Ukládání kontejnerů profilů FSLogix ve službě Azure Files pomocí ID Microsoft Entra

Důležité

Následující funkce je aktuálně ve verzi Preview:

• Ukládání kontejnerů profilů FSLogix pouze pro cloudové nebo externí identity

Právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi Beta, ve verzi Preview nebo které ještě nejsou vydány v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

V tomto článku se dozvíte, jak vytvořit a nakonfigurovat sdílenou složku Azure Files pro ověřování Microsoft Entra Kerberos. Tato konfigurace umožňuje ukládat profily FSLogix, ke které mají přístup různí uživatelé na základě konfigurace:

• Sezení hostitelů připojených k Microsoft Entra, nebo hybridně připojených k Microsoft Entra, s hybridními uživatelskými identitami, aniž by bylo nutné mít přímou síťovou viditelnost k řadičům domény. Tato funkce je podporovaná v cloudu Azure, Azure for US Government a Azure provozovaném společností 21Vianet.
• Prostřednictvím pouze cloudových identit nebo externích identit. Tato funkce je ve verzi Preview a je dostupná jenom v cloudu Azure.

Protokol Microsoft Entra Kerberos umožňuje službě Microsoft Entra ID vydat potřebné lístky Protokolu Kerberos pro přístup ke sdílené složce pomocí standardního standardního protokolu SMB.

Požadavky

Před nasazením tohoto řešení ověřte, že vaše prostředí splňuje požadavky na konfiguraci služby Azure Files s ověřováním Microsoft Entra Kerberos.

Pokud se používají pro profily FSLogix ve službě Azure Virtual Desktop, hostitelé relací nemusí mít síťový dohled na řadič domény (DC). K konfiguraci oprávnění ke sdílené složce Azure Files se ale vyžaduje systém se sledováním síťové linky řadiče domény.

Před nasazením tohoto řešení ověřte, že vaše prostředí splňuje požadavky na konfiguraci služby Azure Files s ověřováním Microsoft Entra Kerberos pouze pro cloudové nebo externí identity.

Konfigurace účtu úložiště Azure a sdílené složky

Uložení profilů FSLogix do sdílené složky Azure:

1. Pokud ho ještě nemáte, vytvořte účet Azure Storage.

   Poznámka:

   Váš účet Azure Storage se nemůže ověřit pomocí ID Microsoft Entra a druhé metody, jako je Active Directory Domain Services (AD DS) nebo Microsoft Entra Domain Services. Můžete použít pouze jednu metodu ověřování.

2. Pokud jste to ještě neudělali, vytvořte ve svém účtu úložiště sdílenou složku Azure Files a uložte profily FSLogix.

3. Povolte ověřování Microsoft Entra Kerberos ve službě Azure Files a povolte přístup k virtuálním počítačům připojeným k Microsoft Entra.

   • Při konfiguraci oprávnění na úrovni adresáře a souborů si projděte doporučený seznam oprávnění pro profily FSLogix na stránce Konfigurace oprávnění úložiště pro kontejnery profilů.
   • Bez správných oprávnění na úrovni adresáře může uživatel odstranit profil uživatele nebo získat přístup k osobním údajům jiného uživatele. Je důležité zajistit, aby uživatelé měli správná oprávnění, aby se zabránilo náhodnému odstranění.

Uložení profilů FSLogix do sdílené složky Azure:

1. Pokud ho ještě nemáte, vytvořte účet Azure Storage.

   Poznámka:

   Váš účet Azure Storage se nemůže ověřit pomocí ID Microsoft Entra a druhé metody, jako je Active Directory Domain Services (AD DS) nebo Microsoft Entra Domain Services. Můžete použít pouze jednu metodu ověřování.

2. Pokud jste to ještě neudělali, vytvořte ve svém účtu úložiště sdílenou složku Azure Files, abyste mohli ukládat profily FSLogix, kde budete moct spravovat oprávnění prostřednictvím správy řízení přístupu.

3. Povolte ověřování Microsoft Entra Kerberos ve službě Azure Files a povolte přístup k virtuálním počítačům připojeným k Microsoft Entra.

   • Při konfiguraci oprávnění na úrovni adresáře a souborů si projděte doporučený seznam oprávnění pro profily FSLogix na stránce Konfigurace oprávnění úložiště pro kontejnery profilů.
   • Bez správných oprávnění na úrovni adresáře může uživatel odstranit profil uživatele nebo získat přístup k osobním údajům jiného uživatele. Je důležité zajistit, aby uživatelé měli správná oprávnění, aby se zabránilo náhodnému odstranění.
   • Ujistěte se, že postupujete podle pokynů k registraci aplikace Entra pro sdílení souborů, aby lístky Kerberos obsahovaly skupiny pocházející z Entra.

