Citrix DaaS

Pool di identità dell’identità del computer abilitata per Microsoft Intune

Nota:

Da luglio 2023, Microsoft ha rinominato Azure Active Directory (Azure AD) in Microsoft Entra ID. Nel presente documento, qualsiasi riferimento ad Azure Active Directory, Azure AD o AAD fa ora riferimento a Microsoft Entra ID.

Questo articolo descrive come creare un pool di identità di identità del computer abilitato per Microsoft Intune usando Citrix DaaS.

Puoi creare:

Per informazioni su requisiti, limitazioni e considerazioni, vedere Microsoft Intune.

Creare cataloghi di Azure AD registrati in Microsoft Intune

È possibile creare cataloghi di Azure AD registrati in Microsoft Intune per macchine virtuali persistenti e non persistenti usando sia Studio che PowerShell.

Usa Studio

Le seguenti informazioni sono un’integrazione alla guida in Creazione di cataloghi macchine.

Nella procedura guidata di creazione del catalogo:

  • Sul Identità del computer pagina:

    • Selezionare Aggiunto ad Azure Active Directory E poi Registrare i computer in Microsoft Intune. Se abilitato, registra i computer in Microsoft Intune per la gestione. È possibile creare cataloghi aggiunti ad Azure AD registrati in Microsoft Intune per VM monosessione e multisessione, sia persistenti che non persistenti. Tuttavia, per le VM non persistenti, è necessario disporre della versione VDA 2407 o successiva.
    • Clic Seleziona l’account di servizio e selezionare un account di servizio disponibile dall’elenco. Se non è disponibile un account di servizio idoneo per il tenant di Azure AD a cui verranno aggiunte le identità delle macchine, è possibile crearne uno. Per informazioni sull’account del servizio, vedere Account del servizio Azure AD.

      Nota:

      L’account di servizio selezionato potrebbe non essere integro per vari motivi. Puoi andare su Gli amministratori > Account di servizio A Mostra dettagli e risolvi i problemi in base alle raccomandazioni. In alternativa, è possibile procedere con l’operazione di catalogo della macchina e risolvere i problemi in un secondo momento. Se non si risolve il problema, vengono generati dispositivi aggiunti ad Azure AD o registrati a Microsoft Intune non aggiornati che possono bloccare l’aggiunta ad Azure AD dei computer.

Utilizzare PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni in Studio.

Per registrare i computer in Microsoft Intune tramite Remote PowerShell SDK, utilizzare il parametro DeviceManagementType in New-AcctIdentityPool. Questa funzionalità richiede che il catalogo sia aggiunto ad Azure AD e che Azure AD disponga della licenza Microsoft Intune corretta. Per esempio:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Risoluzione dei problemi

Se i computer non riescono a registrarsi in Microsoft Intune, procedere come segue:

  • Verificare se le macchine fornite da MCS sono aggiunte ad Azure AD. Le macchine non riescono a registrarsi in Microsoft Intune se non sono aggiunte ad Azure AD. Vedere Risolvere per risolvere i problemi di aggiunta ad Azure AD.

  • Controlla se al tuo tenant di Azure AD è assegnata la licenza Intune appropriata. Per i requisiti di licenza di Microsoft Intune, vedere https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses .

  • Per i cataloghi che utilizzano immagini master con VDA versione 2206 o precedente, controllare lo stato di provisioning dell’estensione AADLoginForWindows per le macchine. Se l’estensione AADLoginForWindows non esiste, le possibili ragioni sono:

    • IdentityType del pool di identità associato allo schema di provisioning non è impostato su AzureAD o DeviceManagementType non è impostato su Intune. Puoi verificarlo eseguendo Get-AcctIdentityPool.

    • I criteri di Azure hanno bloccato l’installazione dell’estensione AADLoginForWindows .

  • Per risolvere i problemi di provisioning dell’estensione AADLoginForWindows , è possibile controllare i registri in C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows sulla macchina con provisioning MCS.

    Nota:

    MCS non si basa sull’estensione AADLoginForWindows per aggiungere una VM ad Azure AD e registrarsi a Microsoft Intune quando si utilizza un’immagine master con VDA versione 2209 o successiva. In questo caso, l’estensione AADLoginForWindows non è installata sulla macchina fornita da MCS. Pertanto, i log di provisioning dell’estensione AADLoginForWindows non possono essere raccolti.

