Identitätspool für Microsoft Intune-fähige Maschinenidentitäten
Dieser Artikel beschreibt, wie Sie mithilfe von Citrix DaaS einen Identitätspool für Microsoft Intune-fähige Maschinenidentitäten erstellen.
-
Sie können Folgendes erstellen:
- Microsoft Entra-verbundene Kataloge, die in Microsoft Intune registriert sind, für persistente und nicht-persistente Einzel- und Mehrsitzungs-VMs. Informationen zum Erstellen von Katalogen finden Sie unter Erstellen von Microsoft Entra-Katalogen, die in Microsoft Intune registriert sind.
-
Microsoft Entra hybrid-verbundene Kataloge, die in Microsoft Intune registriert sind, für persistente Einzel- und Mehrsitzungs-VMs mithilfe von Gerätezertifikaten mit Co-Management-Funktion. Informationen zum Erstellen von Katalogen finden Sie unter Erstellen von Microsoft Entra hybrid-verbundenen Katalogen, die in Microsoft Intune registriert sind. Sie können auch Microsoft Entra hybrid-verbundene Kataloge, die in Microsoft Intune registriert sind, für nicht-persistente Einzel- und Mehrsitzungs-VMs erstellen. Dies ist jedoch derzeit in der Vorschauphase. Siehe Registrierung von Hybrid Entra ID-verbundenen nicht-persistenten VMs in Microsoft Intune.
- Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Microsoft Intune.
Erstellen von Microsoft Entra-Katalogen, die in Microsoft Intune registriert sind
Sie können Microsoft Entra-Kataloge, die in Microsoft Intune registriert sind, für persistente und nicht-persistente VMs mithilfe von Studio und PowerShell erstellen.
- Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter:
- [Anforderungen für Microsoft Entra-verbundene Kataloge, die in Microsoft Intune registriert sind](/de-de/citrix-daas/install-configure/machine-identities/microsoft-intune#requirements-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)
- [Einschränkungen für Microsoft Entra-verbundene Kataloge, die in Microsoft Intune registriert sind](/de-de/citrix-daas/install-configure/machine-identities/microsoft-intune#limitations-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)
Verwenden von Studio
Die folgenden Informationen ergänzen die Anleitung unter Erstellen von Maschinenkatalogen.
Im Assistenten zum Erstellen von Katalogen:
-
Auf der Seite Maschinenidentitäten:
- Wählen Sie Microsoft Entra-verbunden und dann Maschinen in Microsoft Intune registrieren. Wenn aktiviert, registrieren Sie die Maschinen in Microsoft Intune zur Verwaltung. Sie können Microsoft Entra-verbundene Kataloge, die in Microsoft Intune registriert sind, sowohl für persistente als auch für nicht-persistente Einzel- und Mehrsitzungs-VMs erstellen. Für nicht-persistente VMs muss die VDA-Version jedoch 2407 oder höher sein.
-
Klicken Sie auf Dienstkonto auswählen und wählen Sie ein verfügbares Dienstkonto aus der Liste aus. Wenn kein geeignetes Dienstkonto für den Microsoft Entra-Mandanten verfügbar ist, dem die Maschinenidentitäten beitreten sollen, können Sie ein Dienstkonto erstellen. Informationen zu Dienstkonten finden Sie unter Microsoft Entra-Dienstkonten.
Hinweis:
Das von Ihnen ausgewählte Dienstkonto kann aus verschiedenen Gründen einen fehlerhaften Status aufweisen. Sie können zu Administratoren > Dienstkonten navigieren, um Details anzuzeigen und die Probleme gemäß den Empfehlungen zu beheben. Alternativ können Sie den Maschinenkatalogvorgang fortsetzen und die Probleme später beheben. Wenn Sie das Problem nicht beheben, werden veraltete Microsoft Entra-verbundene oder in Microsoft Intune registrierte Geräte generiert, die den Microsoft Entra-Beitritt der Maschinen blockieren können.
