Documentazione dei prodotti
Citrix DaaS™
Visualizza PDF

Configurazione di Azure per il Single Sign-On di Microsoft Entra

May 4, 2026
Grazie al contributo di: 
C

Per sfruttare il Single Sign-On di Microsoft Entra, è necessario innanzitutto consentire l’autenticazione di Microsoft Entra per Windows nel tenant di Microsoft Entra ID, il che consente l’emissione dei token di autenticazione necessari che permettono agli utenti di accedere agli host di sessione aggiunti a Microsoft Entra e aggiunti ibridi a Microsoft Entra. Per raggiungere questo obiettivo, è necessario eseguire le seguenti operazioni:

  1. Registrare le applicazioni Citrix (app risorsa e app client) nel tenant di Microsoft Entra ID.
  2. Abilitare la configurazione di sicurezza Desktop remoto per l’applicazione risorsa Citrix.
  3. Aggiungere l’applicazione client Citrix come client approvato per l’applicazione risorsa Citrix.
  4. [Facoltativo] Nascondere la finestra di dialogo di richiesta del consenso dell’utente.
  5. Creare un oggetto server Kerberos.
    1. Esaminare i criteri di accesso condizionale di Microsoft Entra.

La persona che esegue la configurazione di Azure deve avere assegnato almeno uno dei seguenti ruoli predefiniti di Microsoft Entra o un ruolo equivalente:

Vengono fornite istruzioni su come completare la configurazione sia con PowerShell che con Graph Explorer.

Configurazione di PowerShell

Se si sceglie di utilizzare l’SDK PowerShell di Microsoft Graph, tenere presente quanto segue:

-  Sarà necessario utilizzare l'[Azure Cloud Shell](https://learn.microsoft.com/it-it/azure/cloud-shell/overview) con il tipo di terminale PowerShell, oppure eseguire [PowerShell 7.x](https://learn.microsoft.com/it-it/powershell/scripting/install/installing-powershell?view=powershell-7.5) sul sistema locale e assicurarsi che il [contesto di Azure sia impostato sulla sottoscrizione che si desidera utilizzare](https://learn.microsoft.com/it-it/powershell/azure/context-persistence?view=azps-14.3.0).
-  Sarà necessario installare il modulo v1.0 dell'[SDK PowerShell di Microsoft Graph](https://learn.microsoft.com/it-it/powershell/microsoftgraph/installation?view=graph-powershell-1.0) (Microsoft.Graph) e il modulo applicazione beta (Microsoft.Graph.Beta.Applications).

Abilitare la configurazione di sicurezza Desktop remoto

Dopo aver registrato le applicazioni Citrix, è necessario abilitare la configurazione di sicurezza Desktop remoto nell’applicazione risorsa Citrix.

  1. Importare i moduli di autenticazione e applicazione di Microsoft Graph e connettersi a Microsoft Graph con gli ambiti Application.Read.All e Application-RemoteDesktopConfig.ReadWrite.All:

    
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications
Import-Module Microsoft.Graph.Beta.Applications
Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

<!--NeedCopy-->

  2. Ottenere l’ID oggetto per le entità servizio associate alle registrazioni delle app:

    Citrix Cloud US, EU, APS

    
$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '3a510bb1-e334-4298-831e-3eac97f8b26c'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '85651ebe-9a8e-49e4-aaf2-9274d9b6499f'").Id

<!--NeedCopy-->

    Citrix Cloud Japan

    
$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '0027603f-364b-40f2-98be-8ca4bb79bf8b'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '0fa97bc0-059c-4c10-8c54-845a1fd5a916'").Id

<!--NeedCopy-->

  3. Impostare la proprietà isRemoteDesktopProtocolEnabled su true:

    
If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId -IsRemoteDesktopProtocolEnabled
}

<!--NeedCopy-->

  4. Confermare che la proprietà isRemoteDesktopProtocolEnabled sia impostata su true:

    
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId

<!--NeedCopy-->

Approvare l’applicazione client

È necessario aggiungere esplicitamente l’applicazione client Citrix come client approvato nell’applicazione risorsa Citrix.

