Citrix DaaS

Pool de identidades da identidade do computador habilitado para Microsoft Intune

Observação:

Desde julho de 2023, a Microsoft renomeou o Azure Active Directory (Azure AD) para Microsoft Entra ID. Neste documento, qualquer referência ao Azure Active Directory, Azure AD ou AAD agora se refere à ID do Microsoft Entra.

Este artigo descreve como criar um pool de identidades de identidade de máquina habilitada para Microsoft Intune usando o Citrix DaaS.

Você pode criar:

Para obter informações sobre requisitos, limitações e considerações, consulte Microsoft Intune.

Criar catálogos do Azure AD registrados no Microsoft Intune

Você pode criar catálogos do Azure AD registrados no Microsoft Intune para VMs persistentes e não persistentes usando o Studio e o PowerShell.

Usar o Studio

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas.

No assistente de criação de catálogo:

  • No Identidades de máquina página:

    • Selecionar Ingressado no Azure Active Directory e então Registrar os computadores no Microsoft Intune. Se habilitado, registre os computadores em Microsoft Intune para gerenciamento. Você pode criar catálogos ingressados no Azure AD registrados no Microsoft Intune para VMs persistentes e não persistentes de sessão única e de várias sessões. No entanto, para VMs não persistentes, você deve ter a versão do VDA como 2407 ou posterior.
    • Clique Selecione a conta de serviço e selecione uma conta de serviço disponível na lista. Se uma conta de serviço adequada não estiver disponível para o locatário do Azure AD ao qual as identidades do computador ingressarão, você poderá criar uma conta de serviço. Para obter informações sobre a conta de serviço, consulte Contas de serviço do Azure AD.

      Observação:

      A conta de serviço que você selecionou pode estar em um status não íntegro devido a vários motivos. Você pode ir para Administradores > Contas de serviço Para Ver detalhes e corrija os problemas de acordo com as recomendações. Como alternativa, você pode prosseguir com a operação do catálogo de máquinas e corrigir os problemas posteriormente. Se você não corrigir o problema, serão gerados dispositivos obsoletos ingressados no Azure AD ou registrados no Microsoft Intune que podem bloquear o ingresso no Azure AD dos computadores.

Usar o PowerShell

Veja a seguir as etapas do PowerShell que são equivalentes às operações no Studio.

Para registrar computadores no Microsoft Intune usando o SDK do PowerShell Remoto, use o Tipo de gerenciamento de dispositivos parâmetro em New-AcctIdentityPool. Esse recurso requer que o catálogo seja ingressado no Azure AD e que o Azure AD possua a licença correta do Microsoft Intune. Por exemplo:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Solucionar problemas

Se os computadores não conseguirem se registrar no Microsoft Intune, faça o seguinte:

  • Verifique se os computadores provisionados pelo MCS estão ingressados no Azure AD. Os computadores não serão registrados no Microsoft Intune se não estiverem ingressados no Azure AD. Ver Solucionar problemas para solucionar problemas de ingresso no Azure AD.

  • Verifique se o locatário do Azure AD está atribuído com a licença apropriada do Intune. Ver https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses para requisitos de licença do Microsoft Intune.

  • Para catálogos que usam imagens principais com VDA versão 2206 ou anterior, verifique o status de provisionamento do AADLoginForWindows extensão para as máquinas. Se o AADLoginForWindows extensão não existe, os possíveis motivos são:

    • Tipo de identidade do pool de identidades associado ao esquema de provisionamento não está definido como AzureAD ou Tipo de gerenciamento de dispositivos não está definido como Intune. Você pode verificar isso executando Get-AcctIdentityPool.

    • A política do Azure bloqueou o AADLoginForWindows instalação de extensão.

  • Para solucionar problemas AADLoginForWindows falhas de provisionamento de extensão, você pode verificar os logs em C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows na máquina provisionada do MCS.

    Observação:

    O MCS não se baseia no AADLoginForWindows para ingressar uma VM no Azure AD e se registrar no Microsoft Intune ao usar uma imagem mestra com o VDA versão 2209 ou posterior. Nesse caso, o AADLoginForWindows extension não está instalada na máquina provisionada pelo MCS. Portanto AADLoginForWindows Os logs de provisionamento de extensão não podem ser coletados.

