Documentazione dei prodotti
Citrix DaaS™
Visualizza PDF

Pool di identità della macchina aggiunta a Microsoft Entra

May 4, 2026
Grazie al contributo di: 
C C

Questo articolo descrive come creare un pool di identità della macchina aggiunta a Microsoft Entra utilizzando Citrix DaaS.

Per informazioni su requisiti, limitazioni e considerazioni, vedere Aggiunta a Microsoft Entra.

-  Prima di creare il catalogo di macchine, sono necessari i seguenti elementi: TargetGroupDisplayNameTargetGroupDisplayName
  1. Nuova posizione delle risorse
    • Accedere all’interfaccia utente di amministrazione di Citrix Cloud™ > menu hamburger in alto a sinistra > Posizioni delle risorse.
    • Fare clic su + Posizione delle risorse.
    • Immettere un nome per la nuova posizione delle risorse e fare clic su Salva.
  2. Creare una connessione di hosting. Per i dettagli, vedere la sezione Creare e gestire le connessioni. Quando si distribuiscono macchine su Azure, vedere Connessione ad Azure Resource Manager.
  • È possibile creare cataloghi aggiunti a Microsoft Entra utilizzando Studio o PowerShell.

Utilizzare Studio

Le seguenti informazioni sono un supplemento alle indicazioni in Creare cataloghi di macchine. Per creare cataloghi aggiunti a Microsoft Entra, seguire le indicazioni generali di tale articolo, tenendo conto dei dettagli specifici per i cataloghi aggiunti a Microsoft Entra. https://www.example.com/blog/post-1 Nella procedura guidata di creazione del catalogo:

  1. Nella pagina Immagine:
    • Selezionare 2106 o versione successiva come livello funzionale.
    • Selezionare Usa un profilo macchina e selezionare la macchina appropriata dall’elenco.

  2. Nella pagina Identità macchina:

    1. Selezionare Aggiunta a Microsoft Entra. Le macchine create sono di proprietà di un’organizzazione e vi si accede con un account Microsoft Entra appartenente a tale organizzazione. Esistono solo nel cloud.

      Nota:

      • Il tipo di identità Aggiunta a Microsoft Entra richiede la versione 2106 o successiva come livello funzionale minimo per il catalogo.

        • Le macchine sono aggiunte al dominio Microsoft Entra associato al tenant a cui è vincolata la connessione di hosting.
        1. Fare clic su Seleziona account di servizio e selezionare un account di servizio disponibile dall’elenco. Se un account di servizio adatto non è disponibile per il tenant Microsoft Entra a cui si uniranno le identità della macchina, è possibile creare un account di servizio. Per informazioni sull’account di servizio, vedere Account di servizio Microsoft Entra.

      • Nota:

        L’account di servizio selezionato potrebbe trovarsi in uno stato non integro a causa di vari motivi. È possibile andare su Amministratori > Account di servizio per visualizzare i dettagli e risolvere i problemi in base alle raccomandazioni. In alternativa, è possibile procedere con l’operazione del catalogo di macchine e risolvere i problemi in seguito. Se non si risolve il problema, vengono generati dispositivi aggiunti a Microsoft Entra o registrati in Microsoft Intune non aggiornati che possono bloccare l’aggiunta a Microsoft Entra delle macchine.

        1. Fare clic su Aggiungi attributi di estensione per archiviare dati univoci e personalizzati direttamente sugli oggetti dispositivo Entra ID. Nella pagina Aggiungi attributi di estensione, aggiungere Attributi di estensione e Valore.

      Nota:

          -  È possibile aggiungere un massimo di 15 attributi di estensione.
-  Il nome deve essere univoco e il valore non può essere vuoto.
    1. Selezionare un’opzione per l’account di Active Directory:
      • Crea nuovi account di Active Directory:
        • Se si seleziona Crea nuovi account di Active Directory e si utilizza un pool di identità esistente per creare nuovi account, selezionare un dominio per tali account e specificare uno schema di denominazione degli account.
        • Se si seleziona Crea nuovi account di Active Directory e si utilizza un pool di identità esistente per creare nuovi account, selezionare un pool di identità dall’elenco.
      • Usa account di Active Directory esistenti: È possibile sfogliare o importare da un file CSV e reimpostare la password o specificare la stessa password per tutti gli account. - Specificare uno schema di denominazione degli account.

