Citrix DaaS

Pool di identità dell’identità del computer aggiunto ad Azure Active Directory ibrido

January 28, 2025

Grazie al contributo di:

Nota:

Da luglio 2023, Microsoft ha rinominato Azure Active Directory (Azure AD) in Microsoft Entra ID. Nel presente documento, qualsiasi riferimento ad Azure Active Directory, Azure AD o AAD fa ora riferimento a Microsoft Entra ID.

Questo articolo descrive come creare un pool di identità dell’identità della macchina aggiunta ad Azure Active Directory ibrido usando Citrix DaaS.

Per informazioni su requisiti, limitazioni e considerazioni, vedere Aggiunto ad Azure Active Directory ibrido.

Usa Studio

Le seguenti informazioni sono un’integrazione alla guida in Creazione di cataloghi macchine. Per creare cataloghi aggiunti ad Azure AD ibrido, seguire le indicazioni generali in tale articolo, tenendo conto dei dettagli specifici dei cataloghi aggiunti ad Azure AD ibrido.

Nella procedura guidata di creazione del catalogo:

Sul Identità del computer pagina:
1. Seleziona il tipo di identità come Aggiunto ad Azure Active Directory ibrido.
2. Seleziona un’opzione per l’account Active Directory:
  - Creare nuovi account Active Directory:
    - Se si seleziona Creare nuovi account Active Directory E utilizzare un pool di identità esistente per creare nuovi account, quindi selezionare un dominio per tali account e specificare uno schema di denominazione degli account.
    - Se si seleziona Creare nuovi account Active Directory e utilizzare un pool di identità esistente per creare nuovi account, quindi selezionare un pool di identità dall’elenco.
  - Utilizzare gli account Active Directory esistenti: È possibile sfogliare o importare da un file CSV e reimpostare la password o specificare la stessa password per tutti gli account.
3. Fai clic su Avanti.
Sul Credenziali di dominio , selezionare un account di servizio o immettere le credenziali manualmente. Il pool di identità aggiunto ad Azure AD ibrido può essere associato anche a un account del servizio AD locale. Per informazioni sugli account di servizio, vedere Account del servizio Active Directory locale.

Utilizzare PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni in Studio.

La differenza tra i cataloghi aggiunti ad AD locale e quelli aggiunti ad Azure AD ibrido risiede nella creazione del pool di identità e degli account del computer.

Per creare un pool di identità insieme agli account per i cataloghi aggiunti ad Azure AD ibrido:

  New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
  New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
  Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
 

Nota:

$password è la password corrispondente per un account utente AD con autorizzazioni di scrittura.

Tutti gli altri comandi usati per creare cataloghi aggiunti ad Azure AD ibrido sono gli stessi dei cataloghi aggiunti ad AD locali tradizionali.

È inoltre possibile associare un account di servizio locale a un catalogo di macchine creato da MCS associando un account di servizio locale al pool di identità. È possibile creare un pool di identità o aggiornarne uno esistente per associarlo a un account di servizio.

Ad esempio: per creare un nuovo pool di identità e associarlo a un account di servizio, eseguire quanto segue:

  New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
 

Ad esempio: per aggiornare un pool di identità esistente per associarlo a un account di servizio, eseguire quanto segue:

  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid

  Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

Nota:

Le $serviceAccountUid deve essere un UID valido di un account del servizio Active Directory locale.

Visualizzare lo stato del processo di aggiunta ad Azure AD ibrido

In Studio, lo stato del processo di aggiunta ad Azure AD ibrido è visibile quando le macchine aggiunte ad Azure AD ibrido in un gruppo di consegna sono in uno stato acceso. Per visualizzare lo stato, utilizzare Ricerca identificare tali macchine e quindi per ogni controllo Identità del computer sul Dettagli nel riquadro inferiore. Le seguenti informazioni possono essere visualizzate in Identità del computer:

Aggiunto ad Azure AD ibrido
Non ancora aggiunto ad Azure AD

Nota:

È possibile che si verifichi un’aggiunta ritardata ad Azure AD ibrido all’accensione iniziale del computer. Ciò è causato dall’intervallo di sincronizzazione dell’identità del computer predefinito (30 minuti di Azure AD Connect). Il computer si trova nello stato di aggiunta ad Azure AD ibrido solo dopo che le identità del computer sono state sincronizzate con Azure AD tramite Azure AD Connect.

