混合 Azure Active Directory 加入的计算机身份的身份池

注意：

Since July 2023, Microsoft has renamed Azure Active Directory (Azure AD) to Microsoft Entra ID. In this document, any reference to Azure Active Directory, Azure AD, or AAD now refers to Microsoft Entra ID.

本文介绍了如何创建以下身份池：

• 混合 Azure 活动目录 (AD) 加入的目录
• 已注册到 Microsoft Intune 的混合 Azure 活动目录加入的目录

有关要求、限制和注意事项的信息，请参阅 混合 Azure Active Directory 加入。

创建混合 Azure 活动目录 (AD) 加入的目录

Use Web Studio

以下信息是对 创建计算机目录 中指导的补充。

在目录创建向导的“计算机身份”页面上：

• 选择“混合 Azure Active Directory 加入”。创建的计算机归组织所有，并使用属于该组织的 Active Directory 帐户登录。

• 要将创建的计算机注册到 Microsoft Intune（包括 Configuration Manager）以进行设备管理，请选择“使用 Configuration Manager 将计算机注册到 Microsoft Intune”。为避免在目录创建过程中出现错误，请确保主映像满足以下要求：

  • 已安装 VDA 2405 或更高版本。
  • 已安装“Configuration Manager 客户端”，且站点代码未分配。有关详细信息，请参阅这篇 Microsoft 文章。

注意：

如果选择混合 Azure Active Directory 加入作为身份类型，则目录中的每台计算机都必须具有相应的 AD 计算机帐户。

Use PowerShell

以下是与 Web Studio 中的操作等效的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息，请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。

本地 AD 加入的目录与混合 Azure AD 加入的目录之间的区别在于身份池和计算机帐户的创建。

要为混合 Azure AD 加入的目录创建身份池和帐户，请执行以下操作：

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注意：

$password 是具有写入权限的 AD 用户帐户的匹配密码。

用于创建混合 Azure AD 加入的目录的所有其他命令与传统的本地 AD 加入的目录相同。

查看混合 Azure AD 加入过程的状态

在 Web Studio 中，当交付组中的混合 Azure AD 加入的计算机处于开机状态时，可以看到混合 Azure AD 加入过程的状态。要查看状态，请使用 搜索 识别这些计算机，然后对于每台计算机，检查下部窗格中“详细信息”选项卡上的“计算机身份”。以下信息可能显示在“计算机身份”中：

• 混合 Azure AD 已加入
• 尚未加入 Azure 活动目录

注意：

• 计算机首次开机时，您可能会遇到混合 Azure AD 加入延迟的情况。这是由默认的计算机身份同步间隔（Azure AD Connect 的 30 分钟）引起的。计算机仅在通过 Azure AD Connect 将计算机身份同步到 Azure AD 后才处于混合 Azure AD 加入状态。
• 如果计算机未能处于混合 Azure AD 加入状态，它们将不会注册到 Delivery Controller。它们的注册状态显示为 初始化。

此外，使用 Web Studio，您可以了解计算机不可用的原因。为此，请在 搜索 节点上单击一台计算机，在下部窗格的 详细信息 选项卡上检查 注册，然后阅读工具提示以获取更多信息。

故障排除

如果计算机未能加入混合 Azure AD，请执行以下操作：

• 检查计算机帐户是否已通过 Microsoft Azure AD 门户同步到 Azure AD。如果已同步，则显示 尚未加入 Azure AD，表示注册状态待定。

  要将计算机帐户同步到 Azure AD，请确保：

  • 计算机帐户位于配置为与 Azure AD 同步的 OU 中。没有 userCertificate 属性的计算机帐户即使位于配置为同步的 OU 中，也不会同步到 Azure AD。
  • 属性 userCertificate 会填充到计算机帐户中。使用 Active Directory 资源管理器 查看该属性。
  • 计算机帐户创建后，Azure AD Connect 必须至少同步过一次。如果未同步，请在 Azure AD Connect 计算机的 PowerShell 控制台中手动运行 Start-ADSyncSyncCycle -PolicyType Delta 命令以触发即时同步。

