基于“增大化现实”技术chitecture de référence : implémentation de Citrix DaaS avec Azure Active Directory Domain Services pour les fournisseurs de services de communication

基于“增大化现实”技术chitecture

Azure Active Directory Domain Servicesest un service Active Directory entièrement géré sur Microsoft Azure. À ne pas confondre avec Azure AD, qui est un service d’identité et d’authentification basé sur le cloud pour les services Microsoft, Azure AD Domain Services (ADDS) fournit des contrôleurs de domaine gérés. Azure ADDS inclut des fonctionnalités d’entreprise telles que la jointure de domaine et la stratégie de groupe. Alors qu’Azure AD exploite les protocoles d’authentification et d’autorisation modernes tels que OpenID Connect et OAuth 2.0, Azure ADDS utilise des protocoles traditionnels qui reposent sur Active Directory, comme LDAP et Kerberos. Azure AD Domain Services synchronise automatiquement les identités d’Azure AD vers votre environnement AD géré.

Azure ADDS déploie et gère automatiquement les contrôleurs de domaine Active Directory hautement disponibles sur votre abonnement Azure. L’accès au contrôleur de domaine est restreint et vous ne pouvez gérer votre domaine qu’en déployant des instances de gestion à l’aide des outils d’administration de serveur distant. En outre, les autorisations Admin de domaine et Administrateur d’entreprise ne sont pas disponibles sous le service géré. L’instance Azure ADDS est déployée directement sur un réseau virtuel (VNet) au sein de votre abonnement, les ressources peuvent être déployées sur le même réseau virtuel ou dans des réseaux virtuels différents. Si des ressources sont déployées sur un réseau virtuel différent, il doit être connecté au réseau virtuel Azure ADDS via un appairage de réseau virtuel.

Azure ADDS peut être déployé en tant queforêt utilisateurou forêt de ressources. Pour cette implémentation, nous déployons Azure ADDS en tant que forêt utilisateur, sans configurer une approbation pour un environnement AD local externe. En outre, les ressources Citrix DaaS sont déployées sur la base de notrearchitecture de référence CSP.

Scénario d’architecture 1

Ce scénario de déploiement implique les considérations suivantes :

• Azure AD:
  • Locataire Azure AD partagé pour tous les clients
• Azure ADDS:
  • Instance ADDS Azure partagée pour tous les clients
• Abonnements:
  • Abonnement Azure partagé pour les petits clients
  • Abonnements Azure dédiés pour les grands clients
• Connectivité réseau:
  • Peering de réseaux virtuels à partir d’abonnements dédiés à l’abonnement partagé pour la connectivité Azure ADDS

Scénario d’architecture 2

Ce scénario de déploiement implique les considérations suivantes :

• Azure AD:
  • Locataire Azure AD partagé pour tous les clients
  • Locataire Azure AD dédié pour les grands clients
• Azure ADDS:
  • Instance ADDS Azure partagée pour tous les clients
• Abonnements:
  • Abonnement Azure partagé pour les petits clients
  • Abonnements Azure dédiés pour les grands clients
• Connectivité réseau:
  • Peering de réseaux virtuels à partir d’abonnements dédiés à l’abonnement partagé pour la connectivité Azure ADDS

Scénario d’architecture 3

Ce scénario de déploiement implique les considérations suivantes :

• Azure AD:
  • Locataire Azure AD partagé pour tous les clients
  • Locataire Azure AD dédié pour les grands clients
• Azure ADDS:
  • Instance ADDS Azure partagée pour les petits clients
  • Instance Azure ADDS dédiée pour les grands clients
• Abonnements:
  • Abonnement Azure partagé pour les petits clients
  • Abonnements Azure dédiés pour les grands clients
• Connectivité réseau:
  • Aucun appairage VNET entre les abonnements dédiés et les abonnements partagés

Hiérarchie des ressources Azure

Lors de la conception et de l’organisation de vos ressources d’abonnement Azure, prenez en considération la hiérarchie de ressources suivante :

Hypothèses initiales

Azure ADDS

• Le locataire Azure AD existe
• L’abonnement Azure existe
• Un compte Azure AD avec les autorisations suivantes est disponible :
  • Azure的广告:Administrateur global
  • Abonnement : Contributeur
• Azure ADDS sera déployé en tant que forêt utilisateur autonome, aucune approbation ne sera configurée
• Bien qu’il soit possible, les utilisateurs AD existants ne seront pas synchronisés via Azure AD Connect
• La réinitialisation du mot de passe en libre-service sera déployée pour forcer la réinitialisation des mots de passe pour la synchronisation de hachage

Citrix Cloud

• Un abonnement Citrix Cloud est disponible
• Citrix Cloud Connector sera déployé
• L’image maître VDA sera déployée
• Les connexions d’hébergement Azure seront configurées
• Le catalogue de machines et le groupe de mise à disposition seront configurés

Terminologie

Voici les termes Azure les plus courants que vous devez comprendre, comme décrit dans la documentation Azure :

