Documentación de productos
Citrix DaaS™
Ver PDF

Grupo de identidades de máquinas unidas a Microsoft Entra

March 25, 2026
Contribución de: 
C C

Este artículo describe cómo crear un grupo de identidades de máquinas unidas a Microsoft Entra mediante Citrix DaaS.

Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulta Unido a Microsoft Entra.

Antes de crear el catálogo de máquinas, necesitas lo siguiente:

  1. Nueva ubicación de recursos
    • Ve a la interfaz de usuario de administración de Citrix Cloud™ > menú de hamburguesa superior izquierdo > Ubicaciones de recursos.
    • Haz clic en + Ubicación de recursos.
    • Introduce un nombre para la nueva ubicación de recursos y haz clic en Guardar.
  2. Crea una conexión de alojamiento. Consulta la sección Crear y administrar conexiones para obtener más información. Al implementar máquinas en Azure, consulta Conexión a Azure Resource Manager.

Puedes crear catálogos unidos a Microsoft Entra mediante Studio o PowerShell.

Usar Studio

La siguiente información complementa la guía de Crear catálogos de máquinas. Para crear catálogos unidos a Microsoft Entra, sigue las instrucciones generales de ese artículo, teniendo en cuenta los detalles específicos de los catálogos unidos a Microsoft Entra.

En el asistente de creación de catálogos:

  1. En la página Imagen:
    • Selecciona 2106 o una versión posterior como nivel funcional.
    • Selecciona Usar un perfil de máquina y selecciona la máquina adecuada de la lista.

  2. En la página Identidades de máquina:

    • Selecciona Unido a Microsoft Entra. Las máquinas creadas son propiedad de una organización y se inician sesión con una cuenta de Microsoft Entra que pertenece a esa organización. Solo existen en la nube.

      Nota:

      • El tipo de identidad Unido a Microsoft Entra requiere la versión 2106 o posterior como nivel funcional mínimo para el catálogo.
      • Las máquinas se unen al dominio de Microsoft Entra asociado al inquilino al que está vinculada la conexión de alojamiento.

    • Haz clic en Seleccionar cuenta de servicio y selecciona una cuenta de servicio disponible de la lista. Si no hay una cuenta de servicio adecuada disponible para el inquilino de Microsoft Entra al que se unirán las identidades de máquina, puedes crear una cuenta de servicio. Para obtener información sobre la cuenta de servicio, consulta Cuentas de servicio de Microsoft Entra.

      Nota:

      La cuenta de servicio que seleccionaste podría estar en un estado incorrecto debido a varias razones. Puedes ir a Administradores > Cuentas de servicio para ver los detalles y solucionar los problemas según las recomendaciones. Alternativamente, puedes continuar con la operación del catálogo de máquinas y solucionar los problemas más tarde. Si no solucionas el problema, se generan dispositivos unidos a Microsoft Entra o inscritos en Microsoft Intune obsoletos que pueden bloquear la unión de las máquinas a Microsoft Entra.

  3. Los usuarios deben tener acceso explícito en Azure para iniciar sesión en las máquinas con sus credenciales de Microsoft Entra. Consulta la sección Unido a Microsoft Entra para obtener más detalles.

Modificar la asociación de la cuenta de servicio

Para cambiar la cuenta de servicio asociada o agregar una asociación a un catálogo de máquinas MCS existente, usa la página Modificar catálogo de máquinas.

  • Para agregar una cuenta de servicio, haz clic en Seleccionar cuenta de servicio en la página Cuenta de servicio.
  • Para cambiar la asociación de la cuenta de servicio, haz clic en el icono de edición en la página Cuenta de servicio.

Usar PowerShell

Los siguientes son pasos de PowerShell equivalentes a las operaciones en Studio.

La diferencia entre los catálogos unidos a AD local y los unidos a Microsoft Entra radica en la creación del grupo de identidades y el esquema de aprovisionamiento.

Debes asociar una cuenta de servicio de Microsoft Entra con el grupo de identidades y, a continuación, crear el catálogo de máquinas. Puedes crear un nuevo grupo de identidades o actualizar uno existente para asociarlo a una cuenta de servicio.

Crear un nuevo grupo de identidades

Por ejemplo: Para crear un nuevo grupo de identidades y asociarlo a una cuenta de servicio, ejecuta lo siguiente:

New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Por ejemplo: Para crear un nuevo grupo de identidades con atributos de extensión especificados y asociarlo a una cuenta de servicio, ejecuta lo siguiente:

New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->

Cuando una máquina virtual se enciende por primera vez, después de unirse a Microsoft Entra ID, la máquina virtual informa su deviceId de Entra ID a MCS.

