Citrix DaaS™

Pool de identidades de máquina habilitadas para Microsoft Intune

May 4, 2026

Contribuição de:

C C

Este artigo descreve como criar um pool de identidades de máquina habilitadas para Microsoft Intune usando o Citrix DaaS.

Você pode criar:
Catálogos unidos ao Microsoft Entra inscritos no Microsoft Intune para VMs persistentes e não persistentes, de sessão única e multissessão. Para criar catálogos, consulte Criar catálogos do Microsoft Entra inscritos no Microsoft Intune.
Catálogos unidos ao Microsoft Entra híbrido inscritos no Microsoft Intune para VMs persistentes de sessão única e multissessão usando credenciais de dispositivo com capacidade de cogestão. Para criar catálogos, consulte Criar catálogos unidos ao Microsoft Entra híbrido inscritos no Microsoft Intune. Você também pode criar catálogos unidos ao Microsoft Entra híbrido inscritos no Microsoft Intune para VMs não persistentes de sessão única e multissessão. No entanto, isso está atualmente em Pré-visualização. Consulte Inscrição de VMs não persistentes unidas ao Entra ID Híbrido no Microsoft Intune.
Para obter informações sobre requisitos, limitações e considerações, consulte Microsoft Intune.

Você pode criar catálogos do Microsoft Entra inscritos no Microsoft Intune para VMs persistentes e não persistentes usando o Studio e o PowerShell.

-  Para obter informações sobre requisitos, limitações e considerações, consulte:

-  [Requisitos para catálogos unidos ao Microsoft Entra inscritos no Microsoft Intune](/pt-br/citrix-daas/install-configure/machine-identities/microsoft-intune#requirements-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)
-  [Limitações para catálogos unidos ao Microsoft Entra inscritos no Microsoft Intune](/pt-br/citrix-daas/install-configure/machine-identities/microsoft-intune#limitations-for-microsoft-entra-joined-catalogs-enrolled-in-microsoft-intune)

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas.

No assistente de criação de catálogo:

Na página Identidades da Máquina:
- Selecione Unido ao Microsoft Entra e, em seguida, Inscrever as máquinas no Microsoft Intune. Se ativado, inscreva as máquinas no Microsoft Intune para gerenciamento. Você pode criar catálogos unidos ao Microsoft Entra inscritos no Microsoft Intune para VMs persistentes e não persistentes de sessão única e multissessão. No entanto, para VMs não persistentes, você deve ter a versão do VDA 2407 ou posterior.
- Clique em Selecionar conta de serviço e selecione uma conta de serviço disponível na lista. Se uma conta de serviço adequada não estiver disponível para o locatário do Microsoft Entra ao qual as identidades da máquina se unirão, você poderá criar uma conta de serviço. Para obter informações sobre contas de serviço, consulte Contas de serviço do Microsoft Entra.
  
  Observação:
  
  A conta de serviço que você selecionou pode estar em um status não íntegro devido a vários motivos. Você pode ir para Administradores > Contas de Serviço para visualizar detalhes e corrigir os problemas de acordo com as recomendações. Alternativamente, você pode prosseguir com a operação do catálogo de máquinas e corrigir os problemas mais tarde. Se você não corrigir o problema, dispositivos unidos ao Microsoft Entra ou inscritos no Microsoft Intune obsoletos serão gerados, o que pode bloquear a união das máquinas ao Microsoft Entra.
- Clique em Adicionar Atributos de Extensão para armazenar dados exclusivos e personalizados diretamente nos objetos de dispositivo do Entra ID. Na página Adicionar Atributos de Extensão, adicione Atributos de extensão e Valor.
  Observação:
  - Você pode adicionar um máximo de 15 atributos de extensão.
  - O nome e o valor devem ser exclusivos e não podem estar vazios.

Para alterar ou adicionar atributos de extensão adicionais a um catálogo de máquinas MCS existente, ou adicionar atributos de extensão a um catálogo MCS sem uma conta de serviço, use o assistente Editar Catálogo de Máquinas.