  1. Creare un oggetto approvedClientApp:

    
$acp = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphApprovedClientApp
$acp.Id = $CtxClientSpId

<!--NeedCopy-->

  2. Aggiungere l’app client all’oggetto approvedClientApp:

    
New-MgBetaServicePrincipalRemoteDesktopSecurityConfigurationApprovedClientApp -ServicePrincipalId $CtxResourceSpId -BodyParameter $acp

<!--NeedCopy-->

    L’output dovrebbe essere simile a questo:

    Id                                    DisplayName
-----------                                    -----------
87654321-wxyz-1a2b-3c4d-1029384756af  Citrix-Workspace

Nascondere la finestra di dialogo di richiesta del consenso dell’utente

Per impostazione predefinita, agli utenti viene richiesto di consentire la connessione Desktop remoto quando si connettono a un host di sessione aggiunto a Microsoft Entra o aggiunto ibrido a Microsoft Entra con il Single Sign-On di Microsoft Entra abilitato, nel qual caso devono selezionare Sì per consentire il Single Sign-On. Microsoft Entra memorizzerà fino a 15 host di sessione univoci per 30 giorni prima di richiedere nuovamente il consenso.

È possibile nascondere questa finestra di dialogo configurando un elenco di dispositivi di destinazione. Per configurare l’elenco di dispositivi, è necessario creare uno o più gruppi in Microsoft Entra ID che contengano gli host di sessione aggiunti a Microsoft Entra e/o aggiunti ibridi a Microsoft Entra e quindi autorizzare i gruppi nell’applicazione risorsa, fino a un massimo di 10 gruppi.

NOTA

Si consiglia vivamente di creare un gruppo dinamico per semplificare la gestione dell’appartenenza per il gruppo. Sebbene i gruppi dinamici si aggiornino normalmente entro 5-10 minuti, i tenant di grandi dimensioni possono impiegare fino a 24 ore.

I gruppi dinamici richiedono la licenza Microsoft Entra ID P1 o la licenza Intune for Education. Per maggiori informazioni, vedere Regole di appartenenza dinamica per i gruppi. - >

-  Una volta creati i gruppi, seguire questi passaggi:

  1. Ottenere l’ID oggetto (OID) del gruppo che contiene gli host di sessione per i quali si desidera nascondere la richiesta di connessione Desktop remoto.

      1. Creare un oggetto targetDeviceGroup:
    
$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<groupOID>"

<!--NeedCopy-->

  2. Aggiungere l’app client all’oggetto approvedClientApp:

    
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -BodyParameter $tdg

<!--NeedCopy-->

  • L’output dovrebbe essere simile a questo:

  • Id DisplayName – – 87654321-wxyz-1a2b-3c4d-1029384756af Entra-SSO-Desktops

    1. Se in seguito è necessario rimuovere un gruppo di dispositivi dall’oggetto targetDeviceGroup, eseguire il comando seguente:
    
 Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -TargetDeviceGroupId "<groupOID>"

 <!--NeedCopy-->

NOTA

È possibile ripetere questi passaggi per aggiungere altri gruppi, se necessario, fino a un massimo di 10 gruppi.

Configurazione dell’API Microsoft Graph

Abilitare la configurazione della sicurezza di Remote Desktop

Dopo aver registrato le applicazioni Citrix, è necessario abilitare la configurazione della sicurezza di Remote Desktop nell’applicazione Risorsa Citrix.

  1. Ottenere l’ID oggetto (OID) per le entità servizio associate alle registrazioni delle app dal portale di Azure:
    1. Passare a Microsoft Entra ID > Applicazioni aziendali.
        1. Rimuovere il filtro Tipo di applicazione se impostato, in modo che tutte le applicazioni siano elencate.
        1. Cercare Citrix-Workspace-Resource / Citrix-Workspace-Resource-JP e annotare l’ID oggetto associato per l’applicazione Risorsa.
        1. Cercare Citrix-Workspace / Citrix-Workspace-JP e annotare l’ID oggetto associato per l’applicazione client.

  2. In Graph Explorer, accedere con un account dal tenant di Azure di destinazione che dispone delle autorizzazioni richieste.

      1. Impostare la query seguente:
    • Metodo di richiesta HTTP: PATCH
    • Versione API Microsoft Graph: v1.0

    • Query:

      
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration

 <!--NeedCopy-->

    • Corpo della richiesta:

      ```

  • {

  • “@odata.type”: “#microsoft.graph.remoteDesktopSecurityConfiguration”, “isRemoteDesktopProtocolEnabled”: true }

     <!--NeedCopy--> ```

  1. Selezionare la scheda Modifica autorizzazioni e assicurarsi di aver acconsentito all’autorizzazione Application.ReadWrite.All.

