Citrix DaaS™

Inicio de sesión único de Microsoft Entra

March 25, 2026

Contribución de:

Puede aprovechar el inicio de sesión único (SSO) al usar credenciales de Microsoft Entra ID para acceder a aplicaciones y escritorios virtuales en hosts de sesión unidos a Microsoft Entra o híbridos unidos a Microsoft Entra.

Infraestructura compatible

A continuación, se presenta una descripción general de los componentes de infraestructura compatibles con el inicio de sesión único de Microsoft Entra:

Identidad de la máquina	Citrix DaaS	CVAD local	Citrix Workspace	Citrix Storefront	Citrix Gateway Service	NetScaler Gateway
Unido a Microsoft Entra	Sí	No	Sí	No	Sí	Sí
Híbrido unido a Microsoft Entra	Sí	No	Sí	No	Sí	Sí

Proveedores de identidades compatibles

A continuación, se presenta una descripción general de los proveedores de identidades de Workspace compatibles con el inicio de sesión único de Microsoft Entra:

Identidad de la máquina	Entra ID	Active Directory	Active Directory + Token	Okta	SAML	NetScaler Gateway	Autenticación adaptativa
Unido a Microsoft Entra	Sí	No	No	No	Sí	No	No
Híbrido unido a Microsoft Entra	Sí	No	No	No	Sí	No	No

NOTA

Si planea usar SAML como su IdP, debe asegurarse de que su proveedor de SAML esté configurado correctamente para admitir la autenticación basada en Entra. Consulte SAML con Microsoft Entra ID e identidades de Microsoft Entra para la autenticación de Workspace.

Métodos de acceso compatibles

Los siguientes son los métodos de acceso disponibles en un entorno Citrix:

Acceso nativo: Usted usa el cliente nativo de la aplicación Citrix Workspace para acceder a Citrix Workspace o Citrix Storefront y establecer la conexión de sesión.
Acceso por navegador: Usted accede a Citrix Workspace o Citrix Storefront a través de un navegador y se conecta a la sesión de la aplicación o el escritorio virtual mediante el cliente de la aplicación Citrix Workspace para HTML5.
Acceso híbrido: Usted accede a Citrix Workspace o Citrix Storefront a través de un navegador y se conecta a la sesión de la aplicación o el escritorio virtual mediante el cliente nativo de la aplicación Workspace.

A continuación, se presenta una descripción general de los métodos de acceso compatibles con el inicio de sesión único de Microsoft Entra:

Método de acceso	Windows	Linux	Mac	Chrome OS	Android	iOS
Nativo	Sí	Sí	Sí	Sí	Sí	Sí
Navegador	Sí	Sí	Sí	Sí	Sí	Sí
Híbrido	Sí	No	Sí	No	No	No

Requisitos del sistema

Los siguientes son los requisitos del sistema para usar el inicio de sesión único de Microsoft Entra:

Plano de control: Citrix DaaS
- Citrix Cloud Commercial (EE. UU., UE y APS)
- Citrix Cloud Japan
Portal de usuario: Citrix Workspace
Virtual Delivery Agent (VDA)
- Windows: versión 2507 o posterior
Aplicación Citrix Workspace
- Windows: versión 2507 o posterior
- Linux: versión 2508 o posterior
- Mac: versión 2508 o posterior (se requiere la versión 2511 o posterior para el acceso híbrido)
- HTML5: versión 2511 o posterior
- Chrome OS: versión 2511 o posterior
- Android: versión 2511 o posterior
- iOS: versión 2511 o posterior
Extensión web de Citrix
- Microsoft Edge
- Google Chrome
SO del host de sesión:
- Windows 11, versión 24H2 con Actualizaciones acumulativas de 2025-09 para Windows 11 (KB5065789) o posterior instalada (compilación 26100.6725)
- Windows Server 2025 con Actualizaciones acumulativas de 2026-01 para Windows Server 2025 (KB5073379) o posterior instalada (compilación 26100.32230)

NOTA

La extensión web de Citrix solo es necesaria si sus usuarios van a aprovechar el acceso híbrido en dispositivos Windows o Mac. Si sus usuarios aprovechan el acceso nativo o por navegador, la extensión web de Citrix no es necesaria.

