-
-
Criar e gerenciar conexões e recursos
-
Pools de identidade de diferentes tipos de associação de identidade de máquina
-
Pool de identidade de máquina associada ao Active Directory local
-
Pool de identidade de máquina associada ao Azure Active Directory Híbrido
-
-
Serviço Citrix Secure Ticketing Authority (STA) Autônomo do Cloud Connector
-
-
-
-
-
-
Coletar um Rastreamento do Citrix Diagnostic Facility (CDF) na Inicialização do Sistema
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Pool de identidades de máquinas ingressadas no Azure Active Directory Híbrido
Observação:
Desde julho de 2023, a Microsoft renomeou o Azure Active Directory (Azure AD) para Microsoft Entra ID. Neste documento, qualquer referência a Azure Active Directory, Azure AD ou AAD agora se refere a Microsoft Entra ID.
Este artigo descreve como criar um pool de identidades de:
- Catálogos ingressados no Azure Active Directory (AD) Híbrido
- Catálogos ingressados no Azure AD Híbrido e registrados no Microsoft Intune
Para obter informações sobre requisitos, limitações e considerações, consulte Ingressado no Azure Active Directory Híbrido.
Criar catálogos ingressados no Azure Active Directory (AD) Híbrido
Usar o Web Studio
As informações a seguir são um complemento às orientações em Criar catálogos de máquinas.
Na página “Identidades da Máquina” do assistente de criação de catálogo:
-
Selecione Ingressado no Azure Active Directory Híbrido. As máquinas criadas são de propriedade de uma organização e são acessadas com uma conta do Active Directory que pertence a essa organização.
-
Para registrar as máquinas criadas no Microsoft Intune (incluindo o Configuration Manager) para gerenciamento de dispositivos, selecione Registrar as máquinas no Microsoft Intune com o Configuration Manager. Para evitar erros durante a criação do catálogo, certifique-se de que a imagem mestre atenda aos seguintes requisitos:
- Tenha a versão 2405 ou posterior do VDA instalada.
- Tenha o cliente do Configuration Manager instalado com o código do site não atribuído. Para obter mais informações, consulte este artigo da Microsoft.
Observação:
Se você selecionar Ingressado no Azure Active Directory Híbrido como o tipo de identidade, cada máquina no catálogo deve ter uma conta de computador AD correspondente.
Usar o PowerShell
A seguir estão as etapas do PowerShell equivalentes às operações no Web Studio. Para obter informações sobre como criar um catálogo usando o SDK do PowerShell Remoto, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.
A diferença entre catálogos ingressados no AD local e catálogos ingressados no Azure AD Híbrido reside na criação do pool de identidades e das contas de máquina.
Para criar um pool de identidades junto com as contas para catálogos ingressados no Azure AD Híbrido:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
Observação:
$passwordé a senha correspondente para uma conta de usuário AD com Permissões de Gravação.
Todos os outros comandos usados para criar catálogos ingressados no Azure AD Híbrido são os mesmos que para catálogos tradicionais ingressados no AD local.
Visualizar o status do processo de ingresso no Azure AD Híbrido
No Web Studio, o status do processo de ingresso no Azure AD Híbrido é visível quando as máquinas ingressadas no Azure AD Híbrido em um grupo de entrega estão em estado ligado. Para visualizar o status, use Pesquisar para identificar essas máquinas e, em seguida, para cada uma, verifique “Identidade da Máquina” na guia “Detalhes” no painel inferior. As seguintes informações podem aparecer em “Identidade da Máquina”:
- Ingressado no Azure AD Híbrido
- Ainda não ingressado no Azure AD
Observação:
- Você pode experimentar um atraso no ingresso no Azure AD Híbrido quando a máquina é ligada inicialmente. Isso é causado pelo intervalo de sincronização de identidade de máquina padrão (30 minutos do Azure AD Connect). A máquina está no estado de ingresso no Azure AD Híbrido somente depois que as identidades da máquina são sincronizadas com o Azure AD por meio do Azure AD Connect.
- Se as máquinas não conseguirem entrar no estado de ingresso no Azure AD Híbrido, elas não serão registradas no Delivery Controller. O status de registro delas aparece como Inicialização.
Além disso, usando o Web Studio, você pode descobrir por que as máquinas estão indisponíveis. Para fazer isso, clique em uma máquina no nó “Pesquisar”, verifique “Registro” na guia “Detalhes” no painel inferior e, em seguida, leia a dica de ferramenta para obter informações adicionais.
Solução de problemas
Se as máquinas não conseguirem ingressar no Azure AD Híbrido, faça o seguinte:
-
Verifique se a conta da máquina foi sincronizada com o Azure AD por meio do portal do Microsoft Azure AD. Se sincronizada, Ainda não ingressado no Azure AD aparece, indicando o status de registro pendente.
Para sincronizar contas de máquina com o Azure AD, certifique-se de que:
- A conta da máquina esteja na OU configurada para ser sincronizada com o Azure AD. Contas de máquina sem o atributo userCertificate não são sincronizadas com o Azure AD, mesmo que estejam na OU configurada para ser sincronizada.
