ハイブリッド アジュール アクティブ ディレクトリ参加済みマシン ID の ID プール

注:

2023年7月以降、Microsoft は アジュール アクティブ ディレクトリ (Azure AD) を Microsoft Entra ID に名称変更しました。このドキュメントでは、アジュール アクティブ ディレクトリ、Azure AD、または AAD へのすべての参照は、Microsoft Entra ID を指します。

この記事では、以下の ID プールを作成する方法について説明します。

• ハイブリッド アジュール アクティブ ディレクトリ (AD) 参加済みカタログ
• Microsoft Intune に登録されているハイブリッド Azure AD 参加済みカタログ

要件、制限、考慮事項については、Hybrid Azure Active Directory 参加済み を参照してください。

ハイブリッド アジュール アクティブ ディレクトリ (AD) 参加済みカタログを作成する

ウェブスタジオを使用する

以下の情報は、マシンカタログの作成 のガイダンスを補足するものです。

カタログ作成ウィザードのマシンIDページで、次のようにします。

• 「Hybrid Azure Active Directory 参加済み」を選択します。作成されたマシンは組織が所有し、その組織に属する Active Directory アカウントでサインインされます。

• デバイス管理のために作成されたマシンを Microsoft Intune (Configuration Manager を含む) に登録するには、「Configuration Manager を使用してマシンを Microsoft Intune に登録する」を選択します。カタログ作成中のエラーを回避するには、マスターイメージが以下の要件を満たしていることを確認してください。

  • VDA バージョン 2405 以降がインストールされていること。
  • サイトコードが割り当てられていないConfiguration Manager クライアントがインストールされていること。詳細については、このMicrosoft の記事 を参照してください。

注:

IDタイプとしてハイブリッド Azure Active Directory 参加済みを選択した場合、カタログ内の各マシンには、対応するADコンピューターアカウントが必要です。

パワーシェルを使用する

以下は、Web Studioでの操作に相当するPowerShellの手順です。Remote PowerShell SDKを使用してカタログを作成する方法については、https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/を参照してください。

オンプレミスAD参加済みカタログとハイブリッドAzure AD参加済みカタログの違いは、IDプールとマシンアカウントの作成にあります。

ハイブリッドAzure AD参加済みカタログのアカウントとともにIDプールを作成するには:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注:

$passwordは、書き込み権限を持つADユーザーアカウントの一致するパスワードです。

ハイブリッドAzure AD参加済みカタログの作成に使用されるその他のすべてのコマンドは、従来のオンプレミスAD参加済みカタログと同じです。

ハイブリッドAzure AD参加プロセスのステータスを表示する

Web Studioでは、デリバリーグループ内のハイブリッドAzure AD参加済みマシンが電源オン状態の場合に、ハイブリッドAzure AD参加プロセスのステータスが表示されます。ステータスを表示するには、検索を使用してそれらのマシンを特定し、下部ペインの詳細タブで各マシンのマシンIDを確認します。マシンIDには、次の情報が表示されます。

• ハイブリッドAzure AD参加済み
• Azure ADにまだ参加していません

注:

• マシンが最初に電源オンになったときに、ハイブリッドAzure AD参加が遅延する場合があります。これは、デフォルトのマシンID同期間隔（Azure AD Connectの30分）が原因です。マシンは、Azure AD Connectを介してマシンIDがAzure ADに同期された後にのみ、ハイブリッドAzure AD参加状態になります。
• マシンがハイブリッド Azure AD 参加状態にならなかった場合、それらはDelivery Controllerに登録されません。登録ステータスは初期化と表示されます。

また、Web Studioを使用して、マシンが利用できない理由を知ることができます。そのためには、検索ノードでマシンをクリックし、下部ペインの詳細タブで登録を確認し、ツールチップを読んで追加情報を確認してください。

トラブルシューティング

マシンがハイブリッド Azure AD 参加に失敗した場合、以下を実行してください。

• マシンアカウントがMicrosoft Azure ADポータルを通じてAzure ADに同期されているか確認してください。同期されている場合、Azure ADにまだ参加していませんと表示され、登録が保留中であることを示します。

  マシンアカウントをAzure ADに同期するには、以下を確認してください。

  • マシンアカウントが、Azure ADと同期するように構成されたOU内にあることを確認します。userCertificate属性を持たないマシンアカウントは、同期するように構成されたOU内にあってもAzure ADに同期されません。
  • マシンアカウントにuserCertificate属性が設定されていることを確認します。属性を表示するには、Active Directory Explorerを使用します。
  • マシンアカウントが作成された後、Azure AD Connectが少なくとも一度は同期されている必要があります。同期されていない場合は、Azure AD ConnectマシンのPowerShellコンソールでStart-ADSyncSyncCycle -PolicyType Deltaコマンドを手動で実行して、即時同期をトリガーしてください。

