Citrix Virtual Apps and Desktops

Créer des catalogues joints à Azure Active Directory hybride

Remarque :

Depuis juillet 2023, Microsoft a renommé Azure Active Directory (Azure AD) Microsoft Entra ID. Dans ce document, toute occurrence de l’appellation Azure Active Directory, Azure AD ou de l’acronyme AAD fait désormais référence à Microsoft Entra ID.

Cet article explique comment créer des catalogues joints à Azure Active Directory (AD) Hybride.

Vous pouvez créer des catalogues joints à Azure AD à l’aide de Web Studio ou de PowerShell.

Pour plus d’informations sur les exigences, les limites et les considérations, consultez la section Joint à Azure Active Directory Hybride.

Utiliser Web Studio

Les informations suivantes étayent les instructions disponibles dans la section Créer des catalogues de machines. Pour créer des catalogues joints à Azure AD Hybride, suivez les instructions générales de cet article, en tenant compte des détails spécifiques aux catalogues joints à Azure AD Hybride.

Dans l’assistant de création de catalogues :

  • Sur la page Identités des machines, sélectionnez Joint à Azure Active Directory Hybride. Les machines créées appartiennent à une organisation et sont connectées avec un compte des services de domaine Active Directory appartenant à cette organisation. Elles existent dans le cloud et sur site.

Remarque :

Si vous sélectionnez Joint à Azure Active Directory Hybride comme type d’identité, chaque machine du catalogue doit avoir un compte d’ordinateur Active Directory correspondant.

Utiliser PowerShell

Voici des étapes PowerShell équivalentes aux opérations Web Studio. Pour plus d’informations sur la création d’un catalogue à l’aide du SDK Remote PowerShell, consultez https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

La différence entre les catalogues joints à AD sur site et ceux joints à Azure AD Hybride réside dans la création du pool d’identités et des comptes de machines.

Pour créer un pool d’identités avec les comptes pour les catalogues joints à Azure AD Hybride :

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Remarque :

$password est le mot de passe correspondant à un compte utilisateur AD doté d’autorisations d’écriture.

Toutes les autres commandes utilisées pour créer des catalogues joints à Azure AD Hybride sont les mêmes que pour les catalogues joints à AD sur site traditionnels.

Afficher l’état Azure AD Hybride

Dans l’interface Web Studio, l’état Azure AD Hybride est visible lorsque les machines jointes à Azure AD Hybride dans un groupe de mise à disposition sont sous tension. Pour afficher l’état, utilisez la fonction Rechercher pour identifier ces machines, puis vérifiez Identité de la machine dans l’onglet Détails du volet inférieur. Les informations suivantes peuvent apparaître dans Identité de la machine :

  • Joint à Azure AD Hybride
  • Pas encore joint à Azure AD

Remarque :

  • La jonction à Azure AD Hybride peut être retardée lors de la mise sous tension initiale de la machine. Cela est dû à l’intervalle de synchronisation de l’identité de la machine par défaut (30 minutes d’Azure AD Connect). La machine est définie sur l’état Joint à Azure AD Hybride uniquement après la synchronisation des identités de la machine avec Azure AD via Azure AD Connect.
  • Si des machines ne sont pas définies sur l’état Joint à Azure AD Hybride, elles ne sont pas enregistrées auprès du Delivery Controller. Leur état d’enregistrement indique Initialisation.

En outre, à l’aide de Web Studio, vous pouvez découvrir pourquoi les machines ne sont pas disponibles. Pour ce faire, cliquez sur une machine dans le nœud Rechercher, cochez Enregistrement dans l’onglet Détails dans le volet inférieur, puis lisez l’infobulle pour plus d’informations.

Dépannage

Si des machines ne peuvent pas être jointes à Azure AD Hybride, procédez comme suit :

  • Vérifiez si le compte de la machine a été synchronisé avec Azure AD via le portail Microsoft Azure AD. S’il est synchronisé, Pas encore joint à Azure AD apparaît, indiquant que l’inscription est en attente.

    Pour synchroniser des comptes de machines avec Azure AD, assurez-vous que :

    • Le compte de machine se trouve dans l’unité d’organisation configurée pour être synchronisée avec Azure AD. Les comptes de machines sans attribut userCertificate ne sont pas synchronisés avec Azure AD même s’ils se trouvent dans l’unité d’organisation configurée pour être synchronisée.
    • L’attribut userCertificate est renseigné dans le compte de la machine. Utilisez Active Directory Explorer pour afficher l’attribut.
    • Azure AD Connect doit avoir été synchronisé au moins une fois après la création du compte de machine. Sinon, exécutez manuellement la commande Start-ADSyncSyncCycle -PolicyType Delta dans la console PowerShell de la machine Azure AD Connect pour déclencher une synchronisation immédiate.
  • Vérifiez si la paire de clés de périphérique géré par Citrix pour la jointure à Azure AD Hybride est correctement transmise à la machine en interrogeant la valeur de DeviceKeyPairRestored sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

    Vérifiez que la valeur est 1. Si ce n’est pas le cas, les raisons possibles sont les suivantes :

    • Le paramètre IdentityType du pool d’identités associé au schéma de provisioning n’est pas défini sur HybridAzureAD. Vous pouvez le vérifier en exécutant Get-AcctIdentityPool.
    • La machine n’est pas provisionnée à l’aide du même schéma de provisioning que le catalogue de machines.
    • La machine n’est pas jointe au domaine local. La jonction au domaine local est une condition préalable à la jonction à Azure AD.
  • Vérifiez les messages de diagnostic en exécutant la commande dsregcmd /status /debug sur la machine provisionnée par MCS.

    • Si la jonction à Azure AD Hybride réussit, AzureAdJoined et DomainJoined ont la valeur YES dans la sortie de la ligne de commande.

    • Si ce n’est pas le cas, consultez la documentation Microsoft pour résoudre les problèmes : https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Si vous voyez le message d’erreur Message du serveur : Le certificat utilisateur est introuvable sur l’appareil avec l’ID : xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx, exécutez la commande PowerShell suivante pour réparer le certificat utilisateur :

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
       <!--NeedCopy-->
      

      Pour plus d’informations sur le problème du certificat utilisateur, consultez CTX566696.

Créer des catalogues joints à Azure Active Directory hybride