Arquitectura de referencia: implementación de Citrix DaaS con Azure Active Directory Domain Services para CSP

Arquitectura

Azure Active Directory Domain Serviceses un servicio de Active Directory totalmente administrado en Microsoft Azure. Para no confundirse con Azure AD, que es un servicio de identidad y autenticación basado en la nube para los servicios de Microsoft, Azure AD Domain Services (ADDS) proporciona controladores de dominio administrados. Azure ADDS incluye funciones empresariales como unión a dominios y directiva de grupo. Mientras que Azure AD aprovecha los protocolos modernos de autenticación y autorización como OpenID Connect y OAuth 2.0, Azure ADDS utiliza protocolos tradicionales que dependen de Active Directory, como LDAP y Kerberos. Azure AD Domain Services sincroniza automáticamente las identidades de Azure AD con su entorno de AD administrado.

Azure ADDS implementa y administra automáticamente controladores de dominio de Active Directory de alta disponibilidad en su suscripción a Azure. El acceso al controlador de dominio está restringido y solo puede administrar su dominio mediante la implementación de instancias de administración con herramientas de administración remota del servidor. Además, los permisos Administrador de dominio y Administrador de empresa no están disponibles en el servicio administrado. La instancia de Azure ADDS se implementa directamente en una red virtual (vNet) dentro de su suscripción, los recursos se pueden implementar en la misma red virtual o en diferentes VNET. Si los recursos se implementan en una VNet diferente, debe estar conectado a Azure ADDS VNet mediante un peering VNet.

Azure ADDS se puede implementar como unbosque de usuarioso un bosque de recursos. Para esta implementación, estamos implementando Azure ADDS como bosque de usuarios, sin configurar una confianza en un entorno de AD local externo. Además, los recursos de Citrix DaaS se implementan en función de nuestraarquitectura de referencia de CSP．

Caso de arquitectura 1

Este caso de implementación implica las siguientes consideraciones:

• Azure AD:
  • Arrendatario compartido de Azure AD para todos los clientes
• Azure AGREGA:
  • Instancia compartida de Azure ADDS para todos los clientes
• Suscripciones:
  • Suscripción compartida de Azure para clientes más pequeños
  • Suscripciones dedicadas a Azure para clientes más grandes
• Conectividad de red:
  • VNET Peering desde suscripciones dedicadas a la suscripción compartida para conectividad de Azure ADDS

Caso de arquitectura 2

Este caso de implementación implica las siguientes consideraciones:

• Azure AD:
  • Arrendatario compartido de Azure AD para todos los clientes
  • Arrendatario dedicado de Azure AD para clientes más grandes
• Azure AGREGA:
  • Instancia compartida de Azure ADDS para todos los clientes
• Suscripciones:
  • Suscripción compartida de Azure para clientes más pequeños
  • Suscripciones dedicadas a Azure para clientes más grandes
• Conectividad de red:
  • VNET Peering desde suscripciones dedicadas a la suscripción compartida para conectividad de Azure ADDS

Caso de arquitectura 3

Este caso de implementación implica las siguientes consideraciones:

• Azure AD:
  • Arrendatario compartido de Azure AD para todos los clientes
  • Arrendatario dedicado de Azure AD para clientes más grandes
• Azure AGREGA:
  • Instancia compartida de Azure ADDS para clientes pequeños
  • Instancia dedicada de Azure ADDS para clientes más grandes
• Suscripciones:
  • Suscripción compartida de Azure para clientes más pequeños
  • Suscripciones dedicadas a Azure para clientes más grandes
• Conectividad de red:
  • No hay peering de VNET desde suscripciones dedicadas a suscripciones compartidas

Jerarquía de recursos de Azure

Al diseñar y organizar los recursos de suscripción de Azure, tenga en cuenta la siguiente jerarquía de recursos:

Supuestos iniciales

Azure AGREGA

• Existe un arrendatario de Azure AD
• Existe una suscripción a Azure
• Hay disponible una cuenta de Azure AD con los siguientes permisos:
  • Azure AD: administrador global
  • Suscripción: Colaborador
• Azure ADDS se implementará como un bosque de usuarios independiente, no se configurará ninguna confianza
• Si bien es posible, los usuarios de AD existentes no se sincronizarán a través de Azure AD Connect
• Se implementará el restablecimiento de contraseñas de autoservicio para forzar el restablecimiento de contraseñas para la sincronización de hash de contraseñas

Citrix Cloud

• Hay disponible una suscripción a Citrix Cloud
• Se implementará Citrix Cloud Connector
• Se implementará la imagen maestra de VDA
• Se configurarán las conexiones de alojamiento de Azure
• Se configurarán el catálogo de máquinas y el grupo de entrega

