Produktdokumentation
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
PDF anzeigen

Identitätspool der Microsoft Entra hybrid beigetretenen Maschinenidentität

April 7, 2026
Beitrag von: 
C C

  • Dieser Artikel beschreibt, wie Sie einen Identitätspool erstellen für:

  • Microsoft Entra hybrid beigetretene Kataloge
  • Microsoft Entra hybrid beigetretene Kataloge, die in Microsoft Intune registriert sind

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Microsoft Entra hybrid beigetreten.

  • Erstellen von Microsoft Entra hybrid beigetretenen Katalogen

Verwenden von Web Studio

Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen.

Auf der Seite Maschinenidentitäten des Assistenten zum Erstellen von Katalogen:

-  Wählen Sie **Microsoft Entra hybrid beigetreten** aus. Die erstellten Maschinen gehören einer Organisation und werden mit einem Active Directory-Konto angemeldet, das zu dieser Organisation gehört.
  • Um die erstellten Maschinen zur Geräteverwaltung in Microsoft Intune (einschließlich Configuration Manager) zu registrieren, wählen Sie Maschinen in Microsoft Intune mit Configuration Manager registrieren aus. Um Fehler während der Katalogerstellung zu vermeiden, stellen Sie sicher, dass das Masterimage die folgenden Anforderungen erfüllt:
    • VDA-Version 2405 oder höher ist installiert.
    • Der Configuration Manager-Client ist installiert und der Standortcode ist nicht zugewiesen. Weitere Informationen finden Sie in diesem Microsoft-Artikel.

Hinweis:

Wenn Sie Microsoft Entra hybrid beigetreten als Identitätstyp auswählen, muss jede Maschine im Katalog über ein entsprechendes AD-Computerkonto verfügen.

Verwenden von PowerShell

Im Folgenden sind PowerShell-Schritte aufgeführt, die den Vorgängen in Web Studio entsprechen. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

  • Der Unterschied zwischen lokalen AD-beigetretenen Katalogen und Microsoft Entra hybrid beigetretenen Katalogen liegt in der Erstellung des Identitätspools und der Maschinenkonten.

So erstellen Sie einen Identitätspool zusammen mit den Konten für Microsoft Entra hybrid beigetretene Kataloge:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Hinweis: - > - > $password ist das passende Kennwort für ein AD-Benutzerkonto mit Schreibberechtigungen.

-  Alle anderen Befehle, die zum Erstellen von Microsoft Entra hybrid beigetretenen Katalogen verwendet werden, sind dieselben wie für herkömmliche lokale AD-beigetretene Kataloge.

-  ### Anzeigen des Status des Microsoft Entra Hybrid Join-Prozesses

-  Im Web Studio ist der Status des Microsoft Entra Hybrid Join-Prozesses sichtbar, wenn Microsoft Entra hybrid beigetretene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, verwenden Sie die [Suche](/en-us/citrix-virtual-apps-desktops/-service/manage-deployment/search.html), um diese Maschinen zu identifizieren, und überprüfen Sie dann für jede Maschine die **Maschinenidentität** auf der Registerkarte **Details** im unteren Bereich. Die folgenden Informationen können unter **Maschinenidentität** angezeigt werden:

-  Microsoft Entra hybrid beigetreten
-  Noch nicht mit Microsoft Entra ID verbunden

Hinweis:

-  Es kann zu einer verzögerten Microsoft Entra Hybrid Join kommen, wenn die Maschine zum ersten Mal eingeschaltet wird. Dies wird durch das standardmäßige Synchronisierungsintervall für Maschinenidentitäten (30 Minuten von Microsoft Entra Connect) verursacht. Die Maschine befindet sich erst dann im Status "Microsoft Entra hybrid beigetreten", wenn die Maschinenidentitäten über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert wurden.
  • Wenn Maschinen nicht in den Status “Microsoft Entra hybrid beigetreten” gelangen, werden sie nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Mithilfe von Web Studio können Sie auch erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu auf eine Maschine im Knoten Suchen, überprüfen Sie die Registrierung auf der Registerkarte Details im unteren Bereich und lesen Sie dann den Tooltip für weitere Informationen.

Fehlerbehebung 

-  Wenn Maschinen nicht Microsoft Entra hybrid beigetreten sind, gehen Sie wie folgt vor:

-  Überprüfen Sie, ob das Maschinenkonto über das Microsoft Entra ID-Portal mit Microsoft Entra ID synchronisiert wurde. Wenn synchronisiert, wird **Noch nicht mit Microsoft Entra ID verbunden** angezeigt, was einen ausstehenden Registrierungsstatus anzeigt.

Um Maschinenkonten mit Microsoft Entra ID zu synchronisieren, stellen Sie sicher:

-  Das Maschinenkonto befindet sich in der OU, die für die Synchronisierung mit Microsoft Entra ID konfiguriert ist. Maschinenkonten ohne das Attribut **userCertificate** werden nicht mit Microsoft Entra ID synchronisiert, selbst wenn sie sich in der OU befinden, die für die Synchronisierung konfiguriert ist.
-  Das Attribut **userCertificate** wird im Maschinenkonto ausgefüllt. Verwenden Sie den Active Directory Explorer, um das Attribut anzuzeigen.
-  Microsoft Entra Connect muss mindestens einmal synchronisiert worden sein, nachdem das Maschinenkonto erstellt wurde. Andernfalls führen Sie den Befehl `Start-ADSyncSyncCycle -PolicyType Delta` manuell in der PowerShell-Konsole der Microsoft Entra Connect-Maschine aus, um eine sofortige Synchronisierung auszulösen.

