Documentação de produtos
Citrix DaaS™
Ver PDF

Pool de identidades de máquina associada ao Microsoft Entra

May 4, 2026
Contribuição de: 
C C

Este artigo descreve como criar um pool de identidades de máquina associada ao Microsoft Entra usando o Citrix DaaS.

Para obter informações sobre requisitos, limitações e considerações, consulte Associado ao Microsoft Entra.

-  Antes de criar o catálogo de máquinas, você precisa do seguinte: TargetGroupDisplayNameTargetGroupDisplayName
  1. Nova localização de recursos
    • Navegue até a interface de usuário de administração do Citrix Cloud™ > menu hambúrguer superior esquerdo > Localizações de Recursos.
    • Clique em + Localização de Recursos.
    • Insira um nome para a nova localização de recursos e clique em Salvar.
  2. Crie uma conexão de hospedagem. Consulte a seção Criar e gerenciar conexões para obter detalhes. Ao implantar máquinas no Azure, consulte Conexão com o Azure Resource Manager.
  • Você pode criar catálogos associados ao Microsoft Entra usando o Studio ou o PowerShell.

Usar o Studio

As informações a seguir são um complemento às diretrizes em Criar catálogos de máquinas. Para criar catálogos associados ao Microsoft Entra, siga as diretrizes gerais desse artigo, observando os detalhes específicos dos catálogos associados ao Microsoft Entra. https://www.example.com/blog/post-1 No assistente de criação de catálogo:

  1. Na página Imagem:
    • Selecione 2106 ou posterior como o nível funcional.
    • Selecione Usar um perfil de máquina e selecione a máquina apropriada na lista.

  2. Na página Identidades de Máquina:

    1. Selecione Associado ao Microsoft Entra. As máquinas criadas pertencem a uma organização e são conectadas com uma conta Microsoft Entra que pertence a essa organização. Elas existem apenas na nuvem.

      Nota:

      • O tipo de identidade Associado ao Microsoft Entra requer a versão 2106 ou posterior como o nível funcional mínimo para o catálogo.

        • As máquinas são associadas ao domínio Microsoft Entra associado ao locatário ao qual a conexão de hospedagem está vinculada.
        1. Clique em Selecionar conta de serviço e selecione uma conta de serviço disponível na lista. Se uma conta de serviço adequada não estiver disponível para o locatário Microsoft Entra ao qual as identidades de máquina serão associadas, você poderá criar uma conta de serviço. Para obter informações sobre contas de serviço, consulte Contas de serviço Microsoft Entra.

      • Nota:

        A conta de serviço que você selecionou pode estar em um status não íntegro devido a vários motivos. Você pode ir para Administradores > Contas de Serviço para exibir detalhes e corrigir os problemas de acordo com as recomendações. Alternativamente, você pode prosseguir com a operação do catálogo de máquinas e corrigir os problemas mais tarde. Se você não corrigir o problema, dispositivos associados ao Microsoft Entra ou registrados no Microsoft Intune obsoletos serão gerados, o que pode impedir a associação das máquinas ao Microsoft Entra.

        1. Clique em Adicionar Atributos de Extensão para armazenar dados personalizados e exclusivos diretamente nos objetos de dispositivo do Entra ID. Na página Adicionar Atributos de Extensão, adicione Atributos de extensão e Valor.

      Nota:

          -  Você pode adicionar um máximo de 15 atributos de extensão.
-  O nome deve ser exclusivo e o valor não pode ser vazio.
    1. Selecione uma opção de conta do Active Directory:
      • Criar novas contas do Active Directory:
        • Se você selecionar Criar novas contas do Active Directory e usar um pool de identidades existente para criar novas contas, selecione um domínio para essas contas e especifique um esquema de nomenclatura de conta.
        • Se você selecionar Criar novas contas do Active Directory e usar um pool de identidades existente para criar novas contas, selecione um pool de identidades na lista.
      • Usar contas do Active Directory existentes: Você pode procurar ou importar de um arquivo CSV e redefinir a senha ou especificar a mesma senha para todas as contas. - Especifique um esquema de nomenclatura de conta.

