Documentation produit
Citrix DaaS™
Voir PDF

Authentification unique Microsoft Entra

April 6, 2026
Contributeur: 
C C

Vous pouvez tirer parti de l’authentification unique (SSO) lorsque vous utilisez les informations d’identification Microsoft Entra ID pour accéder aux applications et bureaux virtuels sur les hôtes de session joints à Microsoft Entra ou joints à Microsoft Entra hybride.

Infrastructure prise en charge

Voici un aperçu des composants d’infrastructure pris en charge pour l’authentification unique Microsoft Entra :

Identité de la machine Citrix DaaS CVAD sur site Citrix Workspace Citrix Storefront Service Citrix Gateway NetScaler Gateway
Joint à Microsoft Entra Oui Non Oui Non Oui Oui
Joint à Microsoft Entra hybride Oui Non Oui Non Oui Oui

Fournisseurs d’identité pris en charge

Voici un aperçu des fournisseurs d’identité Workspace pris en charge pour l’authentification unique Microsoft Entra :

Identité de la machine Entra ID Active Directory Active Directory + Jeton Okta SAML NetScaler Gateway Authentification adaptative
Joint à Microsoft Entra Oui Non Non Non Oui Non Non

Méthodes d’accès prises en charge

Voici les méthodes d’accès disponibles dans un environnement Citrix :

  • Accès natif : Vous utilisez le client natif de l’application Citrix Workspace pour accéder à Citrix Workspace ou Citrix Storefront et établir la connexion de session.
  • Accès par navigateur : Vous accédez à Citrix Workspace ou Citrix Storefront via un navigateur et vous vous connectez à la session d’application ou de bureau virtuel à l’aide du client Citrix Workspace app pour HTML5.

    • Accès hybride : Vous accédez à Citrix Workspace ou Citrix Storefront via un navigateur et vous vous connectez à la session d’application ou de bureau virtuel à l’aide du client natif de l’application Workspace.

    • Voici un aperçu des méthodes d’accès prises en charge pour l’authentification unique Microsoft Entra :

  • Méthode d’accès Windows Linux Mac Chrome OS Android iOS
    • | — | — | — | — | — | ———– | ———– |
    • Natif Oui Oui Oui Oui Oui Oui
    • Navigateur Oui Oui Oui Oui Oui Oui
    • Hybride Oui Non Oui Non Non Non

Configuration système requise

-  Voici la configuration système requise pour utiliser l'authentification unique Microsoft Entra :

-  Plan de contrôle : Citrix DaaS
-  Citrix Cloud Commercial (États-Unis, UE et APS)
-  Citrix Cloud Japon
-  Portail utilisateur : Citrix Workspace

  • Virtual Delivery Agent (VDA)

    • Windows : version 2507 ou ultérieure
    • Application Citrix Workspace
    • Windows : version 2507 ou ultérieure
    • Linux : version 2508 ou ultérieure
    • Mac : version 2508 ou ultérieure (version 2511 ou ultérieure requise pour l’accès hybride)
    • HTML5 : version 2511 ou ultérieure
    • Chrome OS : version 2511 ou ultérieure
    • Android : version 2511 ou ultérieure
    • iOS : version 2511 ou ultérieure
  • Extension Web Citrix
  • Système d’exploitation de l’hôte de session :

REMARQUE

L’extension Web Citrix n’est nécessaire que si vos utilisateurs utilisent l’accès hybride sur des appareils Windows ou Mac. Si vos utilisateurs utilisent l’accès natif ou par navigateur, l’extension Web Citrix n’est pas nécessaire.