Terminología

Los siguientes son los términos más comunes de Azure que debe comprender, tal y como se describe en la documentación de Azure:

• Suscripciones de Azure: lassuscripciones de Azure son un acuerdo con Microsoft para usar los servicios de Azure. La facturación está vinculada a una suscripción basada en los recursos consumidos y los recursos no se pueden implementar sin una suscripción. Las suscripciones le permiten organizar el acceso a los recursos. Los tipos de suscripción incluyen prueba, pago según la marcha, Acuerdo Enterprise y MSDN, y cada uno puede tener una configuración de pago diferente. Las suscripciones de Azure deben estar vinculadas a un arrendatario de Azure AD.
• Azure AD:Azure AD es el servicio de administración de identidades basado en la nube de Microsoft para usuarios, grupos y dispositivos. Azure AD no debe considerarse un reemplazo de los Servicios de dominio tradicionales de Active Directory, ya que no admite LDAP o Kerberos. Varias suscripciones de Azure se pueden vincular a un único arrendatario de Azure AD. Azure AD ofrece diferentes tipos de licencias (Free, Premium 1 y Premium 2) que proporcionan diferentes funcionalidades según el nivel de licencia.
• Grupos de administración:los grupos de administración de Azure son contenedores que le permiten administrar el acceso, las directivas y el cumplimiento en varias suscripciones. Los grupos de administración pueden contener suscripciones u otros grupos de administración.
• Azure RBAC:Azure RBAC se utiliza para administrar la autorización de recursos de Azure. Azure RBAC contiene más de 70 roles integrados y le permite crear roles personalizados para administrar la autorización de recursos según sus requisitos. Los permisos se asignan en cascada de los grupos de administración a las suscripciones, de las suscripciones a los grupos de recursos y de los grupos de recursos a los recursos. La función RBAC de propietario proporciona el nivel más alto de permisos sobre un recurso de Azure y también le permite administrar permisos de recursos para otros usuarios.
• Roles de Azure AD:los roles de Azure AD se utilizan para administrar acciones relacionadas con Azure AD, como la creación de usuarios, grupos, registros de aplicaciones, interacción con API y mucho más. La función Administrador global otorga el nivel más alto de autorización en Azure AD, incluido el acceso a todas las funciones de Azure AD, la administración de roles y licencias para otros usuarios, y mucho más. La función Administrador global se asigna automáticamente al usuario que crea primero el arrendatario de Azure AD.
• Dominio personalizado de Azure AD:todos los nuevos arrendatarios de Azure AD se crean bajo el dominio onmicrosoft.com, los dominios personalizados se pueden configurar validando la propiedad con el registrador de dominios.
• Grupos de recursos:los grupos de recursos son contenedores lógicos utilizados para organizar recursos dentro de Azure y administrar sus permisos a través de RBAC. Normalmente, los recursos de un grupo de recursos comparten un ciclo de vida similar. Un grupo de recursos no puede contener otros grupos de recursos y no se pueden crear recursos de Azure a menos que especifique un grupo de recursos. Mientras un grupo de recursos se implementa en una región de Azure, puede contener recursos de diferentes regiones.
• VNET:Una VNET de Azure es una red definida por software que le permite administrar e implementar recursos en un espacio de direcciones aislado en Azure. Las redes virtuales permiten que los recursos se comuniquen con otros recursos en la misma VNET, Internet, recursos de otras redes virtuales o locales. El acceso a y desde las redes virtuales está protegido a través de Grupos de seguridad de red y también puede configurar rutas mediante la implementación de Rutas definidas por el usuario. Azure VNET son superposiciones de capa 3, por lo que no entienden ninguna semántica de capa 2 como VLAN o GARP. Todas las redes virtuales contienen un espacio de direcciones principal y deben contener al menos una subred con un espacio de direcciones dentro de ella. Las IP de VM en una VNET no están conectadas a la instancia de máquina virtual real, sino que se asignan a la NIC de VM, que se administra como un recurso independiente.
• Peering VNET:Un peering permite que 2 redes virtuales se conecten y se comuniquen a través de la red troncal de Azure, en lugar de la conexión tradicional de VNET a VNET, que enruta el tráfico a través de Internet público. Los pares permiten una latencia baja y se pueden configurar en diferentes regiones, diferentes suscripciones e incluso diferentes arrendatarios de Azure AD. Las conexiones de peering no son transitivas de forma predeterminada, se requiere una configuración avanzada para cambiar este comportamiento. En una arquitectura de hub y radio, una VNET radial solo puede comunicarse con el hub, pero no puede comunicarse con los recursos de otros radios.
• Grupo de seguridad de red:un grupo de seguridad de red (NSG) es un conjunto de reglas que le permiten controlar el acceso entrante y saliente a los recursos dentro de una VNET, que se pueden conectar a una subred o a una NIC. Las reglas entrantes y salientes de un grupo de seguridad de red se administran de forma independiente y todas las reglas deben tener una prioridad de 100 y 4096. De forma predeterminada, los Grupos de seguridad de red incluyen un conjunto de reglas predeterminadas que permiten el tráfico entre recursos en la misma VNET, acceso a Internet saliente, entre otros. Los grupos de seguridad de red no tienen ninguna relación con las configuraciones de firewall a nivel del sistema operativo y, como regla general, se recomienda un enfoque de confianza cero al diseñar los grupos de seguridad de red.
• Registro de aplicaciones:un registro de aplicación es una cuenta de Azure AD que permite a una aplicación externa interactuar con las API de Azure. Cuando se crea un registro de aplicación, Azure AD genera un ID de aplicación y un secreto, que actúan como nombre de usuario y contraseña. En esta implementación, se crea un registro de aplicaciones para permitir que Citrix Cloud interactúe con Azure y realice tareas de creación de máquinas y administración de energía.

