Microsoft Entra 已加入计算机身份的身份池
本文介绍如何使用 Citrix DaaS 创建 Microsoft Entra 已加入计算机身份的身份池。
有关要求、限制和注意事项的信息,请参阅已加入 Microsoft Entra。
- 在创建计算机目录之前,您需要满足以下条件:
TargetGroupDisplayName TargetGroupDisplayName
- 新的资源位置
- 导航到 Citrix Cloud™ 管理员 UI > 左上角汉堡菜单 > 资源位置。
- 单击 + 资源位置。
- 输入新资源位置的名称,然后单击保存。
- 创建主机连接。有关详细信息,请参阅创建和管理连接部分。在 Azure 上部署计算机时,请参阅连接到 Azure Resource Manager。
- 您可以使用 Studio 或 PowerShell 创建已加入 Microsoft Entra 的目录。
使用 Studio
以下信息是对创建计算机目录中指导的补充。要创建已加入 Microsoft Entra 的目录,请遵循该文章中的一般指导,同时注意已加入 Microsoft Entra 的目录特有的详细信息。 https://www.example.com/feed/12345 在目录创建向导中:
- 在映像页面上:
- 选择 2106 或更高版本作为功能级别。
- 选择使用计算机配置文件,然后从列表中选择相应的计算机。
-
在计算机身份页面上:
-
选择 Microsoft Entra 已加入。创建的计算机由组织拥有,并使用属于该组织的 Microsoft Entra 帐户登录。它们仅存在于云中。
注意:
-
Microsoft Entra 已加入身份类型要求目录的最低功能级别为 2106 或更高版本。
-
计算机已加入与主机连接绑定到的租户关联的 Microsoft Entra 域。
-
- 单击选择服务帐户,然后从列表中选择一个可用的服务帐户。如果 Microsoft Entra 租户没有可用的合适服务帐户供计算机身份加入,您可以创建一个服务帐户。有关服务帐户的信息,请参阅 Microsoft Entra 服务帐户。
注意:
您选择的服务帐户可能由于各种原因处于不健康状态。您可以转到管理员 > 服务帐户以查看详细信息并根据建议修复问题。或者,您可以继续执行计算机目录操作,稍后修复问题。如果您不修复问题,将生成过时的已加入 Microsoft Entra 或已注册 Microsoft Intune 的设备,这可能会阻止计算机加入 Microsoft Entra。
-
- 单击添加扩展属性以将唯一的自定义数据直接存储在您的 Entra ID 设备对象上。在添加扩展属性页面上,添加扩展属性和值。
注意:
- 您最多可以添加 15 个扩展属性。 - 名称必须唯一,且值不能为空。 -
-
-
- 选择一个 Active Directory 帐户选项:
-
创建新的 Active Directory 帐户:
- 如果您选择创建新的 Active Directory 帐户并且确实使用现有身份池来创建新帐户,则选择这些帐户的域并指定帐户命名方案。
- 如果您选择创建新的 Active Directory 帐户并使用现有身份池来创建新帐户,则从列表中选择一个身份池。
- 使用现有 Active Directory 帐户:您可以浏览或从 CSV 文件导入,并重置密码或为所有帐户指定相同的密码。 - 指定帐户命名方案。
-
创建新的 Active Directory 帐户:
- 选择一个 Active Directory 帐户选项:
必须在 Azure 中授予用户显式访问权限,才能使用其 Microsoft Entra 凭据登录到计算机。有关更多详细信息,请参阅 Microsoft Entra 已加入部分。
添加或修改扩展属性
要更改或向现有 MCS 计算机目录添加其他扩展属性,或向没有服务帐户的 MCS 目录添加扩展属性,请使用编辑计算机目录向导。
- 要更改或添加其他扩展属性,请导航到 Microsoft Entra 设备扩展属性页面。单击铅笔图标,然后添加或更新扩展属性。
-
要向没有 Microsoft Entra 服务帐户的 MCS 目录添加扩展属性:
- 导航到服务帐户页面。为 Microsoft Intra ID 选择一个 Microsoft Entra 服务帐户。
- 转到 Microsoft Entra 设备扩展属性页面,单击添加扩展属性。
修改服务帐户关联
要更改关联的服务帐户或向现有 MCS 计算机目录添加关联,请使用编辑计算机目录页面。
- 要添加服务帐户,请在服务帐户页面上单击选择服务帐户。
- 要更改服务帐户关联,请在服务帐户页面上单击编辑图标。
使用 PowerShell
以下是与 Studio 中的操作等效的 PowerShell 步骤。
本地 AD 加入的目录与 Microsoft Entra 加入的目录之间的区别在于身份池的创建和预配方案。
您必须将 Microsoft Entra 服务帐户与身份池关联,然后创建计算机目录。您可以创建新的身份池,也可以更新现有身份池以将其与服务帐户关联。
创建新的身份池
例如:要创建新的身份池并将其与服务帐户关联,请运行以下命令:
New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
例如:要创建具有指定扩展属性的新身份池并将其与服务帐户关联,请运行以下命令:
New-AcctIdentityPool -IdentityPoolName MyPool -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType AzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
当虚拟机首次通电时,在加入 Microsoft Entra ID 后,虚拟机将其 Entra ID deviceId 报告给 MCS。
例如:要检查 EntraIDDeviceID,请运行 Get-AcctADAccount 或 Get-AcctIdentity。
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
