Editar

Compartir a través de


Creación de un contenedor de perfiles con Azure Files y Microsoft Entra ID

En este artículo, aprenderá a crear y configurar un recurso compartido de archivos de Azure Files para la autenticación Kerberos de Microsoft Entra. Esta configuración permite almacenar perfiles de FSLogix a los que pueden acceder las identidades de usuario híbridas desde hosts de sesión unidos a Microsoft Entra o unidos a Microsoft Entra híbrido sin necesidad de línea de visión de red a controladores de dominio. Kerberos de Microsoft Entra permite a Microsoft Entra ID emitir los vales de Kerberos necesarios para acceder al recurso compartido de archivos con el protocolo SMB estándar del sector.

Esta característica es compatible con la nube de Azure, Azure para la Administración Pública de Estados Unidos y Azure operado por 21Vianet.

Requisitos previos

Antes de implementar esta solución, compruebe que el entorno cumple los requisitos para configurar Azure Files con la autenticación Kerberos de Microsoft Entra.

Cuando se usa para perfiles de FSLogix en Azure Virtual Desktop, los hosts de sesión no necesitan tener línea de visión de red al controlador de dominio (DC). Sin embargo, se requiere un sistema con línea de visión de red al controlador de dominio para configurar los permisos en el recurso compartido de Azure Files.

Configuración de la cuenta de almacenamiento de Azure y del recurso compartido de archivos

Para almacenar los perfiles de FSLogix en un recurso compartido de archivos de Azure:

  1. Si no la tiene, cree una cuenta de Azure Storage.

    Nota:

    La cuenta de Azure Storage no se puede autenticar con Microsoft Entra ID y un segundo método, como Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services. Solo se puede usar un método de autenticación.

  2. Cree un recurso compartido de Azure Files en su cuenta de almacenamiento para almacenar los perfiles de FSLogix si aún no lo ha hecho.

  3. Habilite la autenticación Kerberos de Microsoft Entra en Azure Files para habilitar el acceso desde máquinas virtuales unidas a Microsoft Entra.

    • Al configurar el directorio y los permisos de nivel de archivo, revise la lista recomendada de permisos para los perfiles de FSLogix en Configuración de los permisos de almacenamiento para contenedores de perfiles.
    • Sin los permisos de nivel de directorio adecuados, un usuario puede eliminar el perfil de usuario o acceder a la información personal de otro usuario. Es importante asegurarse de que los usuarios tengan los permisos adecuados para evitar una eliminación accidental.

Configuración de los hosts de sesión

Para acceder a recursos compartidos de archivos de Azure desde una máquina virtual unida a Microsoft Entra para perfiles de FSLogix, debe configurar los hosts de sesión. Para configurar hosts de sesión:

  1. Habilite la funcionalidad Kerberos de Microsoft Entra mediante uno de los métodos siguientes.

    • Configure este CSP de directiva de Intune y aplíquelo al host de sesión: Kerberos/CloudKerberosTicketRetrievalEnabled.

      Nota

      Los sistemas operativos cliente de varias sesiones de Windows no admiten CSP de directivas, ya que solo admiten el catálogo de configuración, por lo que deberá usar uno de los otros métodos. Más información en Uso de la sesión múltiple de Azure Virtual Desktop con Intune.

    • Habilite esta directiva de grupo en los hosts de sesión. La ruta de acceso será una de las siguientes, según la versión de Windows que use en los hosts de sesión:

      • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
      • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
      • Cree el siguiente valor del Registro en el host de sesión: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
  2. Cuando se usa Microsoft Entra ID con una solución de perfiles móviles como FSLogix, las claves de credenciales del administrador de credenciales deben pertenecer al perfil que se está cargando. Esto permite cargar el perfil en muchas máquinas virtuales diferentes en lugar de limitarse a una sola. Para habilitar esta configuración, cree un nuevo valor del Registro mediante la ejecución del comando siguiente:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
    

Nota

Los hosts de sesión no necesitan línea de visión de red al controlador de dominio.

Configuración de FSLogix en el host de sesión

En esta sección se muestra cómo configurar una máquina virtual con FSLogix. Deberá seguir estas instrucciones cada vez que configure un host de sesión. Hay varias opciones disponibles que garantizan que las claves del Registro se establezcan en todos los hosts de la sesión. Puede establecer estas opciones en una imagen o configurar una directiva de grupo.

Para configurar FSLogix:

  1. Actualice o instale FSLogix en el host de sesión, si fuera necesario.

    Nota:

    Si el host de sesión se crea mediante el servicio Azure Virtual Desktop, FSLogix ya debe estar preinstalado.

  2. Siga las instrucciones de Configuración del registro de contenedor de perfiles para crear los valores del Registro Enabled y VHDLocations. Establezca el valor de VHDLocations en \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Prueba de la implementación

Cuando haya instalado y configurado FSLogix, puede probar la implementación si inicia sesión con una cuenta de usuario que se haya asignado a un grupo de aplicaciones en el grupo de hosts. La cuenta de usuario con la que inicie sesión debe tener permiso para usar el recurso compartido de archivos.

Si el usuario ha iniciado sesión antes, tendrá un perfil local existente que el servicio usará durante esta sesión. Para evitar la creación de un perfil local, cree una nueva cuenta de usuario para usarla en las pruebas o use los métodos de configuración descritos en Tutorial: Configuración del contenedor de perfiles para redirigir perfiles de usuario a fin de habilitar el valor DeleteLocalProfileWhenVHDShouldApply.

Por último, compruebe el perfil creado en Azure Files después de que el usuario haya iniciado sesión correctamente:

  1. Abra Azure Portal e inicie sesión con una cuenta administrativa.

  2. En la barra lateral, seleccione Cuentas de almacenamiento.

  3. Seleccione la cuenta de almacenamiento que ha configurado para el grupo de hosts de sesión.

  4. En la barra lateral, seleccione Recursos compartidos de archivos.

  5. Seleccione el recurso compartido de archivos que ha configurado para almacenar los perfiles.

  6. Si todo está configurado correctamente, debería ver un directorio con un nombre con el siguiente formato: <user SID>_<username>.

Paso siguiente