Grupo de identidades de la identidad de máquina habilitada para Microsoft Intune
Este artículo describe cómo crear un grupo de identidades de la identidad de máquina habilitada para Microsoft Intune mediante Citrix DaaS.
-
Puedes crear:
- Catálogos unidos a Microsoft Entra inscritos en Microsoft Intune para máquinas virtuales persistentes y no persistentes, de sesión única y multisesión. Para crear catálogos, consulta Crear catálogos de Microsoft Entra inscritos en Microsoft Intune.
-
Catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune para máquinas virtuales persistentes de sesión única y multisesión mediante credenciales de dispositivo con capacidad de administración conjunta. Para crear catálogos, consulta Crear catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune. También puedes crear catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune para máquinas virtuales no persistentes de sesión única y multisesión. Sin embargo, esto se encuentra actualmente en versión preliminar. Consulta Inscripción de máquinas virtuales no persistentes unidas a Hybrid Entra ID en Microsoft Intune.
- Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulta Microsoft Intune.
Crear catálogos de Microsoft Entra inscritos en Microsoft Intune
Puedes crear catálogos de Microsoft Entra inscritos en Microsoft Intune para máquinas virtuales persistentes y no persistentes mediante Studio y PowerShell.
- Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulta:
- [Requisitos para catálogos unidos a Microsoft Entra inscritos en Microsoft Intune](/es-es/citrix-daas/install-configure/machine-identities/microsoft-intune#requirements-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)
- [Limitaciones para catálogos unidos a Microsoft Entra inscritos en Microsoft Intune](/es-es/citrix-daas/install-configure/machine-identities/microsoft-intune#limitations-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)
Usar Studio
La siguiente información complementa la guía de Crear catálogos de máquinas.
En el asistente de creación de catálogos:
-
En la página Identidades de máquina:
- Selecciona Unido a Microsoft Entra y, a continuación, Inscribir las máquinas en Microsoft Intune. Si está habilitado, inscribe las máquinas en Microsoft Intune para su administración. Puedes crear catálogos unidos a Microsoft Entra inscritos en Microsoft Intune para máquinas virtuales persistentes y no persistentes, de sesión única y multisesión. Sin embargo, para las máquinas virtuales no persistentes, debes tener la versión de VDA 2407 o posterior.
-
Haz clic en Seleccionar cuenta de servicio y selecciona una cuenta de servicio disponible de la lista. Si no hay una cuenta de servicio adecuada disponible para el inquilino de Microsoft Entra al que se unirán las identidades de máquina, puedes crear una cuenta de servicio. Para obtener información sobre la cuenta de servicio, consulta Cuentas de servicio de Microsoft Entra.
Nota:
La cuenta de servicio que seleccionaste podría estar en un estado no saludable por varias razones. Puedes ir a Administradores > Cuentas de servicio para ver los detalles y solucionar los problemas según las recomendaciones. Alternativamente, puedes continuar con la operación del catálogo de máquinas y solucionar los problemas más tarde. Si no solucionas el problema, se generarán dispositivos unidos a Microsoft Entra o inscritos en Microsoft Intune obsoletos que pueden bloquear la unión de las máquinas a Microsoft Entra.
-
Haz clic en Agregar atributos de extensión para almacenar datos personalizados únicos directamente en los objetos de dispositivo de Entra ID. En la página Agregar atributos de extensión, agrega Atributos de extensión y Valor.
Nota:
- Puedes agregar un máximo de 15 atributos de extensión.
- El nombre y el valor deben ser únicos y no pueden estar vacíos.
Agregar o modificar atributos de extensión
Para cambiar o agregar atributos de extensión adicionales a un catálogo de máquinas MCS existente, o agregar atributos de extensión a un catálogo MCS sin una cuenta de servicio, usa el asistente Modificar catálogo de máquinas.
- Para cambiar o agregar atributos de extensión adicionales, navega a la página Atributos de extensión de dispositivo de Microsoft Entra. Haz clic en el icono del lápiz y agrega o actualiza los atributos de extensión.
