Citrix DaaS

Joint à Azure Active Directory

Remarque :

Cette fonctionnalité est déployée par phases. Il se peut qu’elle ne soit pas encore activée pour votre compte.

Cet article explique comment créer des catalogues joints à Azure Active Directory (AD) à l’aide de Citrix DaaS.

Exigences

  • Plan de contrôle : Citrix DaaS

  • Type de VDA : VDA avec OS mono-session ou multi-session

  • Version de VDA : 2203 ou ultérieure

  • Type de provisioning : Machine Creation Services (MCS) persistant et non persistant utilisant le workflow de profil de machine uniquement

  • Type d’affectation : dédié et regroupé

  • Plateforme d’hébergement : Azure uniquement

  • Les VM principales ne doivent pas être jointes à Azure AD

  • Rendezvous V2 peut être activé afin que les Citrix Cloud Connector ne soient pas requis. Pour activer Rendezvous, vous devez ajouter un paramètre de registre. Pour plus d’informations sur la façon de l’ajouter, consultez la section Installation et configuration de VDA.

Limitations

  • Environnements de cloud Microsoft Azure Resource Manager uniquement.

  • L’authentification unique aux bureaux virtuels n’est pas prise en charge. Les utilisateurs doivent saisir manuellement leurs informations d’identification lorsqu’ils se connectent à leur bureau.

  • La première fois qu’une session de bureau virtuel est lancée, l’écran de connexion Windows affiche l’invite d’ouverture de session pour le dernier utilisateur connecté sans possibilité de passer à un autre utilisateur. L’utilisateur doit attendre que l’ouverture de session expire et que l’écran de verrouillage du bureau apparaisse, puis cliquer sur l’écran de verrouillage pour afficher à nouveau l’écran d’ouverture de session. À ce stade, l’utilisateur peut sélectionner Autre utilisateur et entrer ses informations d’identification.

  • La connexion à des bureaux virtuels avec Windows Hello n’est pas prise en charge. Si les utilisateurs essaient d’utiliser un code PIN Windows Hello pour se connecter, ils reçoivent un message d’erreur indiquant qu’ils ne sont pas l’utilisateur négocié et la session est déconnectée.

  • La continuité du service n’est pas prise en charge.

Considérations

  • Les VM principales ne doivent pas être jointes à Azure AD.

  • Windows Hello n’est pas pris en charge. Désactivez donc Windows Hello dans les VM principales. Pour cela, il existe deux méthodes :

    • Utilisation de la stratégie de groupe locale dans les VM principales.

      • Exécutez gpedit.msc.
      • Accédez à Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Hello Entreprise.
      • Configurez l’option Utiliser Windows Hello Entreprise sur Désactivé ou Activé.
      • Sélectionnez Ne pas démarrer le provisioning Windows Hello après la connexion.
    • Utilisation de Microsoft Intune (machines persistantes uniquement).

      • Créez un profil d’appareil qui désactive Windows Hello pour les entreprises. Reportez-vous à la documentation de Microsoft pour plus de détails.

Créer des catalogues joints à Azure AD

Vous pouvez créer des catalogues joints à Azure AD à l’aide de l’interface Configuration complète ou de PowerShell.

Utiliser l’interface Configuration complète

Les informations suivantes étayent les instructions disponibles dans la section Créer des catalogues de machines. Pour créer des catalogues joints à Azure AD, suivez les instructions générales de cet article, en tenant compte des détails spécifiques aux catalogues joints à Azure AD.

Dans l’assistant de création de catalogues :

  • Sur la page Identités des machines, sélectionnez Joint à Azure Active Directory. Les machines créées appartiennent à une organisation et sont connectées avec un compte Azure AD qui appartient à cette organisation. Elles n’existent que dans le cloud.

Remarque :

  • Le type d’identité Joint à Azure Active Directory nécessite la version 1811 ou ultérieure du VDA comme niveau fonctionnel minimum pour le catalogue. Pour le rendre disponible, mettez à jour le niveau fonctionnel minimum, si nécessaire.
  • Les machines sont jointes à Azure AD auquel la connexion d’hébergement est liée.

Utiliser PowerShell

Les étapes PowerShell suivantes sont équivalentes aux opérations dans Configuration complète. Pour plus d’informations sur la création d’un catalogue à l’aide du SDK Remote PowerShell, consultez https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

La différence entre les catalogues joints à AD sur site et ceux joints à Azure AD réside dans la création du pool d’identités et du schéma de provisioning.

Pour créer un pool d’identités pour les catalogues joints à Azure AD, procédez comme suit :

New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Pour créer un schéma de provisioning pour les catalogues joints à Azure AD, le paramètre MachineProfile est requis dans New-ProvScheme :

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Toutes les autres commandes utilisées pour créer des catalogues joints à Azure AD sont les mêmes que pour les catalogues joints à AD sur site traditionnels.

