Citrix DaaS

Grupo de identidades de la identidad de máquina unida a Azure Active Directory

September 23, 2025

Contribución de:

C C

En este artículo se describe cómo crear un grupo de identidades de máquinas unidas a Azure Active Directory mediante Citrix DaaS.

Nota: No

En julio de 2023, Microsoft cambió el nombre de Azure Active Directory (Azure AD) a Microsoft Entra ID. En este documento, cualquier referencia a Azure Active Directory, Azure AD o AAD ahora hace referencia a Microsoft Entra ID.

Para obtener información sobre los requisitos, las limitaciones y los aspectos a tener en cuenta, consulte Unidos a Azure Active Directory.

Antes de crear el catálogo de máquinas, necesita lo siguiente:

Nueva ubicación de recursos
- Vaya a la interfaz de usuario de la administración de Citrix Cloud > menú de tres líneas de la parte superior izquierda > Ubicaciones de recursos.
- Haga clic en + Ubicación de recursos.
- Escriba un nombre para nueva la ubicación de recursos y haga clic en Guardar.
Cree una conexión de host. Consulte la sección Crear y administrar conexiones para obtener información detallada. Al implementar máquinas en Azure, consulte Conexión con Azure Resource Manager.

Puede crear catálogos unidos a Azure AD mediante Studio o PowerShell.

Usar Studio

La información siguiente complementa a las instrucciones del artículo Crear catálogos de máquinas. Para crear catálogos unidos a Azure AD, siga las instrucciones generales de ese artículo y tenga en cuenta los detalles específicos sobre los catálogos unidos a Azure AD.

En el asistente para la creación de catálogos:

En la página Imagen:
- Seleccione 2106 o una versión posterior como nivel funcional.
- Seleccione Usar un perfil de máquina y seleccione la máquina correspondiente de la lista.
En la página Identidades de máquinas:
- Seleccione Unido a Azure Active Directory. Las máquinas creadas son propiedad de una organización, en las que se ha iniciado sesión con una cuenta de Azure AD que pertenece a esa organización. Solo existen en la nube.
  Nota: No
  - El tipo de identidad Unido a Azure Active Directory requiere la versión 2106 o una posterior como nivel funcional mínimo para el catálogo.
  - Las máquinas se unen al dominio de Azure AD asociado al arrendatario al que está vinculada la conexión de host.
- Click Select service account and select an available service account from the list. If a suitable service account is not available for the Azure AD tenant that the machine identities will join to, you can create a service account. For information on service account, see Azure AD service accounts.
```
  > **Note:**
  >
  > The service account that you selected might be in an unhealthy status due to various reasons.   You can go to **Administrators > Service Accounts** to [view details](/en-us/citrix-daas/install-configure/manage-service-accounts#view-service-account-details) and fix the issues according to the recommendations.   Alternatively, you can proceed with the machine catalog operation and fix the issues later.   If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.
```
Los usuarios deben tener acceso explícito en Azure para iniciar sesión en las máquinas con sus credenciales de AAD. Consulte la sección Unidos a Azure Active Directory para obtener más detalles.

Modificar la asociación de las cuentas de servicio

Para cambiar la cuenta de servicio asociada o agregar una asociación a un catálogo de máquinas de MCS, use la página Modificar catálogo de máquinas.

Para agregar una cuenta de servicio, haga clic en Seleccionar cuenta de servicio en la página Cuenta de servicio.
Para cambiar la asociación de una cuenta de servicio, haga clic en el icono de modificación en la página Cuenta de servicio.

Usar PowerShell

Estos son los pasos en PowerShell equivalentes a las operaciones en Studio.

La diferencia entre los catálogos unidos a AD local y los unidos a Azure AD radica en la creación del grupo de identidades y el esquema de aprovisionamiento.

Debe asociar una cuenta de servicio de Azure AD al grupo de identidades y, a continuación, crear el catálogo de máquinas. Puede crear un nuevo grupo de identidades o actualizar un grupo de identidades existente para asociarlo a una cuenta de servicio.

Por ejemplo: Para crear un nuevo grupo de identidades y asociarlo a una cuenta de servicio, ejecute lo siguiente:

  New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Por ejemplo: Para actualizar un grupo de identidades existente y asociarlo a una cuenta de servicio, ejecute lo siguiente:

  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
  Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Nota: No

$serviceAccountUid debe ser un UID válido de una cuenta de servicio de Azure AD.

