Authentification unique Microsoft Entra (Aperçu)
Vous pouvez tirer parti de l’authentification unique (SSO) lorsque vous utilisez les informations d’identification Microsoft Entra ID pour accéder aux applications et bureaux virtuels sur les hôtes de session joints en mode hybride Microsoft Entra.
Pour DaaS, consultez l’authentification unique Microsoft Entra.
IMPORTANT :
L’authentification unique Microsoft Entra pour Citrix Virtual Apps and Desktops est actuellement en préversion. Cette fonctionnalité est fournie sans support et n’est pas encore recommandée pour une utilisation dans des environnements de production.
Infrastructure prise en charge
Voici un aperçu des composants d’infrastructure pris en charge pour l’authentification unique Microsoft Entra :
| Identité de la machine | Citrix DaaS | CVAD sur site | Citrix Workspace | Citrix Storefront | Citrix Gateway Service | NetScaler Gateway |
|---|---|---|---|---|---|---|
| Joint à Microsoft Entra | Oui | Non | Oui | Non | Oui | Oui |
| Joint à Microsoft Entra hybride | Oui | Oui | Oui | Oui | Oui | Oui |
Remarque :
Dans StoreFront, l’authentification unique Microsoft Entra est prise en charge uniquement avec l’expérience d’interface utilisateur moderne, et non avec l’expérience d’interface utilisateur classique.
Méthodes d’accès prises en charge
Voici les méthodes d’accès disponibles dans un environnement Citrix :
- Accès natif : Vous utilisez le client natif de l’application Citrix Workspace pour accéder à Citrix Storefront et établir la connexion de session.
- Accès par navigateur : Vous accédez à Citrix Storefront via un navigateur et vous vous connectez à l’application virtuelle ou à la session de bureau à l’aide du client Citrix Workspace app pour HTML5.
- Accès hybride : Vous accédez à Citrix Storefront via un navigateur et vous vous connectez à l’application virtuelle ou à la session de bureau à l’aide du client natif de l’application Workspace.
Voici un aperçu des méthodes d’accès prises en charge pour l’authentification unique Microsoft Entra :
| Méthode d’accès | Windows | Linux | Mac | Chrome OS | Android | iOS |
|---|---|---|---|---|---|---|
| Natif | Oui | Oui | Oui | Oui | Oui | Oui |
| Navigateur | Oui | Oui | Oui | Oui | Oui | Oui |
| Hybride | Oui | Oui | Oui | Non | Non | Non |
Remarque :
Vous devez autoriser les fenêtres contextuelles pour que l’authentification unique fonctionne avec l’accès par navigateur et l’accès hybride.
Configuration système requise
Voici la configuration système requise pour utiliser l’authentification unique Microsoft Entra :
- Plan de contrôle : Citrix Virtual Apps and Desktops
- Niveau d’accès : StoreFront 2603 ou version ultérieure
- Virtual Delivery Agent (VDA)
- Windows : version 2507 ou ultérieure
- Application Citrix Workspace
- Windows : version 2508 ou ultérieure
- Linux : version 2511 ou ultérieure
- Mac : version 2511 ou ultérieure
- Chrome OS : 2603 ou ultérieure
- Android: 2511 ou ultérieure
- iOS: version 2511 ou ultérieure
- Navigateurs web avec lancement natif :
- Navigateurs web avec lancement par navigateur : Tout navigateur web pris en charge.
- OS de l’hôte de session :
- Windows 11, version 24H2 avec 2025-09 Cumulative Updates for Windows 11 (KB5065789) ou ultérieure installée (build 26100.6725)
- Windows Server 2025 avec 2026-01 Cumulative Updates for Windows Server 2025 (KB5073379) ou ultérieure installée (build 26100.32230)
Remarque :
L’extension web Citrix n’est nécessaire que si vos utilisateurs exploitent l’accès hybride sur des appareils Windows ou Mac. Si vos utilisateurs exploitent l’accès natif ou par navigateur, l’extension web Citrix n’est pas nécessaire.
Considérations
- Si vos utilisateurs exploitent l’accès hybride, ils doivent utiliser Microsoft Edge ou Google Chrome et installer l’extension web Citrix. L’authentification unique Microsoft Entra avec accès hybride n’est pas prise en charge avec d’autres navigateurs.
