Citrix DaaS

Pool de identidades da identidade do computador ingressado no Azure Active Directory

March 12, 2025

Contribuição de:

Este artigo descreve como criar o pool de identidades da identidade de máquina ingressada no Azure Active Directory usando o Citrix DaaS.

Observação:

Desde julho de 2023, a Microsoft renomeou o Azure Active Directory (Azure AD) para Microsoft Entra ID. Neste documento, qualquer referência ao Azure Active Directory, Azure AD ou AAD agora se refere à ID do Microsoft Entra.

Para obter informações sobre requisitos, limitações e considerações, consulte Ingressado no Azure Active Directory.

Antes de criar o catálogo de máquinas, você precisa do seguinte:

Novo local de recurso
- Navegue até a interface do usuário do administrador do Citrix Cloud > Menu de hambúrguer superior esquerdo > Locais de recursos.
- Clique + Localização do recurso.
- Insira um nome para o novo local do recurso e clique em Salvar.
Crie uma conexão de hospedagem. Ver Criar e gerenciar conexões para obter detalhes. Ao implantar computadores no Azure, confira Conexão com o Azure Resource Manager.

Você pode criar catálogos ingressados no Azure AD usando o Studio ou o PowerShell.

Usar o Studio

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas. Para criar catálogos ingressados no Azure AD, siga as diretrizes gerais nesse artigo, considerando os detalhes específicos dos catálogos ingressados no Azure AD.

No assistente de criação de catálogo:

No Imagem página:
- Selecione 2106 ou posterior como o nível funcional.
- Selecionar Usar um perfil de máquina e selecione a máquina apropriada na lista.
No Identidades de máquina página:
- Selecionar Ingressado no Azure Active Directory. Os computadores criados pertencem a uma organização e estão conectados com uma conta do Azure AD que pertence a essa organização. Eles existem apenas na nuvem.
  Observação:
  - O Ingressado no Azure Active Directory O tipo de identidade requer a versão 2106 ou posterior como o nível funcional mínimo para o catálogo.
  - Os computadores são ingressados no domínio do Azure AD associado ao locatário ao qual a conexão de hospedagem está associada.
- Click Select service account and select an available service account from the list. If a suitable service account is not available for the Azure AD tenant that the machine identities will join to, you can create a service account. For information on service account, see Azure AD service accounts.
```
> **Nota:**
>
> A conta de serviço que você selecionou pode estar em um status não íntegro devido a vários motivos.   You can go to **Administrators > Service Accounts** to [view details](/en-us/citrix-daas/install-configure/manage-service-accounts#view-service-account-details) and fix the issues according to the recommendations.   Alternatively, you can proceed with the machine catalog operation and fix the issues later.   If you do not fix the issue, stale Azure AD joined or Microsoft Intune enrolled devices are generated that can block Azure AD join of the machines.
```
Os usuários devem receber acesso explícito no Azure para fazer logon nos computadores usando suas credenciais do AAD. Ver Ingressado no Azure Active Directory para mais detalhes.

Modificar a associação da conta de serviço

Para alterar a conta de serviço associada ou adicionar uma associação a um catálogo de máquinas MCS existente, use o comando Editar catálogo de máquinas página.

Para adicionar uma conta de serviço, clique em Selecione a conta de serviço no Conta de serviço página.
Para alterar a associação da conta de serviço, clique no ícone de edição no ícone Conta de serviço página.

Usar o PowerShell

Os seguintes são PowerShell etapas equivalentes às operações no Studio.

A diferença entre os catálogos ingressados no AD local e os ingressados no Azure AD está na criação do pool de identidades e no esquema de provisionamento.

Você deve associar uma conta de serviço do Azure AD ao pool de identidades e, em seguida, criar o catálogo de máquinas. Você pode criar um novo grupo de identidades ou atualizar um grupo de identidades existente para associá-lo a uma conta de serviço.