Azure ADDS Consideraciones

• Azure ADDS sincroniza automáticamente las identidades de usuario de Azure AD
• La sincronización funciona desde Azure AD a Azure ADDS, no de la manera opuesta
• Puede aprovechar los usuarios creados en la nube o los usuarios sincronizados a través de Azure AD Connect
• Azure AD Connect no se puede instalar en un entorno de Azure ADDS para sincronizar objetos de nuevo con Azure AD
• Las funciones de escritura LDAP solo funcionan para objetos creados directamente en ADDS, no para usuarios sincronizados desde Azure AD
• Azure ADDS solo se puede utilizar como un dominio independiente (un bosque, un solo dominio), no como una extensión de un dominio local
• El servicio se implementa en las zonas de disponibilidad de Azure cuando esté disponible
• Azure ADDS se implementa como bosque de usuarios de forma predeterminada; en el momento de escribir esta escritura, el modelo de implementación del bosque de recursos está en vista previa
• Para los usuarios sincronizados desde Azure AD, el hash de contraseña no se sincroniza hasta que los usuarios restablecen su contraseña; Azure Self Service Password Restablecer se utiliza para ayudar a los usuarios a restablecer sus contraseñas.
• El grupo Administradores de AAD DC, que se crea cuando se implementa la instancia de Azure ADDS, no se puede modificar dentro de ADUC. El grupo Administradores de DC de AAD solo se puede modificar desde grupos de Azure AD en la consola de Azure
• Para los usuarios sincronizados desde Azure AD:
  • La contraseña no se puede restablecer desde la consola de ADUC
  • No se puede mover a una unidad organizativa diferente
  • 且这些usuarios se suelen utilizar对位administrarla instancia de Azure ADDS como CSP, los usuarios de clientes finales se pueden crear dentro de ADUC
• Los GPO pueden crearse y vincularse a las unidades organizativas de AADDC Computers y Usuarios de AADC previamente creadas, no a otras unidades organizativas precreadas
  • Puede crear su propia estructura de unidad organizativa e implementar GPO
  • No se pueden crear GPO de dominio y sitio
• El bloqueo de unidad organizativa es posible mediante el Asistente para delegación de control en nuevas unidades organizativas
  • No funciona en las OE precreadas

Consideraciones del proceso de inicio de sesión

Azure ADDS sincroniza las cuentas de usuario del arrendatario de Azure AD en el que se crea. Incluye cuentas creadas con un dominio personalizado, cuentas creadas con el dominio onmicrosoft.com inicial y cuentas B2B (cuentas externas agregadas a Azure AD como invitados). Según el tipo de cuenta de usuario, los usuarios tendrán una experiencia de inicio de sesión diferente:

• Cuentas de dominio personalizadas:
  • Iniciar sesión mediante UPN (user@domain.com): Inicio de sesión correcto
  • Iniciar sesión con NetBIOS (dominio\ usuario): Inicio de sesión correcto
• En cuentas de dominio de Microsoft:
  • Iniciar sesión con UPN (user@domain.onmicrosoft.com): Iniciar sesión sin éxito(1)
  • Iniciar sesión con NetBIOS (dominio\ usuario): Inicio de sesión correcto(2)
• Cuentas B2B (invitados):
  • Iniciar sesión con UPN (user@domain.com): Iniciar sesión sin éxito
  • Iniciar sesión con NetBIOS (dominio\ usuario): Iniciar sesión sin éxito(3)

注:
(1)No se permite agregar un nombre UPN alternativo en Azure ADDS, por lo que estos usuarios no pueden iniciar sesión a través de UPN.

