Documentation produit
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Voir PDF

Authentification unique par transfert de domaine amélioré

April 16, 2026
Contributeur: 
C C

L’authentification unique par transfert de domaine amélioré utilise Kerberos pour activer l’authentification unique dans l’application Citrix Workspace et dans les sessions d’applications et de bureaux virtuels lors de l’utilisation de périphériques clients joints à Active Directory (AD) et de Citrix StoreFront.

Remarque :

  • Cette fonctionnalité n’est pas prise en charge sur les systèmes d’exploitation 32 bits.

  • Cette fonctionnalité remplace la fonctionnalité d’authentification par transfert héritée basée sur le service d’authentification unique Citrix (ssonsvr.exe).

  • Vous ne pouvez pas utiliser l’authentification par transfert de domaine héritée (SSON) et l’authentification par transfert de domaine améliorée pour l’authentification sur le même hôte de session.

  • L’authentification par transfert de domaine héritée (SSON) nécessite l’activation de la stratégie Activer les notifications MPR pour le système dans le modèle d’objet de stratégie de groupe. Le transfert de domaine amélioré, cependant, permet l’authentification par transfert sans qu’il soit nécessaire d’activer cette stratégie.

  • Pour l’authentification inter-domaine, une approbation transitive bidirectionnelle est requise pour pouvoir obtenir des tickets de service au-delà des limites du domaine. Sinon, la délégation Kerberos ne fonctionnera pas.

À partir de l’application Citrix Workspace™ pour Windows version 2503, le système installe SSON par défaut en mode dormant. Vous pouvez activer SSON après l’installation à l’aide de la stratégie d’objet de stratégie de groupe (GPO). Pour l’activer, accédez à Authentification de l’utilisateur > Nom d’utilisateur et mot de passe locaux et cochez la case Activer l’authentification par transfert.

  • Remarque :

    • Vous devez redémarrer le système après avoir mis à jour la stratégie GPO pour que le paramètre SSON prenne effet.

Configuration système requise

-  Plan de contrôle
-  Citrix DaaS™
-  Citrix Virtual Apps and Desktops™ 2311 ou version ultérieure

-  Agent de livraison virtuel
-  Windows : version 2308 ou ultérieure

-  > **Remarque :**
-  >
-  > Si les hôtes de session ou les périphériques clients exécutent **Windows 11**, la version **2407** ou ultérieure du VDA, ou la version **2402 LTSR CU2** ou ultérieure, est requise. Vous pouvez télécharger la version du VDA à partir de la page de [téléchargements](https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/) de Citrix.

-  Application Citrix Workspace : version 2309 ou ultérieure

-  > **Remarque :**
-  >
> Si les hôtes de session ou les périphériques clients exécutent **Windows 11**, la version **2405.10** ou ultérieure de l'application Workspace, ou la version **2402 LTSR CU2** ou ultérieure, est requise.

-  Périphérique client
-  Joint au domaine Active Directory
-  Windows 10 64 bits
-  Windows 11 64 bits

Remarque :

  • Le périphérique client doit avoir une connectivité directe aux contrôleurs de domaine. Si le périphérique est en dehors du réseau, l’authentification unique n’est pas prise en charge.
  • Hôtes de session multi-session :

    • Windows Server 2016

      Remarque :

  •  > Windows Server 2016 n'est pas pris en charge avec le VDA version 2407 et ultérieure.
    • Windows Server 2019
    • Windows Server 2022
    • Windows 10 Entreprise multi-session 22H2
    • Windows 11 Entreprise multi-session 22H2 ou ultérieure
  • Hôtes de session mono-session :
    • Windows 10 version 22H2
    • Windows 11 version 22H2 ou ultérieure

Remarque :

Le transfert de domaine amélioré pour l’authentification unique repose sur Remote Credential Guard. Assurez-vous de consulter les exigences de Remote Credential Guard et les scénarios d’authentification pris en charge dans la documentation de Microsoft.

Problèmes connus

  • [Tiers] Lorsque Windows Defender Credential Guard est activé sur le périphérique client, l’authentification unique à la session échoue et une invite de sécurité Windows apparaît, indiquant Vos informations d'identification n'ont pas fonctionné. Windows Defender Credential Guard ne permet pas d'utiliser les informations d'identification de connexion Windows. Veuillez saisir vos informations d'identification. Pour contourner ce problème, vous pouvez désactiver Windows Defender Credential Guard. Voici deux options pour désactiver la fonctionnalité :

    1. À l’aide de la stratégie de groupe, configurez le paramètre Activer la sécurité basée sur la virtualisation sous Configuration ordinateur > Modèles d’administration > Système > Device Guard.

