Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Conexão com o Microsoft Azure

January 24, 2025
Contribuição de: 
C

Nota:

Desde julho de 2023, a Microsoft renomeou o Azure Active Directory (Azure AD) para Microsoft Entra ID. Neste documento, qualquer referência ao Azure Active Directory, Azure AD ou AAD agora se refere ao Microsoft Entra ID.

Criar e gerenciar conexões e recursos descreve os assistentes que criam uma conexão. As informações a seguir abrangem detalhes específicos dos ambientes de nuvem do Azure Resource Manager.

Nota:

Antes de criar uma conexão com o Microsoft Azure, você deve concluir a configuração da sua conta do Azure como um local de recurso. Veja Ambientes de nuvem do Microsoft Azure Resource Manager.

Crie diretores de serviços e conexões

Antes de criar conexões, você deve configurar os principais de serviço que as conexões usam para acessar os recursos do Azure. Você pode criar uma conexão de duas maneiras:

  • Crie um principal de serviço e uma conexão juntos usando o Web Studio
  • Crie uma conexão usando um principal de serviço criado anteriormente

Esta seção mostra como concluir essas tarefas:

Considerações

  • A Citrix recomenda usar o Service Principal com a função de colaborador. No entanto, consulte a seção Permissões mínimas para obter a lista de permissões mínimas.
  • Ao criar a primeira conexão, o Azure solicita que você conceda a ela as permissões necessárias. Para conexões futuras, você ainda deve se autenticar, mas o Azure lembra seu consentimento anterior e não exibe a solicitação novamente.
  • As contas usadas para autenticação devem ter permissões para atribuir funções na assinatura usando o Azure RBAC. Exemplo: proprietário, administrador de controle de acesso baseado em função ou administrador de acesso de usuário da assinatura.
  • A conta usada para autenticação deve ser membro do diretório da assinatura. Há dois tipos de contas que você deve conhecer: “Trabalho ou escola” e “conta pessoal da Microsoft”. Consulte CTX219211 para obter detalhes.

  • Embora você possa usar uma conta Microsoft existente adicionando-a como membro do diretório da assinatura, pode haver complicações se o usuário já tiver recebido acesso de convidado a um dos recursos do diretório. Nesse caso, eles podem ter uma entrada de espaço reservado no diretório que não lhes concede as permissões necessárias, e um erro é retornado.

    Corrija isso removendo os recursos do diretório e adicionando-os de volta explicitamente. No entanto, use essa opção com cuidado, pois ela tem efeitos não intencionais para outros recursos que a conta possa acessar.

  • Há um problema conhecido em que determinadas contas são detectadas como convidadas do diretório quando, na verdade, são membros. Configurações como essa geralmente ocorrem com contas de diretório estabelecidas mais antigas. Solução alternativa: adicione uma conta ao diretório, que usa o valor de associação adequado.
  • Os grupos de recursos são simplesmente contêineres de recursos e podem conter recursos de outras regiões além de sua própria região. Isso pode ser potencialmente confuso se você espera que os recursos exibidos na região de um grupo de recursos estejam disponíveis.
  • Certifique-se de que sua rede e sub-rede sejam grandes o suficiente para hospedar o número de máquinas de que você precisa. Isso exige alguma previsão, mas a Microsoft ajuda você a especificar os valores corretos, com orientações sobre a capacidade do espaço de endereço.

Crie um principal de serviço e uma conexão usando o Web Studio

Importante:

Esse recurso ainda não está disponível para assinaturas do Azure China.

Com o Web Studio, você pode criar um principal de serviço e uma conexão em um único fluxo de trabalho. Os diretores de serviço dão às conexões acesso aos recursos do Azure. Quando você se autentica no Azure para criar um serviço principal, um aplicativo é registrado no Azure. Uma chave secreta (chamada de segredo do cliente ou segredo do aplicativo) é criada para o aplicativo registrado. O aplicativo registrado (uma conexão nesse caso) usa o segredo do cliente para se autenticar no Azure AD.

Antes de começar, verifique se você atendeu a esses pré-requisitos:

  • Você tem uma conta de usuário no locatário do Azure Active Directory da sua assinatura.
  • As contas usadas para autenticação devem ter permissões para atribuir funções na assinatura usando o Azure RBAC. Exemplo: proprietário, administrador de controle de acesso baseado em função ou administrador de acesso de usuário da assinatura.
  • Você tem permissões globais de administrador, administrador de aplicativos ou desenvolvedor de aplicativos para autenticação. Essas permissões podem ser revogadas após a criação da conexão com o host. Para obter mais informações sobre funções, consulte Funções integradas do Azure AD.