• Check if the Citrix managed device key pair for hybrid Azure AD join is correctly pushed to the machine by querying the value of DeviceKeyPairRestored under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

  验证该值是否为 1。如果不是，可能的原因包括：

  • 与预配方案关联的身份池的 IdentityType 未设置为 HybridAzureAD。您可以通过运行 Get-AcctIdentityPool 来验证这一点。
  • 计算机未通过与计算机目录相同的预配方案进行预配。
  • 计算机未加入本地域。加入本地域是混合 Azure AD 加入的先决条件。

• 通过在 MCS 预配的计算机上运行 dsregcmd /status /debug 命令来检查诊断消息。

  • If hybrid Azure AD join is successful, AzureAdJoined and DomainJoined are YES in the output of the command line.

  • 如果未成功，请参阅 Microsoft 文档以排查问题：https://docs.microsoft.com/zh-cn/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current。

  • 如果收到错误消息 服务器消息：在 ID 为 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 的设备上找不到用户证书，请运行以下 PowerShell 命令来修复用户证书：

     Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
     <!--NeedCopy-->
    

    有关用户证书问题的更多信息，请参阅 CTX566696。

Create Hybrid Azure AD joined catalogs enrolled in Microsoft Intune

您可以为已注册到 Microsoft Intune 的混合 Azure AD 加入目录创建启用共同管理的目录，用于持久性单会话和多会话 VM。您可以使用 Studio 和 PowerShell 创建启用共同管理的目录。

Use Web Studio

以下信息是对 创建计算机目录 中指南的补充。

在计算机目录设置向导中：

• On the Machine Identities page, select Hybrid Azure Active Directory joined and then Enroll the machines in Microsoft Intune with Configuration Manager. Using this action, Configuration Manager and Microsoft Intune (that is, co-managed) manages the VMs.

Use PowerShell

以下是与 Studio 中的步骤等效的 PowerShell 步骤。

To enroll machines in Microsoft Intune with Configuration Manager using the Remote PowerShell SDK, use the DeviceManagementType parameter in New-AcctIdentityPool. This feature requires that the catalog is Hybrid Azure AD joined and that Azure AD possesses the correct Microsoft Intune license.

混合 Azure AD 加入目录与启用共同管理的目录之间的区别在于身份池的创建。例如：

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

故障排除

如果计算机未能注册到 Microsoft Intune 或未能达到共同管理状态，请执行以下操作：

• 检查 Intune 许可证

  检查您的 Azure AD 租户是否已分配适当的 Intune 许可证。有关 Microsoft Intune 的许可证要求，请参阅 Microsoft Intune 许可。

• 检查混合 Azure AD 加入状态

  检查 MCS 预配的计算机是否已加入混合 Azure AD。如果未加入混合 Azure AD，则计算机不符合共同管理的条件。有关混合 Azure AD 加入问题的故障排除，请参阅 故障排除。

• 检查共同管理资格

  • 检查 MCS 预配的计算机是否已正确分配预期的 Configuration Manager 站点。要获取分配的站点，请在受影响的计算机上运行以下 PowerShell 命令。

     (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
     <!--NeedCopy-->
    

  • 如果未向 VM 分配站点，请使用以下命令检查 Configuration Manager 站点是否可以自动发现。

     (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
     <!--NeedCopy-->
    

  • 如果无法发现站点代码，请确保在 Configuration Manager 环境中正确配置了边界和边界组。有关详细信息，请参阅 注意事项。

  • 检查 C:\Windows\CCM\Logs\ClientLocation.log 以了解任何 Configuration Manager 客户端站点分配问题。

  • 检查计算机的共同管理状态。在受影响的计算机上打开 Configuration Manager 控制面板，然后转到常规选项卡。共同管理属性的值必须为已启用。如果不是，请检查 C:\Windows\CCM\Logs\CoManagementHandler.log 下的日志。

• 检查 Intune 注册

  即使满足所有先决条件，计算机也可能无法注册到 Microsoft Intune。请在 应用程序和服务日志 > Microsoft > Windows > 设备管理-企业诊断-提供程序 下检查 Windows 事件日志，以查找 Intune 注册问题。