Konfigurowanie kontenera profilów FSLogix za pomocą usług Azure Files i usług domena usługi Active Directory lub Microsoft Entra Domain Services

W tym artykule przedstawiono sposób konfigurowania kontenera profilów FSLogix za pomocą usługi Azure Files, gdy maszyny wirtualne hosta sesji są przyłączone do domeny usług domena usługi Active Directory (AD DS) lub domeny zarządzanej usług Microsoft Entra Domain Services.

Wymagania wstępne

Potrzebne będą następujące elementy:

• Pula hostów, w której hosty sesji są przyłączone do domeny usług AD DS lub domeny zarządzanej usług Microsoft Entra Domain Services i są przypisywani użytkownicy.
• Grupa zabezpieczeń w domenie zawierająca użytkowników, którzy będą używać kontenera profilu. Jeśli używasz usług AD DS, należy zsynchronizować go z identyfikatorem Entra firmy Microsoft.
• Uprawnienie do subskrypcji platformy Azure w celu utworzenia konta magazynu i dodania przypisań ról.
• Konto domeny do przyłączania komputerów do domeny i otwieranie monitu programu PowerShell z podwyższonym poziomem uprawnień.
• Identyfikator subskrypcji platformy Azure, w której będzie używane konto magazynu.
• Komputer przyłączony do domeny na potrzeby instalowania i uruchamiania modułów programu PowerShell, które dołączą konto magazynu do domeny. Na tym urządzeniu musi być uruchomiona obsługiwana wersja systemu Windows. Alternatywnie możesz użyć hosta sesji.

Ważne

Jeśli użytkownicy wcześniej zalogowali się do hostów sesji, których chcesz użyć, profile lokalne zostały dla nich utworzone i muszą zostać usunięte najpierw przez administratora, aby ich profil był przechowywany w kontenerze profilu.

Konfigurowanie konta magazynu dla kontenera profilu

Aby skonfigurować konto magazynu:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj pozycję Konta magazynu na pasku wyszukiwania.

3. Wybierz + Utwórz.

4. Wprowadź następujące informacje na karcie Podstawy na stronie Tworzenie konta magazynu:

   • Utwórz nową grupę zasobów lub wybierz istniejącą, w której chcesz przechowywać konto magazynu.
   • Wprowadź unikatową nazwę konta magazynu. Ta nazwa konta magazynu musi zawierać od 3 do 24 znaków.
   • W polu Region zalecamy wybranie tej samej lokalizacji co pula hostów usługi Azure Virtual Desktop.
   • W obszarze Wydajność wybierz pozycję Standardowa jako minimum.
   • W przypadku wybrania opcji Wydajność Premium ustaw typ konta Premium na Udziały plików.
   • W obszarze Nadmiarowość wybierz pozycję Magazyn lokalnie nadmiarowy (LRS) jako minimum.
   • Wartości domyślne pozostałych kart nie muszą być zmieniane.

   Napiwek

   Organizacja może mieć wymagania dotyczące zmiany tych wartości domyślnych:

   • Niezależnie od tego, czy należy wybrać warstwę Premium , zależy od wymagań dotyczących liczby operacji we/wy na sekundę i opóźnień. Aby uzyskać więcej informacji, zobacz Opcje magazynu dla kontenerów profilów FSLogix w usłudze Azure Virtual Desktop.
   • Na karcie Zaawansowane należy pozostawić włączony włącz dostęp do klucza konta magazynu.
   • Aby uzyskać więcej informacji na temat pozostałych opcji konfiguracji, zobacz Planowanie wdrożenia usługi Azure Files.

5. Wybierz pozycję Przejrzyj i utwórz. Przejrzyj parametry i wartości, które będą używane, a następnie wybierz pozycję Utwórz.