• ハイブリッド Azure AD 参加用の シトリックス 管理デバイスキーペアがマシンに正しくプッシュされているか、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix の下にある DeviceKeyPairRestored の値を照会して確認します。

  値が1であることを確認します。そうでない場合、考えられる理由は次のとおりです。

  • プロビジョニングスキームに関連付けられたIDプールのIdentityTypeがHybridAzureADに設定されていません。これはGet-AcctIdentityPoolを実行して確認できます。
  • マシンがマシンカタログと同じプロビジョニングスキームを使用してプロビジョニングされていません。
  • マシンがローカルドメインに参加していません。ローカルドメイン参加は、ハイブリッド Azure AD 参加の前提条件です。

• MCSプロビジョニングされたマシンでdsregcmd /status /debugコマンドを実行して、診断メッセージを確認します。

  • ハイブリッド Azure AD 参加が成功した場合、コマンドラインの出力で AzureAdJoined と DomainJoined は YES になります。

  • そうでない場合は、問題のトラブルシューティングについては、Microsoft ドキュメントを参照してください: https://docs.microsoft.com/ja-jp/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current。

  • エラーメッセージ「サーバーメッセージ: ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx のデバイスでユーザー証明書が見つかりません」が表示された場合は、ユーザー証明書を修復するために、次のPowerShellコマンドを実行してください。

     Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
     <!--NeedCopy-->
    

    ユーザー証明書の問題の詳細については、CTX566696 を参照してください。

Microsoft Intune に登録されているハイブリッド Azure AD 参加済みカタログを作成する

Microsoft Intune に登録されているハイブリッド Azure AD 参加済みカタログに対して、永続的なシングルセッションおよびマルチセッションVM用の共同管理対応カタログを作成できます。共同管理対応カタログは、Studio と PowerShell の両方を使用して作成できます。

ウェブスタジオを使用する

以下の情報は、マシンカタログの作成 のガイダンスを補足するものです。

マシンカタログのセットアップウィザードで:

• マシンIDページで、ハイブリッド Azure Active Directory 参加済みを選択し、次にConfiguration Manager を使用して Microsoft Intune にマシンを登録するを選択します。このアクションを使用すると、Configuration Manager と Microsoft Intune (つまり、共同管理) がVMを管理します。

パワーシェルを使用する

以下は、Studio の手順に相当する PowerShell の手順です。

Remote PowerShell SDK を使用して Configuration Manager で Microsoft Intune にマシンを登録するには、New-AcctIdentityPool の DeviceManagementType パラメーターを使用します。この機能には、カタログがハイブリッド Azure AD 参加済みであり、Azure AD が適切な Microsoft Intune ライセンスを所有している必要があります。

ハイブリッド Azure AD 参加済みカタログと共同管理対応カタログの違いは、ID プールの作成にあります。例:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

トラブルシューティング

マシンがMicrosoft Intuneへの登録に失敗したり、共同管理状態に到達できなかったりした場合は、次の操作を行います。

• Intuneライセンスを確認する

  Azure ADテナントに適切なIntuneライセンスが割り当てられているか確認します。Microsoft Intuneのライセンス要件については、Microsoft Intune licensingを参照してください。

• Hybrid Azure AD参加ステータスを確認する

  MCSでプロビジョニングされたマシンがHybrid Azure ADに参加しているか確認します。Hybrid Azure ADに参加していない場合、マシンは共同管理の対象になりません。Hybrid Azure AD参加の問題をトラブルシューティングするには、Troubleshootを参照してください。

• 共同管理の適格性を確認する

  • MCSでプロビジョニングされたマシンに、予期されるConfiguration Managerサイトが正しく割り当てられているか確認します。割り当てられたサイトを取得するには、影響を受けるマシンで次のPowerShellコマンドを実行します。

     (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
     <!--NeedCopy-->
    

  • VMにサイトが割り当てられていない場合は、次のコマンドを使用して、Configuration Managerサイトが自動的に検出されるか確認します。

     (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
     <!--NeedCopy-->
    

  • サイトコードが検出できない場合は、Configuration Manager環境で境界と境界グループが適切に構成されていることを確認してください。詳細については、Considerationsを参照してください。

  • Configuration Managerクライアントサイトの割り当てに関する問題がないか、C:\Windows\CCM\Logs\ClientLocation.logを確認してください。

  • マシンの共同管理状態を確認します。影響を受けるマシンでConfiguration Managerコントロールパネルを開き、全般タブに移動します。共同管理プロパティの値は有効である必要があります。そうでない場合は、C:\Windows\CCM\Logs\CoManagementHandler.logの下のログを確認してください。

• Intune登録を確認する

  すべての前提条件が満たされていても、マシンがMicrosoft Intuneへの登録に失敗する場合があります。Intune登録の問題については、アプリケーションとサービスログ > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Providerの下にあるWindowsイベントログを確認してください。