Use o assistente Adicionar conexão e recursos para criar um principal de serviço e uma conexão juntos:

  1. Na página Conexão , selecione Criar uma nova conexão, o tipo de conexão Microsoft Azure e seu ambiente Azure.

  2. Selecione quais ferramentas usar para criar as máquinas virtuais e, em seguida, selecione Próximo.

  3. Na página Connection Details , insira seu ID de assinatura do Azure e um nome para a conexão. Depois de inserir o ID da assinatura, o botão Criar novo é ativado.

    Nota:

    O nome da conexão pode conter de 1 a 64 caracteres e não pode conter somente espaços em branco nem os caracteres \/; :#.*? =<>| [] {} "'()'.

  4. Selecione Criar novo e, em seguida, digite o nome de usuário e a senha da conta do Azure Active Directory.
  5. Selecione Fazer login.
  6. Selecione Aceitar para conceder ao Citrix Virtual Apps and Desktops as permissões listadas. O Citrix Virtual Apps and Desktops cria um principal de serviço que permite gerenciar os recursos do Azure em nome do usuário especificado.

  7. Depois de selecionar Aceitar, você retornará à página Connection no assistente.

    Nota:

    Depois de se autenticar com sucesso no Azure, os botões Criar novo e Usar existentes desaparecem. O texto Conexão bem-sucedida aparece, com uma marca de seleção verde, indicando a conexão bem-sucedida com sua assinatura do Azure.

  8. Na página Connection Details , selecione Next.

    Nota:

    Você não pode prosseguir para a próxima página até se autenticar com êxito no Azure e consentir em conceder as permissões necessárias.

  9. Configure os recursos para a conexão. Os recursos abrangem a região e a rede.

    • Na página Região , selecione uma região.
    • Na página Network , faça o seguinte:
      • Digite um nome de recurso de 1 a 64 caracteres para ajudar a identificar a combinação de região e rede. O nome de um recurso não pode conter somente espaços em branco nem os caracteres \/; :#.*? =<>| [] {} "'()'.
      • Selecione um par de rede virtual/grupo de recursos. (Se você tiver mais de uma rede virtual com o mesmo nome, emparelhar o nome da rede com o grupo de recursos fornece combinações exclusivas.) Se a região selecionada na página anterior não tiver redes virtuais, retorne a essa página e selecione uma região que tenha redes virtuais.
  10. Na página Summary , veja um resumo das configurações e selecione Finish para concluir sua configuração.

Exibir o ID do aplicativo

Depois de criar uma conexão, você pode ver o ID do aplicativo que a conexão usa para acessar os recursos do Azure.

Na lista Adicionar conexão e recursos , selecione a conexão para ver os detalhes. A guia Details mostra a ID do aplicativo.

Crie um principal de serviço usando o PowerShell

Para criar um principal de serviço usando o PowerShell, conecte-se à sua assinatura do Azure Resource Manager e use os cmdlets do PowerShell fornecidos nas seções a seguir.

Certifique-se de ter esses itens prontos:

  • SubscriptionID: Azure Resource Manager SubscriptionID para a assinatura em que você deseja provisionar VDAs.
  • ActiveDirectoryID: ID do locatário do aplicativo que você registrou no Azure AD.
  • ApplicationName: Nome do aplicativo a ser criado no Azure AD.

As etapas detalhadas são as seguintes:

Conecte-se à sua assinatura do Azure Resource Manager.

  `Connect-AzAccount`

  1. Selecione a assinatura do Azure Resource Manager na qual você deseja criar o principal do serviço.

    Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

  2. Crie o aplicativo em seu locatário do AD.

    $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

  3. Crie um diretor de serviço.

    New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

  4. Atribua uma função ao diretor do serviço.

    New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

  5. Na janela de saída do console do PowerShell, anote o applicationID. Você fornece essa ID ao criar a conexão do host.

Obtenha o segredo do aplicativo no Azure

Para criar uma conexão usando um principal de serviço existente, primeiro você deve obter o ID do aplicativo e o segredo do principal de serviço no portal do Azure.

As etapas detalhadas são as seguintes:

  1. Obtenha a ID do aplicativo ** no Web Studio ou usando o PowerShell.
  2. Entre no portal do Azure.
  3. No Azure, selecione Azure Active Directory.
  4. Em Registros de aplicativos no Azure AD, selecione seu aplicativo.
  5. Vá para Certificates & secrets.
  6. Clique em Client secrets.

