Tworzenie kontenera profilów przy użyciu usługi Azure Files i identyfikatora entra firmy Microsoft

Przed wdrożeniem tego rozwiązania sprawdź, czy środowisko spełnia wymagania dotyczące konfigurowania usługi Azure Files przy użyciu uwierzytelniania Kerberos firmy Microsoft.

W przypadku korzystania z profilów FSLogix w usłudze Azure Virtual Desktop hosty sesji nie muszą mieć dostępu do kontrolera domeny (DC, Network Line-of-sight). Jednak do skonfigurowania uprawnień w udziale usługi Azure Files wymagany jest system z połączeniem sieciowym z kontrolerem domeny.

Aby przechowywać profile FSLogix w udziale plików platformy Azure:

1. Utwórz konto usługi Azure Storage, jeśli jeszcze go nie masz.

   Uwaga

   Konto usługi Azure Storage nie może uwierzytelniać się zarówno przy użyciu identyfikatora Entra firmy Microsoft, jak i drugiej metody, takiej jak domena usługi Active Directory Services (AD DS) lub Microsoft Entra Domain Services. Można użyć tylko jednej metody uwierzytelniania.

2. Utwórz udział usługi Azure Files na koncie magazynu, aby przechowywać profile FSLogix, jeśli jeszcze tego nie zrobiono.

3. Włącz uwierzytelnianie Protokołu Kerberos firmy Microsoft w usłudze Azure Files , aby włączyć dostęp z maszyn wirtualnych dołączonych do firmy Microsoft Entra.

   • Podczas konfigurowania uprawnień na poziomie katalogu i pliku zapoznaj się z zalecaną listą uprawnień dla profilów FSLogix w temacie Konfigurowanie uprawnień magazynu dla kontenerów profilów.
   • Bez odpowiednich uprawnień na poziomie katalogu użytkownik może usunąć profil użytkownika lub uzyskać dostęp do danych osobowych innego użytkownika. Należy upewnić się, że użytkownicy mają odpowiednie uprawnienia, aby zapobiec przypadkowemu usunięciu.

Aby uzyskać dostęp do udziałów plików platformy Azure z maszyny wirtualnej dołączonej do firmy Microsoft dla profilów FSLogix, należy skonfigurować hosty sesji. Aby skonfigurować hosty sesji:

1. Włącz funkcję Protokołu Kerberos firmy Microsoft entra przy użyciu jednej z następujących metod.

   • Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do hosta sesji: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Uwaga

     Wielosesyjne systemy operacyjne klienta systemu Windows nie obsługują dostawcy usługi konfiguracji zasad, ponieważ obsługują tylko wykaz ustawień, dlatego należy użyć jednej z innych metod. Dowiedz się więcej na temat korzystania z wielu sesji usługi Azure Virtual Desktop z usługą Intune.

   • Włącz te zasady grupy na hostach sesji. Ścieżka będzie jedną z następujących czynności, w zależności od wersji systemu Windows używanej na hostach sesji:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Utwórz następującą wartość rejestru na hoście sesji: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Jeśli używasz identyfikatora Entra firmy Microsoft z rozwiązaniem profilu mobilnego, takim jak FSLogix, klucze poświadczeń w Menedżerze poświadczeń muszą należeć do profilu, który jest aktualnie ładowany. Pozwoli to załadować profil na wielu różnych maszynach wirtualnych zamiast ograniczać się tylko do jednego. Aby włączyć to ustawienie, utwórz nową wartość rejestru, uruchamiając następujące polecenie:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Konfigurowanie programu FSLogix na hoście sesji

W tej sekcji pokazano, jak skonfigurować maszynę wirtualną przy użyciu produktu FSLogix. Należy wykonać te instrukcje przy każdym konfigurowaniu hosta sesji. Dostępnych jest kilka opcji, które zapewniają skonfigurowanie kluczy rejestru na wszystkich hostach sesji. Możesz określić te opcje w obrazie lub skonfigurować zasady grupy.

Aby skonfigurować plik FSLogix:

1. W razie potrzeby zaktualizuj lub zainstaluj program FSLogix na hoście sesji.

   Uwaga

   Jeśli host sesji jest tworzony przy użyciu usługi Azure Virtual Desktop, fsLogix powinien być już wstępnie zainstalowany.

2. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie ustawień rejestru kontenerów profilów , aby utworzyć wartości rejestru Enabled i VHDLocations . Ustaw wartość VHDLocations na \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Po zainstalowaniu i skonfigurowaniu programu FSLogix możesz przetestować wdrożenie, logując się przy użyciu konta użytkownika przypisanego do grupy aplikacji w puli hostów. Konto użytkownika, za pomocą którego się logujesz, musi mieć uprawnienia do korzystania z udziału plików.

Jeśli użytkownik zalogował się wcześniej, będzie miał istniejący profil lokalny, który będzie używany przez usługę podczas tej sesji. Aby uniknąć tworzenia profilu lokalnego, utwórz nowe konto użytkownika do użycia na potrzeby testów lub użyj metod konfiguracji opisanych w artykule Samouczek: konfigurowanie kontenera profilu w celu przekierowania profilów użytkowników w celu włączenia ustawienia DeleteLocalProfileWhenVHDShouldApply .

Na koniec sprawdź profil utworzony w usłudze Azure Files po pomyślnym zalogowaniu użytkownika:

1. Otwórz witrynę Azure Portal i zaloguj się przy użyciu konta administracyjnego.

2. Na pasku bocznym wybierz pozycję Konta magazynu.

3. Wybierz konto magazynu skonfigurowane dla puli hostów sesji.

4. Na pasku bocznym wybierz pozycję Udziały plików.

5. Wybierz udział plików skonfigurowany do przechowywania profilów.

6. Jeśli wszystko jest skonfigurowane poprawnie, powinien zostać wyświetlony katalog o nazwie sformatowanej w następujący sposób: <user SID>_<username>.