Citrix DaaS™

Microsoft Entra参加済みマシンIDのIDプール

May 4, 2026

寄稿者:

C C

本記事では、Citrix DaaSを使用してMicrosoft Entra参加済みマシンIDのIDプールを作成する方法について説明します。

要件、制限、および考慮事項については、Microsoft Entra参加済みを参照してください。

-  マシンカタログを作成する前に、以下が必要です。

新しいリソースロケーション
- Citrix Cloud™管理UI > 左上のハンバーガーメニュー > リソースロケーションに移動します。
- + リソースロケーションをクリックします。
- 新しいリソースロケーションの名前を入力し、保存をクリックします。
ホスティング接続を作成します。詳細については、接続の作成と管理セクションを参照してください。Azureにマシンを展開する場合は、Azure Resource Managerへの接続を参照してください。

StudioまたはPowerShellを使用して、Microsoft Entra参加済みカタログを作成できます。

Studioの使用

以下の情報は、マシンカタログの作成のガイダンスを補足するものです。Microsoft Entra参加済みカタログを作成するには、その記事の一般的なガイダンスに従い、Microsoft Entra参加済みカタログに固有の詳細に注意してください。 https://www.example.com/feed/12345 カタログ作成ウィザードで：

イメージページで：
- 機能レベルとして2106以降を選択します。
- マシンプロファイルを使用を選択し、リストから適切なマシンを選択します。
マシンIDページで：
1. Microsoft Entra参加済みを選択します。作成されたマシンは組織が所有し、その組織に属するMicrosoft Entraアカウントでサインインされます。これらはクラウドのみに存在します。
  注：
  - Microsoft Entra参加済みIDタイプには、カタログの最小機能レベルとしてバージョン2106以降が必要です。
  - マシンは、ホスティング接続がバインドされているテナントに関連付けられたMicrosoft Entraドメインに参加します。
  - 1. サービスアカウントの選択をクリックし、リストから利用可能なサービスアカウントを選択します。マシンIDが参加するMicrosoft Entraテナントに適したサービスアカウントが利用できない場合は、サービスアカウントを作成できます。サービスアカウントの詳細については、Microsoft Entraサービスアカウントを参照してください。

注： > > 選択したサービスアカウントは、さまざまな理由により異常な状態になっている可能性があります。管理者 > サービスアカウントに移動して詳細を表示し、推奨事項に従って問題を修正できます。または、マシンカタログ操作を続行し、後で問題を修正することもできます。問題を修正しない場合、古いMicrosoft Entra参加済みデバイスまたはMicrosoft Intune登録済みデバイスが生成され、マシンのMicrosoft Entra参加がブロックされる可能性があります。

       -  1.  **拡張属性の追加**をクリックして、一意のカスタムデータをEntra IDデバイスオブジェクトに直接保存します。**拡張属性の追加**ページで、**拡張属性**と**値**を追加します。

    > **注：**
    >
    >         -  最大15個の拡張属性を追加できます。
    >     -  名前は一意である必要があり、値は空にできません。

1. Active Directoryアカウントオプションを選択します。
  - 新しいActive Directoryアカウントを作成：
    - 新しいActive Directoryアカウントを作成を選択し、既存のIDプールを使用して新しいアカウントを作成する場合は、それらのアカウントのドメインを選択し、アカウント命名スキームを指定します。
    - 新しいActive Directoryアカウントを作成を選択し、既存のIDプールを使用して新しいアカウントを作成する場合は、リストからIDプールを選択します。
  - 既存のActive Directoryアカウントを使用：CSVファイルから参照またはインポートし、パスワードをリセットするか、すべてのアカウントに同じパスワードを指定できます。 - アカウント命名スキームを指定します。

ユーザーは、Microsoft Entra資格情報を使用してマシンにログオンするために、Azureで明示的なアクセスを許可されている必要があります。詳細については、Microsoft Entra参加済みセクションを参照してください。

