Citrix Workspace app for Windows

Authentification unique avec transfert de domaine amélioré

April 16, 2026

Contributeur:

C C

L’authentification unique avec transfert de domaine amélioré utilise Kerberos pour permettre l’authentification unique dans l’application Citrix Workspace et dans les sessions d’applications et de bureaux virtuels lors de l’utilisation d’appareils clients joints à Active Directory (AD) et de Citrix StoreFront.

Remarque :

Cette fonctionnalité n’est pas prise en charge sur les systèmes d’exploitation 32 bits.

Cette fonctionnalité remplace la fonctionnalité d’authentification par transfert héritée basée sur le service d’authentification unique Citrix (ssonsvr.exe).

Vous ne pouvez pas utiliser l’authentification par transfert de domaine héritée (SSON) et l’authentification par transfert de domaine améliorée pour l’authentification sur le même hôte de session.

L’authentification par transfert de domaine héritée (SSON) nécessite l’activation de la stratégie Activer les notifications MPR pour le système dans le modèle d’objet de stratégie de groupe. L’authentification par transfert de domaine améliorée, cependant, permet l’authentification par transfert sans avoir besoin d’activer cette stratégie.

Pour l’authentification inter-domaines, une approbation transitive bidirectionnelle est requise pour pouvoir obtenir des tickets de service au-delà des limites du domaine. Sinon, la délégation Kerberos ne fonctionnera pas.

Exigences système

-  Plan de contrôle
-  Citrix DaaS™
-  Citrix Virtual Apps and Desktops™ 2311 ou version ultérieure

Agent de livraison virtuel
- Windows : version 2308 ou ultérieure
Remarque :
- Si les hôtes de session ou les appareils clients exécutent Windows 11, la version 2407 ou ultérieure du VDA, ou la version 2402 LTSR CU2 ou ultérieure, est requise. Vous pouvez télécharger la version du VDA à partir de la page téléchargements de Citrix.
- Application Citrix Workspace : version 2309 ou ultérieure
Remarque :
Si les hôtes de session ou les appareils clients exécutent Windows 11, la version 2405.10 ou ultérieure de l’application Workspace, ou la version 2402 LTSR CU2 ou ultérieure, est requise.
Appareil client
- Joint au domaine Active Directory
- Windows 10 64 bits
- Windows 11 64 bits

Remarque :

L’appareil client doit avoir une connectivité directe aux contrôleurs de domaine. Si l’appareil est en dehors du réseau, l’authentification unique n’est pas prise en charge.

-  Hôtes de session multi-session :
-  Windows Server 2016

    >**Remarque :**
    >
    > Windows Server 2016 n'est pas pris en charge avec la version 2407 du VDA et les versions ultérieures.

-  Windows Server 2019
-  Windows Server 2022
-  Windows 10 Enterprise multi-session 22H2
-  Windows 11 Enterprise multi-session 22H2 ou version ultérieure

Hôtes de session mono-session :
- Windows 10 version 22H2
- Windows 11 version 22H2 ou version ultérieure

Remarque :

L’authentification unique avec transfert de domaine amélioré repose sur Remote Credential Guard. Assurez-vous d’examiner les exigences de Remote Credential Guard et les scénarios d’authentification pris en charge dans la documentation de Microsoft.

Problèmes connus

[Tiers] Lorsque Windows Defender Credential Guard est activé sur l’appareil client, l’authentification unique à la session échoue et une invite de sécurité Windows apparaît indiquant Your credentials did not work. Windows Defender Credential Guard does not allow using Windows logon credentials. Please enter your credentials. Pour contourner ce problème, vous pouvez désactiver Windows Defender Credential Guard. Voici deux options pour désactiver la fonctionnalité :
1. À l’aide d’une stratégie de groupe, configurez le paramètre Activer la sécurité basée sur la virtualisation sous Configuration ordinateur > Modèles d’administration > Système > Device Guard.
2. Dans le registre, sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, définissez la valeur LsaCfgFlags sur 0.
REMARQUE : Il s’agit d’une limitation de Windows qui affecte également l’utilisation de Remote Credential Guard sur RDP. Si vous devez utiliser l’authentification unique avec transfert de domaine amélioré avec Windows Defender Credential Guard, nous vous recommandons de soumettre une demande à Microsoft pour prendre en charge ce scénario.