Agli utenti deve essere concesso l’accesso esplicito in Azure per accedere alle macchine utilizzando le proprie credenziali Microsoft Entra. Per maggiori dettagli, vedere la sezione Aggiunta a Microsoft Entra.

Aggiungere o modificare attributi di estensione

Per modificare o aggiungere attributi di estensione aggiuntivi a un catalogo di macchine MCS esistente, o aggiungere attributi di estensione a un catalogo MCS senza un account di servizio, utilizzare la procedura guidata Modifica catalogo di macchine.

  • Per modificare o aggiungere attributi di estensione aggiuntivi, accedere alla pagina Attributi di estensione dispositivo Microsoft Entra. Fare clic sull’icona della matita e aggiungere o aggiornare gli attributi di estensione.

  • Per aggiungere attributi di estensione a un catalogo MCS senza un account di servizio Microsoft Entra:

    1. Accedere alla pagina Account di servizio. Selezionare un account di servizio Microsoft Entra per l’ID Microsoft Intra.
    2. Andare alla pagina Attributi di estensione dispositivo Microsoft Entra, fare clic su Aggiungi attributi di estensione.

Modificare l’associazione dell’account di servizio

Per modificare l’account di servizio associato o aggiungere un’associazione a un catalogo di macchine MCS esistente, utilizzare la pagina Modifica catalogo di macchine.

  • Per aggiungere un account di servizio, fare clic su Seleziona account di servizio nella pagina Account di servizio.
    • Per modificare l’associazione dell’account di servizio, fare clic sull’icona di modifica nella pagina Account di servizio.

Utilizzare PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni in Studio.

La differenza tra i cataloghi aggiunti ad AD locale e quelli aggiunti a Microsoft Entra risiede nella creazione del pool di identità e nello schema di provisioning.

È necessario associare un account di servizio Microsoft Entra al pool di identità e quindi creare il catalogo di macchine. È possibile creare un nuovo pool di identità o aggiornare un pool di identità esistente per associarlo a un account di servizio.

Creare un nuovo pool di identità

Ad esempio: Per creare un nuovo pool di identità e associarlo a un account di servizio, eseguire quanto segue:


New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Ad esempio: Per creare un nuovo pool di identità con attributi di estensione specificati e associarlo a un account di servizio, eseguire quanto segue:


New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Quando una VM viene accesa per la prima volta, dopo l’aggiunta a Microsoft Entra ID, la VM segnala il proprio deviceId di Entra ID a MCS.

Ad esempio: Per controllare l’EntraIDDeviceID, eseguire Get-AcctADAccount o Get-AcctIdentity.


Get-AcctADAccount -IdentityPoolName MyPool

<!--NeedCopy-->

Dopo il riavvio, per le VM persistenti, l’EntraIDDeviceID rimane lo stesso. Per le VM non persistenti, c’è un nuovo EntraIDDeviceID dopo ogni riavvio.

Nota:

MCS rimuove automaticamente gli attributi di estensione associati quando si elimina una VM dal catalogo ma non si elimina da Azure.

  • Aggiornare un pool di identità esistente

Ad esempio: Per aggiornare un pool di identità esistente per associarlo a un account di servizio, eseguire quanto segue:


$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Nota:

-  > `$serviceAccountUid` deve essere un UID valido di un account di servizio Microsoft Entra.

-  Ad esempio: Per modificare gli attributi di estensione per il catalogo esistente, eseguire quanto segue:

-  > **Nota:** > -  > > > -  Dopo l'aggiornamento delle VM del catalogo esistenti alla versione VDA 2511 o successiva, è necessario un riavvio. Questo riavvio consente alla VM di segnalare il proprio deviceId di Entra ID a MCS, consentendo a MCS di configurare gli attributi di estensione della VM. > -  Il catalogo esistente deve disporre di un account di servizio di tipo AzureAD con l'autorizzazione "Device.ReadWrite.All".

