Documentation produit
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Voir PDF

Joint à Azure Active Directory Hybride

November 25, 2025
Contributeur: 
C

Remarque :

Depuis juillet 2023, Microsoft a renommé Azure Active Directory (Azure AD) Microsoft Entra ID. Dans ce document, toute mention d’Azure Active Directory, d’Azure AD ou d’AAD fait désormais référence à Microsoft Entra ID.

Cet article décrit les exigences pour créer un pool d’identités de catalogues joints à Hybrid Azure Active Directory (HAAD) et de catalogues joints à Hybrid Azure AD inscrits dans Microsoft Intune, en plus des exigences décrites dans la section Configuration système requise.

Les machines jointes à Azure AD Hybride utilisent AD sur site comme fournisseur d’authentification. Vous pouvez les attribuer à des utilisateurs ou à des groupes de domaine dans AD sur site. Pour permettre une expérience d’authentification unique transparente dans Azure AD, vous devez synchroniser les utilisateurs de domaine avec Azure AD.

Remarque :

Les machines virtuelles jointes à Azure AD Hybride sont prises en charge dans les infrastructures d’identité fédérées et gérées.

Conditions requises pour la jonction à Hybrid Azure Active Directory

  • Type de VDA : mono-session (bureaux uniquement) ou multisession (applications et bureaux)
  • Version de VDA : 2212 ou ultérieure
  • Type de provisioning : Machine Creation Services™ (MCS), persistant et non persistant
  • Type d’affectation : dédié et regroupé
  • Plate-forme d’hébergement : tout hyperviseur ou service cloud

Limitations pour la jonction Hybrid Azure Active Directory

  • Si le service d’authentification fédérée de Citrix (FAS) est utilisé, l’authentification unique (Single Sign-On) est dirigée vers le domaine AD local plutôt que vers Azure AD. Dans ce cas, il est recommandé de configurer l’authentification basée sur les certificats Azure AD afin que le jeton d’actualisation principal (PRT) soit généré lors de la connexion de l’utilisateur, ce qui facilite l’authentification unique aux ressources Azure AD au sein de la session. Sinon, le PRT ne sera pas présent et l’authentification unique aux ressources Azure AD ne fonctionnera pas. Pour plus d’informations sur la mise en place de l’authentification unique (SSO) Azure AD sur des VDA joints hybrides à l’aide du service d’authentification fédérée (FAS) Citrix, consultez la section VDA joints hybrides.
  • N’ignorez pas la préparation des images lors de la création ou de la mise à jour des catalogues de machines. Si vous souhaitez ignorer la préparation des images, assurez-vous que les VM principales ne sont pas jointes à Azure AD ou à Azure AD Hybride.

Considérations relatives à la jonction Hybrid Azure Active Directory

  • La création de machines jointes à Azure Active Directory hybrides nécessite l’autorisation Write userCertificate dans le domaine cible. Assurez-vous de saisir les informations d’identification d’un administrateur disposant de cette autorisation lors de la création du catalogue.

  • Le processus Azure AD Hybride est géré par Citrix. Vous devez désactiver autoWorkplaceJoin contrôlé par Windows dans les machines virtuelles principales comme suit. La tâche de désactivation manuelle de autoWorkplaceJoin n’est requise que pour la version 2212 ou antérieure de VDA.

    1. Exécutez gpedit.msc.
    2. Accédez à Configuration ordinateur > Modèles d’administration > Composants Windows > Enregistrement de l’appareil.
    3. Définissez Enregistrer les ordinateurs appartenant à un domaine en tant qu’appareils sur Désactivé.

  • Sélectionnez l’unité d’organisation (UO) configurée pour être synchronisée avec Azure AD lorsque vous créez les identités de machine.

  • Pour la machine virtuelle principale basée sur Windows 11 22H2 : créez une tâche planifiée dans la machine virtuelle principale qui exécute la commande suivante au démarrage du système à l’aide du compte système. Cette planification de tâche dans la machine virtuelle principale n’est requise que pour la version 2212 ou antérieure du VDA.

       $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
 $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
 $MaxCount = 60

 for ($count = 1; $count -le $MaxCount; $count++)
 {
   if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
   {
     $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
     if ($provider -eq 'Citrix')
     {
         break;
     }

     if ($provider -eq 1)
     {
         Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
         Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
         Start-Sleep 5
         dsregcmd /join
         break
     }
   }

   Start-Sleep 1
 }
 <!--NeedCopy-->
  • Par défaut, Azure AD Connect se synchronise toutes les 30 minutes. Les machines provisionnées peuvent prendre jusqu’à 30 minutes pour être jointes à Azure AD hybride lors du premier démarrage.

