Citrix DaaS

Configuración de VDA unidos a Azure Active Directory y no unidos a ningún dominio

El proceso de instalación de VDA e implementación de escritorios virtuales unidos a Azure Active Directory (AD) puro o no unidos a ningún dominio es similar al de las máquinas unidas a un dominio estándar. Solo necesita asegurarse de cumplir con todos los requisitos y seleccionar las opciones correctas durante todo el proceso.

Requisitos

Requisitos para máquinas unidas a Azure AD puro:

  • Plano de control: Citrix DaaS
  • Tipo de VDA: Sesión única y multisesión (solo para escritorios virtuales)
  • Versión de VDA: 2203
  • Tipo de aprovisionamiento: Persistente de Machine Creation Services (MCS) con flujo de trabajo de perfil de máquina solamente
  • Tipo de tarea: Dedicada
  • Plataforma de alojamiento: Solo Azure
  • La VM de plantilla no debe estar unida a Azure AD
  • Rendezvous V2 debe estar habilitado para quitar el requisito de Citrix Cloud Connectors

Requisitos para máquinas no unidas a ningún dominio:

  • Plano de control: Citrix DaaS
  • Tipo de VDA: Sesión única y multisesión (solo para escritorios virtuales)
  • Versión de VDA: 2203
  • Tipo de aprovisionamiento: Persistente y No persistente de Machine Creation Services (MCS)
  • Tipo de asignación: Dedicada y agrupada
  • Plataforma de alojamiento: Todas las plataformas compatibles con MCS, excepto Google Cloud Platform
  • Rendezvous V2 debe estar habilitado para quitar el requisito de Citrix Cloud Connectors

Problemas conocidos y limitaciones

General

  • No se admite la continuidad del servicio.

Unido a Azure AD puro

  • Por ahora la imagen de la VM de plantilla no se puede unir a Azure AD.
  • No se admite Single Sign-On en el escritorio virtual. Los usuarios deben introducir sus credenciales manualmente en el escritorio virtual.
  • No se admite el inicio de sesión con Windows Hello en el escritorio virtual. Si los usuarios intentan usar un PIN de Windows Hello para iniciar sesión, reciben un error que indica que no son el usuario intermediario, y la sesión se desconecta.
  • La primera vez que se inicia una sesión de escritorio virtual, la pantalla de inicio de sesión de Windows muestra el mensaje de inicio de sesión del último usuario que inició sesión sin la opción de cambiar a otro usuario. El usuario debe esperar a que se agote el tiempo de espera del inicio de sesión y aparezca la pantalla de bloqueo del escritorio, y, a continuación, hacer clic en la pantalla de bloqueo para mostrar de nuevo la pantalla de inicio de sesión. En ese momento, el usuario puede seleccionar “Otro usuario” e introducir sus credenciales.

Consideraciones

Imagen de plantillas

  • Considere la posibilidad de optimizar la imagen de Windows con la herramienta Citrix Optimizer.
  • Para evitar discrepancias y conflictos en la configuración de hardware, asegúrese de que la máquina virtual utilizada como máquina virtual de plantilla y las máquinas virtuales utilizadas para las cargas de trabajo de los usuarios tengan las mismas configuraciones de hardware. En el caso de las máquinas virtuales de Azure, asegúrese de que pertenezcan a la misma familia o, al menos, tengan perfiles de hardware similares. Por ejemplo, asegúrese de que la VM de plantilla y las cargas de trabajo de los usuarios tengan la misma cantidad de discos. De lo contrario, es posible que tenga problemas con las máquinas aprovisionadas por MCS, como errores de configuración en los archivos de paginación o la detección de hardware nuevo que podría solicitar a los usuarios un reinicio.

