Citrix Virtual Apps and Desktops

Joint à Azure Active Directory Hybride

Remarque :

Depuis juillet 2023, Microsoft a renommé Azure Active Directory (Azure AD) Microsoft Entra ID. Dans ce document, toute occurrence de l’appellation Azure Active Directory, Azure AD ou de l’acronyme AAD fait désormais référence à Microsoft Entra ID.

Cet article décrit les conditions requises pour créer des catalogues joints à Azure Active Directory Hybride (HAAD) à l’aide de Citrix DaaS, en plus des exigences décrites dans la section Configuration système requise pour Citrix DaaS.

Les machines jointes à Azure AD Hybride utilisent AD sur site comme fournisseur d’authentification. Vous pouvez les attribuer à des utilisateurs ou à des groupes de domaine dans AD sur site. Pour permettre une expérience d’authentification unique transparente dans Azure AD, vous devez synchroniser les utilisateurs de domaine avec Azure AD.

Remarque :

Les machines virtuelles jointes à Azure AD Hybride sont prises en charge dans les infrastructures d’identité fédérées et gérées.

Exigences

  • Type de VDA : mono-session (bureaux uniquement) ou multisession (applications et bureaux)
  • Version de VDA : 2212 ou ultérieure
  • Type de provisioning : Machine Creation Services (MCS), persistant et non persistant
  • Type d’affectation : dédié et regroupé
  • Plate-forme d’hébergement : tout hyperviseur ou service cloud

Limitations

  • Si le service d’authentification fédérée de Citrix (FAS) est utilisé, l’authentification unique (Single Sign-On) est dirigée vers le domaine AD local plutôt que vers Azure AD. Dans ce cas, il est recommandé de configurer l’authentification basée sur les certificats Azure AD afin que le jeton d’actualisation principal (PRT) soit généré lors de la connexion de l’utilisateur, ce qui facilite l’authentification unique aux ressources Azure AD au sein de la session. Sinon, le PRT ne sera pas présent et l’authentification unique aux ressources Azure AD ne fonctionnera pas. Pour plus d’informations sur la mise en place de l’authentification unique (SSO) Azure AD sur des VDA joints hybrides à l’aide du service d’authentification fédérée (FAS) Citrix, consultez la section VDA joints hybrides.
  • N’ignorez pas la préparation des images lors de la création ou de la mise à jour des catalogues de machines. Si vous souhaitez ignorer la préparation des images, assurez-vous que les VM principales ne sont pas jointes à Azure AD ou à Azure AD Hybride.

Considérations

  • La création de machines hybrides jointes à Azure Active Directory requiert l’autorisation Write userCertificate dans le domaine cible. Assurez-vous de saisir les informations d’identification d’un administrateur disposant de cette autorisation lors de la création du catalogue.
  • Le processus Azure AD Hybride est géré par Citrix. Vous devez désactiver le paramètre autoWorkplaceJoin contrôlé par Windows dans les VM principales comme suit. La désactivation manuelle de autoWorkplaceJoin est requise uniquement pour la version 2212 ou antérieure du VDA.

    1. Exécutez gpedit.msc.
    2. Accédez à Configuration ordinateur > Modèles d’administration > Composants Windows > Enregistrement d’appareil.
    3. Définissez Enregistrer les ordinateurs appartenant à un domaine en tant qu’appareils sur Désactivé.
  • Sélectionnez l’unité d’organisation (UO) configurée pour être synchronisée avec Azure AD lorsque vous créez les identités de machine.

  • Pour la machine virtuelle principale basée sur Windows 11 22H2 : créez une tâche planifiée dans la machine virtuelle principale qui exécute la commande suivante au démarrage du système à l’aide du compte système. Cette planification de tâche dans la machine virtuelle principale n’est requise que pour la version 2212 ou antérieure du VDA.

     $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
     $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
     $MaxCount = 60
    
     for ($count = 1; $count -le $MaxCount; $count++)
     {
       if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
       {
         $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
         if ($provider -eq 'Citrix')
         {
             break;
         }
    
         if ($provider -eq 1)
         {
             Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
             Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
             Start-Sleep 5
             dsregcmd /join
             break
         }
       }
    
       Start-Sleep 1
     }
     <!--NeedCopy-->
    

Autres ressources

Pour plus d’informations sur la création de catalogues joints à Azure Active Directory Hybride, voir Créer des catalogues joints à Azure Active Directory Hybride.

Joint à Azure Active Directory Hybride