Konfigurera FSLogix-profilcontainer med Azure Files och Usluge domena aktivnog direktorijuma eller Microsoft Entra Domain Services

Den här artikeln visar hur du konfigurerar FSLogix-profilcontainer med Azure Files när dina virtuella sessionsvärddatorer (VM) är anslutna till en Usluge domena aktivnog direktorijuma domän (AD DS) eller Microsoft Entra Domain Services-hanterad domän.

Förutsättningar

Du behöver följande:

• En värdpool där sessionsvärdarna är anslutna till en AD DS-domän eller Microsoft Entra Domain Services-hanterad domän och användare tilldelas.
• En säkerhetsgrupp i domänen som innehåller de användare som ska använda profilcontainern. Om du använder AD DS måste detta synkroniseras med Microsoft Entra-ID.
• Behörighet för din Azure-prenumeration att skapa ett lagringskonto och lägga till rolltilldelningar.
• Ett domänkonto för att ansluta datorer till domänen och öppna en upphöjd PowerShell-prompt.
• Prenumerations-ID för din Azure-prenumeration där ditt lagringskonto kommer att finnas.
• En dator som är ansluten till din domän för att installera och köra PowerShell-moduler som ansluter ett lagringskonto till din domän. Den här enheten måste köra en version av Windows som stöds. Du kan också använda en sessionsvärd.

Viktigt!

Om användarna tidigare har loggat in på de sessionsvärdar som du vill använda har lokala profiler skapats för dem och måste först tas bort av en administratör för att deras profil ska lagras i en profilcontainer.

Konfigurera ett lagringskonto för profilcontainer

Så här konfigurerar du ett lagringskonto:

1. Logga in på Azure-portalen.

2. Sök efter lagringskonton i sökfältet.

3. Välj + Skapa.

4. Ange följande information på fliken Grundläggande på sidan Skapa lagringskonto:

   • Skapa en ny resursgrupp eller välj en befintlig som lagringskontot ska lagras i.
   • Ange ett unikt namn för lagringskontot. Det här lagringskontots namn måste vara mellan 3 och 24 tecken.
   • För Region rekommenderar vi att du väljer samma plats som Azure Virtual Desktop-värdpoolen.
   • För Prestanda väljer du Standard som ett minimum.
   • Om du väljer Premium-prestanda anger du Premium-kontotypen till Filresurser.
   • För Redundans väljer du Lokalt redundant lagring (LRS) som ett minimum.
   • Standardvärdena på de återstående flikarna behöver inte ändras.

   Dricks

   Din organisation kan ha krav på att ändra dessa standardvärden:

   • Om du ska välja Premium beror på dina krav på IOPS och svarstid. Mer information finns i Lagringsalternativ för FSLogix-profilcontainrar i Azure Virtual Desktop.
   • På fliken Avancerat måste aktivera åtkomst till lagringskontonyckel vara aktiverat.
   • Mer information om återstående konfigurationsalternativ finns i Planera för en Azure Files-distribution.

5. Välj Granska + skapa. Granska parametrarna och de värden som ska användas och välj sedan Skapa.

6. När lagringskontot har skapats väljer du Gå till resurs.

7. I avsnittet Datalagring väljer du Filresurser.

8. Välj + Filresurs.

9. Ange ett namn, till exempel profiler, och välj sedan Transaktionsoptimerad för nivån.

Ansluta ditt lagringskonto till Active Directory

Om du vill använda Active Directory-konton för resursbehörigheter för filresursen måste du aktivera AD DS eller Microsoft Entra Domain Services som källa. Den här processen ansluter ditt lagringskonto till en domän och representerar det som ett datorkonto. Välj relevant flik nedan för ditt scenario och följ stegen.

AD DS

1. Logga in på en dator som är ansluten till din AD DS-domän. Du kan också logga in på en av dina sessionsvärdar.

2. Ladda ned och extrahera den senaste versionen av AzFilesHybrid från GitHub-lagringsplatsen Azure Files-exempel. Anteckna mappen som du extraherar filerna till.

3. Öppna en upphöjd PowerShell-prompt och ändra till katalogen där du extraherade filerna.

4. Kör följande kommando för att lägga till modulen i AzFilesHybrid användarens PowerShell-modulkatalog:

   .\CopyToPSPath.ps1
   

5. Importera modulen AzFilesHybrid genom att köra följande kommando:

   Import-Module -Name AzFilesHybrid
   

   Viktigt!

