Citrix DaaS™

Pool de identidades de máquina híbrida ingressada no Microsoft Entra

May 4, 2026

Contribuição de:

C C

Este artigo descreve como criar um pool de identidades de máquina híbrida ingressada no Microsoft Entra usando o Citrix DaaS.

Para obter informações sobre requisitos, limitações e considerações, consulte Microsoft Entra híbrido ingressado.

Usar o Studio

As informações a seguir são um complemento às diretrizes em Criar catálogos de máquinas. Para criar catálogos híbridos ingressados no Microsoft Entra, siga as diretrizes gerais desse artigo, observando os detalhes específicos dos catálogos híbridos ingressados no Microsoft Entra.

No assistente de criação de catálogo:

Na página Identidades da Máquina:
1. Selecione o tipo de identidade como Microsoft Entra híbrido ingressado.
  - 1. Em Configurações avançadas, clique em Selecionar conta de serviço e selecione uma conta de serviço disponível na lista. Se uma conta de serviço adequada à qual as identidades da máquina se juntarão não estiver disponível, você poderá criar uma conta de serviço. Para obter informações sobre a conta de serviço, consulte Contas de serviço do Microsoft Entra.
      - Clique em Adicionar Atributos de Extensão para armazenar dados exclusivos e personalizados diretamente em seus objetos de dispositivo do Entra ID. Na página Adicionar Atributos de Extensão, adicione Atributos de extensão e Valor.
  - Observação:
    - Você pode adicionar no máximo 15 atributos de extensão. - O nome e o valor devem ser exclusivos e não podem estar vazios.
  - 1. Selecione uma opção de conta do Active Directory:
  - Criar novas contas do Active Directory:
  - Se você selecionar Criar novas contas do Active Directory e usar um pool de identidades existente para criar novas contas, selecione um domínio para essas contas e especifique um esquema de nomenclatura de conta.
  - Se você selecionar Criar novas contas do Active Directory e usar um pool de identidades existente para criar novas contas, selecione um pool de identidades na lista.
  - Usar contas existentes do Active Directory: Você pode procurar ou importar de um arquivo CSV e redefinir a senha ou especificar a mesma senha para todas as contas.
2. Clique em Avançar.
Na página Credenciais de domínio, selecione uma conta de serviço ou insira as credenciais manualmente. O pool de identidades híbridas ingressadas no Microsoft Entra também pode ser associado a uma conta de serviço AD local. Para obter informações sobre contas de serviço, consulte Contas de serviço do Active Directory local.

Para alterar ou adicionar atributos de extensão adicionais a um catálogo de máquinas MCS existente, ou adicionar atributos de extensão a um catálogo MCS sem uma conta de serviço, use o assistente Editar Catálogo de Máquinas.

Para alterar ou adicionar atributos de extensão adicionais, navegue até a página Atributos de Extensão de Dispositivo do Microsoft Entra. Clique no ícone de lápis e adicione ou atualize os atributos de extensão.
Para adicionar atributos de extensão a um catálogo MCS sem uma conta de serviço do Microsoft Entra:
1. Navegue até a página Conta de Serviço. Selecione uma conta de serviço do Microsoft Entra para o Microsoft Intra ID.
2. Vá para a página Atributos de Extensão de Dispositivo do Microsoft Entra, clique em Adicionar Atributos de Extensão.

As etapas do PowerShell a seguir são equivalentes às operações no Studio.

A diferença entre catálogos ingressados no AD local e catálogos híbridos ingressados no Microsoft Entra reside na criação do pool de identidades e das contas de máquina.

