-
-
-
Microsoft Entraハイブリッド参加済みマシンIDのIDプール
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Microsoft Entra ハイブリッド参加済みマシンIDのIDプール
この記事では、Citrix DaaS を使用した Microsoft Entra ハイブリッド参加済みマシンIDのIDプールの作成方法について説明します。
要件、制限、および考慮事項については、Microsoft Entra ハイブリッド参加を参照してください。
Studio の使用
以下の情報は、マシンカタログの作成のガイダンスを補足するものです。Microsoft Entra ハイブリッド参加済みカタログを作成するには、その記事の一般的なガイダンスに従い、Microsoft Entra ハイブリッド参加済みカタログに固有の詳細に注意してください。
- カタログ作成ウィザードで:
- 1. **マシンID** ページで:
1. IDタイプとして **Microsoft Entra ハイブリッド参加済み** を選択します。
1. Active Directory アカウントオプションを選択します。
- **新しい Active Directory アカウントを作成**:
- **新しい Active Directory アカウントを作成** を選択し、既存のIDプールを使用して新しいアカウントを作成する場合は、それらのアカウントのドメインを選択し、アカウント命名スキームを指定します。
- **新しい Active Directory アカウントを作成** を選択し、既存のIDプールを使用して新しいアカウントを作成する場合は、リストからIDプールを選択します。
- **既存の Active Directory アカウントを使用**: CSV ファイルから参照またはインポートし、パスワードをリセットするか、すべてのアカウントに同じパスワードを指定できます。
1. **次へ** をクリックします。
- ドメイン資格情報 ページで、サービスアカウントを選択するか、資格情報を手動で入力します。Microsoft Entra ハイブリッド参加済みIDプールは、オンプレミスの AD サービスアカウントに関連付けることもできます。サービスアカウントの詳細については、オンプレミス Active Directory サービスアカウントを参照してください。
PowerShell の使用
以下の PowerShell の手順は、Studio での操作と同等です。
オンプレミス AD 参加済みカタログと Microsoft Entra ハイブリッド参加済みカタログの違いは、IDプールとマシンアカウントの作成にあります。
新しいIDプールの作成
例: Microsoft Entra ハイブリッド参加済みカタログのアカウントとともにIDプールを作成するには:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
注:
$passwordは、書き込み権限を持つ AD ユーザーアカウントの一致するパスワードです。
Microsoft Entra ハイブリッド参加済みカタログの作成に使用されるその他のすべてのコマンドは、従来のオンプレミス AD 参加済みカタログと同じです。
オンプレミスサービスアカウントをIDプールに関連付けることで、オンプレミスサービスアカウントを MCS で作成されたマシンカタログに関連付けることもできます。IDプールを作成するか、既存のIDプールを更新して、サービスアカウントに関連付けることができます。
例: 新しいIDプールを作成し、サービスアカウントに関連付けるには、次を実行します。
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
例: 指定された拡張属性を持つ新しいIDプールを作成し、サービスアカウントに関連付けるには、次を実行します。
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
VM が Microsoft Entra ID に参加した後、初めて電源がオンになると、VM はその Entra ID deviceId を MCS に報告します。
例: EntraIDDeviceID を確認するには、Get-AcctADAccount または Get-AcctIdentity を実行します。
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
再起動後、永続VMと非永続VMの両方で、EntraIDDeviceID は同じままです。
注:
カタログから VM を削除しても Azure から削除しない場合、MCS は関連付けられたデバイスIDと拡張属性を自動的に削除します。
既存のIDプールの更新
- 例: 既存のIDプールを更新してサービスアカウントに関連付けるには、次を実行します。
$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
-
注:
-
$serviceAccountUidは、オンプレミス Active Directory サービスアカウントの有効な UID である必要があります。
例: 既存のカタログの拡張属性を編集するには、次を実行します。
注:
既存のカタログVMを VDA バージョン 2511 以降にアップグレードした後、再起動が必要です。この再起動により、VM はその Entra ID deviceId を MCS に報告できるようになり、MCS は VM の拡張属性を構成できます。
- 既存のカタログには、”Device.ReadWrite.All” 権限を持つ AzureAD タイプのサービスアカウントが必要です。
- 新しい属性を追加するには:
- Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
- 既存の属性を削除するには
- ```
- Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
- <!--NeedCopy--> ```
または
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool は、すでに Entra ID に参加しており、ID内に EntraIDDeviceID 値を持つ VM の Entra ID デバイスの拡張属性も更新します。
ハイブリッド Microsoft Entra カタログの作成