Os usuários devem ter acesso explícito concedido no Azure para fazer login nas máquinas usando suas credenciais do Microsoft Entra. Consulte a seção Associado ao Microsoft Entra para obter mais detalhes.

Adicionar ou modificar atributos de extensão

Para alterar ou adicionar atributos de extensão adicionais a um catálogo de máquinas MCS existente, ou adicionar atributos de extensão a um catálogo MCS sem uma conta de serviço, use o assistente Editar Catálogo de Máquinas.

  • Para alterar ou adicionar atributos de extensão adicionais, navegue até a página Atributos de Extensão de Dispositivo Microsoft Entra. Clique no ícone de lápis e adicione ou atualize os atributos de extensão.

  • Para adicionar atributos de extensão a um catálogo MCS sem uma conta de serviço Microsoft Entra:

    1. Navegue até a página Conta de Serviço. Selecione uma conta de serviço Microsoft Entra para o Microsoft Intra ID.
    2. Vá para a página Atributos de Extensão de Dispositivo Microsoft Entra, clique em Adicionar Atributos de Extensão.

Modificar a associação da conta de serviço

Para alterar a conta de serviço associada ou adicionar uma associação a um catálogo de máquinas MCS existente, use a página Editar Catálogo de Máquinas.

  • Para adicionar uma conta de serviço, clique em Selecionar conta de serviço na página Conta de Serviço.
    • Para alterar a associação da conta de serviço, clique no ícone de edição na página Conta de Serviço.

Usar o PowerShell

As etapas a seguir são do PowerShell e equivalem às operações no Studio.

A diferença entre catálogos associados ao AD local e catálogos associados ao Microsoft Entra reside na criação do pool de identidades e no esquema de provisionamento.

Você deve associar uma conta de serviço Microsoft Entra ao pool de identidades e, em seguida, criar o catálogo de máquinas. Você pode criar um novo pool de identidades ou atualizar um pool de identidades existente para associá-lo a uma conta de serviço.

Criar novo pool de identidades

Por exemplo: Para criar um novo pool de identidades e associá-lo a uma conta de serviço, execute o seguinte:


New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Por exemplo: Para criar um novo pool de identidades com atributos de extensão especificados e associá-lo a uma conta de serviço, execute o seguinte:


New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Quando uma VM é ligada pela primeira vez, após associar-se ao Microsoft Entra ID, a VM relata seu deviceId do Entra ID ao MCS.

Por exemplo: Para verificar o EntraIDDeviceID, execute Get-AcctADAccount ou Get-AcctIdentity.


Get-AcctADAccount -IdentityPoolName MyPool

<!--NeedCopy-->

Após a reinicialização, para VMs persistentes, o EntraIDDeviceID permanece o mesmo. Para VMs não persistentes, há um novo EntraIDDeviceID após cada reinicialização.

Nota:

O MCS remove automaticamente os atributos de extensão associados quando você exclui uma VM do catálogo, mas não a exclui do Azure.

  • Atualizar pool de identidades existente

Por exemplo: Para atualizar um pool de identidades existente para associá-lo a uma conta de serviço, execute o seguinte:


$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Nota:

-  > O `$serviceAccountUid` deve ser um UID válido de uma conta de serviço Microsoft Entra.

-  Por exemplo: Para editar atributos de extensão para o catálogo existente, execute o seguinte:

-  > **Observação:** > -  > > > -  Após atualizar as VMs de catálogo existentes para a VDA versão 2511 ou posterior, uma reinicialização é necessária. Essa reinicialização permite que a VM relate seu ID do dispositivo Entra ID ao MCS, permitindo que o MCS configure os atributos de extensão da VM. > -  O catálogo existente deve ter uma conta de serviço do tipo AzureAD com a permissão "Device.ReadWrite.All".

-  Para adicionar novos atributos:


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Para remover alguns atributos existentes


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

<!--NeedCopy-->

OU


    Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}

<!--NeedCopy-->

Set-AcctIdentityPool também atualiza os atributos de extensão do dispositivo Entra ID para VMs que já estão associadas ao Entra ID e possuem um valor EntraIDDeviceID em suas identidades.

