Citrix DaaS™

Configuração do Azure para logon único do Microsoft Entra

May 4, 2026

Contribuição de:

Para aproveitar o logon único do Microsoft Entra, você deve primeiro permitir a autenticação do Microsoft Entra para Windows em seu locatário do Microsoft Entra ID, o que permite a emissão dos tokens de autenticação necessários para que os usuários façam logon nos hosts de sessão ingressados no Microsoft Entra e nos hosts de sessão híbridos ingressados no Microsoft Entra. Para conseguir isso, você deve fazer o seguinte:

Registre os aplicativos Citrix (aplicativo de Recurso e aplicativo Cliente) em seu locatário do Microsoft Entra ID.
Habilite a Configuração de Segurança da Área de Trabalho Remota para o aplicativo de recurso Citrix.
Adicione o aplicativo cliente Citrix como um cliente aprovado para o aplicativo de recurso Citrix.
[Opcional] Oculte a caixa de diálogo de solicitação de consentimento do usuário.
Crie um objeto de servidor Kerberos.

1. Revise as políticas de Acesso Condicional do Microsoft Entra.

A pessoa que faz a configuração do Azure deve ter atribuída uma das seguintes funções internas do Microsoft Entra ou equivalente, no mínimo:

Administrador de Aplicativos
Administrador de Aplicativos na Nuvem
Se você deseja concluir a configuração do Azure via PowerShell, precisará usar o SDK do Microsoft Graph PowerShell. Você também pode aproveitar a API do Microsoft Graph com uma ferramenta como o Graph Explorer.

As instruções são fornecidas sobre como concluir a configuração com PowerShell e Graph Explorer.

Se você optar por usar o SDK do Microsoft Graph PowerShell, observe:

-  Você precisará usar o [Azure Cloud Shell](https://learn.microsoft.com/pt-br/azure/cloud-shell/overview) com o tipo de terminal PowerShell, ou executar o [PowerShell 7.x](https://learn.microsoft.com/pt-br/powershell/scripting/install/installing-powershell?view=powershell-7.5) em seu sistema local, e garantir que seu [contexto do Azure esteja definido para a assinatura que você deseja usar](https://learn.microsoft.com/pt-br/powershell/azure/context-persistence?view=azps-14.3.0).
-  Você precisará instalar o módulo v1.0 do [SDK do Microsoft Graph PowerShell](https://learn.microsoft.com/pt-br/powershell/microsoftgraph/installation?view=graph-powershell-1.0) (Microsoft.Graph) e o módulo de aplicativo beta (Microsoft.Graph.Beta.Applications).

Depois de registrar os aplicativos Citrix, você deve habilitar a Configuração de Segurança da Área de Trabalho Remota no aplicativo de Recurso Citrix.

Importe os módulos de Autenticação e Aplicativo do Microsoft Graph e conecte-se ao Microsoft Graph com os escopos Application.Read.All e Application-RemoteDesktopConfig.ReadWrite.All:

Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications
Import-Module Microsoft.Graph.Beta.Applications
Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

<!--NeedCopy-->

Obtenha o ID do objeto para os principais de serviço associados aos registros de aplicativo:

Citrix Cloud EUA, UE, APS

$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '3a510bb1-e334-4298-831e-3eac97f8b26c'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '85651ebe-9a8e-49e4-aaf2-9274d9b6499f'").Id

<!--NeedCopy-->

Citrix Cloud Japão

$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '0027603f-364b-40f2-98be-8ca4bb79bf8b'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '0fa97bc0-059c-4c10-8c54-845a1fd5a916'").Id

<!--NeedCopy-->

Defina a propriedade isRemoteDesktopProtocolEnabled como true:

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId -IsRemoteDesktopProtocolEnabled
}

<!--NeedCopy-->

Confirme se a propriedade isRemoteDesktopProtocolEnabled está definida como true:

Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId

<!--NeedCopy-->

Você deve adicionar explicitamente o aplicativo Cliente Citrix como um cliente aprovado no aplicativo de Recurso Citrix.