Consideraciones

Si sus usuarios van a aprovechar el acceso híbrido, deben usar Microsoft Edge o Google Chrome e instalar la extensión web de Citrix. El inicio de sesión único de Microsoft Entra con acceso híbrido no es compatible con otros navegadores.
La reconexión automática de cliente no es compatible cuando se usa el inicio de sesión único de Microsoft Entra para iniciar sesión en la sesión. Esta función se deshabilita automáticamente cuando se usa este método de inicio de sesión. La fiabilidad de la sesión sigue estando disponible para la reconexión automática en caso de interrupciones de red.
Cuando un escritorio virtual está bloqueado, el comportamiento predeterminado es mostrar la pantalla de bloqueo de Windows. Dependiendo de sus requisitos de autenticación, es posible que deba cambiar el comportamiento de bloqueo de sesión. Consulte Comportamiento de bloqueo de sesión para obtener más detalles.
Si usa hosts de sesión híbridos unidos a Microsoft Entra, el inicio de sesión único no funciona de forma predeterminada para los miembros de grupos con privilegios como los administradores de dominio. Para habilitarlo, agregue el grupo o usuario a la lista de permitidos del controlador de dominio de solo lectura (RODC) para el acceso a Kerberos de Microsoft Entra. Consulte TGT de Kerberos de Microsoft Entra y control de acceso de Active Directory para obtener más detalles.

Cómo configurar el inicio de sesión único de Microsoft Entra

Información general

La configuración del inicio de sesión único de Microsoft Entra consta de los siguientes pasos:

Configuración de Azure y Microsoft Entra ID
1. Registrar las aplicaciones de recursos y cliente de Citrix.
2. Habilitar la configuración de seguridad de Escritorio remoto para la aplicación de recursos de Citrix.
3. Aprobar la aplicación cliente.
4. Ocultar el cuadro de diálogo de solicitud de consentimiento del usuario.
5. Crear un objeto de servidor Kerberos (solo entornos híbridos unidos a Microsoft Entra).
6. Revisar las directivas de acceso condicional de Microsoft Entra.
Configuración de Citrix
1. Aprovisionar hosts de sesión con la versión de SO, el tipo de identidad y la versión de VDA requeridos.
2. Configurar Citrix Workspace:
  1. Configurar un proveedor de identidades adecuado.
  2. Habilitar el inicio de sesión único de Microsoft Entra
3. Configurar el tipo de inicio de sesión de sus grupos de entrega si es necesario.

Los detalles de cada paso de configuración se proporcionan en las secciones siguientes.

Configuración de Azure y Microsoft Entra ID

Para aprovechar el inicio de sesión único de Microsoft Entra, primero debe permitir la autenticación de Microsoft Entra para Windows en su inquilino de Microsoft Entra ID, lo que permite la emisión de los tokens de autenticación requeridos que permiten a los usuarios iniciar sesión en los hosts de sesión unidos a Microsoft Entra e híbridos unidos a Microsoft Entra. Para lograr esto, debe hacer lo siguiente:

Registrar las aplicaciones de Citrix (aplicación de recursos y aplicación cliente) en su inquilino de Microsoft Entra ID.
Habilitar la configuración de seguridad de Escritorio remoto para la aplicación de recursos de Citrix.
Agregar la aplicación cliente de Citrix como cliente aprobado para la aplicación de recursos de Citrix.
[Opcional] Ocultar el cuadro de diálogo de solicitud de consentimiento del usuario.
Crear un objeto de servidor Kerberos.
Revisar las directivas de acceso condicional de Microsoft Entra.

La persona que realiza la configuración de Azure debe tener asignado, como mínimo, uno de los siguientes roles integrados de Microsoft Entra o un equivalente:

Para completar la configuración de Azure, tendrás que usar el SDK de PowerShell de Microsoft Graph o la API de Microsoft Graph con una herramienta como Graph Explorer. Se proporcionan instrucciones sobre cómo completar la configuración tanto con PowerShell como con Graph Explorer.

