Citrix DaaS

Joint à Azure Active Directory Hybride

Remarque :

Cette fonctionnalité est déployée par phases. Il se peut qu’elle ne soit pas encore activée pour votre compte.

Cet article explique comment créer des catalogues joints à Azure Active Directory (AD) hybride à l’aide de Citrix DaaS.

Les machines jointes à Azure AD hybride utilisent AD sur site comme fournisseur d’authentification. Vous pouvez les attribuer à des utilisateurs ou à des groupes de domaine dans AD sur site. Pour permettre une expérience d’authentification unique transparente dans Azure AD, vous devez synchroniser les utilisateurs de domaine avec Azure AD.

Exigences

  • Plan de contrôle : Citrix DaaS

  • Type de VDA : VDA avec OS mono-session ou multi-session

  • Version VDA : 2112 ou version ultérieure

  • Type de provisioning : Machine Creation Services (MCS) persistant et non persistant

  • Type d’affectation : dédié et regroupé

  • Plate-forme d’hébergement : tout hyperviseur ou service cloud

  • Les VM principales ne doivent pas être jointes à Azure AD

Limitations

  • Si le service d’authentification fédérée de Citrix (FAS) est utilisé, l’authentification unique (Single Sign-On) est dirigée vers le domaine AD local plutôt que vers Azure AD.

Considérations

  • Les VM principales peuvent être jointes à AD sur site ou ne pas être jointes à un domaine. Toutefois, elles ne doivent pas être jointes à Azure AD. Vous pouvez exécuter dsregcmd /status dans les VM principales pour vérifier si elles sont jointes à Azure AD hybride et utiliser dsregcmd /leave pour qu’elles ne le soient plus.

  • La création de machines hybrides jointes à Azure Active Directory requiert l’autorisation Write userCertificate dans le domaine cible. Assurez-vous de saisir les informations d’identification d’un administrateur disposant de cette autorisation lors de la création du catalogue.

  • Le processus Azure AD hybride est géré par Citrix. Vous devez désactiver le paramètre autoWorkplaceJoin contrôlé par Windows dans les VM principales comme suit :

    1. Exécutez gpedit.msc.
    2. Accédez à Configuration ordinateur > Modèles d’administration > Composants Windows > Enregistrement d’appareil.
    3. Définissez Enregistrer les ordinateurs appartenant à un domaine en tant qu’appareils sur Désactivé.
  • Sélectionnez l’unité d’organisation (UO) configurée pour être synchronisée avec Azure AD lorsque vous créez les identités de machine.

Créer des catalogues joints à Azure AD hybride

Vous pouvez créer des catalogues joints à Azure AD à l’aide de l’interface Configuration complète ou de PowerShell.

Utiliser l’interface Configuration complète

Les informations suivantes étayent les instructions disponibles dans la section Créer des catalogues de machines. Pour créer des catalogues joints à Azure AD hybride, suivez les instructions générales de cet article, en tenant compte des détails spécifiques aux catalogues joints à Azure AD hybride.

Dans l’assistant de création de catalogues :

  • Sur la page Identités des machines, sélectionnez Joint à Azure Active Directory hybride. Les machines créées appartiennent à une organisation et sont connectées avec un compte des services de domaine Active Directory appartenant à cette organisation. Elles existent dans le cloud et sur site.

Remarque :

Si vous sélectionnez Joint à Azure Active Directory hybride comme type d’identité, chaque machine du catalogue doit avoir un compte d’ordinateur Active Directory correspondant.

Utiliser PowerShell

Les étapes PowerShell suivantes sont équivalentes aux opérations dans Configuration complète. Pour plus d’informations sur la création d’un catalogue à l’aide du SDK Remote PowerShell, consultez https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

La différence entre les catalogues joints à AD sur site et ceux joints à Azure AD hybride réside dans la création du pool d’identités et des comptes de machines.

