Créer un conteneur de profil avec Azure Files et Microsoft Entra ID

Avant de déployer cette solution, vérifiez que votre environnement répond aux exigences pour configurer Azure Files avec l’authentification Microsoft Entra Kerberos.

Lorsqu’ils sont utilisés pour les profils FSLogix dans Azure Virtual Desktop, les hôtes de session n’ont pas besoin d’avoir une ligne de vue réseau sur le contrôleur de domaine (DC). Toutefois, un système avec une ligne de vue réseau vers le contrôleur de domaine est nécessaire pour configurer les autorisations sur le partage Azure Files.

Pour stocker vos profils FSLogix sur un partage de fichiers Azure :

1. Créez un compte de stockage Azure si vous n’en avez pas.

   Remarque

   Votre compte de stockage Azure ne peut pas s’authentifier avec Microsoft Entra ID et une deuxième méthode comme Active Directory Domain Services (AD DS) ou Microsoft Entra Domain Services. Vous ne pouvez utiliser qu’une seule méthode d’authentification.

2. Créez un partage Azure Files sous votre compte de stockage pour stocker vos profils FSLogix si ce n’est déjà fait.

3. Activez l’authentification Microsoft Entra Kerberos sur Azure Files pour activer l’accès à partir de machines virtuelles jointes à Microsoft Entra.

   • Lors de la configuration des autorisations aux niveaux des répertoires et des fichiers, consultez la liste recommandée d’autorisations pour les profils FSLogix dans Configurer les autorisations de stockage pour les conteneurs de profil.
   • À défaut d’autorisations appropriées au niveau des répertoires, un utilisateur peut supprimer le profil utilisateur ou accéder aux informations personnelles d’un autre utilisateur. Il est important de s’assurer que les utilisateurs disposent d’autorisations appropriées pour éviter toute suppression accidentelle.

Pour accéder aux partages de fichiers Azure à partir d’une machine virtuelle jointe à Microsoft Entra pour des profils FSLogix, vous devez configurer les hôtes de la session. Pour configurer des hôtes de session :

1. Activez la fonctionnalité Microsoft Entra Kerberos à l’aide de l’une des méthodes suivantes.

   • Configurez la stratégie de CSP Intune suivante, et appliquez-la à l’hôte de la session : Kerberos/CloudKerberosTicketRetrievalEnabled.

     Notes

     Les systèmes d’exploitation client Windows multisession ne prennent pas en charge la stratégie CSP, car ils prennent uniquement en charge le catalogue de paramètres. Vous devez donc utiliser l’une des autres méthodes. Découvrez-en plus dans Utilisation d’Azure Virtual Desktop multisession avec Intune.

   • Activez cette stratégie de groupe sur les hôtes de session. Le chemin d’accès va être l’un des suivants, selon la version de Windows que vous utilisez sur vos hôtes de session :

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Créez la valeur de Registre suivante sur l’hôte de la session : reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Lorsque vous utilisez Microsoft Entra ID avec une solution de profil itinérant telle que FSLogix, les clés d’informations d’identification dans le gestionnaire d’informations d’identification doivent appartenir au profil en cours de chargement. Cela vous permet de charger votre profil sur de nombreuses machines virtuelles différentes plutôt que de les limiter à une seule. Pour activer ce paramètre, créez une nouvelle valeur de registre en exécutant la commande suivante :

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Configurer FSLogix sur l’hôte de session

Cette section vous indique comment configurer une machine virtuelle avec FSLogix. Vous devez suivre ces instructions chaque fois que vous configurez un hôte de session. Plusieurs options sont disponibles pour s’assurer que les clés de Registre sont définies sur tous les hôtes de session. Vous pouvez définir ces options dans une image ou configurer une stratégie de groupe.

Pour configurer FSLogix :

1. Mettez à jour ou installez FSLogix sur votre hôte de session, si nécessaire.

   Notes

   Si l’hôte de session est créé à l’aide du service Azure Virtual Desktop, FSLogix doit déjà être préinstallé.

2. Suivez les instructions fournies dans Configurer les paramètres du registre de conteneurs de profils pour créer les valeurs de registre Enabled et VHDLocations. Affectez à VHDLocations la valeur \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Une fois que vous avez installé et configuré FSLogix, vous pouvez tester votre déploiement en vous connectant avec un compte d’utilisateur attribué à un groupe d’applications sur le pool d’hôtes. Le compte d’utilisateur avec lequel vous vous connectez doit avoir l’autorisation d’utiliser le partage de fichiers.

Si l’utilisateur s’est connecté précédemment, il dispose d’un profil local que le service utilisera au cours de cette session. Pour éviter de créer un profil local, créez un compte d’utilisateur à utiliser pour les tests, ou utilisez les méthodes de configuration décrites dans Didacticiel : Configurer le conteneur de profil pour rediriger les profils utilisateurs afin d’activer le paramètre DeleteLocalProfileWhenVHDShouldApply.

Enfin, vérifiez le profil créé dans Azure Files une fois que l’utilisateur s’est correctement connecté :

1. Ouvrez le portail Azure et connectez-vous avec un compte d’administrateur.

2. Dans la barre latérale, sélectionnez Comptes de stockage.

3. Sélectionnez le compte de stockage que vous avez configuré pour votre pool d’hôte de session.

4. Dans la barre latérale, sélectionnez Partages de fichiers.

5. Sélectionnez le partage de fichiers que vous avez configuré pour stocker les profils.

6. Si tout est correctement configuré, vous devriez voir un répertoire dont le nom présente le format suivant : <user SID>_<username>.