Produktdokumentation
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

Identitätspool von Hybrid Azure Active Directory-verbundenen Maschinenidentitäten

June 5, 2026
Beitrag von: 
C

Hinweis:

Seit Juli 2023 hat Microsoft Azure Active Directory (Azure AD) in Microsoft Entra ID umbenannt. In diesem Dokument beziehen sich alle Verweise auf Azure Active Directory, Azure AD oder AAD nun auf Microsoft Entra ID.

Dieser Artikel beschreibt, wie ein Identitätspool erstellt wird für:

  • Hybrid Azure Active Directory (AD)-verbundene Kataloge
  • Hybrid Azure AD-verbundene Kataloge, die in Microsoft Intune registriert sind

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Hybrid Azure Active Directory-verbunden.

Hybrid Azure Active Directory (AD)-verbundene Kataloge erstellen

Web Studio verwenden

Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen.

Auf der Seite Maschinenidentitäten des Assistenten zur Katalogerstellung:

  • Wählen Sie Hybrid Azure Active Directory-verbunden. Die erstellten Maschinen gehören einer Organisation und werden mit einem Active Directory-Konto angemeldet, das zu dieser Organisation gehört.

  • Um die erstellten Maschinen für die Geräteverwaltung in Microsoft Intune (einschließlich Configuration Manager) zu registrieren, wählen Sie Maschinen in Microsoft Intune mit Configuration Manager registrieren. Um Fehler bei der Katalogerstellung zu vermeiden, stellen Sie sicher, dass das Masterimage die folgenden Anforderungen erfüllt:

    • VDA-Version 2405 oder höher ist installiert.
    • Der Configuration Manager-Client ist installiert, wobei der Standortcode nicht zugewiesen ist. Weitere Informationen finden Sie in diesem Microsoft-Artikel.

Hinweis:

Wenn Sie Hybrid in Azure Active Directory eingebunden als Identitätstyp auswählen, muss jede Maschine im Katalog über ein entsprechendes AD-Computerkonto verfügen.

PowerShell verwenden

Im Folgenden sind PowerShell-Schritte aufgeführt, die den Vorgängen in Web Studio entsprechen. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Der Unterschied zwischen lokalen AD-verbundenen Katalogen und hybriden Azure AD-verbundenen Katalogen liegt in der Erstellung des Identitätspools und der Maschinenkonten.

So erstellen Sie einen Identitätspool zusammen mit den Konten für hybride Azure AD-verbundene Kataloge:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Hinweis:

$password ist das passende Kennwort für ein AD-Benutzerkonto mit Schreibberechtigungen.

Alle anderen Befehle, die zum Erstellen hybrider Azure AD-verbundener Kataloge verwendet werden, sind die gleichen wie für herkömmliche lokale AD-verbundene Kataloge.

Status des hybriden Azure AD-Beitrittsprozesses anzeigen

Im Web Studio ist der Status des hybriden Azure AD-Beitrittsprozesses sichtbar, wenn hybride Azure AD-verbundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, verwenden Sie Suchen, um diese Maschinen zu identifizieren, und überprüfen Sie dann für jede Maschine die Maschinenidentität auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

  • Hybrid in Azure AD eingebunden
  • Noch nicht in Azure AD eingebunden

Hinweis:

  • Es kann zu einer verzögerten hybriden Azure AD-Einbindung kommen, wenn die Maschine zum ersten Mal eingeschaltet wird. Dies wird durch das standardmäßige Synchronisierungsintervall für Maschinenidentitäten (30 Minuten von Azure AD Connect) verursacht. Die Maschine befindet sich erst dann im Status „Hybrid in Azure AD eingebunden“, wenn die Maschinenidentitäten über Azure AD Connect mit Azure AD synchronisiert wurden.
  • Wenn Maschinen nicht im Hybrid Azure AD-verbundenen Zustand sind, werden sie nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Außerdem können Sie über Web Studio erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu auf dem Knoten Suchen auf eine Maschine, prüfen Sie Registrierung auf der Registerkarte Details im unteren Bereich und lesen Sie dann den Tooltip für weitere Informationen.

Problembehandlung

Wenn Maschinen nicht hybrid in Azure AD eingebunden werden können, gehen Sie wie folgt vor:

  • Prüfen Sie, ob das Maschinenkonto über das Microsoft Azure AD-Portal mit Azure AD synchronisiert wurde. Wenn synchronisiert, wird Noch nicht mit Azure AD verbunden angezeigt, was den ausstehenden Registrierungsstatus angibt.

    Um Maschinenkonten mit Azure AD zu synchronisieren, stellen Sie sicher:

    • Das Maschinenkonto befindet sich in der Organisationseinheit (OU), die für die Synchronisierung mit Azure AD konfiguriert ist. Maschinenkonten ohne das Attribut userCertificate werden nicht mit Azure AD synchronisiert, selbst wenn sie sich in der für die Synchronisierung konfigurierten OU befinden.
    • Das Attribut userCertificate wird im Maschinenkonto ausgefüllt. Verwenden Sie den Active Directory Explorer, um das Attribut anzuzeigen.
    • Azure AD Connect muss mindestens einmal synchronisiert worden sein, nachdem das Maschinenkonto erstellt wurde. Andernfalls führen Sie den Befehl Start-ADSyncSyncCycle -PolicyType Delta manuell in der PowerShell-Konsole der Azure AD Connect-Maschine aus, um eine sofortige Synchronisierung auszulösen.