Unido a Azure AD puro

  • Considere la posibilidad de inhabilitar Windows Hello para que no se pida a los usuarios crear un PIN de Windows Hello para iniciar sesión en Windows. No se admite Windows Hello. Puede hacerlo de dos maneras:
    1. Directiva de grupo local en la máquina virtual de plantilla
      • Ejecute gpedit.msc.
      • Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Hello empresarial.
      • Configure Usar Windows Hello empresarial en:
        • Deshabilitado
        • O en Habilitado y seleccione No iniciar el aprovisionamiento de Windows Hello después de iniciar sesión.
    2. Microsoft Intune (solo para máquinas persistentes)
      • Cree un perfil de dispositivo que inhabilite Windows Hello empresarial. Consulte la documentación de Microsoft para obtener información detallada.
      • Actualmente, Microsoft solo admite la inscripción en Intune de máquinas persistentes, lo que significa que no puede administrar máquinas no persistentes con Intune.
  • Los usuarios deben tener acceso explícito en Azure para iniciar sesión en las máquinas con sus credenciales de AAD. Esto se puede facilitar al agregar asignación de roles a nivel de grupo de recursos:
    1. Inicie sesión en Azure Portal.
    2. Seleccione Grupos de recursos.
    3. Haga clic en el grupo de recursos donde residen las cargas de trabajo de los escritorios virtuales.
    4. Seleccione Control de acceso (IAM).
    5. Haga clic en Agregar asignación de funciones.
    6. Busque Inicio de sesión de usuario para máquinas virtuales, selecciónelo en la lista y haga clic en Siguiente.
    7. Seleccione Usuario, grupo o entidad de servicio.
    8. Haga clic en Seleccionar miembros y seleccione los usuarios y grupos a los que quiere proporcionar acceso a los escritorios virtuales.
    9. Haga clic en Seleccionar.
    10. Haga clic en Revisar + asignar.
    11. Haga clic en Revisar + asignar una vez más.

Nota:

Si decide dejar que MCS cree el grupo de recursos para los escritorios virtuales, agregue esta asignación de roles después de crear el catálogo de máquinas.

Instalación y configuración de VDA

Siga estos pasos para instalar el VDA:

  1. Asegúrese de seleccionar estas opciones en el asistente de instalación:

    • En la página Entorno, seleccione Crear una imagen maestra de MCS.

    Configuración 1 de Azure AD

    • En la página Delivery Controller, seleccione Dejar que Machine Creation Services lo haga automáticamente.

    Configuración 2 de Azure AD

  2. Una vez instalado el VDA, agregue el siguiente valor de Registro:

    • Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
    • Tipo de valor: DWORD
    • Nombre del valor: GctRegistration
    • Información del valor: 1

Proceda para crear un catálogo de máquinas.

Catálogo de máquinas

Antes de crear el catálogo de máquinas para máquinas unidas a Azure AD puro o no unidas a ningún dominio, necesita lo siguiente:

  1. Nueva ubicación de recursos
    • Vaya a la interfaz de usuario de la administración de Citrix Cloud > menú de tres líneas de la parte superior izquierda > Ubicaciones de recursos.
    • Haga clic en + Ubicación de recursos.
    • Escriba un nombre para nueva la ubicación de recursos y haga clic en Guardar.
  2. Crear una conexión de alojamiento con Azure
    • Vaya a la interfaz de usuario de administración de Citrix Cloud > menú de tres líneas de la parte superior izquierda > Mis servicios > DaaS > Administrar > Configuración completa.
    • Seleccione el nodo Alojamiento de la izquierda.
    • Seleccione Agregar conexión y recursos.
    • Si se le da la opción, elija Crear una conexión.
    • Seleccione lo siguiente:
      • Tipo de conexión: Microsoft Azure
      • Entorno de Azure: Azure Global
      • Nombre de la zona: Seleccione la zona que corresponda a la ubicación de recursos que creó en el paso 1.
      • Crear máquinas virtuales mediante: Herramientas de aprovisionamiento de Citrix
      • Haga clic en Siguiente.

      Configuración 3 de Azure AD

    • Introduzca el ID de suscripción de Azure y un nombre para la conexión de alojamiento.
    • Citrix DaaS necesita una aplicación registrada en Azure Active Directory:
      • Si quiere que el asistente cree una entidad de servicio para usted, haga clic en Crear…
      • Si prefiere crear una entidad de servicio manualmente, haga clic en Usar existente…

      Configuración 4 de Azure AD

      • Una vez que se haya establecido correctamente la conexión con el arrendatario de Azure, continúe con el resto de los pasos del asistente.

Consulte la documentación de Citrix para obtener más información detalladas sobre la creación de la conexión de alojamiento y las consideraciones específicas sobre Azure Resource Manager.