Considérations

-  Si vos utilisateurs utilisent l'accès hybride, ils doivent utiliser Microsoft Edge ou Google Chrome et installer l'extension Web Citrix. L'authentification unique Microsoft Entra avec accès hybride n'est pas prise en charge avec d'autres navigateurs.
  • La reconnexion automatique du client n’est pas prise en charge lorsque l’authentification unique Microsoft Entra est utilisée pour se connecter à la session. Cette fonctionnalité est automatiquement désactivée lorsque cette méthode de connexion est utilisée. La fiabilité de session est toujours disponible pour la reconnexion automatique en cas de perturbations réseau.
    • Lorsqu’un bureau virtuel est verrouillé, le comportement par défaut est d’afficher l’écran de verrouillage Windows. Selon vos exigences d’authentification, vous devrez peut-être modifier le comportement de verrouillage de session. Consultez Comportement de verrouillage de session pour plus de détails.
    • Si vous utilisez des hôtes de session joints à Microsoft Entra hybride, l’authentification unique ne fonctionne pas par défaut pour les membres de groupes privilégiés tels que les administrateurs de domaine. Pour l’activer, ajoutez le groupe ou l’utilisateur à la liste d’autorisation du contrôleur de domaine en lecture seule (RODC) pour l’accès Kerberos Microsoft Entra. Consultez TGT Kerberos Microsoft Entra et contrôle d’accès Active Directory pour plus de détails.

Comment configurer l’authentification unique Microsoft Entra

Vue d’ensemble

La configuration de l’authentification unique Microsoft Entra comprend les étapes suivantes :

-  1.  Configuration d'Azure et de Microsoft Entra ID
-  1.  [Enregistrer les applications client et de ressources Citrix](#register-citrix-applications).
1.  [Activer la configuration de sécurité du Bureau à distance](#enable-remote-desktop-security-configuration) pour l'application de ressources Citrix.
1.  [Approuver l'application cliente](#approve-the-client-application).
-  1.  [Masquer la boîte de dialogue de consentement de l'utilisateur](#hide-the-user-consent-prompt-dialog).
-  1.  [Créer un objet serveur Kerberos](#create-a-kerberos-server-object) (environnements joints à Microsoft Entra hybride uniquement).
1.  [Examiner les stratégies d'accès conditionnel Microsoft Entra](#review-microsoft-entra-conditional-access-policies).
  1. Configuration Citrix

Les détails de chaque étape de configuration sont fournis dans les sections suivantes.

Configuration d’Azure et de Microsoft Entra ID

Pour tirer parti de l’authentification unique Microsoft Entra, vous devez d’abord autoriser l’authentification Microsoft Entra pour Windows dans votre locataire Microsoft Entra ID, ce qui permet d’émettre les jetons d’authentification requis qui autorisent les utilisateurs à se connecter aux hôtes de session joints à Microsoft Entra et joints à Microsoft Entra hybride. Pour ce faire, vous devez effectuer les opérations suivantes :

  1. Enregistrer les applications Citrix (application de ressources et application cliente) dans votre locataire Microsoft Entra ID.
  2. Activer la configuration de sécurité du Bureau à distance pour l’application de ressources Citrix.
  3. Ajouter l’application cliente Citrix en tant que client approuvé pour l’application de ressources Citrix.
  4. [Facultatif] Masquer la boîte de dialogue de consentement de l’utilisateur.
  5. Créer un objet serveur Kerberos.
  6. Examiner les stratégies d’accès conditionnel Microsoft Entra.

La personne effectuant la configuration Azure doit se voir attribuer l’un des rôles intégrés Microsoft Entra suivants ou un rôle équivalent, au minimum :

Pour terminer la configuration Azure, vous devrez utiliser le SDK Microsoft Graph PowerShell ou l’API Microsoft Graph avec un outil tel que Graph Explorer. Des instructions sont fournies pour effectuer la configuration à l’aide de PowerShell et de Graph Explorer.

Si vous choisissez d’utiliser le SDK Microsoft Graph PowerShell, notez que :

Enregistrer les applications Citrix

Vous devez enregistrer les applications Citrix Resource et Citrix Client dans votre locataire Azure.

Vous pouvez utiliser les URL de consentement suivantes pour enregistrer les applications. Assurez-vous d’enregistrer d’abord l’application de ressource, puis l’application cliente.

