Citrix DaaS™

Grupo de identidades de máquinas unidas a Microsoft Entra híbrido

May 4, 2026

Contribución de:

Este artículo describe cómo crear un grupo de identidades de máquinas unidas a Microsoft Entra híbrido mediante Citrix DaaS.

Para obtener información sobre los requisitos, las limitaciones y las consideraciones, consulta Unido a Microsoft Entra híbrido.

Usar Studio

La siguiente información complementa la guía de Crear catálogos de máquinas. Para crear catálogos unidos a Microsoft Entra híbrido, sigue la guía general de ese artículo, teniendo en cuenta los detalles específicos de los catálogos unidos a Microsoft Entra híbrido.

En el asistente de creación de catálogos:

En la página Identidades de máquina:
1. Selecciona el tipo de identidad como Unido a Microsoft Entra híbrido.
  - 1. En Configuraciones avanzadas, haz clic en Seleccionar cuenta de servicio y selecciona una cuenta de servicio disponible de la lista. Si no hay una cuenta de servicio adecuada a la que se unirán las identidades de máquina, puedes crear una. Para obtener información sobre las cuentas de servicio, consulta Cuentas de servicio de Microsoft Entra.
      - Haz clic en Agregar atributos de extensión para almacenar datos personalizados únicos directamente en los objetos de dispositivo de Entra ID. En la página Agregar atributos de extensión, agrega Atributos de extensión y Valor.

Nota: > > - Puedes agregar un máximo de 15 atributos de extensión. > - El nombre y el valor deben ser únicos y no pueden estar vacíos.

    -  4.  Selecciona una opción de cuenta de Active Directory:

    -  **Crear nuevas cuentas de Active Directory**:
       -  Si seleccionas **Crear nuevas cuentas de Active Directory** y usas un grupo de identidades existente para crear nuevas cuentas, selecciona un dominio para esas cuentas y especifica un esquema de nombres de cuenta.
       -  Si seleccionas **Crear nuevas cuentas de Active Directory** y usas un grupo de identidades existente para crear nuevas cuentas, selecciona un grupo de identidades de la lista.
    -  **Usar cuentas de Active Directory existentes**: Puedes explorar o importar desde un archivo CSV, y restablecer la contraseña o especificar la misma contraseña para todas las cuentas.
1.  Haz clic en **Siguiente**.

En la página Credenciales de dominio, selecciona una cuenta de servicio o introduce las credenciales manualmente. El grupo de identidades unido a Microsoft Entra híbrido también se puede asociar a una cuenta de servicio de AD local. Para obtener información sobre las cuentas de servicio, consulta Cuentas de servicio de Active Directory local.

Agregar o modificar atributos de extensión

Para cambiar o agregar atributos de extensión adicionales a un catálogo de máquinas MCS existente, o para agregar atributos de extensión a un catálogo de MCS sin una cuenta de servicio, usa el asistente Modificar catálogo de máquinas.

Para cambiar o agregar atributos de extensión adicionales, ve a la página Atributos de extensión de dispositivo de Microsoft Entra. Haz clic en el icono del lápiz y agrega o actualiza los atributos de extensión.
Para agregar atributos de extensión a un catálogo de MCS sin una cuenta de servicio de Microsoft Entra:
1. Ve a la página Cuenta de servicio. Selecciona una cuenta de servicio de Microsoft Entra para Microsoft Intra ID.
2. Ve a la página Atributos de extensión de dispositivo de Microsoft Entra y haz clic en Agregar atributos de extensión.

Usar PowerShell

Los siguientes pasos de PowerShell son equivalentes a las operaciones en Studio.

La diferencia entre los catálogos unidos a AD local y los unidos a Microsoft Entra híbrido radica en la creación del grupo de identidades y las cuentas de máquina.

