Documentación de productos
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Ver PDF

Paso a través de dominio mejorado para inicio de sesión único

April 16, 2026
Contribución de: 
C

El paso a través de dominio mejorado para inicio de sesión único utiliza Kerberos para habilitar el inicio de sesión único en la aplicación Citrix Workspace y en las sesiones de aplicaciones virtuales y escritorios cuando se utilizan dispositivos cliente unidos a Active Directory (AD) y Citrix StoreFront.

Nota:

  • Esta función no es compatible con sistemas operativos de 32 bits.

  • Esta función reemplaza la función de autenticación de paso a través heredada basada en el servicio de inicio de sesión único de Citrix (ssonsvr.exe).

  • No puedes usar la autenticación de paso a través de dominio heredada (SSON) y el paso a través de dominio mejorado para la autenticación en el mismo host de sesión.

  • La autenticación de paso a través de dominio heredada (SSON) requiere habilitar la política Habilitar notificaciones MPR para el sistema en la plantilla de objeto de política de grupo. Sin embargo, el paso a través de dominio mejorado permite la autenticación de paso a través sin necesidad de habilitar esta política.

  • Para la autenticación entre dominios, se requiere una confianza transitiva bidireccional para poder obtener tickets de servicio a través de los límites del dominio. De lo contrario, la delegación de Kerberos no funcionará.

A partir de la versión 2503 de la aplicación Citrix Workspace™ para Windows, el sistema instala SSON de forma predeterminada en modo inactivo. Puedes habilitar SSON después de la instalación mediante la política de objeto de política de grupo (GPO). Para habilitarlo, ve a Autenticación de usuario > Nombre de usuario y contraseña locales y selecciona la casilla de verificación Habilitar autenticación de paso a través.

  • Nota:

    • Debes reiniciar el sistema después de actualizar la política de GPO para que la configuración de SSON surta efecto.

Requisitos del sistema

-  Plano de control
-  Citrix DaaS™
-  Citrix Virtual Apps and Desktops™ 2311 o posterior

-  Virtual Delivery Agent
-  Windows: versión 2308 o posterior

-  > **Nota:**
-  >
-  > Si los hosts de sesión o los dispositivos cliente ejecutan **Windows 11**, se requiere la versión **2407** o posterior de VDA, o la **2402 LTSR CU2** o posterior. Puedes descargar la versión de VDA desde la página de [descargas](https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/) de Citrix.

-  Aplicación Citrix Workspace: versión 2309 o posterior

-  > **Nota:**
-  >
> Si los hosts de sesión o los dispositivos cliente ejecutan **Windows 11**, se requiere la versión **2405.10** o posterior de la aplicación Workspace, o la **2402 LTSR CU2** o posterior.

-  Dispositivo cliente
-  Unido a un dominio de Active Directory
-  Windows 10 de 64 bits
-  Windows 11 de 64 bits

Nota:

  • El dispositivo cliente debe tener conectividad directa con los controladores de dominio. Si el dispositivo está fuera de la red, el inicio de sesión único no es compatible.
  • Hosts de sesión multisecuencia:

    • Windows Server 2016

      Nota:

  •  > Windows Server 2016 no es compatible con la versión 2407 de VDA y posteriores.
    • Windows Server 2019
    • Windows Server 2022
    • Windows 10 Enterprise multisecuencia 22H2
    • Windows 11 Enterprise multisecuencia 22H2 o posterior
  • Hosts de sesión de una sola sesión:
    • Windows 10 versión 22H2
    • Windows 11 versión 22H2 o posterior

Nota:

El paso a través de dominio mejorado para el inicio de sesión único se basa en Remote Credential Guard. Asegúrate de revisar los requisitos de Remote Credential Guard y los escenarios de autenticación compatibles en la documentación de Microsoft.

Problemas conocidos

  • [Terceros] Cuando Windows Defender Credential Guard está habilitado en el dispositivo cliente, el inicio de sesión único en la sesión fallará y aparecerá un mensaje de seguridad de Windows que indica Tus credenciales no funcionaron. Windows Defender Credential Guard no permite usar las credenciales de inicio de sesión de Windows. Introduce tus credenciales. Como solución alternativa, puedes deshabilitar Windows Defender Credential Guard. A continuación, se presentan dos opciones para deshabilitar la función:

    1. Mediante la Política de grupo, configura la opción Activar la seguridad basada en virtualización en Configuración del equipo > Plantillas administrativas > Sistema > Device Guard.