-  Per aggiungere nuovi attributi:


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Per rimuovere alcuni attributi esistenti


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

<!--NeedCopy-->

OPPURE


    -  Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}

<!--NeedCopy-->

Set-AcctIdentityPool aggiorna anche gli attributi di estensione del dispositivo Entra ID per le VM che sono già aggiunte a Entra ID e possiedono un valore EntraIDDeviceID all’interno delle loro identità.

Creare cataloghi aggiunti a Microsoft Entra

Per creare uno schema di provisioning per i cataloghi aggiunti a Microsoft Entra, il parametro MachineProfile è richiesto in New-ProvScheme. Ad esempio:


New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"

<!--NeedCopy-->

Per creare un catalogo Microsoft Entra utilizzando un’immagine preparata. Ad esempio:


New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]

<!--NeedCopy-->

Visualizzare lo stato del processo di aggiunta a Microsoft Entra

In Studio, lo stato del processo di aggiunta a Microsoft Entra è visibile quando le macchine aggiunte a Microsoft Entra in un gruppo di consegna sono in stato di accensione. Per visualizzare lo stato, utilizzare Cerca per identificare tali macchine e quindi per ciascuna controllare Identità macchina nella scheda Dettagli nel riquadro inferiore. Le seguenti informazioni possono apparire in Identità macchina:

  • Aggiunto a Microsoft Entra
  • Non ancora aggiunto a Microsoft Entra ID

Nota:

Se le macchine non riescono a essere nello stato aggiunto a Microsoft Entra, non si registrano con il Delivery Controller. Il loro stato di registrazione appare come Inizializzazione.

Inoltre, utilizzando Studio, è possibile scoprire perché le macchine non sono disponibili. Per farlo, fare clic su una macchina nel nodo Cerca, controllare Registrazione nella scheda Dettagli nel riquadro inferiore e quindi leggere il tooltip per ulteriori informazioni.

Gruppo di consegna

Per i dettagli, vedere la sezione Creare gruppi di consegna.

Abilitare Rendezvous

Una volta creato il gruppo di consegna, è possibile abilitare Rendezvous. Per i dettagli, vedere Rendezvous V2.

Risoluzione dei problemi

Se le macchine non riescono a essere aggiunte a Microsoft Entra, eseguire le seguenti operazioni:

  • Verificare se l’identità gestita assegnata dal sistema è abilitata per le macchine. Le macchine con provisioning MCS devono averla abilitata automaticamente. Il processo di aggiunta a Microsoft Entra fallisce senza un’identità gestita assegnata dal sistema. Se l’identità gestita assegnata dal sistema non è abilitata per le macchine con provisioning MCS, la possibile ragione è:

    • IdentityType del pool di identità associato allo schema di provisioning non è impostato su AzureAD. È possibile verificarlo eseguendo Get-AcctIdentityPool.

  • Per i cataloghi che utilizzano immagini master con VDA versione 2206 o precedente, controllare lo stato di provisioning dell’estensione AADLoginForWindows per le macchine. Se l’estensione AADLoginForWindows non esiste, le possibili ragioni sono:

    • IdentityType del pool di identità associato allo schema di provisioning non è impostato su AzureAD. È possibile verificarlo eseguendo Get-AcctIdentityPool.

    • L’installazione dell’estensione AADLoginForWindows è bloccata dalla policy di Azure.

  • Per risolvere i problemi di provisioning dell’estensione AADLoginForWindows, è possibile controllare i log in C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows sulla macchina con provisioning MCS.

    Nota:

    MCS non si basa sull’estensione AADLoginForWindows per unire una VM a Microsoft Entra ID quando si utilizza un’immagine master con VDA versione 2209 o successiva. In questo caso, l’estensione AADLoginForWindows non verrà installata sulla macchina con provisioning MCS. Pertanto, i log di provisioning dell’estensione AADLoginForWindows non possono essere raccolti.

  • Controllare lo stato di aggiunta a Microsoft Entra e i log di debug eseguendo il comando dsregcmd /status sulla macchina con provisioning MCS.

  • Controllare i log eventi di Windows in Registri applicazioni e servizi > Microsoft > Windows > Registrazione dispositivo utente.

