Microsoft Entra参加済みマシンIDのIDプール
この記事では、Citrix DaaSを使用してMicrosoft Entra参加済みマシンIDのIDプールを作成する方法について説明します。
要件、制限、および考慮事項については、「Microsoft Entra参加済み」を参照してください。
- マシンカタログを作成する前に、以下が必要です。
- 新しいリソースの場所
- Citrix Cloud™管理UI > 左上のハンバーガーメニュー > リソースの場所 に移動します。
- + リソースの場所 をクリックします。
- 新しいリソースの場所の名前を入力し、保存 をクリックします。
-
ホスティング接続を作成します。詳細については、「接続の作成と管理」セクションを参照してください。Azureにマシンを展開する場合は、「Azure Resource Managerへの接続」を参照してください。
- StudioまたはPowerShellを使用して、Microsoft Entra参加済みカタログを作成できます。
Studioの使用
以下の情報は、「マシンカタログの作成」のガイダンスを補足するものです。Microsoft Entra参加済みカタログを作成するには、その記事の一般的なガイダンスに従い、Microsoft Entra参加済みカタログに固有の詳細に注意してください。
カタログ作成ウィザードで:
- 1. **イメージ** ページで:
- 機能レベルとして2106以降を選択します。
- **マシンプロファイルを使用** を選択し、リストから適切なマシンを選択します。
-
マシンID ページで:
- Microsoft Entra参加済み を選択します。作成されたマシンは組織によって所有され、その組織に属するMicrosoft Entraアカウントでサインインされます。これらはクラウドにのみ存在します。
-
注:
-
> - **Microsoft Entra参加済み** IDタイプには、カタログの最小機能レベルとしてバージョン2106以降が必要です。 > - マシンは、ホスティング接続がバインドされているテナントに関連付けられたMicrosoft Entraドメインに参加します。-
サービスアカウントの選択 をクリックし、リストから利用可能なサービスアカウントを選択します。マシンIDが参加するMicrosoft Entraテナントに適したサービスアカウントが利用できない場合は、サービスアカウントを作成できます。サービスアカウントの詳細については、「Microsoft Entraサービスアカウント」を参照してください。
注:
選択したサービスアカウントは、さまざまな理由により異常な状態になっている可能性があります。管理者 > サービスアカウント に移動して詳細を表示し、推奨事項に従って問題を修正できます。または、マシンカタログ操作を続行し、後で問題を修正することもできます。問題を修正しない場合、古いMicrosoft Entra参加済みまたはMicrosoft Intune登録済みデバイスが生成され、マシンのMicrosoft Entra参加がブロックされる可能性があります。
-
- ユーザーは、Microsoft Entra資格情報を使用してマシンにログオンするために、Azureで明示的なアクセス権を付与されている必要があります。詳細については、「Microsoft Entra参加済み」セクションを参照してください。
サービスアカウントの関連付けの変更
関連付けられているサービスアカウントを変更したり、既存のMCSマシンカタログに関連付けを追加したりするには、マシンカタログの編集 ページを使用します。
- サービスアカウントを追加するには、サービスアカウント ページで サービスアカウントの選択 をクリックします。
- サービスアカウントの関連付けを変更するには、サービスアカウント ページで編集アイコンをクリックします。
PowerShellの使用
以下は、Studioでの操作に相当する PowerShell の手順です。
オンプレミスAD参加済みカタログとMicrosoft Entra参加済みカタログの違いは、IDプールとプロビジョニングスキームの作成にあります。
Microsoft EntraサービスアカウントをIDプールに関連付けてから、マシンカタログを作成する必要があります。新しいIDプールを作成するか、既存のIDプールを更新してサービスアカウントに関連付けることができます。
新しいIDプールの作成
例:新しいIDプールを作成し、サービスアカウントに関連付けるには、以下を実行します。
New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
例:指定された拡張属性を持つ新しいIDプールを作成し、サービスアカウントに関連付けるには、以下を実行します。
New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
VMがMicrosoft Entra IDに参加した後、初めて電源がオンになると、VMはそのEntra ID deviceIdをMCSに報告します。
例:EntraIDDeviceID を確認するには、Get-AcctADAccount または Get-AcctIdentity を実行します。
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
再起動後、永続VMの場合、EntraIDDeviceID は同じままです。非永続VMの場合、再起動ごとに新しい EntraIDDeviceID が生成されます。
注:
カタログからVMを削除してもAzureから削除しない場合、MCSは関連付けられた拡張属性を自動的に削除します。
既存のIDプールの更新
例:既存のIDプールを更新してサービスアカウントに関連付けるには、以下を実行します。
$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
- Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
- <!--NeedCopy-->
注:
