Citrix DaaS

Azure Active Directory ingressado

Este artigo descreve os requisitos para criar catálogos ingressados do Azure Active Directory (AAD) usando o Citrix DaaS, além dos requisitos descritos na seção de requisitos do sistema Citrix DaaS.

Requisitos

  • Plano de controle: consulte Configurações suportadas
  • Tipo de VDA: sessão única (somente áreas de trabalho) ou multissessão (aplicativos e áreas de trabalho)
  • Versão do VDA: 2203 ou posterior
  • Tipo de provisionamento: Machine Creation Services (MCS) persistentes e não persistentes usando fluxo de trabalho de perfil de máquina
  • Tipo de atribuição: dedicada e em pool
  • Plataforma de hospedagem: somente Azure
  • Rendezvous V2 deve estar habilitado

Limitações

  • A continuidade do serviço não tem suporte.
  • O logon único a áreas de trabalho virtuais não é aceito. Os usuários devem inserir as credenciais manualmente ao fazer login em suas áreas de trabalho.
  • O login com o Windows Hello na área de trabalho virtual não tem suporte. Somente nome de usuário e senha são suportados no momento. Se os usuários tentarem fazer login usando um método do Windows Hello, eles recebem um erro informando que não são o usuário intermediado e a sessão é desconectada. Os métodos associados incluem PIN, chave FIDO2, MFA e assim por diante.
  • Aceita apenas os ambientes de nuvem do Microsoft Azure Resource Manager.
  • A primeira vez que uma sessão de área de trabalho virtual é iniciada, a tela de entrada do Windows pode mostrar o prompt de logon do último usuário conectado sem a opção de alternar para outro usuário. O usuário deve esperar até que o logon expire e a tela de bloqueio da área de trabalho apareça e, em seguida, clique na tela de bloqueio para revelar a tela de logon novamente. Nesse ponto, o usuário pode selecionar Other user e fornecer suas credenciais. Esse é o comportamento de cada nova sessão quando as máquinas são não persistentes.

Considerações

Configuração da imagem

  • Considere otimizar sua imagem do Windows usando a ferramenta Citrix Optimizer.

Ingressado no Azure AD

  • Considere desativar o Windows Hello para que os usuários não sejam solicitados a configurá-lo quando fizerem login em suas áreas de trabalho virtuais. Se você estiver usando o VDA 2209 ou posterior, isso é feito automaticamente. Em versões anteriores, você pode fazer isso de duas maneiras:

    • Política de grupo ou política local

      • Navegue até Computer Configuration > Administrative Templates > Windows Components > Windows Hello for Business.
      • Defina Use Windows Hello for Business como:
        • Disabled ou
        • Enabled e selecione Do not start Windows Hello provisioning after sign-in.
    • Microsoft Intune

      • Crie um perfil de dispositivo que desative o Windows Hello for Business. Consulte a documentação da Microsoft para obter detalhes.
      • Atualmente, a Microsoft oferece suporte ao registro do Intune somente de máquinas persistentes, o que significa que você não pode gerenciar máquinas não persistentes com o Intune.
  • Os usuários devem receber acesso explícito no Azure para fazer login nas máquinas usando suas credenciais AAD. Isso pode ser facilitado adicionando a atribuição de função no nível do grupo de recursos:

    1. Faça login no portal do Azure.
    2. Selecione Resource Groups.
    3. Clique no grupo de recursos em que as cargas de trabalho da área de trabalho virtual residem.
    4. Selecione Access control (IAM).
    5. Clique em Add role assignment.
    6. Procure por Virtual Machine User Login, selecione-o na lista e clique em Next.
    7. Selecione User, group, or service principal.
    8. Clique em Select members e selecione os usuários e grupos aos quais você deseja fornecer acesso às áreas de trabalho virtuais.
    9. Clique em Select members.
    10. Clique em Review + assign.
    11. Clique em Review + assign mais uma vez.

Nota:

Se você optar por permitir que o MCS crie o grupo de recursos para as áreas de trabalho virtuais, adicione essa atribuição de função após a criação do catálogo de máquinas.

  • As VMs mestre podem ser ingressadas no Azure AD ou não ingressadas no domínio. Essa funcionalidade requer a versão 2212 ou posterior do VDA.

Instalação e configuração do VDA

Siga as etapas para instalar o VDA:

  1. Tenha o cuidado de selecionar as seguintes opções no assistente de instalação:

    • Na página Ambiente, selecione Create a master MCS image.

    Configuração 1 do Azure AD

    • Na página Delivery Controller, selecione Let Machine Creation Services do it automatically.

    Configuração 2 do Azure AD

  2. Depois que o VDA for instalado, adicione o seguinte valor de registro:

    • Chave: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
    • Tipo de valor: DWORD
    • Nome do valor: GctRegistration
    • Dados de valor: 1
  3. Para a VM mestre baseada no Windows 11 22H2, crie uma tarefa agendada na VM mestre que execute o seguinte comando na inicialização do sistema usando a conta SYSTEM. Essa tarefa de agendar uma tarefa na VM mestre só é necessária para o VDA versão 2212 ou anterior.

    reg ADD HKLM\Software\AzureAD\VirtualDesktop /v Provider /t REG_SZ /d Citrix /f
    <!--NeedCopy-->
    
  4. Se você ingressar a VM mestre no Azure AD e remover o ingresso manualmente pelo utilitário dsregcmd, certifique-se de que o valor de AADLoginForWindowsExtensionJoined em HKLM\Software\Microsoft\Windows Azure\CurrentVersion\AADLoginForWindowsExtension é zero.

O que fazer a seguir

Quando a localização do recurso e a conexão de hospedagem estiverem disponíveis, continue com a criação do catálogo de máquinas. Para obter mais informações sobre como criar catálogos de máquinas ingressados do Azure Active Directory, consulte Criar catálogos ingressados no Azure Active Directory.

Azure Active Directory ingressado