Citrix DaaS™

Pool d’identités de machines jointes hybrides à Microsoft Entra

May 4, 2026

Contributeur:

Cet article explique comment créer un pool d’identités de machines jointes hybrides à Microsoft Entra à l’aide de Citrix DaaS.

Pour plus d’informations sur les exigences, les limitations et les considérations, consultez Machines jointes hybrides à Microsoft Entra.

Utiliser Studio

Les informations suivantes complètent les instructions de Créer des catalogues de machines. Pour créer des catalogues joints hybrides à Microsoft Entra, suivez les instructions générales de cet article, en tenant compte des détails spécifiques aux catalogues joints hybrides à Microsoft Entra.

Dans l’assistant de création de catalogue :

Sur la page Identités de machines :
1. Sélectionnez le type d’identité Jointe hybride à Microsoft Entra.
  - 1. Sous Configurations avancées, cliquez sur Sélectionner un compte de service et sélectionnez un compte de service disponible dans la liste. Si aucun compte de service approprié n’est disponible pour que les identités de machines s’y joignent, vous pouvez créer un compte de service. Pour plus d’informations sur les comptes de service, consultez Comptes de service Microsoft Entra.
      - Cliquez sur Ajouter des attributs d’extension pour stocker des données personnalisées uniques directement sur vos objets d’appareil Entra ID. Sur la page Ajouter des attributs d’extension, ajoutez des Attributs d’extension et une Valeur.

Remarque : > > - Vous pouvez ajouter un maximum de 15 attributs d’extension. > - Le nom et la valeur doivent être uniques et ne peuvent pas être vides.

    -  4.  Sélectionnez une option de compte Active Directory :

    -  **Créer de nouveaux comptes Active Directory** :
        -  Si vous sélectionnez **Créer de nouveaux comptes Active Directory** et utilisez un pool d'identités existant pour créer de nouveaux comptes, sélectionnez un domaine pour ces comptes et spécifiez un schéma de nommage de compte.
        -  Si vous sélectionnez **Créer de nouveaux comptes Active Directory** et utilisez un pool d'identités existant pour créer de nouveaux comptes, sélectionnez un pool d'identités dans la liste.
    -  **Utiliser des comptes Active Directory existants** : Vous pouvez parcourir ou importer à partir d'un fichier CSV, et réinitialiser le mot de passe ou spécifier le même mot de passe pour tous les comptes.
1.  Cliquez sur **Suivant**.

Sur la page Informations d’identification du domaine, sélectionnez un compte de service ou saisissez les informations d’identification manuellement. Le pool d’identités jointes hybrides à Microsoft Entra peut également être associé à un compte de service AD local. Pour plus d’informations sur les comptes de service, consultez Comptes de service Active Directory locaux.

Ajouter ou modifier des attributs d’extension

Pour modifier ou ajouter des attributs d’extension supplémentaires à un catalogue de machines MCS existant, ou pour ajouter des attributs d’extension à un catalogue MCS sans compte de service, utilisez l’assistant Modifier le catalogue de machines.

Pour modifier ou ajouter des attributs d’extension supplémentaires, accédez à la page Attributs d’extension d’appareil Microsoft Entra. Cliquez sur l’icône en forme de crayon, puis ajoutez ou mettez à jour les attributs d’extension.
Pour ajouter des attributs d’extension à un catalogue MCS sans compte de service Microsoft Entra :
1. Accédez à la page Compte de service. Sélectionnez un compte de service Microsoft Entra pour l’ID Microsoft Intra.
2. Accédez à la page Attributs d’extension d’appareil Microsoft Entra, cliquez sur Ajouter des attributs d’extension.

Utiliser PowerShell

Les étapes PowerShell suivantes sont équivalentes aux opérations dans Studio.

La différence entre les catalogues joints à AD local et les catalogues joints hybrides à Microsoft Entra réside dans la création du pool d’identités et des comptes de machines.

