Pool di identità dell’identità macchina abilitata per Microsoft Intune
Questo articolo descrive come creare un pool di identità dell’identità macchina abilitata per Microsoft Intune utilizzando Citrix DaaS.
-
È possibile creare:
- Cataloghi aggiunti a Microsoft Entra registrati in Microsoft Intune per VM persistenti e non persistenti, a sessione singola e multisessione. Per la creazione di cataloghi, vedere Creare cataloghi Microsoft Entra registrati in Microsoft Intune.
-
Cataloghi aggiunti ibridi a Microsoft Entra registrati in Microsoft Intune per VM persistenti a sessione singola e multisessione utilizzando le credenziali del dispositivo con funzionalità di cogestione. Per la creazione di cataloghi, vedere Creare cataloghi aggiunti ibridi a Microsoft Entra registrati in Microsoft Intune. È inoltre possibile creare cataloghi aggiunti ibridi a Microsoft Entra registrati in Microsoft Intune per VM non persistenti a sessione singola e multisessione. Tuttavia, questa funzionalità è attualmente in anteprima. Vedere Registrazione di VM non persistenti aggiunte a Hybrid Entra ID in Microsoft Intune.
- Per informazioni su requisiti, limitazioni e considerazioni, vedere Microsoft Intune.
Creare cataloghi Microsoft Entra registrati in Microsoft Intune
È possibile creare cataloghi Microsoft Entra registrati in Microsoft Intune per VM persistenti e non persistenti utilizzando sia Studio che PowerShell.
- Per informazioni su requisiti, limitazioni e considerazioni, vedere:
- [Requisiti per i cataloghi aggiunti a Microsoft Entra registrati in Microsoft Intune](/it-it/citrix-daas/install-configure/machine-identities/microsoft-intune#requirements-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)
- [Limitazioni per i cataloghi aggiunti a Microsoft Entra registrati in Microsoft Intune](/it-it/citrix-daas/install-configure/machine-identities/microsoft-intune#limitations-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)
- ### Usare Studio
Le seguenti informazioni sono un supplemento alle indicazioni in Creare cataloghi di macchine.
Nella procedura guidata di creazione del catalogo:
-
Nella pagina Identità macchina:
- Selezionare Aggiunto a Microsoft Entra e quindi Registra le macchine in Microsoft Intune. Se abilitato, registrare le macchine in Microsoft Intune per la gestione. È possibile creare cataloghi aggiunti a Microsoft Entra registrati in Microsoft Intune per VM persistenti e non persistenti a sessione singola e multisessione. Tuttavia, per le VM non persistenti, è necessario disporre della versione VDA 2407 o successiva.
-
Fare clic su Seleziona account di servizio e selezionare un account di servizio disponibile dall’elenco. Se non è disponibile un account di servizio adatto per il tenant Microsoft Entra a cui si uniranno le identità macchina, è possibile creare un account di servizio. Per informazioni sull’account di servizio, vedere Account di servizio Microsoft Entra.
Nota:
L’account di servizio selezionato potrebbe trovarsi in uno stato non integro a causa di vari motivi. È possibile accedere a Amministratori > Account di servizio per visualizzare i dettagli e risolvere i problemi in base alle raccomandazioni. In alternativa, è possibile procedere con l’operazione del catalogo macchine e risolvere i problemi in seguito. Se non si risolve il problema, vengono generati dispositivi aggiunti a Microsoft Entra o registrati in Microsoft Intune obsoleti che possono bloccare l’aggiunta a Microsoft Entra delle macchine.
-
Fare clic su Aggiungi attributi di estensione per archiviare dati personalizzati e univoci direttamente sugli oggetti dispositivo di Entra ID. Nella pagina Aggiungi attributi di estensione, aggiungere Attributi di estensione e Valore.
Nota:
- È possibile aggiungere un massimo di 15 attributi di estensione.
- Il nome e il valore devono essere univoci e non possono essere vuoti.
Aggiungere o modificare attributi di estensione
Per modificare o aggiungere attributi di estensione aggiuntivi a un catalogo macchine MCS esistente, o aggiungere attributi di estensione a un catalogo MCS senza un account di servizio, utilizzare la procedura guidata Modifica catalogo macchine.
