Documentation produit
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

Pool d’identités de machine jointe à un annuaire Active Directory hybride Azure

May 31, 2026
Contributeur: 
C

Remarque :

Depuis juillet 2023, Microsoft a renommé Azure Active Directory (Azure AD) en Microsoft Entra ID. Dans ce document, toute référence à Azure Active Directory, Azure AD ou AAD fait désormais référence à Microsoft Entra ID.

Cet article décrit comment créer un pool d’identités de :

  • Catalogues joints à un annuaire Active Directory hybride Azure (AD)
  • Catalogues joints à un annuaire Active Directory hybride Azure inscrits dans Microsoft Intune

Pour plus d’informations sur les exigences, les limitations et les considérations, consultez Joint à un annuaire Active Directory hybride Azure.

Créer des catalogues joints à un annuaire Active Directory hybride Azure (AD)

Utiliser Web Studio

Les informations suivantes complètent les directives de Créer des catalogues de machines.

Sur la page Identités de machine de l’assistant de création de catalogue :

  • Sélectionnez Joint à un annuaire Active Directory hybride Azure. Les machines créées appartiennent à une organisation et sont connectées avec un compte Active Directory appartenant à cette organisation.

  • Pour inscrire les machines créées dans Microsoft Intune (y compris Configuration Manager) pour la gestion des appareils, sélectionnez Inscrire les machines dans Microsoft Intune avec Configuration Manager. Pour éviter les erreurs lors de la création du catalogue, assurez-vous que l’image principale répond aux exigences suivantes :

    • Dispose de la version 2405 ou ultérieure du VDA installée.
    • Dispose du client Configuration Manager installé avec le code de site non attribué. Pour plus d’informations, consultez cet article Microsoft.

Remarque :

Si vous sélectionnez Joint à un annuaire Active Directory hybride Azure comme type d’identité, chaque machine du catalogue doit avoir un compte d’ordinateur AD correspondant.

Utiliser PowerShell

Voici les étapes PowerShell équivalentes aux opérations dans Web Studio. Pour plus d’informations sur la création d’un catalogue à l’aide du SDK PowerShell distant, consultez https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

La différence entre les catalogues joints à un AD local et ceux joints à un Azure AD hybride réside dans la création du pool d’identités et des comptes d’ordinateur.

Pour créer un pool d’identités ainsi que les comptes pour les catalogues joints à un Azure AD hybride :

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Remarque :

$password est le mot de passe correspondant pour un compte d’utilisateur AD avec des autorisations d’écriture.

Toutes les autres commandes utilisées pour créer des catalogues joints à un Azure AD hybride sont les mêmes que pour les catalogues traditionnels joints à un AD local.

Afficher l’état du processus de jonction Azure AD hybride

Dans Web Studio, l’état du processus de jonction Azure AD hybride est visible lorsque les machines jointes à un Azure AD hybride dans un groupe de mise à disposition sont sous tension. Pour afficher l’état, utilisez Rechercher pour identifier ces machines, puis pour chacune, vérifiez Identité de la machine sous l’onglet Détails dans le volet inférieur. Les informations suivantes peuvent apparaître dans Identité de la machine :

  • Joint à un Azure AD hybride
  • Pas encore joint à Azure AD

Remarque :

  • Vous pourriez rencontrer un délai dans la jonction Azure AD hybride lorsque la machine démarre initialement. Ceci est dû à l’intervalle de synchronisation par défaut de l’identité de la machine (30 minutes d’Azure AD Connect). La machine est dans l’état joint à un Azure AD hybride uniquement après que les identités de la machine sont synchronisées avec Azure AD via Azure AD Connect.
  • Si les machines ne parviennent pas à être jointes à Azure AD hybride, elles ne sont pas enregistrées auprès du Delivery Controller. Leur état d’enregistrement apparaît comme Initialisation.

De plus, à l’aide de Web Studio, vous pouvez savoir pourquoi les machines sont indisponibles. Pour ce faire, cliquez sur une machine dans le nœud Recherche, vérifiez Enregistrement dans l’onglet Détails du volet inférieur, puis lisez l’info-bulle pour obtenir des informations supplémentaires.

Dépannage

Si les machines ne parviennent pas à être jointes à Azure AD hybride, procédez comme suit :

  • Vérifiez si le compte machine a été synchronisé avec Azure AD via le portail Microsoft Azure AD. Si c’est le cas, Pas encore joint à Azure AD apparaît, indiquant un état d’enregistrement en attente.

    Pour synchroniser les comptes machine avec Azure AD, assurez-vous que :

    • Le compte machine se trouve dans l’unité d’organisation configurée pour être synchronisée avec Azure AD. Les comptes machine sans l’attribut userCertificate ne sont pas synchronisés avec Azure AD même s’ils se trouvent dans l’unité d’organisation configurée pour être synchronisée.
    • L’attribut userCertificate est renseigné dans le compte machine. Utilisez Active Directory Explorer pour afficher l’attribut.
    • Azure AD Connect doit avoir été synchronisé au moins une fois après la création du compte machine. Si ce n’est pas le cas, exécutez manuellement la commande Start-ADSyncSyncCycle -PolicyType Delta dans la console PowerShell de la machine Azure AD Connect pour déclencher une synchronisation immédiate.

