产品文档
Citrix DaaS
查看 PDF

已启用 Microsoft Intune 的计算机标识的标识池

May 21, 2025
投稿者: 
C

注意:

自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。 在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。

本文介绍如何使用 Citrix DaaS 创建启用了 Microsoft Intune 的计算机身份的身份池。

您可以创建:

有关要求、限制和注意事项的信息,请参阅 Microsoft Intune

创建在 Microsoft Intune 中注册的 Azure AD 目录

您可以使用 Studio 和 PowerShell 为持久性和非持久性 VM 创建在 Microsoft Intune 中注册的 Azure AD 目录。

有关要求、限制和注意事项的信息,请参阅:

使用 Studio

以下信息用于补充创建计算机目录中的指导信息。

在目录创建向导中执行以下操作:

  • 计算机标识 页:

    • 选择 已加入 Azure Active Directory 然后 在 Microsoft Intune 中注册计算机. 如果启用,请在 Microsoft Intune 中注册计算机以进行管理。 您可以为持久性和非持久性单会话和多会话 VM 创建在 Microsoft Intune 中注册的已加入 Azure AD 的目录。 但是,对于非持久性 VM,VDA 版本必须为 2407 或更高版本。

    • 点击 选择服务帐户 ,然后从列表中选择一个可用的服务账户。 如果计算机身份将加入的 Azure AD 租户没有合适的服务帐户,则可以创建服务帐户。 有关服务账户的信息,请参阅 Azure AD 服务帐户.

      注意:

      由于各种原因,您选择的服务账户可能处于运行状况不佳。 您可以转到 管理员 > 服务帐户查看详情 ,然后根据建议修复问题。 或者,您可以继续执行计算机目录操作,并在以后修复问题。 If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.

使用 PowerShell

以下是等效于 Studio 中的操作的 PowerShell 步骤。

要使用远程 PowerShell SDK 在 Microsoft Intune 中注册计算机,请使用 New-AcctIdentityPool 中的 DeviceManagementType 参数。 此功能要求目录已加入 Azure AD,并且 Azure AD 拥有正确的Microsoft Intune 许可证。 例如:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

使用准备好的映像创建在 Microsoft Intune 中注册的 Azure AD 目录的示例:

  New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

故障排除

如果计算机无法在 Microsoft Intune 中注册,请执行以下操作:

  • 检查 MCS 配置的计算机是否已加入 Azure AD。 如果计算机未加入 Azure AD,则无法在Microsoft Intune 中注册。 看 解决 排查 Azure AD 联接问题。

  • 检查是否为您的 Azure AD 租户分配了相应的 Intune 许可证。 有关 Microsoft Intune 的许可要求,请参阅 https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses

  • 对于将主映像与 VDA 版本 2206 或更早版本结合使用的目录,请检查 AADLoginForWindows 机器的扩展。 如果 AADLoginForWindows 扩展程序不存在,可能的原因如下:

    • 与配置方案关联的身份池的 IdentityType 未设置为 AzureAD,或者 DeviceManagementType 未设置为 Intune。 可以通过运行 Get-AcctIdentityPool 来验证这一点。

    • Azure 策略已阻止 AADLoginForWindows 扩展安装。

  • 要对 AADLoginForWindows 扩展程序配置失败进行故障排除,您可以在 MCS 已配置的计算机上查看 C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows 下的日志。

    注意:

    使用 VDA 版本 2209 或更高版本的主映像时,MCS 不依赖 AADLoginForWindows 扩展程序将 VM 加入 Azure AD 并注册到 Microsoft Intune。 在这种情况下, AADLoginForWindows 扩展未安装在 MCS 置备的计算机上。 因此,无法收集 AADLoginForWindows 扩展程序预配日志。

  • 在“应用程序和服务日志”>“Microsoft”>“Windows”>“DeviceManagement-Enterprise-Diagnostics-Provider”下查看 Windows 事件日志。

  • 由于各种原因,您选择的服务账户可能处于运行状况不佳。 您可以转到 管理员 > 服务帐户查看详情 ,然后根据建议修复问题。 If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.