  • Verifique os logs de eventos do Windows em Logs de aplicativos e serviços > Microsoft > Windows > Provedor de diagnóstico corporativo de gerenciamento de dispositivos.

  • A conta de serviço que você selecionou pode estar em um status não íntegro devido a vários motivos. Você pode ir para Administradores > Contas de serviço Para Ver detalhes e corrija os problemas de acordo com as recomendações. Se você não corrigir o problema, serão gerados dispositivos obsoletos ingressados no Azure AD ou registrados no Microsoft Intune que podem bloquear o ingresso no Azure AD dos computadores.

Criar catálogos ingressados no Azure AD híbrido registrados no Microsoft Intune

Você pode criar catálogos habilitados para cogerenciamento para catálogos ingressados no Azure AD híbrido registrados no Microsoft Intune para VMs persistentes de uma e várias sessões. Você pode criar catálogos habilitados para cogerenciamento usando o Studio e o PowerShell.

Usar o Studio

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas.

No Configuração do catálogo de máquinas mago:

  • No Identidades de máquina , selecione Azure Active Directory híbrido ingressado no Azure Active Directory e então Registrar os computadores no Microsoft Intune com o Configuration Manager. Usando essa ação, o Configuration Manager e o Microsoft Intune (ou seja, cogerenciados) gerenciam as VMs.

Usar o PowerShell

Veja a seguir as etapas do PowerShell equivalentes às etapas no Studio.

Para registrar computadores no Microsoft Intune com o Configuration Manager usando o SDK do PowerShell Remoto, use o Tipo de gerenciamento de dispositivos parâmetro em New-AcctIdentityPool. Esse recurso requer que o catálogo seja ingressado no Azure AD híbrido e que o Azure AD possua a licença correta do Microsoft Intune.

A diferença entre os catálogos ingressados no Azure AD híbrido e os habilitados para cogerenciamento está na criação do pool de identidades. Por exemplo:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Solucionar problemas

Se os computadores não conseguirem se registrar no Microsoft Intune ou não conseguirem alcançar o estado de cogerenciamento, faça o seguinte:

  • Verificar a licença do Intune

    Verifique se o locatário do Azure AD está atribuído com a licença apropriada do Intune. Ver Licenciamento do Microsoft Intune para requisitos de licença do Microsoft Intune.

  • Verificar o status de ingresso no Azure AD híbrido

    Verifique se os computadores provisionados pelo MCS estão ingressados no Azure AD híbrido. Os computadores não estarão qualificados para cogerenciamento se não tiverem ingressado no Azure AD híbrido. Ver Solucionar problemas para solucionar problemas de ingresso no Azure AD híbrido.

  • Verificar a elegibilidade do cogerenciamento

    • Verifique se os computadores provisionados pelo MCS estão corretamente atribuídos ao site esperado do Configuration Manager. Para obter o site atribuído, execute o seguinte comando do PowerShell nos computadores afetados.

         (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
       <!--NeedCopy-->
      
    • Se nenhum site for atribuído à VM, use o comando a seguir para verificar se o site do Configuration Manager pode ser descoberto automaticamente.

         (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
       <!--NeedCopy-->
      
    • Verifique se os limites e os grupos de limites estão bem configurados em seu ambiente do Configuration Manager se nenhum código de site puder ser descoberto. Ver Considerações para obter detalhes.

    • Verificar C:\Windows\CCM\Logs\ClientLocation.log para quaisquer problemas de atribuição de site do cliente do Configuration Manager.

    • Verifique os estados de cogerenciamento das máquinas. Abra o arquivo Painel de controle do Configuration Manager nas máquinas afetadas e vá para o Geral guia. O valor da propriedade de cogestão deve ser Habilitado. Caso contrário, verifique os logs em C:\Windows\CCM\Logs\CoManagementHandler.log.

  • Verificar o registro do Intune

    Os computadores podem falhar ao se registrar no Microsoft Intune mesmo que todos os pré-requisitos sejam atendidos. Verifique os logs de eventos do Windows em Logs de aplicativos e serviços > Microsoft > Windows > Provedor de diagnóstico corporativo de gerenciamento de dispositivos para problemas de registro do Intune.

Mais informações

Pool de identidades da identidade do computador habilitado para Microsoft Intune