Documentazione dei prodotti
Citrix DaaS™
Visualizza PDF

Pool di identità delle identità macchina ibride aggiunte a Microsoft Entra

May 4, 2026
Grazie al contributo di: 
C C

Questo articolo descrive come creare un pool di identità delle identità macchina ibride aggiunte a Microsoft Entra utilizzando Citrix DaaS.

Per informazioni su requisiti, limitazioni e considerazioni, vedere Microsoft Entra hybrid joined.

Utilizzare Studio

Le seguenti informazioni integrano le indicazioni fornite in Creare cataloghi di macchine. Per creare cataloghi ibridi aggiunti a Microsoft Entra, seguire le indicazioni generali di tale articolo, prestando attenzione ai dettagli specifici dei cataloghi ibridi aggiunti a Microsoft Entra.

Nella procedura guidata di creazione del catalogo:

  1. Nella pagina Identità macchina:

    1. Selezionare il tipo di identità come Ibrido aggiunto a Microsoft Entra.
        1. In Configurazioni avanzate, fare clic su Seleziona account di servizio e selezionare un account di servizio disponibile dall’elenco. Se non è disponibile un account di servizio adatto a cui le identità macchina si uniranno, è possibile creare un account di servizio. Per informazioni sull’account di servizio, vedere Account di servizio Microsoft Entra.
            1. Fare clic su Aggiungi attributi di estensione per archiviare dati univoci e personalizzati direttamente sugli oggetti dispositivo Entra ID. Nella pagina Aggiungi attributi di estensione, aggiungere Attributi di estensione e Valore.

      • Nota:

               -  È possibile aggiungere un massimo di 15 attributi di estensione.
       -  Il nome e il valore devono essere univoci e non possono essere vuoti.
        1. Selezionare un’opzione per l’account di Active Directory:
      • Crea nuovi account di Active Directory:
        • Se si seleziona Crea nuovi account di Active Directory e si utilizza un pool di identità esistente per creare nuovi account, selezionare un dominio per tali account e specificare uno schema di denominazione degli account.
        • Se si seleziona Crea nuovi account di Active Directory e si utilizza un pool di identità esistente per creare nuovi account, selezionare un pool di identità dall’elenco.
      • Usa account di Active Directory esistenti: È possibile sfogliare o importare da un file CSV e reimpostare la password o specificare la stessa password per tutti gli account.
    2. Fare clic su Avanti.

  2. Nella pagina Credenziali di dominio, selezionare un account di servizio o immettere le credenziali manualmente. Il pool di identità ibride aggiunte a Microsoft Entra può anche essere associato a un account di servizio AD locale. Per informazioni sugli account di servizio, vedere Account di servizio di Active Directory locale.

Aggiungere o modificare attributi di estensione

Per modificare o aggiungere attributi di estensione aggiuntivi a un catalogo di macchine MCS esistente, o per aggiungere attributi di estensione a un catalogo MCS senza un account di servizio, utilizzare la procedura guidata Modifica catalogo macchine.

  • Per modificare o aggiungere attributi di estensione aggiuntivi, accedere alla pagina Attributi di estensione del dispositivo Microsoft Entra. Fare clic sull’icona della matita e aggiungere o aggiornare gli attributi di estensione.

  • Per aggiungere attributi di estensione a un catalogo MCS senza un account di servizio Microsoft Entra:

    1. Accedere alla pagina Account di servizio. Selezionare un account di servizio Microsoft Entra per l’ID Microsoft Intra.
    2. Andare alla pagina Attributi di estensione del dispositivo Microsoft Entra, fare clic su Aggiungi attributi di estensione.

Utilizzare PowerShell

I seguenti passaggi di PowerShell sono equivalenti alle operazioni in Studio.

La differenza tra i cataloghi aggiunti ad AD locale e quelli ibridi aggiunti a Microsoft Entra risiede nella creazione del pool di identità e degli account macchina.

