Documentación de productos

Grupo de identidades de identidad de máquina unida a Hybrid Azure Active Directory

May 31, 2026
Contribución de: 
C

Nota:

Desde julio de 2023, Microsoft ha cambiado el nombre de Azure Active Directory (Azure AD) a Microsoft Entra ID. En este documento, cualquier referencia a Azure Active Directory, Azure AD o AAD ahora se refiere a Microsoft Entra ID.

Este artículo describe cómo crear un grupo de identidades de:

  • Catálogos unidos a Hybrid Azure Active Directory (AD)
  • Catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune

Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulte Unido a Hybrid Azure Active Directory.

Crear catálogos unidos a Hybrid Azure Active Directory (AD)

Usar Web Studio

La siguiente información complementa la guía de Crear catálogos de máquinas.

En la página Identidades de máquina del asistente de creación de catálogos:

  • Seleccione Unido a Hybrid Azure Active Directory. Las máquinas creadas son propiedad de una organización y se inician sesión con una cuenta de Active Directory que pertenece a esa organización.

  • Para inscribir las máquinas creadas en Microsoft Intune (incluido Configuration Manager) para la administración de dispositivos, seleccione Inscribir las máquinas en Microsoft Intune con Configuration Manager. Para evitar errores durante la creación del catálogo, asegúrese de que la imagen maestra cumpla los siguientes requisitos:

    • Tiene instalada la versión 2405 o posterior de VDA.
    • Tiene instalado el cliente de Configuration Manager con el código de sitio sin asignar. Para obtener más información, consulte este artículo de Microsoft.

Nota:

Si selecciona Unido a Hybrid Azure Active Directory como tipo de identidad, cada máquina del catálogo debe tener una cuenta de equipo de AD correspondiente.

Usar PowerShell

Los siguientes son pasos de PowerShell equivalentes a las operaciones en Web Studio. Para obtener información sobre cómo crear un catálogo mediante el SDK de PowerShell remoto, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

La diferencia entre los catálogos unidos a AD local y los unidos a Azure AD híbrido radica en la creación del grupo de identidades y las cuentas de máquina.

Para crear un grupo de identidades junto con las cuentas para catálogos unidos a Azure AD híbrido:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Nota:

$password es la contraseña correspondiente a una cuenta de usuario de AD con permisos de escritura.

Todos los demás comandos utilizados para crear catálogos unidos a Azure AD híbrido son los mismos que para los catálogos tradicionales unidos a AD local.

Ver el estado del proceso de unión a Azure AD híbrido

En Web Studio, el estado del proceso de unión a Azure AD híbrido es visible cuando las máquinas unidas a Azure AD híbrido en un grupo de entrega están encendidas. Para ver el estado, use Buscar para identificar esas máquinas y, a continuación, para cada una, compruebe la Identidad de la máquina en la ficha Detalles del panel inferior. La siguiente información puede aparecer en Identidad de la máquina:

  • Unido a Azure AD híbrido
  • Aún no unido a Azure AD

Nota:

  • Es posible que experimente un retraso en la unión a Azure AD híbrido cuando la máquina se enciende inicialmente. Esto se debe al intervalo predeterminado de sincronización de identidades de máquina (30 minutos de Azure AD Connect). La máquina solo está en estado de unión a Azure AD híbrido después de que las identidades de la máquina se sincronicen con Azure AD a través de Azure AD Connect.
  • Si las máquinas no logran estar en estado de unión a Azure AD híbrido, no se registran con el Delivery Controller. Su estado de registro aparece como Inicialización.

Además, con Web Studio, puede saber por qué las máquinas no están disponibles. Para ello, haga clic en una máquina en el nodo Buscar, compruebe Registro en la ficha Detalles del panel inferior y, a continuación, lea la información sobre herramientas para obtener información adicional.

Solucionar problemas

Si las máquinas no logran unirse a Azure AD híbrido, haga lo siguiente:

  • Compruebe si la cuenta de máquina se ha sincronizado con Azure AD a través del portal de Microsoft Azure AD. Si está sincronizada, aparece Aún no unida a Azure AD, lo que indica un estado de registro pendiente.

    Para sincronizar las cuentas de máquina con Azure AD, asegúrese de que:

    • La cuenta de máquina esté en la OU configurada para sincronizarse con Azure AD. Las cuentas de máquina sin el atributo userCertificate no se sincronizan con Azure AD, aunque estén en la OU configurada para sincronizarse.
    • El atributo userCertificate se rellene en la cuenta de máquina. Utilice el Explorador de Active Directory para ver el atributo.
    • Azure AD Connect debe haberse sincronizado al menos una vez después de crear la cuenta de máquina. Si no es así, ejecute manualmente el comando Start-ADSyncSyncCycle -PolicyType Delta en la consola de PowerShell de la máquina de Azure AD Connect para activar una sincronización inmediata.

