Die New Teams Version (Manchmal auch Teams 2.0 genannt) wird ab 1 Juli 2024 der neue Standard für die Kommunikationsplattform von Microsoft. Am 1 Oktober 2024 erreicht der Classical Teams Client im VDI Kontext sein End of Support und nach neusten Nachrichten am 1 Juli 2025 sein End of availability Date. Diese Abschlussdaten wurden die letzten Wochen mehrfach angepasst.
Schlagwort: Office365
FSLogix Container (Office/Profile) in Citrix Umgebungen
In letzter Zeit bin ich vermehrt in Projekte gekommen, in denen Office365 voll umfänglich in Citrix Umgebungen implementiert werden soll. Dies bedeutet das der Kunde nicht nur die Standard Office Anwendungen Outlook, Excel und Word benötigt, sondern auch Teams und OneDrive nutzen möchte.
Genau hier haben wir aber, ohne zusätzliche Software, immense Probleme in nicht persistenten Desktop Umgebungen. Zum Beispiel mit unseren Profilen (Teams Installer speichert seine Daten im Profile) oder damit das Daten jedesmal wieder aus dem Internet heruntergeladen werden (OneDrive Sync Daten im Profile ausschliessen).
Seit kurzem sind wir aber in der glücklichen Lage, hierfür „kostenfrei“ FSLogix zu nutzen, wenn wir folgenden Voraussetzungen erfüllen:
- Microsoft 365 E3/E5
- Microsoft 365 A3/A5/ Student Use Benefits
- Microsoft 365 F1/F3
- Microsoft 365 Business
- Windows 10 Enterprise E3/E5
- Windows 10 Education A3/A5
- Windows 10 VDA per user
- Remote Desktop Services (RDS) Client Access License (CAL)
- Remote Desktop Services (RDS) Subscriber Access License (SAL)
Aktivierung von Azure AD Seamless Single Sign-On
Seit geraumer Zeit (Anfang 2017) ist es nun möglich SSO Szenarien mit Azure auch ohne ADFS Infrastruktur zu lösen. Dennoch setzt es sich erst die letzte Zeit durch, das Unternehmen nicht mehr auf ADFS pochen. Nun darf man endlich auch die alternativen Lösungen von Microsoft aufzeigen.
Die möglichen Szenarien für Seamless SSO sind:
- Pass-through authentication (PTA)
- Password Hash Sync (PHS)
Pass-through authentication (PTA)
Nachteile
- Keine automatische Erkennung von gestohlenen Zugangsdaten
- Azure AD DS benötigt aktiviertes Password Hash Sync Feature im Tenant um zu funktionieren (Nachteil bei reinen PTA ohne PHS)
- Ist nicht Bestandteil der Azure AD Connect Health
Password Hash Sync (PHS)
„Nachteil„
- Passwort wird in die Cloud synchronisiert (Als Hash Wert)
SAML Authentifizierung mit Azure-AD als IdP und Citrix als SP (Citrix FAS)
Seit Citrix XenApp / XenDesktop 7.9 ist der Federated Authentication Service (FAS) verfügbar. Über Citrix FAS ist es möglich einen Benutzer über SAML zu authentifizieren und somit Citrix als Service Provider, an bestehende Identity Provider, wie zum Beispiel Azure-AD, anzubinden.
Ablauf der SAML Authentifizierung
- Der Benutzer ruft die FQDN (z.B. citrix.deyda.net) des Citrix Gateway vServer (Service Provider) auf, um seine VA/VD Ressourcen starten zu können
- Der Citrix Gateway vServer leitet den nicht authentifizierten Benutzer direkt weiter an den Identity Provider (Azure AD) um sich dort zu authentifizieren (saml:authnRequest)
- Der Identity Provider verweist auf seine SingleSignOnService URL (z.B. login.microsoftonline.com) und der User muss sich authentifizieren.
- Der Benutzer gibt seine AD Zugangsdaten ein und diese werden vom Identity Provider gegenüber der User Database geprüft
- Bei erfolgreicher Überprüfung in der User Database wird der IdP informiert
- Der IdP stellt einen Token (SAML Assertion) aus und übermittelt diesen an das Citrix Gateway (saml:response)
- Citrix Gateway prüft den Token (Assertion Signature) und extrahiert den UPN aus dem Assertion Token. Dies erlaubt den Zugriff per SSO auf die VA/VD Farm über FAS (Der SP hat keinen Zugriff auf die Zugangsdaten des Benutzers)
Microsoft Azure MFA Cloud Service in Citrix ADC
Um meinen vorherigen Artikel zu vervollständigen, habe ich in meinem Test Lab direkt auch noch denn Microsoft Azure MFA Service aus der Cloud implementiert und getestet. In diesem Beitrag gehe ich direkt auf die ToDo’s für die Implementierung ein. Für weitere Informationen zu MFA und den Unterschieden zwischen Lokal und Cloud lest bitte meinen vorherigen Beitrag.
Wichtig ist das alle meine Angaben den Stand März 2019 haben und da es sich um die Cloud handelt, recht schnell wieder obsolet sein werden.