Configurar o Contêiner de Perfil do FSLogix com Arquivos do Azure e Active Directory Domain Services ou Microsoft Entra Domain Services

Este artigo mostrará como configurar o Contêiner de Perfil do FSLogix com Arquivos do Azure quando as VMs (máquinas virtuais) do host de sessão forem ingressadas em um domínio do AD DS (Active Directory Domain Services) ou em um domínio gerenciado do Microsoft Entra Domain Services.

Pré-requisitos

Você precisará do seguinte:

• Um pool de host em que os hosts da sessão são ingressados em um domínio do AD DS ou no domínio gerenciado do Microsoft Entra Domain Services e os usuários são atribuídos.
• Um grupo de segurança no seu domínio que contém os usuários que usarão o Contêiner de Perfil. Se você estiver usando o AD DS, isso deverá ser sincronizado com o Microsoft Entra ID.
• Permissão na sua assinatura do Azure para criar uma conta de armazenamento e adicionar atribuições de função.
• Uma conta de domínio para o ingresso de computadores no domínio e abertura de um prompt do PowerShell com privilégios elevados.
• A ID da assinatura do Azure em que sua conta de armazenamento estará.
• Um computador ingressado no seu domínio para instalar e executar módulos do PowerShell que ingressarão em uma conta de armazenamento no seu domínio. Esse dispositivo precisará estar executando uma Versão com suporte do Windows. Como alternativa, você pode usar um host da sessão.

Importante

Se os usuários já tiverem entrado nos hosts de sessão que você deseja usar, já terão sido criados perfis locais para eles, que devem primeiro ser excluídos por um administrador, para que seu perfil seja armazenado em um Contêiner de Perfil.

Configurar uma conta de armazenamento para o Contêiner de Perfil

Para configurar uma conta de armazenamento:

1. Entre no portal do Azure.

2. Pesquise por Contas de armazenamento na barra de pesquisa.

3. Selecione + Criar.

4. Insira as seguintes informações na guia Fundamentos, na página Criar conta de armazenamento:

   • Crie um novo grupo de recursos ou selecione um existente para armazenar a conta de armazenamento.
   • Insira um nome exclusivo para sua conta de armazenamento. O nome da conta de armazenamento deve ter entre 3 e 24 caracteres.
   • Em Local, recomendamos escolher o mesmo local do pool de host da Área de Trabalho Virtual do Azure.
   • Em Desempenho, selecione Padrão, no mínimo.
   • Se você selecionar o desempenho Premium, defina o tipo de conta Premium como Compartilhamentos de arquivos.
   • Em Redundância, selecione LRS (armazenamento com redundância local), no mínimo.
   • Os padrões nas guias restantes não precisam ser alterados.

   Dica

   Sua organização pode ter requisitos para alterar esses padrões:

   • Se será preciso selecionar Premium depende dos seus requisitos de IOPS e latência. Para obter mais informações, consulte Opções de armazenamento para Contêineres de Perfil FSLogix na Área de Trabalho Virtual do Azure.
   • Na guia Avançado, a opção Habilitar o acesso à chave da conta de armazenamento deve ficar habilitada.
   • Para obter mais informações sobre as opções de configuração restantes, consulte Planejamento de uma implantação de Arquivos do Azure.

5. Selecione Examinar + criar. Examine os parâmetros e valores que serão usados e selecione Criar.

6. Após a Conta de Armazenamento ser criada, selecione Ir para o recurso.

7. Na seção Armazenamento de dados, selecione Compartilhamentos de arquivos.

8. Selecione +Compartilhamento de arquivos.

9. Insira um Nome, como perfis e, para a camada, selecione Transação otimizada.

Ingressar sua conta de armazenamento no Active Directory

Para usar contas do Active Directory para as permissões de compartilhamento de arquivos, é necessário habilitar o AD DS ou o Microsoft Entra Domain Services como origem. Esse processo une sua conta de armazenamento a um domínio, representando-a como conta de computador. Selecione abaixo a guia relevante para o seu cenário e siga as etapas.

AD DS

1. Entre em um computador ingressado no seu domínio do AD DS. Como alternativa, entre em um dos seus hosts de sessão.

2. Baixe e extraia a versão mais recente do AzFilesHybrid do repositório GitHub de exemplos de Arquivos do Azure. Anote a pasta para a qual você extrai os arquivos.