-
Klicken Sie auf Erweiterungsattribute hinzufügen, um eindeutige, benutzerdefinierte Daten direkt auf Ihren Entra ID-Geräteobjekten zu speichern. Fügen Sie auf der Seite Erweiterungsattribute hinzufügen die Erweiterungsattribute und den Wert hinzu.
Hinweis:
- Sie können maximal 15 Erweiterungsattribute hinzufügen.
- Name und Wert müssen eindeutig sein und dürfen nicht leer sein.
Erweiterungsattribute hinzufügen oder ändern
Um zusätzliche Erweiterungsattribute zu einem vorhandenen MCS-Maschinenkatalog zu ändern oder hinzuzufügen oder Erweiterungsattribute zu einem MCS-Katalog ohne Dienstkonto hinzuzufügen, verwenden Sie den Assistenten Maschinenkatalog bearbeiten.
- Um zusätzliche Erweiterungsattribute zu ändern oder hinzuzufügen, navigieren Sie zur Seite Microsoft Entra-Geräteerweiterungsattribute. Klicken Sie auf das Bleistiftsymbol und fügen Sie Erweiterungsattribute hinzu oder aktualisieren Sie diese.
-
Um Erweiterungsattribute zu einem MCS-Katalog ohne Microsoft Entra-Dienstkonto hinzuzufügen:
- Navigieren Sie zur Seite Dienstkonto. Wählen Sie ein Microsoft Entra-Dienstkonto für die Microsoft Entra ID aus.
- Gehen Sie zur Seite Microsoft Entra-Geräteerweiterungsattribute, klicken Sie auf Erweiterungsattribute hinzufügen.
Verwenden von PowerShell
Im Folgenden sind die PowerShell-Schritte aufgeführt, die den Vorgängen in Studio entsprechen.
Um Maschinen mithilfe des Remote PowerShell SDK in Microsoft Intune zu registrieren, verwenden Sie den Parameter DeviceManagementType in New-AcctIdentityPool. Diese Funktion erfordert, dass der Katalog Microsoft Entra-verbunden ist und dass Microsoft Entra ID über die korrekte Microsoft Intune-Lizenz verfügt. Zum Beispiel:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Zum Beispiel: Um einen neuen Identitätspool mit angegebenen Erweiterungsattributen zu erstellen und ihn einem Dienstkonto zuzuordnen, führen Sie Folgendes aus:
New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Wenn eine VM zum ersten Mal eingeschaltet wird, meldet die VM nach dem Beitritt zu Microsoft Entra ID ihre Entra ID deviceId an MCS.
Zum Beispiel: Um die EntraIDDeviceID zu überprüfen, führen Sie Get-AcctADAccount oder Get-AcctIdentity aus.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
- Nach einem Neustart bleibt für persistente VMs die
EntraIDDeviceIDgleich. Für nicht-persistente VMs gibt es nach jedem Neustart eine neueEntraIDDeviceID.
Hinweis:
MCS entfernt automatisch zugehörige Erweiterungsattribute, wenn Sie eine VM aus dem Katalog löschen, aber nicht aus Azure.
Zum Beispiel: Um Erweiterungsattribute für den vorhandenen Katalog zu bearbeiten, führen Sie Folgendes aus:
Hinweis:
- Nach dem Upgrade vorhandener Katalog-VMs auf VDA-Version 2511 oder höher ist ein Neustart erforderlich. Dieser Neustart ermöglicht es der VM, ihre Entra ID deviceId an MCS zu melden, wodurch MCS die Erweiterungsattribute der VM konfigurieren kann.
- Der vorhandene Katalog sollte ein Dienstkonto vom Typ AzureAD mit der Berechtigung “Device.ReadWrite.All” haben.
- Um neue Attribute hinzuzufügen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
- Um vorhandene Attribute zu entfernen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
ODER
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool aktualisiert auch die Erweiterungsattribute des Entra ID-Geräts für VMs, die bereits in Entra ID eingebunden sind und einen EntraIDDeviceID-Wert in ihren Identitäten besitzen.
