Citrix DaaS

Hybrid Azure Active Directory参加済みカタログの作成

注:

2023年7月より、MicrosoftはAzure Active Directory(Azure AD)の名前をMicrosoft Entra IDに変更しました。このドキュメントでは、Azure Active Directory、Azure AD、またはAADへの言及はすべて、Microsoft Entra IDを意味することになります。

この記事では、Citrix DaaSを使用してHybrid Azure Active Directory(AD)参加済みカタログを作成する方法について説明します。

StudioまたはPowerShellを使用して、Azure AD参加済みカタログを作成できます。

要件、制限、および考慮事項については、「Hybrid Azure Active Directory参加済み」を参照してください。

Studioの使用

以下の情報は、「マシンカタログの作成」のガイダンスを補完する情報です。Hybrid Azure AD参加済みカタログを作成するには、Hybrid Azure AD参加済みカタログに固有の詳細に注意しながら、その記事の一般的なガイダンスに従ってください。

カタログ作成ウィザードで次の操作を行います:

  • [マシンID] ページで、[Hybrid Azure Active Directory joined] を選択します。作成済みマシンは組織によって所有され、その組織に属したActive Directory Domain Servicesアカウントでサインインします。これらのマシンはクラウドとオンプレミスに存在します。

注:

IDの種類に [Hybrid Azure Active Directory joined] を選択した場合、カタログ内の各マシンには、対応するADコンピューターアカウントが必要です。

PowerShellの使用

以下は、Studioでの操作に相当するPowerShellの手順です。

オンプレミスAD参加済みカタログとHybrid Azure AD参加済みカタログの違いは、IDプールとマシンアカウントの作成にあります。

Hybrid Azure AD参加済みカタログのアカウントとともにIDプールを作成するには、次のようにします:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注:

$passwordは、書き込み権限を持つADユーザーアカウントに一致するパスワードです。

Hybrid Azure AD参加済みカタログを作成するために使用される他のすべてのコマンドは、従来のオンプレミスAD参加済みカタログの場合と同じです。

Hybrid Azure AD参加プロセスのステータスの表示

Studioでは、デリバリーグループ内のHybrid Azure AD参加マシンが電源オンの状態にあるときに、Hybrid Azure AD参加プロセスのステータスが表示されます。ステータスを表示するには、[検索] を使用してそれらのマシンを識別し、下ペインの [詳細] タブで [マシンID] を1つずつチェックします。次の情報が [マシンID] に表示されることがあります:

  • Hybrid Azure AD参加済み
  • Azure AD未参加

注:

  • マシンの電源を最初にオンにしたとき、Hybrid Azure ADの参加が遅れることがあります。これは、デフォルトのマシンID同期間隔(Azure AD Connectの30分)が原因です。マシンは、マシンIDがAzure AD Connectを介してAzure ADに同期された後でのみ、Hybrid Azure AD参加済み状態になります。
  • マシンがHybrid Azure AD参加済み状態にならない場合、それらのマシンはDelivery Controllerに登録されません。このような登録ステータスは [初期化] 状態として表示されます。

また、Studioで、マシンが使用できない理由を知ることができます。これを行うには、[検索] ノードでマシンをクリックし、下ペインの [詳細] タブで [登録] をオンにしてから、ツールチップを読んで追加情報を確認します。

トラブルシューティング

マシンがHybrid Azure AD参加済みにならない場合は、次の手順を実行します:

  • Microsoft Azure ADポータルでそのマシンアカウントがAzure ADに同期されているかどうかを確認します。同期されている場合、[Azure AD未参加] と表示され、登録ステータスが保留中であることを示します。

    マシンアカウントをAzure ADに同期するには、次のことを確認してください:

    • そのマシンアカウントが、Azure ADと同期するように構成されているOU(組織単位)内にあること。userCertificate属性のないマシンアカウントは、同期するように構成されたOU内にあっても、Azure ADに同期されません。
    • userCertificate属性が、そのマシンアカウントに事前設定されていること。属性はActive Directory Explorerを使用して表示できます。
    • Azure AD Connectが、マシンアカウントの作成後に少なくとも1回同期されていること。一度も同期されていない場合は、Azure AD ConnectマシンのPowerShellコンソールで、手動でStart-ADSyncSyncCycle -PolicyType Deltaコマンドを実行し、即時の同期をトリガーします。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CitrixDeviceKeyPairRestoredの値をクエリすることにより、Hybrid Azure AD参加用のCitrix管理対象デバイスのキーペアが正しくマシンにプッシュされているかどうかを確認します。

    値が「1」であることを確認します。1でない場合、考えられる理由は次のとおりです:

    • プロビジョニングスキームに関連付けられているIDプールのIdentityTypeが、HybridAzureADに設定されていない。これを確認するには、Get-AcctIdentityPoolを実行します。
    • マシンが、マシンカタログと同じプロビジョニングスキームを使用してプロビジョニングされていない。
    • マシンが、ローカルドメインに参加していない。ローカルドメイン参加済みであることは、Hybrid Azure AD参加の前提条件です。
  • MCSプロビジョニングマシンでdsregcmd /status /debugコマンドを実行して診断メッセージを確認します。

    • Hybrid Azure AD参加に成功した場合、コマンドラインの出力で「AzureAdJoined」と「DomainJoined」が「YES」と表示されます。
    • YESと表示されない場合は、Microsoft社のドキュメントを参照し、問題のトラブルシューティングを行ってください:https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current
    • サーバーメッセージ:IDがxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxのデバイスにユーザー証明書が見つかりません」というエラーメッセージが表示された場合は、次のPowerShellコマンドを実行してユーザー証明書を修復します:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
       <!--NeedCopy-->
      

ユーザー証明書の問題について詳しくは、CTX566696を参照してください。

Hybrid Azure Active Directory参加済みカタログの作成