Pool de identidades da identidade do computador habilitado para Microsoft Intune
Observação:
Desde julho de 2023, a Microsoft renomeou o Azure Active Directory (Azure AD) para Microsoft Entra ID. Neste documento, qualquer referência ao Azure Active Directory, Azure AD ou AAD agora se refere à ID do Microsoft Entra.
Este artigo descreve como criar um pool de identidades de identidade de máquina habilitada para Microsoft Intune usando o Citrix DaaS.
Você pode criar:
- Catálogos ingressados no Azure AD registrados no Microsoft Intune para VMs persistentes e não persistentes, de sessão única e de várias sessões. Para criar catálogos, consulte Criar catálogos do Azure AD registrados no Microsoft Intune.
- Catálogos ingressados no Azure AD híbrido registrados no Microsoft Intune para VMs persistentes de uma e várias sessões usando a credencial do dispositivo com capacidade de cogerenciamento. Para criar catálogos, consulte Criar catálogos ingressados no Azure AD híbrido registrados no Microsoft Intune. Você também pode criar catálogos ingressados no Azure AD híbrido registrados no Microsoft Intune para VMs não persistentes de uma e várias sessões. No entanto, isso está atualmente em Visualização. Ver Registro de VMs não persistentes ingressadas na ID do Entra Híbrida no Microsoft Intune.
Para obter informações sobre requisitos, limitações e considerações, consulte Microsoft Intune.
Criar catálogos do Azure AD registrados no Microsoft Intune
Você pode criar catálogos do Azure AD registrados no Microsoft Intune para VMs persistentes e não persistentes usando o Studio e o PowerShell.
Para obter informações sobre requisitos, limitações e considerações, consulte:
- Requisitos para catálogos ingressados no Azure AD registrados no Microsoft Intune
- Limitações para catálogos ingressados no Azure AD registrados no Microsoft Intune
Usar o Studio
As informações a seguir são um complemento às orientações em Criar catálogos de máquinas.
No assistente de criação de catálogo:
-
No Identidades de máquina página:
- Selecionar Ingressado no Azure Active Directory e então Registrar os computadores no Microsoft Intune. Se habilitado, registre os computadores em Microsoft Intune para gerenciamento. Você pode criar catálogos ingressados no Azure AD registrados no Microsoft Intune para VMs persistentes e não persistentes de sessão única e de várias sessões. No entanto, para VMs não persistentes, você deve ter a versão do VDA como 2407 ou posterior.
-
Clique Selecione a conta de serviço e selecione uma conta de serviço disponível na lista. Se uma conta de serviço adequada não estiver disponível para o locatário do Azure AD ao qual as identidades do computador ingressarão, você poderá criar uma conta de serviço. Para obter informações sobre a conta de serviço, consulte Contas de serviço do Azure AD.
Observação:
A conta de serviço que você selecionou pode estar em um status não íntegro devido a vários motivos. Você pode ir para Administradores > Contas de serviço Para Ver detalhes e corrija os problemas de acordo com as recomendações. Como alternativa, você pode prosseguir com a operação do catálogo de máquinas e corrigir os problemas posteriormente. Se você não corrigir o problema, serão gerados dispositivos obsoletos ingressados no Azure AD ou registrados no Microsoft Intune, o que pode bloquear a entrada das máquinas no Azure AD.
Usar o PowerShell
Veja a seguir as etapas do PowerShell que são equivalentes às operações no Studio.
Para registrar computadores no Microsoft Intune usando o SDK do PowerShell Remoto, use o Tipo de gerenciamento de dispositivos parâmetro em New-AcctIdentityPool. Esse recurso requer que o catálogo seja ingressado no Azure AD e que o Azure AD possua a licença correta do Microsoft Intune. Por exemplo:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
Exemplo para criar um catálogo do Azure AD registrado no Microsoft Intune usando uma imagem preparada:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
Solucionar problemas
Se os computadores não conseguirem se registrar no Microsoft Intune, faça o seguinte:
-
Verifique se os computadores provisionados pelo MCS estão ingressados no Azure AD. Os computadores não serão registrados no Microsoft Intune se não estiverem ingressados no Azure AD. Ver Solucionar problemas para solucionar problemas de ingresso no Azure AD.
-
Verifique se o locatário do Azure AD está atribuído com a licença apropriada do Intune. Ver https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses para requisitos de licença do Microsoft Intune.
-
Para catálogos que usam imagens principais com VDA versão 2206 ou anterior, verifique o status de provisionamento do AADLoginForWindows extensão para as máquinas. Se o AADLoginForWindows extensão não existe, os possíveis motivos são:
-
Tipo de identidadedo pool de identidades associado ao esquema de provisionamento não está definido comoAzureADouTipo de gerenciamento de dispositivosnão está definido comoIntune. Você pode verificar isso executandoGet-AcctIdentityPool. -
A política do Azure bloqueou o AADLoginForWindows instalação de extensão.