• Abonnements Azure : lesabonnements Azure sont un accord conclu avec Microsoft pour utiliser les services Azure. La facturation est liée à un abonnement basé sur les ressources consommées, et les ressources ne peuvent pas être déployées sans abonnement. Les abonnements vous permettent d’organiser l’accès aux ressources. Les types d’abonnement comprennent l’essai, le paiement à l’avance, le contrat Entreprise et MSDN, et chacun peut avoir une configuration de paiement différente. Les abonnements Azure doivent être liés à un client Azure AD.
• Azure的广告:Azure AD est le service de gestion des identités basé sur le cloud de Microsoft pour les utilisateurs, les groupes et les appareils. Azure AD ne doit pas être considéré comme un remplacement des services de domaine Active Directory traditionnels, car il ne prend pas en charge LDAP ou Kerberos. Plusieurs abonnements Azure peuvent être liés à un seul client Azure AD. Azure AD propose différents types de licences (Free, Premium 1 et Premium 2) qui offrent des fonctionnalités différentes en fonction du niveau de licence.
• Groupes de gestion :Azure Management Groups sont des conteneurs qui vous permettent de gérer l’accès, les stratégies et la conformité sur plusieurs abonnements. Les groupes de gestion peuvent contenir des abonnements ou d’autres groupes de gestion.
• Azure RBAC :Azure RBAC是利用倒蒙古包l 'autorisation des ressources Azure. Azure RBAC contient plus de 70 rôles intégrés et vous permet de créer des rôles personnalisés pour gérer l’autorisation des ressources en fonction de vos besoins. Les autorisations sont mises en cascade des groupes de gestion aux abonnements, des abonnements à des groupes de ressources et des groupes de ressources aux ressources. Le rôle RBAC Propriétaire fournit le plus haut niveau d’autorisations sur une ressource Azure et vous permet également de gérer les autorisations de ressources pour d’autres utilisateurs.
• Rôles Azure AD :les角色Azure广告是利用倒蒙古包les交流tions liées à Azure AD, telles que la création d’utilisateurs, de groupes, d’enregistrements d’applications, d’interaction avec les API, etc. Le rôle Administrateur global accorde le niveau d’autorisation le plus élevé dans Azure AD, y compris l’accès à toutes les fonctionnalités Azure AD, la gestion des rôles et des licences pour d’autres utilisateurs, et bien plus encore. Le rôle Administrateur global est automatiquement attribué à l’utilisateur qui crée le client Azure AD.
• Domaine Azure AD personnalisé :Tous les nouveaux locataires Azure AD sont créés sous le domaine onmicrosoft.com, les domaines personnalisés peuvent être configurés en validant la propriété auprès de votre bureau d’enregistrement de domaine.
• Groupes de ressources :Les groupes de ressources sont des conteneurs logiques utilisés pour organiser les ressources dans Azure et gérer leurs autorisations via RBAC. Généralement, les ressources d’un groupe de ressources partagent un cycle de vie similaire. Un groupe de ressources ne peut pas contenir d’autres groupes de ressources et les ressources Azure ne peuvent pas être créées sauf si vous spécifiez un groupe de ressources. Lorsqu’un groupe de ressources est déployé dans une région Azure, il peut contenir des ressources provenant de différentes régions.
• VNET :Un réseau virtuel Azure est un réseau défini par logiciel qui vous permet de gérer et de déployer des ressources sous un espace d’adressage isolé dans Azure. Les réseaux virtuels permettent aux ressources de communiquer avec d’autres ressources sur le même réseau virtuel, Internet, ressources dans d’autres réseaux virtuels ou sur site. L’accès aux réseaux virtuels et à partir de réseaux virtuels est sécurisé via les groupes de sécurité réseau et vous pouvez également configurer des itinéraires en implémentant des itinéraires définis par l’utilisateur. Les réseaux virtuels Azure sont des superpositions de couche 3, de sorte qu’ils ne comprennent aucune sémantique de couche 2 comme les VLAN ou GARP. Tous les réseaux virtuels contiennent un espace d’adressage principal et doivent contenir au moins un sous-réseau avec un espace d’adressage. Les adresses IP de machine virtuelle dans un VNET ne sont pas attachées à l’instance de machine virtuelle réelle, elles sont affectées à la carte réseau de la machine virtuelle, qui est gérée en tant que ressource indépendante.
• Peering de réseaux virtuels :Un appairage permet à 2 réseaux virtuels de se connecter et de communiquer via l’épine dorsale Azure, par opposition à la connexion VNET-VNET traditionnelle, qui achemine le trafic via l’Internet public. Les peerings permettent une faible latence et peuvent être configurés dans différentes régions, différents abonnements et même différents locataires Azure AD. Les connexions d’appairage sont non transitives par défaut, une configuration avancée est nécessaire pour modifier ce comportement. Dans une architecture hub et en rayon, un réseau virtuel en étoile ne peut communiquer qu’avec le hub, mais il est incapable de communiquer avec les ressources d’autres rayons.
• Groupe de sécurité réseau :联合国安全范围groupe网格(NSG)是联合国的合奏de règles qui vous permettent de contrôler l’accès entrant et sortant aux ressources dans un VNET, elles peuvent être attachées à un sous-réseau ou à une carte réseau. Les règles entrantes et sortantes au sein d’un groupe de sécurité réseau sont gérées indépendamment, et toutes les règles doivent avoir une priorité de 100 et 4096. Par défaut, les groupes de sécurité réseau incluent un ensemble de règles par défaut qui autorisent le trafic entre les ressources du même réseau virtuel, accès Internet sortant, entre autres. Les groupes de sécurité réseau n’ont aucune relation avec les configurations de pare-feu au niveau du système d’exploitation et, en règle générale, une approche zéro confiance est recommandée lors de la conception de vos groupes de sécurité réseau.
• Enregistrement d’application :L’enregistrement d’une application est un compte Azure AD qui permet à une application externe d’interagir avec les API Azure. Lorsqu’un enregistrement d’application est créé, Azure AD génère un ID d’application et un secret, qui agissent comme nom d’utilisateur et mot de passe. Dans cette implémentation, un enregistrement d’application est créé pour permettre à Citrix Cloud d’interagir avec Azure et d’effectuer des tâches de création de machines et de gestion de l’alimentation.

