ハイブリッド Azure Active Directory 参加済みカタログを作成する

注：

2023年7月以降、マイクロソフトは Azure Active Directory (アジュール アクティブ ディレクトリ) の名称を Microsoft Entra ID (マイクロソフト エントラ ID) に変更しました。このドキュメントでは、Azure Active Directory、Azure AD、または AAD への言及は、すべて Microsoft Entra ID を指すものとします。

この記事では、ハイブリッドAzure Active Directory (AD) 参加済みカタログを作成する方法について説明します。

Web StudioまたはPowerShellを使用して、Azure AD参加済みカタログを作成できます。

要件、制限、考慮事項については、「ハイブリッドAzure Active Directory参加済み」を参照してください。

Web Studioの利用について

以下の情報は、「マシンカタログの作成」のガイダンスを補足するものです。ハイブリッドAzure AD参加済みカタログを作成するには、その記事の一般的なガイダンスに従い、ハイブリッドAzure AD参加済みカタログに固有の詳細に注意してください。

カタログ作成ウィザードで：

• マシンIDページで、ハイブリッドAzure Active Directory参加済みを選択します。作成されたマシンは組織が所有し、その組織に属するActive Directory Domain Servicesアカウントでサインインされます。これらはクラウドとオンプレミスの両方に存在します。

注：

IDタイプとしてハイブリッドAzure Active Directory参加済みを選択した場合、カタログ内の各マシンには対応するADコンピューターアカウントが必要です。

パワーシェルを使用する

以下は、Web Studioでの操作に相当するPowerShellの手順です。Remote PowerShell SDKを使用してカタログを作成する方法については、https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/を参照してください。

オンプレミスAD参加済みカタログとハイブリッドAzure AD参加済みカタログの違いは、IDプールとマシンアカウントの作成にあります。

ハイブリッドAzure AD参加済みカタログのアカウントとともにIDプールを作成するには、次の手順を実行します。

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注：

$password は、書き込み権限を持つADユーザーアカウントの一致するパスワードです。

ハイブリッドAzure AD参加済みカタログの作成に使用されるその他のすべてのコマンドは、従来のオンプレミスAD参加済みカタログの場合と同じです。

ハイブリッドAzure AD参加プロセスのステータスを表示する

Web Studioでは、デリバリーグループ内のハイブリッドAzure AD参加済みマシンが電源オン状態の場合に、ハイブリッドAzure AD参加プロセスのステータスが表示されます。ステータスを表示するには、検索 を使用してそれらのマシンを特定し、下部ペインの 詳細 タブで各マシンの マシンID を確認します。マシンID には次の情報が表示されます。

• ハイブリッドAzure AD参加済み
• まだAzure ADに参加していません

注：

• マシンの初期電源投入時に、ハイブリッドAzure AD参加に遅延が発生する場合があります。これは、デフォルトのマシンID同期間隔（Azure AD Connectの30分）が原因です。マシンは、マシンIDがAzure AD Connectを介してAzure ADに同期された後にのみ、ハイブリッドAzure AD参加済み状態になります。
• マシンがハイブリッドAzure AD参加済み状態にならない場合、それらはDelivery Controllerに登録されません。登録ステータスは 初期化中 と表示されます。

また、Web Studioを使用して、マシンが利用できない理由を知ることができます。そのためには、検索 ノードでマシンをクリックし、下部ペインの 詳細 タブで 登録 を確認し、ツールチップを読んで追加情報を確認します。

トラブルシューティング

マシンがハイブリッドAzure AD参加に失敗した場合は、次の手順を実行します。

• Microsoft Azure ADポータルを通じて、マシンアカウントがAzure ADに同期されているか確認します。同期されている場合、まだAzure ADに参加していません と表示され、登録が保留中であることを示します。

  マシンアカウントをAzure ADに同期するには、以下を確認してください。

  • マシンアカウントが、Azure ADと同期するように構成されているOU内にあること。userCertificate属性を持たないマシンアカウントは、同期するように構成されているOU内にあってもAzure ADに同期されません。
  • マシンアカウントにuserCertificate属性が設定されていること。属性を表示するには、Active Directory Explorerを使用します。
  • マシンアカウントが作成された後、Azure AD Connectが少なくとも1回は同期されている必要があります。同期されていない場合は、Azure AD ConnectマシンのPowerShellコンソールでStart-ADSyncSyncCycle -PolicyType Deltaコマンドを手動で実行して、即時同期をトリガーします。

• Check if the Citrix managed device key pair for hybrid Azure AD join is correctly pushed to the machine by querying the value of DeviceKeyPairRestored under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

  値が1であることを確認します。そうでない場合、考えられる理由は次のとおりです。

  • プロビジョニングスキームに関連付けられているIDプールのIdentityTypeがHybridAzureADに設定されていません。これはGet-AcctIdentityPoolを実行して確認できます。
  • マシンが、マシンカタログと同じプロビジョニングスキームを使用してプロビジョニングされていない。
  • マシンがローカルドメインに参加していない。ローカルドメイン参加は、ハイブリッドAzure AD参加の前提条件です。

• MCSプロビジョニングされたマシンでdsregcmd /status /debugコマンドを実行して、診断メッセージを確認します。

  • ハイブリッドAzure AD参加が成功した場合、コマンドラインの出力でAzureAdJoinedとDomainJoinedがYESになります。

  • そうでない場合は、Microsoftのドキュメントを参照して問題をトラブルシューティングしてください: https://docs.microsoft.com/ja-jp/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current。

  • If you get the error message Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, then run the following PowerShell command to repair the user certificate:

     Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
     <!--NeedCopy-->
    

    ユーザー証明書の問題の詳細については、CTX566696を参照してください。