Citrix DaaS

创建支持 Microsoft Intune 的目录

注意:

自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。

本文介绍如何使用 Citrix DaaS 创建启用 Microsoft Intune 的目录。您可以使用 Studio 或 PowerShell 启用 Microsoft Intune。

有关要求、限制和注意事项的信息,请参阅 Microsoft Intune

使用 Studio

以下信息用于补充创建计算机目录中的指导信息。此功能要求在目录创建期间在计算机标识中选择已加入 Azure Active Directory。请遵循该文章中的一般指导,注意此功能的特定细节。

在目录创建向导中执行以下操作:

  • 在“计算机身份”页面上,选择“已加入 Azure Active Directory”,然后选择“在 Microsoft Intune 中注册计算机”。如果启用,请在 Microsoft Intune 中注册计算机以进行管理。

使用 PowerShell

下面是等同于 Studio 中的操作的 PowerShell 步骤。

要使用远程 PowerShell SDK 在 Microsoft Intune 中注册计算机,请使用 New-AcctIdentityPool 中的 DeviceManagementType 参数。此功能要求目录加入了 Azure AD,并且 Azure AD 拥有正确的 Microsoft Intune 许可证。例如:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "Intune" IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

故障排除

如果计算机无法在 Microsoft Intune 中注册,请执行以下操作:

  • 检查 MCS 配置的计算机是否加入了 Azure AD。如果计算机未加入 Azure AD,则无法在Microsoft Intune 中注册。有关 Azure AD 加入问题的故障排除,请参阅 https://docs.citrix.com/en-us/citrix-daas/install-configure/create-machine-identities-joined-catalogs/create-azure-ad-joined-catalogs.html

  • 检查是否为您的 Azure AD 租户分配了相应的 Intune 许可证。有关 Microsoft Intune 的许可要求,请参阅 https://learn.microsoft.com/en-us/mem/intune/fundamentals/licenses

  • 对于使用具有 VDA 版本 2206 或更早版本的主映像的目录,请检查计算机的 AADLoginForWindows 扩展程序的配置状态。如果 AADLoginForWindows 扩展程序不存在,可能的原因如下:

    • 与配置方案关联的标识池的 IdentityType 未设置为 AzureAD,或者 DeviceManagementType 未设置为 Intune。可以通过运行 Get-AcctIdentityPool 来验证这一点。

    • AADLoginForWindows 扩展程序的安装被 Azure 策略阻止。

  • 要对 AADLoginForWindows 扩展程序配置失败进行故障排除,您可以在 MCS 已配置的计算机上查看 C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows 下的日志。

    注意:

    使用 VDA 版本 2209 或更高版本的主映像时,MCS 不依赖 AADLoginForWindows 扩展程序将 VM 加入 Azure AD 并注册到 Microsoft Intune。在这种情况下,AADLoginForWindows 扩展程序不会安装在 MCS 预配的计算机上。因此,无法收集 AADLoginForWindows 扩展程序预配日志。

  • 在“应用程序和服务日志”>“Microsoft”>“Windows”>“DeviceManagement-Enterprise-Diagnostics-Provider”下查看 Windows 事件日志。

创建支持 Microsoft Intune 的目录