( 2)Esto funciona correctamente porque el nombre NetBIOS es el mismo para todos los usuarios.

( 3)Estos usuarios no pueden autenticarse con Azure Adds, aunque estén sincronizados, Azure no tiene acceso a su hash de contraseña.

Implementación

Componentes Azure

Paso 1: Crear un grupo de recursos para Azure ADDS

1- En el menú de Azure Portal, seleccione Grupos de recursos y haga clic enAgregar

Consideraciones:

• En este paso se supone que se ha creado una suscripción de Azure y está lista para implementar los recursos.

2- En la ficha Básicos, introduzca la siguiente información y haga clic enRevisar + Crear

• Suscripción
• Nombre del grupo de recursos
• Región del grupo de recursos

3- En la ficha Revisar + crear, haga clic enCrear

Consideraciones:

• Repita来说出来的对位crear降de recurso项目para recursos de clientes, redes y mucho más.
• Si lo desea, puede crear previamente grupos de recursos para que los utilicen Citrix Machine Creation Services. Machine Creation Services (MCS) solo puede utilizar grupos de recursos vacíos.

Paso 2: Crear la red virtual de Azure ADDS

1- En el menú de Azure Portal, seleccioneRedes virtualesy haga clic enAgregar．

2- En la ficha Básicos, introduzca la siguiente información y haga clic enSiguiente: Direcciones IP:

• Suscripción
• Nombre del grupo de recursos
• Nombre de VNET
• Región VNET

3- En la ficha Direcciones IP, introduzca la siguiente información y haga clic enSiguiente: Seguridad:

• Espacio de direcciones IPv4
• Agregar subredes

Consideraciones:

• Agregue subredes según lo determinado por sus decisiones de diseño de red. En este caso, estamos agregando una subred para el servicio ADDS y una subred para recursos de infraestructura compartida, incluidos Citrix Cloud Connectors, imágenes maestras, etc.

4- En la ficha Seguridad, configureDDoS y Firewallsegún sea necesario, y haga clic enRevisar + crear

5- En la ficha Revisar + crear, haga clic enCrear．

Consideraciones:

• Repita estos pasos para crear redes de clientes, tanto en la misma suscripción como en cualquier suscripción adicional.

Paso 3: Configurar los pares de VNet

1- En el menú de Azure Portal, seleccioneRedes virtualesy seleccione laVNETdonde se implementará ADDS.

Consideraciones:

• Para esta implementación, las redes están diseñadas en una arquitectura hub y radial. Se configurará un peering VNET desde la red ADDS de Azure (concentrador) a las redes de clientes (spokes).
• De forma predeterminada, los pares de VNET no son transitivos, por lo que las redes radiales no pueden comunicarse entre sí a menos que seconfiguren intencionalmente．
• Si interconectan redes en diferentes suscripciones de Azure e arrendatarios de Azure AD:
  • Los usuarios deben agregarse como usuarios invitados en la suscripción opuesta y tener permisos RBAC para redes de pares.
  • Los grupos de seguridad de red deben estar configurados correctamente en ambos lados.

2- En el blade VNET, haga clic enPeeringsyAdd．

3- En Agregar hoja de peering, introduzca la siguiente información:

• Nombre del peering desde la VNET de origen a la VNET de destino
• Suscripción
• Red virtual de destino
• Nombre del peering desde la VNET de destino a la VNET de origen

4- Desplácese hacia abajo y haga clic enAceptar

Consideraciones:

• Repita estos pasos para pear otras redes de clientes (radiales).

Paso 4: Crear la instancia de Azure AD Domain Services

1- En la barra de búsqueda de Azure, escribaServicios de dominioy haga clic enServicios de dominio de Azure AD

2- En la página Servicios de dominio de Azure AD, haga clic en+ Agregar．

3- En la ficha Básicos, introduzca la siguiente información y haga clic enSiguiente:

• Suscripción
• Nombre del grupo de recursos
• Nombre de dominio DNS
• Región
• SKU
• Tipo de bosque

Consideraciones:

• La región de instancia de AAD DS debe coincidir con la de la red creada previamente en los pasos anteriores.
• Unbosque de usuarioses el tipo predeterminado de bosque en Azure ADDS, sincronizan todas las cuentas de usuario de Azure AD con Azure ADDS para autenticarse en la instancia de Azure ADDS. Este modelo supone que los hash de contraseña de usuario se pueden sincronizar.
• Unbosque de recursos:es un tipo de bosque admitido recientemente, que está en vista previa. Bajo este modelo de implementación, Azure ADDS se utiliza para administrar cuentas de máquina. Una confianza unidireccional se configura desde Azure ADDS (dominio de confianza) a un entorno de AD local (el dominio de confianza). Con esta configuración, las cuentas de usuario del entorno local pueden iniciar sesión en recursos alojados en Azure que se unen al dominio Azure ADDS. Este tipo de bosque supone que la conectividad de red con el dominio local está configurada.

4- En la ficha Redes, introduzca la siguiente información y haga clic enSiguiente:

• Red virtual
• Subred

5- En la ficha Administración, haga clic enAdministrar pertenencia a grupos

6- En la hoja Miembros, haga clic en+ Agregar miembros

7- En el blade Agregar miembros, busque las cuentas que desea agregar como miembros del grupo Administradores de DC de AAD.

8- Una vez agregados los usuarios, haga clic enSeleccionar

9- De vuelta en la ficha Administración, haga clic enSiguiente

Consideraciones:

• La pertenencia al grupo Administradores de DC de AAD solo se puede administrar desde Azure AD, no se puede administrar desde la consola ADUC en la instancia de Azure ADDS.

10- En la ficha Sincronización, haga clic enSiguiente

Consideraciones:

• Esta página se puede utilizar opcionalmente para seleccionar qué objetos de Azure AD desea sincronizar con Azure ADDS seleccionando el tipo de sincronización de ámbito.

11- En la ficha Revisar, haga clic enCrear

12- En la ventana emergente de confirmación, haga clic enAceptar

Consideraciones:

• El proceso para crear la instancia de Azure ADDS puede tardar hasta 1 hora.

Paso 5: Configurar DNS para Azure ADDS VNET

1- Una vez creada la instancia de Azure ADDS, enActualizar configuración del servidor DNS para su red virtual, haga clic enConfigurar

Consideraciones:

• Este paso configura automáticamente la configuración DNS de la VNET donde se creó la instancia de Azure ADDS (red concentrador). Una vez configuradas, todas las consultas DNS se reenvían a los controladores de dominio administrados.
• Las redes de clientes (radios) deben tener su configuración DNS actualizada manualmente.

Paso 6: Configurar DNS para las redes de clientes

1- En el menú de Azure Portal, seleccioneRedes virtualesy seleccione su cliente (radial) VNET.

2- En el blade VNET, haga clic enServidores DNS, seleccionePersonalizado, introduzca la dirección IP de los controladores de dominio administrados y haga clic enGuardar

Consideraciones:

• Repita estos pasos para cada cliente (radial) VNET y cualquier otra VNET externa que esté conectada a la VNET que aloja la instancia de Azure ADDS.

Paso 7: Configurar el restablecimiento de contraseña de autoservicio (SSPR)

1- En el menú de Azure Portal, seleccioneAzure Active Directoryy haga clic enRestablecer contraseña

Consideraciones:

• Cuando los usuarios de Azure AD se sincronizan inicialmente con Azure ADDS, su hash de contraseña no se sincroniza, por lo tanto, los usuarios deben restablecer su contraseña para que esto ocurra. SSPR se utiliza para permitir a los usuarios restablecer sus contraseñas de una manera sencilla y segura.
• La autenticación de usuario con Azure ADDS no funciona hasta que se realice este paso.
• El paso para habilitar SSPR solo es necesario si no se ha configurado previamente.
• Este paso solo es necesario si los usuarios de Azure AD se administran desde Azure Portal (no usuarios sincronizados desde AD local a través de Azure AD Connect). Para los usuarios sincronizados desde AD local a través de Azure AD connect, siga estos pasos.

2- En el blade Propiedades, seleccioneTodoy haga clic enGuardar．

Consideraciones:

• Si lo desea, puede seleccionar Selected (Selected) para habilitar SSPR solo para un subconjunto de usuarios.
• La próxima vez que los usuarios inicien sesión, se verán obligados a registrarse en SSPR.

Paso 8: Proceso de registro de usuarios de SSPR

1- Cuando un usuario inicia sesión, se redirige a la pantalla deregistro de SSPRy configura sus métodos de autenticación.

Consideraciones:

• Los métodos de autenticación SSPR se pueden seleccionar en el blade de configuración de SSPR en Azure Portal.
• Para este ejemplo, SSPR se ha habilitado con la configuración básica, que requiere que se configure un teléfono y un correo electrónico.

