-
-
-
Microsoft Entraハイブリッド参加済みマシンIDのIDプール
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Microsoft Entra ハイブリッド参加済みマシンIDのIDプール
この記事では、Citrix DaaS を使用して Microsoft Entra ハイブリッド参加済みマシンID の ID プールを作成する方法について説明します。
要件、制限、および考慮事項については、「Microsoft Entra ハイブリッド参加済み」を参照してください。
Studioの使用
以下の情報は、「マシンカタログの作成」のガイダンスを補足するものです。Microsoft Entra ハイブリッド参加済みカタログを作成するには、その記事の一般的なガイダンスに従い、Microsoft Entra ハイブリッド参加済みカタログに固有の詳細に注意してください。
カタログ作成ウィザードで:
-
マシンIDページで:
- IDタイプとしてMicrosoft Entra ハイブリッド参加済みを選択します。
-
- [詳細設定] で、[サービスアカウントの選択] をクリックし、リストから利用可能なサービスアカウントを選択します。マシンIDが参加するのに適したサービスアカウントが利用できない場合は、サービスアカウントを作成できます。サービスアカウントの詳細については、「Microsoft Entra サービスアカウント」を参照してください。
-
- [拡張属性の追加] をクリックして、Entra ID デバイスオブジェクトに一意のカスタムデータを直接保存します。[拡張属性の追加] ページで、[拡張属性] と [値] を追加します。
-
- [詳細設定] で、[サービスアカウントの選択] をクリックし、リストから利用可能なサービスアカウントを選択します。マシンIDが参加するのに適したサービスアカウントが利用できない場合は、サービスアカウントを作成できます。サービスアカウントの詳細については、「Microsoft Entra サービスアカウント」を参照してください。
-
- IDタイプとしてMicrosoft Entra ハイブリッド参加済みを選択します。
注: > > - 最大15個の拡張属性を追加できます > - 名前と値は一意であり、空にすることはできません
- 4. Active Directory アカウントオプションを選択します。
- **新しいActive Directoryアカウントの作成**:
- **[新しいActive Directoryアカウントの作成]** を選択し、既存のIDプールを使用して新しいアカウントを作成する場合は、それらのアカウントのドメインを選択し、アカウント命名スキームを指定します。
- **[新しいActive Directoryアカウントの作成]** を選択し、既存のIDプールを使用して新しいアカウントを作成する場合は、リストからIDプールを選択します。
- **既存のActive Directoryアカウントの使用**: CSVファイルから参照またはインポートし、パスワードをリセットするか、すべてのアカウントに同じパスワードを指定できます。
1. **[次へ]** をクリックします。
- [ドメイン資格情報] ページで、サービスアカウントを選択するか、資格情報を手動で入力します。Microsoft Entra ハイブリッド参加済みIDプールは、オンプレミスのADサービスアカウントに関連付けることもできます。サービスアカウントの詳細については、「オンプレミスのActive Directoryサービスアカウント」を参照してください。
拡張属性の追加または変更
既存のMCSマシンカタログに拡張属性を変更または追加する場合、またはサービスアカウントなしでMCSカタログに拡張属性を追加する場合は、[マシンカタログの編集] ウィザードを使用します。
- 追加の拡張属性を変更または追加するには、[Microsoft Entra デバイス拡張属性] ページに移動します。鉛筆アイコンをクリックし、拡張属性を追加または更新します。
-
Microsoft Entra サービスアカウントなしでMCSカタログに拡張属性を追加するには:
- [サービスアカウント] ページに移動します。Microsoft Intra ID の Microsoft Entra サービスアカウントを選択します。
- [Microsoft Entra デバイス拡張属性] ページに移動し、[拡張属性の追加] をクリックします。
PowerShellの使用
以下のPowerShellの手順は、Studioでの操作と同等です。
オンプレミスAD参加済みカタログとMicrosoft Entra ハイブリッド参加済みカタログの違いは、IDプールとマシンアカウントの作成にあります。
新しいIDプールの作成
例: Microsoft Entra ハイブリッド参加済みカタログのアカウントとともにIDプールを作成するには:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
注:
$passwordは、書き込み権限を持つADユーザーアカウントの一致するパスワードです。
Microsoft Entra ハイブリッド参加済みカタログの作成に使用されるその他のすべてのコマンドは、従来のオンプレミスAD参加済みカタログと同じです。
オンプレミスのサービスアカウントをIDプールに関連付けることで、MCSで作成されたマシンカタログにオンプレミスのサービスアカウントを関連付けることもできます。IDプールを作成するか、既存のIDプールを更新してサービスアカウントに関連付けることができます。
例: 新しいIDプールを作成し、サービスアカウントに関連付けるには、次を実行します。
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
例: 指定された拡張属性を持つ新しいIDプールを作成し、サービスアカウントに関連付けるには、次を実行します。
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
VMがMicrosoft Entra IDに参加した後、初めて電源がオンになると、そのEntra ID deviceIdをMCSに報告します。
例: EntraIDDeviceID を確認するには、Get-AcctADAccount または Get-AcctIdentity を実行します。
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
再起動後、永続VMと非永続VMの両方で、EntraIDDeviceID は同じままです。
注:
MCSは、カタログからVMを削除してもAzureから削除しない場合、関連付けられたデバイスIDと拡張属性を自動的に削除します。
既存のIDプールの更新
例えば、既存のIDプールを更新してサービスアカウントに関連付けるには、以下を実行します。
- $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
注:
$serviceAccountUidは、オンプレミスのActive Directoryサービスアカウントの有効なUIDである必要があります。
