作成する] を選択します。次に、接続の種類として [Microsoft Azure] を選択し、Azure環境を選択します。
-
仮想マシンの作成にどのツールを使用するかを選択し、[次へ]を選択します。
-
[接続の詳細]ページで、サービスプリンシパルを作成し、接続名を次のように設定します。
-
古いAzure AD参加デバイスを自動的にクリーンアップするための接続権限を付与するには、 [Enable Azure AD joined device management]を選択します。このオプションを選択することを推奨するケースは、そのような接続を使用してAzure AD参加マシンを作成したい場合です。詳しくは、「Azure AD参加デバイス管理を有効にする」を参照してください。
-
AzureサブスクリプションIDと接続の名前を入力しますサブスクリプションIDを入力すると、[新規作成]ボタンが有効になります。
注:
接続名は1~64文字にし、空白スペースのみにしたり記号(
\/;:#.*?=<>|[]{}"'()'
)を含めたりすることはできません。-
[新規作成] を選択してから、Azure Active Directoryアカウントのユーザー名とパスワードを入力します。
-
[サインイン] を選択します。
-
[承認]を選択して、表示された権限をCitrix DaaSに付与します。Azureによって、指定されたユーザーの代わりにCitrix DaaSがAzureリソースを管理できるようにするサービスプリンシパルが作成されます。
注:
Citrix DaaSでは、新しいサービスプリンシパルを作成するために次の権限が必要です:
- Azure Service Managementへのアクセス
- アプリケーションの読み取りと書き込み
- サインインと自分のプロファイルの読み取り
- アクセスを許可したデータへのアクセスを維持する
- ディレクトリのRBAC設定の読み取りと書き込み
ディレクトリのRBAC設定の読み取りと書き込み権限は、[Azure AD参加済みデバイスの管理を有効にする] 選択した場合にのみ要求されます。
-
[承認]を選択すると、[接続の詳細]ページに戻ります。
注:
Azureへの認証に成功すると、[新規作成]ボタンと [既存を使用] ボタンが表示されなくなります。緑色のチェックマークが付いた「接続に成功しました」というテキストが表示され、これはAzureサブスクリプションへの接続に成功したことを示します。
-
API要求をCitrix Cloud Connector経由でAzureにルーティングするには、[Citrix Cloud Connector経由のトラフィックをルーティングする] チェックボックスをオンにします。
また、PowerShellを使用してこの機能を有効にすることもできます。詳しくは、「Azure管理トラフィックのための安全な環境の作成」を参照してください。
注:
このオプションは、展開内にアクティブなCitrix Cloud Connectorがある場合にのみ使用できます。この機能は現時点ではConnector Applianceでサポートされていません。
-
[次へ] を選択します。
注:
Azureへの認証が完了し、必要な権限の付与に同意しない限り、次のページに進むことはできません。
-
-
接続用のリソースを次の手順で構成します:
- [リージョン] ページで領域を選択します。
-
[ネットワーク] ページで、次の手順を実行します:
- 1~64文字のリソース名を入力して、リージョンとネットワークの組み合わせを特定できるようにします。リソース名は、空白のみにしたり記号(
\/;:#.*?=<>|[]{}"'()'
)を含めたりすることはできません。 - 仮想ネットワークとリソースグループのペアを選択します。(複数の仮想ネットワークを同じ名前にする場合、ネットワーク名とリソースグループをペアリングすると一意の組み合わせになります。)前のページで選択したリージョンに仮想ネットワークがない場合は、前のページに戻って仮想ネットワークのあるリージョンを選択します。
- 1~64文字のリソース名を入力して、リージョンとネットワークの組み合わせを特定できるようにします。リソース名は、空白のみにしたり記号(
-
[概要] ページで、設定の概要を表示し、[完了]を選択してセットアップを完了します。
アプリケーションIDの表示
接続を作成した後、その接続でAzureリソースへのアクセスに使用されるアプリケーションIDを表示できます。
[接続およびリソースの追加] 一覧で、接続を選択して詳細を表示します。[詳細] タブで、アプリケーションIDが表示されます。
PowerShellを使用したサービスプリンシパルの作成
PowerShellを使用してサービスプリンシパルを作成するには、Azure Resource Managerサブスクリプションに接続して、後述のPowerShellコマンドレットを使用します。
以下のアイテムを必ず準備してください。
-
SubscriptionId: VDAをプロビジョニングするサブスクリプションのAzure Resource Manager
SubscriptionID
。 - ActiveDirectoryID:Azure ADに登録したアプリケーションのテナントID。
- ApplicationName: Azure AD内で作成されるアプリケーションの名前。
詳細な手順は次のとおりです:
-
Azure Resource Managerサブスクリプションに接続します。
Connect-AzAccount
-
サービスプリンシパルを作成するAzure Resource Managerサブスクリプションを選択します。
Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription
-
ADテナントでアプリケーションを作成します。
$AzureADApplication = New-AzADApplication -DisplayName $ApplicationName
-
サービスプリンシパルを作成します。
New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId
-
サービスプリンシパルに役割を割り当てます。
New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId
-
PowerShellコンソールの出力ウィンドウから、ApplicationIdをメモします。このIDは、ホスト接続を作成するときに使用します。
Azureでのアプリケーションシークレットの取得
既存のサービスプリンシパルを使用して接続を作成するには、まずAzure PortalでサービスプリンシパルのアプリケーションIDとシークレットを取得する必要があります。
詳細な手順は次のとおりです:
- Studioから、またはPowerShellを使用してアプリケーションIDを取得します。
- Azure Portalにサインインします。
