Produktdokumentation
Citrix DaaS™
PDF anzeigen

Identitätspool von Microsoft Entra-verbundenen Maschinenidentitäten

March 25, 2026
Beitrag von: 
C C

Dieser Artikel beschreibt, wie Sie mithilfe von Citrix DaaS einen Identitätspool von Microsoft Entra-verbundenen Maschinenidentitäten erstellen.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Microsoft Entra-verbunden.

Bevor Sie den Maschinenkatalog erstellen, benötigen Sie Folgendes:

  1. Neuer Ressourcenstandort
    • Navigieren Sie in der Citrix Cloud™ Admin-Benutzeroberfläche zum Hamburger-Menü oben links > Ressourcenstandorte.
    • Klicken Sie auf + Ressourcenstandort.
    • Geben Sie einen Namen für den neuen Ressourcenstandort ein und klicken Sie auf Speichern.
  2. Erstellen Sie eine Hosting-Verbindung. Weitere Informationen finden Sie im Abschnitt Verbindungen erstellen und verwalten. Wenn Sie Maschinen in Azure bereitstellen, lesen Sie Verbindung zu Azure Resource Manager.

Sie können Microsoft Entra-verbundene Kataloge mit Studio oder PowerShell erstellen.

Studio verwenden

Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen. Um Microsoft Entra-verbundene Kataloge zu erstellen, folgen Sie der allgemeinen Anleitung in diesem Artikel und beachten Sie die spezifischen Details für Microsoft Entra-verbundene Kataloge.

Im Katalogerstellungsassistenten:

  1. Auf der Seite Image:
    • Wählen Sie 2106 oder höher als Funktionslevel aus.
    • Wählen Sie Maschinenprofil verwenden und wählen Sie die entsprechende Maschine aus der Liste aus.

  2. Auf der Seite Maschinenidentitäten:

    • Wählen Sie Microsoft Entra-verbunden. Die erstellten Maschinen gehören einer Organisation und werden mit einem Microsoft Entra-Konto angemeldet, das zu dieser Organisation gehört. Sie existieren nur in der Cloud.

      Hinweis:

      • Der Identitätstyp Microsoft Entra-verbunden erfordert Version 2106 oder höher als minimales Funktionslevel für den Katalog.
      • Die Maschinen werden der Microsoft Entra-Domäne beigetreten, die dem Tenant zugeordnet ist, an den die Hosting-Verbindung gebunden ist.

    • Klicken Sie auf Dienstkonto auswählen und wählen Sie ein verfügbares Dienstkonto aus der Liste aus. Wenn kein geeignetes Dienstkonto für den Microsoft Entra-Tenant verfügbar ist, dem die Maschinenidentitäten beitreten sollen, können Sie ein Dienstkonto erstellen. Informationen zu Dienstkonten finden Sie unter Microsoft Entra-Dienstkonten.

      Hinweis:

      Das von Ihnen ausgewählte Dienstkonto kann aus verschiedenen Gründen einen fehlerhaften Status aufweisen. Sie können zu Administratoren > Dienstkonten navigieren, um Details anzuzeigen und die Probleme gemäß den Empfehlungen zu beheben. Alternativ können Sie den Maschinenkatalogvorgang fortsetzen und die Probleme später beheben. Wenn Sie das Problem nicht beheben, werden veraltete Microsoft Entra-verbundene oder Microsoft Intune-registrierte Geräte generiert, die den Microsoft Entra-Beitritt der Maschinen blockieren können.

  3. Benutzer müssen in Azure expliziten Zugriff erhalten, um sich mit ihren Microsoft Entra-Anmeldeinformationen an den Maschinen anmelden zu können. Weitere Details finden Sie im Abschnitt Microsoft Entra-verbunden.

Dienstkonto-Zuordnung ändern

Um das zugehörige Dienstkonto zu ändern oder eine Zuordnung zu einem vorhandenen MCS-Maschinenkatalog hinzuzufügen, verwenden Sie die Seite Maschinenkatalog bearbeiten.