Criar catálogos associados ao Microsoft Entra

Para criar um esquema de provisionamento para catálogos associados ao Microsoft Entra, o parâmetro MachineProfile é obrigatório em New-ProvScheme. Por exemplo:


New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"

<!--NeedCopy-->

Para criar um catálogo do Microsoft Entra usando uma imagem preparada. Por exemplo:


New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]

<!--NeedCopy-->

Exibir o status do processo de associação ao Microsoft Entra

No Studio, o status do processo de associação ao Microsoft Entra é visível quando as máquinas associadas ao Microsoft Entra em um grupo de entrega estão em estado ligado. Para exibir o status, use a Pesquisa para identificar essas máquinas e, em seguida, para cada uma, verifique a Identidade da Máquina na guia Detalhes no painel inferior. As seguintes informações podem aparecer em Identidade da Máquina:

  • Associada ao Microsoft Entra
  • Ainda não associada ao Microsoft Entra ID

Observação:

Se as máquinas não conseguirem estar no estado de associação ao Microsoft Entra, elas não se registrarão no Delivery Controller. O status de registro delas aparecerá como Inicialização.

Além disso, usando o Studio, você pode saber por que as máquinas estão indisponíveis. Para fazer isso, clique em uma máquina no nó Pesquisar, verifique o Registro na guia Detalhes no painel inferior e, em seguida, leia a dica de ferramenta para obter informações adicionais.

Grupo de Entrega

Consulte a seção Criar grupos de entrega para obter detalhes.

Habilitar Rendezvous

Depois que o grupo de entrega for criado, você poderá habilitar o Rendezvous. Consulte Rendezvous V2 para obter detalhes.

Solução de problemas

Se as máquinas não conseguirem ser associadas ao Microsoft Entra, faça o seguinte:

  • Verifique se a identidade gerenciada atribuída pelo sistema está habilitada para as máquinas. As máquinas provisionadas pelo MCS devem ter isso habilitado automaticamente. O processo de associação ao Microsoft Entra falha sem uma identidade gerenciada atribuída pelo sistema. Se a identidade gerenciada atribuída pelo sistema não estiver habilitada para máquinas provisionadas pelo MCS, o possível motivo é:

    • IdentityType do pool de identidades associado ao esquema de provisionamento não está definido como AzureAD. Você pode verificar isso executando Get-AcctIdentityPool.

  • Para catálogos que usam imagens mestre com VDA versão 2206 ou anterior, verifique o status de provisionamento da extensão AADLoginForWindows para as máquinas. Se a extensão AADLoginForWindows não existir, os possíveis motivos são:

    • IdentityType do pool de identidades associado ao esquema de provisionamento não está definido como AzureAD. Você pode verificar isso executando Get-AcctIdentityPool.

    • A instalação da extensão AADLoginForWindows é bloqueada pela política do Azure.

  • Para solucionar falhas de provisionamento da extensão AADLoginForWindows, você pode verificar os logs em C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows na máquina provisionada pelo MCS.

    Observação:

    O MCS não depende da extensão AADLoginForWindows para associar uma VM ao Microsoft Entra ID ao usar uma imagem mestre com VDA versão 2209 ou posterior. Nesse caso, a extensão AADLoginForWindows não será instalada na máquina provisionada pelo MCS. Portanto, os logs de provisionamento da extensão AADLoginForWindows não podem ser coletados.

  • Verifique o status de associação ao Microsoft Entra e os logs de depuração executando o comando dsregcmd /status na máquina provisionada pelo MCS.

  • Verifique os logs de eventos do Windows em Logs de Aplicativos e Serviços > Microsoft > Windows > Registro de Dispositivo do Usuário.

  • Verifique se o gerenciamento de dispositivos do Microsoft Entra está configurado corretamente executando Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName}.

