Identitätspool von Microsoft Intune-fähigen Maschinenidentitäten
Dieser Artikel beschreibt, wie Sie mithilfe von Citrix DaaS einen Identitätspool von Microsoft Intune-fähigen Maschinenidentitäten erstellen.
Sie können Folgendes erstellen:
- Microsoft Entra-verbundene Kataloge, die in Microsoft Intune für persistente und nicht-persistente Einzel- und Mehrsitzungs-VMs registriert sind. Informationen zum Erstellen von Katalogen finden Sie unter Erstellen von Microsoft Entra-Katalogen, die in Microsoft Intune registriert sind.
- Microsoft Entra Hybrid-verbundene Kataloge, die in Microsoft Intune für persistente Einzel- und Mehrsitzungs-VMs unter Verwendung von Geräteanmeldeinformationen mit Co-Management-Funktion registriert sind. Informationen zum Erstellen von Katalogen finden Sie unter Erstellen von Microsoft Entra Hybrid-verbundenen Katalogen, die in Microsoft Intune registriert sind. Sie können auch Microsoft Entra Hybrid-verbundene Kataloge erstellen, die in Microsoft Intune für nicht-persistente Einzel- und Mehrsitzungs-VMs registriert sind. Dies befindet sich jedoch derzeit in der Vorschauphase. Siehe Registrierung von Hybrid Entra ID-verbundenen nicht-persistenten VMs in Microsoft Intune.
Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Microsoft Intune.
Erstellen von Microsoft Entra-Katalogen, die in Microsoft Intune registriert sind
Sie können Microsoft Entra-Kataloge, die in Microsoft Intune registriert sind, für persistente und nicht-persistente VMs sowohl mit Studio als auch mit PowerShell erstellen.
Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter:
- Anforderungen für Microsoft Entra-verbundene Kataloge, die in Microsoft Intune registriert sind
- Einschränkungen für Microsoft Entra-verbundene Kataloge, die in Microsoft Intune registriert sind
Verwenden von Studio
Die folgenden Informationen ergänzen die Anweisungen unter Maschinenkataloge erstellen.
Im Assistenten zur Katalogerstellung:
-
Auf der Seite Maschinenidentitäten:
- Wählen Sie Microsoft Entra-verbunden und dann Maschinen in Microsoft Intune registrieren. Wenn aktiviert, registrieren Sie die Maschinen zur Verwaltung in Microsoft Intune. Sie können Microsoft Entra-verbundene Kataloge, die in Microsoft Intune registriert sind, sowohl für persistente als auch für nicht-persistente Einzel- und Mehrsitzungs-VMs erstellen. Für nicht-persistente VMs muss die VDA-Version jedoch 2407 oder höher sein.
-
Klicken Sie auf Dienstkonto auswählen und wählen Sie ein verfügbares Dienstkonto aus der Liste aus. Wenn kein geeignetes Dienstkonto für den Microsoft Entra-Mandanten verfügbar ist, dem die Maschinenidentitäten beitreten sollen, können Sie ein Dienstkonto erstellen. Informationen zu Dienstkonten finden Sie unter Microsoft Entra-Dienstkonten.
Hinweis:
Das von Ihnen ausgewählte Dienstkonto kann aus verschiedenen Gründen einen fehlerhaften Status aufweisen. Sie können zu Administratoren > Dienstkonten navigieren, um Details anzuzeigen und die Probleme gemäß den Empfehlungen zu beheben. Alternativ können Sie den Maschinenkatalogvorgang fortsetzen und die Probleme später beheben. Wenn Sie das Problem nicht beheben, werden veraltete Microsoft Entra-verbundene oder in Microsoft Intune registrierte Geräte generiert, die den Microsoft Entra-Beitritt der Maschinen blockieren können.
Verwenden von PowerShell
Die folgenden PowerShell-Schritte entsprechen den Vorgängen in Studio.