3. Abra um prompt do PowerShell com privilégios elevados e mude para o diretório em que você extraiu os arquivos.

4. Execute o seguinte comando para adicionar o módulo AzFilesHybrid ao diretório de módulos do PowerShell do seu usuário:

   .\CopyToPSPath.ps1
   

5. Importe o módulo do AzFilesHybrid executando o seguinte comando:

   Import-Module -Name AzFilesHybrid
   

   Importante

   Este módulo requer a Galeria do PowerShell e o Azure PowerShell. Você poderá ser solicitado a instalá-los se eles ainda não estiverem instalados ou precisarem de atualização. Se for solicitado, instale-os e feche todas as instâncias do PowerShell. Abra novamente um prompt do PowerShell com privilégios elevados e reimporte o módulo AzFilesHybrid antes de continuar.

6. Entre no Azure executando o comando abaixo. Você precisará usar uma conta que tenha uma das seguintes funções de RBAC (controle de acesso baseado em função):

   • Proprietário da conta de armazenamento
   • Proprietário
   • Colaborador

   Connect-AzAccount
   

   Dica

   Se sua conta do Azure tiver acesso a vários locatários e/ou assinaturas, você precisará selecionar a assinatura correta definindo seu contexto. Para obter mais informações, confira Objetos de contexto do Azure PowerShell

7. Ingresse a conta de armazenamento no seu domínio executando os comandos abaixo, substituindo os valores de $subscriptionId, $resourceGroupNamee $storageAccountName pelos seus. Você também pode adicionar o parâmetro -OrganizationalUnitDistinguishedName para especificar uma UO (Unidade Organizacional) na qual colocar a conta do computador.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Para verificar se a conta de armazenamento ingressou no seu domínio, execute os comandos abaixo e examine a saída, substituindo os valores de $resourceGroupName e $storageAccountName pelos seus:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Importante

Se seu domínio impõe a expiração de senha, você deve atualizá-la antes que expire, para evitar falhas de autenticação no acesso a compartilhamentos de arquivos do Azure. Para obter mais informações, consulte Atualizar a senha da sua identidade de conta de armazenamento no AD DS.

Serviços de Domínio do Microsoft Entra

1. No portal do Azure, abra a conta de armazenamento criada anteriormente.

2. Na seção Armazenamento de dados, selecione Compartilhamentos de arquivos.

3. Na seção principal da página, ao lado do Active Directory, selecione Não configurado.

4. Na caixa do Microsoft Entra Domain Services, selecione Configurar.

5. Marque a caixa para Habilitar o Microsoft Entra Domain Services para esse compartilhamento de arquivos e selecione Salvar. Uma UO (Unidade Organizacional) chamada AzureFilesConfig será criada na raiz do seu domínio, e uma conta de usuário com o mesmo nome que a conta de armazenamento será criada nessa UO. Essa conta será usada como a conta de serviço dos Arquivos do Azure.

Designe funções RBAC aos usuários

Os usuários que precisarem armazenar perfis no seu compartilhamento de arquivos precisarão de permissão para acessá-lo. Para isso, você deverá atribuir a cada usuário a função de Colaborador de Compartilhamento SMB de Dados do Arquivo de Armazenamento.

Para atribuir a função aos usuários:

1. No portal do Azure, acesse a conta de armazenamento e o compartilhamento de arquivos que você criou anteriormente.

2. Selecione IAM (Controle de acesso) .

3. Selecione + Adicionar e Adicionar atribuição de função no menu suspenso.

4. Selecione a função Colaborador de Compartilhamento SMB de Dados do Arquivo de Armazenamento e Avançar.

5. Na guia Membros, selecione Usuário, grupo ou entidade de serviço e, em seguida, selecione + Selecionar membros. Na barra de pesquisa, pesquise e selecione o grupo de segurança que contém os usuários que usarão o Contêiner de Perfil.

6. Selecione Revisar + Atribuir para concluir a atribuição.

Definir permissões NTFS

Em seguida, você precisará definir permissões NTFS na pasta, o que exige que você obtenha a chave de acesso para sua conta de Armazenamento.

Para obter a chave de acesso à conta de Armazenamento:

1. No portal do Azure, pesquise e selecione a conta de armazenamento na barra de pesquisa.

2. Na lista de contas de armazenamento, selecione a conta para a qual você habilitou o Active Directory Domain Services ou o Microsoft Entra Domain Services como a fonte de identidade e atribuiu a função RBAC nas seções anteriores.

3. Em Segurança + rede, selecione Chaves de acesso. Exiba e copie a chave vista em key1.

Para definir as permissões NTFS corretas na pasta:

1. Entre em um host de sessão que seja parte do seu pool de host.

2. Abra um prompt do PowerShell com privilégios elevados e execute o comando abaixo para mapear a conta de armazenamento como unidade no host da sessão. A unidade mapeada não aparecerá no Explorador de Arquivos, mas pode ser exibida com o comando net use. Esse procedimento visa a permitir você defina permissões no compartilhamento.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Substitua <desired-drive-letter> por uma letra da unidade de sua escolha (por exemplo, y:).
   • Substitua ambas as instâncias de <storage-account-name> pelo nome da conta de armazenamento especificada anteriormente.
   • Substitua <share-name> pelo nome do compartilhamento criado anteriormente.
   • Substitua <storage-account-key> pela chave da conta de armazenamento do Azure.

