产品文档
Citrix DaaS™
查看 PDF

Microsoft Entra 单点登录 Azure 配置

May 4, 2026
投稿者: 
C

为了利用 Microsoft Entra 单点登录,您必须首先在 Microsoft Entra ID 租户中允许 Windows 的 Microsoft Entra 身份验证,这使得能够颁发所需的身份验证令牌,从而允许用户登录到已加入 Microsoft Entra 和已混合加入 Microsoft Entra 的会话主机。为此,您必须执行以下操作:

  1. 在您的 Microsoft Entra ID 租户中注册 Citrix 应用程序(资源应用和客户端应用)。
  2. 为 Citrix 资源应用程序启用远程桌面安全配置。
  3. 将 Citrix 客户端应用程序添加为 Citrix 资源应用程序的已批准客户端。
  4. [可选] 隐藏用户同意提示对话框。
  5. 创建 Kerberos 服务器对象。
    1. 审查 Microsoft Entra 条件访问策略。

执行 Azure 配置的人员必须至少被分配以下 Microsoft Entra 内置角色之一或同等角色:

提供了有关如何结合 PowerShell 和 Graph Explorer 完成配置的说明。

PowerShell 配置

如果您选择使用 Microsoft Graph PowerShell SDK,请注意:

-  您将需要使用采用 PowerShell 终端类型的 [Azure Cloud Shell](https://learn.microsoft.com/zh-cn/azure/cloud-shell/overview),或在本地系统上运行 [PowerShell 7.x](https://learn.microsoft.com/zh-cn/powershell/scripting/install/installing-powershell?view=powershell-7.5),并确保您的 [Azure 上下文已设置为您要使用的订阅](https://learn.microsoft.com/zh-cn/powershell/azure/context-persistence?view=azps-14.3.0)。
-  您将需要安装 [Microsoft Graph PowerShell SDK](https://learn.microsoft.com/zh-cn/powershell/microsoftgraph/installation?view=graph-powershell-1.0) v1.0 模块 (Microsoft.Graph) 和 Beta 应用程序模块 (Microsoft.Graph.Beta.Applications)。

启用远程桌面安全配置

注册 Citrix 应用程序后,您必须在 Citrix 资源应用程序中启用远程桌面安全配置。

  1. 导入身份验证和应用程序 Microsoft Graph 模块,并使用 Application.Read.AllApplication-RemoteDesktopConfig.ReadWrite.All 范围连接到 Microsoft Graph:

    
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications
Import-Module Microsoft.Graph.Beta.Applications
Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

<!--NeedCopy-->

  2. 获取针对与应用程序注册关联的服务主体的对象 ID:

    Citrix Cloud 美国、欧盟、亚太南部

    
$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '3a510bb1-e334-4298-831e-3eac97f8b26c'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '85651ebe-9a8e-49e4-aaf2-9274d9b6499f'").Id

<!--NeedCopy-->

    Citrix Cloud 日本

    
$CtxResourceSpId = (Get-MgServicePrincipal -Filter "AppId eq '0027603f-364b-40f2-98be-8ca4bb79bf8b'").Id
$CtxClientSpId = (Get-MgServicePrincipal -Filter "AppId eq '0fa97bc0-059c-4c10-8c54-845a1fd5a916'").Id

<!--NeedCopy-->

  3. 将属性 isRemoteDesktopProtocolEnabled 设置为 true

    
If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId -IsRemoteDesktopProtocolEnabled
}

<!--NeedCopy-->

  4. 确认属性 isRemoteDesktopProtocolEnabled 已设置为 true

    
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $CtxResourceSpId

<!--NeedCopy-->

批准客户端应用程序

您必须在 Citrix 资源应用程序中显式添加 Citrix 客户端应用程序作为已批准的客户端。

  1. 创建 approvedClientApp 对象:

    
$acp = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphApprovedClientApp
$acp.Id = $CtxClientSpId

<!--NeedCopy-->

  2. 将客户端应用程序添加到 approvedClientApp 对象:

    
New-MgBetaServicePrincipalRemoteDesktopSecurityConfigurationApprovedClientApp -ServicePrincipalId $CtxResourceSpId -BodyParameter $acp

<!--NeedCopy-->

    输出应类似于:

    Id                                    DisplayName
-----------                                    -----------
87654321-wxyz-1a2b-3c4d-1029384756af  Citrix-Workspace

隐藏用户同意提示对话框

默认情况下,当连接到已加入 Microsoft Entra 或已混合加入 Microsoft Entra 的会话主机且已启用 Microsoft Entra 单点登录时,系统会提示用户允许远程桌面连接,在此情况下,他们必须选择“是”以允许单点登录。Microsoft Entra 将记住最多 15 个唯一的会话主机 30 天,之后会再次提示。

您可以通过配置目标设备列表来隐藏此对话框。要配置设备列表,您必须在 Microsoft Entra ID 中创建一个或多个组,这些组包含已加入 Microsoft Entra 和/或已混合加入 Microsoft Entra 的会话主机,然后在资源应用程序中授权这些组,最多 10 个组。

注意

强烈建议创建动态组以简化组的成员资格管理。动态组通常在 5-10 分钟内更新,但大型租户可能需要长达 24 小时。

动态组需要 Microsoft Entra ID P1 许可证或 Intune for Education 许可证。有关详细信息,请参阅组的动态成员资格规则。 >

-  创建组后,请按照以下步骤操作:

  1. 获取包含您希望隐藏远程桌面连接提示的会话主机的组的对象 ID (OID)。

      1. 创建 targetDeviceGroup 对象:
    
