产品文档
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
查看 PDF

使用 Azure Active Directory 作为身份提供程序将域直通到 Citrix Workspace

April 16, 2026
投稿者: 
C C

您可以使用 Azure Active Directory (AAD) 作为身份提供程序,通过已加入域、混合和已注册 Azure AD 的端点/虚拟机,为 Citrix Workspace 实施单点登录 (SSO)。

  • 借助此配置,您还可以使用 Windows Hello 通过已注册 AAD 的端点单点登录到 Citrix Workspace。

  • 您可以使用 Windows Hello 身份验证到 Citrix Workspace 应用程序。
  • 通过 Citrix Workspace 应用程序进行基于 FIDO2 的身份验证。
  • 从已加入 Microsoft AAD 的计算机(AAD 作为 IdP)单点登录到 Citrix Workspace 应用程序,并使用 AAD 进行条件访问。

要实现对虚拟应用程序和桌面的 SSO,您可以部署 FAS 或按如下方式配置 Citrix Workspace 应用程序。

注意:

仅在使用 Windows Hello 时,您才能实现对 Citrix Workspace 资源的 SSO。但是,在访问已发布的虚拟应用程序和桌面时,系统会提示您输入用户名和密码。要解决此提示,您可以部署 FAS 并对虚拟应用程序和桌面进行 SSO。

必备条件:

  1. 将 Azure Active Directory 连接到 Citrix Cloud。有关详细信息,请参阅 Citrix Cloud 文档中的将 Azure Active Directory 连接到 Citrix Cloud
  2. 启用 Azure AD 身份验证以访问工作区。有关详细信息,请参阅 Citrix Cloud 文档中的为工作区启用 Azure AD 身份验证

要实现对 Citrix Workspace 的单点登录:

-  1.  使用 includeSSON 配置 Citrix Workspace 应用程序。
  1. 在 Citrix Cloud 中禁用 prompt=login 属性。
  2. 使用 Azure Active Directory Connect 配置 Azure Active Directory 直通。

从适用于 Windows 的 Citrix Workspace™ 应用程序版本 2503 开始,系统默认以休眠模式安装 SSON。您可以在安装后使用组策略对象 (GPO) 策略启用 SSON。要启用,请导航到用户身份验证 > 本地用户名和密码,然后选择启用直通身份验证复选框。

注意:

更新 GPO 策略后,您必须重新启动系统以使 SSON 设置生效。

配置 Citrix Workspace 应用程序以支持 SSO

必备条件:

-  Citrix Workspace 版本 2109 或更高版本。

-  > **注意:** > > 如果您使用 FAS 进行 SSO,则不需要 Citrix Workspace 配置。

  1. 从管理命令行安装 Citrix Workspace 应用程序,并带选项 includeSSON

    [[CODE_BLOCK_0]]

  2. 从 Windows 客户端注销并登录以启动 SSON 服务器。

  3. 单击计算机配置 > 管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证以更改 Citrix Workspace GPO 以允许本地用户名和密码

    注意:

    这些策略可以通过 Active Directory 推送到客户端设备。仅当从 Web 浏览器访问 Citrix Workspace 时才需要此步骤。

  4. 按照屏幕截图启用设置。

    用户身份验证

    1. 通过 GPO 添加以下受信任站点:
    • https://aadg.windows.net.nsatc.net
    • https://autologon.microsoftazuread-sso.com
    • https://xxxtenantxxx.cloud.com:Workspace URL

    添加受信任站点

注意:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle 中的注册表项 AllowSSOForEdgeWebview 设置为 false 时,AAD 的单点登录将被禁用。

在 Citrix Cloud 中禁用 prompt=login 参数

默认情况下,Citrix Workspace 启用了 prompt=login,即使在用户选择保持登录状态或设备已加入 Azure AD 的情况下,这也会强制进行身份验证。

您可以在 Citrix Cloud 帐户中禁用 prompt=login。导航到 Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessions 并禁用切换开关。 有关详细信息,请参阅知识中心文章 CTX253779

Citrix Cloud 首选项

Citrix Cloud 首选项 2

注意:

在已加入 AAD 或混合加入 AAD 的设备上,如果 AAD 用作 Workspace 的 IdP,则 Citrix Workspace 应用程序不会提示输入凭据。用户可以使用工作或学校帐户自动登录。

要允许用户使用其他帐户登录,请将以下注册表设置为 false。

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleComputer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzle 下创建并添加一个名为 AllowSSOForEdgeWebview 的 REG_SZ 注册表字符串,并将其值设置为 False。此外,如果用户从 Citrix Workspace 应用程序注销,则可以在下次登录时使用其他帐户登录。

使用 Azure Active Directory Connect 配置 Azure Active Directory 直通

  • 如果您是首次安装 Azure Active Directory Connect,请在用户登录页面上选择直通身份验证作为登录方法。有关详细信息,请参阅 Microsoft 文档中的Azure Active Directory 直通身份验证:快速入门

  • 如果 Microsoft Azure Active Directory Connect 已存在:

    1. 选择更改用户登录任务,然后单击下一步
    2. 选择直通身份验证作为登录方法。

注意:

如果客户端设备已加入 Azure AD 或混合加入,则可以跳过此步骤。如果设备已加入 AD,则域直通身份验证通过 Kerberos 身份验证工作。

使用 Azure Active Directory 作为身份提供程序将域直通到 Citrix Workspace
April 16, 2026
投稿者: 
C C
April 16, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.