  • Citrix Cloud États-Unis, UE, APS
    • Application de ressource : https://login.microsoftonline.com/common/adminconsent?client_id=3a510bb1-e334-4298-831e-3eac97f8b26c
    • Application cliente : https://login.microsoftonline.com/common/adminconsent?client_id=85651ebe-9a8e-49e4-aaf2-9274d9b6499f
  • Citrix Cloud Japon
    • Application de ressource : https://login.microsoftonline.com/common/adminconsent?client_id=0027603f-364b-40f2-98be-8ca4bb79bf8b
    • Application cliente : https://login.microsoftonline.com/common/adminconsent?client_id=0fa97bc0-059c-4c10-8c54-845a1fd5a916

Voici les autorisations des applications :

Application de ressource Citrix

Une application est créée avec les autorisations suivantes :

Nom de l’API Valeur de la revendication Autorisation Type
Microsoft Graph User.Read Se connecter et lire le profil utilisateur Déléguée

Pour Citrix Cloud États-Unis, UE et APS, l’application est appelée Citrix-Workspace-Resource (ID d’application 3a510bb1-e334-4298-831e-3eac97f8b26c).

Pour Citrix Cloud Japon, l’application est appelée Citrix-Workspace-Resource-JP (ID d’application 0027603f-364b-40f2-98be-8ca4bb79bf8b).

Application cliente Citrix

Une application est créée avec les autorisations suivantes :

-  | Nom de l'API | Valeur de la revendication | Autorisation | Type |
-  | -- | -- | -- | -- | | Citrix-Workspace-Resource | user\_impersonation | SSO Citrix Entra ID | Déléguée | | ^^ Citrix-Workspace-Resource-JP | ^^ | ^^ | ^^ | | Microsoft Graph | User.Read | Se connecter et lire le profil utilisateur | Déléguée |

Pour Citrix Cloud États-Unis, UE et APS, l’application est appelée Citrix-Workspace (ID d’application 85651ebe-9a8e-49e4-aaf2-9274d9b6499f).

Pour Citrix Cloud Japon, l’application est appelée Citrix-Workspace-JP (ID d’application 0fa97bc0-059c-4c10-8c54-845a1fd5a916).

Activer la configuration de sécurité du Bureau à distance

Vous devez activer la configuration de sécurité du Bureau à distance dans l’application de ressource Citrix en utilisant l’une des deux méthodes suivantes : PowerShell ou Graph Explorer. Les instructions pour les deux sont incluses, mais vous n’avez besoin d’en suivre qu’une seule.

PowerShell

  1. Importez les modules Microsoft Graph d’authentification et d’application et connectez-vous à Microsoft Graph avec les étendues Application.Read.All et Application-RemoteDesktopConfig.ReadWrite.All :

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications
Import-Module Microsoft.Graph.Beta.Applications
Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
<!--NeedCopy-->

  2. Obtenez l’ID d’objet pour les principaux de service associés aux enregistrements d’application :

    Citrix Cloud États-Unis, UE, APS

    $CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '3a510bb1-e334-4298-831e-3eac97f8b26c'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '85651ebe-9a8e-49e4-aaf2-9274d9b6499f'").Id
<!--NeedCopy-->

  • Citrix Cloud Japon

    ``` $CtxResourceSpId = (Get-MgServicePrincipal -Filter “AppId eq ‘0027603f-364b-40f2-98be-8ca4bb79bf8b’”).Id $CtxClientSpId = (Get-MgServicePrincipal -Filter “AppId eq ‘0fa97bc0-059c-4c10-8c54-845a1fd5a916’”).Id

  • ```

  1. Définissez la propriété isRemoteDesktopProtocolEnabled sur true :

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId -IsRemoteDesktopProtocolEnabled
}
<!--NeedCopy-->

  2. Confirmez que la propriété isRemoteDesktopProtocolEnabled est définie sur true :

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId
<!--NeedCopy-->
Graph Explorer
  1. Obtenez l’ID d’objet (OID) pour les principaux de service associés aux enregistrements d’application à partir du portail Azure :
    1. Accédez à Microsoft Entra ID > Applications d’entreprise.
    2. Supprimez le filtre Application type s’il est défini afin que toutes les applications soient répertoriées.
    3. Recherchez Citrix-Workspace-Resource / Citrix-Workspace-Resource-JP et notez l’ID d’objet associé pour l’application de ressource.
    4. Recherchez Citrix-Workspace / Citrix-Workspace-JP et notez l’ID d’objet associé pour l’application cliente.
  2. Dans Graph Explorer, connectez-vous avec un compte du locataire Azure cible qui dispose des autorisations requises.

