Grupo de identidades de máquinas habilitadas para Microsoft Intune
Este artículo describe cómo crear un grupo de identidades de máquinas habilitadas para Microsoft Intune usando Citrix DaaS.
Puedes crear:
- Catálogos unidos a Microsoft Entra inscritos en Microsoft Intune para máquinas virtuales persistentes y no persistentes, de sesión única y multisesión. Para crear catálogos, consulta Crear catálogos de Microsoft Entra inscritos en Microsoft Intune.
- Catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune para máquinas virtuales persistentes de sesión única y multisesión que usan credenciales de dispositivo con capacidad de cogestión. Para crear catálogos, consulta Crear catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune. También puedes crear catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune para máquinas virtuales no persistentes de sesión única y multisesión. Sin embargo, esta función se encuentra actualmente en versión preliminar. Consulta Inscripción de máquinas virtuales no persistentes unidas a Hybrid Entra ID en Microsoft Intune.
Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulta Microsoft Intune.
Crear catálogos de Microsoft Entra inscritos en Microsoft Intune
Puedes crear catálogos de Microsoft Entra inscritos en Microsoft Intune para máquinas virtuales persistentes y no persistentes usando Studio y PowerShell.
Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulta:
- Requisitos para catálogos unidos a Microsoft Entra inscritos en Microsoft Intune
- Limitaciones para catálogos unidos a Microsoft Entra inscritos en Microsoft Intune
Usar Studio
La siguiente información complementa la guía de Crear catálogos de máquinas.
En el asistente de creación de catálogos:
-
En la página Identidades de máquina:
- Selecciona Unido a Microsoft Entra y, a continuación, Inscribir las máquinas en Microsoft Intune. Si está habilitado, inscribe las máquinas en Microsoft Intune para su administración. Puedes crear catálogos unidos a Microsoft Entra inscritos en Microsoft Intune para máquinas virtuales persistentes y no persistentes de sesión única y multisesión. Sin embargo, para las máquinas virtuales no persistentes, debes tener la versión de VDA 2407 o posterior.
-
Haz clic en Seleccionar cuenta de servicio y selecciona una cuenta de servicio disponible de la lista. Si no hay una cuenta de servicio adecuada disponible para el inquilino de Microsoft Entra al que se unirán las identidades de máquina, puedes crear una cuenta de servicio. Para obtener información sobre las cuentas de servicio, consulta Cuentas de servicio de Microsoft Entra.
Nota:
La cuenta de servicio que seleccionaste podría estar en un estado no saludable debido a varias razones. Puedes ir a Administradores > Cuentas de servicio para ver los detalles y solucionar los problemas según las recomendaciones. Alternativamente, puedes continuar con la operación del catálogo de máquinas y solucionar los problemas más tarde. Si no solucionas el problema, se generarán dispositivos unidos a Microsoft Entra o inscritos en Microsoft Intune obsoletos que pueden bloquear la unión de las máquinas a Microsoft Entra.
Usar PowerShell
Los siguientes son los pasos de PowerShell equivalentes a las operaciones en Studio.
Para inscribir máquinas en Microsoft Intune usando el SDK de PowerShell remoto, usa el parámetro DeviceManagementType en New-AcctIdentityPool. Esta función requiere que el catálogo esté unido a Microsoft Entra y que Microsoft Entra ID posea la licencia correcta de Microsoft Intune. Por ejemplo:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Por ejemplo: Para crear un nuevo grupo de identidades con atributos de extensión especificados y asociarlo a una cuenta de servicio, ejecuta lo siguiente:
New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Cuando una máquina virtual se enciende por primera vez, después de unirse a Microsoft Entra ID, la máquina virtual informa su deviceId de Entra ID a MCS.
Por ejemplo: Para comprobar el EntraIDDeviceID, ejecuta Get-AcctADAccount o Get-AcctIdentity.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
Después de reiniciar, para las máquinas virtuales persistentes, el EntraIDDeviceID permanece igual. Para las máquinas virtuales no persistentes, hay un nuevo EntraIDDeviceID después de cada reinicio.
Nota:
MCS elimina automáticamente los atributos de extensión asociados cuando quitas una máquina virtual del catálogo, pero no la eliminas de Azure.
