Documentazione dei prodotti
Citrix DaaS™
Visualizza PDF

Pool di identità per macchine con identità aggiunta ad Azure Active Directory

September 16, 2025
Grazie al contributo di: 
C C

Questo articolo descrive come creare un pool di identità per macchine con identità aggiunta ad Azure Active Directory utilizzando Citrix DaaS.

Nota:

Da luglio 2023, Microsoft ha rinominato Azure Active Directory (Azure AD) in Microsoft Entra ID. In questo documento, qualsiasi riferimento ad Azure Active Directory, Azure AD o AAD si riferisce ora a Microsoft Entra ID.

Per informazioni su requisiti, limitazioni e considerazioni, vedere Macchine aggiunte ad Azure Active Directory.

Prima di creare il catalogo macchine, sono necessari i seguenti elementi:

  1. Nuova posizione delle risorse
    • Accedere all’interfaccia utente di amministrazione di Citrix Cloud™ > menu hamburger in alto a sinistra > Posizioni delle risorse.
    • Fare clic su + Posizione delle risorse.
    • Immettere un nome per la nuova posizione delle risorse e fare clic su Salva.
  2. Creare una connessione di hosting. Per i dettagli, vedere la sezione Creare e gestire le connessioni. Quando si distribuiscono macchine su Azure, vedere Connessione ad Azure Resource Manager.

È possibile creare cataloghi aggiunti ad Azure AD utilizzando Studio o PowerShell.

Utilizzare Studio

Le seguenti informazioni sono un supplemento alle indicazioni contenute in Creare cataloghi macchine. Per creare cataloghi aggiunti ad Azure AD, seguire le indicazioni generali di tale articolo, tenendo conto dei dettagli specifici per i cataloghi aggiunti ad Azure AD.

Nella procedura guidata di creazione del catalogo:

  1. Nella pagina Immagine:
    • Selezionare 2106 o versione successiva come livello funzionale.
    • Selezionare Usa un profilo macchina e selezionare la macchina appropriata dall’elenco.

  2. Nella pagina Identità macchina:

    • Selezionare Aggiunta ad Azure Active Directory. Le macchine create sono di proprietà di un’organizzazione e vi si accede con un account Azure AD appartenente a tale organizzazione. Esistono solo nel cloud.

      Nota:

      • Il tipo di identità Aggiunta ad Azure Active Directory richiede la versione 2106 o successiva come livello funzionale minimo per il catalogo.
      • Le macchine sono aggiunte al dominio Azure AD associato al tenant a cui è vincolata la connessione di hosting.

    • Fare clic su Seleziona account di servizio e selezionare un account di servizio disponibile dall’elenco. Se un account di servizio adatto non è disponibile per il tenant Azure AD a cui si uniranno le identità macchina, è possibile creare un account di servizio. Per informazioni sugli account di servizio, vedere Account di servizio Azure AD.

      Nota:

      L’account di servizio selezionato potrebbe trovarsi in uno stato non integro per vari motivi. È possibile accedere a Amministratori > Account di servizio per visualizzare i dettagli e risolvere i problemi in base alle raccomandazioni. In alternativa, è possibile procedere con l’operazione del catalogo macchine e risolvere i problemi in seguito. Se non si risolve il problema, vengono generati dispositivi aggiunti ad Azure AD o registrati in Microsoft Intune non aggiornati che possono bloccare l’aggiunta delle macchine ad Azure AD.

  3. Gli utenti devono disporre di accesso esplicito in Azure per accedere alle macchine utilizzando le proprie credenziali AAD. Per maggiori dettagli, vedere la sezione Macchine aggiunte ad Azure Active Directory.

Modificare l’associazione dell’account di servizio

Per modificare l’account di servizio associato o aggiungere un’associazione a un catalogo macchine MCS esistente, utilizzare la pagina Modifica catalogo macchine.

  • Per aggiungere un account di servizio, fare clic su Seleziona account di servizio nella pagina Account di servizio.
  • Per modificare l’associazione dell’account di servizio, fare clic sull’icona di modifica nella pagina Account di servizio.