Si eliges usar el SDK de PowerShell de Microsoft Graph, ten en cuenta lo siguiente:

Tendrás que usar Azure Cloud Shell con el tipo de terminal de PowerShell, o ejecutar PowerShell 7.x en tu sistema local, y asegurarte de que tu contexto de Azure esté configurado en la suscripción que quieres usar.
Tendrás que instalar el módulo v1.0 del SDK de PowerShell de Microsoft Graph (Microsoft.Graph) y el módulo de aplicación beta (Microsoft.Graph.Beta.Applications).

Registrar aplicaciones de Citrix

Debes registrar las aplicaciones Citrix Resource y Citrix Client en tu inquilino de Azure.

Puedes usar las siguientes URL de consentimiento para registrar las aplicaciones. Asegúrate de registrar primero la aplicación de recursos, seguida de la aplicación cliente.

Citrix Cloud EE. UU., UE, APS
- Aplicación de recursos: https://login.microsoftonline.com/common/adminconsent?client_id=3a510bb1-e334-4298-831e-3eac97f8b26c
- Aplicación cliente: https://login.microsoftonline.com/common/adminconsent?client_id=85651ebe-9a8e-49e4-aaf2-9274d9b6499f
Citrix Cloud Japón
- Aplicación de recursos: https://login.microsoftonline.com/common/adminconsent?client_id=0027603f-364b-40f2-98be-8ca4bb79bf8b
- Aplicación cliente: https://login.microsoftonline.com/common/adminconsent?client_id=0fa97bc0-059c-4c10-8c54-845a1fd5a916

A continuación se muestran los permisos de las aplicaciones:

Aplicación de recursos de Citrix

Se crea una aplicación con los siguientes permisos:

Nombre de la API	Valor de la declaración	Permiso	Tipo
Microsoft Graph	User.Read	Iniciar sesión y leer el perfil de usuario	Delegado

Para Citrix Cloud EE. UU., UE y APS, la aplicación se llama Citrix-Workspace-Resource (ID de aplicación 3a510bb1-e334-4298-831e-3eac97f8b26c).

Para Citrix Cloud Japón, la aplicación se llama Citrix-Workspace-Resource-JP (ID de aplicación 0027603f-364b-40f2-98be-8ca4bb79bf8b).

Aplicación cliente de Citrix

Se crea una aplicación con los siguientes permisos:

Nombre de la API	Valor de la declaración	Permiso	Tipo
Citrix-Workspace-Resource Citrix-Workspace-Resource-JP	user_impersonation	SSO de Citrix Entra ID	Delegado
Citrix-Workspace-Resource Citrix-Workspace-Resource-JP	user_impersonation	SSO de Citrix Entra ID	Delegado
Microsoft Graph	User.Read	Iniciar sesión y leer el perfil de usuario	Delegado

Para Citrix Cloud EE. UU., UE y APS, la aplicación se llama Citrix-Workspace (ID de aplicación 85651ebe-9a8e-49e4-aaf2-9274d9b6499f).

Para Citrix Cloud Japón, la aplicación se llama Citrix-Workspace-JP (ID de aplicación 0fa97bc0-059c-4c10-8c54-845a1fd5a916).

Habilitar la configuración de seguridad de Escritorio remoto

Debes habilitar la configuración de seguridad de Escritorio remoto en la aplicación de recursos de Citrix usando uno de estos dos métodos: PowerShell o Graph Explorer. Se incluyen instrucciones para ambos, pero solo necesitas seguir uno.

PowerShell

Importa los módulos de autenticación y aplicación de Microsoft Graph y conéctate a Microsoft Graph con los ámbitos Application.Read.All y Application-RemoteDesktopConfig.ReadWrite.All:

Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications
Import-Module Microsoft.Graph.Beta.Applications
Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
<!--NeedCopy-->

Obtén el ID de objeto para las entidades de servicio asociadas a los registros de aplicaciones:

Citrix Cloud EE. UU., UE, APS

$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '3a510bb1-e334-4298-831e-3eac97f8b26c'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '85651ebe-9a8e-49e4-aaf2-9274d9b6499f'").Id
<!--NeedCopy-->