Por exemplo: Para criar um novo pool de identidades e associá-lo a uma conta de serviço, execute o seguinte:

  New-AcctIdentityPool -IdentityType AzureAD -IdentityPoolName MyPool -NamingScheme Acc#### -NamingSchemeType Numeric -ServiceAccountUid $serviceAccountUid
 

Por exemplo: Para atualizar um grupo de identidades existente para associá-lo a uma conta de serviço, execute o seguinte:

  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
  Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
 

Observação:

O $serviceAccountUid deve ser um UID válido de uma conta de serviço do Azure AD.

Para criar um esquema de provisionamento para catálogos ingressados no Azure AD, o parâmetro MachineProfile é necessário em New-ProvScheme. Por exemplo:

  New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
 

Para criar um catálogo do Azure AD usando uma imagem preparada. Por exemplo:

  New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
 

Exibir o status do processo de ingresso no Azure AD

No Studio, o status do processo de ingresso no Azure AD é visível quando os computadores ingressados no Azure AD em um grupo de entrega estão em um estado ligado. Para exibir o status, use Procurar identificar essas máquinas e, em seguida, para cada verificação Identidade da máquina no Detalhes no painel inferior. As seguintes informações podem aparecer em Identidade da máquina:

Ingressado no Azure AD
Ainda não ingressou no Azure AD

Observação:

Se os computadores não estiverem no estado ingressado no Azure AD, eles não se registrarão no Delivery Controller. Seu status de registro aparece como Inicialização.

Além disso, usando o Studio, você pode saber por que as máquinas não estão disponíveis. Para fazer isso, clique em uma máquina no Procurar nó, verifique Inscrição no Detalhes no painel inferior e, em seguida, leia a dica de ferramenta para obter informações adicionais.

Grupo de entrega

Ver Criar grupos de entrega para obter detalhes.

Ativar Rendezvous

Depois que o grupo de entrega for criado, você poderá habilitar o Rendezvous. Ver Encontro V2 para obter detalhes.

Solucionar problemas

Se os computadores não forem ingressados no Azure AD, faça o seguinte:

Verifique se a identidade gerenciada atribuída pelo sistema está habilitada para os computadores. As máquinas provisionadas pelo MCS devem ter isso ativado automaticamente. O processo de ingresso no Azure AD falha sem a identidade gerenciada atribuída pelo sistema. Se a identidade gerenciada atribuída pelo sistema não estiver habilitada para máquinas provisionadas pelo MCS, o motivo possível será:
- Tipo de identidade do pool de identidades associado ao esquema de provisionamento não está definido como AzureAD. Você pode verificar isso executando Get-AcctIdentityPool.
Para catálogos que usam imagens principais com VDA versão 2206 ou anterior, verifique o status de provisionamento de AADLoginForWindows extensão para as máquinas. Se o AADLoginForWindows extensão não existe, os possíveis motivos são:
- Tipo de identidade do pool de identidades associado ao esquema de provisionamento não está definido como AzureAD. Você pode verificar isso executando Get-AcctIdentityPool.
- O AADLoginForWindows A instalação da extensão é bloqueada pela política do Azure.
Para solucionar problemas AADLoginForWindows falhas de provisionamento de extensão, você pode verificar os logs em C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows na máquina provisionada pelo MCS.

Observação:

O MCS não se baseia no AADLoginForWindows para ingressar uma VM no Azure AD ao usar uma imagem mestra com o VDA versão 2209 ou posterior. Nesse caso, o AADLoginForWindows extension não será instalada na máquina provisionada pelo MCS. Portanto AADLoginForWindows Os logs de provisionamento de extensão não podem ser coletados.
Verifique o status de ingresso no Azure AD e os logs de depuração executando dsregcmd /status na máquina provisionada pelo MCS.
Verifique os logs de eventos do Windows em Logs de aplicativos e serviços > Microsoft > Windows > Registro do dispositivo do usuário.
Verifique se o gerenciamento de dispositivos do Azure AD está configurado corretamente executando Get-Item -LiteralPath XDHyp:\Conexões\${HostingConnectionName}.