Créer un nouveau pool d’identités

Par exemple : Pour créer un pool d’identités avec les comptes pour les catalogues joints hybrides à Microsoft Entra :

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password

<!--NeedCopy-->

Remarque :

Le $password est le mot de passe correspondant à un compte d’utilisateur AD avec des autorisations d’écriture.

Toutes les autres commandes utilisées pour créer des catalogues joints hybrides à Microsoft Entra sont les mêmes que celles utilisées pour les catalogues traditionnels joints à AD local.

Vous pouvez également associer un compte de service local à un catalogue de machines créé par MCS en associant un compte de service local au pool d’identités. Vous pouvez créer un pool d’identités ou mettre à jour un pool d’identités existant pour l’associer à un compte de service.

Par exemple : Pour créer un nouveau pool d’identités et l’associer à un compte de service, exécutez ce qui suit :

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Par exemple : Pour créer un nouveau pool d’identités avec des attributs d’extension spécifiés et l’associer à un compte de service, exécutez ce qui suit :

New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Lorsqu’une machine virtuelle est mise sous tension pour la première fois, après avoir rejoint Microsoft Entra ID, la machine virtuelle signale son ID d’appareil Entra ID à MCS.

Par exemple : Pour vérifier l’EntraIDDeviceID, exécutez Get-AcctADAccount ou Get-AcctIdentity.

Get-AcctADAccount -IdentityPoolName MyPool

<!--NeedCopy-->

Après le redémarrage, pour les machines virtuelles persistantes et non persistantes, l’EntraIDDeviceID reste le même.

Remarque :

MCS supprime automatiquement les ID d’appareil et les attributs d’extension associés lorsque vous supprimez une machine virtuelle du catalogue, mais pas d’Azure.

Mettre à jour un pool d’identités existant

Par exemple : Pour mettre à jour un pool d’identités existant afin de l’associer à un compte de service, exécutez la commande suivante :

-  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid

Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Remarque :

Le $serviceAccountUid doit être un UID valide d’un compte de service Active Directory local.

Par exemple : Pour modifier les attributs d’extension d’un catalogue existant, exécutez la commande suivante :

Remarque :

Après la mise à niveau des machines virtuelles de catalogue existantes vers la version 2511 ou ultérieure du VDA, un redémarrage est nécessaire. Ce redémarrage permet à la machine virtuelle de signaler son deviceId Entra ID à MCS, ce qui permet ensuite à MCS de configurer les attributs d’extension de la machine virtuelle.

Le catalogue existant doit disposer d’un compte de service de type AzureAD avec la permission “Device.ReadWrite.All”.

-  Pour ajouter de nouveaux attributs :

    -  Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Pour supprimer des attributs existants

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

<!--NeedCopy-->

Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}

<!--NeedCopy-->

Set-AcctIdentityPool met également à jour les attributs d’extension de l’appareil Entra ID pour les machines virtuelles qui sont déjà jointes à Entra ID et possèdent une valeur EntraIDDeviceID dans leurs identités.

Créer un catalogue Microsoft Entra hybride

Vous pouvez également créer un catalogue Microsoft Entra hybride à l’aide d’une image préparée. Pour l’ensemble complet des commandes PowerShell permettant de créer une définition d’image, une version d’image et une spécification de version d’image préparée, consultez :

Environnement de virtualisation Azure : Utiliser PowerShell.
- Environnement de virtualisation VMware : Utiliser PowerShell

Après avoir créé la spécification de version d’image préparée, créez le pool d’identités et le catalogue de machines. Par exemple :

New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC##  -NamingSchemeType "Numeric"  -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]

<!--NeedCopy-->

Afficher l’état du processus de jonction Microsoft Entra hybride

Dans Studio, l’état du processus de jonction Microsoft Entra hybride est visible lorsque les machines jointes à Microsoft Entra hybride d’un groupe de mise à disposition sont sous tension. Pour afficher l’état, utilisez Rechercher pour identifier ces machines, puis pour chacune, vérifiez Identité de la machine sous l’onglet Détails dans le volet inférieur. Les informations suivantes peuvent apparaître dans Identité de la machine :

-  Joint à Microsoft Entra hybride
-  Pas encore joint à Microsoft Entra ID

Remarque :

Vous pourriez rencontrer un délai dans la jonction Microsoft Entra hybride lorsque la machine démarre initialement. Cela est dû à l’intervalle de synchronisation par défaut de l’identité de la machine (30 minutes de Microsoft Entra Connect). La machine n’est en état de jonction Microsoft Entra hybride qu’après la synchronisation des identités de la machine avec Microsoft Entra ID via Microsoft Entra Connect.

