Menyiapkan Kontainer Profil FSLogix dengan Azure Files dan Active Directory Domain Services atau Microsoft Entra Domain Services

Artikel ini akan menunjukkan kepada Anda cara menyiapkan Kontainer Profil FSLogix dengan Azure Files saat komputer virtual (VM) host sesi Anda digabungkan ke domain Active Directory Domain Services (AD DS) atau domain terkelola Microsoft Entra Domain Services.

Prasyarat

Anda akan memerlukan item berikut:

• Kumpulan host tempat host sesi digabungkan ke domain AD DS atau domain terkelola Microsoft Entra Domain Services dan pengguna ditetapkan.
• Kelompok keamanan di domain Anda yang berisi pengguna yang akan menggunakan Kontainer Profil. Jika Anda menggunakan AD DS, ini harus disinkronkan ke ID Microsoft Entra.
• Izin pada langganan Azure Anda untuk membuat akun penyimpanan dan menambahkan penetapan peran.
• Akun domain untuk menggabungkan komputer ke domain dan membuka prompt PowerShell yang ditinggikan.
• ID langganan Azure tempat akun penyimpanan Anda akan berada.
• Komputer yang digabungkan ke domain Anda untuk menginstal dan menjalankan modul PowerShell yang akan menggabungkan akun penyimpanan ke domain Anda. Perangkat ini harus menjalankan Versi Windows yang didukung. Atau Anda dapat menggunakan host sesi.

Penting

Jika pengguna sebelumnya telah masuk ke host sesi yang ingin Anda gunakan, profil lokal akan dibuat untuk mereka dan harus dihapus terlebih dahulu oleh administrator agar profil mereka disimpan di Kontainer Profil.

Menyiapkan akun penyimpanan untuk Kontainer Profil

Untuk menyiapkan akun penyimpanan:

1. Masuk ke portal Azure.

2. Cari Akun penyimpanan di bilah pencarian.

3. Pilih + Buat.

4. Masukkan informasi berikut ke dalam tab Dasar pada halaman Buat akun penyimpanan:

   • Buat grup sumber daya baru atau pilih yang sudah ada untuk menyimpan akun penyimpanan.
   • Masukkan nama yang unik untuk akun penyimpanan Anda. Nama akun penyimpanan harus 3 sampai 24 karakter.
   • Untuk Wilayah, sebaiknya pilih lokasi yang sama dengan kumpulan host Azure Virtual Desktop.
   • Dalam Performa, pilih Standar ke minimum.
   • Jika Anda memilih Performa premium, atur Jenis akun premium ke Berbagi file.
   • Untuk Redundansi, pilih Penyimpanan redundan lokal (LRS) ke minimum.
   • Default di tab yang tersisa tidak perlu diubah.

   Tip

   Organisasi Anda mungkin memiliki persyaratan untuk mengubah default ini:

   • Apakah Anda harus memilih Premium atau tidak tergantung pada persyaratan IOPS dan latensi Anda. Untuk informasi selengkapnya, lihat Opsi penyimpanan untuk Kontainer Profil FSLogix di Azure Virtual Desktop.
   • Pada tab Tingkat Lanjut, Aktifkan akses kunci akun penyimpanan harus dibiarkan diaktifkan.
   • Untuk informasi selengkapnya tentang opsi konfigurasi yang tersisa, lihat Merencanakan penyebaran Azure Files.

5. Pilih Tinjau + buat. Ulas parameter dan nilai yang akan digunakan, lalu pilih Buat.

6. Setelah akun penyimpanan telah dibuat, pilih Buka sumber daya.

7. Di bagian Penyimpanan data, pilih Berbagi.

8. Pilih + Berbagi file.

9. Masukkan Nama, seperti profil, lalu untuk tingkat pilih Transaksi yang dioptimalkan.

Menggabungkan akun penyimpanan Anda ke Active Directory

Untuk menggunakan akun Direktori Aktif untuk izin berbagi berbagi, Anda perlu mengaktifkan AD DS atau Microsoft Entra Domain Services sebagai sumber. Proses ini menggabungkan akun penyimpanan Anda ke domain, mewakilinya sebagai akun komputer. Pilih tab yang relevan di bawah ini untuk skenario Anda dan ikuti langkahnya.

AD DS

1. Masuk ke komputer yang bergabung ke domain Active Directory Domain Services Anda. Atau masuk ke salah satu host sesi Anda.

2. Unduh dan ekstrak versi terbaru AzFilesHybrid dari sampel Azure Files repositori GitHub. Catat folder tempat Anda mengekstrak file tersebut.

3. Buka prompt PowerShell yang ditinggikan dan ubah ke direktori tempat Anda mengekstrak file.

4. Jalankan perintah berikut untuk menambahkan modul AzFilesHybrid ke direktori modul PowerShell pengguna Anda:

   .\CopyToPSPath.ps1
   

5. Impor modul AzFilesHybrid dengan menjalankan perintah berikut:

   Import-Module -Name AzFilesHybrid
   

   Penting

   Modul ini memerlukan Galeri PowerShell dan Azure PowerShell. Anda mungkin diminta untuk menginstal ini jika belum diinstal atau perlu diperbarui. Jika Anda diminta, maka instal, lalu tutup semua instans PowerShell. Buka kembali prompt PowerShell yang ditinggikan dan impor modul AzFilesHybrid lagi sebelum melanjutkan.

