Vytvoření kontejneru profilu se službou Azure Files a ID Microsoft Entra

Před nasazením tohoto řešení ověřte, že vaše prostředí splňuje požadavky na konfiguraci služby Azure Files s ověřováním Microsoft Entra Kerberos.

Pokud se používají pro profily FSLogix ve službě Azure Virtual Desktop, hostitelé relací nemusí mít síťový dohled na řadič domény (DC). K konfiguraci oprávnění ke sdílené složce Azure Files se ale vyžaduje systém se sledováním síťové linky řadiče domény.

Uložení profilů FSLogix do sdílené složky Azure:

1. Pokud ho ještě nemáte, vytvořte účet Azure Storage.

   Poznámka:

   Váš účet Azure Storage se nemůže ověřit pomocí ID Microsoft Entra a druhé metody, jako je Doména služby Active Directory Services (AD DS) nebo Microsoft Entra Domain Services. Můžete použít pouze jednu metodu ověřování.

2. Pokud jste to ještě neudělali, vytvořte ve svém účtu úložiště sdílenou složku Azure Files a uložte profily FSLogix.

3. Povolte ověřování Microsoft Entra Kerberos ve službě Azure Files a povolte přístup k virtuálním počítačům připojeným k Microsoft Entra.

   • Při konfiguraci oprávnění na úrovni adresáře a souborů si projděte doporučený seznam oprávnění pro profily FSLogix na stránce Konfigurace oprávnění úložiště pro kontejnery profilů.
   • Bez správných oprávnění na úrovni adresáře může uživatel odstranit profil uživatele nebo získat přístup k osobním údajům jiného uživatele. Je důležité zajistit, aby uživatelé měli správná oprávnění, aby se zabránilo náhodnému odstranění.

Pokud chcete získat přístup ke sdíleným složkám Azure z virtuálního počítače připojeného k Microsoft Entra pro profily FSLogix, musíte nakonfigurovat hostitele relací. Konfigurace hostitelů relací:

1. Pomocí jedné z následujících metod povolte funkci protokolu Microsoft Entra Kerberos.

   • Nakonfigurujte tohoto poskytovatele CSP zásad Intune a použijte ho na hostitele relace: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Poznámka:

     Klientské operační systémy Windows s více relacemi nepodporují poskytovatele CSP zásad, protože podporují pouze katalog nastavení, takže budete muset použít jednu z dalších metod. Další informace najdete v tématu Použití více relací služby Azure Virtual Desktop s Intune.

   • Tuto zásadu skupiny povolte na hostitelích relací. Cesta bude jedna z následujících v závislosti na verzi Windows, kterou používáte na hostitelích relací:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Na hostiteli relace vytvořte následující hodnotu registru: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Pokud používáte Microsoft Entra ID s řešením cestovního profilu, jako je FSLogix, musí klíče přihlašovacích údajů ve Správci přihlašovacích údajů patřit do profilu, který se právě načítá. Díky tomu budete moct načíst svůj profil na mnoho různých virtuálních počítačů místo toho, abyste byli omezeni jenom na jeden. Pokud chcete toto nastavení povolit, vytvořte novou hodnotu registru spuštěním následujícího příkazu:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Konfigurace FSLogix na hostiteli relace

V této části se dozvíte, jak na virtuálním počítači nakonfigurovat FSLogix. Podle těchto pokynů budete muset postupovat vždy, když budete konfigurovat hostitele relace. Je k dispozici několik možností, které zajistí nastavení klíčů registru na všech hostitelích relací. Tyto možnosti můžete nastavit v imagi nebo můžete nakonfigurovat zásady skupiny.

Konfigurace FSLogix:

1. V případě potřeby aktualizujte nebo nainstalujte FSLogix na hostitele relace.

   Poznámka:

   Pokud je hostitel relace vytvořený pomocí služby Azure Virtual Desktop, musí být služba FSLogix už předinstalovaná.

2. Postupujte podle pokynů v části Konfigurace nastavení registru kontejneru profilu a vytvořte hodnoty registru Enabled a VHDLocations . Nastavte hodnotu VHDLocations na \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Po instalaci a konfiguraci FSLogix můžete nasazení otestovat přihlášením pomocí uživatelského účtu, který je přiřazen ke skupině aplikací ve fondu hostitelů. Uživatelský účet, kterým se přihlašujete, musí mít oprávnění k používání sdílené složky.

Pokud se uživatel přihlásil dříve, bude mít existující místní profil, který bude služba používat během této relace. Pokud se chcete vyhnout vytváření místního profilu, vytvořte nový uživatelský účet, který se použije pro testy, nebo použijte metody konfigurace popsané v kurzu: Konfigurace kontejneru profilů pro přesměrování profilů uživatelů, aby bylo možné povolit nastavení DeleteLocalProfileWhenVHDShouldApply .

Nakonec ověřte profil vytvořený ve službě Azure Files po úspěšném přihlášení uživatele:

1. Otevřete Azure Portal a přihlaste se pomocí účtu pro správu.

2. Na bočním panelu vyberte Účty úložiště.

3. Vyberte účet úložiště, který jste nakonfigurovali pro fond hostitelů relací.

4. Na bočním panelu vyberte Sdílené složky.

5. Vyberte sdílenou složku, kterou jste nakonfigurovali pro uložení profilů.

6. Pokud je všechno správně nastavené, měli byste vidět adresář s názvem, který je formátovaný takto: <user SID>_<username>.