Citrix DaaS

VDA-Konfiguration bei Verbindung mit Azure AD und ohne Domänenverbindung

Das Verfahren zur Installation des VDAs und zur Bereitstellung virtueller Desktops, die nur mit Azure Active Directory (AD), bzw. nicht mit einer Domäne verbunden sind, ähnelt dem für standardmäßige domänengebundene Maschinen. Sie müssen nur sicherstellen, dass Sie alle Anforderungen erfüllen und stets die richtigen Optionen auswählen.

Anforderungen

Anforderungen bei ausschließlicher Verbindung mit Azure AD:

  • Steuerungsebene: Citrix DaaS
  • VDA-Typ: Einzelsitzung und Multisitzung (nur virtuelle Desktops)
  • VDA-Version: 2203
  • Provisioningtyp: Maschinenerstellungsdienste (MCS), persistent und nur mit Maschinenprofil-Workflow
  • Zuweisungstyp: dediziert
  • Hostingplattform: nur Azure
  • Vorlagen-VM darf nicht mit Azure AD verbunden sein
  • Rendezvous V2 muss aktiviert sein, damit keine Citrix Cloud Connectors erforderlich sind

Anforderungen bei Maschinen ohne Verbindung mit Domäne:

  • Steuerungsebene: Citrix DaaS
  • VDA-Typ: Einzelsitzung und Multisitzung (nur virtuelle Desktops)
  • VDA-Version: 2203
  • Provisioningtyp: Maschinenerstellungsdienste (MCS), persistent und nicht persistent
  • Zuweisungstyp: dediziert und gepoolt
  • Hostingplattform: alle von MCS unterstützten Plattformen außer Google Cloud Platform
  • Rendezvous V2 muss aktiviert sein, damit keine Citrix Cloud Connectors erforderlich sind

Bekannte Probleme und Einschränkungen

Allgemein

  • Servicekontinuität wird nicht unterstützt.

Nur Verbindung mit Azure AD

  • Das Vorlagen-VM-Image kann derzeit nicht mit Azure AD verbunden werden.
  • Single Sign-On beim virtuellen Desktop wird nicht unterstützt. Die Benutzer müssen ihre Anmeldeinformationen manuell beim virtuellen Desktop eingeben.
  • Die Anmeldung beim virtuellen Desktop mit Windows Hello wird nicht unterstützt. Wenn ein Benutzer versucht, sich mit einer Windows Hello-PIN anzumelden, wird gemeldet, dass er nicht der vermittelte Benutzer ist, und die Sitzung wird getrennt.
  • Beim ersten Start einer virtuellen Desktopsitzung wird zur Windows-Anmeldung die Anmeldeaufforderung für den zuletzt angemeldeten Benutzer ohne Option zum Wechseln des Benutzers angezeigt. Der Benutzer muss warten, bis das Timeout eintritt und der Sperrbildschirm angezeigt wird, und dann auf den Sperrbildschirm klicken, um den Anmeldebildschirm erneut anzuzeigen. Er kann dann “Anderer Benutzer” auswählen und seine eigenen Anmeldeinformationen eingeben.

Überlegungen

Vorlagen-Image

  • Sie können Ihr Windows-Image bei Bedarf mit Citrix Optimizer optimieren.
  • Um Diskrepanzen und Konflikte bei der Hardwarekonfiguration zu vermeiden, stellen Sie sicher, dass die als Vorlagen-VM verwendete VM und die VMs für Benutzerworkloads über übereinstimmende Hardwarekonfigurationen verfügen. Stellen Sie im Fall von Azure-VMs sicher, dass sie derselben Familie angehören oder zumindest über ähnliche Hardwareprofile verfügen. Stellen Sie beispielsweise sicher, dass die Vorlagen-VM und die Workload-VMs dieselbe Anzahl Datenträger haben. Andernfalls sind Probleme bei per MCS bereitgestellten Maschinen möglich, z. B. Fehler bei der Konfiguration der Auslagerungsdatei oder eine Erkennung neuer Hardware, durch die die Benutzer evtl. zu Neustarts aufgefordert werden.

