产品文档
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
查看 PDF

Microsoft Entra 混合联接的计算机身份的身份池

April 8, 2026
投稿者: 
C C

  • 本文介绍如何创建以下各项的身份池:

  • Microsoft Entra 混合联接目录
  • 已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录

有关要求、限制和注意事项的信息,请参阅 Microsoft Entra 混合联接

  • 创建 Microsoft Entra 混合联接目录

使用 Web Studio

以下信息是对以下指南的补充:创建计算机目录

在目录创建向导的计算机身份页面上:

-  选择 **Microsoft Entra 混合联接**。创建的计算机归组织所有,并使用属于该组织的 Active Directory 帐户登录。
  • 要将创建的计算机注册到 Microsoft Intune(包括 Configuration Manager)以进行设备管理,请选择将计算机注册到 Microsoft Intune(通过 Configuration Manager)。为避免在目录创建过程中出现错误,请确保主映像满足以下要求:
    • 已安装 VDA 2405 或更高版本。
    • 已安装 Configuration Manager 客户端,且未分配站点代码。有关详细信息,请参阅此 Microsoft 文章

注意:

如果选择 Microsoft Entra 混合联接作为身份类型,则目录中的每台计算机都必须具有相应的 AD 计算机帐户。

使用 PowerShell

以下是与 Web Studio 中的操作等效的 PowerShell 步骤。有关如何使用 Remote PowerShell SDK 创建目录的信息,请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/

  • 本地 AD 联接目录与 Microsoft Entra 混合联接目录之间的区别在于身份池和计算机帐户的创建方式。

要为 Microsoft Entra 混合联接目录创建身份池和帐户:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注意: - > - > $password 是具有写入权限的 AD 用户帐户的匹配密码。

-  用于创建 Microsoft Entra 混合联接目录的所有其他命令与用于传统本地 AD 联接目录的命令相同。

-  ### 查看 Microsoft Entra 混合联接过程的状态

-  在 Web Studio 中,当交付组中 Microsoft Entra 混合联接的计算机处于开机状态时,可以查看 Microsoft Entra 混合联接过程的状态。要查看状态,请使用[搜索](/en-us/citrix-virtual-apps-desktops/-service/manage-deployment/search.html)来识别这些计算机,然后,对于每台计算机,在下部窗格的**详细信息**选项卡上检查**计算机身份**。**计算机身份**中可以显示以下信息:

-  Microsoft Entra 混合联接
-  尚未联接到 Microsoft Entra ID

注意:

-  计算机初次开机时,可能会出现 Microsoft Entra 混合联接延迟。这是由默认的计算机身份同步间隔(Microsoft Entra Connect 的 30 分钟)引起的。计算机仅在通过 Microsoft Entra Connect 将计算机身份同步到 Microsoft Entra ID 后才处于 Microsoft Entra 混合联接状态。
  • 如果计算机未能处于 Microsoft Entra 混合联接状态,它们将不会向 Delivery Controller 注册。其注册状态显示为初始化

此外,您还可以使用 Web Studio 了解计算机不可用的原因。为此,请在搜索节点上单击一台计算机,在下部窗格的详细信息选项卡上检查注册,然后阅读工具提示以获取更多信息。

故障排除 

-  如果计算机未能进行 Microsoft Entra 混合联接,请执行以下操作:

-  检查计算机帐户是否已通过 Microsoft Microsoft Entra ID 门户同步到 Microsoft Entra ID。如果已同步,则会显示**尚未联接到 Microsoft Entra ID**,表示注册状态待定。

要将计算机帐户同步到 Microsoft Entra ID,请确保:

-  计算机帐户位于配置为与 Microsoft Entra ID 同步的 OU 中。即使计算机帐户位于配置为同步的 OU 中,没有 **userCertificate** 属性的计算机帐户也不会同步到 Microsoft Entra ID。
-  **userCertificate** 属性在计算机帐户中填充。使用 Active Directory Explorer 查看该属性。
-  在创建计算机帐户后,Microsoft Entra Connect 必须至少同步一次。如果未同步,请在 Microsoft Entra Connect 计算机的 PowerShell 控制台中手动运行 `Start-ADSyncSyncCycle -PolicyType Delta` 命令以触发即时同步。