Considérations Azure ADDS

• Azure ADDS synchronise automatiquement les identités utilisateur à partir d’Azure AD
• La synchronisation fonctionne à partir d’Azure AD vers Azure ADDS, pas de la manière opposée
• Il peut tirer parti des utilisateurs créés dans le Cloud, ou des utilisateurs synchronisés via Azure AD Connect
• Azure AD Connect ne peut pas être installé sur un environnement Azure ADDS pour synchroniser des objets vers Azure AD
• Les fonctions d’écriture LDAP ne fonctionnent que pour les objets créés directement sur ADDS, et non pour les utilisateurs synchronisés à partir d’Azure AD
• Azure ADDS ne peut être utilisé qu’en tant que domaine autonome (une forêt, un seul domaine), et non comme extension d’un domaine local
• Le service est déployé sur les zones de disponibilité Azure lorsque disponible
• Azure ADDS est déployé en tant que forêt utilisateur par défaut, au moment de cet écriture, le modèle de déploiement de la forêt de ressources est en prévisualisation
• 倒les utilisateurs同步从蔚蓝海岸e AD, le hachage du mot de passe n’est pas synchronisé tant que les utilisateurs n’ont pas réinitialisé leur mot de passe, la réinitialisation du mot de passe libre-service Azure est utilisée pour aider les utilisateurs à réinitialiser leurs mots de passe
• Le groupe Administrateurs de contrôleur de domaine AAD, créé lors du déploiement de l’instance Azure ADDS, ne peut pas être modifié dans ADUC. Le groupe Administrateurs de domaine AAD DC ne peut être modifié qu’à partir de groupes Azure AD dans la console Azure
• 倒les utilisateurs同步从蔚蓝海岸e AD :
  • Impossible de réinitialiser le mot de passe depuis la console ADUC
  • Impossible de déplacer vers une autre unité d’organisation
  • Ces utilisateurs sont généralement utilisés pour gérer l’instance Azure ADDS en tant que CSP, les utilisateurs clients finaux peuvent être créés dans ADUC
• Les objets de stratégie de groupe peuvent être créés et liés aux unités organisationnelles précréées des ordinateurs AADDC et des utilisateurs AADC, et non à d’autres unités d’organisation précréées.
  • Vous pouvez créer votre propre structure d’unité d’organisation et déployer des objets de stratégie de groupe
  • Impossible de créer des objets de stratégie de groupe au niveau du domaine et du site
• Le verrouillage de l’unité d’organisation est possible à l’aide de l’Assistant Délégation de contrôle sur les nouvelles unités d’organisation
  • Ne fonctionne pas sur les U pré-créées

Considérations relatives au processus de connexion

Azure ADDS synchronise les comptes d’utilisateur à partir du client Azure AD sous lequel est créé. Il inclut les comptes créés avec un domaine personnalisé, les comptes créés avec le domaine onmicrosoft.com initial et les comptes B2B (comptes externes ajoutés à Azure AD en tant qu’invités). En fonction du type de compte utilisateur, les utilisateurs auront une expérience d’ouverture de session différente :

• Comptes de domaine personnalisés :
  • Connexion en utilisant UPN (user@domain.com) : Connexion réussie
  • Connexion à l’aide de NetBIOS (domaine \ utilisateur) : Connexion réussie
• Comptes de domaine OnMicrosoft :
  • Connexion en utilisant UPN (user@domain.onmicrosoft.com) : Connexion infructueuse(1)
  • Connexion à l’aide de NetBIOS (domaine \ utilisateur) : Connexion réussie(2)
• Comptes B2B (invités) :
  • Connexion en utilisant UPN (user@domain.com) : Connexion infructueuse
  • Connexion à l’aide de NetBIOS (domaine \ utilisateur) : Connexion infructueuse(3)

REMARQUE :
(1)L’ajout d’un autre nom UPN n’est pas autorisé sur Azure ADDS, de sorte que ces utilisateurs ne peuvent pas se connecter via UPN.

