Citrix DaaS™

Configuration Azure de l’authentification unique Microsoft Entra

May 4, 2026

Contributeur:

Pour utiliser l’authentification unique Microsoft Entra, vous devez d’abord autoriser l’authentification Microsoft Entra pour Windows dans votre locataire Microsoft Entra ID, ce qui permet l’émission des jetons d’authentification requis qui permettent aux utilisateurs de se connecter aux hôtes de session joints à Microsoft Entra et aux hôtes de session hybrides joints à Microsoft Entra. Pour ce faire, vous devez procéder comme suit :

Enregistrer les applications Citrix (application de ressource et application cliente) dans votre locataire Microsoft Entra ID.
Activer la configuration de sécurité du Bureau à distance pour l’application de ressource Citrix.
Ajouter l’application cliente Citrix en tant que client approuvé pour l’application de ressource Citrix.
[Facultatif] Masquer la boîte de dialogue d’invite de consentement de l’utilisateur.
Créer un objet serveur Kerberos.

1. Examiner les stratégies d’accès conditionnel Microsoft Entra.

La personne effectuant la configuration Azure doit se voir attribuer l’un des rôles intégrés Microsoft Entra suivants ou un rôle équivalent au minimum :

Administrateur d’application
Administrateur d’application cloud
Si vous souhaitez effectuer la configuration Azure via PowerShell, vous devrez utiliser le SDK Microsoft Graph PowerShell. Vous pouvez également utiliser l’API Microsoft Graph avec un outil tel que Graph Explorer.

Des instructions sont fournies sur la façon d’effectuer la configuration avec PowerShell et Graph Explorer.

Configuration PowerShell

Si vous choisissez d’utiliser le SDK Microsoft Graph PowerShell, veuillez noter :

-  Vous devrez utiliser l'[Azure Cloud Shell](https://learn.microsoft.com/fr-fr/azure/cloud-shell/overview) avec le type de terminal PowerShell, ou exécuter [PowerShell 7.x](https://learn.microsoft.com/fr-fr/powershell/scripting/install/installing-powershell?view=powershell-7.5) sur votre système local, et vous assurer que votre [contexte Azure est défini sur l'abonnement que vous souhaitez utiliser](https://learn.microsoft.com/fr-fr/powershell/azure/context-persistence?view=azps-14.3.0).
-  Vous devrez installer le [SDK Microsoft Graph PowerShell](https://learn.microsoft.com/fr-fr/powershell/microsoftgraph/installation?view=graph-powershell-1.0) module v1.0 (Microsoft.Graph) et le module d'application bêta (Microsoft.Graph.Beta.Applications).

Activer la configuration de sécurité du Bureau à distance

Après avoir enregistré les applications Citrix, vous devez activer la configuration de sécurité du Bureau à distance dans l’application de ressource Citrix.

Importez les modules Microsoft Graph d’authentification et d’application et connectez-vous à Microsoft Graph avec les étendues Application.Read.All et Application-RemoteDesktopConfig.ReadWrite.All :

Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications
Import-Module Microsoft.Graph.Beta.Applications
Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

<!--NeedCopy-->

Obtenez l’ID d’objet pour les principaux de service associés aux enregistrements d’application :

Citrix Cloud États-Unis, UE, APS

$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '3a510bb1-e334-4298-831e-3eac97f8b26c'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '85651ebe-9a8e-49e4-aaf2-9274d9b6499f'").Id

<!--NeedCopy-->

Citrix Cloud Japon

$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '0027603f-364b-40f2-98be-8ca4bb79bf8b'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '0fa97bc0-059c-4c10-8c54-845a1fd5a916'").Id

<!--NeedCopy-->

Définissez la propriété isRemoteDesktopProtocolEnabled sur true :

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId -IsRemoteDesktopProtocolEnabled
}

<!--NeedCopy-->

Confirmez que la propriété isRemoteDesktopProtocolEnabled est définie sur true :

Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId

<!--NeedCopy-->

Approuver l’application cliente

Vous devez ajouter explicitement l’application cliente Citrix en tant que client approuvé dans l’application de ressource Citrix.

