Ambientes de nuvem do Microsoft Azure Resource Manager

Siga as orientações deste artigo ao usar o Microsoft Azure Resource Manager para provisionar máquinas virtuais em sua implantação do Citrix Virtual Apps and Desktops™.

Presumimos que você esteja familiarizado com o seguinte:

• Azure Active Directory: https://docs.microsoft.com/en-in/azure/active-directory/fundamentals/active-directory-whatis/
• Estrutura de consentimento: https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/plan-an-application-integration
• Entidade de serviço: https://docs.microsoft.com/en-us/azure/active-directory/develop/app-objects-and-service-principals/

Provisionamento sob demanda do Azure

Com o provisionamento sob demanda do Azure, as VMs são criadas somente quando o Citrix Virtual Apps and Desktops inicia uma ação de ligar, após a conclusão do provisionamento.

Ao usar o MCS para criar catálogos de máquinas no Azure Resource Manager, o recurso de provisionamento sob demanda do Azure:

• Reduz seus custos de armazenamento
• Oferece criação de catálogo mais rápida

Ao criar um catálogo MCS, o portal do Azure exibe o grupo de segurança de rede, as interfaces de rede, as imagens base e os discos de identidade nos grupos de recursos.

O portal do Azure não mostra uma VM até que o Citrix Virtual Apps and Desktops inicie uma ação de ligar para ela. Existem dois tipos de máquinas com as seguintes diferenças:

• Para uma máquina em pool, o disco do sistema operacional e o cache de write-back existem somente quando a VM existe. Ao desligar uma máquina em pool no console, a VM não fica visível no portal do Azure. Há uma economia significativa de custos de armazenamento se você desligar as máquinas rotineiramente (por exemplo, fora do horário de trabalho).
• Para uma máquina dedicada, o disco do sistema operacional é criado na primeira vez que a VM é ligada. A VM no portal do Azure permanece no armazenamento até que a identidade da máquina seja excluída. Ao desligar uma máquina dedicada no console, a VM ainda fica visível no portal do Azure.

Conexão com o Azure Resource Manager

Conexões e recursos descreve os assistentes que criam uma conexão. As informações a seguir cobrem detalhes específicos das conexões do Azure Resource Manager.

Considerações:

• A Citrix® recomenda usar a Entidade de Serviço com a função de colaborador. No entanto, consulte a seção Permissões mínimas para obter a lista de permissões mínimas.
• Ao criar a primeira conexão, o Azure solicita que você conceda as permissões necessárias. Para futuras conexões, você ainda precisará se autenticar, mas o Azure se lembrará do seu consentimento anterior e não exibirá o prompt novamente.
• As contas usadas para autenticação devem ter permissões para atribuir funções na assinatura usando o Azure RBAC. Exemplo: Proprietário, Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário da assinatura.
• A conta usada para autenticação deve ser membro do diretório da assinatura. Existem dois tipos de contas a serem consideradas: ‘Trabalho ou Escola’ e ‘conta pessoal da Microsoft’. Consulte CTX219211 para obter detalhes.

• Embora você possa usar uma conta Microsoft existente adicionando-a como membro do diretório da assinatura, podem ocorrer complicações se o usuário tiver recebido anteriormente acesso de convidado a um dos recursos do diretório. Nesse caso, ele pode ter uma entrada de espaço reservado no diretório que não concede as permissões necessárias, e um erro é retornado.

  Corrija isso removendo os recursos do diretório e adicionando-os novamente explicitamente. No entanto, use esta opção com cuidado, pois ela pode ter efeitos indesejados em outros recursos que essa conta pode acessar.

• Existe um problema conhecido em que certas contas são detectadas como convidados do diretório quando, na verdade, são membros. Configurações como essa geralmente ocorrem com contas de diretório mais antigas e estabelecidas. Solução alternativa: adicione uma conta ao diretório, que assume o valor de associação adequado.
• Grupos de recursos são simplesmente contêineres para recursos, e eles podem conter recursos de regiões diferentes da sua própria região. Isso pode ser potencialmente confuso se você esperar que os recursos exibidos na região de um grupo de recursos estejam disponíveis.
• Certifique-se de que sua rede e sub-rede sejam grandes o suficiente para hospedar o número de máquinas que você precisa. Isso requer alguma previsão, mas a Microsoft ajuda você a especificar os valores corretos, com orientações sobre a capacidade do espaço de endereço.

Você pode estabelecer uma conexão de host com o Azure de duas maneiras:

• Autenticar-se no Azure para criar uma entidade de serviço.
• Usar os detalhes de uma entidade de serviço criada anteriormente para se conectar ao Azure.

Criar uma entidade de serviço

Importante:

Este recurso ainda não está disponível para assinaturas do Azure China e Azure Germany.

Antes de começar, autentique-se no Azure. Certifique-se de que:

• Você tenha uma conta de usuário no locatário do Azure Active Directory da sua assinatura.
• As contas usadas para autenticação devem ter permissões para atribuir funções na assinatura usando o Azure RBAC. Exemplo: Proprietário, Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário da assinatura.
• Você tenha permissões de administrador global, administrador de aplicativo ou desenvolvedor de aplicativo para autenticação. Essas permissões podem ser revogadas após a criação da conexão de host. Para obter mais informações sobre funções, consulte Funções internas do Azure AD.

Ao se autenticar no Azure para criar uma entidade de serviço, um aplicativo é registrado no Azure. Uma chave secreta (segredo do cliente) é criada para o aplicativo registrado. O aplicativo registrado usa o segredo do cliente para se autenticar no Azure AD. Certifique-se de alterar o segredo do cliente antes que ele expire. Você receberá um alerta no console antes que a chave secreta expire.