Citrix Cloud Japón

$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '0027603f-364b-40f2-98be-8ca4bb79bf8b'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '0fa97bc0-059c-4c10-8c54-845a1fd5a916'").Id
<!--NeedCopy-->

Establece la propiedad isRemoteDesktopProtocolEnabled en true:

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId -IsRemoteDesktopProtocolEnabled
}
<!--NeedCopy-->

Confirma que la propiedad isRemoteDesktopProtocolEnabled está establecida en true:

Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId
<!--NeedCopy-->

Graph Explorer

Obtén el ID de objeto (OID) para las entidades de servicio asociadas a los registros de aplicaciones desde el portal de Azure:
1. Ve a Microsoft Entra ID > Aplicaciones empresariales.
2. Quita el filtro Tipo de aplicación si está establecido para que se listen todas las aplicaciones.
3. Busca Citrix-Workspace-Resource / Citrix-Workspace-Resource-JP y anota el ID de objeto asociado para la aplicación de recursos.
4. Busca Citrix-Workspace / Citrix-Workspace-JP y anota el ID de objeto asociado para la aplicación cliente.
En Graph Explorer, inicia sesión con una cuenta del inquilino de Azure de destino que tenga los permisos necesarios.

Establece la siguiente consulta:

Método de solicitud HTTP: PATCH
Versión de la API de Microsoft Graph: v1.0

Consulta:

 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration
 <!--NeedCopy-->

Cuerpo de la solicitud:

 {
     "@odata.type": "#microsoft.graph.remoteDesktopSecurityConfiguration",
     "isRemoteDesktopProtocolEnabled": true
 }
 <!--NeedCopy-->

Selecciona la ficha Modificar permisos y asegúrate de haber dado tu consentimiento para el permiso Application.ReadWrite.All.
Ejecuta la consulta.

Consulta el tipo de recurso remoteDesktopSecurityConfiguration como referencia.

Aprobar la aplicación cliente

Debes agregar explícitamente la aplicación Citrix Client como cliente aprobado en la aplicación Citrix Resource. Esto se puede hacer con PowerShell o Graph Explorer. Se proporcionan instrucciones para ambos métodos, pero solo necesitas seguir uno.

PowerShell

Crea un objeto approvedClientApp:

$acp = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphApprovedClientApp
$acp.Id = $CtxClientSpId
<!--NeedCopy-->

Agrega la aplicación cliente al objeto approvedClientApp:

New-MgBetaServicePrincipalRemoteDesktopSecurityConfigurationApprovedClientApp -ServicePrincipalId $CtxResourceSpId -BodyParameter $acp
<!--NeedCopy-->

El resultado debe ser similar a este:

Id                                    DisplayName
--                                    --
87654321-wxyz-1a2b-3c4d-1029384756af  Citrix-Workspace

Graph Explorer

Establece la siguiente consulta y ejecútala:

Método de solicitud HTTP: POST
Versión de la API de Microsoft Graph: beta

Consulta:

 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/approvedClientApps
 <!--NeedCopy-->

Cuerpo de la solicitud:

 {
     "@odata.type": "#microsoft.graph.approvedClientApp",
     "id": "<clientAppOID>"
 }
 <!--NeedCopy-->

Ocultar el cuadro de diálogo de solicitud de consentimiento del usuario

Por defecto, se les pide a los usuarios que permitan la conexión de Escritorio remoto al conectarse a un host de sesión unido a Microsoft Entra o unido a Microsoft Entra híbrido con el inicio de sesión único de Microsoft Entra habilitado, en cuyo caso deben seleccionar Sí para permitir el inicio de sesión único. Microsoft Entra recordará hasta 15 hosts de sesión únicos durante 30 días antes de volver a solicitarlo.

Puedes ocultar este cuadro de diálogo configurando una lista de dispositivos de destino. Para configurar la lista de dispositivos, debes crear uno o más grupos en Microsoft Entra ID que contengan los hosts de sesión unidos a Microsoft Entra y/o unidos a Microsoft Entra híbrido y luego autorizar los grupos en la aplicación de recursos, hasta un máximo de 10 grupos.