-
Para agregar atributos de extensión a un catálogo MCS sin una cuenta de servicio de Microsoft Entra:
- Navega a la página Cuenta de servicio. Selecciona una cuenta de servicio de Microsoft Entra para el Microsoft Intra ID.
- Ve a la página Atributos de extensión de dispositivo de Microsoft Entra, haz clic en Agregar atributos de extensión.
Usar PowerShell
Los siguientes son los pasos de PowerShell que son equivalentes a las operaciones en Studio.
Para inscribir máquinas en Microsoft Intune mediante el SDK de PowerShell remoto, usa el parámetro DeviceManagementType en New-AcctIdentityPool. Esta característica requiere que el catálogo esté unido a Microsoft Entra y que Microsoft Entra ID posea la licencia correcta de Microsoft Intune. Por ejemplo:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Por ejemplo: Para crear un nuevo grupo de identidades con atributos de extensión especificados y asociarlo a una cuenta de servicio, ejecuta lo siguiente:
New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Cuando una máquina virtual se enciende por primera vez, después de unirse a Microsoft Entra ID, la máquina virtual informa su EntraIDDeviceID a MCS.
Por ejemplo: Para verificar el EntraIDDeviceID, ejecuta Get-AcctADAccount o Get-AcctIdentity.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
- Después de reiniciar, para las máquinas virtuales persistentes, el
EntraIDDeviceIDpermanece igual. Para las máquinas virtuales no persistentes, hay un nuevoEntraIDDeviceIDdespués de cada reinicio.
Nota:
MCS elimina automáticamente los atributos de extensión asociados cuando eliminas una máquina virtual del catálogo, pero no la eliminas de Azure.
Por ejemplo: Para editar atributos de extensión para el catálogo existente, ejecuta lo siguiente:
Nota:
- Después de actualizar las máquinas virtuales del catálogo existente a la versión VDA 2511 o posterior, es necesario reiniciar. Este reinicio permite que la máquina virtual informe su
Entra ID deviceIda MCS, lo que permite a MCS configurar los atributos de extensión de la máquina virtual.- El catálogo existente debe tener una cuenta de servicio de tipo AzureAD con el permiso “Device.ReadWrite.All”.
- Para agregar algunos atributos nuevos:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
- Para eliminar algunos atributos existentes:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
OR
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool también actualiza los atributos de extensión del dispositivo de Entra ID para las máquinas virtuales que ya están unidas a Entra ID y poseen un valor EntraIDDeviceID dentro de sus identidades.
Por ejemplo: Para crear un catálogo de Microsoft Entra inscrito en Microsoft Intune utilizando una imagen preparada:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Solución de problemas
Si las máquinas no se inscriben en Microsoft Intune, haz lo siguiente:
-
Comprueba si las máquinas aprovisionadas por MCS están unidas a Microsoft Entra. Las máquinas no se inscribirán en Microsoft Intune si no están unidas a Microsoft Entra. Consulta Solución de problemas para solucionar problemas de unión a Microsoft Entra.
-
Comprueba si tu inquilino de Microsoft Entra tiene asignada la licencia de Intune adecuada. Consulta https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses para conocer los requisitos de licencia de Microsoft Intune.
-
Para los catálogos que utilizan imágenes maestras con VDA versión 2206 o anterior, comprueba el estado de aprovisionamiento de la extensión AADLoginForWindows para las máquinas. Si la extensión AADLoginForWindows no existe, las posibles razones son:
-
IdentityTypedel grupo de identidades asociado al esquema de aprovisionamiento no está establecido enAzureADoDeviceManagementTypeno está establecido enIntune. Puedes verificar esto ejecutandoGet-AcctIdentityPool. -
La política de Azure ha bloqueado la instalación de la extensión AADLoginForWindows.