例えば、既存のカタログの拡張属性を編集するには、以下を実行します。
注:
既存のカタログVMをVDAバージョン2511以降にアップグレードした後、再起動が必要です。この再起動により、VMはそのEntra ID deviceIdをMCSに報告できるようになり、MCSはVMの拡張属性を構成できます。
- 既存のカタログには、”Device.ReadWrite.All”の権限を持つAzureADタイプのサービスアカウントが必要です。
- 新しい属性を追加するには:
- Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
既存の属性を削除するには
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
または
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool は、すでにEntra IDに参加しており、そのID内にEntraIDDeviceID値を持つVMのEntra IDデバイスの拡張属性も更新します。
ハイブリッドMicrosoft Entraカタログの作成
準備されたイメージを使用して、ハイブリッドMicrosoft Entraカタログを作成することもできます。イメージ定義、イメージバージョン、および準備されたイメージバージョンの仕様を作成するためのPowerShellコマンドの完全なセットについては、以下を参照してください。
-
Azure仮想化環境: PowerShellの使用。
- VMware仮想化環境: PowerShellの使用
準備されたイメージバージョンの仕様を作成した後、IDプールとマシンカタログを作成します。例えば:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
ハイブリッドMicrosoft Entra参加プロセスのステータス表示
Studioでは、デリバリーグループ内のMicrosoft Entraハイブリッド参加マシンが電源オン状態の場合に、ハイブリッドMicrosoft Entra参加プロセスのステータスが表示されます。ステータスを表示するには、検索を使用してそれらのマシンを特定し、下部ペインの詳細タブで各マシンのマシンIDを確認します。マシンIDには以下の情報が表示されます。
- Microsoft Entraハイブリッド参加済み
- Microsoft Entra IDに未参加
注:
- マシンが最初に電源オンになったときに、ハイブリッドMicrosoft Entra参加が遅延する可能性があります。これは、デフォルトのマシンID同期間隔(Microsoft Entra Connectの30分)によって引き起こされます。マシンは、Microsoft Entra Connectを介してマシンIDがMicrosoft Entra IDに同期された後にのみ、Microsoft Entraハイブリッド参加状態になります。
- マシンがMicrosoft Entraハイブリッド参加状態にならない場合、それらはDelivery Controllerに登録されません。登録ステータスは初期化中と表示されます。
また、Studioを使用して、マシンが利用できない理由を知ることができます。そのためには、検索ノードでマシンをクリックし、下部ペインの詳細タブで登録を確認し、その後、ツールチップを読んで追加情報を確認します。
トラブルシューティング
マシンがMicrosoft Entraハイブリッド参加に失敗した場合、以下を実行します。
- マシンアカウントがMicrosoft Microsoft Entraポータルを介してMicrosoft Entra IDに同期されているか確認します。同期されている場合、**Microsoft Entra IDに未参加**と表示され、登録保留中のステータスを示します。
マシンアカウントをMicrosoft Entra IDに同期するには、以下を確認してください。
- マシンアカウントが、Microsoft Entra IDと同期するように構成されたOU内にあること。**userCertificate**属性を持たないマシンアカウントは、同期するように構成されたOU内にあってもMicrosoft Entra IDに同期されません。
- マシンアカウントに**userCertificate**属性が設定されていること。属性を表示するにはActive Directory Explorerを使用します。
- マシンアカウントが作成された後、Microsoft Entra Connectが少なくとも1回同期されていること。そうでない場合は、即時同期をトリガーするために、Microsoft Entra ConnectマシンのPowerShellコンソールで`Start-ADSyncSyncCycle -PolicyType Delta`コマンドを手動で実行します。
-
ハイブリッドMicrosoft Entra参加用のCitrix管理対象デバイスキーペアが、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrixの下にあるDeviceKeyPairRestoredの値をクエリすることで、マシンに正しくプッシュされているか確認します。
値が1であることを確認します。そうでない場合、考えられる理由は次のとおりです。
- プロビジョニングスキームに関連付けられているIDプールの
IdentityTypeがHybridAzureADに設定されていない。これはGet-AcctIdentityPoolを実行して確認できます。 - マシンがマシンカタログと同じプロビジョニングスキームを使用してプロビジョニングされていない。
- マシンがローカルドメインに参加していない。ローカルドメインへの参加は、ハイブリッドMicrosoft Entra参加の前提条件です。
- プロビジョニングスキームに関連付けられているIDプールの
-
MCSプロビジョニング済みマシンで
dsregcmd /status /debugコマンドを実行して診断メッセージを確認します。- ハイブリッドMicrosoft Entra参加が成功した場合、コマンドラインの出力でAzureAdJoinedとDomainJoinedはYESになります。
- そうでない場合は、問題のトラブルシューティングについてはMicrosoftのドキュメントを参照してください: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current。
-
Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxというエラーメッセージが表示された場合、ユーザー証明書を修復するために以下のPowerShellコマンドを実行します。
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->
ユーザー証明書の問題に関する詳細については、CTX566696を参照してください。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.