NOTA

Es muy recomendable crear un grupo dinámico para simplificar la gestión de la pertenencia al grupo. Aunque los grupos dinámicos normalmente se actualizan en 5-10 minutos, los inquilinos grandes pueden tardar hasta 24 horas.

Los grupos dinámicos requieren la licencia Microsoft Entra ID P1 o la licencia Intune for Education. Para obtener más información, consulta Reglas de pertenencia dinámica para grupos.

Una vez creados los grupos, puedes autorizarlos a través de PowerShell o Graph Explorer. Se proporcionan instrucciones para ambos métodos, pero solo necesitas seguir uno.

PowerShell

Obtén el ID de objeto (OID) del grupo que contiene los hosts de sesión para los que deseas ocultar la solicitud de conexión de Escritorio remoto.

Crea un objeto targetDeviceGroup:

$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<groupOID>"
<!--NeedCopy-->

Agrega la aplicación cliente al objeto approvedClientApp:

New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -BodyParameter $tdg
<!--NeedCopy-->

El resultado debe ser similar a este:

Id                                    DisplayName
--                                    --
87654321-wxyz-1a2b-3c4d-1029384756af  Entra-SSO-Desktops

Si más tarde necesitas quitar un grupo de dispositivos del objeto targetDeviceGroup, ejecuta el siguiente comando:

Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -TargetDeviceGroupId "<groupOID>"
<!--NeedCopy-->

Graph Explorer

Establece la siguiente consulta y ejecútala:

Método de solicitud HTTP: POST
Versión de la API de Microsoft Graph: v1.0

Consulta:

 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups
 <!--NeedCopy-->

Cuerpo de la solicitud:

 {
     "@odata.type": "#microsoft.graph.targetDeviceGroup",
     "id": "<groupOID>"
 }
 <!--NeedCopy-->

NOTA

Puedes repetir estos pasos para agregar más grupos si es necesario, hasta un máximo de 10 grupos.

Si más adelante necesitas quitar un grupo de dispositivos del objeto targetDeviceGroup, configura lo siguiente y ejecuta la consulta:

Método de solicitud HTTP: DELETE
Versión de la API de Microsoft Graph: v1.0

Consulta:

 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups
 <!--NeedCopy-->

Consulta el tipo de recurso targetDeviceGroup para referencia.

Crear un objeto de servidor Kerberos

Si tus hosts de sesión están unidos a Microsoft Entra híbrido, debes configurar un objeto de servidor Kerberos en el dominio de Active Directory donde residen las cuentas de usuario y equipo. Consulta Crear un objeto de servidor Kerberos para obtener más detalles.

Revisar las directivas de acceso condicional de Microsoft Entra

Si usas o planeas usar las directivas de acceso condicional de Microsoft Entra, revisa la configuración aplicada a la aplicación de recursos de Citrix para asegurarte de que los usuarios tengan la experiencia de inicio de sesión deseada.

Para obtener una guía detallada sobre cómo configurar el acceso condicional al usar el inicio de sesión único de Microsoft Entra para DaaS, consulta la documentación de Microsoft. Recuerda que la configuración de acceso condicional requerida debe aplicarse a la aplicación de recursos de Citrix, no a las aplicaciones de Microsoft.

Hosts de sesión de Citrix

Asegúrate de que se cumplan los requisitos del sistema para los hosts de sesión:

Asegúrate de que los hosts de sesión estén unidos a Microsoft Entra o unidos a Microsoft Entra híbrido.
Instala la versión y compilación del sistema operativo requeridas según se especifica en los requisitos del sistema.
Instala la versión de VDA requerida según se especifica en los requisitos del sistema.

Hosts de sesión unidos a Microsoft Entra híbrido

Si estás implementando hosts de sesión unidos a Microsoft Entra híbrido con Citrix Machines Creation Services, Citrix Provisioning o Windows 365, puedes pasar a la siguiente sección. Si estás aprovisionando hosts unidos a Microsoft Entra híbrido usando cualquier otra herramienta o método, debes agregar el siguiente valor de registro a tus hosts de sesión:

Clave: HKLM\SYSTEM\CurrentControlSet\Control\Citrix
Tipo de valor: DWORD
Nombre del valor: AzureADJoinType
Datos: 1

Comportamiento de bloqueo de sesión

Cuando un escritorio virtual está bloqueado, el comportamiento predeterminado es mostrar la pantalla de bloqueo de Windows. En este punto, los métodos de autenticación admitidos para desbloquear el escritorio son nombre de usuario y contraseña o tarjeta inteligente.