Por ejemplo: Para comprobar el EntraIDDeviceID, ejecuta Get-AcctADAccount o Get-AcctIdentity.

Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->

Después de reiniciar, para las máquinas virtuales persistentes, el EntraIDDeviceID sigue siendo el mismo. Para las máquinas virtuales no persistentes, hay un nuevo EntraIDDeviceID después de cada reinicio.

Nota:

MCS elimina automáticamente los atributos de extensión asociados cuando eliminas una máquina virtual del catálogo, pero no la eliminas de Azure.

Actualizar un grupo de identidades existente

Por ejemplo: Para actualizar un grupo de identidades existente y asociarlo a una cuenta de servicio, ejecuta lo siguiente:

$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Nota:

El $serviceAccountUid debe ser un UID válido de una cuenta de servicio de Microsoft Entra.

Por ejemplo: Para modificar los atributos de extensión del catálogo existente, ejecuta lo siguiente:

Nota:

  • Después de actualizar las máquinas virtuales del catálogo existente a la versión 2511 o posterior de VDA, es necesario reiniciar. Este reinicio permite que la máquina virtual informe su deviceId de Entra ID a MCS, lo que permite a MCS configurar los atributos de extensión de la máquina virtual.
  • El catálogo existente debe tener un tipo de cuenta de servicio de AzureAD con el permiso “Device.ReadWrite.All”.

Para agregar nuevos atributos:

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->

Para quitar algunos atributos existentes

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->

Set-AcctIdentityPool también actualiza los atributos de extensión del dispositivo de Entra ID para las máquinas virtuales que ya están unidas a Entra ID y poseen un valor EntraIDDeviceID dentro de sus identidades.

Crear catálogos unidos a Microsoft Entra

Para crear un esquema de aprovisionamiento para catálogos unidos a Microsoft Entra, el parámetro MachineProfile es obligatorio en New-ProvScheme. Por ejemplo:

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Para crear un catálogo de Microsoft Entra mediante una imagen preparada. Por ejemplo:

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Ver el estado del proceso de unión a Microsoft Entra

En Studio, el estado del proceso de unión a Microsoft Entra es visible cuando las máquinas unidas a Microsoft Entra en un grupo de entrega están encendidas. Para ver el estado, usa Buscar para identificar esas máquinas y, a continuación, para cada una, comprueba Identidad de la máquina en la ficha Detalles del panel inferior. La siguiente información puede aparecer en Identidad de la máquina:

  • Unido a Microsoft Entra
  • Aún no unido a Microsoft Entra ID

Nota:

Si las máquinas no logran unirse a Microsoft Entra, no se registran en el Delivery Controller. Su estado de registro aparece como Inicialización.

Además, con Studio, puedes saber por qué las máquinas no están disponibles. Para ello, haz clic en una máquina en el nodo Buscar, comprueba Registro en la ficha Detalles del panel inferior y, a continuación, lee la información sobre herramientas para obtener más información.

Grupo de entrega

Consulta la sección Crear grupos de entrega para obtener más detalles.

Habilitar Rendezvous

Una vez creado el grupo de entrega, puedes habilitar Rendezvous. Consulta Rendezvous V2 para obtener más detalles.

Solucionar problemas

Si las máquinas no logran unirse a Microsoft Entra, haz lo siguiente:

  • Comprueba si la identidad administrada asignada por el sistema está habilitada para las máquinas. Las máquinas aprovisionadas por MCS deben tenerla habilitada automáticamente. El proceso de unión a Microsoft Entra falla sin una identidad administrada asignada por el sistema. Si la identidad administrada asignada por el sistema no está habilitada para las máquinas aprovisionadas por MCS, la posible razón es:

    • IdentityType del grupo de identidades asociado al esquema de aprovisionamiento no está establecido en AzureAD. Puedes verificarlo ejecutando Get-AcctIdentityPool.

  • Para los catálogos que usan imágenes maestras con la versión 2206 o anterior de VDA, comprueba el estado de aprovisionamiento de la extensión AADLoginForWindows para las máquinas. Si la extensión AADLoginForWindows no existe, las posibles razones son:

    • IdentityType del grupo de identidades asociado al esquema de aprovisionamiento no está establecido en AzureAD. Puedes verificarlo ejecutando Get-AcctIdentityPool.

    • La instalación de la extensión AADLoginForWindows está bloqueada por la directiva de Azure.

  • Para solucionar los errores de aprovisionamiento de la extensión AADLoginForWindows, puedes consultar los registros en C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows en la máquina aprovisionada por MCS.

