Documentación de productos
Citrix DaaS™
Ver PDF

Configuración de Azure para el inicio de sesión único de Microsoft Entra

May 4, 2026
Contribución de: 
C

Para utilizar el inicio de sesión único de Microsoft Entra, primero debes permitir la autenticación de Microsoft Entra para Windows en tu inquilino de Microsoft Entra ID, lo que permite emitir los tokens de autenticación necesarios que permiten a los usuarios iniciar sesión en los hosts de sesión unidos a Microsoft Entra y unidos a Microsoft Entra híbrido. Para lograrlo, debes hacer lo siguiente:

  1. Registra las aplicaciones de Citrix (aplicación de recursos y aplicación cliente) en tu inquilino de Microsoft Entra ID.
  2. Habilita la configuración de seguridad de Escritorio remoto para la aplicación de recursos de Citrix.
  3. Agrega la aplicación cliente de Citrix como cliente aprobado para la aplicación de recursos de Citrix.
  4. [Opcional] Oculta el cuadro de diálogo de solicitud de consentimiento del usuario.
  5. Crea un objeto de servidor Kerberos.
    1. Revisa las políticas de acceso condicional de Microsoft Entra.

La persona que realice la configuración de Azure debe tener asignado uno de los siguientes roles integrados de Microsoft Entra o un rol equivalente como mínimo:

Se proporcionan instrucciones sobre cómo completar la configuración con PowerShell y Graph Explorer.

Configuración de PowerShell

Si eliges usar el SDK de PowerShell de Microsoft Graph, ten en cuenta:

-  Necesitarás usar [Azure Cloud Shell](https://learn.microsoft.com/es-es/azure/cloud-shell/overview) con el tipo de terminal de PowerShell, o ejecutar [PowerShell 7.x](https://learn.microsoft.com/es-es/powershell/scripting/install/installing-powershell?view=powershell-7.5) en tu sistema local, y asegurarte de que tu [contexto de Azure esté configurado para la suscripción que deseas usar](https://learn.microsoft.com/es-es/powershell/azure/context-persistence?view=azps-14.3.0).
-  Necesitarás instalar el módulo v1.0 del [SDK de PowerShell de Microsoft Graph](https://learn.microsoft.com/es-es/powershell/microsoftgraph/installation?view=graph-powershell-1.0) (Microsoft.Graph) y el módulo de aplicación beta (Microsoft.Graph.Beta.Applications).

Habilitar la configuración de seguridad de Escritorio remoto

Después de registrar las aplicaciones de Citrix, debes habilitar la configuración de seguridad de Escritorio remoto en la aplicación de recursos de Citrix.

  1. Importa los módulos de autenticación y aplicación de Microsoft Graph y conéctate a Microsoft Graph con los ámbitos Application.Read.All y Application-RemoteDesktopConfig.ReadWrite.All:

    
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications
Import-Module Microsoft.Graph.Beta.Applications
Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

<!--NeedCopy-->

  2. Obtén el ID de objeto para las entidades de servicio asociadas con los registros de aplicaciones:

    Citrix Cloud EE. UU., UE, APS

    
$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '3a510bb1-e334-4298-831e-3eac97f8b26c'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '85651ebe-9a8e-49e4-aaf2-9274d9b6499f'").Id

<!--NeedCopy-->

    Citrix Cloud Japón

    
$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '0027603f-364b-40f2-98be-8ca4bb79bf8b'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '0fa97bc0-059c-4c10-8c54-845a1fd5a916'").Id

<!--NeedCopy-->

  3. Establece la propiedad isRemoteDesktopProtocolEnabled en true:

    
If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId -IsRemoteDesktopProtocolEnabled
}

<!--NeedCopy-->

  4. Confirma que la propiedad isRemoteDesktopProtocolEnabled esté establecida en true:

    
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId

<!--NeedCopy-->

Aprobar la aplicación cliente

Debes agregar explícitamente la aplicación cliente de Citrix como cliente aprobado en la aplicación de recursos de Citrix.

