Almacenamiento de contenedores de perfiles de FSLogix en Azure Files mediante el identificador de Microsoft Entra

Importante

La característica siguiente está actualmente en versión preliminar:

• Almacenamiento de contenedores de perfil de FSLogix para identidades exclusivamente en la nube o externas.

Para conocer los términos legales que se aplican a las características de Azure que están en versión beta, en versión preliminar o que aún no se han publicado en disponibilidad general, consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure.

En este artículo, aprenderá a crear y configurar una compartición de Azure Files para la autenticación Kerberos de Microsoft Entra. Esta configuración permite almacenar perfiles de FSLogix a los que acceden distintos usuarios, en función de la configuración:

• Mediante identidades de usuario híbridas de hosts de sesión unidos o híbridos de Microsoft Entra sin necesidad de tener línea de visión a los controladores de dominio. Esta característica es compatible con la nube de Azure, Azure para la Administración Pública de EE. UU. y Azure operado por 21Vianet.
• Por identidades solo en la nube o identidades externas. Esta funcionalidad está en versión preliminar y solo está disponible en la nube de Azure.

Microsoft Entra Kerberos permite a Microsoft Entra ID emitir los vales kerberos necesarios para acceder al recurso compartido de archivos con el protocolo SMB estándar del sector.

Prerrequisitos

Antes de implementar esta solución, compruebe que el entorno cumple los requisitos para configurar Azure Files con la autenticación Kerberos de Microsoft Entra.

Cuando se utiliza para los perfiles de FSLogix en Azure Virtual Desktop, los hosts de sesión no necesitan una conexión de red directa con el controlador de dominio (DC). Sin embargo, se requiere un sistema con visibilidad de red directa al centro de datos para configurar los permisos en la compartición de Azure Files.

Antes de implementar esta solución, compruebe que el entorno cumple los requisitos para configurar Azure Files con la autenticación Kerberos de Microsoft Entra para identidades solo en la nube o externas.

Configuración de la cuenta de Azure Storage y el recurso compartido de archivos

Para almacenar los perfiles de FSLogix en un recurso compartido de archivos de Azure:

1. Cree una cuenta de Azure Storage si aún no tiene una.

   Nota:

   La cuenta de Azure Storage no se puede autenticar con microsoft Entra ID y un segundo método como Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services. Solo puede usar un método de autenticación.

2. Cree un recurso compartido de Azure Files en su cuenta de almacenamiento para almacenar sus perfiles de FSLogix si aún no lo ha hecho.

3. Habilite la autenticación Kerberos de Microsoft Entra en Azure Files para habilitar el acceso desde máquinas virtuales unidas a Microsoft Entra.

   • Al configurar el directorio y los permisos de nivel de archivo, revise la lista recomendada de permisos para los perfiles de FSLogix en Configuración de los permisos de almacenamiento para los contenedores de perfiles.
   • Sin los permisos adecuados de nivel de directorio, un usuario puede eliminar el perfil de usuario o acceder a la información personal de un usuario diferente. Es importante asegurarse de que los usuarios tengan los permisos adecuados para evitar que se produzca una eliminación accidental.

Para almacenar los perfiles de FSLogix en un recurso compartido de archivos de Azure:

1. Cree una cuenta de Azure Storage si aún no tiene una.

   Nota:

   La cuenta de Azure Storage no se puede autenticar con microsoft Entra ID y un segundo método como Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services. Solo puede usar un método de autenticación.

2. Cree un recurso compartido de Azure Files en su cuenta de almacenamiento para almacenar los perfiles de FSLogix si aún no lo ha hecho, donde podrá administrar los permisos a través de un control Administrar acceso.

3. Habilite la autenticación Kerberos de Microsoft Entra en Azure Files para habilitar el acceso desde máquinas virtuales unidas a Microsoft Entra.

   • Al configurar el directorio y los permisos de nivel de archivo, revise la lista recomendada de permisos para los perfiles de FSLogix en Configuración de los permisos de almacenamiento para los contenedores de perfiles.
   • Sin los permisos adecuados de nivel de directorio, un usuario puede eliminar el perfil de usuario o acceder a la información personal de un usuario diferente. Es importante asegurarse de que los usuarios tengan los permisos adecuados para evitar que se produzca una eliminación accidental.
   • Asegúrese de seguir los pasos del registro de la aplicación Entra para el recurso compartido de archivos, de modo que los tickets de Kerberos incluyan los grupos obtenidos de Entra.

