Configurare il contenitore del profilo FSLogix con File di Azure e servizi di Dominio di Active Directory o Servizi di dominio Microsoft Entra

Questo articolo illustra come configurare il contenitore del profilo FSLogix con File di Azure quando le macchine virtuali dell'host di sessione vengono aggiunte a un dominio di Dominio di Active Directory Services (AD DS) o a un dominio gestito di Microsoft Entra Domain Services.

Prerequisiti

È necessario disporre di quanto segue:

• Pool di host in cui gli host di sessione vengono aggiunti a un dominio di Active Directory Domain Services o a un dominio gestito di Microsoft Entra Domain Services e agli utenti vengono assegnati.
• Gruppo di sicurezza nel dominio che contiene gli utenti che useranno Il contenitore profili. Se si usa Active Directory Domain Services, questo deve essere sincronizzato con Microsoft Entra ID.
• Autorizzazione per la sottoscrizione di Azure per creare un account di archiviazione e aggiungere assegnazioni di ruolo.
• Un account di dominio per aggiungere computer al dominio e aprire un prompt di PowerShell con privilegi elevati.
• ID sottoscrizione della sottoscrizione di Azure in cui si troverà l'account di archiviazione.
• Un computer aggiunto al dominio per l'installazione e l'esecuzione di moduli di PowerShell che aggiungeranno un account di archiviazione al dominio. Questo dispositivo dovrà eseguire una versione supportata di Windows. In alternativa, è possibile usare un host di sessione.

Importante

Se gli utenti hanno eseguito l'accesso in precedenza agli host di sessione che si desidera usare, i profili locali saranno stati creati per loro e devono essere eliminati prima da un amministratore per l'archiviazione del profilo in un contenitore di profili.

Configurare un account di archiviazione per il contenitore del profilo

Per configurare un account di archiviazione:

1. Accedere al portale di Azure.

2. Cercare Archiviazione account nella barra di ricerca.

3. Seleziona + Crea.

4. Immettere le informazioni seguenti nella scheda Informazioni di base nella pagina Crea account di archiviazione:

   • Creare un nuovo gruppo di risorse o selezionarne uno esistente in cui archiviare l'account di archiviazione.
   • Immettere un nome univoco per l'account di archiviazione. Questo nome dell'account di archiviazione deve essere compreso tra 3 e 24 caratteri.
   • Per Area, è consigliabile scegliere la stessa località del pool di host di Desktop virtuale Azure.
   • Per Prestazioni selezionare Standard come minimo.
   • Se si seleziona Prestazioni Premium, impostare il tipo di account Premium su Condivisioni file.
   • Per Ridondanza selezionare Archiviazione con ridondanza locale (LRS) come minimo.
   • Non è necessario modificare le impostazioni predefinite nelle schede rimanenti.

   Suggerimento

   L'organizzazione potrebbe avere requisiti per modificare queste impostazioni predefinite:

   • La scelta di Premium dipende dai requisiti di IOPS e latenza. Per altre informazioni, vedere Archiviazione opzioni per i contenitori di profili FSLogix in Desktop virtuale Azure.
   • Nella scheda Avanzate abilitare l'accesso alla chiave dell'account di archiviazione deve essere abilitato.
   • Per altre informazioni sulle opzioni di configurazione rimanenti, vedere Pianificazione di una distribuzione File di Azure.

5. Selezionare Rivedi e crea. Esaminare i parametri e i valori che verranno usati, quindi selezionare Crea.

6. Dopo aver creato l'account di archiviazione, selezionare Vai alla risorsa.

7. Nella sezione Archiviazione dati selezionare Condivisioni file.

8. Selezionare + Condivisione file.

9. Immettere un nome, ad esempio i profili, quindi per il livello selezionare Ottimizzato per la transazione.

Aggiungere l'account di archiviazione ad Active Directory

Per usare gli account Active Directory per le autorizzazioni di condivisione della condivisione file, è necessario abilitare Active Directory Domain Services o Microsoft Entra Domain Services come origine. Questo processo aggiunge l'account di archiviazione a un dominio, che lo rappresenta come account computer. Selezionare la scheda pertinente seguente per lo scenario e seguire la procedura.

Active Directory Domain Services

1. Accedere a un computer aggiunto al dominio di Active Directory Domain Services. In alternativa, accedere a uno degli host di sessione.

2. Scaricare ed estrarre la versione più recente di AzFilesHybrid dal repository GitHub degli esempi File di Azure. Prendere nota della cartella in cui estrarre i file.

