Azure Active Directory加入
本文描述了使用Citrix DaaS创建Azure Active Directory (AAD)联合编目的需求,以及在Citrix DaaS系统需求部分中概述的需求。
需求
- 控制平面:见支持配置
- VDA类型:单会话(仅桌面)或多会话(应用程序和桌面)
- VDA版本:2203及以上
- 供应类型:使用机器配置文件工作流的机器创建服务(MCS)、持久性和非持久性
- 分配类型:Dedicated和pooled
- 托管平台:仅Azure
- 2号会合点必须启用
限制
- 不支持业务连续性。
- 不支持虚拟桌面单点登录。用户在登录到桌面时必须手动输入凭据。
- 不支持在虚拟桌面中使用Windows Hello登录。目前只支持用户名和密码。如果用户尝试使用任何Windows Hello方法登录,他们将收到一个错误,说明他们不是代理用户,并且会话被断开。关联的方法包括PIN、FIDO2 key、MFA等。
- 仅支持Microsoft Azure Resource Manager云环境。
- 第一次启动虚拟桌面会话时,Windows登录屏幕可能会显示最后登录用户的登录提示,而没有切换到另一个用户的选项。用户必须等待,直到登录超时并出现桌面锁定屏幕,然后单击锁定屏幕以再次显示登录屏幕。此时,用户可以进行选择其他用户然后输入他们的证书。当机器是非持久化时,这是每个新会话的行为。
- 当您关闭非持久性VM时,它可能并不总是从Azure AD注销,因此会在Azure中留下陈旧的设备信息。要使用脚本清理过时的Azure AD设备,请参见CTX477042.
注意事项
映像配置
- 考虑使用Citrix优化器工具。
Azure AD加入
考虑禁用Windows Hello,这样用户登录虚拟桌面时就不会被提示进行设置。如果您使用的是VDA 2209或更高版本,则会自动完成此操作。对于早期版本,您可以通过以下两种方式之一进行此操作:
组策略或本地策略
- 导航到计算机配置>管理模板> Windows组件> Windows Hello for Business.
- 集使用Windows Hello for Business:
- 禁用,或
- 启用并选择登录后不启动Windows Hello配置.
微软Intune
- 创建禁用Windows Hello for Business的设备配置文件。指微软文档获取详细信息。
- 目前,Microsoft只支持Intune对持久化机器的注册,这意味着您不能使用Intune管理非持久化机器。
用户必须获得Azure中的显式访问权限,才能使用其AAD凭据登录到计算机。这可以通过在资源组级别添加角色分配来实现:
- 登录到Azure门户。
- 选择资源组.
- 2 .单击虚拟桌面工作负载所在资源组。
- 选择访问控制(IAM).
- 点击添加角色分配.
- 搜索虚拟机用户登录,在列表中选中,然后单击下一个.
- 选择用户、组或服务主体.
- 点击选择成员并选择您希望提供对虚拟桌面的访问权限的用户和组。
- 点击选择.
- 点击评审+分配.
- 点击评审+分配再一次。
注意:
如果选择让MCS为虚拟桌面创建资源组,则在创建机器目录之后添加此角色分配。
- 主虚拟机可以是Azure AD加入或非域加入。此功能需要VDA版本2212或更高版本。
VDA的安装和配置
请按照以下步骤安装VDA:
请确保在安装向导中选择以下选项:
- 在Environment页面中,选择创建一个主MCS映像.
- 在“交付控制器”页面中,选择让机器创建服务自动完成.
VDA安装完成后,需要添加以下注册表值:
- 关键:HKEY_LOCAL_MACHINE \ \ Citrix \ VirtualDesktopAgent软件
- 取值类型:DWORD
- 取值名称:gcregistration
- 数值数据:1
对于基于Windows 11 22H2的主虚拟机,在主虚拟机中创建一个计划任务,在系统启动时使用system帐户执行以下命令。
reg ADD HKLM\Software\AzureAD\VirtualDesktop /v Provider /t REG_SZ /d Citrix /f
下一步该去哪里?
一旦资源位置和主机连接可用,继续创建机器目录。有关创建Azure Active Directory加入的计算机编目的详细信息,请参见创建Azure Active Directory加入目录.
复制!
失败了!