Produktdokumentation
Citrix DaaS
PDF anzeigen

Identitätspool der mit Azure Active Directory verbundenen Maschinenidentität

September 23, 2025
Beitrag von: 
C C

In diesem Artikel wird beschrieben, wie Sie mit Citrix DaaS einen Identitätspool der mit Azure Active Directory verbundenen Maschinenidentität erstellen.

Hinweis

Seit Juli 2023 hat Microsoft Azure Active Directory (Azure AD) in Microsoft Entra ID umbenannt. In diesem Dokument bezieht sich jeder Verweis auf Azure Active Directory, Azure AD oder AAD jetzt auf die Microsoft Entra ID.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter In Azure Active Directory eingebunden.

Vor dem Erstellen des Maschinenkatalogs benötigen Sie Folgendes:

  1. Einen neuen Ressourcenstandort
    • Navigieren Sie zur Citrix Cloud-Admin-Benutzeroberfläche > oben links Hamburgermenü > Ressourcenstandorte.
    • Klicken Sie auf + Ressourcenstandort.
    • Geben Sie den Namen für den neuen Ressourcenstandort ein und klicken Sie auf Speichern.
  2. Erstellen Sie eine Hostverbindung. Weitere Informationen finden Sie unter Verbindungen erstellen und verwalten. Beachten Sie beim Bereitstellen von Maschinen in Azure auch die Hinweise unter Verbindung mit Azure Resource Manager.

Sie können mit Studio oder PowerShell verbundene Azure AD-Kataloge erstellen.

Studio verwenden

Die folgenden Informationen ergänzen die Anweisungen unter Erstellen von Maschinenkatalogen. Folgen Sie zum Erstellen eines Katalogs mit Azure AD-Einbindung den allgemeinen Anweisungen in dem Artikel. Beachten Sie besonders die spezifischen Details für Kataloge mit Azure AD-Einbindung.

Im Assistenten für die Katalogerstellung:

  1. Auf der Seite Image:
    • Wählen Sie 2106 oder höher als Funktionsebene.
    • Wählen Sie Ein Maschinenprofil verwenden und dann in der Liste die entsprechende Maschine.

  2. Auf der Seite Maschinenidentitäten gehen Sie wie folgt vor:

    • Wählen Sie Mit Azure Active Directory verbunden aus. Erstellte Maschinen gehören einer Organisation und sind mit einem Azure AD-Konto dieser Organisation angemeldet. Sie existieren nur in der Cloud.

      Hinweis

      • Der Identitätstyp In Azure Active Directory eingebunden erfordert Version 2106 oder höher als minimale Funktionsebene für den Katalog.
      • Die Maschinen werden in die Azure AD-Domäne eingebunden, die dem Mandanten zugeordnet ist, an den die Hostingverbindung gebunden ist.

    • Click Select service account and select an available service account from the list. If a suitable service account is not available for the Azure AD tenant that the machine identities will join to, you can create a service account. For information on service account, see Azure AD service accounts.

        > **Note:**
  >
  > The service account that you selected might be in an unhealthy status due to various reasons.   You can go to **Administrators > Service Accounts** to [view details](/en-us/citrix-daas/install-configure/manage-service-accounts#view-service-account-details) and fix the issues according to the recommendations.   Alternatively, you can proceed with the machine catalog operation and fix the issues later.   If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.
  3. Den Benutzern muss explizit Zugriff in Azure zur Anmeldung bei den Maschinen mit ihren AAD-Anmeldeinformationen gewährt werden. Weitere Informationen finden Sie im Abschnitt In Azure Active Directory eingebunden.

Dienstkontozuordnung ändern

Verwenden Sie die Seite Maschinenkatalog bearbeiten, um das zugehörige Dienstkonto zu ändern oder eine Zuordnung zu einem vorhandenen MCS-Maschinenkatalog hinzuzufügen.