6. Po utworzeniu konta magazynu wybierz pozycję Przejdź do zasobu.

7. W sekcji Magazyn danych wybierz pozycję Udziały plików.

8. Wybierz pozycję + Udział plików.

9. Wprowadź nazwę, taką jak profile, a następnie dla warstwy wybierz pozycję Optymalizacja transakcji.

Dołączanie konta magazynu do usługi Active Directory

Aby używać kont usługi Active Directory dla uprawnień udziału plików, należy włączyć usługi AD DS lub Microsoft Entra Domain Services jako źródło. Ten proces łączy konto magazynu z domeną reprezentującą ją jako konto komputera. Wybierz odpowiednią kartę poniżej dla swojego scenariusza i wykonaj kroki.

AD DS

1. Zaloguj się do komputera przyłączonego do domeny usług AD DS. Alternatywnie zaloguj się do jednego z hostów sesji.

2. Pobierz i wyodrębnij najnowszą wersję narzędzia AzFilesHybrid z repozytorium GitHub przykładów usługi Azure Files. Zanotuj folder, do którego wyodrębnisz pliki.

3. Otwórz monit programu PowerShell z podwyższonym poziomem uprawnień i przejdź do katalogu, w którym wyodrębniono pliki.

4. Uruchom następujące polecenie, aby dodać AzFilesHybrid moduł do katalogu modułów programu PowerShell użytkownika:

   .\CopyToPSPath.ps1
   

5. Zaimportuj AzFilesHybrid moduł, uruchamiając następujące polecenie:

   Import-Module -Name AzFilesHybrid
   

   Ważne

   Ten moduł wymaga Galeria programu PowerShell i programu Azure PowerShell. Może pojawić się monit o zainstalowanie tych plików, jeśli nie zostały jeszcze zainstalowane lub wymagają aktualizacji. Jeśli zostanie wyświetlony monit o ich zainstalowanie, zamknij wszystkie wystąpienia programu PowerShell. Otwórz ponownie wiersz programu PowerShell z podwyższonym poziomem uprawnień i ponownie zaimportuj AzFilesHybrid moduł przed kontynuowaniem.

6. Zaloguj się na platformie Azure, uruchamiając poniższe polecenie. Musisz użyć konta, które ma jedną z następujących ról kontroli dostępu opartej na rolach (RBAC):

   • Właściciel konta magazynu
   • Właściciel
   • Współautor

   Connect-AzAccount
   

   Napiwek

   Jeśli twoje konto platformy Azure ma dostęp do wielu dzierżaw i/lub subskrypcji, musisz wybrać poprawną subskrypcję, ustawiając kontekst. Aby uzyskać więcej informacji, zobacz Obiekty kontekstowe programu Azure PowerShell

7. Dołącz konto magazynu do domeny, uruchamiając poniższe polecenia, zastępując wartości $subscriptionId, $resourceGroupNamei $storageAccountName wartościami. Można również dodać parametr -OrganizationalUnitDistinguishedName w celu określenia jednostki organizacyjnej, w której ma zostać utworzone konto komputera.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Aby sprawdzić, czy konto magazynu dołączyło do domeny, uruchom poniższe polecenia i przejrzyj dane wyjściowe, zastępując wartości i $resourceGroupName$storageAccountName wartościami:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Ważne

Jeśli domena wymusza wygaśnięcie hasła, musisz zaktualizować hasło przed wygaśnięciem, aby zapobiec niepowodzeniu uwierzytelniania podczas uzyskiwania dostępu do udziałów plików platformy Azure. Aby uzyskać więcej informacji, zobacz Aktualizowanie hasła tożsamości konta magazynu w usługach AD DS , aby uzyskać szczegółowe informacje.