- Per modificare o aggiungere attributi di estensione aggiuntivi, accedere alla pagina Attributi di estensione del dispositivo Microsoft Entra. Fare clic sull’icona della matita e aggiungere o aggiornare gli attributi di estensione.
-
Per aggiungere attributi di estensione a un catalogo MCS senza un account di servizio Microsoft Entra:
- Accedere alla pagina Account di servizio. Selezionare un account di servizio Microsoft Entra per l’ID Microsoft Intra.
- Accedere alla pagina Attributi di estensione del dispositivo Microsoft Entra, fare clic su Aggiungi attributi di estensione.
Usare PowerShell
Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni in Studio.
Per registrare le macchine in Microsoft Intune utilizzando l’SDK di PowerShell remoto, utilizzare il parametro DeviceManagementType in New-AcctIdentityPool. Questa funzionalità richiede che il catalogo sia aggiunto a Microsoft Entra e che Microsoft Entra ID possieda la licenza Microsoft Intune corretta. Ad esempio:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Ad esempio: per creare un nuovo pool di identità con attributi di estensione specificati e associarlo a un account di servizio, eseguire quanto segue:
New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Quando una VM viene accesa per la prima volta, dopo l’aggiunta a Microsoft Entra ID, la VM segnala il proprio deviceId di Entra ID a MCS.
Ad esempio: per controllare l’EntraIDDeviceID, eseguire Get-AcctADAccount o Get-AcctIdentity.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
-
Dopo il riavvio, per le VM persistenti, l’
EntraIDDeviceIDrimane lo stesso. Per le VM non persistenti, c’è un nuovoEntraIDDeviceIDdopo ogni riavvio.-
Nota:
-
-
-
MCS rimuove automaticamente gli attributi di estensione associati quando si elimina una VM dal catalogo ma non da Azure.
Ad esempio: per modificare gli attributi di estensione per il catalogo esistente, eseguire quanto segue:
-
Nota:
-
- Dopo l’aggiornamento delle VM del catalogo esistente alla versione VDA 2511 o successiva, è necessario un riavvio. Questo riavvio consente alla VM di segnalare il proprio deviceId di Entra ID a MCS, consentendo a MCS di configurare gli attributi di estensione della VM.
- Il catalogo esistente dovrebbe avere un account di servizio di tipo AzureAD con il permesso “Device.ReadWrite.All”.
- Per aggiungere nuovi attributi:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
- Per rimuovere alcuni attributi esistenti
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
OPPURE
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool aggiorna anche gli attributi di estensione del dispositivo Entra ID per le VM che sono già unite a Entra ID e possiedono un valore EntraIDDeviceID all’interno delle loro identità.
Ad esempio: per creare un catalogo Microsoft Entra registrato in Microsoft Intune utilizzando un’immagine preparata:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Risoluzione dei problemi
Se le macchine non riescono a registrarsi in Microsoft Intune, procedere come segue:
-
Verificare se le macchine con provisioning MCS sono unite a Microsoft Entra. Le macchine non riescono a registrarsi in Microsoft Intune se non sono unite a Microsoft Entra. Vedere Risoluzione dei problemi per risolvere i problemi di unione a Microsoft Entra.
-
Verificare che al tenant di Microsoft Entra sia assegnata la licenza Intune appropriata. Vedere https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses per i requisiti di licenza di Microsoft Intune.
-
Per i cataloghi che utilizzano immagini master con VDA versione 2206 o precedente, controllare lo stato del provisioning dell’estensione AADLoginForWindows per le macchine. Se l’estensione AADLoginForWindows non esiste, le possibili ragioni sono:
-
IdentityTypedel pool di identità associato allo schema di provisioning non è impostato suAzureADoDeviceManagementTypenon è impostato suIntune. È possibile verificarlo eseguendoGet-AcctIdentityPool. -
La policy di Azure ha bloccato l’installazione dell’estensione AADLoginForWindows.
