Documentation produit
Citrix DaaS™
Voir PDF

Pool d’identités de machine jointe à Microsoft Entra

March 25, 2026
Contributeur: 
C C

Cet article explique comment créer un pool d’identités de machine jointe à Microsoft Entra à l’aide de Citrix DaaS.

Pour plus d’informations sur les exigences, les limitations et les considérations, consultez Machines jointes à Microsoft Entra.

Avant de créer le catalogue de machines, vous avez besoin des éléments suivants :

  1. Nouvel emplacement de ressources
    • Accédez à l’interface utilisateur d’administration de Citrix Cloud™ > menu hamburger supérieur gauche > Emplacements des ressources.
    • Cliquez sur + Emplacement des ressources.
    • Saisissez un nom pour le nouvel emplacement de ressources et cliquez sur Enregistrer.
  2. Créez une connexion d’hébergement. Consultez la section Créer et gérer des connexions pour plus de détails. Lors du déploiement de machines sur Azure, consultez Connexion à Azure Resource Manager.

Vous pouvez créer des catalogues joints à Microsoft Entra à l’aide de Studio ou de PowerShell.

Utiliser Studio

Les informations suivantes complètent les instructions figurant dans Créer des catalogues de machines. Pour créer des catalogues joints à Microsoft Entra, suivez les instructions générales de cet article, en tenant compte des détails spécifiques aux catalogues joints à Microsoft Entra.

Dans l’assistant de création de catalogue :

  1. Sur la page Image :
    • Sélectionnez 2106 ou une version ultérieure comme niveau fonctionnel.
    • Sélectionnez Utiliser un profil de machine et sélectionnez la machine appropriée dans la liste.

  2. Sur la page Identités de machine :

    • Sélectionnez Jointe à Microsoft Entra. Les machines créées appartiennent à une organisation et sont connectées avec un compte Microsoft Entra qui appartient à cette organisation. Elles n’existent que dans le cloud.

      Remarque :

      • Le type d’identité Jointe à Microsoft Entra nécessite la version 2106 ou ultérieure comme niveau fonctionnel minimal pour le catalogue.
      • Les machines sont jointes au domaine Microsoft Entra associé au locataire auquel la connexion d’hébergement est liée.

    • Cliquez sur Sélectionner un compte de service et sélectionnez un compte de service disponible dans la liste. Si aucun compte de service approprié n’est disponible pour le locataire Microsoft Entra auquel les identités de machine seront jointes, vous pouvez créer un compte de service. Pour plus d’informations sur les comptes de service, consultez Comptes de service Microsoft Entra.

      Remarque :

      Le compte de service que vous avez sélectionné peut être dans un état non sain pour diverses raisons. Vous pouvez accéder à Administrateurs > Comptes de service pour afficher les détails et résoudre les problèmes conformément aux recommandations. Vous pouvez également poursuivre l’opération de catalogue de machines et résoudre les problèmes ultérieurement. Si vous ne résolvez pas le problème, des appareils joints à Microsoft Entra ou inscrits à Microsoft Intune obsolètes sont générés, ce qui peut bloquer la jonction des machines à Microsoft Entra.

  3. Les utilisateurs doivent disposer d’un accès explicite dans Azure pour se connecter aux machines à l’aide de leurs informations d’identification Microsoft Entra. Consultez la section Machines jointes à Microsoft Entra pour plus de détails.

Modifier l’association du compte de service

Pour modifier le compte de service associé ou ajouter une association à un catalogue de machines MCS existant, utilisez la page Modifier le catalogue de machines.

  • Pour ajouter un compte de service, cliquez sur Sélectionner un compte de service sur la page Compte de service.
  • Pour modifier l’association du compte de service, cliquez sur l’icône de modification sur la page Compte de service.

Utiliser PowerShell

Voici les étapes PowerShell équivalentes aux opérations dans Studio.

La différence entre les catalogues joints à un AD local et ceux joints à Microsoft Entra réside dans la création du pool d’identités et le schéma de provisionnement.

