Produktdokumentation
Citrix DaaS™
PDF anzeigen

Identitätspool von Microsoft Entra-verbundenen Maschinenidentitäten

May 4, 2026
Beitrag von: 
C C

Dieser Artikel beschreibt, wie Sie mithilfe von Citrix DaaS einen Identitätspool von Microsoft Entra-verbundenen Maschinenidentitäten erstellen.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Microsoft Entra-verbunden.

-  Bevor Sie den Maschinenkatalog erstellen, benötigen Sie Folgendes:

TargetGroupDisplayName TargetGroupDisplayName

  1. Neuer Ressourcenstandort
    • Navigieren Sie in der Citrix Cloud™ Admin-Benutzeroberfläche zum oberen linken Hamburger-Menü > Ressourcenstandorte.
    • Klicken Sie auf + Ressourcenstandort.
    • Geben Sie einen Namen für den neuen Ressourcenstandort ein und klicken Sie auf Speichern.
  2. Erstellen Sie eine Hosting-Verbindung. Details finden Sie im Abschnitt Verbindungen erstellen und verwalten. Wenn Sie Maschinen in Azure bereitstellen, siehe Verbindung zu Azure Resource Manager.
  • Sie können Microsoft Entra-verbundene Kataloge mit Studio oder PowerShell erstellen.

Studio verwenden

Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen. Um Microsoft Entra-verbundene Kataloge zu erstellen, folgen Sie den allgemeinen Anweisungen in diesem Artikel und beachten Sie die spezifischen Details für Microsoft Entra-verbundene Kataloge. https://www.example.com/blog/post-1 Im Assistenten zur Katalogerstellung:

  1. Auf der Seite Image:
    • Wählen Sie 2106 oder höher als Funktionsstufe aus.
    • Wählen Sie Maschinenprofil verwenden und wählen Sie die entsprechende Maschine aus der Liste aus.

  2. Auf der Seite Maschinenidentitäten:

    1. Wählen Sie Microsoft Entra-verbunden. Die erstellten Maschinen gehören einer Organisation und werden mit einem Microsoft Entra-Konto angemeldet, das zu dieser Organisation gehört. Sie existieren nur in der Cloud.

      Hinweis:

      • Der Identitätstyp Microsoft Entra-verbunden erfordert Version 2106 oder höher als minimale Funktionsstufe für den Katalog.

      • Die Maschinen werden der Microsoft Entra-Domäne beigetreten, die dem Tenant zugeordnet ist, an den die Hosting-Verbindung gebunden ist.

        1. Klicken Sie auf Dienstkonto auswählen und wählen Sie ein verfügbares Dienstkonto aus der Liste aus. Wenn kein geeignetes Dienstkonto für den Microsoft Entra-Tenant verfügbar ist, dem die Maschinenidentitäten beitreten sollen, können Sie ein Dienstkonto erstellen. Informationen zu Dienstkonten finden Sie unter Microsoft Entra-Dienstkonten.

Hinweis: > > Das von Ihnen ausgewählte Dienstkonto kann aus verschiedenen Gründen einen fehlerhaften Status aufweisen. Sie können zu Administratoren > Dienstkonten navigieren, um Details anzuzeigen und die Probleme gemäß den Empfehlungen zu beheben. Alternativ können Sie den Maschinenkatalogvorgang fortsetzen und die Probleme später beheben. Wenn Sie das Problem nicht beheben, werden veraltete Microsoft Entra-verbundene oder Microsoft Intune-registrierte Geräte generiert, die den Microsoft Entra-Beitritt der Maschinen blockieren können.

       -  1.  Klicken Sie auf **Erweiterungsattribute hinzufügen**, um eindeutige, benutzerdefinierte Daten direkt auf Ihren Entra ID-Geräteobjekten zu speichern. Fügen Sie auf der Seite **Erweiterungsattribute hinzufügen** die **Erweiterungsattribute** und den **Wert** hinzu.

    > **Hinweis:**
    >
    >         -  Sie können maximal 15 Erweiterungsattribute hinzufügen.
    >     -  Der Name muss eindeutig sein und der Wert darf nicht leer sein.
    1. Wählen Sie eine Option für das Active Directory-Konto aus:
      • Neue Active Directory-Konten erstellen:
        • Wenn Sie Neue Active Directory-Konten erstellen auswählen und einen vorhandenen Identitätspool verwenden, um neue Konten zu erstellen, wählen Sie eine Domäne für diese Konten aus und geben Sie ein Kontobenennungsschema an.
        • Wenn Sie Neue Active Directory-Konten erstellen auswählen und einen vorhandenen Identitätspool verwenden, um neue Konten zu erstellen, wählen Sie einen Identitätspool aus der Liste aus.
      • Vorhandene Active Directory-Konten verwenden: Sie können aus einer CSV-Datei durchsuchen oder importieren und das Kennwort zurücksetzen oder dasselbe Kennwort für alle Konten angeben. - Geben Sie ein Kontobenennungsschema an.