Pour créer un pool d’identités avec les comptes pour les catalogues joints à Azure AD hybride :

New-AcctIdentityPool -AllowUnicode -IdentityType="HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Remarque :

$password est le mot de passe correspondant à un compte utilisateur AD doté d’autorisations d’écriture.

Toutes les autres commandes utilisées pour créer des catalogues joints à Azure AD hybride sont les mêmes que pour les catalogues joints à AD sur site traditionnels.

Afficher l’état Azure AD hybride

Dans l’interface Configuration complète, l’état Azure AD hybride est visible lorsque les machines jointes à Azure AD hybride dans un groupe de mise à disposition sont sous tension. Pour afficher l’état, utilisez la fonction Rechercher pour identifier ces machines, puis vérifiez Identité de la machine dans l’onglet Détails du volet inférieur. Les informations suivantes peuvent apparaître dans Identité de la machine :

  • Joint à Azure AD hybride

  • Pas encore joint à Azure AD

Remarque :

  • La jonction à Azure AD hybride peut être retardée lors de la mise sous tension initiale de la machine. Cela est dû à l’intervalle de synchronisation de l’identité de la machine par défaut (30 minutes d’Azure AD Connect). La machine est à l’état Joint à Azure AD hybride uniquement après que les identités de la machine ont été synchronisées avec Azure AD via Azure AD Connect.
  • Si des machines ne sont pas à l’état Joint à Azure AD hybride, elles ne sont pas enregistrées auprès du Delivery Controller. L’état de leur enregistrement apparaît comme Initialisation.

En outre, à l’aide de l’interface Configuration complète, vous pouvez découvrir pourquoi les machines ne sont pas disponibles. Pour ce faire, cliquez sur une machine dans le nœud Rechercher, cochez Enregistrement dans l’onglet Détails dans le volet inférieur, puis lisez l’infobulle pour plus d’informations.

Dépanner

Si des machines ne peuvent pas être jointes à Azure AD hybride, procédez comme suit :

  • Vérifiez si le compte de la machine a été synchronisé avec Azure AD via le portail Microsoft Azure AD. S’il est synchronisé, Pas encore joint à Azure AD apparaît, indiquant que l’inscription est en attente.

    Pour synchroniser des comptes de machines avec Azure AD, assurez-vous que :

    • Le compte de machine se trouve dans l’unité d’organisation configurée pour être synchronisée avec Azure AD. Les comptes de machines sans attribut userCertificate ne sont pas synchronisés avec Azure AD même s’ils se trouvent dans l’unité d’organisation configurée pour être synchronisée.

    • L’attribut userCertificate est renseigné dans le compte de la machine. Utilisez Active Directory Explorer pour afficher l’attribut.

    • Azure AD Connect doit avoir été synchronisé au moins une fois après la création du compte de machine. Sinon, exécutez manuellement la commande Start-ADSyncSyncCycle -PolicyType Delta dans la console PowerShell de la machine Azure AD Connect pour déclencher une synchronisation immédiate.

  • Vérifiez si la paire de clés de périphérique géré par Citrix pour la jointure à Azure AD hybride est correctement transmise à la machine en interrogeant la valeur de DeviceKeyPairRestored sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

    Vérifiez que la valeur est 1. Si ce n’est pas le cas, les raisons possibles sont les suivantes :

    • IdentityType dans le pool d’identités associé au schéma de provisioning n’est pas défini sur HybridAzureAD. Cela peut être vérifié par Get-IdentityPool.

    • La machine n’est pas provisionnée à l’aide du même schéma de provisioning que le catalogue de machines.

    • La machine n’est pas jointe au domaine local. La jonction au domaine local est une condition préalable à la jonction à Azure AD.

  • Vérifiez les messages de diagnostic en exécutant la commande dsregcmd /status /debug sur la machine provisionnée par MCS.

    Si la jonction à Azure AD hybride réussit, AzureAdJoined et DomainJoined ont la valeur YES dans la sortie de la ligne de commande.

    Si ce n’est pas le cas, consultez la documentation Microsoft pour résoudre les problèmes : https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

Joint à Azure Active Directory Hybride