Crie uma conexão usando um principal de serviço existente

Se você já tiver um principal de serviço, poderá usá-lo para criar uma conexão usando o Web Studio.

Certifique-se de ter esses itens prontos:

  • ID da assinatura
  • ActiveDirectoryID (ID do inquilino)
  • ID do aplicativo

  • Segredo do aplicativo

    Para obter mais informações, consulte Obtenha o segredo do aplicativo.

  • Data de expiração secreta

As etapas detalhadas são as seguintes:

No assistente Adicionar conexão e recursos :

  1. Na página Conexão , selecione Criar uma nova conexão, o tipo de conexão Microsoft Azure e seu ambiente Azure.

  2. Selecione quais ferramentas usar para criar as máquinas virtuais e, em seguida, selecione Próximo.

  3. Na página Connection Details , insira seu ID de assinatura do Azure e um nome para a conexão.

    Nota:

    O nome da conexão pode conter de 1 a 64 caracteres e não pode conter somente espaços em branco nem os caracteres \/; :#.*? =<>| [] {} "'()'.

  4. Selecione Usarexistente. Na janela Detalhes do diretor de serviço existente , insira as seguintes configurações para o principal de serviço existente. Depois de inserir os detalhes, o botão Salvar é ativado. Selecione Salvar. Você não pode avançar além desta página até fornecer detalhes válidos.

    • ID de assinatura. Insira seu ID de assinatura do Azure. Para obter sua ID de assinatura, entre no portal do Azure e navegue até Assinaturas > Visão geral.
    • ID do Active Directory (ID do inquilino). Insira o ID do diretório (locatário) do aplicativo que você registrou no Azure AD.
    • ID do aplicativo. Insira o ID do aplicativo (cliente) do aplicativo que você registrou no Azure AD.
    • Segredo do aplicativo. Crie uma chave secreta (segredo do cliente). O aplicativo registrado usa a chave para se autenticar no Azure AD. Recomendamos que você altere as chaves regularmente para fins de segurança. Certifique-se de salvar a chave porque você não pode recuperá-la posteriormente.

    • Data de validade secreta. Insira a data após a qual o segredo do aplicativo expira. Você recebe um alerta no console antes que a chave secreta expire. No entanto, se a chave secreta expirar, você receberá erros.

      Nota:

      Por motivos de segurança, o período de expiração não pode ser superior a dois anos a partir de agora.

    • URL de autenticação. Esse campo é preenchido automaticamente e não é editável.
    • URL de gerenciamento. Esse campo é preenchido automaticamente e não é editável.

    • Sufixo de armazenamento. Esse campo é preenchido automaticamente e não é editável.

      O acesso aos seguintes endpoints é necessário para criar um catálogo MCS no Azure. O acesso a esses endpoints otimiza a conectividade entre sua rede e o portal do Azure e seus serviços.

  5. Depois de selecionar Salvar, você retorna à página Connection Details . Selecione Próximo para continuar na próxima página.

  6. Configure os recursos para a conexão. Os recursos abrangem a região e a rede.

    • Na página Região , selecione uma região.
    • Na página Network , faça o seguinte:
      • Digite um nome de recurso de 1 a 64 caracteres para ajudar a identificar a combinação de região e rede. O nome de um recurso não pode conter somente espaços em branco nem os caracteres \/; :#.*? =<>| [] {} "'()'.
      • Selecione um par de rede virtual/grupo de recursos. (Se você tiver mais de uma rede virtual com o mesmo nome, emparelhar o nome da rede com o grupo de recursos fornece combinações exclusivas.) Se a região selecionada na página anterior não tiver redes virtuais, retorne a essa página e selecione uma região que tenha redes virtuais.

  7. Na página Summary , veja um resumo das configurações e selecione Finish para concluir sua configuração.

Gerencie conexões e diretores de serviços

Esta seção detalha como você pode gerenciar conexões e diretores de serviços:

Definir as configurações de limitação do Azure

O Azure Resource Manager limita as solicitações de assinaturas e locatários, roteando o tráfego com base em limites definidos, de acordo com as necessidades específicas do provedor. Consulte Throttling Resource Manager requests no site da Microsoft para obter mais informações. Existem limites para assinaturas e locatários, onde o gerenciamento de muitas máquinas pode se tornar problemático. Por exemplo, uma assinatura contendo muitas máquinas pode apresentar problemas de desempenho relacionados às operações de energia.