    2. Dans le registre, sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, définissez la valeur LsaCfgFlags sur 0.

    REMARQUE : Il s’agit d’une limitation de Windows qui affecte également l’utilisation de Remote Credential Guard sur RDP. Si vous devez utiliser le transfert de domaine amélioré pour l’authentification unique avec Windows Defender Credential Guard, nous vous recommandons de soumettre une demande à Microsoft pour prendre en charge ce scénario.

Configuration de StoreFront™

Vous devez activer l’authentification par transfert de domaine pour le magasin et son site Web correspondant.

Effectuez les étapes suivantes pour activer le transfert de domaine pour le magasin :

  1. Ouvrez la console de gestion StoreFront.

  2. Accédez à Magasin > Gérer les méthodes d’authentification. La fenêtre Gérer les méthodes d’authentification - Web apparaît.

  3. Cochez la case Transfert de domaine.

    Gérer les méthodes d'authentification

  4. Cliquez sur OK.

Effectuez les étapes suivantes pour activer le transfert de domaine pour le site Web :

    1. Ouvrez la console de gestion StoreFront.
  1. Ouvrez Magasins > onglet Receiver pour sites Web > Gérer les sites Receiver pour Web > Configurer > Méthodes d’authentification. La fenêtre Modifier le site Receiver pour Web - /Citrix/Web apparaît.

  2. Cochez la case Transfert de domaine.

    Modifier le site Receiver pour Web

  3. Cliquez sur OK.

Configuration de la stratégie Citrix

Vous devez activer le paramètre à l’aide de la stratégie Citrix :

  1. Accédez à Citrix Studio ou à la console Web.
  2. Cliquez sur Stratégies > Créer une stratégie. La boîte de dialogue Créer une stratégie apparaît.
  3. Recherchez la stratégie Authentification unique par transfert de domaine amélioré. La boîte de dialogue Modifier les paramètres apparaît.

  4. Sélectionnez l’option Autorisé pour activer la stratégie Authentification unique par transfert de domaine amélioré. Stratégie sélectionnée

  5. Cliquez sur OK.

Configuration de l’hôte de session

Après avoir activé la fonctionnalité Authentification unique par transfert de domaine amélioré à l’aide de la stratégie Citrix, vous devez également activer un paramètre Windows sur les hôtes de session. Vous pouvez activer le paramètre Windows via une stratégie locale ou une GPO :

  1. Accédez à Configuration ordinateur\Stratégies\Modèles d'administration\Système\Délégation d'informations d'identification.

  2. Activez le paramètre L’hôte distant autorise la délégation d’informations d’identification non exportables.

    L'hôte distant autorise la délégation d'informations d'identification non exportables

  3. Redémarrez l’hôte de session pour que le paramètre prenne effet.

Remarque :

Le paramètre L’hôte distant autorise la délégation d’informations d’identification non exportables n’est pas disponible dans la stratégie locale de Windows Server 2016. Si vous devez configurer ce paramètre localement sur l’hôte de session au lieu d’utiliser une GPO, vous devez ajouter la valeur de registre suivante :

Clé : HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  • Type de valeur : DWORD
  • Nom de la valeur : DisableRestrictedAdmin
  • Données de la valeur : 0

Configuration du périphérique client

Vous devez effectuer les opérations suivantes sur le périphérique client :

  • Activer l’authentification unique par transfert de domaine amélioré
  • Faire confiance au site StoreFront

Activer l’authentification unique par transfert de domaine amélioré

Vous devez activer la fonctionnalité Authentification unique par transfert de domaine amélioré sur le périphérique client. Vous pouvez le faire via une stratégie locale ou une GPO.

  1. Accédez à Configuration ordinateur\Stratégies\Modèles d'administration\Composants Citrix\Citrix Workspace\Authentification de l'utilisateur.

  2. Activez le paramètre Authentification unique par transfert de domaine amélioré.

    Transfert de domaine amélioré sélectionné

  3. Redémarrez l’application Citrix Workspace pour que les paramètres prennent effet.

Faire confiance au site StoreFront

Vous devez vous assurer que l’URL de votre StoreFront est approuvée par les appareils clients. Si l’URL ne fait pas partie d’un domaine déjà approuvé, vous devez l’ajouter en tant que site intranet local ou site de confiance. Vous pouvez le faire via une stratégie locale ou une GPO.

  1. Accédez à la page Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security.

  2. Activez le paramètre Liste d’affectation de site à zone et ajoutez les URL appropriées ainsi que l’affectation de zone correspondante.

    Site vers zone

  3. Activez le paramètre Options d’ouverture de session et définissez-le sur Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuels.

    Options d'ouverture de session

    Options d'ouverture de session activées

Authentification unique par transfert de domaine amélioré
April 16, 2026
Contributeur: 
C C
April 16, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.