Citrix DaaS

Pool di identità dell’identità del computer aggiunto ad Azure Active Directory

March 12, 2025

Grazie al contributo di:

Questo articolo descrive come creare un pool di identità dell’identità del computer aggiunto ad Azure Active Directory utilizzando Citrix DaaS.

Nota:

Da luglio 2023, Microsoft ha rinominato Azure Active Directory (Azure AD) in Microsoft Entra ID. Nel presente documento, qualsiasi riferimento ad Azure Active Directory, Azure AD o AAD fa ora riferimento a Microsoft Entra ID.

Per informazioni su requisiti, limitazioni e considerazioni, vedere Aggiunto ad Azure Active Directory.

Prima di creare il catalogo delle macchine, è necessario quanto segue:

Nuova posizione della risorsa
- Passare all’interfaccia utente di amministrazione di Citrix Cloud > Menu hamburger in alto a sinistra > Posizioni delle risorse.
- Clic + Posizione delle risorse.
- Immettere un nome per la nuova posizione della risorsa e fare clic su Salvare.
Crea una connessione di hosting. Vedere Creare e gestire le connessioni per i dettagli. Quando si distribuiscono computer in Azure, vedere Connessione ad Azure Resource Manager.

È possibile creare cataloghi aggiunti ad Azure AD usando Studio o PowerShell.

Usa Studio

Le seguenti informazioni sono un’integrazione alla guida in Creazione di cataloghi macchine. Per creare cataloghi aggiunti ad Azure AD, seguire le indicazioni generali in tale articolo, tenendo presenti i dettagli specifici dei cataloghi aggiunti ad Azure AD.

Nella procedura guidata di creazione del catalogo:

Sul Immagine pagina:
- Selezionare 2106 o versione successiva come livello di funzionalità.
- Selezionare Utilizzare un profilo macchina e selezionare la macchina appropriata dall’elenco.
Sul Identità del computer pagina:
- Selezionare Aggiunto ad Azure Active Directory. I computer creati sono di proprietà di un’organizzazione e vengono connessi con un account Azure AD appartenente a tale organizzazione. Esistono solo nel cloud.
  Nota:
  - Le Aggiunto ad Azure Active Directory Il tipo di identità richiede la versione 2106 o successiva come livello di funzionalità minimo per il catalogo.
  - I computer vengono aggiunti al dominio Azure AD associato al tenant a cui è associata la connessione di hosting.
- Click Select service account and select an available service account from the list. If a suitable service account is not available for the Azure AD tenant that the machine identities will join to, you can create a service account. For information on service account, see Azure AD service accounts.
```
> **Nota:**
>
> L'account del servizio selezionato potrebbe essere in uno stato non integro per vari motivi.   You can go to **Administrators > Service Accounts** to [view details](/en-us/citrix-daas/install-configure/manage-service-accounts#view-service-account-details) and fix the issues according to the recommendations.   Alternatively, you can proceed with the machine catalog operation and fix the issues later.   If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.
```
Agli utenti deve essere concesso l’accesso esplicito in Azure per accedere ai computer usando le credenziali AAD. Vedere Aggiunto ad Azure Active Directory per maggiori dettagli.

Modificare l’associazione dell’account di servizio

Per modificare l’account di servizio associato o aggiungere un’associazione a un catalogo macchine MCS esistente, utilizzare la pagina Modifica catalogo macchine .

Per aggiungere un account di servizio, fare clic su Seleziona account di servizio nella pagina Account di servizio .
Per modificare l’associazione dell’account di servizio, fare clic sull’icona di modifica nella pagina Account di servizio .

Utilizzare PowerShell

Di seguito sono riportati PowerShell passaggi equivalenti alle operazioni in Studio.

La differenza tra i cataloghi aggiunti ad AD locale e quelli aggiunti ad Azure AD risiede nella creazione del pool di identità e dello schema di provisioning.

È necessario associare un account del servizio Azure AD al pool di identità, quindi creare il catalogo delle macchine. È possibile creare un nuovo pool di identità oppure aggiornarne uno esistente per associarlo a un account di servizio.