  • Um ein Dienstkonto hinzuzufügen, klicken Sie auf der Seite Dienstkonto auf Dienstkonto auswählen.
  • Um die Dienstkonto-Zuordnung zu ändern, klicken Sie auf der Seite Dienstkonto auf das Bearbeitungssymbol.

PowerShell verwenden

Die folgenden Schritte sind PowerShell-Äquivalente zu den Vorgängen in Studio.

Der Unterschied zwischen lokalen AD-verbundenen Katalogen und Microsoft Entra-verbundenen Katalogen liegt in der Erstellung des Identitätspools und des Bereitstellungsschemas.

Sie müssen ein Microsoft Entra-Dienstkonto mit dem Identitätspool verknüpfen und dann den Maschinenkatalog erstellen. Sie können entweder einen neuen Identitätspool erstellen oder einen vorhandenen Identitätspool aktualisieren, um ihn mit einem Dienstkonto zu verknüpfen.

Neuen Identitätspool erstellen

Beispiel: Um einen neuen Identitätspool zu erstellen und ihn mit einem Dienstkonto zu verknüpfen, führen Sie Folgendes aus:

New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Beispiel: Um einen neuen Identitätspool mit angegebenen Erweiterungsattributen zu erstellen und ihn mit einem Dienstkonto zu verknüpfen, führen Sie Folgendes aus:

New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->

Wenn eine VM zum ersten Mal eingeschaltet wird, nachdem sie Microsoft Entra ID beigetreten ist, meldet die VM ihre Entra ID deviceId an MCS.

Beispiel: Um die EntraIDDeviceID zu überprüfen, führen Sie Get-AcctADAccount oder Get-AcctIdentity aus.

Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->

Nach einem Neustart bleibt die EntraIDDeviceID für persistente VMs gleich. Für nicht-persistente VMs gibt es nach jedem Neustart eine neue EntraIDDeviceID.

Hinweis:

MCS entfernt automatisch zugehörige Erweiterungsattribute, wenn Sie eine VM aus dem Katalog löschen, aber nicht aus Azure.

Vorhandenen Identitätspool aktualisieren

Beispiel: Um einen vorhandenen Identitätspool zu aktualisieren und ihn mit einem Dienstkonto zu verknüpfen, führen Sie Folgendes aus:

$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Hinweis:

Die $serviceAccountUid muss eine gültige UID eines Microsoft Entra-Dienstkontos sein.

Beispiel: Um Erweiterungsattribute für den vorhandenen Katalog zu bearbeiten, führen Sie Folgendes aus:

Hinweis:

  • Nach dem Upgrade vorhandener Katalog-VMs auf VDA-Version 2511 oder höher ist ein Neustart erforderlich. Dieser Neustart ermöglicht es der VM, ihre Entra ID deviceId an MCS zu melden, wodurch MCS dann die Erweiterungsattribute der VM konfigurieren kann.
  • Der vorhandene Katalog sollte einen AzureAD-Dienstkontotyp mit der Berechtigung “Device.ReadWrite.All” haben.

Um neue Attribute hinzuzufügen:

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->

Um vorhandene Attribute zu entfernen:

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->

ODER

Set-AcctIdentityPool aktualisiert auch die Erweiterungsattribute des Entra ID-Geräts für VMs, die bereits mit Entra ID verbunden sind und einen EntraIDDeviceID-Wert in ihren Identitäten besitzen.

Microsoft Entra-verbundene Kataloge erstellen

Um ein Bereitstellungsschema für Microsoft Entra-verbundene Kataloge zu erstellen, ist der Parameter MachineProfile in New-ProvScheme erforderlich. Zum Beispiel:

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->

Um einen Microsoft Entra-Katalog mit einem vorbereiteten Image zu erstellen. Zum Beispiel:

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Status des Microsoft Entra-Verbindungsprozesses anzeigen

In Studio ist der Status des Microsoft Entra-Verbindungsprozesses sichtbar, wenn Microsoft Entra-verbundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, verwenden Sie Suchen, um diese Maschinen zu identifizieren, und überprüfen Sie dann für jede Maschine die Maschinenidentität auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität erscheinen:

  • Microsoft Entra-verbunden
  • Noch nicht mit Microsoft Entra ID verbunden

Hinweis:

Wenn die Maschinen nicht den Status “Microsoft Entra-verbunden” erreichen, registrieren sie sich nicht beim Delivery Controller. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Auch über Studio können Sie erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu auf eine Maschine im Knoten Suchen, überprüfen Sie die Registrierung auf der Registerkarte Details im unteren Bereich und lesen Sie dann den Tooltip für zusätzliche Informationen.

