Citrix DaaS

Kataloge mit Einbindung in Azure Active Directory erstellen

February 14, 2024

Beitrag von:

In diesem Artikel wird beschrieben, wie Sie mit Azure Active Directory (AD) verbundene Kataloge mit Citrix DaaS erstellen.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter In Azure Active Directory eingebunden.

Vor dem Erstellen des Maschinenkatalogs benötigen Sie Folgendes:

Einen neuen Ressourcenstandort
- Wählen Sie in der Citrix Cloud-Verwaltungsoberfläche im Hamburgermenü oben links Ressourcenstandorte.
- Klicken Sie auf + Ressourcenstandort.
- Geben Sie den Namen für den neuen Ressourcenstandort ein und klicken Sie auf Speichern.
Erstellen Sie eine Hostverbindung. Weitere Informationen finden Sie unter Verbindungen erstellen und verwalten. Beachten Sie beim Bereitstellen von Maschinen in Azure auch die Hinweise unter Verbindung mit Azure Resource Manager.
Um veraltete Azure AD-Geräte fortlaufend zu löschen und neuen Geräten den Beitritt zu Azure AD zu ermöglichen, können Sie dem Dienstprinzipal des Provisioning Service die Rolle “Cloud Device Administrator” zuweisen. Wenn Sie veraltete Azure AD-Geräte nicht löschen, bleibt die zugehörige nicht-persistente VM im Initialisierungsstatus, bis Sie sie manuell aus dem Azure AD-Portal entfernen. Lassen Sie hierfür die Verwaltung in Azure AD eingebundener Geräte für Hostverbindungen mithilfe der Oberfläche “Vollständige Konfiguration” zu oder führen Sie die folgenden Schritte aus:
1. Melden Sie sich im Azure-Portal an und navigieren Sie zu Azure Active Directory > Roles and administrators.
2. Suchen Sie nach der integrierten Rolle Cloud Device Administrator und klicken Sie auf Add assignments, um die Rolle dem Dienstprinzipal der Anwendung zuzuweisen, die von der Hostverbindung verwendet wird.
3. Führen Sie mit dem Citrix Remote PowerShell SDK die folgenden Befehle aus, um die bestehenden CustomProperties der Hostverbindung abzurufen. ${HostingConnectionName} bezieht sich auf den Namen der Hostverbindung.
  1. Öffnen Sie ein PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.
  3. Führen Sie den folgenden Befehl aus, um die vorhandenen benutzerdefinierten Eigenschaften der Hostverbindung abzurufen.
    (Get-Item -LiteralPath XDHyp:\Connections${HostingConnectionName}).CustomProperties 
  4. Kopieren Sie die CustomProperties aus der Verbindung in einen Editor und hängen Sie die Eigenschaftseinstellung <Property xsi:type="StringProperty" Name="AzureAdDeviceManagement" Value="true" /> an.
  5. Weisen Sie im PowerShell-Fenster den geänderten benutzerdefinierten Eigenschaften eine Variable zu. Beispiel: $UpdatedCustomProperties=’<CustomProperties …</CustomProperties>’.
  6. Setzen Sie die benutzerdefinierte Eigenschaft auf die Hostverbindung zurück:
    Set-Item -LiteralPath XDHyp:\Connections${HostingConnectionName} -CustomProperties ${UpdatedCustomProperties} -ZoneUid ${ZoneUid} 
  7. Führen Sie den Befehl (Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName}).CustomProperties aus, um die aktualisierten Einstellungen der benutzerdefinierten Eigenschaften zu verifizieren.

Sie können in Azure AD eingebundene Kataloge mit der Oberfläche “Vollständige Konfiguration” oder mit PowerShell erstellen.

Verwenden der Benutzeroberfläche für die vollständige Konfiguration

Die folgenden Informationen ergänzen die Anweisungen unter Erstellen von Maschinenkatalogen. Folgen Sie zum Erstellen eines Katalogs mit Azure AD-Einbindung den allgemeinen Anweisungen in dem Artikel. Beachten Sie besonders die spezifischen Details für Kataloge mit Azure AD-Einbindung.