   Por exemplo:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Execute os comandos a seguir para definir permissões no compartilhamento, para que seus usuários da Área de Trabalho Virtual do Azure possam criar seu próprio perfil e bloquear o acesso a esse perfil por parte de outros usuários. Você deve usar um grupo de segurança do Active Directory que contenha os usuários que você deseja que usem o Contêiner de Perfil. Nos comandos abaixo, substitua <mounted-drive-letter> pela letra da unidade usada para mapear a unidade e <DOMAIN\GroupName> pelo domínio e o sAMAccountName do grupo ou usuário do Active Directory que exigirá acesso ao compartilhamento. Você também pode especificar o Nome UPN de um usuário.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Por exemplo:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Configurar hosts de sessão para usar o Contêiner de Perfil

Para usar o Contêiner de Perfil, você precisará verificar se os Aplicativos do FSLogix estão instalados nas suas VMs de host da sessão. Os Aplicativos do FSLogix são pré-instalados nos sistemas operacionais Windows 10 Enterprise de várias sessões e Windows 11 Enterprise de várias sessões, mas você deve seguir as etapas abaixo, pois talvez não tenha a versão mais recente instalada. Se você estiver usando uma imagem personalizada, poderá instalar os Aplicativos do FSLogix na sua imagem.

Para configurar o Contêiner de Perfil, recomendamos que você use Preferências de Política de Grupo para definir chaves do Registro e valores em escala em todos os hosts de sessão. Você também pode defini-los na sua imagem personalizada.

Para configurar o Contêiner de Perfil nas suas VMs de host de sessão:

1. Entre na VM usada para criar sua imagem personalizada ou em uma VM de host de sessão do pool de hosts.

2. Se você precisar instalar ou atualizar os Aplicativos do FSLogix, baixe a versão mais recente do FSLogix e instale-a executando FSLogixAppsSetup.exe e seguindo as instruções no assistente de instalação. Para obter mais detalhes sobre o processo de instalação, inclusive personalizações e instalação autônoma, consulte Baixar e instalar o FSLogix.

3. Abra um prompt do PowerShell com privilégios elevados e execute os comandos a seguir, substituindo \\<storage-account-name>.file.core.windows.net\<share-name> pelo caminho UNC para sua conta de armazenamento criada anteriormente. Esses comandos habilitam o Contêiner de Perfil e configuram o local do compartilhamento.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Reinicie a VM usada para criar sua imagem personalizada ou uma VM de host de sessão. Você precisará repetir essas etapas para todas as VMs de host de sessão restantes.

Você concluiu a configuração do Contêiner de Perfil. Se você estiver instalando o Contêiner de Perfil na sua imagem personalizada, precisará concluir a criação dessa imagem. Para obter mais informações, siga as etapas descritas em Criar uma imagem personalizada no Azure, da seção Fazer o instantâneo final em diante.

Validar criação de perfil

Após instalar e configurar o Contêiner de Perfil, teste a implantação entrando com uma conta de usuário que tenha sido atribuída a um grupo de aplicativos ou à área de trabalho no pool de host.

Se o usuário já tiver entrado alguma vez, ele terá um perfil local existente que será usado durante essa sessão. Exclua primeiro o perfil local, ou crie uma nova conta de usuário a ser usada para testes.

Os usuários podem verificar se o Contêiner de Perfil está configurado seguindo as etapas abaixo:

1. Entre na Área de Trabalho Virtual do Azure como o usuário de teste.

2. Quando o usuário entrar, a mensagem "Aguarde os Serviços de Aplicativos do FSLogix" deverá aparecer como parte do processo de entrada, antes de chegar à área de trabalho.

Os administradores podem verificar se a pasta de perfil foi criada seguindo as etapas abaixo:

1. Abra o portal do Azure.

2. Abra a conta de armazenamento criada anteriormente.

3. Acesse Armazenamento de dados em sua conta de armazenamento e, em seguida, selecione Compartilhamentos de arquivos.

4. Abra o compartilhamento de arquivos e verifique se a pasta de perfil do usuário que você criou está lá.

Próximas etapas

Veja informações mais detalhadas sobre conceitos relacionados ao Contêiner de Perfil FSlogix para arquivos do Azure em Contêiner de Perfil FSlogix para Arquivos do Azure.