- Azureで [Azure Active Directory] を選択します。
- Azure ADの [App registrations] でアプリケーションを選択します。
- [Certificates & secrets] に移動します。
- [Client secrets] をクリックします。
既存のサービスプリンシパルを使用した接続の作成
サービスプリンシパルが既にある場合は、そのサービスプリンシパルとStudioを使用して接続を作成できます。
以下のアイテムを必ず準備してください:
- サブスクリプションID
- Active Directory ID(テナントID)
- アプリケーションID
-
アプリケーションシークレット
詳しくは、「アプリケーションシークレットの取得」を参照してください。
- シークレットの有効期限
詳細な手順は次のとおりです:
接続およびリソースの追加ウィザードで以下を行います:
-
[接続] ページで [新しい接続を作成する] を選択します。次に、接続の種類として [Microsoft Azure] を選択し、Azure環境を選択します。
-
仮想マシンの作成にどのツールを使用するかを選択し、[次へ]を選択します。
-
[接続の詳細] ページで、AzureサブスクリプションIDと接続の名前を入力します。
注:
接続名は1~64文字にし、空白スペースのみにしたり記号(
\/;:#.*?=<>|[]{}"'()'
)を含めたりすることはできません。 -
[既存を使用] を選択します。[既存のサービスプリンシパルの詳細] ウィンドウで、既存のサービスプリンシパルに次の設定を入力します。詳細を入力すると、[保存]ボタンが有効になります。[Save] を選択します。有効な詳細を入力しない限り、このページの先には進めません。
- サブスクリプションID。AzureサブスクリプションIDを入力します。サブスクリプションIDを取得するには、Azure Portalにサインインし、[Subscriptions]>[Overview]に移動します。
- Active Directory ID(テナントID)。Azure ADに登録したアプリケーションのディレクトリ(テナント)IDを入力します。
- アプリケーションID。Azure ADに登録したアプリケーションのアプリケーション(クライアント)IDを入力します。
- アプリケーションシークレット。秘密キー(クライアントシークレット)。登録されたアプリケーションは、キーを使用してAzure ADへの認証を行います。セキュリティのために、キーを定期的に変更することをお勧めします。後でキーを取得することはできないため、必ずキーを保存してください。
-
シークレットの有効期限。アプリケーションシークレットの有効期限が切れる日付を入力します。シークレットキーの有効期限が切れる前に、コンソールに通知が表示されます。ただし、秘密キーの有効期限が切れると、エラーが発生します。
注:
セキュリティ上の理由から、有効期限は現在から2年を超えることはできません。
- 認証URL。このフィールドは自動的に入力され、編集できません。
- 管理URL。このフィールドは自動的に入力され、編集できません。
-
ストレージのサフィックス。このフィールドは自動的に入力され、編集できません。
AzureでMCSカタログを作成するには、次のエンドポイントへのアクセスが必要です。これらのエンドポイントにアクセスすると、ネットワークとAzure Portalおよびそのサービスとの間の接続が最適化されます。
- 認証URL:https://login.microsoftonline.com/
- 管理URL:https://management.azure.com/。これは、Azure Resource ManagerプロバイダーAPIの要求URLです。管理用のエンドポイントは環境によって異なります。たとえば、Azure Globalの場合はhttps://management.azure.com/、Azure US Governmentの場合はhttps://management.usgovcloudapi.net/です。
- ストレージのサフィックス:https://*.core.windows.net./。ここで「*」は、ストレージ サフィックスのワイルドカード文字です。例:https://demo.table.core.windows.net/。
-
[保存] を選択すると、[接続の詳細]ページに戻ります。[次へ] を選択して、次のページに進みます。
-
接続用のリソースを次の手順で構成します:
- [リージョン] ページで領域を選択します。
-
[ネットワーク] ページで、次の手順を実行します:
- 1~64文字のリソース名を入力して、リージョンとネットワークの組み合わせを特定できるようにします。リソース名は、空白のみにしたり記号(
\/;:#.*?=<>|[]{}"'()'
)を含めたりすることはできません。 - 仮想ネットワークとリソースグループのペアを選択します。(複数の仮想ネットワークを同じ名前にする場合、ネットワーク名とリソースグループをペアリングすると一意の組み合わせになります。)前のページで選択したリージョンに仮想ネットワークがない場合は、前のページに戻って仮想ネットワークのあるリージョンを選択します。
- 1~64文字のリソース名を入力して、リージョンとネットワークの組み合わせを特定できるようにします。リソース名は、空白のみにしたり記号(
-
[概要] ページで、設定の概要を表示し、[完了]を選択してセットアップを完了します。
サービスプリンシパルと接続の管理
このセクションでは、サービスプリンシパルと接続を管理する方法について説明します。
- Azureの調整設定の構成
- Azure AD参加デバイスの管理を有効にする
- 既存のホスト接続のサービスプリンシパルを管理する
- Azureでイメージの共有を有効にする
- Studioを使用して共有テナントを接続に追加する
- PowerShellを使用した画像共有の実装
- Azure管理トラフィックのための安全な環境の作成
- アプリケーションシークレットとその有効期限の管理
Azureの調整設定の構成
Azure Resource Managerはサブスクリプションおよびテナントの要求を調整し、プロバイダーの特定のニーズに対応して定義された制限を基にルーティングします。詳しくは、Microsoft社のサイトの「Resource Managerの要求のスロットル」を参照してください。制限は、サブスクリプションやテナントで多数のマシンの管理が問題となりうる場合に存在します。たとえば、多数のマシンを含むサブスクリプションは、電源操作に関連してパフォーマンスの問題が発生することがあります。
ヒント:
詳しくは「Machine Creation ServicesによるAzureのパフォーマンスの向上」を参照してください。
Citrix DaaSでは、これらの問題の影響を軽減するためにMCS内部の調整を削除して、より高い値のAzureの要求クォータを利用することができます。