( 2)Cela fonctionne correctement car le nom NetBIOS est le même pour tous les utilisateurs.

( 3)Ces utilisateurs ne peuvent pas s’authentifier auprès d’Azure ADD, même s’ils sont synchronisés, Azure n’a pas accès à leur hachage de mot de passe.

Implémentation

Composants Azure

Étape 1 : Créer un groupe de ressources pour Azure ADDS

1- Dans le menu du portail Azure, sélectionnez Groupes de ressources, puis cliquez surAjouter

Notions importantes :

• Cette étape suppose qu’un abonnement Azure a été créé et qu’il est prêt à déployer les ressources.

2- Sous l’onglet Principes de base, entrez les informations suivantes, puis cliquez surReview + Create

• Abonnement
• Nom du groupe de ressources
• Région du groupe de ressources

3- Dans l’onglet Révision + créer, cliquez surCréer

Notions importantes :

• Répétez ces étapes pour créer des groupes de ressources pour les ressources des clients, les réseaux, etc.
• Vous pouvez éventuellement créer des groupes de ressources à utiliser par Citrix Machine Creation Services. Machine Creation Services (MCS) ne peut utiliser que des groupes de ressources vides.

Étape 2 : Créer le vNet Azure ADDS

1- Dans le menu du portail Azure, sélectionnezRéseaux virtuels, puis cliquez surAjouter.

2- Sous l’onglet Principes de base, entrez les informations suivantes, puis cliquez surSuivant : Adresses IP:

• Abonnement
• Nom du groupe de ressources
• Nom VNET
• Région VNET

3- Sous l’onglet Adresses IP, entrez les informations suivantes, puis cliquez surSuivant : Sécurité:

• Espace d’adressage IPv4
• Ajouter des sous-réseaux

Notions importantes :

• Ajoutez des sous-réseaux comme déterminé par vos décisions de conception de réseau. Dans ce cas, nous ajoutons un sous-réseau pour le service ADDS et un sous-réseau pour les ressources d’infrastructure partagées, y compris Citrix Cloud Connector, les images principales, etc.

4- Sous l’onglet Sécurité, configurez lesDDoS et le pare-feuselon les besoins, puis cliquez surReview + Create

5- Dans l’onglet Révision + créer, cliquez surCréer.

Notions importantes :

• Répétez ces étapes pour créer des réseaux clients, à la fois dans le même abonnement ou tout abonnement supplémentaire.

Étape 3 : Configurer les peerings de vNet

1- Dans le menu du portail Azure, sélectionnezRéseaux virtuelset sélectionnez leVNEToù ADDS sera déployé.

Notions importantes :

• Pour cette implémentation, la mise en réseau est conçue dans une architecture hub and spoke. Un appairage VNET sera configuré à partir du réseau ADDS Azure (hub) vers les réseaux clients (rayons).
• Par défaut, les appairages VNET ne sont pas transitifs, de sorte que les réseaux en étoile ne peuvent pas communiquer entre eux sauf s’ils sontconfigurés intentionnellement.
• Si l’appairage de réseaux sur différents abonnements Azure et locataires Azure AD :
  • Les utilisateurs doivent être ajoutés en tant qu’utilisateurs invités sur l’abonnement opposé et bénéficier des autorisations RBAC aux réseaux homologues.
  • Les groupes de sécurité réseau doivent être correctement configurés des deux côtés.

2- Sur la lame VNET, cliquez surPeeringsetAjouter.

3- Sur le bouton Ajouter une lame d’appairage, entrez les informations suivantes :

• Nom de l’appairage du VNET source vers le VNET de destination
• Abonnement
• Réseau virtuel de destination
• Nom de l’appairage entre le VNET de destination et le VNET source

4- Faites défiler vers le bas et cliquez surOK

Notions importantes :

• Répétez ces étapes pour appairer d’autres réseaux de clients (en étoile).

Étape 4 : Créer l’instance Azure AD Domain Services

1- Dans la barre de recherche Azure, tapezServices de domaine, puis cliquez surAzure AD Domain Services

2- Sur la page Services de domaine Azure AD, cliquez sur+ Ajouter.