Bereitstellungsgruppe

Details finden Sie im Abschnitt Bereitstellungsgruppen erstellen.

Rendezvous aktivieren

Sobald die Bereitstellungsgruppe erstellt wurde, können Sie Rendezvous aktivieren. Details finden Sie unter Rendezvous V2.

Fehlerbehebung

Wenn Maschinen nicht mit Microsoft Entra verbunden werden, gehen Sie wie folgt vor:

  • Überprüfen Sie, ob die systemseitig zugewiesene verwaltete Identität für die Maschinen aktiviert ist. MCS-bereitgestellte Maschinen müssen diese automatisch aktiviert haben. Der Microsoft Entra-Verbindungsprozess schlägt ohne eine systemseitig zugewiesene verwaltete Identität fehl. Wenn die systemseitig zugewiesene verwaltete Identität für MCS-bereitgestellte Maschinen nicht aktiviert ist, kann der mögliche Grund sein:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf AzureAD eingestellt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.

  • Überprüfen Sie für Kataloge, die Master-Images mit VDA-Version 2206 oder früher verwenden, den Bereitstellungsstatus der Erweiterung AADLoginForWindows für die Maschinen. Wenn die Erweiterung AADLoginForWindows nicht existiert, sind mögliche Gründe:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf AzureAD eingestellt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.

    • Die Installation der Erweiterung AADLoginForWindows wird durch die Azure-Richtlinie blockiert.

  • Um Fehler bei der Bereitstellung der Erweiterung AADLoginForWindows zu beheben, können Sie die Protokolle unter C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows auf der MCS-bereitgestellten Maschine überprüfen.

    Hinweis:

    MCS ist nicht auf die AADLoginForWindows-Erweiterung angewiesen, um eine VM mit Microsoft Entra ID zu verbinden, wenn ein Master-Image mit VDA-Version 2209 oder höher verwendet wird. In diesem Fall wird die AADLoginForWindows-Erweiterung nicht auf der MCS-bereitgestellten Maschine installiert. Daher können keine Protokolle zur Bereitstellung der AADLoginForWindows-Erweiterung gesammelt werden.

  • Überprüfen Sie den Microsoft Entra-Verbindungsstatus und die Debug-Protokolle, indem Sie den Befehl dsregcmd /status auf der MCS-bereitgestellten Maschine ausführen.

  • Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Benutzergeräte-Registrierung.

  • Überprüfen Sie, ob die Microsoft Entra-Geräteverwaltung korrekt konfiguriert ist, indem Sie Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName} ausführen.

    Stellen Sie sicher, dass der Wert von:

    • Die Eigenschaft AzureAdDeviceManagement in CustomProperties ist true.
    • Die Eigenschaft Citrix_MCS_AzureAdDeviceManagement_PermissionGranted in den Metadaten ist true.

    Wenn Citrix_MCS_AzureAdDeviceManagement_PermissionGranted false ist, bedeutet dies, dass dem ServicePrincipal der von der Hosting-Verbindung verwendeten Anwendung nicht ausreichende Berechtigungen zur Durchführung der Microsoft Entra-Geräteverwaltung erteilt wurden. Um dies zu beheben, weisen Sie dem ServicePrincipal die Rolle Cloud Device Administrator zu.

Dynamische Microsoft Entra-Sicherheitsgruppen

Dynamische Gruppenregeln platzieren die VMs im Katalog in einer dynamischen Sicherheitsgruppe, basierend auf dem Benennungsschema des Maschinenkatalogs.