Dica:

Para obter mais informações, consulte Melhorando o desempenho do Azure com os Serviços de Criação de Máquinas.

Para ajudar a mitigar esses problemas, você pode remover a limitação interna do MCS para usar mais da cota de solicitação disponível do Azure.

Recomendamos as seguintes configurações ideais ao ativar ou desativar as VMs em grandes assinaturas, por exemplo, aquelas que contêm 1.000 VMs:

  • Operações simultâneas absolutas: 500
  • Máximo de novas operações por minuto: 2000
  • Simultaneidade máxima de operações: 500

Use o Web Studio para configurar as operações do Azure para uma determinada conexão do Azure:

  1. No Web Studio, selecione Hosting no painel esquerdo.
  2. Selecione a conexão.
  3. No assistente Editar conexão , selecione Avançado.
  4. Na página Advanced , use as opções de configuração para especificar o número de ações simultâneas e o máximo de novas ações por minuto, além de outras opções de conexão.

Limitação do Azure

O MCS suporta no máximo 500 operações simultâneas por padrão. Como alternativa, você pode usar o SDK remoto do PowerShell para definir o número máximo de operações simultâneas.

Use a propriedade PowerShell , MaximumConcurrentProvisioningOperations, para especificar o número máximo de operações simultâneas de provisionamento do Azure. Ao usar essa propriedade, considere:

  • O valor padrão de MaximumConcurrentProvisioningOperations é 500.
  • Configure o parâmetro MaximumConcurrentProvisioningOperations usando o comando do PowerShell Set-item.

Habilitar o compartilhamento de imagens no Azure

Ao criar ou atualizar catálogos de máquinas, você pode selecionar imagens compartilhadas de diferentes locatários e assinaturas do Azure (compartilhadas por meio da Galeria de Computação do Azure). Para habilitar o compartilhamento de imagens dentro ou entre locatários, você deve fazer as configurações necessárias no Azure:

Compartilhe imagens dentro de um inquilino (em todas as assinaturas)

Para selecionar uma imagem na Galeria de Computação do Azure que pertença a uma assinatura diferente, a imagem deve ser compartilhada com o principal de serviço (SPN) dessa assinatura.

Por exemplo, se houver um serviço principal (SPN 1), configurado no Studio como:

Serviço principal: SPN 1

Assinatura: assinatura 1

Inquilino: inquilino 1

A imagem está em uma assinatura diferente, que é configurada no Studio como:

Assinatura: assinatura 2

Inquilino: inquilino 1

Se você quiser compartilhar a imagem na assinatura 2 com a assinatura 1 (SPN 1), vá para a assinatura 2 e compartilhe o grupo de recursos com a SPN1.

A imagem deve ser compartilhada com outro SPN usando o controle de acesso baseado em funções (RBAC) do Azure. O Azure RBAC é o sistema de autorização usado para gerenciar o acesso aos recursos do Azure. Para obter mais informações sobre o Azure RBAC, consulte o documento da Microsoft O que é o controle de acesso baseado em funções do Azure (Azure RBAC). Para conceder acesso, você atribui funções aos diretores de serviço no escopo do grupo de recursos com a função de Colaborador. Para atribuir funções do Azure, você deve ter a permissão microsoft.authorization/roleAssignments/write , como administrador de acesso de usuário ou proprietário. Para obter mais informações sobre o compartilhamento de imagens com outro SPN, consulte o documento da Microsoft Atribuir funções do Azure usando o portaldo Azure.

Para obter informações sobre como selecionar uma imagem de uma assinatura diferente usando os comandos do PowerShell, Selecione uma imagem de uma assinatura diferente.

Compartilhe imagens entre inquilinos

Para compartilhar imagens entre locatários com a Galeria de Computação do Azure, crie um registro de aplicativo.

Por exemplo, se houver dois inquilinos (inquilino 1 e inquilino 2) e você quiser compartilhar sua galeria de imagens com o inquilino 1, então:

  1. Crie um registro de inscrição para o Tenant 1. Para obter mais informações, consulte Criar o registro do aplicativo.

  2. Dê ao Tenant 2 acesso ao aplicativo solicitando um login usando um navegador. Substitua Tenant2 ID pela ID de inquilino do Tenant 1. Substitua ID do aplicativo (cliente) pelo ID do aplicativo do registro do aplicativo que você criou. Quando terminar de fazer as substituições, cole o URL em um navegador e siga as instruções de login para entrar no Tenant 2. Por exemplo:

      https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F
<!--NeedCopy-->

    Para obter mais informações, consulte Conceder acesso ao Tenant 2.

