ハイブリッド アジュール アクティブ ディレクトリ参加済みマシン アイデンティティのアイデンティティ プール

注記:

2023年7月以降、マイクロソフトはアジュール アクティブ ディレクトリ (アジュール AD) をマイクロソフト エントラ ID に名称変更しました。このドキュメントでは、アジュール アクティブ ディレクトリ、アジュール AD、または AAD への言及はすべてマイクロソフト エントラ ID を指します。

この記事では、以下のIDプールを作成する方法について説明します。

• ハイブリッド アジュール アクティブ ディレクトリ (AD) 参加済みカタログ
• Microsoft Intuneに登録されているハイブリッド Azure AD参加済みカタログ

要件、制限、考慮事項については、Hybrid Azure Active Directory参加済みを参照してください。

ハイブリッド Azure Active Directory (AD) 参加済みカタログを作成する

ウェブスタジオを使用する

以下の情報は、マシンカタログの作成のガイダンスを補足するものです。

カタログ作成ウィザードのマシンIDページで、

• Hybrid Azure Active Directory参加済みを選択します。作成されたマシンは組織によって所有され、その組織に属するActive Directoryアカウントでサインインされます。

• デバイス管理のために作成されたマシンをMicrosoft Intune (Configuration Managerを含む) に登録するには、Configuration Managerを使用してマシンをMicrosoft Intuneに登録するを選択します。カタログ作成中のエラーを回避するには、マスターイメージが以下の要件を満たしていることを確認してください。

  • VDAバージョン2405以降がインストールされていること。
  • サイトコードが割り当てられていないConfiguration Managerクライアントがインストールされていること。詳細については、このMicrosoft記事を参照してください。

注：

識別タイプとしてHybrid Azure Active Directory joinedを選択した場合、カタログ内の各マシンには対応するADコンピューターアカウントが必要です。

パワーシェルを使用する

以下は、Web Studioでの操作に相当するPowerShellの手順です。Remote PowerShell SDKを使用してカタログを作成する方法については、https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/を参照してください。

オンプレミスAD参加カタログとハイブリッドAzure AD参加カタログの違いは、IDプールとマシンアカウントの作成にあります。

ハイブリッドAzure AD参加カタログ用のアカウントとともにIDプールを作成するには：

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注：

$passwordは、書き込み権限を持つADユーザーアカウントの一致するパスワードです。

ハイブリッドAzure AD参加カタログの作成に使用される他のすべてのコマンドは、従来のオンプレミスAD参加カタログと同じです。

ハイブリッドAzure AD参加プロセスのステータスを表示する

Web Studioでは、デリバリーグループ内のハイブリッドAzure AD参加マシンが電源オン状態の場合に、ハイブリッドAzure AD参加プロセスのステータスが表示されます。ステータスを表示するには、検索を使用してそれらのマシンを特定し、その後、下部ペインの詳細タブで各マシンのマシンIDを確認します。マシンIDには次の情報が表示されます。

• ハイブリッド Azure AD 参加済み
• Azure ADにまだ参加していません

注：

• マシンが最初に電源オンになったときに、ハイブリッドAzure AD参加が遅延する場合があります。これは、デフォルトのマシンID同期間隔（Azure AD Connectの30分）が原因です。マシンは、Azure AD Connectを介してマシンIDがAzure ADに同期された後にのみ、ハイブリッドAzure AD参加状態になります。
• マシンがハイブリッド Azure AD 参加状態にならなかった場合、それらはDelivery Controllerに登録されません。登録ステータスは初期化と表示されます。

また、Web Studioを使用して、マシンが利用できない理由を知ることができます。そのためには、検索ノードでマシンをクリックし、下部ペインの詳細タブで登録を確認し、ツールヒントを読んで追加情報を確認してください。

トラブルシューティング

マシンがハイブリッド Azure AD 参加に失敗した場合、以下を実行してください。

• マシンアカウントがMicrosoft Azure ADポータルを通じてAzure ADに同期されているか確認します。同期されている場合、Azure ADにまだ参加していませんと表示され、登録が保留中であることを示します。

  マシンアカウントをAzure ADに同期するには、以下を確認してください。

  • マシンアカウントが、Azure ADと同期するように構成されているOU内にあること。userCertificate属性を持たないマシンアカウントは、同期するように構成されているOU内にあってもAzure ADに同期されません。
  • マシンアカウントにuserCertificate属性が入力されていること。属性を表示するには、Active Directory Explorerを使用します。
  • マシンアカウントが作成された後、Azure AD Connectが少なくとも1回は同期されている必要があります。同期されていない場合は、Azure AD ConnectマシンのPowerShellコンソールでStart-ADSyncSyncCycle -PolicyType Deltaコマンドを手動で実行し、即時同期をトリガーします。