Konfigurace místního zařízení s Windows

Pokud chcete získat přístup ke sdíleným složkám Azure z virtuálního počítače připojeného k Microsoft Entra pro profily FSLogix, musíte nakonfigurovat místní zařízení s Windows, do kterého se načítají profily FSLogix. Konfigurace zařízení:

1. Pomocí jedné z následujících metod povolte funkci protokolu Microsoft Entra Kerberos.

   • Nakonfigurujte Intune zásady CSP s katalogem nastavení a tuto konfiguraci použijte na hostitele relace: Kerberos/CloudKerberosTicketRetrievalEnabled.

   Poznámka:

   Klientské operační systémy Windows vícesessionové nyní podporují toto nastavení za předpokladu, že bylo nakonfigurováno pomocí katalogu nastavení, kde je toto nastavení nyní dostupné. Další informace najdete v tématu Použití více relací služby Azure Virtual Desktop s Intune.

   • Povolte tuto zásadu skupiny na svém zařízení. Cesta bude jedna z následujících v závislosti na používané verzi Windows:

   • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

   • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

   • Na zařízení vytvořte následující hodnotu registru: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Pokud používáte Microsoft Entra ID s řešením cestovního profilu, jako je FSLogix, musí klíče přihlašovacích údajů ve Správci přihlašovacích údajů patřit do profilu, který se právě načítá. Díky tomu můžete svůj profil načíst na mnoha různých virtuálních počítačích, a nemusíte tak být omezeni jenom na jeden. Pokud chcete toto nastavení povolit, vytvořte novou hodnotu registru spuštěním následujícího příkazu:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

   Poznámka:

   Hostitelé relací nepotřebují přímé síťové připojení k řadiči domény.

2. Pokud používáte Microsoft Entra ID s řešením cestovního profilu, jako je FSLogix, musí klíče přihlašovacích údajů ve Správci přihlašovacích údajů patřit do profilu, který se právě načítá. Díky tomu můžete svůj profil načíst na mnoha různých virtuálních počítačích, a nemusíte tak být omezeni jenom na jeden. Pokud chcete toto nastavení povolit, vytvořte novou hodnotu registru spuštěním následujícího příkazu:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Konfigurace FSLogix na místním zařízení s Windows

V této části se dozvíte, jak nakonfigurovat místní zařízení s Windows pomocí FSLogix. Při každé konfiguraci zařízení budete muset postupovat podle těchto pokynů. K dispozici je několik možností, které zajistí, že jsou klíče registru nastavené na všech hostitelích relací. Tyto možnosti můžete nastavit v obrazu nebo nakonfigurovat Skupinovou politiku.

Konfigurace FSLogix:

1. V případě potřeby aktualizujte nebo nainstalujte FSLogix na zařízení.

   Poznámka:

   Pokud konfigurujete hostitele relace vytvořeného pomocí služby Azure Virtual Desktop, měla by být služba FSLogix už předinstalovaná.

2. Postupujte podle pokynů v části Konfigurace nastavení registru kontejneru profilu a vytvořte hodnoty registru Enabled a VHDLocations . Nastavte hodnotu VHDLocations na \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Otestování nasazení

Po instalaci a konfiguraci FSLogix můžete nasazení otestovat přihlášením pomocí uživatelského účtu, který je přiřazen ke skupině aplikací ve fondu hostitelů. Uživatelský účet, kterým se přihlašujete, musí mít oprávnění k používání sdílené složky.

Pokud se uživatel přihlásil dříve, bude mít existující místní profil, který bude služba používat během této relace. Pokud se chcete vyhnout vytváření místního profilu, vytvořte nový uživatelský účet, který se použije pro testy, nebo použijte metody konfigurace popsané v kurzu: Konfigurace kontejneru profilů pro přesměrování profilů uživatelů , aby bylo možné povolit nastavení DeleteLocalProfileWhenVHDShouldApply .

Nakonec ověřte profil vytvořený ve službě Azure Files po úspěšném přihlášení uživatele:

1. Otevřete Azure Portal a přihlaste se pomocí účtu pro správu.

2. Na bočním panelu vyberte Účty úložiště.

3. Vyberte účet úložiště, který jste nakonfigurovali pro fond hostitelů relací.

4. Na bočním panelu vyberte Sdílené složky.

5. Vyberte sdílenou složku, kterou jste nakonfigurovali pro uložení profilů.

6. Pokud je všechno správně nastavené, měli byste vidět adresář s názvem, který je formátovaný takto: <user SID>_<username>.

Další kroky

• Informace o řešení potíží s FSLogix najdete v tomto průvodci odstraňováním potíží.