- La fonctionnalité Auto Client Reconnect n’est pas prise en charge lorsque l’authentification unique Microsoft Entra est utilisée pour se connecter à la session. Cette fonctionnalité est automatiquement désactivée lorsque cette méthode de connexion est utilisée. La fiabilité de session (Session Reliability) est toujours disponible pour la reconnexion automatique en cas de perturbations réseau.
- Lorsqu’un bureau virtuel est verrouillé, le comportement par défaut est d’afficher l’écran de verrouillage Windows. Selon vos exigences d’authentification, vous devrez peut-être modifier le comportement de verrouillage de session. Consultez Comportement de verrouillage de session pour plus de détails.
- Avec les hôtes de session joints hybrides Microsoft Entra, l’authentification unique ne fonctionne pas par défaut pour les membres de groupes privilégiés tels que les administrateurs de domaine. Pour l’activer, ajoutez le groupe ou l’utilisateur à la liste d’autorisation (allowlist) du contrôleur de domaine en lecture seule (RODC) pour l’accès Kerberos Microsoft Entra. Consultez Accès Kerberos TGT Microsoft Entra et contrôle d’accès Active Directory pour plus de détails.
Comment configurer l’authentification unique Microsoft Entra
Présentation
La configuration de l’authentification unique Microsoft Entra comprend les étapes suivantes :
- Configuration d’Azure et de Microsoft Entra ID.
- Enregistrer les applications client et de ressources Citrix.
- Activer le protocole d’authentification des services Bureau à distance Microsoft Entra ID pour l’application de ressources Citrix.
- Masquer l’invite de consentement de l’utilisateur.
- Approuver l’application client.
- Créer un objet serveur Kerberos (environnements joints hybrides Microsoft Entra uniquement).
- Examiner les stratégies d’accès conditionnel Microsoft Entra.
- Configuration Citrix.
- Provisionner les hôtes de session avec la version de système d’exploitation, le type d’identité et la version de VDA requis.
- Configurer StoreFront.
- Activer l’authentification unique Microsoft Entra sur votre site.
- Activer l’authentification unique Microsoft Entra dans vos groupes de mise à disposition.
Configuration d’Azure et de Microsoft Entra ID
Pour tirer parti de l’authentification unique Microsoft Entra, vous devez d’abord autoriser l’authentification Microsoft Entra pour Windows dans votre locataire Microsoft Entra ID, ce qui permet d’émettre les jetons d’authentification requis qui autorisent les utilisateurs à se connecter aux hôtes de session joints à Microsoft Entra et aux hôtes de session hybrides joints à Microsoft Entra.
La personne effectuant la configuration Azure doit se voir attribuer l’un des rôles intégrés Microsoft Entra suivants ou un rôle équivalent au minimum :
La configuration peut être effectuée via le portail Azure, à l’aide du SDK Microsoft Graph PowerShell ou de l’API Microsoft Graph. Les sections suivantes fournissent des détails sur la façon de terminer la configuration via le portail Azure. Si vous préférez utiliser le SDK Microsoft Graph PowerShell ou l’API Microsoft Graph, reportez-vous à Configuration Azure de l’authentification unique Microsoft Entra.
Enregistrer les applications Citrix
Vous devez enregistrer l’application de ressource Citrix multi-locataire dans votre locataire Azure et créer une application cliente à locataire unique.
Tout d’abord, vous devez enregistrer l’application de ressource Citrix. Pour ce faire, utilisez l’une des URL de consentement suivantes :
- États-Unis, UE, APS :
https://login.microsoftonline.com/common/adminconsent?client_id=3a510bb1-e334-4298-831e-3eac97f8b26c - Japon :
https://login.microsoftonline.com/common/adminconsent?client_id=0027603f-364b-40f2-98be-8ca4bb79bf8b
Une fois l’application de ressource enregistrée, vous devez créer votre application cliente à locataire unique.
Créer une application cliente à locataire unique
- Accédez au portail Azure.
- Accédez à Microsoft Entra ID > Applications d’entreprise.
- Sélectionnez Nouvelle application.
- Sélectionnez Créer votre propre application.