  • Verificare se la gestione dei dispositivi Microsoft Entra è configurata correttamente eseguendo Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName}.

    Assicurarsi che il valore di:

    • La proprietà AzureAdDeviceManagement in CustomProperties sia true
    • La proprietà Citrix_MCS_AzureAdDeviceManagement_PermissionGranted nei metadati sia true

    Se Citrix_MCS_AzureAdDeviceManagement_PermissionGranted è false, indica che al ServicePrincipal dell’applicazione utilizzata dalla connessione di hosting non sono state concesse autorizzazioni sufficienti per eseguire la gestione dei dispositivi Microsoft Entra. Per risolvere questo problema, assegnare al ServicePrincipal il ruolo Amministratore dispositivi cloud.

Gruppi di sicurezza dinamici di Microsoft Entra

Le regole dei gruppi dinamici inseriscono le VM nel catalogo in un gruppo di sicurezza dinamico basato sullo schema di denominazione del catalogo macchine.

Se lo schema di denominazione del catalogo macchine è Test### (dove # indica un numero), Citrix® crea la regola di appartenenza dinamica ^Test[0-9]{3}$ nel gruppo di sicurezza dinamico. Ora, se il nome della VM creata da Citrix è qualsiasi cosa da Test001 a Test999, la VM viene inclusa nel gruppo di sicurezza dinamico.

Nota:

Se il nome della VM creata manualmente è qualsiasi cosa da Test001 a Test999, anche la VM viene inclusa nel gruppo di sicurezza dinamico. Questa è una delle limitazioni del gruppo di sicurezza dinamico.

La funzionalità dei gruppi di sicurezza dinamici è utile quando si desidera gestire le VM tramite Microsoft Entra ID. È anche utile quando si desidera applicare policy di accesso condizionale o distribuire app da Intune filtrando le VM con il gruppo di sicurezza dinamico di Microsoft Entra.

È possibile utilizzare i comandi PowerShell per:

  • Creare un catalogo macchine con un gruppo di sicurezza dinamico di Microsoft Entra
  • Abilitare la funzionalità del gruppo di sicurezza per un catalogo Microsoft Entra
  • Eliminare un catalogo macchine con un gruppo di sicurezza di dispositivi aggiunti a Microsoft Entra

Importante:

Creare un catalogo di macchine con un gruppo di sicurezza dinamico di Microsoft Entra

  1. Nell’interfaccia utente della console basata sul Web per la configurazione del catalogo di macchine, nella pagina Identità macchina, selezionare Aderito a Microsoft Entra.
  2. Accedere a Microsoft Entra ID.
  3. Ottenere il token di accesso all’API MS Graph. Utilizzare questo token di accesso come valore del parametro $AzureADAccessToken quando si eseguono i comandi PowerShell. Non è necessario un token di accesso a Microsoft Entra se si utilizza un account di servizio Microsoft Entra.

  4. Eseguire il comando seguente per verificare se il nome del gruppo di sicurezza dinamico esiste nel tenant.

    
Get-AcctAzureADSecurityGroup
–AccessToken  $AzureADAccessToken
–Name "SecurityGroupName"

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"

<!--NeedCopy-->

  5. Creare un catalogo di macchine utilizzando l’ID tenant, il token di accesso e il gruppo di sicurezza dinamico. Eseguire il comando seguente per creare un IdentityPool con IdentityType=AzureAD e creare un gruppo di sicurezza dinamico in Azure.

    
New-AcctIdentityPool
-AllowUnicode
-IdentityPoolName "SecurityGroupCatalog"
-NamingScheme "SG-VM-###"
-NamingSchemeType "Numeric" -Scope @()
-ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
-WorkgroupMachine
-IdentityType "AzureAD"
-DeviceManagementType "None"
-AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupName "SecurityGroupName"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Abilitare la funzionalità del gruppo di sicurezza per un catalogo Microsoft Entra

È possibile abilitare la funzionalità di sicurezza dinamica per un catalogo Microsoft Entra creato senza la funzionalità del gruppo di sicurezza dinamico abilitata. Per fare ciò:

  1. Creare manualmente un nuovo gruppo di sicurezza dinamico. È anche possibile riutilizzare un gruppo di sicurezza dinamico esistente.