Crie um objeto approvedClientApp:

$acp = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphApprovedClientApp
$acp.Id = $CtxClientSpId

<!--NeedCopy-->

Adicione o aplicativo cliente ao objeto approvedClientApp:

New-MgBetaServicePrincipalRemoteDesktopSecurityConfigurationApprovedClientApp -ServicePrincipalId $CtxResourceSpId -BodyParameter $acp

<!--NeedCopy-->

A saída deve ser semelhante a esta:

Id                                    DisplayName
-----------                                    -----------
87654321-wxyz-1a2b-3c4d-1029384756af  Citrix-Workspace

Por padrão, os usuários são solicitados a permitir a conexão da Área de Trabalho Remota ao se conectar a um host de sessão ingressado no Microsoft Entra ou híbrido ingressado no Microsoft Entra com o logon único do Microsoft Entra habilitado, no qual eles devem selecionar “Sim” para permitir o logon único. O Microsoft Entra lembrará até 15 hosts de sessão exclusivos por 30 dias antes de solicitar novamente.

Você pode ocultar esta caixa de diálogo configurando uma lista de dispositivos de destino. Para configurar a lista de dispositivos, você deve criar um ou mais grupos no Microsoft Entra ID que contenham os hosts de sessão ingressados no Microsoft Entra e/ou híbridos ingressados no Microsoft Entra e, em seguida, autorizar os grupos no aplicativo de recurso, até um máximo de 10 grupos.

OBSERVAÇÃO

É altamente recomendável criar um grupo dinâmico para simplificar o gerenciamento de membros do grupo. Embora os grupos dinâmicos normalmente sejam atualizados em 5 a 10 minutos, locatários grandes podem levar até 24 horas.

Grupos dinâmicos exigem a licença Microsoft Entra ID P1 ou a licença Intune for Education. Para obter mais informações, consulte Regras de associação dinâmica para grupos. - >

-  Depois que os grupos forem criados, siga estas etapas:

Obtenha o ID do objeto (OID) do grupo que contém os hosts de sessão para os quais você deseja ocultar a solicitação de conexão da Área de Trabalho Remota.
- 1. Crie um objeto targetDeviceGroup:
```
$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<groupOID>"


```

Adicione o aplicativo cliente ao objeto approvedClientApp:

New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -BodyParameter $tdg

<!--NeedCopy-->

A saída deve ser semelhante a esta:

Id DisplayName – – 87654321-wxyz-1a2b-3c4d-1029384756af Entra-SSO-Desktops

Se você precisar remover um grupo de dispositivos do objeto targetDeviceGroup posteriormente, execute o seguinte comando:

 Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -TargetDeviceGroupId "<groupOID>"

 <!--NeedCopy-->

OBSERVAÇÃO

Você pode repetir estas etapas para adicionar mais grupos, se necessário, até um máximo de 10 grupos.

Depois de registrar os aplicativos Citrix, você deve habilitar a Configuração de Segurança da Área de Trabalho Remota no aplicativo de Recurso Citrix.

Obtenha o ID do objeto (OID) para as entidades de serviço associadas aos registros de aplicativo no portal do Azure:
1. Navegue até Microsoft Entra ID > Aplicativos Empresariais.
  - 1. Remova o filtro Tipo de aplicativo, se definido, para que todos os aplicativos sejam listados.
  - 1. Pesquise por Citrix-Workspace-Resource / Citrix-Workspace-Resource-JP e anote o ID do objeto associado para o aplicativo de Recurso.
  - 1. Pesquise por Citrix-Workspace / Citrix-Workspace-JP e anote o ID do objeto associado para o aplicativo cliente.
No Graph Explorer, entre com uma conta do locatário do Azure de destino que tenha as permissões necessárias.
- 1. Defina a seguinte consulta:
- Método de solicitação HTTP: PATCH
- Versão da API do Microsoft Graph: v1.0
- Consulta:
```
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration

 
```
Corpo da solicitação:
```
```
```
{ “@odata.type”: “#microsoft.graph.remoteDesktopSecurityConfiguration”, “isRemoteDesktopProtocolEnabled”: true }
```
 ```
```
Selecione a guia “Modificar Permissões” e certifique-se de ter consentido com a permissão Application.ReadWrite.All.
Execute a consulta.