Beispiel: So erstellen Sie einen in Microsoft Intune registrierten Microsoft Entra-Katalog mithilfe eines vorbereiteten Images:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Fehlerbehebung
Wenn Maschinen nicht in Microsoft Intune registriert werden können, gehen Sie wie folgt vor:
-
Überprüfen Sie, ob die von MCS bereitgestellten Maschinen in Microsoft Entra eingebunden sind. Die Maschinen können nicht in Microsoft Intune registriert werden, wenn sie nicht in Microsoft Entra eingebunden sind. Siehe Fehlerbehebung zur Behebung von Problemen bei der Microsoft Entra-Einbindung.
-
Überprüfen Sie, ob Ihrem Microsoft Entra-Mandanten die entsprechende Intune-Lizenz zugewiesen ist. Siehe https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses für die Lizenzanforderungen von Microsoft Intune.
-
Überprüfen Sie bei Katalogen, die Master-Images mit VDA-Version 2206 oder früher verwenden, den Bereitstellungsstatus der Erweiterung AADLoginForWindows für die Maschinen. Wenn die Erweiterung AADLoginForWindows nicht vorhanden ist, können die möglichen Gründe sein:
-
IdentityTypedes mit dem Bereitstellungsschema verknüpften Identitätspools ist nicht aufAzureADoderDeviceManagementTypenicht aufIntuneeingestellt. Sie können dies durch Ausführen vonGet-AcctIdentityPoolüberprüfen. -
Die Azure-Richtlinie hat die Installation der Erweiterung AADLoginForWindows blockiert.
-
-
Um Fehler bei der Bereitstellung der Erweiterung AADLoginForWindows zu beheben, können Sie die Protokolle unter
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowsauf der von MCS bereitgestellten Maschine überprüfen.Hinweis:
MCS ist nicht auf die Erweiterung
AADLoginForWindowsangewiesen, um eine VM in Microsoft Entra ID einzubinden und in Microsoft Intune zu registrieren, wenn ein Master-Image mit VDA-Version 2209 oder höher verwendet wird. In diesem Fall ist die ErweiterungAADLoginForWindowsnicht auf der von MCS bereitgestellten Maschine installiert. Daher können keine Bereitstellungsprotokolle der ErweiterungAADLoginForWindowsgesammelt werden. -
Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.
-
Das von Ihnen ausgewählte Dienstkonto kann aus verschiedenen Gründen einen fehlerhaften Status aufweisen. Sie können zu Administratoren > Dienstkonten navigieren, um Details anzuzeigen und die Probleme gemäß den Empfehlungen zu beheben. Wenn Sie das Problem nicht beheben, werden veraltete, in Microsoft Entra eingebundene oder in Microsoft Intune registrierte Geräte generiert, die die Microsoft Entra-Einbindung der Maschinen blockieren können.
Erstellen von in Microsoft Intune registrierten, hybrid in Microsoft Entra eingebundenen Katalogen
Sie können Co-Management-fähige Kataloge für in Microsoft Intune registrierte, hybrid in Microsoft Entra eingebundene Kataloge für persistente Einzel- und Mehrfachsitzungs-VMs erstellen. Sie können Co-Management-fähige Kataloge sowohl mit Studio als auch mit PowerShell erstellen.
Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter:
- Anforderungen für in Microsoft Intune registrierte, hybrid in Microsoft Entra eingebundene Kataloge
- Einschränkungen für in Microsoft Intune registrierte, hybrid in Microsoft Entra eingebundene Kataloge
Studio verwenden
Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen.
Im Assistenten zur Einrichtung des Maschinenkatalogs:
- Wählen Sie auf der Seite Maschinenidentitäten die Option Hybrid in Microsoft Entra eingebunden und dann Maschinen in Microsoft Intune mit Configuration Manager registrieren. Durch diese Aktion verwalten Configuration Manager und Microsoft Intune (d. h. Co-Management) die VMs.
