تحرير

Share via

إنشاء حاوية ملف تعريف باستخدام Azure Files ومعرف Microsoft Entra

  • الكيفية

في هذه المقالة، ستتعلم كيفية إنشاء وتكوين مشاركة ملفات Azure لمصادقة Microsoft Entra Kerberos. يسمح لك هذا التكوين بتخزين ملفات تعريف FSLogix التي يمكن الوصول إليها بواسطة هويات المستخدم المختلط من مضيفي الجلسة المنضمين إلى Microsoft Entra المنضمين إلى Microsoft Entra دون الحاجة إلى خط رؤية الشبكة إلى وحدات التحكم بالمجال. يتيح Microsoft Entra Kerberos لمعرف Microsoft Entra إصدار تذاكر Kerberos الضرورية للوصول إلى مشاركة الملف باستخدام بروتوكول SMB القياسي في الصناعة.

يتم دعم هذه الميزة في سحابة Azure وAzure لحكومة الولايات المتحدة وAzure التي تديرها 21Vianet.

المتطلبات الأساسية

قبل نشر هذا الحل، تحقق من أن بيئتك تفي بمتطلبات تكوين ملفات Azure باستخدام مصادقة Microsoft Entra Kerberos.

عند استخدامه لملفات تعريف FSLogix في Azure Virtual Desktop، لا يحتاج مضيفو الجلسة إلى خط رؤية الشبكة لوحدة التحكم بالمجال (DC). ومع ذلك، يلزم وجود نظام مع خط رؤية الشبكة إلى DC لتكوين الأذونات على مشاركة ملفات Azure.

تكوين حساب تخزين Azure ومشاركة الملفات

لتخزين ملفات تعريف FSLogix من خلال مشاركة ملف Azure:

  1. إنشاء حساب تخزين من Azure إذا لم يكن لديك حساب بالفعل.

    إشعار

    لا يمكن مصادقة حساب Azure Storage الخاص بك مع كل من معرف Microsoft Entra وطريقة ثانية مثل خدمات مجال Active Directory (AD DS) أو Microsoft Entra Domain Services. يمكنك استخدام طريقة مصادقة واحدة فقط.

  2. قم بإنشاء مشاركة ملفات Azure ضمن حساب التخزين الخاص بك لتخزين ملفات تعريف FSLogix إذا لم تكن قد قمت بذلك بالفعل.

  3. تمكين مصادقة Microsoft Entra Kerberos على Azure Files لتمكين الوصول من الأجهزة الظاهرية المنضمة إلى Microsoft Entra.

    • عند تكوين أذونات الدليل ومستوى الملف، راجع قائمة الأذونات المُوصى بها لملفات تعريف FSLogix في تكوين أذونات موقع التخزين لحاويات ملف التعريف.
    • بدون وجود أذونات مناسبة على مستوى الدليل، يمكن للمستخدم حذف ملف تعريف المستخدم أو الوصول إلى المعلومات الشخصية لمستخدم مختلف. من المهم التأكد من أن المستخدمين لديهم الأذونات المناسبة لمنع حدوث الحذف العرضي.

تكوين مضيفي الجلسة

للوصول إلى مشاركات ملفات Azure من جهاز ظاهري مرتبط ب Microsoft Entra لملفات تعريف FSLogix، يجب تكوين مضيفي الجلسة. لتكوين مضيفي الجلسة:

  1. تمكين وظيفة Microsoft Entra Kerberos باستخدام إحدى الطرق التالية.

    • قم بتكوين نهج Intune CSP هذا وتطبيقه على مضيف الجلسة: Kerberos/CloudKerberosTicketRetrievalEnabled.

      إشعار

      لا تدعم أنظمة تشغيل عميل Windows متعددة الجلسات نهج CSP لأنها تدعم كتالوج الإعدادات فقط، لذلك ستحتاج إلى استخدام إحدى الطرق الأخرى. تعرف على المزيد في استخدام Azure Virtual Desktop متعدد الجلسات مع Intune.

