混合 Azure Active Directory 加入的计算机身份的身份池

注意：

自 2023 年 7 月起，微软已将 Azure 活动目录 (Azure AD) 重命名为微软 Entra ID。在本文档中，任何提及 Azure 活动目录、Azure AD 或 AAD 的地方现在均指微软 Entra ID。

本文介绍如何创建以下身份池：

• 混合 Azure 活动目录 (AD) 加入的目录
• 已注册微软端点管理器的混合 Azure 活动目录加入的目录

有关要求、限制和注意事项的信息，请参阅 混合 Azure Active Directory 加入。

创建混合 Azure 活动目录 (AD) 加入的目录

使用 Web Studio 进行操作

以下信息是对 创建计算机目录 中指南的补充。

在目录创建向导的计算机身份页面上：

• 选择混合 Azure Active Directory 加入。创建的计算机由组织拥有，并使用属于该组织的 Active Directory 帐户登录。

• 要将创建的计算机注册到 Microsoft Intune（包括 Configuration Manager）以进行设备管理，请选择使用 Configuration Manager 将计算机注册到 Microsoft Intune。为避免在目录创建过程中出现错误，请确保主映像满足以下要求：

  • 已安装 VDA 2405 或更高版本。
  • 已安装Configuration Manager 客户端，且站点代码未分配。有关详细信息，请参阅这篇 Microsoft 文章。

注意：

如果您选择将 混合 Azure Active Directory 联接 作为身份类型，则目录中的每台计算机都必须具有相应的 AD 计算机帐户。

使用 PowerShell 命令行工具

以下是与 Web Studio 中的操作等效的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息，请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。

本地 AD 联接目录与混合 Azure AD 联接目录之间的区别在于身份池和计算机帐户的创建。

要为混合 Azure AD 联接目录创建身份池和帐户：

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注意：

$password 是具有写入权限的 AD 用户帐户的匹配密码。

用于创建混合 Azure AD 联接目录的所有其他命令与传统的本地 AD 联接目录相同。

查看混合 Azure AD 联接过程的状态

在 Web Studio 中，当交付组中的混合 Azure AD 联接计算机处于开机状态时，混合 Azure AD 联接过程的状态可见。要查看状态，请使用 搜索 识别这些计算机，然后在下部窗格的“详细信息”选项卡上检查每台计算机的“计算机身份”。以下信息可能会出现在“计算机身份”中：

• 混合 Azure 活动目录 已加入
• 尚未联接到 Azure AD

注意：

• 计算机首次开机时，可能会出现混合 Azure AD 联接延迟。这是由默认的计算机身份同步间隔（Azure AD Connect 的 30 分钟）引起的。只有通过 Azure AD Connect 将计算机身份同步到 Azure AD 后，计算机才处于混合 Azure AD 联接状态。
• 如果计算机未能处于混合 Azure AD 加入状态，它们将不会注册到 Delivery Controller。它们的注册状态显示为 Initialization。

此外，使用 Web Studio，您可以了解计算机不可用的原因。为此，请在“搜索”节点上单击一台计算机，在下部窗格的“详细信息”选项卡上查看“注册”，然后阅读工具提示以获取更多信息。

故障排除

如果计算机未能加入混合 Azure AD，请执行以下操作：

• 通过 Microsoft Azure AD 门户检查计算机帐户是否已同步到 Azure AD。如果已同步，则显示“Not yet joined to Azure AD”，表示注册状态待定。

  要将计算机帐户同步到 Azure AD，请确保：

  • 计算机帐户位于配置为与 Azure AD 同步的 OU 中。即使计算机帐户位于配置为同步的 OU 中，没有 userCertificate 属性的计算机帐户也不会同步到 Azure AD。
  • 属性 userCertificate 会填充到计算机帐户中。使用 活动目录资源管理器 查看该属性。
  • 创建计算机帐户后，Azure AD Connect 必须至少同步过一次。如果未同步，请在 Azure AD Connect 计算机的 PowerShell 控制台中手动运行 Start-ADSyncSyncCycle -PolicyType Delta 命令以触发即时同步。