Utilizzare PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni in Studio.

La differenza tra i cataloghi aggiunti ad AD locale e quelli aggiunti ad Azure AD risiede nella creazione del pool di identità e dello schema di provisioning.

È necessario associare un account di servizio Azure AD al pool di identità e quindi creare il catalogo macchine. È possibile creare un nuovo pool di identità o aggiornarne uno esistente per associarlo a un account di servizio.

Ad esempio: per creare un nuovo pool di identità e associarlo a un account di servizio, eseguire quanto segue:

New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Ad esempio: per aggiornare un pool di identità esistente e associarlo a un account di servizio, eseguire quanto segue:

$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Nota:

$serviceAccountUid deve essere un UID valido di un account di servizio Azure AD.

Per creare uno schema di provisioning per i cataloghi aggiunti ad Azure AD, il parametro MachineProfile è richiesto in New-ProvScheme. Ad esempio:

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

Per creare un catalogo Azure AD utilizzando un’immagine preparata. Ad esempio:

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Visualizzare lo stato del processo di aggiunta ad Azure AD

In Studio, lo stato del processo di aggiunta ad Azure AD è visibile quando le macchine aggiunte ad Azure AD in un gruppo di consegna sono in stato di accensione. Per visualizzare lo stato, utilizzare Cerca per identificare tali macchine e quindi per ciascuna controllare Identità macchina nella scheda Dettagli nel riquadro inferiore. Le seguenti informazioni possono apparire in Identità macchina:

  • Aggiunta ad Azure AD
  • Non ancora aggiunta ad Azure AD

Nota:

Se le macchine non riescono a raggiungere lo stato di aggiunta ad Azure AD, non si registrano con il Delivery Controller. Il loro stato di registrazione appare come Inizializzazione.

Inoltre, utilizzando Studio, è possibile scoprire perché le macchine non sono disponibili. Per farlo, fare clic su una macchina nel nodo Cerca, controllare Registrazione nella scheda Dettagli nel riquadro inferiore e quindi leggere il tooltip per ulteriori informazioni.

Gruppo di consegna

Per i dettagli, vedere la sezione Creare gruppi di consegna.

Abilitare Rendezvous

Una volta creato il gruppo di consegna, è possibile abilitare Rendezvous. Per i dettagli, vedere Rendezvous V2.

Risoluzione dei problemi

Se le macchine non riescono a essere aggiunte ad Azure AD, eseguire quanto segue:

  • Verificare se l’identità gestita assegnata dal sistema è abilitata per le macchine. Le macchine con provisioning MCS devono averla abilitata automaticamente. Il processo di aggiunta ad Azure AD fallisce senza un’identità gestita assegnata dal sistema. Se l’identità gestita assegnata dal sistema non è abilitata per le macchine con provisioning MCS, la possibile ragione è:

    • IdentityType del pool di identità associato allo schema di provisioning non è impostato su AzureAD. È possibile verificarlo eseguendo Get-AcctIdentityPool.

  • Per i cataloghi che utilizzano immagini master con VDA versione 2206 o precedente, controllare lo stato di provisioning dell’estensione AADLoginForWindows per le macchine. Se l’estensione AADLoginForWindows non esiste, le possibili ragioni sono:

    • IdentityType del pool di identità associato allo schema di provisioning non è impostato su AzureAD. È possibile verificarlo eseguendo Get-AcctIdentityPool.

    • L’installazione dell’estensione AADLoginForWindows è bloccata dalla policy di Azure.

  • Per risolvere i problemi di provisioning dell’estensione AADLoginForWindows, è possibile controllare i log in C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows sulla macchina con provisioning MCS.

    Nota:

    MCS non si basa sull’estensione AADLoginForWindows per aggiungere una VM ad Azure AD quando si utilizza un’immagine master con VDA versione 2209 o successiva. In questo caso, l’estensione AADLoginForWindows non verrà installata sulla macchina con provisioning MCS. Pertanto, i log di provisioning dell’estensione AADLoginForWindows non possono essere raccolti.