3. Aprire un prompt di PowerShell con privilegi elevati e passare alla directory in cui sono stati estratti i file.

4. Eseguire il comando seguente per aggiungere il AzFilesHybrid modulo alla directory dei moduli di PowerShell dell'utente:

   .\CopyToPSPath.ps1
   

5. Importare il AzFilesHybrid modulo eseguendo il comando seguente:

   Import-Module -Name AzFilesHybrid
   

   Importante

   Questo modulo richiede PowerShell Gallery e Azure PowerShell. Potrebbe essere richiesto di installarli se non sono già installati o se richiedono l'aggiornamento. Se vengono richiesti, installarli, chiudere tutte le istanze di PowerShell. Riaprire un prompt di PowerShell con privilegi elevati e importare di nuovo il AzFilesHybrid modulo prima di continuare.

6. Accedere ad Azure eseguendo il comando seguente. Sarà necessario usare un account con uno dei ruoli di controllo degli accessi in base al ruolo seguenti:

   • Archiviazione proprietario dell'account
   • Proprietario
   • Collaboratore

   Connect-AzAccount
   

   Suggerimento

   Se l'account Azure ha accesso a più tenant e/o sottoscrizioni, è necessario selezionare la sottoscrizione corretta impostando il contesto. Per altre informazioni, vedere Oggetti contesto di Azure PowerShell

7. Aggiungere l'account di archiviazione al dominio eseguendo i comandi seguenti, sostituendo i valori per $subscriptionId, $resourceGroupNamee $storageAccountName con i valori. È anche possibile aggiungere il parametro -OrganizationalUnitDistinguishedName per specificare un'unità organizzativa in cui inserire l'account del computer.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Per verificare che l'account di archiviazione abbia aggiunto il dominio, eseguire i comandi seguenti ed esaminare l'output, sostituendo i valori per $resourceGroupName e $storageAccountName con i valori:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Importante

Se il dominio applica la scadenza della password, è necessario aggiornare la password prima della scadenza per evitare errori di autenticazione durante l'accesso alle condivisioni file di Azure. Per altre informazioni, vedere Aggiornare la password dell'identità dell'account di archiviazione in Active Directory Domain Services per informazioni dettagliate.

Microsoft Entra Domain Services

1. Dal portale di Azure aprire l'account di archiviazione creato in precedenza.

2. Nella sezione Archiviazione dati selezionare Condivisioni file.

3. Nella sezione principale della pagina, accanto ad Active Directory, selezionare Non configurato.

4. Nella casella per Servizi di dominio Microsoft Entra selezionare Configura.

5. Selezionare la casella Abilita Microsoft Entra Domain Services per questa condivisione file e quindi selezionare Salva. Un'unità organizzativa denominata AzureFilesConfig verrà creata nella radice del dominio e verrà creato un account utente con lo stesso nome dell'account di archiviazione in tale unità organizzativa. Questo account verrà usato come account del servizio File di Azure.

Assegnare il ruolo controllo degli accessi in base al ruolo agli utenti

Gli utenti che devono archiviare i profili nella condivisione file dovranno disporre dell'autorizzazione per accedervi. A tale scopo, è necessario assegnare a ogni utente il ruolo Collaboratore condivisione SMB dati file Archiviazione.

Per assegnare agli utenti il ruolo:

1. Dal portale di Azure passare all'account di archiviazione e quindi alla condivisione file creata in precedenza.

2. Seleziona Controllo di accesso (IAM).

3. Selezionare + Aggiungi, quindi selezionare Aggiungi assegnazione di ruolo dal menu a discesa.

4. Selezionare il ruolo Archiviazione Collaboratore condivisione SMB dati file e selezionare Avanti.

5. Nella scheda Membri selezionare Utente, gruppo o entità servizio e quindi selezionare Seleziona membro. Nella barra di ricerca cercare e selezionare il gruppo di sicurezza che contiene gli utenti che useranno Il contenitore profili.

6. Selezionare Rivedi e assegna per completare l'assegnazione.

Impostare le autorizzazioni NTFS

Sarà quindi necessario impostare le autorizzazioni NTFS per la cartella, che richiede di ottenere la chiave di accesso per l'account Archiviazione.

Per ottenere la chiave di accesso dell'account Archiviazione:

1. Nella portale di Azure cercare e selezionare Account di archiviazione nella barra di ricerca.

2. Nell'elenco degli account di archiviazione selezionare l'account per cui è stato abilitato Microsoft Entra Domain Services e aver assegnato il ruolo Controllo degli accessi in base al ruolo per nelle sezioni precedenti.