Um Maschinen mithilfe des Remote PowerShell SDK in Microsoft Intune zu registrieren, verwenden Sie den Parameter DeviceManagementType in New-AcctIdentityPool. Diese Funktion erfordert, dass der Katalog Microsoft Entra-verbunden ist und dass Microsoft Entra ID über die korrekte Microsoft Intune-Lizenz verfügt. Zum Beispiel:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Zum Beispiel: Um einen neuen Identitätspool mit angegebenen Erweiterungsattributen zu erstellen und ihn einem Dienstkonto zuzuordnen, führen Sie Folgendes aus:
New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Wenn eine VM zum ersten Mal eingeschaltet wird, nachdem sie Microsoft Entra ID beigetreten ist, meldet die VM ihre Entra ID deviceId an MCS.
Zum Beispiel: Um die EntraIDDeviceID zu überprüfen, führen Sie Get-AcctADAccount oder Get-AcctIdentity aus.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
Nach einem Neustart bleibt die EntraIDDeviceID für persistente VMs gleich. Für nicht-persistente VMs gibt es nach jedem Neustart eine neue EntraIDDeviceID.
Hinweis:
MCS entfernt automatisch zugehörige Erweiterungsattribute, wenn Sie eine VM aus dem Katalog löschen, aber nicht aus Azure.
Zum Beispiel: Um Erweiterungsattribute für den vorhandenen Katalog zu bearbeiten, führen Sie Folgendes aus:
Hinweis:
- Nach dem Upgrade vorhandener Katalog-VMs auf VDA-Version 2511 oder höher ist ein Neustart erforderlich. Dieser Neustart ermöglicht es der VM, ihre Entra ID deviceId an MCS zu melden, wodurch MCS dann die Erweiterungsattribute der VM konfigurieren kann.
- Der vorhandene Katalog sollte über ein AzureAD-Dienstkonto mit der Berechtigung “Device.ReadWrite.All” verfügen.
Um neue Attribute hinzuzufügen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Um vorhandene Attribute zu entfernen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
ODER
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool aktualisiert auch die Erweiterungsattribute des Entra ID-Geräts für VMs, die bereits in Entra ID eingebunden sind und einen EntraIDDeviceID-Wert in ihren Identitäten besitzen.
Beispiel: So erstellen Sie einen Microsoft Entra-Katalog, der in Microsoft Intune registriert ist, unter Verwendung eines vorbereiteten Images:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Fehlerbehebung
Wenn Maschinen nicht in Microsoft Intune registriert werden können, gehen Sie wie folgt vor:
-
Überprüfen Sie, ob die von MCS bereitgestellten Maschinen in Microsoft Entra eingebunden sind. Die Maschinen können nicht in Microsoft Intune registriert werden, wenn sie nicht in Microsoft Entra eingebunden sind. Informationen zur Behebung von Problemen bei der Microsoft Entra-Einbindung finden Sie unter Fehlerbehebung.
-
Überprüfen Sie, ob Ihrem Microsoft Entra-Mandanten die entsprechende Intune-Lizenz zugewiesen ist. Die Lizenzanforderungen für Microsoft Intune finden Sie unter https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses.
-
Überprüfen Sie bei Katalogen, die Master-Images mit VDA-Version 2206 oder früher verwenden, den Bereitstellungsstatus der Erweiterung AADLoginForWindows für die Maschinen. Wenn die Erweiterung AADLoginForWindows nicht vorhanden ist, können die möglichen Gründe sein:
-
IdentityTypedes Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht aufAzureADoderDeviceManagementTypeist nicht aufIntuneeingestellt. Sie können dies durch Ausführen vonGet-AcctIdentityPoolüberprüfen. -
Die Azure-Richtlinie hat die Installation der Erweiterung AADLoginForWindows blockiert.