大量のサブスクリプション(1,000台の仮想マシンを含む場合など)で仮想マシンをオンまたはオフにする場合、次の最適設定をお勧めします:
- 絶対同時操作:500
- 1分あたりの最大新規操作:2000
- 最大同時操作:500
Studioを使用して指定のホスト接続でAzure操作を構成します:
- Studioの左側ペインで [ホスト] を選択します。
- Azure関連の接続を選択して編集します。
- 接続の編集ウィザードで [詳細設定] を選択します。
- [詳細設定] 画面で構成オプションを使用し、同時操作の数、1分あたりの最大新規操作、その他追加の接続オプションを指定します。
MCSは、デフォルトで最大500の同時操作をサポートします。または、Remote PowerShell SDKを使用して、同時操作の最大数を設定することもできます。
PowerShellプロパティMaximumConcurrentProvisioningOperations
を使用して、同時Azureプロビジョニング操作の最大数を指定します。このプロパティを使用するときは、次のことを考慮してください:
-
MaximumConcurrentProvisioningOperations
のデフォルト値は500です。 - PowerShellコマンド
Set-item
を使用してMaximumConcurrentProvisioningOperations
パラメーターを構成します。
Azure AD参加デバイスの管理を有効にする
Azure内で古いAzure AD参加デバイスがあると、新しいマシンがAzure ADに参加できなくなるので、正常に動作できなくなる可能性があります。問題発生の可能性をなくすために、Azure AD参加デバイスを管理する権限を接続に付与できます。接続は、この権限を使用することで、古くなったAzure AD参加デバイスを自動的にクリーンアップできます。
注:
マシンまたはマシンカタログを削除するときに、Azure AD参加デバイスをAzure ADから削除することはできません。
- Studioの左側ペインで [ホスト] を選択します。
- 接続を選択し、操作バーの [接続の編集] を選択します。
- 左側ペインから [接続のプロパティ]を選択します。
- [接続のプロパティ] ページで [Azure AD参加デバイスの管理を有効にする] を選択した場合は、[保存/適用] をクリックします。
-
[Confirm to sign in to Azure] ウィンドウで次のオプションを選択します:
-
Azureにサインインする:Citrixがクラウドデバイス管理者役割を管理できるようにするには、このオプションを選択します。
- [有効] をクリックします。
- 表示されるAzureサインインウィンドウで、Azure ADパスワードを入力し、サインインワークフローを完了します。
-
Azureにサインインしない:クラウドデバイス管理者の役割を手動で管理するには、このオプションを選択します。
- [有効] をクリックします。更新はサインインワークフローなしで有効になります。
-
Azureにサインインする:Citrixがクラウドデバイス管理者役割を管理できるようにするには、このオプションを選択します。
[接続のプロパティ] ページで [Azure AD参加デバイスの管理を有効にする] を選択した場合は、[設定の編集]>[既存を使用する] をクリックします。[Confirm to sign in to Azure] ウィンドウで次のオプションを選択します:
-
Azureにサインインする:Citrixがクラウドデバイス管理者役割を管理できるようにするには、このオプションを選択します。
- [有効] をクリックします。
- 表示されるAzureサインインウィンドウで、Azure ADパスワードを入力し、サインインワークフローを完了します。
- 既存のサービスプリンシパルの詳細を入力します。
- [保存] をクリックします。
-
Azureにサインインしない:クラウドデバイス管理者の役割を手動で管理するには、このオプションを選択します。
- [有効] をクリックします。
- 既存のサービスプリンシパルの詳細を入力します。
- [保存] をクリックします。
サインインが完了すると、ホスト接続とリソースの一覧に戻ります。リスト内の接続をクリックし、下部ペインの 「詳細」 タブをクリックします。[Azure AD joined device management]フィールドに「Enabled
」と表示されますので、確認してください。
StudioでAzure AD参加デバイスの管理を有効にする場合は、選択したホスト接続の作成方法(新規作成または既存の使用)に関わらず、Azure ADで認証する必要があります。Azure ADの組み込みのクラウドデバイス管理者役割は、サービスプリンシパルに割り当てられます。Azure AD参加デバイスの管理に対する最小限の権限を採用するには、サービスプリンシパルからクラウドデバイス管理者役割の割り当てを手動で削除し、最小限の権限のみを含んでいるAzure ADカスタム役割を作成して、それをサービスプリンシパルに割り当てることができます。
注:
- Azure AD参加デバイス管理の最小限の権限は、Azure Resource Managerの権限ではなく、Azure ADの権限です。これらをサービスプリンシパルに明示的に割り当てることはできません。これらの権限を含んでいるカスタム役割をAzure ADに作成し、サービスプリンシパルに割り当てる必要があります。詳しくは、「Azure Active Directoryでのカスタム役割の作成と割り当て」を参照してください。
- Azure ADでカスタム役割を作成するには、Azure AD Premium P1またはP2ライセンスが必要です。
既存のホスト接続のサービスプリンシパルを管理する
サービスプリンシパルを使用してホスト接続を作成した後、次のホスト接続を編集することを選択できます:
- 新しいサービスプリンシパル
- 別の既存のサービスプリンシパルを使用する
- Studioの左側ペインで [ホスト] を選択します。
- 接続を選択し、操作バーの [接続の編集] を選択します。
- 左側ペインから [接続のプロパティ]を選択します。
-
開いた [接続のプロパティ] ページで、[設定の編集] をクリックします。新しいサービスプリンシパルを作成するか、別の既存のサービスプリンシパルを使用するかを選択できます。
-
新しいサービスプリンシパルを作成するには、[サービスプリンシパルを作成する] をクリックします。プロンプトに従って、Azure ADユーザーアカウントにログインします。Citrixは、マルチテナントアプリケーション ID
08b70dc3-76c5-4611-ba7d-3312ba36cb2b
を使用して、既存のホスト接続用の新しいサービスプリンシパルを作成し、適切な権限を付与します。[接続プロパティ] ページで [Azure AD参加済みデバイスの管理を有効にする] を選択すると、新しく作成されたサービスプリンシパルにAzure AD組み込みのクラウドデバイス管理者の役割が割り当てられます。