Para se autenticar no Azure para criar uma entidade de serviço, conclua as seguintes etapas no assistente “Adicionar Conexão e Recursos”:

1. Na página “Conexão”, selecione “Criar uma nova conexão”, o tipo de conexão “Microsoft Azure” e seu ambiente Azure.

2. Selecione quais ferramentas usar para criar as máquinas virtuais e, em seguida, selecione “Avançar”.

3. Na página “Detalhes da Conexão”, insira sua ID de assinatura do Azure e um nome para a conexão. Depois de inserir a ID da assinatura, o botão “Criar novo” é ativado.

   Nota:

   O nome da conexão pode conter de 1 a 64 caracteres e não pode conter apenas espaços em branco nem os caracteres \/;:#.*?=<>|[]{}"'()'.

4. Selecione “Criar novo” e, em seguida, insira o nome de usuário e a senha da conta do Azure Active Directory.
5. Selecione “Entrar”.
6. Selecione “Aceitar” para conceder ao Citrix Virtual Apps and Desktops as permissões listadas. O Citrix Virtual Apps and Desktops cria uma entidade de serviço que permite gerenciar recursos do Azure em nome do usuário especificado.

7. Depois de selecionar “Aceitar”, você retorna à página “Conexão” no assistente.

   Nota:

   Depois de se autenticar com sucesso no Azure, os botões “Criar novo” e “Usar existente” desaparecem. O texto “Conexão bem-sucedida” aparece, com uma marca de seleção verde, indicando a conexão bem-sucedida com sua assinatura do Azure.

8. Na página “Detalhes da Conexão”, selecione “Avançar”.

   Nota:

   Você não pode prosseguir para a próxima página até que se autentique com sucesso no Azure e consinta em conceder as permissões necessárias.

9. Configure os recursos para a conexão. Os recursos compreendem a região e a rede.

   • Na página “Região”, selecione uma região.
   • Na página “Rede”, faça o seguinte:
     • Digite um nome de recurso de 1 a 64 caracteres para ajudar a identificar a combinação de região e rede. Um nome de recurso não pode conter apenas espaços em branco nem os caracteres \/;:#.*?=<>|[]{}"'()'.
     • Selecione um par de rede virtual/grupo de recursos. (Se você tiver mais de uma rede virtual com o mesmo nome, o emparelhamento do nome da rede com o grupo de recursos fornece combinações exclusivas.) Se a região selecionada na página anterior não tiver nenhuma rede virtual, retorne a essa página e selecione uma região que tenha redes virtuais.
10. Na página “Resumo”, visualize um resumo das configurações e selecione “Concluir” para finalizar sua configuração.

Usar os detalhes de uma entidade de serviço criada anteriormente para se conectar ao Azure

Para criar uma entidade de serviço manualmente, conecte-se à sua assinatura do Azure Resource Manager e use os cmdlets do PowerShell fornecidos nas seções a seguir.

Pré-requisitos:

• SubscriptionId: SubscriptionID do Azure Resource Manager para a assinatura onde você deseja provisionar VDAs.
• ActiveDirectoryID: ID do locatário do aplicativo que você registrou no Azure AD.
• ApplicationName: Nome para o aplicativo a ser criado no Azure AD.

Para criar uma entidade de serviço:

1. Conecte-se à sua assinatura do Azure Resource Manager.

   Connect-AzAccount

2. Selecione a assinatura do Azure Resource Manager onde você deseja criar a entidade de serviço.

   Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

3. Crie o aplicativo em seu locatário AD.

   $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

4. Crie uma entidade de serviço.

   New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

5. Atribua uma função à entidade de serviço.

   New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

6. Na janela de saída do console do PowerShell, anote o ApplicationId. Você fornecerá essa ID ao criar a conexão de host.

No assistente “Adicionar Conexão e Recursos”:

1. Na página “Conexão”, selecione “Criar uma nova conexão”, o tipo de conexão “Microsoft Azure” e seu ambiente Azure.

2. Selecione as ferramentas a serem usadas para criar as máquinas virtuais e, em seguida, selecione “Avançar”.

3. Na página “Detalhes da Conexão”, insira sua ID de assinatura do Azure e um nome para a conexão.

   Observação:

   O nome da conexão pode conter de 1 a 64 caracteres, e não pode conter apenas espaços em branco nem os caracteres \/;:#.*?=<>|[]{}"'()'.

4. Selecione “Usar existente”. Na janela “Detalhes da Entidade de Serviço Existente”, insira as seguintes configurações para a entidade de serviço existente. Depois de inserir os detalhes, o botão “Salvar” é ativado. Selecione “Salvar”. Você não pode avançar nesta página até fornecer detalhes válidos.

   • ID da Assinatura. Insira sua ID de assinatura do Azure. Para obter sua ID de assinatura, entre no portal do Azure e navegue até “Assinaturas > Visão geral”.
   • ID do Active Directory (ID do locatário). Insira a ID do Diretório (locatário) do aplicativo que você registrou no Azure AD.
   • ID do Aplicativo. Insira a ID do Aplicativo (cliente) do aplicativo que você registrou no Azure AD.
   • Segredo do aplicativo. Crie uma chave secreta (segredo do cliente). O aplicativo registrado usa a chave para autenticar no Azure AD. Recomendamos que você altere as chaves regularmente para fins de segurança. Certifique-se de salvar a chave, pois você não poderá recuperá-la mais tarde.

   • Data de expiração do segredo. Insira a data após a qual o segredo do aplicativo expira. Você recebe um alerta no console antes que a chave secreta expire. No entanto, se a chave secreta expirar, você receberá erros.

     Observação:

     Para fins de segurança, o período de expiração não pode ser superior a dois anos a partir de agora.

   • URL de Autenticação. Este campo é preenchido automaticamente e não é editável.
   • URL de Gerenciamento. Este campo é preenchido automaticamente e não é editável.

   • Sufixo de armazenamento. Este campo é preenchido automaticamente e não é editável.

     O acesso aos seguintes pontos de extremidade é necessário para criar um catálogo MCS no Azure. O acesso a esses pontos de extremidade otimiza a conectividade entre sua rede e o portal do Azure e seus serviços.