-
-
Per risolvere i problemi di provisioning dell’estensione AADLoginForWindows, è possibile controllare i log in
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowssulla macchina con provisioning MCS.Nota:
MCS non si basa sull’estensione
AADLoginForWindowsper unire una VM a Microsoft Entra ID e registrarla in Microsoft Intune quando si utilizza un’immagine master con VDA versione 2209 o successiva. In questo caso, l’estensioneAADLoginForWindowsnon viene installata sulla macchina con provisioning MCS. Pertanto, i log di provisioning dell’estensioneAADLoginForWindowsnon possono essere raccolti. -
Controllare i log eventi di Windows in Registri applicazioni e servizi > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.
-
L’account di servizio selezionato potrebbe trovarsi in uno stato non integro per vari motivi. È possibile accedere a Amministratori > Account di servizio per visualizzare i dettagli e risolvere i problemi in base alle raccomandazioni. Se non si risolve il problema, vengono generati dispositivi uniti a Microsoft Entra o registrati in Microsoft Intune non aggiornati che possono bloccare l’unione a Microsoft Entra delle macchine.
Creare cataloghi uniti a Microsoft Entra ibridi registrati in Microsoft Intune
È possibile creare cataloghi abilitati alla cogestione per cataloghi uniti a Microsoft Entra ibridi registrati in Microsoft Intune per VM persistenti a sessione singola e multipla. È possibile creare cataloghi abilitati alla cogestione utilizzando sia Studio che PowerShell.
Per informazioni su requisiti, limitazioni e considerazioni, vedere:
- Requisiti per i cataloghi uniti a Microsoft Entra ibridi registrati in Microsoft Intune
- Limitazioni per i cataloghi uniti a Microsoft Entra ibridi registrati in Microsoft Intune
Utilizzare Studio
Le seguenti informazioni sono un supplemento alle indicazioni in Creare cataloghi di macchine.
Nella procedura guidata Configurazione catalogo macchine:
- Nella pagina Identità macchina, selezionare Unito a Microsoft Entra ibrido e quindi Registra le macchine in Microsoft Intune con Configuration Manager. Con questa azione, Configuration Manager e Microsoft Intune (ovvero, cogestiti) gestiscono le VM.
-
Fare clic su Aggiungi attributi di estensione per archiviare dati univoci e personalizzati direttamente sugli oggetti dispositivo Entra ID. Nella pagina Aggiungi attributi di estensione, aggiungere Attributi di estensione e Valore.
-
Nota:
- È possibile aggiungere un massimo di 15 attributi di estensione. - Il nome e il valore devono essere univoci e non possono essere vuoti.
-
Aggiungere o modificare attributi di estensione
Per modificare o aggiungere attributi di estensione aggiuntivi a un catalogo di macchine MCS esistente, o aggiungere attributi di estensione a un catalogo MCS senza un account di servizio, utilizzare la procedura guidata Modifica catalogo macchine.
- Per modificare o aggiungere attributi di estensione aggiuntivi, accedere alla pagina Attributi di estensione del dispositivo Microsoft Entra. Fare clic sull’icona della matita e aggiungere o aggiornare gli attributi di estensione.
-
Per aggiungere attributi di estensione a un catalogo MCS senza un account di servizio Microsoft Entra:
- Accedere alla pagina Account di servizio. Selezionare un account di servizio Microsoft Entra per l’ID Microsoft Intra.
-
- Accedere alla pagina Attributi di estensione del dispositivo Microsoft Entra, fare clic su Aggiungi attributi di estensione.
-
- Accedere alla pagina Account di servizio. Selezionare un account di servizio Microsoft Entra per l’ID Microsoft Intra.
Utilizzare PowerShell
Di seguito sono riportati i passaggi di PowerShell equivalenti ai passaggi in Studio.
- Per registrare le macchine in Microsoft Intune con Configuration Manager utilizzando l’SDK di PowerShell remoto, utilizzare il parametro
DeviceManagementTypeinNew-AcctIdentityPool. Questa funzionalità richiede che il catalogo sia unito a Microsoft Entra ibrido e che Microsoft Entra ID possieda la licenza Microsoft Intune corretta.
La differenza tra i cataloghi uniti a Microsoft Entra ibridi e quelli abilitati alla cogestione risiede nella creazione del pool di identità. Ad esempio:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Ad esempio: per creare un nuovo pool di identità con attributi di estensione specificati e associarlo a un account di servizio, eseguire quanto segue:
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Quando una VM viene accesa per la prima volta, dopo l’unione a Microsoft Entra ID, la VM segnala il suo deviceId Entra ID a MCS.