• Check if the Citrix managed device key pair for hybrid Azure AD join is correctly pushed to the machine by querying the value of DeviceKeyPairRestored under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

  値が1であることを確認します。そうでない場合、考えられる理由は次のとおりです。

  • プロビジョニングスキームに関連付けられているIDプールのIdentityTypeがHybridAzureADに設定されていません。これはGet-AcctIdentityPoolを実行して確認できます。
  • マシンが、マシンカタログと同じプロビジョニングスキームを使用してプロビジョニングされていない。
  • マシンがローカルドメインに参加していない。ローカルドメインへの参加は、ハイブリッド Azure AD 参加の前提条件です。

• MCSプロビジョニングされたマシンでdsregcmd /status /debugコマンドを実行して診断メッセージを確認します。

  • ハイブリッド Azure AD 参加が成功した場合、コマンドラインの出力で AzureAdJoined と DomainJoined は YES になります。

  • そうでない場合は、Microsoft のドキュメントを参照して問題をトラブルシューティングしてください: https://docs.microsoft.com/ja-jp/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current。

  • If you get the error message Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, then run the following PowerShell command to repair the user certificate:

     Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
     <!--NeedCopy-->
    

    ユーザー証明書の問題の詳細については、CTX566696 を参照してください。

Microsoft Intune に登録されたハイブリッド Azure AD 参加カタログを作成する

Microsoft Intune に登録されたハイブリッド Azure AD 参加カタログに対して、永続的なシングルセッションおよびマルチセッション VM 用の共同管理対応カタログを作成できます。共同管理対応カタログは、Studio と PowerShell の両方を使用して作成できます。

ウェブスタジオを使用する

以下の情報は、マシンカタログの作成 のガイダンスを補足するものです。

マシンカタログのセットアップウィザードで:

• マシンIDページで、ハイブリッド Azure Active Directory 参加済みを選択し、次にConfiguration Manager を使用して Microsoft Intune にマシンを登録するを選択します。このアクションを使用すると、Configuration Manager と Microsoft Intune (つまり、共同管理) が VM を管理します。

パワーシェルを使用する

以下は、Studio の手順に相当する PowerShell の手順です。

Remote PowerShell SDK を使用して Configuration Manager で Microsoft Intune にマシンを登録するには、New-AcctIdentityPool の DeviceManagementType パラメーターを使用します。この機能には、カタログがハイブリッド Azure AD 参加済みであり、Azure AD が適切な Microsoft Intune ライセンスを所有している必要があります。

ハイブリッド Azure AD 参加カタログと共同管理対応カタログの違いは、ID プールの作成方法にあります。例:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

トラブルシューティング

マシンが Microsoft Intune への登録に失敗した場合、または共同管理状態に到達できない場合は、次の操作を実行してください。

• Intune ライセンスを確認する

  Azure AD テナントに適切な Intune ライセンスが割り当てられているかを確認します。Microsoft Intune のライセンス要件については、Microsoft Intune のライセンスを参照してください。

• ハイブリッド Azure AD 参加の状態を確認する

  MCS でプロビジョニングされたマシンが Hybrid Azure AD Join されているかを確認します。Hybrid Azure AD Join されていない場合、マシンは共同管理の対象になりません。Hybrid Azure AD Join の問題のトラブルシューティングについては、トラブルシューティングを参照してください。

• 共同管理の適格性を確認する

  • MCS でプロビジョニングされたマシンが、期待される Configuration Manager サイトに正しく割り当てられているかを確認します。割り当てられたサイトを取得するには、影響を受けるマシンで次の PowerShell コマンドを実行します。

     (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
     <!--NeedCopy-->
    

  • VM にサイトが割り当てられていない場合は、次のコマンドを使用して、Configuration Manager サイトが自動的に検出できるかを確認します。

     (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
     <!--NeedCopy-->
    

  • サイトコードが検出できない場合は、Configuration Manager 環境で境界と境界グループが適切に構成されていることを確認してください。詳細については、考慮事項を参照してください。

  • Configuration Manager クライアントのサイト割り当てに関する問題については、C:\Windows\CCM\Logs\ClientLocation.logを確認してください。

  • マシンの共同管理の状態を確認します。影響を受けるマシンでConfiguration Manager コントロールパネルを開き、全般タブに移動します。共同管理プロパティの値は有効である必要があります。そうでない場合は、C:\Windows\CCM\Logs\CoManagementHandler.logの下のログを確認してください。

• Intune 登録を確認する

  すべての前提条件が満たされている場合でも、マシンが Microsoft Intune への登録に失敗する可能性があります。Intune 登録の問題については、アプリケーションとサービスログ > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Providerの下の Windows イベントログを確認してください。