   Den här modulen kräver PowerShell-galleriet och Azure PowerShell. Du kan uppmanas att installera dessa om de inte redan är installerade eller om de behöver uppdateras. Om du uppmanas att ange dessa installerar du dem och stänger sedan alla instanser av PowerShell. Öppna en upphöjd PowerShell-fråga igen och importera modulen AzFilesHybrid igen innan du fortsätter.

6. Logga in på Azure genom att köra kommandot nedan. Du måste använda ett konto som har någon av följande rollbaserade åtkomstkontrollroller (RBAC):

   • Lagringskontoägare
   • Ägare
   • Deltagare

   Connect-AzAccount
   

   Dricks

   Om ditt Azure-konto har åtkomst till flera klienter och/eller prenumerationer måste du välja rätt prenumeration genom att ange kontexten. Mer information finns i Azure PowerShell-kontextobjekt

7. Anslut lagringskontot till din domän genom att köra kommandona nedan, ersätta värdena för $subscriptionId, $resourceGroupNameoch $storageAccountName med dina värden. Du kan också lägga till parametern -OrganizationalUnitDistinguishedName för att ange en organisationsenhet (OU) där datorkontot ska läggas till.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Kontrollera att lagringskontot har anslutit till din domän genom att köra kommandona nedan och granska utdata och ersätta värdena för $resourceGroupName och $storageAccountName med dina värden:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Viktigt!

Om din domän framtvingar att lösenordet upphör att gälla måste du uppdatera lösenordet innan det upphör att gälla för att förhindra autentiseringsfel vid åtkomst till Azure-filresurser. Mer information finns i Uppdatera lösenordet för din lagringskontoidentitet i AD DS för mer information.

Microsoft Entra Domain Services

1. Öppna lagringskontot som du skapade tidigare från Azure-portalen.

2. I avsnittet Datalagring väljer du Filresurser.

3. I huvudavsnittet på sidan bredvid Active Directory väljer du Inte konfigurerad.

4. I rutan för Microsoft Entra Domain Services väljer du Konfigurera.

5. Markera kryssrutan för att aktivera Microsoft Entra Domain Services för den här filresursen och välj sedan Spara. En organisationsenhet (OU) med namnet AzureFilesConfig skapas i roten av domänen och ett användarkonto med namnet samma som lagringskontot skapas i den organisationsenheten. Det här kontot används som Azure Files-tjänstkonto.

Tilldela RBAC-roll till användare

Användare som behöver lagra profiler i filresursen behöver behörighet att komma åt den. För att göra detta måste du tilldela varje användare rollen Storage File Data SMB-resursdeltagare .

Tilldela användare rollen:

1. Från Azure-portalen bläddrar du till lagringskontot och sedan till den filresurs som du skapade tidigare.

2. Välj Åtkomstkontroll (IAM) .

3. Välj + Lägg till och välj sedan Lägg till rolltilldelning på den nedrullningsbara menyn.

4. Välj rollen Storage File Data SMB-resursdeltagare och välj Nästa.

5. På fliken Medlemmar väljer du Användare, grupp eller tjänstens huvudnamn och sedan +Välj medlemmar. I sökfältet söker du efter och väljer den säkerhetsgrupp som innehåller de användare som ska använda profilcontainern.

6. Slutför tilldelningen genom att välja Granska och tilldela.

Ange NTFS-behörigheter

Därefter måste du ange NTFS-behörigheter för mappen, vilket kräver att du hämtar åtkomstnyckeln för ditt Lagringskonto.

Så här hämtar du åtkomstnyckeln för lagringskontot:

1. Från Azure-portalen söker du efter och väljer lagringskonto i sökfältet.

2. I listan över lagringskonton väljer du det konto som du aktiverade Usluge domena aktivnog direktorijuma eller Microsoft Entra Domain Services som identitetskälla och tilldelade RBAC-rollen för i föregående avsnitt.

3. Under Säkerhet + nätverk väljer du Åtkomstnycklar och visar och kopierar sedan nyckeln från key1.

Så här anger du rätt NTFS-behörigheter för mappen:

1. Logga in på en sessionsvärd som ingår i värdpoolen.

2. Öppna en upphöjd PowerShell-prompt och kör kommandot nedan för att mappa lagringskontot som en enhet på sessionsvärden. Den mappade enheten visas inte i Istraživač datoteka, men kan visas med net use kommandot . Detta gör att du kan ange behörigheter för resursen.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Ersätt <desired-drive-letter> med valfri enhetsbeteckning (till exempel y:).
   • Ersätt båda instanserna av <storage-account-name> med namnet på det lagringskonto som du angav tidigare.
   • Ersätt <share-name> med namnet på resursen som du skapade tidigare.
   • Ersätt <storage-account-key> med lagringskontonyckeln från Azure.