Si les machines ne parviennent pas à être dans l’état de jonction Microsoft Entra hybride, elles ne sont pas enregistrées auprès du Delivery Controller. Leur état d’enregistrement apparaît comme Initialisation.

De plus, à l’aide de Studio, vous pouvez savoir pourquoi les machines sont indisponibles. Pour ce faire, cliquez sur une machine dans le nœud Rechercher, vérifiez Enregistrement sous l’onglet Détails dans le volet inférieur, puis lisez l’info-bulle pour obtenir des informations supplémentaires.

Dépannage

Si les machines ne parviennent pas à être jointes à Microsoft Entra hybride, procédez comme suit :

-  Vérifiez si le compte de machine a été synchronisé avec Microsoft Entra ID via le portail Microsoft Entra. Si c'est le cas, **Pas encore joint à Microsoft Entra ID** apparaît, indiquant un état d'enregistrement en attente.

Pour synchroniser les comptes de machine avec Microsoft Entra ID, assurez-vous que :

-  Le compte de machine se trouve dans l'unité d'organisation configurée pour être synchronisée avec Microsoft Entra ID. Les comptes de machine sans l'attribut **userCertificate** ne sont pas synchronisés avec Microsoft Entra ID même s'ils se trouvent dans l'unité d'organisation configurée pour être synchronisée.
-  L'attribut **userCertificate** est renseigné dans le compte de machine. Utilisez l'Explorateur Active Directory pour afficher l'attribut.
-  Microsoft Entra Connect doit avoir été synchronisé au moins une fois après la création du compte de machine. Si ce n'est pas le cas, exécutez manuellement la commande `Start-ADSyncSyncCycle -PolicyType Delta` dans la console PowerShell de la machine Microsoft Entra Connect pour déclencher une synchronisation immédiate.

Vérifiez si la paire de clés de périphérique gérée par Citrix pour la jonction Microsoft Entra hybride est correctement poussée vers la machine en interrogeant la valeur de DeviceKeyPairRestored sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

Vérifiez que la valeur est 1. Si ce n’est pas le cas, les raisons possibles sont les suivantes :
- Le IdentityType du pool d’identités associé au schéma de provisionnement n’est pas défini sur HybridAzureAD. Vous pouvez le vérifier en exécutant Get-AcctIdentityPool.
- La machine n’est pas provisionnée à l’aide du même schéma de provisionnement que le catalogue de machines.
- La machine n’est pas jointe au domaine local. La jonction au domaine local est une condition préalable à la jonction Microsoft Entra hybride.
Vérifiez les messages de diagnostic en exécutant la commande dsregcmd /status /debug sur la machine provisionnée par MCS.
- Si la jonction Microsoft Entra hybride est réussie, AzureAdJoined et DomainJoined sont YES dans la sortie de la ligne de commande.
- Si ce n’est pas le cas, reportez-vous à la documentation Microsoft pour résoudre les problèmes : https://docs.microsoft.com/fr-fr/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
- Si vous recevez le message d’erreur Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, exécutez la commande PowerShell suivante pour réparer le certificat utilisateur :
```
 Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate

 
```

Pour plus d’informations sur le problème de certificat utilisateur, consultez CTX566696.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Pool d’identités de machines jointes hybrides à Microsoft Entra

May 4, 2026

Contributeur:

May 4, 2026

Contributeur:

Dans cet article

Utiliser Studio
Utiliser PowerShell
Afficher l’état du processus de jonction Microsoft Entra hybride
Dépannage

Cela vous a-t-il été utile ?