加入了 Azure Active Directory
注意:
此功能正在分阶段推出。它可能尚未针对您的帐户激活。
本文介绍如何使用 Citrix DaaS 创建 Azure Active Directory (AD) 加入的目录。
要求
-
控制平面:Citrix DaaS
-
VDA 类型:单会话或多会话操作系统 VDA
-
VDA 版本:2203 或更高版本
-
预配类型:仅使用计算机配置文件工作流的 Machine Creation Services (MCS) 持久和非持久
-
分配类型:专用和池
-
托管平台:仅限 Azure
-
主 VM 不得加入 Azure AD
-
可以启用Rendezvous V2 ,因此不需要 Citrix Cloud 连接器。要启用 Rendezvous,必须添加注册表设置。有关如何添加它的更多信息,请参阅 VDA 安装和配置。
限制
-
仅支持 Microsoft Azure Resource Manager 云环境。
-
不支持单点登录到虚拟桌面。用户在登录桌面时必须手动输入凭据。
-
首次启动虚拟桌面会话时,Windows 登录屏幕会显示上次登录用户的登录提示,但没有切换到其他用户的选项。用户必须等到登录超时并且出现桌面的锁定屏幕,然后单击锁定屏幕以再次显示登录屏幕。此时,用户可以选择“其他用户”并输入其凭据。
-
不支持使用 Windows Hello 登录到虚拟桌面。如果用户尝试使用 Windows Hello PIN 登录,他们会收到一条错误消息,指出他们不是代理用户,并且会话已断开连接。
-
不支持服务连续性。
注意事项
-
主虚拟机不得加入到 Azure AD。
-
不支持 Windows Hello。因此,请在主虚拟机中禁用 Windows Hello。要做到这一点,您有两种方法:
-
在主虚拟机中使用本地组策略。
- 运行
gpedit.msc。 - 导航到计算机配置 > 管理模板 > Windows 组件 > Windows Hello 企业版。
- 将使用 Windows Hello 企业版设置为已禁用或已启用。
- 选择“登录后不要启动 Windows Hello 配置”。
- 运行
-
使用Microsoft Intune(仅限永久性计算机)。
- 创建用于禁用 Windows Hello 企业版的设备配置文件。有关详细信息,请参阅 Microsoft 文档。
-
创建加入 Azure AD 的目录
您可以使用完整配置界面或 PowerShell 创建加入 Azure AD 的目录。
使用“完整配置”界面
以下信息用于补充创建计算机目录中的指导信息。若要创建加入 Azure AD 的目录,请遵循该文章中的一般指导,注意特定于 Azure AD 加入的目录的详细信息。
在目录创建向导中执行以下操作:
- 在“计算机标识”页面上,选择“已加入 Azure ActiveDirectory”。创建的计算机归某个组织所有,并使用属于该组织的 Azure AD 帐户登录。它们只存在于云中。
注意:
- 已加入 Azure Active Directory 的标识类型要求将 VDA 版本 1811 或更高版本作为目录的最低功能级别。要使其可用,请在必要时更新最低功能级别。
- 这些计算机将加入托管连接绑定到的 Azure AD。
使用 PowerShell
以下是相当于完全配置中的操作的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息,请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。
本地 AD 加入目录和加入 Azure AD 的目录之间的区别在于身份池的创建和置备方案。
要为 Azure AD 加入的目录创建身份池,请执行以下操作:
New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
要为加入 Azure AD 的目录创建置备方案,需要在 New-ProvScheme 中使用 MachineProfile 参数:
New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->
用于创建 Azure AD 联接目录的所有其他命令与用于传统本地 AD 联接目录的命令相同。
查看 Azure AD 加入过程的状态
在“完整配置”界面中,当交付组中加入 Azure AD 的计算机处于开机状态时,Azure AD 加入进程的状态将可见。要查看状态,请使用搜索来标识这些计算机,然后在下部窗格的详细信息选项卡上为每台选中计算机标识。计算机标识中可能显示以下信息:
- Azure AD 已加入
- 尚未加入 Azure AD
注意:
如果计算机未能处于 Azure AD 加入状态,则它们不会向Delivery Controller 注册。它们的注册状态显示为 初始化。
此外,使用完整配置界面,您可以了解计算机不可用的原因。为此,请单击搜索节点上的计算机,在下部窗格的详细信息选项卡上选中注册,然后阅读工具提示以获取其他信息。
启用用户使用 Azure AD 帐户登录
必须将计算机或交付组分配给特定的 Azure AD 帐户。这可以通过使用完整配置界面(在分配用户时使用 选择身份类型 字段)或 Citrix Cloud Library 页面来完成。
要允许用户使用其 Azure AD 凭据登录计算机,请在资源组级别添加角色分配:
-
登录 Azure 门户。
-
选择资源组。
-
单击虚拟桌面工作负载所在的资源组。
-
选择 Access control (IAM)(访问控制(IAM))。
-
单击 Add role assignment(添加角色分配)。
-
搜索 虚拟机用户登录,在列表中将其选中,然后单击 下一步。
-
选择 User, group, or service principal(用户、组或服务主体)。
-
单击 选择成员 ,然后选择要授予虚拟桌面访问权限的用户和组。
-
单击 Select(选择)。
-
单击 Review + assign(检查 + 分配)。
-
再次单击“查看 + 分配”。
注意:
如果选择让 MCS 为虚拟桌面创建资源组,请在创建计算机目录后添加此角色分配。
Microsoft Intune
注意:
此功能仅适用于加入 Azure AD 的持久性计算机。计算机必须满足最低系统要求。有关更多信息,请参阅 Microsoft 文档: https://docs.microsoft.com/en-us/mem/intune/fundamentals/supported-devices-browsers#microsoft。
您可以使用 Citrix DaaS 启用Microsoft Intune 注册。Microsoft Intune 是一项基于云的服务,专注于移动设备管理 (MDM) 和移动应用程序管理 (MAM)。您可以控制组织设备的使用方式,包括手机、平板电脑和笔记本电脑。有关更多信息,请参阅 Microsoft Intune。
Microsoft Intune 通过使用 Azure AD 的功能来工作。
重要:
在启用此功能之前,请验证您的 Azure 环境是否符合使用Microsoft Intune 的许可要求。有关更多信息,请参阅 Microsoft 文档: https://docs.microsoft.com/en-us/mem/intune/fundamentals/licenses。如果您没有相应的 Intune 许可证,请不要启用该功能。
启用Microsoft Intune
您可以使用完整配置界面或 PowerShell 来启用Microsoft Intune。
使用“完整配置”界面
以下信息用于补充创建计算机目录中的指导信息。此功能要求在目录创建期间在计算机标识中选择已加入 Azure Active Directory。请遵循该文章中的一般指导,注意此功能的特定细节。
在目录创建向导中执行以下操作:
- 在“计算机身份”页面上,选择“已加入 Azure Active Directory”,然后选择“在 Microsoft Intune 中注册计算机” 如果启用,请在 Microsoft Intune 中注册计算机以进行管理。
使用 PowerShell
以下是相当于完全配置中的操作的 PowerShell 步骤。
要使用远程 PowerShell SDK 在 Microsoft Intune 中注册计算机,请使用 New-AcctIdentityPool 中的 DeviceManagementType 参数。此功能要求目录已加入 Azure AD,并且 Azure AD 拥有正确的Microsoft Intune 许可证。例如:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
提示:
此功能是使用 Azure Resource Manager 模板实现的。在模板中,在 AADLoginForWindows 扩展中指定 Microsoft Intune 的应用程序 ID,以使加入 Azure AD 的虚拟机能够注册。