Créez un objet approvedClientApp :

$acp = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphApprovedClientApp
$acp.Id = $CtxClientSpId

<!--NeedCopy-->

Ajoutez l’application cliente à l’objet approvedClientApp :

New-MgBetaServicePrincipalRemoteDesktopSecurityConfigurationApprovedClientApp -ServicePrincipalId $CtxResourceSpId -BodyParameter $acp

<!--NeedCopy-->

Le résultat doit être similaire à ceci :

Id                                    DisplayName
-----------                                    -----------
87654321-wxyz-1a2b-3c4d-1029384756af  Citrix-Workspace

Masquer la boîte de dialogue d’invite de consentement de l’utilisateur

Par défaut, les utilisateurs sont invités à autoriser la connexion Bureau à distance lors de la connexion à un hôte de session joint à Microsoft Entra ou à un hôte de session hybride joint à Microsoft Entra avec l’authentification unique Microsoft Entra activée, où ils doivent sélectionner Oui pour autoriser l’authentification unique. Microsoft Entra mémorise jusqu’à 15 hôtes de session uniques pendant 30 jours avant de demander à nouveau.

Vous pouvez masquer cette boîte de dialogue en configurant une liste de périphériques cibles. Pour configurer la liste des périphériques, vous devez créer un ou plusieurs groupes dans Microsoft Entra ID qui contiennent les hôtes de session joints à Microsoft Entra et/ou les hôtes de session hybrides joints à Microsoft Entra, puis autoriser les groupes dans l’application de ressource, jusqu’à un maximum de 10 groupes.

REMARQUE

Il est fortement recommandé de créer un groupe dynamique pour simplifier la gestion des membres du groupe. Bien que les groupes dynamiques se mettent normalement à jour en 5 à 10 minutes, les grands locataires peuvent prendre jusqu’à 24 heures.

Les groupes dynamiques nécessitent la licence Microsoft Entra ID P1 ou la licence Intune pour l’éducation. Pour plus d’informations, consultez Règles d’appartenance dynamique pour les groupes.

-  Une fois les groupes créés, suivez ces étapes :

Obtenez l’ID d’objet (OID) du groupe qui contient les hôtes de session pour lesquels vous souhaitez masquer l’invite de connexion Bureau à distance.
- 1. Créez un objet targetDeviceGroup :
```
$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<groupOID>"


```

Ajoutez l’application cliente à l’objet approvedClientApp :

New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -BodyParameter $tdg

<!--NeedCopy-->

Le résultat doit être similaire à ceci :

Id DisplayName

 --                                    --
 87654321-wxyz-1a2b-3c4d-1029384756af  Entra-SSO-Desktops

Si vous devez ultérieurement supprimer un groupe de périphériques de l’objet targetDeviceGroup, exécutez la commande suivante :

 Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -TargetDeviceGroupId "<groupOID>"

 <!--NeedCopy-->

REMARQUE

Vous pouvez répéter ces étapes pour ajouter d’autres groupes si nécessaire, jusqu’à un maximum de 10 groupes.

Configuration de l’API Microsoft Graph

Activer la configuration de sécurité du Bureau à distance

Après avoir enregistré les applications Citrix, vous devez activer la configuration de sécurité du Bureau à distance dans l’application de ressources Citrix.

Obtenez l’ID d’objet (OID) des principaux de service associés aux enregistrements d’application à partir du portail Azure :
1. Accédez à Microsoft Entra ID > Applications d’entreprise.
  - 1. Supprimez le filtre Type d'application s’il est défini afin que toutes les applications soient répertoriées.
  - 1. Recherchez Citrix-Workspace-Resource / Citrix-Workspace-Resource-JP et notez l’ID d’objet associé pour l’application de ressources.
  - 1. Recherchez Citrix-Workspace / Citrix-Workspace-JP et notez l’ID d’objet associé pour l’application cliente.
Dans Graph Explorer, connectez-vous avec un compte du locataire Azure cible disposant des autorisations requises.
- 1. Définissez la requête suivante :
- Méthode de requête HTTP : PATCH
- Version de l’API Microsoft Graph : v1.0
- Requête :
```
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration

 
```
- Corps de la requête :
  
```

{
“@odata.type”: “#microsoft.graph.remoteDesktopSecurityConfiguration”, “isRemoteDesktopProtocolEnabled”: true }
```
  ```
```

Sélectionnez l’onglet Modifier les autorisations et assurez-vous que vous avez consenti à l’autorisation Application.ReadWrite.All.
Exécutez la requête.

Consultez le type de ressource remoteDesktopSecurityConfiguration pour référence.

Approuver l’application cliente

Vous devez ajouter explicitement l’application cliente Citrix en tant que client approuvé dans l’application de ressources Citrix.