  • Überprüfen Sie, ob das von Citrix verwaltete Geräteschlüsselpaar für Microsoft Entra Hybrid Join korrekt auf die Maschine übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix abfragen.

  • Überprüfen Sie, ob der Wert 1 ist. Andernfalls sind mögliche Gründe:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf HybridAzureAD eingestellt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.
    • Die Maschine wird nicht mit demselben Bereitstellungsschema des Maschinenkatalogs bereitgestellt.

    • Die Maschine ist nicht mit der lokalen Domäne verbunden. Die lokale Domänenverbindung ist eine Voraussetzung für den Microsoft Entra Hybrid Join.

    • Überprüfen Sie Diagnosemeldungen, indem Sie den Befehl dsregcmd /status /debug auf der MCS-bereitgestellten Maschine ausführen.

    • Wenn der Microsoft Entra Hybrid Join erfolgreich ist, sind AzureAdJoined und DomainJoined in der Ausgabe der Befehlszeile YES.

    • Andernfalls lesen Sie die Microsoft-Dokumentation zur Fehlerbehebung: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Wenn Sie die Fehlermeldung Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx erhalten, führen Sie den folgenden PowerShell-Befehl aus, um das Benutzerzertifikat zu reparieren:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      Weitere Informationen zum Problem mit dem Benutzerzertifikat finden Sie unter CTX566696.

Erstellen von in Microsoft Intune registrierten Microsoft Entra Hybrid Join-Katalogen

Sie können Co-Management-fähige Kataloge für in Microsoft Intune registrierte Microsoft Entra Hybrid Join-Kataloge für persistente Einzel- und Mehrfachsitzungs-VMs erstellen. Sie können Co-Management-fähige Kataloge sowohl mit Studio als auch mit PowerShell erstellen.

Verwenden von Web Studio

Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen.

Im Assistenten zur Einrichtung des Maschinenkatalogs:

  • Wählen Sie auf der Seite Maschinenidentitäten die Option Microsoft Entra Hybrid Join und anschließend Maschinen in Microsoft Intune mit Configuration Manager registrieren. Durch diese Aktion werden die VMs von Configuration Manager und Microsoft Intune (d. h. Co-Management) verwaltet.

Verwenden von PowerShell

Im Folgenden sind die PowerShell-Schritte aufgeführt, die den Schritten in Studio entsprechen.

Um Maschinen in Microsoft Intune mit Configuration Manager über das Remote PowerShell SDK zu registrieren, verwenden Sie den Parameter DeviceManagementType in New-AcctIdentityPool. Diese Funktion erfordert, dass der Katalog ein Microsoft Entra Hybrid Join ist und dass Microsoft Entra ID über die korrekte Microsoft Intune-Lizenz verfügt.

Der Unterschied zwischen Microsoft Entra Hybrid Join-Katalogen und Co-Management-fähigen Katalogen liegt in der Erstellung des Identitätspools. Zum Beispiel:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

Fehlerbehebung

Wenn Maschinen nicht in Microsoft Intune registriert werden können oder den Co-Management-Status nicht erreichen, gehen Sie wie folgt vor:

  • Intune-Lizenz überprüfen

    Überprüfen Sie, ob Ihrem Microsoft Entra-Mandanten die entsprechende Intune-Lizenz zugewiesen ist. Die Lizenzanforderungen für Microsoft Intune finden Sie unter Microsoft Intune-Lizenzierung.

  • Microsoft Entra Hybrid Join-Status überprüfen

    Überprüfen Sie, ob die von MCS bereitgestellten Maschinen Microsoft Entra Hybrid Join sind. Die Maschinen sind nicht für das Co-Management geeignet, wenn sie nicht Microsoft Entra Hybrid Join sind. Informationen zur Fehlerbehebung bei Microsoft Entra Hybrid Join-Problemen finden Sie unter Fehlerbehebung.

  • Co-Management-Berechtigung überprüfen

    • Überprüfen Sie, ob die von MCS bereitgestellten Maschinen der erwarteten Configuration Manager-Site korrekt zugewiesen sind. Um die zugewiesene Site zu erhalten, führen Sie den folgenden PowerShell-Befehl auf den betroffenen Maschinen aus.

       (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • Wenn der VM keine Site zugewiesen ist, verwenden Sie den folgenden Befehl, um zu überprüfen, ob die Configuration Manager-Site automatisch erkannt werden kann.

       (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • Stellen Sie sicher, dass Begrenzungen und Begrenzungsgruppen in Ihrer Configuration Manager-Umgebung gut konfiguriert sind, wenn kein Sitecode erkannt werden kann. Einzelheiten finden Sie unter Überlegungen.

    • Überprüfen Sie C:\Windows\CCM\Logs\ClientLocation.log auf Probleme bei der Zuweisung der Configuration Manager-Client-Site.

    • Überprüfen Sie die Co-Management-Status der Maschinen. Öffnen Sie die Configuration Manager-Systemsteuerung auf den betroffenen Maschinen und wechseln Sie zur Registerkarte Allgemein. Der Wert der Co-Management-Eigenschaft muss Enabled sein. Andernfalls überprüfen Sie die Protokolle unter C:\Windows\CCM\Logs\CoManagementHandler.log.

  • Intune-Registrierung überprüfen

    Maschinen können möglicherweise nicht in Microsoft Intune registriert werden, selbst wenn alle Voraussetzungen erfüllt sind. Überprüfen Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider auf Probleme bei der Intune-Registrierung.

Identitätspool der Microsoft Entra hybrid beigetretenen Maschinenidentität
April 7, 2026
Beitrag von: 
C C
April 7, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.