重新启动后,对于持久性虚拟机,EntraIDDeviceID 保持不变。对于非持久性虚拟机,每次重新启动后都会有一个新的 EntraIDDeviceID。
注意:
当您从目录中删除虚拟机但未从 Azure 中删除时,MCS 会自动删除关联的扩展属性。
例如:要更新现有身份池以将其与服务帐户关联,请运行以下命令:
$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
注意:
> `$serviceAccountUid` 必须是有效的 Microsoft Entra 服务帐户 UID。
- 例如:要编辑现有目录的扩展属性,请运行以下命令:
> **注意:** > > > > - 将现有目录 VM 升级到 VDA 2511 或更高版本后,需要重新启动。此重新启动允许 VM 将其 Entra ID deviceId 报告给 MCS,从而使 MCS 能够配置 VM 的扩展属性。 > - 现有目录应具有 `AzureAD` 类型的服务帐户,并具有“Device.ReadWrite.All”权限。
- 要添加一些新属性:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
要删除一些现有属性:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
或者
- Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool 还会更新已加入 Entra ID 并在其身份中拥有 EntraIDDeviceID 值的 VM 的 Entra ID 设备扩展属性。
创建 Microsoft Entra 联接目录
要为 Microsoft Entra 联接目录创建预配方案,New-ProvScheme 中需要 MachineProfile 参数。例如:
New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->
要使用准备好的映像创建 Microsoft Entra 目录。例如:
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
查看 Microsoft Entra 联接过程的状态
在 Studio 中,当交付组中已加入 Microsoft Entra 的计算机处于开机状态时,可以查看 Microsoft Entra 联接过程的状态。要查看状态,请使用 搜索 识别这些计算机,然后对于每台计算机,检查下部窗格中 详细信息 选项卡上的 计算机身份。计算机身份 中可以显示以下信息:
- 已加入 Microsoft Entra
- 尚未加入 Microsoft Entra ID
注意:
如果计算机未能处于 Microsoft Entra 联接状态,它们将不会向 Delivery Controller 注册。它们的注册状态显示为 初始化。
此外,使用 Studio,您可以了解计算机不可用的原因。为此,请单击 搜索 节点上的计算机,检查下部窗格中 详细信息 选项卡上的 注册,然后阅读工具提示以获取更多信息。
交付组
有关详细信息,请参阅 创建交付组 部分。
启用 Rendezvous
创建交付组后,您可以启用 Rendezvous。有关详细信息,请参阅 Rendezvous V2。
故障排除
如果计算机未能加入 Microsoft Entra,请执行以下操作:
-
检查是否为计算机启用了系统分配的托管标识。MCS 预配的计算机必须自动启用此功能。如果没有系统分配的托管标识,Microsoft Entra 联接过程将失败。如果未为 MCS 预配的计算机启用系统分配的托管标识,则可能的原因是:
- 与预配方案关联的身份池的
IdentityType未设置为AzureAD。您可以通过运行Get-AcctIdentityPool来验证这一点。
- 与预配方案关联的身份池的
-
对于使用 VDA 2206 或更早版本主映像的目录,请检查计算机的 AADLoginForWindows 扩展的预配状态。如果 AADLoginForWindows 扩展不存在,可能的原因是:
-
与预配方案关联的身份池的
IdentityType未设置为AzureAD。您可以通过运行Get-AcctIdentityPool来验证这一点。 -
AADLoginForWindows 扩展安装被 Azure 策略阻止。
-
-
要排查 AADLoginForWindows 扩展预配失败问题,您可以在 MCS 预配的计算机上检查
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows下的日志。注意:
当使用 VDA 2209 或更高版本的主映像时,MCS 不依赖
AADLoginForWindows扩展将 VM 加入 Microsoft Entra ID。在这种情况下,AADLoginForWindows扩展将不会安装在 MCS 预配的计算机上。因此,无法收集AADLoginForWindows扩展预配日志。 -
通过在 MCS 预配的计算机上运行
dsregcmd /status命令来检查 Microsoft Entra 联接状态和调试日志。 - 检查 应用程序和服务日志 > Microsoft > Windows > 用户设备注册 下的 Windows 事件日志。
-
通过运行
Get-Item -LiteralPath XDHyp:\Connections\${HostingConnectionName}检查 Microsoft Entra 设备管理是否配置正确。确保以下值:
-
CustomProperties中的AzureAdDeviceManagement属性为 true - 元数据中的
Citrix_MCS_AzureAdDeviceManagement_PermissionGranted属性为 true
如果
Citrix_MCS_AzureAdDeviceManagement_PermissionGranted为 false,则表示托管连接使用的应用程序的ServicePrincipal未被授予足够的权限来执行 Microsoft Entra 设备管理。要解决此问题,请为ServicePrincipal分配 云设备管理员 角色。 -
