Documentación de productos

Unido a Azure Active Directory híbrido

May 31, 2026
Contribución de: 
C

Nota:

Desde julio de 2023, Microsoft ha cambiado el nombre de Azure Active Directory (Azure AD) a Microsoft Entra ID. En este documento, cualquier referencia a Azure Active Directory, Azure AD o AAD ahora se refiere a Microsoft Entra ID.

Este artículo describe los requisitos para crear un grupo de identidades de catálogos unidos a Hybrid Azure Active Directory (HAAD) y catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune, además de los requisitos descritos en la sección de requisitos del sistema.

Las máquinas unidas a Hybrid Azure AD utilizan AD local como proveedor de autenticación. Puede asignarlas a usuarios o grupos de dominio en AD local. Para habilitar la experiencia de SSO sin interrupciones de Azure AD, debe tener los usuarios de dominio sincronizados con Azure AD.

Nota:

Las máquinas virtuales unidas a Hybrid Azure AD son compatibles tanto en infraestructuras de identidad federadas como administradas.

Requisitos para unido a Azure Active Directory híbrido

  • Tipo de VDA: Sesión única (solo escritorios) o multisesión (aplicaciones y escritorios)
  • Versión de VDA: 2212 o posterior
  • Tipo de aprovisionamiento: Machine Creation Services™ (MCS), persistente y no persistente
  • Tipo de asignación: Dedicado y agrupado
  • Plataforma de alojamiento: Cualquier hipervisor o servicio en la nube

Limitaciones para unido a Azure Active Directory híbrido

  • Si se utiliza Citrix Federated Authentication Service (FAS), el inicio de sesión único se dirige a AD local en lugar de a Azure AD. En este caso, se recomienda configurar la autenticación basada en certificados de Azure AD para que el token de actualización principal (PRT) se genere al iniciar sesión el usuario, lo que facilita el inicio de sesión único en los recursos de Azure AD dentro de la sesión. De lo contrario, el PRT no estará presente y el SSO a los recursos de Azure AD no funcionará. Para obtener información sobre cómo lograr el inicio de sesión único (SSO) de Azure AD en VDA unidos a entornos híbridos mediante Citrix Federated Authentication Service (FAS), consulte VDA unidos a entornos híbridos.
  • No omita la preparación de la imagen al crear o actualizar catálogos de máquinas. Si quiere omitir la preparación de la imagen, asegúrese de que las máquinas virtuales maestras no estén unidas a Azure AD ni a Hybrid Azure AD.

Consideraciones para máquinas unidas a Hybrid Azure Active Directory

  • La creación de máquinas unidas a Hybrid Azure Active Directory requiere el permiso Write userCertificate en el dominio de destino. Asegúrese de introducir las credenciales de un administrador con ese permiso durante la creación del catálogo.

  • El proceso de unión a Hybrid Azure AD lo gestiona Citrix. Debe inhabilitar autoWorkplaceJoin controlado por Windows en las máquinas virtuales maestras de la siguiente manera. La tarea de inhabilitar manualmente autoWorkplaceJoin solo es necesaria para la versión 2212 o anterior de VDA.

    1. Ejecute gpedit.msc.
    2. Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Registro de dispositivos.
    3. Establezca Registrar equipos unidos a un dominio como dispositivos en Deshabilitado.

  • Seleccione la Unidad organizativa (OU) configurada para sincronizarse con Azure AD al crear las identidades de la máquina.

  • Para una máquina virtual maestra basada en Windows 11 22H2, cree una tarea programada en la máquina virtual maestra que ejecute los siguientes comandos al iniciar el sistema mediante la cuenta SYSTEM. Esta tarea de programar una tarea en la máquina virtual maestra solo es necesaria para la versión 2212 o anterior de VDA.

     $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
 $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
 $MaxCount = 60

 for ($count = 1; $count -le $MaxCount; $count++)
 {
   if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
   {
     $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
     if ($provider -eq 'Citrix')
     {
         break;
     }

     if ($provider -eq 1)
     {
         Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
         Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
         Start-Sleep 5
         dsregcmd /join
         break
     }
   }

   Start-Sleep 1
 }
 <!--NeedCopy-->
  • De forma predeterminada, Azure AD Connect se sincroniza cada 30 minutos. Las máquinas aprovisionadas pueden tardar hasta 30 minutos en unirse a Hybrid Azure AD durante el primer arranque.

Catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune

Los catálogos unidos a Hybrid Azure AD, las máquinas virtuales persistentes de sesión única y multisesión, inscritos en Microsoft Intune utilizan las credenciales del dispositivo con capacidad de administración conjunta.

La administración conjunta le permite administrar simultáneamente dispositivos con Windows 10 o posterior mediante Configuration Manager y Microsoft Intune. Para obtener más información, consulte Administración conjunta.

Requisitos previos para catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune

Antes de habilitar esta función, compruebe que:

  • Su entorno de Azure cumple los requisitos de licencia para usar Microsoft Intune. Para obtener más información, consulte la documentación de Microsoft.
  • Tiene una implementación válida de Configuration Manager con la cogestión habilitada. Para obtener más información, consulte la documentación de Microsoft.

Requisitos para catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune

  • Tipo de VDA: Sesión única o multisesión
  • Versión de VDA: 2407 o posterior
  • Tipo de aprovisionamiento: Machine Creation Service (MCS), persistente. Los catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune para máquinas virtuales no persistentes de sesión única y multisesión se encuentran actualmente en versión preliminar. Consulte Inscripción de máquinas virtuales no persistentes unidas a Hybrid Entra ID en Microsoft Intune.
  • Tipo de asignación: Dedicado y agrupado
  • Plataforma de alojamiento: Cualquier hipervisor o servicio en la nube

Limitaciones para catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune

  • No omita la preparación de la imagen al crear o actualizar catálogos de máquinas.
  • La administración de clientes basada en Internet (IBCM) de Configuration Manager no es compatible.

Consideraciones para catálogos unidos a Hybrid Azure AD inscritos en Microsoft Intune

  • La inscripción en Intune podría retrasarse si demasiadas máquinas del catálogo se encienden simultáneamente.

    Microsoft impone una restricción de inscripción en Intune por inquilino que limita el número de dispositivos que se pueden inscribir en un período de tiempo específico. El número permitido de dispositivos varía según el número de licencias de Microsoft Intune asociadas al inquilino. Consulte a su equipo de cuentas de Microsoft para averiguar el límite permitido para su inquilino. Este enfoque ayuda a que la inscripción en Microsoft Intune se escale mejor para entornos grandes.

    Para las máquinas persistentes, puede haber un tiempo de espera inicial necesario para que todos los dispositivos completen la inscripción en Intune.

    Para máquinas no persistentes, considere limitar las acciones de energía concurrentes en Autoscale™ o en acciones de energía manuales.

  • Configure Cloud Attach de Configuration Manager. Para obtener más información, consulte la documentación de Microsoft.
  • Instale manualmente el cliente de Configuration Manager en la VM maestra sin asignar el código de sitio con .\CCMSetup.exe /mp:SCCMServer /logon FSP=SCCMServer. SCCMServer es el nombre del servidor SCCM en su entorno. Para obtener más información, consulte la documentación de Microsoft.

  • Las máquinas creadas por MCS utilizan el mecanismo de asignación automática de sitios para encontrar grupos de límites de sitios publicados en los Servicios de dominio de Active Directory. Asegúrese de que los límites y grupos de límites de Configuration Manager estén configurados en su entorno. Si la asignación automática de sitios no está disponible, se puede configurar un código de sitio estático de Configuration Manager en la VM maestra a través de la siguiente configuración del registro:

    Clave:

     HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
 <!--NeedCopy-->

    Nombre del valor: MdmSccmSiteCode

    Tipo de valor: Cadena

    Datos del valor: the site code to be assigned

Dónde ir a continuación

Para obtener más información sobre la creación de grupos de identidades de catálogos unidos a Hybrid Azure Active Directory, consulte Grupo de identidades de máquinas unidas a Hybrid Azure Active Directory.

Unido a Azure Active Directory híbrido
May 31, 2026
Contribución de: 
C
May 31, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.