  • Prüfen Sie, ob das von Citrix verwaltete Geräteschlüsselpaar für die hybride Azure AD-Einbindung korrekt auf die Maschine übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix abfragen.

    Vergewissern Sie sich, dass der Wert 1 ist. Andernfalls sind mögliche Gründe:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf HybridAzureAD eingestellt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.
    • Die Maschine wurde nicht mit demselben Bereitstellungsschema des Maschinenkatalogs bereitgestellt.
    • Die Maschine ist nicht mit der lokalen Domäne verbunden. Die Verbindung mit der lokalen Domäne ist eine Voraussetzung für die hybride Azure AD-Einbindung.

  • Überprüfen Sie Diagnosemeldungen, indem Sie den Befehl dsregcmd /status /debug auf der von MCS bereitgestellten Maschine ausführen.

    • Wenn die hybride Azure AD-Verknüpfung erfolgreich ist, sind AzureAdJoined und DomainJoined in der Ausgabe der Befehlszeile YES.

    • Andernfalls lesen Sie die Microsoft-Dokumentation, um die Probleme zu beheben: https://docs.microsoft.com/de-de/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Wenn Sie die Fehlermeldung Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx erhalten, führen Sie dann den folgenden PowerShell-Befehl aus, um das Benutzerzertifikat zu reparieren:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      Weitere Informationen zum Problem mit dem Benutzerzertifikat finden Sie unter CTX566696.

Erstellen von Hybrid Azure AD-verbundenen Katalogen, die in Microsoft Intune registriert sind

Sie können Co-Management-fähige Kataloge für Hybrid Azure AD-verbundene Kataloge erstellen, die in Microsoft Intune für persistente Einzel- und Mehrsitzungs-VMs registriert sind. Sie können Co-Management-fähige Kataloge sowohl mit Studio als auch mit PowerShell erstellen.

Verwenden von Web Studio

Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen.

Im Assistenten zur Maschinenkatalogeinrichtung:

  • Auf der Seite Maschinenidentitäten wählen Sie Hybrid Azure Active Directory joined und dann Enroll the machines in Microsoft Intune with Configuration Manager. Durch diese Aktion verwalten Configuration Manager und Microsoft Intune (d. h. Co-Managed) die VMs.

Verwenden von PowerShell

Im Folgenden sind die PowerShell-Schritte aufgeführt, die den Schritten in Studio entsprechen.

Um Maschinen in Microsoft Intune mit Configuration Manager mithilfe des Remote PowerShell SDK zu registrieren, verwenden Sie den Parameter DeviceManagementType in New-AcctIdentityPool. Diese Funktion erfordert, dass der Katalog Hybrid Azure AD-verbunden ist und dass Azure AD über die richtige Microsoft Intune-Lizenz verfügt.

Der Unterschied zwischen Hybrid Azure AD-verbundenen Katalogen und Co-Management-fähigen Katalogen liegt in der Erstellung des Identitätspools. Zum Beispiel:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Fehlerbehebung

Wenn Maschinen nicht in Microsoft Intune registriert werden können oder den Co-Management-Status nicht erreichen, gehen Sie wie folgt vor:

  • Intune-Lizenz überprüfen

    Überprüfen Sie, ob Ihrem Azure AD-Mandanten die entsprechende Intune-Lizenz zugewiesen ist. Die Lizenzanforderungen für Microsoft Intune finden Sie unter Microsoft Intune-Lizenzierung.

  • Hybrid Azure AD Join-Status überprüfen

    Überprüfen Sie, ob die von MCS bereitgestellten Maschinen Hybrid Azure AD beigetreten sind. Die Maschinen sind nicht für das Co-Management geeignet, wenn sie nicht Hybrid Azure AD beigetreten sind. Informationen zur Behebung von Hybrid Azure AD Join-Problemen finden Sie unter Problembehandlung.

  • Co-Management-Berechtigung überprüfen

    • Überprüfen Sie, ob den von MCS bereitgestellten Maschinen der erwartete Configuration Manager-Standort korrekt zugewiesen ist. Um den zugewiesenen Standort zu erhalten, führen Sie den folgenden PowerShell-Befehl auf den betroffenen Maschinen aus.

       (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • Wenn der VM kein Standort zugewiesen ist, verwenden Sie den folgenden Befehl, um zu überprüfen, ob der Configuration Manager-Standort automatisch erkannt werden kann.

       (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • Stellen Sie sicher, dass Grenzen und Grenzgruppen in Ihrer Configuration Manager-Umgebung gut konfiguriert sind, wenn kein Standortcode erkannt werden kann. Weitere Informationen finden Sie unter Überlegungen.

    • Überprüfen Sie C:\Windows\CCM\Logs\ClientLocation.log auf Probleme bei der Standortzuweisung des Configuration Manager-Clients.

    • Überprüfen Sie die Co-Management-Status der Maschinen. Öffnen Sie die Configuration Manager-Systemsteuerung auf den betroffenen Maschinen und wechseln Sie zur Registerkarte Allgemein. Der Wert der Co-Management-Eigenschaft muss Aktiviert sein. Ist dies nicht der Fall, überprüfen Sie die Protokolle unter C:\Windows\CCM\Logs\CoManagementHandler.log.

  • Intune-Registrierung überprüfen

    Maschinen können möglicherweise nicht in Microsoft Intune registriert werden, selbst wenn alle Voraussetzungen erfüllt sind. Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider auf Intune-Registrierungsprobleme.

Identitätspool von Hybrid Azure Active Directory-verbundenen Maschinenidentitäten
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.