Définissez la requête suivante et exécutez-la :

Méthode de requête HTTP : POST
Version de l’API Microsoft Graph : bêta

Requête :

 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/approvedClientApps

 <!--NeedCopy-->

Corps de la requête :

 {
     "@odata.type": "#microsoft.graph.approvedClientApp",
     "id": "<clientAppOID>"
 }

 <!--NeedCopy-->

Masquer la boîte de dialogue d’invite de consentement de l’utilisateur

Par défaut, les utilisateurs sont invités à autoriser la connexion Bureau à distance lorsqu’ils se connectent à un hôte de session joint à Microsoft Entra ou joint à Microsoft Entra hybride avec l’authentification unique Microsoft Entra activée, auquel cas ils doivent sélectionner Oui pour autoriser l’authentification unique. Microsoft Entra mémorise jusqu’à 15 hôtes de session uniques pendant 30 jours avant de demander à nouveau.

Vous pouvez masquer cette boîte de dialogue en configurant une liste d’appareils cibles. Pour configurer la liste des appareils, vous devez créer un ou plusieurs groupes dans Microsoft Entra ID qui contiennent les hôtes de session joints à Microsoft Entra et/ou joints à Microsoft Entra hybride, puis autoriser les groupes dans l’application de ressources, jusqu’à un maximum de 10 groupes.

REMARQUE

Il est fortement recommandé de créer un groupe dynamique pour simplifier la gestion des membres du groupe. Bien que les groupes dynamiques se mettent normalement à jour en 5 à 10 minutes, les grands locataires peuvent prendre jusqu’à 24 heures.

Les groupes dynamiques nécessitent la licence Microsoft Entra ID P1 ou la licence Intune pour l’éducation. Pour plus d’informations, consultez Règles d’appartenance dynamique pour les groupes.

Une fois les groupes créés, suivez ces étapes :

Obtenez l’ID d’objet (OID) du groupe qui contient les hôtes de session pour lesquels vous souhaitez masquer l’invite de connexion Bureau à distance.

Définissez la requête suivante et exécutez-la :

Méthode de requête HTTP : POST
Version de l’API Microsoft Graph : v1.0

Requête :

 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

Corps de la requête :

 {
     "@odata.type": "#microsoft.graph.targetDeviceGroup",
     "id": "<groupOID>"
 }

 <!--NeedCopy-->

REMARQUE

Vous pouvez répéter ces étapes pour ajouter d’autres groupes si nécessaire, jusqu’à un maximum de 10 groupes.

Si vous devez ultérieurement supprimer un groupe d’appareils de l’objet targetDeviceGroup, définissez ce qui suit et exécutez la requête :

Méthode de requête HTTP : DELETE
Version de l’API Microsoft Graph : v1.0

Requête :

 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

Consultez le type de ressource targetDeviceGroup pour référence.

Créer un objet serveur Kerberos

Si vos hôtes de session sont joints à Microsoft Entra hybride, vous devez configurer un objet serveur Kerberos dans le domaine Active Directory où résident les comptes d’utilisateur et d’ordinateur. Consultez Créer un objet serveur Kerberos pour plus de détails.

Examiner les stratégies d’accès conditionnel de Microsoft Entra

Si vous utilisez ou prévoyez d’utiliser des stratégies d’accès conditionnel de Microsoft Entra, examinez la configuration appliquée à l’application de ressources Citrix et à l’application cliente Citrix pour vous assurer que les utilisateurs bénéficient de l’expérience de connexion souhaitée.

Pour des conseils détaillés sur la configuration de l’accès conditionnel lors de l’utilisation de l’authentification unique Microsoft Entra pour DaaS, consultez la documentation Microsoft. N’oubliez pas que les paramètres d’accès conditionnel requis doivent être appliqués à l’application de ressources Citrix ou à l’application cliente Citrix, et non aux applications Microsoft.

La version officielle de la documentation de ce produit est en anglais. Toute version dans une langue autre que l’anglais est fournie uniquement à titre indicatif et peut inclure du contenu traduit automatiquement. Pour en savoir plus, veuillez consulter la clause de non-responsabilité relative à la traduction automatique sur Cloud Software Group home.

Cela vous a-t-il été utile ?

Configuration Azure de l’authentification unique Microsoft Entra

May 4, 2026

Contributeur:

May 4, 2026

Contributeur:

Cela vous a-t-il été utile ?