Si tienes una implementación sin contraseña donde los usuarios no conocen sus contraseñas, se recomienda configurar el comportamiento de bloqueo de sesión para desconectar la sesión en lugar de mostrar la pantalla de bloqueo.

Hosts de sesión multisesión

Puedes configurar este comportamiento habilitando la configuración Desconectar sesión remota al bloquear para la autenticación de la plataforma de identidad de Microsoft a través de Intune o la Política de grupo. Para obtener pasos detallados, consulta Configurar el comportamiento de bloqueo de sesión para Azure Virtual Desktop.

Hosts de sesión de una sola sesión

La configuración Desconectar sesión remota al bloquear para la autenticación de la plataforma de identidad de Microsoft no es compatible actualmente. Sin embargo, puedes lograr el mismo comportamiento creando una tarea programada de Windows.

El siguiente script de ejemplo crea una tarea programada en hosts de una sola sesión que ejecuta cmd.exe /c tsdiscon cuando el escritorio está bloqueado:

 # Create the TaskService COM object
 $service = New-Object -ComObject "Schedule.Service"
 $service.Connect()

 # Get the root folder and create a new task definition
 $rootFolder = $service.GetFolder("\")
 $taskDef = $service.NewTask(0)

 # Registration info
 $taskDef.RegistrationInfo.Description = "Disconnect session when workstation is locked"

 # Principal (Users group, least privilege)
 $principal = $taskDef.Principal
 $principal.GroupId = "S-1-5-32-545"
 $principal.RunLevel = 0  # 0 = LeastPrivilege

 # Settings
 $settings = $taskDef.Settings
 $settings.Enabled = $true
 $settings.AllowDemandStart = $true
 $settings.DisallowStartIfOnBatteries = $false
 $settings.StopIfGoingOnBatteries = $false
 $settings.AllowHardTerminate = $false
 $settings.StartWhenAvailable = $false
 $settings.RunOnlyIfNetworkAvailable = $false
 $settings.IdleSettings.StopOnIdleEnd = $true
 $settings.IdleSettings.RestartOnIdle = $false
 $settings.Hidden = $false
 $settings.RunOnlyIfIdle = $false
 $settings.DisallowStartOnRemoteAppSession = $false
 $settings.UseUnifiedSchedulingEngine = $true
 $settings.WakeToRun = $false
 $settings.ExecutionTimeLimit = "PT0S"   # Unlimited
 $settings.Priority = 7
 $settings.MultipleInstances = 1         # IgnoreNew

 # Trigger: SessionLock
 $trigger = $taskDef.Triggers.Create(11)  # 11 = TASK_TRIGGER_SESSION_STATE_CHANGE
 $trigger.StateChange = 7                 # 7 = SessionLock
 $trigger.Enabled = $true

 # Action: tsdiscon
 $action = $taskDef.Actions.Create(0)     # 0 = Exec
 $action.Path = "cmd.exe"
 $action.Arguments = "/c tsdiscon"

 # Register the task
 $rootFolder.RegisterTaskDefinition(
     "Disconnect on Lock",  # Task name
     $taskDef,
     6,                     # TASK_CREATE_OR_UPDATE
     $null, $null,          # No specific user/password
     3                      # TASK_LOGON_GROUP
 ) | Out-Null
 <!--NeedCopy-->

Si más adelante necesitas quitar la tarea programada, puedes ejecutar el siguiente comando:

 Unregister-ScheduledTask -TaskName "Disconnect on Lock" -Confirm:$false
 <!--NeedCopy-->

Plano de control y acceso de Citrix

Autenticación de Workspace

Debes configurar Citrix Workspace para usar Microsoft Entra ID o SAML como IdP. Consulta la documentación de Citrix Workspace para obtener más detalles si es necesario.

