产品文档
Citrix DaaS™
查看 PDF

混合 Azure Active Directory 联接

September 12, 2025
投稿者: 
C C

注意:

自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。本文档中,所有提及 Azure Active Directory、Azure AD 或 AAD 的地方现在均指 Microsoft Entra ID。

本文介绍了使用 Citrix DaaS™ 创建混合 Azure Active Directory (HAAD) 联接目录的要求,以及 Citrix DaaS 系统要求部分中概述的要求。

混合 Azure AD 联接计算机使用本地 AD 作为身份验证提供程序。您可以将它们分配给本地 AD 中的域用户或组。要启用 Azure AD 无缝 SSO 体验,您需要将域用户同步到 Azure AD。

注意:

混合 Azure AD 联接的 VM 在联合和托管身份基础结构中均受支持。

要求

  • 控制平面:请参阅支持的配置
  • VDA 类型:单会话(仅限桌面)或多会话(应用程序和桌面)
  • VDA 版本:2212 或更高版本
  • 预配类型:Machine Creation Services™ (MCS),持久和非持久
  • 分配类型:专用和共用
  • 托管平台:任何虚拟机管理程序或云服务

限制

  • 如果使用 Citrix Federated Authentication Service (FAS),单点登录将定向到本地 AD 而不是 Azure AD。在这种情况下,建议配置 Azure AD 基于证书的身份验证,以便在用户登录时生成主刷新令牌 (PRT),这有助于在会话中实现对 Azure AD 资源的单点登录。否则,PRT 将不存在,并且对 Azure AD 资源的 SSO 将不起作用。有关使用 Citrix Federated Authentication Service (FAS) 实现对混合联接 VDA 的 Azure AD 单点登录 (SSO) 的信息,请参阅混合联接的 VDA
  • 创建或更新计算机目录时,请勿跳过映像准备。如果要跳过映像准备,请确保主 VM 未联接到 Azure AD 或混合 Azure AD。

注意事项

  • 创建混合 Azure Active Directory 联接计算机需要目标域中的 Write userCertificate 权限。请确保在创建目录时输入具有该权限的管理员凭据。

  • 混合 Azure AD 联接过程由 Citrix 管理。您需要按如下方式禁用 Windows 在主 VM 中控制的 autoWorkplaceJoin。手动禁用 autoWorkplaceJoin 的任务仅适用于 VDA 版本 2212 或更早版本。

    1. 运行 gpedit.msc
    2. 导航到计算机配置 > 管理模板 > Windows 组件 > 设备注册
    3. 将已加入域的计算机注册为设备设置为已禁用

  • 创建计算机身份时,选择配置为与 Azure AD 同步的组织单位 (OU)。

  • 对于基于 Windows 11 22H2 的主 VM,请在主 VM 中创建一个计划任务,该任务在系统启动时使用 SYSTEM 帐户执行以下命令。此在主 VM 中计划任务的任务仅适用于 VDA 版本 2212 或更早版本。

     $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
 $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
 $MaxCount = 60

 for ($count = 1; $count -le $MaxCount; $count++)
 {
   if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
   {
     $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
     if ($provider -eq 'Citrix')
     {
         break;
     }

     if ($provider -eq 1)
     {
         Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
         Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
         Start-Sleep 5
         dsregcmd /join
         break
     }
   }

   Start-Sleep 1
 }
 <!--NeedCopy-->
  • 默认情况下,Azure AD Connect 每 30 分钟同步一次。预配的计算机在首次启动时可能需要长达 30 分钟才能联接到混合 Azure AD。

后续步骤

有关创建混合 Azure Active Directory 联接计算机身份的身份池的更多信息,请参阅混合 Azure Active Directory 联接计算机身份的身份池

混合 Azure Active Directory 联接
September 12, 2025
投稿者: 
C C
September 12, 2025
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.