Ad esempio: per creare un nuovo pool di identità e associarlo a un account di servizio, eseguire quanto segue:

  New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
 

Ad esempio: per aggiornare un pool di identità esistente per associarlo a un account di servizio, eseguire quanto segue:

  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
  Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
 

Nota:

Le $serviceAccountUid deve essere un UID valido di un account del servizio Azure AD.

Per creare uno schema di provisioning per i cataloghi aggiunti ad Azure AD, è richiesto il parametro MachineProfile in New-ProvScheme. Per esempio:

  New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
 

Per creare un catalogo di Azure AD utilizzando un’immagine preparata. Per esempio:

  New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
 

Visualizzare lo stato del processo di aggiunta ad Azure AD

In Studio, lo stato del processo di aggiunta ad Azure AD è visibile quando le macchine aggiunte ad Azure AD in un gruppo di consegna sono in uno stato acceso. Per visualizzare lo stato, utilizzare Ricerca identificare tali macchine e quindi per ogni controllo Identità del computer sul Dettagli nel riquadro inferiore. Le seguenti informazioni possono essere visualizzate in Identità del computer:

Aggiunto ad Azure AD
Non ancora aggiunto ad Azure AD

Nota:

Se i computer non si trovano nello stato aggiunto ad Azure AD, non vengono registrati con il controller di recapito. Il loro stato di registrazione appare come Inizializzazione.

Inoltre, utilizzando Studio, è possibile scoprire perché i computer non sono disponibili. A tale scopo, fare clic su una macchina sul pulsante Ricerca nodo, controllo Registrazione sul Dettagli nel riquadro inferiore, quindi leggere la descrizione comando per ulteriori informazioni.

Gruppo di consegna

Vedere Creazione di gruppi di consegna per i dettagli.

Abilita Rendezvous

Una volta creato il gruppo di consegna, è possibile abilitare Rendezvous. Vedere Rendezvous V2 per i dettagli.

Risoluzione dei problemi

Se i computer non possono essere aggiunti ad Azure AD, eseguire le operazioni seguenti:

Verificare se l’identità gestita assegnata dal sistema è abilitata per i computer. Le macchine con provisioning MCS devono avere questa opzione abilitata automaticamente. Il processo di aggiunta ad Azure AD ha esito negativo senza l’identità gestita assegnata dal sistema. Se l’identità gestita assegnata dal sistema non è abilitata per le macchine con provisioning MCS, il motivo possibile è:
- Tipo di identità del pool di identità associato allo schema di provisioning non è impostato su Azure AD. Puoi verificarlo eseguendo Get-AcctIdentityPool.
Per i cataloghi che utilizzano immagini master con VDA versione 2206 o precedente, controllare lo stato del provisioning di AADLoginForWindows prolunga per le macchine. Se l’estensione AADLoginForWindows non esiste, le possibili ragioni sono:
- Tipo di identità del pool di identità associato allo schema di provisioning non è impostato su Azure AD. Puoi verificarlo eseguendo Get-AcctIdentityPool.
- Le AADLoginForWindows L’installazione dell’estensione è bloccata da Criteri di Azure.
Per risolvere i problemi AADLoginForWindows errori di provisioning dell’estensione, è possibile controllare i log in C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows sulla macchina con provisioning MCS.

Nota:

MCS non si basa sul AADLoginForWindows per aggiungere una macchina virtuale ad Azure AD quando si usa un’immagine master con VDA versione 2209 o successiva. In questo caso, il AADLoginForWindows l’estensione non verrà installata sulla macchina con provisioning MCS. Pertanto, i log di provisioning dell’estensione AADLoginForWindows non possono essere raccolti.
Controllare lo stato di aggiunta ad Azure AD e i log di debug eseguendo dsregcmd /stato sulla macchina con provisioning MCS.
Controlla i registri eventi di Windows in Registri applicazioni e servizi > Valentina > Finestre > Registrazione del dispositivo utente.
Verificare se la gestione dei dispositivi Azure AD è configurata correttamente eseguendo Get-Item -LiteralPath XDHyp:\Connessioni\${HostingConnectionName}.

