Обеспечение безопасности данных
Профиль пользователя — это набор конфигураций, которые пользователь или администратор сделал для представления состояния системы. Различные системные компоненты связываются с профилем пользователя. Эти компоненты включают приложения, записи реестра и другие настраиваемые записи.
Windows 10 предлагает несколько типов профилей пользователей. В следующей таблице описаны четыре традиционных типа профилей Windows.
| Тип профиля | Описание |
|---|---|
| Локальный профиль пользователя | Локальный профиль пользователя хранится на диске устройства. Если используется другое устройство, пользовательские настройки не синхронизируется между устройствами. |
| Перемещаемый профиль пользователя | Перемещаемый профиль пользователя — это копия локального профиля пользователя, сохраненная в общей папке. Все изменения, внесенные локально в перемещаемом профиле, синхронизируются с общей папкой блока сообщений (SMB) файлового сервера, когда пользователь выходит из системы. Когда пользователь входит на другом устройстве, пользовательские настройки последуют за ним при загрузке перемещаемого профиля в новую систему. Однако невозможно переместить все параметры Windows и приложений. За гибкость оплачивается штраф за производительность и обслуживание. Добавление контейнеров профилей FSLogix устранило недостатки традиционных перемещаемых профилей. В следующем разделе описаны контейнеры профилей FSLogix. |
| Обязательный профиль | Обязательный профиль — это перемещаемый профиль пользователя, который администратор предварительно настроил с целью указания параметров для пользователей. С помощью обязательных профилей пользователей пользователь может изменять свой рабочий стол, но изменения не сохраняются при выходе пользователя. При следующем входе пользователя в систему загружается обязательный профиль пользователя, который создал администратор. Обязательные профили обычно используются в среде киосков. |
| Временный профиль | Устойчивый к сбоям профиль создается при проблемах с загрузкой перемещаемого профиля пользователя. Он удаляется при выходе из системы. |
Контейнеры профилей FSLogix
В среде виртуального рабочего стола Azure мы рекомендуем использовать контейнеры профилей FSLogix для хранения всего профиля пользователя. Контейнеры профилей не являются традиционным решением для управления профилями, но они считаются подходящим решением для полноценного удаленного профиля для непостоянной среды.
Контейнеры профилей перенаправляют весь профиль пользователя на удаленный компьютер. Конфигурация контейнера профиля определяет, как и куда будет перенаправляться профиль. Контейнер профиля, используемый с виртуальным рабочим столом Azure, может храниться в учетной записи хранения Azure.
При входе в виртуальный рабочий стол Azure контейнер (виртуальный жесткий диск) профиля пользователя динамически присоединяется к ВМ, которой назначен пользователь. FSLogix использует расширенные технологии драйвер-фильтров для обеспечения моментального доступа к профилю пользователя в системе, аналогично локальному профилю пользователя.
FSLogix решает ключевые проблемы с непостоянными профилями. В целом, FSLogix позволяет локальным профилям работать как перемещаемые профили, предоставляя следующие основные преимущества:
- Повышение производительности. Контейнеры профилей FSLogix обеспечивают высокую производительность и доступ к исторически заблокированному режиму кэширования Exchange
- Поддержка Microsoft OneDrive для бизнеса, включая файлы по запросу. Ранее эта поддержка не включалась в непостоянные виртуализированные среды.
- SMB-папки. FSLogix обеспечивает расширение профилей пользователей для предоставления корпоративных SMB-томов с помощью службы Azure NetApp Files. Файлы Azure NetApp поддерживают SMB 2.1 и SMB 3.1.
Контейнеры профилей FSLogix с файлами Azure
Файлы Azure поддерживает проверку подлинности на основе удостоверений SMB с помощью локальная служба Active Directory Доменные службы (AD DS) с Доменные службы Microsoft Entra. Файлы Azure применяет протоколы Kerberos для проверки подлинности в локальной службе AD DS или Доменные службы Microsoft Entra. Включение доступа на основе удостоверений для ваших файловых служб Azure позволяет заменить существующие файловые серверы на файловые серверы Azure с сохранением существующей службы каталогов.
Общие файловые ресурсы находятся в виртуальной машине Azure, которая находится в виртуальной сети пула узлов виртуального рабочего стола Azure. Виртуальная машина, которая является общим файловым ресурсом, присоединяется к домену Active Directory в виртуальной сети. После присоединения виртуальной машины к домену она может выступать в роли общего контейнера профиля FSLogix для пула узлов.
Мы настоятельно рекомендуем использовать файлы Azure вместо общих файловых ресурсов.
Защита данных виртуального рабочего стола Azure с помощью шифрования дисков Azure
Все файлы, которые виртуальный рабочий стол Azure использует в Azure NetApp Files, шифруются с помощью стандарта FIPS PUBS 140-2. Служба файлов Azure NetApp управляет всеми ключами и генерирует уникальный ключ шифрования данных XTS-AES-256 для каждого тома.
Виртуальный рабочий стол Azure использует ключ шифрования для шифрования и защиты всех ключей тома. Эти ключи шифрования недоступны или имеют незашифрованный формат. Ключи также удаляются сразу же после удаления тома.
Примечание.
Доступна поддержка ключей в ведении клиентов (создание собственных ключей) через выделенное устройство HSM Azure. Проверьте доступность в своем регионе.