Para crear un esquema de aprovisionamiento para catálogos unidos a Azure AD, se requiere el parámetro MachineProfile en New-ProvScheme. Por ejemplo:

  New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Para crear un catálogo de Azure AD mediante una imagen preparada. Por ejemplo:

  New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Ver el estado del proceso de unión a Azure AD

En Studio, el estado del proceso de unión a Azure AD es visible cuando las máquinas unidas a Azure AD de un grupo de entrega están encendidas. Para ver el estado, utilice Buscar para identificar esas máquinas y, a continuación, para cada una de ellas, compruebe la identidad de la máquina en la ficha Detalles del panel inferior. Esta información puede aparecer en Identidad de la máquina:

Unida a Azure AD
Aún no se ha unido a Azure AD

Nota: No

Si las máquinas no se hallan unidas a Azure AD, no se registran en el Delivery Controller. Su estado de registro aparece como Inicialización.

Además, mediante la interfaz de Studio, puede averiguar por qué las máquinas no están disponibles. Para ello, haga clic en una máquina del nodo Buscar, marque Registro en la ficha Detalles del panel inferior y, a continuación, lea el texto de ayuda para obtener información adicional.

Grupo de entrega

Consulte la sección Crear grupos de entrega para obtener información detallada.

Habilitar Rendezvous

Una vez creado el grupo de entrega, puede habilitar Rendezvous. Consulte Rendezvous V2 para obtener información detallada.

Solucionar problemas

Si las máquinas no logran unirse a Azure AD, haga lo siguiente:

Compruebe si la identidad administrada asignada del sistema está habilitada para las máquinas. Las máquinas aprovisionadas por MCS deben tener esta opción habilitada automáticamente. El proceso de unión a Azure AD falla sin una identidad administrada asignada por el sistema. Si la identidad administrada asignada por el sistema no está habilitada para máquinas aprovisionadas por MCS, es posible que se deba a lo siguiente:
- IdentityType del grupo de identidades asociado al esquema de aprovisionamiento no está establecido en AzureAD. Puede verificarlo ejecutando Get-AcctIdentityPool.
En el caso de catálogos que usan imágenes maestras con la versión 2206 o anterior de VDA, compruebe el estado de aprovisionamiento de la extensión AADLoginForWindows para las máquinas. Si la extensión AADLoginForWindows no existe, los posibles motivos son:
- IdentityType del grupo de identidades asociado al esquema de aprovisionamiento no está establecido en AzureAD. Puede verificarlo ejecutando Get-AcctIdentityPool.
- La directiva de Azure bloquea la instalación de la extensión AADLoginForWindows.
Para solucionar los errores de aprovisionamiento de la extensión AADLoginForWindows, puede comprobar los registros en C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows en la máquina aprovisionada por MCS.

Nota: No

MCS no se basa en la extensión AADLoginForWindows para unir una máquina virtual a Azure AD cuando usa una imagen maestra con la versión 2209 de VDA o posterior. En este caso, la extensión AADLoginForWindows no se instalará en la máquina aprovisionada por MCS. Por lo tanto, los registros de aprovisionamiento de la extensión AADLoginForWindows no se pueden recopilar.
Compruebe los registros de depuración y el estado de unión a Azure AD ejecutando el comando dsregcmd /status en la máquina aprovisionada por MCS.
Consulte los registros de eventos de Windows en Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos del usuario.
Compruebe si la administración de dispositivos de Azure AD está correctamente configurada ejecutando Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName}.

Compruebe que el valor de:
- La propiedad AzureAdDeviceManagement en CustomProperties es true
- La propiedad Citrix_MCS_AzureAdDeviceManagement_PermissionGranted en los metadatos es true
Si Citrix_MCS_AzureAdDeviceManagement_PermissionGranted es false, indica que la instancia de ServicePrincipal de la aplicación usada por la conexión de host no cuenta con los permisos suficientes para realizar la administración de dispositivos de Azure AD. Para resolver este problema, asigne a ServicePrincipal el rol Administrador de dispositivos en la nube.

Grupo de seguridad dinámico de Azure Active Directory

Las reglas de los grupos dinámicos colocan las máquinas virtuales del catálogo en un grupo de seguridad dinámico según el esquema de nomenclatura del catálogo de máquinas.