Assicurarsi che il valore di:
- AzureAdDeviceManagement immobili in Proprietà personalizzate è vero
- Citrix_MCS_AzureAdDeviceManagement_PermissionGranted nei metadati è vero
Se Citrix_MCS_AzureAdDeviceManagement_PermissionGranted è falso, indica che il ServicePrincipal dell’applicazione utilizzata dalla connessione di hosting non dispone di autorizzazioni sufficienti per eseguire la gestione dei dispositivi Azure AD. Per risolvere questo problema, assegnare il ServicePrincipal colla Amministratore del dispositivo cloud ruolo.

Gruppo di sicurezza dinamico di Azure Active Directory

Le regole dei gruppi dinamici inseriscono le macchine virtuali nel catalogo in un gruppo di sicurezza dinamico in base allo schema di denominazione del catalogo delle macchine.

Se lo schema di denominazione del catalogo delle macchine è Test### (dove # significa numero), Citrix crea la regola di appartenenza dinamica ^Test[0-9]{3}$ nel gruppo di sicurezza dinamico. Ora, se il nome della macchina virtuale creata da Citrix è compreso tra Test001 e Test999, la macchina virtuale viene inclusa nel gruppo di sicurezza dinamico.

Nota:

Se il nome della macchina virtuale creata manualmente è compreso tra Test001 e Test999, anche la macchina virtuale viene inclusa nel gruppo di sicurezza dinamico. Questa è una delle limitazioni del gruppo di sicurezza dinamico.

La funzionalità del gruppo di sicurezza dinamico è utile quando si desidera gestire le macchine virtuali da Azure Active Directory (Azure AD). Ciò è utile anche quando si vogliono applicare criteri di accesso condizionale o distribuire app da Intune filtrando le macchine virtuali con il gruppo di sicurezza dinamico di Azure AD.

È possibile utilizzare PowerShell comandi per:

Creare un catalogo di macchine con il gruppo di sicurezza dinamico di Azure AD
Abilitare la funzionalità del gruppo di sicurezza per un catalogo di Azure AD
Eliminare un catalogo di macchine con un gruppo di sicurezza del dispositivo aggiunto ad Azure AD

Importante:

Per creare un catalogo di macchine con il gruppo di sicurezza dinamico di Azure AD, aggiungere macchine al catalogo ed eliminare il catalogo di macchine, è necessario disporre del token di accesso di Azure AD. Per informazioni su come ottenere il token di accesso di Azure AD, vedere https://docs.microsoft.com/en-us/graph/graph-explorer/graph-explorer-features#consent-to-permissions/.

Per richiedere un token di accesso in Azure AD, Citrix richiede il Group.ReadWrite.All autorizzazione per l’API Microsoft Graph. Un utente di Azure AD che dispone dell’autorizzazione di consenso dell’amministratore a livello di tenant può concedere Group.ReadWrite.All autorizzazione per l’API Microsoft Graph. Per informazioni su come concedere l’autorizzazione dell’amministratore a livello di tenant a un’applicazione in Azure Active Directory (Azure AD), vedere il documento Microsoft https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/grant-admin-consent/.

Creare un catalogo di macchine con il gruppo di sicurezza dinamico di Azure AD

Nell’interfaccia utente di configurazione del catalogo macchine della console basata sul Web, nella Identità del computer pagina, selezionare Aggiunto ad Azure Active Directory.
Accedere ad Azure AD.
Ottenere il token di accesso all’API MS Graph. Utilizzare questo token di accesso come valore di $AzureADAccessToken quando si esegue il parametro PowerShell Comandi.
Eseguire il comando seguente per verificare se il nome del gruppo di sicurezza dinamico esiste nel tenant.
```
  Get-AcctAzureADSecurityGroup
  –AccessToken  $AzureADAccessToken
  –Name "SecurityGroupName"
 
```

Creare un catalogo di macchine utilizzando l’ID tenant, il token di accesso e il gruppo di sicurezza dinamico. Esegui il comando seguente per creare un IdentityPool con IdentityType=AzureAD e creare un gruppo di sicurezza dinamico in Azure.

