Produktdokumentation
Citrix DaaS™
PDF anzeigen

Microsoft Entra Single Sign-On Azure-Konfiguration

May 4, 2026
Beitrag von: 
C

Um Microsoft Entra Single Sign-On nutzen zu können, müssen Sie zunächst die Microsoft Entra-Authentifizierung für Windows in Ihrem Microsoft Entra ID-Mandanten zulassen. Dies ermöglicht die Ausstellung der erforderlichen Authentifizierungstoken, die es Benutzern erlauben, sich bei den Microsoft Entra-verbundenen und Microsoft Entra hybrid-verbundenen Sitzungshosts anzumelden. Dazu müssen Sie Folgendes tun:

  1. Registrieren Sie die Citrix-Anwendungen (Ressourcen-App und Client-App) in Ihrem Microsoft Entra ID-Mandanten.
  2. Aktivieren Sie die Remotedesktop-Sicherheitskonfiguration für die Citrix-Ressourcenanwendung.
  3. Fügen Sie die Citrix-Clientanwendung als genehmigten Client für die Citrix-Ressourcenanwendung hinzu.
  4. [Optional] Blenden Sie das Dialogfeld für die Benutzerzustimmung aus.
  5. Erstellen Sie ein Kerberos-Serverobjekt.
    1. Überprüfen Sie die Richtlinien für den bedingten Zugriff von Microsoft Entra.

Die Person, die die Azure-Konfiguration vornimmt, muss mindestens eine der folgenden integrierten Microsoft Entra-Rollen oder eine gleichwertige Rolle zugewiesen bekommen:

Es werden Anweisungen zur Durchführung der Konfiguration sowohl mit PowerShell als auch mit Graph Explorer bereitgestellt.

PowerShell-Konfiguration

Wenn Sie das Microsoft Graph PowerShell SDK verwenden möchten, beachten Sie bitte:

-  Sie müssen die [Azure Cloud Shell](https://learn.microsoft.com/de-de/azure/cloud-shell/overview) mit dem PowerShell-Terminaltyp verwenden oder [PowerShell 7.x](https://learn.microsoft.com/de-de/powershell/scripting/install/installing-powershell?view=powershell-7.5) auf Ihrem lokalen System ausführen und sicherstellen, dass Ihr [Azure-Kontext auf das Abonnement eingestellt ist, das Sie verwenden möchten](https://learn.microsoft.com/de-de/powershell/azure/context-persistence?view=azps-14.3.0).
-  Sie müssen das [Microsoft Graph PowerShell SDK](https://learn.microsoft.com/de-de/powershell/microsoftgraph/installation?view=graph-powershell-1.0) v1.0-Modul (Microsoft.Graph) und das Beta-Anwendungsmodul (Microsoft.Graph.Beta.Applications) installieren.

Remotedesktop-Sicherheitskonfiguration aktivieren

Nachdem Sie die Citrix-Anwendungen registriert haben, müssen Sie die Remotedesktop-Sicherheitskonfiguration in der Citrix-Ressourcenanwendung aktivieren.

  1. Importieren Sie die Microsoft Graph-Module für Authentifizierung und Anwendung und stellen Sie eine Verbindung zu Microsoft Graph mit den Scopes Application.Read.All und Application-RemoteDesktopConfig.ReadWrite.All her:

    
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications
Import-Module Microsoft.Graph.Beta.Applications
Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

<!--NeedCopy-->

  2. Rufen Sie die Objekt-ID für die Dienstprinzipale ab, die den App-Registrierungen zugeordnet sind:

    Citrix Cloud USA, EU, APS

    
$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '3a510bb1-e334-4298-831e-3eac97f8b26c'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '85651ebe-9a8e-49e4-aaf2-9274d9b6499f'").Id

<!--NeedCopy-->

    Citrix Cloud Japan

    
$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '0027603f-364b-40f2-98be-8ca4bb79bf8b'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '0fa97bc0-059c-4c10-8c54-845a1fd5a916'").Id

<!--NeedCopy-->

  3. Setzen Sie die Eigenschaft isRemoteDesktopProtocolEnabled auf true.

    
If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId -IsRemoteDesktopProtocolEnabled
}

<!--NeedCopy-->

  4. Bestätigen Sie, dass die Eigenschaft isRemoteDesktopProtocolEnabled auf true gesetzt ist:

    
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId

<!--NeedCopy-->

Clientanwendung genehmigen

Sie müssen die Citrix Client-Anwendung explizit als genehmigten Client in der Citrix Ressourcenanwendung hinzufügen.