Vous devez associer un compte de service Microsoft Entra au pool d’identités, puis créer le catalogue de machines. Vous pouvez soit créer un nouveau pool d’identités, soit mettre à jour un pool d’identités existant pour l’associer à un compte de service.

Créer un nouveau pool d’identités

Par exemple : Pour créer un nouveau pool d’identités et l’associer à un compte de service, exécutez les opérations suivantes :

New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Par exemple : Pour créer un nouveau pool d’identités avec des attributs d’extension spécifiés et l’associer à un compte de service, exécutez les opérations suivantes :

New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->

Lorsqu’une machine virtuelle est mise sous tension pour la première fois, après avoir rejoint Microsoft Entra ID, la machine virtuelle signale son ID d’appareil Entra ID à MCS.

Par exemple : Pour vérifier l’ EntraIDDeviceID, exécutez Get-AcctADAccount ou Get-AcctIdentity.

Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->

Après le redémarrage, pour les machines virtuelles persistantes, l’ EntraIDDeviceID reste le même. Pour les machines virtuelles non persistantes, un nouvel EntraIDDeviceID est généré après chaque redémarrage.

Remarque :

MCS supprime automatiquement les attributs d’extension associés lorsque vous supprimez une machine virtuelle du catalogue, mais pas d’Azure.

Mettre à jour un pool d’identités existant

Par exemple : Pour mettre à jour un pool d’identités existant afin de l’associer à un compte de service, exécutez les opérations suivantes :

$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Remarque :

Le $serviceAccountUid doit être un UID valide d’un compte de service Microsoft Entra.

Par exemple : Pour modifier les attributs d’extension du catalogue existant, exécutez les opérations suivantes :

Remarque :

  • Après la mise à niveau des machines virtuelles de catalogue existantes vers la version 2511 ou ultérieure du VDA, un redémarrage est nécessaire. Ce redémarrage permet à la machine virtuelle de signaler son ID d’appareil Entra ID à MCS, ce qui permet ensuite à MCS de configurer les attributs d’extension de la machine virtuelle.
  • Le catalogue existant doit avoir un compte de service de type AzureAD avec l’autorisation « Device.ReadWrite.All ».

Pour ajouter de nouveaux attributs :

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->

Pour supprimer des attributs existants

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->

OU

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->

Set-AcctIdentityPool met également à jour les attributs d’extension de l’appareil Entra ID pour les machines virtuelles qui sont déjà jointes à Entra ID et possèdent une valeur EntraIDDeviceID dans leurs identités.

Créer des catalogues joints à Microsoft Entra

Pour créer un schéma de provisionnement pour les catalogues joints à Microsoft Entra, le paramètre MachineProfile est requis dans New-ProvScheme. Par exemple :

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Pour créer un catalogue Microsoft Entra à l’aide d’une image préparée. Par exemple :

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Afficher l’état du processus de jonction à Microsoft Entra

Dans Studio, l’état du processus de jonction à Microsoft Entra est visible lorsque les machines jointes à Microsoft Entra dans un groupe de mise à disposition sont sous tension. Pour afficher l’état, utilisez la fonction Recherche pour identifier ces machines, puis pour chacune, vérifiez Identité de la machine sous l’onglet Détails dans le volet inférieur. Les informations suivantes peuvent apparaître dans Identité de la machine :

  • Joint à Microsoft Entra
  • Pas encore joint à Microsoft Entra ID

Remarque :

Si les machines ne parviennent pas à être dans l’état joint à Microsoft Entra, elles ne s’enregistrent pas auprès du Delivery Controller. Leur état d’enregistrement apparaît comme Initialisation.

De plus, à l’aide de Studio, vous pouvez savoir pourquoi les machines sont indisponibles. Pour ce faire, cliquez sur une machine dans le nœud Recherche, vérifiez Enregistrement sous l’onglet Détails dans le volet inférieur, puis lisez l’info-bulle pour des informations supplémentaires.

Groupe de mise à disposition

Consultez la section Créer des groupes de mise à disposition pour plus de détails.