  3. Définissez la requête suivante :

    • Méthode de requête HTTP : PATCH
    • Version de l’API Microsoft Graph : v1.0

    • Requête :

       https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration
 <!--NeedCopy-->

    • Corps de la requête :

      ```

    • {
  • “@odata.type”: “#microsoft.graph.remoteDesktopSecurityConfiguration”,

  • “isRemoteDesktopProtocolEnabled”: true } ```

    1. Sélectionnez l’onglet Modifier les autorisations et assurez-vous que vous avez consenti à l’autorisation Application.ReadWrite.All.
  1. Exécutez la requête.

Consultez le type de ressource remoteDesktopSecurityConfiguration pour référence.

Approuver l’application cliente

Vous devez ajouter explicitement l’application Citrix Client en tant que client approuvé dans l’application Citrix Resource. Cela peut être fait avec PowerShell ou Graph Explorer. Les instructions pour les deux méthodes sont fournies, mais vous n’avez besoin d’en suivre qu’une seule.

PowerShell
  1. Créez un objet approvedClientApp :

  • ```

  • $acp = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphApprovedClientApp $acp.Id = $CtxClientSpId

    ```

  1. Ajoutez l’application cliente à l’objet approvedClientApp :

    New-MgBetaServicePrincipalRemoteDesktopSecurityConfigurationApprovedClientApp -ServicePrincipalId $CtxResourceSpId -BodyParameter $acp
<!--NeedCopy-->

    Le résultat doit être similaire à ceci :

    Id                                    DisplayName
--                                    --
87654321-wxyz-1a2b-3c4d-1029384756af  Citrix-Workspace
Graph Explorer

  • Définissez la requête suivante et exécutez-la :

  • Méthode de requête HTTP : POST
  • Version de l’API Microsoft Graph : beta

  • Requête :

  • ``` https://graph.microsoft.com/beta/servicePrincipals//remoteDesktopSecurityConfiguration/approvedClientApps

  • ```

  • Corps de la requête :

     {
     "@odata.type": "#microsoft.graph.approvedClientApp",
     "id": "<clientAppOID>"
 }
 <!--NeedCopy-->

Masquer la boîte de dialogue d’invite de consentement de l’utilisateur

Par défaut, les utilisateurs sont invités à autoriser la connexion Bureau à distance lorsqu’ils se connectent à un hôte de session joint à Microsoft Entra ou joint à Microsoft Entra hybride avec l’authentification unique Microsoft Entra activée, auquel cas ils doivent sélectionner Oui pour autoriser l’authentification unique. Microsoft Entra se souviendra de jusqu’à 15 hôtes de session uniques pendant 30 jours avant de demander à nouveau.

Vous pouvez masquer cette boîte de dialogue en configurant une liste de périphériques cibles. Pour configurer la liste des périphériques, vous devez créer un ou plusieurs groupes dans Microsoft Entra ID qui contiennent les hôtes de session joints à Microsoft Entra et/ou joints à Microsoft Entra hybride, puis autoriser les groupes dans l’application de ressource, jusqu’à un maximum de 10 groupes.

REMARQUE

Il est fortement recommandé de créer un groupe dynamique pour simplifier la gestion des membres du groupe. Bien que les groupes dynamiques se mettent normalement à jour en 5 à 10 minutes, les grands locataires peuvent prendre jusqu’à 24 heures.

Les groupes dynamiques nécessitent la licence Microsoft Entra ID P1 ou la licence Intune pour l’éducation. Pour plus d’informations, consultez Règles d’appartenance dynamique pour les groupes.

Une fois les groupes créés, vous pouvez les autoriser via PowerShell ou Graph Explorer. Les instructions pour les deux méthodes sont fournies, mais vous n’avez besoin d’en suivre qu’une seule.