  2. Accedere a Microsoft Entra ID e ottenere il token di accesso all’API MS Graph. Utilizzare questo token di accesso come valore del parametro $AzureADAccessToken quando si eseguono i comandi PowerShell.

    Nota:

  3. Eseguire il comando seguente per connettere il pool di identità al gruppo di sicurezza dinamico di Microsoft Entra creato.

    
Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Se si aggiorna lo schema di denominazione, Citrix aggiorna lo schema di denominazione a una nuova regola di appartenenza. Se si elimina il catalogo, la regola di appartenenza viene eliminata, ma non il gruppo di sicurezza.

Eliminare un catalogo di macchine con un gruppo di sicurezza del dispositivo aderito a Microsoft Entra

Quando si elimina un catalogo di macchine, viene eliminato anche il gruppo di sicurezza del dispositivo aderito a Microsoft Entra.

Per eliminare il gruppo di sicurezza dinamico di Microsoft Entra, procedere come segue:

  1. Accedere a Microsoft Entra ID.
  2. Ottenere il token di accesso all’API MS Graph. Utilizzare questo token di accesso come valore del parametro $AzureADAccessToken quando si eseguono i comandi PowerShell. Non è necessario un token di accesso a Microsoft Entra se si utilizza un account di servizio Microsoft Entra.

  3. Eseguire il comando seguente:

    
Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Creare un gruppo di sicurezza dinamico di Microsoft Entra all’interno di un gruppo di sicurezza assegnato di Microsoft Entra ID esistente

È possibile creare un gruppo di sicurezza dinamico di Microsoft Entra all’interno di un gruppo di sicurezza assegnato di Microsoft Entra ID esistente. È possibile eseguire le seguenti operazioni:

  • Ottenere le informazioni sul gruppo di sicurezza.
  • Ottenere tutti i gruppi di sicurezza assegnati di Microsoft Entra ID sincronizzati dal server AD locale o i gruppi di sicurezza assegnati a cui è possibile assegnare ruoli di Microsoft Entra.
  • Ottenere tutti i gruppi di sicurezza dinamici di Microsoft Entra.
  • Aggiungere il gruppo di sicurezza dinamico di Microsoft Entra come membro del gruppo assegnato di Microsoft Entra ID.
  • Rimuovere l’appartenenza tra il gruppo di sicurezza dinamico di Microsoft Entra e il gruppo di sicurezza assegnato di Microsoft Entra ID quando il gruppo di sicurezza dinamico di Microsoft Entra viene eliminato insieme al catalogo di macchine.

È inoltre possibile visualizzare messaggi di errore espliciti in caso di fallimento di una qualsiasi delle operazioni.

Requisito:

È necessario disporre del token di accesso all’API MS Graph quando si eseguono i comandi PowerShell. Non è necessario un token di accesso a Microsoft Entra se si utilizza un account di servizio Microsoft Entra. Pertanto, invece di -AccessToken <token>, utilizzare ServiceAccountUid <service account uid>.

Per ottenere il token di accesso:

  1. Aprire Microsoft Graph Explorer e accedere a Microsoft Entra ID.
  2. Assicurarsi di aver dato il consenso alle autorizzazioni Group.ReadWrite.All e GroupMember.ReadWrite.All.
  3. Ottenere il token di accesso da Microsoft Graph Explorer. Utilizzare questo token di accesso quando si eseguono i comandi PowerShell.

