Produktdokumentation
Citrix DaaS™
PDF anzeigen

Identitätspool für Microsoft Entra hybrid eingebundene Maschinenidentitäten

May 4, 2026
Beitrag von: 
C

Dieser Artikel beschreibt, wie Sie mithilfe von Citrix DaaS einen Identitätspool für Microsoft Entra hybrid eingebundene Maschinenidentitäten erstellen.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Microsoft Entra hybrid eingebunden.

Verwenden von Studio

Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen. Um Microsoft Entra hybrid eingebundene Kataloge zu erstellen, befolgen Sie die allgemeinen Anweisungen in diesem Artikel und beachten Sie dabei die spezifischen Details für Microsoft Entra hybrid eingebundene Kataloge.

Im Assistenten zum Erstellen von Katalogen:

  1. Auf der Seite Maschinenidentitäten:

    1. Wählen Sie den Identitätstyp als Microsoft Entra hybrid eingebunden aus.
        1. Klicken Sie unter Erweiterte Konfigurationen auf Dienstkonto auswählen und wählen Sie ein verfügbares Dienstkonto aus der Liste aus. Wenn kein geeignetes Dienstkonto verfügbar ist, dem die Maschinenidentitäten beitreten sollen, können Sie ein Dienstkonto erstellen. Informationen zu Dienstkonten finden Sie unter Microsoft Entra-Dienstkonten.
            1. Klicken Sie auf Erweiterungsattribute hinzufügen, um eindeutige, benutzerdefinierte Daten direkt in Ihren Entra ID-Geräteobjekten zu speichern. Fügen Sie auf der Seite Erweiterungsattribute hinzufügen die Erweiterungsattribute und den Wert hinzu.

Hinweis: > > - Sie können maximal 15 Erweiterungsattribute hinzufügen. > - Name und Wert müssen eindeutig sein und dürfen nicht leer sein.

    -  4.  Wählen Sie eine Option für das Active Directory-Konto aus:

    -  **Neue Active Directory-Konten erstellen**:
       -  Wenn Sie **Neue Active Directory-Konten erstellen** auswählen und einen vorhandenen Identitätspool verwenden, um neue Konten zu erstellen, wählen Sie eine Domäne für diese Konten aus und geben Sie ein Kontenbenennungsschema an.
       -  Wenn Sie **Neue Active Directory-Konten erstellen** auswählen und einen vorhandenen Identitätspool verwenden, um neue Konten zu erstellen, wählen Sie einen Identitätspool aus der Liste aus.
    -  **Vorhandene Active Directory-Konten verwenden**: Sie können aus einer CSV-Datei durchsuchen oder importieren und das Kennwort zurücksetzen oder dasselbe Kennwort für alle Konten angeben.
1.  Klicken Sie auf **Weiter**.
  1. Wählen Sie auf der Seite Domänenanmeldeinformationen ein Dienstkonto aus oder geben Sie die Anmeldeinformationen manuell ein. Ein Microsoft Entra hybrid eingebundener Identitätspool kann auch mit einem lokalen AD-Dienstkonto verknüpft werden. Informationen zu Dienstkonten finden Sie unter Lokale Active Directory-Dienstkonten.

Erweiterungsattribute hinzufügen oder ändern

Um zusätzliche Erweiterungsattribute zu einem vorhandenen MCS-Maschinenkatalog zu ändern oder hinzuzufügen oder Erweiterungsattribute zu einem MCS-Katalog ohne Dienstkonto hinzuzufügen, verwenden Sie den Assistenten Maschinenkatalog bearbeiten.

  • Um zusätzliche Erweiterungsattribute zu ändern oder hinzuzufügen, navigieren Sie zur Seite Microsoft Entra Geräteerweiterungsattribute. Klicken Sie auf das Bleistiftsymbol und fügen Sie Erweiterungsattribute hinzu oder aktualisieren Sie diese.

  • Um Erweiterungsattribute zu einem MCS-Katalog ohne Microsoft Entra-Dienstkonto hinzuzufügen:

    1. Navigieren Sie zur Seite Dienstkonto. Wählen Sie ein Microsoft Entra-Dienstkonto für die Microsoft Intra ID aus.
    2. Gehen Sie zur Seite Microsoft Entra Geräteerweiterungsattribute und klicken Sie auf Erweiterungsattribute hinzufügen.

Verwenden von PowerShell

Die folgenden PowerShell-Schritte entsprechen den Vorgängen in Studio.

