微软 Entra 混合加入

本文介绍了创建 Microsoft Entra 混合加入目录和已注册到 Microsoft Intune 的 Microsoft Entra 混合加入目录的身份池的要求，以及系统要求部分中概述的要求。

Microsoft Entra 混合加入的计算机使用本地 AD 作为身份验证提供程序。您可以将它们分配给本地 AD 中的域用户或组。要启用 Microsoft Entra ID 无缝 SSO 体验，您需要将域用户同步到 Microsoft Entra ID。

注意：

Microsoft Entra 混合加入的 VM 在联合身份和托管身份基础结构中均受支持。

微软 Entra 混合加入的要求

• VDA 类型：单会话（仅限桌面）或多会话（应用程序和桌面）
• VDA 版本：2212 或更高版本
• 预配类型：Machine Creation Services™ (MCS)，支持持久性与非持久性两种模式
• 分配类型：专用和池化
• 托管平台：任何虚拟机管理程序或云服务

Microsoft Entra 混合加入所面临的限制

• 如果使用 Citrix 联合身份验证服务 (FAS)，单点登录将定向到本地 Active Directory 而非 Microsoft Entra ID。在这种情况下，建议配置 Microsoft Entra 基于证书的身份验证，以便在用户登录时生成主刷新令牌 (PRT)，从而在会话内实现对 Microsoft Entra 资源的单点登录。否则，PRT 将不存在，并且对 Microsoft Entra 资源的单点登录 (SSO) 将不起作用。有关使用 Citrix 联合身份验证服务 (FAS) 实现对混合加入 VDA 的 Microsoft Entra 单点登录 (SSO) 的信息，请参阅 混合加入的 VDA。
• 在创建或更新计算机目录时，请勿跳过映像准备。如果要跳过映像准备，请确保主 VM 不是 Microsoft Entra 或 Microsoft Entra 混合加入的。

关于 Microsoft Entra 混合加入的注意事项

• 创建 Microsoft Entra 混合加入的计算机需要在目标域中具有 Write userCertificate 权限。请确保在创建目录时输入具有该权限的管理员凭据。

• Microsoft Entra 混合加入过程由 Citrix 管理。您需要按如下方式在主 VM 中禁用由 Windows 控制的 autoWorkplaceJoin。手动禁用 autoWorkplaceJoin 的任务仅适用于 VDA 2212 或更早版本。

  1. 运行 gpedit.msc。
  2. 导航到 计算机配置 > 管理模板 > Windows 组件 > 设备注册。
  3. 将 将已加入域的计算机注册为设备 设置为 已禁用。

• 创建计算机身份时，选择配置为与 Microsoft Entra ID 同步的组织单位 (OU)。

• 对于基于 Windows 11 22H2 的主 VM，请在主 VM 中创建一个计划任务，该任务在系统启动时使用 SYSTEM 帐户执行以下命令。在主 VM 中安排此任务仅适用于 VDA 2212 或更早版本。

   $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
   $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
   $MaxCount = 60
  
   for ($count = 1; $count -le $MaxCount; $count++)
   {
     if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
     {
       $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
       if ($provider -eq 'Citrix')
       {
           break;
       }
  
       if ($provider -eq 1)
       {
           Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
           Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
           Start-Sleep 5
           dsregcmd /join
           break
       }
     }
  
     Start-Sleep 1
   }
   <!--NeedCopy-->
  

• 默认情况下，Microsoft Entra Connect 每 30 分钟同步一次。预配的计算机在首次启动时可能需要长达 30 分钟才能完成 Microsoft Entra 混合加入。

在 微软 Intune 中注册的 微软 Entra 混合加入目录

已注册到 Microsoft Intune 的 Microsoft Entra 混合加入目录、持久性单会话和多会话 VM 使用具有共同管理功能的设备凭据。

共同管理使您能够使用 Configuration Manager 和 Microsoft Intune 同时管理 Windows 10 或更高版本的设备。有关详细信息，请参阅共同管理。

针对 Microsoft Entra 混合加入的目录，在 Microsoft Intune 中进行注册的先决条件

在启用此功能之前，请验证以下各项：

• 您的 Azure 环境满足使用 Microsoft Intune 的许可要求。有关详细信息，请参阅 Microsoft 文档。
• 您有一个已启用共同管理的有效 Configuration Manager 部署。有关详细信息，请参阅 Microsoft 文档。

在 微软 Intune 中注册的 微软 Entra 混合加入目录的要求

• VDA 类型：单会话或多会话
• VDA 版本：2407 或更高版本
• 预配类型：Machine Creation Service (MCS)，持久。在 Microsoft Intune 中注册的用于非持久性单会话和多会话 VM 的 Microsoft Entra 混合加入目录目前处于预览阶段。请参阅 将混合 Entra ID 加入的非持久性 VM 注册到 Microsoft Intune。
• 分配类型：专用和池化
• 托管平台：任何虚拟机管理程序或云服务

在 微软 Intune 中注册的 微软 Entra 混合加入目录的限制

• 创建或更新计算机目录时，请勿跳过映像准备。
• 不支持配置管理器的基于互联网的客户端管理 (IBCM)。

在 微软 Intune 中注册的 微软 Entra 混合加入目录的注意事项

• 如果目录中同时启动的计算机过多，Intune 注册可能会延迟。

  Microsoft 对每个租户的 Intune 注册施加了限制，该限制规定了在特定时间范围内可以注册的设备数量。允许的设备数量因与租户关联的 Microsoft Intune 许可证数量而异。请咨询您的 Microsoft 客户团队，以了解您的租户的允许限制。此方法有助于 Microsoft Intune 注册更好地扩展以适应大型环境。

  对于持久性计算机，所有设备完成 Intune 注册可能需要初始等待时间。

  对于非持久性计算机，请考虑限制 Autoscale™ 或手动电源操作中的并发电源操作。

• 配置云连接，用于配置管理器。有关详细信息，请参阅 Microsoft 文档。
• 在主 VM 上手动安装 Configuration Manager 客户端，不使用 .\CCMSetup.exe /mp:SCCMServer /logon FSP=SCCMServer 分配站点代码。SCCMServer 是您环境中的 SCCM 服务器名称。有关详细信息，请参阅 Microsoft 文档。

• MCS 创建的计算机使用自动站点分配机制来查找发布到 Active Directory 域服务的站点边界组。确保在您的环境中配置了 Configuration Manager 的 边界和边界组。如果自动站点分配不可用，可以通过以下注册表设置在主 VM 中配置静态 Configuration Manager 站点代码：

  密钥：

   HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
   <!--NeedCopy-->
  

  值名称：MdmSccmSiteCode

  值类型：字符串

  值数据：the site code to be assigned

后续步骤

有关创建 Microsoft Entra 混合联接目录的身份池的详细信息，请参阅 Microsoft Entra 混合联接计算机身份的身份池。