  1. Erstellen Sie ein approvedClientApp-Objekt:

    
$acp = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphApprovedClientApp
$acp.Id = $CtxClientSpId

<!--NeedCopy-->

  2. Fügen Sie die Client-App dem approvedClientApp-Objekt hinzu:

    
New-MgBetaServicePrincipalRemoteDesktopSecurityConfigurationApprovedClientApp -ServicePrincipalId $CtxResourceSpId -BodyParameter $acp

<!--NeedCopy-->

    Die Ausgabe sollte ähnlich wie folgt aussehen:

    Id                                    DisplayName
-----------                                    -----------
87654321-wxyz-1a2b-3c4d-1029384756af  Citrix-Workspace

Dialogfeld für die Benutzerzustimmung ausblenden

Standardmäßig werden Benutzer aufgefordert, die Remotedesktopverbindung zuzulassen, wenn sie sich mit einem Microsoft Entra-verbundenen oder Microsoft Entra hybrid-verbundenen Sitzungshost verbinden, bei dem Microsoft Entra Single Sign-On aktiviert ist. Dabei müssen sie “Ja” auswählen, um Single Sign-On zuzulassen. Microsoft Entra merkt sich bis zu 15 eindeutige Sitzungshosts für 30 Tage, bevor die Aufforderung erneut erscheint.

Sie können dieses Dialogfeld ausblenden, indem Sie eine Liste von Zielgeräten konfigurieren. Um die Geräteliste zu konfigurieren, müssen Sie eine oder mehrere Gruppen in Microsoft Entra ID erstellen, die die Microsoft Entra-verbundenen und/oder Microsoft Entra hybrid-verbundenen Sitzungshosts enthalten, und diese Gruppen dann in der Ressourcenanwendung autorisieren, bis zu einem Maximum von 10 Gruppen.

HINWEIS

Es wird dringend empfohlen, eine dynamische Gruppe zu erstellen, um die Mitgliederverwaltung für die Gruppe zu vereinfachen. Während dynamische Gruppen normalerweise innerhalb von 5-10 Minuten aktualisiert werden, kann es bei großen Mandanten bis zu 24 Stunden dauern.

Dynamische Gruppen erfordern die Microsoft Entra ID P1-Lizenz oder die Intune for Education-Lizenz. Weitere Informationen finden Sie unter Regeln für die dynamische Mitgliedschaft von Gruppen.

-  Nachdem die Gruppen erstellt wurden, führen Sie die folgenden Schritte aus:

  1. Rufen Sie die Objekt-ID (OID) der Gruppe ab, die die Sitzungshosts enthält, für die Sie die Remotedesktopverbindungsaufforderung ausblenden möchten.

      1. Erstellen Sie ein targetDeviceGroup-Objekt:
    
$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<groupOID>"

<!--NeedCopy-->

  2. Fügen Sie die Client-App dem approvedClientApp-Objekt hinzu:

    
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -BodyParameter $tdg

<!--NeedCopy-->

  • Die Ausgabe sollte ähnlich wie folgt aussehen:

  • Id DisplayName

     --                                    --
 87654321-wxyz-1a2b-3c4d-1029384756af  Entra-SSO-Desktops
    1. Wenn Sie später eine Gerätegruppe aus dem targetDeviceGroup-Objekt entfernen müssen, führen Sie den folgenden Befehl aus:
    
 Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -TargetDeviceGroupId "<groupOID>"

 <!--NeedCopy-->

HINWEIS

Sie können diese Schritte wiederholen, um bei Bedarf weitere Gruppen hinzuzufügen, bis zu einem Maximum von 10 Gruppen.

Microsoft Graph API-Konfiguration

Remotedesktop-Sicherheitskonfiguration aktivieren

Nachdem Sie die Citrix-Anwendungen registriert haben, müssen Sie die Remotedesktop-Sicherheitskonfiguration in der Citrix Ressourcenanwendung aktivieren.

  1. Rufen Sie die Objekt-ID (OID) für die Dienstprinzipale ab, die den App-Registrierungen im Azure-Portal zugeordnet sind:
    1. Navigieren Sie zu Microsoft Entra ID > Unternehmensanwendungen.
        1. Entfernen Sie den Filter Anwendungstyp, falls er gesetzt ist, damit alle Anwendungen aufgelistet werden.
        1. Suchen Sie nach Citrix-Workspace-Resource / Citrix-Workspace-Resource-JP und notieren Sie die zugehörige Objekt-ID für die Ressourcenanwendung.
        1. Suchen Sie nach Citrix-Workspace / Citrix-Workspace-JP und notieren Sie die zugehörige Objekt-ID für die Clientanwendung.

  2. Melden Sie sich im Graph Explorer mit einem Konto des Ziel-Azure-Mandanten an, das über die erforderlichen Berechtigungen verfügt.

      1. Legen Sie die folgende Abfrage fest:
    • HTTP-Anfragemethode: PATCH
    • Microsoft Graph API-Version: v1.0

    • Abfrage:

      
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration

 <!--NeedCopy-->

    • Anfragetext:

      ```

  • {

  • “@odata.type”: “#microsoft.graph.remoteDesktopSecurityConfiguration”, “isRemoteDesktopProtocolEnabled”: true }

     <!--NeedCopy--> ```

  1. Wählen Sie die Registerkarte Berechtigungen ändern aus und stellen Sie sicher, dass Sie der Berechtigung Application.ReadWrite.All zugestimmt haben.