     • URL de Autenticação: https://login.microsoftonline.com/
     • URL de Gerenciamento: https://management.azure.com/. Esta é uma URL de solicitação para APIs do provedor do Azure Resource Manager. O ponto de extremidade para gerenciamento depende do ambiente. Por exemplo, para o Azure Global, é https://management.azure.com/, e para o Azure US Government, é https://management.usgovcloudapi.net/.
     • Sufixo de armazenamento: https://*.core.windows.net./. Este (*) é um caractere curinga para o sufixo de armazenamento. Por exemplo, https://demo.table.core.windows.net/.

5. Após selecionar “Salvar”, você retorna à página “Detalhes da Conexão”. Selecione “Avançar” para prosseguir para a próxima página.

6. Configure os recursos para a conexão. Os recursos compreendem a região e a rede.

   • Na página “Região”, selecione uma região.
   • Na página “Rede”, faça o seguinte:
     • Digite um nome de recurso de 1 a 64 caracteres para ajudar a identificar a combinação de região e rede. Um nome de recurso não pode conter apenas espaços em branco nem os caracteres \/;:#.*?=<>|[]{}"'()'.
     • Selecione um par de rede virtual/grupo de recursos. (Se você tiver mais de uma rede virtual com o mesmo nome, o emparelhamento do nome da rede com o grupo de recursos fornece combinações exclusivas.) Se a região selecionada na página anterior não tiver nenhuma rede virtual, retorne a essa página e selecione uma região que tenha redes virtuais.

7. Na página “Resumo”, visualize um resumo das configurações e selecione “Concluir” para finalizar sua configuração.

Criar um catálogo de máquinas usando uma imagem do Azure Resource Manager

Uma imagem pode ser um disco, um instantâneo ou uma versão de imagem de uma definição de imagem dentro da Galeria de Computação do Azure que é usada para criar as VMs em um catálogo de máquinas. Para obter informações gerais sobre imagens, consulte Criar catálogos de máquinas.

Limitação do Azure

O Azure Resource Manager limita as solicitações para assinaturas e locatários, roteando o tráfego com base em limites definidos, adaptados às necessidades específicas do provedor. Consulte Limitação de solicitações do Resource Manager no site da Microsoft para obter mais informações. Existem limites para assinaturas e locatários, onde o gerenciamento de muitas máquinas pode se tornar problemático. Por exemplo, uma assinatura que contém muitas máquinas pode apresentar problemas de desempenho relacionados a operações de energia.

Dica:

Para obter mais informações, consulte Melhorando o desempenho do Azure com o Machine Creation Services.

Para ajudar a mitigar esses problemas, você pode remover a limitação interna do MCS para usar mais da cota de solicitação disponível do Azure.

Recomendamos as seguintes configurações ideais ao ligar ou desligar VMs em grandes assinaturas, por exemplo, aquelas que contêm 1.000 VMs:

• Operações simultâneas absolutas: 500
• Máximo de novas operações por minuto: 2000
• Concorrência máxima de operações: 500

O MCS suporta 500 operações simultâneas máximas por padrão. Alternativamente, você pode usar o SDK do PowerShell Remoto para definir o número máximo de operações simultâneas.

Use a propriedade PowerShell, MaximumConcurrentProvisioningOperations, para especificar o número máximo de operações de provisionamento simultâneas do Azure. Ao usar esta propriedade, considere:

• O valor padrão de MaximumConcurrentProvisioningOperations é 500.
• Configure o parâmetro MaximumConcurrentProvisioningOperations usando o comando PowerShell Set-item.

Grupos de recursos do Azure

Os grupos de recursos de provisionamento do Azure fornecem uma maneira de provisionar as VMs que fornecem aplicativos e desktops aos usuários. Você pode adicionar grupos de recursos do Azure vazios existentes ao criar um catálogo de máquinas MCS, ou ter novos grupos de recursos criados para você. Para obter informações sobre grupos de recursos do Azure, consulte a documentação da Microsoft.

Uso do Grupo de Recursos do Azure

Não há limite para o número de máquinas virtuais, discos gerenciados, instantâneos e imagens por Grupo de Recursos do Azure. (O limite de 240 VMs por 800 discos gerenciados por Grupo de Recursos do Azure foi removido.)

• Ao usar uma entidade de serviço de escopo completo para criar um catálogo de máquinas, o MCS cria apenas um Grupo de Recursos do Azure e usa esse grupo para o catálogo.
• Ao usar uma entidade de serviço de escopo restrito para criar um catálogo de máquinas, você deve fornecer um Grupo de Recursos do Azure vazio e pré-criado para o catálogo.

Discos efêmeros do Azure

Um disco efêmero do Azure permite que você reutilize o disco de cache ou o disco temporário para armazenar o disco do SO para uma máquina virtual habilitada para Azure. Essa funcionalidade é útil para ambientes Azure que exigem um disco SSD de maior desempenho em vez de um disco HDD padrão. Para usar discos efêmeros, você deve definir a propriedade personalizada UseEphemeralOsDisk como true ao executar New-ProvScheme.

Observação:

Se a propriedade personalizada UseEphemeralOsDisk for definida como false ou se um valor não for especificado, todos os VDAs provisionados continuarão a usar um disco do SO provisionado.

A seguir, um exemplo de conjunto de propriedades personalizadas a serem usadas no esquema de provisionamento:

"CustomProperties": [
            {
                "Name": "UseManagedDisks",
                "Value": "true"
            },
            {
                "Name": "StorageType",
                "Value": "Standard_LRS"
            },
            {
                "Name": "UseSharedImageGallery",
                "Value": "true"
            },
            {
                "Name": "SharedImageGalleryReplicaRatio",
                "Value": "40"
            },
            {
                "Name": "SharedImageGalleryReplicaMaximum",
                "Value": "10"
            },
            {
                "Name": "LicenseType",
                "Value": "Windows_Server"
            },
            {
                "Name": "UseEphemeralOsDisk",
                "Value": "true"
            }
        ],
<!--NeedCopy-->

Como criar máquinas usando discos do SO efêmeros

Os discos do SO efêmeros são controlados com base na propriedade UseEphemeralOsDisk no parâmetro CustomProperties.