Nur Verbindung mit Azure AD

  • Deaktivieren Sie ggf. Windows Hello, damit die Benutzer nicht aufgefordert werden, eine Windows Hello-PIN für die Anmeldung bei Windows zu erstellen. Windows Hello wird nicht unterstützt. Sie können dies auf zweierlei Weise tun:
    1. Lokale Gruppenrichtlinie in der Vorlagen-VM
      • Führen Sie gpedit.msc aus.
      • Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Hello for Business.
      • Legen Sie für Windows Hello for Business verwenden Folgendes fest:
        • Deaktiviert oder
        • Aktiviert und wählen Sie Do not start Windows Hello provisioning after sign-in.
    2. Microsoft Intune (nur persistente Maschinen)
      • Erstellen Sie ein Geräteprofil, das Windows Hello for Business deaktiviert. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
      • Derzeit unterstützt Microsoft nur die Intune-Registrierung für persistente Maschinen. Sie können nicht persistente Maschinen daher nicht mit Intune verwalten.
  • Den Benutzern muss explizit Zugriff in Azure zur Anmeldung bei den Maschinen mit ihren AAD-Anmeldeinformationen gewährt werden. Dies kann erleichtert werden, indem die Rollenzuweisung auf der Ebene der Ressourcengruppen hinzugefügt wird:
    1. Melden Sie sich beim Azure-Portal an.
    2. Wählen Sie Ressourcengruppen.
    3. Klicken Sie auf die Ressourcengruppe mit den virtuellen Desktop-Workloads.
    4. Wählen Sie Access control (IAM).
    5. Klicken Sie auf Add role assignment.
    6. Wählen Sie in der Liste Virtual Machine User Login und klicken Sie auf Next.
    7. Wählen Sie User, group, or service principal.
    8. Klicken Sie auf Select members und wählen Sie die Benutzer und Gruppen, denen Sie Zugriff auf die virtuellen Desktops gewähren möchten.
    9. Klicken Sie auf Select.
    10. Klicken Sie auf Review + assign.
    11. Klicken Sie erneut auf Review + assign.

Hinweis:

Wenn Sie MCS die Ressourcengruppe für die virtuellen Desktops erstellen lassen, fügen Sie diese Rollenzuweisung nach Erstellung des Maschinenkatalogs hinzu.

VDA-Installation und -Konfiguration

Folgen Sie den Schritten zur Installation des VDAs:

  1. Wählen Sie im Installationsassistenten die folgenden Optionen aus:

    • Wählen Sie auf der Seite “Umgebung” die Option MCS-Masterimage erstellen.

    Azure AD-Konfiguration 1

    • Wählen Sie auf der Seite “Delivery Controller” die Option Automatische Erstellung durch Maschinenerstellungsdienste.

    Azure AD-Konfiguration 2

  2. Wenn der VDA installiert ist, fügen Sie den folgenden Registrierungswert hinzu:

    • Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
    • Werttyp: DWORD
    • Wertname: GctRegistration
    • Wertdaten: 1

Fahren Sie mit dem Erstellen eines Maschinenkatalogs fort.

Maschinenkatalog

Bevor Sie den Maschinenkatalog für nur mit Azure AD verbundene oder nicht domänengebundene Maschinen erstellen, benötigen Sie Folgendes:

  1. Einen neuen Ressourcenstandort
    • Wählen Sie in der Citrix Cloud-Verwaltungsoberfläche im Hamburgermenü oben links Ressourcenstandorte.
    • Klicken Sie auf + Ressourcenstandort.
    • Geben Sie den Namen für den neuen Ressourcenstandort ein und klicken Sie auf Speichern.
  2. Erstellen einer Hostingverbindung zu Azure
    • Wählen Sie in der Citrix Cloud-Verwaltungsoberfläche im Hamburgermenü oben links Eigene Services > DaaS > Verwalten > Vollständige Konfiguration.
    • Wählen Sie links den Knoten Hosting.
    • Wählen Sie Verbindung und Ressourcen hinzufügen.
    • Wird die Option Neue Verbindung erstellen angezeigt, wählen Sie sie aus.
    • Wählen Sie Folgendes aus:
      • Verbindungstyp: Microsoft Azure
      • Azure-Umgebung: Azure Global
      • Zonenname: Wählen Sie die Zone des in Schritt 1 erstellten Ressourcenstandorts.
      • VMs erstellen mit: Citrix-Provisioningtools
      • Klicken Sie auf Weiter.

      Azure AD-Konfiguration 3

    • Geben Sie die ID Ihres Azure-Abonnements und einen Namen für die Hostingverbindung ein.
    • Citrix DaaS erfordert eine in Ihrem Azure Active Directory registrierte Anwendung:
      • Wenn ein neuer Service Principal für Sie erstellt werden soll, klicken Sie auf Neu erstellen….
      • Wenn Sie einen Service Principal manuell erstellen möchten, klicken Sie auf Vorhandene verwenden….

      Azure AD-Konfiguration 4

      • Wenn die Verbindung zu Ihrem Azure-Mandanten hergestellt ist, fahren Sie mit den restlichen Schritten des Assistenten fort.

Informationen zum Erstellen der Hostingverbindung und Azure Resource Manager-spezifische Informationen finden Sie in der Citrix Dokumentation.