Una vez que se haya creado la conexión de alojamiento, proceda para crear el catálogo de máquinas:

  1. Seleccione el nodo Catálogos de máquinas de la izquierda.
  2. Seleccione Crear catálogo de máquinas.
  3. Seleccione SO de sesión única como sistema operativo y haga clic en Siguiente.
  4. Seleccione Máquinas con administración de energía y Citrix Machine Creation Services (MCS), y asegúrese de que los recursos correctos de la nueva zona estén seleccionados en la lista desplegable Recursos. Haga clic en Siguiente.
  5. Seleccione los parámetros adecuados de la experiencia de escritorio en función de si quiere escritorios persistentes o no persistentes, y de si los escritorios son dedicados o agrupados. Haga clic en Siguiente.
  6. En la página de la imagen maestra:
    • Seleccione el disco que quiere usar como imagen maestra. Este es el disco de la máquina virtual en la que antes instaló el VDA.
    • Seleccione 2106 (o una versión posterior) como nivel funcional.
    • Si usa máquinas unidas a Azure AD puro, debe marcar Usar un perfil de máquina y seleccionar la máquina apropiada de la lista.
    • Haga clic en Siguiente.

    Configuración 5 de Azure AD

  7. Seleccione las opciones apropiadas para su entorno en las páginas Tipos de licencia y almacenamiento, Máquinas virtuales, Tarjetas de red, Parámetros del disco y Grupo de recursos.
  8. En la página Identidades de las máquinas, asegúrese de seleccionar el tipo de identidad correcto (Unido a Azure Active Directory o No unido a ningún dominio).

    • Si selecciona Unido a Azure Active Directory como el tipo de identidad, asegúrese de seleccionar Inscribir las máquinas en Microsoft Intune si quiere que las máquinas se inscriban automáticamente.

      Microsoft Intune de Azure AD

  9. Siga los pasos restantes del asistente para crear el catálogo de máquinas.
  10. Si usa máquinas unidas a Azure AD puro, recuerde que los usuarios deben tener acceso explícito en Azure para iniciar sesión en las máquinas con sus credenciales de AAD. Consulte la sección Consideraciones sobre las máquinas unidas a Azure AD puro para obtener más información detallada.
  11. Consulte la documentación de Citrix para obtener más información detallada sobre la creación de catálogos de máquinas.
  12. Una vez creado el catálogo de máquinas, proceda para crear un grupo de entrega.

Grupo de entrega

Una vez creado el catálogo de máquinas, debe crear un grupo de entrega:

  1. Seleccione el nodo Grupos de entrega de la izquierda.
  2. Seleccione Crear grupo de entrega.
  3. En la página Máquinas, seleccione el catálogo de máquinas creado anteriormente y elija cuántas máquinas de ese catálogo quiere agregar al grupo de entrega. Haga clic en Siguiente.

    Configuración 6 de Azure AD

  4. Seleccione Escritorios como tipo de entrega. Haga clic en Siguiente.
  5. Seleccione la forma que prefiera de administrar el acceso de los usuarios al grupo de entrega. Haga clic en Siguiente. La opción Restringir el uso de este grupo de entrega a los usuarios siguientes solo se puede usar si Workspace está configurado para usar Active Directory como IdP.
  6. Si seleccionó Permitir que cualquier usuario autenticado use este grupo de entrega en la página Usuarios, puede ver la página Reglas de asignación de escritorio.
    • Haga clic en Agregar.
    • Introduzca un nombre simplificado para el escritorio virtual (el nombre que ven los usuarios cuando inician sesión en Workspace).
    • Deje Permitir la asignación de un escritorio a todos los usuarios con acceso a este grupo de entrega.
    • Haga clic en OK.
  7. Siga los pasos restantes del asistente para crear el grupo de entrega.
  8. Consulte la documentación de Citrix para obtener más información detallada sobre la creación de grupos de entrega.

Habilitar Rendezvous

Una vez creado el grupo de entrega, debe habilitar Rendezvous. Consulte la documentación de Rendezvous para obtener más información detallada.

Configuración de VDA unidos a Azure Active Directory y no unidos a ningún dominio