Microsoft Intune対応マシンIDのIDプール機能
この記事では、Citrix DaaSを使用してMicrosoft Intune対応マシンIDのIDプールを作成する方法について説明します。
-
作成可能なもの:
- 永続的および非永続的なシングルセッションおよびマルチセッションVM向けにMicrosoft Intuneに登録されたMicrosoft Entra参加済みカタログ。カタログの作成については、「Microsoft Intuneに登録されたMicrosoft Entraカタログの作成」を参照してください。
-
共同管理機能を持つデバイス資格情報を使用した永続的なシングルセッションおよびマルチセッションVM向けにMicrosoft Intuneに登録されたMicrosoft Entraハイブリッド参加済みカタログ。カタログの作成については、「Microsoft Intuneに登録されたMicrosoft Entraハイブリッド参加済みカタログの作成」を参照してください。非永続的なシングルセッションおよびマルチセッションVM向けに、Microsoft Intuneに登録されたMicrosoft Entraハイブリッド参加済みカタログを作成することもできます。ただし、これは現在プレビュー段階です。「ハイブリッドEntra ID参加済み非永続VMのMicrosoft Intuneへの登録」を参照してください。
- 要件、制限、考慮事項については、「Microsoft Intune」を参照してください。
Microsoft Intuneに登録されたMicrosoft Entraカタログの作成
StudioとPowerShellの両方を使用して、永続的および非永続的なVM向けにMicrosoft Intuneに登録されたMicrosoft Entraカタログを作成できます。
- 要件、制限、考慮事項については、以下を参照してください。
- [Microsoft Intuneに登録されたMicrosoft Entra参加済みカタログの要件](/ja-jp/citrix-daas/install-configure/machine-identities/microsoft-intune#requirements-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)
- [Microsoft Intuneに登録されたMicrosoft Entra参加済みカタログの制限](/ja-jp/citrix-daas/install-configure/machine-identities/microsoft-intune#limitations-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)
Studioの使用
以下の情報は、「マシンカタログの作成」のガイダンスを補足するものです。
カタログ作成ウィザードで:
-
マシンIDページで:
- Microsoft Entra参加済みを選択し、次にマシンをMicrosoft Intuneに登録を選択します。有効になっている場合、管理のためにマシンをMicrosoft Intuneに登録します。永続的および非永続的なシングルセッションおよびマルチセッションVMの両方について、Microsoft Intuneに登録されたMicrosoft Entra参加済みカタログを作成できます。ただし、非永続VMの場合、VDAバージョンは2407以降である必要があります。
-
サービスアカウントの選択をクリックし、リストから利用可能なサービスアカウントを選択します。マシンIDが参加するMicrosoft Entraテナントに適したサービスアカウントが利用できない場合は、サービスアカウントを作成できます。サービスアカウントについては、「Microsoft Entraサービスアカウント」を参照してください。
注:
選択したサービスアカウントは、さまざまな理由により異常な状態になっている可能性があります。管理者 > サービスアカウントに移動して詳細を表示し、推奨事項に従って問題を修正できます。または、マシンカタログ操作を続行し、後で問題を修正することもできます。問題を修正しない場合、古いMicrosoft Entra参加済みまたはMicrosoft Intune登録済みデバイスが生成され、マシンのMicrosoft Entra参加がブロックされる可能性があります。
-
拡張属性の追加をクリックして、一意のカスタムデータをEntra IDデバイスオブジェクトに直接保存します。拡張属性の追加ページで、拡張属性と値を追加します。
注:
- 最大15個の拡張属性を追加できます。
- 名前と値は一意であり、空にすることはできません。
拡張属性の追加または変更
既存のMCSマシンカタログに拡張属性を追加または変更する場合、またはサービスアカウントなしのMCSカタログに拡張属性を追加する場合は、マシンカタログの編集ウィザードを使用します。
- 追加の拡張属性を変更または追加するには、Microsoft Entraデバイス拡張属性ページに移動します。鉛筆アイコンをクリックし、拡張属性を追加または更新します。
-
Microsoft EntraサービスアカウントなしのMCSカタログに拡張属性を追加するには:
- サービスアカウントページに移動します。Microsoft Intra IDのMicrosoft Entraサービスアカウントを選択します。
- Microsoft Entraデバイス拡張属性ページに移動し、拡張属性の追加をクリックします。
PowerShellの使用
以下は、Studioでの操作に相当するPowerShellの手順です。
Remote PowerShell SDKを使用してマシンをMicrosoft Intuneに登録するには、New-AcctIdentityPoolでDeviceManagementTypeパラメーターを使用します。この機能には、カタログがMicrosoft Entra参加済みであり、Microsoft Entra IDが正しいMicrosoft Intuneライセンスを所有している必要があります。例:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
例: 指定された拡張属性を持つ新しいIDプールを作成し、それをサービスアカウントに関連付けるには、以下を実行します。
New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
VMがMicrosoft Entra IDに参加した後、初めて電源がオンになると、VMはそのEntra ID deviceIdをMCSに報告します。
例: EntraIDDeviceIDを確認するには、Get-AcctADAccountまたはGet-AcctIdentityを実行します。
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
- 再起動後、永続VMの場合、
EntraIDDeviceIDは同じままです。非永続VMの場合、再起動ごとに新しいEntraIDDeviceIDが生成されます。
注:
カタログからVMを削除してもAzureから削除しない場合、MCSは関連する拡張属性を自動的に削除します。