-
ホスト接続に別の既存のサービスプリンシパルを使用するには、[既存を使用する] をクリックします。ただし、次の2つの場合が考えられます:
-
[Azure AD参加デバイスの管理を有効にする] を選択する場合は、Azure ADユーザーアカウントにログインするように求められます。Citrixは、マルチテナントアプリケーションID
08b70dc3-76c5-4611-ba7d-3312ba36cb2b
を使用して、Azure AD組み込みのクラウドデバイス管理者の役割を既存のサービスプリンシパルに割り当てます。 - [Azure AD参加デバイスの管理を有効にする] を選択しない場合は、Azure ADユーザーアカウントにログインするように求められません。既存のサービスプリンシパルのアプリケーションIDとシークレットを入力します。
-
[Azure AD参加デバイスの管理を有効にする] を選択する場合は、Azure ADユーザーアカウントにログインするように求められます。Citrixは、マルチテナントアプリケーションID
-
Azure AD参加済みデバイスの管理を有効にする方法については、「Azure AD参加済みデバイスの管理を有効にする」を参照してください。
Azureでイメージの共有を有効にする
マシンカタログを作成または更新するときに、(Azure Compute Galleryを介して共有する) さまざまなAzureテナントおよびサブスクリプションからイメージを選択できます。テナント内またはテナント間での画像の共有を有効にするには、Azureで必要な設定を行う必要があります。
単一のテナント内(サブスクリプション間)でのイメージの共有
別のサブスクリプションに属するAzure Compute Galleryのイメージを選択するには、そのイメージをそのサブスクリプションのサービスプリンシパル(SPN)と共有する必要があります。
たとえば、Studioで次のように構成されているサービスプリンシパル(SPN 1)があるとします:
サービスプリンシパル:SPN 1
サブスクリプション:サブスクリプション1
テナント:テナント1
画像が別のサブスクリプションにあり、Studioで次のように構成されているとします:
サブスクリプション:サブスクリプション2
テナント:テナント1
サブスクリプション2のイメージをサブスクリプション1(SPN 1)と共有する場合は、サブスクリプション2に移動し、リソースグループをSPN 1と共有します。
イメージは、Azureの役割ベースのアクセス制御(RBAC)を使用して別のSPNと共有する必要があります。Azure RBACは、Azureリソースへのアクセスを管理するために使用される承認システムです。Azure RBACについて詳しくは、Microsoft社のドキュメント「Azureロールベースのアクセス制御(Azure RBAC)とは」を参照してください。アクセス権を付与するには、Contributorの役割を使用して、リソースグループのスコープでサービスプリンシパルに役割を割り当てます。Azureの役割を割り当てるには、ユーザーアクセス管理者や所有者などのMicrosoft.Authorization/roleAssignments/write
権限が必要です。別のSPNと画像を共有する方法について詳しくは、Microsoft社のドキュメント「Azure portalを使用してAzureロールを割り当てる」を参照してください。
テナント間でのイメージの共有
Azure Compute Galleryを使用してテナント間でイメージを共有するには、アプリケーション登録を作成します。
たとえば、2つのテナント(テナント1とテナント2)があり、イメージギャラリーをテナント1と共有する場合は、次のようにします:
-
テナント1のアプリケーション登録を作成します。詳しくは、「アプリの登録を作成する」を参照してください。
-
ブラウザーでサインインを要求し、テナント2にアプリケーションへのアクセスを許可します。
Tenant2 ID
をテナント1のテナントIDに置き換えます。Application (client) ID
を、作成したアプリケーション登録のアプリケーションIDに置き換えます。置換が完了したら、このURLをブラウザーに貼り付け、サインインプロンプトに従ってテナント2にサインインします。例:https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F <!--NeedCopy-->
詳しくは、「テナント2にアクセス権を付与する」を参照してください。
-
テナント2リソースグループへのアプリケーションアクセスを許可します。テナント2としてサインインし、アプリケーション登録に、ギャラリーイメージを含むリソースグループへのアクセスを許可します。詳しくは、「テナントをまたいだ認証要求」を参照してください。
Studioを使用して共有テナントを接続に追加する
Studioでマシンカタログを作成または更新するときに、(Azure Compute Galleryを介して共有する)さまざまなAzureテナントおよびサブスクリプションから共有イメージを選択できます。この機能では、関連付けられたホスト接続の共有テナントおよびサブスクリプション情報を提供する必要があります。
注:
テナント間での画像の共有を有効にするための必要な設定をAzureで構成したことを確認してください。詳しくは、「 テナント間でのイメージの共有」を参照してください。
接続ごとに次の手順を実行します:
- Studioの左側ペインで [ホスト] を選択します。
-
接続を選択し、操作バーの [接続の編集] を選択します。
-
[共有テナント] で、次の操作を行います:
- 接続のサブスクリプションに関連付けられているアプリケーションIDとアプリケーションシークレットを提供します。DaaSは、この情報を使用してAzure ADに認証します。
- 接続のサブスクリプションとAzure Compute Galleryを共有しているテナントとサブスクリプションを追加します。テナントごとに最大8つの共有テナントと8つのサブスクリプションを追加できます。
- 完了したら、[適用] を選択して行った変更を適用しウィンドウを開いたままにするか、[OK] を選択して変更を適用しウィンドウを閉じます。
PowerShellを使用した画像共有の実装
このセクションでは、PowerShellを使用して画像を共有するプロセスについて説明します。
別のサブスクリプションでの画像の選択
同じAzureテナント内の別の共有サブスクリプションに属するAzure Compute Galleryのイメージを選択し、PowerShellコマンドを使用してMCSカタログを作成および更新できます。
- ホスティングユニットのルートフォルダーに、
sharedsubscription
という名前の新しい共有サブスクリプションフォルダーが作成されます。 -