   Till exempel:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Kör följande kommandon för att ange behörigheter för resursen som gör att dina Azure Virtual Desktop-användare kan skapa en egen profil samtidigt som åtkomsten till andra användares profiler blockeras. Du bör använda en Active Directory-säkerhetsgrupp som innehåller de användare som du vill använda profilcontainer. I kommandona nedan ersätter du <mounted-drive-letter> med bokstaven på den enhet som du använde för att mappa enheten och <DOMAIN\GroupName> med domänen och sAMAccountName för Active Directory-gruppen som kräver åtkomst till resursen. Du kan också ange användarens huvudnamn (UPN) för en användare.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Till exempel:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Konfigurera sessionsvärdar för att använda profilcontainer

För att kunna använda profilcontainern måste du se till att FSLogix-appar är installerade på dina virtuella sessionsvärddatorer. FSLogix Apps är förinstallerat i Windows 10 Enterprise multi-session och Windows 11 Enterprise-operativsystem med flera sessioner, men du bör fortfarande följa stegen nedan eftersom den kanske inte har den senaste versionen installerad. Om du använder en anpassad avbildning kan du installera FSLogix-appar i avbildningen.

För att konfigurera profilcontainern rekommenderar vi att du använder grupprincipinställningar för att ange registernycklar och värden i stor skala för alla sessionsvärdar. Du kan också ange dessa i din anpassade avbildning.

Så här konfigurerar du profilcontainer på dina virtuella sessionsvärddatorer:

1. Logga in på den virtuella dator som används för att skapa din anpassade avbildning eller en virtuell sessionsvärd från värdpoolen.

2. Om du behöver installera eller uppdatera FSLogix-appar laddar du ned den senaste versionen av FSLogix och installerar den genom att köra FSLogixAppsSetup.exeoch följer sedan anvisningarna i installationsguiden. Mer information om installationsprocessen, inklusive anpassningar och obevakad installation finns i Ladda ned och installera FSLogix.

3. Öppna en upphöjd PowerShell-prompt och kör följande kommandon och ersätt \\<storage-account-name>.file.core.windows.net\<share-name> med UNC-sökvägen till ditt lagringskonto som du skapade tidigare. Dessa kommandon aktiverar profilcontainern och konfigurerar resursens plats.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Starta om den virtuella dator som används för att skapa din anpassade avbildning eller en virtuell sessionsvärd. Du måste upprepa de här stegen för alla återstående virtuella sessionsvärddatorer.

Nu har du slutfört konfigurationen av profilcontainern. Om du installerar profilcontainern i din anpassade avbildning måste du slutföra skapandet av den anpassade avbildningen. Mer information finns i Skapa en anpassad avbildning i Azure i avsnittet Ta den slutliga ögonblicksbilden och framåt.

Verifiera att profilen skapas

När du har installerat och konfigurerat profilcontainern kan du testa distributionen genom att logga in med ett användarkonto som har tilldelats en programgrupp eller ett skrivbord i värdpoolen.

Om användaren har loggat in tidigare har de en befintlig lokal profil som de ska använda under den här sessionen. Ta antingen bort den lokala profilen först eller skapa ett nytt användarkonto som ska användas för tester.

Användare kan kontrollera att profilcontainern har konfigurerats genom att följa stegen nedan:

1. Logga in på Azure Virtual Desktop som testanvändare.

2. När användaren loggar in bör meddelandet "Vänta på FSLogix Apps Services" visas som en del av inloggningsprocessen innan du når skrivbordet.

Administratörer kan kontrollera att profilmappen har skapats genom att följa stegen nedan:

1. Öppna Azure Portal.

2. Öppna lagringskontot som du skapade tidigare.

3. Gå till Datalagring i ditt lagringskonto och välj sedan Filresurser.

4. Öppna filresursen och kontrollera att användarprofilmappen som du har skapat finns där.

Nästa steg

Mer detaljerad information om begrepp som rör FSlogix-profilcontainern finns i Användarprofilhantering för Azure Virtual Desktop med FSLogix-profilcontainrar.