-
Planifier et créer un déploiement
-
-
Créer des catalogues de machines
-
Pools d'identités de machines de différents types de jonction
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Pool d’identités de machines jointes à Hybrid Azure Active Directory
Remarque
Depuis juillet 2023, Microsoft a renommé Azure Active Directory (Azure AD) Microsoft Entra ID. Dans ce document, toute mention d’Azure Active Directory, d’Azure AD ou d’AAD fait désormais référence à Microsoft Entra ID.
Cet article explique comment créer un pool d’identités de machines jointes à Hybrid Azure Active Directory à l’aide de Citrix DaaS.
Pour plus d’informations sur les exigences, les limites et les considérations, consultez la section Joint à Azure Active Directory Hybride.
Utiliser Studio
Les informations suivantes étayent les instructions disponibles dans la section Créer des catalogues de machines. Pour créer des catalogues joints à Azure AD Hybride, suivez les instructions générales de cet article, en tenant compte des détails spécifiques aux catalogues joints à Azure AD Hybride.
Dans l’assistant de création de catalogues :
-
Sur la page Identités des machines :
- Sélectionnez le type d’identité Jonction à Hybrid Azure Active Directory.
-
Sélectionner une option de compte Active Directory:
-
Créer des comptes Active Directory :
- Si vous sélectionnez Créer des comptes Active Directory et que vous utilisez un pool d’identités existant pour les créer, sélectionnez un domaine pour ces comptes et spécifiez un schéma de dénomination de compte.
- Si vous sélectionnez Créer des comptes Active Directory et que vous utilisez un pool d’identités existant pour les créer, sélectionnez un pool d’identités dans la liste.
- Utiliser les comptes Active Directory existants : vous pouvez parcourir les comptes ou les importer à partir d’un fichier CSV, puis réinitialiser le mot de passe ou spécifier le même mot de passe pour tous les comptes.
-
Créer des comptes Active Directory :
- Dans Commandes CLI équivalentes, passez en revue les commandes et cliquez sur Suivant.
-
Sur la page Informations d’identification du domaine, sélectionnez un compte de service ou entrez les informations d’identification manuellement. Le pool d’identités de type Jonction à Hybrid Azure AD peut également être associé à un compte de service AD local. Pour plus d’informations sur les comptes de service, consultez l’article Comptes de service Active Directory locaux.
Utiliser PowerShell
Voici des étapes PowerShell équivalentes aux opérations Studio.
La différence entre les catalogues joints à AD sur site et ceux joints à Azure AD Hybride réside dans la création du pool d’identités et des comptes de machines.
Pour créer un pool d’identités avec les comptes pour les catalogues joints à Azure AD Hybride :
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
Remarque
Le mot de passe correspondant à un compte utilisateur AD doté d’autorisations d’écriture est
$password.
Toutes les autres commandes utilisées pour créer des catalogues joints à Azure AD Hybride sont les mêmes que pour les catalogues joints à AD sur site traditionnels.
Vous pouvez également associer un compte de service local à un catalogue de machines créé par MCS en associant le compte au pool d’identités. Vous pouvez créer un pool d’identités ou mettre à jour un pool d’identités existant pour l’associer à un compte de service.
Par exemple : pour créer un pool d’identités et l’associer à un compte de service, exécutez la commande suivante :
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
Par exemple : pour mettre à jour un pool d’identités existant et l’associer à un compte de service, exécutez la commande suivante :
$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
Remarque
L’identifiant
$serviceAccountUiddoit être un UID valide d’un compte de service Active Directory local.
Vous pouvez également créer un catalogue Hybrid Azure AD à l’aide d’une image préparée. Exemple d’ensemble complet de commandes PowerShell pour créer une définition d’image, une version d’image et une spécification de version d’image préparée, consultez :
-
Environnement de virtualisation Azure : Utiliser PowerShell.
