This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
已启用 Microsoft Intune 的计算机标识的标识池
注意:
自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。 在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。
本文介绍如何使用 Citrix DaaS 创建启用了 Microsoft Intune 的计算机身份的身份池。
您可以创建:
- 在 Microsoft Intune 中注册的已加入 Azure AD 的目录,适用于持久性和非持久性、单会话和多会话 VM。 有关创建目录的信息,请参阅 创建在 Microsoft Intune 中注册的 Azure AD 目录.
- 在 Microsoft Intune 中注册的已加入混合 Azure AD 的目录,使用具有共同管理功能的设备凭据进行持久单会话和多会话 VM。 有关创建目录的信息,请参阅 创建在 Microsoft Intune 中注册的已加入混合 Azure AD 的目录. 您还可以为非持久性单会话和多会话 VM 创建在 Microsoft Intune 中注册的已加入混合 Azure AD 的目录。 但是,这目前处于 Preview 下。 看 将已加入混合 Entra ID 的非持久性 VM 注册到 Microsoft Intune.
有关要求、限制和注意事项的信息,请参阅 Microsoft Intune。
创建在 Microsoft Intune 中注册的 Azure AD 目录
您可以使用 Studio 和 PowerShell 为持久性和非持久性 VM 创建在 Microsoft Intune 中注册的 Azure AD 目录。
使用 Studio
以下信息用于补充创建计算机目录中的指导信息。
在目录创建向导中执行以下操作:
-
在 计算机标识 页:
- 选择 已加入 Azure Active Directory 然后 在 Microsoft Intune 中注册计算机. 如果启用,请在 Microsoft Intune 中注册计算机以进行管理。 您可以为持久性和非持久性单会话和多会话 VM 创建在 Microsoft Intune 中注册的已加入 Azure AD 的目录。 但是,对于非持久性 VM,VDA 版本必须为 2407 或更高版本。
-
点击 选择服务帐户 ,然后从列表中选择一个可用的服务账户。 如果计算机身份将加入的 Azure AD 租户没有合适的服务帐户,则可以创建服务帐户。 有关服务账户的信息,请参阅 Azure AD 服务帐户.
注意:
由于各种原因,您选择的服务账户可能处于运行状况不佳。 您可以转到 管理员 > 服务帐户 自 查看详情 ,然后根据建议修复问题。 或者,您可以继续执行计算机目录操作,并在以后修复问题。 如果不修复该问题,则会生成已加入 Azure AD 或已注册 Microsoft Intune 的过时设备,这可能会阻止计算机的 Azure AD 加入。
使用 PowerShell
以下是等效于 Studio 中的操作的 PowerShell 步骤。
要使用远程 PowerShell SDK 在 Microsoft Intune 中注册计算机,请使用 New-AcctIdentityPool
中的 DeviceManagementType
参数。 此功能要求目录已加入 Azure AD,并且 Azure AD 拥有正确的Microsoft Intune 许可证。 例如:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -ServiceAccountUid $serviceAccountUid -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
故障排除
如果计算机无法在 Microsoft Intune 中注册,请执行以下操作:
-
检查 MCS 配置的计算机是否已加入 Azure AD。 如果计算机未加入 Azure AD,则无法在Microsoft Intune 中注册。 看 解决 排查 Azure AD 联接问题。
-
检查是否为您的 Azure AD 租户分配了相应的 Intune 许可证。 有关 Microsoft Intune 的许可要求,请参阅 https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses。
-
对于将主映像与 VDA 版本 2206 或更早版本结合使用的目录,请检查 AADLoginForWindows 机器的扩展。 如果 AADLoginForWindows 扩展程序不存在,可能的原因如下:
-
与配置方案关联的身份池的
IdentityType
未设置为AzureAD
,或者DeviceManagementType
未设置为Intune
。 可以通过运行Get-AcctIdentityPool
来验证这一点。 -
Azure 策略已阻止 AADLoginForWindows 扩展安装。
-
-
要对 AADLoginForWindows 扩展程序配置失败进行故障排除,您可以在 MCS 已配置的计算机上查看