-
-
Para solucionar los errores de aprovisionamiento de la extensión AADLoginForWindows, puedes consultar los registros en
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowsen la máquina aprovisionada por MCS.Nota:
MCS no depende de la extensión
AADLoginForWindowspara unir una máquina virtual a Microsoft Entra ID e inscribirla en Microsoft Intune cuando se utiliza una imagen maestra con VDA versión 2209 o posterior. En este caso, la extensiónAADLoginForWindowsno se instala en la máquina aprovisionada por MCS. Por lo tanto, no se pueden recopilar los registros de aprovisionamiento de la extensiónAADLoginForWindows. -
Comprueba los registros de eventos de Windows en Registros de aplicaciones y servicios > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.
-
La cuenta de servicio que seleccionaste podría estar en un estado no saludable debido a varias razones. Puedes ir a Administradores > Cuentas de servicio para ver detalles y solucionar los problemas según las recomendaciones. Si no solucionas el problema, se generarán dispositivos unidos a Microsoft Entra o inscritos en Microsoft Intune obsoletos que pueden bloquear la unión a Microsoft Entra de las máquinas.
Crear catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune
Puedes crear catálogos habilitados para la cogestión para catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune para máquinas virtuales persistentes de sesión única y multisecuencia. Puedes crear catálogos habilitados para la cogestión utilizando tanto Studio como PowerShell.
Para obtener información sobre los requisitos, limitaciones y consideraciones, consulta:
- Requisitos para catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune
- Limitaciones para catálogos unidos a Microsoft Entra híbridos inscritos en Microsoft Intune
Usar Studio
La siguiente información es un complemento a la guía de Crear catálogos de máquinas.
En el asistente de Configuración del catálogo de máquinas:
- En la página Identidades de máquina, selecciona Unido a Microsoft Entra híbrido y luego Inscribir las máquinas en Microsoft Intune con Configuration Manager. Con esta acción, Configuration Manager y Microsoft Intune (es decir, cogestionados) administran las máquinas virtuales.
- Haz clic en Agregar atributos de extensión para almacenar datos personalizados únicos directamente en los objetos de dispositivo de Entra ID. En la página Agregar atributos de extensión, agrega Atributos de extensión y Valor.
Nota: >
- Puedes agregar un máximo de 15 atributos de extensión.
- El nombre y el valor deben ser únicos y no pueden estar vacíos.
Agregar o modificar atributos de extensión
Para cambiar o agregar atributos de extensión adicionales a un catálogo de máquinas MCS existente, o agregar atributos de extensión a un catálogo de MCS sin una cuenta de servicio, utiliza el asistente Editar catálogo de máquinas.
- Para cambiar o agregar atributos de extensión adicionales, navega a la página Atributos de extensión de dispositivo de Microsoft Entra. Haz clic en el icono del lápiz y agrega o actualiza los atributos de extensión.
-
Para agregar atributos de extensión a un catálogo de MCS sin una cuenta de servicio de Microsoft Entra:
- Navega a la página Cuenta de servicio. Selecciona una cuenta de servicio de Microsoft Entra para Microsoft Intra ID.
-
- Ve a la página Atributos de extensión de dispositivo de Microsoft Entra, haz clic en Agregar atributos de extensión.
-
- Navega a la página Cuenta de servicio. Selecciona una cuenta de servicio de Microsoft Entra para Microsoft Intra ID.
Usar PowerShell
Los siguientes son los pasos de PowerShell equivalentes a los pasos en Studio.
- Para inscribir máquinas en Microsoft Intune con Configuration Manager utilizando el SDK de PowerShell remoto, utiliza el parámetro
DeviceManagementTypeenNew-AcctIdentityPool. Esta característica requiere que el catálogo esté unido a Microsoft Entra híbrido y que Microsoft Entra ID posea la licencia correcta de Microsoft Intune.
La diferencia entre los catálogos unidos a Microsoft Entra híbridos y los habilitados para cogestión radica en la creación del grupo de identidades. Por ejemplo:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Por ejemplo: Para crear un nuevo grupo de identidades con atributos de extensión especificados y asociarlo a una cuenta de servicio, ejecuta lo siguiente:
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Cuando una máquina virtual se enciende por primera vez, después de unirse a Microsoft Entra ID, la máquina virtual informa su ID de dispositivo de Entra ID a MCS.