Si el esquema de nomenclatura del catálogo de máquinas es Test### (donde # representa un número), Citrix crea la regla de pertenencia dinámica ^Test[0-9]{3}$ en el grupo de seguridad dinámico. Si el nombre de la máquina virtual creada por Citrix está entre Test001 y Test999, la máquina virtual se incluye en el grupo de seguridad dinámico.

Nota: No

Si el nombre de la máquina virtual que creó manualmente está entre Test001 y Test999, la máquina virtual también se incluye en el grupo de seguridad dinámico. Esta es una de las limitaciones del grupo de seguridad dinámico.

La funcionalidad de grupo de seguridad dinámico es útil cuando quiere administrar las máquinas virtuales con Azure Active Directory (Azure AD). También es útil cuando quiere aplicar directivas de acceso condicional o distribuir aplicaciones desde Intune filtrando las máquinas virtuales con un grupo de seguridad dinámico de Azure AD.

Puede usar los comandos de PowerShell para:

Crear un catálogo de máquinas con un grupo de seguridad dinámico de Azure AD
Habilitar la funcionalidad de grupo de seguridad para un catálogo de Azure AD
Eliminar un catálogo de máquinas con un grupo de seguridad de dispositivos unido a Azure AD

Importante:

Para crear un catálogo de máquinas con un grupo de seguridad dinámico de Azure AD, agregar máquinas al catálogo y eliminar el catálogo de máquinas, debe tener un token de acceso a Azure AD. Para recibir información sobre cómo obtener el token de acceso de Azure AD, consulte https://docs.microsoft.com/en-us/graph/graph-explorer/graph-explorer-features#consent-to-permissions/.

Para solicitar un token de acceso en Azure AD, Citrix solicita el permiso Group.ReadWrite.All para la API de Microsoft Graph. Un usuario de Azure AD que tenga el permiso de consentimiento del administrador para todo el arrendatario puede conceder el permiso Group.ReadWrite.All para la API de Microsoft Graph. Para obtener información sobre cómo conceder el consentimiento de administrador para todos el arrendatario a una aplicación en Azure Active Directory (Azure AD), consulte el documento de Microsoft https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/grant-admin-consent/.

No necesita un token de acceso de Azure AD si usa una cuenta de servicio de Azure AD. Para obtener información sobre las cuentas de servicio, consulte Cuentas de servicio para la administración de identidades de máquina.

Crear un catálogo de máquinas con un grupo de seguridad dinámico de Azure AD

En la interfaz de usuario para configuración del catálogo de máquinas de la consola web, en la página Identidades de las máquinas, seleccione Unido a Azure Active Directory.
Inicie sesión en Azure AD.
Obtenga el token de acceso a la API de MS Graph. Use este token de acceso como valor del parámetro $AzureADAccessToken cuando ejecute los comandos de PowerShell. No necesita un token de acceso de Azure AD si usa una cuenta de servicio de Azure AD.

Ejecute el siguiente comando para comprobar si el nombre del grupo de seguridad dinámico existe en el arrendatario.

  Get-AcctAzureADSecurityGroup
  –AccessToken  $AzureADAccessToken
  –Name "SecurityGroupName"
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"
<!--NeedCopy-->

Cree un catálogo de máquinas con el ID de arrendatario, el token de acceso y el grupo de seguridad dinámico. Ejecute el siguiente comando para crear un grupo de identidades (IdentityPool) con IdentityType=AzureAD y crear un grupo de seguridad dinámico en Azure.

  New-AcctIdentityPool
  -AllowUnicode
  -IdentityPoolName "SecurityGroupCatalog"
  -NamingScheme "SG-VM-###"
  -NamingSchemeType "Numeric" -Scope @()
  -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
  -WorkgroupMachine
  -IdentityType "AzureAD"
  -DeviceManagementType "None"
  -AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupName "SecurityGroupName"
  -AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Habilitar la funcionalidad de grupo de seguridad para un catálogo de Azure AD

Puede habilitar la funcionalidad de seguridad dinámica para un catálogo de Azure AD que se haya creado sin la funcionalidad grupo de seguridad dinámico habilitada. Para hacer esto:

Cree manualmente un nuevo grupo de seguridad dinámico. También puede reutilizar un grupo de seguridad dinámico existente.
Inicie sesión en Azure AD y obtenga el token de acceso a la API de MS Graph. Use este token de acceso como valor del parámetro $AzureADAccessToken cuando ejecute los comandos de PowerShell.
Nota: No
- Para obtener información sobre los permisos que necesita el usuario de Azure AD, consulte https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/grant-admin-consent#prerequisites/.
- No necesita un token de acceso de Azure AD si usa una cuenta de servicio de Azure AD.