NOTA

Si planeas usar SAML como tu IdP, debes asegurarte de que tu proveedor de SAML esté configurado correctamente para admitir la autenticación basada en Entra. Consulta SAML con Microsoft Entra ID e identidades de Microsoft Entra para la autenticación de Workspace.

Administrar el acceso a Workspace

Si tus usuarios van a acceder a Citrix Workspace a través de un navegador web, no se requiere ninguna configuración adicional. Si quieres forzar el acceso nativo, puedes configurar Citrix Workspace para Requerir que los usuarios finales accedan a su tienda desde la aplicación cliente de Citrix en la configuración de acceso de la tienda.

Habilitar el inicio de sesión único de Microsoft Entra en Workspace

Una vez configurada la autenticación de Citrix Workspace, debes habilitar el uso del inicio de sesión único de Microsoft Entra:

Crea un principal de servicio en Citrix Cloud:
1. Ve a Identity and access management > API access > Service principals.
2. Haz clic en Create service principal.
3. Introduce un nombre para el principal de servicio y haz clic en Next.
4. Configura el acceso para el principal de servicio:
  1. Selecciona Full access, o
  2. Selecciona Custom access > General > Workspace Configuration, luego haz clic en Next.
5. Configura el tiempo de caducidad del secreto y haz clic en Next.
6. Haz clic en Complete.
7. Guarda tanto el secreto como el ID.
Descarga y extrae el módulo de PowerShell de Citrix Workspace en tu estación de trabajo, o en cualquier máquina que puedas usar para fines administrativos.
Abre PowerShell en la máquina en la que descargaste el módulo de PowerShell de Citrix Workspace.
Ejecuta los siguientes comandos:

    Import-Module -Name “<extractedPath>\Citrix.Workspace.StoreConfigs.psm1”
    Set-StoreConfigurations -StoreUrl "https://<yourPrimaryStore>.cloud.com" -ClientId "<clientId>" -ClientSecret "<clientSecret>" -AzureAdSsoEnabled $True
    <!--NeedCopy-->

Ejecuta el siguiente comando para verificar que la configuración se realizó correctamente:

Get-StoreConfigurations -StoreUrl "https://<yourPrimaryStore>.cloud.com" -ClientId "<clientId>" -ClientSecret "<clientSecret>"
<!--NeedCopy-->

Configuración del grupo de entrega

Si tus hosts de sesión están unidos a Microsoft Entra híbrido, asigna las aplicaciones virtuales y/o los escritorios a los usuarios o grupos de Microsoft Entra adecuados. Las asignaciones existentes a usuarios o grupos de Active Directory se pueden quitar, pero no es obligatorio.
Si estás aprovisionando tus hosts de sesión unidos a Microsoft Entra o unidos a Microsoft Entra híbrido con algo que no sea Citrix Machine Creation Services, Citrix Provisioning o Windows 365, deberás configurar el tipo de inicio de sesión para los grupos de entrega:
1. Si aún no tienes instalado el SDK de PowerShell remoto de Citrix, descárgalo e instálalo en tu estación de trabajo o en cualquier equipo que puedas usar con fines administrativos.
2. Abre un símbolo del sistema de PowerShell en el equipo en el que instalaste el SDK de PowerShell remoto de Citrix.
3. Ejecuta los siguientes comandos:
  
  Unido a Microsoft Entra
```
asnp citrix*
Get-XDAuthentication
Get-BrokerDesktopGroup -Name <dgName> | Set-BrokerDesktopGroup -MachineLogOnType "AzureAd"

```
  Unido a Microsoft Entra híbrido
```
asnp citrix*
Get-XDAuthentication
Get-BrokerDesktopGroup -Name <dgName> | Set-BrokerDesktopGroup -MachineLogOnType "HybridAzureAd"

```

Dispositivo cliente

Asegúrate de que se cumplen los requisitos del sistema para los dispositivos cliente:

Instala la versión requerida de la aplicación Citrix Workspace, tal como se especifica en los requisitos del sistema.
Si tus usuarios van a usar acceso híbrido, asegúrate de que la extensión web de Citrix esté instalada. Si tus usuarios van a usar acceso nativo o de navegador, la extensión web de Citrix no es necesaria.