Per ottenere le informazioni sul gruppo di sicurezza tramite ID gruppo:

  1. Ottenere il token di accesso.
  2. Trovare l’ID oggetto del gruppo dal portale di Azure.

  3. Eseguire il comando PowerShell seguente nella console PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token> -GroupId <GroupUid>

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>

<!--NeedCopy-->

Per ottenere i gruppi di sicurezza tramite il nome visualizzato del gruppo:

  1. Ottenere il token di accesso.

  2. Eseguire il comando PowerShell seguente nella console PowerShell:

    
-  Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Name <TargetGroupDisplayName>

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
- Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Name <TargetGroupDisplayName>

<!--NeedCopy-->

Per ottenere i gruppi di sicurezza il cui nome visualizzato contiene una sottostringa:

  1. Ottenere il token di accesso.

  2. Eseguire il seguente comando PowerShell nella console PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-SearchString <displayNameSubString>

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-SearchString <displayNameSubString>

<!--NeedCopy-->

Per ottenere tutti i gruppi di sicurezza assegnati a Microsoft Entra ID sincronizzati dal server AD locale o i gruppi di sicurezza assegnati a cui è possibile assegnare ruoli Microsoft Entra:

  1. Ottenere il token di accesso.

  2. Eseguire il seguente comando PowerShell nella console PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true

<!--NeedCopy-->

Per ottenere tutti i gruppi di sicurezza dinamici di Microsoft Entra:

  1. Ottenere il token di accesso.

  2. Eseguire il seguente comando PowerShell nella console PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Dynamic true

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Dynamic true

<!--NeedCopy-->

Per ottenere i gruppi di sicurezza assegnati a Microsoft Entra ID con il numero massimo di record:

  1. Ottenere il token di accesso.

  2. Eseguire il seguente comando PowerShell nella console PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
-MaxRecordCount 10

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
-MaxRecordCount 10

<!--NeedCopy-->

Per aggiungere un gruppo di sicurezza dinamico di Microsoft Entra come membro di un gruppo di sicurezza assegnato a Microsoft Entra ID:

  1. Ottenere il token di accesso.

  2. Eseguire il seguente comando PowerShell nella console PowerShell:

    
Add-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Add-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>

<!--NeedCopy-->

Per ottenere i membri del gruppo di sicurezza assegnato a Microsoft Entra ID:

  1. Ottenere il token di accesso.

  2. Eseguire il seguente comando PowerShell nella console PowerShell:

    
Get-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Get-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>

<!--NeedCopy-->

    Nota:

    Get-AcctAzureADSecurityGroupMember fornisce solo i membri diretti del tipo di gruppo di sicurezza all’interno del gruppo di sicurezza assegnato a Microsoft Entra ID.

Per rimuovere l’appartenenza tra il gruppo di sicurezza dinamico di Microsoft Entra e il gruppo di sicurezza assegnato a Microsoft Entra ID quando il gruppo di sicurezza dinamico di Microsoft Entra viene eliminato insieme al catalogo macchine:

  1. Ottenere il token di accesso.

  2. Eseguire il seguente comando PowerShell nella console PowerShell:

    
Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Oppure, eseguire quanto segue se si utilizza un account di servizio Microsoft Entra:

    
Remove-AcctIdentityPool
-ServiceAccountUid <guid>
-IdentityPoolName "SecurityGroupCatalog"

<!--NeedCopy-->

Modificare il nome del gruppo di sicurezza dinamico di Microsoft Entra

È possibile modificare il nome del gruppo di sicurezza dinamico di Microsoft Entra associato a un catalogo macchine. Questa modifica rende le informazioni del gruppo di sicurezza archiviate nell’oggetto pool di identità di Microsoft Entra coerenti con le informazioni archiviate nel portale di Azure.

Nota:

I gruppi di sicurezza dinamici di Microsoft Entra non includono gruppi di sicurezza sincronizzati da AD locale e altri tipi di gruppo come il gruppo di Office 365.

È possibile modificare il nome del gruppo di sicurezza dinamico di Microsoft Entra utilizzando i comandi di Studio e PowerShell.

Per modificare il nome del gruppo di sicurezza dinamico di Microsoft Entra utilizzando PowerShell:

  1. Aprire la finestra PowerShell.
  2. Eseguire asnp citrix* per caricare i moduli PowerShell specifici di Citrix.
  3. Eseguire il comando Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name].

Vengono visualizzati messaggi di errore appropriati se il nome del gruppo di sicurezza dinamico di Microsoft Entra non può essere modificato.

Ulteriori informazioni

Pool di identità della macchina aggiunta a Microsoft Entra
May 4, 2026
Grazie al contributo di: 
C C
May 4, 2026
Grazie al contributo di: 
C C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.