Citrix Virtual Apps and Desktops

Azure Active Directory-Hybrideinbindung

Dieser Artikel enthält alle Anforderungen, die zusätzlich zu den Systemanforderungen für Citrix DaaS erforderlich sind, um Kataloge mit Azure Active Directory-Hybrideinbindung (HAAD) über Citrix DaaS zu erstellen.

Maschinen mit Azure AD-Hybrideinbindung verwenden das On-Premises-AD als Authentifizierungsanbieter. Sie können sie Domänenbenutzern oder Gruppen im On-Premises-AD zuweisen. Um eine nahtlose SSO-Erfahrung für Azure AD zu ermöglichen, müssen die Domänenbenutzer mit Azure AD synchronisiert werden.

Hinweis:

VMs mit Azure AD-Hybrideinbindung werden in Infrastrukturen mit Verbund- und verwalteter Identität unterstützt.

Anforderungen

  • VDA-Typ: Einzelsitzung (nur Desktops) und Multisitzung (Apps und Desktops)
  • VDA-Version: 2212 oder höher
  • Provisioningtyp: Maschinenerstellungsdienste (MCS), persistent und nicht persistent
  • Zuweisungstyp: dediziert und gepoolt
  • Hostingplattform: Beliebiger Hypervisor oder Cloudservice

Einschränkungen

  • Wenn Sie den Citrix Verbundauthentifizierungsdienst (FAS) verwenden, wird Single Sign-On an das On-Premises-AD und nicht an Azure AD weitergeleitet. In diesem Fall wird empfohlen, die zertifikatbasierte Azure AD-Authentifizierung zu konfigurieren. Der primäre Aktualisierungstoken (PRT) wird dann bei der Benutzeranmeldung generiert und ermöglicht einen Single Sign-On bei Azure AD-Ressourcen in der Sitzung. Andernfalls fehlt der primäre Aktualisierungstoken (PRT), und der Single Sign-On für Azure AD-Ressourcen funktioniert nicht. Informationen zum Erreichen von Azure AD Single Sign-On (SSO) bei VDAs mit Hybrideinbindung mithilfe des Citrix Verbundauthentifizierungsdiensts (FAS) finden Sie unter VDAs mit Hybrideinbindung.
  • Überspringen Sie nicht die Imagevorbereitung, während Sie Maschinenkataloge erstellen oder aktualisieren. Wenn Sie die Imagevorbereitung überspringen möchten, dürfen die Master-VMs nicht in Azure AD oder Azure AD Hybrid eingebunden sein.

Überlegungen

  • Zum Erstellen hybrider Maschinen mit Azure Active Directory-Einbindung ist die Berechtigung Write userCertificate in der Zieldomäne erforderlich. Stellen Sie sicher, dass Sie sich bei der Katalogerstellung als Administrator mit dieser Berechtigung anmelden.
  • Der Prozess der Azure AD-Hybrideinbindung wird von Citrix verwaltet. Sie müssen das von Windows gesteuerte autoWorkplaceJoin auf den Master-VMs wie folgt deaktivieren. Die manuelle Deaktivierung von autoWorkplaceJoin ist nur für VDA-Version 2212 oder früher erforderlich.

    1. Führen Sie gpedit.msc aus.
    2. Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Geräteregistrierung.
    3. Legen Sie für In die Domäne eingebundene Computer als Geräte registrieren die Option Deaktiviert fest.
  • Wählen Sie die für die Synchronisierung mit Azure AD konfigurierte Organisationseinheit, wenn Sie die Maschinenidentitäten erstellen.

  • Erstellen Sie auf Master-VMs mit Windows 11 22H2 einen geplanten Task, der die folgenden Befehle beim Systemstart mit dem SYSTEM-Konto ausführt. Das Planen eines Task in der Master-VM ist nur für VDA-Version 2212 oder früher erforderlich.

     $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
     $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
     $MaxCount = 60
    
     for ($count = 1; $count -le $MaxCount; $count++)
     {
       if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
       {
         $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
         if ($provider -eq 'Citrix')
         {
             break;
         }
    
         if ($provider -eq 1)
         {
             Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
             Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
             Start-Sleep 5
             dsregcmd /join
             break
         }
       }
    
       Start-Sleep 1
     }
     <!--NeedCopy-->
    

So geht es weiter

Weitere Informationen zum Erstellen von Katalogen mit Azure Active Directory-Hybrideinbindung finden Sie unter Kataloge mit Azure Active Directory-Hybrideinbindung erstellen.

Azure Active Directory-Hybrideinbindung