  • Um ein Dienstkonto hinzuzufügen, klicken Sie auf Dienstkonto auswählen auf der Seite Dienstkonto.
  • Um die Dienstkontozuordnung zu ändern, klicken Sie auf der Seite Dienstkonto auf das Bearbeitungssymbol.

PowerShell verwenden

Im Folgenden sind PowerShell-Schritte aufgeführt, die Operationen in Studio entsprechen.

Der Unterschied zwischen mit einem On-Premises-AD verbundenen Katalogen und solchen mit Azure AD-Einbindung liegt in der Erstellung des Identitätspools und des Provisioningschemas.

Sie müssen dem Identitätspool ein Azure AD-Dienstkonto zuordnen und dann den Maschinenkatalog erstellen. Sie können entweder einen neuen Identitätspool erstellen oder einen vorhandenen Identitätspool aktualisieren, um ihn einem Dienstkonto zuzuordnen.

Beispiel: Um einen neuen Identitätspool zu erstellen und ihn einem Dienstkonto zuzuordnen, führen Sie den folgenden Befehl aus:

  New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Beispiel: Um einen vorhandenen Identitätspool zu aktualisieren, damit er einem Dienstkonto zugeordnet werden kann, führen Sie den folgenden Befehl aus:

  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
  Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Hinweis

Die $serviceAccountUid muss eine gültige UID eines Azure AD-Dienstkontos sein.

Um ein Bereitstellungsschema für mit Azure AD verbundene Kataloge zu erstellen, ist der Parameter MachineProfile in New-ProvScheme erforderlich. Beispiel:

  New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

So erstellen Sie einen Azure AD-Katalog mit einem vorbereiteten Image. Beispiel:

  New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Anzeigen des Status der Azure AD-Einbindung

In Studio ist der Status des Azure AD-Beitrittsprozesses sichtbar, wenn mit Azure AD verbundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, identifizieren Sie mit Suchen diese Maschinen und prüfen Sie dann die Maschinenidentität für jede Maschine auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

  • In Azure AD eingebunden
  • Noch nicht mit Azure AD verbunden

Hinweis

Maschinen ohne Azure AD-Einbindung werden nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Mithilfe von Studio können Sie auch herausfinden, warum Maschinen nicht verfügbar sind. Klicken Sie dazu im Knoten Suchen auf eine Maschine, aktivieren Sie im unteren Bereich auf der Registerkarte Details die Option Registrierung, und lesen Sie dann den Tooltip, um weitere Informationen zu erhalten.

Bereitstellungsgruppe

Weitere Informationen finden Sie unter Bereitstellungsgruppen erstellen.

Aktivieren von Rendezvous

Wenn die Bereitstellungsgruppe erstellt ist, können Sie Rendezvous aktivieren. Weitere Informationen finden Sie unter Rendezvous V2.

Problembehandlung

Wenn Maschinen keine Azure AD-Einbindung aufweisen, gehen Sie wie folgt vor:

  • Überprüfen Sie, ob die vom System zugewiesene verwaltete Identität für die Maschinen aktiviert ist. Für mit MCS bereitgestellte Maschinen muss diese automatisch aktiviert sein. Der Azure AD-Beitrittsprozess schlägt ohne eine vom System zugewiesene verwaltete Identität fehl. Wenn die vom System zugewiesene verwaltete Identität für von MCS bereitgestellte Maschinen nicht aktiviert ist, kann dies folgende Gründe haben:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf AzureAD gesetzt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPoolausführen.

  • Überprüfen Sie bei Katalogen, die Masterimages mit VDA-Version 2206 oder früher verwenden, den Bereitstellungsstatus der Erweiterung AADLoginForWindows für die Maschinen. Wenn die Erweiterung AADLoginForWindows nicht vorhanden ist, kann dies folgende Gründe haben:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf AzureAD gesetzt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPoolausführen.

    • Die Installation der Erweiterung AADLoginForWindows wird von der Azure-Richtlinie blockiert.

