Citrix DaaS

Configuração do VDA ingressado no Azure Active Directory e não ingressado em domínio

O processo de instalação do VDA e implantação de áreas de trabalho virtuais que são ingressadas apenas no Azure Active Directory (AD) ou não ingressadas em domínio é semelhante ao das máquinas ingressadas no domínio padrão. Você só precisa ter certeza de atender a todos os requisitos e selecionar as opções corretas durante todo o processo.

Requisitos

Requisitos para ingressado no Azure AD puro:

  • Plano de acesso e controle: Citrix DaaS, Citrix Workspace e Citrix Gateway Service
  • Provedor de identidade do espaço de trabalho: Azure Active Directory
  • Tipo de VDA:
    • Sessão única: somente áreas de trabalho
    • Multissessão: aplicativos e áreas de trabalho
  • Versão VDA: 2203
  • Tipo de provisionamento: Machine Creation Services (MCS) persistente e não persistente usando somente fluxo de trabalho de perfil de máquina
  • Tipo de atribuição: dedicada
  • Plataforma de hospedagem: somente Azure
  • A VM de modelo não deve ser ingressada no Azure AD
  • O Rendezvous V2 deve estar ativado para remover o requisito dos Citrix Cloud Connectors

Requisitos para não ingressado no domínio:

  • Plano de acesso e controle: Citrix DaaS, Citrix Workspace e Citrix Gateway Service
  • Provedor de identidade do espaço de trabalho: todos os provedores de identidade são aceitos
  • Tipo de VDA:
    • Sessão única: somente áreas de trabalho
    • Multissessão: aplicativos e áreas de trabalho
  • Versão VDA: 2203
  • Tipo de provisionamento: Machine Creation Services (MCS) persistente e não persistente
  • Tipo de atribuição: dedicada e em pool
  • Plataforma de hospedagem: todas as plataformas suportadas pelo MCS, exceto o Google Cloud Platform
  • O Rendezvous V2 deve estar ativado para remover o requisito dos Citrix Cloud Connectors

Nota:

Os Cloud Connectors ainda serão necessários se você planeja provisionar máquinas não ingressadas no domínio em hipervisores locais e se quiser usar o Active Directory como provedor de identidade.

Problemas e limitações conhecidos

Geral

  • A continuidade do serviço não tem suporte.

Ingressado no Azure AD puro

  • A imagem de VM do modelo não pode ser ingressada no Azure AD atualmente.
  • O logon único na área de trabalho virtual não tem suporte. Os usuários devem inserir manualmente suas credenciais na área de trabalho virtual.
  • O login com o Windows Hello na área de trabalho virtual não tem suporte. Se os usuários tentarem usar um PIN do Windows Hello para fazer login, eles receberão um erro informando que não são o usuário intermediado e que a sessão é desconectada.
  • A primeira vez que uma sessão de área de trabalho virtual é iniciada, a tela de entrada do Windows mostra o prompt de logon do último usuário conectado sem a opção de alternar para outro usuário. O usuário deve esperar até que o logon expire e a tela de bloqueio da área de trabalho apareça e, em seguida, clique na tela de bloqueio para revelar a tela de logon novamente. Nesse ponto, o usuário pode selecionar “Other user” e forneça suas credenciais.

Considerações

Imagem do modelo

  • Considere otimizar sua imagem do Windows usando a ferramenta Citrix Optimizer.
  • Para evitar incompatibilidades e conflitos de configuração de hardware, verifique se a VM usada como modelo e as VMs usadas para cargas de trabalho do usuário têm configurações de hardware correspondentes. No caso das VMs do Azure, verifique se elas são da mesma família ou, pelo menos, têm perfis de hardware semelhantes. Por exemplo, é necessário que a VM do modelo e as cargas de trabalho do usuário tenham o mesmo número de discos. Caso contrário, você poderá enfrentar problemas com as máquinas provisionadas pelo MCS, como erros de configuração do arquivo de página ou um novo hardware detectado que pode solicitar reinicializações por parte dos usuários.