  • Compruebe si el par de claves del dispositivo administrado por Citrix para la unión a Azure AD híbrido se ha enviado correctamente a la máquina consultando el valor de DeviceKeyPairRestored en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

    Verifique que el valor sea 1. Si no es así, las posibles razones son:

    • IdentityType del grupo de identidades asociado al esquema de aprovisionamiento no está establecido en HybridAzureAD. Puede verificarlo ejecutando Get-AcctIdentityPool.
    • La máquina no se aprovisiona utilizando el mismo esquema de aprovisionamiento del catálogo de máquinas.
    • La máquina no está unida al dominio local. La unión al dominio local es un requisito previo para la unión a Azure AD híbrido.

  • Compruebe los mensajes de diagnóstico ejecutando el comando dsregcmd /status /debug en la máquina aprovisionada por MCS.

    • Si la unión híbrida a Azure AD es correcta, AzureAdJoined y DomainJoined son YES en la salida de la línea de comandos.

    • Si no, consulte la documentación de Microsoft para solucionar los problemas: https://docs.microsoft.com/es-es/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Si recibe el mensaje de error Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, ejecute el siguiente comando de PowerShell para reparar el certificado de usuario:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      Para obtener más información sobre el problema del certificado de usuario, consulte CTX566696.

Crear catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune

Puede crear catálogos habilitados para la administración conjunta para catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune para máquinas virtuales persistentes de sesión única y multisesión. Puede crear catálogos habilitados para la administración conjunta mediante Studio y PowerShell.

Usar Web Studio

La siguiente información es un complemento a la guía de Crear catálogos de máquinas.

En el asistente de Configuración del catálogo de máquinas:

  • En la página Identidades de máquina, seleccione Unido a Hybrid Azure Active Directory y, a continuación, Inscribir las máquinas en Microsoft Intune con Configuration Manager. Con esta acción, Configuration Manager y Microsoft Intune (es decir, administrados conjuntamente) administran las máquinas virtuales.

Usar PowerShell

Los siguientes son los pasos de PowerShell equivalentes a los pasos de Studio.

Para inscribir máquinas en Microsoft Intune con Configuration Manager mediante el SDK de PowerShell remoto, utilice el parámetro DeviceManagementType en New-AcctIdentityPool. Esta función requiere que el catálogo esté unido a Hybrid Azure AD y que Azure AD posea la licencia correcta de Microsoft Intune.

La diferencia entre los catálogos unidos a Hybrid Azure AD y los habilitados para la administración conjunta radica en la creación del grupo de identidades. Por ejemplo:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Solucionar problemas

Si las máquinas no se inscriben en Microsoft Intune o no alcanzan el estado de cogestión, haga lo siguiente:

  • Comprobar la licencia de Intune

    Compruebe si su inquilino de Azure AD tiene asignada la licencia de Intune adecuada. Consulte Licencias de Microsoft Intune para conocer los requisitos de licencia de Microsoft Intune.

  • Comprobar el estado de unión a Hybrid Azure AD

    Compruebe si las máquinas aprovisionadas por MCS están unidas a Hybrid Azure AD. Las máquinas no son aptas para la cogestión si no están unidas a Hybrid Azure AD. Consulte Solución de problemas para solucionar problemas de unión a Hybrid Azure AD.

  • Comprobar la elegibilidad para la cogestión

    • Compruebe si las máquinas aprovisionadas por MCS están asignadas correctamente al sitio de Configuration Manager esperado. Para obtener el sitio asignado, ejecute el siguiente comando de PowerShell en las máquinas afectadas.

       (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • Si no hay ningún sitio asignado a la VM, utilice el siguiente comando para comprobar si el sitio de Configuration Manager se puede detectar automáticamente.

       (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • Asegúrese de que los límites y los grupos de límites estén bien configurados en su entorno de Configuration Manager si no se puede detectar ningún código de sitio. Consulte Consideraciones para obtener más detalles.

    • Compruebe C:\Windows\CCM\Logs\ClientLocation.log para ver si hay algún problema de asignación de sitio del cliente de Configuration Manager.

    • Compruebe los estados de cogestión de las máquinas. Abra el panel de control de Configuration Manager en las máquinas afectadas y vaya a la pestaña General. El valor de la propiedad Cogestión debe ser Habilitado. Si no es así, compruebe los registros en C:\Windows\CCM\Logs\CoManagementHandler.log.

  • Comprobar la inscripción en Intune

    Las máquinas pueden fallar al inscribirse en Microsoft Intune incluso si se cumplen todos los requisitos previos. Compruebe los registros de eventos de Windows en Registros de aplicaciones y servicios > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider para ver los problemas de inscripción en Intune.

Grupo de identidades de identidad de máquina unida a Hybrid Azure Active Directory
May 31, 2026
Contribución de: 
C
May 31, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.