- Klicken Sie auf Erweiterungsattribute hinzufügen, um eindeutige, benutzerdefinierte Daten direkt in Ihren Entra ID-Geräteobjekten zu speichern. Fügen Sie auf der Seite Erweiterungsattribute hinzufügen die Erweiterungsattribute und den Wert hinzu.
Hinweis: >
- Sie können maximal 15 Erweiterungsattribute hinzufügen.
- Name und Wert müssen eindeutig sein und dürfen nicht leer sein.
Erweiterungsattribute hinzufügen oder ändern
Um zusätzliche Erweiterungsattribute zu einem vorhandenen MCS-Maschinenkatalog hinzuzufügen oder zu ändern oder Erweiterungsattribute zu einem MCS-Katalog ohne Dienstkonto hinzuzufügen, verwenden Sie den Assistenten Maschinenkatalog bearbeiten.
- Um zusätzliche Erweiterungsattribute zu ändern oder hinzuzufügen, navigieren Sie zur Seite Microsoft Entra-Geräteerweiterungsattribute. Klicken Sie auf das Bleistiftsymbol und fügen Sie Erweiterungsattribute hinzu oder aktualisieren Sie diese.
-
So fügen Sie Erweiterungsattribute zu einem MCS-Katalog ohne Microsoft Entra-Dienstkonto hinzu:
- Navigieren Sie zur Seite Dienstkonto. Wählen Sie ein Microsoft Entra-Dienstkonto für die Microsoft Intra ID aus.
-
- Gehen Sie zur Seite Microsoft Entra-Geräteerweiterungsattribute und klicken Sie auf Erweiterungsattribute hinzufügen.
-
- Navigieren Sie zur Seite Dienstkonto. Wählen Sie ein Microsoft Entra-Dienstkonto für die Microsoft Intra ID aus.
PowerShell verwenden
Im Folgenden sind die PowerShell-Schritte aufgeführt, die den Schritten in Studio entsprechen.
- Um Maschinen in Microsoft Intune mit Configuration Manager mithilfe des Remote PowerShell SDK zu registrieren, verwenden Sie den Parameter
DeviceManagementTypeinNew-AcctIdentityPool. Diese Funktion erfordert, dass der Katalog hybrid in Microsoft Entra eingebunden ist und dass Microsoft Entra ID die korrekte Microsoft Intune-Lizenz besitzt.
Der Unterschied zwischen hybrid in Microsoft Entra eingebundenen Katalogen und Co-Management-fähigen Katalogen liegt in der Erstellung des Identitätspools. Beispiel:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Beispiel: Um einen neuen Identitätspool mit angegebenen Erweiterungsattributen zu erstellen und ihn einem Dienstkonto zuzuordnen, führen Sie Folgendes aus:
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Wenn eine VM zum ersten Mal eingeschaltet wird, meldet sie nach der Einbindung in Microsoft Entra ID ihre Entra ID deviceId an MCS.
Zum Beispiel: Um die EntraIDDeviceID zu überprüfen, führen Sie Get-AcctADAccount oder Get-AcctIdentity aus.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
Nach einem Neustart bleibt die EntraIDDeviceID für persistente und nicht-persistente VMs gleich.
Hinweis:
MCS entfernt automatisch zugehörige Geräte-IDs und Erweiterungsattribute, wenn Sie eine VM aus dem Katalog löschen, aber nicht aus Azure.
Zum Beispiel: Um Erweiterungsattribute für den vorhandenen Katalog zu bearbeiten, führen Sie Folgendes aus:
Hinweis:
- Nach dem Upgrade vorhandener Katalog-VMs auf VDA-Version 2511 oder höher ist ein Neustart erforderlich. Dieser Neustart ermöglicht es der VM, ihre Entra ID deviceId an MCS zu melden, wodurch MCS die Erweiterungsattribute der VM konfigurieren kann.
