Citrix DaaS

Unido a Azure Active Directory

Nota:

Esta función se implementará por fases. Es posible que aún no se haya activado para su cuenta.

En este artículo se describe cómo crear catálogos unidos a Azure Active Directory (AD) mediante Citrix DaaS.

Requisitos

  • Plano de control: Citrix DaaS

  • Tipo de VDA: VDA para SO de sesión única o multisesión

  • Versión del VDA: 2203 o una posterior

  • Tipo de aprovisionamiento: Persistente y No persistente de Machine Creation Services (MCS) con el flujo de trabajo de perfil de máquina solamente

  • Tipo de asignación: Dedicada y agrupada

  • Plataforma de alojamiento: Solo Azure

  • Las máquinas virtuales maestras no deben estar unidas a Azure AD

  • Rendezvous V2 se puede habilitar para que no se necesiten Citrix Cloud Connectors. Para habilitar Rendezvous, debe agregar un parámetro del Registro. Para obtener más información sobre cómo agregarlo, consulte Instalación y configuración de VDA.

Limitaciones

  • Compatibilidad solamente con entornos en la nube de Microsoft Azure Resource Manager

  • No se admite Single Sign-On para escritorios virtuales. Los usuarios deben introducir manualmente las credenciales al iniciar sesión en sus escritorios.

  • La primera vez que se inicia una sesión de escritorio virtual, la pantalla de inicio de sesión de Windows muestra el mensaje de inicio de sesión del último usuario que inició sesión sin la opción de cambiar a otro usuario. El usuario debe esperar a que se agote el tiempo de espera del inicio de sesión y aparezca la pantalla de bloqueo del escritorio, y, a continuación, hacer clic en la pantalla de bloqueo para mostrar de nuevo la pantalla de inicio de sesión. En ese momento, el usuario puede seleccionar Otros usuarios e introducir sus credenciales.

  • No se permite iniciar sesión con Windows Hello en escritorios virtuales. Si los usuarios intentan usar un PIN de Windows Hello para iniciar sesión, reciben un mensaje de error que indica que no son el usuario intermediario, y la sesión se desconecta.

  • No se admite la continuidad del servicio.

Consideraciones

  • Las máquinas virtuales maestras no deben estar unidas a Azure AD.

  • No se admite Windows Hello. Por lo tanto, inhabilite Windows Hello en las máquinas virtuales maestras. Para ello, tiene dos métodos:

    • Usar la directiva de grupo local en las máquinas virtuales maestras.

      • Ejecute gpedit.msc.
      • Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Hello empresarial.
      • Inhabilite o habilite la opción Usar Windows Hello empresarial:
      • Seleccione No iniciar el aprovisionamiento de Windows Hello después de iniciar sesión.
    • Con Microsoft Intune (solo para máquinas persistentes).

      • Cree un perfil de dispositivo que inhabilite Windows Hello empresarial. Consulte la documentación de Microsoft para obtener información detallada.

Crear catálogos unidos a Azure AD

Puede crear catálogos unidos a Azure AD mediante la interfaz de Configuración completa o PowerShell.

Usar la interfaz de Configuración completa

La información siguiente complementa a las instrucciones del artículo Crear catálogos de máquinas. Para crear catálogos unidos a Azure AD, siga las instrucciones generales de ese artículo y tenga en cuenta los detalles específicos sobre los catálogos unidos a Azure AD.

En el asistente para la creación de catálogos:

  • En la página Identidades de las máquinas, seleccione Unido a Azure Active Directory. Las máquinas creadas son propiedad de una organización, en las que se ha iniciado sesión con una cuenta de Azure AD que pertenece a esa organización. Solo existen en la nube.

Nota:

  • El tipo de identidad Unido a Azure Active Directory requiere la versión 1811 del VDA o una posterior como nivel funcional mínimo para el catálogo. Para que esté disponible, actualice el nivel funcional mínimo si es necesario.
  • Las máquinas se unen al Azure AD al que está vinculada la conexión de host.

Mediante PowerShell

He aquí los pasos de PowerShell equivalentes a las operaciones de Configuración completa. Para obtener información sobre cómo crear un catálogo con el SDK de PowerShell remoto, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

La diferencia entre los catálogos unidos a AD local y los unidos a Azure AD radica en la creación del grupo de identidades y el esquema de aprovisionamiento.

Para crear un grupo de identidades para los catálogos unidos a Azure AD:

New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Para crear un esquema de aprovisionamiento para los catálogos unidos a Azure AD, se requiere el parámetro MachineProfile en New-ProvScheme:

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Todos los demás comandos que se utilizan para crear catálogos unidos a Azure AD son los mismos que se usan para los catálogos tradicionales unidos a AD local.