$serviceAccountUidは、Microsoft Entraサービスアカウントの有効なUIDである必要があります。
例:既存のカタログの拡張属性を編集するには、以下を実行します。
注:
- 既存のカタログVMをVDAバージョン2511以降にアップグレードした後、再起動が必要です。この再起動により、VMはEntra ID deviceIdをMCSに報告し、MCSはVMの拡張属性を構成できるようになります。 - > - 既存のカタログには、「Device.ReadWrite.All」権限を持つAzureADタイプのサービスアカウントが必要です。
-
新しい属性を追加するには:
- ```
-
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{“extensionAttribute1” = “val1”; “extensionAttribute2” = “val2”} ```
既存の属性を削除するには
- ```
- Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
- ```
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool は、すでに Entra ID に参加しており、ID 内に EntraIDDeviceID 値を持つ VM の Entra ID デバイスの拡張属性も更新します。
Microsoft Entra 参加済みカタログの作成
Microsoft Entra 参加済みカタログのプロビジョニングスキームを作成するには、New-ProvScheme で MachineProfile パラメーターが必要です。例:
-
```
-
New-ProvScheme -CustomProperties “<CustomProperties xmlns=
"http://schemas.citrix.com/2014/xd/machinecreation” xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance”><Property xsi:type="StringProperty” Name="UseManagedDisks” Value="true” /><Property xsi:type="StringProperty” Name="StorageType” Value="StandardSSD_LRS” /><Property xsi:type="StringProperty” Name="LicenseType” Value="Windows_Server” /></CustomProperties>” -HostingUnitName “AzureResource” -IdentityPoolName “AzureADJoinedCatalog” -InitialBatchSizeHint 1 -MachineProfile “XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm” -MasterImageVM “XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk” -NetworkMapping @{“0”=”XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network”} -ProvisioningSchemeName “AzureADJoinedCatalog” -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering “XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering” -
```
準備されたイメージを使用して Microsoft Entra カタログを作成する場合。例:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Microsoft Entra 参加プロセスのステータスの表示
Studio では、デリバリーグループ内の Microsoft Entra 参加済みマシンが電源オン状態の場合に、Microsoft Entra 参加プロセスのステータスが表示されます。ステータスを表示するには、検索を使用してそれらのマシンを特定し、下部ペインの [詳細] タブで各マシンの [マシン ID] を確認します。[マシン ID] には次の情報が表示されます。
- Microsoft Entra 参加済み
- Microsoft Entra ID に未参加
注:
マシンが Microsoft Entra 参加済み状態にならない場合、Delivery Controller に登録されません。登録ステータスは [初期化中] と表示されます。
また、Studio を使用して、マシンが利用できない理由を確認できます。これを行うには、[検索] ノードでマシンをクリックし、下部ペインの [詳細] タブで [登録] を確認し、ツールヒントを読んで追加情報を確認します。
デリバリーグループ
詳細については、「デリバリーグループの作成」セクションを参照してください。
Rendezvous の有効化
デリバリーグループが作成されたら、Rendezvous を有効にできます。詳細については、「Rendezvous V2」を参照してください。
トラブルシューティング
マシンが Microsoft Entra 参加済み状態にならない場合は、次の操作を行います。
-
システム割り当てマネージド ID がマシンで有効になっているか確認します。MCS でプロビジョニングされたマシンでは、これが自動的に有効になっている必要があります。システム割り当てマネージド ID がないと、Microsoft Entra 参加プロセスは失敗します。MCS でプロビジョニングされたマシンでシステム割り当てマネージド ID が有効になっていない場合、考えられる理由は次のとおりです。
- プロビジョニングスキームに関連付けられている ID プールの