拡張属性の追加または変更

既存のMCSマシンカタログに拡張属性を変更または追加する場合、またはサービスアカウントなしでMCSカタログに拡張属性を追加する場合は、マシンカタログの編集ウィザードを使用します。

追加の拡張属性を変更または追加するには、Microsoft Entraデバイス拡張属性ページに移動します。鉛筆アイコンをクリックし、拡張属性を追加または更新します。
Microsoft EntraサービスアカウントなしでMCSカタログに拡張属性を追加するには：
1. サービスアカウントページに移動します。Microsoft Intra IDのMicrosoft Entraサービスアカウントを選択します。
2. Microsoft Entraデバイス拡張属性ページに移動し、拡張属性の追加をクリックします。

サービスアカウントの関連付けの変更

関連付けられたサービスアカウントを変更したり、既存のMCSマシンカタログに新しい関連付けを追加したりするには、マシンカタログの編集ページを使用します。

サービスアカウントを追加するには、サービスアカウントページでサービスアカウントの選択をクリックします。
- サービスアカウントの関連付けを変更するには、サービスアカウントページで編集アイコンをクリックします。

PowerShellの使用

以下は、Studioでの操作に相当するPowerShellの手順です。

オンプレミスAD参加済みカタログとMicrosoft Entra参加済みカタログの違いは、IDプールとプロビジョニングスキームの作成にあります。

Microsoft EntraサービスアカウントをIDプールに関連付けてから、マシンカタログを作成する必要があります。新しいIDプールを作成するか、既存のIDプールを更新してサービスアカウントに関連付けることができます。

新しいIDプールの作成

例：新しいIDプールを作成し、サービスアカウントに関連付けるには、以下を実行します。

New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

例：指定された拡張属性を持つ新しいIDプールを作成し、サービスアカウントに関連付けるには、以下を実行します。

New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

VMがMicrosoft Entra IDに参加した後、初めて電源がオンになると、VMはそのEntra ID deviceIdをMCSに報告します。

例：EntraIDDeviceIDを確認するには、Get-AcctADAccountまたはGet-AcctIdentityを実行します。

Get-AcctADAccount -IdentityPoolName MyPool

<!--NeedCopy-->

再起動後、永続VMの場合、EntraIDDeviceIDは同じままです。非永続VMの場合、再起動ごとに新しいEntraIDDeviceIDが生成されます。

注：

カタログからVMを削除してもAzureから削除しない場合、MCSは関連付けられた拡張属性を自動的に削除します。

既存のIDプールの更新

例：既存のIDプールを更新してサービスアカウントに関連付けるには、以下を実行します。

$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

注：

$serviceAccountUidは、Microsoft Entraサービスアカウントの有効なUIDである必要があります。

-  例：既存のカタログの拡張属性を編集するには、以下を実行します。

注記:

既存のカタログVMをVDAバージョン2511以降にアップグレードした後、再起動が必要です。この再起動により、VMはEntra ID deviceIdをMCSに報告し、MCSはVMの拡張属性を設定できるようになります。

既存のカタログには、”Device.ReadWrite.All” 権限を持つAzureADタイプのサービスアカウントが必要です。

-  新しい属性を追加するには：

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

既存の属性を削除するには：

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

<!--NeedCopy-->

または

    -  Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}

<!--NeedCopy-->

Set-AcctIdentityPool は、すでにEntra IDに参加しており、ID内に EntraIDDeviceID 値を持つVMのEntra IDデバイスの拡張属性も更新します。

Microsoft Entra参加済みカタログの作成

Microsoft Entra参加済みカタログのプロビジョニングスキームを作成するには、New-ProvScheme で MachineProfile パラメーターが必要です。例：

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"

<!--NeedCopy-->

準備されたイメージを使用してMicrosoft Entraカタログを作成します。例：

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]