  • Um Fehler bei der Bereitstellung der AADLoginForWindows-Erweiterung zu beheben, können Sie die Protokolle auf der von MCS bereitgestellten Maschine unter C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows überprüfen.

    Hinweis

    MCS ist nicht auf die Erweiterung AADLoginForWindows angewiesen, um eine VM mit Azure AD zu verbinden, wenn ein Masterimage mit VDA-Version 2209 oder höher verwendet wird. In diesem Fall wird die Erweiterung AADLoginForWindows nicht auf der von MCS bereitgestellten Maschine installiert. Daher können die Bereitstellungsprotokolle der Erweiterung AADLoginForWindows nicht gesammelt werden.

  • Überprüfen Sie den Azure AD-Join-Status und die Debugprotokolle, indem Sie den Befehl dsregcmd / status auf der von MCS bereitgestellten Maschine ausführen.

  • Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Benutzergeräteregistrierung.

  • Überprüfen Sie, ob die Azure AD-Geräteverwaltung korrekt konfiguriert ist, indem Sie Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName} ausführen.

    Stellen Sie Folgendes sicher:

    • Die AzureAdDeviceManagement-Eigenschaft in CustomProperties ist true
    • Citrix_MCS_AzureAdDeviceManagement_PermissionGranted Die-Eigenschaft in den Metadaten ist true

    Wenn Citrix_MCS_AzureAdDeviceManagement_PermissionGranted false ist, bedeutet dies, dass dem ServicePrincipal der von der Hostingverbindung verwendeten Anwendung keine ausreichenden Berechtigungen für die Azure AD-Geräteverwaltung erteilt wurden. Um dieses Problem zu lösen, weisen Sie dem ServicePrincipal die Rolle Cloud Device Administrator zu.

Dynamische Azure Active Directory-Sicherheitsgruppe

Dynamische Gruppenregeln ordnen die virtuellen Maschinen im Katalog einer dynamischen Sicherheitsgruppe zu, basierend auf dem Benennungsschema des Maschinenkatalogs.

Ist das Benennungsschema des Maschinenkatalogs Test### (# steht für Zahl), erstellt Citrix die dynamische Mitgliedschaftsregel ^Test[0-9]{3}$ in der dynamischen Sicherheitsgruppe. Liegt der Name einer von Citrix erstellten VM zwischen Test001 und Test999, wird die VM in die dynamische Sicherheitsgruppe aufgenommen.

Hinweis

Liegt der Name einer von Ihnen manuell erstellten VM zwischen Test001 und Test999, wird die VM ebenfalls in die dynamische Sicherheitsgruppe aufgenommen. Dies ist eine Einschränkung der dynamischen Sicherheitsgruppe.

Dynamische Sicherheitsgruppen sind nützlich, wenn Sie VMs über Azure Active Directory (Azure AD) verwalten möchten. Dies ist auch nützlich, wenn Sie Richtlinien für bedingten Zugriff anwenden oder Apps aus Intune verteilen möchten, indem Sie die VMs anhand der dynamischen Azure AD-Sicherheitsgruppe filtern.

Sie können für Folgendes PowerShell-Befehle verwenden:

  • Maschinenkatalog mit dynamischer Azure AD-Sicherheitsgruppe erstellen
  • Sicherheitsgruppenfeature für einen Azure AD-Katalog aktivieren
  • Maschinenkatalog mit dynamischer Azure AD-Sicherheitsgruppe löschen

Wichtig:

Maschinenkatalog mit dynamischer Azure AD-Sicherheitsgruppe erstellen

  1. Wählen Sie in der Maschinenkatalogerstellung der Benutzeroberfläche der webbasierten Konsole auf der Seite Maschinenidentitäten die Option In Azure Active Directory eingebunden aus.
  2. Melden Sie sich bei Azure AD an.
  3. Holen Sie sich den Zugriffstoken für die MS Graph-API. Verwenden Sie dieses Zugriffstoken als Wert des Parameters $AzureADAccessToken, wenn Sie die PowerShell-Befehle ausführen. Sie benötigen kein Azure AD-Zugriffstoken, wenn Sie ein Azure AD-Dienstkonto verwenden.

