使用 Azure 檔案儲存體和 Active Directory Domain Services 或 Microsoft Entra Domain Services 設定 FSLogix 設定檔容器
本文將說明當您的工作階段主機虛擬機器 (VM) 加入 Active Directory Domain Services (AD DS) 網域或 AMicrosoft Entra Domain Services 受控網域時,如何使用 Azure 檔案儲存體來設定 FSLogix 設定檔容器。
必要條件
您將需要下列項目:
- 主機集區,其中工作階段主機會加入 AD DS 網域或 Microsoft Entra Domain Services 受控網域,並指派使用者。
- 網域中的安全性群組,包括即將使用「設定檔容器」的使用者。 若您使用 AD DS,則必須同步至 Microsoft Entra ID。
- 建立儲存體帳戶並新增角色指派的 Azure 訂用帳戶中的權限。
- 網域帳戶,可將電腦加入網域並開啟提升權限的 PowerShell 提示字元。
- Azure 訂用帳戶的訂閱識別碼,您的儲存體帳戶會位在此訂用帳戶。
- 已加入網域的電腦,用於安裝及執行將儲存體帳戶加入網域的 PowerShell 模組。 此裝置必需執行 支援的 Windows 版本。 您可以改用工作階段主機。
重要
若使用者先前已登入您想要使用的工作階段主機,其中已經建立他們的本機設定檔,因此必須先由管理員刪除,才能將設定檔儲存於「設定檔容器」之中。
設定適用於「設定檔容器」的儲存體帳戶
設定儲存體帳戶:
登入 Azure 入口網站。
在搜尋列中,搜尋 [儲存體帳戶]。
選取 + 建立。
在 [建立儲存體帳戶] 分頁上的 [基本] 索引標籤中輸入下列資訊:
- 為此儲存體帳戶建立新的資源群組,或選取現有的資源群組來儲存。
- 輸入儲存體帳戶的唯一名稱。 儲存體帳戶名稱必需介於 3 到 24 個字元之間。
- 針對 [區域],建議您選擇與「Azure 虛擬桌面」主機集區相同的位置。
- 針對 [效能],請選取 [標準] 作為 [最小值]。
- 若您選取 [進階效能],請將 [進階帳戶類型] 設定為 [檔案共用]。
- 針對 [備援] 請選取 [本地備援儲存體 (LRS)] 作為 [最小值]。
- 其餘索引標籤上的預設值無需變更。
提示
您的組織可能會需要變更這些預設值:
- 您是否應該選取 [進階],取決於您的 IOPS 和延遲需求。 如需詳細資訊,請參閱 在 Azure 虛擬桌面中的 FSLogix 設定檔容器儲存體選項。
- 在 [進階] 索引標籤上,[啟用儲存體帳戶金鑰存取] 必須保持在已啟用狀態。
- 如需其餘組態選項的詳細資訊,請參閱 規劃 Azure 檔案儲存體的部署。
選取 [檢閱 + 建立]。 檢閱要使用的參數和值,然後選取 [建立]。
建立儲存體帳戶之後,選取 [前往資源]。
在 [資料儲存體] 區段中,請選取 [檔案共用]。
選取 [+ 檔案共用]。
請輸入 [名稱],例如 [設定檔],然後針對階層選取 [交易最佳化]。
請將您的儲存體帳戶加入 Active Directory
若要將 Active Directory 帳戶用於檔案共用的共用權限,您必需啟用 AD DS 或 Microsoft Entra Domain Services 作為來源。 本程式會將儲存體帳戶加入網域,並將其表示為電腦帳戶。 針對您的案例請在下方選取適用的索引標籤,並依照步驟操作。
請登入已加入 AD DS 網域的電腦。 或者,登入其中一個工作階段主機。
從 Azure 檔案儲存體範例 GitHub 存放庫下載並擷取 最新版本的 AzFilesHybrid。 記下將檔案解壓縮的資料夾。
開啟提升權限的 PowerShell 提示並變更至已解壓縮檔案的目錄。
執行下列命令,將
AzFilesHybrid
模組新增至使用者的 PowerShell 模組目錄:.\CopyToPSPath.ps1
執行下列命令以匯入
AzFilesHybrid
模組:Import-Module -Name AzFilesHybrid
重要
本模組需要 PowerShell 資源庫 和 Azure PowerShell。 若尚未安裝或需要更新,系統可能會提示您進行安裝。 如果您收到系統提示,請執行安裝,然後關閉 PowerShell 的所有實例。 重新開啟提升許可權的 PowerShell 提示字元,然後在繼續之前再次匯入
AzFilesHybrid
模組。執行下列命令以登入 Azure。 您必需使用具有下列其中一種角色型存取控制 (RBAC) 角色的帳戶:
- 儲存體帳戶擁有者
- 擁有者
- 參與者
Connect-AzAccount
提示
若您的 Azure 帳戶可以存取多個租用戶和/或訂用帳戶,您必須設定內容來選取正確的訂用帳戶。 如需詳細資訊,請參閱 Azure PowerShell 環境內容
請執行下列命令,並以您的值取代
$subscriptionId
、$resourceGroupName
和$storageAccountName
的值,來將儲存體帳戶加入網域。 您也可以新增參數-OrganizationalUnitDistinguishedName
,以指定要放置電腦帳戶的組織單位 (OU)。$subscriptionId = "subscription-id" $resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" Join-AzStorageAccount ` -ResourceGroupName $ResourceGroupName ` -StorageAccountName $StorageAccountName ` -DomainAccountType "ComputerAccount"
若要確認儲存體帳戶已加入您的網域,請執行下列命令並檢閱輸出,並以您的值取代
$resourceGroupName
和$storageAccountName
的值:$resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