  3. Conceda ao aplicativo acesso ao grupo de recursos Tenant 2. Faça login como Tenant 2 e conceda ao registro do aplicativo acesso ao grupo de recursos que tem a imagem da galeria. Para obter mais informações, consulte Autenticar solicitações entre inquilinos.

Para criar um catálogo usando uma imagem de um locatário diferente usando os comandos do PowerShell:

  1. Atualize as propriedades personalizadas da conexão de hospedagem com IDs de inquilino compartilhados.
  2. Selecione uma imagem de um inquilino diferente.

Adicionar inquilinos compartilhados a uma conexão usando o Web Studio

Ao criar ou atualizar catálogos de máquinas no Web Studio, você pode selecionar imagens compartilhadas de diferentes locatários e assinaturas do Azure (compartilhadas por meio da Galeria de Computação do Azure). O recurso exige que você forneça informações compartilhadas de inquilino e assinatura para conexões de host associadas.

Nota:

Verifique se você definiu as configurações necessárias no Azure para permitir o compartilhamento de imagens entre inquilinos. Para obter mais informações, consulte Compartilhar imagens entre inquilinos.

Conclua as seguintes etapas para uma conexão:

  1. No Web Studio, selecione Hosting no painel esquerdo.

  2. Selecione a conexão e, em seguida, selecione Editar conexão na barra de ação.

    Inquilinos compartilhados

  3. Em Shared Tenants, faça o seguinte:

    • Forneça o ID do aplicativo e o segredo do aplicativo associados à assinatura da conexão. O Citrix Virtual Apps and Desktops usa essas informações para se autenticar no Azure AD.
    • Adicione locatários e assinaturas que compartilham a Galeria de Computação do Azure com a assinatura da conexão. Você pode adicionar até 8 inquilinos compartilhados e 8 assinaturas para cada inquilino.
  4. Ao terminar, selecione Aplicar para aplicar as alterações feitas e manter a janela aberta, ou selecione OK para aplicar as alterações e fechar a janela.

Implemente o compartilhamento de imagens usando o PowerShell

Esta seção orienta você nos processos de compartilhamento de imagens usando o PowerShell:

Selecione uma imagem de uma assinatura diferente

Você pode selecionar uma imagem na Galeria de Computação do Azure que pertença a uma assinatura compartilhada diferente no mesmo locatário do Azure para criar e atualizar catálogos MCS usando comandos do PowerShell.

  1. Na pasta raiz da unidade de hospedagem, a Citrix cria uma nova pasta de assinatura compartilhada chamada sharedsubscription.

  2. Liste todas as assinaturas compartilhadas em um locatário.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder"
<!--NeedCopy-->

  3. Selecione uma assinatura compartilhada e liste todos os grupos de recursos compartilhados dessa assinatura compartilhada.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription"
<!--NeedCopy-->

  4. Selecione um grupo de recursos e liste todas as galerias desse grupo de recursos.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup"
<!--NeedCopy-->

  5. Selecione uma galeria e, em seguida, liste todas as definições de imagem dessa galeria.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery"
<!--NeedCopy-->

  6. Selecione uma definição de imagem e, em seguida, liste todas as versões dessa definição de imagem.

      Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition"
<!--NeedCopy-->

  7. Crie e atualize um catálogo MCS usando os seguintes elementos:

    • Grupo de recursos
    • Galeria
    • Definição de imagem da galeria
    • Versão da imagem da galeria

    Para obter informações sobre como criar um catálogo usando o SDK remoto do PowerShell, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Atualize as propriedades personalizadas da conexão de hospedagem com IDs de inquilino compartilhados

Use Set-Item para atualizar as propriedades personalizadas da conexão de hospedagem com IDs de inquilino e IDs de assinatura compartilhados. Adicione uma propriedade SharedTenants em CustomProperties. O formato do Shared Tenants é:

  [{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->

Por exemplo:

  Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
  <Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
  <Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
  <Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
  <Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
  <Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
  <Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
  </CustomProperties>"
  -LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
  $psd
<!--NeedCopy-->

Nota:

Você pode adicionar mais de um inquilino. Cada inquilino pode ter mais de uma assinatura.