<!--NeedCopy-->

Microsoft Entra参加プロセスのステータスの表示

Studioでは、デリバリーグループ内のMicrosoft Entra参加済みマシンが電源オン状態の場合に、Microsoft Entra参加プロセスのステータスが表示されます。ステータスを表示するには、検索を使用してそれらのマシンを特定し、下部ペインの詳細タブで各マシンの マシンID を確認します。マシンID には次の情報が表示されます：

Microsoft Entra参加済み
Microsoft Entra IDに未参加

注記:

マシンがMicrosoft Entra参加済み状態にならない場合、デリバリーコントローラーに登録されません。登録ステータスは 初期化中 と表示されます。

また、Studioを使用して、マシンが利用できない理由を知ることができます。そのためには、検索ノードでマシンをクリックし、下部ペインの詳細タブで登録を確認し、ツールチップを読んで追加情報を確認します。

デリバリーグループ

詳細については、「デリバリーグループの作成」セクションを参照してください。

Rendezvousの有効化

デリバリーグループが作成されたら、Rendezvousを有効にできます。詳細については、「Rendezvous V2」を参照してください。

トラブルシューティング

マシンがMicrosoft Entraに参加できない場合は、次の手順を実行します：

システム割り当てマネージドIDがマシンで有効になっているかを確認します。MCSプロビジョニングされたマシンでは、これが自動的に有効になっている必要があります。システム割り当てマネージドIDがない場合、Microsoft Entra参加プロセスは失敗します。MCSプロビジョニングされたマシンでシステム割り当てマネージドIDが有効になっていない場合、考えられる理由は次のとおりです：
- プロビジョニングスキームに関連付けられているIDプールの IdentityType が AzureAD に設定されていません。これは Get-AcctIdentityPool を実行して確認できます。
VDAバージョン2206以前のマスターイメージを使用するカタログの場合、マシンの AADLoginForWindows 拡張機能のプロビジョニングステータスを確認します。AADLoginForWindows 拡張機能が存在しない場合、考えられる理由は次のとおりです：
- プロビジョニングスキームに関連付けられているIDプールの IdentityType が AzureAD に設定されていません。これは Get-AcctIdentityPool を実行して確認できます。
- AADLoginForWindows 拡張機能のインストールがAzureポリシーによってブロックされています。
AADLoginForWindows 拡張機能のプロビジョニングの失敗をトラブルシューティングするには、MCSプロビジョニングされたマシン上の C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows の下のログを確認できます。

注記:

MCSは、VDAバージョン2209以降のマスターイメージを使用する場合、VMをMicrosoft Entra IDに参加させるために AADLoginForWindows 拡張機能に依存しません。この場合、AADLoginForWindows 拡張機能はMCSプロビジョニングされたマシンにインストールされません。したがって、AADLoginForWindows 拡張機能のプロビジョニングログを収集することはできません。
MCSプロビジョニングされたマシンで dsregcmd /status コマンドを実行して、Microsoft Entra参加ステータスとデバッグログを確認します。
アプリケーションとサービスログ > Microsoft > Windows > ユーザーデバイス登録 の下のWindowsイベントログを確認します。
Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName} を実行して、Microsoft Entraデバイス管理が正しく構成されているかを確認します。

次の値を確認してください：
- CustomProperties 内の AzureAdDeviceManagement プロパティが true であること
- メタデータ内の Citrix_MCS_AzureAdDeviceManagement_PermissionGranted プロパティが true であること
Citrix_MCS_AzureAdDeviceManagement_PermissionGranted が false の場合、ホスティング接続で使用されるアプリケーションの ServicePrincipal に、Microsoft Entraデバイス管理を実行するための十分な権限が付与されていないことを示します。これを解決するには、ServicePrincipal に クラウドデバイス管理者 ロールを割り当てます。

Microsoft Entra動的セキュリティグループ

動的グループルールは、マシンカタログの命名スキームに基づいて、カタログ内のVMを動的セキュリティグループに配置します。

マシンカタログの命名スキームがTest###（#は数字を意味します）の場合、Citrix®は動的セキュリティグループに動的メンバーシップルール ^Test[0-9]{3}$ を作成します。この場合、Citrixによって作成されたVMの名前がTest001からTest999のいずれかであれば、そのVMは動的セキュリティグループに含まれます。