Ver el estado del proceso de unión a Azure AD

En la interfaz de Configuración completa, el estado del proceso de unión a Azure AD es visible cuando las máquinas unidas a Azure AD de un grupo de entrega están encendidas. Para ver el estado, utilice Buscar para identificar esas máquinas y, a continuación, para cada una de ellas, compruebe la identidad de la máquina en la ficha Detalles del panel inferior. Esta información puede aparecer en Identidad de la máquina:

  • Unido a Azure AD
  • Aún no se ha unido a Azure AD

Nota:

Si las máquinas no se hallan unidas a Azure AD, no se registran en el Delivery Controller. Su estado de registro aparece como Inicialización.

Además, mediante la interfaz de Configuración completa, puede averiguar por qué las máquinas no están disponibles. Para ello, haga clic en una máquina del nodo Buscar, marque Registro en la ficha Detalles del panel inferior y, a continuación, lea el texto de ayuda para obtener información adicional.

Habilitar el inicio de sesión de usuarios con cuentas de Azure AD

Las máquinas o los grupos de entrega deben asignarse a cuentas de Azure AD específicas. Esto se puede hacer mediante la interfaz de Configuración completa (con el campo Seleccione el tipo de identidad al asignar usuarios) o la página Biblioteca de Citrix Cloud.

Para permitir que los usuarios inicien sesión en las máquinas con sus credenciales de Azure AD, agregue la asignación de roles al nivel del grupo de recursos:

  1. Inicie sesión en Azure Portal.

  2. Seleccione Grupos de recursos.

  3. Haga clic en el grupo de recursos donde residen las cargas de trabajo de los escritorios virtuales.

  4. Seleccione Control de acceso (IAM).

  5. Haga clic en Agregar asignación de funciones.

  6. Busque Inicio de sesión de usuario para máquinas virtuales, selecciónelo en la lista y haga clic en Siguiente.

  7. Seleccione Usuario, grupo o entidad de servicio.

  8. Haga clic en Seleccionar miembros y seleccione los usuarios y grupos a los que quiere otorgar acceso a los escritorios virtuales.

  9. Haga clic en Seleccionar.

  10. Haga clic en Revisar + asignar.

  11. Haga clic en Revisar + asignar de nuevo.

Nota:

Si decide dejar que MCS cree el grupo de recursos para los escritorios virtuales, agregue esta asignación de roles después de crear el catálogo de máquinas.

Microsoft Intune

Nota:

Esta función solo se aplica a máquinas persistentes unidas a Azure AD. Las máquinas deben cumplir con los requisitos mínimos del sistema. Para obtener más información, consulte la documentación de Microsoft: https://docs.microsoft.com/en-us/mem/intune/fundamentals/supported-devices-browsers#microsoft.

Puede usar Citrix DaaS para habilitar la inscripción en Microsoft Intune. Microsoft Intune es un servicio basado en la nube que se centra en la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM). Usted controla cómo se utilizan los dispositivos de su organización, incluidos los teléfonos móviles, las tabletas y los equipos portátiles. Para obtener más información, consulte Microsoft Intune.

Microsoft Intune opera con la funcionalidad de Azure AD.

Importante:

Antes de habilitar esta función, compruebe que su entorno de Azure cumpla con los requisitos de licencias para usar Microsoft Intune. Para obtener más información, consulte la documentación de Microsoft: https://docs.microsoft.com/en-us/mem/intune/fundamentals/licenses. No habilite la función si no tiene la licencia de Intune adecuada.

Habilitar Microsoft Intune

Puede habilitar Microsoft Intune mediante la interfaz de Configuración completa o PowerShell.

Usar la interfaz de Configuración completa

La información siguiente complementa a las instrucciones del artículo Crear catálogos de máquinas. Esta función requiere la selección de Unido a Azure Active Directory en Identidades de las máquinas durante la creación del catálogo. Siga las instrucciones generales de ese artículo y tenga en cuenta los detalles específicos de esta función.

En el asistente para la creación de catálogos:

  • En la página Identidades de las máquinas, seleccione Unido a Azure Active Directory y, a continuación, Inscribir las máquinas en Microsoft Intune. Si está habilitada, inscriba las máquinas en Microsoft Intune para su administración.

Mediante PowerShell

He aquí los pasos de PowerShell equivalentes a las operaciones de Configuración completa.

Para inscribir máquinas en Microsoft Intune mediante el SDK de PowerShell remoto, utilice el parámetro DeviceManagementType en New-AcctIdentityPool. Esta función requiere que el catálogo esté unido a Azure AD y que Azure AD posea la licencia correcta de Microsoft Intune. Por ejemplo:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Sugerencia:

Esta función se implementa mediante la plantilla de Azure Resource Manager. En la plantilla, especifique el ID de aplicación de Microsoft Intune en la extensión AADLoginForWindows para permitir que las máquinas virtuales unidas a Azure AD se inscriban.

Unido a Azure Active Directory