- Saisissez un nom pour l’application, sélectionnez Enregistrer une application pour l’intégrer à Microsoft Entra ID, puis cliquez sur Créer.
- Sous Types de comptes pris en charge, sélectionnez Locataire unique uniquement, puis cliquez sur Enregistrer.
- Accédez à Microsoft Entra ID > Inscriptions d’applications, puis sélectionnez Toutes les applications.
- Recherchez et cliquez sur l’application que vous venez de créer.
- Cliquez sur Ajouter un URI de redirection.
- Vous devrez ajouter trois URI de redirection : Web, Application monopage et Applications mobiles et de bureau.
- Pour chaque URI, sélectionnez Ajouter un URI de redirection.
-
Saisissez l’URI de redirection. Reportez-vous au tableau ci-dessous pour plus de détails sur ce qu’il faut ajouter.
Type de plateforme URI de redirection Notes Web URI de connexion NetScaler spécifique au client La chaîne URI est calculée en fonction de votre URL NetScaler spécifique. Applications mobiles et de bureau ctxaadsso://citrix.aad.redirectSaisissez cette URI exactement telle quelle. Application SPA (Single Page Application) URL Web du Store StoreFront Saisissez l’URL Web de votre Store StoreFront. Par exemple, si l’URL utilisée pour accéder à votre Store via un navigateur est https://finance.acme.com/Citrix/MyStoreWeb, l’URI de redirection SPA doit êtrehttps://finance.acme.com/Citrix/MyStoreWeb. Si vous avez plusieurs Stores dans votre environnement, vous devez saisir toutes les URL Web des Stores en tant qu’URI de redirection SPA. - Sélectionnez Configurer.
- Une fois toutes les URI de redirection ajoutées, vous devrez ajouter une autorisation d’API à l’application cliente.
- Sélectionnez Autorisations d’API dans le volet gauche sous Gérer.
- Sélectionnez Ajouter une autorisation.
- Sélectionnez API utilisées par mon organisation.
- Sélectionnez l’application de ressource Citrix (Citrix-Workspace-Resource).
- Dans la liste des autorisations, cochez user_impersonation.
- Sélectionnez Ajouter des autorisations.
- Sélectionnez Vue d’ensemble dans le volet gauche et notez l’ID d’application attribué.
Enregistrer l’application cliente
Une fois l’application créée et configurée, vous devez consentir aux autorisations de l’application.
Vous pouvez consentir aux autorisations de l’application dans le portail Azure :
- Accédez à Microsoft Entra ID > Applications d’entreprise.
- Recherchez et sélectionnez l’application cliente.
- Sélectionnez Autorisations dans le volet gauche, sous Sécurité.
- Cliquez sur Accorder le consentement administrateur pour <tenantName>
- Consentir aux autorisations.
Vous pouvez également utiliser une URL de consentement administrateur : https://login.microsoftonline.com/<EntraTenantID>/adminconsent?client_id=<clientAppID>
REMARQUE :
Vous devez remplacer
<EntraTenantID>par l’ID de votre locataire Entra, et<clientAppID>par l’ID d’application de l’application cliente.
Autorisations de l’application Ressource Citrix
Voici les autorisations de l’application :
| Nom de l’API | Valeur de la revendication | Autorisation | Type |
|---|---|---|---|
| Microsoft Graph | User.Read | Se connecter et lire le profil utilisateur | Délégué |
Pour les États-Unis, l’UE et l’APS, l’application est appelée Citrix-Workspace-Resource (ID d’application 3a510bb1-e334-4298-831e-3eac97f8b26c).
Pour le Japon, l’application est appelée Citrix-Workspace-Resource-JP (ID d’application 0027603f-364b-40f2-98be-8ca4bb79bf8b).
Autorisations de l’application Client Citrix
Voici les autorisations de l’application :
| Nom de l’API | Valeur de la revendication | Autorisation | Type |
|---|---|---|---|
| Citrix-Workspace-Resource
Citrix-Workspace-Resource-JP |
user_impersonation
|
SSO Citrix Entra ID
|
Déléguée
|
| Microsoft Graph | User.Read | Se connecter et lire le profil utilisateur | Déléguée |
Activer le protocole d’authentification des services Bureau à distance Microsoft Entra ID
Vous devez activer le protocole d’authentification des services Bureau à distance Microsoft Entra ID dans l’application de ressources Citrix. Pour ce faire :
-
Dans Azure Portal, accédez à
Microsoft Entra ID>Devices>Manage>Remote connection configuration.