Selecione uma imagem de um inquilino diferente

Você pode selecionar uma imagem na Galeria de Computação do Azure que pertença a um locatário diferente do Azure para criar e atualizar catálogos MCS usando comandos do PowerShell.

  1. Na pasta raiz da unidade de hospedagem, a Citrix cria uma nova pasta de assinatura compartilhada chamada sharedsubscription.

  2. Liste todas as assinaturas compartilhadas.

      Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder
<!--NeedCopy-->

  3. Selecione uma assinatura compartilhada e liste todos os grupos de recursos compartilhados dessa assinatura compartilhada.

      Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription
<!--NeedCopy-->

  4. Selecione um grupo de recursos e liste todas as galerias desse grupo de recursos.

      Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup
<!--NeedCopy-->

  5. Selecione uma galeria e, em seguida, liste todas as definições de imagem dessa galeria.

      Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery
<!--NeedCopy-->

  6. Selecione uma definição de imagem e, em seguida, liste todas as versões dessa definição de imagem.

      Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition
<!--NeedCopy-->

  7. Crie e atualize um catálogo MCS usando os seguintes elementos:

    • Grupo de recursos
    • Galeria
    • Definição de imagem da galeria
    • Versão da imagem da galeria

    Para obter informações sobre como criar um catálogo usando o SDK remoto do PowerShell, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Gerencie o segredo do aplicativo e a data de expiração secreta

Certifique-se de alterar o segredo do aplicativo para uma conexão antes que o segredo expire. Você recebe um alerta no Web Studio antes que a chave secreta expire.

Crie um segredo de aplicativo no Azure

Você pode criar um segredo de aplicativo para uma conexão por meio do portal do Azure.

  1. Selecione Azure Active Directory.
  2. Em Registros de aplicativos no Azure AD, selecione seu aplicativo.
  3. Vá para Certificates & secrets.
  4. Clique em Segredos do cliente > Novo segredo do cliente.

  5. Forneça uma descrição do segredo e especifique uma duração. Quando terminar, selecione Adicionar.

    Nota:

    Certifique-se de salvar o segredo do cliente porque você não pode recuperá-lo mais tarde.

  6. Copie o valor secreto do cliente e a data de validade.
  7. No Web Studio, edite a conexão correspondente e substitua o conteúdo no campo Application secret e Secret expiration date pelos valores que você copiou.

Alterar a data de expiração secreta

Você pode usar o Web Studio para adicionar ou modificar a data de expiração do segredo do aplicativo em uso.

  1. No assistente Adicionar conexão e recursos , clique com o botão direito do mouse em uma conexão e clique em Editar conexão.
  2. Na página Connection Properties , clique em Data de expiração secreta para adicionar ou modificar a data de expiração do segredo do aplicativo em uso.

Permissões necessárias do Azure

Esta seção contém as permissões mínimas e gerais necessárias para o Azure.

Permissões mínimas

As permissões mínimas oferecem melhor controle de segurança. No entanto, os novos recursos que exigem permissões adicionais falham devido ao uso apenas de permissões mínimas.

Criação de uma conexão de host

Adicione uma nova conexão de host usando as informações obtidas do Azure.

  "Microsoft.Network/virtualNetworks/read",
  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Compute/disks/read",
<!--NeedCopy-->

Gerenciamento de energia de VMs

Ligue ou desligue as instâncias da máquina.

  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Resources/subscriptions/resourceGroups/read",
  "Microsoft.Compute/virtualMachines/deallocate/action",
  "Microsoft.Compute/virtualMachines/start/action",
  "Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Criação, atualização ou exclusão de VMs

Crie um catálogo de máquinas e, em seguida, adicione, exclua, atualize máquinas e exclua o catálogo de máquinas.

A seguir está a lista de permissões mínimas necessárias quando a imagem mestre é gerenciada em disco ou quando os instantâneos estão localizados na mesma região da conexão de hospedagem.