Crear un nuevo grupo de identidades

Por ejemplo: Para crear un grupo de identidades junto con las cuentas para catálogos unidos a Microsoft Entra híbrido:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password

<!--NeedCopy-->

Nota:

La $password es la contraseña correspondiente a una cuenta de usuario de AD con permisos de escritura.

Todos los demás comandos utilizados para crear catálogos unidos a Microsoft Entra híbrido son los mismos que para los catálogos tradicionales unidos a AD local.

También puedes asociar una cuenta de servicio local a un catálogo de máquinas creado por MCS asociando una cuenta de servicio local al grupo de identidades. Puedes crear un grupo de identidades o actualizar uno existente para asociarlo a una cuenta de servicio.

Por ejemplo: Para crear un nuevo grupo de identidades y asociarlo a una cuenta de servicio, ejecuta lo siguiente:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Por ejemplo: Para crear un nuevo grupo de identidades con atributos de extensión especificados y asociarlo a una cuenta de servicio, ejecuta lo siguiente:

New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Cuando una máquina virtual se enciende por primera vez, después de unirse a Microsoft Entra ID, la máquina virtual informa a MCS de su deviceId de Entra ID.

Por ejemplo: Para comprobar el EntraIDDeviceID, ejecuta Get-AcctADAccount o Get-AcctIdentity.

Get-AcctADAccount -IdentityPoolName MyPool

<!--NeedCopy-->

Después de reiniciar, para las máquinas virtuales persistentes y no persistentes, el EntraIDDeviceID sigue siendo el mismo.

Nota:

MCS elimina automáticamente los ID de dispositivo y los atributos de extensión asociados cuando eliminas una máquina virtual del catálogo, pero no la eliminas de Azure.

Por ejemplo: Para actualizar un grupo de identidades existente y asociarlo a una cuenta de servicio, ejecuta lo siguiente:

$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid

-  Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Nota:

El $serviceAccountUid debe ser un UID válido de una cuenta de servicio de Active Directory local.

Por ejemplo: Para modificar los atributos de extensión de un catálogo existente, ejecuta lo siguiente:

Nota:

Después de actualizar las máquinas virtuales de catálogo existentes a la versión VDA 2511 o posterior, es necesario reiniciar. Este reinicio permite que la máquina virtual informe su ID de dispositivo de Entra ID a MCS, lo que permite a MCS configurar los atributos de extensión de la máquina virtual.

El catálogo existente debe tener una cuenta de servicio de tipo AzureAD con el permiso “Device.ReadWrite.All”.

Para agregar algunos atributos nuevos:

    -  Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

-  Para quitar algunos atributos existentes:

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

<!--NeedCopy-->

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}

<!--NeedCopy-->

Set-AcctIdentityPool también actualiza los atributos de extensión del dispositivo Entra ID para las máquinas virtuales que ya están unidas a Entra ID y poseen un valor EntraIDDeviceID dentro de sus identidades.

Crear un catálogo híbrido de Microsoft Entra

También puedes crear un catálogo híbrido de Microsoft Entra utilizando una imagen preparada. Para ver el conjunto completo de comandos de PowerShell para crear la definición de imagen, la versión de imagen y la especificación de la versión de imagen preparada, consulta:

-  Entorno de virtualización de Azure: [Usar PowerShell](/es-es/citrix-daas/install-configure/create-prepared-image-machine-catalogs-azure#use-powershell).

Entorno de virtualización de VMware: Usar PowerShell

Después de crear la especificación de la versión de imagen preparada, crea el grupo de identidades y el catálogo de máquinas. Por ejemplo:

New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC##  -NamingSchemeType "Numeric"  -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]

<!--NeedCopy-->

Ver el estado del proceso de unión híbrida a Microsoft Entra

En Studio, el estado del proceso de unión híbrida a Microsoft Entra es visible cuando las máquinas unidas de forma híbrida a Microsoft Entra en un grupo de entrega están encendidas. Para ver el estado, usa Buscar para identificar esas máquinas y, a continuación, para cada una, comprueba Identidad de la máquina en la ficha Detalles del panel inferior. La siguiente información puede aparecer en Identidad de la máquina:

-  Unida de forma híbrida a Microsoft Entra
-  Aún no unida a Microsoft Entra ID

Nota:

-  Es posible que experimentes un retraso en la unión híbrida a Microsoft Entra cuando la máquina se enciende inicialmente. Esto se debe al intervalo predeterminado de sincronización de identidades de la máquina (30 minutos de Microsoft Entra Connect). La máquina estará en estado de unión híbrida a Microsoft Entra solo después de que las identidades de la máquina se sincronicen con Microsoft Entra ID a través de Microsoft Entra Connect.

Si las máquinas no logran estar en estado de unión híbrida a Microsoft Entra, no se registran con el Delivery Controller. Su estado de registro aparece como Inicialización.

Además, usando Studio, puedes saber por qué las máquinas no están disponibles. Para ello, haz clic en una máquina en el nodo Buscar, comprueba Registro en la ficha Detalles del panel inferior y, a continuación, lee la información sobre herramientas para obtener información adicional.

Solucionar problemas

Si las máquinas no logran unirse de forma híbrida a Microsoft Entra, haz lo siguiente:

-  Comprueba si la cuenta de la máquina se ha sincronizado con Microsoft Entra ID a través del portal de Microsoft Entra. Si está sincronizada, aparece **Aún no unida a Microsoft Entra ID**, lo que indica un estado de registro pendiente.

Para sincronizar las cuentas de máquina con Microsoft Entra ID, asegúrate de que:

-  La cuenta de la máquina está en la OU configurada para sincronizarse con Microsoft Entra ID. Las cuentas de máquina sin el atributo **userCertificate** no se sincronizan con Microsoft Entra ID, incluso si están en la OU configurada para sincronizarse.
-  El atributo **userCertificate** se rellena en la cuenta de la máquina. Usa el Explorador de Active Directory para ver el atributo.
-  Microsoft Entra Connect debe haberse sincronizado al menos una vez después de crear la cuenta de la máquina. Si no es así, ejecuta manualmente el comando `Start-ADSyncSyncCycle -PolicyType Delta` en la consola de PowerShell de la máquina de Microsoft Entra Connect para activar una sincronización inmediata.

Comprueba si el par de claves del dispositivo administrado por Citrix para la unión híbrida a Microsoft Entra se ha enviado correctamente a la máquina consultando el valor de DeviceKeyPairRestored en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

Verifica que el valor sea 1. Si no es así, las posibles razones son:
- IdentityType del grupo de identidades asociado al esquema de aprovisionamiento no está establecido en HybridAzureAD. Puedes verificar esto ejecutando Get-AcctIdentityPool.
- La máquina no se aprovisiona utilizando el mismo esquema de aprovisionamiento del catálogo de máquinas.
- La máquina no está unida al dominio local. La unión al dominio local es un requisito previo para la unión híbrida a Microsoft Entra.
Comprueba los mensajes de diagnóstico ejecutando el comando dsregcmd /status /debug en la máquina aprovisionada por MCS.
- Si la unión híbrida a Microsoft Entra es exitosa, AzureAdJoined y DomainJoined son YES en la salida de la línea de comandos.
- Si no es así, consulta la documentación de Microsoft para solucionar los problemas: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
- Si recibes el mensaje de error Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, ejecuta el siguiente comando de PowerShell para reparar el certificado de usuario:
```
 Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate

 
```

Para obtener más información sobre el problema del certificado de usuario, consulta CTX566696.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Grupo de identidades de máquinas unidas a Microsoft Entra híbrido

May 4, 2026

Contribución de:

May 4, 2026

Contribución de:

En este artículo

Usar Studio
Usar PowerShell
Ver el estado del proceso de unión híbrida a Microsoft Entra
Solucionar problemas

¿Le ha resultado útil?