使用 Azure 檔案儲存體和 Active Directory Domain Services 或 Microsoft Entra Domain Services 設定 FSLogix 設定檔容器

本文將說明當您的工作階段主機虛擬機器 (VM) 加入 Active Directory Domain Services (AD DS) 網域或 AMicrosoft Entra Domain Services 受控網域時，如何使用 Azure 檔案儲存體來設定 FSLogix 設定檔容器。

必要條件

您將需要下列項目：

• 主機集區，其中工作階段主機會加入 AD DS 網域或 Microsoft Entra Domain Services 受控網域，並指派使用者。
• 網域中的安全性群組，包括即將使用「設定檔容器」的使用者。 若您使用 AD DS，則必須同步至 Microsoft Entra ID。
• 建立儲存體帳戶並新增角色指派的 Azure 訂用帳戶中的權限。
• 網域帳戶，可將電腦加入網域並開啟提升權限的 PowerShell 提示字元。
• Azure 訂用帳戶的訂閱識別碼，您的儲存體帳戶會位在此訂用帳戶。
• 已加入網域的電腦，用於安裝及執行將儲存體帳戶加入網域的 PowerShell 模組。 此裝置必需執行 支援的 Windows 版本。 您可以改用工作階段主機。

重要

若使用者先前已登入您想要使用的工作階段主機，其中已經建立他們的本機設定檔，因此必須先由管理員刪除，才能將設定檔儲存於「設定檔容器」之中。

設定適用於「設定檔容器」的儲存體帳戶

設定儲存體帳戶：

1. 登入 Azure 入口網站。

2. 在搜尋列中，搜尋 [儲存體帳戶]。

3. 選取 + 建立。

4. 在 [建立儲存體帳戶] 分頁上的 [基本] 索引標籤中輸入下列資訊：

   • 為此儲存體帳戶建立新的資源群組，或選取現有的資源群組來儲存。
   • 輸入儲存體帳戶的唯一名稱。 儲存體帳戶名稱必需介於 3 到 24 個字元之間。
   • 針對 [區域]，建議您選擇與「Azure 虛擬桌面」主機集區相同的位置。
   • 針對 [效能]，請選取 [標準] 作為 [最小值]。
   • 若您選取 [進階效能]，請將 [進階帳戶類型] 設定為 [檔案共用]。
   • 針對 [備援] 請選取 [本地備援儲存體 (LRS)] 作為 [最小值]。
   • 其餘索引標籤上的預設值無需變更。

   提示

   您的組織可能會需要變更這些預設值：

   • 您是否應該選取 [進階]，取決於您的 IOPS 和延遲需求。 如需詳細資訊，請參閱 在 Azure 虛擬桌面中的 FSLogix 設定檔容器儲存體選項。
   • 在 [進階] 索引標籤上，[啟用儲存體帳戶金鑰存取] 必須保持在已啟用狀態。
   • 如需其餘組態選項的詳細資訊，請參閱 規劃 Azure 檔案儲存體的部署。

5. 選取 [檢閱 + 建立]。 檢閱要使用的參數和值，然後選取 [建立]。

6. 建立儲存體帳戶之後，選取 [前往資源]。

7. 在 [資料儲存體] 區段中，請選取 [檔案共用]。

8. 選取 [+ 檔案共用]。

9. 請輸入 [名稱]，例如 [設定檔]，然後針對階層選取 [交易最佳化]。

請將您的儲存體帳戶加入 Active Directory

若要將 Active Directory 帳戶用於檔案共用的共用權限，您必需啟用 AD DS 或 Microsoft Entra Domain Services 作為來源。 本程式會將儲存體帳戶加入網域，並將其表示為電腦帳戶。 針對您的案例請在下方選取適用的索引標籤，並依照步驟操作。

