Documentación de productos
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Ver PDF

Paso a través de dominio mejorado para inicio de sesión único

April 16, 2026
Contribución de: 
C C

El paso a través de dominio mejorado para inicio de sesión único utiliza Kerberos para habilitar el inicio de sesión único en la aplicación Citrix Workspace y en las sesiones de aplicaciones y escritorios virtuales al usar dispositivos cliente unidos a Active Directory (AD) y Citrix StoreFront.

Nota:

  • Esta función no es compatible con sistemas operativos de 32 bits.

  • Esta función reemplaza la función de autenticación de paso a través heredada basada en el servicio de inicio de sesión único de Citrix (ssonsvr.exe).

  • No puedes usar la autenticación de paso a través de dominio heredada (SSON) y el paso a través de dominio mejorado para la autenticación en el mismo host de sesión.

  • La autenticación de paso a través de dominio heredada (SSON) requiere habilitar la directiva Enable MPR notifications for the System en la plantilla de objeto de directiva de grupo. Sin embargo, el paso a través de dominio mejorado permite la autenticación de paso a través sin necesidad de habilitar esta directiva.

  • Para la autenticación entre dominios, se requiere una relación de confianza transitiva bidireccional para poder obtener tickets de servicio entre los límites del dominio. De lo contrario, la delegación de Kerberos no funcionará.

A partir de la versión 2503 de la aplicación Citrix Workspace™ para Windows, el sistema instala SSON de forma predeterminada en modo inactivo. Puedes habilitar SSON después de la instalación mediante la directiva de objeto de directiva de grupo (GPO). Para habilitarlo, ve a Autenticación de usuario > Nombre de usuario y contraseña locales y selecciona la casilla de verificación Habilitar autenticación de paso a través.

  • Nota:

    • Debes reiniciar el sistema después de actualizar la directiva GPO para que la configuración de SSON surta efecto.

Requisitos del sistema

-  Plano de control
-  Citrix DaaS™
-  Citrix Virtual Apps and Desktops™ 2311 o posterior

-  Virtual Delivery Agent
-  Windows: versión 2308 o posterior

-  > **Nota:**
-  >
-  > Si los hosts de sesión o los dispositivos cliente ejecutan **Windows 11**, se requiere la versión VDA **2407** o posterior, o la **2402 LTSR CU2** o posterior. Puedes descargar la versión VDA desde la página de [descargas](https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/) de Citrix.

-  Aplicación Citrix Workspace: versión 2309 o posterior

-  > **Nota:**
-  >
> Si los hosts de sesión o los dispositivos cliente ejecutan **Windows 11**, se requiere la versión de la aplicación Workspace **2405.10** o posterior, o la **2402 LTSR CU2** o posterior.

-  Dispositivo cliente
-  Unido a un dominio de Active Directory
-  Windows 10 de 64 bits
-  Windows 11 de 64 bits

Nota:

  • El dispositivo cliente debe tener conectividad directa con los controladores de dominio. Si el dispositivo está fuera de la red, el inicio de sesión único no es compatible.
  • Hosts de sesión multisesión:

    • Windows Server 2016

      Nota:

  •  > Windows Server 2016 no es compatible con la versión VDA 2407 y posteriores.
    • Windows Server 2019
    • Windows Server 2022
    • Windows 10 Enterprise multisesión 22H2
    • Windows 11 Enterprise multisesión 22H2 o posterior
  • Hosts de sesión de sesión única:
    • Windows 10 versión 22H2
    • Windows 11 versión 22H2 o posterior

Nota:

El paso a través de dominio mejorado para inicio de sesión único se basa en Remote Credential Guard. Asegúrate de revisar los requisitos de Remote Credential Guard y los escenarios de autenticación compatibles en la documentación de Microsoft.

Problemas conocidos

  • [Terceros] Cuando Windows Defender Credential Guard está habilitado en el dispositivo cliente, el inicio de sesión único en la sesión fallará y aparecerá un mensaje de seguridad de Windows que indica Your credentials did not work. Windows Defender Credential Guard does not allow using Windows logon credentials. Please enter your credentials. Como solución alternativa, puedes deshabilitar Windows Defender Credential Guard. A continuación, se presentan dos opciones para deshabilitar la función:

    1. Mediante la directiva de grupo, configura la opción Activar la seguridad basada en virtualización en Configuración del equipo > Plantillas administrativas > Sistema > Device Guard.

