This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
ハイブリッド Azure Active Directory に参加したマシン ID の ID プール
注
2023年7月より、MicrosoftはAzure Active Directory(Azure AD)の名前をMicrosoft Entra IDに変更しました。 このドキュメントでは、Azure Active Directory、Azure AD、またはAADへの言及はすべて、Microsoft Entra IDを意味することになります。
この記事では、Citrix DaaSを使用してハイブリッドAzure Active Directory参加済みマシンIDを作成する方法について説明します。
要件、制限、および考慮事項については、「Hybrid Azure Active Directory参加済み」を参照してください。
Studioの使用
以下の情報は、「マシンカタログの作成」のガイダンスを補完する情報です。 Hybrid Azure AD参加済みカタログを作成するには、Hybrid Azure AD参加済みカタログに固有の詳細に注意しながら、その記事の一般的なガイダンスに従ってください。
カタログ作成ウィザードで次の操作を行います:
-
[マシンID] ページで以下を実行します:
- IDタイプとしてハイブリッドAzure Active Directory参加済みを選択してください。
-
Active Directoryアカウントオプションの選択:
-
新しいActive Directoryアカウントを作成する:
- [新しいActive Directoryアカウントを作成する]を選択し、既存のIDプールを使用して新しいアカウントを作成する場合は、それらのアカウントのドメインを選択し、アカウント名前付けスキームを指定します。
- [新しいActive Directoryアカウントを作成する]を選択し、既存のIDプールを使用して新しいアカウントを作成する場合は、一覧からIDプールを選択します。
- [既存のActive Directoryアカウントを使用する]:CSVファイルを参照またはインポートし、パスワードをリセットするか、すべてのアカウントに同じパスワードを指定できます。
-
新しいActive Directoryアカウントを作成する:
- [次へ] をクリックします。
-
[ドメイン資格情報]ページで、サービスアカウントを選択するか、資格情報を手動で入力します。 ハイブリッドAzure AD参加済みIDプールは、オンプレミスのADサービスアカウントに関連付けることもできます。 サービスアカウントについて詳しくは、「オンプレミスActive Directoryサービスアカウント」を参照してください。
PowerShellの使用
以下は、Studioでの操作に相当するPowerShellの手順です。
オンプレミスAD参加済みカタログとHybrid Azure AD参加済みカタログの違いは、IDプールとマシンアカウントの作成にあります。
Hybrid Azure AD参加済みカタログのアカウントとともにIDプールを作成するには、次のようにします:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
注
$passwordは、書き込み権限のあるADユーザーアカウントと一致するパスワードです。
Hybrid Azure AD参加済みカタログを作成するために使用される他のすべてのコマンドは、従来のオンプレミスAD参加済みカタログの場合と同じです。
オンプレミスのサービスアカウントをIDプールに関連付けることで、オンプレミスのサービスアカウントをMCSが作成したマシンカタログに関連付けることもできます。 IDプールを作成するか、既存のIDプールを更新してサービスアカウントに関連付けることができます。
例:新しいIDプールを作成してサービスアカウントに関連付けるには、以下を実行します:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
例:既存IDプールを更新してサービスアカウントに関連付けるには、以下を実行します:
$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
注
$serviceAccountUidは、オンプレミスのActive Directoryサービスアカウントの有効なUIDである必要があります。
準備済みイメージを使用してハイブリッドAzure ADカタログも作成できます。 イメージ定義、イメージバージョン、準備済みイメージバージョン仕様を作成するためのPowershellコマンドの完全なセットについては、次を参照してください:
-
Azure仮想化環境:PowerShellの使用。
-
VMware仮想化環境:PowerShellの使用
準備済みイメージバージョン仕様を作成したら、IDプールとマシンカタログを作成します。 次に例を示します:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Hybrid Azure AD参加プロセスのステータスの表示
Studioでは、デリバリーグループ内のHybrid Azure AD参加マシンが電源オンの状態にあるときに、Hybrid Azure AD参加プロセスのステータスが表示されます。 ステータスを表示するには、[検索] を使用してそれらのマシンを識別し、下ペインの [詳細] タブで [マシンID] を1つずつチェックします。 次の情報が [マシンID] に表示されることがあります:
- Hybrid Azure AD参加済み
- Azure AD未参加
注
- マシンの電源を最初にオンにしたとき、Hybrid Azure ADの参加が遅れることがあります。 これは、デフォルトのマシンID同期間隔(Azure AD Connectの30分)が原因です。 マシンは、マシンIDがAzure AD Connectを介してAzure ADに同期された後でのみ、Hybrid Azure AD参加済み状態になります。
- マシンがHybrid Azure AD参加済み状態にならない場合、それらのマシンはDelivery Controllerに登録されません。 このような登録ステータスは [初期化] 状態として表示されます。
また、Studioで、マシンが使用できない理由を知ることができます。 これを行うには、[検索] ノードでマシンをクリックし、下ペインの [詳細] タブで [登録] をオンにしてから、ツールチップを読んで追加情報を確認します。
トラブルシューティング
マシンがHybrid Azure AD参加済みにならない場合は、次の手順を実行します:
-
Microsoft Azure ADポータルでそのマシンアカウントがAzure ADに同期されているかどうかを確認します。 同期されている場合、[Azure AD未参加] と表示され、登録ステータスが保留中であることを示します。
マシンアカウントをAzure ADに同期するには、次のことを確認してください:
- そのマシンアカウントが、Azure ADと同期するように構成されているOU(組織単位)内にあること。 userCertificate属性のないマシンアカウントは、同期するように構成されたOU内にあっても、Azure ADに同期されません。
- userCertificate属性が、そのマシンアカウントに事前設定されていること。 属性はActive Directory Explorerを使用して表示できます。
- Azure AD Connectが、マシンアカウントの作成後に少なくとも1回同期されていること。 一度も同期されていない場合は、Azure AD ConnectマシンのPowerShellコンソールで、手動で「
Start-ADSyncSyncCycle -PolicyType Delta」コマンドを実行し、即時の同期をトリガーします。
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CitrixのDeviceKeyPairRestoredの値をクエリすることにより、Hybrid Azure AD参加用のCitrix管理対象デバイスのキーペアが正しくマシンにプッシュされているかどうかを確認します。
値が「1」であることを確認します。 1でない場合、考えられる理由は次のとおりです:
- プロビジョニングスキームに関連付けられているIDプールの
IdentityTypeが、HybridAzureADに設定されていない。 これを確認するには、Get-AcctIdentityPoolを実行します。 - マシンが、マシンカタログと同じプロビジョニングスキームを使用してプロビジョニングされていない。
- マシンが、ローカルドメインに参加していない。 ローカルドメイン参加済みであることは、Hybrid Azure AD参加の前提条件です。
- プロビジョニングスキームに関連付けられているIDプールの
-
MCSプロビジョニングマシンで「
dsregcmd /status /debug」を実行して診断メッセージを確認します。- Hybrid Azure AD参加に成功した場合、コマンドラインの出力で「AzureAdJoined」と「DomainJoined」が「YES」と表示されます。
- そうでない場合は、Microsoftのドキュメント(https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current)を参照して問題のトラブルシューティングを行ってください。
-
「サーバーメッセージ:IDがxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxのデバイスにユーザー証明書が見つかりません」というエラーメッセージが表示された場合は、次のPowerShellコマンドを実行してユーザー証明書を修復します:
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->
ユーザー証明書の問題について詳しくは、CTX566696を参照してください。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.