AD DS

1. 請登入已加入 AD DS 網域的電腦。 或者，登入其中一個工作階段主機。

2. 從 Azure 檔案儲存體範例 GitHub 存放庫下載並擷取 最新版本的 AzFilesHybrid。 記下將檔案解壓縮的資料夾。

3. 開啟提升權限的 PowerShell 提示並變更至已解壓縮檔案的目錄。

4. 執行下列命令，將 AzFilesHybrid 模組新增至使用者的 PowerShell 模組目錄：

   .\CopyToPSPath.ps1
   

5. 執行下列命令以匯入 AzFilesHybrid 模組：

   Import-Module -Name AzFilesHybrid
   

   重要

   本模組需要 PowerShell 資源庫 和 Azure PowerShell。 若尚未安裝或需要更新，系統可能會提示您進行安裝。 如果您收到系統提示，請執行安裝，然後關閉 PowerShell 的所有實例。 重新開啟提升許可權的 PowerShell 提示字元，然後在繼續之前再次匯入AzFilesHybrid模組。

6. 執行下列命令以登入 Azure。 您必需使用具有下列其中一種角色型存取控制 (RBAC) 角色的帳戶：

   • 儲存體帳戶擁有者
   • 擁有者
   • 參與者

   Connect-AzAccount
   

   提示

   若您的 Azure 帳戶可以存取多個租用戶和/或訂用帳戶，您必須設定內容來選取正確的訂用帳戶。 如需詳細資訊，請參閱 Azure PowerShell 環境內容

7. 請執行下列命令，並以您的值取代 $subscriptionId、$resourceGroupName 和 $storageAccountName 的值，來將儲存體帳戶加入網域。 您也可以新增參數 -OrganizationalUnitDistinguishedName，以指定要放置電腦帳戶的組織單位 (OU)。

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. 若要確認儲存體帳戶已加入您的網域，請執行下列命令並檢閱輸出，並以您的值取代 $resourceGroupName 和 $storageAccountName 的值：

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

重要

若您的網域強制密碼到期，必須在密碼最長使用期限之前更新密碼，以避免在存取 Azure 檔案共用時發生驗證失敗。 如需詳細資訊，請參閱在 AD DS 中更新儲存體帳戶身分識別的密碼。

Microsoft Entra Domain Services

1. 從 Azure 入口網站，開啟您先前建立的儲存體帳戶。

2. 在 [資料儲存體] 區段中，請選取 [檔案共用]。

3. 在頁面的主要區段中，請選取 [Active Directory] 旁邊的 [未設定]。

4. 在 Microsoft Entra Domain Services 的方塊中，選取 [設定]。

5. 勾選方塊來為此檔案共用啟用 Microsoft Entra Domain Services，然後選取 [儲存]。 稱為 AzureFilesConfig 的組織單位 (OU) 會在網域的根目錄中建立，並在該 OU 中建立與儲存體帳戶相同名稱的使用者帳戶。 此帳戶將作為 Azure 檔案儲存體服務帳戶。

將 RBAC 角色指派給使用者

在檔案共用中儲存設定檔的使用者會需要存取它的權限。 若要這樣做，您必需將儲存體檔案資料 SMB 共用參與者角色指派給每位使用者。

若要將角色指派給使用者：

1. 從 Azure 入口網站，瀏覽至儲存體帳戶，然後瀏覽至先前您所建立的檔案共用。

2. 選取 [存取控制 (IAM)]。

3. 選取 [+ 新增] 按鈕，並於下拉式功能表選取 [新增角色指派]。

4. 選取 [儲存體檔案資料 SMB 共用參與者] 角色，然後選取 [下一步]。

5. 在 [成員] 索引標籤上，選取 [使用者、群組或服務主體]，然後選取 [+ 選取成員]。 在搜尋列中，搜尋並選取涵蓋會使用設定檔容器的使用者之安全性群組。

6. 選取 [檢閱 + 指派] 以完成指派。

設定 NTFS 權限

接下來，您必須在資料夾上設定 NTFS 權限，這會需要您取得儲存體帳戶的存取金鑰。

取得儲存體帳戶存取金鑰方式如下：

1. 從 Azure 入口網站的搜尋列中，搜尋並選取 [儲存體帳戶]。

2. 從記憶體帳戶清單中，選取您啟用 Active Directory 網域服務 或Microsoft Entra Domain Services 作為身分識別來源的帳戶，並在前幾節中指派 RBAC 角色。

3. 在 [安全性 + 網路] 底下，選取 [存取金鑰]，讓 key1 的金鑰顯示並複製。

在資料夾上設定正確的 NTFS 權限方式如下：

1. 登入屬於部分主機集區的工作階段主機。

2. 開啟提升許可權的 PowerShell 提示字元，然後執行下列命令，將儲存體帳戶對應到工作階段主機上的磁碟機。 已對應的磁碟機不會顯示在「檔案總管」中，但可以使用 net use 命令來檢視。 這樣一來您就能設定共用權限。