-
-
Para solucionar problemas AADLoginForWindows falhas de provisionamento de extensão, você pode verificar os logs em
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowsna máquina provisionada do MCS.Observação:
O MCS não se baseia no
AADLoginForWindowspara ingressar uma VM no Azure AD e se registrar no Microsoft Intune ao usar uma imagem mestra com o VDA versão 2209 ou posterior. Nesse caso, oAADLoginForWindowsextension não está instalada na máquina provisionada pelo MCS. PortantoAADLoginForWindowsOs logs de provisionamento de extensão não podem ser coletados. -
Verifique os logs de eventos do Windows em Logs de aplicativos e serviços > Microsoft > Windows > Provedor de diagnóstico corporativo de gerenciamento de dispositivos.
-
A conta de serviço que você selecionou pode estar em um status não íntegro devido a vários motivos. Você pode ir para Administradores > Contas de serviço Para Ver detalhes e corrija os problemas de acordo com as recomendações. Se você não corrigir o problema, serão gerados dispositivos obsoletos ingressados no Azure AD ou registrados no Microsoft Intune, o que pode bloquear a entrada das máquinas no Azure AD.
Criar catálogos ingressados no Azure AD híbrido registrados no Microsoft Intune
Você pode criar catálogos habilitados para cogerenciamento para catálogos ingressados no Azure AD híbrido registrados no Microsoft Intune para VMs persistentes de uma e várias sessões. Você pode criar catálogos habilitados para cogerenciamento usando o Studio e o PowerShell.
Para obter informações sobre requisitos, limitações e considerações, consulte:
- Requisitos para catálogos ingressados no Azure AD híbrido registrados no Microsoft Intune
- Limitações para catálogos ingressados no Azure AD híbrido registrados no Microsoft Intune
Usar o Studio
As informações a seguir são um complemento às orientações em Criar catálogos de máquinas.
No Configuração do catálogo de máquinas mago:
- No Identidades de máquina , selecione Azure Active Directory híbrido ingressado no Azure Active Directory e então Registrar os computadores no Microsoft Intune com o Configuration Manager. Usando essa ação, o Configuration Manager e o Microsoft Intune (ou seja, cogerenciados) gerenciam as VMs.
Usar o PowerShell
Veja a seguir as etapas do PowerShell equivalentes às etapas no Studio.
Para registrar computadores no Microsoft Intune com o Configuration Manager usando o SDK do PowerShell Remoto, use o Tipo de gerenciamento de dispositivos parâmetro em New-AcctIdentityPool. Esse recurso requer que o catálogo seja ingressado no Azure AD híbrido e que o Azure AD possua a licença correta do Microsoft Intune.
A diferença entre os catálogos ingressados no Azure AD híbrido e os habilitados para cogerenciamento está na criação do pool de identidades. Por exemplo:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
Solucionar problemas
Se os computadores não conseguirem se registrar no Microsoft Intune ou não conseguirem alcançar o estado de cogerenciamento, faça o seguinte:
-
Verificar a licença do Intune
Verifique se o locatário do Azure AD está atribuído com a licença apropriada do Intune. Ver Licenciamento do Microsoft Intune para requisitos de licença do Microsoft Intune.
-
Verificar o status de ingresso no Azure AD híbrido
Verifique se os computadores provisionados pelo MCS estão ingressados no Azure AD híbrido. Os computadores não estarão qualificados para cogerenciamento se não tiverem ingressado no Azure AD híbrido. Ver Solucionar problemas para solucionar problemas de ingresso no Azure AD híbrido.
-
Verificar a elegibilidade do cogerenciamento
-
Verifique se os computadores provisionados pelo MCS estão corretamente atribuídos ao site esperado do Configuration Manager. Para obter o site atribuído, execute o seguinte comando do PowerShell nos computadores afetados.
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() -
Se nenhum site for atribuído à VM, use o comando a seguir para verificar se o site do Configuration Manager pode ser descoberto automaticamente.
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() -
Verifique se os limites e os grupos de limites estão bem configurados em seu ambiente do Configuration Manager se nenhum código de site puder ser descoberto. Ver Considerações para obter detalhes.
-
Verificar
C:\Windows\CCM\Logs\ClientLocation.logpara quaisquer problemas de atribuição de site do cliente do Configuration Manager. -
Verifique os estados de cogerenciamento das máquinas. Abra o arquivo Painel de controle do Configuration Manager nas máquinas afetadas e vá para o Geral guia. O valor da propriedade de cogestão deve ser Habilitado. Caso contrário, verifique os logs em
C:\Windows\CCM\Logs\CoManagementHandler.log.
-
-
Verificar o registro do Intune
Os computadores podem falhar ao se registrar no Microsoft Intune mesmo que todos os pré-requisitos sejam atendidos. Verifique os logs de eventos do Windows em Logs de aplicativos e serviços > Microsoft > Windows > Provedor de diagnóstico corporativo de gerenciamento de dispositivos para problemas de registro do Intune.