Activer Rendezvous

Une fois le groupe de mise à disposition créé, vous pouvez activer Rendezvous. Consultez Rendezvous V2 pour plus de détails.

Dépannage

Si les machines ne parviennent pas à être jointes à Microsoft Entra, procédez comme suit :

  • Vérifiez si l’identité managée attribuée par le système est activée pour les machines. Les machines provisionnées par MCS doivent l’avoir activée automatiquement. Le processus de jonction à Microsoft Entra échoue sans identité managée attribuée par le système. Si l’identité managée attribuée par le système n’est pas activée pour les machines provisionnées par MCS, la raison possible est :

    • Le IdentityType du pool d’identités associé au schéma de provisionnement n’est pas défini sur AzureAD. Vous pouvez le vérifier en exécutant Get-AcctIdentityPool.

  • Pour les catalogues qui utilisent des images principales avec la version VDA 2206 ou antérieure, vérifiez l’état de provisionnement de l’extension AADLoginForWindows pour les machines. Si l’extension AADLoginForWindows n’existe pas, les raisons possibles sont :

    • Le IdentityType du pool d’identités associé au schéma de provisionnement n’est pas défini sur AzureAD. Vous pouvez le vérifier en exécutant Get-AcctIdentityPool.

    • L’installation de l’extension AADLoginForWindows est bloquée par la politique Azure.

  • Pour dépanner les échecs de provisionnement de l’extension AADLoginForWindows, vous pouvez vérifier les journaux sous C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows sur la machine provisionnée par MCS.

    Remarque :

    MCS ne s’appuie pas sur l’extension AADLoginForWindows pour joindre une machine virtuelle à Microsoft Entra ID lors de l’utilisation d’une image principale avec la version VDA 2209 ou ultérieure. Dans ce cas, l’extension AADLoginForWindows ne sera pas installée sur la machine provisionnée par MCS. Par conséquent, les journaux de provisionnement de l’extension AADLoginForWindows ne peuvent pas être collectés.

  • Vérifiez l’état de jonction à Microsoft Entra et les journaux de débogage en exécutant la commande dsregcmd /status sur la machine provisionnée par MCS.

  • Vérifiez les journaux d’événements Windows sous Journaux des applications et des services > Microsoft > Windows > Enregistrement des appareils utilisateur.

  • Vérifiez si la gestion des appareils Microsoft Entra est correctement configurée en exécutant Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName}.

    Assurez-vous que la valeur de :

    • La propriété AzureAdDeviceManagement dans CustomProperties est true
    • La propriété Citrix_MCS_AzureAdDeviceManagement_PermissionGranted dans les métadonnées est true

    Si Citrix_MCS_AzureAdDeviceManagement_PermissionGranted est false, cela indique que le ServicePrincipal de l’application utilisée par la connexion d’hébergement ne dispose pas des autorisations suffisantes pour effectuer la gestion des appareils Microsoft Entra. Pour résoudre ce problème, attribuez au ServicePrincipal le rôle Administrateur de périphériques cloud.

Groupes de sécurité dynamiques Microsoft Entra

Les règles de groupe dynamique placent les machines virtuelles du catalogue dans un groupe de sécurité dynamique basé sur le schéma de nommage du catalogue de machines.

Si le schéma de nommage du catalogue de machines est Test### (où # signifie nombre), Citrix® crée la règle d’appartenance dynamique ^Test[0-9]{3}$ dans le groupe de sécurité dynamique. Désormais, si le nom de la machine virtuelle créée par Citrix est compris entre Test001 et Test999, la machine virtuelle est incluse dans le groupe de sécurité dynamique.

Remarque :

Si le nom de la machine virtuelle que vous avez créée manuellement est compris entre Test001 et Test999, la machine virtuelle est également incluse dans le groupe de sécurité dynamique. C’est l’une des limitations du groupe de sécurité dynamique.

La fonctionnalité de groupe de sécurité dynamique est utile lorsque vous souhaitez gérer les machines virtuelles par Microsoft Entra ID. Elle est également utile lorsque vous souhaitez appliquer des stratégies d’accès conditionnel ou distribuer des applications depuis Intune en filtrant les machines virtuelles avec un groupe de sécurité dynamique Microsoft Entra.

