Citrix DaaS

In Azure Active Directory eingebunden

Hinweis:

Dieses Feature wird phasenweise eingeführt. Es ist möglicherweise für Ihr Konto noch nicht aktiviert.

In diesem Artikel wird beschrieben, wie Sie mit Azure Active Directory (AD) verbundene Kataloge mithilfe von Citrix DaaS erstellen.

Anforderungen

  • Steuerungsebene: Citrix DaaS

  • VDA-Typ: VDA mit Einzel- oder Multisitzungs-OS

  • VDA-Version: 2203 oder höher

  • Provisioningtyp: Maschinenerstellungsdienste (MCS), persistent und nicht persistent nur mit Maschinenprofil-Workflow

  • Zuweisungstyp: dediziert und gepoolt

  • Hostingplattform: nur Azure

  • Master-VMs dürfen nicht mit Azure AD verbunden sein.

  • Rendezvous V2 kann aktiviert werden, sodass Citrix Cloud Connectors nicht erforderlich sind. Um Rendezvous zu aktivieren, müssen Sie eine Registrierungseinstellung hinzufügen. Weitere Informationen zu deren Hinzufügen finden Sie unter VDA-Installation und -Konfiguration.

Einschränkungen

  • Unterstützung nur für Microsoft Azure Resource Manager-Cloudumgebungen.

  • Single Sign-On bei virtuellen Desktops wird nicht unterstützt. Die Benutzer müssen ihre Anmeldeinformationen manuell eingeben, wenn sie sich bei ihren Desktops anmelden.

  • Beim ersten Start einer virtuellen Desktopsitzung wird zur Windows-Anmeldung die Anmeldeaufforderung für den zuletzt angemeldeten Benutzer ohne Option zum Wechseln des Benutzers angezeigt. Der Benutzer muss warten, bis das Timeout eintritt und der Sperrbildschirm angezeigt wird, und dann auf den Sperrbildschirm klicken, um den Anmeldebildschirm erneut anzuzeigen. Er kann dann Andere Benutzer auswählen und seine eigenen Anmeldeinformationen eingeben.

  • Die Anmeldung bei virtuellen Desktops mit Windows Hello wird nicht unterstützt. Wenn ein Benutzer versucht, sich mit einer Windows Hello-PIN anzumelden, wird gemeldet, dass er nicht der vermittelte Benutzer ist, und die Sitzung wird getrennt.

  • Servicekontinuität wird nicht unterstützt.

Überlegungen

  • Master-VMs dürfen nicht mit Azure AD verbunden sein.

  • Windows Hello wird nicht unterstützt. Deaktivieren Sie daher Windows Hello auf den Master-VMs. Hierfür gibt es zwei Methoden:

    • Verwenden der lokalen Gruppenrichtlinie auf den Master-VMs.

      • Führen Sie gpedit.msc aus.
      • Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Hello for Business.
      • Legen Sie für Windows Hello for Business verwenden die Option Deaktiviert oder Aktiviert fest:
      • Wählen Sie Do not start Windows Hello provisioning after sign-in.
    • Unter Verwendung von Microsoft Intune (nur persistente Maschinen).

      • Erstellen Sie ein Geräteprofil, das Windows Hello for Business deaktiviert. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Erstellen von Katalogen mit Azure AD-Einbindung

Sie können mit Azure AD verbundene Kataloge mit der Oberfläche “Vollständige Konfiguration” oder PowerShell erstellen.

Verwenden der Schnittstelle für die vollständige Konfiguration

Die folgenden Informationen ergänzen die Anweisungen unter Erstellen von Maschinenkatalogen. Befolgen Sie zum Erstellen eines Katalogs mit Azure AD-Einbindung die allgemeinen Anweisungen in dem Artikel unter besonderer Beachtung der spezifischen Details für Kataloge mit Azure AD-Einbindung.

Im Assistenten für die Katalogerstellung:

  • Wählen Sie auf der Seite Maschinenidentitäten die Option In Azure Active Directory eingebunden. Erstellte Maschinen gehören einer Organisation und sind mit einem Azure AD-Konto dieser Organisation angemeldet. Sie existieren nur in der Cloud.

Hinweis:

  • Der Identitätstyp In Azure Active Directory eingebunden erfordert VDA-Version 2203 oder höher als minimale Funktionsebene für den Katalog. Zur Bereitstellung aktualisieren Sie bei Bedarf die Mindestfunktionsebene.
  • Die Maschinen werden mit dem Azure AD verbunden, an das die Hostingverbindung gebunden ist.

Verwenden von PowerShell

Nachfolgend werden die den in “Vollständige Konfiguration” ausgeführten Schritten entsprechenden PowerShell-Schritte aufgeführt. Informationen zum Erstellen eines Katalogs mithilfe des Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Der Unterschied zwischen mit einem On-Premises-AD verbundenen Katalogen und solchen mit Azure AD-Einbindung liegt in der Erstellung des Identitätspools und des Provisioningschemas.

Zum Erstellen eines Identitätspools für Kataloge mit Azure AD-Einbindung gehen Sie folgendermaßen vor:

New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Zum Erstellen eines Provisioningschemas für Kataloge mit Azure AD-Einbindung ist der ParameterMachineProfile in New-ProvScheme erforderlich:

New-ProvScheme -CleanOnBoot -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Alle anderen Befehle zum Erstellen von Katalogen mit Azure AD-Einbindung sind mit denen für herkömmliche On-Premises-AD-Kataloge identisch.