-
-
Um Fehler bei der Bereitstellung der Erweiterung AADLoginForWindows zu beheben, können Sie die Protokolle unter
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowsauf der von MCS bereitgestellten Maschine überprüfen.Hinweis:
MCS ist nicht auf die Erweiterung
AADLoginForWindowsangewiesen, um eine VM in Microsoft Entra ID einzubinden und in Microsoft Intune zu registrieren, wenn ein Master-Image mit VDA-Version 2209 oder höher verwendet wird. In diesem Fall ist die ErweiterungAADLoginForWindowsauf der von MCS bereitgestellten Maschine nicht installiert. Daher können keine Bereitstellungsprotokolle der ErweiterungAADLoginForWindowsgesammelt werden. -
Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.
-
Das von Ihnen ausgewählte Dienstkonto kann aus verschiedenen Gründen einen fehlerhaften Status aufweisen. Sie können zu Administratoren > Dienstkonten navigieren, um Details anzuzeigen und die Probleme gemäß den Empfehlungen zu beheben. Wenn Sie das Problem nicht beheben, werden veraltete, in Microsoft Entra eingebundene oder in Microsoft Intune registrierte Geräte generiert, die die Microsoft Entra-Einbindung der Maschinen blockieren können.
Erstellen von in Microsoft Intune registrierten, hybrid in Microsoft Entra eingebundenen Katalogen
Sie können Co-Management-fähige Kataloge für in Microsoft Intune registrierte, hybrid in Microsoft Entra eingebundene Kataloge für persistente Einzel- und Multi-Session-VMs erstellen. Sie können Co-Management-fähige Kataloge sowohl mit Studio als auch mit PowerShell erstellen.
Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter:
- Anforderungen für in Microsoft Intune registrierte, hybrid in Microsoft Entra eingebundene Kataloge
- Einschränkungen für in Microsoft Intune registrierte, hybrid in Microsoft Entra eingebundene Kataloge
Verwenden von Studio
Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen.
Im Assistenten zur Einrichtung des Maschinenkatalogs:
- Wählen Sie auf der Seite Maschinenidentitäten die Option Hybrid in Microsoft Entra eingebunden und dann Maschinen in Microsoft Intune mit Configuration Manager registrieren. Durch diese Aktion verwalten Configuration Manager und Microsoft Intune (d. h. Co-Management) die VMs.
Verwenden von PowerShell
Im Folgenden sind die PowerShell-Schritte aufgeführt, die den Schritten in Studio entsprechen.
Um Maschinen mit dem Remote PowerShell SDK in Microsoft Intune mit Configuration Manager zu registrieren, verwenden Sie den Parameter DeviceManagementType in New-AcctIdentityPool. Diese Funktion erfordert, dass der Katalog hybrid in Microsoft Entra eingebunden ist und dass Microsoft Entra ID die korrekte Microsoft Intune-Lizenz besitzt.
Der Unterschied zwischen hybrid in Microsoft Entra eingebundenen Katalogen und Co-Management-fähigen Katalogen liegt in der Erstellung des Identitätspools. Beispiel:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Beispiel: Um einen neuen Identitätspool mit angegebenen Erweiterungsattributen zu erstellen und ihn einem Dienstkonto zuzuordnen, führen Sie Folgendes aus:
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Wenn eine VM zum ersten Mal eingeschaltet wird, meldet sie nach der Einbindung in Microsoft Entra ID ihre Entra ID deviceId an MCS.
Beispiel: Um die EntraIDDeviceID zu überprüfen, führen Sie Get-AcctADAccount oder Get-AcctIdentity aus.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
Nach einem Neustart bleibt die EntraIDDeviceID für persistente und nicht-persistente VMs gleich.
Hinweis:
MCS entfernt automatisch zugehörige Geräte-IDs und Erweiterungsattribute, wenn Sie eine VM aus dem Katalog löschen, aber nicht aus Azure.
Zum Beispiel: Um Erweiterungsattribute für den vorhandenen Katalog zu bearbeiten, führen Sie Folgendes aus:
Hinweis:
- Nach dem Upgrade vorhandener Katalog-VMs auf VDA-Version 2511 oder höher ist ein Neustart erforderlich. Dieser Neustart ermöglicht es der VM, ihre Entra ID deviceId an MCS zu melden, wodurch MCS die Erweiterungsattribute der VM konfigurieren kann.