注記:

手動で作成したVMの名前がTest001からTest999のいずれかである場合でも、そのVMは動的セキュリティグループに含まれます。これは動的セキュリティグループの制限の1つです。

動的セキュリティグループ機能は、Microsoft Entra IDによってVMを管理したい場合に役立ちます。また、条件付きアクセスポリシーを適用したり、Microsoft Entra動的セキュリティグループでVMをフィルタリングしてIntuneからアプリを配布したりする場合にも役立ちます。

PowerShell コマンドを使用して、次のことができます：

Microsoft Entra動的セキュリティグループを持つマシンカタログの作成
Microsoft Entraカタログのセキュリティグループ機能の有効化
Microsoft Entra参加済みデバイスセキュリティグループを持つマシンカタログの削除

重要:

Microsoft Entra動的セキュリティグループを持つマシンカタログを作成し、マシンをカタログに追加し、マシンカタログを削除するには、Microsoft Entraアクセストークンが必要です。Microsoft Entraアクセストークンの取得については、https://docs.microsoft.com/en-us/graph/graph-explorer/graph-explorer-features#consent-to-permissions/ を参照してください。

Microsoft Entra IDでアクセストークンを要求するために、CitrixはMicrosoft Graph APIに対して Group.ReadWrite.All 権限を要求します。テナント全体の管理者同意権限を持つMicrosoft Entraユーザーは、Microsoft Graph APIに対して Group.ReadWrite.All 権限を付与できます。Microsoft Entra IDでアプリケーションにテナント全体の管理者同意を付与する方法については、Microsoftドキュメント https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent を参照してください。

Microsoft Entraサービスアカウントを使用する場合、Microsoft Entraアクセストークンは必要ありません。サービスアカウントの詳細については、「マシンID管理のためのサービスアカウント」を参照してください。

Microsoft Entra動的セキュリティグループを使用したマシンカタログの作成

Webベースコンソールのマシンカタログセットアップユーザーインターフェイスで、マシンIDページにてMicrosoft Entra参加済みを選択します。
Microsoft Entra IDにログインします。
MS Graph APIへのアクセストークンを取得します。PowerShellコマンドを実行する際、このアクセストークンを$AzureADAccessTokenパラメーターの値として使用します。Microsoft Entraサービスアカウントを使用する場合、Microsoft Entraアクセストークンは不要です。
テナントに動的セキュリティグループ名が存在するかどうかを確認するには、次のコマンドを実行します。
```
Get-AcctAzureADSecurityGroup
–AccessToken  $AzureADAccessToken
–Name "SecurityGroupName"


```
または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
```
Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"


```

テナントID、アクセストークン、および動的セキュリティグループを使用してマシンカタログを作成します。IdentityType=AzureADでIdentityPoolを作成し、Azureに動的セキュリティグループを作成するには、次のコマンドを実行します。

New-AcctIdentityPool
-AllowUnicode
-IdentityPoolName "SecurityGroupCatalog"
-NamingScheme "SG-VM-###"
-NamingSchemeType "Numeric" -Scope @()
-ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
-WorkgroupMachine
-IdentityType "AzureAD"
-DeviceManagementType "None"
-AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupName "SecurityGroupName"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。

New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Microsoft Entraカタログのセキュリティグループ機能の有効化

動的セキュリティグループ機能が有効になっていない状態で作成されたMicrosoft Entraカタログに対して、動的セキュリティ機能を有効にできます。これを行うには：