3- Sous l’onglet Principes de base, entrez les informations suivantes, puis cliquez surSuivant:

• Abonnement
• Nom du groupe de ressources
• Nom de domaine DNS
• Région
• SKU
• Type de forêt

Notions importantes :

• La région d’instance AAD DS doit correspondre à celle du réseau que vous avez pré-créé lors des étapes précédentes.
• Uneforêt utilisateurest le type de forêt par défaut sur Azure ADDS, ils synchronisent tous les comptes d’utilisateurs Azure AD vers Azure ADDS afin qu’ils s’authentifient auprès de l’instance Azure ADDS. Ce modèle suppose que les hachages de mot de passe utilisateur peuvent être synchronisés.
• Uneforêt de ressources :est un type de forêt récemment pris en charge, qui est en prévisualisation. Sous ce modèle de déploiement, Azure ADDS est utilisé pour gérer les comptes de machines. Une approbation unidirectionnelle est configurée à partir d’Azure ADDS (domaine d’approbation) vers un environnement AD local (le domaine approuvé). Avec cette configuration, les comptes d’utilisateur de l’environnement local peuvent se connecter aux ressources hébergées dans Azure qui sont jointes au domaine Azure ADDS. Ce type de forêt suppose que la connectivité réseau au domaine local est configurée.

4- Sous l’onglet Mise en réseau, entrez les informations suivantes, puis cliquez surSuivant:

• Réseau virtuel
• Sous-réseau

5- Sous l’onglet Administration, cliquez surGérer l’appartenance au groupe

6- Sur la lame Membres, cliquez sur+ Ajouter des membres

7- Dans la lame Ajouter des membres, recherchez les comptes que vous souhaitez ajouter en tant que membres du groupe Administrateurs du contrôleur de domaine AAD.

8- Une fois les utilisateurs ajoutés, cliquez surSélectionner

9- Retour dans l’onglet Administration, cliquez surSuivant

Notions importantes :

• L’appartenance au groupe Administrateurs de domaine AAD DC ne peut être gérée qu’à partir d’Azure AD, elle ne peut pas être gérée à partir de la console ADUC dans l’instance Azure ADDS.

10- Sous l’onglet Synchronisation, cliquez surSuivant

Notions importantes :

• Cette page peut être utilisée en option pour sélectionner les objets Azure AD à synchroniser avec Azure ADDS en sélectionnant le type de synchronisation étendue.

11- Sous l’onglet Révision, cliquez surCréer

12- Dans la fenêtre contextuelle de confirmation, cliquez surOK

Notions importantes :

• Le突起de创造de l 'instance Azure补充道peut prendre jusqu’à 1 heure.

Étape 5 : Configurer DNS pour le VNET Azure ADDS

1- Une fois l’instance Azure ADDS créée, sousMettre à jour les paramètres du serveur DNS pour votre réseau virtuel, cliquez surConfigurer

Notions importantes :

• Cette étape configure automatiquement les paramètres DNS du VNET où l’instance Azure ADDS a été créée (réseau Hub). Une fois configurées, toutes les requêtes DNS sont transférées aux contrôleurs de domaine gérés.
• Les paramètres DNS des réseaux clients (rayons) doivent être mis à jour manuellement.

Étape 6 : Configurer le DNS pour les réseaux clients

1- Dans le menu du portail Azure, sélectionnezRéseaux virtuelset sélectionnez votre VNET client (en étoile).

2- Sur la lame VNET, cliquez surServeurs DNS, sélectionnezPersonnalisé, entrez l’adresse IP des contrôleurs de domaine géré et cliquez surEnregistrer

Notions importantes :

• Répétez ces étapes pour chaque VNET client (en étoile) et tout autre VNET externe qui est appairé au VNET hébergeant l’instance Azure ADDS.

Étape 7 : Configurer la réinitialisation du mot de passe en libre-service (SSPR)

1- Dans le menu du portail Azure, sélectionnezAzure Active Directory, puis cliquez surRéinitialiser le mot de passe

Notions importantes :

• Lorsque les utilisateurs Azure AD sont initialement synchronisés avec Azure ADDS, leur hachage de mot de passe n’est pas synchronisé. Par conséquent, les utilisateurs doivent réinitialiser leur mot de passe pour que cela se produise. SSPR est utilisé pour permettre aux utilisateurs de réinitialiser leurs mots de passe de manière simple et sécurisée.
• L’authentification utilisateur contre Azure ADDS ne fonctionne pas tant que cette étape n’est pas effectuée.
• L’étape pour activer SSPR n’est requise que si elle n’a pas été configurée précédemment.
• Cette étape n’est requise que si les utilisateurs Azure AD sont gérés à partir du portail Azure (pas les utilisateurs synchronisés depuis AD sur site via Azure AD Connect). Pour les utilisateurs synchronisés à partir d’AD sur site via Azure AD connect, procédez comme suit.

2- Dans la lame Propriétés, sélectionnezTout, puis cliquez surEnregistrer.

Notions importantes :

• Vous pouvez choisir Sélectionné pour activer SSPR uniquement pour un sous-ensemble d’utilisateurs.
• La prochaine fois que les utilisateurs se connecteront, ils seront obligés de s’inscrire à SSPR.

Étape 8 : Processus d’inscription des utilisateurs de SSPR

1- Lorsqu’un utilisateur se connecte, il est redirigé vers l’écrand’enregistrement SSPRet configurer ses méthodes d’authentification.