Usługi domenowe Microsoft Entra

1. W witrynie Azure Portal otwórz utworzone wcześniej konto magazynu.

2. W sekcji Magazyn danych wybierz pozycję Udziały plików.

3. W głównej sekcji strony obok pozycji Active Directory wybierz pozycję Nieskonfigurowane.

4. W polu Microsoft Entra Domain Services wybierz pozycję Skonfiguruj.

5. Zaznacz pole wyboru Włącz usługi Microsoft Entra Domain Services dla tego udziału plików, a następnie wybierz pozycję Zapisz. Jednostka organizacyjna o nazwie AzureFilesConfig zostanie utworzona w katalogu głównym domeny, a konto użytkownika o nazwie tak samo jak konto magazynu zostanie utworzone w tej jednostce organizacyjnej. To konto będzie używane jako konto usługi Azure Files.

Przypisywanie roli RBAC do użytkowników

Użytkownicy, którzy muszą przechowywać profile w udziale plików, będą potrzebować uprawnień dostępu do niego. W tym celu należy przypisać każdemu użytkownikowi rolę Współautor udziału SMB danych plików magazynu.

Aby przypisać użytkownikom rolę:

1. W witrynie Azure Portal przejdź do konta magazynu, a następnie do utworzonego wcześniej udziału plików.

2. Wybierz pozycję Kontrola dostępu (IAM) .

3. Wybierz pozycję + Dodaj, a następnie z menu rozwijanego wybierz pozycję Dodaj przypisanie roli.

4. Wybierz rolę Współautor udziału SMB danych pliku magazynu, a następnie wybierz pozycję Dalej.

5. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi, a następnie wybierz pozycję +Wybierz członków. Na pasku wyszukiwania wyszukaj i wybierz grupę zabezpieczeń zawierającą użytkowników, którzy będą używać kontenera profilu.

6. Wybierz pozycję Przejrzyj i przypisz, aby ukończyć przypisywanie.

Ustawianie uprawnień systemu plików NTFS

Następnie należy ustawić uprawnienia systemu plików NTFS w folderze, który wymaga uzyskania klucza dostępu dla konta magazynu.

Aby uzyskać klucz dostępu do konta magazynu:

1. W witrynie Azure Portal wyszukaj i wybierz konto magazynu na pasku wyszukiwania.

2. Z listy kont magazynu wybierz konto włączone domena usługi Active Directory Services lub Microsoft Entra Domain Services jako źródło tożsamości i przypisano rolę RBAC dla w poprzednich sekcjach.

3. W obszarze Zabezpieczenia i sieć wybierz pozycję Klucze dostępu, a następnie pokaż i skopiuj klucz z klucza key1.

Aby ustawić prawidłowe uprawnienia systemu plików NTFS w folderze:

1. Zaloguj się do hosta sesji, który jest częścią puli hostów.

2. Otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień i uruchom poniższe polecenie, aby zamapować konto magazynu jako dysk na hoście sesji. Zamapowany dysk nie będzie wyświetlany w Eksplorator plików, ale można go wyświetlić za net use pomocą polecenia . Dzięki temu możesz ustawić uprawnienia do udziału.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Zastąp <desired-drive-letter> wybraną literą dysku (na przykład y:).
   • Zastąp oba wystąpienia <storage-account-name> określonym wcześniej nazwą konta magazynu.
   • Zastąp <share-name> ciąg nazwą utworzonego wcześniej udziału.
   • Zastąp ciąg <storage-account-key> kluczem konta magazynu z platformy Azure.

   Na przykład:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Uruchom następujące polecenia, aby ustawić uprawnienia do udziału, które umożliwiają użytkownikom usługi Azure Virtual Desktop tworzenie własnego profilu przy jednoczesnym blokowaniu dostępu do profilów innych użytkowników. Należy użyć grupy zabezpieczeń usługi Active Directory zawierającej użytkowników, których chcesz użyć kontenera profilów. W poniższych poleceniach zastąp <mounted-drive-letter> literą dysku użytego do mapowania dysku oraz <DOMAIN\GroupName> domeną i sAMAccountName grupy usługi Active Directory, która będzie wymagać dostępu do udziału. Możesz również określić główną nazwę użytkownika (UPN) użytkownika.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Na przykład:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Konfigurowanie hostów sesji do używania kontenera profilu

Aby użyć kontenera profilu, należy upewnić się, że aplikacje FSLogix są zainstalowane na maszynach wirtualnych hosta sesji. Aplikacje FSLogix są wstępnie zainstalowane w wielu sesjach systemu Windows 10 Enterprise i wielosesyjne systemy operacyjne Windows 11 Enterprise, ale nadal należy wykonać poniższe kroki, ponieważ może nie mieć zainstalowanej najnowszej wersji. Jeśli używasz obrazu niestandardowego, możesz zainstalować aplikacje FSLogix na obrazie.