新しい動的セキュリティグループを手動で作成します。既存の動的セキュリティグループを再利用することもできます。
Microsoft Entra IDにログインし、MS Graph APIへのアクセストークンを取得します。PowerShellコマンドを実行する際、このアクセストークンを$AzureADAccessTokenパラメーターの値として使用します。
注：
- Microsoft Entraユーザーに必要な権限については、https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#prerequisites/を参照してください。
- Microsoft Entraサービスアカウントを使用する場合、Microsoft Entraアクセストークンは不要です。

作成したMicrosoft Entra動的セキュリティグループにIDプールを接続するには、次のコマンドを実行します。

Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。

Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

名前付けスキームを更新すると、Citrixは名前付けスキームを新しいメンバーシップルールに更新します。カタログを削除すると、メンバーシップルールは削除されますが、セキュリティグループは削除されません。

Microsoft Entra参加済みデバイスセキュリティグループを使用したマシンカタログの削除

マシンカタログを削除すると、Microsoft Entra参加済みデバイスセキュリティグループも削除されます。

Microsoft Entra動的セキュリティグループを削除するには、次の手順を実行します。

Microsoft Entra IDにログインします。
MS Graph APIへのアクセストークンを取得します。PowerShellコマンドを実行する際、このアクセストークンを$AzureADAccessTokenパラメーターの値として使用します。Microsoft Entraサービスアカウントを使用する場合、Microsoft Entraアクセストークンは不要です。

次のコマンドを実行します。

Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。

Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

既存のMicrosoft Entra ID割り当て済みセキュリティグループの下にMicrosoft Entra動的セキュリティグループを作成

既存のMicrosoft Entra ID割り当て済みセキュリティグループの下にMicrosoft Entra動的セキュリティグループを作成できます。次のことができます。

セキュリティグループ情報の取得
オンプレミスADサーバーから同期されたすべてのMicrosoft Entra ID割り当て済みセキュリティグループ、またはMicrosoft Entraロールを割り当てることができる割り当て済みセキュリティグループの取得
すべてのMicrosoft Entra動的セキュリティグループの取得
Microsoft Entra動的セキュリティグループをMicrosoft Entra ID割り当て済みグループのメンバーとして追加
マシンカタログとともにMicrosoft Entra動的セキュリティグループが削除されたときに、Microsoft Entra動的セキュリティグループとMicrosoft Entra ID割り当て済みセキュリティグループ間のメンバーシップを削除

いずれかの操作が失敗した場合、明示的なエラーメッセージも表示されます。

要件：

PowerShellコマンドを実行する際には、MS Graph APIへのアクセストークンが必要です。Microsoft Entraサービスアカウントを使用する場合、Microsoft Entraアクセストークンは不要です。したがって、-AccessToken <token>の代わりにServiceAccountUid <service account uid>を使用します。

アクセストークンを取得するには：

Microsoft Graph Explorerを開き、Microsoft Entra IDにログインします。
Group.ReadWrite.AllおよびGroupMember.ReadWrite.All権限への同意があることを確認します。
Microsoft Graph Explorerからアクセストークンを取得します。PowerShellコマンドを実行する際、このアクセストークンを使用します。

グループIDでセキュリティグループ情報を取得するには：

アクセストークンを取得します。
AzureポータルからグループオブジェクトIDを見つけます。
PowerShellコンソールで次のPowerShellコマンドを実行します。
```
Get-AcctAzureADSecurityGroup
-AccessToken <token> -GroupId <GroupUid>


```
または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
```
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>


```

グループ表示名でセキュリティグループを取得するには：

アクセストークンを取得します。

PowerShellコンソールで次のPowerShellコマンドを実行します。

-  Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Name <TargetGroupDisplayName>

<!--NeedCopy-->

または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。

Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Name <TargetGroupDisplayName>

<!--NeedCopy-->

表示名に部分文字列が含まれるセキュリティグループを取得するには：

アクセストークンを取得します。

PowerShellコンソールで次のPowerShellコマンドを実行します。

Get-AcctAzureADSecurityGroup
-AccessToken <token>
-SearchString <displayNameSubString>

<!--NeedCopy-->

または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。

Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-SearchString <displayNameSubString>