  • Controllare lo stato di aggiunta ad Azure AD e i log di debug eseguendo il comando dsregcmd /status sulla macchina con provisioning MCS.

  • Controllare i log eventi di Windows in Log applicazioni e servizi > Microsoft > Windows > Registrazione dispositivo utente.

  • Verificare che la gestione dei dispositivi Azure AD sia configurata correttamente eseguendo Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName}.

    Assicurarsi che il valore di:

    • La proprietà AzureAdDeviceManagement in CustomProperties sia true
    • La proprietà Citrix_MCS_AzureAdDeviceManagement_PermissionGranted nei metadati sia true

    Se Citrix_MCS_AzureAdDeviceManagement_PermissionGranted è false, indica che al ServicePrincipal dell’applicazione utilizzata dalla connessione di hosting non sono state concesse autorizzazioni sufficienti per eseguire la gestione dei dispositivi Azure AD. Per risolvere questo problema, assegnare al ServicePrincipal il ruolo Amministratore dispositivi cloud.

Gruppo di sicurezza dinamico di Azure Active Directory

Le regole dei gruppi dinamici inseriscono le VM nel catalogo in un gruppo di sicurezza dinamico basato sullo schema di denominazione del catalogo macchine.

Se lo schema di denominazione del catalogo macchine è Test### (dove # indica un numero), Citrix® crea la regola di appartenenza dinamica ^Test[0-9]{3}$ nel gruppo di sicurezza dinamico. Ora, se il nome della VM creata da Citrix è qualsiasi cosa da Test001 a Test999, allora la VM è inclusa nel gruppo di sicurezza dinamico.

Nota:

Se il nome della VM creata manualmente è qualsiasi cosa da Test001 a Test999, anche la VM è inclusa nel gruppo di sicurezza dinamico. Questa è una delle limitazioni del gruppo di sicurezza dinamico.

La funzionalità del gruppo di sicurezza dinamico è utile quando si desidera gestire le VM tramite Azure Active Directory (Azure AD). È anche utile quando si desidera applicare policy di accesso condizionale o distribuire app da Intune filtrando le VM con il gruppo di sicurezza dinamico di Azure AD.

È possibile utilizzare i comandi PowerShell per:

  • Creare un catalogo macchine con un gruppo di sicurezza dinamico di Azure AD
  • Abilitare la funzionalità del gruppo di sicurezza per un catalogo Azure AD
  • Eliminare un catalogo macchine con un gruppo di sicurezza del dispositivo aggiunto ad Azure AD

Importante:

Creare un catalogo macchine con un gruppo di sicurezza dinamico di Azure AD

  1. Nell’interfaccia utente della console basata sul Web per la configurazione del catalogo macchine, nella pagina Identità macchina, selezionare Aggiunta ad Azure Active Directory.
  2. Accedere ad Azure AD.
  3. Ottenere il token di accesso all’API MS Graph. Utilizzare questo token di accesso come valore del parametro $AzureADAccessToken quando si eseguono i comandi PowerShell. Non è necessario un token di accesso Azure AD se si utilizza un account di servizio Azure AD.

  4. Eseguire il comando seguente per verificare se il nome del gruppo di sicurezza dinamico esiste nel tenant.

    Get-AcctAzureADSecurityGroup
–AccessToken  $AzureADAccessToken
–Name "SecurityGroupName"
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"
<!--NeedCopy-->

  5. Creare un catalogo macchine utilizzando l’ID tenant, il token di accesso e il gruppo di sicurezza dinamico. Eseguire il comando seguente per creare un IdentityPool con IdentityType=AzureAD e creare un gruppo di sicurezza dinamico in Azure.

