Grupo de identidades de la identidad de máquina habilitada para Microsoft Intune
Nota: No
En julio de 2023, Microsoft cambió el nombre de Azure Active Directory (Azure AD) a Microsoft Entra ID. En este documento, cualquier referencia a Azure Active Directory, Azure AD o AAD ahora hace referencia a Microsoft Entra ID.
En este artículo se describe cómo crear un grupo de identidades de máquinas habilitadas para Microsoft Intune mediante Citrix DaaS.
Puede crear:
- Catálogos unidos a Azure AD inscritos en Microsoft Intune con máquinas virtuales persistentes y no persistentes, de sesión única y multisesión. Para crear catálogos, consulte Crear catálogos de Azure AD inscritos en Microsoft Intune.
- Catálogos unidos a Azure AD híbrido inscritos en Microsoft Intune con máquinas virtuales persistentes de sesión única y multisesión mediante credenciales de dispositivo con capacidad de administración conjunta. Para crear catálogos, consulte Crear catálogos unidos a Azure AD híbrido inscritos en Microsoft Intune. También puede crear catálogos unidos a Azure AD híbrido inscritos en Microsoft Intune con máquinas virtuales no persistentes de sesión única y multisesión. Sin embargo, esto se encuentra actualmente en versión Technical Preview. Consulte Inscripción en Microsoft Intune de máquinas virtuales no persistentes unidas a Entra ID híbrido.
Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulte Microsoft Intune.
Crear catálogos de Azure AD inscritos en Microsoft Intune
Puede crear catálogos de Azure AD inscritos en Microsoft Intune con máquinas virtuales persistentes y no persistentes mediante Studio y PowerShell.
Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulte:
- Requisitos de los catálogos unidos a Azure AD inscritos en Microsoft Intune
- Limitaciones de los catálogos unidos a Azure AD inscritos en Microsoft Intune
Usar Studio
La información siguiente complementa a las instrucciones del artículo Crear catálogos de máquinas.
En el asistente para la creación de catálogos:
-
En la página Identidades de máquinas:
- Seleccione Unidos a Azure Active Directory y, a continuación, inscriba las máquinas en Microsoft Intune. Si está habilitada, inscriba las máquinas en Microsoft Intune para su administración. Puede crear catálogos unidos a Azure AD inscritos en Microsoft Intune con máquinas virtuales de sesión única y multisesión persistentes y no persistentes. Sin embargo, en el caso de las máquinas virtuales no persistentes, debe tener la versión 2407 del VDA o posterior.
-
Haga clic en Seleccionar cuenta de servicio y seleccione una cuenta de servicio disponible de la lista. If a suitable service account is not available for the Azure AD tenant that the machine identities will join to, you can create a service account. Para obtener información sobre la cuenta de servicio, consulte Cuentas de servicio de Azure AD.
Nota: No
La cuenta de servicio seleccionada puede estar en mal estado por varios motivos. Puede ir a Administradores > Cuentas de servicio para ver los detalles y solucionar los problemas de acuerdo con las recomendaciones. Alternatively, you can proceed with the machine catalog operation and fix the issues later. If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.
Usar PowerShell
A continuación, se indican los pasos de PowerShell equivalentes a las operaciones en Studio.
Para inscribir máquinas en Microsoft Intune mediante Remote PowerShell SDK, use el parámetro DeviceManagementType
en New-AcctIdentityPool
. Esta función requiere que el catálogo esté unido a Azure AD y que Azure AD posea la licencia correcta de Microsoft Intune. Por ejemplo:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Ejemplo para crear un catálogo de Azure AD inscrito en Microsoft Intune mediante una imagen preparada:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Solucionar problemas
Si las máquinas no logran inscribirse en Microsoft Intune, haga lo siguiente:
-
Compruebe si las máquinas aprovisionadas por MCS están unidas a Azure AD. Las máquinas no logran inscribirse en Microsoft Intune si no están unidas a Azure AD. Consulte Solución de problemas para solucionar problemas de unión a Azure AD.
-
Compruebe si a su arrendatario de Azure AD se le ha asignado la licencia de Intune adecuada. Consulte https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses para conocer los requisitos de licencia de Microsoft Intune.
-
En el caso de catálogos que usan imágenes maestras con la versión 2206 o anterior de VDA, compruebe el estado de aprovisionamiento de la extensión AADLoginForWindows para las máquinas. Si la extensión AADLoginForWindows no existe, los posibles motivos son:
-
IdentityType
del grupo de identidades asociado al esquema de aprovisionamiento no está establecido enAzureAD
oDeviceManagementType
no está establecido enIntune
. Puede verificarlo ejecutandoGet-AcctIdentityPool
. -
La directiva de Azure ha bloqueado la instalación de la extensión AADLoginForWindows.