Solución de problemas

Problemas conocidos

Después de habilitar el inicio de sesión único de Microsoft Entra, los usuarios pueden encontrar el error de Microsoft AADSTS293005 al iniciar su escritorio virtual, lo que indica RDP protocol is not enabled for the requested resource application. Please configure the RemoteDesktopSecurityConfiguration property on resource service principal to enable RDP protocol. Para resolver este problema, reinicia la aplicación Citrix Workspace.
Los usuarios pueden experimentar un retraso de 30 segundos al iniciar sesiones si su aplicación Citrix Workspace no es compatible con el inicio de sesión único de Microsoft Entra o si usan acceso híbrido sin la extensión web de Citrix.
Los usuarios pueden experimentar un retraso de 30 segundos al iniciar sesiones si el inicio de sesión único de Microsoft Entra está habilitado en Citrix Workspace y la configuración de Azure requerida no se ha completado.

Cuando falla el inicio de sesión único

Si el inicio de sesión único falla al acceder a escritorios o aplicaciones virtuales, procede de la siguiente manera:

Confirma que el inicio de sesión único de Microsoft Entra está habilitado en Citrix Workspace.
Confirma que el método de acceso que usa el usuario es compatible.
Si el usuario está usando acceso híbrido, confirma que la extensión web de Citrix está instalada.
Confirma que el dispositivo cliente está ejecutando la versión requerida de la aplicación Citrix Workspace.
Confirma que tus hosts de sesión están ejecutando la compilación de Windows requerida.
Confirma que tus hosts de sesión están ejecutando la versión de VDA requerida.
Asegúrate de que la configuración de Windows Always prompt for password upon connection no esté habilitada en los hosts de sesión. Esta configuración está deshabilitada de forma predeterminada y se puede configurar a través de la Política de grupo o Intune en Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security. Puedes verificar en el registro si la configuración está habilitada buscando el valor fPromptForPassword en HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Si el valor se establece en 1, la configuración está habilitada y el inicio de sesión único no estará disponible. Si el valor falta o se establece en 0, la configuración está deshabilitada.
Confirma que la configuración AzureADJoinType está configurada correctamente en los hosts de sesión:
- Clave: HKLM\SYSTEM\CurrentControlSet\Control\Citrix
- Tipo de valor: DWORD
- Nombre del valor: AzureADJoinType
- Datos del valor: 1 (Unido a Microsoft Entra híbrido); 2 (Unido a Microsoft Entra)
Asegúrate de que los escritorios o aplicaciones virtuales estén asignados a identidades de Microsoft Entra en lugar de identidades de Active Directory en Citrix Studio.
Confirma que el tipo de inicio de sesión de los grupos de entrega está configurado correctamente ejecutando el siguiente comando de PowerShell:
```
Get-BrokerDesktopGroup -Name <deliveryGroupName>

```
Para los hosts de sesión unidos a Microsoft Entra, MachineLogOnType debe establecerse en AzureAd. Para los hosts de sesión unidos a Microsoft Entra híbrido, MachineLogOnType debe establecerse en HybridAzureAd.
Si estás usando un IdP de SAML, confirma que se implementó la configuración necesaria.
Confirma que las aplicaciones de cliente y de recursos de Citrix están registradas en el inquilino de Microsoft Entra.
Confirma que la configuración de seguridad de Escritorio remoto está habilitada en la aplicación de recursos de Citrix.
Confirma que la aplicación cliente de Citrix se agregó como una aplicación cliente aprobada en la aplicación de recursos de Citrix.
Si tus hosts de sesión están unidos a Microsoft Entra híbrido, confirma que se creó un objeto de servidor Kerberos en el dominio de Active Directory donde residen las cuentas de usuario y equipo.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Inicio de sesión único de Microsoft Entra

March 25, 2026

Contribución de:

March 25, 2026

Contribución de:

En este artículo

Infraestructura compatible
Proveedores de identidades compatibles
Métodos de acceso compatibles
Requisitos del sistema
Consideraciones
Cómo configurar el inicio de sesión único de Microsoft Entra
Solución de problemas

¿Le ha resultado útil?