-
Environnement de virtualisation VMware : Utiliser PowerShell
Après avoir créé la spécification de version de l’image préparée, créez le pool d’identités et le catalogue de machines. Par exemple :
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Afficher l’état Azure AD Hybride
Dans Studio, l’état Azure AD Hybride est visible lorsque les machines jointes à Azure AD Hybride dans un groupe de mise à disposition sont sous tension. Pour afficher l’état, utilisez la fonction Rechercher pour identifier ces machines, puis vérifiez Identité de la machine dans l’onglet Détails du volet inférieur. Les informations suivantes peuvent apparaître dans Identité de la machine :
- Joint à Azure AD Hybride
- Pas encore joint à Azure AD
Remarque
- La jonction à Azure AD Hybride peut être retardée lors de la mise sous tension initiale de la machine. Cela est dû à l’intervalle de synchronisation de l’identité de la machine par défaut (30 minutes d’Azure AD Connect). La machine est définie sur l’état Joint à Azure AD Hybride uniquement après la synchronisation des identités de la machine avec Azure AD via Azure AD Connect.
- Si des machines ne sont pas définies sur l’état Joint à Azure AD Hybride, elles ne sont pas enregistrées auprès du Delivery Controller. Leur état d’enregistrement indique Initialisation.
En outre, à l’aide de Studio, vous pouvez découvrir pourquoi les machines ne sont pas disponibles. Pour ce faire, cliquez sur une machine dans le nœud Rechercher, cochez Enregistrement dans l’onglet Détails dans le volet inférieur, puis lisez l’infobulle pour plus d’informations.
Dépannage
Si des machines ne peuvent pas être jointes à Azure AD Hybride, procédez comme suit :
-
Vérifiez si le compte de la machine a été synchronisé avec Azure AD via le portail Microsoft Azure AD. S’il est synchronisé, Pas encore joint à Azure AD apparaît, indiquant que l’inscription est en attente.
Pour synchroniser des comptes de machines avec Azure AD, assurez-vous que :
- Le compte de machine se trouve dans l’unité d’organisation configurée pour être synchronisée avec Azure AD. Les comptes de machines sans attribut userCertificate ne sont pas synchronisés avec Azure AD même s’ils se trouvent dans l’unité d’organisation configurée pour être synchronisée.
- L’attribut userCertificate est renseigné dans le compte de la machine. Utilisez Active Directory Explorer pour afficher l’attribut.
- Azure AD Connect doit avoir été synchronisé au moins une fois après la création du compte de machine. Sinon, exécutez manuellement la commande
Start-ADSyncSyncCycle -PolicyType Deltadans la console PowerShell de la machine Azure AD Connect pour déclencher une synchronisation immédiate.
-
Vérifiez si la paire de clés de périphérique géré par Citrix pour la jointure à Azure AD Hybride est correctement transmise à la machine en interrogeant la valeur de DeviceKeyPairRestored sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.
Vérifiez que la valeur est 1. Si ce n’est pas le cas, les raisons possibles sont les suivantes :
- Le paramètre
IdentityTypedu pool d’identités associé au schéma de provisioning n’est pas défini surHybridAzureAD. Vous pouvez le vérifier en exécutantGet-AcctIdentityPool. - La machine n’est pas provisionnée à l’aide du même schéma de provisioning que le catalogue de machines.
- La machine n’est pas jointe au domaine local. La jonction au domaine local est une condition préalable à la jonction à Azure AD.
- Le paramètre
-
Vérifiez les messages de diagnostic en exécutant la commande
dsregcmd /status /debugsur la machine provisionnée par MCS.- Si la jonction à Azure AD Hybride réussit, AzureAdJoined et DomainJoined ont la valeur YES dans la sortie de la ligne de commande.
- Sinon, consultez la documentation Microsoft pour résoudre les problèmes : https://docs.microsoft.com/fr-fr/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
-
Si vous voyez le message d’erreur Message du serveur : Le certificat utilisateur est introuvable sur l’appareil avec l’ID : xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx, exécutez la commande PowerShell suivante pour réparer le certificat utilisateur :
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->
Pour plus d’informations sur le problème du certificat utilisateur, consultez CTX566696.
Partager
Partager
Dans cet article
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.