  2. Eseguire la query.

Vedere tipo di risorsa remoteDesktopSecurityConfiguration per riferimento.

Approvare l’applicazione client

È necessario aggiungere esplicitamente l’applicazione client Citrix come client approvato nell’applicazione Risorsa Citrix.

Impostare la query seguente ed eseguirla:

  • Metodo di richiesta HTTP: POST
  • Versione API Microsoft Graph: beta

  • Query:

    
 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/approvedClientApps

 <!--NeedCopy-->

  • Corpo della richiesta:

    
 {
     "@odata.type": "#microsoft.graph.approvedClientApp",
     "id": "<clientAppOID>"
 }

 <!--NeedCopy-->

Nascondere la finestra di dialogo di richiesta del consenso dell’utente

Per impostazione predefinita, agli utenti viene richiesto di consentire la connessione Remote Desktop quando si connettono a un host di sessione aggiunto a Microsoft Entra o ibrido aggiunto a Microsoft Entra con Single Sign-On di Microsoft Entra abilitato, nel qual caso devono selezionare Sì per consentire il Single Sign-On. Microsoft Entra memorizzerà fino a 15 host di sessione unici per 30 giorni prima di richiedere nuovamente.

È possibile nascondere questa finestra di dialogo configurando un elenco di dispositivi di destinazione. Per configurare l’elenco di dispositivi, è necessario creare uno o più gruppi in Microsoft Entra ID che contengano gli host di sessione aggiunti a Microsoft Entra e/o ibridi aggiunti a Microsoft Entra e quindi autorizzare i gruppi nell’applicazione risorsa, fino a un massimo di 10 gruppi.

NOTA

Si consiglia vivamente di creare un gruppo dinamico per semplificare la gestione dell’appartenenza al gruppo. Sebbene i gruppi dinamici si aggiornino normalmente entro 5-10 minuti, i tenant di grandi dimensioni possono impiegare fino a 24 ore.

I gruppi dinamici richiedono la licenza Microsoft Entra ID P1 o la licenza Intune for Education. Per ulteriori informazioni, vedere Regole di appartenenza dinamica per i gruppi.

Una volta creati i gruppi, seguire questi passaggi:

  1. Ottenere l’ID oggetto (OID) del gruppo che contiene gli host di sessione per i quali si desidera nascondere la richiesta di connessione Remote Desktop.

  2. Impostare la query seguente ed eseguirla:

    • Metodo di richiesta HTTP: POST
    • Versione API Microsoft Graph: v1.0

    • Query:

      
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

    • Corpo della richiesta:

      
 {
     "@odata.type": "#microsoft.graph.targetDeviceGroup",
     "id": "<groupOID>"
 }

 <!--NeedCopy-->

NOTA

È possibile ripetere questi passaggi per aggiungere altri gruppi, se necessario, fino a un massimo di 10 gruppi.

Se in seguito è necessario rimuovere un gruppo di dispositivi dall’oggetto targetDeviceGroup, impostare quanto segue ed eseguire la query:

  • Metodo di richiesta HTTP: DELETE
  • Versione API Microsoft Graph: v1.0

  • Query:

    
 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

Vedere tipo di risorsa targetDeviceGroup per riferimento.

Creare un oggetto server Kerberos

Se gli host di sessione sono ibridi aggiunti a Microsoft Entra, è necessario configurare un oggetto server Kerberos nel dominio di Active Directory in cui risiedono gli account utente e computer. Per i dettagli, vedere Creare un oggetto server Kerberos.

Rivedere i criteri di accesso condizionale di Microsoft Entra

Se si utilizzano o si prevede di utilizzare i criteri di accesso condizionale di Microsoft Entra, rivedere la configurazione applicata all’applicazione Risorsa Citrix e all’applicazione client Citrix per garantire agli utenti l’esperienza di accesso desiderata.

Per indicazioni dettagliate sulla configurazione dell’accesso condizionale quando si utilizza il Single Sign-On di Microsoft Entra per DaaS, fare riferimento alla documentazione Microsoft. Ricordare che le impostazioni di accesso condizionale richieste devono essere applicate all’applicazione Risorsa Citrix o all’applicazione client Citrix, non alle applicazioni Microsoft.

Configurazione di Azure per il Single Sign-On di Microsoft Entra
May 4, 2026
Grazie al contributo di: 
C
May 4, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.