Catalogues joints à Hybrid Azure AD et inscrits dans Microsoft Intune

Les catalogues joints à Hybrid Azure AD, machines virtuelles persistantes mono-session et multi-session inscrites à Microsoft Intune, utilisent les informations d’identification d’appareil avec une fonctionnalité de cogestion.

La cogestion vous permet de gérer simultanément des appareils Windows 10 ou de version ultérieure à l’aide de Configuration Manager et de Microsoft Intune. Pour plus d’informations, consultez l’article sur la Cogestion.

Conditions requises pour les catalogues joints à Hybrid Azure AD et inscrits dans Microsoft Intune

Avant d’activer cette fonctionnalité, vérifiez les conditions suivantes :

  • Votre environnement Azure répond aux exigences de licence pour utiliser Microsoft Intune. Pour plus d’informations, consultez la documentation de Microsoft.
  • Vous disposez d’un déploiement de Configuration Manager valide avec la cogestion activée. Pour plus d’informations, consultez la documentation de Microsoft.

Conditions requises pour les catalogues joints à Hybrid Azure AD et inscrits dans Microsoft Intune

  • Plan de contrôle : Citrix DaaS™
  • Type de VDA : mono-session ou multi-session
  • Version de VDA : 2407 ou ultérieure
  • Type de provisioning : Machine Creation Services (MCS), persistant. Les catalogues joints à Hybrid Azure AD inscrits dans Microsoft Intune pour les machines virtuelles non persistantes mono-session et multi-session sont actuellement en version Technical Preview. Reportez-vous à la page Inscription de machines virtuelles non persistantes jointes à Hybrid Entra ID dans Microsoft Intune.
  • Type d’affectation : dédié et regroupé
  • Plate-forme d’hébergement : tout hyperviseur ou service cloud

Limites applicables aux catalogues joints à Hybrid Azure AD et inscrits dans Microsoft Intune

  • N’ignorez pas la préparation des images lors de la création ou de la mise à jour des catalogues de machines.
  • La gestion des clients Internet (IBCM) de Configuration Manager n’est pas prise en charge.

Considérations relatives aux catalogues joints à Hybrid Azure AD et inscrits dans Microsoft Intune

  • L’inscription à Intune peut être retardée si trop de machines du catalogue sont allumées simultanément.

    Microsoft impose une restriction d’inscription dans Intune par locataire qui limite le nombre de machines pouvant être inscrites au cours d’une période donnée. Le nombre de machines autorisées varie en fonction du nombre de licences Microsoft Intune associées au locataire. Consultez l’équipe chargée de votre compte Microsoft pour connaître la limite autorisée pour votre locataire. Cette approche permet de mieux adapter l’inscription à Microsoft Intune aux grands environnements.

    Pour les machines persistantes, un temps d’attente initial peut être requis pour que toutes terminent leur inscription à Intune.

    Pour les machines non persistantes, envisagez de limiter les actions d’alimentation simultanées dans Autoscale™ ou les actions d’alimentation manuelles.

  • Configurez Cloud Attach ou Configuration Manager. Pour plus d’informations, consultez la documentation de Microsoft.
  • Installez manuellement le client Configuration Manager sur la VM principale sans attribuer le code de site à .\CCMSetup.exe /MP:SCCMServer /logon FSP=SCCMServer. Le serveur SCCM est le nom du serveur SCCM de votre environnement. Pour plus d’informations, consultez la documentation de Microsoft.

  • Les machines créées par MCS utilisent le mécanisme d’attribution automatique de sites pour rechercher les groupes de limites de sites publiés sur Active Directory Domain Services. Assurez-vous que les limites et les groupes de limites de Configuration Manager sont configurés dans votre environnement. Si l’attribution automatique de sites n’est pas disponible, un code de site Configuration Manager statique peut être configuré dans la VM principale via le paramètre de registre suivant :

    Clé :

       HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
 <!--NeedCopy-->

    Nom de la valeur : MDMSCCMSiteCode

    Type de valeur : Chaîne

    Données de valeur : le code de site à attribuer

Autres ressources

Pour plus d’informations sur la création d’un pool d’identités de catalogues joints à Hybrid Azure Active Directory, consultez Pool d’identités de machines jointes à Hybrid Azure Active Directory.

Joint à Azure Active Directory Hybride
November 25, 2025
Contributeur: 
C
November 25, 2025
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.