Consulte tipo de recurso remoteDesktopSecurityConfiguration para referência.

Você deve adicionar explicitamente o aplicativo Cliente Citrix como um cliente aprovado no aplicativo de Recurso Citrix.

Defina a seguinte consulta e execute-a:

Método de solicitação HTTP: POST
Versão da API do Microsoft Graph: beta

Consulta:

 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/approvedClientApps

 <!--NeedCopy-->

Corpo da solicitação:

 {
     "@odata.type": "#microsoft.graph.approvedClientApp",
     "id": "<clientAppOID>"
 }

 <!--NeedCopy-->

OBSERVAÇÃO

É altamente recomendável criar um grupo dinâmico para simplificar o gerenciamento de associação para o grupo. Embora os grupos dinâmicos normalmente sejam atualizados em 5 a 10 minutos, locatários grandes podem levar até 24 horas.

Grupos dinâmicos exigem a licença Microsoft Entra ID P1 ou a licença Intune for Education. Para obter mais informações, consulte Regras de associação dinâmica para grupos.

Depois que os grupos forem criados, siga estas etapas:

Obtenha o ID do objeto (OID) do grupo que contém os hosts de sessão para os quais você deseja ocultar a solicitação de conexão da Área de Trabalho Remota.

Defina a seguinte consulta e execute-a:

Método de solicitação HTTP: POST
Versão da API do Microsoft Graph: v1.0

Consulta:

 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

Corpo da solicitação:

```

{
    "@odata.type": "#microsoft.graph.targetDeviceGroup",
    "id": "<groupOID>"
}

<!--NeedCopy--> ```

OBSERVAÇÃO

Você pode repetir estas etapas para adicionar mais grupos, se necessário, até um máximo de 10 grupos.

Se você precisar remover um grupo de dispositivos do objeto targetDeviceGroup posteriormente, defina o seguinte e execute a consulta:

Método de solicitação HTTP: DELETE
Versão da API do Microsoft Graph: v1.0

Consulta:

 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

Consulte tipo de recurso targetDeviceGroup para referência.

Se seus hosts de sessão forem híbridos ingressados no Microsoft Entra, você deverá configurar um objeto de servidor Kerberos no domínio do Active Directory onde as contas de usuário e computador residem. Consulte Criar um objeto de servidor Kerberos para obter detalhes.

Se você usa ou planeja usar as políticas de Acesso Condicional do Microsoft Entra, revise a configuração aplicada ao aplicativo de Recurso Citrix e ao aplicativo Cliente Citrix para garantir que os usuários tenham a experiência de logon pretendida.

Para obter orientações detalhadas sobre como configurar o Acesso Condicional ao usar o logon único do Microsoft Entra para DaaS, consulte a documentação da Microsoft. Lembre-se de que as configurações de Acesso Condicional necessárias devem ser aplicadas ao aplicativo de Recurso Citrix ou ao aplicativo Cliente Citrix, e não aos aplicativos da Microsoft.

A versão oficial desta documentação do produto está em inglês. Qualquer versão em outro idioma é fornecida apenas para sua conveniência e pode incluir conteúdo traduzido automaticamente. Para obter mais informações, consulte o Aviso Legal sobre Tradução Automática em Cloud Software Group home.

Isso foi útil?

Configuração do Azure para logon único do Microsoft Entra

May 4, 2026

Contribuição de:

May 4, 2026

Contribuição de:

Neste artigo

Isso foi útil?