2- Una vez que los usuarios introducen su información de autenticación, el proceso de inscripción de SSPR está completo.

3- Los usuarios ahora pueden ir alAutoservicio de restablecimiento de contraseñaspara restablecer su contraseña.

Consideraciones:

• Una vez completado este paso y los usuarios restablecen su contraseña, el hash de contraseña se sincroniza desde Azure AD a Azure ADDS.
• Para los usuarios sincronizados, el ADUC no se puede utilizar para restablecer su contraseña.

Paso 9: Crear la máquina virtual de administración de AD

1- En el menú de Azure Portal, seleccioneMáquinas virtualesy haga clic enAgregar

2- En la ficha Básicos, introduzca la siguiente información y haga clic enSiguiente: Discos:

• Suscripción
• Grupo de recursos
• Nombre de la VM
• Región
• Opciones de disponibilidad
• Imagen
• Tamaño
• Detalles de la cuenta de administrador

3- En la ficha Discos, introduzca eltipo de disco del sistema operativoy haga clic enSiguiente: Redes

4- En la ficha Redes, configure la siguiente información y haga clic enSiguiente: Administración:

• Red virtual
• Subred
• IP pública (si procede)
• Grupo de seguridad de red

5- En la ficha Administración, configure la siguiente información y haga clic enSiguiente: Avanzado:

• Supervisión
• Apagado automático
• Backup

6- En la ficha Avanzadas, deje la configuración predeterminada y haga clic enSiguiente: Etiquetas

7- En la ficha Etiquetas, cree las etiquetas necesarias para la instancia de VM y haga clic enSiguiente: Revisar + create

8- En la ficha Revisar + crear, asegúrese de que toda la información sea correcta y haga clic enCrear

Consideraciones:

• Repita los pasos anteriores para crear todas las máquinas virtuales adicionales: Cloud Connectors, Master Images, etc., etc.

Paso 10: Unir la máquina virtual de administración al dominio

1- Conéctese a la instancia a través de RDP y abra el Administrador del servidor, y haga clic enAgregar roles y funciones

2- En el Asistente para agregar funciones y funciones, agregue las siguientes funciones:

• Herramientas de administración de roles
• Herramientas ADDS y AD LDS
• Módulo de Active Directory para Windows PowerShell
• Herramientas de AD DS
• Complementos y herramientas de línea de comandos de AD DS
• Consola de administración de directivas de grupo (GPMC)
• Administrador de DNS

3- Cuando finalice la instalación, úne la máquina virtual al dominio Azure ADDS.

Consideraciones:

• Repita los pasos anteriores para unir todas las demás máquinas virtuales al dominio de Azure ADDS.
• La instalación de herramientas RSAT solo es necesaria para las máquinas virtuales utilizadas para administrar la instancia de Azure ADDS.
• Asegúrese de que la contraseña de la cuenta de usuario utilizada para unir las máquinas virtuales al dominio de Azure ADDS se ha restablecido antes de intentar estos pasos.

Paso 11: Crear un registro de aplicación de Azure AD

1- En el menú Azure Portal, seleccioneAzure Active Directory > Registros de aplicaciones > + Nuevo registro

2- En la hoja Registrar una aplicación, introduzca la siguiente información y haga clic enRegistrar:

• Nombre de la aplicación
• Tipos de cuenta admitidos
• URL de redirección
  • Web
  • “https://citrix.cloud.com”

3- En el blade Descripción general, copie los siguientes valores en un bloc de notas:

• ID de aplicación (cliente)
• ID de directorio (arrendatario)

Consideraciones:

• Los valores de ID de aplicación e ID de directorio se utilizarán más adelante al crear una conexión de alojamiento para Citrix MCS para administrar recursos de Azure.

4- Haga clic enCertificados y secretosy luego+Nuevo secreto del cliente

5- En la ventana emergente Agregar un secreto de cliente, introduzca unadescripción y caducidady haga clic enAgregar

6 - De大赛en la pantalla Certificados y画廊”s, copie el valor del secreto del cliente

Consideraciones:

• Mientras que el ID de cliente actúa como nombre de usuario para el registro de la aplicación, Client Secret actúa como contraseña.