Notions importantes :

• Les méthodes d’authentification SSPR peuvent être sélectionnées sur la lame de configuration SSPR dans le portail Azure.
• Pour cet exemple, SSPR a été activé avec les paramètres de base, ce qui nécessite la configuration d’un téléphone et d’un e-mail.

2 -一次莱斯utilisateurs saisissent他们informations d’authentification, le processus d’inscription SSPR est terminé.

3- Les utilisateurs peuvent désormais accéder à Réinitialisation enlibre-service des mots de passe pour réinitialiserleur mot de passe.

Notions importantes :

• Une fois cette étape terminée et que les utilisateurs réinitialisent leur mot de passe, le hachage du mot de passe est synchronisé d’Azure AD vers Azure ADDS.
• Pour les utilisateurs synchronisés, l’ADUC ne peut pas être utilisé pour réinitialiser leur mot de passe.

Étape 9 : Créer la machine virtuelle de gestion AD

1- Dans le menu du portail Azure, sélectionnezMachines virtuelles, puis cliquez surAjouter

2- Sous l’onglet Principes de base, entrez les informations suivantes, puis cliquez surSuivant : Disques:

• Abonnement
• Groupe de ressources
• Nom de la VM
• Région
• Options de disponibilité
• Image
• Taille
• Détails du compte d’administrateur

3- Sous l’onglet Disques, entrez letype de disque du système d’exploitation, puis cliquez surSuivant : Mise en réseau

4- Sous l’onglet Mise en réseau, configurez les informations suivantes, puis cliquez surSuivant : Gestion:

• Réseau virtuel
• Sous-réseau
• IP publique (le cas échéant)
• Groupe de sécurité réseau

5- Sous l’onglet Gestion, configurez les informations suivantes, puis cliquez surSuivant : Avancé:

• Surveillance
• 判决的时候
• Sauvegarde

6- Sous l’onglet Avancé, laissez les paramètres par défaut et cliquez surSuivant : Balises

7- Sous l’onglet Balises, créez les balises requises pour l’instance de machine virtuelle, puis cliquez surSuivant : Review + Create

8- Dans l’onglet Review + Create, assurez-vous que toutes les informations sont correctes, puis cliquez surCréer

Notions importantes :

• Répétez les étapes précédentes pour créer toutes les machines virtuelles supplémentaires : Cloud Connector, Master Images, etc.

Étape 10 : Joindre la machine virtuelle de gestion au domaine

1- Connectez-vous à l’instance via RDP et ouvrez le Gestionnaire de serveur, puis cliquez surAjouter des rôles et des fonctionnalités

2- Dans l’Assistant Ajout de rôles et de fonctionnalités, ajoutez les fonctionnalités suivantes :

• Outils d’administration des rôles
• Outils ADDS et AD LDS
• Module Active Directory pour Windows PowerShell
• Outils AD DS
• Composants logiciels enfichables AD DS et outils de ligne de commande
• Console de gestion des stratégies de groupe (GPMC)
• Gestionnaire DNS

3- Lorsque l’installation se termine, joignez la machine virtuelle au domaine Azure ADDS.

Notions importantes :

• Répétez les étapes précédentes pour joindre toutes les autres machines virtuelles au domaine Azure ADDS.
• L’installation des outils RSAT n’est requise que pour les machines virtuelles utilisées pour gérer l’instance Azure ADDS.
• Assurez-vous que le mot de passe du compte d’utilisateur utilisé pour joindre les machines virtuelles au domaine Azure ADDS a été réinitialisé avant d’essayer ces étapes.

Étape 11 : Créer un enregistrement d’application Azure AD

1- Dans le menu du portail Azure, sélectionnezAzure Active Directory > Enregistrements d’applications > + Nouvel enregistrement

2- Dans la lame Enregistrer une application, entrez les informations suivantes, puis cliquez surEnregistrer:

• Nom de l’application
• 类型德comptes supportés
• URL de redirection
  • Web
  • «https://citrix.cloud.com»

3- Sur la lame Vue d’ensemble, copiez les valeurs suivantes dans un bloc-notes :

• ID d’application (client)
• ID de répertoire (locataire)

Notions importantes :

• Les valeurs d’ID d’application et d’ID d’annuaire seront utilisées ultérieurement lors de la création d’une connexion d’hébergement pour Citrix MCS afin de gérer les ressources Azure.

4- Cliquez surCertificats et secrets, puis+Nouveau secret client

5- Dans la fenêtre contextuelle Ajouter un secret client, entrez unedescription et une expiration, puis cliquez surAjouter.

6- Retour sur l’écran Certificats & secrets, copiez la valeur du secret client

Notions importantes :

• Alors que l’ID client agit comme nom d’utilisateur pour l’enregistrement de l’application, le secret client agit comme mot de passe.

