Citrix DaaS™

Pool d’identités de machines jointes hybrides Microsoft Entra

March 25, 2026

Contributeur:

Cet article explique comment créer un pool d’identités de machines jointes hybrides Microsoft Entra à l’aide de Citrix DaaS.

Pour plus d’informations sur les exigences, les limitations et les considérations, consultez Machines jointes hybrides Microsoft Entra.

Utiliser Studio

Les informations suivantes complètent les instructions de Créer des catalogues de machines. Pour créer des catalogues joints hybrides Microsoft Entra, suivez les instructions générales de cet article, en tenant compte des détails spécifiques aux catalogues joints hybrides Microsoft Entra.

Dans l’assistant de création de catalogue :

Sur la page Identités de machine :
1. Sélectionnez le type d’identité comme Joint hybride Microsoft Entra.
2. Sélectionnez une option de compte Active Directory :
  - Créer de nouveaux comptes Active Directory :
    - Si vous sélectionnez Créer de nouveaux comptes Active Directory et utilisez un pool d’identités existant pour créer de nouveaux comptes, sélectionnez un domaine pour ces comptes et spécifiez un schéma de nommage de compte.
    - Si vous sélectionnez Créer de nouveaux comptes Active Directory et utilisez un pool d’identités existant pour créer de nouveaux comptes, sélectionnez un pool d’identités dans la liste.
  - Utiliser des comptes Active Directory existants : Vous pouvez parcourir ou importer à partir d’un fichier CSV, et réinitialiser le mot de passe ou spécifier le même mot de passe pour tous les comptes.
3. Cliquez sur Suivant.
Sur la page Informations d’identification du domaine, sélectionnez un compte de service ou entrez les informations d’identification manuellement. Le pool d’identités joint hybride Microsoft Entra peut également être associé à un compte de service AD local. Pour plus d’informations sur les comptes de service, consultez Comptes de service Active Directory locaux.

Utiliser PowerShell

Les étapes PowerShell suivantes sont équivalentes aux opérations dans Studio.

La différence entre les catalogues joints à un AD local et les catalogues joints hybrides Microsoft Entra réside dans la création du pool d’identités et des comptes de machine.

Créer un nouveau pool d’identités

Par exemple : Pour créer un pool d’identités avec les comptes pour les catalogues joints hybrides Microsoft Entra :

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Remarque :

Le $password est le mot de passe correspondant à un compte d’utilisateur AD avec des autorisations d’écriture.

Toutes les autres commandes utilisées pour créer des catalogues joints hybrides Microsoft Entra sont les mêmes que pour les catalogues traditionnels joints à un AD local.

Vous pouvez également associer un compte de service local à un catalogue de machines créé par MCS en associant un compte de service local au pool d’identités. Vous pouvez créer un pool d’identités ou mettre à jour un pool d’identités existant pour l’associer à un compte de service.

Par exemple : Pour créer un nouveau pool d’identités et l’associer à un compte de service, exécutez ce qui suit :

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Par exemple : Pour créer un nouveau pool d’identités avec des attributs d’extension spécifiés et l’associer à un compte de service, exécutez ce qui suit :

New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->

Lorsqu’une machine virtuelle est mise sous tension pour la première fois, après avoir rejoint Microsoft Entra ID, la machine virtuelle signale son Entra ID deviceId à MCS.

Par exemple : Pour vérifier l’EntraIDDeviceID, exécutez Get-AcctADAccount ou Get-AcctIdentity.

Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->

Après le redémarrage, pour les machines virtuelles persistantes et non persistantes, l’EntraIDDeviceID reste le même.

Remarque :

MCS supprime automatiquement les ID de périphérique et les attributs d’extension associés lorsque vous supprimez une machine virtuelle du catalogue mais ne la supprimez pas d’Azure.

Mettre à jour un pool d’identités existant

Par exemple : Pour mettre à jour un pool d’identités existant afin de l’associer à un compte de service, exécutez ce qui suit :

$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid

Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Remarque :

Le $serviceAccountUid doit être un UID valide d’un compte de service Active Directory local.

Par exemple : Pour modifier les attributs d’extension du catalogue existant, exécutez ce qui suit :

Remarque :

Après la mise à niveau des machines virtuelles de catalogue existantes vers la version VDA 2511 ou ultérieure, un redémarrage est nécessaire. Ce redémarrage permet à la machine virtuelle de signaler son Entra ID deviceId à MCS, ce qui permet ensuite à MCS de configurer les attributs d’extension de la machine virtuelle.

Le catalogue existant doit avoir un compte de service de type AzureAD avec la permission “Device.ReadWrite.All”.

Pour ajouter de nouveaux attributs :

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->

Pour supprimer des attributs existants

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->

Set-AcctIdentityPool met également à jour les attributs d’extension du périphérique Entra ID pour les machines virtuelles qui sont déjà jointes à Entra ID et possèdent une valeur EntraIDDeviceID dans leurs identités.