PowerShell
  1. Obtenez l’ID d’objet (OID) du groupe qui contient les hôtes de session pour lesquels vous souhaitez masquer l’invite de connexion Bureau à distance.

  2. Créez un objet targetDeviceGroup :

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<groupOID>"
<!--NeedCopy-->

  3. Ajoutez l’application cliente à l’objet approvedClientApp :

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -BodyParameter $tdg
<!--NeedCopy-->

    Le résultat doit être similaire à ceci :

    Id                                    DisplayName
--                                    --
87654321-wxyz-1a2b-3c4d-1029384756af  Entra-SSO-Desktops

  4. Si vous devez ultérieurement supprimer un groupe de périphériques de l’objet targetDeviceGroup, exécutez la commande suivante :

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -TargetDeviceGroupId "<groupOID>"
<!--NeedCopy-->
Graph Explorer

Définissez la requête suivante et exécutez-la :

  • Méthode de requête HTTP : POST
  • Version de l’API Microsoft Graph : v1.0

  • Requête :

     https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups
 <!--NeedCopy-->

  • Corps de la requête :

     {
     "@odata.type": "#microsoft.graph.targetDeviceGroup",
     "id": "<groupOID>"
 }
 <!--NeedCopy-->

REMARQUE

Vous pouvez répéter ces étapes pour ajouter d’autres groupes si nécessaire, jusqu’à un maximum de 10 groupes.

Si vous devez ultérieurement supprimer un groupe d’appareils de l’objet targetDeviceGroup, définissez les éléments suivants et exécutez la requête :

  • Méthode de requête HTTP : DELETE
  • Version de l’API Microsoft Graph : v1.0

  • Requête :

     https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups
 <!--NeedCopy-->

Consultez le type de ressource targetDeviceGroup pour référence.

Créer un objet serveur Kerberos

Si vos hôtes de session sont joints à Microsoft Entra hybride, vous devez configurer un objet serveur Kerberos dans le domaine Active Directory où résident les comptes d’utilisateur et d’ordinateur. Pour plus de détails, consultez Créer un objet serveur Kerberos.

Examiner les stratégies d’accès conditionnel Microsoft Entra

Si vous utilisez ou prévoyez d’utiliser des stratégies d’accès conditionnel Microsoft Entra, examinez la configuration appliquée à l’application de ressources Citrix pour vous assurer que les utilisateurs bénéficient de l’expérience de connexion souhaitée.

Pour des conseils détaillés sur la configuration de l’accès conditionnel lors de l’utilisation de l’authentification unique Microsoft Entra pour DaaS, reportez-vous à la documentation Microsoft. N’oubliez pas que les paramètres d’accès conditionnel requis doivent être appliqués à l’application de ressources Citrix, et non aux applications Microsoft.

Hôtes de session Citrix

Assurez-vous que les exigences système pour les hôtes de session sont respectées :

  1. Assurez-vous que les hôtes de session sont soit joints à Microsoft Entra, soit joints à Microsoft Entra hybride.
  2. Installez la version et la build du système d’exploitation requises, comme spécifié dans les exigences système.
  3. Installez la version VDA requise, comme spécifié dans les exigences système.

Hôtes de session joints à Microsoft Entra hybride

  • Si vous déployez des hôtes de session joints à Microsoft Entra hybride avec Citrix Machines Creation Services, Citrix Provisioning ou Windows 365, vous pouvez passer à la section suivante. Si vous provisionnez des hôtes joints à Microsoft Entra hybride à l’aide de tout autre outil ou méthode, vous devez ajouter la valeur de registre suivante à vos hôtes de session :

  • Clé : HKLM\SYSTEM\CurrentControlSet\Control\Citrix
  • Type de valeur : DWORD
  • Nom de la valeur : AzureADJoinType
  • Données : 1

Comportement de verrouillage de session

Lorsqu’un bureau virtuel est verrouillé, le comportement par défaut est d’afficher l’écran de verrouillage Windows. À ce stade, les méthodes d’authentification prises en charge pour déverrouiller le bureau sont le nom d’utilisateur et le mot de passe ou la carte à puce.

