Citrix DaaS

Azure Active Directory参加済み

注:

2023年7月より、MicrosoftはAzure Active Directory(Azure AD)の名前をMicrosoft Entra IDに変更しました。このドキュメントでは、Azure Active Directory、Azure AD、またはAADへの言及はすべて、Microsoft Entra IDを意味することになります。

この記事では、「Citrix DaaSのシステム要件」セクションで概説されている要件に加えて、Citrix DaaSを使用してAzure Active Directory(AAD)参加済みカタログを作成するための要件について説明します。

要件

  • コントロールプレーン:「サポートされる構成」を参照してください。
  • VDAの種類:シングルセッション(デスクトップのみ)、またはマルチセッション(アプリとデスクトップ)
  • VDAバージョン:2203以降
  • プロビジョニングの種類:Machine Creation Services(MCS)、マシンプロファイルワークフローを使用した永続および非永続
  • 割り当ての種類:専用およびプール
  • ホストプラットフォーム:Azureのみ
  • Rendezvous V2を有効にする必要があります

制限事項

  • サービスの継続性はサポートされていません。
  • 仮想デスクトップへのシングルサインオンはサポートされていません。ユーザーは、デスクトップに資格情報を手動で入力する必要があります。
  • 仮想デスクトップでのWindows Helloによるログインはサポートされていません。現時点では、ユーザー名とパスワードのみがサポートされています。ユーザーがWindows Helloメソッドを使用してログインしようとすると、ブローカーユーザーではないことを示すエラーが表示され、セッションが切断されます。関連するメソッドには、PIN、FIDO2キー、MFAなどがあります。
  • Microsoft Azure Resource Managerクラウド環境のみがサポートされています。
  • 仮想デスクトップセッションの初回起動時、Windowsサインイン画面に、最後にログオンしたユーザーのログオンプロンプトが表示され、別のユーザーに切り替えるオプションがない場合があります。ユーザーは、ログオンがタイムアウトしてデスクトップのロック画面が表示されるまで待ってから、ロック画面をクリックしてログオン画面をもう一度表示する必要があります。この時点で、ユーザーは [他のユーザー] を選択して資格情報を入力できます。この動作は、マシンが非永続的であるすべての新しいセッションで見られます。

注意事項

イメージの構成

  • Citrix Optimizerツールを使用してWindowsイメージを最適化することを検討してください。

Azure ADに参加済み

  • ユーザーが仮想デスクトップにログインしたときにセットアップのメッセージが表示されないように、Windows Helloを無効にすることを検討してください。VDA 2209以降を使用している場合、自動で無効になります。以前のバージョンでは、次の2つの方法のいずれかでこれを実行できます:

    • グループポリシーまたはローカルポリシー

      • [コンピューターの構成]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows Hello for Business] に移動します。
      • [Windows Hello for Businessを使用する] を次のように設定します:
        • [無効]、または
        • [有効] にして、[Do not start Windows Hello provisioning after sign-in] を選択します。
    • Microsoft Intune

      • Windows Hello for Businessを無効にするデバイスプロファイルを作成します。詳しくは、Microsoftのドキュメントを参照してください。
      • 現在、Microsoftは永続マシンのIntune登録のみをサポートしています。つまり、非永続マシンをIntuneで管理することはできません。
  • ユーザーは、AAD資格情報を使用してマシンにログインするために、Azureでの明示的なアクセスが許可されている必要があります。これは、リソースグループレベルで役割の割り当てを追加することで容易になります。

    1. Azureポータルにサインインします。
    2. [Resource Groups] を選択します。
    3. 仮想デスクトップワークロードが存在するリソースグループをクリックします。
    4. [Access control (IAM)] を選択します。
    5. [Add role assignment] をクリックします。
    6. Virtual Machine User Loginを検索して一覧から選択し、[次へ] をクリックします。
    7. [User, group, or service principal] を選択します。
    8. [メンバーの選択] をクリックして、仮想デスクトップへのアクセスを提供するユーザーとグループを選択します。
    9. [Select] をクリックします。
    10. [Review + assign] をクリックします。
    11. [Review + assign] を再度クリックします。

注:

MCSに仮想デスクトップのリソースグループを作成させることを選択した場合は、マシンカタログの作成後にこの役割の割り当てを追加します。

  • マスターVMは、Azure AD参加済み、またはドメイン非参加にすることができますが、この機能には、VDAバージョン2212以降が必要です。

VDAのインストールと構成

VDAをインストールするための手順に従います:

  1. インストールウィザードで次のオプションを選択してください:

    • [環境] ページで、[マスターMCSイメージを作成する] を選択します。

    Azure AD構成1

    • [Delivery Controller]ページで、[Machine Creation Servicesで自動的に指定する] を選択します。

    Azure AD構成2

  2. VDAをインストールした後、次のレジストリ値を追加します:

    • キー: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
    • 値の種類:DWORD
    • 値の名前:GctRegistration
    • 値のデータ:1
  3. Windows 11 22H2ベースのマスターVMの場合、SYSTEMアカウントを使ったシステム起動時に、次のコマンドを実行するスケジュールされたタスクをマスターVMに作成します。マスターVMでタスクをスケジュールするこのタスクは、VDAバージョン2212以前でのみ必要です。

    reg ADD HKLM\Software\AzureAD\VirtualDesktop /v Provider /t REG_SZ /d Citrix /f
    <!--NeedCopy-->
    
  4. マスターVMをAzure ADに参加させた後、dsregcmdユーティリティで参加を手動で解除する場合は、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Azure\CurrentVersion\AADLoginForWindowsExtensionのAADLoginForWindowsExtensionJoinedの値が0(ゼロ)あることを確認してください。

次の手順

リソースの場所とホスト接続が使用可能になったら、マシンカタログの作成に進みます。Azure Active Directory参加済みマシンカタログの作成について詳しくは、「Azure Active Directory参加済みカタログの作成」を参照してください。

Azure Active Directory参加済み