Documentação de produtos

Ingressado no Hybrid Azure Active Directory

May 31, 2026
Contribuição de: 
C

Nota:

Desde julho de 2023, a Microsoft renomeou o Azure Active Directory (Azure AD) para Microsoft Entra ID. Neste documento, qualquer referência a Azure Active Directory, Azure AD ou AAD agora se refere a Microsoft Entra ID.

Este artigo descreve os requisitos para criar um pool de identidades de catálogos ingressados no Hybrid Azure Active Directory (HAAD) e catálogos ingressados no Hybrid Azure AD registrados no Microsoft Intune, além dos requisitos descritos na seção de requisitos do sistema.

Máquinas ingressadas no Hybrid Azure AD usam o AD local como provedor de autenticação. Você pode atribuí-las a usuários ou grupos de domínio no AD local. Para habilitar a experiência de SSO contínuo do Azure AD, você precisa ter os usuários de domínio sincronizados com o Azure AD.

Nota:

VMs ingressadas no Hybrid Azure AD são suportadas em infraestruturas de identidade federadas e gerenciadas.

Requisitos para Hybrid Azure Active Directory ingressado

  • Tipo de VDA: Sessão única (somente desktops) ou multi-sessão (aplicativos e desktops)
  • Versão do VDA: 2212 ou posterior
  • Tipo de provisionamento: Machine Creation Services™ (MCS), Persistente e Não persistente
  • Tipo de atribuição: Dedicado e agrupado
  • Plataforma de hospedagem: Qualquer hipervisor ou serviço de nuvem

Limitações para Hybrid Azure Active Directory ingressado

  • Se o Citrix Federated Authentication Service (FAS) for usado, o logon único será direcionado para o AD local em vez do Azure AD. Neste caso, é recomendado configurar a autenticação baseada em certificado do Azure AD para que o token de atualização primário (PRT) seja gerado no logon do usuário, o que facilita o logon único para recursos do Azure AD dentro da sessão. Caso contrário, o PRT não estará presente e o SSO para recursos do Azure AD não funcionará. Para obter informações sobre como obter o logon único (SSO) do Azure AD para VDAs híbridos usando o Citrix Federated Authentication Service (FAS), consulte VDAs híbridos.
  • Não ignore a preparação da imagem ao criar ou atualizar catálogos de máquinas. Se você quiser ignorar a preparação da imagem, certifique-se de que as VMs mestras não estejam ingressadas no Azure AD ou no Azure AD Híbrido.

Considerações para máquinas ingressadas no Azure Active Directory Híbrido

  • A criação de máquinas ingressadas no Azure Active Directory Híbrido requer a permissão Write userCertificate no domínio de destino. Certifique-se de inserir as credenciais de um administrador com essa permissão durante a criação do catálogo.

  • O processo de ingresso no Azure AD Híbrido é gerenciado pela Citrix. Você precisa desabilitar autoWorkplaceJoin controlado pelo Windows nas VMs mestras da seguinte forma. A tarefa de desabilitar manualmente autoWorkplaceJoin é necessária apenas para a versão 2212 ou anterior do VDA.

    1. Execute gpedit.msc.
    2. Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Registro de Dispositivo.
    3. Defina Registrar computadores ingressados no domínio como dispositivos como Desabilitado.

  • Selecione a Unidade Organizacional (OU) que está configurada para ser sincronizada com o Azure AD ao criar as identidades da máquina.

  • Para VM mestra baseada no Windows 11 22H2, crie uma tarefa agendada na VM mestra que executa os seguintes comandos na inicialização do sistema usando a conta SYSTEM. Esta tarefa de agendamento de uma tarefa na VM mestra é necessária apenas para a versão 2212 ou anterior do VDA.

     $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
 $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
 $MaxCount = 60

 for ($count = 1; $count -le $MaxCount; $count++)
 {
   if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
   {
     $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
     if ($provider -eq 'Citrix')
     {
         break;
     }

     if ($provider -eq 1)
     {
         Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
         Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
         Start-Sleep 5
         dsregcmd /join
         break
     }
   }

   Start-Sleep 1
 }
 <!--NeedCopy-->
  • Por padrão, o Azure AD Connect sincroniza a cada 30 minutos. As máquinas provisionadas podem levar até 30 minutos para serem ingressadas no Azure AD Híbrido durante a primeira inicialização.

