ハイブリッドAzure Active Directory参加済み
注:
この機能は段階的に展開されています。アカウントではまだ有効化されていない可能性があります。
この記事では、Citrix DaaSを使用してハイブリッドAzure Active Directory(AD)参加済みカタログを作成する方法について説明します。
ハイブリッドAzure AD参加済みマシンは、認証プロバイダーとしてオンプレミスADを使用します。それらのマシンをオンプレミスADのドメインユーザーまたはグループに割り当てることができます。Azure ADのシームレスなSSOエクスペリエンスを有効にするには、ドメインユーザーをAzure ADに同期させる必要があります。
要件
-
コントロールプレーン:Citrix DaaS
-
VDAの種類:シングルセッションまたはマルチセッションのOS VDA
-
VDAバージョン:2112以降
-
プロビジョニングの種類:Machine Creation Services(MCS)による永続および非永続
-
割り当ての種類:専用およびプール
-
ホストプラットフォーム:ハイパーバイザーまたはクラウドサービス
-
マスターVMをAzure ADに参加させないでください
制限事項
- Citrix Federated Authentication Service(FAS)が使用されている場合、シングルサインオンはAzure ADではなくオンプレミスADに送信されます。
注意事項
-
マスターVMは、オンプレミスAD参加済み、またはドメイン非参加にすることができますが、Azure AD参加済みにすることはできません。マスターVMで「dsregcmd /status」を実行するとハイブリッドAzure AD参加の現在のステータスを確認でき、「dsregcmd /leave」を使用すると参加を解除できます。
-
ハイブリッドAzure Active Directory参加済みマシンを作成するには、ターゲットドメインで
Write userCertificate権限が必要です。カタログ作成時に、その権限を持つ管理者の資格情報を入力してください。 -
ハイブリッドAzure AD参加プロセスは、Citrixによって管理されます。次のように、マスターVMでWindowsによって制御される
autoWorkplaceJoinを無効にする必要があります:-
gpedit.mscを実行します。 - [コンピューターの構成]>[管理用テンプレート]>[Windowsコンポーネント]>[デバイスの登録] に移動します。no
- [ドメインに参加しているコンピューターをデバイスとして登録する] を [無効] に設定します。
-
-
マシンIDを作成するときにAzure ADと同期するように構成されている組織単位(OU)を選択します。
ハイブリッドAzure AD参加済みカタログの作成
[完全な構成]インターフェイスまたはPowerShellを使用して、Azure AD参加済みカタログを作成できます。
完全な構成インターフェイスの使用
以下の情報は、「マシンカタログの作成」のガイダンスを補完する情報です。ハイブリッドAzure AD参加済みカタログを作成するには、ハイブリッドAzure AD参加済みカタログに固有の詳細に注意しながら、その記事の一般的なガイダンスに従ってください。
カタログ作成ウィザードで次の操作を行います:
- [マシンID] ページで、[ハイブリッドAzure Active Directory参加済み] を選択します。作成済みマシンは組織によって所有され、その組織に属したActive Directory Domain Servicesアカウントでサインインします。これらのマシンはクラウドとオンプレミスに存在します。
注:
IDの種類に [ハイブリッドAzure Active Directory参加済み] を選択した場合、カタログ内の各マシンには、対応するADコンピューターアカウントが必要です。
PowerShellの使用
以下は、[完全な構成]インターフェイスでの操作と同じPowerShellでの手順です。Remote PowerShell SDKを使用してカタログを作成する方法については、https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/を参照してください。
オンプレミスAD参加済みカタログとハイブリッドAzure AD参加済みカタログの違いは、IDプールとマシンアカウントの作成にあります。
ハイブリッドAzure AD参加済みカタログのアカウントとともにIDプールを作成するには、次のようにします:
New-AcctIdentityPool -AllowUnicode -IdentityType="HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
注:
$passwordは、書き込み権限を持つADユーザーアカウントに一致するパスワードです。
ハイブリッドAzure AD参加済みカタログを作成するために使用される他のすべてのコマンドは、従来のオンプレミスAD参加済みカタログの場合と同じです。
ハイブリッドAzure AD参加プロセスのステータスの表示
[完全な構成]インターフェイスでは、デリバリーグループ内のハイブリッドAzure AD参加済みマシンが電源オンの状態にあるときに、ハイブリッドAzure AD参加プロセスのステータスが表示されます。ステータスを表示するには、[検索] を使用してそれらのマシンを識別し、下ペインの [詳細] タブで [マシンID] を1つずつチェックします。次の情報が [マシンID] に表示されることがあります:
-
ハイブリッドAzure AD参加済み
-
Azure AD未参加
注:
- マシンの電源を最初にオンにしたとき、ハイブリッドAzure ADの参加が遅れることがあります。これは、デフォルトのマシンID同期間隔(Azure AD Connectの30分)が原因です。マシンは、マシンIDがAzure AD Connectを介してAzure ADに同期された後でのみ、ハイブリッドAzure AD参加済み状態になります。
- マシンがハイブリッドAzure AD参加済み状態にならない場合、それらのマシンはDelivery Controllerに登録されません。それらの登録ステータスは [初期化] と表示されます。
また、[完全な構成]インターフェイスで、マシンが使用できない理由を知ることができます。これを行うには、[検索] ノードでマシンをクリックし、下ペインの [詳細] タブで [登録] をオンにしてから、ツールチップを読んで追加情報を確認します。
トラブルシューティング
マシンがハイブリッドAzure AD参加済みにならない場合は、次の手順を実行します:
-
Microsoft Azure ADポータルでそのマシンアカウントがAzure ADに同期されているかどうかを確認します。同期されている場合、[Azure AD未参加] と表示され、登録ステータスが保留中であることを示します。
マシンアカウントをAzure ADに同期するには、次のことを確認してください:
-
そのマシンアカウントが、Azure ADと同期するように構成されているOU(組織単位)内にあること。userCertificate属性のないマシンアカウントは、同期するように構成されたOU内にあっても、Azure ADに同期されません。
-
userCertificate属性が、そのマシンアカウントに事前設定されていること。属性はActive Directory Explorerを使用して表示できます。
-
Azure AD Connectが、マシンアカウントの作成後に少なくとも1回同期されていること。一度も同期されていない場合は、Azure AD ConnectマシンのPowerShellコンソールで、手動で「Start-ADSyncSyncCycle -PolicyType Delta」コマンドを実行し、即時の同期をトリガーします。
-
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CitrixのDeviceKeyPairRestoredの値をクエリすることにより、ハイブリッドAzure AD参加用のCitrix管理対象デバイスのキーペアが正しくマシンにプッシュされているかどうかを確認します。
値が「1」であることを確認します。1でない場合、考えられる理由は次のとおりです:
-
プロビジョニングスキームに関連付けられているIDプールのIdentityTypeが、HybridAzureADに設定されていない。これはGet-IdentityPoolで確認できます。
-
マシンが、マシンカタログと同じプロビジョニングスキームを使用してプロビジョニングされていない。
-
マシンが、ローカルドメインに参加していない。ローカルドメイン参加済みであることは、ハイブリッドAzure AD参加の前提条件です。
-
-
MCSプロビジョニングマシンで「dsregcmd /status /debug」を実行して診断メッセージを確認します。
ハイブリッドAzure AD参加に成功した場合、コマンドラインの出力で「AzureAdJoined」と「DomainJoined」が「YES」と表示されます。
YESと表示されない場合は、Microsoft社のドキュメントを参照し、問題のトラブルシューティングを行ってください:https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current