Microsoft Entra 动态安全组
动态组规则根据计算机目录的命名方案将目录中的 VM 放置到动态安全组中。
如果计算机目录的命名方案是 Test###(其中 # 表示数字),Citrix® 会在动态安全组中创建动态成员资格规则 ^Test[0-9]{3}$。现在,如果 Citrix 创建的 VM 名称是 Test001 到 Test999 之间的任何名称,则该 VM 将包含在动态安全组中。
注意:
如果您手动创建的 VM 名称是 Test001 到 Test999 之间的任何名称,则该 VM 也会包含在动态安全组中。这是动态安全组的局限性之一。
当您希望通过 Microsoft Entra ID 管理 VM 时,动态安全组功能非常有用。当您希望通过使用 Microsoft Entra 动态安全组筛选 VM 来应用条件访问策略或从 Intune 分发应用程序时,此功能也很有用。
您可以使用 PowerShell 命令执行以下操作:
- 使用 Microsoft Entra 动态安全组创建计算机目录
- 为 Microsoft Entra 目录启用安全组功能
- 删除具有 Microsoft Entra 联接设备安全组的计算机目录
重要提示:
- 要创建具有 Microsoft Entra 动态安全组的计算机目录、向目录添加计算机以及删除计算机目录,您必须拥有 Microsoft Entra 访问令牌。有关获取 Microsoft Entra 访问令牌的信息,请参阅 https://docs.microsoft.com/en-us/graph/graph-explorer/graph-explorer-features#consent-to-permissions/。
- 要在 Microsoft Entra ID 中请求访问令牌,Citrix 会请求 Microsoft Graph API 的 Group.ReadWrite.All 权限。具有租户范围管理员同意权限的 Microsoft Entra 用户可以授予 Microsoft Graph API 的 Group.ReadWrite.All 权限。有关如何向 Microsoft Entra ID 中的应用程序授予租户范围管理员同意的信息,请参阅 Microsoft 文档 https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent。
- 如果您使用 Microsoft Entra 服务帐户,则不需要 Microsoft Entra 访问令牌。有关服务帐户的信息,请参阅 用于计算机身份管理的服务帐户。
使用 Microsoft Entra 动态安全组创建计算机目录
- 在基于 Web 的控制台的计算机目录设置用户界面中,在“计算机身份”页面上,选择“已加入 Microsoft Entra”。
- 登录到 Microsoft Entra ID。
- 获取 MS Graph API 的访问令牌。在运行 PowerShell 命令时,将此访问令牌用作
$AzureADAccessToken参数的值。如果您使用 Microsoft Entra 服务帐户,则不需要 Microsoft Entra 访问令牌。 -
运行以下命令以验证租户中是否存在动态安全组名称。
Get-AcctAzureADSecurityGroup –AccessToken $AzureADAccessToken –Name "SecurityGroupName" <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Get-AcctAzureADSecurityGroup -ServiceAccountUid <service account uid> –Name "SecurityGroupName" <!--NeedCopy--> -
使用租户 ID、访问令牌和动态安全组创建计算机目录。运行以下命令以创建
IdentityType=AzureAD的 IdentityPool 并在 Azure 中创建动态安全组。New-AcctIdentityPool -AllowUnicode -IdentityPoolName "SecurityGroupCatalog" -NamingScheme "SG-VM-###" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -WorkgroupMachine -IdentityType "AzureAD" -DeviceManagementType "None" -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e -AzureADSecurityGroupName "SecurityGroupName" -AzureADAccessToken $AzureADAccessToken <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
New-AcctIdentityPool -AllowUnicode -AzureADSecurityGroupName "<security group name>" -AzureADTenantId "<Azure tenant id>" -DeviceManagementType "Intune" -IdentityPoolName "dynamic security group test" -IdentityType "AzureAD" -NamingScheme "<naming scheme>" -NamingSchemeType "Numeric" -Scope @() -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>" <!--NeedCopy-->
为 Microsoft Entra 目录启用安全组功能
您可以为未启用动态安全组功能而创建的 Microsoft Entra 目录启用动态安全功能。为此:
- 手动创建新的动态安全组。您也可以重用现有的动态安全组。