    • تمكين نهج المجموعة هذا على مضيفي جلسة العمل. سيكون المسار واحدا مما يلي، اعتمادا على إصدار Windows الذي تستخدمه على مضيفي الجلسة:

      • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
      • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
      • أنشئ قيمة التسجيل التالية على مضيف الجلسة: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

  2. عند استخدام معرف Microsoft Entra مع حل ملف تعريف تجوال مثل FSLogix، يجب أن تنتمي مفاتيح بيانات الاعتماد في إدارة بيانات الاعتماد إلى ملف التعريف الذي يتم تحميله حاليا. سيسمح لك هذا بتحميل ملف التعريف الخاص بك على العديد من الأجهزة الظاهرية المختلفة بدلاً من أن يقتصر على جهاز واحد فقط. لتمكين هذا الإعداد، قم بإنشاء قيمة تسجيل جديدة عن طريق تشغيل الأمر التالي:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

إشعار

لا يحتاج مضيفو الجلسة إلى خط رؤية الشبكة إلى وحدة التحكم بالمجال.

تكوين FSLogix على مضيف الجلسة

سيوضح لك هذا القسم كيفية تكوين جهاز ظاهري باستخدام FSLogix. ستحتاج إلى اتباع هذه الإرشادات في كل مرة تقوم فيها بتكوين مضيف جلسة عمل. هناك العديد من الخيارات المتاحة التي تضمن تعيين مفاتيح التسجيل على جميع مضيفي الجلسة. يمكنك تعيين هذه الخيارات في صورة أو تكوين نهج مجموعة.

لتكوين FSLogix:

  1. تحديث FSLogix أو تثبيته على مضيف الجلسة، إذا لزم الأمر.

    إشعار

    إذا تم إنشاء مضيف جلسة العمل باستخدام خدمة سطح المكتب الظاهري من Azure، يجب أن يكون FSLogix مثبتًا مسبقًا بالفعل.

  2. اتبع الإرشادات الواردة في تكوين إعدادات سجل حاوية ملف التعريف لإنشاء قيم التسجيل ممكّن وVHDLocations. تعيين قيمة VHDLocations إلى \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

اختبار التوزيع الخاص بك

بمجرد تثبيت FSLogix وتكوينه، يمكنك اختبار التوزيع الخاص بك عن طريق تسجيل الدخول باستخدام حساب مستخدم تم تعيينه إلى مجموعة تطبيقات على تجمع المضيف. يتعين أن يكون لدى حساب المستخدم الذي تقوم بتسجيل الدخول باستخدامه الإذن لاستخدام مشاركة الملف.

إذا قام المستخدم بتسجيل الدخول من قبل، فسيكون لديه ملف تعريف محلي موجود ستستخدمه الخدمة أثناء هذه الجلسة. لتجنب إنشاء ملف تعريف محلي، قم إما بإنشاء حساب مستخدم جديد لاستخدامه للاختبارات أو استخدام طرق التكوين الموضحة في البرنامج التعليمي: تكوين حاوية ملف التعريف لإعادة توجيه ملفات تعريف المستخدمين لتمكين إعداد DeleteLocalProfileWhenVHDShouldApply.

وأخيرًا، تحقق من ملف التعريف الذي تم إنشاؤه في Azure Files بعد تسجيل دخول المستخدم بنجاح:

  1. افتح مدخل Azure وسجل الدخول باستخدام حساب إداري.

  2. من الشريط الجانبي، حدد حسابات التخزين.

  3. حدد حساب التخزين الذي قمت بتكوينه لتجمع مضيف جلسة العمل.

  4. من الشريط الجانبي، حدد مشاركات الملفات.

  5. حدد مشاركة الملف التي قمت بتكوينها لتخزين ملفات التعريف.

  6. إذا تم إعداد كل شيء بشكل صحيح، يجب أن تشاهد دليلاً باسم منسق على النحو التالي: <user SID>_<username>.

الخطوة التالية

لاستكشاف أخطاء FSLogix وإصلاحها، راجع دليل استكشاف الأخطاء وإصلاحها هذا