<!--NeedCopy-->

オンプレミスADサーバーから同期されたすべてのMicrosoft Entra ID割り当て済みセキュリティグループ、またはMicrosoft Entraロールを割り当てることができる割り当て済みセキュリティグループを取得するには：

アクセストークンを取得します。
PowerShellコンソールで次のPowerShellコマンドを実行します。
```
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true


```
または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
```
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true


```

すべてのMicrosoft Entra動的セキュリティグループを取得するには：

アクセストークンを取得します。
PowerShellコンソールで次のPowerShellコマンドを実行します。
```
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Dynamic true


```
または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
```
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Dynamic true


```

最大レコード数のMicrosoft Entra ID割り当て済みセキュリティグループを取得するには：

アクセストークンを取得します。

PowerShellコンソールで次のPowerShellコマンドを実行します。

Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
-MaxRecordCount 10

<!--NeedCopy-->

または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。

Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
-MaxRecordCount 10

<!--NeedCopy-->

Microsoft Entra動的セキュリティグループをMicrosoft Entra ID割り当て済みセキュリティグループのメンバーとして追加するには：

アクセストークンを取得します。

PowerShellコンソールで次のPowerShellコマンドを実行します。

Add-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>

<!--NeedCopy-->

または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。

Add-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>

<!--NeedCopy-->

Microsoft Entra ID割り当て済みセキュリティグループのメンバーを取得するには：

アクセストークンを取得します。
PowerShellコンソールで次のPowerShellコマンドを実行します。
```
Get-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>


```
または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。
```
Get-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>


```
注：

Get-AcctAzureADSecurityGroupMemberは、Microsoft Entra ID割り当て済みセキュリティグループの下にあるセキュリティグループタイプの直接メンバーのみを提供します。

Microsoft Entra動的セキュリティグループがマシンカタログとともに削除されたときに、Microsoft Entra動的セキュリティグループとMicrosoft Entra ID割り当て済みセキュリティグループ間のメンバーシップを削除するには：

アクセストークンを取得します。

PowerShellコンソールで次のPowerShellコマンドを実行します。

Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

または、Microsoft Entraサービスアカウントを使用している場合は、次を実行します。

Remove-AcctIdentityPool
-ServiceAccountUid <guid>
-IdentityPoolName "SecurityGroupCatalog"

<!--NeedCopy-->

Microsoft Entra動的セキュリティグループ名の変更

マシンカタログに関連付けられているMicrosoft Entra動的セキュリティグループ名を変更できます。この変更により、Microsoft Entra IDプールオブジェクトに保存されているセキュリティグループ情報が、Azureポータルに保存されている情報と一貫性を持つようになります。

注：

Microsoft Entra動的セキュリティグループには、オンプレミスADから同期されたセキュリティグループや、Office 365グループなどの他のグループタイプは含まれません。

StudioおよびPowerShellコマンドを使用して、Microsoft Entra動的セキュリティグループ名を変更できます。

PowerShellを使用してMicrosoft Entra動的セキュリティグループ名を変更するには：

PowerShellウィンドウを開きます。
asnp citrix*を実行して、Citrix固有のPowerShellモジュールをロードします。
Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name]コマンドを実行します。

Microsoft Entra動的セキュリティグループ名を変更できない場合は、適切なエラーメッセージが表示されます。

詳細情報

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

Microsoft Entra参加済みマシンIDのIDプール

May 4, 2026

寄稿者:

C C

May 4, 2026

寄稿者:

C C

この記事の概要

Studioの使用
PowerShellの使用
Microsoft Entra参加プロセスのステータスの表示
デリバリーグループ
Rendezvousの有効化
トラブルシューティング
Microsoft Entra動的セキュリティグループ
既存のMicrosoft Entra ID割り当て済みセキュリティグループの下にMicrosoft Entra動的セキュリティグループを作成
Microsoft Entra動的セキュリティグループ名の変更
詳細情報

この情報は役に立ちましたか?