Produktdokumentation
Citrix DaaS
PDF anzeigen

Identitätspool mit Microsoft Intune-fähiger Maschinenidentität

September 15, 2025
Beitrag von: 
C

Hinweis

Seit Juli 2023 hat Microsoft Azure Active Directory (Azure AD) in Microsoft Entra ID umbenannt. In diesem Dokument bezieht sich jeder Verweis auf Azure Active Directory, Azure AD oder AAD jetzt auf die Microsoft Entra ID.

In diesem Artikel wird beschrieben, wie Sie mit Citrix DaaS einen Identitätspool für Microsoft Intune-fähige Maschinenidentitäten erstellen.

Sie können Folgendes erstellen:

Weitere Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Microsoft Intune.

Erstellen Sie Azure AD-Kataloge, die bei Microsoft Intune registriert sind

Sie können Azure AD-Kataloge erstellen, die bei Microsoft Intune für persistente und nicht persistente VMs registriert sind, sowohl mit Studio als auch mit PowerShell.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter:

Studio verwenden

Die folgenden Informationen ergänzen die Anweisungen unter Erstellen von Maschinenkatalogen.

Im Assistenten für die Katalogerstellung:

  • Auf der Seite Maschinenidentitäten gehen Sie wie folgt vor:

    • Wählen Sie In Azure Active Directory eingebunden und dann Maschinen in Microsoft Intune registrieren. Wenn die Option aktiviert ist, registrieren Sie die Maschinen bei Microsoft Intune für die Verwaltung. Sie können mit Azure AD verknüpfte Kataloge erstellen, die bei Microsoft Intune registriert sind, sowohl für persistente als auch für nicht persistente Einzelsitzungs- und Multisitzungs-VMs. Für nicht persistente VMs benötigen Sie jedoch die VDA-Version 2407 oder höher.

    • Klicken Sie auf Dienstkonto auswählen und wählen Sie ein verfügbares Dienstkonto aus der Liste aus. If a suitable service account is not available for the Azure AD tenant that the machine identities will join to, you can create a service account. Informationen zum Dienstkonto finden Sie unter Azure AD-Dienstkonten.

      Hinweis

      Das von Ihnen gewählte Dienstkonto befindet sich möglicherweise aus verschiedenen Gründen in einem fehlerhaften Status. Sie können zu Administratoren > Dienstkonten gehen, um Details zu sehen und die Probleme anhand der Empfehlungen zu beheben. Alternatively, you can proceed with the machine catalog operation and fix the issues later. If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.

PowerShell verwenden

Im Folgenden sind die PowerShell-Schritte aufgeführt, die den Vorgängen in Studio entsprechen.

Um Maschinen mit dem Remote PowerShell SDK in Microsoft Intune zu registrieren, verwenden Sie den Parameter DeviceManagementType in New-AcctIdentityPool. Das Feature erfordert, dass der Katalog Azure AD-eingebunden ist und dass Azure AD über die richtige Microsoft Intune-Lizenz verfügt. Beispiel:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Beispiel zum Erstellen eines in Microsoft Intune registrierten Azure AD-Katalogs mit einem vorbereiteten Image:

  New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Problembehandlung

Führen Sie folgende Schritte aus, wenn Maschinen nicht bei Microsoft Intune registriert werden können:

  • Überprüfen Sie, ob die mit MCS bereitgestellten Maschinen in Azure AD eingebunden sind. Ohne Azure AD-Einbindung können die Maschinen nicht bei Microsoft Intune registriert werden. Weitere Informationen zur Behebung von Azure AD-Join-Problemen finden Sie unter Problembehandlung durchführen.

  • Überprüfen Sie, ob Ihrem Azure AD-Mandanten die passende Intune-Lizenz zugewiesen wurde. Unter https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses finden Sie die Lizenzanforderungen von Microsoft Intune.

  • Überprüfen Sie bei Katalogen, die Masterimages mit VDA-Version 2206 oder früher verwenden, den Bereitstellungsstatus der Erweiterung AADLoginForWindows für die Maschinen. Wenn die Erweiterung AADLoginForWindows nicht vorhanden ist, kann dies folgende Gründe haben:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf AzureAD gesetzt oder DeviceManagementType ist nicht auf Intune gesetzt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPoolausführen.

    • Die Azure-Richtlinie hat die Installation der Erweiterung AADLoginForWindows blockiert.

  • Um Fehler bei der Bereitstellung der AADLoginForWindows-Erweiterung zu beheben, können Sie die Protokolle auf der von MCS bereitgestellten Maschine unter C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows überprüfen.

    Hinweis

    MCS ist nicht auf die Erweiterung AADLoginForWindows angewiesen, um eine VM mit Azure AD zu verbinden und sich bei Microsoft Intune zu registrieren, wenn ein Masterimage mit VDA-Version 2209 oder höher verwendet wird. In diesem Fall ist die Erweiterung AADLoginForWindows nicht auf der von MCS bereitgestellten Maschine installiert. Daher können die Bereitstellungsprotokolle der Erweiterung AADLoginForWindows nicht gesammelt werden.

  • Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.

  • Das von Ihnen gewählte Dienstkonto befindet sich möglicherweise aus verschiedenen Gründen in einem fehlerhaften Status. Sie können zu Administratoren > Dienstkonten gehen, um Details zu sehen und die Probleme anhand der Empfehlungen zu beheben. If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.

