Citrix Virtual Apps and Desktops

Ingressado no Azure Active Directory híbrido

Este artigo descreve os requisitos para criar catálogos ingressados do Hybrid Azure Active Directory (HAAD) usando o Citrix DaaS, além dos requisitos descritos na seção de requisitos do sistema Citrix DaaS.

As máquinas ingressadas no Azure AD híbrido usam o AD local como o provedor de autenticação. Você pode atribuí-las a grupos ou usuários de domínio no AD local. Para habilitar a experiência de SSO fluida do Azure AD, você precisa ter os usuários do domínio sincronizados com o Azure AD.

Nota:

As VMs ingressadas do Hybrid Azure AD são suportadas em infraestruturas de identidade federadas e gerenciadas.

Requisitos

  • Tipo de VDA: sessão única (somente áreas de trabalho) ou multissessão (aplicativos e áreas de trabalho)
  • Versão do VDA: 2212 ou posterior
  • Tipo de provisionamento: Machine Creation Services (MCS), persistente e não persistente
  • Tipo de atribuição: dedicada e em pool
  • Plataforma de hospedagem: qualquer hipervisor ou serviço em nuvem

Limitações

  • Se o Serviço de autenticação federada (FAS) da Citrix for usado, o logon único será direcionado para o AD local em vez de para o Azure AD. Nesse caso, é recomendável configurar a autenticação baseada em certificado do Azure AD para que o token de atualização principal (PRT) seja gerado no login do usuário, o que facilita o logon único nos recursos do Azure AD na sessão. Caso contrário, o PRT não estará presente e o SSO aos recursos do Azure AD não funcionará. Para obter informações sobre como obter o logon único (SSO) do Azure AD para VDAs ingressados híbridos usando o Citrix Federated Authentication Service (FAS), consulte VDAs ingressados híbridos.
  • Não pule a preparação de imagens ao criar ou atualizar catálogos de máquinas. Se você quiser pular a preparação da imagem, certifique-se de que as VMs mestre não sejam ingressadas no Azure AD ou no Hybrid Azure AD.

Considerações

  • A criação de máquinas ingressadas no Azure Active Directory híbrido requer a permissão Write userCertificate no domínio de destino. Certifique-se de inserir as credenciais de um administrador com essa permissão durante a criação do catálogo.
  • O processo de ingresso no Azure AD híbrido é gerenciado pela Citrix. Você precisa desabilitar autoWorkplaceJoin controlado pelo Windows nas VMs mestre da seguinte forma. A tarefa de desabilitar manualmente autoWorkplaceJoin só é necessária para o VDA versão 2212 ou anterior.

    1. Execute gpedit.msc.
    2. Navegue para Computer Configuration > Administrative Templates > Windows Components > Device Registration.
    3. Defina Register domain joined computers as devices como Disabled.
  • Selecione a Unidade Organizacional (UO) que está configurada para ser sincronizada com o Azure AD ao criar as identidades de máquina.

  • Para a VM mestre baseada no Windows 11 22H2, crie uma tarefa agendada na VM mestre que execute os seguintes comandos na inicialização do sistema usando a conta SYSTEM. Essa tarefa de agendar uma tarefa na VM mestre só é necessária para o VDA versão 2212 ou anterior.

     $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
     $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
     $MaxCount = 60
    
     for ($count = 1; $count -le $MaxCount; $count++)
     {
       if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
       {
         $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
         if ($provider -eq 'Citrix')
         {
             break;
         }
    
         if ($provider -eq 1)
         {
             Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
             Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
             Start-Sleep 5
             dsregcmd /join
             break
         }
       }
    
       Start-Sleep 1
     }
     <!--NeedCopy-->
    

O que fazer a seguir

Para obter mais informações sobre como criar catálogos ingressados do Hybrid Azure Active Directory, consulte Criar catálogos ingressados no Hybrid Azure Active Directory.

Ingressado no Azure Active Directory híbrido