-
Planejar e criar uma implantação
-
-
-
Contas de serviço do Azure AD
-
Pools de identidades de diferentes tipos de junção de identidade de máquina
-
Pool de identidades da identidade do computador ingressado no Active Directory local
-
Pool de identidades da identidade do computador ingressado no Azure Active Directory
-
Pool de identidades da identidade de computador ingressada no Azure Active Directory híbrido
-
Pool de identidades da identidade do computador habilitado para Microsoft Intune
-
Pool de identidades de identidade de máquina não ingressada no domínio
-
-
Migrar cargas de trabalho entre locais de recursos usando o Image Portability Service
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Contas de serviço do Azure AD
Uma conta de serviço do Azure AD é um contêiner para armazenar a ID do aplicativo e o segredo de uma entidade de serviço do Azure AD que tem permissões suficientes para gerenciar dispositivos ingressados no Azure AD ou registrados no Microsoft Intune. O MCS pode usar essa conta de serviço para limpar automaticamente todos os dispositivos obsoletos do Azure AD ou do Microsoft Intune gerados durante o ciclo de vida dos computadores provisionados.
Permissões necessárias para uma entidade de serviço do Azure AD
As permissões necessárias para uma entidade de serviço do Azure AD usada por uma conta de serviço dependem dos recursos habilitados para a conta de serviço.
- Para a conta de serviço com a funcionalidade de gerenciamento de dispositivos ingressados no Azure AD, a entidade de serviço do Azure AD deve ter
Dispositivo.ReadWrite.Allpermissão em seu locatário do Azure AD. - Para a conta de serviço com a funcionalidade de gerenciamento de dispositivos registrados no Microsoft Intune, a entidade de serviço do Azure AD deve ter
DeviceManagementManagedDevices.ReadWrite.Allpermissão em seu locatário do Azure AD.
Limitação
No momento, não há suporte para o controle de acesso baseado em função do Azure AD. Portanto, atribua as permissões do Azure AD diretamente à entidade de serviço.
Criar uma conta de serviço do Azure AD
Use o Studio ou o PowerShell para criar uma conta de serviço do Azure AD.
Pré-requisito
Para criar uma conta de serviço do Azure AD, certifique-se de concluir a seguinte tarefa:
- Crie uma entidade de segurança do Azure AD em seu locatário do Azure AD com permissões suficientes com base nos recursos com os quais você deseja habilitar a conta de serviço.
Usar o Studio
- No DaaS bloco, clique em Gerir.
- No painel esquerdo, selecione Administradores.
- No Contas de serviço , clique em Criar conta de serviço.
- No Tipo de identidade , selecione Azure Active Directory. Clique Próximo.
- No Credenciais , insira a ID do locatário do Azure AD, a ID do aplicativo e o segredo do cliente e defina a data de expiração da credencial.
- Escolha os recursos para a conta de serviço.
- Selecione um ou mais escopos para a conta de serviço.
- Insira um nome amigável e uma descrição (opcional) para a conta de serviço.
- Clique Acabar para completar a criação.
Observação:
- A funcionalidade de gerenciamento de dispositivos ingressados no Azure AD é selecionada por padrão e você não pode desmarcá-la.
- Para usar um aplicativo multilocatário do Azure AD que é convidado para seu locatário, a ID de locatário do Azure AD inserida deve ser sua própria ID de locatário em vez da ID do locatário inicial do aplicativo.
Usar o PowerShell
Como alternativa, você pode usar comandos do PowerShell para criar uma conta de serviço do Azure AD. Por exemplo:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Azure AD tenant'
Migrar o gerenciamento de dispositivos ingressados no Azure AD para a conta de serviço
Anteriormente, a Citrix fornecia uma opção para habilitar o gerenciamento de dispositivos ingressados no Azure AD ao criar ou editar uma conexão de hospedagem com o Microsoft Azure Resource Manager. O MCS usou as permissões da entidade de serviço do Azure AD (SPN de provisionamento) armazenada junto com a conexão de hospedagem para gerenciar o dispositivo ingressado no Azure AD obsoleto. Com contas de serviço, você pode usar uma entidade de serviço dedicada do Azure AD (SPN de gerenciamento de identidades) armazenada junto com uma conta de serviço para gerenciar dispositivos ingressados no Azure AD ou registrados no Microsoft Intune.
A Citrix recomenda migrar do gerenciamento de dispositivos alimentados por conexão de hospedagem para o gerenciamento de dispositivos alimentados por conta de serviço para separar a responsabilidade de provisionamento de SPN e SPN de gerenciamento de identidade.
Para todas as conexões de hospedagem existentes que já estão habilitadas com o gerenciamento de dispositivos ingressados no Azure AD, você pode desabilitá-lo da seguinte maneira:
- No Studio, selecione Hospedagem no painel esquerdo.
- Selecione a conexão e, em seguida, selecione Editar conexão na barra de ação.
- No Propriedades de conexão , desmarque a página Habilitar o gerenciamento de dispositivos ingressados no Azure AD caixa de seleção.
- Clique Salvar para aplicar as alterações.
Observação:
Atualmente, você não pode habilitar o gerenciamento de dispositivos ingressados no Azure AD ao criar uma nova conexão de hospedagem.
Para onde ir a seguir
- Para criar catálogos ingressados no Azure Active Directory, consulte Pool de identidades da identidade do computador ingressado no Azure Active Directory.
- Para gerenciar contas de serviço, consulte Gerenciar contas de serviço.
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.