Para alterar ou adicionar atributos de extensão adicionais, navegue até a página Atributos de Extensão de Dispositivo do Microsoft Entra. Clique no ícone de lápis e adicione ou atualize atributos de extensão.
Para adicionar atributos de extensão a um catálogo MCS sem uma conta de serviço do Microsoft Entra:
1. Navegue até a página Conta de Serviço. Selecione uma conta de serviço do Microsoft Entra para o Microsoft Entra ID.
2. Vá para a página Atributos de Extensão de Dispositivo do Microsoft Entra, clique em Adicionar Atributos de Extensão.

A seguir estão as etapas do PowerShell que são equivalentes às operações no Studio.

Para inscrever máquinas no Microsoft Intune usando o SDK do PowerShell Remoto, use o parâmetro DeviceManagementType em New-AcctIdentityPool. Este recurso exige que o catálogo esteja unido ao Microsoft Entra e que o Microsoft Entra ID possua a licença correta do Microsoft Intune. Por exemplo:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType “Intune” IdentityType=”AzureAD” -WorkgroupMachine -IdentityPoolName “AzureADJoinedCatalog” -NamingScheme “AzureAD-VM-##” -NamingSchemeType “Numeric” -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid “81291221-d2f2-49d2-ab12-bae5bbd0df05”

Por exemplo: Para criar um novo pool de identidades com atributos de extensão especificados e associá-lo a uma conta de serviço, execute o seguinte:

New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain “abc.local” -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{“extensionAttribute1” = “val1”; “extensionAttribute2” = “val2”}

Quando uma VM é ligada pela primeira vez, após unir-se ao Microsoft Entra ID, a VM reporta seu deviceId do Entra ID ao MCS.

Por exemplo: Para verificar o EntraIDDeviceID, execute Get-AcctADAccount ou Get-AcctIdentity.

Get-AcctADAccount -IdentityPoolName MyPool

    Após a reinicialização, para VMs persistentes, o `EntraIDDeviceID` permanece o mesmo. Para VMs não persistentes, há um novo `EntraIDDeviceID` após cada reinicialização.

    -  > **Observação:**
    -  >
-  > O MCS remove automaticamente os atributos de extensão associados quando você exclui uma VM do catálogo, mas não a exclui do Azure.

Por exemplo: Para editar atributos de extensão para o catálogo existente, execute o seguinte:

-  > **Observação:**
-  >
>
> -  Após atualizar as VMs do catálogo existente para a versão 2511 do VDA ou posterior, uma reinicialização é necessária. Essa reinicialização permite que a VM reporte seu deviceId do Entra ID ao MCS, permitindo que o MCS configure os atributos de extensão da VM.
> -  O catálogo existente deve ter uma conta de serviço do tipo AzureAD com a permissão "Device.ReadWrite.All".

-  Para adicionar novos atributos:

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Para remover alguns atributos existentes:

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = “”; extensionAttribute2 = “”}

Set-AcctIdentityPool também atualiza os atributos de extensão do dispositivo Entra ID para VMs que já estão unidas ao Entra ID e possuem um valor EntraIDDeviceID em suas identidades.

Por exemplo: Para criar um catálogo do Microsoft Entra inscrito no Microsoft Intune usando uma imagem preparada:

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Se as máquinas não conseguirem se inscrever no Microsoft Intune, faça o seguinte:

Verifique se as máquinas provisionadas pelo MCS estão unidas ao Microsoft Entra. As máquinas não conseguem se inscrever no Microsoft Intune se não estiverem unidas ao Microsoft Entra. Consulte Solução de problemas para solucionar problemas de união ao Microsoft Entra.
Verifique se o seu locatário do Microsoft Entra está atribuído com a licença Intune apropriada. Consulte https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses para obter os requisitos de licença do Microsoft Intune.
Para catálogos que usam imagens mestre com VDA versão 2206 ou anterior, verifique o status de provisionamento da extensão AADLoginForWindows para as máquinas. Se a extensão AADLoginForWindows não existir, as possíveis razões são:
- IdentityType do pool de identidades associado ao esquema de provisionamento não está definido como AzureAD ou DeviceManagementType não está definido como Intune. Você pode verificar isso executando Get-AcctIdentityPool.
- A política do Azure bloqueou a instalação da extensão AADLoginForWindows.
Para solucionar falhas de provisionamento da extensão AADLoginForWindows, você pode verificar os logs em C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows na máquina provisionada pelo MCS.