テナント内のすべての共有サブスクリプションを表示します。
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder" <!--NeedCopy-->
-
1つの共有サブスクリプションを選択し、その共有サブスクリプションのすべての共有リソースグループを表示します。
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription" <!--NeedCopy-->
-
リソースグループを選択し、そのリソースグループのすべてのギャラリーを表示します。
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup" <!--NeedCopy-->
-
ギャラリーを選択し、そのギャラリーのすべてのイメージ定義を表示します。
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery" <!--NeedCopy-->
-
1つのイメージ定義を選択し、そのイメージ定義のすべてのイメージバージョンを表示します。
Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition" <!--NeedCopy-->
-
次の要素を使用して、MCSカタログを作成および更新します:
- リソースグループ
- ギャラリー
- ギャラリーイメージの定義
- ギャラリーイメージのバージョン
ホスト接続のカスタムプロパティの共有テナントIDの更新
Set-Item
を使用して、ホスト接続のカスタムプロパティを共有テナントIDとサブスクリプションIDで更新します。CustomProperties
にプロパティSharedTenants
を追加します。Shared Tenants
の形式は次のとおりです:
[{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->
例:
Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
<Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
<Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
<Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
</CustomProperties>"
-LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
$psd
<!--NeedCopy-->
注:
複数のテナントを追加できます。各テナントは複数のサブスクリプションを持つことができます。
別のテナントでの画像の選択
別のAzureテナントに属するAzure Compute Galleryのイメージを選択し、PowerShellコマンドを使用してMCSカタログを作成および更新できます。
- ホスティングユニットのルートフォルダーに、
sharedsubscription
という名前の新しい共有サブスクリプションフォルダーが作成されます。 -
すべての共有サブスクリプションを表示します。
Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder <!--NeedCopy-->
-
1つの共有サブスクリプションを選択し、その共有サブスクリプションのすべての共有リソースグループを表示します。
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription <!--NeedCopy-->
-
リソースグループを選択し、そのリソースグループのすべてのギャラリーを表示します。
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup <!--NeedCopy-->
-
ギャラリーを選択し、そのギャラリーのすべてのイメージ定義を表示します。
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery <!--NeedCopy-->
-
1つのイメージ定義を選択し、そのイメージ定義のすべてのイメージバージョンを表示します。
Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition <!--NeedCopy-->
-
次の要素を使用して、MCSカタログを作成および更新します:
- リソースグループ
- ギャラリー
- ギャラリーイメージの定義
- ギャラリーイメージのバージョン
Azure管理トラフィックのための安全な環境の作成
MCSにより、Cloud Connectorを介してネットワークトラフィック(Citrix CloudからAzure HypervisorへのAPI呼び出し)を環境内でルーティングできるようになります。この実装により、Azureサブスクリプションを認証して、特定のIPアドレスからのネットワークトラフィックを許可することができます。これを行うには、CustomProperties
にProxyHypervisorTrafficThroughConnector
を追加します。カスタムプロパティを設定した後、Azure Managed Disksへのプライベートディスクアクセスを許可するAzureポリシーを構成できます。
プライベートエンドポイントを使用するために、新しいディスクごとにディスクアクセスを自動的に作成するようにAzureポリシーを構成した場合、Azureによって適用される同じディスクアクセスオブジェクトで、同時に5つを超えるディスクまたはスナップショットをアップロードまたはダウンロードすることはできません。この制限は、Azureポリシーをリソースグループレベルで構成する場合はマシンカタログごとに適用され、Azureポリシーをサブスクリプションレベルで構成する場合はすべてのマシンカタログに適用されます。 プライベートエンドポイントを使用する新しいディスクごとにディスクアクセスを自動的に作成するようにAzureポリシーを構成していない場合、同時操作に関する5つの制限は適用されません。
注:
この機能は現時点ではConnector Applianceでサポートされていません。この機能に関連したAzureの制限については、「Azure Private Linkを使用してマネージドディスクに対するインポートおよびエクスポートのアクセスを制限する」を参照してください。
プロキシを有効にする
このプロキシを有効にするには、ホスト接続でカスタムプロパティを次のように設定します。
- Remote PowerShell SDKを使用して PowerShellウィンドウを開きます。詳しくは、https://docs.citrix.com/en-us/citrix-daas/sdk-api.html#citrix-virtual-apps-and-desktops-remote-powershell-sdk/を参照してください。