Vous pouvez utiliser les commandes PowerShell pour :

  • Créer un catalogue de machines avec un groupe de sécurité dynamique Microsoft Entra
  • Activer la fonctionnalité de groupe de sécurité pour un catalogue Microsoft Entra
  • Supprimer un catalogue de machines avec un groupe de sécurité d’appareils joint à Microsoft Entra

Important :

  • Pour créer un catalogue de machines avec un groupe de sécurité dynamique Microsoft Entra, ajouter des machines au catalogue et supprimer le catalogue de machines, vous devez disposer d’un jeton d’accès Microsoft Entra. Pour plus d’informations sur l’obtention du jeton d’accès Microsoft Entra, consultez https://docs.microsoft.com/en-us/graph/graph-explorer/graph-explorer-features#consent-to-permissions/.
  • Pour demander un jeton d’accès dans Microsoft Entra ID, Citrix demande l’autorisation Group.ReadWrite.All pour l’API Microsoft Graph. Un utilisateur Microsoft Entra disposant de l’autorisation de consentement administrateur à l’échelle du locataire peut accorder l’autorisation Group.ReadWrite.All pour l’API Microsoft Graph. Pour plus d’informations sur la façon d’accorder le consentement administrateur à l’échelle du locataire à une application dans Microsoft Entra ID, consultez le document Microsoft https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent.
  • Vous n’avez pas besoin d’un jeton d’accès Microsoft Entra si vous utilisez un compte de service Microsoft Entra. Pour plus d’informations sur les comptes de service, consultez Comptes de service pour la gestion de l’identité des machines.

Créer un catalogue de machines avec un groupe de sécurité dynamique Microsoft Entra

  1. Dans l’interface utilisateur de configuration du catalogue de machines de la console web, sur la page Identités de la machine, sélectionnez Joint à Microsoft Entra.
  2. Connectez-vous à Microsoft Entra ID.
  3. Obtenez le jeton d’accès à l’API MS Graph. Utilisez ce jeton d’accès comme valeur du paramètre $AzureADAccessToken lorsque vous exécutez les commandes PowerShell. Vous n’avez pas besoin d’un jeton d’accès Microsoft Entra si vous utilisez un compte de service Microsoft Entra.
  4. Exécutez la commande suivante pour vérifier si le nom du groupe de sécurité dynamique existe dans le locataire.
    Get-AcctAzureADSecurityGroup
    –AccessToken  $AzureADAccessToken
    –Name "SecurityGroupName"
    <!--NeedCopy-->

Ou, exécutez ce qui suit si vous utilisez un compte de service Microsoft Entra :


    Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"
    <!--NeedCopy-->

  1. Créez un catalogue de machines à l’aide de l’ID de locataire, du jeton d’accès et du groupe de sécurité dynamique. Exécutez la commande suivante pour créer un IdentityPool avec IdentityType=AzureAD et créer un groupe de sécurité dynamique dans Azure.

    New-AcctIdentityPool
-AllowUnicode
-IdentityPoolName "SecurityGroupCatalog"
-NamingScheme "SG-VM-###"
-NamingSchemeType "Numeric" -Scope @()
-ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
-WorkgroupMachine
-IdentityType "AzureAD"
-DeviceManagementType "None"
-AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupName "SecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Activer la fonctionnalité de groupe de sécurité pour un catalogue Microsoft Entra

Vous pouvez activer la fonctionnalité de sécurité dynamique pour un catalogue Microsoft Entra qui a été créé sans que la fonctionnalité de groupe de sécurité dynamique ne soit activée. Pour ce faire :

  1. Créez manuellement un nouveau groupe de sécurité dynamique. Vous pouvez également réutiliser un groupe de sécurité dynamique existant.

  2. Connectez-vous à Microsoft Entra ID et obtenez le jeton d’accès à l’API MS Graph. Utilisez ce jeton d’accès comme valeur du paramètre $AzureADAccessToken lorsque vous exécutez les commandes PowerShell.

