产品文档
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
查看 PDF

Microsoft Entra 混合加入

April 16, 2026
投稿者: 
C C

本文介绍了创建 Microsoft Entra 混合加入目录和已注册到 Microsoft Intune 的 Microsoft Entra 混合加入目录的身份池的要求,以及系统要求部分中概述的要求。

Microsoft Entra 混合加入的计算机使用本地 AD 作为身份验证提供程序。您可以将它们分配给本地 AD 中的域用户或组。要启用 Microsoft Entra ID 无缝 SSO 体验,您需要将域用户同步到 Microsoft Entra ID。

注意:

  • Microsoft Entra 混合加入的 VM 在联合和托管身份基础结构中均受支持。

  • Microsoft Entra 混合加入的要求

  • VDA 类型:单会话(仅限桌面)或多会话(应用程序和桌面)
  • VDA 版本:2212 或更高版本
  • 预配类型:Machine Creation Services™ (MCS),持久和非持久
  • 分配类型:专用和池化
  • 托管平台:任何管理程序或云服务

Microsoft Entra 混合加入的限制

  • 如果使用 Citrix 联合身份验证服务 (FAS),单点登录将定向到本地 AD 而不是 Microsoft Entra ID。在这种情况下,建议配置基于证书的 Microsoft Entra 身份验证,以便在用户登录时生成主刷新令牌 (PRT),这有助于在会话中对 Microsoft Entra 资源进行单点登录。否则,PRT 将不存在,并且对 Microsoft Entra 资源的 SSO 将不起作用。有关使用 Citrix 联合身份验证服务 (FAS) 实现对混合加入 VDA 的 Microsoft Entra 单点登录 (SSO) 的信息,请参阅混合加入的 VDA
  • 在创建或更新计算机目录时,请勿跳过映像准备。如果要跳过映像准备,请确保主 VM 不是 Microsoft Entra 或 Microsoft Entra 混合加入的。

Microsoft Entra 混合加入的注意事项

  • 创建 Microsoft Entra 混合加入的计算机需要目标域中的 Write userCertificate 权限。请确保在创建目录时输入具有该权限的管理员凭据。

  • Microsoft Entra 混合加入过程由 Citrix 管理。您需要按如下方式禁用 Windows 在主 VM 中控制的 autoWorkplaceJoin。手动禁用 autoWorkplaceJoin 的任务仅适用于 VDA 版本 2212 或更早版本。

    1. 运行 gpedit.msc
    2. 导航到计算机配置 > 管理模板 > Windows 组件 > 设备注册
    3. 将已加入域的计算机注册为设备设置为已禁用

  • 创建计算机身份时,选择配置为与 Microsoft Entra ID 同步的组织单位 (OU)。

  • 对于基于 Windows 11 22H2 的主 VM,请在主 VM 中创建一个计划任务,该任务在系统启动时使用 SYSTEM 帐户执行以下命令。在主 VM 中计划任务的此任务仅适用于 VDA 版本 2212 或更早版本。

     $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
 $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
 $MaxCount = 60

 for ($count = 1; $count -le $MaxCount; $count++)
 {
   if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
   {
     $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
     if ($provider -eq 'Citrix')
     {
         break;
     }

     if ($provider -eq 1)
     {
         Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
         Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
         Start-Sleep 5
         dsregcmd /join
         break
     }
   }

   Start-Sleep 1
 }
 <!--NeedCopy-->
  • 默认情况下,Microsoft Entra Connect 每 30 分钟同步一次。预配的计算机在首次启动时可能需要长达 30 分钟才能完成 Microsoft Entra 混合加入。

已注册到 Microsoft Intune 的 Microsoft Entra 混合加入目录

已注册到 Microsoft Intune 的 Microsoft Entra 混合加入目录、持久单会话和多会话 VM 使用具有共同管理功能的设备凭据。

  • 共同管理使您能够使用 Configuration Manager 和 Microsoft Intune 同时管理 Windows 10 或更高版本的设备。有关详细信息,请参阅共同管理

已注册到 Microsoft Intune 的 Microsoft Entra 混合加入目录的先决条件

在启用此功能之前,请验证:

  • 您的 Azure 环境符合使用 Microsoft Intune 的许可要求。有关详细信息,请参阅 Microsoft 文档
  • 您有一个已启用共同管理的有效 Configuration Manager 部署。有关详细信息,请参阅 Microsoft 文档

已注册到 Microsoft Intune 的 Microsoft Entra 混合加入目录的要求

  • VDA 类型:单会话或多会话
  • VDA 版本:2407 或更高版本
  • 预配类型:Machine Creation Service (MCS),持久。已注册到 Microsoft Intune 的非持久单会话和多会话 VM 的 Microsoft Entra 混合加入目录目前处于预览版。请参阅将混合 Entra ID 加入的非持久 VM 注册到 Microsoft Intune
  • 分配类型:专用和池化
  • 托管平台:任何管理程序或云服务

已注册到 Microsoft Intune 的 Microsoft Entra 混合加入目录的限制

  • 在创建或更新计算机目录时,请勿跳过映像准备。
  • 不支持 Configuration Manager 的基于 Internet 的客户端管理 (IBCM)。

已注册到 Microsoft Intune 的 Microsoft Entra 混合加入目录的注意事项

  • 如果目录中有太多计算机同时开机,Intune 注册可能会延迟。

    Microsoft 对每个租户的 Intune 注册施加了限制,该限制限制了在特定时间范围内可以注册的设备数量。允许的设备数量因与租户关联的 Microsoft Intune 许可证数量而异。请咨询您的 Microsoft 客户团队,了解您的租户的允许限制。此方法有助于 Microsoft Intune 注册更好地扩展以适应大型环境。

    对于持久计算机,可能需要初始等待时间才能使所有设备完成 Intune 注册。

    对于非持久计算机,请考虑限制 Autoscale™ 或手动电源操作中的并发电源操作。

  • 配置 Configuration Manager 的云连接。有关详细信息,请参阅 Microsoft 文档
  • 在主 VM 上手动安装 Configuration Manager 客户端,而不使用 .\CCMSetup.exe /mp:SCCMServer /logon FSP=SCCMServer 分配站点代码。SCCMServer 是您环境中的 SCCM 服务器名称。有关详细信息,请参阅 Microsoft 文档

  • MCS 创建的计算机使用自动站点分配机制来查找发布到 Active Directory 域服务的站点边界组。确保您的环境中已配置 Configuration Manager边界和边界组。如果自动站点分配不可用,可以通过以下注册表设置在主 VM 中配置静态 Configuration Manager 站点代码:

    注册表项:

     HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
 <!--NeedCopy-->

    值名称:MdmSccmSiteCode

    值类型:字符串

    值数据:要分配的站点代码

后续步骤

有关创建 Microsoft Entra 混合加入目录的身份池的详细信息,请参阅Microsoft Entra 混合加入计算机身份的身份池

Microsoft Entra 混合加入
April 16, 2026
投稿者: 
C C
April 16, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.