Criar um contêiner de perfil com Arquivos do Azure e ID do Microsoft Entra

Antes de implantar essa solução, verifique se seu ambiente atende aos requisitos para configurar os Arquivos do Azure com a autenticação Kerberos do Microsoft Entra.

Quando usados para perfis FSLogix na Área de Trabalho Virtual do Azure, os hosts de sessão não precisam ter linha de visão de rede para o controlador de domínio (DC). No entanto, um sistema com linha de visão de rede para o DC é necessário para configurar as permissões no compartilhamento de Arquivos do Azure.

Para armazenar seus perfis FSLogix em um compartilhamento de arquivos do Azure:

1. Crie uma conta de Armazenamento do Azure se ainda não tiver uma.

   Nota

   Sua conta de Armazenamento do Azure não pode se autenticar com a ID do Microsoft Entra e um segundo método, como os Serviços de Domínio Ative Directory (AD DS) ou os Serviços de Domínio Microsoft Entra. Você só pode usar um método de autenticação.

2. Crie um compartilhamento do Azure Files em sua conta de armazenamento para armazenar seus perfis FSLogix, se ainda não o fez.

3. Habilite a autenticação Kerberos do Microsoft Entra nos Arquivos do Azure para habilitar o acesso de VMs ingressadas no Microsoft Entra.

   • Ao configurar as permissões de diretório e nível de arquivo, revise a lista recomendada de permissões para perfis FSLogix em Configurar as permissões de armazenamento para contêineres de perfil.
   • Sem permissões adequadas no nível de diretório, um usuário pode excluir o perfil de usuário ou acessar as informações pessoais de um usuário diferente. É importante garantir que os usuários tenham permissões adequadas para evitar que a exclusão acidental aconteça.

Para acessar compartilhamentos de arquivos do Azure de uma VM ingressada do Microsoft Entra para perfis FSLogix, você deve configurar os hosts de sessão. Para configurar hosts de sessão:

1. Habilite a funcionalidade Kerberos do Microsoft Entra usando um dos seguintes métodos.

   • Configure este CSP de Política do Intune e aplique-o ao host da sessão: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Nota

     Os sistemas operativos cliente de várias sessões do Windows não suportam o CSP de Políticas, uma vez que apenas suportam o catálogo de definições, pelo que terá de utilizar um dos outros métodos. Saiba mais em Usando a Área de Trabalho Virtual do Azure com várias sessões com o Intune.

   • Habilite esta política de Grupo em hosts de sessão. O caminho será um dos seguintes, dependendo da versão do Windows que você usa em seus hosts de sessão:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Crie o seguinte valor do Registro no host da sessão: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Quando você usa o Microsoft Entra ID com uma solução de perfil móvel como FSLogix, as chaves de credenciais no Gerenciador de Credenciais devem pertencer ao perfil que está sendo carregado no momento. Isso permitirá que você carregue seu perfil em muitas VMs diferentes em vez de ser limitado a apenas uma. Para habilitar essa configuração, crie um novo valor do Registro executando o seguinte comando:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Configurar o FSLogix no host da sessão

Esta secção vai mostrar-lhe como configurar uma VM com o FSLogix. Terá de seguir estas instruções sempre que configurar um anfitrião da sessão. Existem várias opções disponíveis que garantem que as chaves do registo estão definidas em todos os anfitriões da sessão. Pode definir estas opções numa imagem ou configurar uma política de grupo.

Para configurar o FSLogix:

1. Atualize ou instale o FSLogix no seu host de sessão, se necessário.

   Nota

   Se o host da sessão for criado usando o serviço de Área de Trabalho Virtual do Azure, o FSLogix já deverá estar pré-instalado.

2. Siga as instruções em Configurar configurações do Registro do contêiner de perfil para criar os valores do Registro Enabled e VHDLocations . Defina o valor de VHDLocations como \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Depois de instalar e configurar o FSLogix, você pode testar sua implantação entrando com uma conta de usuário atribuída a um grupo de aplicativos no pool de hosts. A conta de usuário com a qual você entra deve ter permissão para usar o compartilhamento de arquivos.

Se o usuário tiver entrado antes, ele terá um perfil local existente que o serviço usará durante esta sessão. Para evitar a criação de um perfil local, crie uma nova conta de usuário para usar em testes ou use os métodos de configuração descritos em Tutorial: Configurar contêiner de perfil para redirecionar perfis de usuário para habilitar a configuração DeleteLocalProfileWhenVHDShouldApply .

Por fim, verifique o perfil criado nos Arquivos do Azure depois que o usuário entrou com êxito:

1. Abra o portal do Azure e entre com uma conta administrativa.

2. Na barra lateral, selecione Contas de armazenamento.

3. Selecione a conta de armazenamento que você configurou para seu pool de hosts de sessão.

4. Na barra lateral, selecione Compartilhamentos de arquivos.

5. Selecione o compartilhamento de arquivos que você configurou para armazenar os perfis.

6. Se tudo estiver configurado corretamente, você verá um diretório com um nome formatado assim: <user SID>_<username>.