Criar um contêiner de perfil com os Arquivos do Azure e o Microsoft Entra ID

Antes de implantar essa solução, verifique se o seu ambiente atende aos requisitos para configurar os Arquivos do Azure com autenticação Kerberos do Microsoft Entra.

Quando usados para perfis FSLogix na Área de Trabalho Virtual do Azure, os hosts da sessão não precisam ter linha de visão de rede para o controlador de domínio (DC). No entanto, um sistema com linha de visão de rede para o controlador de domínio é necessário para configurar as permissões no compartilhamento de Arquivos do Azure.

Para armazenar seus perfis de FSLogix em um compartilhamento de arquivos do Azure:

1. Se você ainda não tiver uma, crie uma conta de Armazenamento do Azure.

   Observação

   Sua conta de armazenamento do Azure não pode se autenticar com o Microsoft Entra ID e um segundo método, como o Active Directory Domain Services (AD DS) ou o Microsoft Entra Domain Services. Você só pode usar um método de autenticação.

2. Crie um compartilhamento de Arquivos do Azure em sua conta de armazenamento para armazenar seus perfis FSLogix, caso ainda não tenha feito isso.

3. Habilite a autenticação Kerberos do Microsoft Entra nos Arquivos do Azure para habilitar o acesso de VMs ingressadas no Microsoft Entra.

   • Ao configurar o diretório e as permissões no nível do arquivo, examine a lista recomendada de permissões para perfis do FSLogix em Configurar as permissões de armazenamento para contêineres de perfil.
   • Sem permissões de nível de diretório adequadas em funcionamento, um usuário pode excluir o perfil do usuário ou acessar as informações pessoais de um usuário diferente. É importante garantir que os usuários tenham permissões adequadas para impedir que a exclusão acidental ocorra.

Para acessar compartilhamentos de arquivos do Azure de uma VM ingressada no Microsoft Entra para perfis FSLogix, você deve configurar os hosts de sessão. Para configurar hosts de sessão:

1. Habilite a funcionalidade Kerberos do Microsoft Entra usando um dos métodos a seguir.

   • Configure essa CSP de Política do Intune e aplique-a ao host da sessão: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Observação

     Os sistemas operacionais cliente de várias sessões do Windows não são compatíveis com CSP de Política, pois só são compatíveis com catálogo de configurações, portanto, você precisará usar um dos outros métodos. Saiba mais em Como usar a multissessão da Área de Trabalho Virtual do Azure com o Intune.

   • Habilite essa política de grupo em hosts de sessão. O caminho será um dos seguintes, dependendo da versão do Windows usada em seus hosts de sessão:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Crie o seguinte valor do registro no host da sessão: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Quando você usa o Microsoft Entra com uma solução de perfil de roaming como FSLogix, as chaves de credencial no Gerenciador de Credenciais devem pertencer ao perfil que está sendo carregado no momento. Isso permitirá que você carregue seu perfil em muitas VMs diferentes, em vez de ser limitado a apenas uma. Para habilitar essa configuração, crie um novo valor de Registro executando o seguinte comando:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Configurar o FSLogix no host de sessão

Esta seção mostrará como configurar uma VM com o FSLogix. Você precisará seguir essas instruções sempre que configurar um host de sessão. Há várias opções disponíveis que garantem que as chaves do registro sejam definidas em todos os hosts de sessão. Você pode definir essas opções em uma imagem ou configurar uma política de grupo.

Para configurar o FSLogix:

1. Atualize ou instale o FSLogix em seu host de sessão, se necessário.

   Observação

   Se o host da sessão for criado usando o serviço de Área de Trabalho Virtual do Azure, o FSLogix já deverá estar pré-instalado.

2. Siga as instruções em definir configurações de registro de contêiner de perfil para criar os valores de registro habilitado e VHDLocations. De definir o valor de VHDLocations como \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Depois de instalar e configurar o FSLogix, teste a implantação acessando uma conta de usuário que foi atribuída a um grupo de aplicativos no pool de host. A conta de usuário com a sua assinatura deve ter permissão para usar o compartilhamento de arquivos.

Se o usuário tiver feito login antes, ele terá um perfil local existente que o serviço usará durante esta sessão. Para não ter que criar um perfil local, crie uma nova conta de usuário para testes ou use os métodos de configuração descritos em Tutorial: configurar contêiner de perfil para redirecionar perfis de usuário para ativar a configuração DeleteLocalProfileWhenVHDShouldApply.

Por fim, verifique o perfil criado nos Arquivos do Azure depois que o usuário tiver se conectado com êxito:

1. Abra o portal do Azure e entre com uma conta administrativa.

2. Na barra lateral, selecione Contas de armazenamento.

3. Selecione a conta de armazenamento configurada para o pool de host da sessão.

4. Na barra lateral, selecione compartilhamentos de arquivos.

5. Selecione o compartilhamento de arquivos configurado para armazenar os perfis.

6. Se tudo estiver configurado corretamente, será exibido um diretório com um nome que é formatado da seguinte maneira: <user SID>_<username>.