Documentação de produtos
Citrix Virtual Apps and Desktops™ 7 2507 LTSR
Ver PDF

Pool de identidades de identidade de máquina híbrida do Microsoft Entra

June 5, 2026
Contribuição de: 
C C

Este artigo descreve como criar pool de identidades de:

Catálogos híbridos do Microsoft Entra Catálogos híbridos do Microsoft Entra registrados no Microsoft Intune

Para obter informações sobre requisitos, limitações e considerações, consulte Microsoft Entra híbrido ingressado.

Criar catálogos híbridos do Microsoft Entra

Usar Web Studio

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas.

Na página Identidades da Máquina do assistente de criação de catálogo:

  • Selecione Microsoft Entra híbrido ingressado. As máquinas criadas são de propriedade de uma organização e são acessadas com uma conta do Active Directory que pertence a essa organização.

  • Para registrar as máquinas criadas no Microsoft Intune (incluindo o Configuration Manager) para gerenciamento de dispositivos, selecione Registrar as máquinas no Microsoft Intune com o Configuration Manager. Para evitar erros durante a criação do catálogo, certifique-se de que a imagem mestre atenda aos seguintes requisitos:

    • Tem a versão VDA 2405 ou posterior instalada.
    • Tem o cliente do Configuration Manager instalado com o código do site não atribuído. Para obter mais informações, consulte este artigo da Microsoft.

Nota:

Se você selecionar Microsoft Entra híbrido ingressado como o tipo de identidade, cada máquina no catálogo deve ter uma conta de computador AD correspondente.

Usar PowerShell

Os seguintes são passos do PowerShell equivalentes às operações no Web Studio. Para informações sobre como criar um catálogo usando o SDK do PowerShell Remoto, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

A diferença entre catálogos unidos ao AD local e catálogos unidos ao Microsoft Entra híbrido reside na criação do pool de identidades e das contas de máquina.

Para criar um pool de identidades juntamente com as contas para catálogos unidos ao Microsoft Entra híbrido:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Nota:

$password é a senha correspondente para uma conta de usuário do AD com Permissões de Gravação.

Todos os outros comandos usados para criar catálogos unidos ao Microsoft Entra híbrido são os mesmos que para catálogos tradicionais unidos ao AD local.

Visualizar o status do processo de união híbrida do Microsoft Entra

No Web Studio, o status do processo de união híbrida do Microsoft Entra é visível quando as máquinas unidas ao Microsoft Entra híbrido em um grupo de entrega estão em estado ligado. Para visualizar o status, use Pesquisar para identificar essas máquinas e, em seguida, para cada uma, verifique Identidade da Máquina na guia Detalhes no painel inferior. As seguintes informações podem aparecer em Identidade da Máquina:

  • Unido ao Microsoft Entra híbrido
  • Ainda não unido ao Microsoft Entra ID

Nota:

  • Você pode experimentar um atraso na união híbrida do Microsoft Entra quando a máquina é ligada inicialmente. Isso é causado pelo intervalo de sincronização padrão da identidade da máquina (30 minutos do Microsoft Entra Connect). A máquina estará no estado de união híbrida do Microsoft Entra somente depois que as identidades da máquina forem sincronizadas com o Microsoft Entra ID através do Microsoft Entra Connect.
  • Se as máquinas falharem em estar no estado de união híbrida do Microsoft Entra, elas não serão registradas com o Delivery Controller. O status de registro delas aparece como Inicialização.

Além disso, usando o Web Studio, você pode descobrir por que as máquinas estão indisponíveis. Para fazer isso, clique em uma máquina no nó Pesquisar, verifique Registro na guia Detalhes no painel inferior e, em seguida, leia a dica de ferramenta para obter informações adicionais.

Solução de problemas

Se as máquinas falharem ao serem ingressadas no Microsoft Entra híbrido, faça o seguinte:

  • Verifique se a conta da máquina foi sincronizada com o Microsoft Entra ID através do portal do Microsoft Entra ID. Se sincronizada, Ainda não ingressado no Azure AD aparece, indicando status de registro pendente.

    Para sincronizar contas de máquina com o Microsoft Entra ID, certifique-se de que:

    • A conta da máquina está na UO configurada para ser sincronizada com o Microsoft Entra ID. Contas de máquina sem o atributo userCertificate não são sincronizadas com o Microsoft Entra ID, mesmo que estejam na UO configurada para ser sincronizada.
    • O atributo userCertificate é preenchido na conta da máquina. Use o Active Directory Explorer para visualizar o atributo.
    • O Microsoft Entra Connect deve ter sido sincronizado pelo menos uma vez após a criação da conta da máquina. Caso contrário, execute manualmente o comando Start-ADSyncSyncCycle -PolicyType Delta no console do PowerShell da máquina do Microsoft Entra Connect para acionar uma sincronização imediata.