    Certifique-se de que o valor de:

    • A propriedade AzureAdDeviceManagement em CustomProperties seja true
    • A propriedade Citrix_MCS_AzureAdDeviceManagement_PermissionGranted nos metadados seja true

    Se Citrix_MCS_AzureAdDeviceManagement_PermissionGranted for false, isso indica que o ServicePrincipal do aplicativo usado pela conexão de hospedagem não tem permissões suficientes para realizar o gerenciamento de dispositivos do Microsoft Entra. Para resolver isso, atribua ao ServicePrincipal a função de Administrador de Dispositivos na Nuvem.

Grupos de segurança dinâmicos do Microsoft Entra

As regras de grupo dinâmico colocam as VMs do catálogo em um grupo de segurança dinâmico com base no esquema de nomenclatura do catálogo de máquinas.

Se o esquema de nomenclatura do catálogo de máquinas for Test### (onde # significa número), a Citrix® cria a regra de associação dinâmica ^Test[0-9]{3}$ no grupo de segurança dinâmico. Agora, se o nome da VM criada pela Citrix for algo entre Test001 e Test999, então a VM é incluída no grupo de segurança dinâmico.

Observação:

Se o nome da VM criada por você manualmente for algo entre Test001 e Test999, então a VM também é incluída no grupo de segurança dinâmico. Esta é uma das limitações do grupo de segurança dinâmico.

O recurso de grupo de segurança dinâmico é útil quando você deseja gerenciar as VMs pelo Microsoft Entra ID. Isso também é útil quando você deseja aplicar políticas de Acesso Condicional ou distribuir aplicativos do Intune filtrando as VMs com o grupo de segurança dinâmico do Microsoft Entra.

Você pode usar comandos do PowerShell para:

  • Criar um catálogo de máquinas com grupo de segurança dinâmico do Microsoft Entra
  • Habilitar o recurso de grupo de segurança para um catálogo do Microsoft Entra
  • Excluir um catálogo de máquinas com grupo de segurança de dispositivo associado ao Microsoft Entra

Importante:

Criar um catálogo de máquinas com grupo de segurança dinâmico do Microsoft Entra

  1. Na interface do usuário de configuração do catálogo de máquinas do console baseado na Web, na página Identidades da Máquina, selecione Associado ao Microsoft Entra.
  2. Faça login no Microsoft Entra ID.
  3. Obtenha o token de acesso para a API do MS Graph. Use este token de acesso como valor do parâmetro $AzureADAccessToken ao executar os comandos do PowerShell. Você não precisa de um token de acesso do Microsoft Entra se usar uma conta de serviço do Microsoft Entra.

  4. Execute o seguinte comando para verificar se o nome do grupo de segurança dinâmico existe no locatário.

    
Get-AcctAzureADSecurityGroup
–AccessToken  $AzureADAccessToken
–Name "SecurityGroupName"

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName"

<!--NeedCopy-->

  5. Crie um catálogo de máquinas usando o ID do Locatário, o token de acesso e o grupo de segurança dinâmico. Execute o seguinte comando para criar um IdentityPool com IdentityType=AzureAD e criar um grupo de segurança dinâmico no Azure.

    
New-AcctIdentityPool
-AllowUnicode
-IdentityPoolName "SecurityGroupCatalog"
-NamingScheme "SG-VM-###"
-NamingSchemeType "Numeric" -Scope @()
-ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
-WorkgroupMachine
-IdentityType "AzureAD"
-DeviceManagementType "None"
-AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupName "SecurityGroupName"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
New-AcctIdentityPool  -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD"  -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Habilitar o recurso de grupo de segurança para um catálogo do Microsoft Entra

Você pode habilitar o recurso de segurança dinâmica para um catálogo do Microsoft Entra que foi criado sem o recurso de grupo de segurança dinâmico habilitado. Para fazer isso:

  1. Crie manualmente um novo grupo de segurança dinâmico. Você também pode reutilizar um grupo de segurança dinâmico existente.

  2. Faça login no Microsoft Entra ID e obtenha o token de acesso para a API do MS Graph. Use este token de acesso como valor do parâmetro $AzureADAccessToken ao executar os comandos do PowerShell.

