Citrix DaaS

Azure Active Directory ingressado

Nota:

Esse recurso está sendo implementado em fases. Ele pode não estar ativo ainda na sua conta.

Este artigo descreve como criar catálogos ingressados do Azure Active Directory (AD) usando o Citrix DaaS.

Requisitos

  • Plano de controle: Citrix DaaS

  • Tipo de VDA: VDA com SO de sessão única ou multissessão

  • Versão do VDA: 2203 ou posterior

  • Tipo de provisionamento: Machine Creation Services (MCS) persistente e não persistente usando somente o fluxo de trabalho de perfil de máquina

  • Tipo de atribuição: dedicada e em pool

  • Plataforma de hospedagem: somente Azure

  • VMs mestre não devem ser ingressadas no Azure AD

  • O Rendezvous V2 pode ser ativado, assim os Citrix Cloud Connectors não são necessários. Para ativar o Rendezvous, você deve adicionar uma configuração de registro. Para obter mais informações sobre como adicioná-lo, consulte Instalação e configuração do VDA.

Limitações

  • Aceita apenas os ambientes de nuvem do Microsoft Azure Resource Manager.

  • O logon único a áreas de trabalho virtuais não é aceito. Os usuários devem inserir as credenciais manualmente ao fazer login em suas áreas de trabalho.

  • A primeira vez que uma sessão de área de trabalho virtual é iniciada, a tela de entrada do Windows mostra o prompt de logon do último usuário conectado sem a opção de alternar para outro usuário. O usuário deve esperar até que o logon expire e a tela de bloqueio da área de trabalho apareça e, em seguida, clique na tela de bloqueio para revelar a tela de logon novamente. Nesse ponto, o usuário pode selecionar Other user e fornecer suas credenciais.

  • Usar o Windows Hello para entrar na área de trabalho virtual não é aceito. Se os usuários tentarem usar um PIN do Windows Hello para fazer login, eles receberão um erro informando que eles não são o usuário intermediado e que a sessão foi desconectada.

  • A continuidade do serviço não tem suporte.

Considerações

  • As VMs mestre não devem ser ingressadas no Azure AD.

  • O Windows Hello não tem suporte. Portanto, desative o Windows Hello nas VMs mestre. Para isso, você tem dois métodos:

    • Usando a política de grupo local nas VMs mestre.

      • Execute gpedit.msc.
      • Navegue até Computer Configuration > Administrative Templates > Windows Components > Windows Hello for Business.
      • Defina Use Windows Hello for Business como Disabled ou Enabled.
      • Selecione Do not start Windows Hello provisioning after sign-in.
    • Usando o Microsoft Intune (somente máquinas persistentes).

      • Crie um perfil de dispositivo que desative o Windows Hello for Business. Consulte a documentação da Microsoft para obter detalhes.

Criar catálogos ingressados no Azure AD

Você pode criar catálogos ingressados no Azure AD usando a interface Full Configuration ou o PowerShell.

Usar a interface Full Configuration

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas. Para criar catálogos ingressados no Azure AD, siga as orientações gerais nesse artigo, considerando os detalhes específicos dos catálogos ingressados no Azure AD.

No assistente de criação de catálogo:

  • Na página Machine Identities, selecione Azure Active Directory joined. As máquinas criadas pertencem a uma organização e estão conectadas a uma conta do Azure AD que pertence a essa organização. Elas existem apenas na nuvem.

Nota:

  • O tipo de identidade Azure Active Directory joined requer a versão 1811 ou posterior do VDA como o nível funcional mínimo para o catálogo. Para disponibilizá-lo, atualize o nível funcional mínimo, se necessário.
  • As máquinas são ingressadas no Azure AD ao qual a conexão de hospedagem está vinculada.

Usar o PowerShell

A seguir estão as etapas do PowerShell equivalentes às operações em Full Configuration. Para obter informações sobre como criar um catálogo usando o Remote PowerShell SDK, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

A diferença entre os catálogos ingressados no AD local e os ingressados no Azure AD está na criação do pool de identidades e do esquema de provisionamento.

Para criar um pool de identidades para catálogos ingressados no Azure AD:

New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Para criar um esquema de provisionamento para catálogos ingressados no Azure AD, o parâmetro MachineProfile é necessário em New-ProvScheme:

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Todos os outros comandos usados para criar catálogos ingressados no Azure AD são os mesmos dos tradicionais catálogos ingressados no AD local.