Ad esempio: per controllare l’EntraIDDeviceID, eseguire Get-AcctADAccount o Get-AcctIdentity.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
Dopo il riavvio, per le VM persistenti e non persistenti, l’EntraIDDeviceID rimane lo stesso.
Nota:
MCS rimuove automaticamente gli ID dispositivo associati e gli attributi di estensione quando si elimina una VM dal catalogo ma non la si elimina da Azure.
Ad esempio: per modificare gli attributi di estensione per il catalogo esistente, eseguire quanto segue:
Nota:
- Dopo l’aggiornamento delle VM del catalogo esistente alla versione VDA 2511 o successiva, è necessario un riavvio. Questo riavvio consente alla VM di segnalare il proprio ID dispositivo Entra a MCS, consentendo a MCS di configurare gli attributi di estensione della VM.
- Il catalogo esistente deve disporre di un account di servizio di tipo AzureAD con l’autorizzazione “Device.ReadWrite.All”.
Per aggiungere nuovi attributi:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Per rimuovere alcuni attributi esistenti
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
OPPURE
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool aggiorna anche gli attributi di estensione del dispositivo Entra ID per le VM che sono già unite a Entra ID e possiedono un valore EntraIDDeviceID all’interno delle loro identità.
È anche possibile creare un catalogo persistente ibrido Microsoft Entra registrato in Microsoft Intune utilizzando un’immagine preparata. Per il set completo di comandi PowerShell per creare la definizione dell’immagine, la versione dell’immagine e la specifica della versione dell’immagine preparata, vedere:
- Ambiente di virtualizzazione Azure: Utilizzare PowerShell.
- Ambiente di virtualizzazione VMware: Utilizzare PowerShell
Dopo aver creato la specifica della versione dell’immagine preparata, creare il pool di identità e il catalogo macchine. Ad esempio:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD" -DeviceManagement IntuneWithSCCM
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Nota:
La registrazione di VM non persistenti ibride unite a Microsoft Entra in Microsoft Intune è attualmente in anteprima.
Risoluzione dei problemi
Se le macchine non riescono a registrarsi in Microsoft Intune o a raggiungere lo stato di co-gestione, eseguire quanto segue:
-
Controllare la licenza di Intune
Verificare che al tenant di Microsoft Entra sia assegnata la licenza Intune appropriata. Vedere Licenze di Microsoft Intune per i requisiti di licenza di Microsoft Intune.
-
Controllare lo stato di unione ibrida a Microsoft Entra
Verificare che le macchine con provisioning MCS siano unite in modalità ibrida a Microsoft Entra. Le macchine non sono idonee per la co-gestione se non sono unite in modalità ibrida a Microsoft Entra. Vedere Risoluzione dei problemi per risolvere i problemi di unione ibrida a Microsoft Entra.
-
Controllare l’idoneità alla co-gestione
-
Verificare che le macchine con provisioning MCS siano correttamente assegnate al sito di Configuration Manager previsto. Per ottenere il sito assegnato, eseguire il seguente comando PowerShell sulle macchine interessate.
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy--> -
Se nessuna sede è assegnata alla VM, utilizzare il seguente comando per verificare se la sede di Configuration Manager può essere rilevata automaticamente.
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy--> -
Assicurarsi che i limiti e i gruppi di limiti siano ben configurati nell’ambiente di Configuration Manager se non è possibile rilevare alcun codice sito. Vedere Considerazioni per i dettagli.
-
Controllare
C:\Windows\CCM\Logs\ClientLocation.logper eventuali problemi di assegnazione del sito client di Configuration Manager. -
Controllare gli stati di co-gestione delle macchine. Aprire il pannello di controllo di Configuration Manager sulle macchine interessate e andare alla scheda Generale. Il valore della proprietà Co-management deve essere Abilitato. In caso contrario, controllare i log in
C:\Windows\CCM\Logs\CoManagementHandler.log.
-
-
Controllare la registrazione a Intune
Le macchine potrebbero non riuscire a registrarsi in Microsoft Intune anche se tutti i prerequisiti sono soddisfatti. Controllare i registri eventi di Windows in Registri applicazioni e servizi > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider per problemi di registrazione a Intune.