Créer un catalogue hybride Microsoft Entra

Vous pouvez également créer un catalogue hybride Microsoft Entra à l’aide d’une image préparée. Pour l’ensemble complet des commandes PowerShell permettant de créer la définition d’image, la version d’image et la spécification de version d’image préparée, consultez :

Environnement de virtualisation Azure : Utiliser PowerShell.
Environnement de virtualisation VMware : Utiliser PowerShell

Après avoir créé la spécification de version d’image préparée, créez le pool d’identités et le catalogue de machines. Par exemple :

New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC##  -NamingSchemeType "Numeric"  -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Afficher l’état du processus de jonction hybride Microsoft Entra

Dans Studio, l’état du processus de jonction hybride Microsoft Entra est visible lorsque les machines jointes hybrides Microsoft Entra d’un groupe de mise à disposition sont sous tension. Pour afficher l’état, utilisez Rechercher pour identifier ces machines, puis pour chacune, vérifiez Identité de la machine sous l’onglet Détails dans le volet inférieur. Les informations suivantes peuvent apparaître dans Identité de la machine :

Joint hybride Microsoft Entra
Pas encore joint à Microsoft Entra ID

Remarque :

Vous pourriez rencontrer un délai dans la jonction hybride Microsoft Entra lorsque la machine démarre initialement. Cela est dû à l’intervalle de synchronisation par défaut de l’identité de la machine (30 minutes de Microsoft Entra Connect). La machine n’est dans l’état de jonction hybride Microsoft Entra qu’après la synchronisation des identités de machine avec Microsoft Entra ID via Microsoft Entra Connect.

Si les machines ne parviennent pas à être dans l’état de jonction hybride Microsoft Entra, elles ne sont pas enregistrées auprès du Delivery Controller. Leur état d’enregistrement apparaît comme Initialisation.

De plus, à l’aide de Studio, vous pouvez savoir pourquoi les machines sont indisponibles. Pour ce faire, cliquez sur une machine dans le nœud Rechercher, vérifiez Enregistrement sous l’onglet Détails dans le volet inférieur, puis lisez l’info-bulle pour des informations supplémentaires.

Dépannage

Si les machines ne parviennent pas à être jointes hybrides Microsoft Entra, procédez comme suit :

Vérifiez si le compte de machine a été synchronisé avec Microsoft Entra ID via le portail Microsoft Entra. Si c’est le cas, Pas encore joint à Microsoft Entra ID apparaît, indiquant un état d’enregistrement en attente.

Pour synchroniser les comptes de machine avec Microsoft Entra ID, assurez-vous que :
- Le compte de machine se trouve dans l’unité d’organisation configurée pour être synchronisée avec Microsoft Entra ID. Les comptes de machine sans l’attribut userCertificate ne sont pas synchronisés avec Microsoft Entra ID même s’ils se trouvent dans l’unité d’organisation configurée pour être synchronisée.
- L’attribut userCertificate est renseigné dans le compte de machine. Utilisez Active Directory Explorer pour afficher l’attribut.
- Microsoft Entra Connect doit avoir été synchronisé au moins une fois après la création du compte de machine. Si ce n’est pas le cas, exécutez manuellement la commande Start-ADSyncSyncCycle -PolicyType Delta dans la console PowerShell de la machine Microsoft Entra Connect pour déclencher une synchronisation immédiate.
Vérifiez si la paire de clés de l’appareil géré par Citrix pour la jonction hybride à Microsoft Entra est correctement poussée vers la machine en interrogeant la valeur de DeviceKeyPairRestored sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

Vérifiez que la valeur est 1. Si ce n’est pas le cas, les raisons possibles sont les suivantes :
- Le IdentityType du pool d’identités associé au schéma de provisionnement n’est pas défini sur HybridAzureAD. Vous pouvez le vérifier en exécutant Get-AcctIdentityPool.
- La machine n’est pas provisionnée à l’aide du même schéma de provisionnement que le catalogue de machines.
- La machine n’est pas jointe au domaine local. La jonction au domaine local est un prérequis pour la jonction hybride à Microsoft Entra.
Vérifiez les messages de diagnostic en exécutant la commande dsregcmd /status /debug sur la machine provisionnée par MCS.
- Si la jonction hybride à Microsoft Entra est réussie, AzureAdJoined et DomainJoined sont définis sur YES dans la sortie de la ligne de commande.
- Si ce n’est pas le cas, consultez la documentation Microsoft pour résoudre les problèmes : https://docs.microsoft.com/fr-fr/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
- Si vous obtenez le message d’erreur Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, exécutez la commande PowerShell suivante pour réparer le certificat utilisateur :
```
 Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 
```

Pour plus d’informations sur le problème de certificat utilisateur, consultez CTX566696.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Pool d’identités de machines jointes hybrides Microsoft Entra

March 25, 2026

Contributeur:

March 25, 2026

Contributeur:

Dans cet article

Utiliser Studio
Utiliser PowerShell
Afficher l’état du processus de jonction hybride Microsoft Entra
Dépannage

Cela vous a-t-il été utile ?