Nota:

O MCS não depende da extensão AADLoginForWindows para unir uma VM ao Microsoft Entra ID e inscrevê-la no Microsoft Intune ao usar uma imagem mestre com VDA versão 2209 ou posterior. Neste caso, a extensão AADLoginForWindows não é instalada na máquina provisionada pelo MCS. Portanto, os logs de provisionamento da extensão AADLoginForWindows não podem ser coletados.
Verifique os logs de eventos do Windows em Logs de Aplicativos e Serviços > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider.
A conta de serviço que você selecionou pode estar em um status não íntegro devido a várias razões. Você pode ir para Administradores > Contas de Serviço para visualizar detalhes e corrigir os problemas de acordo com as recomendações. Se você não corrigir o problema, dispositivos Microsoft Entra unidos ou Microsoft Intune inscritos obsoletos serão gerados, o que pode bloquear a união das máquinas ao Microsoft Entra.

Você pode criar catálogos habilitados para cogestão para catálogos unidos ao Microsoft Entra híbrido inscritos no Microsoft Intune para VMs persistentes de sessão única e multi-sessão. Você pode criar catálogos habilitados para cogestão usando o Studio e o PowerShell.

Para obter informações sobre requisitos, limitações e considerações, consulte:

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas.

No assistente Configuração do Catálogo de Máquinas:

Na página Identidades da Máquina, selecione Unido ao Microsoft Entra híbrido e, em seguida, Inscrever as máquinas no Microsoft Intune com o Configuration Manager. Usando esta ação, o Configuration Manager e o Microsoft Intune (ou seja, cogestionados) gerenciam as VMs.
Clique em Adicionar Atributos de Extensão para armazenar dados exclusivos e personalizados diretamente nos objetos de dispositivo do Entra ID. Na página Adicionar Atributos de Extensão, adicione Atributos de extensão e Valor.
Nota:
- Você pode adicionar um máximo de 15 atributos de extensão.
  - O nome e o valor devem ser únicos e não podem estar vazios.

Para alterar ou adicionar atributos de extensão adicionais, navegue até a página Atributos de Extensão de Dispositivo do Microsoft Entra. Clique no ícone de lápis e adicione ou atualize os atributos de extensão.
Para adicionar atributos de extensão a um catálogo MCS sem uma conta de serviço do Microsoft Entra:
1. Navegue até a página Conta de Serviço. Selecione uma conta de serviço do Microsoft Entra para o Microsoft Intra ID.
2. Vá para a página Atributos de Extensão de Dispositivo do Microsoft Entra, clique em Adicionar Atributos de Extensão.

A seguir estão as etapas do PowerShell equivalentes às etapas no Studio.

Para inscrever máquinas no Microsoft Intune com o Configuration Manager usando o SDK do PowerShell Remoto, use o parâmetro DeviceManagementType em New-AcctIdentityPool. Este recurso exige que o catálogo seja unido ao Microsoft Entra híbrido e que o Microsoft Entra ID possua a licença correta do Microsoft Intune.

A diferença entre catálogos unidos ao Microsoft Entra híbrido e os habilitados para cogestão reside na criação do pool de identidades. Por exemplo:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType “IntuneWithSCCM” IdentityType=”HybridAzureAD” -IdentityPoolName “CoManagedCatalog” -NamingScheme “CoManaged-VM-##” -NamingSchemeType “Numeric” -Scope @() -ZoneUid “81291221-d2f2-49d2-ab12-bae5bbd0df05”

Por exemplo: Para criar um novo pool de identidades com atributos de extensão especificados e associá-lo a uma conta de serviço, execute o seguinte:

New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain “abc.local” -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{“extensionAttribute1” = “val1”; “extensionAttribute2” = “val2”}

Quando uma VM é ligada pela primeira vez, após se unir ao Microsoft Entra ID, a VM reporta seu deviceId do Entra ID ao MCS.

Por exemplo: Para verificar o EntraIDDeviceID, execute Get-AcctADAccount ou Get-AcctIdentity.

Get-AcctADAccount -IdentityPoolName MyPool

Após a reinicialização, para VMs persistentes e não persistentes, o EntraIDDeviceID permanece o mesmo.

Nota:

O MCS remove automaticamente os IDs de dispositivo associados e os atributos de extensão quando você exclui uma VM do catálogo, mas não a exclui do Azure.

