Azure Dosyalar ve Microsoft Entra Kimliği ile profil kapsayıcısı oluşturma

Bu çözümü dağıtmadan önce ortamınızın Microsoft Entra Kerberos kimlik doğrulamasıyla Azure Dosyalar yapılandırma gereksinimlerini karşıladığını doğrulayın.

Azure Sanal Masaüstü'nde FSLogix profilleri için kullanıldığında, oturum konaklarının etki alanı denetleyicisi (DC) için ağ görüş çizgisine sahip olması gerekmez. Ancak, Azure Dosyalar paylaşımındaki izinleri yapılandırmak için DC'ye ağ görüş hattı olan bir sistem gerekir.

FSLogix profillerinizi bir Azure dosya paylaşımında depolamak için:

1. Henüz hesabınız yoksa bir Azure Depolama hesabı oluşturun.

   Not

   Azure Depolama hesabınız hem Microsoft Entra Kimliği hem de Active Directory Etki Alanı Hizmetleri (AD DS) veya Microsoft Entra Domain Services gibi ikinci bir yöntemle kimlik doğrulaması yapamaz. Yalnızca bir kimlik doğrulama yöntemi kullanabilirsiniz.

2. Henüz yapmadıysanız FSLogix profillerinizi depolamak için depolama hesabınızın altında bir Azure Dosyalar paylaşımı oluşturun.

3. Microsoft Entra'ya katılmış VM'lerden erişimi etkinleştirmek için Azure Dosyalar'de Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirin.

   • Dizini ve dosya düzeyinde izinleri yapılandırırken, Profil kapsayıcıları için depolama izinlerini yapılandırma makalesinde FSLogix profilleri için önerilen izin listesini gözden geçirin.
   • Uygun dizin düzeyinde izinler olmadığında, kullanıcı profili silinebilir veya farklı bir kullanıcının kişisel bilgilerine erişebilir. Kullanıcıların yanlışlıkla silme işleminin gerçekleşmesini önlemek için uygun izinlere sahip olduğundan emin olmak önemlidir.

FSLogix profilleri için Microsoft Entra'ya katılmış bir VM'den Azure dosya paylaşımlarına erişmek için oturum konaklarını yapılandırmanız gerekir. Oturum konaklarını yapılandırmak için:

1. Aşağıdaki yöntemlerden birini kullanarak Microsoft Entra Kerberos işlevselliğini etkinleştirin.

   • Bu Intune İlkesi CSP'sini yapılandırın ve oturum konağına uygulayın: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Not

     Windows çok oturumlu istemci işletim sistemleri yalnızca ayarlar kataloğunu desteklediğinden İlke CSP'sini desteklemez, bu nedenle diğer yöntemlerden birini kullanmanız gerekir. Daha fazla bilgi için bkz . Intune ile Azure Sanal Masaüstü çoklu oturum kullanma.

   • Oturum konaklarında bu Grup ilkesini etkinleştirin. Yol, oturum konaklarınızda kullandığınız Windows sürümüne bağlı olarak aşağıdakilerden biri olacaktır:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Oturum ana bilgisayarında aşağıdaki kayıt defteri değerini oluşturun: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Microsoft Entra ID'yi FSLogix gibi bir dolaşım profili çözümüyle kullandığınızda, Credential Manager'daki kimlik bilgisi anahtarları şu anda yüklü olan profile ait olmalıdır. Bu, profilinizi yalnızca bir sanal makineyle sınırlı kalmak yerine birçok farklı VM'ye yüklemenize olanak sağlar. Bu ayarı etkinleştirmek için aşağıdaki komutu çalıştırarak yeni bir kayıt defteri değeri oluşturun:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Oturum ana bilgisayarında FSLogix'i yapılandırma

Bu bölümde VM'de FSLogix yapılandırması adımları gösterilmiştir. Oturum konağı yapılandırdığınızda bu yönergeleri izlemeniz gerekir. Kayıt defteri anahtarlarının tüm oturum konaklarında ayarlandığından emin olmak için kullanılabilecek birçok seçenek vardır. Bu seçenekleri bir görüntüde ayarlayabilir veya bir grup ilkesi yapılandırabilirsiniz.

FSLogix'i yapılandırmak için:

1. Gerekirse oturum konağınıza FSLogix'i güncelleştirin veya yükleyin.

   Not

   Oturum konağı Azure Sanal Masaüstü hizmeti kullanılarak oluşturulduysa FSLogix önceden yüklenmiş olmalıdır.

2. Enabled ve VHDLocations kayıt defteri değerlerini oluşturmak için Profil kapsayıcısı kayıt defteri ayarlarını yapılandırma başlığındaki yönergeleri izleyin. VHDLocations değerini olarak \\<Storage-account-name>.file.core.windows.net\<file-share-name>ayarlayın.

FSLogix'i yükleyip yapılandırdıktan sonra, konak havuzundaki bir uygulama grubuna atanmış bir kullanıcı hesabıyla oturum açarak dağıtımınızı test edebilirsiniz. Oturum açtığınız kullanıcı hesabının dosya paylaşımını kullanma izni olmalıdır.

Kullanıcı daha önce oturum açtıysa, hizmetin bu oturum sırasında kullanacağı bir yerel profili vardır. Yerel profil oluşturmaktan kaçınmak için, testler için kullanılacak yeni bir kullanıcı hesabı oluşturun veya Öğretici: Profil kapsayıcısını kullanıcı profillerini DeleteLocalProfileWhenVHDShouldApply ayarını etkinleştirmek üzere yeniden yönlendirecek şekilde yapılandırma başlığı altında açıklanan yapılandırma yöntemlerini kullanın.

Son olarak, kullanıcı başarıyla oturum açtıktan sonra Azure Dosyalar'de oluşturulan profili doğrulayın:

1. Azure portalını açın ve bir yönetim hesabıyla oturum açın.

2. Kenar çubuğundan Depolama hesapları'nı seçin.

3. Oturum konak havuzunuz için yapılandırdığınız depolama hesabını seçin.

4. Kenar çubuğundan Dosya paylaşımları'nı seçin.

5. Profilleri depolamak için yapılandırdığınız dosya paylaşımını seçin.

6. Her şey doğru ayarlandıysa, şu şekilde biçimlendirilmiş bir ada sahip bir dizin görmeniz gerekir: <user SID>_<username>.