Produktdokumentation
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

Identitätspool einer Microsoft Entra hybrid beigetretenen Maschinenidentität

June 5, 2026
Beitrag von: 
C

Dieser Artikel beschreibt, wie ein Identitätspool erstellt wird für:

  • Microsoft Entra hybrid beigetretene Kataloge
  • Microsoft Entra hybrid beigetretene Kataloge, die in Microsoft Intune registriert sind

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Microsoft Entra hybrid beigetreten.

Microsoft Entra hybrid beigetretene Kataloge erstellen

Web Studio verwenden

Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen.

Auf der Seite Maschinenidentitäten des Assistenten zur Katalogerstellung:

  • Wählen Sie Microsoft Entra hybrid beigetreten. Die erstellten Maschinen gehören einer Organisation und werden mit einem Active Directory-Konto angemeldet, das zu dieser Organisation gehört.

  • Um die erstellten Maschinen zur Geräteverwaltung in Microsoft Intune (einschließlich Configuration Manager) zu registrieren, wählen Sie Maschinen in Microsoft Intune mit Configuration Manager registrieren. Um Fehler bei der Katalogerstellung zu vermeiden, stellen Sie sicher, dass das Master-Image die folgenden Anforderungen erfüllt:

    • VDA-Version 2405 oder höher ist installiert.
    • Der Configuration Manager-Client ist installiert, wobei der Standortcode nicht zugewiesen ist. Weitere Informationen finden Sie in diesem Microsoft-Artikel.

Hinweis:

Wenn Sie Microsoft Entra hybrid beigetreten als Identitätstyp auswählen, muss jede Maschine im Katalog ein entsprechendes AD-Computerkonto haben.

PowerShell verwenden

Die folgenden PowerShell-Schritte entsprechen den Vorgängen in Web Studio. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Der Unterschied zwischen lokalen AD-verbundenen Katalogen und Microsoft Entra hybrid verbundenen Katalogen liegt in der Erstellung des Identitätspools und der Maschinenkonten.

So erstellen Sie einen Identitätspool zusammen mit den Konten für Microsoft Entra hybrid verbundene Kataloge:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Hinweis:

$password ist das passende Kennwort für ein AD-Benutzerkonto mit Schreibberechtigungen.

Alle anderen Befehle, die zum Erstellen von Microsoft Entra hybrid verbundenen Katalogen verwendet werden, sind die gleichen wie für herkömmliche lokale AD-verbundene Kataloge.

Status des Microsoft Entra Hybrid Join-Prozesses anzeigen

Im Web Studio ist der Status des Microsoft Entra Hybrid Join-Prozesses sichtbar, wenn Microsoft Entra hybrid verbundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, verwenden Sie Suchen, um diese Maschinen zu identifizieren, und überprüfen Sie dann für jede Maschine die Maschinenidentität auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

  • Microsoft Entra hybrid verbunden
  • Noch nicht mit Microsoft Entra ID verbunden

Hinweis:

  • Es kann zu einer verzögerten Microsoft Entra Hybrid Join kommen, wenn die Maschine zum ersten Mal eingeschaltet wird. Dies wird durch das standardmäßige Synchronisierungsintervall für Maschinenidentitäten (30 Minuten von Microsoft Entra Connect) verursacht. Die Maschine befindet sich erst dann im Microsoft Entra hybrid verbundenen Zustand, nachdem die Maschinenidentitäten über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert wurden.
  • Wenn Maschinen nicht in den Microsoft Entra hybrid verbundenen Zustand wechseln können, werden sie nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Mithilfe des Web Studios können Sie auch erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu auf eine Maschine im Knoten Suchen, überprüfen Sie die Registrierung auf der Registerkarte Details im unteren Bereich, und lesen Sie dann den Tooltip für weitere Informationen.

Fehlerbehebung

Wenn Computer nicht erfolgreich in Microsoft Entra hybrid eingebunden werden können, gehen Sie wie folgt vor:

  • Überprüfen Sie, ob das Computerkonto über das Microsoft Entra ID-Portal mit Microsoft Entra ID synchronisiert wurde. Wenn synchronisiert, wird Not yet joined to Microsoft Entra ID angezeigt, was einen ausstehenden Registrierungsstatus anzeigt.

    Um Computerkonten mit Microsoft Entra ID zu synchronisieren, stellen Sie sicher:

    • Das Computerkonto befindet sich in der Organisationseinheit (OU), die für die Synchronisierung mit Microsoft Entra ID konfiguriert ist. Computerkonten ohne das Attribut userCertificate werden nicht mit Microsoft Entra ID synchronisiert, selbst wenn sie sich in der für die Synchronisierung konfigurierten OU befinden.
    • Das Attribut userCertificate wird im Computerkonto ausgefüllt. Verwenden Sie den Active Directory Explorer, um das Attribut anzuzeigen.
    • Microsoft Entra Connect muss mindestens einmal synchronisiert worden sein, nachdem das Computerkonto erstellt wurde. Falls nicht, führen Sie den Befehl Start-ADSyncSyncCycle -PolicyType Delta manuell in der PowerShell-Konsole des Microsoft Entra Connect-Computers aus, um eine sofortige Synchronisierung auszulösen.

  • Überprüfen Sie, ob das von Citrix verwaltete Geräteschlüsselpaar für die Microsoft Entra Hybrid-Einbindung korrekt auf den Computer übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix abfragen.