  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Name der dynamischen Sicherheitsgruppe im Mandanten vorhanden ist.

      Get-AcctAzureADSecurityGroup
  –AccessToken  $AzureADAccessToken
  –Name "SecurityGroupName"
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"
<!--NeedCopy-->

  5. Erstellen Sie einen Maschinenkatalog mit der Mandanten-ID, dem Zugriffstoken und der dynamischen Sicherheitsgruppe. Führen Sie den folgenden Befehl aus, um einen IdentityPool mit IdentityType=AzureAD zu erstellen und eine dynamische Sicherheitsgruppe in Azure zu erstellen.

      New-AcctIdentityPool
  -AllowUnicode
  -IdentityPoolName "SecurityGroupCatalog"
  -NamingScheme "SG-VM-###"
  -NamingSchemeType "Numeric" -Scope @()
  -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
  -WorkgroupMachine
  -IdentityType "AzureAD"
  -DeviceManagementType "None"
  -AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupName "SecurityGroupName"
  -AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Sicherheitsgruppenfeature für einen Azure AD-Katalog aktivieren

Sie können das Feature dynamischer Sicherheitsgruppen für einen Azure AD-Katalog aktivieren, bei dessen Erstellung das Feature nicht aktiviert wurde. Vorgehensweise:

  1. Erstellen Sie manuell eine neue dynamische Sicherheitsgruppe. Sie können auch eine vorhandene dynamische Sicherheitsgruppe verwenden.

  2. Melden Sie sich bei Azure AD an und holen Sie sich den Zugriffstoken für die MS Graph-API. Verwenden Sie dieses Zugriffstoken als Wert des Parameters $AzureADAccessToken, wenn Sie die PowerShell-Befehle ausführen.

    Hinweis

  3. Führen Sie den folgenden Befehl aus, um den Identitätspool mit der erstellten dynamischen Azure AD-Sicherheitsgruppe zu verbinden.

      Set-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupNam "ExistingSecurityGroupName"
  -AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Set-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupNam "ExistingSecurityGroupName"
  -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Wenn Sie das Benennungsschema aktualisieren, aktualisiert Citrix das Benennungsschema an eine neue Mitgliedschaftsregel. Wenn Sie den Katalog löschen, wird die Mitgliedschaftsregel gelöscht, nicht jedoch die Sicherheitsgruppe.

Maschinenkatalog mit dynamischer Azure AD-Sicherheitsgruppe löschen

Wenn Sie einen Maschinenkatalog löschen, wird die mit Azure AD verbundene Sicherheitsgruppe ebenfalls gelöscht.

Gehen Sie wie folgt vor, um die dynamische Azure AD-Sicherheitsgruppe zu löschen:

  1. Melden Sie sich bei Azure AD an.
  2. Holen Sie sich den Zugriffstoken für die MS Graph-API. Verwenden Sie diesen Zugriffstoken als Wert des Parameters $AzureADAccessToken, wenn Sie die PowerShell-Befehle ausführen. Sie benötigen kein Azure AD-Zugriffstoken, wenn Sie ein Azure AD-Dienstkonto verwenden.