Configuration de StoreFront™

Vous devez activer l’authentification par transfert de domaine pour le magasin et son site web correspondant.

Suivez les étapes suivantes pour activer le transfert de domaine pour le magasin :

Ouvrez la console de gestion StoreFront.
Accédez à Magasin > Gérer les méthodes d’authentification. La fenêtre Gérer les méthodes d’authentification - Web apparaît.
Cochez la case Transfert de domaine.
Cliquez sur OK.

Suivez les étapes suivantes pour activer le transfert de domaine pour le site web :

Ouvrez la console de gestion StoreFront.

1. Ouvrez l’onglet Magasins > Receiver pour sites web > Gérer les sites Receiver pour le Web > Configurer > Méthodes d’authentification. La fenêtre Modifier le site Receiver pour le Web - /Citrix/Web apparaît.
1. Cochez la case Transfert de domaine.

Cliquez sur OK.

Configuration de la stratégie Citrix

Vous devez activer le paramètre à l’aide de la stratégie Citrix :

Accédez à Citrix Studio ou à la console web.
Cliquez sur Stratégies > Créer une stratégie. La boîte de dialogue Créer une stratégie apparaît.
Recherchez la stratégie Authentification unique avec transfert de domaine amélioré. La boîte de dialogue Modifier les paramètres apparaît.
Sélectionnez l’option Autorisé pour activer la stratégie Authentification unique avec transfert de domaine amélioré.
Cliquez sur OK.

Configuration de l’hôte de session

Après avoir activé la fonctionnalité Authentification unique avec transfert de domaine amélioré à l’aide de la stratégie Citrix, vous devez également activer un paramètre Windows sur les hôtes de session. Vous pouvez activer le paramètre Windows via une stratégie locale ou une GPO :

Accédez à Configuration ordinateur\Stratégies\Modèles d'administration\Système\Délégation d'informations d'identification.
Activez le paramètre L’hôte distant autorise la délégation d’informations d’identification non exportables.
Redémarrez l’hôte de session pour que le paramètre prenne effet.

Remarque :

Le paramètre L’hôte distant autorise la délégation d’informations d’identification non exportables n’est pas disponible dans la stratégie locale de Windows Server 2016. Si vous devez configurer ce paramètre localement sur l’hôte de session au lieu d’utiliser une GPO, vous devez ajouter les valeurs de registre suivantes :

Clé : HKLM\SYSTEM\CurrentControlSet\Control\Lsa

Type de valeur : DWORD

Nom de la valeur : DisableRestrictedAdmin

Données de la valeur : 0

Configuration de l’appareil client

Vous devez effectuer les opérations suivantes sur l’appareil client :

Activer l’authentification unique avec transfert de domaine amélioré
Faire confiance au site StoreFront

Activer l’authentification unique avec transfert de domaine amélioré

Vous devez activer la fonctionnalité Authentification unique avec transfert de domaine amélioré sur l’appareil client. Vous pouvez le faire via une stratégie locale ou une GPO.

Accédez à Configuration ordinateur\Stratégies\Modèles d'administration\Composants Citrix\Citrix Workspace\Authentification utilisateur.
Activez le paramètre Authentification unique avec transfert de domaine amélioré.
Redémarrez l’application Citrix Workspace pour que les paramètres prennent effet.

Faire confiance au site StoreFront

Vous devez vous assurer que votre URL StoreFront est approuvée par les appareils clients. Si l’URL ne fait pas partie d’un domaine déjà approuvé, vous devez l’ajouter en tant que site intranet local ou site approuvé. Vous pouvez le faire via une stratégie locale ou une GPO.

Accédez à la page Configuration ordinateur\Stratégies\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\Sécurité.
Activez le paramètre Liste d’affectation de site à zone et ajoutez les URL appropriées ainsi que l’affectation de zone correspondante.

Affectation de site à la zone

Activez le paramètre Options de connexion et définissez-le sur Connexion automatique avec le nom d’utilisateur et le mot de passe actuels.

Options de connexion

Options de connexion activées

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Authentification unique avec transfert de domaine amélioré

April 16, 2026

Contributeur:

C C

April 16, 2026

Contributeur:

C C

Cela vous a-t-il été utile ?