- O atributo userCertificate seja preenchido na conta da máquina. Use o Active Directory Explorer para visualizar o atributo.
- O Azure AD Connect deve ter sido sincronizado pelo menos uma vez após a criação da conta da máquina. Caso contrário, execute manualmente o comando
Start-ADSyncSyncCycle -PolicyType Deltano console do PowerShell da máquina do Azure AD Connect para acionar uma sincronização imediata.
-
Verifique se o par de chaves de dispositivo gerenciado pelo Citrix para ingresso no Azure AD Híbrido foi enviado corretamente para a máquina, consultando o valor de DeviceKeyPairRestored em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.
Verifique se o valor é 1. Caso contrário, as possíveis razões são:
-
IdentityTypedo pool de identidades associado ao esquema de provisionamento não está definido comoHybridAzureAD. Você pode verificar isso executandoGet-AcctIdentityPool. - A máquina não foi provisionada usando o mesmo esquema de provisionamento do catálogo de máquinas.
- A máquina não está ingressada no domínio local. O ingresso no domínio local é um pré-requisito para o ingresso no Azure AD Híbrido.
-
-
Verifique as mensagens de diagnóstico executando o comando
dsregcmd /status /debugna máquina provisionada por MCS.-
Se o ingresso no Azure AD Híbrido for bem-sucedido, AzureAdJoined e DomainJoined serão YES na saída da linha de comando.
-
Caso contrário, consulte a documentação da Microsoft para solucionar os problemas: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
-
Se você receber a mensagem de erro Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, execute o seguinte comando do PowerShell para reparar o certificado do usuário:
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->Para obter mais informações sobre o problema do certificado do usuário, consulte CTX566696.
-
Criar catálogos ingressados no Azure AD Híbrido e registrados no Microsoft Intune
Você pode criar catálogos habilitados para cogestão para catálogos ingressados no Azure AD Híbrido e registrados no Microsoft Intune para VMs persistentes de sessão única e multi-sessão. Você pode criar catálogos habilitados para cogestão usando o Studio e o PowerShell.
Usar o Web Studio
As informações a seguir são um complemento às orientações em Criar catálogos de máquinas.
No assistente “Configuração do Catálogo de Máquinas”:
- Na página “Identidades da Máquina”, selecione Ingressado no Azure Active Directory Híbrido e, em seguida, Registrar as máquinas no Microsoft Intune com o Configuration Manager. Com esta ação, o Configuration Manager e o Microsoft Intune (ou seja, cogerenciados) gerenciam as VMs.
Usar o PowerShell
A seguir estão as etapas do PowerShell equivalentes às etapas no Studio.
Para registrar máquinas no Microsoft Intune com o Configuration Manager usando o SDK do PowerShell Remoto, use o parâmetro DeviceManagementType em New-AcctIdentityPool. Este recurso exige que o catálogo seja ingressado no Azure AD Híbrido e que o Azure AD possua a licença correta do Microsoft Intune.
A diferença entre catálogos ingressados no Azure AD Híbrido e catálogos habilitados para cogestão reside na criação do pool de identidades. Por exemplo:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Solução de problemas
Se as máquinas não conseguirem se registrar no Microsoft Intune ou não conseguirem atingir o estado de cogestão, faça o seguinte:
-
Verificar licença do Intune
Verifique se o seu locatário do Azure AD está atribuído com a licença Intune apropriada. Consulte Licenciamento do Microsoft Intune para os requisitos de licença do Microsoft Intune.
-
Verificar status de ingresso no Azure AD Híbrido
Verifique se as máquinas provisionadas por MCS estão ingressadas no Azure AD Híbrido. As máquinas não são elegíveis para cogestão se não estiverem ingressadas no Azure AD Híbrido. Consulte Solução de problemas para solucionar problemas de ingresso no Azure AD Híbrido.
-
Verificar elegibilidade para cogestão
-
Verifique se as máquinas provisionadas por MCS estão corretamente atribuídas ao site esperado do Configuration Manager. Para obter o site atribuído, execute o seguinte comando do PowerShell nas máquinas afetadas.
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy--> -
Se nenhum site estiver atribuído à VM, use o seguinte comando para verificar se o site do Configuration Manager pode ser descoberto automaticamente.
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy--> -
Certifique-se de que os limites e grupos de limites estejam bem configurados em seu ambiente do Configuration Manager se nenhum código de site puder ser descoberto. Consulte Considerações para obter detalhes.
-
Verifique
C:\Windows\CCM\Logs\ClientLocation.logpara quaisquer problemas de atribuição de site do cliente do Configuration Manager. -
Verifique os estados de cogestão das máquinas. Abra o “painel de controle do Configuration Manager” nas máquinas afetadas e vá para a guia “Geral”. O valor da propriedade Cogestão deve ser Habilitado. Caso contrário, verifique os logs em
C:\Windows\CCM\Logs\CoManagementHandler.log.
-
-
Verificar registro no Intune
As máquinas podem falhar ao se registrar no Microsoft Intune mesmo que todos os pré-requisitos sejam satisfeitos. Verifique os logs de eventos do Windows em “Logs de Aplicativos e Serviços” > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider para problemas de registro no Intune.
Compartilhar
Compartilhar
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.