Afficher l’état Azure AD

Dans l’interface Configuration complète, l’état Azure AD est visible lorsque les machines jointes à Azure AD dans un groupe de mise à disposition sont sous tension. Pour afficher l’état, utilisez la fonction Rechercher pour identifier ces machines, puis vérifiez Identité de la machine dans l’onglet Détails du volet inférieur. Les informations suivantes peuvent apparaître dans Identité de la machine :

  • Joint à Azure AD
  • Pas encore joint à Azure AD

Remarque :

Si les machines ne sont pas jointes à Azure AD, elles ne s’enregistrent pas auprès du Delivery Controller. L’état de leur enregistrement apparaît comme Initialisation.

En outre, à l’aide de l’interface Configuration complète, vous pouvez découvrir pourquoi les machines ne sont pas disponibles. Pour ce faire, cliquez sur une machine dans le nœud Rechercher, cochez Enregistrement dans l’onglet Détails dans le volet inférieur, puis lisez l’infobulle pour plus d’informations.

Activer la connexion utilisateur avec les comptes Azure AD

Les machines ou les groupes de mise à disposition doivent être attribués à des comptes Azure AD spécifiques. Cela peut être fait à l’aide de l’interface Configuration complète (à l’aide du champ Sélectionner le type d’identité lors de l’attribution d’utilisateurs) ou de la page Citrix Cloud Library.

Pour permettre aux utilisateurs de se connecter aux machines avec leurs informations d’identification Azure AD, ajoutez l’attribution de rôle au niveau du groupe de ressources :

  1. Connectez-vous au portail Azure.

  2. Sélectionnez Resource Groups.

  3. Cliquez sur le groupe de ressources dans lequel résident les charges de travail de bureau virtuel.

  4. Sélectionnez Access control (IAM).

  5. Cliquez sur Add role assignment.

  6. Recherchez Virtual Machine User Login, sélectionnez-la dans la liste, puis cliquez sur Next.

  7. Sélectionnez User, group, or service principal.

  8. Cliquez sur Select members et sélectionnez les utilisateurs et les groupes auxquels vous souhaitez accorder l’accès aux bureaux virtuels.

  9. Cliquez sur Sélectionner.

  10. Cliquez sur Review + assign.

  11. Cliquez à nouveau sur Review + assign .

Remarque :

Si vous choisissez de laisser MCS créer le groupe de ressources pour les bureaux virtuels, vous ajoutez cette attribution de rôle après la création du catalogue de machines.

Microsoft Intune

Remarque :

Cette fonctionnalité s’applique uniquement aux machines persistantes jointes à Azure AD. Les machines doivent répondre à la configuration minimale requise. Pour de plus amples informations, consultez la documentation de Microsoft : https://docs.microsoft.com/en-us/mem/intune/fundamentals/supported-devices-browsers#microsoft.

Vous pouvez utiliser Citrix DaaS pour activer l’inscription à Microsoft Intune. Microsoft Intune est un service basé sur le cloud pour la gestion des appareils mobiles (MDM) et la gestion des applications mobiles (MAM). Vous contrôlez la façon dont les appareils de votre entreprise sont utilisés, y compris les téléphones mobiles, les tablettes et les ordinateurs portables. Pour plus d’informations, consultez Microsoft Intune.

Microsoft Intune fonctionne en utilisant les fonctionnalités d’Azure AD.

Important :

Avant d’activer cette fonctionnalité, vérifiez que votre environnement Azure répond aux exigences de licence pour utiliser Microsoft Intune. Pour de plus amples informations, consultez la documentation de Microsoft : https://docs.microsoft.com/en-us/mem/intune/fundamentals/licenses. N’activez pas cette fonctionnalité si vous ne possédez pas la licence Intune appropriée.

Activer Microsoft Intune

Vous pouvez activer Microsoft Intune à l’aide de l’interface Configuration complète ou de PowerShell.

Utiliser l’interface Configuration complète

Les informations suivantes étayent les instructions disponibles dans la section Créer des catalogues de machines. Cette fonctionnalité nécessite la sélection de Joint à Azure Active Directory dans Identités des machines lors de la création du catalogue. Suivez les instructions générales de cet article, en tenant compte des détails spécifiques à cette fonctionnalité.

Dans l’assistant de création de catalogues :

  • Sur la page Identités des machines, sélectionnez Joint à Azure Active Directory, puis Inscrire les machines dans Microsoft Intune. Si cette option est activée, inscrivez les machines dans Microsoft Intune pour la gestion.

Utiliser PowerShell

Les étapes PowerShell suivantes sont équivalentes aux opérations dans Configuration complète.

Pour inscrire des machines dans Microsoft Intune à l’aide du SDK Remote PowerShell, utilisez le paramètre DeviceManagementType dans New-AcctIdentityPool. Cette fonctionnalité nécessite que le catalogue soit joint à Azure AD et qu’Azure AD possède la licence Microsoft Intune correcte. Par exemple :

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Conseil :

Cette fonctionnalité est mise en œuvre à l’aide du modèle Azure Resource Manager. Dans le modèle, spécifiez l’ID d’application de Microsoft Intune dans l’extension AADLoginForWindows pour permettre aux machines virtuelles jointes à Azure AD de s’inscrire.

Joint à Azure Active Directory