Wenn das Benennungsschema des Maschinenkatalogs Test### ist (wobei # eine Zahl bedeutet), erstellt Citrix® die dynamische Mitgliedschaftsregel ^Test[0-9]{3}$ in der dynamischen Sicherheitsgruppe. Wenn der von Citrix erstellte VM-Name nun zwischen Test001 und Test999 liegt, wird die VM in die dynamische Sicherheitsgruppe aufgenommen.

Hinweis:

Wenn der von Ihnen manuell erstellte VM-Name ebenfalls zwischen Test001 und Test999 liegt, wird die VM ebenfalls in die dynamische Sicherheitsgruppe aufgenommen. Dies ist eine der Einschränkungen der dynamischen Sicherheitsgruppe.

Die Funktion der dynamischen Sicherheitsgruppe ist nützlich, wenn Sie die VMs über Microsoft Entra ID verwalten möchten. Dies ist auch nützlich, wenn Sie Richtlinien für bedingten Zugriff anwenden oder Apps von Intune verteilen möchten, indem Sie die VMs mit der dynamischen Microsoft Entra-Sicherheitsgruppe filtern.

Sie können PowerShell-Befehle verwenden, um:

  • Einen Maschinenkatalog mit einer dynamischen Microsoft Entra-Sicherheitsgruppe zu erstellen
  • Die Sicherheitsgruppenfunktion für einen Microsoft Entra-Katalog zu aktivieren
  • Einen Maschinenkatalog mit einer Microsoft Entra-verbundenen Gerätesicherheitsgruppe zu löschen

Wichtig:

Einen Maschinenkatalog mit einer dynamischen Microsoft Entra-Sicherheitsgruppe erstellen

  1. Wählen Sie in der Benutzeroberfläche der webbasierten Konsole auf der Seite Maschinenidentitäten bei der Einrichtung des Maschinenkatalogs die Option Microsoft Entra-verbunden.
  2. Melden Sie sich bei Microsoft Entra ID an.
  3. Rufen Sie das Zugriffstoken für die MS Graph API ab. Verwenden Sie dieses Zugriffstoken als Wert des Parameters $AzureADAccessToken, wenn Sie die PowerShell-Befehle ausführen. Sie benötigen kein Microsoft Entra-Zugriffstoken, wenn Sie ein Microsoft Entra-Dienstkonto verwenden.

  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Name der dynamischen Sicherheitsgruppe im Tenant existiert.

    Get-AcctAzureADSecurityGroup
–AccessToken  $AzureADAccessToken
–Name "SecurityGroupName"
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"
<!--NeedCopy-->

  5. Erstellen Sie einen Maschinenkatalog unter Verwendung der Mandanten-ID, des Zugriffstokens und der dynamischen Sicherheitsgruppe. Führen Sie den folgenden Befehl aus, um einen IdentityPool mit IdentityType=AzureAD zu erstellen und eine dynamische Sicherheitsgruppe in Azure zu erstellen.

    New-AcctIdentityPool
-AllowUnicode
-IdentityPoolName "SecurityGroupCatalog"
-NamingScheme "SG-VM-###"
-NamingSchemeType "Numeric" -Scope @()
-ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
-WorkgroupMachine
-IdentityType "AzureAD"
-DeviceManagementType "None"
-AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupName "SecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra Dienstkonto verwenden:

    New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Funktion für Sicherheitsgruppen für einen Microsoft Entra Katalog aktivieren

Sie können die Funktion für dynamische Sicherheit für einen Microsoft Entra Katalog aktivieren, der ohne aktivierte Funktion für dynamische Sicherheitsgruppen erstellt wurde. Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie manuell eine neue dynamische Sicherheitsgruppe. Sie können auch eine vorhandene dynamische Sicherheitsgruppe wiederverwenden.

  2. Melden Sie sich bei Microsoft Entra ID an und rufen Sie das Zugriffstoken für die MS Graph API ab. Verwenden Sie dieses Zugriffstoken als Wert des Parameters $AzureADAccessToken, wenn Sie die PowerShell-Befehle ausführen.

    Hinweis:

  3. Führen Sie den folgenden Befehl aus, um den Identitätspool mit der erstellten dynamischen Microsoft Entra Sicherheitsgruppe zu verbinden.

    Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra Dienstkonto verwenden:

    Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Wenn Sie das Benennungsschema aktualisieren, aktualisiert Citrix das Benennungsschema auf eine neue Mitgliedschaftsregel. Wenn Sie den Katalog löschen, wird die Mitgliedschaftsregel gelöscht, nicht aber die Sicherheitsgruppe.

Löschen eines Maschinenkatalogs mit einer Microsoft Entra beigetretenen Gerätesicherheitsgruppe

Wenn Sie einen Maschinenkatalog löschen, wird die Microsoft Entra beigetretene Gerätesicherheitsgruppe ebenfalls gelöscht.

Gehen Sie wie folgt vor, um die dynamische Microsoft Entra Sicherheitsgruppe zu löschen:

  1. Melden Sie sich bei Microsoft Entra ID an.
  2. Rufen Sie das Zugriffstoken für die MS Graph API ab. Verwenden Sie dieses Zugriffstoken als Wert des Parameters $AzureADAccessToken, wenn Sie die PowerShell-Befehle ausführen. Sie benötigen kein Microsoft Entra Zugriffstoken, wenn Sie ein Microsoft Entra Dienstkonto verwenden.

  3. Führen Sie den folgenden Befehl aus:

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra Dienstkonto verwenden:

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Erstellen einer dynamischen Microsoft Entra Sicherheitsgruppe unter einer vorhandenen Microsoft Entra ID zugewiesenen Sicherheitsgruppe

Sie können eine dynamische Microsoft Entra Sicherheitsgruppe unter einer vorhandenen Microsoft Entra ID zugewiesenen Sicherheitsgruppe erstellen. Sie können Folgendes tun:

  • Sicherheitsgruppeninformationen abrufen.
  • Alle Microsoft Entra ID zugewiesenen Sicherheitsgruppen abrufen, die von einem lokalen AD-Server synchronisiert werden, oder die zugewiesenen Sicherheitsgruppen, denen Microsoft Entra Rollen zugewiesen werden können.
  • Alle dynamischen Microsoft Entra Sicherheitsgruppen abrufen.
  • Die dynamische Microsoft Entra Sicherheitsgruppe als Mitglied der Microsoft Entra ID zugewiesenen Gruppe hinzufügen.
  • Die Mitgliedschaft zwischen der dynamischen Microsoft Entra Sicherheitsgruppe und der Microsoft Entra ID zugewiesenen Sicherheitsgruppe entfernen, wenn die dynamische Microsoft Entra Sicherheitsgruppe zusammen mit dem Maschinenkatalog gelöscht wird.

Sie können auch explizite Fehlermeldungen sehen, wenn einer der Vorgänge fehlschlägt.

Anforderung:

Sie müssen über das Zugriffstoken für die MS Graph API verfügen, wenn Sie die PowerShell-Befehle ausführen. Sie benötigen kein Microsoft Entra Zugriffstoken, wenn Sie ein Microsoft Entra Dienstkonto verwenden. Verwenden Sie daher anstelle von -AccessToken <token> den Wert ServiceAccountUid <service account uid>.

So rufen Sie das Zugriffstoken ab:

  1. Öffnen Sie Microsoft graph explorer und melden Sie sich bei Microsoft Entra ID an.
  2. Stellen Sie sicher, dass Sie die Zustimmung für die Berechtigungen Group.ReadWrite.All und GroupMember.ReadWrite.All haben.
  3. Rufen Sie das Zugriffstoken vom Microsoft Graph Explorer ab. Verwenden Sie dieses Zugriffstoken, wenn Sie die PowerShell-Befehle ausführen.