Por exemplo: Para criar um pool de identidades junto com as contas para catálogos híbridos ingressados no Microsoft Entra:

New-AcctIdentityPool -AllowUnicode -IdentityType “HybridAzureAD” -Domain “corp.local” -IdentityPoolName “HybridAADJoinedCatalog” -NamingScheme “HybridAAD-VM-##” -NamingSchemeType “Numeric” -OU “CN=AADComputers,DC=corp,DC=local” -Scope @() -ZoneUid “81291221-d2f2-49d2-ab12-bae5bbd0df05” New-AcctADAccount -IdentityPoolName “HybridAADJoinedCatalog” -Count 10 -ADUserName “corp\admin1” -ADPassword $password Set-AcctAdAccountUserCert -IdentityPoolName “HybridAADJoinedCatalog” -All -ADUserName “corp\admin1” -ADPassword $password

Observação:

A $password é a senha correspondente para uma conta de usuário do AD com Permissões de Gravação.

Todos os outros comandos usados para criar catálogos híbridos ingressados no Microsoft Entra são os mesmos que para catálogos tradicionais ingressados no AD local.

Você também pode associar uma conta de serviço local a um catálogo de máquinas criado pelo MCS, associando uma conta de serviço local ao pool de identidades. Você pode criar um pool de identidades ou atualizar um pool de identidades existente para associá-lo a uma conta de serviço.

Por exemplo: Para criar um novo pool de identidades e associá-lo a uma conta de serviço, execute o seguinte:

Por exemplo: Para criar um novo pool de identidades com atributos de extensão especificados e associá-lo a uma conta de serviço, execute o seguinte:

New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain “abc.local” -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{“extensionAttribute1” = “val1”; “extensionAttribute2” = “val2”}

Quando uma VM é ligada pela primeira vez, após ingressar no Microsoft Entra ID, a VM relata seu deviceId do Entra ID ao MCS.

Por exemplo: Para verificar o EntraIDDeviceID, execute Get-AcctADAccount ou Get-AcctIdentity.

Get-AcctADAccount -IdentityPoolName MyPool

Após a reinicialização, para VMs persistentes e não persistentes, o EntraIDDeviceID permanece o mesmo.

Observação:

O MCS remove automaticamente os IDs de dispositivo associados e os atributos de extensão quando você exclui uma VM do catálogo, mas não a exclui do Azure.

Por exemplo: Para atualizar um pool de identidades existente e associá-lo a uma conta de serviço, execute o seguinte:

$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid

Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

Observação:

O $serviceAccountUid deve ser um UID válido de uma conta de serviço do Active Directory local.

Por exemplo: Para editar atributos de extensão para o catálogo existente, execute o seguinte:

-  > **Observação:**
-  > > > > -  Após atualizar as VMs de catálogo existentes para a versão 2511 ou posterior do VDA, é necessário reiniciar. Essa reinicialização permite que a VM relate seu deviceId do Entra ID ao MCS, permitindo que o MCS configure os atributos de extensão da VM. > >     -  O catálogo existente deve ter uma conta de serviço do tipo AzureAD com a permissão "Device.ReadWrite.All".

-  Para adicionar novos atributos:

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

Para remover atributos existentes

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = “”; extensionAttribute2 = “”}

Set-AcctIdentityPool também atualiza os atributos de extensão do dispositivo Entra ID para VMs que já estão unidas ao Entra ID e possuem um valor EntraIDDeviceID em suas identidades.

Você também pode criar um catálogo Hybrid Microsoft Entra usando uma imagem preparada. Para o conjunto completo de comandos PowerShell para criar definição de imagem, versão de imagem e especificação de versão de imagem preparada, consulte:

Ambiente de virtualização do Azure: Usar PowerShell.
- Ambiente de virtualização do VMware: Usar PowerShell

Após criar a especificação da versão da imagem preparada, crie o pool de identidades e o catálogo de máquinas. Por exemplo:

New-AcctIdentityPool -IdentityPoolName “mypool” -NamingScheme ACC## -NamingSchemeType “Numeric” -ZoneUid $zoneuid -Domain $domainName -OU “OU=HAAD Computers,DC=haad,DC=link” -IdentityType “HybridAzureAD”