6. Masuk ke Azure dengan menjalankan perintah berikut. Anda harus menggunakan akun yang memiliki salah satu peran kontrol akses berbasis peran (RBAC) berikut:

   • Pemilik akun penyimpanan
   • Pemilik
   • Kontributor

   Connect-AzAccount
   

   Tip

   Jika akun Azure Anda memiliki akses ke beberapa penyewa dan/atau langganan, Anda harus memilih langganan yang benar dengan mengatur konteks Anda. Untuk informasi selengkapnya, lihat objek konteks Azure PowerShell

7. Gabungkan akun penyimpanan ke domain Anda dengan menjalankan perintah di bawah ini, mengganti nilai $subscriptionId, $resourceGroupName, dan $storageAccountName dengan nilai Anda. Anda juga dapat menambahkan parameter -OrganizationalUnitDistinguishedName untuk menentukan Unit Organisasi (OU) untuk menempatkan akun komputer.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Untuk memverifikasi bahwa akun penyimpanan telah bergabung dengan domain Anda, jalankan perintah di bawah ini dan tinjau output, ganti nilai $resourceGroupName dan $storageAccountName dengan nilai Anda:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Penting

Jika domain Anda memberlakukan kedaluwarsa kata sandi, Anda harus memperbarui kata sandi sebelum kedaluwarsa untuk mencegah kegagalan autentikasi saat mengakses berbagi Azure. Untuk informasi selengkapnya, lihat Perbarui kata sandi identitas akun penyimpanan Anda di Active Directory Domain Services untuk detailnya.

Microsoft Entra Domain Services

1. Dari portal Microsoft Azure, buka akun penyimpanan yang Anda buat sebelumnya.

2. Di bagian Penyimpanan data, pilih Berbagi.

3. Di bagian utama halaman, di samping Active Directory, pilih Tidak dikonfigurasi.

4. Dalam kotak untuk Microsoft Entra Domain Services, pilih Siapkan.

5. Centang kotak untuk Mengaktifkan Microsoft Entra Domain Services untuk berbagi file ini, lalu pilih Simpan. Unit Organisasi (OU) yang disebut AzureFilesConfig akan dibuat di akar domain Anda dan akun pengguna bernama sama dengan akun penyimpanan akan dibuat di unit organisasi tersebut. Akun ini akan digunakan sebagai akun layanan Azure Files.

Tetapkan peran RBAC kepada pengguna

Pengguna yang perlu menyimpan profil di berbagi Anda akan memerlukan izin untuk mengaksesnya. Untuk melakukan ini, Anda harus menetapkan setiap pengguna peran Kontributor Berbagi SMB Data File Penyimpanan.

Untuk menetapkan peran kepada pengguna:

1. Dari portal Microsoft Azure, telusuri ke akun penyimpanan, lalu ke berbagi file yang Anda buat sebelumnya.

2. Pilih Kontrol Akses (IAM) .

3. Pilih tombol + Tambahkan, lalu pilih Tambahkan penetapan peran dari menu drop-down.

4. Pilih peran Kontributor Berbagi SMB Data File Penyimpanan dan pilih Berikutnya.

5. Pada tab Anggota, pilih Pengguna, grup, atau perwakilan layanan, lalu pilih +Pilih anggota. Di bilah pencarian, cari dan pilih grup keamanan yang berisi pengguna yang akan menggunakan Kontainer Profil.

6. Pilih Tinjau + tetapkan untuk menyelesaikan penugasan.

Setel izin NTFS

Selanjutnya, Anda harus mengatur izin NTFS pada folder yang mengharuskan Anda untuk mendapatkan kunci akses untuk akun Penyimpanan Anda.

Untuk mendapatkan kunci akses Akun penyimpanan:

1. Dari portal Microsoft Azure, cari dan pilih Akun penyimpanan di bilah pencarian.

2. Dari daftar akun penyimpanan, pilih akun yang Anda aktifkan Active Directory Domain Services atau Microsoft Entra Domain Services sebagai sumber identitas dan tetapkan peran RBAC untuk di bagian sebelumnya.

3. Di Keamanan + jaringan, pilih Kunci akses, lalu perlihatkan dan salin kunci dari key1.

Untuk mengatur izin NTFS yang benar pada folder:

1. Masuk ke host sesi yang merupakan bagian dari kumpulan host Anda.

2. Buka prompt PowerShell yang ditinggikan dan jalankan perintah di bawah ini untuk memetakan akun penyimpanan sebagai drive di host sesi Anda. Drive yang dipetakan tidak akan ditampilkan di File Explorer, tetapi dapat dilihat dengan perintah net use. Ini agar Anda dapat mengatur izin pada berbagi.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Ganti <desired-drive-letter> dengan huruf kandar pilihan Anda (misalnya, y:).
   • Ganti kedua instans <storage-account-name> dengan nama akun penyimpanan yang Anda tentukan sebelumnya.
   • Ganti <share-name> dengan nama layanan yang Anda buat sebelumnya.
   • Ganti <storage-account-key> dengan kunci akun penyimpanan dari Azure.