IdentityTypeがAzureADに設定されていません。これはGet-AcctIdentityPoolを実行して確認できます。
- プロビジョニングスキームに関連付けられている ID プールの
-
VDA バージョン 2206 以前のマスターイメージを使用するカタログの場合、マシンの AADLoginForWindows 拡張機能のプロビジョニングステータスを確認します。AADLoginForWindows 拡張機能が存在しない場合、考えられる理由は次のとおりです。
-
プロビジョニングスキームに関連付けられている ID プールの
IdentityTypeがAzureADに設定されていません。これはGet-AcctIdentityPoolを実行して確認できます。 -
AADLoginForWindows 拡張機能のインストールが Azure ポリシーによってブロックされています。
-
-
AADLoginForWindows 拡張機能のプロビジョニングの失敗をトラブルシューティングするには、MCS でプロビジョニングされたマシンで
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowsの下のログを確認できます。注:
MCS は、VDA バージョン 2209 以降のマスターイメージを使用する場合、VM を Microsoft Entra ID に参加させるために
AADLoginForWindows拡張機能に依存しません。この場合、AADLoginForWindows拡張機能は MCS でプロビジョニングされたマシンにはインストールされません。したがって、AADLoginForWindows拡張機能のプロビジョニングログを収集することはできません。 -
MCS でプロビジョニングされたマシンで
dsregcmd /statusコマンドを実行して、Microsoft Entra 参加ステータスとデバッグログを確認します。 - [アプリケーションとサービスログ] > [Microsoft] > [Windows] > [ユーザーデバイス登録] の下の Windows イベントログを確認します。
-
Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName}を実行して、Microsoft Entra デバイス管理が正しく構成されているか確認します。次の値を確認します。
-
CustomPropertiesのAzureAdDeviceManagementプロパティが true であること - メタデータ内の
Citrix_MCS_AzureAdDeviceManagement_PermissionGrantedプロパティが true であること
Citrix_MCS_AzureAdDeviceManagement_PermissionGrantedが false の場合、ホスティング接続で使用されるアプリケーションのServicePrincipalに、Microsoft Entra デバイス管理を実行するための十分な権限が付与されていないことを示します。これを解決するには、ServicePrincipalに Cloud Device Administrator ロールを割り当てます。 -
Microsoft Entra 動的セキュリティグループ
動的グループルールは、マシンカタログの命名スキームに基づいて、カタログ内の VM を動的セキュリティグループに配置します。
マシンカタログの命名スキームが Test### (ここで、# は数字を意味します) の場合、Citrix® は動的セキュリティグループに動的メンバーシップルール ^Test[0-9]{3}$ を作成します。Citrix によって作成された VM の名前が Test001 から Test999 のいずれかである場合、その VM は動的セキュリティグループに含まれます。
注:
手動で作成した VM の名前が Test001 から Test999 のいずれかである場合も、その VM は動的セキュリティグループに含まれます。これは動的セキュリティグループの制限の 1 つです。
動的セキュリティグループ機能は、Microsoft Entra ID によって VM を管理する場合に役立ちます。また、条件付きアクセスポリシーを適用したり、Microsoft Entra 動的セキュリティグループで VM をフィルタリングして Intune からアプリを配布したりする場合にも役立ちます。
PowerShell コマンドを使用して、次のことができます。
- Microsoft Entra 動的セキュリティグループを使用してマシンカタログを作成する
- Microsoft Entra カタログのセキュリティグループ機能を有効にする
- Microsoft Entra 参加済みデバイスセキュリティグループを持つマシンカタログを削除する
重要:
- Microsoft Entra 動的セキュリティグループを使用してマシンカタログを作成し、マシンをカタログに追加し、マシンカタログを削除するには、Microsoft Entra アクセストークンが必要です。Microsoft Entra アクセストークンの取得については、「https://docs.microsoft.com/en-us/graph/graph-explorer/graph-explorer-features#consent-to-permissions/」を参照してください。
Microsoft Entra ID でアクセストークンを要求するために、Citrix は Microsoft Graph API の Group.ReadWrite.All 権限を要求します。テナント全体の管理者同意権限を持つ Microsoft Entra ユーザーは、Microsoft Graph API の Group.ReadWrite.All 権限を付与できます。Microsoft Entra ID でアプリケーションにテナント全体の管理者同意を付与する方法については、Microsoft ドキュメント「https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent」を参照してください。