    Remarque :

  3. Exécutez la commande suivante pour connecter le pool d’identités au groupe de sécurité dynamique Microsoft Entra créé.

    Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Si vous mettez à jour le schéma de nommage, Citrix met à jour le schéma de nommage vers une nouvelle règle d’appartenance. Si vous supprimez le catalogue, la règle d’appartenance est supprimée, mais pas le groupe de sécurité.

Supprimer un catalogue de machines avec un groupe de sécurité d’appareil joint à Microsoft Entra

Lorsque vous supprimez un catalogue de machines, le groupe de sécurité d’appareil joint à Microsoft Entra est également supprimé.

Pour supprimer le groupe de sécurité dynamique Microsoft Entra, procédez comme suit :

  1. Connectez-vous à Microsoft Entra ID.
  2. Obtenez le jeton d’accès à l’API MS Graph. Utilisez ce jeton d’accès comme valeur du paramètre $AzureADAccessToken lorsque vous exécutez les commandes PowerShell. Vous n’avez pas besoin d’un jeton d’accès Microsoft Entra si vous utilisez un compte de service Microsoft Entra.

  3. Exécutez la commande suivante :

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Créer un groupe de sécurité dynamique Microsoft Entra sous un groupe de sécurité attribué à Microsoft Entra ID existant

Vous pouvez créer un groupe de sécurité dynamique Microsoft Entra sous un groupe de sécurité attribué à Microsoft Entra ID existant. Vous pouvez effectuer les opérations suivantes :

  • Obtenir les informations du groupe de sécurité.
  • Obtenir tous les groupes de sécurité attribués à Microsoft Entra ID qui sont synchronisés à partir du serveur AD local ou les groupes de sécurité attribués auxquels des rôles Microsoft Entra peuvent être attribués.
  • Obtenir tous les groupes de sécurité dynamiques Microsoft Entra.
  • Ajouter le groupe de sécurité dynamique Microsoft Entra en tant que membre du groupe attribué à Microsoft Entra ID.
  • Supprimer l’appartenance entre le groupe de sécurité dynamique Microsoft Entra et le groupe de sécurité attribué à Microsoft Entra ID lorsque le groupe de sécurité dynamique Microsoft Entra est supprimé avec le catalogue de machines.

Vous pouvez également voir des messages d’erreur explicites si l’une des opérations échoue.

Exigence :

Vous devez disposer du jeton d’accès à l’API MS Graph lorsque vous exécutez les commandes PowerShell. Vous n’avez pas besoin d’un jeton d’accès Microsoft Entra si vous utilisez un compte de service Microsoft Entra. Par conséquent, au lieu de -AccessToken <token>, utilisez ServiceAccountUid <service account uid>.

Pour obtenir le jeton d’accès :

  1. Ouvrez Microsoft Graph Explorer et connectez-vous à Microsoft Entra ID.
  2. Assurez-vous d’avoir le consentement pour les autorisations Group.ReadWrite.All et GroupMember.ReadWrite.All.
  3. Obtenez le jeton d’accès à partir de Microsoft Graph Explorer. Utilisez ce jeton d’accès lorsque vous exécutez les commandes PowerShell.

Pour obtenir les informations du groupe de sécurité par ID de groupe :

  1. Obtenez le jeton d’accès.
  2. Trouvez l’ID d’objet du groupe dans le portail Azure.

  3. Exécutez la commande PowerShell suivante dans la console PowerShell :

    Get-AcctAzureADSecurityGroup
-AccessToken <token> -GroupId <GroupUid>
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>
<!--NeedCopy-->

Pour obtenir les groupes de sécurité par nom d’affichage du groupe :

  1. Obtenez le jeton d’accès.

  2. Exécutez la commande PowerShell suivante dans la console PowerShell :

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Name <TargetGroupDisplayName>
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Name <TargetGroupDisplayName>
<!--NeedCopy-->