  1. Crea un objeto approvedClientApp:

    
$acp = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphApprovedClientApp
$acp.Id = $CtxClientSpId

<!--NeedCopy-->

  2. Agrega la aplicación cliente al objeto approvedClientApp:

    
New-MgBetaServicePrincipalRemoteDesktopSecurityConfigurationApprovedClientApp -ServicePrincipalId $CtxResourceSpId -BodyParameter $acp

<!--NeedCopy-->

    La salida debería ser similar a esta:

    Id                                    DisplayName
-----------                                    -----------
87654321-wxyz-1a2b-3c4d-1029384756af  Citrix-Workspace

Ocultar el cuadro de diálogo de solicitud de consentimiento del usuario

Por defecto, se solicita a los usuarios que permitan la conexión de Escritorio remoto al conectarse a un host de sesión unido a Microsoft Entra o unido a Microsoft Entra híbrido con el inicio de sesión único de Microsoft Entra habilitado, en el que deben seleccionar Sí para permitir el inicio de sesión único. Microsoft Entra recordará hasta 15 hosts de sesión únicos durante 30 días antes de volver a solicitarlo.

Puedes ocultar este cuadro de diálogo configurando una lista de dispositivos de destino. Para configurar la lista de dispositivos, debes crear uno o más grupos en Microsoft Entra ID que contengan los hosts de sesión unidos a Microsoft Entra y/o unidos a Microsoft Entra híbrido y luego autorizar los grupos en la aplicación de recursos, hasta un máximo de 10 grupos.

NOTA

Se recomienda encarecidamente crear un grupo dinámico para simplificar la gestión de la pertenencia al grupo. Aunque los grupos dinámicos normalmente se actualizan en 5-10 minutos, los inquilinos grandes pueden tardar hasta 24 horas.

Los grupos dinámicos requieren la licencia Microsoft Entra ID P1 o la licencia Intune para Educación. Para obtener más información, consulta Reglas de pertenencia dinámica para grupos.

-  Una vez creados los grupos, sigue estos pasos:

  1. Obtén el ID de objeto (OID) del grupo que contiene los hosts de sesión para los que deseas ocultar la solicitud de conexión de Escritorio remoto.

      1. Crea un objeto targetDeviceGroup:
    
$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<groupOID>"

<!--NeedCopy-->

  2. Agrega la aplicación cliente al objeto approvedClientApp:

    
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -BodyParameter $tdg

<!--NeedCopy-->

  • La salida debería ser similar a esta:

  • Id DisplayName

     --                                    --
 87654321-wxyz-1a2b-3c4d-1029384756af  Entra-SSO-Desktops
    1. Si más tarde necesitas quitar un grupo de dispositivos del objeto targetDeviceGroup, ejecuta el siguiente comando:
    
 Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -TargetDeviceGroupId "<groupOID>"

 <!--NeedCopy-->

NOTA

Puedes repetir estos pasos para agregar más grupos si es necesario, hasta un máximo de 10 grupos.

Configuración de la API de Microsoft Graph

Habilitar la configuración de seguridad de Escritorio remoto

Después de registrar las aplicaciones de Citrix, debes habilitar la configuración de seguridad de Escritorio remoto en la aplicación de recursos de Citrix.

  1. Obtén el ID de objeto (OID) de las entidades de servicio asociadas a los registros de aplicaciones desde el portal de Azure:
    1. Ve a Microsoft Entra ID > Aplicaciones empresariales.
        1. Quita el filtro Application type si está establecido para que se listen todas las aplicaciones.
        1. Busca Citrix-Workspace-Resource / Citrix-Workspace-Resource-JP y anota el ID de objeto asociado para la aplicación de recursos.
        1. Busca Citrix-Workspace / Citrix-Workspace-JP y anota el ID de objeto asociado para la aplicación cliente.

  2. En Graph Explorer, inicia sesión con una cuenta del inquilino de Azure de destino que tenga los permisos necesarios.

      1. Establece la siguiente consulta:
    • Método de solicitud HTTP: PATCH
    • Versión de la API de Microsoft Graph: v1.0

    • Consulta:

      
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration

 <!--NeedCopy-->

    • Cuerpo de la solicitud:

      ```

  • {

  • “@odata.type”: “#microsoft.graph.remoteDesktopSecurityConfiguration”, “isRemoteDesktopProtocolEnabled”: true }

     <!--NeedCopy--> ```

  1. Selecciona la ficha Modificar permisos y asegúrate de haber dado tu consentimiento al permiso Application.ReadWrite.All.