  2. Führen Sie die Abfrage aus.

Siehe Ressourcentyp remoteDesktopSecurityConfiguration als Referenz.

Clientanwendung genehmigen

Sie müssen die Citrix Clientanwendung explizit als genehmigten Client in der Citrix Ressourcenanwendung hinzufügen.

Legen Sie die folgende Abfrage fest und führen Sie sie aus:

  • HTTP-Anfragemethode: POST
  • Microsoft Graph API-Version: beta

  • Abfrage:

    
 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/approvedClientApps

 <!--NeedCopy-->

  • Anfragetext:

    
 {
     "@odata.type": "#microsoft.graph.approvedClientApp",
     "id": "<clientAppOID>"
 }

 <!--NeedCopy-->

Dialogfeld für die Benutzerzustimmung ausblenden

Standardmäßig werden Benutzer aufgefordert, die Remotedesktopverbindung zuzulassen, wenn sie sich mit einem Microsoft Entra-verbundenen oder Microsoft Entra-hybrid-verbundenen Sitzungshost mit aktiviertem Microsoft Entra Single Sign-On verbinden, wobei sie Ja auswählen müssen, um Single Sign-On zuzulassen. Microsoft Entra merkt sich bis zu 15 eindeutige Sitzungshosts für 30 Tage, bevor die Aufforderung erneut angezeigt wird.

Sie können dieses Dialogfeld ausblenden, indem Sie eine Liste von Zielgeräten konfigurieren. Um die Geräteliste zu konfigurieren, müssen Sie eine oder mehrere Gruppen in Microsoft Entra ID erstellen, die die Microsoft Entra-verbundenen und/oder Microsoft Entra-hybrid-verbundenen Sitzungshosts enthalten, und dann die Gruppen in der Ressourcenanwendung autorisieren, bis zu einem Maximum von 10 Gruppen.

HINWEIS

Es wird dringend empfohlen, eine dynamische Gruppe zu erstellen, um die Mitgliederverwaltung für die Gruppe zu vereinfachen. Während dynamische Gruppen normalerweise innerhalb von 5-10 Minuten aktualisiert werden, kann es bei großen Mandanten bis zu 24 Stunden dauern.

Dynamische Gruppen erfordern die Microsoft Entra ID P1-Lizenz oder die Intune for Education-Lizenz. Weitere Informationen finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen.

Nachdem die Gruppen erstellt wurden, führen Sie die folgenden Schritte aus:

  1. Rufen Sie die Objekt-ID (OID) der Gruppe ab, die die Sitzungshosts enthält, für die Sie die Remotedesktopverbindungsaufforderung ausblenden möchten.

  2. Legen Sie die folgende Abfrage fest und führen Sie sie aus:

    • HTTP-Anfragemethode: POST
    • Microsoft Graph API-Version: v1.0

    • Abfrage:

      
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

    • Anfragetext:

      
 {
     "@odata.type": "#microsoft.graph.targetDeviceGroup",
     "id": "<groupOID>"
 }

 <!--NeedCopy-->

HINWEIS

Sie können diese Schritte wiederholen, um bei Bedarf weitere Gruppen hinzuzufügen, bis zu einem Maximum von 10 Gruppen.

Wenn Sie später eine Gerätegruppe aus dem targetDeviceGroup-Objekt entfernen müssen, legen Sie Folgendes fest und führen Sie die Abfrage aus:

  • HTTP-Anfragemethode: DELETE
  • Microsoft Graph API-Version: v1.0

  • Abfrage:

    
 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

Siehe Ressourcentyp targetDeviceGroup als Referenz.

Kerberos-Serverobjekt erstellen

Wenn Ihre Sitzungshosts Microsoft Entra hybrid-verbunden sind, müssen Sie ein Kerberos-Serverobjekt in der Active Directory-Domäne konfigurieren, in der sich die Benutzer- und Computerkonten befinden. Weitere Informationen finden Sie unter Kerberos-Serverobjekt erstellen.

Microsoft Entra Richtlinien für bedingten Zugriff überprüfen

Wenn Sie Microsoft Entra Richtlinien für bedingten Zugriff verwenden oder planen, diese zu verwenden, überprüfen Sie die Konfiguration, die auf die Citrix Ressourcenanwendung und die Citrix Clientanwendung angewendet wird, um sicherzustellen, dass Benutzer die beabsichtigte Anmeldeerfahrung haben.

Detaillierte Anleitungen zur Konfiguration des bedingten Zugriffs bei Verwendung von Microsoft Entra Single Sign-On für DaaS finden Sie in der Microsoft-Dokumentation. Beachten Sie, dass die erforderlichen Einstellungen für den bedingten Zugriff auf die Citrix Ressourcenanwendung oder die Citrix Clientanwendung angewendet werden müssen, nicht auf die Microsoft-Anwendungen.

Microsoft Entra Single Sign-On Azure-Konfiguration
May 4, 2026
Beitrag von: 
C
May 4, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.