Por ejemplo: Para modificar los atributos de extensión del catálogo existente, ejecuta lo siguiente:
Nota:
- Después de actualizar las máquinas virtuales del catálogo existente a la versión VDA 2511 o posterior, es necesario reiniciar. Este reinicio permite que la máquina virtual informe su deviceId de Entra ID a MCS, lo que permite a MCS configurar los atributos de extensión de la máquina virtual.
- El catálogo existente debe tener una cuenta de servicio de tipo AzureAD con el permiso “Device.ReadWrite.All”.
Para agregar nuevos atributos:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Para quitar algunos atributos existentes:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
O
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool también actualiza los atributos de extensión del dispositivo de Entra ID para las máquinas virtuales que ya están unidas a Entra ID y poseen un valor EntraIDDeviceID en sus identidades.
Por ejemplo: Para crear un catálogo de Microsoft Entra inscrito en Microsoft Intune utilizando una imagen preparada:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Solución de problemas
Si las máquinas no se inscriben en Microsoft Intune, haz lo siguiente:
-
Comprueba si las máquinas aprovisionadas por MCS están unidas a Microsoft Entra. Las máquinas no se inscribirán en Microsoft Intune si no están unidas a Microsoft Entra. Consulta Solución de problemas para solucionar problemas de unión a Microsoft Entra.
-
Comprueba si tu inquilino de Microsoft Entra tiene asignada la licencia de Intune adecuada. Consulta https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses para conocer los requisitos de licencia de Microsoft Intune.
-
Para los catálogos que utilizan imágenes maestras con la versión 2206 de VDA o anterior, comprueba el estado de aprovisionamiento de la extensión AADLoginForWindows para las máquinas. Si la extensión AADLoginForWindows no existe, las posibles razones son:
-
IdentityTypedel grupo de identidades asociado al esquema de aprovisionamiento no está establecido enAzureADoDeviceManagementTypeno está establecido enIntune. Puedes verificarlo ejecutandoGet-AcctIdentityPool. -
La política de Azure ha bloqueado la instalación de la extensión AADLoginForWindows.
-
-
Para solucionar problemas de aprovisionamiento de la extensión AADLoginForWindows, puedes consultar los registros en
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowsen la máquina aprovisionada por MCS.Nota:
MCS no depende de la extensión
AADLoginForWindowspara unir una MV a Microsoft Entra ID e inscribirla en Microsoft Intune cuando se utiliza una imagen maestra con la versión 2209 de VDA o posterior. En este caso, la extensiónAADLoginForWindowsno se instala en la máquina aprovisionada por MCS. Por lo tanto, no se pueden recopilar los registros de aprovisionamiento de la extensiónAADLoginForWindows. -
Consulta los registros de eventos de Windows en Registros de aplicaciones y servicios > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.
-
La cuenta de servicio que seleccionaste podría estar en un estado no saludable debido a varias razones. Puedes ir a Administradores > Cuentas de servicio para ver los detalles y solucionar los problemas según las recomendaciones. Si no solucionas el problema, se generarán dispositivos obsoletos unidos a Microsoft Entra o inscritos en Microsoft Intune que pueden bloquear la unión de las máquinas a Microsoft Entra.
Crear catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune
Puedes crear catálogos habilitados para la cogestión para catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune para máquinas virtuales persistentes de sesión única y multisesión. Puedes crear catálogos habilitados para la cogestión utilizando tanto Studio como PowerShell.
Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulta:
- Requisitos para catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune
- Limitaciones para catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune
Usar Studio
La siguiente información complementa la guía en Crear catálogos de máquinas.
En el asistente de Configuración del catálogo de máquinas:
- En la página Identidades de máquina, selecciona Unido a Microsoft Entra híbrido y luego Inscribir las máquinas en Microsoft Intune con Configuration Manager. Con esta acción, Configuration Manager y Microsoft Intune (es decir, cogestionados) administran las máquinas virtuales.
Usar PowerShell
Los siguientes son los pasos de PowerShell equivalentes a los pasos en Studio.
Para inscribir máquinas en Microsoft Intune con Configuration Manager utilizando el SDK de PowerShell remoto, usa el parámetro DeviceManagementType en New-AcctIdentityPool. Esta función requiere que el catálogo esté unido a Microsoft Entra híbrido y que Microsoft Entra ID posea la licencia correcta de Microsoft Intune.