    Nota:

    MCS no depende de la extensión AADLoginForWindows para unir una máquina virtual a Microsoft Entra ID cuando se utiliza una imagen maestra con la versión 2209 o posterior de VDA. En este caso, la extensión AADLoginForWindows no se instalará en la máquina aprovisionada por MCS. Por lo tanto, no se pueden recopilar los registros de aprovisionamiento de la extensión AADLoginForWindows.

  • Comprueba el estado de unión a Microsoft Entra y los registros de depuración ejecutando el comando dsregcmd /status en la máquina aprovisionada por MCS.

  • Comprueba los registros de eventos de Windows en Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos de usuario.

  • Comprueba si la administración de dispositivos de Microsoft Entra está configurada correctamente ejecutando Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName}.

    Asegúrate de que el valor de:

    • La propiedad AzureAdDeviceManagement en CustomProperties sea true.
    • La propiedad Citrix_MCS_AzureAdDeviceManagement_PermissionGranted en los metadatos sea true.

    Si Citrix_MCS_AzureAdDeviceManagement_PermissionGranted es false, indica que al ServicePrincipal de la aplicación utilizada por la conexión de alojamiento no se le han concedido permisos suficientes para realizar la administración de dispositivos de Microsoft Entra. Para resolver esto, asigna al ServicePrincipal el rol de Administrador de dispositivos en la nube.

Grupos de seguridad dinámicos de Microsoft Entra

Las reglas de grupo dinámico colocan las máquinas virtuales del catálogo en un grupo de seguridad dinámico según el esquema de nombres del catálogo de máquinas.

Si el esquema de nombres del catálogo de máquinas es Test### (donde # significa número), Citrix® crea la regla de pertenencia dinámica ^Test[0-9]{3}$ en el grupo de seguridad dinámico. Ahora, si el nombre de la máquina virtual creada por Citrix es cualquiera de Test001 a Test999, la máquina virtual se incluye en el grupo de seguridad dinámico.

Nota:

Si el nombre de la máquina virtual creada manualmente es cualquiera de Test001 a Test999, la máquina virtual también se incluye en el grupo de seguridad dinámico. Esta es una de las limitaciones del grupo de seguridad dinámico.

La función de grupo de seguridad dinámico es útil cuando quieres administrar las máquinas virtuales mediante Microsoft Entra ID. También es útil cuando quieres aplicar directivas de acceso condicional o distribuir aplicaciones desde Intune filtrando las máquinas virtuales con el grupo de seguridad dinámico de Microsoft Entra.

Puedes usar comandos de PowerShell para:

  • Crear un catálogo de máquinas con un grupo de seguridad dinámico de Microsoft Entra
  • Habilitar la función de grupo de seguridad para un catálogo de Microsoft Entra
  • Eliminar un catálogo de máquinas con un grupo de seguridad de dispositivos unido a Microsoft Entra

Importante:

Crear un catálogo de máquinas con un grupo de seguridad dinámico de Microsoft Entra

  1. En la interfaz de usuario de la consola web para la configuración del catálogo de máquinas, en la página Identidades de la máquina, selecciona Unido a Microsoft Entra.
  2. Inicia sesión en Microsoft Entra ID.
  3. Obtén el token de acceso a la API de MS Graph. Usa este token de acceso como valor del parámetro $AzureADAccessToken cuando ejecutes los comandos de PowerShell. No necesitas un token de acceso de Microsoft Entra si usas una cuenta de servicio de Microsoft Entra.

  4. Ejecuta el siguiente comando para verificar si el nombre del grupo de seguridad dinámico existe en el inquilino.

    Get-AcctAzureADSecurityGroup
–AccessToken  $AzureADAccessToken
–Name "SecurityGroupName"
<!--NeedCopy-->

    O bien, ejecuta lo siguiente si usas una cuenta de servicio de Microsoft Entra:

    Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"
<!--NeedCopy-->

  5. Crea un catálogo de máquinas usando el ID de inquilino, el token de acceso y el grupo de seguridad dinámico. Ejecuta el siguiente comando para crear un IdentityPool con IdentityType=AzureAD y crea un grupo de seguridad dinámico en Azure.

    New-AcctIdentityPool
-AllowUnicode
-IdentityPoolName "SecurityGroupCatalog"
-NamingScheme "SG-VM-###"
-NamingSchemeType "Numeric" -Scope @()
-ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
-WorkgroupMachine
-IdentityType "AzureAD"
-DeviceManagementType "None"
-AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupName "SecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    O, ejecuta lo siguiente si estás usando una cuenta de servicio de Microsoft Entra:

    New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Habilitar la función de grupo de seguridad para un catálogo de Microsoft Entra

Puedes habilitar la función de seguridad dinámica para un catálogo de Microsoft Entra que se creó sin la función de grupo de seguridad dinámico habilitada. Para ello:

  1. Crea manualmente un nuevo grupo de seguridad dinámico. También puedes reutilizar un grupo de seguridad dinámico existente.

