Activer la sécurité des données
Un profil utilisateur est une collection de configurations que l’utilisateur ou l’administrateur a effectuées pour représenter l’état d’un système. Différents composants système sont lier au profil d’un utilisateur. Ces composants incluent des applications, des entrées de Registre et d’autres entrées personnalisées.
Windows 10 offre plusieurs types de profils utilisateur. Le tableau suivant décrit les quatre types traditionnels de profils Windows.
| Type de profil | Description |
|---|---|
| Profil utilisateur local | Un profil utilisateur local est stocké sur le disque de l’appareil. Si un autre appareil est utilisé, la personnalisation n’est pas synchronisée entre les appareils. |
| Profil utilisateur itinérant | Un profil utilisateur itinérant est une copie du profil utilisateur local, stocké dans un dossier partagé. Toutes les modifications apportées localement à un profil itinérant sont synchronisées avec le dossier partagé SMB (Server Message Block) du serveur de fichiers lorsque l’utilisateur se déconnecte. Si l’utilisateur se connecte à un autre appareil, les personnalisations suivent l’utilisateur lorsque le profil itinérant est téléchargé sur le nouveau système. Cependant, il n'est pas possible d'itinérer tous les paramètres de Windows et des applications. Une pénalité de performance et de maintenance est payée pour la flexibilité. L’ajout de conteneurs de profils FSLogix corrige les lacunes des profils itinérants traditionnels. La section suivante décrit les conteneurs de profil FSLogix. |
| Profil obligatoire | Un profil obligatoire est un profil utilisateur itinérant qu’un administrateur a préconfiguré pour spécifier des paramètres pour les utilisateurs. Avec les profils utilisateur obligatoires, un utilisateur peut modifier son bureau, mais les modifications ne sont pas enregistrées lorsque l'utilisateur se déconnecte. La prochaine fois que l'utilisateur se connecte, le profil utilisateur obligatoire que l'administrateur a créé est téléchargé. Les profils obligatoires sont généralement utilisés dans un environnement kiosque. |
| Profil temporaire | Un profil de sécurité d’échec est créé lorsque le profil itinérant d’un utilisateur rencontre des problèmes de chargement. Il est ignoré lors de la déconnexion. |
Conteneurs de profil FSLogix
Dans un environnement Azure Virtual Desktop, nous recommandons les conteneurs de profil FSLogix pour stocker l'ensemble du profil utilisateur. Les conteneurs de profils ne sont pas une solution de gestion de profils traditionnelle, mais sont une solution de profil distant complète pour les environnements non persistants.
Les conteneurs de profil redirigent l’ensemble du profil utilisateur vers un emplacement distant. La configuration du conteneur de profils définit comment et où le profil est redirigé. Lorsqu’un conteneur de profils est utilisé avec Azure Virtual Desktop, il peut être stocké dans un compte de stockage Azure.
Lorsque vous vous connectez à Azure Virtual Desktop, un conteneur (disque dur virtuel) d’un profil utilisateur s’attache dynamiquement à la machine virtuelle à laquelle un utilisateur est affecté. FSLogix utilise une technologie avancée de pilote de filtre pour permettre au profil utilisateur d’être immédiatement disponible dans le système, exactement comme un profil utilisateur local.
FSLogix aborde les principaux problèmes liés aux profils non persistants. En résumé, FSLogix permet aux profils locaux d’agir comme des profils itinérants et offre les avantages clés suivants :
- Améliorations des performances. Les conteneurs de profil FSLogix offrent des performances élevées et répondent au mode d'échange en cache bloqué historique.
- Prise en charge de Microsoft OneDrive Entreprise, y compris fichiers à la demande. Auparavant, cette prise en charge n’était pas incluse dans les environnements virtualisés non persistants.
- Dossiers SMB. FSLogix permet d’étendre les profils utilisateur pour approvisionner des volumes SMB de niveau entreprise à l’aide du service Azure NetApp Files. Azure NetApp Files prend en charge SMB 2.1 et SMB 3.1.
Conteneurs de profil FSLogix avec Azure Files
Azure Files prend en charge l’authentification basée sur l’identité SMB à l’aide des services de domaine Active Directory (AD DS) locaux avec Microsoft Entra Domain Services. Azure Files applique des protocoles Kerberos pour l’authentification auprès d’AD DS local ou de Microsoft Entra Domain Services. L’activation de l’accès en fonction de l’identité pour vos partages de fichiers Azure vous permet de remplacer les serveurs de fichiers locaux existants par des partages de fichiers Azure tout en conservant votre service d’annuaire existant.
Les partages de fichiers sont hébergés dans une machine virtuelle Azure qui réside sur le réseau virtuel de votre pool d’hôtes Azure Virtual Desktop. La machine virtuelle qui est le partage de fichiers est jointe au domaine d’Active Directory sur le réseau virtuel. Une fois l’ordinateur virtuel joint à un domaine, il peut agir comme un partage de conteneur de profil FSLogix pour un pool d’hôtes.
Nous vous recommandons vivement d’utiliser Azure Files plutôt que des partages de fichiers.
Sécurisez vos données Azure Virtual Desktop à l’aide de Azure Disk Encryption
Tous les fichiers qu’Azure Virtual Desktop utilise dans Azure NetApp Files sont chiffrés par le biais de la norme FIPS FILES (Federal Information Processing Standards Publications) 140-2. Le service Azure NetApp Files gère toutes les clés et génère une clé de chiffrement de données XTS-AES-256 unique pour chaque volume.
Azure Virtual Desktop utilise une clé de chiffrement pour chiffrer et protéger toutes les clés de volume. Ces clés de chiffrement ne sont jamais disponibles ou rapportées dans un format non chiffré. Les clés sont également supprimées immédiatement lorsqu’un volume est supprimé.
Remarque
La prise en charge des clés gérées par le client (Bring Your Own Key) via Azure Dedicated HSM est disponible. Vérifiez la disponibilité dans votre région.