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • 以您選擇的磁碟機代號取代 <desired-drive-letter> (例如 y:)。
   • 將的兩個實例 <storage-account-name> 取代為您稍早指定的記憶體帳戶名稱。
   • 以您先前建立的共用名稱取代 <share-name>。
   • 以 Azure 的儲存體帳戶金鑰取代 <storage-account-key>。

   例如：

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. 執行下列命令，讓您的 Azure 虛擬桌面使用者建立自己的設定檔，同時阻擋其他使用者存取這些設定檔。 您應該使用 Active Directory 安全性群組，其中包含想要使用設定檔容器的使用者。 在下列命令中，將 <mounted-drive-letter> 取代為您用於對應磁碟機的磁碟機字母，並將 <DOMAIN\GroupName> 取代為需要存取共用的網域和 Active Directory 群組的 sAMAccountName。 您也可以指定使用者的使用者主體名稱 (UPN)。

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   例如：

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

設定工作階段主機以使用「設定檔容器」

若要使用「設定檔容器」，必需確定在您的工作階段主機 VM 上已安裝 FSLogix App。 FSLogix App 已預先安裝於 Windows 10 企業版多重工作階段和 Windows 11 企業版多重工作階段作業系統之中，但您仍應遵循下列步驟，因其可能尚未安裝最新版本。 若您使用自訂映像，則可以在映像中安裝 FSLogix App。

若要設定「設定檔容器」，建議您使用「群組原則喜好設定」，以在所有的工作階段主機之間大規模設定登錄機碼和值。 您也可以在自訂映像中設定。

在工作階段主機 VM 上設定「設定檔容器」方式如下：

1. 登入來自主機集區建立自訂映像或工作階段主機 VM 的 VM。

2. 若您需要安裝或更新 FSLogix App，請下載最新版本的 FSLogix 並執行 FSLogixAppsSetup.exe 來安裝，然後遵循安裝精靈中的指示來進行安裝。 如需安裝流程的詳細資訊，包括自訂和自動安裝，請參閱下載並安裝 FSLogix。

3. 開啟提升許可權的 PowerShell 提示字元並執行下列命令，並由您稍早建立的儲存體帳戶 UNC 路徑來取代 \\<storage-account-name>.file.core.windows.net\<share-name>。 這些命令會啟用「設定檔容器」，並設定該共用位置。

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. 重新開機用以建立自訂映像或工作階段主機 VM 的 VM。 您必須針對任何剩餘的工作階段主機 VM 以重複這些步驟。

您現在已完成「設定檔容器」的設定。 若您要在自訂映像中安裝「設定檔容器」，必需完成建立該自訂映像。 如需詳細資訊，請遵循在 Azure 中建立自訂映像 一節中的步驟，並從取得最終快照集開始。

驗證設定檔的建立

安裝並設定「設定檔容器」之後，您可以透過登入來使用在主機集區上已指派應用程式群組，或桌面的使用者帳戶，以測試部署。

如果使用者之前已登入，便已有一個本機設定檔，此工作階段期間會使用這個現有的設定檔。 請先刪除本機設定檔，或建立新的使用者帳戶，以用來測試。

使用者可以依照下列步驟來檢查「設定檔容器」是否已設定完成：

1. 以測試使用者身分登入 Azure 虛擬桌面。

2. 使用者登入時，登入過程中應該會顯示「請等候 FSLogix 應用程式服務」的訊息應該，然後再進到桌面。

系統管理員可以依照下列步驟來檢查設定檔資料夾是否已建立：

1. 開啟 Azure 入口網站。

2. 選取您先前建立的儲存體帳戶。

3. 前往儲存體帳戶中的 [資料儲存體]，然後選取 [檔案共用]。

4. 開啟檔案共用，確定您建立的使用者設定檔資料夾位於該處。

下一步

您可以在 Azure 虛擬桌面與 FSLogix 設定檔容器的使用者配置檔管理中 ，找到與 FSlogix 配置檔容器相關的概念詳細資訊。