Considerações importantes para discos efêmeros

Para provisionar discos do SO efêmeros usando New-ProvScheme, considere as seguintes restrições:

• O tamanho da VM usado para o catálogo deve suportar discos do SO efêmeros.
• O tamanho do cache ou do disco temporário associado ao tamanho da VM deve ser maior ou igual ao tamanho do disco do SO.
• O tamanho do disco temporário deve ser maior que o tamanho do disco de cache.

Considere também esses problemas ao:

• Criar o esquema de provisionamento.
• Modificar o esquema de provisionamento.
• Atualizar a imagem.

Disco efêmero do Azure e otimização de armazenamento do Machine Creation Services (MCS) (E/S do MCS)

O disco do SO efêmero do Azure e a E/S do MCS não podem ser habilitados ao mesmo tempo.

As considerações importantes são as seguintes:

• Você não pode criar um catálogo de máquinas com o disco do SO efêmero e a E/S do MCS habilitados ao mesmo tempo.

• Os parâmetros do PowerShell (UseWriteBackCache e UseEphemeralOsDisk) definidos como true em New-ProvScheme ou Set-ProvScheme falham com uma mensagem de erro apropriada.
• Para catálogos de máquinas existentes criados com ambos os recursos habilitados, você ainda pode:
  • atualizar um catálogo de máquinas.
  • adicionar ou excluir VMs.
  • excluir um catálogo de máquinas.

Criptografia do lado do servidor do Azure

O Citrix Virtual Apps and Desktops e o Citrix DaaS suportam chaves de criptografia gerenciadas pelo cliente para discos gerenciados do Azure por meio do Azure Key Vault. Com esse suporte, você pode gerenciar seus requisitos organizacionais e de conformidade criptografando os discos gerenciados do seu catálogo de máquinas usando sua própria chave de criptografia. Para obter mais informações, consulte Criptografia do lado do servidor do Armazenamento em Disco do Azure.

Ao usar este recurso para discos gerenciados:

• Para alterar a chave com a qual o disco é criptografado, você altera a chave atual no DiskEncryptionSet. Todos os recursos associados a esse DiskEncryptionSet são alterados para serem criptografados com a nova chave.

• Quando você desabilita ou exclui sua chave, todas as VMs com discos que usam essa chave são desligadas automaticamente. Após o desligamento, as VMs não são utilizáveis, a menos que a chave seja habilitada novamente ou você atribua uma nova chave. Qualquer catálogo que usa a chave não pode ser ligado, e você não pode adicionar VMs a ele.

Considerações importantes ao usar chaves de criptografia gerenciadas pelo cliente

Considere o seguinte ao usar este recurso:

• Todos os recursos relacionados às suas chaves gerenciadas pelo cliente (Cofres de Chaves do Azure, conjuntos de criptografia de disco, VMs, discos e instantâneos) devem residir na mesma assinatura e região.

• Depois de habilitar a chave de criptografia gerenciada pelo cliente, você não poderá desabilitá-la posteriormente. Se quiser desabilitar ou remover a chave de criptografia gerenciada pelo cliente, copie todos os dados para um disco gerenciado diferente que não esteja usando a chave de criptografia gerenciada pelo cliente.

• Discos criados a partir de imagens personalizadas criptografadas usando criptografia do lado do servidor e chaves gerenciadas pelo cliente devem ser criptografados usando as mesmas chaves gerenciadas pelo cliente. Esses discos devem estar na mesma assinatura.

• Instantâneos criados a partir de discos criptografados com criptografia do lado do servidor e chaves gerenciadas pelo cliente devem ser criptografados com as mesmas chaves gerenciadas pelo cliente.

• Discos, instantâneos e imagens criptografados com chaves gerenciadas pelo cliente não podem ser movidos para outro grupo de recursos e assinatura.

• Discos gerenciados atualmente ou anteriormente criptografados usando a Criptografia de Disco do Azure não podem ser criptografados usando chaves gerenciadas pelo cliente.

• Consulte o site da Microsoft para obter informações sobre as limitações dos conjuntos de criptografia de disco por região.

Observação:

Consulte Início Rápido: Criar um Cofre de Chaves usando o portal do Azure para obter informações sobre como configurar a criptografia do lado do servidor do Azure.

Chave de criptografia gerenciada pelo cliente do Azure

Ao criar um catálogo de máquinas, você pode escolher se deseja criptografar os dados nas máquinas provisionadas no catálogo. A criptografia do lado do servidor com uma chave de criptografia gerenciada pelo cliente permite gerenciar a criptografia no nível do disco gerenciado e proteger os dados nas máquinas do catálogo. Um Conjunto de Criptografia de Disco (DES) representa uma chave gerenciada pelo cliente. Para usar esse recurso, você deve primeiro criar seu DES no Azure. Um DES está no seguinte formato:

• /subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

Selecione um DES na lista. O DES selecionado deve estar na mesma assinatura e região que seus recursos. Se sua imagem for criptografada com um DES, use o mesmo DES ao criar o catálogo de máquinas. Você não pode alterar o DES depois de criar o catálogo.

Se você criar um catálogo com uma chave de criptografia e, posteriormente, desabilitar o DES correspondente no Azure, você não poderá mais ligar as máquinas no catálogo ou adicionar máquinas a ele.

Hosts dedicados do Azure

Você pode usar o MCS para provisionar VMs em hosts dedicados do Azure. Antes de provisionar VMs em hosts dedicados do Azure:

• Crie um grupo de hosts.
• Crie hosts nesse grupo de hosts.
• Certifique-se de que haja capacidade de host suficiente reservada para criar catálogos e máquinas virtuais.

