Produktdokumentation

Identitätspool einer Hybrid Azure Active Directory-verbundenen Maschinenidentität

June 5, 2026
Beitrag von: 
C

Hinweis:

Seit Juli 2023 hat Microsoft Azure Active Directory (Azure AD) in Microsoft Entra ID umbenannt. In diesem Dokument beziehen sich alle Verweise auf Azure Active Directory, Azure AD oder AAD nun auf Microsoft Entra ID.

Dieser Artikel beschreibt, wie ein Identitätspool erstellt wird für:

  • Hybrid Azure Active Directory (AD)-verbundene Kataloge
  • Hybrid Azure AD-verbundene Kataloge, die in Microsoft Intune registriert sind

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Hybrid Azure Active Directory joined.

Hybrid Azure Active Directory (AD)-verbundene Kataloge erstellen

Web Studio verwenden

Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen.

Auf der Seite Maschinenidentitäten des Assistenten zur Katalogerstellung:

  • Wählen Sie Hybrid Azure Active Directory joined. Die erstellten Maschinen gehören einer Organisation und werden mit einem Active Directory-Konto angemeldet, das zu dieser Organisation gehört.

  • Um die erstellten Maschinen zur Geräteverwaltung in Microsoft Intune (einschließlich Configuration Manager) zu registrieren, wählen Sie Maschinen in Microsoft Intune mit Configuration Manager registrieren. Um Fehler bei der Katalogerstellung zu vermeiden, stellen Sie sicher, dass das Masterimage die folgenden Anforderungen erfüllt:

    • VDA-Version 2405 oder höher ist installiert.
    • Der Configuration Manager-Client ist installiert, wobei der Standortcode nicht zugewiesen ist. Weitere Informationen finden Sie in diesem Microsoft-Artikel.

Hinweis:

Wenn Sie Hybrid Azure Active Directory joined als Identitätstyp auswählen, muss jede Maschine im Katalog über ein entsprechendes AD-Computerkonto verfügen.

PowerShell verwenden

Im Folgenden sind PowerShell-Schritte aufgeführt, die den Vorgängen in Web Studio entsprechen. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Der Unterschied zwischen lokalen AD-verbundenen Katalogen und hybriden Azure AD-verbundenen Katalogen liegt in der Erstellung des Identitätspools und der Maschinenkonten.

So erstellen Sie einen Identitätspool zusammen mit den Konten für hybride Azure AD-verbundene Kataloge:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Hinweis:

$password ist das passende Kennwort für ein AD-Benutzerkonto mit Schreibberechtigungen.

Alle anderen Befehle, die zum Erstellen hybrider Azure AD-verbundener Kataloge verwendet werden, sind dieselben wie für herkömmliche lokale AD-verbundene Kataloge.

Status des hybriden Azure AD-Beitrittsprozesses anzeigen

In Web Studio ist der Status des hybriden Azure AD-Beitrittsprozesses sichtbar, wenn hybride Azure AD-verbundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, verwenden Sie Suchen, um diese Maschinen zu identifizieren, und überprüfen Sie dann für jede Maschine die Maschinenidentität auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

  • Hybrid Azure AD-verbunden
  • Noch nicht mit Azure AD verbunden

Hinweis:

  • Es kann zu einer verzögerten hybriden Azure AD-Verbindung kommen, wenn die Maschine zum ersten Mal eingeschaltet wird. Dies wird durch das standardmäßige Synchronisierungsintervall für die Maschinenidentität (30 Minuten Azure AD Connect) verursacht. Die Maschine befindet sich erst dann im hybriden Azure AD-verbundenen Zustand, wenn die Maschinenidentitäten über Azure AD Connect mit Azure AD synchronisiert wurden.
  • Wenn Maschinen nicht im Hybrid Azure AD-verbundenen Zustand sind, werden sie nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Mithilfe von Web Studio können Sie auch erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu auf eine Maschine im Knoten Suchen, prüfen Sie die Registrierung auf der Registerkarte Details im unteren Bereich und lesen Sie dann den Tooltip für weitere Informationen.

Fehlerbehebung

Wenn Maschinen nicht Hybrid Azure AD-verbunden sind, führen Sie die folgenden Schritte aus:

  • Überprüfen Sie, ob das Maschinenkonto über das Microsoft Azure AD-Portal mit Azure AD synchronisiert wurde. Wenn synchronisiert, wird Noch nicht mit Azure AD verbunden angezeigt, was auf einen ausstehenden Registrierungsstatus hinweist.

    Um Maschinenkonten mit Azure AD zu synchronisieren, stellen Sie sicher:

    • Das Maschinenkonto befindet sich in der OU, die für die Synchronisierung mit Azure AD konfiguriert ist. Maschinenkonten ohne das Attribut userCertificate werden nicht mit Azure AD synchronisiert, selbst wenn sie sich in der OU befinden, die für die Synchronisierung konfiguriert ist.
    • Das Attribut userCertificate wird im Maschinenkonto ausgefüllt. Verwenden Sie den Active Directory Explorer, um das Attribut anzuzeigen.
    • Azure AD Connect muss mindestens einmal synchronisiert worden sein, nachdem das Maschinenkonto erstellt wurde. Andernfalls führen Sie den Befehl Start-ADSyncSyncCycle -PolicyType Delta manuell in der PowerShell-Konsole der Azure AD Connect-Maschine aus, um eine sofortige Synchronisierung auszulösen.

