製品ドキュメント
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
PDFを表示

Hybrid Azure Active Directory参加済み

November 25, 2025
寄稿者: 
C

注:

2023年7月より、MicrosoftはAzure Active Directory(Azure AD)の名前をMicrosoft Entra IDに変更しました。 このドキュメントでは、Azure Active Directory、Azure AD、またはAADへの言及はすべて、Microsoft Entra IDを意味することになります。

この記事では、システム要件セクションで概説されている要件に加えて、Microsoft Intuneに登録されたHybrid Azure Active Directory(HAAD)参加カタログとHybrid Azure AD参加カタログのIDプールを作成するための要件について説明します。

Hybrid Azure AD参加済みマシンは、認証プロバイダーとしてオンプレミスADを使用します。 それらのマシンをオンプレミスADのドメインユーザーまたはグループに割り当てることができます。 Azure ADのシームレスなSSOエクスペリエンスを有効にするには、ドメインユーザーをAzure ADに同期させる必要があります。

注:

Hybrid Azure AD参加済み仮想マシンは、フェデレーションIDインフラストラクチャと管理対象IDインフラストラクチャの両方でサポートされています。

Hybrid Azure Active Directory参加の要件

  • VDAの種類:シングルセッション(デスクトップのみ)、またはマルチセッション(アプリとデスクトップ)
  • VDAバージョン:2212以降
  • プロビジョニングの種類:Machine Creation Services™(MCS)、永続および非永続
  • 割り当ての種類:専用およびプール
  • ホストプラットフォーム:ハイパーバイザーまたはクラウドサービス

Hybrid Azure Active Directory参加の制限事項

  • Citrix Federated Authentication Service(FAS)が使用されている場合、シングルサインオンはAzure ADではなくオンプレミスADに送信されます。 この場合は、ユーザーのログオン時にプライマリ更新トークン(Primary Refresh Token:PRT)が生成されるように、Azure AD証明書ベースの認証を構成することをお勧めします。これにより、セッション内のAzure ADリソースへのシングルサインオンが容易になります。 この構成にしないと、PRTが生成されず、Azure ADリソースへのSSOが機能しません。 フェデレーション認証サービス(FAS)を使用して、ハイブリッド参加済みVDAへのAzure ADのシングルサインオン(SSO)を実現する方法については、「ハイブリッド参加済みVDA」を参照してください。
  • マシンカタログの作成中または更新中にイメージの準備をスキップしないでください。 イメージの準備をスキップする場合は、マスターVMがAzure ADまたはHybrid Azure ADに参加していないことを確認してください。

Hybrid Azure Active Directory参加の注意事項

  • Hybrid Azure Active Directory参加済みマシンを作成するには、ターゲットドメインでWrite userCertificate権限が必要です。 カタログ作成時に、その権限を持つ管理者の資格情報を入力してください。

  • Hybrid Azure AD参加プロセスは、Citrixによって管理されます。 次のように、マスターVMでWindowsによって制御されるautoWorkplaceJoinを無効にする必要があります。 autoWorkplaceJoinを手動で無効にするタスクは、VDAバージョン2212以前でのみ必要です。

    1. gpedit.msc を実行します。
    2. [コンピューターの構成]>[管理用テンプレート]>[Windowsコンポーネント]>[デバイスの登録]に移動します。
    3. [ドメインに参加しているコンピューターをデバイスとして登録する][無効] に設定します。

  • マシンIDを作成するときにAzure ADと同期するように構成されている組織単位(OU)を選択します。

  • Windows 11 22H2ベースのマスターVMの場合、SYSTEMアカウントを使ったシステム起動時に、次のコマンドを実行するスケジュールされたタスクをマスターVMに作成します。 マスターVMでタスクをスケジュールするこのタスクは、VDAバージョン2212以前でのみ必要です。

       $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
 $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
 $MaxCount = 60

 for ($count = 1; $count -le $MaxCount; $count++)
 {
   if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
   {
     $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
     if ($provider -eq 'Citrix')
     {
         break;
     }

     if ($provider -eq 1)
     {
         Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
         Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
         Start-Sleep 5
         dsregcmd /join
         break
     }
   }