-
登录到 Microsoft Entra ID,并获取 MS Graph API 的访问令牌。在运行 PowerShell 命令时,将此访问令牌用作
$AzureADAccessToken参数的值。注意:
- 有关 Microsoft Entra 用户所需权限的信息,请参阅 https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#prerequisites/。
- 如果您使用 Microsoft Entra 服务帐户,则不需要 Microsoft Entra 访问令牌。
-
运行以下命令以将身份池连接到创建的 Microsoft Entra 动态安全组。
Set-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e -AzureADSecurityGroupNam "ExistingSecurityGroupName" -AzureADAccessToken $AzureADAccessToken <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Set-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e -AzureADSecurityGroupNam "ExistingSecurityGroupName" -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>" <!--NeedCopy-->
如果您更新命名方案,Citrix 会将命名方案更新为新的成员资格规则。如果您删除目录,则成员资格规则将被删除,而不是安全组。
删除具有 Microsoft Entra 已加入设备安全组的计算机目录
当您删除计算机目录时,Microsoft Entra 已加入设备安全组也会被删除。
要删除 Microsoft Entra 动态安全组,请执行以下操作:
- 登录到 Microsoft Entra ID。
- 获取 MS Graph API 的访问令牌。在运行 PowerShell 命令时,将此访问令牌用作
$AzureADAccessToken参数的值。如果您使用 Microsoft Entra 服务帐户,则不需要 Microsoft Entra 访问令牌。 -
运行以下命令:
Remove-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -AzureADAccessToken $AzureADAccessToken <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Remove-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -ServiceAccountUid @("<service account uid>") -StartCount 1 -WorkgroupMachine -ZoneUid "<Zone UID>" <!--NeedCopy-->
在现有 Microsoft Entra ID 分配的安全组下创建 Microsoft Entra 动态安全组
您可以在现有 Microsoft Entra ID 分配的安全组下创建 Microsoft Entra 动态安全组。您可以执行以下操作:
- 获取安全组信息。
- 获取所有从本地 AD 服务器同步的 Microsoft Entra ID 分配的安全组,或可为其分配 Microsoft Entra 角色的分配的安全组。
- 获取所有 Microsoft Entra 动态安全组。
- 将 Microsoft Entra 动态安全组添加为 Microsoft Entra ID 分配组的成员。
- 当 Microsoft Entra 动态安全组随计算机目录一起删除时,移除 Microsoft Entra 动态安全组与 Microsoft Entra ID 分配的安全组之间的成员资格。
当任何操作失败时,您还可以看到明确的错误消息。
要求:
在运行 PowerShell 命令时,您必须拥有 MS Graph API 的访问令牌。如果您使用 Microsoft Entra 服务帐户,则不需要 Microsoft Entra 访问令牌。因此,请使用 ServiceAccountUid <service account uid> 而不是 -AccessToken <token>。
要获取访问令牌:
- 打开 Microsoft Graph Explorer 并登录到 Microsoft Entra ID。
- 确保您已同意 Group.ReadWrite.All 和 GroupMember.ReadWrite.All 权限。
- 从 Microsoft Graph Explorer 获取访问令牌。在运行 PowerShell 命令时,请使用此访问令牌。
按组 ID 获取安全组信息:
- 获取访问令牌。
- 从 Azure 门户查找组对象 ID。
-
在 PowerShell 控制台中运行以下 PowerShell 命令:
Get-AcctAzureADSecurityGroup -AccessToken <token> -GroupId <GroupUid> <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -GroupId <GroupUid> <!--NeedCopy-->
按组显示名称获取安全组:
- 获取访问令牌。
-
在 PowerShell 控制台中运行以下 PowerShell 命令:
Get-AcctAzureADSecurityGroup -AccessToken <token> -Name <TargetGroupDisplayName> <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -Name <TargetGroupDisplayName> <!--NeedCopy-->
获取显示名称包含子字符串的安全组:
- 获取访问令牌。
-