Certifique-se de que o valor de:
- AzureAdDeviceManagement propriedade em Propriedades Personalizadas É verdadeiro
- Citrix_MCS_AzureAdDeviceManagement_PermissionGranted em metadados é verdadeiro
Se Citrix_MCS_AzureAdDeviceManagement_PermissionGranted É falso, indica que o ServicePrincipal do aplicativo usado pela conexão de hospedagem não recebe permissões suficientes para executar o gerenciamento de dispositivos do Azure AD. Para resolver isso, atribua o ServicePrincipal com o Administrador de dispositivos em nuvem papel.

Grupo de segurança dinâmico do Azure Active Directory

As regras de grupo dinâmico colocam as VMs no catálogo em um grupo de segurança dinâmico com base no esquema de nomenclatura do catálogo de máquinas.

Se o esquema de nomenclatura do catálogo de máquinas for Test### (onde, # significa número), a Citrix criará a regra de associação dinâmica ^ Teste [0-9]{3}$ no grupo de segurança dinâmico. Agora, se o nome da VM criada pela Citrix for de Test001 a Test999, a VM será incluída no grupo de segurança dinâmico.

Observação:

Se o nome da VM criada por você manualmente for de Test001 a Test999, a VM também será incluída no grupo de segurança dinâmico. Essa é uma das limitações do grupo de segurança dinâmico.

O recurso de grupo de segurança dinâmico é útil quando você deseja gerenciar as VMs pelo Azure Active Directory (Azure AD). Isso também é útil quando você deseja aplicar políticas de Acesso Condicional ou distribuir aplicativos do Intune filtrando as VMs com o grupo de segurança dinâmico do Azure AD.

Você pode usar PowerShell comandos para:

Criar um catálogo de computadores com o grupo de segurança dinâmico do Azure AD
Habilitar o recurso de grupo de segurança para um catálogo do Azure AD
Excluir um catálogo de computadores com o grupo de segurança do dispositivo ingressado no Azure AD

Importante:

Para criar um catálogo de máquinas com o grupo de segurança dinâmica do Azure AD, adicionar máquinas ao catálogo e excluir o catálogo de máquinas, você deve ter o token de acesso do Azure AD. Para obter informações sobre como obter o token de acesso do Azure AD, consulte https://docs.microsoft.com/en-us/graph/graph-explorer/graph-explorer-features#consent-to-permissions/.

Para solicitar um token de acesso no Azure AD, a Citrix solicita o Group.ReadWrite.All permissão para a API do Microsoft Graph. Um usuário do Azure AD que tenha permissão de consentimento de administrador em todo o locatário pode conceder Group.ReadWrite.All permissão para a API do Microsoft Graph. Para obter informações sobre como conceder consentimento de administrador em todo o locatário a um aplicativo no Azure Active Directory (Azure AD), consulte o documento da Microsoft https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/grant-admin-consent/.

Criar um catálogo de computadores com o grupo de segurança dinâmico do Azure AD

Na interface do usuário de configuração do catálogo de máquinas do console baseado na Web, no Identidades de máquina , selecione Ingressado no Azure Active Directory.
Faça logon no Azure AD.
Obtenha o token de acesso à API do MS Graph. Use esse token de acesso como um valor de $AzureADAccessToken parâmetro ao executar o parâmetro PowerShell Comandos.
Execute o comando a seguir para verificar se o nome do grupo de segurança dinâmico existe no locatário.
```
  Get-AcctAzureADSecurityGroup
  –AccessToken  $AzureADAccessToken
  –Name "SecurityGroupName"
 
```

Crie um catálogo de máquinas usando a ID do locatário, o token de acesso e o grupo de segurança dinâmico. Execute o seguinte comando para criar um IdentityPool com IdentityType=AzureAD e criar um grupo de segurança dinâmico no Azure.