  2. Inicia sesión en Microsoft Entra ID y obtén el token de acceso a la API de MS Graph. Usa este token de acceso como valor del parámetro $AzureADAccessToken cuando ejecutes los comandos de PowerShell.

    Nota:

  3. Ejecuta el siguiente comando para conectar el grupo de identidades al grupo de seguridad dinámico de Microsoft Entra creado.

    Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    O, ejecuta lo siguiente si estás usando una cuenta de servicio de Microsoft Entra:

    Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Si actualizas el esquema de nombres, Citrix actualiza el esquema de nombres a una nueva regla de pertenencia. Si eliminas el catálogo, la regla de pertenencia se elimina, y no el grupo de seguridad.

Eliminar un catálogo de máquinas con un grupo de seguridad de dispositivos unidos a Microsoft Entra

Cuando eliminas un catálogo de máquinas, el grupo de seguridad de dispositivos unidos a Microsoft Entra también se elimina.

Para eliminar el grupo de seguridad dinámico de Microsoft Entra, haz lo siguiente:

  1. Inicia sesión en Microsoft Entra ID.
  2. Obtén el token de acceso a la API de MS Graph. Usa este token de acceso como valor del parámetro $AzureADAccessToken cuando ejecutes los comandos de PowerShell. No necesitas un token de acceso de Microsoft Entra si usas una cuenta de servicio de Microsoft Entra.

  3. Ejecuta el siguiente comando:

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    O, ejecuta lo siguiente si estás usando una cuenta de servicio de Microsoft Entra:

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Crear un grupo de seguridad dinámico de Microsoft Entra bajo un grupo de seguridad asignado de Microsoft Entra ID existente

Puedes crear un grupo de seguridad dinámico de Microsoft Entra bajo un grupo de seguridad asignado de Microsoft Entra ID existente. Puedes hacer lo siguiente:

  • Obtener información del grupo de seguridad.
  • Obtener todos los grupos de seguridad asignados de Microsoft Entra ID que están sincronizados desde un servidor AD local o los grupos de seguridad asignados a los que se pueden asignar roles de Microsoft Entra.
  • Obtener todos los grupos de seguridad dinámicos de Microsoft Entra.
  • Agregar el grupo de seguridad dinámico de Microsoft Entra como miembro del grupo asignado de Microsoft Entra ID.
  • Quitar la pertenencia entre el grupo de seguridad dinámico de Microsoft Entra y el grupo de seguridad asignado de Microsoft Entra ID cuando el grupo de seguridad dinámico de Microsoft Entra se elimina junto con el catálogo de máquinas.

También puedes ver mensajes de error explícitos cuando alguna de las operaciones falla.

Requisito:

Debes tener el token de acceso a la API de MS Graph cuando ejecutes los comandos de PowerShell. No necesitas un token de acceso de Microsoft Entra si usas una cuenta de servicio de Microsoft Entra. Por lo tanto, en lugar de -AccessToken <token>, usa ServiceAccountUid <service account uid>.

Para obtener el token de acceso:

  1. Abre Microsoft Graph Explorer e inicia sesión en Microsoft Entra ID.
  2. Asegúrate de tener consentimiento para los permisos Group.ReadWrite.All y GroupMember.ReadWrite.All.
  3. Obtén el token de acceso de Microsoft Graph Explorer. Usa este token de acceso cuando ejecutes los comandos de PowerShell.

Para obtener información del grupo de seguridad por ID de grupo:

  1. Obtén el token de acceso.
  2. Encuentra el ID de objeto del grupo en el portal de Azure.

  3. Ejecuta el siguiente comando de PowerShell en la consola de PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token> -GroupId <GroupUid>
<!--NeedCopy-->

    O, ejecuta lo siguiente si estás usando una cuenta de servicio de Microsoft Entra:

    Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>
<!--NeedCopy-->

Para obtener grupos de seguridad por nombre para mostrar del grupo:

  1. Obtén el token de acceso.

  2. Ejecuta el siguiente comando de PowerShell en la consola de PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Name <TargetGroupDisplayName>
<!--NeedCopy-->

    O, ejecuta lo siguiente si estás usando una cuenta de servicio de Microsoft Entra:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Name <TargetGroupDisplayName>
<!--NeedCopy-->

Para obtener grupos de seguridad cuyo nombre para mostrar contiene una subcadena:

  1. Obtén el token de acceso.

  2. Ejecuta el siguiente comando de PowerShell en la consola de PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-SearchString <displayNameSubString>
<!--NeedCopy-->

    O, ejecuta lo siguiente si estás usando una cuenta de servicio de Microsoft Entra:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-SearchString <displayNameSubString>
<!--NeedCopy-->

Para obtener todos los grupos de seguridad asignados de Microsoft Entra ID que se sincronizan desde el servidor de AD local o los grupos de seguridad asignados a los que se pueden asignar roles de Microsoft Entra:

  1. Obtén el token de acceso.

  2. Ejecuta el siguiente comando de PowerShell en la consola de PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
<!--NeedCopy-->

    O bien, ejecuta lo siguiente si usas una cuenta de servicio de Microsoft Entra:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
<!--NeedCopy-->

Para obtener todos los grupos de seguridad dinámicos de Microsoft Entra:

  1. Obtén el token de acceso.

  2. Ejecuta el siguiente comando de PowerShell en la consola de PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Dynamic true
<!--NeedCopy-->

    O bien, ejecuta lo siguiente si usas una cuenta de servicio de Microsoft Entra:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Dynamic true
<!--NeedCopy-->

Para obtener grupos de seguridad asignados de Microsoft Entra ID con el recuento máximo de registros:

  1. Obtén el token de acceso.

  2. Ejecuta el siguiente comando de PowerShell en la consola de PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
-MaxRecordCount 10
<!--NeedCopy-->

    O bien, ejecuta lo siguiente si usas una cuenta de servicio de Microsoft Entra:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
-MaxRecordCount 10
<!--NeedCopy-->

Para agregar un grupo de seguridad dinámico de Microsoft Entra como miembro de un grupo de seguridad asignado de Microsoft Entra ID:

  1. Obtén el token de acceso.

  2. Ejecuta el siguiente comando de PowerShell en la consola de PowerShell:

    Add-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>
<!--NeedCopy-->

    O bien, ejecuta lo siguiente si usas una cuenta de servicio de Microsoft Entra:

    Add-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>
<!--NeedCopy-->

Para obtener los miembros del grupo de seguridad asignado de Microsoft Entra ID:

  1. Obtén el token de acceso.

  2. Ejecuta el siguiente comando de PowerShell en la consola de PowerShell:

    Get-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
<!--NeedCopy-->

    O bien, ejecuta lo siguiente si usas una cuenta de servicio de Microsoft Entra:

    Get-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
<!--NeedCopy-->

    Nota:

    Get-AcctAzureADSecurityGroupMember solo te proporciona los miembros directos del tipo de grupo de seguridad en el grupo de seguridad asignado de Microsoft Entra ID.

Para quitar la pertenencia entre el grupo de seguridad dinámico de Microsoft Entra y el grupo de seguridad asignado de Microsoft Entra ID cuando el grupo de seguridad dinámico de Microsoft Entra se elimina junto con el catálogo de máquinas:

  1. Obtén el token de acceso.

  2. Ejecuta el siguiente comando de PowerShell en la consola de PowerShell:

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    O bien, ejecuta lo siguiente si usas una cuenta de servicio de Microsoft Entra:

    Remove-AcctIdentityPool
-ServiceAccountUid <guid>
-IdentityPoolName "SecurityGroupCatalog"
<!--NeedCopy-->

Modificar el nombre del grupo de seguridad dinámico de Microsoft Entra

Puedes modificar el nombre del grupo de seguridad dinámico de Microsoft Entra asociado a un catálogo de máquinas. Esta modificación hace que la información del grupo de seguridad almacenada en el objeto del grupo de identidades de Microsoft Entra sea coherente con la información almacenada en el portal de Azure.

Nota:

Los grupos de seguridad dinámicos de Microsoft Entra no incluyen grupos de seguridad sincronizados desde AD local ni otros tipos de grupos como los grupos de Office 365.

Puedes modificar el nombre del grupo de seguridad dinámico de Microsoft Entra mediante comandos de Studio y PowerShell.

Para modificar el nombre del grupo de seguridad dinámico de Microsoft Entra mediante PowerShell:

  1. Abre la ventana de PowerShell.
  2. Ejecuta asnp citrix* para cargar los módulos de PowerShell específicos de Citrix.
  3. Ejecuta el comando Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name].

Recibirás mensajes de error apropiados si no se puede modificar el nombre del grupo de seguridad dinámico de Microsoft Entra.

Más información

Grupo de identidades de máquinas unidas a Microsoft Entra
March 25, 2026
Contribución de: 
C C
March 25, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.