$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<groupOID>"

<!--NeedCopy-->

  2. 将客户端应用程序添加到 approvedClientApp 对象:

    
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -BodyParameter $tdg

<!--NeedCopy-->

  • 输出应类似于:

  • Id DisplayName – – 87654321-wxyz-1a2b-3c4d-1029384756af Entra-SSO-Desktops

    1. 如果您以后需要从 targetDeviceGroup 对象中删除设备组,请运行以下命令:
    
 Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $CtxResourceSpId -TargetDeviceGroupId "<groupOID>"

 <!--NeedCopy-->

注意

您可以重复这些步骤以添加更多组(如果需要),最多可添加 10 个组。

Microsoft Graph API 配置

启用远程桌面安全配置

注册 Citrix 应用程序后,您必须在 Citrix 资源应用程序中启用远程桌面安全配置。

  1. 从 Azure 门户获取与应用程序注册关联的服务主体对象 ID (OID):
    1. 导航到 Microsoft Entra ID > 企业应用程序。
        1. 如果设置了“应用程序类型”筛选器,请将其删除,以便列出所有应用程序。
        1. 搜索 Citrix-Workspace-Resource / Citrix-Workspace-Resource-JP,并记下资源应用程序的关联对象 ID。
        1. 搜索 Citrix-Workspace / Citrix-Workspace-JP,并记下客户端应用程序的关联对象 ID。

  2. 在 Graph Explorer 中,使用具有所需权限的目标 Azure 租户中的帐户登录。

      1. 设置以下查询:
    • HTTP 请求方法:PATCH
    • Microsoft Graph API 版本:v1.0

    • 查询:

      
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration

 <!--NeedCopy-->

    • 请求正文:

      ```

  • {

  • “@odata.type”: “#microsoft.graph.remoteDesktopSecurityConfiguration”, “isRemoteDesktopProtocolEnabled”: true }

     <!--NeedCopy--> ```

  1. 选择“修改权限”选项卡,并确保您已同意 Application.ReadWrite.All 权限。

  2. 运行查询。

有关参考,请参阅 remoteDesktopSecurityConfiguration 资源类型

批准客户端应用程序

您必须在 Citrix 资源应用程序中将 Citrix 客户端应用程序显式添加为批准的客户端。

设置并运行以下查询:

  • HTTP 请求方法:POST
  • Microsoft Graph API 版本:beta

  • 查询:

    
 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/approvedClientApps

 <!--NeedCopy-->

  • 请求正文:

    
 {
     "@odata.type": "#microsoft.graph.approvedClientApp",
     "id": "<clientAppOID>"
 }

 <!--NeedCopy-->

隐藏用户同意提示对话框

默认情况下,当用户连接到已启用 Microsoft Entra 单一登录的已加入 Microsoft Entra 或已混合加入 Microsoft Entra 的会话主机时,系统会提示他们允许远程桌面连接,此时他们必须选择“是”以允许单一登录。Microsoft Entra 将记住最多 15 个唯一的会话主机 30 天,之后会再次提示。

您可以通过配置目标设备列表来隐藏此对话框。要配置设备列表,您必须在 Microsoft Entra ID 中创建一个或多个包含已加入 Microsoft Entra 和/或已混合加入 Microsoft Entra 的会话主机的组,然后在资源应用程序中授权这些组,最多可授权 10 个组。

注意

强烈建议创建动态组以简化组的成员身份管理。虽然动态组通常在 5-10 分钟内更新,但大型租户可能需要长达 24 小时。

动态组需要 Microsoft Entra ID P1 许可证或 Intune for Education 许可证。有关详细信息,请参阅组的动态成员身份规则

创建组后,请按照以下步骤操作:

  1. 获取包含要隐藏远程桌面连接提示的会话主机的组的对象 ID (OID)。

  2. 设置并运行以下查询:

    • HTTP 请求方法:POST
    • Microsoft Graph API 版本:v1.0

    • 查询:

      
 https://graph.microsoft.com/v1.0/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

    • 请求正文:

      
 {
     "@odata.type": "#microsoft.graph.targetDeviceGroup",
     "id": "<groupOID>"
 }

 <!--NeedCopy-->

注意

您可以重复这些步骤以添加更多组(如果需要),最多可添加 10 个组。

如果您以后需要从 targetDeviceGroup 对象中移除设备组,请设置并运行以下查询:

  • HTTP 请求方法:DELETE
  • Microsoft Graph API 版本:v1.0

  • 查询:

    
 https://graph.microsoft.com/beta/servicePrincipals/<resourceAppOID>/remoteDesktopSecurityConfiguration/targetDeviceGroups

 <!--NeedCopy-->

有关参考,请参阅 targetDeviceGroup 资源类型

创建 Kerberos 服务器对象

如果您的会话主机已混合加入 Microsoft Entra,则必须在用户和计算机帐户所在的 Active Directory 域中配置 Kerberos 服务器对象。有关详细信息,请参阅创建 Kerberos 服务器对象

审查 Microsoft Entra 条件访问策略

如果您使用或计划使用 Microsoft Entra 条件访问策略,请审查应用于 Citrix 资源应用程序Citrix 客户端应用程序的配置,以确保用户获得预期的登录体验。

有关在使用 Microsoft Entra 单一登录进行 DaaS 时配置条件访问的详细指导,请参阅 Microsoft 文档。请记住,所需的条件访问设置必须应用于 Citrix 资源应用程序Citrix 客户端应用程序,而不是 Microsoft 应用程序。

Microsoft Entra 单点登录 Azure 配置
May 4, 2026
投稿者: 
C
May 4, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.