Erstellen Sie hybride, mit Azure AD verbundene Kataloge, die bei Microsoft Intune registriert sind

Sie können Kataloge mit aktivierter gemeinsamer Verwaltung für mit Hybrid Azure AD verbundene Kataloge erstellen, die bei Microsoft Intune für persistente virtuelle Maschinen mit einer oder mehreren Sitzungen registriert sind. Sie können Kataloge mit aktivierter gemeinsamen Verwaltung sowohl mit Studio als auch mit PowerShell erstellen.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter:

Studio verwenden

Die folgenden Informationen sind eine Ergänzung zu den Anleitungen in Maschinenkataloge erstellen.

Führen Sie im Assistenten für die Maschinenkatalogerstellung folgende Schritte aus:

  • Wählen Sie auf der Seite Maschinenidentitäten die Option In Azure Active Directory eingebunden und dann Maschinen in Microsoft Intune with Configuration Manager registrieren. Mit dieser Aktion verwalten Configuration Manager und Microsoft Intune (d. h. gemeinsam verwaltet) die virtuellen Maschinen.

PowerShell verwenden

Im Folgenden sind die PowerShell-Schritte aufgeführt, die den Schritten in Studio entsprechen.

Um Maschinen mit dem Configuration Manager und Remote Powershell SDK in Microsoft Intune zu registrieren, verwenden Sie den Parameter DeviceManagementType in New-AcctIdentityPool. Dieses Feature setzt voraus, dass der Katalog mit Hybrid Azure AD verknüpft ist und Azure AD über die richtige Microsoft Intune-Lizenz verfügt.

Der Unterschied zwischen mit Hybrid Azure AD verbundenen Katalogen und gemeinsam verwalteten Katalogen liegt in der Erstellung des Identitätspools. Beispiel:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Sie können auch einen persistenten Hybrid Azure AD-Katalog erstellen, der mit einem vorbereiteten Image in Microsoft Intune registriert ist. Den vollständigen Satz an PowerShell-Befehlen zum Erstellen der Imagedefinition, Imageversion und vorbereiteten Imageversionsspezifikation finden Sie hier:

Nachdem Sie die vorbereitete Image-Versionsspezifikation erstellt haben, erstellen Sie den Identitätspool und den Maschinenkatalog. Beispiel:

  New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC##  -NamingSchemeType "Numeric"  -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD" -DeviceManagement IntuneWithSCCM

  New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Hinweis

Die Registrierung von Hybrid Azure AD-eingebundenen nicht persistenten VMs in Microsoft Intune befindet sich derzeit in -Preview.

Problembehandlung

Gehen Sie wie folgt vor, wenn Maschinen sich nicht bei Microsoft Intune registrieren oder den Status “gemeinsame Verwaltung” nicht erreichen:

  • Intune-Lizenz überprüfen

    Überprüfen Sie, ob Ihrem Azure AD-Mandanten die passende Intune-Lizenz zugewiesen wurde. Unter Microsoft Intune-Lizenzierung finden Sie die Lizenzanforderungen von Microsoft Intune.

  • Status des hybriden Azure AD-Beitritts überprüfen

    Prüfen Sie, ob die von MCS bereitgestellten Maschinen mit Hybrid Azure AD verbunden sind. Die Maschinen kommen nicht für die gemeinsame Verwaltung infrage, wenn sie nicht in Hybrid Azure AD eingebunden sind. Weitere Informationen zur Behebung von Problemen mit der Einbindung in Hybrid Azure AD finden Sie unter Problembehandlung durchführen.

  • Eignung für die gemeinsame Verwaltung prüfen

    • Prüfen Sie, ob die von MCS bereitgestellten Maschinen dem erwarteten Configuration Manager-Standort korrekt zugewiesen sind. Um die zugewiesene Site abzurufen, führen Sie den folgenden PowerShell-Befehl auf den betroffenen Maschinen aus.

         (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • Wenn der VM kein Standort zugewiesen ist, überprüfen Sie mit dem folgenden Befehl, ob der Configuration Manager-Standort automatisch erkannt werden kann.

         (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • Stellen Sie sicher, dass Grenzen und Grenzgruppen in Ihrer Configuration Manager-Umgebung gut konfiguriert sind, falls kein Standortcode erkannt werden kann. Einzelheiten finden Sie unter Überlegungen.

    • Suchen Sie unter C:\Windows\CCM\Logs\ClientLocation.log nach Problemen mit der Zuweisung von Configuration Manager-Client-Standorten.

    • Überprüfen Sie den Status der gemeinsamen Verwaltung der Maschinen. Öffnen Sie die Configuration Manager-Systemsteuerung auf den betroffenen Maschinen und wechseln Sie zur Registerkarte Allgemein. Der Wert der Eigenschaft für gemeinsame Verwaltung muss Aktiviert sein. Wenn nicht, überprüfen Sie die Protokolle unter C:\Windows\CCM\Logs\CoManagementHandler.log.

  • Intune-Registrierung überprüfen

    Maschinen können sich möglicherweise nicht bei Microsoft Intune registrieren, selbst wenn alle Voraussetzungen erfüllt sind. Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider auf Probleme bei der Intune-Registrierung.

Weitere Informationen

Identitätspool mit Microsoft Intune-fähiger Maschinenidentität
September 15, 2025
Beitrag von: 
C
September 15, 2025
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.