3. In Sicurezza e rete selezionare Chiavi di accesso, quindi visualizzare e copiare la chiave da key1.

Per impostare le autorizzazioni NTFS corrette nella cartella:

1. Accedere a un host di sessione che fa parte del pool di host.

2. Aprire un prompt di PowerShell con privilegi elevati ed eseguire il comando seguente per eseguire il mapping dell'account di archiviazione come unità nell'host di sessione. L'unità mappata non verrà visualizzata in Esplora file, ma può essere visualizzata con il net use comando . In questo modo è possibile impostare le autorizzazioni per la condivisione.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Sostituire <desired-drive-letter> con una lettera di unità di propria scelta , ad esempio y:.
   • Sostituire tutte le istanze di con il nome dell'account di <storage-account-name> archiviazione specificato in precedenza.
   • Sostituire <share-name> con il nome della condivisione creata in precedenza.
   • Sostituire <storage-account-key> con la chiave dell'account di archiviazione da Azure.

   Ad esempio:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Eseguire i comandi seguenti per impostare le autorizzazioni per la condivisione che consentono agli utenti di Desktop virtuale Azure di creare il proprio profilo bloccando l'accesso ai profili di altri utenti. È consigliabile usare un gruppo di sicurezza di Active Directory che contiene gli utenti che si desidera usare Il contenitore profili. Nei comandi seguenti sostituire <mounted-drive-letter> con la lettera dell'unità usata per eseguire il mapping dell'unità e <DOMAIN\GroupName> con il dominio e sAMAccountName del gruppo di Active Directory che richiederà l'accesso alla condivisione. È anche possibile specificare il nome dell'entità utente (UPN) di un utente.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Ad esempio:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Configurare gli host di sessione per l'uso di Profile Container

Per usare il contenitore del profilo, è necessario assicurarsi che FSLogix Apps sia installato nelle macchine virtuali dell'host di sessione. FSLogix Apps è preinstallato nei sistemi operativi windows 10 Enterprise multisessione e Windows 11 Enterprise multisessione, ma è comunque necessario seguire la procedura seguente perché potrebbe non essere installata la versione più recente. Se si usa un'immagine personalizzata, è possibile installare le app FSLogix nell'immagine.

Per configurare il contenitore profili, è consigliabile usare Preferenze di Criteri di gruppo per impostare le chiavi e i valori del Registro di sistema su larga scala in tutti gli host di sessione. È anche possibile impostarli nell'immagine personalizzata.

Per configurare il contenitore del profilo nelle macchine virtuali dell'host di sessione:

1. Accedere alla macchina virtuale usata per creare l'immagine personalizzata o una macchina virtuale host sessione dal pool di host.

2. Se è necessario installare o aggiornare le app FSLogix, scaricare la versione più recente di FSLogix e installarla eseguendo FSLogixAppsSetup.exe, seguendo le istruzioni riportate nell'installazione guidata. Per altre informazioni sul processo di installazione, incluse le personalizzazioni e l'installazione automatica, vedere Scaricare e installare FSLogix.

3. Aprire un prompt di PowerShell con privilegi elevati ed eseguire i comandi seguenti, sostituendo \\<storage-account-name>.file.core.windows.net\<share-name> con il percorso UNC dell'account di archiviazione creato in precedenza. Questi comandi abilitano il contenitore profilo e configurano il percorso della condivisione.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Riavviare la macchina virtuale usata per creare l'immagine personalizzata o una macchina virtuale host sessione. Sarà necessario ripetere questi passaggi per le macchine virtuali host di sessione rimanenti.

È stato completato l'impostazione del contenitore del profilo. Se si installa Profile Container nell'immagine personalizzata, sarà necessario completare la creazione dell'immagine personalizzata. Per altre informazioni, seguire la procedura descritta in Creare un'immagine personalizzata in Azure dalla sezione Creare lo snapshot finale in poi.

Convalidare la creazione del profilo

Dopo aver installato e configurato Profile Container, è possibile testare la distribuzione accedendo con un account utente a cui è stato assegnato un gruppo di applicazioni o un desktop nel pool di host.

Se l'utente ha eseguito l'accesso in precedenza, avrà un profilo locale esistente che userà durante questa sessione. Eliminare prima il profilo locale o creare un nuovo account utente da usare per i test.

Gli utenti possono verificare che il contenitore profilo sia configurato seguendo questa procedura:

1. Accedere a Desktop virtuale Azure come utente di test.

2. Quando l'utente esegue l'accesso, viene visualizzato il messaggio "Attendere i servizi app FSLogix" come parte del processo di accesso, prima di raggiungere il desktop.

Amministrazione istrator può verificare che la cartella del profilo sia stata creata seguendo questa procedura:

1. Apri il portale di Azure.

2. Aprire l'account di archiviazione creato in precedenza.

3. Passare ad Archiviazione dati nell'account di archiviazione e quindi selezionare Condivisioni file.

4. Aprire la condivisione file e assicurarsi che la cartella del profilo utente creata sia presente.

Passaggi successivi

È possibile trovare informazioni più dettagliate sui concetti correlati al contenitore del profilo FSlogix per File di Azure nel contenitore del profilo FSLogix per File di Azure.