- Microsoft Entra サービスアカウントを使用する場合は、Microsoft Entra アクセストークンは必要ありません。サービスアカウントについては、「マシン ID 管理用のサービスアカウント」を参照してください。
Microsoft Entra 動的セキュリティグループを使用したマシンカタログの作成
-
- Web ベースコンソールのマシンカタログセットアップユーザーインターフェイスで、[マシン ID] ページで [Microsoft Entra 参加済み] を選択します。
- Microsoft Entra ID にログインします。
- MS Graph API へのアクセストークンを取得します。PowerShell コマンドを実行する際に、このアクセストークンを
$AzureADAccessTokenパラメーターの値として使用します。Microsoft Entra サービスアカウントを使用する場合は、Microsoft Entra アクセストークンは必要ありません。 -
テナントに動的セキュリティグループ名が存在するかどうかを確認するには、次のコマンドを実行します。
Get-AcctAzureADSecurityGroup –AccessToken $AzureADAccessToken –Name "SecurityGroupName" <!--NeedCopy-->または、Microsoft Entra サービスアカウントを使用している場合は、次を実行します。
Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName" <!--NeedCopy--> -
マシンカタログをテナント ID、アクセストークン、および動的セキュリティグループを使用して作成します。
IdentityType=AzureADを持つ IdentityPool を作成し、Azure に動的セキュリティグループを作成するには、次のコマンドを実行します。New-AcctIdentityPool -AllowUnicode -IdentityPoolName "SecurityGroupCatalog" -NamingScheme "SG-VM-###" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -WorkgroupMachine -IdentityType "AzureAD" -DeviceManagementType "None" -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e -AzureADSecurityGroupName "SecurityGroupName" -AzureADAccessToken $AzureADAccessToken <!--NeedCopy-->または、Microsoft Entra サービスアカウントを使用している場合は、次を実行します。
New-AcctIdentityPool -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD" -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>" <!--NeedCopy-->
Microsoft Entra カタログのセキュリティグループ機能の有効化
動的セキュリティグループ機能が有効になっていない状態で作成された Microsoft Entra カタログに対して、動的セキュリティ機能を有効にできます。これを行うには、次の手順を実行します。
- 新しい動的セキュリティグループを手動で作成します。既存の動的セキュリティグループを再利用することもできます。
-
Microsoft Entra ID にログインし、MS Graph API へのアクセストークンを取得します。PowerShell コマンドを実行する際に、このアクセストークンを
$AzureADAccessTokenパラメーターの値として使用します。注記:
- Microsoft Entra ユーザーに必要な権限については、https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#prerequisites/ を参照してください。
- Microsoft Entra サービスアカウントを使用している場合、Microsoft Entra アクセストークンは不要です。
-
作成した Microsoft Entra 動的セキュリティグループに ID プールを接続するには、次のコマンドを実行します。
Set-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e -AzureADSecurityGroupNam "ExistingSecurityGroupName" -AzureADAccessToken $AzureADAccessToken <!--NeedCopy-->または、Microsoft Entra サービスアカウントを使用している場合は、次を実行します。
Set-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e -AzureADSecurityGroupNam "ExistingSecurityGroupName" -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>" <!--NeedCopy-->
命名スキームを更新すると、Citrix は命名スキームを新しいメンバーシップルールに更新します。カタログを削除すると、メンバーシップルールは削除されますが、セキュリティグループは削除されません。
Microsoft Entra 参加済みデバイスセキュリティグループを持つマシンカタログの削除
マシンカタログを削除すると、Microsoft Entra 参加済みデバイスセキュリティグループも削除されます。
Microsoft Entra 動的セキュリティグループを削除するには、次の手順を実行します。
- Microsoft Entra ID にログインします。