Im Assistenten für die Katalogerstellung:

Auf der Image:
- Wählen Sie 2106 oder höher als Funktionsebene.
- Wählen Sie Ein Maschinenprofil verwenden und dann in der Liste die entsprechende Maschine.
Wählen Sie auf der Seite Maschinenidentitäten die Option In Azure Active Directory eingebunden. Erstellte Maschinen gehören einer Organisation und sind mit einem Azure AD-Konto dieser Organisation angemeldet. Sie existieren nur in der Cloud.
Hinweis:
- Der Identitätstyp In Azure Active Directory eingebunden erfordert Version 2106 oder höher als minimale Funktionsebene für den Katalog.
- Die Maschinen werden in die Azure AD-Domäne eingebunden, die dem Mandanten zugeordnet ist, an den die Hostingverbindung gebunden ist.
Den Benutzern muss explizit Zugriff in Azure zur Anmeldung bei den Maschinen mit ihren AAD-Anmeldeinformationen gewährt werden. Weitere Informationen finden Sie im Abschnitt In Azure Active Directory eingebunden.

Verwenden von PowerShell

Nachfolgend sind die PowerShell-Schritte aufgeführt, die den Verfahren in “Vollständige Konfiguration” entsprechen. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Der Unterschied zwischen mit einem On-Premises-AD verbundenen Katalogen und solchen mit Azure AD-Einbindung liegt in der Erstellung des Identitätspools und des Provisioningschemas.

Zum Erstellen eines Identitätspools für Kataloge mit Azure AD-Einbindung gehen Sie folgendermaßen vor:

New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Zum Erstellen eines Provisioningschemas für Kataloge mit Azure AD-Einbindung ist der ParameterMachineProfile in New-ProvScheme erforderlich:

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Alle anderen Befehle zum Erstellen von Katalogen mit Azure AD-Einbindung sind mit denen für herkömmliche On-Premises-AD-Kataloge identisch.

Anzeigen des Status der Azure AD-Einbindung

In der Schnittstelle “Vollständige Konfiguration” wird der Status der Azure AD-Einbindung angezeigt, wenn die Maschinen mit Azure AD-Einbindung in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, identifizieren Sie mit Suchen diese Maschinen und prüfen Sie dann die Maschinenidentität für jede Maschine auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

In Azure AD eingebunden
Noch nicht mit Azure AD verbunden

Hinweis:

Maschinen ohne Azure AD-Einbindung werden nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

In der Oberfläche “Vollständige Konfiguration” können Sie außerdem erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu im Knoten Suchen auf eine Maschine, aktivieren Sie im unteren Bereich auf der Registerkarte Details die Option Registrierung, und lesen Sie dann den Tooltip, um weitere Informationen zu erhalten.

Bereitstellungsgruppe

Weitere Informationen finden Sie unter Bereitstellungsgruppen erstellen.

Aktivieren von Rendezvous

Wenn die Bereitstellungsgruppe erstellt ist, können Sie Rendezvous aktivieren. Weitere Informationen finden Sie unter Rendezvous V2.

Problembehandlung

Wenn Maschinen keine Azure AD-Einbindung aufweisen, gehen Sie wie folgt vor:

Überprüfen Sie, ob die vom System zugewiesene verwaltete Identität für die Maschinen aktiviert ist. Für mit MCS bereitgestellte Maschinen muss diese automatisch aktiviert sein. Wenn vom System keine verwaltete Identität zugewiesen wurde, schlägt die Einbindung in Azure AD fehl. Wenn die vom System zugewiesene verwaltete Identität für mit MCS bereitgestellte Maschinen nicht aktiviert ist, kann dies folgenden Grund haben:
- IdentityType des Identitätspools, der dem Provisioningschema zugeordnet ist, ist nicht auf AzureAD festgelegt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.
Überprüfen Sie bei Katalogen, die Masterimages mit VDA-Version 2206 oder früher verwenden, den Bereitstellungsstatus der AADLoginForWindows-Erweiterung für die Maschinen. Wenn die Erweiterung AADLoginForWindows nicht vorhanden ist, kann dies folgende Gründe haben:
- IdentityType des Identitätspools, der dem Provisioningschema zugeordnet ist, ist nicht auf AzureAD festgelegt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.
- Die Installation der Erweiterung AADLoginForWindows wird von der Azure-Richtlinie blockiert.
Wenn das Provisioning der Erweiterung AADLoginForWindows fehlschlägt, können Sie zur Problembehandlung die Protokolle unter C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows auf der mit MCS bereitgestellten Maschine überprüfen.

Hinweis:

MCS ist nicht auf die AADLoginForWindows-Erweiterung angewiesen, um eine VM mit Azure AD zu verbinden, wenn ein Masterimage mit VDA-Version 2209 oder höher verwendet wird. In diesem Fall wird die AADLoginForWindows-Erweiterung nicht auf der von MCS bereitgestellten Maschine installiert. Daher können keine Protokolle zur Bereitstellung von AADLoginForWindows-Erweiterungen gesammelt werden.
Führen Sie auf der mit MCS bereitgestellten Maschine den Befehl dsregcmd /status aus, um den Status der Azure AD-Einbindung und Debugprotokolle zu überprüfen.
Aktivieren Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Benutzergeräteregistrierung.
Führen Sie Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName} aus, um die Konfiguration der Azure AD-Geräteverwaltung zu überprüfen.

