Citrix DaaS

In Azure Active Directory eingebunden

Hinweis:

Seit Juli 2023 hat Microsoft Azure Active Directory (Azure AD) in Microsoft Entra ID umbenannt. In diesem Dokument bezieht sich jeder Verweis auf Azure Active Directory, Azure AD oder AAD jetzt auf Microsoft Entra ID.

Dieser Artikel enthält alle Anforderungen, die zusätzlich zu den Systemanforderungen für Citrix DaaS erforderlich sind, um in Azure Active Directory (AAD) eingebundene Kataloge mit Citrix DaaS zu erstellen.

Anforderungen

  • Steuerungsebene: Siehe Unterstützte Konfigurationen.
  • VDA-Typ: Einzelsitzung (nur Desktops) und Multisitzung (Apps und Desktops)
  • VDA-Version: 2203 oder höher
  • Provisioningtyp: Maschinenerstellungsdienste (MCS), persistent und nicht persistent mit Maschinenprofil-Workflow
  • Zuweisungstyp: dediziert und gepoolt
  • Hostingplattform: nur Azure
  • Rendezvous V2 muss aktiviert sein.

Einschränkungen

  • Servicekontinuität wird nicht unterstützt.
  • Single Sign-On bei virtuellen Desktops wird nicht unterstützt. Die Benutzer müssen ihre Anmeldeinformationen manuell eingeben, wenn sie sich bei ihren Desktops anmelden.
  • Die Anmeldung beim virtuellen Desktop mit Windows Hello wird nicht unterstützt. Es werden derzeit nur Benutzername und Kennwort unterstützt. Wenn ein Benutzer versucht, sich mit einem Windows Hello-Verfahren anzumelden, wird gemeldet, dass er nicht der vermittelte Benutzer ist, und die Sitzung wird getrennt. Zugeordnete Verfahren sind PIN, FIDO2-Schlüssel, Multifaktorauthentifizierung usw.
  • Unterstützung nur für Microsoft Azure Resource Manager-Cloudumgebungen.
  • Beim ersten Start einer virtuellen Desktopsitzung kann zur Windows-Anmeldung die Anmeldeaufforderung für den zuletzt angemeldeten Benutzer angezeigt werden, ohne Option zum Wechseln des Benutzers. Der Benutzer muss warten, bis das Timeout eintritt und der Sperrbildschirm des Desktops angezeigt wird, und dann auf den Sperrbildschirm klicken, um den Anmeldebildschirm wieder anzuzeigen. Er kann dann Andere Benutzer auswählen und seine eigenen Anmeldeinformationen eingeben. Dies ist das Verhalten bei jeder neuen Sitzung, wenn die Maschinen nicht persistent sind.

Überlegungen

Imagekonfiguration

In Azure AD eingebunden

  • Deaktivieren Sie ggf. Windows Hello, damit Benutzer nicht zur Einrichtung aufgefordert werden, wenn sie sich an ihrem virtuellen Desktop anmelden. Wenn Sie VDA 2209 oder höher verwenden, erfolgt dies automatisch. Bei früheren Versionen haben Sie hierfür zwei Optionen:

    • Gruppenrichtlinie oder lokale Richtlinie

      • Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Hello for Business.
      • Legen Sie für Windows Hello for Business verwenden Folgendes fest:
        • Deaktiviert oder
        • Aktiviert und wählen Sie Do not start Windows Hello provisioning after sign-in.
    • Microsoft Intune

      • Erstellen Sie ein Geräteprofil, das Windows Hello for Business deaktiviert. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
      • Derzeit unterstützt Microsoft nur die Intune-Registrierung für persistente Maschinen. Sie können nicht persistente Maschinen daher nicht mit Intune verwalten.
  • Den Benutzern muss explizit Zugriff in Azure zur Anmeldung bei den Maschinen mit ihren AAD-Anmeldeinformationen gewährt werden. Dies kann erleichtert werden, indem die Rollenzuweisung auf der Ebene der Ressourcengruppen hinzugefügt wird:

    1. Melden Sie sich beim Azure-Portal an.
    2. Wählen Sie Ressourcengruppen.
    3. Klicken Sie auf die Ressourcengruppe mit den virtuellen Desktop-Workloads.
    4. Wählen Sie Access control (IAM).
    5. Klicken Sie auf Add role assignment.
    6. Wählen Sie in der Liste Virtual Machine User Login und klicken Sie auf Next.
    7. Wählen Sie User, group, or service principal.
    8. Klicken Sie auf Select members und wählen Sie die Benutzer und Gruppen, denen Sie Zugriff auf die virtuellen Desktops gewähren möchten.
    9. Klicken Sie auf Select.
    10. Klicken Sie auf Review + assign.
    11. Klicken Sie erneut auf Review + assign.

Hinweis:

Wenn Sie MCS die Ressourcengruppe für die virtuellen Desktops erstellen lassen, fügen Sie diese Rollenzuweisung nach Erstellung des Maschinenkatalogs hinzu.

  • Master-VMs können in Azure AD eingebunden oder nicht domänengebunden sein. Für diese Funktion ist VDA-Version 2212 oder höher erforderlich.

VDA-Installation und -Konfiguration

Folgen Sie den Schritten zur Installation des VDAs:

  1. Wählen Sie im Installationsassistenten die folgenden Optionen aus:

    • Wählen Sie auf der Seite “Umgebung” die Option MCS-Masterimage erstellen.

    Azure AD-Konfiguration 1

    • Wählen Sie auf der Seite “Delivery Controller” die Option Automatische Erstellung durch Maschinenerstellungsdienste.

    Azure AD-Konfiguration 2

  2. Wenn der VDA installiert ist, fügen Sie den folgenden Registrierungswert hinzu:

    • Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
    • Werttyp: DWORD
    • Wertname: GctRegistration
    • Wertdaten: 1
  3. Erstellen Sie auf Master-VMs mit Windows 11 22H2 einen geplanten Task, der den folgenden Befehl beim Systemstart mit dem SYSTEM-Konto ausführt. Das Planen eines Task in der Master-VM ist nur für VDA-Version 2212 oder früher erforderlich.

    reg ADD HKLM\Software\AzureAD\VirtualDesktop /v Provider /t REG_SZ /d Citrix /f
    <!--NeedCopy-->
    
  4. Wenn Sie die Master-VM in Azure AD einbinden und das Einbinden dann über das Hilfsprogramm dsregcmd manuell aufheben, stellen Sie sicher, dass der Wert AADLoginForWindowsExtensionJoined unter HKLM\Software\Microsoft\Windows Azure\CurrentVersion\AADLoginForWindowsExtension Null ist.

So geht es weiter

Sobald der Ressourcenstandort und die Hostingverbindung verfügbar sind, erstellen Sie den Maschinenkatalog. Weitere Informationen zum Erstellen von in Azure Active Directory eingebundenen Maschinenkatalogen finden Sie unter In Azure Active Directory eingebundene Kataloge erstellen.

In Azure Active Directory eingebunden