Ingressado no Azure AD puro

  • Considere desativar o Windows Hello para que os usuários não sejam solicitados a criar um PIN do Windows Hello para fazer login no Windows. O Windows Hello não tem suporte. Você pode fazer isso de duas maneiras:
    1. Política de grupo local na VM de modelo
      • Execute gpedit.msc.
      • Navegue até Computer Configuration > Administrative Templates > Windows Components > Windows Hello for Business.
      • Defina Use Windows Hello for Business como:
        • Disabled ou
        • Enabled e selecione Do not start Windows Hello provisioning after sign-in.
    2. Microsoft Intune (somente máquinas persistentes)
      • Crie um perfil de dispositivo que desative o Windows Hello for Business. Consulte a documentação da Microsoft para obter detalhes.
      • Atualmente, a Microsoft oferece suporte ao registro do Intune somente de máquinas persistentes, o que significa que você não pode gerenciar máquinas não persistentes com o Intune.
  • Os usuários devem receber acesso explícito no Azure para fazer login nas máquinas usando suas credenciais AAD. Isso pode ser facilitado adicionando a atribuição de função no nível do grupo de recursos:
    1. Faça login no portal do Azure.
    2. Selecione Resource Groups.
    3. Clique no grupo de recursos em que as cargas de trabalho de desktop virtual residem.
    4. Selecione Access control (IAM).
    5. Clique em Add role assignment.
    6. Procure por Virtual Machine User Login, selecione-o na lista e clique em Next.
    7. Selecione User, group, or service principal.
    8. Clique em Select members e selecione os usuários e grupos aos quais você deseja fornecer acesso às áreas de trabalho virtuais.
    9. Clique em Select members.
    10. Clique em Review + assign.
    11. Clique em Review + assign mais uma vez.

Nota:

Se você optar por permitir que o MCS crie o grupo de recursos para as áreas de trabalho virtuais, adicione essa atribuição de função após a criação do catálogo de máquinas.

Instalação e configuração do VDA

Siga as etapas para instalar o VDA:

  1. Tenha o cuidado de selecionar as seguintes opções no assistente de instalação:

    • Na página Ambiente, selecione Create a master MCS image.

    Configuração 1 do Azure AD

    • Na página Delivery Controller, selecione Let Machine Creation Services do it automatically.

    Configuração 2 do Azure AD

  2. Depois que o VDA for instalado, adicione o seguinte valor de registro:

    • Chave: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
    • Tipo de valor: DWORD
    • Nome do valor: GctRegistration
    • Dados de valor: 1

Prossiga para criar um catálogo de máquinas.

Catálogo de máquinas

Antes de criar o catálogo de máquinas ingressadas no Azure AD puro ou não ingressadas no domínio, você precisa do seguinte:

  1. Novo local de recursos
    • Navegue até a interface de usuário do administrador do Citrix Cloud > menu de hambúrguer superior esquerdo > Resource Locations.
    • Clique em + Resource Location.
    • Insira um nome para o novo local do recurso e clique em Save.
  2. Crie uma conexão de hospedagem com o Azure

    Nota:

    Isso só é necessário se você estiver implantando máquinas ingressadas no Azure AD ou se estiver implantando máquinas não ingressadas no domínio no Azure. Se você estiver implantando máquinas não ingressadas no domínio em uma plataforma diferente, consulte a seção Criar e gerenciar conexões para obter detalhes sobre a criação de outros tipos de conexões de host.

    • Navegue até a interface do usuário do administrador do Citrix Cloud > menu de hambúrguer superior esquerdo > My Services > DaaS > Manage > Full Configuration.
    • Selecione o nó Hosting à esquerda.
    • Selecione Add Connection and Resources.
    • Se tiver a opção, escolha Create a new connection.
    • Selecione o seguinte:
      • Tipo de conexão: Microsoft Azure
      • Ambiente do Azure: Azure Global
      • Nome da zona: selecione a zona que corresponde ao Local do recurso que você criou na etapa 1.
      • Crie máquinas virtuais usando: ferramentas de provisionamento Citrix
      • Clique em Avançar.

      Configuração 3 do Azure AD

    • Insira seu ID de assinatura do Azure e um nome para sua conexão de hospedagem.
    • O Citrix DaaS precisa de um aplicativo registrado em seu Azure Active Directory:
      • Se você quiser que o assistente crie uma entidade de serviço para você, clique em Create new…
      • Se você preferir criar uma entidade de serviço manualmente, clique em Use existing…

      Configuração 4 do Azure AD

      • Depois que uma conexão bem-sucedida for estabelecida com seu locatário do Azure, prossiga com o restante das etapas no assistente.