   Start-Sleep 1
 }
 <!--NeedCopy-->
  • デフォルトでは、Azure AD Connectは30分ごとに同期します。 プロビジョニングされたマシンが最初の起動時にハイブリッドAzure ADに参加するまでには、最大30分かかる場合があります。

Microsoft Intuneに登録されたハイブリッドAzure AD参加済みカタログ

Microsoft Intuneに登録されたハイブリッドAzure AD参加済みカタログ、永続的なシングルセッション仮想マシンとマルチセッション仮想マシンは、共同管理機能でデバイス資格情報を使用します。

共同管理により、Configuration ManagerとMicrosoft Intuneの両方を使用してWindows 10以降のデバイスを同時に管理できます。 詳しくは、「共同管理」を参照してください。

Microsoft Intuneに登録されたハイブリッドAzure AD参加済みカタログの前提条件

この機能を有効にする前に、次のことを確認してください:

  • お使いのAzure環境はMicrosoft Intuneを使用するためのライセンス要件を満たしています。 詳しくは、Microsoftのドキュメントを参照してください。
  • 共同管理が有効なConfiguration Manager環境が有効になっています。 詳しくは、Microsoftのドキュメントを参照してください。

Microsoft Intuneに登録されたハイブリッドAzure AD参加済みカタログの要件

  • コントロールプレーン:Citrix DaaS™
  • VDAの種類:シングルセッションまたはマルチセッション
  • VDAバージョン:2407以降
  • プロビジョニングの種類:Machine Creation Services(MCS)、永続. 非永続的なシングルセッションおよびマルチセッション仮想マシン用の、Microsoft Intuneに登録されたHybrid Azure AD参加カタログは、現在Preview段階です。 「ハイブリッドEntra ID参加済み非永続的仮想マシンのMicrosoft Intuneへの登録」を参照してください。
  • 割り当ての種類:専用およびプール
  • ホストプラットフォーム:ハイパーバイザーまたはクラウドサービス

Microsoft Intuneに登録されたハイブリッドAzure AD参加済みカタログの制限事項

  • マシンカタログの作成中または更新中にイメージの準備をスキップしないでください。
  • Configuration Managerのインターネットベースのクライアント管理(IBCM)はサポートされていません。

Microsoft Intuneに登録されたハイブリッドAzure AD参加済みカタログの考慮事項

  • カタログ内で同時に電源オンになっているマシンが多すぎると、Intuneの登録が遅れることがあります。

    Microsoftは、特定の期間内に登録できるデバイスの数を制限するテナントごとのIntune登録制限を課しています。 許容されるデバイス数は、テナントに関連付けられているMicrosoft Intuneライセンスの数によって異なります。 Microsoftアカウントチームに相談して、テナントの許容上限を確認してください。 このアプローチは、大規模環境でのMicrosoft Intune登録の規模拡大に役立ちます。

    永続マシンの場合、すべてのデバイスがIntune登録を完了するまでに初回の待機時間が必要になる場合があります。

    非永続的なマシンの場合は、Autoscale™または手動の電源操作のいずれかで同時電源操作の制限を検討してください。

  • Configuration Managerのクラウドアタッチを構成します。 詳しくは、Microsoftのドキュメントを参照してください。
  • サイトコードに.\CCMSetup.exe /mp:SCCMServer /logon FSP=SCCMServerを割り当てずに、Configuration Managerクライアントをマスター仮想マシンに手動でインストールします。 SCCMサーバーは、環境内のSCCMサーバー名です。 詳しくは、Microsoftのドキュメントを参照してください。

  • MCSで作成されたマシンは、自動サイト割り当てメカニズムを使用して、Active Directory Domain Servicesに公開されているサイト境界グループを検索します。 Configuration Manager境界と境界グループが環境内で構成されていることを確認してください。 自動サイト割り当てが利用できない場合は、次のレジストリ設定を使用してマスター仮想マシンで静的なConfiguration Managerサイトコードを構成できます:

    キー:

       HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
 <!--NeedCopy-->

    値の名前:MdmSccmSiteCode

    値の種類:文字列

    値のデータ:割り当てられるサイトコード

次の手順

Hybrid Azure Active Directory参加カタログの作成について詳しくは、「Hybrid Azure Active Directory参加マシンIDのIDプール」を参照してください。

Hybrid Azure Active Directory参加済み
November 25, 2025
寄稿者: 
C
November 25, 2025
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.