   Contohnya:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Jalankan perintah berikut untuk mengatur izin berbagi yang memungkinkan pengguna Azure Virtual Desktop Anda membuat profil mereka sendiri sambil memblokir akses ke profil pengguna lain. Anda harus menggunakan grup keamanan Active Directory yang berisi pengguna yang ingin Anda gunakan Kontainer Profil. Dalam perintah di bawah ini, ganti <mounted-drive-letter> dengan huruf drive yang Anda gunakan untuk memetakan drive dan <DOMAIN\GroupName> dengan domain dan sAMAccountName dari grup Direktori Aktif yang akan memerlukan akses ke berbagi. Anda juga dapat menentukan nama prinsipal pengguna (UPN) pengguna.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Contohnya:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Mengonfigurasi host sesi untuk menggunakan Kontainer Profil

Untuk menggunakan Kontainer Profil, Anda harus memastikan FSLogix Apps diinstal pada VM host sesi Anda. FSLogix Apps telah diinstal sebelumnya dalam sistem operasi multi-sesi Windows 10 Enterprise dan Windows 11 Enterprise multi-sesi, tetapi Anda masih harus mengikuti langkah-langkah di bawah ini karena mungkin tidak menginstal versi terbaru. Jika Anda menggunakan gambar kustom, Anda dapat menginstal FSLogix Apps di gambar Anda.

Untuk mengonfigurasi Kontainer Profil, kami menyarankan Anda gunakan Preferensi Kebijakan Grup untuk mengatur kunci dan nilai registri dalam skala besar di semua host sesi Anda. Anda juga dapat mengaturnya dalam gambar kustom Anda.

Untuk mengonfigurasi Kontainer Profil pada VM host sesi Anda:

1. Masuk ke mesin virtual yang digunakan untuk membuat gambar kustom atau mesin virtual host sesi dari kumpulan host Anda.

2. Jika Anda perlu menginstal atau memperbarui FSLogix Apps, unduh versi terbaru FSLogix dan instal dengan menjalankan FSLogixAppsSetup.exe lalu ikuti instruksi dalam wizard penyiapan. Untuk detail selengkapnya tentang proses penginstalan, termasuk penyesuaian dan penginstalan tanpa pengawasan, lihat Unduh dan Instal FSLogix.

3. Buka prompt PowerShell yang ditinggikan dan jalankan perintah berikut, ganti \\<storage-account-name>.file.core.windows.net\<share-name> dengan jalur UNC ke akun penyimpanan yang Anda buat sebelumnya. Perintah ini mengaktifkan Kontainer Profil dan mengonfigurasi lokasi berbagi.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Mulai ulang mesin virtual yang digunakan untuk membuat gambar kustom Anda atau mesin virtual host sesi. Anda harus mengulangi langkah-langkah ini untuk VM host sesi yang tersisa.

Anda sekarang telah menyelesaikan pengaturan Kontainer Profil. Jika Anda menginstal Kontainer Profil di gambar kustom, Anda harus menyelesaikan pembuatan gambar kustom. Untuk informasi selengkapnya, ikuti langkah-langkah dalam Membuat gambar kustom di Azure dari bagian Mengambil snapshot akhir dan seterusnya.

Validasi pembuatan profil

Setelah menginstal dan mengonfigurasi Kontainer Profil, Anda dapat menguji penyebaran dengan masuk dengan akun pengguna yang telah ditetapkan grup aplikasi atau desktop di kumpulan host.

Jika pengguna telah masuk sebelumnya, mereka akan memiliki profil lokal yang akan digunakan selama sesi ini. Hapus profil lokal terlebih dahulu atau buat akun pengguna baru untuk digunakan untuk pengujian.

Pengguna dapat memeriksa apakah Kontainer Profil disiapkan dengan mengikuti langkah-langkah di bawah ini:

1. Masuk ke Azure Virtual Desktop sebagai pengguna uji.

2. Saat pengguna masuk, pesan "Harap tunggu FSLogix Apps Services" akan muncul sebagai bagian dari proses masuk, sebelum mencapai desktop.

Administrator dapat memeriksa folder profil telah dibuat dengan mengikuti langkah-langkah di bawah ini:

1. Buka portal Microsoft Azure.

2. Buka akun penyimpanan yang Anda buat sebelumnya.

3. Buka Penyimpanan data di akun penyimpanan Anda, lalu pilih Berbagi.

4. Buka berbagi Anda dan pastikan folder profil pengguna yang Anda buat ada di sana.

Langkah berikutnya

Anda dapat menemukan informasi lebih rinci tentang konsep yang terkait dengan kontainer profil FSlogix di Manajemen profil pengguna untuk Azure Virtual Desktop dengan kontainer profil FSLogix.