Você pode criar um catálogo de máquinas com a locação do host definida por meio do seguinte script do PowerShell:

New-ProvScheme <otherParameters> -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <Property xsi:type="StringProperty" Name="HostGroupId" Value="myResourceGroup/myHostGroup" />
 ...other Custom Properties...
 </CustomProperties>
<!--NeedCopy-->

Ao usar o MCS para provisionar máquinas virtuais em hosts dedicados do Azure, considere:

• Um host dedicado é uma propriedade do catálogo e não pode ser alterado depois que o catálogo é criado. A locação dedicada não é atualmente suportada no Azure.
• Um grupo de hosts do Azure pré-configurado, na região da unidade de hospedagem, é necessário ao usar o parâmetro HostGroupId.
• O posicionamento automático do Azure é necessário. Essa funcionalidade faz uma solicitação para integrar a assinatura associada ao grupo de hosts. Para obter mais informações, consulte Conjunto de Dimensionamento de VM em Hosts Dedicados do Azure - Visualização Pública. Se o posicionamento automático não estiver habilitado, o MCS gerará um erro durante a criação do catálogo.

Galeria de Imagens Compartilhadas do Azure

Use a Galeria de Imagens Compartilhadas do Azure como um repositório de imagens publicadas para máquinas provisionadas pelo MCS no Azure. Você pode armazenar uma imagem publicada na galeria para acelerar a criação e a hidratação de discos do sistema operacional, melhorando os tempos de inicialização e de lançamento de aplicativos para VMs não persistentes. A galeria de imagens compartilhadas contém os três elementos a seguir:

• Galeria: As imagens são armazenadas aqui. O MCS cria uma galeria para cada catálogo de máquinas.
• Definição da Imagem da Galeria: Essa definição inclui informações (tipo e estado do sistema operacional, região do Azure) sobre a imagem publicada. O MCS cria uma definição de imagem para cada imagem criada para o catálogo.
• Versão da Imagem da Galeria: Cada imagem em uma Galeria de Imagens Compartilhadas pode ter várias versões, e cada versão pode ter várias réplicas em diferentes regiões. Cada réplica é uma cópia completa da imagem publicada.

Observação:

A funcionalidade da Galeria de Imagens Compartilhadas funciona apenas com discos gerenciados. Não está disponível para catálogos de máquinas legados.

Para obter mais informações, consulte Visão geral da Galeria de Imagens Compartilhadas do Azure.

Configurar a Galeria de Imagens Compartilhadas

Use o comando New-ProvScheme para criar um esquema de provisionamento com suporte à Galeria de Imagens Compartilhadas. Use o comando Set-ProvScheme para habilitar ou desabilitar esse recurso para um esquema de provisionamento e para alterar a taxa de réplicas e os valores máximos de réplicas.

Três propriedades personalizadas foram adicionadas aos esquemas de provisionamento para oferecer suporte ao recurso da Galeria de Imagens Compartilhadas:

UseSharedImageGallery

• Define se a Galeria de Imagens Compartilhadas deve ser usada para armazenar as imagens publicadas. Se definido como True, a imagem é armazenada como uma imagem da Galeria de Imagens Compartilhadas; caso contrário, a imagem é armazenada como um instantâneo.
• Os valores válidos são True e False.
• Se a propriedade não for definida, o valor padrão será False.

SharedImageGalleryReplicaRatio

• Define a proporção de máquinas para réplicas da versão da imagem da galeria.
• Os valores válidos são números inteiros maiores que 0.
• Se a propriedade não for definida, os valores padrão serão usados. O valor padrão para discos do sistema operacional persistentes é 1000 e o valor padrão para discos do sistema operacional não persistentes é 40.

SharedImageGalleryReplicaMaximum

• Define o número máximo de réplicas para cada versão da imagem da galeria.
• Os valores válidos são números inteiros maiores que 0.
• Se a propriedade não for definida, o valor padrão será 10.
• Atualmente, o Azure oferece suporte a até 10 réplicas para uma única versão de imagem da galeria. Se a propriedade for definida com um valor maior do que o suportado pelo Azure, o MCS tentará usar o valor especificado. O Azure gera um erro, que o MCS registra e, em seguida, deixa a contagem de réplicas atual inalterada.

Dica:

Ao usar a Galeria de Imagens Compartilhadas para armazenar uma imagem publicada para catálogos provisionados pelo MCS, o MCS define a contagem de réplicas da versão da imagem da galeria com base no número de máquinas no catálogo, na taxa de réplicas e no máximo de réplicas. A contagem de réplicas é calculada dividindo o número de máquinas no catálogo pela taxa de réplicas (arredondando para o valor inteiro mais próximo) e, em seguida, limitando o valor à contagem máxima de réplicas. Por exemplo, com uma taxa de réplicas de 20 e um máximo de 5, 0 a 20 máquinas têm uma réplica criada, 21 a 40 têm 2 réplicas, 41 a 60 têm 3 réplicas, 61 a 80 têm 4 réplicas, 81+ têm 5 réplicas.

Caso de uso: Atualizar a taxa de réplicas e o máximo de réplicas da Galeria de Imagens Compartilhadas

O catálogo de máquinas existente usa a Galeria de Imagens Compartilhadas. Use o comando Set-ProvScheme para atualizar as propriedades personalizadas de todas as máquinas existentes no catálogo e de quaisquer máquinas futuras:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Caso de uso: Converter um catálogo de instantâneos em um catálogo da Galeria de Imagens Compartilhadas

Para este caso de uso:

1. Execute Set-ProvScheme com o sinalizador UseSharedImageGallery definido como True. Opcionalmente, inclua as propriedades SharedImageGalleryReplicaRatio e SharedImageGalleryReplicaMaximum.
2. Atualize o catálogo.
3. Reinicie as máquinas para forçar uma atualização.