Ejecute el siguiente comando para conectar el grupo de identidades al grupo de seguridad dinámico de Azure AD creado.

  Set-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupNam "ExistingSecurityGroupName"
  -AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Set-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupNam "ExistingSecurityGroupName"
  -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Si actualiza el esquema de nomenclatura, Citrix lo actualizará con una nueva regla de pertenencia. Si elimina el catálogo, se eliminará la regla de pertenencia, y no el grupo de seguridad.

Eliminar un catálogo de máquinas con un grupo de seguridad de dispositivos unido a Azure AD

Al eliminar un catálogo de máquinas, también se elimina el grupo de seguridad de dispositivos unido a Azure AD.

Para eliminar el grupo de seguridad dinámico de Azure AD, haga lo siguiente:

Inicie sesión en Azure AD.
Obtenga el token de acceso a la API de MS Graph. Use este token de acceso como valor del parámetro $AzureADAccessToken cuando ejecute los comandos de PowerShell. No necesita un token de acceso de Azure AD si usa una cuenta de servicio de Azure AD.

Ejecute este comando:

  Remove-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Remove-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Crear un grupo de seguridad dinámico de Azure AD bajo un grupo de seguridad asignado de Azure AD existente

Puede crear un grupo de seguridad dinámico de Azure AD bajo un grupo de seguridad asignado de Azure AD existente. Puede realizar lo siguiente:

Obtener información del grupo de seguridad.
Obtener todos los grupos de seguridad asignados de Azure AD que se sincronizan desde el servidor de AD local o los grupos de seguridad asignados a los que se pueden asignar roles de Azure AD.
Obtener todos los grupos de seguridad dinámicos de Azure AD.
Agregue el grupo de seguridad dinámico de Azure AD como miembro del grupo asignado de Azure AD.
Eliminar la pertenencia entre el grupo de seguridad dinámico de Azure AD y el grupo de seguridad asignado de Azure AD al eliminar el grupo de seguridad dinámico de Azure AD junto con el catálogo de máquinas.

También puede ver mensajes de error explícitos cuando se produce un error en alguna de las operaciones.

Requisito:

Debe tener el token de acceso a la API de MS Graph al ejecutar los comandos de PowerShell. No necesita un token de acceso de Azure AD si usa una cuenta de servicio de Azure AD. Por lo tanto, en lugar de -AccessToken <token>, use ServiceAccountUid <service account uid>.

Para obtener el token de acceso:

Abra el explorador de Microsoft Graph e inicie sesión en Azure AD.
Debe contar con los permisos Group.ReadWrite.all y GroupMember.ReadWrite.all.
Obtenga el token de acceso del explorador de Microsoft Graph. Utilice este token de acceso cuando ejecute los comandos de PowerShell.

Para obtener información del grupo de seguridad por ID de grupo:

Obtenga el token de acceso.
Busque el ID del objeto de grupo en el portal de Azure.

Ejecute el siguiente comando de PowerShell en la consola de PowerShell:

  Get-AcctAzureADSecurityGroup
  -AccessToken <token> -GroupId <GroupUid>
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>
<!--NeedCopy-->

Para obtener grupos de seguridad por nombre simplificado del grupo:

Obtenga el token de acceso.

Ejecute el siguiente comando de PowerShell en la consola de PowerShell:

  Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -Name <TargetGroupDisplayName>
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -Name <TargetGroupDisplayName>
<!--NeedCopy-->

Para obtener grupos de seguridad cuyo nombre simplificado contiene una subcadena:

Obtenga el token de acceso.

Ejecute el siguiente comando de PowerShell en la consola de PowerShell:

  Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -SearchString <displayNameSubString>
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -SearchString <displayNameSubString>
<!--NeedCopy-->

Para obtener todos los grupos de seguridad asignados de Azure AD que se sincronizan desde el servidor de AD local o los grupos de seguridad asignados a los que se pueden asignar roles de Azure AD:

Obtenga el token de acceso.