Catálogos ingressados no Azure AD Híbrido registrados no Microsoft Intune

Catálogos ingressados no Azure AD Híbrido, VMs persistentes de sessão única e multi-sessão, registrados no Microsoft Intune usam as credenciais do dispositivo com capacidade de cogestão.

A cogestão permite gerenciar simultaneamente dispositivos Windows 10 ou posteriores usando o Configuration Manager e o Microsoft Intune. Para obter mais informações, consulte Cogestão.

Pré-requisitos para catálogos ingressados no Azure AD Híbrido registrados no Microsoft Intune

Antes de habilitar este recurso, verifique se:

  • Seu ambiente Azure atende aos requisitos de licenciamento para usar o Microsoft Intune. Para obter mais informações, consulte a documentação da Microsoft.
  • Você tem uma implantação válida do Configuration Manager com o gerenciamento conjunto habilitado. Para obter mais informações, consulte a documentação da Microsoft.

Requisitos para catálogos unidos ao Azure AD Híbrido inscritos no Microsoft Intune

  • Tipo de VDA: Sessão única ou multi-sessão
  • Versão do VDA: 2407 ou posterior
  • Tipo de provisionamento: Machine Creation Service (MCS), Persistente. Catálogos unidos ao Azure AD Híbrido inscritos no Microsoft Intune para VMs não persistentes de sessão única e multi-sessão estão atualmente em Pré-visualização. Consulte Inscrição de VMs não persistentes unidas ao Hybrid Entra ID no Microsoft Intune.
  • Tipo de atribuição: Dedicado e agrupado
  • Plataforma de hospedagem: Qualquer hipervisor ou serviço de nuvem

Limitações para catálogos unidos ao Azure AD Híbrido inscritos no Microsoft Intune

  • Não pule a preparação da imagem ao criar ou atualizar catálogos de máquinas.
  • O gerenciamento de cliente baseado na Internet (IBCM) do Configuration Manager não é suportado.

Considerações para catálogos unidos ao Azure AD Híbrido inscritos no Microsoft Intune

  • A inscrição no Intune pode ser atrasada se muitas máquinas no catálogo forem ligadas simultaneamente.

    A Microsoft impõe uma restrição de inscrição no Intune por locatário que limita o número de dispositivos que podem ser inscritos dentro de um período de tempo específico. O número permitido de dispositivos varia dependendo do número de licenças do Microsoft Intune associadas ao locatário. Consulte sua equipe de contas da Microsoft para descobrir o limite permitido para seu locatário. Essa abordagem ajuda a inscrição no Microsoft Intune a escalar melhor para grandes ambientes.

    Para máquinas persistentes, pode haver um tempo de espera inicial necessário para que todos os dispositivos concluam a inscrição no Intune.

    Para máquinas não persistentes, considere limitar as ações de energia simultâneas no Autoscale™ ou nas ações de energia manuais.

  • Configure o Cloud Attach do Configuration Manager. Para obter mais informações, consulte a documentação da Microsoft.
  • Instale manualmente o cliente do Configuration Manager na VM mestre sem atribuir o código do site com .\CCMSetup.exe /mp:SCCMServer /logon FSP=SCCMServer. O SCCMServer é o nome do servidor SCCM em seu ambiente. Para obter mais informações, consulte a documentação da Microsoft.

  • As máquinas criadas pelo MCS usam o mecanismo de atribuição automática de site para encontrar grupos de limites de site que são publicados nos Serviços de Domínio do Active Directory. Certifique-se de que os limites e grupos de limites do Configuration Manager estejam configurados em seu ambiente. Se a atribuição automática de site não estiver disponível, um código de site estático do Configuration Manager pode ser configurado na VM mestre por meio da seguinte configuração de registro:

    Chave:

     HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
 <!--NeedCopy-->

    Nome do valor: MdmSccmSiteCode

    Tipo de valor: String

    Dados do valor: the site code to be assigned

Onde ir a seguir

Para obter mais informações sobre a criação de pool de identidades de catálogos unidos ao Hybrid Azure Active Directory, consulte Pool de identidades de identidade de máquina unida ao Hybrid Azure Active Directory.

Ingressado no Hybrid Azure Active Directory
May 31, 2026
Contribuição de: 
C
May 31, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.