  "Microsoft.Resources/subscriptions/resourceGroups/read",
  "Microsoft.Resources/deployments/validate/action",
  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Compute/virtualMachines/write",
  "Microsoft.Compute/virtualMachines/delete",
  "Microsoft.Compute/virtualMachines/deallocate/action",
  "Microsoft.Compute/snapshots/read",
  "Microsoft.Compute/snapshots/write",
  "Microsoft.Compute/snapshots/delete",
  "Microsoft.Compute/snapshots/beginGetAccess/action",
  "Microsoft.Compute/snapshots/endGetAccess/action",
  "Microsoft.Compute/disks/read",
  "Microsoft.Compute/disks/write",
  "Microsoft.Compute/disks/delete",
  "Microsoft.Compute/disks/beginGetAccess/action",
  "Microsoft.Compute/disks/endGetAccess/action",
  "Microsoft.Network/virtualNetworks/read",
  "Microsoft.Network/virtualNetworks/subnets/join/action",
  "Microsoft.Network/virtualNetworks/subnets/read",
  "Microsoft.Network/networkSecurityGroups/read",
  "Microsoft.Network/networkSecurityGroups/write",
  "Microsoft.Network/networkSecurityGroups/delete",
  "Microsoft.Network/networkSecurityGroups/join/action",
  "Microsoft.Network/networkInterfaces/read",
  "Microsoft.Network/networkInterfaces/write",
  "Microsoft.Network/networkInterfaces/delete",
  "Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Você precisa das seguintes permissões extras com base nas permissões mínimas para os seguintes recursos:

  • Se a imagem mestre for um VHD em uma conta de armazenamento localizada na mesma região da conexão de hospedagem:

       "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
 <!--NeedCopy-->

  • Se a imagem mestre for uma ImageVersion da Galeria de Imagens Compartilhada:

       "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
 <!--NeedCopy-->

  • Se a imagem mestre for um disco gerenciado, os instantâneos, ou VHD, estão em uma região diferente da região da conexão de hospedagem:

       "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   "Microsoft.Storage/storageAccounts/write",
   "Microsoft.Storage/storageAccounts/delete",
 <!--NeedCopy-->

  • Se você usa o grupo de recursos gerenciado pela Citrix:

       "Microsoft.Resources/subscriptions/resourceGroups/write",
   "Microsoft.Resources/subscriptions/resourceGroups/delete",
 <!--NeedCopy-->

  • Se você colocar a imagem mestre na Galeria de Imagens Compartilhada:

       "Microsoft.Compute/galleries/write",
   "Microsoft.Compute/galleries/images/write",
   "Microsoft.Compute/galleries/images/versions/write",
   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   "Microsoft.Compute/galleries/delete",
   "Microsoft.Compute/galleries/images/delete",
   "Microsoft.Compute/galleries/images/versions/delete",
 <!--NeedCopy-->

  • Se você usa o suporte de host dedicado do Azure:

       "Microsoft.Compute/hostGroups/read",
   "Microsoft.Compute/hostGroups/write",
   "Microsoft.Compute/hostGroups/hosts/read",
 <!--NeedCopy-->

  • Se você usar a criptografia do lado do servidor (SSE) com chaves gerenciadas pelo cliente (CMK):

       "Microsoft.Compute/diskEncryptionSets/read",
 <!--NeedCopy-->

  • Se você implantar VMs usando modelos ARM (perfil de máquina):

       "Microsoft.Resources/deployments/write",
   "Microsoft.Resources/deployments/operationstatuses/read",
   "Microsoft.Resources/deployments/read",
   "Microsoft.Resources/deployments/delete",
 <!--NeedCopy-->

  • Se você usar a especificação de modelo do Azure como um perfil de máquina:

       "Microsoft.Resources/templateSpecs/read",
   "Microsoft.Resources/templateSpecs/versions/read",
 <!--NeedCopy-->

Criação, atualização e exclusão de máquinas com disco não gerenciado

A seguir está a lista de permissões mínimas necessárias quando a imagem mestre é VHD e usa o grupo de recursos conforme fornecido pelo administrador:

  "Microsoft.Resources/subscriptions/resourceGroups/read",
  "Microsoft.Storage/storageAccounts/delete",
  "Microsoft.Storage/storageAccounts/listKeys/action",
  "Microsoft.Storage/storageAccounts/read",
  "Microsoft.Storage/storageAccounts/write",
  "Microsoft.Compute/virtualMachines/deallocate/action",
  "Microsoft.Compute/virtualMachines/delete",
  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Compute/virtualMachines/write",
  "Microsoft.Resources/deployments/validate/action",
  "Microsoft.Network/networkInterfaces/delete",
  "Microsoft.Network/networkInterfaces/join/action",
  "Microsoft.Network/networkInterfaces/read",
  "Microsoft.Network/networkInterfaces/write",
  "Microsoft.Network/networkSecurityGroups/delete",
  "Microsoft.Network/networkSecurityGroups/join/action",
  "Microsoft.Network/networkSecurityGroups/read",
  "Microsoft.Network/networkSecurityGroups/write",
  "Microsoft.Network/virtualNetworks/subnets/read",
  "Microsoft.Network/virtualNetworks/read",
  "Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Permissão geral

A função de colaborador tem acesso total para gerenciar todos os recursos. Esse conjunto de permissões não impede que você obtenha novos recursos.