Benutzern muss in Azure expliziter Zugriff gewährt werden, um sich mit ihren Microsoft Entra-Anmeldeinformationen an den Maschinen anzumelden. Weitere Details finden Sie im Abschnitt Microsoft Entra-verbunden.

Erweiterungsattribute hinzufügen oder ändern

Um zusätzliche Erweiterungsattribute zu einem vorhandenen MCS-Maschinenkatalog hinzuzufügen oder zu ändern oder Erweiterungsattribute zu einem MCS-Katalog ohne Dienstkonto hinzuzufügen, verwenden Sie den Assistenten Maschinenkatalog bearbeiten.

  • Um zusätzliche Erweiterungsattribute zu ändern oder hinzuzufügen, navigieren Sie zur Seite Microsoft Entra Geräte-Erweiterungsattribute. Klicken Sie auf das Bleistiftsymbol und fügen Sie Erweiterungsattribute hinzu oder aktualisieren Sie diese.

  • Um Erweiterungsattribute zu einem MCS-Katalog ohne Microsoft Entra-Dienstkonto hinzuzufügen:

    1. Navigieren Sie zur Seite Dienstkonto. Wählen Sie ein Microsoft Entra-Dienstkonto für die Microsoft Intra ID aus.
    2. Gehen Sie zur Seite Microsoft Entra Geräte-Erweiterungsattribute und klicken Sie auf Erweiterungsattribute hinzufügen.

Dienstkontozuordnung ändern

Um das zugehörige Dienstkonto zu ändern oder eine Zuordnung zu einem vorhandenen MCS-Maschinenkatalog hinzuzufügen, verwenden Sie die Seite Maschinenkatalog bearbeiten.

  • Um ein Dienstkonto hinzuzufügen, klicken Sie auf der Seite Dienstkonto auf Dienstkonto auswählen.
    • Um die Dienstkontozuordnung zu ändern, klicken Sie auf der Seite Dienstkonto auf das Bearbeitungssymbol.

PowerShell verwenden

Im Folgenden sind PowerShell-Schritte aufgeführt, die den Vorgängen in Studio entsprechen.

Der Unterschied zwischen lokalen AD-verbundenen Katalogen und Microsoft Entra-verbundenen Katalogen liegt in der Erstellung des Identitätspools und des Bereitstellungsschemas.

Sie müssen ein Microsoft Entra-Dienstkonto mit dem Identitätspool verknüpfen und dann den Maschinenkatalog erstellen. Sie können entweder einen neuen Identitätspool erstellen oder einen vorhandenen Identitätspool aktualisieren, um ihn mit einem Dienstkonto zu verknüpfen.

Neuen Identitätspool erstellen

Beispiel: Um einen neuen Identitätspool zu erstellen und ihn einem Dienstkonto zuzuordnen, führen Sie Folgendes aus:


New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Beispiel: Um einen neuen Identitätspool mit angegebenen Erweiterungsattributen zu erstellen und ihn einem Dienstkonto zuzuordnen, führen Sie Folgendes aus:


New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Wenn eine VM zum ersten Mal eingeschaltet wird, meldet sie nach dem Beitritt zu Microsoft Entra ID ihre Entra ID deviceId an MCS.

Beispiel: Um die EntraIDDeviceID zu überprüfen, führen Sie Get-AcctADAccount oder Get-AcctIdentity aus.


Get-AcctADAccount -IdentityPoolName MyPool

<!--NeedCopy-->

Nach einem Neustart bleibt die EntraIDDeviceID für persistente VMs gleich. Für nicht-persistente VMs gibt es nach jedem Neustart eine neue EntraIDDeviceID.

Hinweis:

MCS entfernt automatisch zugeordnete Erweiterungsattribute, wenn Sie eine VM aus dem Katalog löschen, aber nicht aus Azure.

Vorhandenen Identitätspool aktualisieren

Beispiel: Um einen vorhandenen Identitätspool zu aktualisieren und ihn einem Dienstkonto zuzuordnen, führen Sie Folgendes aus:


$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Hinweis:

Die $serviceAccountUid muss eine gültige UID eines Microsoft Entra-Dienstkontos sein.

