Transferencia de dominio mejorada para el inicio de sesión único
La transferencia de dominio mejorada para el inicio de sesión único usa Kerberos para habilitar el inicio de sesión único en la aplicación Citrix Workspace y en las sesiones de aplicaciones virtuales y escritorios cuando se usan dispositivos cliente unidos a Active Directory (AD) y Citrix StoreFront.
Nota:
Esta función no es compatible con sistemas operativos de 32 bits.
Esta función reemplaza la función de autenticación de transferencia heredada basada en el servicio de inicio de sesión único de Citrix (ssonsvr.exe).
No puedes usar la autenticación de transferencia de dominio heredada (SSON) y la transferencia de dominio mejorada para la autenticación en el mismo host de sesión.
La autenticación de transferencia de dominio heredada (SSON) requiere habilitar la directiva Habilitar notificaciones MPR para el sistema en la plantilla de objeto de directiva de grupo. Sin embargo, la transferencia de dominio mejorada permite la autenticación de transferencia sin necesidad de habilitar esta directiva.
Para la autenticación entre dominios, se requiere una confianza transitiva bidireccional para poder obtener tickets de servicio entre los límites del dominio. De lo contrario, la delegación de Kerberos no funcionará.
Requisitos del sistema
- Plano de control
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2311 o posterior
- Virtual Delivery Agent
- Windows: versión 2308 o posterior
Nota:
-
-
Si los hosts de sesión o los dispositivos cliente ejecutan Windows 11, se requiere la versión 2407 o posterior de VDA, o la 2402 LTSR CU2 o posterior. Puedes descargar la versión de VDA desde la página de descargas de Citrix.
- Aplicación Citrix Workspace: versión 2309 o posterior
Nota:
-
Si los hosts de sesión o los dispositivos cliente ejecutan Windows 11, se requiere la versión 2405.10 o posterior de la aplicación Workspace, o la 2402 LTSR CU2 o posterior.
- Dispositivo cliente
- Unido al dominio de Active Directory
- Windows 10 de 64 bits
- Windows 11 de 64 bits
Nota:
- El dispositivo cliente debe tener conectividad directa con los controladores de dominio. Si el dispositivo está fuera de la red, el inicio de sesión único no es compatible.
- Hosts de sesión multisecuencia:
- Windows Server 2016
>**Nota:**
>
> Windows Server 2016 no es compatible con la versión 2407 de VDA y posteriores.
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise multisecuencia 22H2
- Windows 11 Enterprise multisecuencia 22H2 o posterior
- Hosts de sesión de una sola sesión:
- Windows 10 versión 22H2
- Windows 11 versión 22H2 o posterior
Nota:
La transferencia de dominio mejorada para el inicio de sesión único se basa en Remote Credential Guard. Asegúrate de revisar los requisitos de Remote Credential Guard y los escenarios de autenticación compatibles en la documentación de Microsoft.
Problemas conocidos
-
[Terceros] Cuando Windows Defender Credential Guard está habilitado en el dispositivo cliente, el inicio de sesión único en la sesión fallará y aparecerá un mensaje de seguridad de Windows que indica
Tus credenciales no funcionaron. Windows Defender Credential Guard no permite usar las credenciales de inicio de sesión de Windows. Introduce tus credenciales.Como solución alternativa, puedes deshabilitar Windows Defender Credential Guard. A continuación, se muestran dos opciones para deshabilitar la función:-
Mediante la Directiva de grupo, configura la opción Activar la seguridad basada en virtualización en Configuración del equipo > Plantillas administrativas > Sistema > Device Guard.
-
En el registro, en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, establece el valorLsaCfgFlagsen0.
NOTA: Esta es una limitación de Windows que también afecta al uso de Remote Credential Guard a través de RDP. Si necesitas usar la transferencia de dominio mejorada para SSO con Windows Defender Credential Guard, te recomendamos enviar una solicitud a Microsoft para que admita este escenario.
-
Configuración de StoreFront™
Debes habilitar la autenticación de transferencia de dominio para el almacén y su sitio web correspondiente.
Realiza los siguientes pasos para habilitar la transferencia de dominio para el almacén:
- Abre la consola de administración de StoreFront.
-
Ve a Almacén > Administrar métodos de autenticación. Aparece la ventana Administrar métodos de autenticación - Web.
-
Selecciona la casilla de verificación Transferencia de dominio.
- Haz clic en Aceptar.
Realiza los siguientes pasos para habilitar la transferencia de dominio para el sitio web:
- Abre la consola de administración de StoreFront.
-
- Abre la ficha Almacenes > Receiver para sitios web > Administrar sitios de Receiver para Web > Configurar > Métodos de autenticación. Aparece la ventana Modificar sitio de Receiver para Web - /Citrix/Web.
-
- Selecciona la casilla de verificación Transferencia de dominio.
- Haz clic en Aceptar.
Configuración de directivas de Citrix
Debes habilitar la configuración mediante una directiva de Citrix:
- Ve a Citrix Studio o a la consola web.
- Haz clic en Directivas > Crear directiva. Aparece el cuadro de diálogo Crear directiva.
- Busca la directiva Transferencia de dominio mejorada para el inicio de sesión único. Aparece el cuadro de diálogo Modificar configuración.
-
Selecciona la opción Permitido para habilitar la directiva Transferencia de dominio mejorada para el inicio de sesión único.
- Haz clic en Aceptar.
Configuración del host de sesión
Después de habilitar la función Transferencia de dominio mejorada para el inicio de sesión único mediante una directiva de Citrix, también debes habilitar una configuración de Windows en los hosts de sesión. Puedes habilitar la configuración de Windows mediante una directiva local o GPO:
- Ve a
Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation. -
Habilita la configuración El host remoto permite la delegación de credenciales no exportables.
- Reinicia el host de sesión para que la configuración surta efecto.
Nota:
La configuración El host remoto permite la delegación de credenciales no exportables no está disponible en la directiva local de Windows Server 2016. Si necesitas configurar esta opción localmente en el host de sesión en lugar de usar GPO, debes agregar los siguientes valores de registro:
Clave: HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- Tipo de valor: DWORD
- Nombre del valor: DisableRestrictedAdmin
- Datos del valor: 0
Configuración del dispositivo cliente
Debes hacer lo siguiente en el dispositivo cliente:
- Habilitar la transferencia de dominio mejorada para el inicio de sesión único
- Confiar en el sitio de StoreFront
Habilitar la transferencia de dominio mejorada para el inicio de sesión único
Debes habilitar la función Transferencia de dominio mejorada para el inicio de sesión único en el dispositivo cliente. Puedes hacerlo mediante una directiva local o GPO.
- Ve a
Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication. -
Habilita la configuración Transferencia de dominio mejorada para el inicio de sesión único.
- Reinicia la aplicación Citrix Workspace para que la configuración surta efecto.
Confiar en el sitio de StoreFront
Debes asegurarte de que los dispositivos cliente confíen en la URL de StoreFront. Si la URL no forma parte de un dominio ya de confianza, debes agregarla como un sitio de intranet local o un sitio de confianza. Puedes hacerlo mediante una directiva local o GPO.
- Ve a la página
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security. - Habilita la configuración Lista de asignación de sitios a zonas y agrega las URL adecuadas y la asignación de zona correspondiente.
-
Habilita el ajuste Opciones de inicio de sesión y configúralo como Inicio de sesión automático con el nombre de usuario y la contraseña actuales.
