Creación de un contenedor de perfiles con Azure Files y Microsoft Entra ID

Antes de implementar esta solución, compruebe que el entorno cumple los requisitos para configurar Azure Files con la autenticación Kerberos de Microsoft Entra.

Cuando se usa para perfiles de FSLogix en Azure Virtual Desktop, los hosts de sesión no necesitan tener línea de visión de red al controlador de dominio (DC). Sin embargo, se requiere un sistema con línea de visión de red al controlador de dominio para configurar los permisos en el recurso compartido de Azure Files.

Para almacenar los perfiles de FSLogix en un recurso compartido de archivos de Azure:

1. Si no la tiene, cree una cuenta de Azure Storage.

   Nota:

   La cuenta de Azure Storage no se puede autenticar con Microsoft Entra ID y un segundo método, como Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services. Solo se puede usar un método de autenticación.

2. Cree un recurso compartido de Azure Files en su cuenta de almacenamiento para almacenar los perfiles de FSLogix si aún no lo ha hecho.

3. Habilite la autenticación Kerberos de Microsoft Entra en Azure Files para habilitar el acceso desde máquinas virtuales unidas a Microsoft Entra.

   • Al configurar el directorio y los permisos de nivel de archivo, revise la lista recomendada de permisos para los perfiles de FSLogix en Configuración de los permisos de almacenamiento para contenedores de perfiles.
   • Sin los permisos de nivel de directorio adecuados, un usuario puede eliminar el perfil de usuario o acceder a la información personal de otro usuario. Es importante asegurarse de que los usuarios tengan los permisos adecuados para evitar una eliminación accidental.

Para acceder a recursos compartidos de archivos de Azure desde una máquina virtual unida a Microsoft Entra para perfiles de FSLogix, debe configurar los hosts de sesión. Para configurar hosts de sesión:

1. Habilite la funcionalidad Kerberos de Microsoft Entra mediante uno de los métodos siguientes.

   • Configure este CSP de directiva de Intune y aplíquelo al host de sesión: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Nota

     Los sistemas operativos cliente de varias sesiones de Windows no admiten CSP de directivas, ya que solo admiten el catálogo de configuración, por lo que deberá usar uno de los otros métodos. Más información en Uso de la sesión múltiple de Azure Virtual Desktop con Intune.

   • Habilite esta directiva de grupo en los hosts de sesión. La ruta de acceso será una de las siguientes, según la versión de Windows que use en los hosts de sesión:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Cree el siguiente valor del Registro en el host de sesión: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Cuando se usa Microsoft Entra ID con una solución de perfiles móviles como FSLogix, las claves de credenciales del administrador de credenciales deben pertenecer al perfil que se está cargando. Esto permite cargar el perfil en muchas máquinas virtuales diferentes en lugar de limitarse a una sola. Para habilitar esta configuración, cree un nuevo valor del Registro mediante la ejecución del comando siguiente:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Configuración de FSLogix en el host de sesión

En esta sección se muestra cómo configurar una máquina virtual con FSLogix. Deberá seguir estas instrucciones cada vez que configure un host de sesión. Hay varias opciones disponibles que garantizan que las claves del Registro se establezcan en todos los hosts de la sesión. Puede establecer estas opciones en una imagen o configurar una directiva de grupo.

Para configurar FSLogix:

1. Actualice o instale FSLogix en el host de sesión, si fuera necesario.

   Nota:

   Si el host de sesión se crea mediante el servicio Azure Virtual Desktop, FSLogix ya debe estar preinstalado.

2. Siga las instrucciones de Configuración del registro de contenedor de perfiles para crear los valores del Registro Enabled y VHDLocations. Establezca el valor de VHDLocations en \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Cuando haya instalado y configurado FSLogix, puede probar la implementación si inicia sesión con una cuenta de usuario que se haya asignado a un grupo de aplicaciones en el grupo de hosts. La cuenta de usuario con la que inicie sesión debe tener permiso para usar el recurso compartido de archivos.

Si el usuario ha iniciado sesión antes, tendrá un perfil local existente que el servicio usará durante esta sesión. Para evitar la creación de un perfil local, cree una nueva cuenta de usuario para usarla en las pruebas o use los métodos de configuración descritos en Tutorial: Configuración del contenedor de perfiles para redirigir perfiles de usuario a fin de habilitar el valor DeleteLocalProfileWhenVHDShouldApply.

Por último, compruebe el perfil creado en Azure Files después de que el usuario haya iniciado sesión correctamente:

1. Abra Azure Portal e inicie sesión con una cuenta administrativa.

2. En la barra lateral, seleccione Cuentas de almacenamiento.

3. Seleccione la cuenta de almacenamiento que ha configurado para el grupo de hosts de sesión.

4. En la barra lateral, seleccione Recursos compartidos de archivos.

5. Seleccione el recurso compartido de archivos que ha configurado para almacenar los perfiles.

6. Si todo está configurado correctamente, debería ver un directorio con un nombre con el siguiente formato: <user SID>_<username>.