Si vous avez un déploiement sans mot de passe où les utilisateurs ne connaissent pas leurs mots de passe, il est recommandé de configurer le comportement de verrouillage de session pour déconnecter la session au lieu d’afficher l’écran de verrouillage.

  • Hôtes de session multi-session

  • Hôtes de session mono-session

    Le paramètre Déconnecter la session à distance lors du verrouillage pour l’authentification de la plateforme d’identité Microsoft n’est pas pris en charge actuellement. Cependant, vous pouvez obtenir le même comportement en créant une tâche planifiée Windows.

    Le script d’exemple suivant crée une tâche planifiée sur les hôtes mono-session qui exécute cmd.exe /c tsdiscon lorsque le bureau est verrouillé :

     # Create the TaskService COM object
 $service = New-Object -ComObject "Schedule.Service"
 $service.Connect()

 # Get the root folder and create a new task definition
 $rootFolder = $service.GetFolder("\")
 $taskDef = $service.NewTask(0)

 # Registration info
 $taskDef.RegistrationInfo.Description = "Disconnect session when workstation is locked"

 # Principal (Users group, least privilege)
 $principal = $taskDef.Principal
 $principal.GroupId = "S-1-5-32-545"
 $principal.RunLevel = 0  # 0 = LeastPrivilege

 # Settings
 $settings = $taskDef.Settings
 $settings.Enabled = $true
 $settings.AllowDemandStart = $true
 $settings.DisallowStartIfOnBatteries = $false
 $settings.StopIfGoingOnBatteries = $false
 $settings.AllowHardTerminate = $false
 $settings.StartWhenAvailable = $false
 $settings.RunOnlyIfNetworkAvailable = $false
 $settings.IdleSettings.StopOnIdleEnd = $true
 $settings.IdleSettings.RestartOnIdle = $false
 $settings.Hidden = $false
 $settings.RunOnlyIfIdle = $false
 $settings.DisallowStartOnRemoteAppSession = $false
 $settings.UseUnifiedSchedulingEngine = $true
 $settings.WakeToRun = $false
 $settings.ExecutionTimeLimit = "PT0S"   # Unlimited
 $settings.Priority = 7
 $settings.MultipleInstances = 1         # IgnoreNew

 # Trigger: SessionLock
 $trigger = $taskDef.Triggers.Create(11)  # 11 = TASK_TRIGGER_SESSION_STATE_CHANGE
 $trigger.StateChange = 7                 # 7 = SessionLock
 $trigger.Enabled = $true

 # Action: tsdiscon
 $action = $taskDef.Actions.Create(0)     # 0 = Exec
 $action.Path = "cmd.exe"
 $action.Arguments = "/c tsdiscon"

 # Register the task
 $rootFolder.RegisterTaskDefinition(
     "Disconnect on Lock",  # Task name
     $taskDef,
     6,                     # TASK_CREATE_OR_UPDATE
     $null, $null,          # No specific user/password
     3                      # TASK_LOGON_GROUP
 ) | Out-Null
 <!--NeedCopy-->

    Si vous devez ultérieurement supprimer la tâche planifiée, vous pouvez exécuter la commande suivante :

     Unregister-ScheduledTask -TaskName "Disconnect on Lock" -Confirm:$false
 <!--NeedCopy-->

Plan de contrôle et d’accès Citrix

Authentification Workspace

Vous devez configurer Citrix Workspace pour utiliser Microsoft Entra ID ou SAML comme IdP. Veuillez vous référer à la documentation Citrix Workspace pour plus de détails si nécessaire.

REMARQUE

Si vous prévoyez d’utiliser SAML comme IdP, vous devez vous assurer que votre fournisseur SAML est correctement configuré pour prendre en charge l’authentification basée sur Entra. Consultez SAML utilisant Microsoft Entra ID et les identités Microsoft Entra pour l’authentification Workspace.