-
-
Para solucionar los errores de aprovisionamiento de la extensión AADLoginForWindows, puede comprobar los registros en
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows
en la máquina aprovisionada por MCS.Nota: No
MCS no se basa en la extensión
AADLoginForWindows
para unir una máquina virtual a Azure AD y realizar la inscripción en Microsoft Intune cuando se usa una imagen maestra con la versión 2209 de VDA o una posterior. En este caso, la extensiónAADLoginForWindows
no se instala en la máquina aprovisionada por MCS. Por lo tanto, los registros de aprovisionamiento de la extensiónAADLoginForWindows
no se pueden recopilar. -
Consulte los registros de eventos de Windows en Registros de aplicaciones y servicios > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.
-
La cuenta de servicio seleccionada puede estar en mal estado por varios motivos. Puede ir a Administradores > Cuentas de servicio para ver los detalles y solucionar los problemas de acuerdo con las recomendaciones. If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.
Crear catálogos unidos a Azure AD híbrido inscritos en Microsoft Intune
Puede crear catálogos habilitados para la administración conjunta de catálogos unidos a Azure AD híbrido inscritos en Microsoft Intune con máquinas virtuales persistentes de sesión única y multisesión. Puede crear catálogos habilitados para la administración conjunta mediante Studio y PowerShell.
Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulte:
- Requisitos de los catálogos unidos a Azure AD híbrido inscritos en Microsoft Intune
- Limitaciones de los catálogos unidos a Azure AD híbrido inscritos en Microsoft Intune
Usar Studio
La información siguiente complementa a las instrucciones del artículo Crear catálogos de máquinas.
En el asistente de Configuración de catálogo de máquinas:
- En la página Identidades de las máquinas, seleccione Unidos a Azure Active Directory híbrido y, a continuación, Inscribir las máquinas en Microsoft Intune con Configuration Manager. Con esta acción, Configuration Manager y Microsoft Intune (es decir, administración conjunta) administran las máquinas virtuales.
Usar PowerShell
Estos son los pasos en PowerShell equivalentes a los pasos en Studio.
Para inscribir máquinas en Microsoft Intune con Configuration Manager mediante Remote PowerShell SDK, use el parámetro DeviceManagementType
en New-AcctIdentityPool
. Esta función requiere que el catálogo esté unido a Azure AD híbrido y que Azure AD cuente con la licencia de Microsoft Intune correcta.
La diferencia entre los catálogos unidos a Azure AD híbrido y los habilitados para la administración conjunta radica en la creación del grupo de identidades. Por ejemplo:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
También puede crear un catálogo persistente de Azure AD híbrido inscrito en Microsoft Intune mediante una imagen preparada. Para ver el conjunto completo de comandos de PowerShell para crear la definición de imagen, versión de imagen y especificación de versión de imagen preparada, consulte:
- Entorno de virtualización de Azure: Usar PowerShell.
- Entorno de virtualización de VMware: Usar PowerShell
Después de crear la especificación de versión de imagen preparada, cree el grupo de identidades y el catálogo de máquinas. Por ejemplo:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD" -DeviceManagement IntuneWithSCCM
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Nota: No
La inscripción de máquinas virtuales no persistentes unidas a Azure AD híbrido en Microsoft Intune se encuentra actualmente en versión Technical Preview.
Solucionar problemas
Si las máquinas no se inscriben en Microsoft Intune o no alcanzan el estado de administración conjunta, haga lo siguiente:
-
Compruebe la licencia de Intune
Compruebe si a su arrendatario de Azure AD se le ha asignado la licencia de Intune adecuada. Consulte Licencias de Microsoft Intune para conocer los requisitos de licencia de Microsoft Intune.
-
Compruebe el estado de unión a Azure AD híbrido
Compruebe si las máquinas aprovisionadas por MCS están unidas a Azure AD híbrido. Las máquinas no son aptas para la administración conjunta si no se han unido a Azure AD híbrido. Consulte Solución de problemas de para solucionar problemas de unión a Azure AD híbrido.
-
Compruebe la elegibilidad para la administración conjunta
-
Compruebe si las máquinas aprovisionadas por MCS están asignadas correctamente al sitio de Configuration Manager previsto. Para obtener el sitio asignado, ejecute el siguiente comando de PowerShell en las máquinas afectadas.
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy-->
-
Si no hay ningún sitio asignado a la máquina virtual, use el siguiente comando para comprobar si el sitio de Configuration Manager se puede detectar automáticamente.
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy-->
-
Asegúrese de que los límites y los grupos de límites estén bien configurados en su entorno de Configuration Manager si no se detecta ningún código de sitio. Para obtener más información, consulte Consideraciones.
-
Compruebe
C:\Windows\CCM\Logs\ClientLocation.log
para ver si hay algún problema de asignación de sitios a clientes de Configuration Manager. -
Compruebe los estados de administración conjunta de las máquinas. Abra el panel de control de Configuration Manager en las máquinas afectadas y vaya a la ficha General. El valor de la propiedad de administración conjunta debe ser Habilitado. De lo contrario, compruebe los registros en
C:\Windows\CCM\Logs\CoManagementHandler.log
.
-
-
Compruebe la inscripción en Intune
Es posible que las máquinas no se inscriban en Microsoft Intune aunque se cumplan todos los requisitos previos. Consulte los registros de eventos de Windows en Registros de aplicaciones y servicios > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider para ver si hay problemas de inscripción en Intune.