    New-AcctIdentityPool
-AllowUnicode
-IdentityPoolName "SecurityGroupCatalog"
-NamingScheme "SG-VM-###"
-NamingSchemeType "Numeric" -Scope @()
-ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
-WorkgroupMachine
-IdentityType "AzureAD"
-DeviceManagementType "None"
-AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupName "SecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Abilitare la funzionalità del gruppo di sicurezza per un catalogo Azure AD

È possibile abilitare la funzionalità di sicurezza dinamica per un catalogo Azure AD creato senza la funzionalità del gruppo di sicurezza dinamico abilitata. Per farlo:

  1. Creare manualmente un nuovo gruppo di sicurezza dinamico. È anche possibile riutilizzare un gruppo di sicurezza dinamico esistente.

  2. Accedere ad Azure AD e ottenere il token di accesso all’API MS Graph. Utilizzare questo token di accesso come valore del parametro $AzureADAccessToken quando si eseguono i comandi PowerShell.

    Nota:

  3. Eseguire il comando seguente per connettere il pool di identità al gruppo di sicurezza dinamico di Azure AD creato.

    Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Se si aggiorna lo schema di denominazione, Citrix aggiorna lo schema di denominazione a una nuova regola di appartenenza. Se si elimina il catalogo, la regola di appartenenza viene eliminata, ma non il gruppo di sicurezza.

Eliminare un catalogo macchine con un gruppo di sicurezza del dispositivo aggiunto ad Azure AD

Quando si elimina un catalogo macchine, viene eliminato anche il gruppo di sicurezza del dispositivo aggiunto ad Azure AD.

Per eliminare il gruppo di sicurezza dinamico di Azure AD, eseguire quanto segue:

  1. Accedere ad Azure AD.
  2. Ottenere il token di accesso all’API MS Graph. Utilizzare questo token di accesso come valore del parametro $AzureADAccessToken quando si eseguono i comandi PowerShell. Non è necessario un token di accesso Azure AD se si utilizza un account di servizio Azure AD.

  3. Eseguire il comando seguente:

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"
<!--NeedCopy-->

Creare un gruppo di sicurezza dinamico di Azure AD all’interno di un gruppo di sicurezza assegnato di Azure AD esistente

È possibile creare un gruppo di sicurezza dinamico di Azure AD all’interno di un gruppo di sicurezza assegnato di Azure AD esistente. È possibile eseguire quanto segue:

  • Ottenere informazioni sul gruppo di sicurezza.
  • Ottenere tutti i gruppi di sicurezza assegnati di Azure AD sincronizzati dal server AD locale o i gruppi di sicurezza assegnati a cui possono essere assegnati ruoli Azure AD.
  • Ottenere tutti i gruppi di sicurezza dinamici di Azure AD.
  • Aggiungere il gruppo di sicurezza dinamico di Azure AD come membro del gruppo assegnato di Azure AD.
  • Rimuovere l’appartenenza tra il gruppo di sicurezza dinamico di Azure AD e il gruppo di sicurezza assegnato di Azure AD quando il gruppo di sicurezza dinamico di Azure AD viene eliminato insieme al catalogo macchine.

È inoltre possibile visualizzare messaggi di errore espliciti in caso di fallimento di una delle operazioni.

Requisito:

È necessario disporre del token di accesso all’API MS Graph quando si eseguono i comandi PowerShell. Non è necessario un token di accesso Azure AD se si utilizza un account di servizio Azure AD. Pertanto, invece di -AccessToken <token>, utilizzare ServiceAccountUid <service account uid>.

Per ottenere il token di accesso:

  1. Aprire Microsoft Graph Explorer e accedere ad Azure AD.
  2. Assicurarsi di aver acconsentito alle autorizzazioni Group.ReadWrite.All e GroupMember.ReadWrite.All.
  3. Ottenere il token di accesso da Microsoft Graph Explorer. Utilizzare questo token di accesso quando si eseguono i comandi PowerShell.

