Membuat kontainer profil dengan Azure Files dan ID Microsoft Entra

Sebelum menyebarkan solusi ini, verifikasi bahwa lingkungan Anda memenuhi persyaratan untuk mengonfigurasi Azure Files dengan autentikasi Microsoft Entra Kerberos.

Saat digunakan untuk profil FSLogix di Azure Virtual Desktop, host sesi tidak perlu memiliki garis pandang jaringan ke pengendali domain (DC). Namun, sistem dengan garis pandang jaringan ke DC diperlukan untuk mengonfigurasi izin pada berbagi Azure Files.

Untuk menyimpan profil FSLogix Anda di berbagi file Azure:

1. Buat akun Azure Storage apabila Anda belum memilikinya.

   Catatan

   Akun Azure Storage Anda tidak dapat mengautentikasi dengan ID Microsoft Entra dan metode kedua seperti Active Directory Domain Services (AD DS) atau Microsoft Entra Domain Services. Anda hanya dapat menggunakan satu metode autentikasi.

2. Buat berbagi Azure Files pada akun penyimpanan Anda untuk menyimpan profil FSLogix apabila Anda belum melakukannya.

3. Aktifkan autentikasi Microsoft Entra Kerberos di Azure Files untuk mengaktifkan akses dari VM yang bergabung dengan Microsoft Entra.

   • Saat mengonfigurasi izin tingkat direktori dan tingkat file, tinjau daftar izin yang direkomendasikan untuk profil FSLogix di Mengonfigurasi izin penyimpanan untuk kontainer profil.
   • Tanpa izin tingkat direktori yang tepat, pengguna dapat menghapus profil pengguna atau mengakses informasi pribadi pengguna yang berbeda. Penting untuk memastikan pengguna memiliki izin yang tepat untuk mencegah terjadinya penghapusan yang tidak disengaja.

Untuk mengakses berbagi file Azure dari VM yang bergabung dengan Microsoft Entra untuk profil FSLogix, Anda harus mengonfigurasi host sesi. Untuk mengonfigurasi host sesi:

1. Aktifkan fungsionalitas Microsoft Entra Kerberos menggunakan salah satu metode berikut.

   • Konfigurasikan CSP Kebijakan Intune ini dan terapkan ke host sesi: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Catatan

     Sistem operasi klien multi-sesi Windows tidak mendukung Policy CSP karena hanya mendukung katalog pengaturan, jadi Anda harus menggunakan salah satu metode lainnya. Pelajari selengkapnya di Menggunakan multi-sesi Azure Virtual Desktop dengan Intune.

   • Aktifkan kebijakan Grup ini pada host sesi. Jalur akan menjadi salah satu hal berikut, tergantung pada versi Windows yang Anda gunakan pada host sesi Anda:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Buat nilai registri berikut pada host sesi: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Saat Anda menggunakan ID Microsoft Entra dengan solusi profil roaming seperti FSLogix, kunci kredensial di Credential Manager harus termasuk dalam profil yang saat ini dimuat. Sehingga akan memungkinkan Anda memuat profil Anda di banyak VM yang berbeda alih-alih terbatas hanya pada satu. Untuk mengaktifkan pengaturan ini, buat nilai registri baru dengan menjalankan perintah berikut:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Konfigurasikan FSLogix pada host sesi

Bagian ini akan menunjukkan cara mengonfigurasi VM dengan FSLogix. Anda harus mengikuti instruksi ini setiap kali mengonfigurasi host sesi. Ada beberapa opsi yang tersedia untuk memastikan kunci registri ditetapkan di semua host sesi. Anda dapat mengatur opsi ini dalam image atau mengonfigurasi kebijakan grup.

Untuk mengonfigurasi FSLogix:

1. Perbarui atau instal FSLogix di host sesi Anda, jika diperlukan.

   Catatan

   Jika host sesi dibuat menggunakan layanan Azure Virtual Desktop, FSLogix seharusnya sudah diinstal sebelumnya.

2. Ikuti petunjuk di Mengonfigurasi pengaturan registri kontainer profil untuk membuat nilai registri Diaktifkan dan VHDLocations. Atur nilai VHDLocations ke \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Setelah Anda menginstal dan mengonfigurasi FSLogix, Anda dapat menguji penyebaran dengan masuk menggunakan akun pengguna yang telah ditetapkan grup aplikasi atau desktop di kumpulan host. Akun pengguna yang Anda masuki harus memiliki izin untuk menggunakan berbagi file.

Jika pengguna telah masuk sebelumnya, mereka akan memiliki profil lokal yang akan digunakan selama sesi ini. Untuk menghindari pembuatan profil lokal, buat akun pengguna baru yang akan digunakan untuk pengujian atau gunakan metode konfigurasi yang dijelaskan dalam Tutorial: Mengonfigurasi Kontainer Profil untuk mengalihkan Profil Pengguna untuk mengaktifkan pengaturan DeleteLocalProfileWhenVHDShouldApply.

Terakhir, verifikasi profil yang dibuat di Azure Files setelah pengguna berhasil masuk:

1. Buka portal Microsoft Azure dan masuk dengan akun administratif.

2. Dari bar samping, pilih Akun penyimpanan.

3. Pilih akun penyimpanan yang Anda konfigurasikan untuk pool host sesi.

4. Dari bilah sisi, pilih Berbagi file.

5. Pilih berbagi file yang Anda konfigurasikan untuk menyimpan profil.

6. Jika semuanya disiapkan dengan benar, Anda akan melihat direktori dengan nama yang diformat seperti ini: <user SID>_<username>.