- MS Graph API へのアクセストークンを取得します。PowerShell コマンドを実行する際に、このアクセストークンを
$AzureADAccessTokenパラメーターの値として使用します。Microsoft Entra サービスアカウントを使用している場合、Microsoft Entra アクセストークンは不要です。 -
次のコマンドを実行します。
Remove-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -AzureADAccessToken $AzureADAccessToken <!--NeedCopy-->または、Microsoft Entra サービスアカウントを使用している場合は、次を実行します。
Remove-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>" <!--NeedCopy-->
既存の Microsoft Entra ID 割り当て済みセキュリティグループの下での Microsoft Entra 動的セキュリティグループの作成
既存の Microsoft Entra ID 割り当て済みセキュリティグループの下に Microsoft Entra 動的セキュリティグループを作成できます。次の操作を実行できます。
- セキュリティグループ情報の取得
- オンプレミス AD サーバーから同期されたすべての Microsoft Entra ID 割り当て済みセキュリティグループ、または Microsoft Entra ロールを割り当てることができる割り当て済みセキュリティグループの取得
- すべての Microsoft Entra 動的セキュリティグループの取得
- Microsoft Entra 動的セキュリティグループを Microsoft Entra ID 割り当て済みグループのメンバーとして追加
- マシンカタログとともに Microsoft Entra 動的セキュリティグループが削除された場合の、Microsoft Entra 動的セキュリティグループと Microsoft Entra ID 割り当て済みセキュリティグループ間のメンバーシップの削除
いずれかの操作が失敗した場合は、明示的なエラーメッセージも表示されます。
要件:
PowerShell コマンドを実行する際には、MS Graph API へのアクセストークンが必要です。Microsoft Entra サービスアカウントを使用している場合、Microsoft Entra アクセストークンは不要です。したがって、-AccessToken <token> の代わりに ServiceAccountUid <service account uid> を使用します。
アクセストークンを取得するには、次の手順を実行します。
- Microsoft Graph Explorer を開き、Microsoft Entra ID にログインします。
- Group.ReadWrite.All および GroupMember.ReadWrite.All の権限に同意していることを確認します。
- Microsoft Graph Explorer からアクセストークンを取得します。PowerShell コマンドを実行する際に、このアクセストークンを使用します。
グループ ID でセキュリティグループ情報を取得するには、次の手順を実行します。
- アクセストークンを取得します。
- Azure ポータルからグループオブジェクト ID を見つけます。
-
PowerShell コンソールで次の PowerShell コマンドを実行します。
Get-AcctAzureADSecurityGroup -AccessToken <token> -GroupId <GroupUid> <!--NeedCopy-->または、Microsoft Entra サービスアカウントを使用している場合は、次を実行します。
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid> <!--NeedCopy-->
グループ表示名でセキュリティグループを取得するには、次の手順を実行します。
- アクセストークンを取得します。
-
PowerShell コンソールで次の PowerShell コマンドを実行します。
Get-AcctAzureADSecurityGroup -AccessToken <token> -Name <TargetGroupDisplayName> <!--NeedCopy-->または、Microsoft Entra サービスアカウントを使用している場合は、次を実行します。
- Get-AcctAzureADSecurityGroup - ServiceAccountUid <guid> - Name <TargetGroupDisplayName> <!--NeedCopy-->
表示名にサブストリングが含まれるセキュリティグループを取得するには、次の手順を実行します。
- アクセストークンを取得します。
-
PowerShell コンソールで次の PowerShell コマンドを実行します。
Get-AcctAzureADSecurityGroup -AccessToken <token> -SearchString <displayNameSubString> <!--NeedCopy-->または、Microsoft Entra サービスアカウントを使用している場合は、次を実行します。
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -SearchString <displayNameSubString> <!--NeedCopy-->
オンプレミスADサーバーから同期されたすべてのMicrosoft Entra ID割り当て済みセキュリティグループ、またはMicrosoft Entraロールを割り当てることができる割り当て済みセキュリティグループを取得するには:
- アクセストークンを取得します。
-
PowerShellコンソールで次のPowerShellコマンドを実行します。
