-
Planificar y crear una implementación
-
Crear catálogos de máquinas de imágenes preparadas
-
Crear una imagen preparada para instancias administradas de Amazon WorkSpaces Core
-
Crear un catálogo de instancias administradas de Amazon WorkSpaces Core
-
Crear un catálogo de máquinas de imágenes preparadas en AWS EC2
-
Crear un catálogo de máquinas de imágenes preparadas en Azure
-
Crear un catálogo de máquinas de imágenes preparadas en Red Hat OpenShift
-
Crear un catálogo de máquinas de imágenes preparadas en VMware
-
Crear un catálogo de máquinas de imágenes preparadas en XenServer
-
-
-
Grupos de identidades de diferentes tipos de unión de identidad de máquina
-
Grupo de identidades de máquina unida a Active Directory local
-
Grupo de identidades de máquina unida a Microsoft Entra híbrida
-
Grupo de identidades de máquina habilitada para Microsoft Intune
-
-
Servicio de autoridad de emisión de tickets seguros (STA) de Citrix independiente
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Grupo de identidades de máquinas unidas a Microsoft Entra híbrido
Este artículo describe cómo crear un grupo de identidades de máquinas unidas a Microsoft Entra híbrido mediante Citrix DaaS.
Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulta Unión a Microsoft Entra híbrido.
Usar Studio
La siguiente información complementa la guía en Crear catálogos de máquinas. Para crear catálogos unidos a Microsoft Entra híbrido, sigue las instrucciones generales de ese artículo, teniendo en cuenta los detalles específicos de los catálogos unidos a Microsoft Entra híbrido.
En el asistente de creación de catálogos:
-
En la página Identidades de máquina:
- Selecciona el tipo de identidad como Unión a Microsoft Entra híbrido.
-
Selecciona una opción de cuenta de Active Directory:
-
Crear nuevas cuentas de Active Directory:
- Si seleccionas Crear nuevas cuentas de Active Directory y usas un grupo de identidades existente para crear nuevas cuentas, selecciona un dominio para esas cuentas y especifica un esquema de nombres de cuenta.
- Si seleccionas Crear nuevas cuentas de Active Directory y usas un grupo de identidades existente para crear nuevas cuentas, selecciona un grupo de identidades de la lista.
- Usar cuentas de Active Directory existentes: Puedes explorar o importar desde un archivo CSV, y restablecer la contraseña o especificar la misma contraseña para todas las cuentas.
-
Crear nuevas cuentas de Active Directory:
- Haz clic en Siguiente.
-
En la página Credenciales de dominio, selecciona una cuenta de servicio o introduce las credenciales manualmente. El grupo de identidades unido a Microsoft Entra híbrido también se puede asociar a una cuenta de servicio de AD local. Para obtener información sobre las cuentas de servicio, consulta Cuentas de servicio de Active Directory local.
Usar PowerShell
Los siguientes pasos de PowerShell son equivalentes a las operaciones en Studio.
La diferencia entre los catálogos unidos a AD local y los unidos a Microsoft Entra híbrido radica en la creación del grupo de identidades y las cuentas de máquina.
Crear un nuevo grupo de identidades
Por ejemplo: Para crear un grupo de identidades junto con las cuentas para catálogos unidos a Microsoft Entra híbrido:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
Nota:
La variable
$passwordes la contraseña correspondiente a una cuenta de usuario de AD con permisos de escritura.
Todos los demás comandos utilizados para crear catálogos unidos a Microsoft Entra híbrido son los mismos que para los catálogos tradicionales unidos a AD local.
También puedes asociar una cuenta de servicio local a un catálogo de máquinas creado por MCS asociando una cuenta de servicio local al grupo de identidades. Puedes crear un grupo de identidades o actualizar uno existente para asociarlo a una cuenta de servicio.
Por ejemplo: Para crear un nuevo grupo de identidades y asociarlo a una cuenta de servicio, ejecuta lo siguiente:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
Por ejemplo: Para crear un nuevo grupo de identidades con atributos de extensión especificados y asociarlo a una cuenta de servicio, ejecuta lo siguiente:
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Cuando una máquina virtual se enciende por primera vez, después de unirse a Microsoft Entra ID, la máquina virtual informa a MCS de su Entra ID deviceId.
Por ejemplo: Para comprobar el EntraIDDeviceID, ejecuta Get-AcctADAccount o Get-AcctIdentity.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
Después de reiniciar, para las máquinas virtuales persistentes y no persistentes, el EntraIDDeviceID sigue siendo el mismo.
Nota:
MCS quita automáticamente los ID de dispositivo y los atributos de extensión asociados cuando eliminas una máquina virtual del catálogo, pero no la eliminas de Azure.
Actualizar un grupo de identidades existente
Por ejemplo: Para actualizar un grupo de identidades existente y asociarlo a una cuenta de servicio, ejecuta lo siguiente:
$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
Nota:
La variable
$serviceAccountUiddebe ser un UID válido de una cuenta de servicio de Active Directory local.
