Configurer les profils utilisateur FSLogix

  • 5 minutes

Pour offrir la meilleure expérience possible à vos utilisateurs Azure Virtual Desktop, utilisez des profils FSLogix. FSLogix est conçu pour des profils itinérants dans des environnements informatiques distants, tels qu’Azure Virtual Desktop. Les profils utilisateur sont stockés dans des fichiers VHD ou VHDX par utilisateur. Lors de la connexion, ce conteneur de profils est attaché dynamiquement à l’environnement informatique. Le profil utilisateur est immédiatement disponible et apparaît dans le système exactement comme un profil utilisateur natif.

Qu’est-ce que FSLogix ?

FSLogix est un ensemble de solutions qui découple le profil utilisateur local d’un seul bureau Windows et lui permet d’être itinérant entre plusieurs ordinateurs Windows.

Un profil utilisateur contient des éléments de données sur un individu, y compris des informations de configuration telles que les paramètres de bureau, les connexions réseau persistantes et les paramètres de l’application. Un profil utilisateur distant fournit une partition entre les données utilisateur et le système d’exploitation. FSLogix solutions vous permet de :

  • Gérer le contexte utilisateur dans les environnements de bureau mis en pool
  • Réduire les temps de connexion pour les environnements de bureau mis en pool
  • Optimiser les E/S de fichier entre l’hôte de session et le magasin de profils distants

Créer un profil FSLogix pour les utilisateurs de Azure Virtual Desktop

Pour utiliser FSLogix pour séparer les profils utilisateur des machines virtuelles hôtes de session, nous devons configurer Stockage Azure et créer un partage de profil FSLogix. Ces étapes varient en fonction du type de stockage et selon que vous utilisez les services de domaine Microsoft Entra ou les services de domaine Active Directory (AD DS). Les étapes suivantes expliquent comment configurer Azure Files avec Microsoft Entra Domain Services. Les étapes pour AD DS sont les mêmes, à l’exception de la section « Activer l’authentification Microsoft Entra ». Les différences figurent dans cette section.

Créer le compte de stockage

  1. Connectez-vous au Portail Azure.
  2. Recherchez Comptes de stockage à l’aide de la zone de recherche du Portail Azure.
  3. Dans la barre de commandes Comptes de stockage, sélectionnez Créer. La page Créer un compte de stockage s’affiche.
  4. Sous Détails du projet sélectionnez l’Abonnement, puis sélectionnez ou créez un de Groupe de ressources pour contenir vos ressources de stockage.
  5. Sous Détails de l’instance, entrez un nom unique pour votre compte Stockage client.
  6. Sélectionnez la même région que le pool d’hôtes AVD.
  7. Pour les performances, sélectionnez Premium.
  8. Pour le type de compte Premium, sélectionnez Partages de fichiers.
  9. Laissez Redondance définie sur Stockage localement redondant (LRS).
  10. Sélectionnez Révision + Créer pour valider vos entrées, puis sélectionnez Créer.
  11. Patientez jusqu’à la fin du déploiement. Cela peut prendre une minute.
  12. Sélectionnez Accéder à la ressource. La page Comptes de stockage affiche des détails sur votre compte de stockage.

Activer l’authentification Microsoft Entra

Les étapes suivantes expliquent comment activer l’authentification pour les partages de fichiers Azure avec Microsoft Entra Domain Services. Si vous utilisez AD DS, vous devez inscrire votre compte de stockage Azure auprès de AD DS, puis définir les propriétés de domaine requises sur le compte de stockage. Utilisez le module AzFilesHybrid Azure PowerShell sur un appareil joint au domaine de votre AD DS local. L’applet de commande Join-AzStorageAccountForAuth effectue l’équivalent d’une jointure de domaine hors connexion pour le compte de stockage Azure. Pour consulter des instructions détaillées sur l’activation de l’authentification avec AD DS local, consultez l’article documents associés à la fin de ce module.

Activer l’authentification pour les partages de fichiers Azure avec Microsoft Entra Domain Services

  1. Dans le menu compte de stockage, faites défiler jusqu’à Stockage de données, puis sélectionnez Partages de fichiers.
  2. En haut de la page, recherchez Active Directory et sélectionnez Non configuré.
  3. Sous Microsoft Entra Domain Services, sélectionnez Configurer.
  4. Sélectionnez Activer les services de domaine Microsoft Entra pour ce partage de fichiers.
  5. Sélectionnez Enregistrer.
  6. Sélectionnez Enregistrer à nouveau.

Attribuer des rôles pour accéder aux données de stockage

Attribuer un rôle aux administrateurs du contrôleur de domaine Microsoft Entra

Vous devez attribuer des rôles au groupe Administrateurs du contrôleur de domaine Microsoft Entra et à vos utilisateurs Azure Virtual Desktop.

