Microsoft Entra híbrido ingressado

Este artigo descreve os requisitos para criar um pool de identidades de catálogos ingressados no Microsoft Entra híbrido e catálogos ingressados no Microsoft Entra híbrido registrados no Microsoft Intune, além dos requisitos descritos na seção de requisitos do sistema.

Máquinas ingressadas no Microsoft Entra híbrido usam o AD local como provedor de autenticação. Você pode atribuí-las a usuários ou grupos de domínio no AD local. Para habilitar a experiência de SSO contínuo do Microsoft Entra ID, você precisa ter os usuários de domínio sincronizados com o Microsoft Entra ID.

Nota:

VMs ingressadas no Microsoft Entra híbrido são suportadas em infraestruturas de identidade federadas e gerenciadas.

Requisitos para Microsoft Entra híbrido ingressado

• Tipo de VDA: Sessão única (somente desktops) ou multi-sessão (aplicativos e desktops)
• Versão do VDA: 2212 ou posterior
• Tipo de provisionamento: Machine Creation Services™ (MCS), Persistente e Não persistente
• Tipo de atribuição: Dedicado e em pool
• Plataforma de hospedagem: Qualquer hipervisor ou serviço de nuvem

Limitações para Microsoft Entra híbrido ingressado

• Se o Citrix Federated Authentication Service (FAS) for usado, o logon único é direcionado para o AD local em vez do Microsoft Entra ID. Nesse caso, é recomendável configurar a autenticação baseada em certificado do Microsoft Entra para que o token de atualização primário (PRT) seja gerado no logon do usuário, o que facilita o logon único para recursos do Microsoft Entra dentro da sessão. Caso contrário, o PRT não estará presente e o SSO para recursos do Microsoft Entra não funcionará. Para obter informações sobre como obter o logon único (SSO) do Microsoft Entra para VDAs ingressados no Microsoft Entra híbrido usando o Citrix Federated Authentication Service (FAS), consulte VDAs ingressados no Microsoft Entra híbrido.
• Não pule a preparação da imagem ao criar ou atualizar catálogos de máquinas. Se você quiser pular a preparação da imagem, certifique-se de que as VMs mestre não sejam Microsoft Entra ou Microsoft Entra híbrido ingressadas.

Considerações para Microsoft Entra híbrido ingressado

• Criar máquinas ingressadas no Microsoft Entra híbrido requer a permissão Write userCertificate no domínio de destino. Certifique-se de inserir as credenciais de um administrador com essa permissão durante a criação do catálogo.

• O processo de ingresso híbrido do Microsoft Entra é gerenciado pela Citrix. Você precisa desabilitar autoWorkplaceJoin controlado pelo Windows nas VMs mestre da seguinte forma. A tarefa de desabilitar manualmente autoWorkplaceJoin é necessária apenas para a versão 2212 ou anterior do VDA.

  1. Execute gpedit.msc.
  2. Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Registro de Dispositivo.
  3. Defina Registrar computadores ingressados no domínio como dispositivos como Desabilitado.

• Selecione a Unidade Organizacional (OU) que está configurada para ser sincronizada com o Microsoft Entra ID ao criar as identidades da máquina.

• Para VM mestre baseada no Windows 11 22H2, crie uma tarefa agendada na VM mestre que executa os seguintes comandos na inicialização do sistema usando a conta SYSTEM. Esta tarefa de agendar uma tarefa na VM mestre é necessária apenas para a versão 2212 ou anterior do VDA.

   $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
   $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
   $MaxCount = 60
  
   for ($count = 1; $count -le $MaxCount; $count++)
   {
     if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
     {
       $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
       if ($provider -eq 'Citrix')
       {
           break;
       }
  
       if ($provider -eq 1)
       {
           Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
           Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
           Start-Sleep 5
           dsregcmd /join
           break
       }
     }
  
     Start-Sleep 1
   }
   <!--NeedCopy-->
  

• Por padrão, o Microsoft Entra Connect sincroniza a cada 30 minutos. As máquinas provisionadas podem levar até 30 minutos para serem ingressadas no Microsoft Entra híbrido durante a primeira inicialização.