例: 既存のカタログの拡張属性を編集するには、以下を実行します。
注:
- 既存のカタログVMをVDAバージョン2511以降にアップグレードした後、再起動が必要です。この再起動により、VMはそのEntra ID deviceIdをMCSに報告できるようになり、MCSはVMの拡張属性を構成できるようになります。
- 既存のカタログには、権限「Device.ReadWrite.All」を持つAzureADタイプのサービスアカウントが必要です。
- 新しい属性を追加するには:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
- 既存の属性を削除するには:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
OR
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool は、既に Entra ID に参加しており、ID 内に EntraIDDeviceID 値を持つ VM の Entra ID デバイスの拡張属性も更新します。
例: 準備されたイメージを使用して、Microsoft Intune に登録された Microsoft Entra カタログを作成するには:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
トラブルシューティング
マシンが Microsoft Intune への登録に失敗した場合は、次の操作を行います。
-
MCS プロビジョニングされたマシンが Microsoft Entra に参加しているか確認します。Microsoft Entra に参加していない場合、マシンは Microsoft Intune への登録に失敗します。Microsoft Entra 参加の問題をトラブルシューティングするには、トラブルシューティングを参照してください。
-
Microsoft Entra テナントに適切な Intune ライセンスが割り当てられているか確認します。Microsoft Intune のライセンス要件については、https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses を参照してください。
-
VDA バージョン 2206 以前のマスターイメージを使用するカタログの場合、マシンの AADLoginForWindows 拡張機能のプロビジョニングステータスを確認します。AADLoginForWindows 拡張機能が存在しない場合、考えられる理由は次のとおりです。
-
プロビジョニングスキームに関連付けられている ID プールの
IdentityTypeがAzureADに設定されていないか、DeviceManagementTypeがIntuneに設定されていません。これはGet-AcctIdentityPoolを実行して確認できます。 -
Azure ポリシーが AADLoginForWindows 拡張機能のインストールをブロックしています。
-
-
AADLoginForWindows 拡張機能のプロビジョニング失敗をトラブルシューティングするには、MCS プロビジョニングされたマシン上の
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowsの下のログを確認できます。注記:
VDA バージョン 2209 以降のマスターイメージを使用する場合、MCS は VM を Microsoft Entra ID に参加させ、Microsoft Intune に登録するために
AADLoginForWindows拡張機能に依存しません。この場合、AADLoginForWindows拡張機能は MCS プロビジョニングされたマシンにインストールされません。したがって、AADLoginForWindows拡張機能のプロビジョニングログを収集することはできません。 -
アプリケーションとサービスログ > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider の下の Windows イベントログを確認します。
-
選択したサービスアカウントは、さまざまな理由により異常な状態になっている可能性があります。管理者 > サービスアカウント に移動して 詳細を表示し、推奨事項に従って問題を修正できます。問題を修正しない場合、古くなった Microsoft Entra 参加済みまたは Microsoft Intune 登録済みデバイスが生成され、マシンの Microsoft Entra 参加をブロックする可能性があります。
Microsoft Intune に登録された Microsoft Entra ハイブリッド参加カタログの作成
Microsoft Intune に登録された Microsoft Entra ハイブリッド参加カタログに対して、永続的なシングルセッションおよびマルチセッション VM 用の共同管理対応カタログを作成できます。共同管理対応カタログは、Studio と PowerShell の両方を使用して作成できます。
要件、制限、および考慮事項については、以下を参照してください。
- Microsoft Intune に登録された Microsoft Entra ハイブリッド参加カタログの要件
- Microsoft Intune に登録された Microsoft Entra ハイブリッド参加カタログの制限
Studio の使用
次の情報は、マシンカタログの作成のガイダンスを補足するものです。
マシンカタログセットアップ ウィザードで:
-
マシンID ページで、Microsoft Entra ハイブリッド参加 を選択し、次に Configuration Manager を使用してマシンを Microsoft Intune に登録 を選択します。このアクションを使用すると、Configuration Manager と Microsoft Intune (つまり、共同管理) が VM を管理します。
- 拡張属性の追加 をクリックして、一意のカスタムデータを Entra ID デバイスオブジェクトに直接保存します。拡張属性の追加 ページで、拡張属性 と 値 を追加します。
注記: >
- 最大 15 個の拡張属性を追加できます。
- 名前と値は一意である必要があり、空にすることはできません。
拡張属性の追加または変更
既存の MCS マシンカタログに拡張属性を変更または追加する場合、またはサービスアカウントなしで MCS カタログに拡張属性を追加する場合は、マシンカタログの編集 ウィザードを使用します。
- 拡張属性を変更または追加するには、Microsoft Entra デバイス拡張属性 ページに移動します。鉛筆アイコンをクリックし、拡張属性を追加または更新します。
-
Microsoft Entra サービスアカウントなしで MCS カタログに拡張属性を追加するには:
-
サービスアカウント ページに移動します。Microsoft Intra ID の Microsoft Entra サービスアカウントを選択します。
-
- Microsoft Entra デバイス拡張属性ページに移動し、拡張属性の追加 をクリックします。
-
-
