Citrix DaaS

已启用 Microsoft Intune 的计算机标识的标识池

注意:

自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。 在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。

本文介绍如何使用 Citrix DaaS 创建启用了 Microsoft Intune 的计算机身份的身份池。

您可以创建:

有关要求、限制和注意事项的信息,请参阅 Microsoft Intune

创建在 Microsoft Intune 中注册的 Azure AD 目录

您可以使用 Studio 和 PowerShell 为持久性和非持久性 VM 创建在 Microsoft Intune 中注册的 Azure AD 目录。

使用 Studio

以下信息用于补充创建计算机目录中的指导信息。

在目录创建向导中执行以下操作:

  • 计算机标识 页:

    • 选择 已加入 Azure Active Directory 然后 在 Microsoft Intune 中注册计算机. 如果启用,请在 Microsoft Intune 中注册计算机以进行管理。 您可以为持久性和非持久性单会话和多会话 VM 创建在 Microsoft Intune 中注册的已加入 Azure AD 的目录。 但是,对于非持久性 VM,VDA 版本必须为 2407 或更高版本。
    • 点击 选择服务帐户 ,然后从列表中选择一个可用的服务账户。 如果计算机身份将加入的 Azure AD 租户没有合适的服务帐户,则可以创建服务帐户。 有关服务账户的信息,请参阅 Azure AD 服务帐户.

      注意:

      由于各种原因,您选择的服务账户可能处于运行状况不佳。 您可以转到 管理员 > 服务帐户查看详情 ,然后根据建议修复问题。 或者,您可以继续执行计算机目录操作,并在以后修复问题。 如果不修复该问题,则会生成已加入 Azure AD 或已注册 Microsoft Intune 的过时设备,这可能会阻止计算机的 Azure AD 加入。

使用 PowerShell

以下是等效于 Studio 中的操作的 PowerShell 步骤。

要使用远程 PowerShell SDK 在 Microsoft Intune 中注册计算机,请使用 New-AcctIdentityPool 中的 DeviceManagementType 参数。 此功能要求目录已加入 Azure AD,并且 Azure AD 拥有正确的Microsoft Intune 许可证。 例如:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

故障排除

如果计算机无法在 Microsoft Intune 中注册,请执行以下操作:

  • 检查 MCS 配置的计算机是否已加入 Azure AD。 如果计算机未加入 Azure AD,则无法在Microsoft Intune 中注册。 看 解决 排查 Azure AD 联接问题。

  • 检查是否为您的 Azure AD 租户分配了相应的 Intune 许可证。 有关 Microsoft Intune 的许可要求,请参阅 https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses

  • 对于将主映像与 VDA 版本 2206 或更早版本结合使用的目录,请检查 AADLoginForWindows 机器的扩展。 如果 AADLoginForWindows 扩展程序不存在,可能的原因如下:

    • 与配置方案关联的身份池的 IdentityType 未设置为 AzureAD,或者 DeviceManagementType 未设置为 Intune。 可以通过运行 Get-AcctIdentityPool 来验证这一点。

    • Azure 策略已阻止 AADLoginForWindows 扩展安装。

  • 要对 AADLoginForWindows 扩展程序配置失败进行故障排除,您可以在 MCS 已配置的计算机上查看 C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows 下的日志。

    注意:

    使用 VDA 版本 2209 或更高版本的主映像时,MCS 不依赖 AADLoginForWindows 扩展程序将 VM 加入 Azure AD 并注册到 Microsoft Intune。 在这种情况下, AADLoginForWindows 扩展未安装在 MCS 置备的计算机上。 因此,无法收集 AADLoginForWindows 扩展程序预配日志。

  • 在“应用程序和服务日志”>“Microsoft”>“Windows”>“DeviceManagement-Enterprise-Diagnostics-Provider”下查看 Windows 事件日志。

  • 由于各种原因,您选择的服务账户可能处于运行状况不佳。 您可以转到 管理员 > 服务帐户查看详情 ,然后根据建议修复问题。 如果不修复该问题,则会生成已加入 Azure AD 或已注册 Microsoft Intune 的过时设备,这可能会阻止计算机的 Azure AD 加入。

创建在 Microsoft Intune 中注册的已加入混合 Azure AD 的目录

您可以为在 Microsoft Intune 中注册的已加入混合 Azure AD 的目录创建启用共同管理的目录,用于持久性单会话和多会话 VM。 您可以使用 Studio 和 PowerShell 创建启用了共同管理的目录。

使用 Studio

以下信息是对 创建计算机目录.

计算机目录设置 巫师:

  • 计算机标识 页面上,选择 已加入混合 Azure Active Directory 然后 使用 Configuration Manager 在 Microsoft Intune 中注册计算机. 使用此操作,Configuration Manager 和 Microsoft Intune(即共同管理)管理 VM。

使用 PowerShell

以下是与 Studio 中的步骤等效的 PowerShell 步骤。

要使用远程 PowerShell SDK 通过 Configuration Manager 在 Microsoft Intune 中注册计算机,请使用 DeviceManagementType 设备管理类型 参数 New-AcctIdentityPool (新帐户身份池). 此功能要求目录已加入混合 Azure AD,并且 Azure AD 拥有正确的 Microsoft Intune 许可证。

已加入混合 Azure AD 的目录与启用了共同管理的目录之间的区别在于身份池的创建。 例如:

  New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

故障排除

如果计算机无法在 Microsoft Intune 中注册或无法达到共同管理状态,请执行以下操作:

  • 检查 Intune 许可证

    检查是否为您的 Azure AD 租户分配了相应的 Intune 许可证。 看 Microsoft Intune 许可 了解 Microsoft Intune 的许可证要求。

  • 检查混合 Azure AD 加入状态

    检查 MCS 置备的计算机是否已加入混合 Azure AD。 如果未加入混合 Azure AD,则计算机不符合共同管理的条件。 看 解决 以解决混合 Azure AD 联接问题。

  • 检查共同管理资格

    • 检查是否为配置了 MCS 的计算机正确分配了预期的 Configuration Manager 站点。 要获取分配的站点,请在受影响的计算机上运行以下 PowerShell 命令。

         (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
       <!--NeedCopy-->
      
    • 如果未将站点分配给 VM,请使用以下命令检查是否可以自动发现 Configuration Manager 站点。

         (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
       <!--NeedCopy-->
      
    • 如果无法发现站点代码,请确保在 Configuration Manager 环境中正确配置边界和边界组。 看 考虑 了解详情。

    • 检查 C:\Windows\CCM\Logs\ClientLocation.log 对于任何 Configuration Manager 客户端站点分配问题。

    • 检查计算机的共同管理状态。 打开 Configuration Manager 控制面板 ,然后转到 常规 标签。 共同管理属性的值必须为 启用. 如果没有,请检查 C:\Windows\CCM\Logs\CoManagementHandler.log.

  • 检查 Intune 注册

    即使满足所有先决条件,计算机也可能无法在 Microsoft Intune 中注册。 检查 Windows 事件日志 应用程序和服务日志 > Microsoft > 窗户 > DeviceManagement-Enterprise-Diagnostics-Provider 了解 Intune 注册问题。

更多信息

已启用 Microsoft Intune 的计算机标识的标识池