Ejecute el siguiente comando de PowerShell en la consola de PowerShell:

  Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -Assigned true
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -Assigned true
<!--NeedCopy-->

Para obtener todos los grupos de seguridad dinámicos de Azure AD:

Obtenga el token de acceso.

Ejecute el siguiente comando de PowerShell en la consola de PowerShell:

  Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -Dynamic true
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -Dynamic true
<!--NeedCopy-->

Para obtener los grupos de seguridad asignados de Azure AD con un recuento máximo de registros:

Obtenga el token de acceso.

Ejecute el siguiente comando de PowerShell en la consola de PowerShell:

  Get-AcctAzureADSecurityGroup
  -AccessToken <token>
  -Assigned true
  -MaxRecordCount 10
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Get-AcctAzureADSecurityGroup
  -ServiceAccountUid <guid>
  -Assigned true
  -MaxRecordCount 10
<!--NeedCopy-->

Para agregar un grupo de seguridad dinámico de Azure AD como miembro del grupo de seguridad asignado de Azure AD:

Obtenga el token de acceso.

Ejecute el siguiente comando de PowerShell en la consola de PowerShell:

  Add-AcctAzureADSecurityGroupMember
  -AccessToken <token>
  -GroupId <ASG-Id>
  -RefGroupId <DSG-Id>
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Add-AcctAzureADSecurityGroupMember
  -ServiceAccountUid <guid>
  -GroupId <ASG-Id>
  -RefGroupId <DSG-Id>
<!--NeedCopy-->

Para obtener los miembros del grupo de seguridad asignado de Azure AD:

Obtenga el token de acceso.
Ejecute el siguiente comando de PowerShell en la consola de PowerShell:
```
  Get-AcctAzureADSecurityGroupMember
  -AccessToken <token>
  -GroupId <ASG-Id>

```
O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:
```
  Get-AcctAzureADSecurityGroupMember
  -ServiceAccountUid <guid>
  -GroupId <ASG-Id>

```
Nota: No

Get-AcctAzureADSecurityGroupMember le proporciona únicamente los miembros directos del grupo de seguridad situado bajo el grupo de seguridad asignado de Azure AD.

Para eliminar la pertenencia entre el grupo de seguridad dinámico de Azure AD y el grupo de seguridad asignado de Azure AD al eliminar el grupo de seguridad dinámico de Azure AD junto con el catálogo de máquinas:

Obtenga el token de acceso.

Ejecute el siguiente comando de PowerShell en la consola de PowerShell:

  Remove-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

O bien, ejecute lo siguiente si está usando una cuenta de servicio de Azure AD:

  Remove-AcctIdentityPool
  -ServiceAccountUid <guid>
  -IdentityPoolName "SecurityGroupCatalog"
<!--NeedCopy-->

Modificar el nombre del grupo de seguridad dinámico de Azure AD

Se puede modificar el nombre del grupo de seguridad dinámico de Azure AD asociado a un catálogo de máquinas. Esta modificación hace que la información del grupo de seguridad almacenada en el objeto del grupo de identidades de Azure AD sea coherente con la información almacenada en Azure Portal.

Nota: No

Los grupos de seguridad dinámicos de Azure AD no incluyen los grupos de seguridad sincronizados desde instancias de AD locales ni otros tipos de grupos, como el grupo de Office 365.

Puede modificar el nombre del grupo de seguridad dinámico de Azure AD mediante los comandos de Studio y PowerShell.

Para modificar el nombre del grupo de seguridad dinámico de Azure AD mediante PowerShell:

Abra la ventana de PowerShell.
Ejecute asnp citrix* para cargar los módulos de PowerShell específicos de Citrix.
Ejecute el comando Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name].

Si no se puede modificar el nombre del grupo de seguridad dinámico de Azure AD, recibirá los mensajes de error correspondientes.

Más información

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Grupo de identidades de la identidad de máquina unida a Azure Active Directory

September 23, 2025

Contribución de:

C C

September 23, 2025

Contribución de:

C C

En este artículo

Usar Studio
Usar PowerShell
Ver el estado del proceso de unión a Azure AD
Grupo de entrega
Habilitar Rendezvous
Solucionar problemas
Grupo de seguridad dinámico de Azure Active Directory
Crear un grupo de seguridad dinámico de Azure AD bajo un grupo de seguridad asignado de Azure AD existente
Modificar el nombre del grupo de seguridad dinámico de Azure AD
Más información

¿Le ha resultado útil?