混合Azure活动目录加入
除了Citrix DaaS系统需求一节中概述的需求外,本文还描述了使用Citrix DaaS创建Hybrid Azure Active Directory (HAAD)连接编目的需求。
混合Azure AD加入的机器使用本地AD作为身份验证提供者。您可以在本地AD中将它们分配给域用户或组。要启用Azure AD无缝SSO体验,您需要将域用户同步到Azure AD。
注意:
联邦和托管身份基础设施都支持混合Azure AD加入的vm。
需求
- 控制平面:支持配置
- VDA类型:单会话(仅桌面)或多会话(应用程序和桌面)
- VDA版本:2212及以上
- 配置类型:机器创建服务(MCS)、持久性和非持久性
- 分配类型:专用和池
- 托管平台:任何管理程序或云服务
限制
- 如果使用Citrix联邦身份验证服务(FAS),则单点登录将定向到本地AD而不是Azure AD。在这种情况下,建议配置Azure AD基于证书的身份验证,以便在用户登录时生成主刷新令牌(PRT),这有助于在会话内单点登录到Azure AD资源。否则,PRT将不存在,到Azure AD资源的SSO将无法工作。有关使用Citrix联邦身份验证服务(FAS)实现Azure AD单点登录(SSO)到混合加入的vda的信息,请参见Hybrid-joined共识.
- 创建或更新机器目录时,不要跳过图像准备。如果要跳过镜像准备,请确保主虚拟机没有加入Azure AD或Hybrid Azure AD。
注意事项
- 创建混合Azure Active Directory连接机器需要
写userCertificate目标域的权限。确保在创建目录时输入具有该权限的管理员的凭据。 混合Azure AD加入过程由Citrix管理。你需要禁用
autoWorkplaceJoin主虚拟机由Windows控制,如下所示。手动禁用的任务autoWorkplaceJoin只有VDA版本2212或更早版本才需要。- 运行
gpedit.msc. - 导航到计算机配置>管理模板> Windows组件>设备注册.
- 集将域加入的计算机注册为设备来禁用.
- 运行
选择在创建机器标识时配置为与Azure AD同步的组织单元(OU)。
对于Windows 11 22H2操作系统的主用虚拟机,在主用虚拟机中创建定时任务,定时任务在系统启动时执行以下命令。只有VDA版本2212或更早版本才需要在主虚拟机中调度任务。
$VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop' $WorkplaceJoinKeyPath = 'HKLM:\Software\ Policies\Microsoft\Windows\WorkplaceJoin' $MaxCount = 60 for ($count = 1;$count -le $MaxCount;$count++) {if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true) {$provider = (Get-Item -Path $VirtualDesktopKeyPath)。GetValue("Provider", $null) if ($ Provider -eq 'Citrix') {break;} if ($provider -eq 1) {Set-ItemProperty -Path $VirtualDesktopKeyPath -Name " provider " -Value "Citrix" -Force Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force Start-Sleep 5 dsregcmd /join break}} Start-Sleep 1}
下一步去哪里
有关创建Hybrid Azure Active Directory合并编目的详细信息,请参见创建混合Azure活动目录合并目录.
复制!
失败了!