  • Controllare i registri eventi di Windows in Registri applicazioni e servizi > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.

  • L’account di servizio selezionato potrebbe non essere integro per vari motivi. Puoi andare su Gli amministratori > Account di servizio A Mostra dettagli e risolvi i problemi in base alle raccomandazioni. Se non si risolve il problema, vengono generati dispositivi aggiunti ad Azure AD o registrati a Microsoft Intune non aggiornati che possono bloccare l’aggiunta ad Azure AD dei computer.

Creare cataloghi aggiunti ad Azure AD ibrido registrati in Microsoft Intune

È possibile creare cataloghi abilitati per la co-gestione per i cataloghi aggiunti ad Azure AD ibrido registrati in Microsoft Intune per macchine virtuali permanenti a sessione singola e multisessione. È possibile creare cataloghi abilitati per la co-gestione utilizzando sia Studio che PowerShell.

Usa Studio

Le seguenti informazioni costituiscono un supplemento alle linee guida di cui Creazione di cataloghi di macchine.

Nel Configurazione del catalogo macchine mago:

  • Sul Identità del computer pagina, selezionare Aggiunto ad Azure Active Directory ibrido E poi Registrare i computer in Microsoft Intune con Configuration Manager. Usando questa azione, Configuration Manager e Microsoft Intune (ovvero co-gestito) gestiscono le macchine virtuali.

Utilizzare PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti ai passaggi in Studio.

Per registrare i computer in Microsoft Intune con Configuration Manager usando Remote PowerShell SDK, usare il comando DeviceManagementType parametro in New-AcctIdentityPool. Questa funzionalità richiede che il catalogo sia aggiunto ad Azure AD ibrido e che Azure AD possieda la licenza di Microsoft Intune corretta.

La differenza tra i cataloghi aggiunti ad Azure AD ibrido e quelli abilitati alla co-gestione risiede nella creazione del pool di identità. Per esempio:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Risoluzione dei problemi

Se i computer non riescono a registrarsi in Microsoft Intune o non riescono a raggiungere lo stato di co-gestione, eseguire le operazioni seguenti:

  • Controllare la licenza di Intune

    Controlla se al tuo tenant di Azure AD è assegnata la licenza Intune appropriata. Vedere Licenze di Microsoft Intune per i requisiti di licenza di Microsoft Intune.

  • Controllare lo stato di aggiunta ad Azure AD ibrido

    Verificare se le macchine con provisioning MCS sono aggiunte ad Azure AD ibrido. I computer non sono idonei per la co-gestione se non sono aggiunti ad Azure AD ibrido. Vedere Risolvere per risolvere i problemi di aggiunta ad Azure AD ibrido.

  • Verifica l’idoneità alla co-gestione

    • Verificare che le macchine con provisioning MCS siano assegnate correttamente al sito di Configuration Manager previsto. Per ottenere il sito assegnato, eseguire il comando di PowerShell seguente nei computer interessati.

         (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
       <!--NeedCopy-->
      
    • Se alla macchina virtuale non è assegnato alcun sito, usare il comando seguente per verificare se il sito di Configuration Manager può essere individuato automaticamente.

         (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
       <!--NeedCopy-->
      
    • Assicurarsi che i limiti e i gruppi di limiti siano configurati correttamente nell’ambiente Configuration Manager se non è possibile individuare il codice del sito. Vedere Considerazioni per i dettagli.

    • Assegno C:\Windows\CCM\Registri\ClientLocation.log per eventuali problemi di assegnazione del sito client di Configuration Manager.

    • Controllare gli stati di co-gestione delle macchine. Apri il Pannello di controllo di Configuration Manager sulle macchine interessate e andare alla pagina Generale scheda. Il valore dell’immobile in cogestione deve essere Abilitato. In caso contrario, controllare i registri in C:\Windows\CCM\Registri\CoManagementHandler.log.

  • Controllare la registrazione di Intune

    I computer potrebbero non riuscire a registrarsi in Microsoft Intune anche se tutti i prerequisiti sono soddisfatti. Controlla i registri eventi di Windows in Registri applicazioni e servizi > Valentina > Finestre > DeviceManagement-Enterprise-Diagnostics-Provider per problemi di registrazione di Intune.

Ulteriori informazioni

Pool di identità dell’identità del computer abilitata per Microsoft Intune