Por exemplo: Para editar atributos de extensão para o catálogo existente, execute o seguinte:

Nota:

Após atualizar as VMs do catálogo existente para a versão VDA 2511 ou posterior, uma reinicialização é necessária. Essa reinicialização permite que a VM relate seu ID de dispositivo Entra ID ao MCS, permitindo que o MCS configure os atributos de extensão da VM.

O catálogo existente deve ter uma conta de serviço do tipo AzureAD com a permissão “Device.ReadWrite.All”.

Para adicionar novos atributos:

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{“extensionAttribute1” = “val1”; “extensionAttribute2” = “val2”}

Para remover alguns atributos existentes

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = “”; extensionAttribute2 = “”}

Set-AcctIdentityPool também atualiza os atributos de extensão do dispositivo Entra ID para VMs que já estão ingressadas no Entra ID e possuem um valor EntraIDDeviceID em suas identidades.

Você também pode criar um catálogo persistente do Hybrid Microsoft Entra inscrito no Microsoft Intune usando uma imagem preparada. Para o conjunto completo de comandos do PowerShell para criar definição de imagem, versão de imagem e especificação de versão de imagem preparada, consulte:

Ambiente de virtualização do Azure: Usar PowerShell.
Ambiente de virtualização do VMware: Usar PowerShell

Após criar a especificação da versão da imagem preparada, crie o pool de identidades e o catálogo de máquinas. Por exemplo:

New-AcctIdentityPool -IdentityPoolName “mypool” -NamingScheme ACC## -NamingSchemeType “Numeric” -ZoneUid $zoneuid -Domain $domainName -OU “OU=HAAD Computers,DC=haad,DC=link” -IdentityType “HybridAzureAD” -DeviceManagement IntuneWithSCCM

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Nota:

O registro de VMs não persistentes ingressadas no Microsoft Entra híbrido no Microsoft Intune está atualmente em pré-visualização.

Se as máquinas falharem ao se registrar no Microsoft Intune ou falharem ao atingir o estado de cogestão, faça o seguinte:

Verificar licença do Intune

Verifique se o seu locatário do Microsoft Entra está atribuído com a licença Intune apropriada. Consulte Licenciamento do Microsoft Intune para os requisitos de licença do Microsoft Intune.
Verificar status de ingresso do Hybrid Microsoft Entra

Verifique se as máquinas provisionadas pelo MCS estão ingressadas no Microsoft Entra híbrido. As máquinas não são elegíveis para cogestão se não estiverem ingressadas no Microsoft Entra híbrido. Consulte Solução de problemas para solucionar problemas de ingresso do Hybrid Microsoft Entra.
Verificar elegibilidade para cogestão
- Verifique se as máquinas provisionadas pelo MCS estão atribuídas corretamente ao site esperado do Configuration Manager. Para obter o site atribuído, execute o seguinte comando do PowerShell nas máquinas afetadas.
```
 (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()

 
```
Se nenhum site estiver atribuído à VM, use o seguinte comando para verificar se o site do Configuration Manager pode ser descoberto automaticamente.
```
 ```

 (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()

  ```
```
Certifique-se de que os limites e grupos de limites estejam bem configurados em seu ambiente do Configuration Manager se nenhum código de site puder ser descoberto. Consulte Considerações para obter detalhes.
- Verifique C:\Windows\CCM\Logs\ClientLocation.log para quaisquer problemas de atribuição de site do cliente do Configuration Manager.
- Verifique os estados de cogestão das máquinas. Abra o painel de controle do Configuration Manager nas máquinas afetadas e vá para a guia Geral. O valor da propriedade Cogestão deve ser Habilitado. Caso contrário, verifique os logs em C:\Windows\CCM\Logs\CoManagementHandler.log.
Verificar registro do Intune

As máquinas podem falhar ao se registrar no Microsoft Intune mesmo que todos os pré-requisitos forem atendidos. Verifique os logs de eventos do Windows em Logs de Aplicativos e Serviços > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider para problemas de registro do Intune.
Contas de serviço para gerenciamento de identidade de máquina
Contas de serviço do Microsoft Entra

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Pool de identidades de máquina habilitadas para Microsoft Intune

May 4, 2026

Contribuição de:

C C

May 4, 2026

Contribuição de:

C C

Neste artigo

Isso foi útil?