Anzeigen des Status der Azure AD-Einbindung

In der Schnittstelle “Vollständige Konfiguration” wird der Status der Azure AD-Einbindung angezeigt, wenn die Maschinen mit Azure AD-Einbindung in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, identifizieren Sie mit Suchen diese Maschinen und prüfen Sie dann die Maschinenidentität für jede Maschine auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

  • In Azure AD eingebunden
  • Noch nicht mit Azure AD verbunden

Hinweis:

Maschinen ohne Azure AD-Einbindung werden nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Mithilfe der Oberfläche “Vollständige Konfiguration” können Sie außerdem erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu im Knoten Suchen auf eine Maschine, aktivieren Sie im unteren Bereich auf der Registerkarte Details die Option Registrierung, und lesen Sie dann den Tooltip, um weitere Informationen zu erhalten.

Aktivieren der Benutzeranmeldung mit Azure AD-Konten

Maschinen bzw. Bereitstellungsgruppen müssen bestimmten Azure AD-Konten zugewiesen werden. Dazu kann die Schnittstelle “Vollständige Konfiguration” verwendet werden (Feld Identitätstyp auswählen beim Zuweisen von Benutzern) oder die Seite “Bibliothek” in Citrix Cloud.

Damit Benutzer sich mit ihren Azure AD-Anmeldeinformationen bei Maschinen anmelden können, fügen Sie die Rollenzuweisung auf Ressourcengruppenebene hinzu:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Ressourcengruppen.

  3. Klicken Sie auf die Ressourcengruppe mit den virtuellen Desktop-Workloads.

  4. Wählen Sie Access control (IAM).

  5. Klicken Sie auf Add role assignment.

  6. Wählen Sie in der Liste Virtual Machine User Login und klicken Sie auf Next.

  7. Wählen Sie User, group, or service principal.

  8. Klicken Sie auf Select members und wählen Sie die Benutzer und Gruppen, denen Sie Zugriff auf die virtuellen Desktops gewähren möchten.

  9. Klicken Sie auf Select.

  10. Klicken Sie auf Review + assign.

  11. Klicken Sie erneut auf Review + assign.

Hinweis:

Wenn Sie MCS die Ressourcengruppe für die virtuellen Desktops erstellen lassen, fügen Sie diese Rollenzuweisung nach Erstellung des Maschinenkatalogs hinzu.

Microsoft Intune

Hinweis:

Dieses Feature gilt nur für mit Azure AD verbundene persistente Maschinen. Die Maschinen müssen die Mindestsystemanforderungen erfüllen. Informationen hierzu finden Sie in der Dokumentation von Microsoft: https://docs.microsoft.com/en-us/mem/intune/fundamentals/supported-devices-browsers#microsoft

Sie können die Microsoft Intune-Registrierung mit Citrix DaaS aktivieren. Microsoft Intune ist ein cloudbasierter Service für die Mobilgeräteverwaltung (MDM) und die Mobilanwendungsverwaltung (MAM). Sie können die Verwendung von Geräten Ihres Unternehmens (Mobiltelefone, Tablets, Laptops usw.) steuern. Weitere Informationen finden Sie unter Microsoft Intune.

Microsoft Intune nutzt die Funktionalität von Azure AD.

Wichtig:

Bevor Sie das Feature aktivieren, vergewissern Sie sich, dass Ihre Azure-Umgebung die Lizenzanforderungen für die Verwendung von Microsoft Intune erfüllt. Informationen hierzu finden Sie in der Dokumentation von Microsoft: https://docs.microsoft.com/en-us/mem/intune/fundamentals/licenses Aktivieren Sie das Feature nicht, wenn Sie die entsprechende Intune-Lizenz nicht haben.

Aktivieren von Microsoft Intune

Sie können Microsoft Intune mit der Oberfläche “Vollständige Konfiguration” oder PowerShell aktivieren.

Verwenden der Schnittstelle für die vollständige Konfiguration

Die folgenden Informationen ergänzen die Anweisungen unter Erstellen von Maschinenkatalogen. Das Feature erfordert bei der Katalogerstellung die Auswahl von In Azure Active Directory eingebunden für Maschinenidentitäten. Befolgen Sie die allgemeinen Anweisungen in dem Artikel unter besonderer Beachtung der Feature-spezifischen Details.

Im Assistenten für die Katalogerstellung:

  • Wählen Sie auf der Seite Maschinenidentitäten die Option In Azure Active Directory eingebunden und dann Maschinen bei Microsoft Intune registrieren. Wenn die Option aktiviert ist, registrieren Sie die Maschinen bei Microsoft Intune für die Verwaltung.

Verwenden von PowerShell

Nachfolgend werden die den in “Vollständige Konfiguration” ausgeführten Schritten entsprechenden PowerShell-Schritte aufgeführt.

Um Maschinen mit dem Remote PowerShell SDK bei Microsoft Intune zu registrieren, verwenden Sie DeviceManagementTypeparameter in New-AcctIdentityPool. Das Feature erfordert, dass der Katalog Azure AD-eingebunden ist und dass Azure AD über die richtige Microsoft Intune-Lizenz verfügt. Beispiel:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Tipp:

Das Feature wird mithilfe der Azure Resource Manager-Vorlage implementiert. Geben Sie in der Vorlage die Anwendungs-ID von Microsoft Intune in der Erweiterung “AADLoginForWindows” an, damit sich Azure AD-gebundene VMs registrieren können.

In Azure Active Directory eingebunden