  • Überprüfen Sie, ob das von Citrix verwaltete Geräteschlüsselpaar für den Hybrid Azure AD-Beitritt korrekt auf die Maschine übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix abfragen.

    Vergewissern Sie sich, dass der Wert 1 ist. Andernfalls sind mögliche Gründe:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf HybridAzureAD eingestellt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.
    • Die Maschine wird nicht mit demselben Bereitstellungsschema des Maschinenkatalogs bereitgestellt.
    • Die Maschine ist nicht mit der lokalen Domäne verbunden. Der Beitritt zur lokalen Domäne ist eine Voraussetzung für den Hybrid Azure AD-Beitritt.

  • Überprüfen Sie Diagnosemeldungen, indem Sie den Befehl dsregcmd /status /debug auf der MCS-bereitgestellten Maschine ausführen.

    • Wenn der Hybrid Azure AD-Beitritt erfolgreich ist, sind AzureAdJoined und DomainJoined in der Ausgabe der Befehlszeile YES.

    • Andernfalls lesen Sie die Microsoft-Dokumentation zur Fehlerbehebung: https://docs.microsoft.com/de-de/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Wenn Sie die Fehlermeldung Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx erhalten, führen Sie den folgenden PowerShell-Befehl aus, um das Benutzerzertifikat zu reparieren:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      Weitere Informationen zum Problem mit dem Benutzerzertifikat finden Sie unter CTX566696.

Erstellen von Hybrid Azure AD-verbundenen Katalogen, die in Microsoft Intune registriert sind

Sie können Co-Management-fähige Kataloge für Hybrid Azure AD-verbundene Kataloge erstellen, die in Microsoft Intune für persistente Einzel- und Mehrsitzungs-VMs registriert sind. Sie können Co-Management-fähige Kataloge sowohl mit Studio als auch mit PowerShell erstellen.

Web Studio verwenden

Die folgenden Informationen ergänzen die Anleitung unter Create machine catalogs.

Im Assistenten Machine Catalog Setup:

  • Wählen Sie auf der Seite Machine Identities die Option Hybrid Azure Active Directory joined und dann Enroll the machines in Microsoft Intune with Configuration Manager. Durch diese Aktion verwalten Configuration Manager und Microsoft Intune (d. h. Co-Managed) die VMs.

PowerShell verwenden

Im Folgenden sind die PowerShell-Schritte aufgeführt, die den Schritten in Studio entsprechen.

Um Maschinen in Microsoft Intune mit Configuration Manager über das Remote PowerShell SDK zu registrieren, verwenden Sie den Parameter DeviceManagementType in New-AcctIdentityPool. Diese Funktion erfordert, dass der Katalog Hybrid Azure AD-verbunden ist und dass Azure AD über die korrekte Microsoft Intune-Lizenz verfügt.

Der Unterschied zwischen Hybrid Azure AD-verbundenen Katalogen und Co-Management-fähigen Katalogen liegt in der Erstellung des Identitätspools. Zum Beispiel:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Fehlerbehebung

Wenn Computer nicht in Microsoft Intune registriert werden oder den Co-Management-Status nicht erreichen, gehen Sie wie folgt vor:

  • Intune-Lizenz überprüfen

    Überprüfen Sie, ob Ihrem Azure AD-Mandanten die entsprechende Intune-Lizenz zugewiesen ist. Siehe Microsoft Intune-Lizenzierung für Lizenzanforderungen von Microsoft Intune.

  • Status des Hybrid Azure AD Join überprüfen

    Überprüfen Sie, ob die von MCS bereitgestellten Computer Hybrid Azure AD-verbunden sind. Die Computer sind nicht für das Co-Management geeignet, wenn sie nicht Hybrid Azure AD-verbunden sind. Siehe Problembehandlung, um Probleme mit dem Hybrid Azure AD Join zu beheben.

  • Co-Management-Berechtigung überprüfen

    • Überprüfen Sie, ob den von MCS bereitgestellten Computern der erwartete Configuration Manager-Standort korrekt zugewiesen ist. Um den zugewiesenen Standort zu erhalten, führen Sie den folgenden PowerShell-Befehl auf den betroffenen Computern aus.

       (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • Wenn der VM kein Standort zugewiesen ist, verwenden Sie den folgenden Befehl, um zu überprüfen, ob der Configuration Manager-Standort automatisch erkannt werden kann.

       (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • Stellen Sie sicher, dass Grenzen und Grenzgruppen in Ihrer Configuration Manager-Umgebung gut konfiguriert sind, wenn kein Standortcode erkannt werden kann. Siehe Überlegungen für Details.

    • Überprüfen Sie C:\Windows\CCM\Logs\ClientLocation.log auf Probleme bei der Zuweisung von Configuration Manager-Clientstandorten.

    • Überprüfen Sie die Co-Management-Status der Computer. Öffnen Sie die Configuration Manager-Systemsteuerung auf den betroffenen Computern und wechseln Sie zur Registerkarte Allgemein. Der Wert der Eigenschaft Co-Management muss Aktiviert sein. Andernfalls überprüfen Sie die Protokolle unter C:\Windows\CCM\Logs\CoManagementHandler.log.

  • Intune-Registrierung überprüfen

    Computer können möglicherweise nicht in Microsoft Intune registriert werden, selbst wenn alle Voraussetzungen erfüllt sind. Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider auf Probleme bei der Intune-Registrierung.

Identitätspool einer Hybrid Azure Active Directory-verbundenen Maschinenidentität
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.