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows
下的日志。注意:
使用 VDA 版本 2209 或更高版本的主映像时,MCS 不依赖
AADLoginForWindows
扩展程序将 VM 加入 Azure AD 并注册到 Microsoft Intune。 在这种情况下,AADLoginForWindows
扩展未安装在 MCS 置备的计算机上。 因此,无法收集AADLoginForWindows
扩展程序预配日志。 -
在“应用程序和服务日志”>“Microsoft”>“Windows”>“DeviceManagement-Enterprise-Diagnostics-Provider”下查看 Windows 事件日志。
-
由于各种原因,您选择的服务账户可能处于运行状况不佳。 您可以转到 管理员 > 服务帐户 自 查看详情 ,然后根据建议修复问题。 如果不修复该问题,则会生成已加入 Azure AD 或已注册 Microsoft Intune 的过时设备,这可能会阻止计算机的 Azure AD 加入。
创建在 Microsoft Intune 中注册的已加入混合 Azure AD 的目录
您可以为在 Microsoft Intune 中注册的已加入混合 Azure AD 的目录创建启用共同管理的目录,用于持久性单会话和多会话 VM。 您可以使用 Studio 和 PowerShell 创建启用了共同管理的目录。
使用 Studio
以下信息是对 创建计算机目录.
在 计算机目录设置 巫师:
- 在 计算机标识 页面上,选择 已加入混合 Azure Active Directory 然后 使用 Configuration Manager 在 Microsoft Intune 中注册计算机. 使用此操作,Configuration Manager 和 Microsoft Intune(即共同管理)管理 VM。
使用 PowerShell
以下是与 Studio 中的步骤等效的 PowerShell 步骤。
要使用远程 PowerShell SDK 通过 Configuration Manager 在 Microsoft Intune 中注册计算机,请使用 DeviceManagementType 设备管理类型
参数 New-AcctIdentityPool (新帐户身份池)
. 此功能要求目录已加入混合 Azure AD,并且 Azure AD 拥有正确的 Microsoft Intune 许可证。
已加入混合 Azure AD 的目录与启用了共同管理的目录之间的区别在于身份池的创建。 例如:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
故障排除
如果计算机无法在 Microsoft Intune 中注册或无法达到共同管理状态,请执行以下操作:
-
检查 Intune 许可证
检查是否为您的 Azure AD 租户分配了相应的 Intune 许可证。 看 Microsoft Intune 许可 了解 Microsoft Intune 的许可证要求。
-
检查混合 Azure AD 加入状态
检查 MCS 置备的计算机是否已加入混合 Azure AD。 如果未加入混合 Azure AD,则计算机不符合共同管理的条件。 看 解决 以解决混合 Azure AD 联接问题。
-
检查共同管理资格
-
检查是否为配置了 MCS 的计算机正确分配了预期的 Configuration Manager 站点。 要获取分配的站点,请在受影响的计算机上运行以下 PowerShell 命令。
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy-->
-
如果未将站点分配给 VM,请使用以下命令检查是否可以自动发现 Configuration Manager 站点。
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy-->
-
如果无法发现站点代码,请确保在 Configuration Manager 环境中正确配置边界和边界组。 看 考虑 了解详情。
-
检查
C:\Windows\CCM\Logs\ClientLocation.log
对于任何 Configuration Manager 客户端站点分配问题。 -
检查计算机的共同管理状态。 打开 Configuration Manager 控制面板 ,然后转到 常规 标签。 共同管理属性的值必须为 启用. 如果没有,请检查
C:\Windows\CCM\Logs\CoManagementHandler.log
.
-
-
检查 Intune 注册
即使满足所有先决条件,计算机也可能无法在 Microsoft Intune 中注册。 检查 Windows 事件日志 应用程序和服务日志 > Microsoft > 窗户 > DeviceManagement-Enterprise-Diagnostics-Provider 了解 Intune 注册问题。
更多信息
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.