7- Haga clic enpermisos de APIy luegoAgregar un permiso

8- En el blade Solicitar permisos de API, enAPI mi organización usabuscarWindows Azurey seleccioneWindows Azure Active Directory

9- En el blade Azure Active Directory Graph API, seleccionePermisos delegados, asigne el permisoLeer todos los perfiles básicos de los usuariosy haga clic enAgregar permisos

10- Volver a la hoja de permisos de la API de solicitud, enAPI mi organización usavolver a buscarWindows Azurey seleccioneAPI de administración de servicios de Windows Azure

11- En el blade de API de administración de servicios de Azure, seleccionePermisos delegados, asigne el permisoAcceder a Azure Service Management como usuarios de la organizacióny haga clic enAgregar permisos

12- En el menú de Azure Portal, haga clic enSuscripcionesy copie el valor de suID de suscripción

Consideraciones:

• Copie el valor de todas las suscripciones utilizadas para administrar recursos a través de Citrix MCS. La conexión de alojamiento para cada suscripción de Azure debe configurarse de forma independiente.

13- Seleccione su suscripción y seleccioneControl de acceso (IAM) > +Agregar > Agregar asignación de rol

14- En el blade Agregar asignación de roles, asigne el rolColaboradoral nuevo registro de la aplicación y haga clic enGuardar

Consideraciones:

• Repita este paso para agregar permisos de Colaborador al registro en cualquier suscripción adicional.
• Si se utiliza una suscripción secundaria perteneciente a un arrendatario de Azure AD independiente, se debe configurar un nuevo registro de aplicación.

Componentes de Citrix

Paso 1: Instalar Cloud Connector

1- Conéctese a la máquina virtual de Cloud Connector a través de RDP y utilice un navegador web para navegar aCitrix Cloud．Introduzca sus credenciales de Citrix云y公顷ga clicen Iniciar sesión

2- En Dominios, haga clic enAgregar nuevo

3- En la ficha Dominios en Administración de identidades y accesos, haga clic en+Dominio

4- En la ventana Agregar un Cloud Connector haga clic enDescargar

5- Guarde el archivo cwcconnector.exe en la instancia.

6- Haga clic con el botón derecho en el archivocwcconnector.exey seleccioneEjecutar como administrador

7- En la ventana Citrix Cloud Connector, haga clicen Iniciar sesión

8- En la ventana de inicio de sesión, introduzca sus credenciales deCitrix Cloudy haga clicen Iniciar sesión

9- Cuando finalice la instalación, haga clic enCerrar

Consideraciones:

• La instalación de Cloud Connector puede tardar hasta 5 minutos.
• Como mínimo, se deben configurar 2 Cloud Connectors por ubicación de recurso.

Paso 2: Configurar la imagen maestra de VDA

1- Conéctese a la máquina virtual de imagen maestra de VDA de Citrix a través de RDP y utilice un navegador web para navegar aDescargas de Citrixy descargar la últimaversión de Citrix VDA

Consideraciones:

• Las credenciales de Citrix son necesarias para descargar el software VDA.
• Puede instalarse la versión LTSR o CR.
• Se debe descargar un instalador de VDA independiente para las máquinas de SO de servidor y de escritorio.

2- Haga clic con el botón derecho en el archivo de instalación de VDA y seleccioneEjecutar como administrador

3- En la página Entorno, seleccioneCrear una imagen MCS maestra

4- En la página Componentes principales, haga clic enSiguiente

5 - En la pagina抽烟,附加组件leccione los componentes que mejor se adapten a sus requisitos y haga clic enSiguiente

6- En la página Delivery Controller, introduzca la siguiente información y haga clic enSiguiente:

• Seleccione”Hacerlo manualmente”
• Introduzca el FQDN de cada Cloud Connector
• Haga clic enProbar conexióny luego enAgregar

7- En la página Funciones, marque las casillas de las funciones que desea habilitar en función de sus necesidades de implementación y, a continuación, haga clic enSiguiente

8- En la página Firewall, seleccioneAutomáticamentey haga clic enSiguiente

9- En la página Resumen, asegúrese de que todos los detalles sean correctos y haga clic enInstalar

10- La máquina virtual se reiniciará durante la instalación

11- Una vez finalizada la instalación, en la página Diagnósticos, seleccione la opción que mejor se ajuste a sus necesidades de implementación y haga clic enSiguiente

12- En la página Finalizar, asegúrese de queReiniciar máquinaestá marcada y haga clic enFinalizar

Paso 3: Crear una conexión de alojamiento de Azure

1- En el menú hamburguesa de Citrix Cloud, vaya aMis servicios > DaaS

2- En Web Studio, vaya aHostingy seleccioneAgregar conexión y recursos

4- En la página Conexión, haga clic en el botón de opción situado junto aCrear una nueva conexión, introduzca la siguiente información y haga clic enSiguiente:

• Zona
• Tipo de conexión
• Entorno de Azure

5- En la página Detalles de conexión, introduzca la siguiente información y haga clic en城市搜救existente:

• ID de suscripción
• 数量de la conexion

6- En la página Principal de servicio existente, introduzca la siguiente información y haga clic enAceptar:

• ID de Active Directory
• ID de aplicación
• Secreto de la aplicación

7- De vuelta en la página Detalles de conexión, haga clic enSiguiente

8- En la página Región, seleccione la región en la que se implementaron Cloud Connector y VDA y haga clic enSiguiente

9- En la página Red, introduzca un nombre para los recursos, seleccione la red virtual y subred adecuada y haga clic enSiguiente

10- En la página Resumen, asegúrese de que toda la información sea correcta y haga clic enFinalizar

Paso 4: Cree un catálogo de máquinas

1- En Web Studio, vaya aCatálogos de máquinasy seleccioneCrear专业de关系变化

2- En la página Introducción, haga clic enSiguiente

3- En la página Sistema operativo, seleccione el sistema operativo apropiado y haga clic enSiguiente

Consideraciones:

• Las pantallas posteriores variarán ligeramente dependiendo del tipo de sistema operativo seleccionado en esta página.

4- En la página Administración de máquinas, seleccione la siguiente información y haga clic enSiguiente:

• El catálogo de máquinas utilizará: máquinas que están alimentadas administradas
• Implementación de máquinas mediante: Citrix Machine Creation Services (MCS)
• Recursos: seleccione su conexión de alojamiento de Azure

5- En la página Experiencia de escritorio, seleccione las opciones que mejor se ajusten a sus requisitos y haga clic enSiguiente

6- En la página Imagen maestra, seleccione la imagen maestra, el nivel funcional (versión VDA) y haga clic enSiguiente

7- En Tipos de almacenamiento y licencia, seleccione las opciones que mejor se ajusten a sus requisitos y haga clic enSiguiente．

8- En la página Máquinas virtuales, configure el número de máquinas virtuales que se implementarán, el tamaño de la máquina y haga clic enSiguiente

9- En la página Tarjetas de interfaz de red, agregueNICsegún sea necesario y haga clic enSiguiente

10- En la página Escribir caché atrás, seleccione las opciones de caché de escritura y haga clic enSiguiente

11- En la página Grupos de recursos, seleccione entre crear nuevos grupos de recursos para los recursos de Citrix MCS o utilizar grupos de recursos creados previamente.

Consideraciones:

• Solo aparecen grupos de recursos vacíos en la lista de grupos de recursos existentes.

12- En la página Cuentas de equipo de Active Directory, configure las siguientes opciones y haga clic enSiguiente:

• Opción de cuenta: Crear nuevas cuentas de AD
• Dominio: selecciona su dominio
• OU: la unidad organizativa donde se almacenarán las cuentas de equipo
• Esquema de nomenclatura: convención de nomenclatura a utilizar

Consideraciones:

• Los números reemplazarán los signos de almohadilla en el esquema de nomenclatura.
• Sea consciente del límite de 15 caracteres NetBIOS al crear un esquema de nomenclatura

13- En la página Credenciales de dominio, haga clic enIntroducir credenciales

14- En la ventana emergente Seguridad de Windows, introduzca las credenciales de su dominio y haga clic enListo．

15- En la página Resumen, introduzca un nombre y una descripción y haga clic enFinalizar

Paso 5: Cree un grupo de entrega

1- En Web Studio, vaya aGrupos de entregay seleccioneCrear grupo de entrega

2- En la página Máquinas, seleccione el catálogo de máquinas, el número de máquinas y haga clic enSiguiente．

3- En la página Usuarios seleccione una opción de autenticación y haga clic enSiguiente

4- En la página Aplicaciones, haga clic enAgregar

5- En la página Agregar aplicaciones, seleccione las aplicaciones que desea publicar y haga clic enAceptar

Consideraciones:

• Aunque la mayoría de las aplicaciones se mostrarán a través del menú Inicio, también puede agregar aplicaciones de forma opcional manualmente.
• Este paso se puede omitir si no necesita publicar aplicaciones sin fisuras.

7- De vuelta en la página Aplicaciones, haga clic enSiguiente

8- En la página Escritorios, haga clic enAgregar．

9- En la página Agregar escritorio, configure el escritorio y haga clic enAceptar

Consideraciones:

• Este paso se puede omitir si no necesita publicar escritorios completos.

10- De vuelta en la página Escritorios, haga clic enSiguiente

11- En la página Resumen, introduzca un nombre, una descripción y haga clic enFinalizar