Profiltároló létrehozása az Azure Files és a Microsoft Entra-azonosító használatával

A megoldás üzembe helyezése előtt ellenőrizze, hogy a környezet megfelel-e az Azure Files Microsoft Entra Kerberos-hitelesítéssel való konfigurálásához szükséges követelményeknek .

Ha az Azure Virtual Desktop FSLogix-profiljaihoz használják, a munkamenet-gazdagépeknek nem kell hálózati látóvonallal rendelkezniük a tartományvezérlőhöz (DC). Az Azure Files-megosztás engedélyeinek konfigurálásához azonban egy olyan rendszerre van szükség, amely hálózati látóvonalat biztosít a tartományvezérlőnek.

Az FSLogix-profilok tárolása Azure-fájlmegosztáson:

1. Hozzon létre egy Azure Storage-fiókot, ha még nem rendelkezik ilyen fiókkal .

   Feljegyzés

   Az Azure Storage-fiók nem hitelesíthető a Microsoft Entra-azonosítóval és egy második módszerrel, például a Active Directory tartományi szolgáltatások (AD DS) vagy a Microsoft Entra Domain Services szolgáltatással. Csak egy hitelesítési módszert használhat.

2. Hozzon létre egy Azure Files-megosztást a tárfiókja alatt az FSLogix-profilok tárolásához, ha még nem tette meg.

3. Engedélyezze a Microsoft Entra Kerberos-hitelesítést az Azure Fileson a Microsoft Entra-hoz csatlakoztatott virtuális gépekről való hozzáférés engedélyezéséhez.

   • A címtár és a fájlszintű engedélyek konfigurálásakor tekintse át az FSLogix-profilok engedélyeinek ajánlott listáját a profiltárolók tárolási engedélyeinek konfigurálása című szakaszban.
   • A megfelelő címtárszintű engedélyek nélkül a felhasználó törölheti a felhasználói profilt, vagy hozzáférhet egy másik felhasználó személyes adataihoz. Fontos, hogy a felhasználók megfelelő engedélyekkel rendelkezzenek a véletlen törlés megakadályozásához.

Az Azure-fájlmegosztások FSLogix-profilokhoz csatlakoztatott Microsoft Entra-beli virtuális gépről való eléréséhez konfigurálnia kell a munkamenet-gazdagépeket. Munkamenet-gazdagépek konfigurálása:

1. Engedélyezze a Microsoft Entra Kerberos funkciót az alábbi módszerek egyikével.

   • Konfigurálja ezt az Intune Policy CSP-t , és alkalmazza a következő munkamenet-gazdagépre: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Feljegyzés

     A Több munkamenetes Windows-ügyfél operációs rendszerei nem támogatják a házirend CSP-t, mivel csak a beállításkatalógust támogatják, ezért a többi módszer egyikét kell használnia. További információ az Azure Virtual Desktop több munkamenetben való használatáról az Intune-nal.

   • Engedélyezze ezt a csoportházirendet munkamenet-gazdagépeken. Az elérési út a munkamenet-gazdagépeken használt Windows-verziótól függően az alábbiak egyike lesz:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Hozza létre a következő beállításjegyzék-értéket a munkamenet-gazdagépen: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Ha a Microsoft Entra ID-t olyan központi profilmegoldással használja, mint az FSLogix, a Credential Manager hitelesítő adatainak a jelenleg betöltött profilhoz kell tartoznia. Ez lehetővé teszi a profil betöltését számos különböző virtuális gépre ahelyett, hogy csak egyre korlátozva lett. A beállítás engedélyezéséhez hozzon létre egy új beállításjegyzék-értéket a következő parancs futtatásával:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Az FSLogix konfigurálása a munkamenet-gazdagépen

Ez a szakasz bemutatja, hogyan konfigurálhatók a virtuális gépek az FSLogixszal. Ezeket az utasításokat mindig követnie kell, amikor munkamenetgazdát konfigurál. Számos lehetőség áll rendelkezésre annak biztosítására, hogy beállításkulcsok beállítása mindegyik munkamenetgazdán megtörténjen. Ezeket a beállításokat megadhatja egy rendszerképben, vagy konfigurálhat csoportszabályzatot.

Az FSLogix konfigurálása:

1. Szükség esetén frissítse vagy telepítse az FSLogixot a munkamenet-gazdagépen.

   Feljegyzés

   Ha a munkamenet-gazdagép az Azure Virtual Desktop szolgáltatással jön létre, az FSLogix-ot már előre telepíteni kell.

2. Kövesse a Profiltároló beállításjegyzék-beállításainak konfigurálása című témakör utasításait az Engedélyezett és a VHDLocations beállításjegyzék-értékek létrehozásához. Állítsa a VHDLocations értékét a következőre\\<Storage-account-name>.file.core.windows.net\<file-share-name>: .

Miután telepítette és konfigurálta az FSLogixot, tesztelheti az üzembe helyezést egy olyan felhasználói fiókkal való bejelentkezéssel, amely a gazdagépkészlet egyik alkalmazáscsoportjához van rendelve. A bejelentkezett felhasználói fióknak engedéllyel kell rendelkeznie a fájlmegosztás használatához.

Ha a felhasználó korábban már bejelentkezett, egy meglévő helyi profillal fog rendelkezni, amelyet a szolgáltatás a munkamenet során fog használni. A helyi profilok létrehozásának elkerülése érdekében hozzon létre egy új felhasználói fiókot a tesztekhez, vagy használja az oktatóanyagban ismertetett konfigurációs módszereket: A profiltároló konfigurálása felhasználói profilok átirányításához a DeleteLocalProfileWhenVHDShouldApply beállítás engedélyezéséhez.

Végül ellenőrizze az Azure Filesban létrehozott profilt, miután a felhasználó sikeresen bejelentkezett:

1. Nyissa meg az Azure Portalt, és jelentkezzen be egy rendszergazdai fiókkal.

2. Az oldalsávon válassza a Tárfiókok lehetőséget.

3. Válassza ki a munkamenet-gazdagépkészlethez konfigurált tárfiókot.

4. Az oldalsávon válassza a Fájlmegosztások lehetőséget.

5. Válassza ki a profilok tárolására konfigurált fájlmegosztást.

6. Ha minden megfelelően van beállítva, egy ilyen formátumú könyvtárat kell látnia: <user SID>_<username>.