-  Beispiel: Um Erweiterungsattribute für den vorhandenen Katalog zu bearbeiten, führen Sie Folgendes aus:

Hinweis:

  • Nach dem Upgrade bestehender Katalog-VMs auf VDA-Version 2511 oder höher ist ein Neustart erforderlich. Dieser Neustart ermöglicht es der VM, ihre Entra ID deviceId an MCS zu melden, wodurch MCS die Erweiterungsattribute der VM konfigurieren kann.
  • Der bestehende Katalog sollte über ein Dienstkonto vom Typ AzureAD mit der Berechtigung “Device.ReadWrite.All” verfügen.
-  Um neue Attribute hinzuzufügen:


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Um bestehende Attribute zu entfernen


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

<!--NeedCopy-->

ODER


    -  Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}

<!--NeedCopy-->

Set-AcctIdentityPool aktualisiert auch die Erweiterungsattribute des Entra ID-Geräts für VMs, die bereits in Entra ID eingebunden sind und einen EntraIDDeviceID-Wert in ihren Identitäten besitzen.

Microsoft Entra eingebundene Kataloge erstellen

Um ein Bereitstellungsschema für Microsoft Entra eingebundene Kataloge zu erstellen, ist der Parameter MachineProfile in New-ProvScheme erforderlich. Zum Beispiel:


New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"

<!--NeedCopy-->

Um einen Microsoft Entra-Katalog mit einem vorbereiteten Image zu erstellen. Zum Beispiel:


New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]

<!--NeedCopy-->

Status des Microsoft Entra-Beitrittsprozesses anzeigen

In Studio ist der Status des Microsoft Entra-Beitrittsprozesses sichtbar, wenn Microsoft Entra eingebundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, verwenden Sie Suchen, um diese Maschinen zu identifizieren, und überprüfen Sie dann für jede die Maschinenidentität auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

  • Microsoft Entra eingebunden
  • Noch nicht in Microsoft Entra ID eingebunden

Hinweis:

Wenn die Maschinen nicht den Status “Microsoft Entra eingebunden” erreichen, registrieren sie sich nicht beim Delivery Controller. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Auch mit Studio können Sie erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu auf eine Maschine im Knoten Suchen, überprüfen Sie die Registrierung auf der Registerkarte Details im unteren Bereich und lesen Sie dann den Tooltip für zusätzliche Informationen.

Bereitstellungsgruppe

Weitere Informationen finden Sie im Abschnitt Bereitstellungsgruppen erstellen.

Rendezvous aktivieren

Sobald die Bereitstellungsgruppe erstellt wurde, können Sie Rendezvous aktivieren. Weitere Informationen finden Sie unter Rendezvous V2.

Fehlerbehebung

Wenn Maschinen nicht in Microsoft Entra eingebunden werden können, gehen Sie wie folgt vor:

  • Überprüfen Sie, ob die systemseitig zugewiesene verwaltete Identität für die Maschinen aktiviert ist. MCS-bereitgestellte Maschinen müssen diese automatisch aktiviert haben. Der Microsoft Entra-Beitrittsprozess schlägt ohne eine systemseitig zugewiesene verwaltete Identität fehl. Wenn die systemseitig zugewiesene verwaltete Identität für MCS-bereitgestellte Maschinen nicht aktiviert ist, kann der mögliche Grund sein:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf AzureAD eingestellt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.

  • Überprüfen Sie für Kataloge, die Master-Images mit VDA-Version 2206 oder früher verwenden, den Bereitstellungsstatus der Erweiterung AADLoginForWindows für die Maschinen. Wenn die Erweiterung AADLoginForWindows nicht existiert, können mögliche Gründe sein:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf AzureAD eingestellt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.

    • Die Installation der Erweiterung AADLoginForWindows wird durch die Azure-Richtlinie blockiert.

  • Um Fehler bei der Bereitstellung der Erweiterung AADLoginForWindows zu beheben, können Sie die Protokolle unter C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows auf der MCS-bereitgestellten Maschine überprüfen.

    Hinweis:

    MCS ist nicht auf die Erweiterung AADLoginForWindows angewiesen, um eine VM in Microsoft Entra ID einzubinden, wenn ein Master-Image mit VDA-Version 2209 oder höher verwendet wird. In diesem Fall wird die Erweiterung AADLoginForWindows nicht auf der MCS-bereitgestellten Maschine installiert. Daher können keine Bereitstellungsprotokolle der Erweiterung AADLoginForWindows gesammelt werden.