O conjunto de permissões a seguir fornece a melhor compatibilidade no futuro, embora inclua mais permissões do que o necessário com o conjunto de recursos atual:

  "Microsoft.Compute/diskEncryptionSets/read",
  "Microsoft.Compute/disks/beginGetAccess/action",
  "Microsoft.Compute/disks/delete",
  "Microsoft.Compute/disks/endGetAccess/action",
  "Microsoft.Compute/disks/read",
  "Microsoft.Compute/disks/write",
  "Microsoft.Compute/galleries/delete",
  "Microsoft.Compute/galleries/images/delete",
  "Microsoft.Compute/galleries/images/read",
  "Microsoft.Compute/galleries/images/versions/delete",
  "Microsoft.Compute/galleries/images/versions/read",
  "Microsoft.Compute/galleries/images/versions/write",
  "Microsoft.Compute/galleries/images/write",
  "Microsoft.Compute/galleries/read",
  "Microsoft.Compute/galleries/write",
  "Microsoft.Compute/hostGroups/hosts/read",
  "Microsoft.Compute/hostGroups/read",
  "Microsoft.Compute/hostGroups/write",
  "Microsoft.Compute/snapshots/beginGetAccess/action",
  "Microsoft.Compute/snapshots/delete",
  "Microsoft.Compute/snapshots/endGetAccess/action",
  "Microsoft.Compute/snapshots/read",
  "Microsoft.Compute/snapshots/write",
  "Microsoft.Compute/virtualMachines/deallocate/action",
  "Microsoft.Compute/virtualMachines/delete",
  "Microsoft.Compute/virtualMachines/read",
  "Microsoft.Compute/virtualMachines/restart/action",
  "Microsoft.Compute/virtualMachines/start/action",
  "Microsoft.Compute/virtualMachines/write",
  "Microsoft.Network/networkInterfaces/delete",
  "Microsoft.Network/networkInterfaces/join/action",
  "Microsoft.Network/networkInterfaces/read",
  "Microsoft.Network/networkInterfaces/write",
  "Microsoft.Network/networkSecurityGroups/delete",
  "Microsoft.Network/networkSecurityGroups/join/action",
  "Microsoft.Network/networkSecurityGroups/read",
  "Microsoft.Network/networkSecurityGroups/write",
  "Microsoft.Network/virtualNetworks/subnets/read",
  "Microsoft.Network/virtualNetworks/read",
  "Microsoft.Network/virtualNetworks/subnets/join/action",
  "Microsoft.Resources/deployments/operationstatuses/read",
  "Microsoft.Resources/deployments/read",
  "Microsoft.Resources/deployments/validate/action",
  "Microsoft.Resources/deployments/write",
  "Microsoft.Resources/deployments/delete",
  "Microsoft.Resources/subscriptions/resourceGroups/read",
  "Microsoft.Resources/subscriptions/resourceGroups/write",
  "Microsoft.Resources/subscriptions/resourceGroups/delete",
  "Microsoft.Storage/storageAccounts/delete",
  "Microsoft.Storage/storageAccounts/listKeys/action",
  "Microsoft.Storage/storageAccounts/read",
  "Microsoft.Storage/storageAccounts/write",
  "Microsoft.Resources/templateSpecs/read",
  "Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Configurar as permissões de conexão de host do Azure necessárias

Você pode configurar facilmente todas as permissões mínimas necessárias para uma conta principal de serviço ou de usuário no Azure vinculada a uma conexão de host para realizar todas as operações do MCS usando um modelo ARM. Esse modelo ARM automatiza o seguinte:

  • Criação de uma função do Azure com as permissões mínimas necessárias para as operações.
  • Atribuição dessa função a um Diretor de Serviço do Azure existente no nível da assinatura.

Você pode implantar esse modelo ARM usando o Portal do Azure ou os comandos do PowerShell. Para obter mais informações, consulte Modelo ARM para operações CVAD.

Para onde ir a seguir

Mais informações

Conexão com o Microsoft Azure
January 24, 2025
Contribuição de: 
C
January 24, 2025
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.