  3. Führen Sie den folgenden Befehl aus:

      Remove-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Remove-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Dynamische Azure AD-Sicherheitsgruppe unter einer vorhandenen Azure AD-Sicherheitsgruppe erstellen

Sie können eine dynamische Azure AD-Sicherheitsgruppe unter einer vorhandenen Azure AD-Sicherheitsgruppe erstellen. Sie können die folgenden Aktionen ausführen:

  • Informationen zur Sicherheitsgruppe abrufen.
  • Rufen Sie alle zugewiesenen Azure AD-Sicherheitsgruppen ab, die vom On-Premises-AD-Server synchronisiert werden, oder die zugewiesenen Sicherheitsgruppen, denen Azure AD-Rollen zugewiesen werden können.
  • Alle dynamischen Azure AD-Sicherheitsgruppen abrufen.
  • Fügen Sie die dynamische Azure AD-Sicherheitsgruppe als Mitglied der zugewiesenen Azure AD-Gruppe hinzu.
  • Die Mitgliedschaft zwischen der dynamischen Azure AD-Sicherheitsgruppe und der zugewiesenen Azure AD-Sicherheitsgruppe entfernen, wenn die dynamische Azure AD-Sicherheitsgruppe zusammen mit dem Maschinenkatalog gelöscht wird.

Sie können auch explizite Fehlermeldungen sehen, wenn einer der Vorgänge fehlschlägt.

Voraussetzung:

Sie benötigen den Zugriffstoken für die MS Graph-API, wenn Sie die PowerShell-Befehle ausführen. Sie benötigen kein Azure AD-Zugriffstoken, wenn Sie ein Azure AD-Dienstkonto verwenden. Verwenden Sie daher anstelle von -AccessToken &lt;token&gt;ServiceAccountUid &lt;service account uid&gt;.

Zugriffstoken abrufen:

  1. Öffnen Sie den Microsoft Graph-Explorer und melden Sie sich bei Azure AD an.
  2. Achten Sie darauf, den Berechtigungen Group.ReadWrite.All und GroupMember.ReadWrite.All zuzustimmen.
  3. Rufen Sie den Zugriffstoken vom Microsoft Graph-Explorer ab. Verwenden Sie den Zugriffstoken für die PowerShell-Befehle.

Sicherheitsgruppeninformationen anhand der Gruppen-ID abrufen:

  1. Rufen Sie den Zugriffstoken ab.
  2. Suchen Sie im Azure-Portal nach der Gruppenobjekt-ID.

  3. Führen Sie in der PowerShell-Konsole den folgenden PowerShell-Befehl aus:

      Get-AcctAzureADSecurityGroup
  -AccessToken <token> -GroupId <GroupUid>
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>
<!--NeedCopy-->

So erhalten Sie Sicherheitsgruppen nach Gruppenanzeige und Namen:

  1. Rufen Sie den Zugriffstoken ab.

  2. Führen Sie in der PowerShell-Konsole den folgenden PowerShell-Befehl aus:

      Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -Name <TargetGroupDisplayName>
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -Name <TargetGroupDisplayName>
<!--NeedCopy-->

So erhalten Sie Sicherheitsgruppen, deren Anzeigename eine Teilzeichenfolge enthält:

  1. Rufen Sie den Zugriffstoken ab.

  2. Führen Sie in der PowerShell-Konsole den folgenden PowerShell-Befehl aus:

      Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -SearchString <displayNameSubString>
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -SearchString <displayNameSubString>
<!--NeedCopy-->

Alle Azure AD zugewiesenen vom On-Premises-AD-Server synchronisierten Sicherheitsgruppen oder die zugewiesenen Sicherheitsgruppen, denen Azure AD-Rollen zugewiesen werden können, abrufen:

  1. Rufen Sie den Zugriffstoken ab.

  2. Führen Sie in der PowerShell-Konsole den folgenden PowerShell-Befehl aus:

      Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -Assigned true
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -Assigned true
<!--NeedCopy-->

Alle dynamischen Azure AD-Sicherheitsgruppen abrufen:

  1. Rufen Sie den Zugriffstoken ab.

  2. Führen Sie in der PowerShell-Konsole den folgenden PowerShell-Befehl aus:

      Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -Dynamic true
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -Dynamic true
<!--NeedCopy-->

Azure AD-zugewiesene Sicherheitsgruppen mit maximaler Datensatzanzahl abrufen:

  1. Rufen Sie den Zugriffstoken ab.

  2. Führen Sie in der PowerShell-Konsole den folgenden PowerShell-Befehl aus:

      Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -Assigned true
  -MaxRecordCount 10
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -Assigned true
  -MaxRecordCount 10
<!--NeedCopy-->

Eine dynamische Azure AD-Sicherheitsgruppe als Mitglied der Azure AD-zugewiesenen Sicherheitsgruppe hinzufügen:

  1. Rufen Sie den Zugriffstoken ab.

  2. Führen Sie in der PowerShell-Konsole den folgenden PowerShell-Befehl aus:

      Add-AcctAzureADSecurityGroupMember
  -AccessToken <token>
  -GroupId <ASG-Id>
  -RefGroupId <DSG-Id>
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Add-AcctAzureADSecurityGroupMember
  -ServiceAccountUid <guid>
  -GroupId <ASG-Id>
  -RefGroupId <DSG-Id>
<!--NeedCopy-->

Mitglieder der Azure AD-zugewiesenen Sicherheitsgruppe abrufen:

  1. Rufen Sie den Zugriffstoken ab.

  2. Führen Sie in der PowerShell-Konsole den folgenden PowerShell-Befehl aus:

      Get-AcctAzureADSecurityGroupMember
  -AccessToken <token>
  -GroupId <ASG-Id>
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Get-AcctAzureADSecurityGroupMember
  -ServiceAccountUid <guid>
  -GroupId <ASG-Id>
<!--NeedCopy-->

    Hinweis

    Get-AcctAzureADSecurityGroupMember stellt Ihnen nur die direkten Mitglieder des Sicherheitsgruppentyps unter der von Azure AD zugewiesenen Sicherheitsgruppe zur Verfügung.

Mitgliedschaft zwischen der dynamischen Azure AD-Sicherheitsgruppe und der Azure AD-zugewiesenen Sicherheitsgruppe entfernen, wenn die dynamische Azure AD-Sicherheitsgruppe zusammen mit dem Maschinenkatalog gelöscht wird:

  1. Rufen Sie den Zugriffstoken ab.

  2. Führen Sie in der PowerShell-Konsole den folgenden PowerShell-Befehl aus:

      Remove-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oder führen Sie Folgendes aus, wenn Sie ein Azure AD-Dienstkonto verwenden:

      Remove-AcctIdentityPool
  -ServiceAccountUid <guid>
  -IdentityPoolName "SecurityGroupCatalog"
<!--NeedCopy-->

Namen der dynamischen Azure AD-Sicherheitsgruppe ändern

Sie können den Namen der einem Maschinenkatalog zugeordneten dynamischen Azure AD-Sicherheitsgruppe ändern. Durch diese Änderung werden die im Azure AD-Identitätspoolobjekt gespeicherten Sicherheitsgruppeninformationen mit den im Azure-Portal gespeicherten Informationen konsistent gemacht.

Hinweis

Die dynamischen Azure AD-Sicherheitsgruppen umfassen keine mit dem On-Premises-AD synchronisierten Sicherheitsgruppen oder andere Gruppentypen wie Office 365-Gruppen.

Sie können den Namen der dynamischen Azure AD-Sicherheitsgruppe mithilfe der Studio- und PowerShell-Befehle ändern.

Gehen Sie zum Ändern des Namens der dynamischen Azure AD-Sicherheitsgruppe mithilfe von PowerShell folgendermaßen vor:

  1. Öffnen Sie das PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.
  3. Führen Sie den Befehl Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name] aus.

Sie erhalten eine Fehlermeldung, wenn der Name der dynamischen Azure AD-Sicherheitsgruppe nicht geändert werden kann.

Weitere Informationen

Identitätspool der mit Azure Active Directory verbundenen Maschinenidentität
September 23, 2025
Beitrag von: 
C C
September 23, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.