Stellen Sie Folgendes sicher:
- Der Wert der Eigenschaft AzureAdDeviceManagement in CustomProperties ist true.
- Der Wert der Eigenschaft Citrix_MCS_AzureAdDeviceManagement_PermissionGranted in den Metadaten ist true.
Wenn Citrix_MCS_AzureAdDeviceManagement_PermissionGranted auf false gesetzt ist, hat der ServicePrincipal der von der Hostverbindung verwendeten Anwendung keine ausreichenden Berechtigungen für die Azure AD-Geräteverwaltung. Weisen Sie dem ServicePrincipal die Rolle Cloud Device Administrator zu, um das Problem zu beheben.

Dynamische Azure Active Directory-Sicherheitsgruppe

Dynamische Gruppenregeln ordnen die virtuellen Maschinen im Katalog einer dynamischen Sicherheitsgruppe zu, basierend auf dem Benennungsschema des Maschinenkatalogs.

Ist das Benennungsschema des Maschinenkatalogs Test### (# steht für Zahl), erstellt Citrix die dynamische Mitgliedschaftsregel ^Test[0-9]{3}$ in der dynamischen Sicherheitsgruppe. Liegt der Name einer von Citrix erstellten VM zwischen Test001 und Test999, wird die VM in die dynamische Sicherheitsgruppe aufgenommen.

Hinweis:

Liegt der Name einer von Ihnen manuell erstellten VM zwischen Test001 und Test999, wird die VM ebenfalls in die dynamische Sicherheitsgruppe aufgenommen. Dies ist eine Einschränkung der dynamischen Sicherheitsgruppe.

Dynamische Sicherheitsgruppen sind nützlich, wenn Sie VMs über Azure Active Directory (Azure AD) verwalten möchten. Dies ist auch nützlich, wenn Sie Richtlinien für bedingten Zugriff anwenden oder Apps aus Intune verteilen möchten, indem Sie die VMs anhand der dynamischen Azure AD-Sicherheitsgruppe filtern.

Sie können für Folgendes PowerShell-Befehle verwenden:

Maschinenkatalog mit dynamischer Azure AD-Sicherheitsgruppe erstellen
Sicherheitsgruppenfeature für einen Azure AD-Katalog aktivieren
Maschinenkatalog mit dynamischer Azure AD-Sicherheitsgruppe löschen

Wichtig:

Um einen Maschinenkatalog mit dynamischer Azure AD-Sicherheitsgruppe zu erstellen, Maschinen zum Katalog hinzuzufügen und den Maschinenkatalog zu löschen, benötigen Sie einen Azure AD-Zugriffstoken. Informationen zum Abrufen eines Azure AD-Zugriffstokens finden Sie unter https://docs.microsoft.com/en-us/graph/graph-explorer/graph-explorer-features#consent-to-permissions/.

Um einen Zugriffstoken in Azure AD anzufordern, fordert Citrix die Berechtigung Group.ReadWrite.all für die Microsoft Graph-API an. Ein Azure AD-Benutzer, der über eine mandantenweite Berechtigung zur Administratoreinwilligung verfügt, kann Group.ReadWrite.All-Berechtigung für die Microsoft Graph-API gewähren. Informationen zum Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung in Azure Active Directory (Azure AD) finden Sie im Microsoft-Dokument https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/grant-admin-consent/.

Maschinenkatalog mit dynamischer Azure AD-Sicherheitsgruppe erstellen

Wählen Sie in der Benutzeroberfläche für die Einrichtung des Maschinenkatalogs der webbasierten Konsole auf der Seite Maschinenidentitäten die Option In Azure Active Directory eingebunden.
Melden Sie sich bei Azure AD an.
Rufen Sie den Zugriffstoken für die MS Graph-API ab. Verwenden Sie den Zugriffstoken als Wert für Parameter $AzureADAccessToken für die PowerShell-Befehle.
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Name der dynamischen Sicherheitsgruppe im Mandanten vorhanden ist.
```
Get-AcctAzureADSecurityGroup
–AccessToken  $AzureADAccessToken
–Name "SecurityGroupName"

```

Erstellen Sie einen Maschinenkatalog mit der Mandanten-ID, dem Zugriffstoken und der dynamischen Sicherheitsgruppe. Führen Sie den folgenden Befehl aus, um einen Identitätspool mit IdentityType=AzureAD und eine dynamische Sicherheitsgruppe in Azure zu erstellen.