  • Verifique se o par de chaves do dispositivo gerenciado pelo Citrix para ingresso híbrido do Microsoft Entra foi corretamente enviado para a máquina, consultando o valor de DeviceKeyPairRestored em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

    Verifique se o valor é 1. Caso contrário, as possíveis razões são:

    • IdentityType do pool de identidades associado ao esquema de provisionamento não está definido como HybridAzureAD. Você pode verificar isso executando Get-AcctIdentityPool.
    • A máquina não é provisionada usando o mesmo esquema de provisionamento do catálogo de máquinas.
    • A máquina não está ingressada no domínio local. O ingresso no domínio local é um pré-requisito para o ingresso híbrido do Microsoft Entra.

  • Verifique as mensagens de diagnóstico executando o comando dsregcmd /status /debug na máquina provisionada pelo MCS.

    • Se o ingresso híbrido do Microsoft Entra for bem-sucedido, AzureAdJoined e DomainJoined serão YES na saída da linha de comando.

    • Caso contrário, consulte a documentação da Microsoft para solucionar os problemas: https://docs.microsoft.com/pt-br/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Se você receber a mensagem de erro Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, execute o seguinte comando PowerShell para reparar o certificado do usuário:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      Para mais informações sobre o problema do certificado do usuário, consulte CTX566696.

Criar catálogos híbridos ingressados no Microsoft Entra inscritos no Microsoft Intune

Você pode criar catálogos habilitados para cogestão para catálogos híbridos ingressados no Microsoft Entra inscritos no Microsoft Intune para VMs persistentes de sessão única e multi-sessão. Você pode criar catálogos habilitados para cogestão usando o Web Studio e o PowerShell.

Usar o Web Studio

As informações a seguir são um suplemento às orientações em Criar catálogos de máquinas.

No assistente de Configuração do Catálogo de Máquinas:

  • Na página Identidades da Máquina, selecione Híbrido ingressado no Microsoft Entra e, em seguida, Inscrever as máquinas no Microsoft Intune com o Configuration Manager. Usando esta ação, o Configuration Manager e o Microsoft Intune (ou seja, cogestionados) gerenciam as VMs.

Usar o PowerShell

A seguir estão as etapas do PowerShell equivalentes às etapas no Studio.

Para inscrever máquinas no Microsoft Intune com o Configuration Manager usando o SDK do PowerShell Remoto, use o parâmetro DeviceManagementType em New-AcctIdentityPool. Este recurso exige que o catálogo seja híbrido ingressado no Microsoft Entra e que o Microsoft Entra ID possua a licença correta do Microsoft Intune.

A diferença entre catálogos híbridos ingressados no Microsoft Entra e os habilitados para cogestão reside na criação do pool de identidades. Por exemplo:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Solução de problemas

Se as máquinas não conseguirem se inscrever no Microsoft Intune ou não conseguirem atingir o estado de cogestão, faça o seguinte:

  • Verificar licença do Intune

    Verifique se o seu locatário do Microsoft Entra está atribuído com a licença Intune apropriada. Consulte Licenciamento do Microsoft Intune para os requisitos de licença do Microsoft Intune.

  • Verificar status de ingresso híbrido do Microsoft Entra

    Verifique se as máquinas provisionadas pelo MCS estão ingressadas no Microsoft Entra híbrido. As máquinas não são elegíveis para co-gerenciamento se não estiverem ingressadas no Microsoft Entra híbrido. Consulte Solução de problemas para solucionar problemas de ingresso híbrido do Microsoft Entra.

  • Verificar elegibilidade para co-gerenciamento

    • Verifique se as máquinas provisionadas pelo MCS estão corretamente atribuídas ao site esperado do Configuration Manager. Para obter o site atribuído, execute o seguinte comando PowerShell nas máquinas afetadas.

       (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • Se nenhum site estiver atribuído à VM, use o seguinte comando para verificar se o site do Configuration Manager pode ser descoberto automaticamente.

       (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • Certifique-se de que os limites e grupos de limites estejam bem configurados em seu ambiente do Configuration Manager se nenhum código de site puder ser descoberto. Consulte Considerações para obter detalhes.

    • Verifique C:\Windows\CCM\Logs\ClientLocation.log para quaisquer problemas de atribuição de site do cliente do Configuration Manager.

    • Verifique os estados de co-gerenciamento das máquinas. Abra o painel de controle do Configuration Manager nas máquinas afetadas e vá para a guia Geral. O valor da propriedade Co-management deve ser Habilitado. Caso contrário, verifique os logs em C:\Windows\CCM\Logs\CoManagementHandler.log.

  • Verificar registro no Intune

    As máquinas podem falhar ao se registrar no Microsoft Intune mesmo que todos os pré-requisitos sejam satisfeitos. Verifique os logs de eventos do Windows em Logs de Aplicativos e Serviços > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider para problemas de registro no Intune.

Pool de identidades de identidade de máquina híbrida do Microsoft Entra
June 5, 2026
Contribuição de: 
C C
June 5, 2026
Contribuição de: 
C C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.