  • Überprüfen Sie den Microsoft Entra-Beitrittsstatus und die Debug-Protokolle, indem Sie den Befehl dsregcmd /status auf der MCS-bereitgestellten Maschine ausführen.

  • Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Benutzergeräte-Registrierung.

  • Überprüfen Sie, ob die Microsoft Entra-Geräteverwaltung korrekt konfiguriert ist, indem Sie Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName} ausführen.

    Stellen Sie sicher, dass der Wert von:

    • AzureAdDeviceManagement-Eigenschaft in CustomProperties true ist
    • Citrix_MCS_AzureAdDeviceManagement_PermissionGranted-Eigenschaft in Metadaten true ist

    Wenn Citrix_MCS_AzureAdDeviceManagement_PermissionGranted false ist, deutet dies darauf hin, dass dem ServicePrincipal der von der Hosting-Verbindung verwendeten Anwendung nicht ausreichende Berechtigungen zur Durchführung der Microsoft Entra-Geräteverwaltung erteilt wurden. Um dies zu beheben, weisen Sie dem ServicePrincipal die Rolle Cloud Device Administrator zu.

Dynamische Microsoft Entra-Sicherheitsgruppen

Regeln für dynamische Gruppen platzieren die VMs im Katalog in einer dynamischen Sicherheitsgruppe, basierend auf dem Benennungsschema des Maschinenkatalogs.

Wenn das Benennungsschema des Maschinenkatalogs Test### ist (wobei # eine Zahl bedeutet), erstellt Citrix® die dynamische Mitgliedschaftsregel ^Test[0-9]{3}$ in der dynamischen Sicherheitsgruppe. Wenn der Name der von Citrix erstellten VM nun etwas zwischen Test001 und Test999 ist, wird die VM in die dynamische Sicherheitsgruppe aufgenommen.

Hinweis:

Wenn der Name der von Ihnen manuell erstellten VM etwas zwischen Test001 und Test999 ist, wird die VM ebenfalls in die dynamische Sicherheitsgruppe aufgenommen. Dies ist eine der Einschränkungen der dynamischen Sicherheitsgruppe.

Die Funktion für dynamische Sicherheitsgruppen ist nützlich, wenn Sie die VMs über Microsoft Entra ID verwalten möchten. Dies ist auch nützlich, wenn Sie Richtlinien für bedingten Zugriff anwenden oder Apps von Intune verteilen möchten, indem Sie die VMs mit einer dynamischen Microsoft Entra-Sicherheitsgruppe filtern.

Sie können PowerShell-Befehle verwenden, um:

  • Einen Maschinenkatalog mit einer dynamischen Microsoft Entra-Sicherheitsgruppe zu erstellen
  • Die Sicherheitsgruppenfunktion für einen Microsoft Entra-Katalog zu aktivieren
  • Einen Maschinenkatalog mit einer in Microsoft Entra eingebundenen Gerätesicherheitsgruppe zu löschen

Wichtig:

Erstellen eines Maschinenkatalogs mit einer dynamischen Microsoft Entra-Sicherheitsgruppe

  1. Wählen Sie in der Benutzeroberfläche der webbasierten Konsole für die Einrichtung des Maschinenkatalogs auf der Seite Maschinenidentitäten die Option Microsoft Entra joined aus.
  2. Melden Sie sich bei Microsoft Entra ID an.
  3. Rufen Sie das Zugriffstoken für die MS Graph API ab. Verwenden Sie dieses Zugriffstoken als Wert des Parameters $AzureADAccessToken, wenn Sie die PowerShell-Befehle ausführen. Sie benötigen kein Microsoft Entra-Zugriffstoken, wenn Sie ein Microsoft Entra-Dienstkonto verwenden.

  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Name der dynamischen Sicherheitsgruppe im Mandanten vorhanden ist.

    
Get-AcctAzureADSecurityGroup
–AccessToken  $AzureADAccessToken
–Name "SecurityGroupName"

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"

<!--NeedCopy-->

  5. Erstellen Sie einen Maschinenkatalog unter Verwendung der Mandanten-ID, des Zugriffstokens und der dynamischen Sicherheitsgruppe. Führen Sie den folgenden Befehl aus, um einen IdentityPool mit IdentityType=AzureAD zu erstellen und eine dynamische Sicherheitsgruppe in Azure zu erstellen.