-
次のコマンドを実行します:
Add-PSSnapin citrix*. cd XDHyp:\Connections\ dir <!--NeedCopy-->
-
接続から
CustomProperties
をメモ帳にコピーし、プロパティ設定<Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" />
をCustomProperties
に追加してプロキシを有効にします。例:<CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation"> <Property xsi:type="StringProperty" Name="SubscriptionId" Value="4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx" /> <Property xsi:type="StringProperty" Name="ManagementEndpoint" Value="https://management.azure.com/" /> <Property xsi:type="StringProperty" Name="AuthenticationAuthority" Value="https://login.microsoftonline.com/" /> <Property xsi:type="StringProperty" Name="StorageSuffix" Value="core.windows.net" /> <Property xsi:type="StringProperty" Name="TenantId" Value="5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx" /> <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" /> </CustomProperties> <!--NeedCopy-->
-
PowerShellウィンドウで、変更したカスタムプロパティに変数を割り当てます。例:
$customProperty = '<CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation"> <Property xsi:type="StringProperty" Name="SubscriptionId" Value="4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx" /> <Property xsi:type="StringProperty" Name="ManagementEndpoint" Value="https://management.azure.com/" /> <Property xsi:type="StringProperty" Name="AuthenticationAuthority" Value="https://login.microsoftonline.com/" /> <Property xsi:type="StringProperty" Name="StorageSuffix" Value="core.windows.net" /> <Property xsi:type="StringProperty" Name="TenantId" Value="5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx" /> <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" /> </CustomProperties>' <!--NeedCopy-->
-
$cred = Get-Credential
を実行します。プロンプトが表示されたら、接続の資格情報を入力します。資格情報はAzureアプリケーションIDとシークレットです。 -
Set-Item -PSPath XDHyp:\Connections\<Connection_Name> -CustomProperties $customProperty -username $cred.username -Securepassword $cred.password
を実行します。重要:
「
SubscriptionId
が欠落しています」というメッセージが表示された場合は、当該のカスタムプロパティ内で、すべての二重引用符(”)をバッククォート文字とそれに続く二重引用符(`”)に置き換えます。例:<CustomProperties xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`" xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`"> <Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx`" /> <Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" /> <Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" /> <Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" /> <Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx`" /> <Property xsi:type=`"StringProperty`" Name=`"ProxyHypervisorTrafficThroughConnector`" Value=`"True`" /> </CustomProperties> <!--NeedCopy-->
-
dir
を実行して、更新されたCustomProperties
設定を確認します。
アプリケーションシークレットとその有効期限の管理
接続のアプリケーションシークレットは、その有効期限が切れる前に必ず変更してください。秘密キーの有効期限が切れる前に、Studioにアラートが表示されます。
Azureでのアプリケーションシークレットの作成
Azure Portalで、接続のアプリケーションシークレットを作成できます。
- [Azure Active Directory] を選択します。
- Azure ADの [App registrations] でアプリケーションを選択します。
- [Certificates & secrets] に移動します。
-
[Client secrets]>[New client secret] をクリックします。
-
シークレットの説明を入力し、期間を指定します。完了したら、[追加] を選択します。