Creare un nuovo pool di identità

Ad esempio: Per creare un pool di identità insieme agli account per i cataloghi ibridi aggiunti a Microsoft Entra:


New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password

<!--NeedCopy-->

Nota:

$password è la password corrispondente per un account utente AD con autorizzazioni di scrittura.

Tutti gli altri comandi utilizzati per creare cataloghi ibridi aggiunti a Microsoft Entra sono gli stessi di quelli per i tradizionali cataloghi aggiunti ad AD locale.

È anche possibile associare un account di servizio locale a un catalogo di macchine creato da MCS associando un account di servizio locale al pool di identità. È possibile creare un pool di identità o aggiornare un pool di identità esistente per associarlo a un account di servizio.

Ad esempio: Per creare un nuovo pool di identità e associarlo a un account di servizio, eseguire quanto segue:


New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Ad esempio: Per creare un nuovo pool di identità con attributi di estensione specificati e associarlo a un account di servizio, eseguire quanto segue:


New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Quando una VM viene accesa per la prima volta, dopo l’unione a Microsoft Entra ID, la VM segnala il proprio ID dispositivo Entra ID a MCS.

Ad esempio: Per controllare l’EntraIDDeviceID, eseguire Get-AcctADAccount o Get-AcctIdentity.


Get-AcctADAccount -IdentityPoolName MyPool

<!--NeedCopy-->

Dopo il riavvio, per le VM persistenti e non persistenti, l’EntraIDDeviceID rimane lo stesso.

  • Nota:

    MCS rimuove automaticamente gli ID dispositivo associati e gli attributi di estensione quando si elimina una VM dal catalogo ma non la si elimina da Azure.

Aggiornare un pool di identità esistente

Ad esempio: per aggiornare un pool di identità esistente e associarlo a un account di servizio, eseguire quanto segue:


-  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid

Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

<!--NeedCopy-->

Nota:

$serviceAccountUid deve essere un UID valido di un account di servizio di Active Directory locale.

Ad esempio: per modificare gli attributi di estensione per il catalogo esistente, eseguire quanto segue:

-  > **Nota:**
-  > > -  > -  Dopo l'aggiornamento delle VM del catalogo esistenti alla versione VDA 2511 o successiva, è necessario un riavvio. Questo riavvio consente alla VM di segnalare il proprio deviceId di Entra ID a MCS, consentendo a MCS di configurare gli attributi di estensione della VM. > >     -  Il catalogo esistente deve disporre di un account di servizio di tipo AzureAD con l'autorizzazione "Device.ReadWrite.All".

-  Per aggiungere nuovi attributi:


    -  Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}

<!--NeedCopy-->

Per rimuovere alcuni attributi esistenti


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}

<!--NeedCopy-->

OPPURE


Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}

<!--NeedCopy-->

Set-AcctIdentityPool aggiorna anche gli attributi di estensione del dispositivo Entra ID per le VM che sono già unite a Entra ID e possiedono un valore EntraIDDeviceID all’interno delle loro identità.

Creare un catalogo ibrido Microsoft Entra

È inoltre possibile creare un catalogo ibrido Microsoft Entra utilizzando un’immagine preparata. Per il set completo di comandi PowerShell per creare la definizione dell’immagine, la versione dell’immagine e la specifica della versione dell’immagine preparata, vedere:

Dopo aver creato la specifica della versione dell’immagine preparata, creare il pool di identità e il catalogo macchine. Ad esempio:


New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC##  -NamingSchemeType "Numeric"  -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"

New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]

<!--NeedCopy-->

Visualizzare lo stato del processo di aggiunta ibrida a Microsoft Entra

In Studio, lo stato del processo di aggiunta ibrida a Microsoft Entra è visibile quando le macchine unite in modalità ibrida a Microsoft Entra in un gruppo di consegna sono in stato di accensione. Per visualizzare lo stato, utilizzare Cerca per identificare tali macchine e quindi per ciascuna controllare Identità macchina nella scheda Dettagli nel riquadro inferiore. Le seguenti informazioni possono apparire in Identità macchina:

-  Unito in modalità ibrida a Microsoft Entra
-  Non ancora unito a Microsoft Entra ID

Nota:

  • Potrebbe verificarsi un ritardo nell’aggiunta ibrida a Microsoft Entra quando la macchina si accende inizialmente. Ciò è causato dall’intervallo di sincronizzazione predefinito dell’identità della macchina (30 minuti di Microsoft Entra Connect). La macchina si trova nello stato di aggiunta ibrida a Microsoft Entra solo dopo che le identità della macchina sono state sincronizzate con Microsoft Entra ID tramite Microsoft Entra Connect.
    • Se le macchine non riescono a raggiungere lo stato di aggiunta ibrida a Microsoft Entra, non vengono registrate con il Delivery Controller. Il loro stato di registrazione appare come Inizializzazione.

Inoltre, utilizzando Studio, è possibile scoprire perché le macchine non sono disponibili. Per farlo, fare clic su una macchina nel nodo Cerca, controllare Registrazione nella scheda Dettagli nel riquadro inferiore e quindi leggere la descrizione comando per ulteriori informazioni.

Risoluzione dei problemi

Se le macchine non riescono a essere unite in modalità ibrida a Microsoft Entra, eseguire quanto segue:

-  Verificare se l'account della macchina è stato sincronizzato con Microsoft Entra ID tramite il portale Microsoft Microsoft Entra. Se sincronizzato, appare **Non ancora unito a Microsoft Entra ID**, indicando lo stato di registrazione in sospeso.

Per sincronizzare gli account delle macchine con Microsoft Entra ID, assicurarsi che:

-  L'account della macchina si trovi nell'unità organizzativa configurata per la sincronizzazione con Microsoft Entra ID. Gli account delle macchine senza l'attributo **userCertificate** non vengono sincronizzati con Microsoft Entra ID anche se si trovano nell'unità organizzativa configurata per la sincronizzazione.
-  L'attributo **userCertificate** sia popolato nell'account della macchina. Utilizzare Active Directory Explorer per visualizzare l'attributo.
-  Microsoft Entra Connect deve essere stato sincronizzato almeno una volta dopo la creazione dell'account della macchina. In caso contrario, eseguire manualmente il comando `Start-ADSyncSyncCycle -PolicyType Delta` nella console PowerShell della macchina Microsoft Entra Connect per attivare una sincronizzazione immediata.

  • Verificare se la coppia di chiavi del dispositivo gestito da Citrix per l’aggiunta ibrida a Microsoft Entra è stata correttamente inviata alla macchina interrogando il valore di DeviceKeyPairRestored sotto HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

    Verificare che il valore sia 1. In caso contrario, le possibili ragioni sono:

    • IdentityType del pool di identità associato allo schema di provisioning non è impostato su HybridAzureAD. È possibile verificarlo eseguendo Get-AcctIdentityPool.
    • La macchina non è stata sottoposta a provisioning utilizzando lo stesso schema di provisioning del catalogo macchine.
    • La macchina non è unita al dominio locale. L’unione al dominio locale è un prerequisito per l’aggiunta ibrida a Microsoft Entra.

  • Controllare i messaggi diagnostici eseguendo il comando dsregcmd /status /debug sulla macchina sottoposta a provisioning MCS.

    • Se l’aggiunta ibrida a Microsoft Entra ha esito positivo, AzureAdJoined e DomainJoined sono YES nell’output della riga di comando.
    • In caso contrario, fare riferimento alla documentazione Microsoft per la risoluzione dei problemi: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Se si riceve il messaggio di errore Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, eseguire il seguente comando PowerShell per ripristinare il certificato utente:

      
 Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate

 <!--NeedCopy-->

Per ulteriori informazioni sul problema del certificato utente, vedere CTX566696.

Pool di identità delle identità macchina ibride aggiunte a Microsoft Entra
May 4, 2026
Grazie al contributo di: 
C C
May 4, 2026
Grazie al contributo di: 
C C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.