Exibir o status do processo de ingresso no Azure AD

Na interface Full Configuration, o status do processo de ingresso do Azure AD é visível quando as máquinas ingressadas no Azure AD em um grupo de entrega estão em um estado ligado. Para exibir o status, use Search para identificar as máquinas e depois a guia Details, no painel inferior, para cada Machine Identity. As informações a seguir podem aparecer em Machine Identity:

  • Azure AD joined
  • Not yet joined to Azure AD

Nota:

Se as máquinas não estiverem no estado ingressado no Azure AD, elas não serão registradas no Delivery Controller. O status de registro delas aparece como Initialization.

Além disso, usando a interface Full Configuration, você pode descobrir por que as máquinas não estão disponíveis. Para isso, clique em uma máquina no nó Search, selecione Registration na guia Details no painel inferior e leia a dica de ferramenta para obter informações adicionais.

Habilitar login de usuário com contas do Azure AD

Máquinas ou grupos de entrega devem ser atribuídos a contas específicas do Azure AD. Isso pode ser feito usando a interface Full Configuration (usando o campo Select identity type ao atribuir usuários) ou a página Citrix Cloud Library.

Para permitir que os usuários façam login nas máquinas com suas credenciais do Azure AD, adicione a atribuição de função no nível do grupo de recursos:

  1. Faça login no portal do Azure.

  2. Selecione Resource Groups.

  3. Clique no grupo de recursos em que as cargas de trabalho de desktop virtual residem.

  4. Selecione Access control (IAM).

  5. Clique em Add role assignment.

  6. Procure por Virtual Machine User Login, selecione-o na lista e clique em Next.

  7. Selecione User, group, or service principal.

  8. Clique em Select members e selecione os usuários e grupos aos quais você deseja conceder acesso às áreas de trabalho virtuais.

  9. Clique em Select members.

  10. Clique em Review + assign.

  11. Clique em Review + assign novamente.

Nota:

Se você optar por permitir que o MCS crie o grupo de recursos para as áreas de trabalho virtuais, adicione essa atribuição de função após a criação do catálogo de máquinas.

Microsoft Intune

Nota:

Esse recurso se aplica somente às máquinas persistentes ingressadas no Azure AD. As máquinas devem atender aos requisitos mínimos do sistema. Para obter mais informações, consulte a documentação da Microsoft: https://docs.microsoft.com/en-us/mem/intune/fundamentals/supported-devices-browsers#microsoft.

Você pode usar o Citrix DaaS para habilitar o registro do Microsoft Intune. O Microsoft Intune é um serviço baseado em nuvem que se concentra no gerenciamento de dispositivos móveis (MDM) e no gerenciamento de aplicativos móveis (MAM). Você controla como os dispositivos da sua organização são usados, incluindo telefones celulares, tablets e laptops. Para obter mais informações, consulte Microsoft Intune.

O Microsoft Intune funciona usando a funcionalidade do Azure AD.

Importante:

Antes de habilitar esse recurso, verifique se o seu ambiente do Azure atende aos requisitos de licenciamento para usar o Microsoft Intune. Para obter mais informações, consulte a documentação da Microsoft: https://docs.microsoft.com/en-us/mem/intune/fundamentals/licenses. Não ative o recurso se você não tiver a licença apropriada do Intune.

Ativar o Microsoft Intune

Você pode ativar o Microsoft Intune usando a interface Full Configuration ou o PowerShell.

Usar a interface Full Configuration

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas. Esse recurso requer a seleção de Azure Active Directory joined em Machine Identities durante a criação do catálogo. Siga as orientações gerais no artigo, levando em consideração os detalhes específicos do recurso.

No assistente de criação de catálogo:

  • Na página Machine Identities, selecione Azure Active Directory joined e depois Enroll the machines in Microsoft Intune. Se habilitado, registre as máquinas no Microsoft Intune para gerenciamento.

Usar o PowerShell

A seguir estão as etapas do PowerShell equivalentes às operações em Full Configuration.

Para registrar máquinas no Microsoft Intune usando o Remote PowerShell SDK, use o parâmetro DeviceManagementType em New-AcctIdentityPool. Esse recurso requer que o catálogo seja ingressado no Azure AD e que o Azure AD possua a licença correta do Microsoft Intune. Por exemplo:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Dica:

O recurso é implementado usando o modelo do Azure Resource Manager. No modelo, especifique o ID do aplicativo do Microsoft Intune na extensão AADLoginForWindows para permitir que as VMs ingressadas no Azure AD se registrem.

Azure Active Directory ingressado