注:
クライアントシークレットは後で取得できないため、必ず保存してください。
- クライアントシークレット値と有効期限をコピーします。
- Studioで、対応する接続を編集し、[アプリケーションシークレット] および [シークレットの有効期限] フィールドの値を、コピーした値に置き換えます。
シークレットの有効期限の変更
Studioで、使用中のアプリケーションシークレットの有効期限を追加または変更できます。
- [接続とリソースの追加] ウィザードで接続を右クリックし、[接続の編集] をクリックします。
- [接続のプロパティ] ページで [シークレットの有効期限] をクリックして、使用中のアプリケーションシークレットの有効期限を追加または変更します。
必要なAzure権限
このセクションでは、Azureに必要な 最低限の権限と一般的な権限について説明します。
最低限の権限
最低限の権限により、セキュリティ制御が向上します。ただし、最低限の権限だけが付与されている場合は、追加の権限が必要な新機能が失敗します。このセクションでは、アクションごとに最低限の権限の一覧を表示します。
ホスト接続の作成
Azureから取得した情報を使用して、ホスト接続を追加します。
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/providers/read",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Resources/tenants/read"
<!--NeedCopy-->
VMの電源管理
マシンインスタンスの電源をオンまたはオフにします。
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Insights/diagnosticsettings/delete",
"Microsoft.Insights/diagnosticsettings/read",
"Microsoft.Insights/diagnosticsettings/write",
<!--NeedCopy-->
VMの作成、更新、または削除
マシンカタログを作成してから、マシンを追加、削除、更新し、マシンカタログを削除します。
以下は、マスターイメージが管理対象ディスクである場合、またはスナップショットがホスティング接続と同じリージョンにある場合に必要となる最低限の権限の一覧です。
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/tags/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/locations/publishers/artifacttypes/types/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/extensions/read",
"Microsoft.Compute/virtualMachines/extensions/write",
"Microsoft.Features/providers/features/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/locations/usages/read",
"Microsoft.Compute/capacityReservationGroups/capacityReservations/read"
<!--NeedCopy-->
以下の機能の最低限の権限に基づき、以下の追加の権限が必要です:
-
マスターイメージが、ホスト接続と同じリージョンにあるストレージアカウント内のVHDである場合:
"Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/listKeys/action", <!--NeedCopy-->
-
マスターイメージが、Azure Compute Gallery(旧称:Shared Image Gallery)のImageVersionである場合:
"Microsoft.Compute/galleries/read", "Microsoft.Compute/galleries/images/read", "Microsoft.Compute/galleries/images/versions/read", <!--NeedCopy-->
-
マスターイメージが管理対象ディスクかスナップショットである場合、またはVHDがホスティング接続のリージョンとは異なるリージョンにある場合:
"Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/listKeys/action", "Microsoft.Storage/storageAccounts/write", "Microsoft.Storage/storageAccounts/delete", "Microsoft.Storage/checknameavailability/read", "Microsoft.Storage/locations/usages/read", "Microsoft.Storage/skus/read", <!--NeedCopy-->
-
Citrix管理対象リソースグループを使用する場合:
"Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/delete", <!--NeedCopy-->
-
共有テナントまたはサブスクリプションでマスターイメージを、Azure Compute Gallery(旧称:Shared Image Gallery)に配置した場合:
"Microsoft.Compute/galleries/write", "Microsoft.Compute/galleries/images/write", "Microsoft.Compute/galleries/images/versions/write", "Microsoft.Compute/galleries/read", "Microsoft.Compute/galleries/images/read", "Microsoft.Compute/galleries/images/versions/read", "Microsoft.Compute/galleries/delete", "Microsoft.Compute/galleries/images/delete", "Microsoft.Compute/galleries/images/versions/delete", "Microsoft.Resources/subscriptions/read", <!--NeedCopy-->
-
Azure専用ホストサポートを使用する場合:
"Microsoft.Compute/hostGroups/read", "Microsoft.Compute/hostGroups/write", "Microsoft.Compute/hostGroups/hosts/read", <!--NeedCopy-->