-
Sélectionnez Citrix-Workspace-Resource.
-
Activez le protocole d’authentification des services Bureau à distance Microsoft Entra ID.

-
Poursuivez pour masquer l’invite de consentement de l’utilisateur.
Masquer la boîte de dialogue d’invite de consentement de l’utilisateur
Par défaut, les utilisateurs sont invités à autoriser la connexion Bureau à distance lorsqu’ils se connectent à un hôte de session joint à Microsoft Entra ou joint hybride à Microsoft Entra avec l’authentification unique Microsoft Entra activée, auquel cas ils doivent sélectionner Oui pour autoriser l’authentification unique. Microsoft Entra mémorise jusqu’à 15 hôtes de session uniques pendant 30 jours avant de demander à nouveau.
Vous pouvez masquer cette boîte de dialogue en configurant une liste de périphériques cibles. Pour configurer la liste des périphériques, vous devez créer un ou plusieurs groupes dans Microsoft Entra ID qui contiennent les hôtes de session joints à Microsoft Entra et/ou joints hybrides à Microsoft Entra, puis autoriser les groupes dans l’application de ressources, jusqu’à un maximum de 10 groupes.
Une fois que vous avez activé le protocole d’authentification des services Bureau à distance Microsoft Entra ID et que les groupes ont été créés :
-
Cliquez sur le lien pour ajouter les groupes de périphériques cibles et sélectionnez les groupes appropriés.

REMARQUE
Il est fortement recommandé de créer un groupe dynamique pour simplifier la gestion des membres du groupe. Bien que les groupes dynamiques se mettent normalement à jour en 5 à 10 minutes, les grands locataires peuvent prendre jusqu’à 24 heures.
Les groupes dynamiques nécessitent la licence Microsoft Entra ID P1 ou la licence Intune pour l’éducation. Pour plus d’informations, consultez Règles d’appartenance dynamique pour les groupes.
- Passez à l’approbation de l’application cliente.
Approuver l’application cliente
Vous devez ajouter explicitement l’application Citrix Client en tant que client approuvé dans l’application Citrix Resource :
-
Cliquez sur le lien pour ajouter vos applications clientes approuvées.

-
Sélectionnez l’application Citrix Client.

-
Sélectionnez Enregistrer pour appliquer les modifications de configuration à l’application Citrix Resource.

-
Passez à la création d’un objet serveur Kerberos.
Créer un objet serveur Kerberos
Si vos hôtes de session sont joints à Microsoft Entra hybride, vous devez configurer un objet serveur Kerberos dans le domaine Active Directory où résident les comptes d’utilisateur et d’ordinateur. Pour plus de détails, consultez Créer un objet serveur Kerberos.
Examiner les stratégies d’accès conditionnel Microsoft Entra
Si vous utilisez ou prévoyez d’utiliser les stratégies d’accès conditionnel de Microsoft Entra, examinez la configuration appliquée à l’application de ressources Citrix pour vous assurer que les utilisateurs bénéficient de l’expérience de connexion souhaitée.
Pour des instructions détaillées sur la configuration de l’accès conditionnel lors de l’utilisation de l’authentification unique Microsoft Entra pour DaaS, consultez la documentation Microsoft. N’oubliez pas que les paramètres d’accès conditionnel requis doivent être appliqués à l’application de ressources Citrix, et non aux applications Microsoft.
Hôtes de session Citrix
Assurez-vous que les exigences système pour les hôtes de session sont respectées :
- Assurez-vous que les hôtes de session sont joints à Microsoft Entra hybride.
- Installez la version et la build du système d’exploitation requises, comme spécifié dans les exigences système.
- Installez la version VDA requise, comme spécifié dans les exigences système.