  • Vérifiez si la paire de clés de périphérique gérée par Citrix pour la jonction Azure AD hybride est correctement poussée vers la machine en interrogeant la valeur de DeviceKeyPairRestored sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

    Vérifiez que la valeur est 1. Si ce n’est pas le cas, les raisons possibles sont :

    • IdentityType du pool d’identités associé au schéma de provisionnement n’est pas défini sur HybridAzureAD. Vous pouvez le vérifier en exécutant Get-AcctIdentityPool.
    • La machine n’est pas provisionnée à l’aide du même schéma de provisionnement que le catalogue de machines.
    • La machine n’est pas jointe au domaine local. La jonction au domaine local est un prérequis pour la jonction Azure AD hybride.

  • Vérifiez les messages de diagnostic en exécutant la commande dsregcmd /status /debug sur la machine provisionnée par MCS.

    • Si la jonction hybride Azure AD est réussie, AzureAdJoined et DomainJoined sont YES dans la sortie de la ligne de commande.

    • Si ce n’est pas le cas, consultez la documentation Microsoft pour résoudre les problèmes : https://docs.microsoft.com/fr-fr/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Si vous recevez le message d’erreur Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, exécutez la commande PowerShell suivante pour réparer le certificat utilisateur :

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      Pour plus d’informations sur le problème de certificat utilisateur, consultez CTX566696.

Créer des catalogues joints à Azure AD hybride inscrits dans Microsoft Intune

Vous pouvez créer des catalogues activés pour la cogestion pour les catalogues joints à Azure AD hybride inscrits dans Microsoft Intune pour les machines virtuelles persistantes à session unique et multi-session. Vous pouvez créer des catalogues activés pour la cogestion à l’aide de Studio et de PowerShell.

Utiliser Web Studio

Les informations suivantes complètent les directives de Créer des catalogues de machines.

Dans l’assistant Configuration du catalogue de machines :

  • Sur la page Identités de machine, sélectionnez Joint à Azure Active Directory hybride, puis Inscrire les machines dans Microsoft Intune avec Configuration Manager. Grâce à cette action, Configuration Manager et Microsoft Intune (c’est-à-dire cogérés) gèrent les machines virtuelles.

Utiliser PowerShell

Voici les étapes PowerShell équivalentes aux étapes de Studio.

Pour inscrire des machines dans Microsoft Intune avec Configuration Manager à l’aide du SDK PowerShell distant, utilisez le paramètre DeviceManagementType dans New-AcctIdentityPool. Cette fonctionnalité nécessite que le catalogue soit joint à Azure AD hybride et qu’Azure AD possède la licence Microsoft Intune correcte.

La différence entre les catalogues joints à Azure AD hybride et ceux activés pour la cogestion réside dans la création du pool d’identités. Par exemple :

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Dépannage

Si les machines ne parviennent pas à s’inscrire à Microsoft Intune ou à atteindre l’état de cogestion, procédez comme suit :

  • Vérifier la licence Intune

    Vérifiez si votre locataire Azure AD dispose de la licence Intune appropriée. Consultez Licences Microsoft Intune pour connaître les exigences de licence de Microsoft Intune.

  • Vérifier l’état de jonction Hybrid Azure AD

    Vérifiez si les machines provisionnées par MCS sont jointes à Hybrid Azure AD. Les machines ne sont pas éligibles à la cogestion si elles ne sont pas jointes à Hybrid Azure AD. Consultez Dépannage pour résoudre les problèmes de jonction Hybrid Azure AD.

  • Vérifier l’éligibilité à la cogestion

    • Vérifiez si les machines provisionnées par MCS sont correctement affectées au site Configuration Manager attendu. Pour obtenir le site affecté, exécutez la commande PowerShell suivante sur les machines concernées.

       (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • Si aucun site n’est affecté à la VM, utilisez la commande suivante pour vérifier si le site Configuration Manager peut être découvert automatiquement.

       (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • Assurez-vous que les limites et les groupes de limites sont bien configurés dans votre environnement Configuration Manager si aucun code de site ne peut être découvert. Consultez Considérations pour plus de détails.

    • Vérifiez C:\Windows\CCM\Logs\ClientLocation.log pour tout problème d’affectation de site client Configuration Manager.

    • Vérifiez les états de cogestion des machines. Ouvrez le panneau de configuration de Configuration Manager sur les machines concernées et accédez à l’onglet Général. La valeur de la propriété Co-management doit être Activé. Si ce n’est pas le cas, vérifiez les journaux sous C:\Windows\CCM\Logs\CoManagementHandler.log.

  • Vérifier l’inscription Intune

    Les machines peuvent échouer à s’inscrire à Microsoft Intune même si toutes les conditions préalables sont remplies. Vérifiez les journaux d’événements Windows sous Journaux des applications et des services > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider pour les problèmes d’inscription Intune.

Pool d’identités de machine jointe à un annuaire Active Directory hybride Azure
May 31, 2026
Contributeur: 
C
May 31, 2026
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.