Citrix DaaS

Pool de identidades da identidade de computador ingressada no Azure Active Directory híbrido

January 28, 2025

Contribuição de:

Observação:

Desde julho de 2023, a Microsoft renomeou o Azure Active Directory (Azure AD) para Microsoft Entra ID. Neste documento, qualquer referência ao Azure Active Directory, Azure AD ou AAD agora se refere à ID do Microsoft Entra.

Este artigo descreve como criar um pool de identidades da identidade de máquina ingressada no Azure Active Directory híbrido usando o Citrix DaaS.

Para obter informações sobre requisitos, limitações e considerações, consulte Azure Active Directory híbrido ingressado no Azure Active Directory.

Usar o Studio

As informações a seguir são um complemento às orientações em Criar catálogos de máquinas. Para criar catálogos ingressados no Azure AD híbrido, siga as diretrizes gerais nesse artigo, considerando os detalhes específicos dos catálogos ingressados no Azure AD híbrido.

No assistente de criação de catálogo:

No Identidades de máquina página:
1. Selecione o tipo de identidade como Azure Active Directory híbrido ingressado no Azure Active Directory.
2. Selecione uma opção de conta do Active Directory:
  - Criar novas contas do Active Directory:
    - Se você selecionar Criar novas contas do Active Directory e use um pool de identidades existente para criar novas contas, selecione um domínio para essas contas e especifique um esquema de nomenclatura de conta.
    - Se você selecionar Criar novas contas do Active Directory e use um grupo de identidades existente para criar novas contas e, em seguida, selecione um grupo de identidades na lista.
  - Usar contas existentes do Active Directory: Você pode navegar ou importar do arquivo CSV e redefinir a senha ou especificar a mesma senha para todas as contas.
3. Clique Próximo.
No Credenciais de domínio , selecione uma conta de serviço ou insira as credenciais manualmente. O pool de identidades ingressado no Azure AD híbrido também pode ser associado a uma conta de serviço do AD local. Para obter informações sobre contas de serviço, consulte Contas de serviço locais do Active Directory.

Usar o PowerShell

Veja a seguir as etapas do PowerShell equivalentes às operações no Studio.

A diferença entre os catálogos ingressados no AD local e os ingressados no Azure AD híbrido está na criação do pool de identidades e das contas de computador.

Para criar um pool de identidades junto com as contas para catálogos ingressados no Azure AD híbrido:

  New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
  New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
  Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
 

Observação:

$password é a senha correspondente para uma conta de usuário do AD com permissões de gravação.

Todos os outros comandos usados para criar catálogos ingressados no Azure AD híbrido são os mesmos dos catálogos ingressados no AD local tradicionais.

Você também pode associar uma conta de serviço local a um catálogo de máquinas criado pelo MCS associando uma conta de serviço local ao grupo de identidades. Você pode criar um grupo de identidades ou atualizar um grupo de identidades existente para associá-lo a uma conta de serviço.

Por exemplo: Para criar um novo pool de identidades e associá-lo a uma conta de serviço, execute o seguinte:

  New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
 

Por exemplo: Para atualizar um grupo de identidades existente para associá-lo a uma conta de serviço, execute o seguinte:

  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid

  Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid

Observação:

O $serviceAccountUid deve ser um UID válido de uma conta de serviço do Active Directory local.

Exibir o status do processo de ingresso no Azure AD híbrido

No Studio, o status do processo de ingresso no Azure AD híbrido é visível quando os computadores ingressados no Azure AD híbrido em um grupo de entrega estão em um estado ligado. Para exibir o status, use Procurar identificar essas máquinas e, em seguida, para cada verificação Identidade da máquina no Detalhes no painel inferior. As seguintes informações podem aparecer em Identidade da máquina:

Azure AD híbrido ingressado
Ainda não ingressou no Azure AD

Observação:

Você pode experimentar o ingresso no Azure AD híbrido atrasado quando o computador for ligado inicialmente. Isso é causado pelo intervalo de sincronização de identidade do computador padrão (30 minutos do Azure AD Connect). O computador está no estado ingressado no Azure AD híbrido somente depois que as identidades do computador são sincronizadas com o Azure AD por meio do Azure AD Connect.

Se os computadores não estiverem no estado ingressado no Azure AD híbrido, eles não serão registrados no Delivery Controller. Seu status de registro aparece como Inicialização.

Além disso, usando o Studio, você pode saber por que as máquinas não estão disponíveis. Para fazer isso, clique em uma máquina no Procurar nó, verifique Inscrição no Detalhes no painel inferior e, em seguida, leia a dica de ferramenta para obter informações adicionais.

Solucionar problemas

Se os computadores não forem ingressados no Azure AD híbrido, faça o seguinte:

Verifique se a conta do computador foi sincronizada com o Azure AD por meio do portal do Microsoft Azure AD. Se sincronizado, Ainda não ingressou no Azure AD é exibido, indicando o status de registro pendente.

Para sincronizar contas de computador com o Azure AD, verifique se:
- A conta do computador está na UO configurada para ser sincronizada com o Azure AD. Contas de máquina sem o userCertificate não são sincronizados com o Azure AD, mesmo que estejam na UO configurada para ser sincronizada.
- O atributo userCertificate é preenchido na conta da máquina. Use o Active Directory Explorer para exibir o atributo.
- O Azure AD Connect deve ter sido sincronizado pelo menos uma vez após a criação da conta do computador. Caso contrário, execute manualmente o comando Start-ADSyncSyncCycle -PolicyType Delta no console do PowerShell do computador do Azure AD Connect para disparar uma sincronização imediata.
Verifique se o par de chaves de dispositivo gerenciado Citrix para ingresso híbrido no Azure AD foi enviado corretamente para a máquina consultando o valor de DeviceKeyPairRestored debaixo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

Verifique se o valor é 1. Caso contrário, os possíveis motivos são:
- Tipo de identidade do pool de identidades associado ao esquema de provisionamento não está definido como HybridAzureAD. Você pode verificar isso executando Get-AcctIdentityPool.
- A máquina não é provisionada usando o mesmo esquema de provisionamento do catálogo de máquinas.
- A máquina não está ingressada no domínio local. O ingresso no domínio local é um pré-requisito do ingresso no Azure AD híbrido.
Verifique as mensagens de diagnóstico executando o comando dsregcmd /status /depuração na máquina provisionada pelo MCS.
- Se o ingresso no Azure AD híbrido for bem-sucedido, AzureAdJoined e DomainJoined are SIM na saída da linha de comando.
- Caso contrário, consulte a documentação da Microsoft para solucionar os problemas: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
- Se você receber a mensagem de erro Mensagem do servidor: O certificado do usuário não foi encontrado no dispositivo com o id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxe execute o seguinte comando do PowerShell para reparar o certificado de usuário:
```
   Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
  
```

Para obter mais informações sobre o problema do certificado do usuário, consulte CTX566696.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Pool de identidades da identidade de computador ingressada no Azure Active Directory híbrido

January 28, 2025

Contribuição de:

Neste artigo

Isso foi útil?