Por ejemplo: Para comprobar el EntraIDDeviceID, ejecuta Get-AcctADAccount o Get-AcctIdentity.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
Después de reiniciar, para las VM persistentes y no persistentes, el EntraIDDeviceID sigue siendo el mismo.
Nota:
MCS quita automáticamente los ID de dispositivo asociados y los atributos de extensión cuando quitas una VM del catálogo, pero no la quitas de Azure.
Por ejemplo: Para modificar los atributos de extensión del catálogo existente, ejecuta lo siguiente:
Nota:
- Después de actualizar las VM del catálogo existente a la versión 2511 o posterior de VDA, es necesario reiniciar. Este reinicio permite a la VM informar a MCS de su ID de dispositivo de Entra ID, lo que permite a MCS configurar los atributos de extensión de la VM.
- El catálogo existente debe tener una cuenta de servicio de tipo AzureAD con el permiso “Device.ReadWrite.All”.
Para agregar nuevos atributos:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Para quitar algunos atributos existentes
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
O
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool también actualiza los atributos de extensión del dispositivo de Entra ID para las VM que ya están unidas a Entra ID y poseen un valor EntraIDDeviceID dentro de sus identidades.
También puedes crear un catálogo persistente de Hybrid Microsoft Entra inscrito en Microsoft Intune mediante una imagen preparada. Para ver el conjunto completo de comandos de PowerShell para crear la definición de imagen, la versión de imagen y la especificación de la versión de imagen preparada, consulta:
- Entorno de virtualización de Azure: Use PowerShell.
- Entorno de virtualización de VMware: Use PowerShell
Después de crear la especificación de la versión de imagen preparada, crea el grupo de identidades y el catálogo de máquinas. Por ejemplo:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD" -DeviceManagement IntuneWithSCCM
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Nota:
La inscripción de VM no persistentes unidas a Microsoft Entra híbrido en Microsoft Intune se encuentra actualmente en versión preliminar.
Solucionar problemas
Si las máquinas no se inscriben en Microsoft Intune o no alcanzan el estado de cogestión, haz lo siguiente:
-
Comprueba la licencia de Intune
Comprueba si tu inquilino de Microsoft Entra tiene asignada la licencia de Intune adecuada. Consulta Licencias de Microsoft Intune para conocer los requisitos de licencia de Microsoft Intune.
-
Comprueba el estado de unión a Hybrid Microsoft Entra
Comprueba si las máquinas aprovisionadas por MCS están unidas a Microsoft Entra híbrido. Las máquinas no son aptas para la cogestión si no están unidas a Microsoft Entra híbrido. Consulta Solucionar problemas para solucionar problemas de unión a Hybrid Microsoft Entra.
-
Comprueba la elegibilidad para la cogestión
-
Comprueba si las máquinas aprovisionadas por MCS están asignadas correctamente al sitio de Configuration Manager esperado. Para obtener el sitio asignado, ejecuta el siguiente comando de PowerShell en las máquinas afectadas.
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy--> -
Si no hay ningún sitio asignado a la VM, usa el siguiente comando para comprobar si el sitio de Configuration Manager se puede detectar automáticamente.
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy--> -
Asegúrate de que los límites y los grupos de límites estén bien configurados en tu entorno de Configuration Manager si no se puede detectar ningún código de sitio. Consulta Consideraciones para obtener más información.
-
Comprueba
C:\Windows\CCM\Logs\ClientLocation.logpara ver si hay algún problema de asignación de sitio del cliente de Configuration Manager. -
Comprueba los estados de cogestión de las máquinas. Abre el panel de control de Configuration Manager en las máquinas afectadas y ve a la ficha General. El valor de la propiedad Cogestión debe ser Habilitado. Si no es así, comprueba los registros en
C:\Windows\CCM\Logs\CoManagementHandler.log.
-
-
Comprueba la inscripción en Intune
Las máquinas pueden no inscribirse en Microsoft Intune incluso si se cumplen todos los requisitos previos. Comprueba los registros de eventos de Windows en Registros de aplicaciones y servicios > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider para ver si hay problemas de inscripción en Intune.