Hôtes de session joints à Microsoft Entra hybride
Lors du déploiement d’hôtes de session joints à Microsoft Entra hybride avec Citrix Machines Creation Services, Citrix Provisioning ou Windows 365, passez à la section suivante. Si vous provisionnez des hôtes joints à Microsoft Entra hybride à l’aide de tout autre outil ou méthode, vous devez ajouter la valeur de registre suivante à vos hôtes de session :
- Clé :
HKLM\SYSTEM\CurrentControlSet\Control\Citrix - Type de valeur : DWORD
- Nom de la valeur :
AzureADJoinType - Données :
1
Comportement de verrouillage de session
Lorsqu’un bureau virtuel est verrouillé, le comportement par défaut est d’afficher l’écran de verrouillage Windows. À ce stade, les méthodes d’authentification prises en charge pour déverrouiller le bureau sont le nom d’utilisateur et le mot de passe ou la carte à puce.
Si vous avez un déploiement sans mot de passe où les utilisateurs ne connaissent pas leurs mots de passe, il est recommandé de configurer le comportement de verrouillage de session pour déconnecter la session au lieu d’afficher l’écran de verrouillage.
Vous pouvez configurer ce comportement en activant le paramètre Déconnecter la session à distance lors du verrouillage pour l’authentification de la plateforme d’identité Microsoft via Intune ou une stratégie de groupe. Pour des étapes détaillées, consultez Configurer le comportement de verrouillage de session pour Azure Virtual Desktop.
Plan de contrôle et d’accès Citrix
Configuration de StoreFront
Pour activer l’authentification unique Microsoft Entra avec StoreFront, veuillez vous référer à Authentification unique Entra ID dans la documentation StoreFront.
Activer l’authentification unique Microsoft Entra dans Web Studio
Pour activer l’authentification unique Microsoft Entra sur votre site, vous devez ajouter les détails de votre application client et ressource ainsi que l’URI de redirection. Reportez-vous à la documentation Paramètres pour plus de détails.
Activation de l’authentification unique Microsoft Entra pour le groupe de mise à disposition
Utilisation de Web Studio
- Accédez aux groupes de mise à disposition dans Web Studio et cliquez sur Créer un groupe de mise à disposition.
- Sur la page Utilisateurs, sélectionnez Microsoft Entra hybride joint comme type d’identité.
- Terminez la configuration sur les pages suivantes. Pour référence, consultez Créer des groupes de mise à disposition.
Utilisation de PowerShell
- Créez un nouveau groupe de mise à disposition et ajoutez le VDA au groupe de mise à disposition. Attribuez l’utilisateur (compte AD) au VDA.
-
Définissez le groupe de mise à disposition
MachineLogonTypesurHybridAzureAd. Par exemple :Get-BrokerDesktopGroup -Name <dgName> | Set-BrokerDesktopGroup -MachineLogOnType "HybridAzureAd" <!--NeedCopy--> -
Faire confiance au service Xml.
Add-PSSnapin Citrix.Broker.Admin.V2 Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true <!--NeedCopy--> -
Définissez les paramètres SSO (voir le tableau ci-dessous pour obtenir des conseils).
Set-BrokerSite -AzureGlobalCloudId "B16898C6-A148-4967-9171-64D755DA8520" -AzureSSOnAuthorizeUrl "<URL>" -AzureSSOnClientId "<clientAppID>" -AzureSSOnRedirectUrl "<URL>" -AzureSSOnResourceAppId "<resourceAppID>" <!--NeedCopy-->Le tableau suivant fournit les détails des paramètres et leurs valeurs par défaut :
Paramètre Valeur par défaut Description AzureGlobalCloudId B16898C6-A148-4967-9171-64D755DA8520 Identifie l’Entra CloudAP dans Windows. AzureSSOnAuthorizeUrl https://login.microsoftonline.com/common/URL de connexion initiale. Celle-ci est déterminée par le cloud Azure dans lequel se trouve le locataire Entra (par exemple, Azure Commercial ou Azure Gov). AzureSSOnClientId Aucune valeur par défaut ID d’application de l’application cliente. AzureSSOnRedirectUrl Aucune valeur par défaut URI de redirection post-authentification. Il doit s’agir d’une URL configurée comme URI de redirection dans l’application cliente. AzureSSOnResourceAppId 3a510bb1-e334-4298-831e-3eac97f8b26c ID d’application de l’application de ressource Citrix.