準備されたイメージを使用して、ハイブリッド Microsoft Entra カタログを作成することもできます。イメージ定義、イメージバージョン、および準備されたイメージバージョンスペックを作成するための PowerShell コマンドの完全なセットについては、以下を参照してください。
- Azure 仮想化環境: [PowerShell の使用](/ja-jp/citrix-daas/install-configure/create-prepared-image-machine-catalogs-azure#use-powershell)。
- VMware 仮想化環境: [PowerShell の使用](https://docs.citrix.com/ja-jp/citrix-daas/install-configure/create-prepared-image-machine-catalogs-vmware#use-powershell)
準備されたイメージバージョンスペックを作成した後、IDプールとマシンカタログを作成します。例:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
ハイブリッド Microsoft Entra 参加プロセスのステータスの表示
Studio では、デリバリーグループ内の Microsoft Entra ハイブリッド参加済みマシンが電源オン状態の場合に、ハイブリッド Microsoft Entra 参加プロセスのステータスが表示されます。ステータスを表示するには、検索を使用してそれらのマシンを特定し、下部ペインの 詳細 タブで各マシンの マシンID を確認します。マシンID には次の情報が表示されます。
- Microsoft Entra ハイブリッド参加済み
- Microsoft Entra ID にまだ参加していません
注:
- マシンが最初に電源オンになったときに、ハイブリッド Microsoft Entra 参加が遅延する場合があります。これは、デフォルトのマシンID同期間隔 (Microsoft Entra Connect の 30 分) が原因です。マシンは、Microsoft Entra Connect を介してマシンIDが Microsoft Entra ID に同期された後にのみ、Microsoft Entra ハイブリッド参加済み状態になります。 - マシンが Microsoft Entra ハイブリッド参加済み状態にならない場合、それらはデリバリーコントローラーに登録されません。登録ステータスは **初期化中** と表示されます。
また、Studio を使用して、マシンが利用できない理由を確認できます。そのためには、検索 ノードでマシンをクリックし、下部ペインの 詳細 タブで 登録 を確認し、ツールチップを読んで追加情報を確認します。
トラブルシューティング
マシンが Microsoft Entra ハイブリッド参加済みにならない場合は、次を実行します。
-
マシンアカウントが Microsoft Entra ポータルを介して Microsoft Entra ID に同期されているか確認します。同期されている場合、Microsoft Entra ID にまだ参加していません と表示され、登録ステータスが保留中であることを示します。
マシンアカウントを Microsoft Entra ID に同期するには、以下を確認してください。
- マシンアカウントが Microsoft Entra ID と同期するように構成されている OU にあること。userCertificate 属性を持たないマシンアカウントは、同期するように構成されている OU にあっても Microsoft Entra ID に同期されません。
- userCertificate 属性がマシンアカウントに設定されていること。属性を表示するには、Active Directory Explorer を使用します。
- マシンアカウントが作成された後、Microsoft Entra Connect が少なくとも一度は同期されていること。同期されていない場合は、Microsoft Entra Connect マシンの PowerShell コンソールで
Start-ADSyncSyncCycle -PolicyType Deltaコマンドを手動で実行して、即時同期をトリガーします。
-
ハイブリッドMicrosoft Entra参加用のCitrix管理対象デバイスのキーペアが、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrixの下にあるDeviceKeyPairRestoredの値をクエリして、マシンに正しくプッシュされているかを確認します。
値が1であることを確認します。そうでない場合、考えられる理由は次のとおりです。
- プロビジョニングスキームに関連付けられているIDプール
IdentityTypeがHybridAzureADに設定されていません。これはGet-AcctIdentityPoolを実行して確認できます。 - マシンがマシンカタログと同じプロビジョニングスキームを使用してプロビジョニングされていません。
- マシンがローカルドメインに参加していません。ローカルドメインへの参加は、ハイブリッドMicrosoft Entra参加の前提条件です。
- プロビジョニングスキームに関連付けられているIDプール
-
MCSプロビジョニング済みマシンで
dsregcmd /status /debugコマンドを実行して、診断メッセージを確認します。- ハイブリッドMicrosoft Entra参加が成功した場合、コマンドラインの出力でAzureAdJoinedとDomainJoinedはYESになります。
- そうでない場合、問題のトラブルシューティングについては、Microsoftのドキュメントを参照してください。https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current
-
エラーメッセージ サーバーメッセージ: ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxのデバイスでユーザー証明書が見つかりません が表示された場合、ユーザー証明書を修復するには、次のPowerShellコマンドを実行します。
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->
ユーザー証明書の問題の詳細については、CTX566696を参照してください。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.