    Observação:

  3. Execute o seguinte comando para conectar o pool de identidades ao grupo de segurança dinâmico do Microsoft Entra criado.

    
Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Set-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
-AzureADSecurityGroupNam "ExistingSecurityGroupName"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Se você atualizar o esquema de nomenclatura, o Citrix atualizará o esquema de nomenclatura para uma nova regra de associação. Se você excluir o catálogo, a regra de associação será excluída, e não o grupo de segurança.

Excluir um catálogo de máquinas com grupo de segurança de dispositivo associado ao Microsoft Entra

Ao excluir um catálogo de máquinas, o grupo de segurança de dispositivo associado ao Microsoft Entra também é excluído.

Para excluir o grupo de segurança dinâmico do Microsoft Entra, faça o seguinte:

  1. Faça login no Microsoft Entra ID.
  2. Obtenha o token de acesso para a API do MS Graph. Use este token de acesso como valor do parâmetro $AzureADAccessToken ao executar os comandos do PowerShell. Você não precisa de um token de acesso do Microsoft Entra se usar uma conta de serviço do Microsoft Entra.

  3. Execute o seguinte comando:

    
Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>"

<!--NeedCopy-->

Criar um grupo de segurança dinâmico do Microsoft Entra em um grupo de segurança atribuído do Microsoft Entra ID existente

Você pode criar um grupo de segurança dinâmico do Microsoft Entra em um grupo de segurança atribuído do Microsoft Entra ID existente. Você pode fazer o seguinte:

  • Obter informações do grupo de segurança.
  • Obter todos os grupos de segurança atribuídos do Microsoft Entra ID que são sincronizados de um servidor AD local ou os grupos de segurança atribuídos aos quais as funções do Microsoft Entra podem ser atribuídas.
  • Obter todos os grupos de segurança dinâmicos do Microsoft Entra.
  • Adicionar o grupo de segurança dinâmico do Microsoft Entra como membro do grupo atribuído do Microsoft Entra ID.
  • Remover a associação entre o grupo de segurança dinâmico do Microsoft Entra e o grupo de segurança atribuído do Microsoft Entra ID quando o grupo de segurança dinâmico do Microsoft Entra for excluído junto com o catálogo de máquinas.

Você também pode ver mensagens de erro explícitas quando qualquer uma das operações falhar.

Requisito:

Você deve ter o token de acesso para a API do MS Graph ao executar os comandos do PowerShell. Você não precisa de um token de acesso do Microsoft Entra se usar uma conta de serviço do Microsoft Entra. Portanto, em vez de -AccessToken <token>, use ServiceAccountUid <service account uid>.

Para obter o token de acesso:

  1. Abra o Microsoft Graph Explorer e faça login no Microsoft Entra ID.
  2. Certifique-se de ter consentimento para as permissões Group.ReadWrite.All e GroupMember.ReadWrite.All.
  3. Obtenha o token de acesso do Microsoft Graph Explorer. Use este token de acesso ao executar os comandos do PowerShell.

Para obter informações do grupo de segurança por ID do grupo:

  1. Obtenha o token de acesso.
  2. Encontre o ID do objeto do grupo no portal do Azure.

  3. Execute o seguinte comando do PowerShell no console do PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token> -GroupId <GroupUid>

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid>

<!--NeedCopy-->

Para obter grupos de segurança pelo nome de exibição do grupo:

  1. Obtenha o token de acesso.

  2. Execute o seguinte comando do PowerShell no console do PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Name <TargetGroupDisplayName>

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Name <TargetGroupDisplayName>

<!--NeedCopy-->

Para obter grupos de segurança cujo nome de exibição contém uma subcadeia de caracteres:

  1. Obtenha o token de acesso.

  2. Execute o seguinte comando do PowerShell no console do PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-SearchString <displayNameSubString>

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-SearchString <displayNameSubString>

<!--NeedCopy-->

Para obter todos os grupos de segurança atribuídos do Microsoft Entra ID que são sincronizados de um servidor AD local ou os grupos de segurança atribuídos aos quais as funções do Microsoft Entra podem ser atribuídas:

  1. Obtenha o token de acesso.

  2. Execute o seguinte comando do PowerShell no console do PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true

<!--NeedCopy-->

Para obter todos os grupos de segurança dinâmicos do Microsoft Entra:

  1. Obtenha o token de acesso.

  2. Execute o seguinte comando do PowerShell no console do PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Dynamic true

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Dynamic true

<!--NeedCopy-->

Para obter grupos de segurança atribuídos do Microsoft Entra ID com contagem máxima de registros:

  1. Obtenha o token de acesso.

  2. Execute o seguinte comando do PowerShell no console do PowerShell:

    
Get-AcctAzureADSecurityGroup
-AccessToken <token>
-Assigned true
-MaxRecordCount 10

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Get-AcctAzureADSecurityGroup
-ServiceAccountUid <guid>
-Assigned true
-MaxRecordCount 10

<!--NeedCopy-->

Para adicionar um grupo de segurança dinâmico do Microsoft Entra como membro de um grupo de segurança atribuído do Microsoft Entra ID:

  1. Obtenha o token de acesso.

  2. Execute o seguinte comando do PowerShell no console do PowerShell:

    
Add-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Add-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>
-RefGroupId <DSG-Id>

<!--NeedCopy-->

Para obter membros do grupo de segurança atribuído do Microsoft Entra ID:

  1. Obtenha o token de acesso.

  2. Execute o seguinte comando do PowerShell no console do PowerShell:

    
Get-AcctAzureADSecurityGroupMember
-AccessToken <token>
-GroupId <ASG-Id>

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Get-AcctAzureADSecurityGroupMember
-ServiceAccountUid <guid>
-GroupId <ASG-Id>

<!--NeedCopy-->

    Observação:

    Get-AcctAzureADSecurityGroupMember fornece apenas os membros diretos do tipo de grupo de segurança sob o grupo de segurança atribuído do Microsoft Entra ID.

Para remover a associação entre o grupo de segurança dinâmico do Microsoft Entra e o grupo de segurança atribuído do Microsoft Entra ID quando o grupo de segurança dinâmico do Microsoft Entra é excluído junto com o catálogo de máquinas:

  1. Obtenha o token de acesso.

  2. Execute o seguinte comando do PowerShell no console do PowerShell:

    
Remove-AcctIdentityPool
-IdentityPoolName "SecurityGroupCatalog"
-AzureADAccessToken $AzureADAccessToken

<!--NeedCopy-->

    Ou, execute o seguinte se você estiver usando uma conta de serviço do Microsoft Entra:

    
Remove-AcctIdentityPool
-ServiceAccountUid <guid>
-IdentityPoolName "SecurityGroupCatalog"

<!--NeedCopy-->

Modificar nome do grupo de segurança dinâmico do Microsoft Entra

Você pode modificar o nome do grupo de segurança dinâmico do Microsoft Entra associado a um catálogo de máquinas. Essa modificação faz com que as informações do grupo de segurança armazenadas no objeto de pool de identidade do Microsoft Entra sejam consistentes com as informações armazenadas no portal do Azure.

Observação:

Os grupos de segurança dinâmicos do Microsoft Entra não incluem grupos de segurança sincronizados do AD local e outros tipos de grupo, como o grupo do Office 365.

Você pode modificar o nome do grupo de segurança dinâmico do Microsoft Entra usando comandos do Studio e do PowerShell.

Para modificar o nome do grupo de segurança dinâmico do Microsoft Entra usando o PowerShell:

  1. Abra a janela do PowerShell.
  2. Execute asnp citrix* para carregar os módulos do PowerShell específicos da Citrix.
  3. Execute o comando Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name].

Você receberá mensagens de erro apropriadas se o nome do grupo de segurança dinâmico do Microsoft Entra não puder ser modificado.

Mais informações

Pool de identidades de máquina associada ao Microsoft Entra
May 4, 2026
Contribuição de: 
C C
May 4, 2026
Contribuição de: 
C C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.