Se i computer non si trovano nello stato di aggiunta ad Azure AD ibrido, non vengono registrati con il controller di recapito. Il loro stato di registrazione appare come Inizializzazione.

Inoltre, utilizzando Studio, è possibile scoprire perché i computer non sono disponibili. A tale scopo, fare clic su una macchina sul pulsante Ricerca nodo, controllo Registrazione sul Dettagli nel riquadro inferiore, quindi leggere la descrizione comando per ulteriori informazioni.

Risoluzione dei problemi

Se i computer non possono essere aggiunti ad Azure AD ibrido, eseguire le operazioni seguenti:

Verificare se l’account del computer è stato sincronizzato con Azure AD tramite il portale di Microsoft Azure AD. Se sincronizzato, Non ancora aggiunto ad Azure AD , che indica lo stato di registrazione in sospeso.

Per sincronizzare gli account del computer con Azure AD, assicurarsi che:
- L’account del computer si trova nell’unità organizzativa configurata per la sincronizzazione con Azure AD. Account macchina senza il Certificato utente non vengono sincronizzati con Azure AD anche se si trovano nell’unità organizzativa configurata per la sincronizzazione.
- L’attributo Certificato utente Viene popolato nell’account del computer. Utilizzare Active Directory Explorer per visualizzare l’attributo.
- Azure AD Connect deve essere stato sincronizzato almeno una volta dopo la creazione dell’account del computer. In caso contrario, eseguire manualmente il comando Start-ADSyncSyncCycle -PolicyType Delta nella console di PowerShell del computer Azure AD Connect per attivare una sincronizzazione immediata.
Verificare se la coppia di chiavi del dispositivo gestito Citrix per l’aggiunta ad Azure AD ibrido viene inviata correttamente alla macchina eseguendo una query sul valore di DeviceKeyPairRestored sotto HKEY_LOCAL_MACHINE\SISTEMA\CurrentControlSet\Control\Citrix.

Verificare che il valore sia 1. In caso contrario, le possibili ragioni sono:
- Tipo di identità del pool di identità associato allo schema di provisioning non è impostato su HybridAzureAD. Puoi verificarlo eseguendo Get-AcctIdentityPool.
- Il provisioning della macchina non viene eseguito utilizzando lo stesso schema di provisioning del catalogo delle macchine.
- Il computer non è aggiunto al dominio locale. L’aggiunta a un dominio locale è un prerequisito dell’aggiunta ad Azure AD ibrido.
Controllare i messaggi diagnostici eseguendo il comando dsregcmd /stato /debug sulla macchina con provisioning MCS.
- Se l’aggiunta ad Azure AD ibrido ha esito positivo, AzureAdJoined e Aggiunto al dominio sono SÌ nell’output della riga di comando.
- In caso contrario, fare riferimento alla documentazione Microsoft per risolvere i problemi: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
- Se viene visualizzato il messaggio di errore Messaggio del server: Il certificato utente non è stato trovato sul dispositivo con id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, quindi eseguire il comando di PowerShell seguente per ripristinare il certificato utente:
```
   Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
  
```

Per ulteriori informazioni sul problema del certificato utente, consulta CTX566696.

La versione ufficiale di questo contenuto è in inglese. Per alcuni dei contenuti della documentazione Cloud Software Group è stata impiegata la traduzione automatica solo per comodità. Cloud Software Group non ha alcun controllo sui contenuti tradotti in modo automatico, che possono contenere errori, imprecisioni o linguaggio inadatto. Non viene offerta alcuna garanzia di alcun tipo, espressa o implicita, circa l'accuratezza, l'affidabilità, l'idoneità o la correttezza di qualsiasi traduzione dall'originale inglese in qualsiasi altra lingua, o che il prodotto o servizio Cloud Software Group sia conforme a qualsiasi contenuto in traduzione automatica, e qualsiasi garanzia fornita ai sensi del contratto di licenza per l'utente finale applicabile o i termini di servizio, o qualsiasi altro accordo con Cloud Software Group che il prodotto o il servizio sia conforme a qualsiasi documentazione non si applicheranno nella misura in cui tale documentazione sia in traduzione automatica. Cloud Software Group non sarà ritenuta responsabile per eventuali danni o problemi che potrebbero derivare dall'utilizzo di contenuti per cui si è impiegata la traduzione automatica.

È stato utile?

Pool di identità dell’identità del computer aggiunto ad Azure Active Directory ibrido

January 28, 2025

Grazie al contributo di:

In questo articolo

È stato utile?