    Überprüfen Sie, ob der Wert 1 ist. Falls nicht, sind mögliche Gründe:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf HybridAzureAD eingestellt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.
    • Der Computer wird nicht mit demselben Bereitstellungsschema des Maschinenkatalogs bereitgestellt.
    • Der Computer ist nicht mit der lokalen Domäne verbunden. Die Verbindung mit der lokalen Domäne ist eine Voraussetzung für die Microsoft Entra Hybrid-Einbindung.

  • Überprüfen Sie Diagnosemeldungen, indem Sie den Befehl dsregcmd /status /debug auf dem MCS-bereitgestellten Computer ausführen.

    • Wenn die Microsoft Entra Hybrid-Einbindung erfolgreich ist, sind AzureAdJoined und DomainJoined in der Ausgabe der Befehlszeile YES.

    • Falls nicht, lesen Sie die Microsoft-Dokumentation zur Fehlerbehebung: https://docs.microsoft.com/de-de/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Wenn Sie die Fehlermeldung Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx erhalten, führen Sie dann den folgenden PowerShell-Befehl aus, um das Benutzerzertifikat zu reparieren:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      Weitere Informationen zum Problem mit dem Benutzerzertifikat finden Sie unter CTX566696.

Erstellen von in Microsoft Intune registrierten Microsoft Entra Hybrid-Joined-Katalogen

Sie können Co-Management-fähige Kataloge für Microsoft Entra Hybrid-Joined-Kataloge erstellen, die in Microsoft Intune für persistente Einzel- und Mehrsitzungs-VMs registriert sind. Sie können Co-Management-fähige Kataloge sowohl mit Studio als auch mit PowerShell erstellen.

Verwenden von Web Studio

Die folgenden Informationen ergänzen die Anweisungen unter Maschinenkataloge erstellen.

Im Assistenten für die Maschinenkatalogeinrichtung:

  • Wählen Sie auf der Seite Maschinenidentitäten die Option Microsoft Entra hybrid joined und dann Enroll the machines in Microsoft Intune with Configuration Manager. Mit dieser Aktion verwalten Configuration Manager und Microsoft Intune (d. h. Co-Managed) die VMs.

Verwenden von PowerShell

Im Folgenden sind die PowerShell-Schritte aufgeführt, die den Schritten in Studio entsprechen.

Um Maschinen in Microsoft Intune mit Configuration Manager mithilfe des Remote PowerShell SDK zu registrieren, verwenden Sie den DeviceManagementType Parameter in New-AcctIdentityPool. Diese Funktion erfordert, dass der Katalog Microsoft Entra Hybrid-Joined ist und dass Microsoft Entra ID über die korrekte Microsoft Intune-Lizenz verfügt.

Der Unterschied zwischen Microsoft Entra Hybrid-Joined-Katalogen und Co-Management-fähigen Katalogen liegt in der Erstellung des Identitätspools. Zum Beispiel:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Problembehandlung

Wenn Maschinen nicht in Microsoft Intune registriert werden können oder den Co-Management-Status nicht erreichen, gehen Sie wie folgt vor:

  • Intune-Lizenz überprüfen

    Überprüfen Sie, ob Ihrem Microsoft Entra-Mandanten die entsprechende Intune-Lizenz zugewiesen ist. Die Lizenzanforderungen für Microsoft Intune finden Sie unter Microsoft Intune-Lizenzierung.

  • Überprüfen Sie den Status des Microsoft Entra Hybrid Join

    Überprüfen Sie, ob die von MCS bereitgestellten Maschinen Microsoft Entra Hybrid Joined sind. Die Maschinen sind nicht für die Co-Verwaltung geeignet, wenn sie nicht Microsoft Entra Hybrid Joined sind. Informationen zur Problembehandlung bei Microsoft Entra Hybrid Join-Problemen finden Sie unter Problembehandlung.

  • Überprüfen Sie die Berechtigung zur Co-Verwaltung

    • Überprüfen Sie, ob den von MCS bereitgestellten Maschinen der erwartete Configuration Manager-Standort korrekt zugewiesen ist. Um den zugewiesenen Standort zu erhalten, führen Sie den folgenden PowerShell-Befehl auf den betroffenen Maschinen aus.

       (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • Wenn der VM kein Standort zugewiesen ist, verwenden Sie den folgenden Befehl, um zu überprüfen, ob der Configuration Manager-Standort automatisch erkannt werden kann.

       (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • Stellen Sie sicher, dass Begrenzungen und Begrenzungsgruppen in Ihrer Configuration Manager-Umgebung gut konfiguriert sind, wenn kein Standortcode erkannt werden kann. Einzelheiten finden Sie unter Überlegungen.

    • Überprüfen Sie C:\Windows\CCM\Logs\ClientLocation.log auf Probleme bei der Standortzuweisung des Configuration Manager-Clients.

    • Überprüfen Sie die Co-Verwaltungszustände der Maschinen. Öffnen Sie die Configuration Manager-Systemsteuerung auf den betroffenen Maschinen und wechseln Sie zur Registerkarte Allgemein. Der Wert der Eigenschaft Co-Verwaltung muss Aktiviert sein. Ist dies nicht der Fall, überprüfen Sie die Protokolle unter C:\Windows\CCM\Logs\CoManagementHandler.log.

  • Überprüfen Sie die Intune-Registrierung

    Maschinen können möglicherweise nicht in Microsoft Intune registriert werden, selbst wenn alle Voraussetzungen erfüllt sind. Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider auf Intune-Registrierungsprobleme.

Identitätspool einer Microsoft Entra hybrid beigetretenen Maschinenidentität
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.