Pour obtenir les groupes de sécurité dont le nom d’affichage contient une sous-chaîne :

  1. Obtenez le jeton d’accès.

  2. Exécutez la commande PowerShell suivante dans la console PowerShell :

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-SearchString <displayNameSubString>
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-SearchString <displayNameSubString>
<!--NeedCopy-->

Pour obtenir tous les groupes de sécurité attribués à Microsoft Entra ID qui sont synchronisés à partir d’un serveur AD local ou les groupes de sécurité attribués auxquels des rôles Microsoft Entra peuvent être attribués :

  1. Obtenez le jeton d’accès.

  2. Exécutez la commande PowerShell suivante dans la console PowerShell :

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
<!--NeedCopy-->

Pour obtenir tous les groupes de sécurité dynamiques Microsoft Entra :

  1. Obtenez le jeton d’accès.

  2. Exécutez la commande PowerShell suivante dans la console PowerShell :

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Dynamic true
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Dynamic true
<!--NeedCopy-->

Pour obtenir les groupes de sécurité attribués à Microsoft Entra ID avec un nombre maximal d’enregistrements :

  1. Obtenez le jeton d’accès.

  2. Exécutez la commande PowerShell suivante dans la console PowerShell :

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
-MaxRecordCount 10
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
-MaxRecordCount 10
<!--NeedCopy-->

Pour ajouter un groupe de sécurité dynamique Microsoft Entra en tant que membre d’un groupe de sécurité attribué à Microsoft Entra ID :

  1. Obtenez le jeton d’accès.

  2. Exécutez la commande PowerShell suivante dans la console PowerShell :

    Add-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Add-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>
<!--NeedCopy-->

Pour obtenir les membres du groupe de sécurité attribué à Microsoft Entra ID :

  1. Obtenez le jeton d’accès.

  2. Exécutez la commande PowerShell suivante dans la console PowerShell :

    Get-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Get-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
<!--NeedCopy-->

    Remarque :

    Get-AcctAzureADSecurityGroupMember vous fournit uniquement les membres directs du type de groupe de sécurité sous le groupe de sécurité attribué à Microsoft Entra ID.

Pour supprimer l’appartenance entre le groupe de sécurité dynamique Microsoft Entra et le groupe de sécurité attribué à Microsoft Entra ID lorsque le groupe de sécurité dynamique Microsoft Entra est supprimé avec le catalogue de machines :

  1. Obtenez le jeton d’accès.

  2. Exécutez la commande PowerShell suivante dans la console PowerShell :

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Ou, exécutez la commande suivante si vous utilisez un compte de service Microsoft Entra :

    Remove-AcctIdentityPool
-ServiceAccountUid <guid>
-IdentityPoolName "SecurityGroupCatalog"
<!--NeedCopy-->

Modifier le nom du groupe de sécurité dynamique Microsoft Entra

Vous pouvez modifier le nom du groupe de sécurité dynamique Microsoft Entra associé à un catalogue de machines. Cette modification permet de garantir que les informations du groupe de sécurité stockées dans l’objet de pool d’identités Microsoft Entra sont cohérentes avec les informations stockées dans le portail Azure.

Remarque :

Les groupes de sécurité dynamiques Microsoft Entra n’incluent pas les groupes de sécurité synchronisés à partir d’AD local et d’autres types de groupes comme les groupes Office 365.

Vous pouvez modifier le nom du groupe de sécurité dynamique Microsoft Entra à l’aide de Studio et des commandes PowerShell.

Pour modifier le nom du groupe de sécurité dynamique Microsoft Entra à l’aide de PowerShell :

  1. Ouvrez la fenêtre PowerShell.
  2. Exécutez asnp citrix* pour charger les modules PowerShell spécifiques à Citrix.
  3. Exécutez la commande Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name].

Vous recevez des messages d’erreur appropriés si le nom du groupe de sécurité dynamique Microsoft Entra ne peut pas être modifié.

Plus d’informations

Pool d’identités de machine jointe à Microsoft Entra
March 25, 2026
Contributeur: 
C C
March 25, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.