Azure 上 Citrix 的身分識別和存取考慮
本文討論為 Citrix 提供身分識別和訪問控制服務的各種方式。
設計考量
- 如同 Azure 訂用帳戶,Citrix Cloud 租使用者只支援 單一Microsoft Entra 租用戶來進行使用者或系統管理員驗證。 如果您的作業程式需要開發和生產Microsoft Entra 租使用者隔離,您應該為您的 Citrix Cloud 租使用者建立類似的隔離。
- Citrix 支援 Azure B2B 或來賓帳戶,方法是在工作區或 Citrix 閘道和 Citrix 同盟驗證服務中使用 SAML 驗證。 如需詳細資訊,請參閱 如何為來賓帳戶設定Microsoft Entra ID 和 SAML。
- Citrix 包含內建的角色型訪問控制 (RBAC) 功能,可用於核心管理和監視相關聯的 Citrix 虛擬應用程式和桌面。 如需詳細資訊,請參閱 委派的管理 與 監視。
- 現今大部分的企業客戶在 Azure 中使用完整的網域服務。 它們通常會部署在身分識別訂用帳戶中。 您仍然可以使用 Microsoft Entra ID 作為直接使用 Citrix Workspace 進行使用者驗證的識別提供者,以使用 Azure Multi-Factor Authentication 和條件式存取等功能。
- 使用 Microsoft Entra ID 或其他 SAML 型身分識別提供者進行驗證時,可使用 Citrix 同盟驗證服務 來支援單一登錄。
- 只有Microsoft Entra 標識符的環境,可支援 已加入Microsoft Entra 和未加入網域的工作負載。
- 下表摘要說明裝載網域服務之每個 Azure 策略的重要 Citrix 功能。 如果您目前處於 Azure 部署的規劃階段,請檢閱 這些服務 與身分識別小組的比較,並瞭解其需求和時程表。 身分識別是 Azure 上部署的重要路徑必要條件。
| 功能 | Microsoft Entra ID | Microsoft Entra 網域服務 | Active Directory 網域服務 | 無網域服務 |
|---|---|---|---|---|
| Citrix Cloud 中的委派系統管理 | ✓ | ✓ | ✓ | ✓ |
| 機器建立服務 (MCS) | ✓ | ✓ | ✓ | ✓ |
| LDAP/Kerberos | X | ✓ | ✓ | X |
| 群組原則物件 | 使用 Intune 或 Citrix 工作區環境管理服務 | ✓ | ✓ | 使用 Citrix 工作區環境管理服務 |
| 對資源的驗證 | ✓ | ✓ | ✓ | ✓ |
| 加入網域 | X | ✓ | ✓ | X |
| Citrix 同盟驗證服務 | X | X | ✓ | X |
設計建議
Microsoft Azure 上的 Citrix DaaS 設計指導方針 位於 Citrix TechZone - Microsoft Azure 上 Citrix DaaS 的設計指引。 本文強調 Citrix 技術的系統、工作負載、使用者和網路考慮,以配合 雲端採用架構 設計原則。
下一步
檢閱 Azure 上 Citrix 部署專屬資源組織的重要設計考慮和建議。