Microsoft Entra 混合加入的计算机身份的身份池

本文介绍如何创建以下身份池：

微软 Entra 混合加入的目录 已注册到 微软 Intune 的 微软 Entra 混合加入的目录

有关要求、限制和注意事项的信息，请参阅 Microsoft Entra 混合加入。

创建 微软 Entra 混合加入的目录

Use Web Studio

以下信息是对 创建计算机目录 中指南的补充。

在目录创建向导的“计算机身份”页面上：

• 选择“Microsoft Entra 混合加入”。创建的计算机归某个组织所有，并使用属于该组织的 Active Directory 帐户登录。

• 要将创建的计算机注册到 Microsoft Intune（包括 Configuration Manager）以进行设备管理，请选择“使用 Configuration Manager 将计算机注册到 Microsoft Intune”。为避免在目录创建过程中出现错误，请确保主映像满足以下要求：

  • 已安装 VDA 2405 或更高版本。
  • 已安装 Configuration Manager 客户端，且站点代码未分配。有关详细信息，请参阅这篇 Microsoft 文章。

“注意：”

如果选择“Microsoft Entra 混合加入”作为身份类型，则目录中的每台计算机都必须具有相应的 AD 计算机帐户。

Use PowerShell

以下是与 Web Studio 中的操作等效的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息，请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。

本地 AD 加入的目录与 Microsoft Entra 混合加入的目录之间的区别在于身份池和计算机帐户的创建方式。

要为 Microsoft Entra 混合加入的目录创建身份池和帐户，请执行以下操作：

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注意：

$password 是具有写入权限的 AD 用户帐户的匹配密码。

用于创建 Microsoft Entra 混合加入目录的所有其他命令与传统本地 AD 加入目录的命令相同。

查看 Microsoft Entra 混合加入过程的状态

在 Web Studio 中，当交付组中已加入 Microsoft Entra 混合的计算机处于开机状态时，Microsoft Entra 混合加入过程的状态可见。要查看状态，请使用 搜索 识别这些计算机，然后对于每台计算机，在下部窗格的详细信息选项卡上检查计算机身份。以下信息可以显示在计算机身份中：

• 微软 Entra 混合加入
• 尚未加入 微软 Entra ID

注意：

• 计算机初次开机时，您可能会遇到 Microsoft Entra 混合加入延迟的情况。这是由默认的计算机身份同步间隔（Microsoft Entra Connect 的 30 分钟）引起的。计算机仅在通过 Microsoft Entra Connect 将计算机身份同步到 Microsoft Entra ID 后才处于 Microsoft Entra 混合加入状态。
• 如果计算机未能处于 Microsoft Entra 混合加入状态，则它们不会向 Delivery Controller 注册。它们的注册状态显示为初始化。

此外，您还可以使用 Web Studio 了解计算机不可用的原因。为此，请在搜索节点上单击一台计算机，在下部窗格的详细信息选项卡上检查注册，然后阅读工具提示以获取更多信息。

故障排除

如果计算机未能加入 Microsoft Entra 混合，请执行以下操作：

• 检查计算机帐户是否已通过 微软 Entra ID 门户同步到 微软 Entra ID。如果已同步，则会显示 Not yet joined to Azure AD，表示注册状态待定。

  要将计算机帐户同步到 Microsoft Entra ID，请确保：

  • 计算机帐户位于配置为与 Microsoft Entra ID 同步的 OU 中。没有 userCertificate 属性的计算机帐户即使位于配置为同步的 OU 中，也不会同步到 Microsoft Entra ID。
  • 属性 userCertificate 会填充到计算机帐户中。使用 Active Directory 资源管理器 查看该属性。
  • 计算机帐户创建后，Microsoft Entra Connect 必须至少同步一次。如果没有，请在 Microsoft Entra Connect 计算机的 PowerShell 控制台中手动运行 Start-ADSyncSyncCycle -PolicyType Delta 命令以触发即时同步。

• Check if the Citrix managed device key pair for Microsoft Entra hybrid join is correctly pushed to the machine by querying the value of DeviceKeyPairRestored under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