Per ottenere informazioni sul gruppo di sicurezza tramite ID gruppo:

  1. Ottenere il token di accesso.
  2. Trovare l’ID oggetto del gruppo dal portale di Azure.

  3. Eseguire il comando PowerShell seguente nella console PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token> -GroupId <GroupUid>
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>
<!--NeedCopy-->

Per ottenere i gruppi di sicurezza tramite il nome visualizzato del gruppo:

  1. Ottenere il token di accesso.

  2. Eseguire il comando PowerShell seguente nella console PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Name <TargetGroupDisplayName>
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Name <TargetGroupDisplayName>
<!--NeedCopy-->

Per ottenere i gruppi di sicurezza il cui nome visualizzato contiene una sottostringa:

  1. Ottenere il token di accesso.

  2. Eseguire il comando PowerShell seguente nella console PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-SearchString <displayNameSubString>
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-SearchString <displayNameSubString>
<!--NeedCopy-->

Per ottenere tutti i gruppi di sicurezza assegnati di Azure AD sincronizzati dal server AD locale o i gruppi di sicurezza assegnati a cui possono essere assegnati ruoli Azure AD:

  1. Ottenere il token di accesso.

  2. Eseguire il comando PowerShell seguente nella console PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
<!--NeedCopy-->

Per ottenere tutti i gruppi di sicurezza dinamici di Azure AD:

  1. Ottenere il token di accesso.

  2. Eseguire il comando PowerShell seguente nella console PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Dynamic true
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Dynamic true
<!--NeedCopy-->

Per ottenere i gruppi di sicurezza assegnati di Azure AD con il numero massimo di record:

  1. Ottenere il token di accesso.

  2. Eseguire il comando PowerShell seguente nella console PowerShell:

    Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
-MaxRecordCount 10
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
-MaxRecordCount 10
<!--NeedCopy-->

Per aggiungere un gruppo di sicurezza dinamico di Azure AD come membro di un gruppo di sicurezza assegnato di Azure AD:

  1. Ottenere il token di accesso.

  2. Eseguire il comando PowerShell seguente nella console PowerShell:

    Add-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Add-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>
<!--NeedCopy-->

Per ottenere i membri del gruppo di sicurezza assegnato di Azure AD:

  1. Ottenere il token di accesso.

  2. Eseguire il comando PowerShell seguente nella console PowerShell:

    Get-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Get-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
<!--NeedCopy-->

    Nota:

    Get-AcctAzureADSecurityGroupMember fornisce solo i membri diretti del tipo di gruppo di sicurezza sotto il gruppo di sicurezza assegnato di Azure AD.

Per rimuovere l’appartenenza tra il gruppo di sicurezza dinamico di Azure AD e il gruppo di sicurezza assegnato di Azure AD quando il gruppo di sicurezza dinamico di Azure AD viene eliminato insieme al catalogo macchine:

  1. Ottenere il token di accesso.

  2. Eseguire il comando PowerShell seguente nella console PowerShell:

    Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken
<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Azure AD:

    Remove-AcctIdentityPool
-ServiceAccountUid <guid>
-IdentityPoolName "SecurityGroupCatalog"
<!--NeedCopy-->

Modificare il nome del gruppo di sicurezza dinamico di Azure AD

È possibile modificare il nome del gruppo di sicurezza dinamico di Azure AD associato a un catalogo macchine. Questa modifica rende le informazioni del gruppo di sicurezza memorizzate nell’oggetto pool di identità di Azure AD coerenti con le informazioni memorizzate nel portale di Azure.

Nota:

I gruppi di sicurezza dinamici di Azure AD non includono gruppi di sicurezza sincronizzati da AD locale e altri tipi di gruppo come i gruppi di Office 365.

È possibile modificare il nome del gruppo di sicurezza dinamico di Azure AD utilizzando i comandi di Studio e PowerShell.

Per modificare il nome del gruppo di sicurezza dinamico di Azure AD utilizzando PowerShell:

  1. Aprire la finestra di PowerShell.
  2. Eseguire asnp citrix* per caricare i moduli PowerShell specifici di Citrix.
  3. Eseguire il comando Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name].

Vengono visualizzati messaggi di errore appropriati se il nome del gruppo di sicurezza dinamico di Azure AD non può essere modificato.

Ulteriori informazioni

Pool di identità per macchine con identità aggiunta ad Azure Active Directory
September 16, 2025
Grazie al contributo di: 
C C
September 16, 2025
Grazie al contributo di: 
C C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.