  New-AcctIdentityPool
  -AllowUnicode
  -IdentityPoolName "SecurityGroupCatalog"
  -NamingScheme "SG-VM-###"
  -NamingSchemeType "Numeric" -Scope @()
  -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
  -WorkgroupMachine
  -IdentityType "AzureAD"
  -DeviceManagementType "None"
  -AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupName "SecurityGroupName"
  -AzureADAccessToken $AzureADAccessToken
 

Abilitare la funzionalità del gruppo di sicurezza per un catalogo di Azure AD

È possibile abilitare la funzionalità di sicurezza dinamica per un catalogo di Azure AD creato senza la funzionalità del gruppo di sicurezza dinamico abilitata. Per fare questo:

Creare manualmente un nuovo gruppo di sicurezza dinamico. È inoltre possibile riutilizzare un gruppo di sicurezza dinamico esistente.
Accedere ad Azure AD e ottenere il token di accesso all’API MS Graph. Utilizzare questo token di accesso come valore di $AzureADAccessToken quando si esegue il parametro PowerShell Comandi.

Nota:

Per informazioni sulle autorizzazioni richieste dall’utente di Azure AD, vedere https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/grant-admin-consent#prerequisites/.

Eseguire il comando seguente per connettere il pool di identità al gruppo di sicurezza dinamico di Azure AD creato.

  Set-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupNam "ExistingSecurityGroupName"
  -AzureADAccessToken $AzureADAccessToken
 

Se si aggiorna lo schema di denominazione, Citrix aggiorna lo schema di denominazione a una nuova regola di appartenenza. Se si elimina il catalogo, viene eliminata la regola di appartenenza e non il gruppo di sicurezza.

Eliminare un catalogo di macchine con un gruppo di sicurezza del dispositivo aggiunto ad Azure AD

Quando si elimina un catalogo di macchine, viene eliminato anche il gruppo di sicurezza del dispositivo aggiunto ad Azure AD.

Per eliminare il gruppo di sicurezza dinamico di Azure AD, eseguire le operazioni seguenti:

Accedere ad Azure AD.
Ottenere il token di accesso all’API MS Graph. Utilizzare questo token di accesso come valore di $AzureADAccessToken quando si esegue il parametro PowerShell Comandi.

Eseguire il seguente comando:

  Remove-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADAccessToken $AzureADAccessToken
 

Creare un gruppo di sicurezza dinamico di Azure AD in un gruppo di sicurezza assegnato ad Azure AD esistente

È possibile creare un gruppo di sicurezza dinamico di Azure AD in un gruppo di sicurezza assegnato ad Azure AD esistente. È possibile effettuare le seguenti operazioni:

Ottenere informazioni sul gruppo di sicurezza.
Ottenere tutti i gruppi di sicurezza assegnati ad Azure AD sincronizzati dal server AD locale o i gruppi di sicurezza assegnati a cui è possibile assegnare i ruoli di Azure AD.
Ottenere tutti i gruppi di sicurezza dinamici di Azure AD.
Aggiungere il gruppo di sicurezza dinamico di Azure AD come membro del gruppo assegnato di Azure AD.
Rimuovere l’appartenenza tra il gruppo di sicurezza dinamico di Azure AD e il gruppo di sicurezza assegnato di Azure AD quando il gruppo di sicurezza dinamico di Azure AD viene eliminato insieme al catalogo delle macchine.

È inoltre possibile visualizzare messaggi di errore espliciti quando una delle operazioni non riesce.

Requisito:

È necessario disporre del token di accesso all’API MS Graph quando si esegue il PowerShell Comandi.

Per ottenere il token di accesso:

Aperto Esplora grafici Microsoft e accedere ad Azure AD.
Assicurati di avere il consenso a Group.ReadWrite.All e GroupMember.ReadWrite.All Autorizzazioni.
Ottenere il token di accesso da Microsoft Graph Explorer. Utilizzare questo token di accesso quando si esegue il comando PowerShell Comandi.

Per ottenere informazioni sul gruppo di sicurezza in base all’ID gruppo:

Ottenere il token di accesso.
Trovare l’ID oggetto gruppo dal portale di Azure.