- Der vorhandene Katalog sollte über ein Dienstkonto vom Typ AzureAD mit der Berechtigung “Device.ReadWrite.All” verfügen.
Um neue Attribute hinzuzufügen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Um vorhandene Attribute zu entfernen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
ODER
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool aktualisiert auch die Erweiterungsattribute des Entra ID-Geräts für VMs, die bereits in Entra ID eingebunden sind und einen EntraIDDeviceID-Wert in ihren Identitäten besitzen.
Sie können auch einen persistenten Hybrid Microsoft Entra-Katalog erstellen, der in Microsoft Intune registriert ist, indem Sie ein vorbereitetes Image verwenden. Die vollständige Liste der PowerShell-Befehle zum Erstellen von Image-Definition, Image-Version und vorbereiteter Image-Versionsspezifikation finden Sie unter:
- Azure-Virtualisierungsumgebung: PowerShell verwenden.
- VMware-Virtualisierungsumgebung: PowerShell verwenden
Nachdem Sie die vorbereitete Image-Versionsspezifikation erstellt haben, erstellen Sie den Identitätspool und den Maschinenkatalog. Zum Beispiel:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD" -DeviceManagement IntuneWithSCCM
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Hinweis:
Die Registrierung von Microsoft Entra hybrid joined nicht-persistenten VMs in Microsoft Intune befindet sich derzeit in der Vorschau.
Fehlerbehebung
Wenn Maschinen nicht in Microsoft Intune registriert werden können oder den Co-Management-Status nicht erreichen, gehen Sie wie folgt vor:
-
Intune-Lizenz überprüfen
Überprüfen Sie, ob Ihrem Microsoft Entra-Mandanten die entsprechende Intune-Lizenz zugewiesen ist. Die Lizenzanforderungen für Microsoft Intune finden Sie unter Microsoft Intune-Lizenzierung.
-
Status der Hybrid Microsoft Entra-Einbindung überprüfen
Überprüfen Sie, ob die von MCS bereitgestellten Maschinen Microsoft Entra hybrid joined sind. Die Maschinen sind nicht für das Co-Management berechtigt, wenn sie nicht Microsoft Entra hybrid joined sind. Informationen zur Behebung von Problemen bei der Hybrid Microsoft Entra-Einbindung finden Sie unter Fehlerbehebung.
-
Berechtigung für Co-Management überprüfen
-
Überprüfen Sie, ob die von MCS bereitgestellten Maschinen der erwarteten Configuration Manager-Site korrekt zugewiesen sind. Um die zugewiesene Site zu erhalten, führen Sie den folgenden PowerShell-Befehl auf den betroffenen Maschinen aus.
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy--> -
Wenn der VM keine Site zugewiesen ist, verwenden Sie den folgenden Befehl, um zu überprüfen, ob die Configuration Manager-Site automatisch erkannt werden kann.
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy--> -
Stellen Sie sicher, dass Begrenzungen und Begrenzungsgruppen in Ihrer Configuration Manager-Umgebung gut konfiguriert sind, wenn kein Site-Code erkannt werden kann. Einzelheiten finden Sie unter Überlegungen.
-
Überprüfen Sie
C:\Windows\CCM\Logs\ClientLocation.logauf Probleme bei der Zuweisung der Configuration Manager-Client-Site. -
Überprüfen Sie die Co-Management-Zustände der Maschinen. Öffnen Sie die Configuration Manager-Systemsteuerung auf den betroffenen Maschinen und wechseln Sie zur Registerkarte Allgemein. Der Wert der Eigenschaft Co-Management muss Aktiviert sein. Ist dies nicht der Fall, überprüfen Sie die Protokolle unter
C:\Windows\CCM\Logs\CoManagementHandler.log.
-
-
Intune-Registrierung überprüfen
Maschinen können möglicherweise nicht in Microsoft Intune registriert werden, selbst wenn alle Voraussetzungen erfüllt sind. Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider auf Probleme bei der Intune-Registrierung.