편집

다음을 통해 공유


Azure Files 및 Microsoft Entra ID를 사용하여 프로필 컨테이너 만들기

이 문서에서는 Microsoft Entra Kerberos 인증을 위해 Azure Files 공유를 만들고 구성하는 방법을 알아봅니다. 이 구성을 사용하면 도메인 컨트롤러에 대한 네트워크 가시적인 연결이 없어도 Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인 세션 호스트의 하이브리드 사용자 ID로 액세스할 수 있는 FSLogix 프로필을 저장할 수 있습니다. Microsoft Entra Kerberos를 사용하면 Microsoft Entra ID가 업계 표준 SMB 프로토콜을 사용하여 파일 공유에 액세스하는 데 필요한 Kerberos 티켓을 발급할 수 있습니다.

이 기능은 Azure 클라우드, US Gov용 Azure 및 21Vianet에서 운영하는 Azure에서 지원됩니다.

필수 조건

이 솔루션을 배포하기 전에 환경이 Microsoft Entra Kerberos 인증을 사용하여 Azure Files를 구성하기 위한 요구 사항을 충족하는지 확인합니다.

Azure Virtual Desktop의 FSLogix 프로필에 사용되는 경우 세션 호스트는 DC(도메인 컨트롤러)에 대한 네트워크 가시선이 필요하지 않습니다. 그러나 DC에 대한 네트워크 가시선이 있는 시스템은 Azure Files 공유에 대한 권한을 구성해야 합니다.

Azure Storage 계정 및 파일 공유 구성

Azure 파일 공유에 FSLogix 프로필을 저장하려면:

  1. 아직 계정이 없으면 Azure Storage 계정을 만듭니다.

    참고 항목

    Azure Storage 계정은 Microsoft Entra ID와 AD DS(Active Directory Domain Services) 또는 Microsoft Entra Domain Services와 같은 두 번째 방법으로 인증할 수 없습니다. 하나의 인증 방법만 사용할 수 있습니다.

  2. 스토리지 계정 아래에 Azure Files 공유를 만들어 아직 저장하지 않은 경우 FSLogix 프로필을 저장합니다.

  3. Azure Files에서 Microsoft Entra Kerberos 인증을 사용하도록 설정하여 Microsoft Entra 조인 VM에서 액세스할 수 있도록 합니다.

    • 디렉터리 및 파일 수준 권한을 구성할 때 프로필 컨테이너에 대한 스토리지 권한 구성에서 FSLogix 프로필에 대한 권장 권한 목록을 검토합니다.
    • 적절한 디렉터리 수준 권한이 없으면 사용자는 사용자 프로필을 삭제하거나 다른 사용자의 개인 정보에 액세스할 수 있습니다. 실수로 삭제되는 것을 방지하려면 사용자에게 적절한 권한이 있는지 확인하는 것이 중요합니다.

세션 호스트 구성

FSLogix 프로필용 Microsoft Entra 조인 VM에서 Azure 파일 공유에 액세스하려면 세션 호스트를 구성해야 합니다. 세션 호스트를 구성하려면:

  1. 다음 방법 중 하나를 사용하여 Microsoft Entra Kerberos 기능을 사용하도록 설정합니다.

    • 이 Intune 정책 CSP를 구성하고 세션 호스트(Kerberos/CloudKerberosTicketRetrievalEnabled)에 적용합니다.

      참고 항목

      Windows 다중 세션 클라이언트 운영 체제는 설정 카탈로그만 지원하므로 정책 CSP를 지원하지 않으므로 다른 방법 중 하나를 사용해야 합니다. Intune에서 Azure Virtual Desktop 다중 세션 사용에 대해 자세히 알아봅니다.

    • 세션 호스트에서 이 그룹 정책을 사용하도록 설정합니다. 경로는 세션 호스트에서 사용하는 Windows 버전에 따라 다음 중 하나가 됩니다.

      • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
      • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
      • 세션 호스트에서 다음 레지스트리 값을 만듭니다. reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
  2. FSLogix와 같은 로밍 프로필 솔루션과 함께 Microsoft Entra ID를 사용하는 경우 자격 증명 관리자의 자격 증명 키는 현재 로드 중인 프로필에 속해야 합니다. 이렇게 하면 하나만으로 제한되는 대신 여러 다른 VM에 프로필을 로드할 수 있습니다. 이 설정을 사용하려면 다음 명령을 실행하여 새 레지스트리 값을 만듭니다.

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
    

참고 항목

세션 호스트는 도메인 컨트롤러에 대한 네트워크 가시성이 필요하지 않습니다.

세션 호스트에서 FSLogix 구성

이 섹션에서는 FSLogix를 사용하여 VM을 구성하는 방법을 보여 줍니다. 세션 호스트를 구성할 때마다 이 지침을 따라야 합니다. 모든 세션 호스트에서 레지스트리 키를 설정하는 데 사용할 수 있는 몇 가지 옵션이 있습니다. 이러한 옵션을 이미지에서 설정하거나 그룹 정책을 구성할 수 있습니다.

FSLogix를 구성하려면:

  1. 필요한 경우 세션 호스트에서 FSLogix를 업데이트하거나 설치합니다.

    참고 항목

    Azure Virtual Desktop 서비스를 사용하여 세션 호스트를 만든 경우 FSLogix가 이미 사전 설치되어 있어야 합니다.

  2. 프로필 컨테이너 레지스트리 설정 구성 지침에 따라 사용VHDLocations 레지스트리 값을 만듭니다. VHDLocations 값을 \\<Storage-account-name>.file.core.windows.net\<file-share-name>으로 설정합니다.

배포 테스트

FSLogix를 설치 및 구성한 후에는 호스트 풀의 애플리케이션 그룹에 할당된 사용자 계정으로 로그인하여 배포를 테스트할 수 있습니다. 로그인하는 사용자 계정에는 파일 공유를 사용할 수 있는 권한이 있어야 합니다.

사용자가 이전에 로그인한 적이 있는 경우 이 세션 동안 서비스에서 사용할 기존 로컬 프로필이 있습니다. 로컬 프로필을 만들지 않으려면 테스트에 사용할 새 사용자 계정을 만들거나 자습서: 사용자 프로필을 리디렉션하도록 프로필 컨테이너 구성에 설명된 구성 방법을 사용하여 DeleteLocalProfileWhenVHDShouldApply 설정을 사용하도록 설정합니다.

마지막으로 사용자가 성공적으로 로그인한 후 Azure Files에서 만들어진 프로필을 확인합니다.

  1. Azure Portal을 열고 관리 계정으로 로그인합니다.

  2. 사이드바에서 스토리지 계정을 선택합니다.

  3. 세션 호스트 풀에 대해 구성한 스토리지 계정을 선택합니다.

  4. 사이드바에서 파일 공유를 선택합니다.

  5. 프로필을 저장하도록 구성한 파일 공유를 선택합니다.

  6. 모든 항목이 올바르게 설정되면 <user SID>_<username> 같은 형식으로 이름이 지정된 디렉터리가 표시됩니다.

다음 단계