  New-AcctIdentityPool
  -AllowUnicode
  -IdentityPoolName "SecurityGroupCatalog"
  -NamingScheme "SG-VM-###"
  -NamingSchemeType "Numeric" -Scope @()
  -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
  -WorkgroupMachine
  -IdentityType "AzureAD"
  -DeviceManagementType "None"
  -AzureADTenantId  620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupName "SecurityGroupName"
  -AzureADAccessToken $AzureADAccessToken
 

Habilitar o recurso de grupo de segurança para um catálogo do Azure AD

Você pode habilitar o recurso de segurança dinâmica para um catálogo do Azure AD que foi criado sem o recurso de grupo de segurança dinâmico habilitado. Para fazer isso:

Crie manualmente um novo grupo de segurança dinâmico. Você também pode reutilizar um grupo de segurança dinâmico existente.
Faça logon no Azure AD e obtenha o token de acesso à API do MS Graph. Use esse token de acesso como um valor de $AzureADAccessToken parâmetro ao executar o parâmetro PowerShell Comandos.

Observação:

Para obter informações sobre as permissões exigidas pelo usuário do Azure AD, consulte https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/grant-admin-consent#prerequisites/.

Execute o comando a seguir para conectar o pool de identidades ao grupo de segurança dinâmico do Azure AD criado.

  Set-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADTenantId 620387bb-9167-4bdd-8435-e3dccc58369e
  -AzureADSecurityGroupNam "ExistingSecurityGroupName"
  -AzureADAccessToken $AzureADAccessToken
 

Se você atualizar o esquema de nomenclatura, a Citrix atualizará o esquema de nomenclatura para uma nova regra de associação. Se você excluir o catálogo, a regra de associação será excluída, e não o grupo de segurança.

Excluir um catálogo de computadores com o grupo de segurança do dispositivo ingressado no Azure AD

Quando você exclui um catálogo de máquinas, o grupo de segurança do dispositivo ingressado no Azure AD também é excluído.

Para excluir o grupo de segurança dinâmico do Azure AD, faça o seguinte:

Faça logon no Azure AD.
Obtenha o token de acesso à API do MS Graph. Use esse token de acesso como valor de $AzureADAccessToken parâmetro ao executar o parâmetro PowerShell Comandos.

Execute o seguinte comando:

  Remove-AcctIdentityPool
  -IdentityPoolName "SecurityGroupCatalog"
  -AzureADAccessToken $AzureADAccessToken
 

Criar um grupo de segurança dinâmico do Azure AD em um grupo de segurança atribuído ao Azure AD existente

Você pode criar um grupo de segurança dinâmico do Azure AD em um grupo de segurança atribuído ao Azure AD existente. Você pode fazer o seguinte:

Obtenha informações do grupo de segurança.
Obtenha todos os grupos de segurança atribuídos ao Azure AD que são sincronizados do servidor do AD local ou dos grupos de segurança atribuídos aos quais as funções do Azure AD podem ser atribuídas.
Obtenha todos os grupos de segurança dinâmica do Azure AD.
Adicione o grupo de segurança dinâmica do Azure AD como membro do grupo atribuído do Azure AD.
Remova a associação entre o grupo de segurança dinâmico do Azure AD e o grupo de segurança atribuído ao Azure AD quando o grupo de segurança dinâmico do Azure AD for excluído junto com o catálogo de máquinas.

Você também pode ver mensagens de erro explícitas quando qualquer uma das operações falhar.

Requisito:

Você deve ter o token de acesso à API do MS Graph ao executar o PowerShell Comandos.

Para obter o token de acesso:

Abrir Explorador de gráficos da Microsoft e faça logon no Azure AD.
Certifique-se de ter consentimento para Group.ReadWrite.All e GroupMember.ReadWrite.All Permissões.
Obtenha o token de acesso do Microsoft Graph Explorer. Use esse token de acesso ao executar o PowerShell Comandos.

Para obter informações do grupo de segurança por ID de grupo:

Obtenha o token de acesso.
Localize a ID do objeto de grupo no portal do Azure.