7- Cliquez surles autorisations API, puisAjouter une autorisation

8- Sur la lame Demander des autorisations API, sousAPI mon organisation utilisela recherche deWindows Azureet sélectionnezWindows Azure Active Directory

9- Sur la lame Azure Active Directory Graph API, sélectionnezAutorisations déléguées,attribuez l’autorisation Lire tous les profils de base des utilisateurs, puis cliquez surAjouter des autorisations

10- Retour sur la lame Demander des autorisations API, sousAPI mon organisation utiliseà nouveau la recherche deWindows Azureet sélectionnez l’API de gestion des services Windows Azure

11- Sur la lame de l’API Azure Service Management, sélectionnezAutorisations déléguées, attribuez l’autorisationAccess Azure Service Management en tant qu’utilisateurs de l’organisationet cliquez surAjouter des autorisations

12- Dans le menu du portail Azure, cliquez surAbonnementset copiez la valeur de votreID d’abonnement

Notions importantes :

• Copiez la valeur de tous les abonnements utilisés pour gérer les ressources via Citrix MCS. La connexion d’hébergement pour chaque abonnement Azure doit être configurée indépendamment.

13- Sélectionnez votre abonnement et sélectionnezContrôle d’accès (IAM) > +Ajouter > Ajouter une attribution de rôle

14- Dans la lame Ajouter une attribution de rôle, affectez le rôle decollaborateurà la nouvelle application d’enregistrement, puis cliquez surEnregistrer

Notions importantes :

• Répétez cette étape pour ajouter des autorisations Contributor à l’inscription sur tout abonnement supplémentaire.
• Si vous utilisez un abonnement secondaire appartenant à un client Azure AD distinct, un nouvel enregistrement d’application doit être configuré.

Composants Citrix

Étape 1 : Installer le Cloud Connector

1- Connectez-vous à la machine virtuelle Cloud Connector via RDP et utilisez un navigateur Web pour accéder àCitrix Cloud. Entrez vos informations d’identification Citrix Cloud et cliquez surSe connecter

2- Sous Domaines, cliquez surAjouter un nouveau

3- Sous l’onglet Domaines sous Gestion des identités et des accès, cliquez sur+Domaine

4- Dans la fenêtre Ajouter un Cloud Connector, cliquez surTélécharger

5- Enregistrez le fichier cwcconnector.exe sur l’instance.

6- Cliquez avec le bouton droit sur le fichiercwcconnector.exeet sélectionnezExécuter en tant qu’administrateur

7- Dans la fenêtre Citrix Cloud Connector, cliquez surSe connecter

8- Dans la fenêtre de connexion, entrez vos informations d’identificationCitrix Cloud, puis cliquez surSe connecter

9- Lorsque l’installation est terminée, cliquez surFermer.

Notions importantes :

• L’installation de Cloud Connector peut prendre jusqu’à 5 minutes.
• Au minimum, 2 Cloud Connector doivent être configurés par emplacement de ressource.

Étape 2 : Configurer l’image principale VDA

1- Connectez-vous à la machine virtuelle de l’image principale du VDA Citrix via RDP et utilisez un navigateur Web pour accéder auxtelechargements Citrixet télécharger la dernièreversion de Citrix VDA

Notions importantes :

• Les informations d’identification Citrix sont requises pour télécharger le logiciel VDA.
• La version LTSR ou CR peut être installée.
• Un programme d’installation VDA distinct doit être téléchargé pour les machines avec OS de bureau et serveur.

2- Cliquez avec le bouton droit sur le fichier d’installation du VDA et sélectionnezExécuter en tant qu’administrateur

3- Sur la page Environnement, sélectionnezCréer une image MCS principale

4- Sur la page Composants principaux, cliquez surSuivant

5- Sur la page Composants supplémentaires, sélectionnez les composants qui s’appliquent le mieux à vos besoins, puis cliquez surSuivant

6- Sur la page Delivery Controller, entrez les informations suivantes, puis cliquez surSuivant:

• Sélectionnez « Faites-le manuellement »
• Entrez le nom de domaine complet de chaque Cloud Connector
• Cliquez surTester la connexion, puis surAjouter

7- Sur la page Fonctionnalités, cochez les cases des fonctionnalités que vous souhaitez activer en fonction de vos besoins de déploiement, puis cliquez surSuivant

8- Sur la page Pare-feu, sélectionnezAutomatiquement, puis cliquez surSuivant

9- Sur la page Résumé, vérifiez que tous les détails sont corrects, puis cliquez surInstaller

10- La machine virtuelle sera redémarrée lors de l’installation

11- Une fois l’installation terminée, dans la page Diagnostics, sélectionnez l’option qui correspond le mieux à vos besoins de déploiement, puis cliquez surSuivant

12- Sur la page Fin, assurez-vous queRedémarrer la machineest cochée, puis cliquez surTerminer

Étape 3 : Créer une connexion d’hébergement Azure

1- Dans le menu hamburger de Citrix Cloud, accédez àMes services > DaaS

2- Dans Web Studio, accédez àHébergement, puis sélectionnezAjouter une connexion et des ressources