• Check if the Citrix managed device key pair for hybrid Azure AD join is correctly pushed to the machine by querying the value of DeviceKeyPairRestored under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

  验证该值是否为 1。如果不是，可能的原因是：

  • 与预配方案关联的身份池的 IdentityType 未设置为 HybridAzureAD。您可以通过运行 Get-AcctIdentityPool 来验证这一点。
  • 计算机未通过计算机目录的相同预配方案进行预配。
  • 计算机未加入本地域。加入本地域是混合 Azure AD 加入的先决条件。

• 通过在 MCS 预配的计算机上运行 dsregcmd /status /debug 命令来检查诊断消息。

  • If hybrid Azure AD join is successful, AzureAdJoined and DomainJoined are YES in the output of the command line.

  • 如果未成功，请参阅 Microsoft 文档以排查问题：https://docs.microsoft.com/zh-cn/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current。

  • 如果您收到错误消息 服务器消息：用户证书未在 ID 为 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 的设备上找到，请运行以下 PowerShell 命令来修复用户证书：

     Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
     <!--NeedCopy-->
    

    有关用户证书问题的详细信息，请参阅 CTX566696。

创建已注册到 Microsoft Intune 的混合 Azure 活动目录加入的目录

您可以为已注册到 Microsoft Intune 的混合 Azure AD 加入目录创建启用共同管理的目录，以用于持久性单会话和多会话 VM。您可以使用 Studio 和 PowerShell 创建启用共同管理的目录。

使用网络工作室

以下信息是对 创建计算机目录 中指南的补充。

在计算机目录设置向导中：

• 在“计算机身份”页面上，选择“混合 Azure Active Directory 加入”，然后选择“使用 配置管理器 将计算机注册到 微软 Intune”。通过此操作，配置管理器 和 微软 Intune（即共同管理）将管理虚拟机。

使用 PowerShell 命令行工具

以下是与 Studio 中的步骤等效的 PowerShell 步骤。

要使用远程 PowerShell 开发工具包将计算机注册到 Microsoft Intune 并使用配置管理器，请在 New-AcctIdentityPool 中使用 DeviceManagementType 参数。此功能要求目录已加入混合 Azure AD，并且 Azure AD 拥有正确的 Microsoft Intune 许可证。

混合 Azure AD 加入目录与启用共同管理的目录之间的区别在于身份池的创建。例如：

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

故障排除

如果计算机无法注册到 Microsoft Intune 或无法达到共同管理状态，请执行以下操作：

• 检查 Intune 许可证

  检查您的 Azure AD 租户是否已分配适当的 Intune 许可证。有关 Microsoft Intune 的许可证要求，请参阅 Microsoft Intune 许可。

• 检查混合 Azure AD 加入状态

  检查 MCS 预配的计算机是否已加入混合 Azure AD。如果未加入混合 Azure AD，则计算机不符合共同管理的条件。请参阅 故障排除 以排查混合 Azure AD 加入问题。

• 检查共同管理资格

  • 检查 MCS 预配的计算机是否已正确分配预期的 Configuration Manager 站点。要获取分配的站点，请在受影响的计算机上运行以下 PowerShell 命令。

     (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
     <!--NeedCopy-->
    

  • 如果未向 VM 分配站点，请使用以下命令检查 Configuration Manager 站点是否可以自动发现。

     (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
     <!--NeedCopy-->
    

  • 如果无法发现站点代码，请确保在 Configuration Manager 环境中正确配置了边界和边界组。有关详细信息，请参阅 注意事项。

  • 检查 C:\Windows\CCM\Logs\ClientLocation.log 以了解任何 Configuration Manager 客户端站点分配问题。

  • 检查计算机的共同管理状态。在受影响的计算机上打开 Configuration Manager 控制面板，然后转到常规选项卡。共同管理属性的值必须为已启用。如果不是，请检查 C:\Windows\CCM\Logs\CoManagementHandler.log 下的日志。

• 检查 Intune 注册

  即使满足所有先决条件，计算机也可能无法注册到 Microsoft Intune。请在 应用程序和服务日志 > 微软 > 视窗 > DeviceManagement-Enterprise-Diagnostics-Provider 下检查 Windows 事件日志，以查找 Intune 注册问题。