Citrix DaaS

加入了 Azure Active Directory

注意:

此功能正在分阶段推出。它可能尚未针对您的帐户激活。

本文介绍如何使用 Citrix DaaS 创建 Azure Active Directory (AD) 加入的目录。

要求

  • 控制平面:Citrix DaaS

  • VDA 类型:单会话或多会话操作系统 VDA

  • VDA 版本:2203 或更高版本

  • 预配类型:仅使用计算机配置文件工作流的 Machine Creation Services (MCS) 持久和非持久

  • 分配类型:专用和池

  • 托管平台:仅限 Azure

  • 主 VM 不得加入 Azure AD

  • 可以启用Rendezvous V2 ,因此不需要 Citrix Cloud 连接器。要启用 Rendezvous,必须添加注册表设置。有关如何添加它的更多信息,请参阅 VDA 安装和配置

限制

  • 仅支持 Microsoft Azure Resource Manager 云环境。

  • 不支持单点登录到虚拟桌面。用户在登录桌面时必须手动输入凭据。

  • 首次启动虚拟桌面会话时,Windows 登录屏幕会显示上次登录用户的登录提示,但没有切换到其他用户的选项。用户必须等到登录超时并且出现桌面的锁定屏幕,然后单击锁定屏幕以再次显示登录屏幕。此时,用户可以选择“其他用户”并输入其凭据。

  • 不支持使用 Windows Hello 登录到虚拟桌面。如果用户尝试使用 Windows Hello PIN 登录,他们会收到一条错误消息,指出他们不是代理用户,并且会话已断开连接。

  • 不支持服务连续性。

注意事项

  • 主虚拟机不得加入到 Azure AD。

  • 不支持 Windows Hello。因此,请在主虚拟机中禁用 Windows Hello。要做到这一点,您有两种方法:

    • 在主虚拟机中使用本地组策略。

      • 运行 gpedit.msc
      • 导航到计算机配置 > 管理模板 > Windows 组件 > Windows Hello 企业版
      • 使用 Windows Hello 企业版设置为已禁用已启用
      • 选择“登录后不要启动 Windows Hello 配置”
    • 使用Microsoft Intune(仅限永久性计算机)。

      • 创建用于禁用 Windows Hello 企业版的设备配置文件。有关详细信息,请参阅 Microsoft 文档。

创建加入 Azure AD 的目录

您可以使用完整配置界面或 PowerShell 创建加入 Azure AD 的目录。

使用“完整配置”界面

以下信息用于补充创建计算机目录中的指导信息。若要创建加入 Azure AD 的目录,请遵循该文章中的一般指导,注意特定于 Azure AD 加入的目录的详细信息。

在目录创建向导中执行以下操作:

  • 在“计算机标识”页面上,选择“已加入 Azure ActiveDirectory”。创建的计算机归某个组织所有,并使用属于该组织的 Azure AD 帐户登录。它们只存在于云中。

注意:

  • 已加入 Azure Active Directory 的标识类型要求将 VDA 版本 2203 或更高版本作为目录的最低功能级别。要使其可用,请在必要时更新最低功能级别。
  • 这些计算机将加入托管连接绑定到的 Azure AD。

使用 PowerShell

以下是相当于完全配置中的操作的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息,请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/

本地 AD 加入目录和加入 Azure AD 的目录之间的区别在于身份池的创建和置备方案。

要为 Azure AD 加入的目录创建身份池,请执行以下操作:

New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

要为加入 Azure AD 的目录创建置备方案,需要在 New-ProvScheme 中使用 MachineProfile 参数:

New-ProvScheme -CleanOnBoot -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

用于创建 Azure AD 联接目录的所有其他命令与用于传统本地 AD 联接目录的命令相同。

查看 Azure AD 加入过程的状态

在“完整配置”界面中,当交付组中加入 Azure AD 的计算机处于开机状态时,Azure AD 加入进程的状态将可见。要查看状态,请使用搜索来标识这些计算机,然后在下部窗格的详细信息选项卡上为每台选中计算机标识计算机标识中可能显示以下信息:

  • Azure AD 已加入
  • 尚未加入 Azure AD

注意:

如果计算机未能处于 Azure AD 加入状态,则它们不会向Delivery Controller 注册。它们的注册状态显示为 初始化。

此外,使用完整配置界面,您可以了解计算机不可用的原因。为此,请单击搜索节点上的计算机,在下部窗格的详细信息选项卡上选中注册,然后阅读工具提示以获取其他信息。

启用用户使用 Azure AD 帐户登录

必须将计算机或交付组分配给特定的 Azure AD 帐户。这可以通过使用完整配置界面(在分配用户时使用 选择身份类型 字段)或 Citrix Cloud Library 页面来完成。

要允许用户使用其 Azure AD 凭据登录计算机,请在资源组级别添加角色分配:

  1. 登录 Azure 门户。

  2. 选择资源组

  3. 单击虚拟桌面工作负载所在的资源组。

  4. 选择 Access control (IAM)(访问控制(IAM))。

  5. 单击 Add role assignment(添加角色分配)。

  6. 搜索 虚拟机用户登录,在列表中将其选中,然后单击 下一步

  7. 选择 User, group, or service principal(用户、组或服务主体)。

  8. 单击 选择成员 ,然后选择要授予虚拟桌面访问权限的用户和组。

  9. 单击 Select(选择)。

  10. 单击 Review + assign(检查 + 分配)。

  11. 再次单击“查看 + 分配”。

注意:

如果选择让 MCS 为虚拟桌面创建资源组,请在创建计算机目录后添加此角色分配。

Microsoft Intune

注意:

此功能仅适用于加入 Azure AD 的持久性计算机。机器必须满足最低系统要求。有关更多信息,请参阅 Microsoft 文档: https://docs.microsoft.com/en-us/mem/intune/fundamentals/supported-devices-browsers#microsoft

您可以使用 Citrix DaaS 启用Microsoft Intune 注册。Microsoft Intune 是一项基于云的服务,专注于移动设备管理 (MDM) 和移动应用程序管理 (MAM)。您可以控制组织设备的使用方式,包括手机、平板电脑和笔记本电脑。有关更多信息,请参阅 Microsoft Intune

Microsoft Intune 通过使用 Azure AD 的功能来工作。

重要:

在启用此功能之前,请验证您的 Azure 环境是否符合使用Microsoft Intune 的许可要求。有关更多信息,请参阅 Microsoft 文档: https://docs.microsoft.com/en-us/mem/intune/fundamentals/licenses。如果您没有相应的 Intune 许可证,请不要启用该功能。

启用Microsoft Intune

您可以使用完整配置界面或 PowerShell 来启用Microsoft Intune。

使用“完整配置”界面

以下信息用于补充创建计算机目录中的指导信息。此功能要求在目录创建期间在计算机标识中选择已加入 Azure Active Directory。请遵循该文章中的一般指导,注意此功能的特定细节。

在目录创建向导中执行以下操作:

  • 在“计算机身份”页面上,选择“已加入 Azure Active Directory”,然后选择“在 Microsoft Intune 中注册计算机” 如果启用,请在 Microsoft Intune 中注册计算机以进行管理。

使用 PowerShell

以下是相当于完全配置中的操作的 PowerShell 步骤。

要使用远程 PowerShell SDK 在 Microsoft Intune 中注册计算机,请使用 New-AcctIdentityPool 中的 DeviceManagementTypeparameter。此功能要求目录已加入 Azure AD,并且 Azure AD 拥有正确的Microsoft Intune 许可证。例如:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

提示:

此功能是使用 Azure Resource Manager 模板实现的。在模板中,在 aadLoginforWindows 扩展中指定Microsoft Intune 的应用程序 ID,以使加入 Azure AD 的虚拟机能够注册。

加入了 Azure Active Directory