4- Sur la page Connexion, cliquez sur le bouton radio en regard deCréer une nouvelle connexion, entrez les informations suivantes, puis cliquez surSuivant:

• Zone
• Type de connexion
• Environnement Azure

5- Dans la page Détails de la connexion, entrez les informations suivantes, puis cliquez surUtiliser l’existant:

• ID d’abonnement
• Nom de la connexion

6- Sur la page Principal de service existant, entrez les informations suivantes, puis cliquez surOK:

• ID Active Directory
• ID de l’application
• Secret d’application

7- Retour sur la page Détails de la connexion, cliquez surSuivant

8- Sur la page Région, sélectionnez la région où votre Cloud Connector et VDA ont été déployés, puis cliquez surSuivant

9- Sur la page Réseau, entrez un nom pour les ressources, sélectionnez le réseau virtuel et le sous-réseau appropriés, puis cliquez surSuivant

10- Sur la page Résumé, vérifiez que toutes les informations sont correctes, puis cliquez surTerminer

Étape 4 : créer un catalogue de machines

1- Dans Web Studio, accédez àCatalogues de machines, puis sélectionnezCréer un catalogue de machines

2- Sur la page Introduction, cliquez surSuivant

3- Sur la page Système d’exploitation, sélectionnez le système d’exploitation approprié, puis cliquez surSuivant

Notions importantes :

• Les écrans suivants varieront légèrement en fonction du type de système d’exploitation sélectionné dans cette page.

4- Sur la page Gestion des machines, sélectionnez les informations suivantes, puis cliquez surSuivant:

• Le catalogue de machines utilisera : machines sous tension gérées
• Déployer des machines à l’aide de : Citrix Machine Creation Services (MCS)
• Ressources : sélectionnez votre connexion d’hébergement Azure

5- Sur la page Expérience du bureau, sélectionnez les options qui s’adaptent le mieux à vos besoins, puis cliquez surSuivant

6- Sur la page Image principale, sélectionnez l’image principale, le niveau fonctionnel (version VDA), puis cliquez surSuivant.

7- Dans les types de stockage et de licence, sélectionnez les options qui s’adaptent le mieux à vos besoins, puis cliquez surSuivant

8- Dans la page Machines virtuelles, configurez le nombre de machines virtuelles à déployer, la taille de la machine, puis cliquez surSuivant

9- Sur la page Cartes d’interface réseau, ajoutezdes cartesréseau selon vos besoins, puis cliquez surSuivant

10- Dans la page Écriture arrière cache, sélectionnez vos options de cache d’écriture, puis cliquez surSuivant

11- Dans la page Groupes de ressources, sélectionnez entre la création de nouveaux groupes de ressources pour les ressources Citrix MCS ou l’utilisation de groupes de ressources précréés.

Notions importantes :

• Seuls les groupes de ressources vides apparaissent dans la liste des groupes de ressources existants.

12 -在页面学习d内容活跃的可怕ctory, configurez les options suivantes, puis cliquez surSuivant:

• Option de compte : Créer de nouveaux comptes AD
• Domaine : sélectionnez votre domaine
• unité d’organisation : unité d’organisation où les comptes d’ordinateur seront stockés
• Schéma de nommage : convention de nommage à utiliser

Notions importantes :

• Les nombres remplaceront les signes de livre sur le schéma de dénomination
• Soyez conscient de la limite de 15 caractères NetBIOS lors de la création d’un schéma de nommage

13- Sur la page Informations d’identification du domaine, cliquez surSaisir莱斯信息d 'identification

14- Dans la fenêtre contextuelle Sécurité Windows, entrez vos informations d’identification de domaine, puis cliquez surTerminé

15- Dans la page Résumé, entrez un nom et une description, puis cliquez surTerminer

Étape 5 : créer un groupe de mise à disposition

1- Dans Web Studio, accédez à的小组de协定的性格, puis sélectionnezCréer un groupe de miseà disposition

2- Sur la page Machines, sélectionnez votre catalogue de machines, le nombre de machines, puis cliquez surSuivant

3- Sur la page Utilisateurs, sélectionnez une option d’authentification, puis cliquez surSuivant

4- Sur la page Applications, cliquez surAjouter

5- Dans la page Ajouter des applications, sélectionnez les applications que vous souhaitez publier, puis cliquez surOK

Notions importantes :

• Bien que la plupart des applications s’affichent dans le menu Démarrer, vous pouvez également ajouter des applications manuellement.
• Cette étape peut être ignorée si vous n’avez pas besoin de publier des applications transparentes.

7- Retour sur la page Applications, cliquez surSuivant

8- Sur la page Postes de travail, cliquez surAjouter

9- Dans la page Ajouter un bureau, configurez le Bureau, puis cliquez surOK

Notions importantes :

• Cette étape peut être ignorée si vous n’avez pas besoin de publier des postes de travail complets.

10- Retour sur la page Ordinateurs de bureau, cliquez surSuivant

11- Dans la page Résumé, entrez un nom, une description, puis cliquez surTerminer