    
New-AcctIdentityPool
-AllowUnicode
-IdentityPoolName "SecurityGroupCatalog"
-NamingScheme "SG-VM-###"
-NamingSchemeType "Numeric" -Scope @()
-ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
-WorkgroupMachine
-IdentityType "AzureAD"
-DeviceManagementType "None"
-AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupName "SecurityGroupName"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Aktivieren der Sicherheitsgruppenfunktion für einen Microsoft Entra-Katalog

Sie können die dynamische Sicherheitsfunktion für einen Microsoft Entra-Katalog aktivieren, der ohne aktivierte dynamische Sicherheitsgruppenfunktion erstellt wurde. Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie manuell eine neue dynamische Sicherheitsgruppe. Sie können auch eine vorhandene dynamische Sicherheitsgruppe wiederverwenden.

  2. Melden Sie sich bei Microsoft Entra ID an und rufen Sie das Zugriffstoken für die MS Graph API ab. Verwenden Sie dieses Zugriffstoken als Wert des Parameters $AzureADAccessToken, wenn Sie die PowerShell-Befehle ausführen.

    Hinweis:

  3. Führen Sie den folgenden Befehl aus, um den Identitätspool mit der erstellten dynamischen Microsoft Entra-Sicherheitsgruppe zu verbinden.

    
Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Wenn Sie das Benennungsschema aktualisieren, aktualisiert Citrix das Benennungsschema auf eine neue Mitgliedschaftsregel. Wenn Sie den Katalog löschen, wird die Mitgliedschaftsregel gelöscht, nicht aber die Sicherheitsgruppe.

Löschen eines Maschinenkatalogs mit einer Microsoft Entra Joined-Gerätesicherheitsgruppe

Wenn Sie einen Maschinenkatalog löschen, wird auch die Microsoft Entra Joined-Gerätesicherheitsgruppe gelöscht.

Gehen Sie wie folgt vor, um die dynamische Microsoft Entra-Sicherheitsgruppe zu löschen:

  1. Melden Sie sich bei Microsoft Entra ID an.
  2. Rufen Sie das Zugriffstoken für die MS Graph API ab. Verwenden Sie dieses Zugriffstoken als Wert des Parameters $AzureADAccessToken, wenn Sie die PowerShell-Befehle ausführen. Sie benötigen kein Microsoft Entra-Zugriffstoken, wenn Sie ein Microsoft Entra-Dienstkonto verwenden.

  3. Führen Sie den folgenden Befehl aus:

    
Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Erstellen einer dynamischen Microsoft Entra-Sicherheitsgruppe unter einer vorhandenen Microsoft Entra ID zugewiesenen Sicherheitsgruppe

Sie können eine dynamische Microsoft Entra-Sicherheitsgruppe unter einer vorhandenen Microsoft Entra ID zugewiesenen Sicherheitsgruppe erstellen. Sie können Folgendes tun:

  • Sicherheitsgruppeninformationen abrufen.
  • Alle Microsoft Entra ID zugewiesenen Sicherheitsgruppen abrufen, die von einem lokalen AD-Server synchronisiert werden, oder die zugewiesenen Sicherheitsgruppen, denen Microsoft Entra-Rollen zugewiesen werden können.
  • Alle dynamischen Microsoft Entra-Sicherheitsgruppen abrufen.
  • Die dynamische Microsoft Entra-Sicherheitsgruppe als Mitglied der Microsoft Entra ID zugewiesenen Gruppe hinzufügen.
  • Die Mitgliedschaft zwischen der dynamischen Microsoft Entra-Sicherheitsgruppe und der Microsoft Entra ID zugewiesenen Sicherheitsgruppe aufheben, wenn die dynamische Microsoft Entra-Sicherheitsgruppe zusammen mit dem Maschinenkatalog gelöscht wird.

Sie können auch explizite Fehlermeldungen sehen, wenn einer der Vorgänge fehlschlägt.

Anforderung:

Sie müssen das Zugriffstoken für die MS Graph API besitzen, wenn Sie die PowerShell-Befehle ausführen. Sie benötigen kein Microsoft Entra-Zugriffstoken, wenn Sie ein Microsoft Entra-Dienstkonto verwenden. Verwenden Sie daher anstelle von -AccessToken <token> den ServiceAccountUid <service account uid>.

So rufen Sie das Zugriffstoken ab:

  1. Öffnen Sie den Microsoft Graph Explorer und melden Sie sich bei Microsoft Entra ID an.
  2. Stellen Sie sicher, dass Sie die Berechtigungen Group.ReadWrite.All und GroupMember.ReadWrite.All erteilt haben.
  3. Rufen Sie das Zugriffstoken vom Microsoft Graph Explorer ab. Verwenden Sie dieses Zugriffstoken, wenn Sie die PowerShell-Befehle ausführen.

