Citrix DaaS

Unidos a Azure Active Directory

Nota:

En julio de 2023, Microsoft cambió el nombre de Azure Active Directory (Azure AD) por el de Microsoft Entra ID. En este documento, cualquier referencia a Azure Active Directory, Azure AD o AAD ahora se refiere a Microsoft Entra ID.

Este artículo describe los requisitos para crear catálogos unidos de Azure Active Directory (AAD) mediante Citrix DaaS, además de los requisitos descritos en la sección de requisitos del sistema de Citrix DaaS.

Requisitos

  • Plano de control: Consulte Configuraciones compatibles
  • Tipo de VDA: Sesión única (solo escritorios) o multisesión (aplicaciones y escritorios)
  • Versión del VDA: 2203 o una posterior
  • Tipo de aprovisionamiento: Persistente y No persistente de Machine Creation Services (MCS) con flujo de trabajo de perfil de máquina
  • Tipo de asignación: Dedicada y agrupada
  • Plataforma de alojamiento: Solo Azure
  • Rendezvous V2 debe estar habilitado

Limitaciones

  • No se admite la continuidad del servicio.
  • No se admite Single Sign-On para escritorios virtuales. Los usuarios deben introducir manualmente las credenciales al iniciar sesión en sus escritorios.
  • No se admite el inicio de sesión con Windows Hello en el escritorio virtual. Por el momento, solo se admiten el nombre de usuario y la contraseña. Si los usuarios intentan iniciar sesión con algún método de Windows Hello, reciben un error que indica que no son el usuario intermediario, y la sesión se desconecta. Los métodos asociados incluyen el PIN, la clave FIDO2, la autenticación MFA, etc.
  • Compatibilidad solamente con entornos en la nube de Microsoft Azure Resource Manager
  • La primera vez que se inicia una sesión de escritorio virtual, es posible que la pantalla de inicio de sesión de Windows muestre el mensaje de inicio de sesión del último usuario que inició sesión sin la opción de cambiar a otro usuario. El usuario debe esperar a que se agote el tiempo de espera del inicio de sesión y aparezca la pantalla de bloqueo del escritorio, y, a continuación, hacer clic en la pantalla de bloqueo para mostrar de nuevo la pantalla de inicio de sesión. En ese momento, el usuario puede seleccionar Otros usuarios e introducir sus credenciales. Este es el comportamiento de cada sesión nueva cuando las máquinas no son persistentes.

Consideraciones

Configuración de imágenes

  • Considere la posibilidad de optimizar la imagen de Windows con la herramienta Citrix Optimizer.

Unida a Azure AD

  • Considere la posibilidad de inhabilitar Windows Hello para que los usuarios no tengan que configurarlo cuando inicien sesión en su escritorio virtual. Si utiliza VDA 2209 o una versión posterior, esto se hace automáticamente. Para las versiones anteriores, puede hacerlo de dos maneras:

    • Directiva de grupo o directiva local

      • Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Hello empresarial.
      • Configure Usar Windows Hello empresarial en:
        • Deshabilitado
        • O en Habilitado y seleccione No iniciar el aprovisionamiento de Windows Hello después de iniciar sesión.
    • Microsoft Intune

      • Cree un perfil de dispositivo que inhabilite Windows Hello empresarial. Consulte la documentación de Microsoft para obtener información detallada.
      • Actualmente, Microsoft solo admite la inscripción en Intune de máquinas persistentes, lo que significa que no puede administrar máquinas no persistentes con Intune.
  • Los usuarios deben tener acceso explícito en Azure para iniciar sesión en las máquinas con sus credenciales de AAD. Esto se puede facilitar al agregar asignación de roles a nivel de grupo de recursos:

    1. Inicie sesión en Azure Portal.
    2. Seleccione Grupos de recursos.
    3. Haga clic en el grupo de recursos donde residen las cargas de trabajo de los escritorios virtuales.
    4. Seleccione Control de acceso (IAM).
    5. Haga clic en Agregar asignación de funciones.
    6. Busque Inicio de sesión de usuario para máquinas virtuales, selecciónelo en la lista y haga clic en Siguiente.
    7. Seleccione Usuario, grupo o entidad de servicio.
    8. Haga clic en Seleccionar miembros y seleccione los usuarios y grupos a los que quiere proporcionar acceso a los escritorios virtuales.
    9. Haga clic en Seleccionar.
    10. Haga clic en Revisar + asignar.
    11. Haga clic en Revisar + asignar una vez más.

Nota:

Si decide dejar que MCS cree el grupo de recursos para los escritorios virtuales, agregue esta asignación de roles después de crear el catálogo de máquinas.

  • Las máquinas virtuales principales pueden estar unidas a Azure AD o no estar unidas a ningún dominio. Esta funcionalidad requiere la versión 2212 de VDA o una posterior.

Instalación y configuración de VDA

Siga estos pasos para instalar el VDA:

  1. Asegúrese de seleccionar estas opciones en el asistente de instalación:

    • En la página Entorno, seleccione Crear una imagen maestra de MCS.

    Configuración 1 de Azure AD

    • En la página Delivery Controller, seleccione Dejar que Machine Creation Services lo haga automáticamente.

    Configuración 2 de Azure AD

  2. Una vez instalado el VDA, agregue el siguiente valor de Registro:

    • Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
    • Tipo de valor: DWORD
    • Nombre del valor: GctRegistration
    • Información del valor: 1
  3. Para la VM maestra basada en Windows 11 22H2, cree una tarea programada en la VM maestra que ejecute el siguiente comando al iniciarse el sistema con la cuenta SYSTEM. Esta actividad de programar una tarea en la VM maestra solo es necesaria para los VDA de la versión 2212 o anterior.

    reg ADD HKLM\Software\AzureAD\VirtualDesktop /v Provider /t REG_SZ /d Citrix /f
    <!--NeedCopy-->
    
  4. Si une la máquina virtual maestra a Azure AD y, a continuación, elimina manualmente la unión con la utilidad dsregcmd, asegúrese de que el valor de AADLoginForWindowsExtensionJoined en HKLM\ Software\ Microsoft\ Windows Azure\ CurrentVersion\ AADLoginForWindowsExtension sea cero.

Qué hacer a continuación

Cuando la ubicación de recursos y la conexión de host estén disponibles, proceda a crear el catálogo de máquinas. Para obtener más información sobre la creación de catálogos de máquinas unidas a Azure Active Directory, consulte Crear catálogos unidos a Azure Active Directory.

Unidos a Azure Active Directory