-
顧客管理キー(CMK)でサーバー側暗号化(SSE)を使用する場合:
"Microsoft.Compute/diskEncryptionSets/read", <!--NeedCopy-->
-
ARMテンプレート(マシンプロファイル)を使用してVMを展開する場合:
"Microsoft.Resources/deployments/write", "Microsoft.Resources/deployments/operationstatuses/read", "Microsoft.Resources/deployments/read", "Microsoft.Resources/deployments/delete", "Microsoft.Insights/DataCollectionRuleAssociations/Read", "Microsoft.Insights/dataCollectionRules/read", <!--NeedCopy-->
-
Azureテンプレートスペックをマシンプロファイルとして使用する場合:
"Microsoft.Resources/templateSpecs/read", "Microsoft.Resources/templateSpecs/versions/read", <!--NeedCopy-->
非管理対象ディスクを使用するマシンの作成、更新、および削除
以下は、マスターイメージがVHDであり、管理者から提供されたリソースグループを使用する場合に必要となる最低限の権限の一覧です:
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/tags/write",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/checknameavailability/read",
"Microsoft.Storage/locations/usages/read",
"Microsoft.Storage/skus/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/locations/usages/read",
<!--NeedCopy-->
Azure AD参加デバイスの管理
Azure AD参加デバイスの管理に必要な最小限の権限のリストは次のとおりです:
"microsoft.directory/devices/standard/read"
"microsoft.directory/devices/delete"
<!--NeedCopy-->
コスト管理
仮想マシンの価格を取得するために必要な最小限の権限は次のとおりです:
"Microsoft.Consumption/pricesheets/read"
<!--NeedCopy-->
一般的な権限
Contributor(投稿者)の役割には、すべてのリソースを管理するための完全なアクセス権があります。この一連の権限は、新しい機能の取得を妨げるものではありません。
以下の一連の権限は、現在の機能セットで必要とされるよりも多くの権限が含まれていますが、今後の互換性の面でベストなものを提供します:
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/locations/publishers/artifacttypes/types/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/extensions/read",
"Microsoft.Compute/virtualMachines/extensions/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/locations/usages/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/providers/read",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/tags/write",
"Microsoft.Resources/tenants/read",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/checknameavailability/read",
"Microsoft.Storage/locations/usages/read",
"Microsoft.Storage/skus/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Insights/DataCollectionRuleAssociations/Read",
"Microsoft.Insights/dataCollectionRules/read",
"Microsoft.Insights/diagnosticsettings/delete",
"Microsoft.Insights/diagnosticsettings/read",
"Microsoft.Insights/diagnosticsettings/write",
"Microsoft.Compute/capacityReservationGroups/capacityReservations/read"
"Microsoft.Consumption/pricesheets/read"
<!--NeedCopy-->
Azure ADの権限
Azure AD参加マシンのカタログを作成する場合に、Azure AD参加デバイス管理を有効にすると、MCSがAzure AD デバイスを管理します。Azure ADの組み込みのクラウド デバイス管理者役割には、現在の機能セットで必要となる以上の権限が含まれていますが、今後も最高の互換性があります。
必要なAzureホスト接続の権限を構成する
ARMテンプレートを使用して、ホスト接続に関連付けられたAzureのサービスプリンシパルまたはユーザーアカウントに必要な最小限の権限をすべて簡単に構成し、すべてのMCS操作を実行できます。このARMテンプレートは、次の処理を自動化します:
- 操作に必要な最小限の権限を持つAzureの役割を作成する。
- サブスクリプションレベルで、既存のAzureサービス プリンシパルにこの役割を割り当てる。
このARMテンプレートは、Azure PortalまたはPowerShellコマンドを使用して展開できます。詳しくは、「ARM Template for Citrix Virtual Apps and Desktops Operations」を参照してください。
次の手順
- 初期展開プロセスを行っている場合は、「マシンカタログの作成」を参照してください。
- Azure固有の情報については、「Microsoft Azureカタログの作成」を参照してください。