Configuración del dispositivo Windows local

Para acceder a los recursos compartidos de archivos de Azure desde una máquina virtual unida a Microsoft Entra para perfiles de FSLogix, debe configurar el dispositivo Windows local en el que se cargan los perfiles de FSLogix. Para configurar el dispositivo:

1. Habilite la funcionalidad Kerberos de Microsoft Entra mediante uno de los métodos siguientes.

   • Configure este CSP de directivas de Intune con el catálogo de configuraciones y aplíquelo al host de sesión: Kerberos/CloudKerberosTicketRetrievalEnabled.

   Nota:

   Los sistemas operativos cliente de varias sesiones de Windows ahora admiten esta configuración siempre que se configure con el catálogo de configuración, donde la configuración ya está disponible. Obtenga más información en Uso de varias sesiones de Azure Virtual Desktop con Intune.

   • Habilite esta directiva de grupo en el dispositivo. La ruta de acceso será una de las siguientes, en función de la versión de Windows que use:

   • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

   • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

   • Cree el siguiente valor del Registro en su dispositivo: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Cuando se usa microsoft Entra ID con una solución de perfil móvil como FSLogix, las claves de credenciales del Administrador de credenciales deben pertenecer al perfil que se está cargando actualmente. Esto le permite cargar el perfil en muchas máquinas virtuales diferentes en lugar de limitarse a solo una. Para habilitar esta configuración, cree un nuevo valor del Registro mediante la ejecución del comando siguiente:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

   Nota:

   Los hosts de sesión no necesitan tener visión directa con el controlador de dominio en la red.

2. Cuando se usa microsoft Entra ID con una solución de perfil móvil como FSLogix, las claves de credenciales del Administrador de credenciales deben pertenecer al perfil que se está cargando actualmente. Esto le permite cargar el perfil en muchas máquinas virtuales diferentes en lugar de limitarse a solo una. Para habilitar esta configuración, cree un nuevo valor del Registro mediante la ejecución del comando siguiente:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Configuración de FSLogix en el dispositivo Windows local

En esta sección se muestra cómo configurar el dispositivo Windows local con FSLogix. Deberá seguir estas instrucciones cada vez que configure un dispositivo. Hay varias opciones disponibles que garantizan que las claves del Registro estén establecidas en todos los hosts de sesión. Puede establecer estas opciones en una imagen o configurar una directiva de grupo.

Para configurar FSLogix:

1. Actualice o instale FSLogix en el dispositivo, si es necesario.

   Nota:

   Si va a configurar un host de sesión creado mediante el servicio Azure Virtual Desktop, FSLogix ya debería estar preinstalado.

2. Siga las instrucciones en Configurar la configuración del registro del contenedor de perfiles para crear los valores de registro Enabled y VHDLocations. Establezca el valor de VHDLocations en \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Prueba de la implementación

Una vez que haya instalado y configurado FSLogix, puede probar la implementación iniciando sesión con una cuenta de usuario asignada a un grupo de aplicaciones en el grupo de hosts. La cuenta de usuario con la que inicia sesión debe tener permiso para usar el recurso compartido de archivos.

Si el usuario ha iniciado sesión antes, tendrá un perfil local existente que usará el servicio durante esta sesión. Para evitar crear un perfil local, cree una nueva cuenta de usuario para usarla para pruebas o use los métodos de configuración descritos en Tutorial: Configuración del contenedor de perfiles para redirigir perfiles de usuario para habilitar la configuración DeleteLocalProfileWhenVHDShouldApply .

Por último, compruebe el perfil creado en Azure Files después de que el usuario haya iniciado sesión correctamente:

1. Abra Azure Portal e inicie sesión con una cuenta administrativa.

2. En la barra lateral, seleccione Cuentas de almacenamiento.

3. Seleccione la cuenta de almacenamiento que configuró para el grupo de hosts de sesión.

4. En la barra lateral, seleccione Recursos compartidos de archivos.

5. Seleccione el recurso compartido de archivos que configuró para almacenar los perfiles.

6. Si todo está configurado correctamente, debería ver un directorio con un nombre con el formato siguiente: <user SID>_<username>.

Pasos siguientes

• Para solucionar problemas de FSLogix, consulte esta guía de solución de problemas.