Get-AcctAzureADSecurityGroup -AccessToken <token> -Assigned true <!--NeedCopy-->または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -Assigned true <!--NeedCopy-->
すべてのMicrosoft Entra動的セキュリティグループを取得するには:
- アクセストークンを取得します。
-
PowerShellコンソールで次のPowerShellコマンドを実行します。
Get-AcctAzureADSecurityGroup -AccessToken <token> -Dynamic true <!--NeedCopy-->または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -Dynamic true <!--NeedCopy-->
最大レコード数でMicrosoft Entra ID割り当て済みセキュリティグループを取得するには:
- アクセストークンを取得します。
-
PowerShellコンソールで次のPowerShellコマンドを実行します。
Get-AcctAzureADSecurityGroup -AccessToken <token> -Assigned true -MaxRecordCount 10 <!--NeedCopy-->または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -Assigned true -MaxRecordCount 10 <!--NeedCopy-->
Microsoft Entra動的セキュリティグループをMicrosoft Entra ID割り当て済みセキュリティグループのメンバーとして追加するには:
- アクセストークンを取得します。
-
PowerShellコンソールで次のPowerShellコマンドを実行します。
Add-AcctAzureADSecurityGroupMember -AccessToken <token> -GroupId <ASG-Id> -RefGroupId <DSG-Id> <!--NeedCopy-->または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
Add-AcctAzureADSecurityGroupMember -ServiceAccountUid <guid> -GroupId <ASG-Id> -RefGroupId <DSG-Id> <!--NeedCopy-->
Microsoft Entra ID割り当て済みセキュリティグループのメンバーを取得するには:
- アクセストークンを取得します。
-
PowerShellコンソールで次のPowerShellコマンドを実行します。
Get-AcctAzureADSecurityGroupMember -AccessToken <token> -GroupId <ASG-Id> <!--NeedCopy-->または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
Get-AcctAzureADSecurityGroupMember -ServiceAccountUid <guid> -GroupId <ASG-Id> <!--NeedCopy-->注:
Get-AcctAzureADSecurityGroupMemberは、Microsoft Entra ID割り当て済みセキュリティグループの下にあるセキュリティグループタイプの直接メンバーのみを提供します。
Microsoft Entra動的セキュリティグループがマシンカタログとともに削除されたときに、Microsoft Entra動的セキュリティグループとMicrosoft Entra ID割り当て済みセキュリティグループ間のメンバーシップを削除するには:
- アクセストークンを取得します。
-
PowerShellコンソールで次のPowerShellコマンドを実行します。
Remove-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -AzureADAccessToken $AzureADAccessToken <!--NeedCopy-->または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
Remove-AcctIdentityPool -ServiceAccountUid <guid> -IdentityPoolName "SecurityGroupCatalog" <!--NeedCopy-->
Microsoft Entra動的セキュリティグループ名の変更
マシンカタログに関連付けられているMicrosoft Entra動的セキュリティグループ名を変更できます。この変更により、Microsoft Entra IDプールオブジェクトに保存されているセキュリティグループ情報が、Azureポータルに保存されている情報と一貫性を持つようになります。
注:
Microsoft Entra動的セキュリティグループには、オンプレミスADから同期されたセキュリティグループや、Office 365グループなどの他のグループタイプは含まれません。
StudioおよびPowerShellコマンドを使用して、Microsoft Entra動的セキュリティグループ名を変更できます。
PowerShellを使用してMicrosoft Entra動的セキュリティグループ名を変更するには:
- PowerShellウィンドウを開きます。
-
asnp citrix*を実行して、Citrix固有のPowerShellモジュールをロードします。 -
Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name]コマンドを実行します。
Microsoft Entra動的セキュリティグループ名を変更できない場合は、適切なエラーメッセージが表示されます。