  验证该值是否为 1。如果不是，可能的原因是：

  • 与预配方案关联的身份池的 IdentityType 未设置为 HybridAzureAD。您可以通过运行 Get-AcctIdentityPool 来验证这一点。
  • 计算机未通过与计算机目录相同的预配方案进行预配。
  • 计算机未加入本地域。加入本地域是 Microsoft Entra 混合加入的先决条件。

• 通过在 MCS 预配的计算机上运行 dsregcmd /status /debug 命令来检查诊断消息。

  • If Microsoft Entra hybrid join is successful, AzureAdJoined and DomainJoined are YES in the output of the command line.

  • 如果没有，请参阅 Microsoft 文档以排查问题：https://docs.microsoft.com/zh-cn/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current。

  • 如果您收到错误消息 服务器消息：在 ID 为 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 的设备上找不到用户证书，请运行以下 PowerShell 命令来修复用户证书：

     Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
     <!--NeedCopy-->
    

    有关用户证书问题的更多信息，请参阅 CTX566696。

创建已注册到微软 Intune 的微软 Entra 混合联接目录

您可以为已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录创建启用共同管理的目录，以用于持久性单会话和多会话 VM。您可以使用 Web Studio 和 PowerShell 创建启用共同管理的目录。

使用 Web Studio 管理控制台

以下信息是对 创建计算机目录 中指南的补充。

在计算机目录设置向导中：

• 在计算机身份页面上，选择Microsoft Entra 混合联接类型的计算机身份，然后选择使用 Configuration Manager 将计算机注册到 Microsoft Intune。通过此操作，Configuration Manager 和 Microsoft Intune（即通过共同管理的方式）将管理虚拟机。

使用 PowerShell 命令行界面

以下是与 Studio 中的步骤等效的 PowerShell 步骤。

To enroll machines in Microsoft Intune with Configuration Manager using the Remote PowerShell SDK, use the DeviceManagementType parameter in New-AcctIdentityPool. This feature requires that the catalog is Microsoft Entra hybrid joined and that Microsoft Entra ID possesses the correct Microsoft Intune license.

Microsoft Entra 混合联接目录与启用共同管理的目录之间的区别在于身份池的创建。例如：

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

故障排除

如果计算机未能注册到 Microsoft Intune 或未能达到共同管理状态，请执行以下操作：

• 检查 Intune 许可证

  检查您的 Microsoft Entra 租户是否已获得相应的 Intune 许可证。有关其许可证要求，请参阅 Microsoft Intune 许可。

• Check Microsoft Entra hybrid join status

  检查 MCS 预配的计算机是否已加入 Microsoft Entra 混合。如果计算机未加入 Microsoft Entra 混合，则不符合共同管理条件。请参阅 故障排除 以排查 Microsoft Entra 混合加入问题。

• 检查共同管理资格

  • 检查 MCS 预配的计算机是否已正确分配到预期的 Configuration Manager 站点。要获取分配的站点，请在受影响的计算机上运行以下 PowerShell 命令。

     (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
     <!--NeedCopy-->
    

  • 如果未向 VM 分配站点，请使用以下命令检查 Configuration Manager 站点是否可以自动发现。

     (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
     <!--NeedCopy-->
    

  • 如果无法发现站点代码，请确保在 Configuration Manager 环境中正确配置了边界和边界组。有关详细信息，请参阅 注意事项。

  • 检查 C:\Windows\CCM\Logs\ClientLocation.log 以查找任何 Configuration Manager 客户端站点分配问题。

  • 检查计算机的共同管理状态。在受影响的计算机上打开 Configuration Manager 控制面板，然后转到常规选项卡。共同管理属性的值必须为已启用。如果不是，请检查 C:\Windows\CCM\Logs\CoManagementHandler.log 下的日志。

• 检查 Intune 注册

  即使所有先决条件均已满足，计算机也可能无法成功注册到 微软 Intune。请检查 Windows 事件日志，路径位于 应用程序和服务日志 > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider，以排查 微软 Intune 注册方面的问题。