Gestion de l’accès Workspace

Si vos utilisateurs accèdent à Citrix Workspace via un navigateur web, aucune configuration supplémentaire n’est requise. Si vous souhaitez imposer un accès natif, vous pouvez configurer Citrix Workspace pour Exiger que les utilisateurs finaux accèdent à leur magasin depuis l’application client Citrix sous la configuration d’accès du magasin.

Activation de l’authentification unique Microsoft Entra dans Workspace

Une fois l’authentification Citrix Workspace configurée, vous devez activer l’utilisation de l’authentification unique Microsoft Entra :

  1. Créez un principal de service dans Citrix Cloud :
    1. Accédez à Gestion des identités et des accès > Accès API > Principaux de service.
    2. Cliquez sur Créer un principal de service.
    3. Saisissez un nom pour le principal de service et cliquez sur Suivant.
    4. Définissez l’accès pour le principal de service :
      1. Sélectionnez Accès complet, ou
      2. Sélectionnez Accès personnalisé > Général > Configuration Workspace, puis cliquez sur Suivant.
    5. Définissez l’heure d’expiration du secret et cliquez sur Suivant.
    6. Cliquez sur Terminer.
    7. Enregistrez le secret et l’ID.
  2. Téléchargez et extrayez le module PowerShell Citrix Workspace sur votre poste de travail, ou sur toute machine que vous pouvez utiliser à des fins administratives.
  3. Ouvrez PowerShell sur la machine sur laquelle vous avez téléchargé le module PowerShell Citrix Workspace.

  4. Exécutez les commandes suivantes :

    Import-Module -Name “<extractedPath>\Citrix.Workspace.StoreConfigs.psm1”
Set-StoreConfigurations -StoreUrl "https://<yourPrimaryStore>.cloud.com" -ClientId "<clientId>" -ClientSecret "<clientSecret>" -AzureAdSsoEnabled $True
<!--NeedCopy-->

  5. Exécutez la commande suivante pour vérifier que le paramètre a été configuré correctement :

    Get-StoreConfigurations -StoreUrl "https://<yourPrimaryStore>.cloud.com" -ClientId "<clientId>" -ClientSecret "<clientSecret>"
<!--NeedCopy-->

Configuration du groupe de mise à disposition

  1. Si vos hôtes de session sont joints à Microsoft Entra hybride, attribuez les applications virtuelles et/ou les bureaux aux utilisateurs ou groupes Microsoft Entra appropriés. Toutes les attributions existantes aux utilisateurs ou groupes Active Directory peuvent être supprimées, mais ce n’est pas obligatoire.
  2. Si vous provisionnez vos hôtes de session joints à Microsoft Entra ou joints à Microsoft Entra hybride avec autre chose que Citrix Machine Creation Services, Citrix Provisioning ou Windows 365, vous devrez configurer le type d’ouverture de session pour les groupes de mise à disposition :
    1. Si le SDK PowerShell distant Citrix n’est pas déjà installé, téléchargez-le et installez-le sur votre poste de travail, ou sur toute machine que vous pouvez utiliser à des fins administratives.
    2. Ouvrez une invite PowerShell sur la machine sur laquelle vous avez installé le SDK PowerShell distant Citrix.

    3. Exécutez les commandes suivantes :

      Joint à Microsoft Entra

      asnp citrix*
Get-XDAuthentication
Get-BrokerDesktopGroup -Name <dgName> | Set-BrokerDesktopGroup -MachineLogOnType "AzureAd"
<!--NeedCopy-->

      Joint à Microsoft Entra hybride

      asnp citrix*
Get-XDAuthentication
Get-BrokerDesktopGroup -Name <dgName> | Set-BrokerDesktopGroup -MachineLogOnType "HybridAzureAd"
<!--NeedCopy-->

Appareil client

Assurez-vous que les exigences système pour les appareils clients sont respectées :

  1. Installez la version requise de l’application Citrix Workspace comme spécifié dans les exigences système.
  2. Si vos utilisateurs utiliseront l’accès hybride, assurez-vous que l’extension Web Citrix est installée. Si vos utilisateurs utiliseront l’accès natif ou par navigateur, l’extension Web Citrix n’est pas nécessaire.