创建在 Microsoft Intune 中注册的已加入混合 Azure AD 的目录

您可以为在 Microsoft Intune 中注册的已加入混合 Azure AD 的目录创建启用共同管理的目录,用于持久性单会话和多会话 VM。 您可以使用 Studio 和 PowerShell 创建启用了共同管理的目录。

有关要求、限制和注意事项的信息,请参阅:

使用 Studio

以下信息是对 创建计算机目录.

计算机目录设置 巫师:

  • 计算机标识 页面上,选择 已加入混合 Azure Active Directory 然后 使用 Configuration Manager 在 Microsoft Intune 中注册计算机. 使用此操作,Configuration Manager 和 Microsoft Intune(即共同管理)管理 VM。

使用 PowerShell

以下是与 Studio 中的步骤等效的 PowerShell 步骤。

要使用远程 PowerShell SDK 通过 Configuration Manager 在 Microsoft Intune 中注册计算机,请使用 DeviceManagementType 设备管理类型 参数 New-AcctIdentityPool (新帐户身份池). 此功能要求目录已加入混合 Azure AD,并且 Azure AD 拥有正确的 Microsoft Intune 许可证。

已加入混合 Azure AD 的目录与启用了共同管理的目录之间的区别在于身份池的创建。 例如:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

您还可以使用准备好的图像创建在 Microsoft Intune 中注册的持久混合 Azure AD 目录。 有关创建映像定义、映像版本和准备好的映像版本规范的完整 PowerShell 命令集,请参阅:

创建准备好的镜像版本规范后,创建身份池和机器目录。 例如:

  New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC##  -NamingSchemeType "Numeric"  -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD" -DeviceManagement IntuneWithSCCM

  New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

注意:

将混合 Azure AD 加入的非持久性 VM 注册到 Microsoft Intune 目前处于 预览状态。

故障排除

如果计算机无法在 Microsoft Intune 中注册或无法达到共同管理状态,请执行以下操作:

  • 检查 Intune 许可证

    检查是否为您的 Azure AD 租户分配了相应的 Intune 许可证。 看 Microsoft Intune 许可 了解 Microsoft Intune 的许可证要求。

  • 检查混合 Azure AD 加入状态

    检查 MCS 置备的计算机是否已加入混合 Azure AD。 如果未加入混合 Azure AD,则计算机不符合共同管理的条件。 看 解决 以解决混合 Azure AD 联接问题。

  • 检查共同管理资格

    • 检查是否为配置了 MCS 的计算机正确分配了预期的 Configuration Manager 站点。 要获取分配的站点,请在受影响的计算机上运行以下 PowerShell 命令。

         (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • 如果未将站点分配给 VM,请使用以下命令检查是否可以自动发现 Configuration Manager 站点。

         (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • 如果无法发现站点代码,请确保在 Configuration Manager 环境中正确配置边界和边界组。 看 考虑 了解详情。

    • 检查 C:\Windows\CCM\Logs\ClientLocation.log 对于任何 Configuration Manager 客户端站点分配问题。

    • 检查计算机的共同管理状态。 打开 Configuration Manager 控制面板 ,然后转到 常规 标签。 共同管理属性的值必须为 启用. 如果没有,请检查 C:\Windows\CCM\Logs\CoManagementHandler.log.

  • 检查 Intune 注册

    即使满足所有先决条件,计算机也可能无法在 Microsoft Intune 中注册。 检查 Windows 事件日志 应用程序和服务日志 > Microsoft > 窗户 > DeviceManagement-Enterprise-Diagnostics-Provider 了解 Intune 注册问题。

更多信息

已启用 Microsoft Intune 的计算机标识的标识池
May 21, 2025
投稿者: 
C
May 21, 2025
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.