Unido ao Azure Active Directory Híbrido
Nota:
Desde julho de 2023, a Microsoft renomeou o Azure Active Directory (Azure AD) para Microsoft Entra ID. Neste documento, qualquer referência a Azure Active Directory, Azure AD ou AAD agora se refere a Microsoft Entra ID.
Este artigo descreve os requisitos para criar catálogos unidos ao Azure Active Directory Híbrido (HAAD), além dos requisitos descritos na seção de requisitos do sistema.
Máquinas unidas ao Azure AD Híbrido usam o AD local como provedor de autenticação. Você pode atribuí-las a usuários ou grupos de domínio no AD local. Para habilitar a experiência de SSO contínuo do Azure AD, você precisa ter os usuários de domínio sincronizados com o Azure AD.
Nota:
VMs unidas ao Azure AD Híbrido são suportadas em infraestruturas de identidade federada e gerenciada.
Requisitos
- Tipo de VDA: Sessão única (somente desktops) ou multi-sessão (aplicativos e desktops)
- Versão do VDA: 2212 ou posterior
- Tipo de provisionamento: Machine Creation Services™ (MCS), Persistente e Não persistente
- Tipo de atribuição: Dedicado e agrupado
- Plataforma de hospedagem: Qualquer hipervisor ou serviço de nuvem
Limitações
- Se o Citrix Federated Authentication Service (FAS) for usado, o logon único será direcionado ao AD local em vez do Azure AD. Neste caso, é recomendável configurar a autenticação baseada em certificado do Azure AD para que o token de atualização primário (PRT) seja gerado no logon do usuário, o que facilita o logon único para recursos do Azure AD dentro da sessão. Caso contrário, o PRT não estará presente e o SSO para recursos do Azure AD não funcionará. Para obter informações sobre como obter o logon único (SSO) do Azure AD para VDAs híbridos usando o Citrix Federated Authentication Service (FAS), consulte VDAs híbridos.
- Não ignore a preparação da imagem ao criar ou atualizar catálogos de máquinas. Se você quiser ignorar a preparação da imagem, certifique-se de que as VMs mestras não estejam ingressadas no Azure AD ou no Azure AD Híbrido.
Considerações
- A criação de máquinas ingressadas no Azure Active Directory híbrido requer a permissão
Write userCertificateno domínio de destino. Certifique-se de inserir as credenciais de um administrador com essa permissão durante a criação do catálogo. -
O processo de ingresso no Azure AD híbrido é gerenciado pela Citrix. Você precisa desabilitar
autoWorkplaceJoincontrolado pelo Windows nas VMs mestras da seguinte forma. A tarefa de desabilitar manualmenteautoWorkplaceJoiné necessária apenas para a versão 2212 ou anterior do VDA.- Execute
gpedit.msc. - Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Registro de Dispositivo.
- Defina Registrar computadores ingressados no domínio como dispositivos como Desabilitado.
- Execute
-
Selecione a Unidade Organizacional (OU) que está configurada para ser sincronizada com o Azure AD ao criar as identidades da máquina.
-
Para uma VM mestra baseada no Windows 11 22H2, crie uma tarefa agendada na VM mestra que executa os seguintes comandos na inicialização do sistema usando a conta SYSTEM. Esta tarefa de agendamento de uma tarefa na VM mestra é necessária apenas para a versão 2212 ou anterior do VDA.
$VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop' $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin' $MaxCount = 60 for ($count = 1; $count -le $MaxCount; $count++) { if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true) { $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null) if ($provider -eq 'Citrix') { break; } if ($provider -eq 1) { Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force Start-Sleep 5 dsregcmd /join break } } Start-Sleep 1 } <!--NeedCopy--> - Por padrão, o Azure AD Connect sincroniza a cada 30 minutos. As máquinas provisionadas podem levar até 30 minutos para serem ingressadas no Azure AD híbrido durante a primeira inicialização.
Onde ir em seguida
Para obter mais informações sobre como criar catálogos ingressados no Azure Active Directory híbrido, consulte Criar catálogos ingressados no Azure Active Directory híbrido.