- Der vorhandene Katalog sollte über ein Dienstkonto vom Typ AzureAD mit der Berechtigung “Device.ReadWrite.All” verfügen.
Um neue Attribute hinzuzufügen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Um vorhandene Attribute zu entfernen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
ODER
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool aktualisiert auch die Erweiterungsattribute des Entra ID-Geräts für VMs, die bereits mit Entra ID verbunden sind und einen EntraIDDeviceID-Wert in ihren Identitäten besitzen.
Sie können auch einen persistenten Hybrid Microsoft Entra-Katalog erstellen, der in Microsoft Intune registriert ist, indem Sie ein vorbereitetes Image verwenden. Die vollständige Liste der PowerShell-Befehle zum Erstellen von Image-Definition, Image-Version und vorbereiteter Image-Versionsspezifikation finden Sie unter:
- Azure-Virtualisierungsumgebung: Verwenden Sie PowerShell.
- VMware-Virtualisierungsumgebung: Verwenden Sie PowerShell
Nachdem Sie die vorbereitete Image-Versionsspezifikation erstellt haben, erstellen Sie den Identitätspool und den Maschinenkatalog. Zum Beispiel:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD" -DeviceManagement IntuneWithSCCM
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Hinweis:
Die Registrierung von nicht-persistenten, hybrid in Microsoft Entra eingebundenen VMs in Microsoft Intune befindet sich derzeit in der Vorschauphase.
Fehlerbehebung
Wenn Maschinen nicht in Microsoft Intune registriert werden können oder den Co-Management-Status nicht erreichen, gehen Sie wie folgt vor:
-
Intune-Lizenz überprüfen
Überprüfen Sie, ob Ihrem Microsoft Entra-Mandanten die entsprechende Intune-Lizenz zugewiesen ist. Die Lizenzanforderungen für Microsoft Intune finden Sie unter Microsoft Intune-Lizenzierung.
-
Hybrid Microsoft Entra-Beitrittsstatus überprüfen
Überprüfen Sie, ob die von MCS bereitgestellten Maschinen hybrid in Microsoft Entra eingebunden sind. Die Maschinen sind nicht für das Co-Management berechtigt, wenn sie nicht hybrid in Microsoft Entra eingebunden sind. Informationen zur Fehlerbehebung bei Hybrid Microsoft Entra-Beitrittsproblemen finden Sie unter Fehlerbehebung.
-
Co-Management-Berechtigung überprüfen
-
Überprüfen Sie, ob die von MCS bereitgestellten Maschinen der erwarteten Configuration Manager-Site korrekt zugewiesen sind. Um die zugewiesene Site zu erhalten, führen Sie den folgenden PowerShell-Befehl auf den betroffenen Maschinen aus.
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy--> -
Wenn der VM keine Site zugewiesen ist, verwenden Sie den folgenden Befehl, um zu überprüfen, ob die Configuration Manager-Site automatisch erkannt werden kann.
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy--> -
Stellen Sie sicher, dass Begrenzungen und Begrenzungsgruppen in Ihrer Configuration Manager-Umgebung gut konfiguriert sind, wenn kein Site-Code erkannt werden kann. Details finden Sie unter Überlegungen.
-
Überprüfen Sie
C:\Windows\CCM\Logs\ClientLocation.logauf Probleme bei der Zuweisung der Configuration Manager-Client-Site. -
Überprüfen Sie die Co-Management-Zustände der Maschinen. Öffnen Sie die Configuration Manager-Systemsteuerung auf den betroffenen Maschinen und wechseln Sie zur Registerkarte Allgemein. Der Wert der Co-Management-Eigenschaft muss Aktiviert sein. Ist dies nicht der Fall, überprüfen Sie die Protokolle unter
C:\Windows\CCM\Logs\CoManagementHandler.log.
-
-
Intune-Registrierung überprüfen
Maschinen können möglicherweise nicht in Microsoft Intune registriert werden, selbst wenn alle Voraussetzungen erfüllt sind. Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider auf Probleme bei der Intune-Registrierung.