产品文档
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
查看 PDF

Microsoft Entra 混合联接

April 8, 2026
投稿者: 
C C

本文介绍了创建 Microsoft Entra 混合联接目录的身份池以及已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录的要求,这些要求是对系统要求部分中概述的要求的补充。

Microsoft Entra 混合联接计算机使用本地 AD 作为身份验证提供程序。您可以将它们分配给本地 AD 中的域用户或组。要启用 Microsoft Entra ID 无缝 SSO 体验,您需要将域用户同步到 Microsoft Entra ID。

注意:

  • Microsoft Entra 混合联接 VM 在联合身份和托管身份基础结构中均受支持。

  • Microsoft Entra 混合联接的要求

  • VDA 类型:单会话(仅限桌面)或多会话(应用程序和桌面)
  • VDA 版本:2212 或更高版本
  • 预配类型:Machine Creation Services™ (MCS),持久和非持久
  • 分配类型:专用和池化
  • 托管平台:任何虚拟机管理程序或云服务

Microsoft Entra 混合联接的限制

  • 如果使用 Citrix 联合身份验证服务 (FAS),单点登录将定向到本地 AD 而非 Microsoft Entra ID。在这种情况下,建议配置 Microsoft Entra 基于证书的身份验证,以便在用户登录时生成主刷新令牌 (PRT),这有助于在会话内对 Microsoft Entra 资源进行单点登录。否则,PRT 将不存在,并且对 Microsoft Entra 资源的 SSO 将不起作用。有关使用 Citrix 联合身份验证服务 (FAS) 实现对混合联接 VDA 的 Microsoft Entra 单点登录 (SSO) 的信息,请参阅混合联接 VDA
  • 在创建或更新计算机目录时,不要跳过映像准备。如果要跳过映像准备,请确保主 VM 不是 Microsoft Entra 或 Microsoft Entra 混合联接。

Microsoft Entra 混合联接的注意事项

  • 创建 Microsoft Entra 混合联接计算机需要在目标域中具有 Write userCertificate 权限。请确保在目录创建期间输入具有该权限的管理员凭据。

  • Microsoft Entra 混合联接过程由 Citrix 管理。您需要按如下方式在主 VM 中禁用由 Windows 控制的 autoWorkplaceJoin。手动禁用 autoWorkplaceJoin 的任务仅适用于 VDA 版本 2212 或更早版本。

    1. 运行 gpedit.msc
    2. 导航到 “计算机配置”>“管理模板”>“Windows 组件”>“设备注册”
    3. “将已加入域的计算机注册为设备” 设置为 “已禁用”

  • 创建计算机身份时,选择配置为与 Microsoft Entra ID 同步的组织单位 (OU)。

  • 对于基于 Windows 11 22H2 的主 VM,请在主 VM 中创建计划任务,该任务在系统启动时使用 SYSTEM 帐户执行以下命令。在主 VM 中计划此任务仅适用于 VDA 版本 2212 或更早版本。

    ``` $VirtualDesktopKeyPath = ‘HKLM:\Software\AzureAD\VirtualDesktop’ $WorkplaceJoinKeyPath = ‘HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin’ $MaxCount = 60

    for ($count = 1; $count -le $MaxCount; $count++) { if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true) { $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue(“Provider”, $null) if ($provider -eq ‘Citrix’) {

break; }

    if ($provider -eq 1)
    {
        Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
  • Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name “autoWorkplaceJoin” -Value 1 -Force
  • Start-Sleep 5 dsregcmd /join
  • break
  • }

  • }

  • Start-Sleep 1

  • }

    ```

  • 默认情况下,Microsoft Entra Connect 每 30 分钟同步一次。预配的计算机在首次启动时可能需要长达 30 分钟才能完成 Microsoft Entra 混合联接。

  • 已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录

已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录、持久单会话和多会话 VM 使用具有共同管理功能的设备凭据。

  • 共同管理使您能够使用 Configuration Manager 和 Microsoft Intune 同时管理 Windows 10 或更高版本的设备。有关详细信息,请参阅共同管理

  • 已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录的先决条件

在启用此功能之前,请验证:

  • 您的 Azure 环境符合使用 Microsoft Intune 的许可要求。有关详细信息,请参阅 Microsoft 文档
  • 您拥有已启用共同管理的有效 Configuration Manager 部署。有关详细信息,请参阅 Microsoft 文档

已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录的要求

  • 控制平面:Citrix DaaS™
  • VDA 类型:单会话或多会话
  • VDA 版本:2407 或更高版本
  • 预配类型:Machine Creation Service (MCS),持久。已注册到 Microsoft Intune 的非持久单会话和多会话 VM 的 Microsoft Entra 混合联接目录目前处于预览阶段。请参阅将混合 Entra ID 联接的非持久 VM 注册到 Microsoft Intune
  • 分配类型:专用和池化
  • 托管平台:任何虚拟机管理程序或云服务

已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录的限制

  • 在创建或更新计算机目录时,不要跳过映像准备。
  • 不支持 Configuration Manager 的基于 Internet 的客户端管理 (IBCM)。

已注册到 Microsoft Intune 的 Microsoft Entra 混合联接目录的注意事项

  • 如果目录中同时启动的计算机过多,Intune 注册可能会延迟。

    Microsoft 对每个租户的 Intune 注册施加了限制,该限制规定了在特定时间范围内可以注册的设备数量。允许的设备数量因与租户关联的 Microsoft Intune 许可证数量而异。请咨询您的 Microsoft 客户团队,了解您的租户的允许限制。这种方法有助于 Microsoft Intune 注册更好地适应大型环境。

    对于持久计算机,可能需要初始等待时间才能使所有设备完成 Intune 注册。

    对于非持久计算机,请考虑限制 Autoscale™ 或手动电源操作中的并发电源操作。

  • 配置 Configuration Manager 的云附加。有关详细信息,请参阅 Microsoft 文档
  • 在主 VM 上手动安装 Configuration Manager 客户端,不使用 .\CCMSetup.exe /mp:SCCMServer /logon FSP=SCCMServer 分配站点代码。SCCMServer 是您环境中的 SCCM 服务器名称。有关详细信息,请参阅 Microsoft 文档

  • MCS 创建的计算机使用自动站点分配机制来查找发布到 Active Directory 域服务的站点边界组。确保在您的环境中配置了 Configuration Manager边界和边界组。如果自动站点分配不可用,可以通过以下注册表设置在主 VM 中配置静态 Configuration Manager 站点代码:

    键:

     HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
 <!--NeedCopy-->

    值名称:MdmSccmSiteCode

    值类型:字符串

    值数据:要分配的站点代码

后续步骤

有关创建 Microsoft Entra 混合联接目录的身份池的详细信息,请参阅Microsoft Entra 混合联接计算机身份的身份池

Microsoft Entra 混合联接
April 8, 2026
投稿者: 
C C
April 8, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.