Creare un contenitore di profili con id File di Azure e Microsoft Entra

Prima di distribuire questa soluzione, verificare che l'ambiente soddisfi i requisiti per configurare File di Azure con l'autenticazione Kerberos di Microsoft Entra.

Quando vengono usati per i profili FSLogix in Desktop virtuale Azure, gli host di sessione non devono avere la linea di rete per il controller di dominio (DC). Tuttavia, per configurare le autorizzazioni per la condivisione di File di Azure è necessario un sistema con rete line-of-sight per il controller di dominio.

Per archiviare i profili FSLogix in una condivisione file di Azure:

1. Creare un account Archiviazione di Azure se non ne è già disponibile uno.

   Nota

   L'account Archiviazione di Azure non può eseguire l'autenticazione sia con Microsoft Entra ID che con un secondo metodo, ad esempio Dominio di Active Directory Services (AD DS) o Microsoft Entra Domain Services. È possibile usare un solo metodo di autenticazione.

2. Creare una condivisione File di Azure con l'account di archiviazione per archiviare i profili FSLogix, se non è già stato fatto.

3. Abilitare l'autenticazione Kerberos di Microsoft Entra in File di Azure per abilitare l'accesso dalle macchine virtuali aggiunte a Microsoft Entra.

   • Quando si configurano le autorizzazioni a livello di directory e file, esaminare l'elenco consigliato di autorizzazioni per i profili FSLogix in Configurare le autorizzazioni di archiviazione per i contenitori del profilo.
   • Senza autorizzazioni a livello di directory appropriate, un utente può eliminare il profilo utente o accedere alle informazioni personali di un utente diverso. È importante assicurarsi che gli utenti dispongano delle autorizzazioni appropriate per evitare che si verifichino eliminazioni accidentali.

Per accedere alle condivisioni file di Azure da una macchina virtuale aggiunta a Microsoft Entra per i profili FSLogix, è necessario configurare gli host di sessione. Per configurare gli host di sessione:

1. Abilitare la funzionalità Kerberos di Microsoft Entra usando uno dei metodi seguenti.

   • Configurare il provider di servizi di configurazione criteri di Intune e applicarlo all'host sessione: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Nota

     I sistemi operativi client windows multisessione non supportano Il provider di servizi di configurazione dei criteri perché supportano solo il catalogo delle impostazioni, quindi è necessario usare uno degli altri metodi. Per altre informazioni, vedere Uso di Desktop virtuale Azure multisessione con Intune.

   • Abilitare questo criterio di gruppo sugli host di sessione. Il percorso sarà uno dei seguenti, a seconda della versione di Windows usata negli host di sessione:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Creare il valore del Registro di sistema seguente nell'host di sessione: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Quando si usa Microsoft Entra ID con una soluzione di profilo mobile come FSLogix, le chiavi delle credenziali in Gestione credenziali devono appartenere al profilo attualmente in fase di caricamento. In questo modo è possibile caricare il profilo in molte macchine virtuali diverse invece di limitarsi a una sola. Per abilitare questa impostazione, creare un nuovo valore del Registro di sistema eseguendo il comando seguente:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Configurare FSLogix nell'host di sessione

Questa sezione illustra come configurare una macchina virtuale con FSLogix. È necessario seguire queste istruzioni ogni volta che si configura un host sessione. Per garantire che le chiavi del Registro di sistema siano impostate in tutti gli host sessione sono disponibili diverse opzioni. È possibile impostare queste opzioni in un'immagine oppure configurare criteri di gruppo.

Per configurare FSLogix:

1. Aggiornare o installare FSLogix nell'host di sessione, se necessario.

   Nota

   Se l'host di sessione viene creato usando il servizio Desktop virtuale Azure, FSLogix deve essere già preinstallato.

2. Seguire le istruzioni in Configurare le impostazioni del registro contenitori del profilo per creare i valori del Registro di sistema Enabled e VHDLocations . Impostare il valore di VHDLocations su \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Dopo aver installato e configurato FSLogix, è possibile testare la distribuzione accedendo con un account utente assegnato a un gruppo di applicazioni nel pool di host. L'account utente con cui si esegue l'accesso deve avere l'autorizzazione per usare la condivisione file.

Se l'utente ha eseguito l'accesso in precedenza, avrà un profilo locale esistente che verrà usato dal servizio durante questa sessione. Per evitare di creare un profilo locale, creare un nuovo account utente da usare per i test o usare i metodi di configurazione descritti in Esercitazione: Configurare il contenitore di profili per reindirizzare i profili utente per abilitare l'impostazione DeleteLocalProfileWhenVHDShouldApply .

Infine, verificare il profilo creato in File di Azure dopo che l'utente ha eseguito l'accesso:

1. Aprire il portale di Azure e accedere con un account amministrativo.

2. Nella barra laterale selezionare Archiviazione account.

3. Selezionare l'account di archiviazione configurato per il pool di host di sessione.

4. Nella barra laterale selezionare Condivisioni file.

5. Selezionare la condivisione file configurata per archiviare i profili.

6. Se tutto è configurato correttamente, dovrebbe essere visualizzata una directory con un nome formattato come il seguente: <user SID>_<username>.