La diferencia entre los catálogos unidos a Microsoft Entra híbridos y los habilitados para la cogestión radica en la creación del grupo de identidades. Por ejemplo:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Por ejemplo: Para crear un nuevo grupo de identidades con atributos de extensión especificados y asociarlo a una cuenta de servicio, ejecuta lo siguiente:
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Cuando una MV se enciende por primera vez, después de unirse a Microsoft Entra ID, la MV informa su deviceId de Entra ID a MCS.
Por ejemplo: Para comprobar el EntraIDDeviceID, ejecuta Get-AcctADAccount o Get-AcctIdentity.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
Después de reiniciar, para las máquinas virtuales persistentes y no persistentes, el EntraIDDeviceID permanece igual.
Nota:
MCS elimina automáticamente los ID de dispositivo asociados y los atributos de extensión cuando eliminas una MV del catálogo pero no la eliminas de Azure.
Para editar los atributos de extensión de un catálogo existente, por ejemplo, ejecuta lo siguiente:
Nota:
- Después de actualizar las máquinas virtuales del catálogo existente a la versión 2511 o posterior de VDA, es necesario reiniciar. Este reinicio permite a la VM informar de su
deviceIdde Entra ID a MCS, lo que permite a MCS configurar los atributos de extensión de la VM.- El catálogo existente debe tener un tipo de cuenta de servicio de AzureAD con el permiso “Device.ReadWrite.All”.
Para agregar nuevos atributos:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Para quitar algunos atributos existentes:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
O
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool también actualiza los atributos de extensión del dispositivo Entra ID para las máquinas virtuales que ya están unidas a Entra ID y poseen un valor EntraIDDeviceID dentro de sus identidades.
También puedes crear un catálogo persistente de Microsoft Entra híbrido inscrito en Microsoft Intune usando una imagen preparada. Para ver el conjunto completo de comandos de PowerShell para crear la definición de imagen, la versión de imagen y la especificación de la versión de imagen preparada, consulta:
- Entorno de virtualización de Azure: Usa PowerShell.
- Entorno de virtualización de VMware: Usa PowerShell
Después de crear la especificación de la versión de imagen preparada, crea el grupo de identidades y el catálogo de máquinas. Por ejemplo:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD" -DeviceManagement IntuneWithSCCM
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Nota:
La inscripción de máquinas virtuales no persistentes unidas a Microsoft Entra híbrido en Microsoft Intune se encuentra actualmente en versión preliminar.
Solución de problemas
Si las máquinas no se inscriben en Microsoft Intune o no alcanzan el estado de cogestión, haz lo siguiente:
-
Comprueba la licencia de Intune
Comprueba si tu inquilino de Microsoft Entra tiene asignada la licencia de Intune adecuada. Consulta Licencias de Microsoft Intune para conocer los requisitos de licencia de Microsoft Intune.
-
Comprueba el estado de unión a Microsoft Entra híbrido
Comprueba si las máquinas aprovisionadas por MCS están unidas a Microsoft Entra híbrido. Las máquinas no son aptas para la cogestión si no están unidas a Microsoft Entra híbrido. Consulta Solución de problemas para solucionar problemas de unión a Microsoft Entra híbrido.
-
Comprueba la elegibilidad para la cogestión
-
Comprueba si las máquinas aprovisionadas por MCS están asignadas correctamente al sitio de Configuration Manager esperado. Para obtener el sitio asignado, ejecuta el siguiente comando de PowerShell en las máquinas afectadas.
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy--> -
Si no hay ningún sitio asignado a la VM, usa el siguiente comando para comprobar si el sitio de Configuration Manager se puede detectar automáticamente.
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy--> -
Asegúrate de que los límites y los grupos de límites estén bien configurados en tu entorno de Configuration Manager si no se puede detectar ningún código de sitio. Consulta Consideraciones para obtener más detalles.
-
Comprueba
C:\Windows\CCM\Logs\ClientLocation.logpara ver si hay problemas de asignación de sitio del cliente de Configuration Manager. -
Comprueba los estados de cogestión de las máquinas. Abre el panel de control de Configuration Manager en las máquinas afectadas y ve a la ficha General. El valor de la propiedad Cogestión debe ser Habilitado. Si no es así, comprueba los registros en
C:\Windows\CCM\Logs\CoManagementHandler.log.
-
-
Comprueba la inscripción en Intune
Las máquinas podrían no inscribirse en Microsoft Intune incluso si se cumplen todos los requisitos previos. Comprueba los registros de eventos de Windows en Registros de aplicaciones y servicios > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider para ver si hay problemas de inscripción en Intune.