サービスアカウント ページに移動します。Microsoft Intra ID の Microsoft Entra サービスアカウントを選択します。
PowerShell の使用
以下は、Studio の手順に相当する PowerShell の手順です。
- Remote PowerShell SDK を使用して Configuration Manager でマシンを Microsoft Intune に登録するには、
New-AcctIdentityPoolのDeviceManagementTypeパラメーターを使用します。この機能には、カタログが Microsoft Entra ハイブリッド参加済みであり、Microsoft Entra ID が正しい Microsoft Intune ライセンスを所有している必要があります。
Microsoft Entra ハイブリッド参加カタログと共同管理対応カタログの違いは、ID プールの作成にあります。例:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
例: 指定された拡張属性を持つ新しい ID プールを作成し、それをサービスアカウントに関連付けるには、次を実行します。
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
VM が Microsoft Entra ID に参加した後、初めて電源がオンになると、VM はその Entra ID deviceId を MCS に報告します。
例えば、EntraIDDeviceID を確認するには、Get-AcctADAccount または Get-AcctIdentity を実行します。
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
再起動後、永続VMと非永続VMの場合、EntraIDDeviceID は同じままです。
注:
カタログから VM を削除しても Azure から削除しない場合、MCS は関連付けられたデバイス ID と拡張属性を自動的に削除します。
例えば、既存のカタログの拡張属性を編集するには、以下を実行します。
注:
- 既存のカタログVMをVDAバージョン2511以降にアップグレードした後、再起動が必要です。この再起動により、VMはEntra ID deviceIdをMCSに報告できるようになり、その後MCSがVMの拡張属性を構成できるようになります。
- 既存のカタログには、”Device.ReadWrite.All” の権限を持つAzureADタイプのサービスアカウントが必要です。
新しい属性を追加するには:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
既存の属性を削除するには
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
または
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool は、すでにEntra IDに参加しており、そのID内に EntraIDDeviceID の値を持つVMのEntra IDデバイスの拡張属性も更新します。
準備されたイメージを使用して、Microsoft Intune に登録された永続的なハイブリッド Microsoft Entra カタログを作成することもできます。イメージ定義、イメージバージョン、および準備されたイメージバージョンの仕様を作成するためのPowerShellコマンドの完全なセットについては、以下を参照してください。
- Azure 仮想化環境: PowerShell の使用。
- VMware 仮想化環境: PowerShell の使用
準備されたイメージバージョンの仕様を作成した後、IDプールとマシンカタログを作成します。例えば、
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD" -DeviceManagement IntuneWithSCCM
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
注:
Microsoft Intune への Microsoft Entra ハイブリッド参加非永続VMの登録は、現在プレビュー中です。
トラブルシューティング
マシンがMicrosoft Intuneへの登録に失敗した場合、または共同管理状態に到達できない場合は、以下を実行します。
-
Intune ライセンスの確認
Microsoft Entra テナントに適切な Intune ライセンスが割り当てられているか確認します。Microsoft Intune のライセンス要件については、Microsoft Intune ライセンスを参照してください。
-
ハイブリッド Microsoft Entra 参加ステータスの確認
MCS でプロビジョニングされたマシンが Microsoft Entra ハイブリッド参加済みであるか確認します。Microsoft Entra ハイブリッド参加済みでない場合、マシンは共同管理の対象になりません。ハイブリッド Microsoft Entra 参加の問題のトラブルシューティングについては、トラブルシューティングを参照してください。
-
共同管理の適格性の確認
-
MCS でプロビジョニングされたマシンが、予期される Configuration Manager サイトに正しく割り当てられているか確認します。割り当てられたサイトを取得するには、影響を受けるマシンで次の PowerShell コマンドを実行します。
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy--> -
VM にサイトが割り当てられていない場合は、Configuration Manager サイトが自動的に検出できるか確認するために、次のコマンドを使用します。
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy--> -
サイトコードが検出できない場合は、Configuration Manager 環境で境界と境界グループが適切に構成されていることを確認します。詳細については、考慮事項を参照してください。
-
C:\Windows\CCM\Logs\ClientLocation.logを確認して、Configuration Manager クライアントのサイト割り当てに関する問題がないか確認します。 -
マシンの共同管理状態を確認します。影響を受けるマシンで Configuration Manager コントロールパネル を開き、全般 タブに移動します。共同管理プロパティの値は Enabled である必要があります。そうでない場合は、
C:\Windows\CCM\Logs\CoManagementHandler.logのログを確認します。
-
-
Intune 登録の確認
すべての前提条件が満たされていても、マシンがMicrosoft Intuneへの登録に失敗する場合があります。Intune 登録の問題については、アプリケーションとサービスログ > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider の下のWindowsイベントログを確認してください。