ハイブリッド アジュール アクティブ ディレクトリ 参加済み
注:
2023年7月以降、マイクロソフトはアジュール アクティブ ディレクトリ (アジュール AD) をマイクロソフト エントラ ID に名称変更しました。このドキュメントでは、アジュール アクティブ ディレクトリ、アジュール AD、または AAD への言及はすべてマイクロソフト エントラ ID を指します。
この記事では、システム要件セクションで概説されている要件に加えて、ハイブリッド Azure Active Directory (HAAD) 参加済みカタログを作成するための要件について説明します。
ハイブリッド Azure AD 参加済みマシンは、オンプレミスのADを認証プロバイダーとして使用します。これらをオンプレミスのADのドメインユーザーまたはグループに割り当てることができます。Azure ADのシームレスなSSOエクスペリエンスを有効にするには、ドメインユーザーをAzure ADに同期する必要があります。
注:
ハイブリッド Azure AD 参加済みVMは、フェデレーションIDインフラストラクチャとマネージドIDインフラストラクチャの両方でサポートされています。
必要条件
- VDAの種類: シングルセッション (デスクトップのみ) またはマルチセッション (アプリとデスクトップ)
- VDAバージョン: 2212以降
- プロビジョニングの種類: Machine Creation Services™ (MCS)、永続的および非永続的
- 割り当ての種類: 専用およびプール
- ホスティングプラットフォーム: 任意のハイパーバイザーまたはクラウドサービス
制限事項
- Citrix Federated Authentication Service (FAS) を使用する場合、シングルサインオンはAzure ADではなくオンプレミスのADに転送されます。この場合、ユーザーログオン時にプライマリ更新トークン (PRT) が生成されるようにAzure AD証明書ベース認証を構成することをお勧めします。これにより、セッション内のAzure ADリソースへのシングルサインオンが容易になります。そうしないと、PRTが存在せず、Azure ADリソースへのSSOは機能しません。Citrix Federated Authentication Service (FAS) を使用してハイブリッド参加済みVDAへのAzure ADシングルサインオン (SSO) を実現する方法については、「ハイブリッド参加済みVDA」を参照してください。
- マシンカタログの作成または更新中にイメージの準備をスキップしないでください。イメージの準備をスキップしたい場合は、マスターVMがAzure ADまたはハイブリッドAzure ADに参加していないことを確認してください。
考慮事項
- ハイブリッドAzure Active Directory参加済みマシンを作成するには、ターゲットドメインで
Write userCertificate権限が必要です。カタログ作成時に、その権限を持つ管理者の資格情報を入力していることを確認してください。 -
ハイブリッドAzure AD参加プロセスはCitrixによって管理されます。マスターVMでWindowsによって制御される
autoWorkplaceJoinを次のように無効にする必要があります。autoWorkplaceJoinを手動で無効にするタスクは、VDAバージョン2212以前の場合にのみ必要です。-
gpedit.mscを実行します。 - コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > デバイス登録に移動します。
- ドメイン参加済みコンピューターをデバイスとして登録するを無効に設定します。
-
-
マシンIDを作成するときに、Azure ADと同期するように構成されている組織単位 (OU) を選択します。
-
Windows 11 22H2ベースのマスターVMの場合、SYSTEMアカウントを使用してシステム起動時に次のコマンドを実行するスケジュールされたタスクをマスターVMに作成します。マスターVMでタスクをスケジュールするこのタスクは、VDAバージョン2212以前の場合にのみ必要です。
$VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop' $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin' $MaxCount = 60 for ($count = 1; $count -le $MaxCount; $count++) { if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true) { $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null) if ($provider -eq 'Citrix') { break; } if ($provider -eq 1) { Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force Start-Sleep 5 dsregcmd /join break } } Start-Sleep 1 } <!--NeedCopy--> - デフォルトでは、Azure AD Connectは30分ごとに同期します。プロビジョニングされたマシンが最初の起動時にハイブリッドAzure ADに参加するまで、最大30分かかる場合があります。
次のステップ
ハイブリッドAzure Active Directory参加済みカタログの作成に関する詳細については、「ハイブリッドAzure Active Directory参加済みカタログの作成」を参照してください。