Catálogos ingressados no Microsoft Entra híbrido registrados no Microsoft Intune

Catálogos ingressados no Microsoft Entra híbrido, VMs persistentes de sessão única e multi-sessão, registrados no Microsoft Intune usam as credenciais do dispositivo com capacidade de co-gerenciamento.

O co-gerenciamento permite que você gerencie simultaneamente dispositivos Windows 10 ou posteriores usando o Configuration Manager e o Microsoft Intune. Para obter mais informações, consulte Co-gerenciamento.

Pré-requisitos para catálogos ingressados no Microsoft Entra híbrido registrados no Microsoft Intune

Antes de habilitar este recurso, verifique se:

• Seu ambiente Azure atende aos requisitos de licenciamento para usar o Microsoft Intune. Para obter mais informações, consulte a documentação da Microsoft.
• Você tem uma implantação válida do Configuration Manager com o co-gerenciamento habilitado. Para obter mais informações, consulte a documentação da Microsoft.

Requisitos para catálogos híbridos do Microsoft Entra ingressados e registrados no Microsoft Intune

• Tipo de VDA: Sessão única ou multi-sessão
• Versão do VDA: 2407 ou posterior
• Tipo de provisionamento: Machine Creation Service (MCS), Persistente. Catálogos híbridos do Microsoft Entra ingressados e registrados no Microsoft Intune para VMs não persistentes de sessão única e multi-sessão estão atualmente em Pré-visualização. Consulte Registro de VMs não persistentes ingressadas no Hybrid Entra ID no Microsoft Intune.
• Tipo de atribuição: Dedicado e agrupado
• Plataforma de hospedagem: Qualquer hipervisor ou serviço de nuvem

Limitações para catálogos híbridos do Microsoft Entra ingressados e registrados no Microsoft Intune

• Não pule a preparação da imagem ao criar ou atualizar catálogos de máquinas.
• O gerenciamento de clientes baseado na Internet (IBCM) do Configuration Manager não é suportado.

Considerações para catálogos híbridos do Microsoft Entra ingressados e registrados no Microsoft Intune

• O registro no Intune pode ser atrasado se muitas máquinas no catálogo forem ligadas simultaneamente.

  A Microsoft impõe uma restrição de registro no Intune por locatário que limita o número de dispositivos que podem ser registrados dentro de um período específico. O número permitido de dispositivos varia dependendo do número de licenças do Microsoft Intune associadas ao locatário. Consulte sua equipe de contas da Microsoft para descobrir o limite permitido para seu locatário. Essa abordagem ajuda o registro do Microsoft Intune a escalar melhor para grandes ambientes.

  Para máquinas persistentes, pode haver um tempo de espera inicial necessário para que todos os dispositivos concluam o registro no Intune.

  Para máquinas não persistentes, considere limitar as ações de energia simultâneas no Autoscale™ ou nas ações de energia manuais.

• Configure o Cloud Attach do Configuration Manager. Para obter mais informações, consulte a documentação da Microsoft.
• Instale manualmente o cliente do Configuration Manager na VM mestre sem atribuir o código do site com .\CCMSetup.exe /mp:SCCMServer /logon FSP=SCCMServer. O SCCMServer é o nome do servidor SCCM em seu ambiente. Para obter mais informações, consulte a documentação da Microsoft.

• As máquinas criadas pelo MCS usam o mecanismo de atribuição automática de site para encontrar grupos de limites de site que são publicados nos Serviços de Domínio do Active Directory. Certifique-se de que os limites e grupos de limites do Configuration Manager estejam configurados em seu ambiente. Se a atribuição automática de site não estiver disponível, um código de site estático do Configuration Manager pode ser configurado na VM mestre por meio da seguinte configuração de registro:

  Chave:

   HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
   <!--NeedCopy-->
  

  Nome do valor: MdmSccmSiteCode

  Tipo de valor: String

  Dados do valor: the site code to be assigned

Onde ir em seguida

Para obter mais informações sobre como criar um pool de identidades de catálogos híbridos do Microsoft Entra, consulte Pool de identidades de identidade de máquina híbrida do Microsoft Entra.