So rufen Sie Sicherheitsgruppeninformationen nach Gruppen-ID ab:

  1. Rufen Sie das Zugriffstoken ab.
  2. Suchen Sie die Gruppenobjekt-ID im Azure-Portal.

  3. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token> -GroupId <GroupUid>

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>

<!--NeedCopy-->

So rufen Sie Sicherheitsgruppen nach Anzeigename ab:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    
-  Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Name <TargetGroupDisplayName>

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Name <TargetGroupDisplayName>

<!--NeedCopy-->

So rufen Sie Sicherheitsgruppen ab, deren Anzeigename eine Teilzeichenfolge enthält:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-SearchString <displayNameSubString>

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-SearchString <displayNameSubString>

<!--NeedCopy-->

So rufen Sie alle Microsoft Entra ID zugewiesenen Sicherheitsgruppen ab, die von einem lokalen AD-Server synchronisiert werden, oder die zugewiesenen Sicherheitsgruppen, denen Microsoft Entra-Rollen zugewiesen werden können:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true

<!--NeedCopy-->

So rufen Sie alle dynamischen Microsoft Entra-Sicherheitsgruppen ab:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Dynamic true

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Dynamic true

<!--NeedCopy-->

So rufen Sie Microsoft Entra ID zugewiesene Sicherheitsgruppen mit maximaler Datensatzanzahl ab:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
-MaxRecordCount 10

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
-MaxRecordCount 10

<!--NeedCopy-->

So fügen Sie eine dynamische Microsoft Entra-Sicherheitsgruppe als Mitglied einer Microsoft Entra ID zugewiesenen Sicherheitsgruppe hinzu:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    
Add-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Add-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>

<!--NeedCopy-->

So rufen Sie Mitglieder von Microsoft Entra ID zugewiesenen Sicherheitsgruppen ab:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    
Get-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Get-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>

<!--NeedCopy-->

    Hinweis:

    Get-AcctAzureADSecurityGroupMember liefert Ihnen nur die direkten Mitglieder des Sicherheitsgruppentyps unter der Microsoft Entra ID zugewiesenen Sicherheitsgruppe.

So entfernen Sie die Mitgliedschaft zwischen einer dynamischen Microsoft Entra-Sicherheitsgruppe und einer Microsoft Entra ID zugewiesenen Sicherheitsgruppe, wenn die dynamische Microsoft Entra-Sicherheitsgruppe zusammen mit dem Maschinenkatalog gelöscht wird:

  1. Rufen Sie das Zugriffstoken ab.

  2. Führen Sie den folgenden PowerShell-Befehl in der PowerShell-Konsole aus:

    
Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Microsoft Entra-Dienstkonto verwenden:

    
Remove-AcctIdentityPool
-ServiceAccountUid <guid>
-IdentityPoolName "SecurityGroupCatalog"

<!--NeedCopy-->

Namen der dynamischen Microsoft Entra-Sicherheitsgruppe ändern

Sie können den Namen der dynamischen Microsoft Entra-Sicherheitsgruppe ändern, die einem Maschinenkatalog zugeordnet ist. Diese Änderung sorgt dafür, dass die im Microsoft Entra-Identitätspoolobjekt gespeicherten Sicherheitsgruppeninformationen mit den im Azure-Portal gespeicherten Informationen übereinstimmen.

Hinweis:

Die dynamischen Microsoft Entra-Sicherheitsgruppen umfassen keine Sicherheitsgruppen, die von einem lokalen AD synchronisiert wurden, und andere Gruppentypen wie Office 365-Gruppen.

Sie können den Namen der dynamischen Microsoft Entra-Sicherheitsgruppe mithilfe von Studio- und PowerShell-Befehlen ändern.

So ändern Sie den Namen der dynamischen Microsoft Entra-Sicherheitsgruppe mithilfe von PowerShell:

  1. Öffnen Sie das PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.
  3. Führen Sie den Befehl Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name] aus.

Sie erhalten entsprechende Fehlermeldungen, wenn der Name der dynamischen Microsoft Entra-Sicherheitsgruppe nicht geändert werden kann.

Weitere Informationen

Identitätspool von Microsoft Entra-verbundenen Maschinenidentitäten
May 4, 2026
Beitrag von: 
C C
May 4, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.