在 PowerShell 控制台中运行以下 PowerShell 命令:
Get-AcctAzureADSecurityGroup -AccessToken <token> -SearchString <displayNameSubString> <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -SearchString <displayNameSubString> <!--NeedCopy-->
获取所有从本地 AD 服务器同步的 Microsoft Entra ID 分配的安全组,或可分配 Microsoft Entra 角色的安全组:
- 获取访问令牌。
-
在 PowerShell 控制台中运行以下 PowerShell 命令:
Get-AcctAzureADSecurityGroup -AccessToken <token> -Assigned true <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -Assigned true <!--NeedCopy-->
获取所有 Microsoft Entra 动态安全组:
- 获取访问令牌。
-
在 PowerShell 控制台中运行以下 PowerShell 命令:
Get-AcctAzureADSecurityGroup -AccessToken <token> -Dynamic true <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -Dynamic true <!--NeedCopy-->
获取具有最大记录数的 Microsoft Entra ID 分配的安全组:
- 获取访问令牌。
-
在 PowerShell 控制台中运行以下 PowerShell 命令:
Get-AcctAzureADSecurityGroup -AccessToken <token> -Assigned true -MaxRecordCount 10 <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Get-AcctAzureADSecurityGroup -ServiceAccountUid <guid> -Assigned true -MaxRecordCount 10 <!--NeedCopy-->
将 Microsoft Entra 动态安全组添加为 Microsoft Entra ID 分配的安全组的成员:
- 获取访问令牌。
-
在 PowerShell 控制台中运行以下 PowerShell 命令:
Add-AcctAzureADSecurityGroupMember -AccessToken <token> -GroupId <ASG-Id> -RefGroupId <DSG-Id> <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Add-AcctAzureADSecurityGroupMember -ServiceAccountUid <guid> -GroupId <ASG-Id> -RefGroupId <DSG-Id> <!--NeedCopy-->
获取 Microsoft Entra ID 分配的安全组成员:
- 获取访问令牌。
-
在 PowerShell 控制台中运行以下 PowerShell 命令:
Get-AcctAzureADSecurityGroupMember -AccessToken <token> -GroupId <ASG-Id> <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Get-AcctAzureADSecurityGroupMember -ServiceAccountUid <guid> -GroupId <ASG-Id> <!--NeedCopy-->注意:
Get-AcctAzureADSecurityGroupMember仅提供 Microsoft Entra ID 分配的安全组下安全组类型的直接成员。
当 Microsoft Entra 动态安全组与计算机目录一起删除时,移除 Microsoft Entra 动态安全组和 Microsoft Entra ID 分配的安全组之间的成员资格:
- 获取访问令牌。
-
在 PowerShell 控制台中运行以下 PowerShell 命令:
Remove-AcctIdentityPool -IdentityPoolName "SecurityGroupCatalog" -AzureADAccessToken $AzureADAccessToken <!--NeedCopy-->或者,如果您使用的是 Microsoft Entra 服务帐户,请运行以下命令:
Remove-AcctIdentityPool -ServiceAccountUid <guid> -IdentityPoolName "SecurityGroupCatalog" <!--NeedCopy-->
修改 Microsoft Entra 动态安全组名称
您可以修改与计算机目录关联的 Microsoft Entra 动态安全组名称。此修改使存储在 Microsoft Entra 身份池对象中的安全组信息与存储在 Azure 门户中的信息保持一致。
注意:
Microsoft Entra 动态安全组不包括从本地 AD 同步的安全组以及其他组类型(如 Office 365 组)。
您可以使用 Studio 和 PowerShell 命令修改 Microsoft Entra 动态安全组名称。
使用 PowerShell 修改 Microsoft Entra 动态安全组名称:
- 打开 PowerShell 窗口。
- 运行
asnp citrix*以加载 Citrix 特定的 PowerShell 模块。 - 运行命令
Set-AcctIdentityPool -AzureAdSeurityGroupName [DSG-Name]。
如果无法修改 Microsoft Entra 动态安全组名称,您将收到相应的错误消息。