  2. Ejecuta la consulta.

Consulta el tipo de recurso remoteDesktopSecurityConfiguration para referencia.

Aprobar la aplicación cliente

Debes agregar explícitamente la aplicación cliente de Citrix como cliente aprobado en la aplicación de recursos de Citrix.

Establece la siguiente consulta y ejecútala:

  • Método de solicitud HTTP: POST
  • Versión de la API de Microsoft Graph: beta

  • Consulta:

    
 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/approvedClientApps

 <!--NeedCopy-->

  • Cuerpo de la solicitud:

    
 {
     "@odata.type": "#microsoft.graph.approvedClientApp",
     "id": "<clientAppOID>"
 }

 <!--NeedCopy-->

Ocultar el cuadro de diálogo de solicitud de consentimiento del usuario

De forma predeterminada, se solicita a los usuarios que permitan la conexión de Escritorio remoto al conectarse a un host de sesión unido a Microsoft Entra o unido a Microsoft Entra híbrido con el inicio de sesión único de Microsoft Entra habilitado, en cuyo caso deben seleccionar Sí para permitir el inicio de sesión único. Microsoft Entra recordará hasta 15 hosts de sesión únicos durante 30 días antes de volver a solicitarlo.

Puedes ocultar este cuadro de diálogo configurando una lista de dispositivos de destino. Para configurar la lista de dispositivos, debes crear uno o más grupos en Microsoft Entra ID que contengan los hosts de sesión unidos a Microsoft Entra y/o unidos a Microsoft Entra híbrido y, a continuación, autorizar los grupos en la aplicación de recursos, hasta un máximo de 10 grupos.

NOTA

Se recomienda encarecidamente crear un grupo dinámico para simplificar la administración de la pertenencia al grupo. Aunque los grupos dinámicos suelen actualizarse en 5-10 minutos, los inquilinos grandes pueden tardar hasta 24 horas.

Los grupos dinámicos requieren la licencia Microsoft Entra ID P1 o la licencia Intune para Educación. Para obtener más información, consulta Reglas de pertenencia dinámica para grupos.

Una vez creados los grupos, sigue estos pasos:

  1. Obtén el ID de objeto (OID) del grupo que contiene los hosts de sesión para los que quieres ocultar la solicitud de conexión de Escritorio remoto.

  2. Establece la siguiente consulta y ejecútala:

    • Método de solicitud HTTP: POST
    • Versión de la API de Microsoft Graph: v1.0

    • Consulta:

      
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

    • Cuerpo de la solicitud:

      
 {
     "@odata.type": "#microsoft.graph.targetDeviceGroup",
     "id": "<groupOID>"
 }

 <!--NeedCopy-->

NOTA

Puedes repetir estos pasos para agregar más grupos si es necesario, hasta un máximo de 10 grupos.

Si más tarde necesitas quitar un grupo de dispositivos del objeto targetDeviceGroup, establece lo siguiente y ejecuta la consulta:

  • Método de solicitud HTTP: DELETE
  • Versión de la API de Microsoft Graph: v1.0

  • Consulta:

    
 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

Consulta el tipo de recurso targetDeviceGroup para referencia.

Crear un objeto de servidor Kerberos

Si tus hosts de sesión están unidos a Microsoft Entra híbrido, debes configurar un objeto de servidor Kerberos en el dominio de Active Directory donde residen las cuentas de usuario y equipo. Consulta Crear un objeto de servidor Kerberos para obtener más detalles.

Revisar las directivas de acceso condicional de Microsoft Entra

Si usas o planeas usar las directivas de acceso condicional de Microsoft Entra, revisa la configuración aplicada a la aplicación de recursos de Citrix y a la aplicación cliente de Citrix para asegurarte de que los usuarios tengan la experiencia de inicio de sesión prevista.

Para obtener una guía detallada sobre cómo configurar el acceso condicional al usar el inicio de sesión único de Microsoft Entra para DaaS, consulta la documentación de Microsoft. Recuerda que la configuración de acceso condicional requerida debe aplicarse a la aplicación de recursos de Citrix o a la aplicación cliente de Citrix, no a las aplicaciones de Microsoft.

Configuración de Azure para el inicio de sesión único de Microsoft Entra
May 4, 2026
Contribución de: 
C
May 4, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.