Appareil client
Assurez-vous que les exigences système pour les appareils clients sont respectées :
- Installez la version requise de l’application Citrix Workspace, comme spécifié dans les exigences système.
- Si vos utilisateurs utilisent l’accès hybride, assurez-vous que l’extension web Citrix est installée. Si vos utilisateurs utilisent l’accès natif ou par navigateur, l’extension web Citrix n’est pas nécessaire.
Dépannage
- Pour le dépannage des problèmes StoreFront, consultez les journaux de diagnostic.
- Si vous recevez l’erreur suivante de StoreFront :
There was a failure with the mapped account: Il s’agit probablement d’un utilisateur Entra pur, sans compte AD synchronisé/de support. - Au lancement, une erreur immédiate se produit avant d’obtenir un fichier ICA : Assurez-vous d’avoir activé la confiance envers le service XML.
- Si le VDA reste bloqué sur « Initialisation » pendant l’enregistrement : Assurez-vous que le VDA a été déplacé vers une unité d’organisation (OU) réellement synchronisée avec Entra.
Lorsque l’authentification unique échoue
Si l’authentification unique échoue lors de l’accès aux bureaux ou applications virtuels, procédez comme suit :
-
Confirmez que l’authentification unique Microsoft Entra est activée dans StoreFront.
-
Confirmez que l’authentification unique Microsoft Entra est activée sur votre site.
-
Confirmez que l’authentification unique Microsoft Entra est activée dans les groupes de mise à disposition.
-
Confirmez que la méthode d’accès utilisée par l’utilisateur est prise en charge.
-
Si l’utilisateur utilise l’accès hybride, confirmez que l’extension Web Citrix est installée.
-
Confirmez que le périphérique client exécute la version requise de l’application Citrix Workspace.
-
Confirmez que vos hôtes de session exécutent la version de Windows requise.
-
Confirmez que vos hôtes de session exécutent la version de VDA requise.
-
Assurez-vous que le paramètre Windows
Always prompt for password upon connectionn’est pas activé sur les hôtes de session. Ce paramètre est désactivé par défaut et peut être configuré via une stratégie de groupe ou Intune sousComputer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security. Vous pouvez vérifier dans le registre si le paramètre est activé en recherchant la valeurfPromptForPasswordsousHKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Si la valeur est définie sur1, le paramètre est activé et l’authentification unique ne sera pas disponible. Si la valeur est manquante ou définie sur0, le paramètre est désactivé. - Confirmez que le paramètre
AzureADJoinTypeest configuré correctement dans les hôtes de session :- Clé :
HKLM\SYSTEM\CurrentControlSet\Control\Citrix - Type de valeur : DWORD
- Nom de la valeur :
AzureADJoinType - Données de valeur :
1(Joint à Microsoft Entra hybride)
- Clé :
-
Assurez-vous que les bureaux virtuels ou les applications sont attribués à des identités Active Directory et non à des identités Entra ID dans Citrix Studio.
-
Confirmez que le type de connexion des groupes de mise à disposition est configuré correctement en exécutant la commande PowerShell suivante :
Get-BrokerDesktopGroup -Name <deliveryGroupName> <!--NeedCopy-->Pour les hôtes de session joints à Microsoft Entra hybride,
MachineLogOnTypedoit être défini surHybridAzureAd. -
Confirmez que l’application de ressource Citrix et l’application cliente à locataire unique sont enregistrées dans le locataire Microsoft Entra.
-
Confirmez que le protocole d’authentification RDS Microsoft Entra ID est activé sur l’application de ressource Citrix.
-
Confirmez que l’application cliente a été ajoutée en tant qu’application cliente approuvée dans l’application de ressource Citrix.
-
Si vos hôtes de session sont joints à Microsoft Entra hybride, confirmez qu’un objet serveur Kerberos a été créé dans le domaine Active Directory où résident les comptes d’utilisateur et d’ordinateur.
- Examinez vos stratégies d’accès conditionnel Microsoft Entra. Assurez-vous qu’aucune stratégie n’est appliquée aux applications de ressource et cliente Citrix ou aux hôtes de session qui affecterait l’expérience d’authentification unique.