  • 通过查询 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix 下的 DeviceKeyPairRestored 值,检查 Citrix 托管的 Microsoft Entra 混合联接设备密钥对是否已正确推送到计算机。

  • 验证该值是否为 1。如果不是,可能的原因包括:

    • 与预配方案关联的身份池的 IdentityType 未设置为 HybridAzureAD。您可以通过运行 Get-AcctIdentityPool 来验证这一点。
    • 计算机未通过计算机目录的相同预配方案进行预配。

    • 计算机未联接到本地域。本地域联接是 Microsoft Entra 混合联接的先决条件。

    • 通过在 MCS 预配的计算机上运行 dsregcmd /status /debug 命令来检查诊断消息。

    • 如果 Microsoft Entra 混合联接成功,命令行输出中 AzureAdJoinedDomainJoined 的值为 YES

    • 否则,请参阅 Microsoft 文档以解决这些问题:https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current

    • 如果您收到错误消息 服务器消息:在 ID 为 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 的设备上找不到用户证书,则运行以下 PowerShell 命令以修复用户证书:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      有关用户证书问题的更多信息,请参阅 CTX566696

创建已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录

您可以为已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录创建适用于持久性单会话和多会话 VM 的启用共同管理的目录。您可以使用 Studio 和 PowerShell 创建启用共同管理的目录。

使用 Web Studio

以下信息是对 创建计算机目录 中指导的补充。

计算机目录设置向导中:

  • 计算机身份页面上,选择Microsoft Entra 混合联接,然后选择使用 Configuration Manager 将计算机注册到 Microsoft Intune。通过此操作,Configuration Manager 和 Microsoft Intune(即共同管理)管理这些 VM。

使用 PowerShell

以下是等同于 Studio 中步骤的 PowerShell 步骤。

要使用 Remote PowerShell SDK 通过 Configuration Manager 将计算机注册到 Microsoft Intune,请在 New-AcctIdentityPool 中使用 DeviceManagementType 参数。此功能要求目录是 Microsoft Entra 混合联接的,并且 Microsoft Entra ID 拥有正确的 Microsoft Intune 许可证。

Microsoft Entra 混合联接目录与启用共同管理的目录之间的区别在于身份池的创建。例如:

New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

故障排除

如果计算机未能注册到 Microsoft Intune 或未能达到共同管理状态,请执行以下操作:

  • 检查 Intune 许可证

    检查您的 Microsoft Entra 租户是否已分配有相应的 Intune 许可证。有关 Microsoft Intune 的许可证要求,请参阅 Microsoft Intune 许可

  • 检查 Microsoft Entra 混合联接状态

    检查 MCS 预配的计算机是否已 Microsoft Entra 混合联接。如果计算机未 Microsoft Entra 混合联接,则不符合共同管理的条件。请参阅 故障排除 以解决 Microsoft Entra 混合联接问题。

  • 检查共同管理资格

    • 检查 MCS 预配的计算机是否已正确分配到预期的 Configuration Manager 站点。要获取分配的站点,请在受影响的计算机上运行以下 PowerShell 命令。

       (New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite()
 <!--NeedCopy-->

    • 如果未向 VM 分配任何站点,请使用以下命令检查 Configuration Manager 站点是否可以自动发现。

       (New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite()
 <!--NeedCopy-->

    • 如果无法发现站点代码,请确保在您的 Configuration Manager 环境中正确配置了边界和边界组。有关详细信息,请参阅 注意事项

    • 检查 C:\Windows\CCM\Logs\ClientLocation.log 中是否存在任何 Configuration Manager 客户端站点分配问题。

    • 检查计算机的共同管理状态。在受影响的计算机上打开Configuration Manager 控制面板,然后转到常规选项卡。共同管理属性的值必须为已启用。否则,请检查 C:\Windows\CCM\Logs\CoManagementHandler.log 下的日志。

  • 检查 Intune 注册

    即使满足所有先决条件,计算机也可能无法注册到 Microsoft Intune。检查 应用程序和服务日志 > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider 下的 Windows 事件日志,以查找 Intune 注册问题。

Microsoft Entra 混合联接的计算机身份的身份池
April 8, 2026
投稿者: 
C C
April 8, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.