-
-
-
Azure AD 服务帐户
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Azure AD 服务帐户
Azure AD 服务帐户是一个容器,用于存储 Azure AD 服务主体的应用程序 ID 和机密,该主体具有足够的权限来管理已加入 Azure AD 或已注册 Microsoft Intune 的设备。 MCS 可以使用此服务帐户自动清理在已置备计算机生命周期内生成的任何过时的 Azure AD 或 Microsoft Intune 设备。
Azure AD 服务主体所需的权限
服务帐户使用的 Azure AD 服务主体所需的权限取决于为服务帐户启用的功能。
- 对于具有已加入 Azure AD 的设备管理功能的服务帐户,Azure AD 服务主体必须具有
设备.ReadWrite.All权限。 - 对于具有 Microsoft Intune 注册设备管理功能的服务帐户,Azure AD 服务主体必须具有
DeviceManagementManagedDevices.ReadWrite.All权限。
限制
目前不支持 Azure AD 基于角色的访问控制。 因此,请将 Azure AD 权限直接分配给服务主体。
创建 Azure AD 服务帐户
使用 Studio 或 PowerShell 创建 Azure AD 服务帐户。
必备条件
要创建 Azure AD 服务帐户,请确保完成以下任务:
- 根据要启用服务帐户的功能,在 Azure AD 租户中创建具有足够权限的 Azure AD 主体。
使用 Studio
- 在 DaaS 磁贴中,单击 管理。
- 在左侧窗格中,选择 管理员.
- 在 服务帐户 Tab 键中,单击 创建服务帐户.
- 在 身份类型 页面上,选择 Azure 活动目录. 在“等效 CLI 命令”中,查看命令并单击“下一步”。
- 在 凭据 页面上,输入 Azure AD 租户 ID、应用程序 ID 和客户端密码,并设置凭据到期日期。
- 选择服务账户的功能。
- 为服务帐户选择一个或多个范围。
- 输入服务帐户的友好名称和描述 (可选)。
- 点击 完成 以完成创建。
注意:
- 默认情况下,已加入 Azure AD 的设备管理功能处于选中状态,您无法取消选择它。
- 要使用受邀加入租户的多租户 Azure AD 应用程序,您输入的 Azure AD 租户 ID 必须是您自己的租户 ID,而不是应用程序的主租户 ID。
使用 PowerShell
或者,可以使用 PowerShell 命令创建 Azure AD 服务帐户。 例如:
$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force
New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Azure AD tenant'
将已加入 Azure AD 的设备管理迁移到服务帐户
以前,Citrix 提供了一个选项,用于在创建或编辑与 Microsoft Azure Resource Manager 的托管连接时启用已加入 Azure AD 的设备管理。 MCS 使用与托管连接一起存储的 Azure AD 服务主体(配置 SPN)的权限来管理已加入 Azure AD 的过时设备。 使用服务帐户,可以使用与服务帐户一起存储的专用 Azure AD 服务主体(身份管理 SPN)来管理已加入 Azure AD 或已注册 Microsoft Intune 的设备。
Citrix 建议从托管连接驱动的设备管理迁移到服务帐户驱动的设备管理,以分离配置 SPN 和身份管理 SPN 的责任。
对于已使用已加入 Azure AD 的设备管理启用的任何现有托管连接,您可以按如下方式禁用它:
- 从 Studio 中,选择 好客 在左侧窗格中。
- 选择连接,然后在操作栏中选择编辑连接。
- 在 连接属性 页面上,清除 启用已加入 Azure AD 的设备管理 复选框。
- 单击保存以应用所做的更改。
注意:
目前,在创建新的托管连接时,无法启用已加入 Azure AD 的设备管理。
下一步的去向
- 要创建已加入 Azure Active Directory 的目录,请参阅 已加入 Azure Active Directory 的计算机身份的身份池.
- 要管理服务账户,请参阅 管理服务帐户.
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.