Der Unterschied zwischen lokalen AD-verbundenen Katalogen und Microsoft Entra hybrid eingebundenen Katalogen liegt in der Erstellung des Identitätspools und der Maschinenkonten.

Neuen Identitätspool erstellen

Beispiel: So erstellen Sie einen Identitätspool zusammen mit den Konten für Microsoft Entra hybrid eingebundene Kataloge:


New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password

<!--NeedCopy-->

Hinweis:

Das $password ist das passende Kennwort für ein AD-Benutzerkonto mit Schreibberechtigungen.

Alle anderen Befehle, die zum Erstellen von Microsoft Entra hybrid eingebundenen Katalogen verwendet werden, sind dieselben wie für herkömmliche lokale AD-verbundene Kataloge.

Sie können auch ein lokales Dienstkonto mit einem von MCS erstellten Maschinenkatalog verknüpfen, indem Sie ein lokales Dienstkonto mit dem Identitätspool verknüpfen. Sie können einen Identitätspool erstellen oder einen vorhandenen Identitätspool aktualisieren, um ihn mit einem Dienstkonto zu verknüpfen.

Beispiel: Um einen neuen Identitätspool zu erstellen und ihn mit einem Dienstkonto zu verknüpfen, führen Sie Folgendes aus:


New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Beispiel: Um einen neuen Identitätspool mit angegebenen Erweiterungsattributen zu erstellen und ihn mit einem Dienstkonto zu verknüpfen, führen Sie Folgendes aus:


New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Wenn eine VM zum ersten Mal eingeschaltet wird, nachdem sie Microsoft Entra ID beigetreten ist, meldet die VM ihre Entra ID deviceId an MCS.

Beispiel: Um die EntraIDDeviceID zu überprüfen, führen Sie Get-AcctADAccount oder Get-AcctIdentity aus.


Get-AcctADAccount -IdentityPoolName MyPool

<!--NeedCopy-->

Nach einem Neustart bleibt die EntraIDDeviceID für persistente und nicht-persistente VMs gleich.

Hinweis:

MCS entfernt automatisch zugeordnete Geräte-IDs und Erweiterungsattribute, wenn Sie eine VM aus dem Katalog löschen, aber nicht aus Azure.

Vorhandenen Identitätspool aktualisieren

Beispiel: Um einen vorhandenen Identitätspool zu aktualisieren und ihn einem Dienstkonto zuzuordnen, führen Sie Folgendes aus:


-  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid

Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Hinweis:

Die $serviceAccountUid muss eine gültige UID eines lokalen Active Directory-Dienstkontos sein.

Beispiel: Um Erweiterungsattribute für den vorhandenen Katalog zu bearbeiten, führen Sie Folgendes aus:

Hinweis:

  • Nach dem Upgrade vorhandener Katalog-VMs auf VDA-Version 2511 oder höher ist ein Neustart erforderlich. Dieser Neustart ermöglicht es der VM, ihre Entra ID deviceId an MCS zu melden, wodurch MCS die Erweiterungsattribute der VM konfigurieren kann.

    • Der vorhandene Katalog sollte über ein Dienstkonto vom Typ AzureAD mit der Berechtigung “Device.ReadWrite.All” verfügen.
-  Um neue Attribute hinzuzufügen:


    -  Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Um vorhandene Attribute zu entfernen:


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

<!--NeedCopy-->

ODER


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}

<!--NeedCopy-->

Set-AcctIdentityPool aktualisiert auch die Erweiterungsattribute des Entra ID-Geräts für VMs, die bereits mit Entra ID verbunden sind und einen EntraIDDeviceID-Wert in ihren Identitäten besitzen.

Erstellen eines Hybrid Microsoft Entra-Katalogs

Sie können auch einen Hybrid Microsoft Entra-Katalog mithilfe eines vorbereiteten Images erstellen. Die vollständige Liste der PowerShell-Befehle zum Erstellen von Image-Definition, Image-Version und vorbereiteter Image-Versionsspezifikation finden Sie unter:

Nachdem Sie die Spezifikation der vorbereiteten Image-Version erstellt haben, erstellen Sie den Identitätspool und den Maschinenkatalog. Beispiel:


New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC##  -NamingSchemeType "Numeric"  -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]