    2. En el registro, en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, establece el valor LsaCfgFlags en 0.

    NOTA: Esta es una limitación de Windows que también afecta el uso de Remote Credential Guard a través de RDP. Si necesitas usar el paso a través de dominio mejorado para SSO con Windows Defender Credential Guard, te recomendamos enviar una solicitud a Microsoft para que admita este escenario.

Configuración de StoreFront™

Debes habilitar la autenticación de paso a través de dominio para el almacén y su sitio web correspondiente.

Realiza los siguientes pasos para habilitar el paso a través de dominio para el almacén:

  1. Abre la consola de administración de StoreFront.

  2. Ve a Almacén > Administrar métodos de autenticación. Aparece la ventana Administrar métodos de autenticación - Web.

  3. Selecciona la casilla de verificación Paso a través de dominio.

    Manage Authentication methods

  4. Haz clic en Aceptar.

Realiza los siguientes pasos para habilitar el paso a través de dominio para el sitio web:

    1. Abre la consola de administración de StoreFront.
  1. Abre Almacenes > ficha Receiver para sitios web > Administrar sitios de Receiver para Web > Configurar > Métodos de autenticación. Aparece la ventana Modificar sitio de Receiver para Web - /Citrix/Web.

  2. Selecciona la casilla de verificación Paso a través de dominio.

    Edit Receiver for Web site

  3. Haz clic en Aceptar.

Configuración de la directiva de Citrix

Debes habilitar la configuración mediante la directiva de Citrix:

  1. Ve a Citrix Studio o a la consola web.
  2. Haz clic en Directivas > Crear directiva. Aparece el cuadro de diálogo Crear directiva.
  3. Busca la directiva Paso a través de dominio mejorado para inicio de sesión único. Aparece el cuadro de diálogo Modificar configuración.

  4. Selecciona la opción Permitido para habilitar la directiva Paso a través de dominio mejorado para inicio de sesión único. Edit Receiver for Web site

  5. Haz clic en Aceptar.

Configuración del host de sesión

Después de habilitar la función Paso a través de dominio mejorado para inicio de sesión único mediante la directiva de Citrix, también debes habilitar una configuración de Windows en los hosts de sesión. Puedes habilitar la configuración de Windows a través de la directiva local o GPO:

  1. Ve a Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation.

  2. Habilita la configuración El host remoto permite la delegación de credenciales no exportables.

    Remote host allows delegation of non-exportable credentials

  3. Reinicia el host de sesión para que la configuración surta efecto.

Nota:

La configuración El host remoto permite la delegación de credenciales no exportables no está disponible en la directiva local de Windows Server 2016. Si necesitas configurar esta opción localmente en el host de sesión en lugar de usar GPO, debes agregar el siguiente valor de registro:

Clave: HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  • Tipo de valor: DWORD
  • Nombre del valor: DisableRestrictedAdmin
  • Datos del valor: 0

Configuración del dispositivo cliente

Debes hacer lo siguiente en el dispositivo cliente:

  • Habilitar el paso a través de dominio mejorado para inicio de sesión único
  • Confiar en el sitio de StoreFront

Habilitar el paso a través de dominio mejorado para inicio de sesión único

Debes habilitar la función Paso a través de dominio mejorado para inicio de sesión único en el dispositivo cliente. Puedes hacerlo a través de la directiva local o GPO.

  1. Ve a Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication.

  2. Habilita la configuración Paso a través de dominio mejorado para inicio de sesión único.

    Selected enhanced domain

  3. Reinicia la aplicación Citrix Workspace para que la configuración surta efecto.

Confiar en el sitio de StoreFront

Debes asegurarte de que la URL de tu StoreFront sea de confianza para los dispositivos cliente. Si la URL no forma parte de un dominio ya de confianza, debes agregarla como un sitio de intranet local o un sitio de confianza. Puedes hacerlo a través de una política local o GPO.

  1. Ve a la página Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security.

  2. Habilita la configuración Lista de asignación de sitios a zonas y agrega las URL adecuadas y la asignación de zona correspondiente.

    Sitio a zona

  3. Habilita la configuración Opciones de inicio de sesión y configúrala en Inicio de sesión automático con el nombre de usuario y la contraseña actuales.

    Opciones de inicio de sesión

    Opciones de inicio de sesión habilitadas

Paso a través de dominio mejorado para inicio de sesión único
April 16, 2026
Contribución de: 
C C
April 16, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.