Citrix DaaS

已加入混合 Azure Active Directory

注意:

此功能正在分阶段推出。它可能尚未针对您的帐户激活。

本文介绍如何使用 Citrix DaaS 创建已加入混合 Azure Active Directory (AD) 的目录。

已加入 Azure AD 的混合计算机使用本地 AD 作为身份验证提供程序。您可以将它们分配给本地 AD 中的域用户或组。要启用 Azure AD 无缝 SSO 体验,您需要将域用户同步到 Azure AD。

要求

  • 控制平面:Citrix DaaS

  • VDA 类型:单会话或多会话操作系统 VDA

  • VDA 版本:2112 或更高版本

  • 预配类型:Machine Creation Services (MCS) 静态和非静态

  • 分配类型:专用和池

  • 托管平台:任何虚拟机管理程序或云服务

  • 主 VM 不得加入 Azure AD

限制

  • 如果使用 Citrix 联合身份验证服务 (FAS),则单点登录将定向到本地 AD 而非 Azure AD。

注意事项

  • 主虚拟机可以加入本地 AD 或未加入域。但是,它们不得加入 Azure AD。您可以在主虚拟机中运行 dsregcmd /stat us 来检查混合 Azure AD 加入的当前状态,然后使用 dsregcmd /leav e 取消加入。

  • 创建混合 Azure Active Directory 加入的计算机需要目标域中的 Write userCertificate 权限。请确保在创建目录期间输入具有该权限的管理员的凭据。

  • 混合 Azure AD 加入过程由 Citrix 管理。您需要在主 VM 中禁用 Windows 控制的 autoWorkplaceJoin,如下所示:

    1. 运行 gpedit.msc
    2. 导航到 计算机配置 > 管理模板 > Windows 组件 > 设备注册
    3. 将“将 加入域的计算机注册为设备”设置为已禁用”。
  • 选择在创建计算机标识时配置为与 Azure AD 同步的组织单位 (OU)。

创建已加入混合 Azure AD 的目录

您可以使用完整配置界面或 PowerShell 创建加入 Azure AD 的目录。

使用“完整配置”界面

以下信息用于补充创建计算机目录中的指导信息。若要创建已加入混合 Azure AD 的目录,请遵循该文章中的一般指导,注意特定于已加入混合 Azure AD 的目录的详细信息。

在目录创建向导中执行以下操作:

  • 在“计算机标识”页面上,选择“已加入混合 Azure Active Directory”。创建的计算机归某个组织所有,并使用属于该组织的 Active Directory 域服务帐户登录。它们存在于云端和本地。

注意:

如果选择已加入混合 Azure Active Directory 作为标识类型,则目录中的每台计算机都必须具有相应的 AD 计算机帐户。

使用 PowerShell

以下是相当于完全配置中的操作的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息,请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/

本地已加入 AD 的目录和已加入混合 Azure AD 的目录之间的区别在于身份池和计算机帐户的创建。

要创建身份池以及已加入混合 Azure AD 的目录的帐户,请执行以下操作:

New-AcctIdentityPool -AllowUnicode -IdentityType="HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注意:

$password 是具有写入权限的 AD 用户帐户的匹配密码。

用于创建已加入混合 Azure AD 的目录的所有其他命令与用于传统本地 AD 联接目录的命令相同。

查看混合 Azure AD 加入进程的状态

在“完整配置”界面中,在交付组中已加入混合 Azure AD 的计算机处于开机状态时,已加入混合 Azure AD 的进程的状态将可见。要查看状态,请使用搜索来标识这些计算机,然后在下部窗格的详细信息选项卡上为每台选中计算机标识计算机标识中可能显示以下信息:

  • 已加入混合 Azure AD

  • 尚未加入 Azure AD

注意:

  • 计算机最初开机时,您可能会遇到混合 Azure AD 加入延迟的情况。这是由默认的计算机标识同步间隔(Azure AD 连接的 30 分钟)造成的。只有在计算机标识通过 Azure AD Connect 同步到 Azure AD 之后,计算机才处于已加入混合 Azure AD 的状态。
  • 如果计算机无法处于已加入混合 Azure AD 的状态,则它们不会在 Delivery Controller 中注册。其注册状态显示为初始化

此外,使用完整配置界面,您可以了解计算机不可用的原因。为此,请单击搜索节点上的计算机,在下部窗格的详细信息选项卡上选中注册,然后阅读工具提示以获取其他信息。

故障排除

如果计算机无法处于已加入混合 Azure AD 的状态,请执行以下操作:

  • 检查计算机帐户是否已通过 Microsoft Azure AD 门户同步到 Azure AD。如果已同步,则会显示“尚未加入 Azure AD”,表示注册状态待定。

    要将计算机帐户同步到 Azure AD,请确保:

    • 计算机帐户位于配置为与 Azure AD 同步的 OU 中。没有 用户证书 属性的计算机帐户不会同步到 Azure AD,即使它们位于配置为同步的 OU 中。

    • 用户证书”属性将填充到计算机帐户中。使用 Active Directory Explorer 查看属性。

    • 创建计算机帐户后,Azure AD 连接必须至少同步一次。如果没有,请在 Azure AD Connect 计算机的 PowerShell 控制台中手动运行 start-adSyncSynccCycycle-PolicyType Delta 命令以触发即时同步。

  • 通过在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix 下查询 DeviceKeyPairRestored 的值,检查已加入混合 Azure AD 的 Citrix 托管设备密钥对是否正确推送到计算机

    验证该值是否为 1。如果没有,可能的原因是:

    • 与置备方案关联的身份池的 identityType 未设置为 HybridazuRead。这可以通过 Get-IdentityPool 进行验证。

    • 未使用与计算机目录相同的置备方案置备计算机。

    • 计算机未加入本地域。加入本地域是混合 Azure AD 加入的先决条件。

  • 通过在 MCS 置备的计算机上运行 dsregcmd /status /debug 命令来检查诊断消息。

    如果混合 Azure AD 加入成功,则命令行输出中的 AzureAdJoinedDomainJoinedYES

    如果不, 请参阅 Microsoft 文档以解决问题:https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current

已加入混合 Azure Active Directory