Por exemplo:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Dica:

Os parâmetros SharedImageGalleryReplicaRatio e SharedImageGalleryReplicaMaximum não são obrigatórios. Após a conclusão do comando Set-ProvScheme, a imagem da Galeria de Imagens Compartilhadas ainda não foi criada. Depois que o catálogo é configurado para usar a galeria, a próxima operação de atualização do catálogo armazena a imagem publicada na galeria. O comando de atualização do catálogo cria a galeria, a imagem da galeria e a versão da imagem. A reinicialização das máquinas as atualiza, momento em que a contagem de réplicas é atualizada, se apropriado. A partir desse momento, todas as máquinas não persistentes existentes são redefinidas usando a imagem da Galeria de Imagens Compartilhadas e todas as máquinas recém-provisionadas são criadas usando a imagem. O instantâneo antigo é limpo automaticamente em algumas horas.

Caso de uso: Converter um catálogo da Galeria de Imagens Compartilhadas em um catálogo de instantâneos

Para este caso de uso:

1. Execute Set-ProvScheme com o sinalizador UseSharedImageGallery definido como False ou não definido.
2. Atualize o catálogo.
3. Reinicie as máquinas para forçar uma atualização.

Por exemplo:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="False"/></CustomProperties>'
<!--NeedCopy-->

Dica:

Ao contrário da atualização de um instantâneo para um catálogo da Galeria de Imagens Compartilhadas, os dados personalizados de cada máquina ainda não são atualizados para refletir as novas propriedades personalizadas. Execute o seguinte comando para ver as propriedades personalizadas originais da Galeria de Imagens Compartilhadas: Get-ProvVm -ProvisioningSchemeName catalog-name. Após a conclusão do comando Set-ProvScheme, o instantâneo da imagem ainda não foi criado. Depois que o catálogo é configurado para não usar a galeria, a próxima operação de atualização do catálogo armazena a imagem publicada como um instantâneo. A partir desse momento, todas as máquinas não persistentes existentes são redefinidas usando o instantâneo e todas as máquinas recém-provisionadas são criadas a partir do instantâneo. A reinicialização das máquinas as atualiza, momento em que os dados personalizados da máquina são atualizados para refletir que UseSharedImageGallery está definido como False. Os ativos antigos da Galeria de Imagens Compartilhadas (galeria, imagem e versão) são limpos automaticamente em algumas horas.

Provisionar máquinas em Zonas de Disponibilidade especificadas

Você pode provisionar máquinas em Zonas de Disponibilidade específicas em ambientes do Azure. Você pode conseguir isso usando o PowerShell.

Observação:

Se nenhuma zona for especificada, o MCS permite que o Azure posicione as máquinas dentro da região. Se mais de uma zona for especificada, o MCS distribui aleatoriamente as máquinas entre elas.

Configurar Zonas de Disponibilidade com o PowerShell

Com o PowerShell, você pode visualizar os itens de inventário da oferta usando Get-Item. Por exemplo, para visualizar a oferta de serviço Standard_B1ls da região Leste dos EUA:

$serviceOffering = Get-Item -path "XDHyp:\Connections\my-connection-name\East US.region\serviceoffering.folder\Standard_B1ls.serviceoffering"
<!--NeedCopy-->

Para visualizar as zonas, use o parâmetro AdditionalData para o item:

$serviceOffering.AdditionalData

Se as Zonas de Disponibilidade não forem especificadas, não há alteração na forma como as máquinas são provisionadas.

Para configurar Zonas de Disponibilidade com o PowerShell, use a propriedade personalizada Zones disponível com a operação New-ProvScheme. A propriedade Zones define uma lista de Zonas de Disponibilidade para provisionar máquinas. Essas zonas podem incluir uma ou mais Zonas de Disponibilidade. Por exemplo, <Property xsi:type="StringProperty" Name="Zones" Value="1, 3"/> para as Zonas 1 e 3.

Use o comando Set-ProvScheme para atualizar as zonas de um esquema de provisionamento.

Se uma zona inválida for fornecida, o esquema de provisionamento não é atualizado e uma mensagem de erro aparece fornecendo instruções sobre como corrigir o comando inválido.

Dica:

Se você especificar uma propriedade personalizada inválida, o esquema de provisionamento não é atualizado e uma mensagem de erro relevante aparece.

Disco efêmero do Azure

Os discos efêmeros do Azure permitem que você reutilize o cache ou o disco temporário para armazenar o disco do sistema operacional de uma máquina virtual habilitada para Azure. Essa funcionalidade é útil para ambientes Azure que exigem um disco SSD de maior desempenho em vez de um disco HDD padrão.

Nota:

Os catálogos persistentes não suportam discos de SO efêmeros.

Os discos de SO efêmeros exigem que seu esquema de provisionamento use discos gerenciados e uma Galeria de Imagens Compartilhadas. Para obter mais informações, consulte Galeria de imagens compartilhadas do Azure.

Usar o PowerShell para configurar um disco efêmero

Para configurar um disco de SO efêmero do Azure para um catálogo, use o parâmetro UseEphemeralOsDisk em Set-ProvScheme. Defina o valor do parâmetro UseEphemeralOsDisk como true.

Nota:

Para usar este recurso, você também deve habilitar os parâmetros UseManagedDisks e UseSharedImageGallery.

Por exemplo:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="true" />
<Property xsi:type="StringProperty" Name="UseEphemeralOsDisk" Value="true" />
</CustomProperties>'
<!--NeedCopy-->

Armazenar um disco temporário de SO efêmero

Você tem a opção de armazenar um disco de SO efêmero no disco temporário da VM ou em um disco de recurso. Essa funcionalidade permite que você use um disco de SO efêmero com uma VM que não possui cache ou possui cache insuficiente. Essas VMs têm um disco temporário ou de recurso para armazenar um disco de SO efêmero, como Ddv4.