  1. Donnez aux administrateurs la possibilité de modifier les autorisations NTFS en attribuant un rôle de collaborateur élevé pour le partage de fichiers.
  2. Dans le compte de stockage que vous avez créé, sélectionnez Contrôle d’accès (IAM).
  3. Sélectionnez Ajouter>Ajouter une attribution de rôle.
  4. Pour Rôle, sélectionnez Contributeur avec élévation de privilèges de partage de données de fichier de stockage SMB, puis cliquez sur Suivant.
  5. Dans le panneau Membres, vérifiez que Affecter l’accès à est défini sur Utilisateur, groupe ou principal de service.
  6. Cliquez sur Sélectionner les membres.
  7. Cliquez surAdministrateurs AAD DC, puis cliquez sur Sélectionner.
  8. Sélectionnez Révision + affecter.
  9. Sélectionnez Révision + Affecter à nouveau.

Attribuer un rôle aux utilisateurs d’Azure Virtual Desktop

  1. Attribuez un rôle de collaborateur aux utilisateurs afin qu’ils aient l’autorisation de lire et d’écrire les données du fichier dans le partage de fichiers SMB dans lequel les disques virtuels de profil utilisateur sont stockés.
  2. Dans le compte de stockage que vous avez créé, sélectionnez Contrôle d’accès (IAM).
  3. Sélectionnez Ajouter Ajouter > une attribution de rôle.
  4. Pour Rôle, sélectionnezContributeur de partage de données de fichiers de stockage SMB, puis cliquez sur Suivant.
  5. Dans le panneau Membres, vérifiez que Affecter l’accès à est défini sur Utilisateur, groupe ou principal de service.
  6. Cliquez sur Sélectionner les membres.
  7. Cliquez surAdministrateurs AAD DC, puis cliquez sur Sélectionner.
  8. Sélectionnez Révision + affecter.
  9. Sélectionnez Révision + Affecter à nouveau.

Activer FSLogix

Ajoutez une clé de Registre à chaque ordinateur virtuel inscrit au pool hôte. Vous aurez besoin de la clé d’accès au compte de stockage et du chemin d’accès du partage de fichiers.

  1. Dans le menu Démarrer, exécutez RegEdit en tant qu’administrateur.

  2. Accédez à Computer_LOCAL_MACHINE.

  3. Créez une clé pour les machines virtuelles appelés Profils.

  4. Créez une clé de Registre pour stocker le chemin DMB que vous avez créé précédemment. Sous Profils, ajoutez les entrées de type de données suivantes :

    Type Nom Données/valeur
    DWORD Activé 1
    Valeur de chaînes multiples VHDLocations Emplacement du partage de fichiers à partir de fichiers Azure au format de chemin d’accès SMB

  5. Créez une clé de Registre pour activer FSLogix. Sous Profils, ajoutez les entrées de type de données suivantes :

    Type Nom Données/valeur
    DWORD Activé 1

Configurer les autorisations NTFS

Obtenir une clé d’accès au compte de stockage

Vous aurez besoin de la clé d’accès au compte de stockage et du chemin d’accès au partage de fichiers pour configurer les autorisations NTFS.

  1. Dans votre compte de stockage, sous Sécurité + réseau, sélectionnez Clés d’accès.

  2. Sélectionnez afficher les touches.

  3. Copiez la valeur de l’un des champs clés afin de pouvoir l’utiliser par la suite.

Obtenir le chemin d’accès du partage de fichiers.

  1. Dans votre compte de stockage, dans le volet de navigation gauche, faites défiler jusqu’à Stockage de données et sélectionnez Partages de fichiers.
  2. Sélectionnez le partage de fichiers que vous avez créé.
  3. Sous Paramètres, sélectionnez Propriétés.
  4. Copier l’URL.
  5. Convertissez l’URL d’un chemin HTTP en chemin d’accès SMB pour l’utiliser ultérieurement. Par exemple, https://myfslogixstorage.file.core.windows.net/profiles convertit en \\myfslogixstorage.file.core.windows.net\profiles.

Connexion à un hôte de session

  1. Ouvrez une invite de commandes avec élévation de niveau élevé sur l’un des hôtes de session.

  2. Exécutez les commandes suivantes dans lesquelles vous remplacez les valeurs d’espace réservé par le chemin d’accès du partage de fichiers SMB, la clé d’accès au compte de stockage et le nom d’utilisateur principal (UPN) Microsoft Entra de l’utilisateur. L’UPN ressemblerait à kaicarter@contoso.onmicrosoft.com.

    net use Z: [SMB path used in VHDLocations in the registry] /u:Azure\[storage account name] [storage access key]
Icacls Z: /grant [user UPN]:(f)