Aby skonfigurować kontener profilu, zalecamy użycie preferencji zasad grupy do ustawiania kluczy rejestru i wartości na dużą skalę na wszystkich hostach sesji. Można je również ustawić w obrazie niestandardowym.

Aby skonfigurować kontener profilu na maszynach wirtualnych hosta sesji:

1. Zaloguj się do maszyny wirtualnej użytej do utworzenia niestandardowego obrazu lub maszyny wirtualnej hosta sesji z puli hostów.

2. Jeśli musisz zainstalować lub zaktualizować aplikacje FSLogix, pobierz najnowszą wersję programu FSLogix i zainstaluj ją, uruchamiając FSLogixAppsSetup.exepolecenie , a następnie postępuj zgodnie z instrukcjami kreatora instalacji. Aby uzyskać więcej informacji na temat procesu instalacji, w tym dostosowań i instalacji nienadzorowanej, zobacz Pobieranie i instalowanie programu FSLogix.

3. Otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenia, zastępując \\<storage-account-name>.file.core.windows.net\<share-name> ciąg ścieżką UNC do utworzonego wcześniej konta magazynu. Te polecenia włączają kontener profilu i konfigurują lokalizację udziału.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Uruchom ponownie maszynę wirtualną używaną do tworzenia obrazu niestandardowego lub maszyny wirtualnej hosta sesji. Te kroki należy powtórzyć dla pozostałych maszyn wirtualnych hosta sesji.

Zakończono konfigurowanie kontenera profilu. Jeśli instalujesz kontener profilu w obrazie niestandardowym, musisz zakończyć tworzenie obrazu niestandardowego. Aby uzyskać więcej informacji, wykonaj kroki opisane w sekcji Tworzenie obrazu niestandardowego na platformie Azure w sekcji Wykonaj ostateczną migawkę do wewnątrz.

Weryfikowanie tworzenia profilu

Po zainstalowaniu i skonfigurowaniu kontenera profilu możesz przetestować wdrożenie, logując się przy użyciu konta użytkownika, które zostało przypisane do grupy aplikacji lub pulpitu w puli hostów.

Jeśli użytkownik zalogował się wcześniej, będzie miał istniejący profil lokalny, który będzie używany podczas tej sesji. Najpierw usuń profil lokalny lub utwórz nowe konto użytkownika do użycia na potrzeby testów.

Użytkownicy mogą sprawdzić, czy kontener profilu został skonfigurowany, wykonując poniższe kroki:

1. Zaloguj się do usługi Azure Virtual Desktop jako użytkownik testowy.

2. Gdy użytkownik się zaloguje, przed dotarciem do pulpitu powinien zostać wyświetlony komunikat "Czekaj na usługi FSLogix Apps Services".

Administracja istratory mogą sprawdzić, czy folder profilu został utworzony, wykonując poniższe kroki:

1. Otwórz portal Azure Portal.

2. Otwórz utworzone wcześniej konto magazynu.

3. Przejdź do pozycji Magazyn danych na koncie magazynu, a następnie wybierz pozycję Udziały plików.

4. Otwórz udział plików i upewnij się, że folder profilu użytkownika, który został utworzony, znajduje się w nim.

Następne kroki

Bardziej szczegółowe informacje na temat pojęć związanych z kontenerem profilu FSlogix dla usługi Azure Files można znaleźć w kontenerze profilu FSLogix dla usługi Azure Files.