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

No Studio, o status do processo de junção híbrida do Microsoft Entra é visível quando as máquinas unidas hibridamente ao Microsoft Entra em um grupo de entrega estão em estado ligado. Para visualizar o status, use Pesquisar para identificar essas máquinas e, em seguida, para cada uma, verifique Identidade da Máquina na guia Detalhes no painel inferior. As seguintes informações podem aparecer em Identidade da Máquina:

-  Microsoft Entra unido hibridamente
-  Ainda não unido ao Microsoft Entra ID

Observação:

Você pode experimentar um atraso na junção híbrida do Microsoft Entra quando a máquina é ligada inicialmente. Isso é causado pelo intervalo de sincronização padrão da identidade da máquina (30 minutos do Microsoft Entra Connect). A máquina está no estado de junção híbrida do Microsoft Entra somente depois que as identidades da máquina são sincronizadas com o Microsoft Entra ID por meio do Microsoft Entra Connect.

Se as máquinas não conseguirem entrar no estado de junção híbrida do Microsoft Entra, elas não são registradas com o Delivery Controller. O status de registro delas aparece como Inicialização.

Além disso, usando o Studio, você pode descobrir por que as máquinas estão indisponíveis. Para fazer isso, clique em uma máquina no nó Pesquisar, verifique Registro na guia Detalhes no painel inferior e, em seguida, leia a dica de ferramenta para obter informações adicionais.

Se as máquinas não conseguirem ser unidas hibridamente ao Microsoft Entra, faça o seguinte:

-  Verifique se a conta da máquina foi sincronizada com o Microsoft Entra ID por meio do portal do Microsoft Entra. Se sincronizada, **Ainda não unido ao Microsoft Entra ID** aparece, indicando status de registro pendente.

Para sincronizar contas de máquina com o Microsoft Entra ID, certifique-se de que:

-  A conta da máquina esteja na OU configurada para ser sincronizada com o Microsoft Entra ID. Contas de máquina sem o atributo **userCertificate** não são sincronizadas com o Microsoft Entra ID, mesmo que estejam na OU configurada para ser sincronizada.
-  O atributo **userCertificate** seja preenchido na conta da máquina. Use o Active Directory Explorer para visualizar o atributo.
-  O Microsoft Entra Connect deve ter sido sincronizado pelo menos uma vez após a criação da conta da máquina. Caso contrário, execute manualmente o comando `Start-ADSyncSyncCycle -PolicyType Delta` no console do PowerShell da máquina do Microsoft Entra Connect para acionar uma sincronização imediata.

Verifique se o par de chaves do dispositivo gerenciado pelo Citrix para junção híbrida do Microsoft Entra foi corretamente enviado para a máquina, consultando o valor de DeviceKeyPairRestored em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

Verifique se o valor é 1. Caso contrário, as possíveis razões são:
- O IdentityType do pool de identidades associado ao esquema de provisionamento não está definido como HybridAzureAD. Você pode verificar isso executando Get-AcctIdentityPool.
- A máquina não é provisionada usando o mesmo esquema de provisionamento do catálogo de máquinas.
- A máquina não está unida ao domínio local. A junção ao domínio local é um pré-requisito para a junção híbrida do Microsoft Entra.
Verifique as mensagens de diagnóstico executando o comando dsregcmd /status /debug na máquina provisionada pelo MCS.
- Se a junção híbrida do Microsoft Entra for bem-sucedida, AzureAdJoined e DomainJoined são SIM na saída da linha de comando.
- Caso contrário, consulte a documentação da Microsoft para solucionar os problemas: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
- Se você receber a mensagem de erro Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, então execute o seguinte comando PowerShell para reparar o certificado do usuário:
```
 Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate

 
```

Para obter mais informações sobre o problema do certificado do usuário, consulte CTX566696.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Pool de identidades de máquina híbrida ingressada no Microsoft Entra

May 4, 2026

Contribuição de:

C C

May 4, 2026

Contribuição de:

C C

Neste artigo

Isso foi útil?