Por ejemplo: Para modificar los atributos de extensión del catálogo existente, ejecuta lo siguiente:
Nota:
- Después de actualizar las máquinas virtuales del catálogo existente a la versión 2511 o posterior de VDA, es necesario reiniciar. Este reinicio permite que la máquina virtual informe a MCS de su Entra ID deviceId, lo que permite a MCS configurar los atributos de extensión de la máquina virtual.
- El catálogo existente debe tener una cuenta de servicio de tipo AzureAD con el permiso “Device.ReadWrite.All”.
Para agregar algunos atributos nuevos:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Para quitar algunos atributos existentes:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
O BIEN
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool también actualiza los atributos de extensión del dispositivo Entra ID para las máquinas virtuales que ya están unidas a Entra ID y poseen un valor EntraIDDeviceID dentro de sus identidades.
Crear un catálogo de Microsoft Entra híbrido
También puedes crear un catálogo de Microsoft Entra híbrido mediante una imagen preparada. Para ver el conjunto completo de comandos de PowerShell para crear la definición de imagen, la versión de imagen y la especificación de versión de imagen preparada, consulta:
-
Entorno de virtualización de Azure: Usar PowerShell.
-
Entorno de virtualización de VMware: Usar PowerShell
Después de crear la especificación de versión de imagen preparada, crea el grupo de identidades y el catálogo de máquinas. Por ejemplo:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Ver el estado del proceso de unión a Microsoft Entra híbrido
En Studio, el estado del proceso de unión a Microsoft Entra híbrido es visible cuando las máquinas unidas a Microsoft Entra híbrido en un grupo de entrega están en estado de encendido. Para ver el estado, usa Buscar para identificar esas máquinas y, a continuación, comprueba la Identidad de máquina en la ficha Detalles del panel inferior. La siguiente información puede aparecer en Identidad de máquina:
- Unión a Microsoft Entra híbrido
- Aún no unido a Microsoft Entra ID
Nota:
- Es posible que experimentes un retraso en la unión a Microsoft Entra híbrido cuando la máquina se enciende inicialmente. Esto se debe al intervalo de sincronización predeterminado de la identidad de la máquina (30 minutos de Microsoft Entra Connect). La máquina solo está en estado de unión a Microsoft Entra híbrido después de que las identidades de la máquina se sincronicen con Microsoft Entra ID a través de Microsoft Entra Connect.
- Si las máquinas no logran estar en estado de unión a Microsoft Entra híbrido, no se registran con el Delivery Controller. Su estado de registro aparece como Inicialización.
Además, con Studio, puedes saber por qué las máquinas no están disponibles. Para ello, haz clic en una máquina en el nodo Buscar, comprueba Registro en la ficha Detalles del panel inferior y, a continuación, lee la información sobre herramientas para obtener información adicional.
Solucionar problemas
Si las máquinas no logran unirse a Microsoft Entra híbrido, haz lo siguiente:
-
Comprueba si la cuenta de máquina se ha sincronizado con Microsoft Entra ID a través del portal de Microsoft Entra. Si se ha sincronizado, aparece Aún no unido a Microsoft Entra ID, lo que indica un estado de registro pendiente.
Para sincronizar las cuentas de máquina con Microsoft Entra ID, asegúrate de que:
- La cuenta de máquina está en la OU configurada para sincronizarse con Microsoft Entra ID. Las cuentas de máquina sin el atributo userCertificate no se sincronizan con Microsoft Entra ID, incluso si están en la OU configurada para sincronizarse.
- El atributo userCertificate se rellena en la cuenta de máquina. Usa el Explorador de Active Directory para ver el atributo.
- Microsoft Entra Connect debe haberse sincronizado al menos una vez después de crear la cuenta de máquina. Si no es así, ejecuta manualmente el comando
Start-ADSyncSyncCycle -PolicyType Deltaen la consola de PowerShell de la máquina de Microsoft Entra Connect para activar una sincronización inmediata.
-
Comprueba si el par de claves del dispositivo administrado por Citrix para la unión híbrida a Microsoft Entra se ha enviado correctamente a la máquina consultando el valor de DeviceKeyPairRestored en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.
Verifica que el valor sea 1. Si no es así, las posibles razones son:
-
IdentityTypedel grupo de identidades asociado al esquema de aprovisionamiento no está establecido enHybridAzureAD. Puedes verificarlo ejecutandoGet-AcctIdentityPool. - La máquina no está aprovisionada usando el mismo esquema de aprovisionamiento del catálogo de máquinas.
- La máquina no está unida al dominio local. La unión al dominio local es un requisito previo para la unión híbrida a Microsoft Entra.
-
-
Comprueba los mensajes de diagnóstico ejecutando el comando
dsregcmd /status /debugen la máquina aprovisionada por MCS.- Si la unión híbrida a Microsoft Entra es correcta, AzureAdJoined y DomainJoined son YES en la salida de la línea de comandos.
- Si no es así, consulta la documentación de Microsoft para solucionar los problemas: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
-
Si recibes el mensaje de error Mensaje del servidor: No se encuentra el certificado de usuario en el dispositivo con ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, ejecuta el siguiente comando de PowerShell para reparar el certificado de usuario:
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->
Para obtener más información sobre el problema del certificado de usuario, consulta CTX566696.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.