    2. En el registro, en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, establece el valor LsaCfgFlags en 0.

    NOTA: Esta es una limitación de Windows que también afecta al uso de Remote Credential Guard a través de RDP. Si necesitas usar el paso a través de dominio mejorado para SSO con Windows Defender Credential Guard, te recomendamos enviar una solicitud a Microsoft para que admita este escenario.

Configuración de StoreFront™

Debes habilitar la autenticación de paso a través de dominio para el almacén y su sitio web correspondiente.

Realiza los siguientes pasos para habilitar el paso a través de dominio para el almacén:

  1. Abre la consola de administración de StoreFront.

  2. Ve a Almacén > Administrar métodos de autenticación. Aparecerá la ventana Administrar métodos de autenticación - Web.

  3. Selecciona la casilla de verificación Paso a través de dominio.

    Administrar métodos de autenticación

  4. Haz clic en Aceptar.

Realiza los siguientes pasos para habilitar el paso a través de dominio para el sitio web:

    1. Abre la consola de administración de StoreFront.
  1. Abre Almacenes > ficha Receiver para sitios web > Administrar sitios de Receiver para Web > Configurar > Métodos de autenticación. Aparecerá la ventana Modificar sitio de Receiver para Web - /Citrix/Web.

  2. Selecciona la casilla de verificación Paso a través de dominio.

    Modificar sitio de Receiver para Web

  3. Haz clic en Aceptar.

Configuración de la política de Citrix

Debes habilitar la configuración mediante la política de Citrix:

  1. Ve a Citrix Studio o a la consola web.
  2. Haz clic en Directivas > Crear directiva. Aparecerá el cuadro de diálogo Crear directiva.
  3. Busca la política Paso a través de dominio mejorado para inicio de sesión único. Aparecerá el cuadro de diálogo Modificar configuración.

  4. Selecciona la opción Permitido para habilitar la política Paso a través de dominio mejorado para inicio de sesión único. Modificar sitio de Receiver para Web

  5. Haz clic en Aceptar.

Configuración del host de sesión

Después de habilitar la función Paso a través de dominio mejorado para inicio de sesión único mediante la política de Citrix, también debes habilitar una configuración de Windows en los hosts de sesión. Puedes habilitar la configuración de Windows a través de la política local o GPO:

  1. Ve a Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation.

  2. Habilita la configuración El host remoto permite la delegación de credenciales no exportables.

    El host remoto permite la delegación de credenciales no exportables

  3. Reinicia el host de sesión para que la configuración surta efecto.

Nota:

La configuración El host remoto permite la delegación de credenciales no exportables no está disponible en la política local de Windows Server 2016. Si necesitas configurar esta opción localmente en el host de sesión en lugar de usar GPO, debes agregar el siguiente valor de registro:

Clave: HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  • Tipo de valor: DWORD
  • Nombre del valor: DisableRestrictedAdmin
  • Datos del valor: 0

Configuración del dispositivo cliente

Debes hacer lo siguiente en el dispositivo cliente:

  • Habilitar el paso a través de dominio mejorado para inicio de sesión único
  • Confiar en el sitio de StoreFront

Habilitar el paso a través de dominio mejorado para inicio de sesión único

Debes habilitar la función Paso a través de dominio mejorado para inicio de sesión único en el dispositivo cliente. Puedes hacerlo a través de la política local o GPO.

  1. Ve a Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication.

  2. Habilita la configuración Paso a través de dominio mejorado para inicio de sesión único.

    Dominio mejorado seleccionado

  3. Reinicia la aplicación Citrix Workspace para que la configuración surta efecto.

Confiar en el sitio de StoreFront

Debes asegurarte de que la URL de tu StoreFront sea de confianza para los dispositivos cliente. Si la URL no forma parte de un dominio ya de confianza, debes agregarla como un sitio de intranet local o un sitio de confianza. Puedes hacerlo a través de una política local o GPO.

  1. Ve a la página Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security.

  2. Habilita la configuración Lista de asignación de sitios a zonas y agrega las URL adecuadas y la asignación de zona correspondiente.

    Asignación de sitios a zonas

  3. Habilita la configuración Opciones de inicio de sesión y establécela en Inicio de sesión automático con el nombre de usuario y la contraseña actuales.

    Opciones de inicio de sesión

    Opciones de inicio de sesión habilitadas

Paso a través de dominio mejorado para inicio de sesión único
April 16, 2026
Contribución de: 
C
April 16, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.