So rufen Sie Sicherheitsgruppeninformationen nach Gruppen-ID ab:

  1. Rufen Sie das Zugriffstoken ab.
  2. Suchen Sie die Gruppenobjekt-ID im Azure-Portal.

  3. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    Get-AcctAzureADSecurityGroup
-AccessToken <token> -GroupId <GroupUid>
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra Dienstkonto verwenden:

    Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>
<!--NeedCopy-->

So rufen Sie Sicherheitsgruppen nach Anzeigename der Gruppe ab:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Name <TargetGroupDisplayName>
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra Dienstkonto verwenden:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Name <TargetGroupDisplayName>
<!--NeedCopy-->

So rufen Sie Sicherheitsgruppen ab, deren Anzeigename eine Teilzeichenfolge enthält:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-SearchString <displayNameSubString>
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra Dienstkonto verwenden:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-SearchString <displayNameSubString>
<!--NeedCopy-->

Um alle zugewiesenen Microsoft Entra ID-Sicherheitsgruppen abzurufen, die von einem lokalen AD-Server synchronisiert werden, oder die zugewiesenen Sicherheitsgruppen, denen Microsoft Entra-Rollen zugewiesen werden können:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
<!--NeedCopy-->

    Oder führen Sie den folgenden Befehl aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
<!--NeedCopy-->

Um alle dynamischen Microsoft Entra-Sicherheitsgruppen abzurufen:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Dynamic true
<!--NeedCopy-->

    Oder führen Sie den folgenden Befehl aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Dynamic true
<!--NeedCopy-->

Um zugewiesene Microsoft Entra ID-Sicherheitsgruppen mit maximaler Datensatzanzahl abzurufen:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
-MaxRecordCount 10
<!--NeedCopy-->

    Oder führen Sie den folgenden Befehl aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
-MaxRecordCount 10
<!--NeedCopy-->

Um eine dynamische Microsoft Entra-Sicherheitsgruppe als Mitglied einer zugewiesenen Microsoft Entra ID-Sicherheitsgruppe hinzuzufügen:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    Add-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>
<!--NeedCopy-->

    Oder führen Sie den folgenden Befehl aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    Add-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>
<!--NeedCopy-->

Um Mitglieder von zugewiesenen Microsoft Entra ID-Sicherheitsgruppen abzurufen:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    Get-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
<!--NeedCopy-->

    Oder führen Sie den folgenden Befehl aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    Get-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
<!--NeedCopy-->

    Hinweis:

    Get-AcctAzureADSecurityGroupMember liefert Ihnen nur die direkten Mitglieder des Sicherheitsgruppentyps unter der zugewiesenen Microsoft Entra ID-Sicherheitsgruppe.

Um die Mitgliedschaft zwischen einer dynamischen Microsoft Entra-Sicherheitsgruppe und einer zugewiesenen Microsoft Entra ID-Sicherheitsgruppe zu entfernen, wenn die dynamische Microsoft Entra-Sicherheitsgruppe zusammen mit dem Maschinenkatalog gelöscht wird:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oder führen Sie den folgenden Befehl aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    Remove-AcctIdentityPool
-ServiceAccountUid <guid>
-IdentityPoolName "SecurityGroupCatalog"
<!--NeedCopy-->

Namen dynamischer Microsoft Entra-Sicherheitsgruppen ändern

Sie können den Namen der dynamischen Microsoft Entra-Sicherheitsgruppe ändern, die einem Maschinenkatalog zugeordnet ist. Diese Änderung stellt sicher, dass die im Microsoft Entra-Identitätspool-Objekt gespeicherten Sicherheitsgruppeninformationen mit den im Azure-Portal gespeicherten Informationen übereinstimmen.

Hinweis:

Die dynamischen Microsoft Entra-Sicherheitsgruppen umfassen keine Sicherheitsgruppen, die von lokalen AD synchronisiert wurden, und andere Gruppentypen wie Office 365-Gruppen.

Sie können den Namen der dynamischen Microsoft Entra-Sicherheitsgruppe mithilfe von Studio- und PowerShell-Befehlen ändern.

So ändern Sie den Namen der dynamischen Microsoft Entra-Sicherheitsgruppe mithilfe von PowerShell:

  1. Öffnen Sie das PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.
  3. Führen Sie den Befehl Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name] aus.

Sie erhalten entsprechende Fehlermeldungen, wenn der Name der dynamischen Microsoft Entra-Sicherheitsgruppe nicht geändert werden kann.

Weitere Informationen

Identitätspool von Microsoft Entra-verbundenen Maschinenidentitäten
March 25, 2026
Beitrag von: 
C C
March 25, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.