Considere o seguinte:

• Um disco efêmero é armazenado no disco de cache da VM ou no disco temporário (de recurso) da VM. O disco de cache é preferido em relação ao disco temporário, a menos que o disco de cache não seja grande o suficiente para conter o conteúdo do disco do SO.
• Para atualizações, uma nova imagem que seja maior que o disco de cache, mas menor que o disco temporário, resulta na substituição do disco de SO efêmero pelo disco temporário da VM.

Preservar uma máquina virtual provisionada ao reiniciar

Escolha se deseja preservar uma máquina virtual provisionada ao reiniciar. Use o parâmetro do PowerShell New-ProvScheme CustomProperties. Este parâmetro suporta uma propriedade extra, PersistVm, usada para determinar se uma máquina virtual provisionada persiste quando reiniciada. Defina a propriedade PersistVm como true para manter uma máquina virtual quando desligada, ou defina a propriedade como false para garantir que a máquina virtual não seja preservada quando desligada.

Nota:

A propriedade PersistVm se aplica apenas a um esquema de provisionamento com as propriedades CleanOnBoot e UseWriteBackCache habilitadas. Se a propriedade PersistVm não for especificada para máquinas virtuais não persistentes, elas serão excluídas do ambiente Azure quando desligadas.

No exemplo a seguir, o parâmetro New-ProvScheme CustomProperties define a propriedade PersistVm como true:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="false" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
<Property xsi:type="StringProperty" Name="PersistVm" Value="true" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="demo-resourcegroup" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>
<!--NeedCopy-->

No exemplo a seguir, o parâmetro New-ProvScheme CustomProperties preserva o cache de write-back definindo PersistVM como true:

 New-ProvScheme
 -AzureAdJoinType "None"
 -CleanOnBoot
 -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"Standard_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"false`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"PersistVm`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"demo-resourcegroup`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Client`" /></CustomProperties>"
 -HostingUnitName "demo"
 -IdentityPoolName "NonPersistent-MCSIO-PersistVM"
 -MasterImageVM "XDHyp:\HostingUnits\demo\image.folder\scale-test.resourcegroup\demo-snapshot.snapshot"
 -NetworkMapping @ {"0"="XDHyp:\HostingUnits\demo\\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\ji-test.resourcegroup\jitest-vnet.virtualprivatecloud\default.network"}
-ProvisioningSchemeName "NonPersistent-MCSIO-PersistVM"
 -ServiceOffering "XDHyp:\HostingUnits\demo\serviceoffering.folder\Standard_B2ms.serviceoffering" -UseWriteBackCache
 -WriteBackCacheDiskSize 127
 -WriteBackCacheMemorySize 256
 <!--NeedCopy-->

Dica:

A propriedade PersistVm determina se uma máquina virtual provisionada deve ser preservada. A propriedade PersistOsdisk determina se o disco do SO deve persistir. Para preservar uma máquina virtual provisionada, preserve o disco do SO primeiro. Você não pode excluir o disco do SO sem antes excluir a máquina virtual. Você pode usar a propriedade PersistOsdisk sem especificar o parâmetro PersistVm.

Tipos de armazenamento

Selecione diferentes tipos de armazenamento para máquinas virtuais em ambientes Azure que usam MCS. Para VMs de destino, o MCS suporta:

• Disco do SO: SSD premium, SSD ou HDD
• Disco de cache de write-back: SSD premium, SSD ou HDD

Ao usar esses tipos de armazenamento, considere o seguinte:

• Certifique-se de que sua VM suporte o tipo de armazenamento selecionado.
• Se sua configuração usar um disco efêmero do Azure, você não terá a opção de configuração de disco de cache de write-back.

Dica:

StorageType é configurado para um tipo de SO e conta de armazenamento. WBCDiskStorageType é configurado para o tipo de armazenamento de cache de write-back. Para um catálogo normal, StorageType é obrigatório. Se WBCDiskStorageType não for configurado, StorageType será usado como padrão para WBCDiskStorageType.

Se WBCDiskStorageType não for configurado, StorageType será usado como padrão para WBCDiskStorageType.

Configurar tipos de armazenamento

Para configurar tipos de armazenamento para VM, use o parâmetro StorageType em New-ProvScheme. Defina o valor do parâmetro StorageType para um dos tipos de armazenamento suportados.

A seguir, um exemplo de conjunto do parâmetro CustomProperties em um esquema de provisionamento:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>'
<!--NeedCopy-->

Recuperar informações para VMs do Azure, snapshots, disco do SO e definição de imagem da galeria

Você pode exibir informações para uma VM do Azure, incluindo disco e tipo de SO, snapshot e definição de imagem da galeria. Essas informações são exibidas para recursos na imagem mestre quando um catálogo de máquinas é atribuído. Use essa funcionalidade para visualizar e selecionar uma imagem Linux ou Windows. Uma propriedade do PowerShell, TemplateIsWindowsTemplate, foi adicionada ao parâmetro AdditionDatafield. Este campo contém informações específicas do Azure: tipo de VM, disco do SO, informações da imagem da galeria e informações do tipo de SO. Definir TemplateIsWindowsTemplate como True indica que o tipo de SO é Windows; definir TemplateIsWindowsTemplate como False indica que o tipo de SO é Linux.

Dica:

As informações exibidas pela propriedade do PowerShell TemplateIsWindowsTemplate são derivadas da API do Azure. Em alguns casos, este campo pode estar vazio. Por exemplo, um snapshot de um disco de dados não contém o campo TemplateIsWindowsTemplate porque o tipo de SO não pode ser recuperado de um snapshot.