New-AcctIdentityPool
-AllowUnicode
-IdentityPoolName "SecurityGroupCatalog"
-NamingScheme "SG-VM-###"
-NamingSchemeType "Numeric" -Scope @()
-ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
-WorkgroupMachine
-IdentityType "AzureAD"
-DeviceManagementType "None"
-AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupName "SecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

Sicherheitsgruppenfeature für einen Azure AD-Katalog aktivieren

Sie können das Feature dynamischer Sicherheitsgruppen für einen Azure AD-Katalog aktivieren, bei dessen Erstellung das Feature nicht aktiviert wurde. Gehen Sie hierzu folgendermaßen vor:

Erstellen Sie manuell eine neue dynamische Sicherheitsgruppe. Sie können auch eine vorhandene dynamische Sicherheitsgruppe verwenden.
Melden Sie sich bei Azure AD an und rufen Sie den Zugriffstoken für die MS Graph-API ab. Verwenden Sie den Zugriffstoken als Wert für Parameter $AzureADAccessToken für die PowerShell-Befehle.

Hinweis:

Informationen zu den von dem Azure AD-Benutzer benötigten Berechtigungen finden Sie unter https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/grant-admin-consent#prerequisites/.

Führen Sie den folgenden Befehl aus, um den Identitätspool mit der erstellten dynamischen Azure AD-Sicherheitsgruppe zu verbinden.

Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

Wenn Sie das Benennungsschema aktualisieren, aktualisiert Citrix das Benennungsschema an eine neue Mitgliedschaftsregel. Wenn Sie den Katalog löschen, wird die Mitgliedschaftsregel gelöscht nicht aber die Sicherheitsgruppe.

Maschinenkatalog mit dynamischer Azure AD-Sicherheitsgruppe löschen

Wenn Sie einen Maschinenkatalog löschen, wird die mit Azure AD verbundene Sicherheitsgruppe ebenfalls gelöscht.

Gehen Sie wie folgt vor, um die dynamische Azure AD-Sicherheitsgruppe zu löschen:

Melden Sie sich bei Azure AD an.
Rufen Sie den Zugriffstoken für die MS Graph-API ab. Verwenden Sie den Zugriffstoken als Wert für Parameter $AzureADAccessToken für die PowerShell-Befehle.

Führen Sie den folgenden Befehl aus:

Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

Dynamische Azure AD-Sicherheitsgruppe unter einer vorhandenen Azure AD-Sicherheitsgruppe erstellen

Sie können eine dynamische Azure AD-Sicherheitsgruppe unter einer vorhandenen Azure AD-Sicherheitsgruppe erstellen. Sie können die folgenden Aktionen ausführen:

Informationen zur Sicherheitsgruppe abrufen.
Rufen Sie alle zugewiesenen Azure AD-Sicherheitsgruppen ab, die vom On-Premises-AD-Server synchronisiert werden, oder die zugewiesenen Sicherheitsgruppen, denen Azure AD-Rollen zugewiesen werden können.
Alle dynamischen Azure AD-Sicherheitsgruppen abrufen.
Die dynamische Azure AD-Sicherheitsgruppe als Mitglied der zugewiesenen Azure AD-Gruppe hinzufügen.
Die Mitgliedschaft zwischen der dynamischen Azure AD-Sicherheitsgruppe und der zugewiesenen Azure AD-Sicherheitsgruppe entfernen, wenn die dynamische Azure AD-Sicherheitsgruppe zusammen mit dem Maschinenkatalog gelöscht wird.

Sie können auch explizite Fehlermeldungen sehen, wenn einer der Vorgänge fehlschlägt.

Voraussetzung:

Sie benötigen den Zugriffstoken für die MS Graph-API, wenn Sie die PowerShell-Befehle ausführen.

Zugriffstoken abrufen:

Öffnen Sie den Microsoft Graph-Explorer und melden Sie sich bei Azure AD an.
Stellen Sie sicher, dass Sie über Einwilligung für Group.ReadWrite.all und GroupMember.ReadWrite.all verfügen.
Rufen Sie den Zugriffstoken vom Microsoft Graph-Explorer ab. Verwenden Sie den Zugriffstoken für die PowerShell-Befehle.

Sicherheitsgruppeninformationen anhand der Gruppen-ID abrufen:

Rufen Sie den Zugriffstoken ab.
Suchen Sie die Gruppenobjekt-ID im Azure-Portal.