Wenn die Hostingverbindung erstellt ist, erstellen Sie den Maschinenkatalog:

  1. Wählen Sie links den Knoten Maschinenkataloge.
  2. Wählen Sie Maschinenkatalog erstellen.
  3. Wählen Sie Einzelsitzungs-OS und klicken Sie auf Weiter.
  4. Wählen Sie Maschinen mit Energieverwaltung, Citrix Maschinenerstellungsdienste (MCS) und stellen Sie sicher, dass in der Dropdownliste “Ressourcen” die richtigen Ressourcen aus der neuen Zone ausgewählt sind. Klicken Sie auf Weiter.
  5. Wählen Sie die Desktoperfahrungseinstellungen (persistent nicht persistent, dediziert oder gepoolt). Klicken Sie auf Weiter.
  6. Führen Sie auf der Seite “Masterimage” folgende Schritte aus:
    • Wählen Sie den Datenträger, den Sie als Masterimage verwenden möchten. Das ist der Datenträger der VM, auf der Sie den VDA installiert haben.
    • Wählen Sie 2106 (oder höher) als Funktionsebene.
    • Wenn Sie nur mit Azure AD verbundene Maschinen verwenden, müssen Sie Ein Maschinenprofil verwenden aktivieren und die entsprechenden Maschine aus der Liste auswählen.
    • Klicken Sie auf Weiter.

    Azure AD-Konfiguration 5

  7. Wählen Sie auf den Seiten Speicher- und Lizenztypen, Virtuelle Maschinen, Netzwerkkarten, Datenträgereinstellungen und Ressourcengruppe die geeigneten Optionen für Ihre Umgebung aus.
  8. Wählen Sie auf der Seite Maschinenidentitäten den richtigen Identitätstyp (“In Azure Active Directory eingebunden” oder “Nicht in Domäne eingebunden”).

    • Wenn Sie als Identitätstyp die Option “In Azure Active Directory eingebunden” auswählen, müssen Sie Maschinen bei Microsoft Intune registrieren auswählen, wenn die Maschinen automatisch registriert werden sollen.

      Azure AD Microsoft Intune

  9. Fahren Sie mit den verbleibenden Schritten im Assistenten fort, um den Maschinenkatalog zu erstellen.
  10. Wenn Sie nur mit Azure AD verbundene Maschinen verwenden, muss den Benutzern explizit Zugriff in Azure zur Anmeldung bei den Maschinen mit ihren AAD-Anmeldeinformationen gewährt werden. Weitere Informationen finden Sie im Abschnitt Überlegungen für nur mit Azure AD verbundene Maschinen.
  11. Weitere Informationen zum Erstellen von Maschinenkatalogen finden Sie in der Citrix Dokumentation.
  12. Nachdem der Maschinenkatalog erstellt wurde, erstellen Sie eine Bereitstellungsgruppe.

Bereitstellungsgruppe

Wenn Ihr Maschinenkatalog erstellt ist, müssen Sie eine Bereitstellungsgruppe erstellen:

  1. Wählen Sie links den Knoten Bereitstellungsgruppen.
  2. Wählen Sie Bereitstellungsgruppe erstellen.
  3. Wählen Sie auf der Seite Maschinen den zuvor erstellten Maschinenkatalog und wählen Sie dann aus, wie viele Maschinen aus diesem Katalog der Bereitstellungsgruppe hinzugefügt werden sollen. Klicken Sie auf Weiter.

    Azure AD-Konfiguration 6

  4. Wählen Sie als Bereitstellungstyp Desktops. Klicken Sie auf Weiter.
  5. Wählen Sie die gewünschte Methode zur Verwaltung des Benutzerzugriffs auf die Bereitstellungsgruppe. Klicken Sie auf Weiter. Die Option Verwenden der Bereitstellungsgruppe auf diese Benutzer beschränken kann nur verwendet werden, wenn Workspace zur Verwendung von Active Directory als IdP konfiguriert ist.
  6. Wenn Sie auf der Seite Benutzer die Option Alle authentifizierten Benutzer dürfen diese Bereitstellungsgruppe verwenden ausgewählt haben, wird die Seite Desktopzuweisungsregeln angezeigt.
    • Klicken Sie auf Hinzufügen.
    • Geben Sie einen Anzeigenamen für den virtuellen Desktop ein (dieser wird angezeigt, wenn die Benutzer sich bei Workspace anmelden).
    • Übernehmen Sie Für alle Benutzer mit Zugriff auf diese Bereitstellungsgruppe ist die Zuweisung eines Desktops zulässig.
    • Klicken Sie auf OK.
  7. Fahren Sie mit den verbleibenden Schritten im Assistenten fort, um die Bereitstellungsgruppe zu erstellen.
  8. Weitere Informationen zum Erstellen von Bereitstellungsgruppen finden Sie in der Citrix Dokumentation.

Aktivieren von Rendezvous

Wenn die Bereitstellungsgruppe erstellt ist, müssen Sie Rendezvous aktivieren. Einzelheiten finden Sie in der Rendezvous-Dokumentation.

VDA-Konfiguration bei Verbindung mit Azure AD und ohne Domänenverbindung