Por exemplo, defina o parâmetro AdditionData da VM do Azure como True para o tipo de SO Windows usando o PowerShell:

PS C:\Users\username> (get-item XDHyp:\HostingUnits\mynetwork\image.folder\username-dev-testing-rg.resourcegroup\username-dev-tsvda.vm).AdditionalData
Key Value
ServiceOfferingDescription Standard_B2ms
HardDiskSizeGB 127
ResourceGroupName FENGHUAJ-DEV-TESTING-RG
ServiceOfferingMemory 8192
ServiceOfferingCores 2
TemplateIsWindowsTemplate True
ServiceOfferingWithTemporaryDiskSizeInMb 16384
SupportedMachineGenerations Gen1,Gen2
<!--NeedCopy-->

Azure Marketplace

O Citrix Virtual Apps and Desktops e o Citrix DaaS suportam o uso de uma imagem mestre no Azure que contém informações de plano para criar um catálogo de máquinas. Para obter mais informações, consulte Microsoft Azure Marketplace.

Dica:

Algumas imagens encontradas no Azure Marketplace, como a imagem padrão do Windows Server, não anexam informações de plano. O recurso Citrix DaaS™ é para imagens pagas.

Certifique-se de que a imagem criada na Galeria de Imagens Compartilhadas contenha informações de plano do Azure

Use o procedimento nesta seção para visualizar imagens da Galeria de Imagens Compartilhadas no Citrix Studio. Essas imagens podem ser usadas opcionalmente para uma imagem mestre. Para colocar a imagem em uma Galeria de Imagens Compartilhadas, crie uma definição de imagem em uma galeria.

Na página “Opções de Publicação”, verifique as informações do plano de compra.

Os campos de informações do plano de compra estão inicialmente vazios. Preencha esses campos com as informações do plano de compra usadas para a imagem. A falha ao preencher as informações do plano de compra pode fazer com que o processo de catálogo de máquinas falhe.

Após verificar as informações do plano de compra, crie uma versão da imagem dentro da definição. Esta é usada como a imagem mestre. Clique em “Adicionar versão”:

Na seção “Detalhes da Versão”, selecione o instantâneo da imagem ou o disco gerenciado como a origem:

Sobre as permissões do Azure

Esta seção contém as permissões mínimas e gerais necessárias para o Azure.

Permissões mínimas

As permissões mínimas oferecem melhor controle de segurança. No entanto, novos recursos que exigem permissões adicionais falharão devido ao uso apenas de permissões mínimas.

Criando uma conexão de host

Adicione uma nova conexão de host usando as informações obtidas do Azure.

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

Gerenciamento de energia de VMs

Ligue ou desligue as instâncias da máquina.

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Criando, atualizando ou excluindo VMs

Crie um catálogo de máquinas e, em seguida, adicione, exclua, atualize máquinas e exclua o catálogo de máquinas.

A seguir está a lista de permissões mínimas necessárias quando a imagem mestre é um disco gerenciado ou os instantâneos estão localizados na mesma região que a conexão de hospedagem.

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Você precisa das seguintes permissões extras com base nas permissões mínimas para os seguintes recursos:

• Se a imagem mestre for um VHD em uma conta de armazenamento localizada na mesma região que a conexão de hospedagem:

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   <!--NeedCopy-->
  

• Se a imagem mestre for uma ImageVersion da Galeria de Imagens Compartilhadas:

   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   <!--NeedCopy-->
  

• Se a imagem mestre for um disco gerenciado. Instantâneos ou VHD estiverem em uma região diferente da região da conexão de hospedagem:

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   "Microsoft.Storage/storageAccounts/write",
   "Microsoft.Storage/storageAccounts/delete",
   <!--NeedCopy-->
  

• Se você usar o grupo de recursos gerenciado pela Citrix:

   "Microsoft.Resources/subscriptions/resourceGroups/write",
   "Microsoft.Resources/subscriptions/resourceGroups/delete",
   <!--NeedCopy-->
  

• Se você colocar a imagem mestre na Galeria de Imagens Compartilhadas:

   "Microsoft.Compute/galleries/write",
   "Microsoft.Compute/galleries/images/write",
   "Microsoft.Compute/galleries/images/versions/write",
   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   "Microsoft.Compute/galleries/delete",
   "Microsoft.Compute/galleries/images/delete",
   "Microsoft.Compute/galleries/images/versions/delete",
   <!--NeedCopy-->
  

• Se você usar o suporte a host dedicado do Azure:

   "Microsoft.Compute/hostGroups/read",
   "Microsoft.Compute/hostGroups/write",
   "Microsoft.Compute/hostGroups/hosts/read",
   <!--NeedCopy-->
  

• Se você usar Criptografia do Lado do Servidor (SSE) com Chaves Gerenciadas pelo Cliente (CMK):

   "Microsoft.Compute/diskEncryptionSets/read",
   <!--NeedCopy-->
  

• Se você implantar VMs usando modelos ARM (perfil de máquina):

   "Microsoft.Resources/deployments/write",
   "Microsoft.Resources/deployments/operationstatuses/read",
   "Microsoft.Resources/deployments/read",
   "Microsoft.Resources/deployments/delete",
   <!--NeedCopy-->
  

• Se você usar a especificação de modelo do Azure como um perfil de máquina:

   "Microsoft.Resources/templateSpecs/read",
   "Microsoft.Resources/templateSpecs/versions/read",
   <!--NeedCopy-->
  

Criando, atualizando e excluindo máquinas com disco não gerenciado

A seguir está a lista de permissões mínimas necessárias quando a imagem mestre é VHD e usa o grupo de recursos conforme fornecido pelo administrador:

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Permissão geral

A função de Colaborador tem acesso total para gerenciar todos os recursos. Este conjunto de permissões não impede que você obtenha novos recursos.

O seguinte conjunto de permissões oferece a melhor compatibilidade daqui para frente, embora inclua mais permissões do que o necessário com o conjunto de recursos atual:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Mais informações

• Conexões e recursos
• Criar catálogos de máquinas
• CTX219211: Configure uma conta do Microsoft Azure Active Directory
• CTX219243: Conceda acesso do XenApp e XenDesktop à sua assinatura do Azure
• CTX219271: Implante a nuvem híbrida usando VPN site a site