Dépannage

Problèmes connus

  • Après avoir activé l’authentification unique Microsoft Entra, les utilisateurs peuvent rencontrer l’erreur Microsoft AADSTS293005 lors du lancement de leur bureau virtuel, indiquant RDP protocol is not enabled for the requested resource application. Please configure the RemoteDesktopSecurityConfiguration property on resource service principal to enable RDP protocol. Pour résoudre ce problème, redémarrez l’application Citrix Workspace.
  • Les utilisateurs peuvent rencontrer un délai de 30 secondes lors du lancement des sessions si leur application Citrix Workspace ne prend pas en charge l’authentification unique Microsoft Entra ou s’ils utilisent l’accès hybride sans l’extension Web Citrix.
  • Les utilisateurs peuvent rencontrer un délai de 30 secondes lors du lancement des sessions si l’authentification unique Microsoft Entra est activée sur Citrix Workspace et que la configuration Azure requise n’a pas été effectuée.

En cas d’échec de l’authentification unique

Si l’authentification unique échoue lors de l’accès aux bureaux ou applications virtuels, procédez comme suit :

  1. Confirmez que l’authentification unique Microsoft Entra est activée dans Citrix Workspace.

  2. Confirmez que la méthode d’accès utilisée par l’utilisateur est prise en charge.

  3. Si l’utilisateur utilise l’accès hybride, confirmez que l’extension Web Citrix est installée.

  4. Confirmez que l’appareil client exécute la version requise de l’application Citrix Workspace.

  5. Confirmez que vos hôtes de session exécutent la version de Windows requise.

  6. Confirmez que vos hôtes de session exécutent la version VDA requise.

  7. Assurez-vous que le paramètre Windows Always prompt for password upon connection n’est pas activé sur les hôtes de session. Ce paramètre est désactivé par défaut et peut être configuré via une stratégie de groupe ou Intune sous Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security. Vous pouvez vérifier dans le registre si le paramètre est activé en recherchant la valeur fPromptForPassword sous HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Si la valeur est définie sur 1, le paramètre est activé et l’authentification unique ne sera pas disponible. Si la valeur est manquante ou définie sur 0, le paramètre est désactivé.

  8. Confirmez que le paramètre AzureADJoinType est configuré correctement dans les hôtes de session :
    • Clé : HKLM\SYSTEM\CurrentControlSet\Control\Citrix
    • Type de valeur : DWORD
    • Nom de la valeur : AzureADJoinType
    • Données de la valeur : 1 (joint à Microsoft Entra hybride) ; 2 (joint à Microsoft Entra)

  9. Assurez-vous que les bureaux ou applications virtuels sont attribués à des identités Microsoft Entra au lieu d’identités Active Directory dans Citrix Studio.

  10. Confirmez que le type d’ouverture de session des groupes de mise à disposition est configuré correctement en exécutant la commande PowerShell suivante :

    Get-BrokerDesktopGroup -Name <deliveryGroupName>
<!--NeedCopy-->

    Pour les hôtes de session joints à Microsoft Entra, la valeur de MachineLogOnType doit être AzureAd. Pour les hôtes de session joints à Microsoft Entra hybride, la valeur de MachineLogOnType doit être HybridAzureAd.

  11. Si vous utilisez un IdP SAML, confirmez que la configuration nécessaire a été implémentée.

  12. Confirmez que les applications de ressources et clientes Citrix sont enregistrées dans le locataire Microsoft Entra.

  13. Confirmez que la configuration de sécurité du Bureau à distance est activée sur l’application de ressources Citrix.

  14. Confirmez que l’application cliente Citrix a été ajoutée en tant qu’application cliente approuvée dans l’application de ressources Citrix.

  15. Si vos hôtes de session sont joints à Microsoft Entra hybride, confirmez qu’un objet serveur Kerberos a été créé dans le domaine Active Directory où résident les comptes d’utilisateur et d’ordinateur.
Authentification unique Microsoft Entra
April 6, 2026
Contributeur: 
C C
April 6, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.