Consulte a documentação da Citrix para obter mais detalhes sobre como Criar e gerenciar conexões e Criar uma conexão com o Azure Resource Manager.

Depois que a conexão de hospedagem for criada, crie o catálogo de máquinas:

  1. Selecione o nó Machine Catalogs à esquerda.
  2. Selecione Create Machine Catalog.
  3. Selecione Create Machine Catalog como sistema operacional e clique em Next.
  4. Selecione Machines that are power managed, Citrix Machine Creation Services (MCS) e tenha o cuidado de selecionar os recursos corretos da nova zona na lista suspensa Recursos. Clique em Avançar.
  5. Selecione as configurações de experiência de desktop apropriadas com base em se você deseja áreas de trabalho persistentes ou não persistentes e se as áreas de trabalho são dedicadas ou agrupadas. Clique em Avançar.
  6. Na página da imagem mestre:
    • Selecione o disco que você deseja usar como imagem mestre. Este é o disco da VM em que você instalou o VDA anteriormente.
    • Selecione 2106 (or later) como o nível funcional.
    • Se estiver usando máquinas ingressadas no Azure AD puro, você deve marcar Use a machine profile e selecionar a máquina apropriada na lista.
    • Clique em Avançar.

    Configuração 5 do Azure AD

  7. Selecione as opções apropriadas para seu ambiente nas páginas Storage and License Types, Virtual Machines, Network Cards, Disk Settings e Resource Group.
  8. Na página Machine Identities, selecione o tipo de identidade correto (Azure Active Directory joined ou Non-domain-joined).

    • Se você selecionar Azure Active Directory joined como o tipo de identidade, certifique-se de selecionar Enroll the machines in Microsoft Intune se quiser que as máquinas sejam registradas automaticamente.

      Azure AD Microsoft Intune

  9. Prossiga para as etapas restantes no assistente para criar o catálogo de máquinas.
  10. Se estiver usando máquinas ingressadas no Azure AD puro, lembre-se de que os usuários devem receber acesso explícito no Azure para fazer login nas máquinas usando suas credenciais do AAD. Consulte a seção Considerações do ingresso no Azure AD puro para obter mais detalhes.
  11. Consulte a documentação da Citrix para obter mais detalhes sobre a criação de catálogos de máquinas.
  12. Depois que o catálogo de máquinas for criado, crie um grupo de entrega.

Grupo de entrega

Depois que seu catálogo de máquinas for criado, você precisará criar um grupo de entrega:

  1. Selecione o nó Delivery Groups à esquerda.
  2. Selecione Create Delivery Group.
  3. Na página Máquinas, selecione o catálogo de máquinas criado anteriormente e escolha quantas máquinas desse catálogo serão adicionadas ao Grupo de Entrega. Clique em Avançar.

    Configuração 6 do Azure AD

  4. Selecione Desktops como o tipo de entrega. Clique em Avançar.
  5. Selecione sua maneira preferida de gerenciar o acesso do usuário ao grupo de entrega. Clique em Avançar. A opção Restrict use of this delivery group to the following users só poderá ser usada se o Workspace estiver configurado para usar o Active Directory como o IdP.
  6. Se você selecionou Allow any authenticated users to use this delivery group na página Allow any authenticated users to use this delivery group, poderá ver a página Desktop Assignment Rules.
    • Clique em Add.
    • Insira um nome de exibição para a área de trabalho virtual (o nome que os usuários veem quando fazem login no Workspace).
    • Deixe selecionada Allow everyone with access to this delivery group to have a desktop assigned.
    • Clique em OK.
  7. Prossiga com as etapas restantes no assistente para criar o grupo de entrega.
  8. Consulte a documentação da Citrix para obter mais detalhes sobre a criação de grupos de entrega.

Habilitar Rendezvous

Depois que o grupo de entrega for criado, você precisará habilitar o Rendezvous. Consulte a documentação do Rendezvous para obter detalhes.

Configuração do VDA ingressado no Azure Active Directory e não ingressado em domínio