<!--NeedCopy-->

Anzeigen des Status des Hybrid Microsoft Entra-Beitrittsprozesses

In Studio ist der Status des Hybrid Microsoft Entra-Beitrittsprozesses sichtbar, wenn Hybrid Microsoft Entra-verbundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, verwenden Sie Suchen, um diese Maschinen zu identifizieren, und überprüfen Sie dann für jede Maschinenidentität auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

-  Microsoft Entra hybrid verbunden
-  Noch nicht mit Microsoft Entra ID verbunden

Hinweis:

  • Es kann zu einer verzögerten Hybrid Microsoft Entra-Verbindung kommen, wenn die Maschine zum ersten Mal eingeschaltet wird. Dies wird durch das standardmäßige Synchronisierungsintervall der Maschinenidentität (30 Minuten von Microsoft Entra Connect) verursacht. Die Maschine befindet sich erst im Hybrid Microsoft Entra-verbundenen Zustand, nachdem die Maschinenidentitäten über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert wurden.
    • Wenn Maschinen nicht in den Hybrid Microsoft Entra-verbundenen Zustand gelangen, werden sie nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Mithilfe von Studio können Sie auch erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu auf eine Maschine im Knoten Suchen, überprüfen Sie die Registrierung auf der Registerkarte Details im unteren Bereich und lesen Sie dann den Tooltip für zusätzliche Informationen.

Fehlerbehebung

Wenn Maschinen nicht Hybrid Microsoft Entra-verbunden werden können, gehen Sie wie folgt vor:

-  Überprüfen Sie, ob das Maschinenkonto über das Microsoft Microsoft Entra-Portal mit Microsoft Entra ID synchronisiert wurde. Wenn synchronisiert, wird **Noch nicht mit Microsoft Entra ID verbunden** angezeigt, was einen ausstehenden Registrierungsstatus anzeigt.

Um Maschinenkonten mit Microsoft Entra ID zu synchronisieren, stellen Sie sicher, dass:

-  Das Maschinenkonto sich in der OU befindet, die für die Synchronisierung mit Microsoft Entra ID konfiguriert ist. Maschinenkonten ohne das Attribut **userCertificate** werden nicht mit Microsoft Entra ID synchronisiert, selbst wenn sie sich in der für die Synchronisierung konfigurierten OU befinden.
-  Das Attribut **userCertificate** im Maschinenkonto ausgefüllt ist. Verwenden Sie den Active Directory Explorer, um das Attribut anzuzeigen.
-  Microsoft Entra Connect mindestens einmal synchronisiert wurde, nachdem das Maschinenkonto erstellt wurde. Falls nicht, führen Sie den Befehl `Start-ADSyncSyncCycle -PolicyType Delta` manuell in der PowerShell-Konsole der Microsoft Entra Connect-Maschine aus, um eine sofortige Synchronisierung auszulösen.

  • Überprüfen Sie, ob das von Citrix verwaltete Geräteschlüsselpaar für den Hybrid Microsoft Entra-Beitritt korrekt auf die Maschine übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix abfragen.

    Vergewissern Sie sich, dass der Wert 1 ist. Wenn nicht, sind mögliche Gründe:

    • IdentityType des mit dem Bereitstellungsschema verknüpften Identitätspools ist nicht auf HybridAzureAD eingestellt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.
    • Die Maschine wird nicht mit demselben Bereitstellungsschema des Maschinenkatalogs bereitgestellt.
    • Die Maschine ist nicht mit der lokalen Domäne verbunden. Die Verbindung mit der lokalen Domäne ist eine Voraussetzung für den Hybrid Microsoft Entra-Beitritt.

  • Überprüfen Sie Diagnosemeldungen, indem Sie den Befehl dsregcmd /status /debug auf der von MCS bereitgestellten Maschine ausführen.

    • Wenn der Hybrid Microsoft Entra-Beitritt erfolgreich ist, sind AzureAdJoined und DomainJoined in der Ausgabe der Befehlszeile YES.
    • Andernfalls lesen Sie die Microsoft-Dokumentation zur Fehlerbehebung: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Wenn Sie die Fehlermeldung Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx erhalten, führen Sie den folgenden PowerShell-Befehl aus, um das Benutzerzertifikat zu reparieren:

      
 Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate

 <!--NeedCopy-->

Weitere Informationen zum Problem mit dem Benutzerzertifikat finden Sie unter CTX566696.

Identitätspool für Microsoft Entra hybrid eingebundene Maschinenidentitäten
May 4, 2026
Beitrag von: 
C
May 4, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.