重要
若您的網域強制密碼到期,必須在密碼最長使用期限之前更新密碼,以避免在存取 Azure 檔案共用時發生驗證失敗。 如需詳細資訊,請參閱在 AD DS 中更新儲存體帳戶身分識別的密碼。
將 RBAC 角色指派給使用者
在檔案共用中儲存設定檔的使用者會需要存取它的權限。 若要這樣做,您必需將儲存體檔案資料 SMB 共用參與者角色指派給每位使用者。
若要將角色指派給使用者:
從 Azure 入口網站,瀏覽至儲存體帳戶,然後瀏覽至先前您所建立的檔案共用。
選取 [存取控制 (IAM)]。
選取 [+ 新增] 按鈕,並於下拉式功能表選取 [新增角色指派]。
選取 [儲存體檔案資料 SMB 共用參與者] 角色,然後選取 [下一步]。
在 [成員] 索引標籤上,選取 [使用者、群組或服務主體],然後選取 [+ 選取成員]。 在搜尋列中,搜尋並選取涵蓋會使用設定檔容器的使用者之安全性群組。
選取 [檢閱 + 指派] 以完成指派。
設定 NTFS 權限
接下來,您必須在資料夾上設定 NTFS 權限,這會需要您取得儲存體帳戶的存取金鑰。
取得儲存體帳戶存取金鑰方式如下:
從 Azure 入口網站的搜尋列中,搜尋並選取 [儲存體帳戶]。
從記憶體帳戶清單中,選取您啟用 Active Directory 網域服務 或Microsoft Entra Domain Services 作為身分識別來源的帳戶,並在前幾節中指派 RBAC 角色。
在 [安全性 + 網路] 底下,選取 [存取金鑰],讓 key1 的金鑰顯示並複製。
在資料夾上設定正確的 NTFS 權限方式如下:
登入屬於部分主機集區的工作階段主機。
開啟提升許可權的 PowerShell 提示字元,然後執行下列命令,將儲存體帳戶對應到工作階段主機上的磁碟機。 已對應的磁碟機不會顯示在「檔案總管」中,但可以使用
net use
命令來檢視。 這樣一來您就能設定共用權限。net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
- 以您選擇的磁碟機代號取代
<desired-drive-letter>
(例如y:
)。 - 將的兩個實例
<storage-account-name>
取代為您稍早指定的記憶體帳戶名稱。 - 以您先前建立的共用名稱取代
<share-name>
。 - 以 Azure 的儲存體帳戶金鑰取代
<storage-account-key>
。
例如:
net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
- 以您選擇的磁碟機代號取代
執行下列命令,讓您的 Azure 虛擬桌面使用者建立自己的設定檔,同時阻擋其他使用者存取這些設定檔。 您應該使用 Active Directory 安全性群組,其中包含想要使用設定檔容器的使用者。 在下列命令中,將
<mounted-drive-letter>
取代為您用於對應磁碟機的磁碟機字母,並將<DOMAIN\GroupName>
取代為需要存取共用的網域和 Active Directory 群組的 sAMAccountName。 您也可以指定使用者的使用者主體名稱 (UPN)。icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)" icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls <mounted-drive-letter>: /remove "Authenticated Users" icacls <mounted-drive-letter>: /remove "Builtin\Users"
例如:
icacls y: /grant "CONTOSO\AVDUsers:(M)" icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls y: /remove "Authenticated Users" icacls y: /remove "Builtin\Users"
設定工作階段主機以使用「設定檔容器」
若要使用「設定檔容器」,必需確定在您的工作階段主機 VM 上已安裝 FSLogix App。 FSLogix App 已預先安裝於 Windows 10 企業版多重工作階段和 Windows 11 企業版多重工作階段作業系統之中,但您仍應遵循下列步驟,因其可能尚未安裝最新版本。 若您使用自訂映像,則可以在映像中安裝 FSLogix App。
若要設定「設定檔容器」,建議您使用「群組原則喜好設定」,以在所有的工作階段主機之間大規模設定登錄機碼和值。 您也可以在自訂映像中設定。
在工作階段主機 VM 上設定「設定檔容器」方式如下:
登入來自主機集區建立自訂映像或工作階段主機 VM 的 VM。
若您需要安裝或更新 FSLogix App,請下載最新版本的 FSLogix 並執行
FSLogixAppsSetup.exe
來安裝,然後遵循安裝精靈中的指示來進行安裝。 如需安裝流程的詳細資訊,包括自訂和自動安裝,請參閱下載並安裝 FSLogix。開啟提升許可權的 PowerShell 提示字元並執行下列命令,並由您稍早建立的儲存體帳戶 UNC 路徑來取代
\\<storage-account-name>.file.core.windows.net\<share-name>
。 這些命令會啟用「設定檔容器」,並設定該共用位置。$regPath = "HKLM:\SOFTWARE\FSLogix\profiles" New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
重新開機用以建立自訂映像或工作階段主機 VM 的 VM。 您必須針對任何剩餘的工作階段主機 VM 以重複這些步驟。
您現在已完成「設定檔容器」的設定。 若您要在自訂映像中安裝「設定檔容器」,必需完成建立該自訂映像。 如需詳細資訊,請遵循在 Azure 中建立自訂映像 一節中的步驟,並從取得最終快照集開始。
驗證設定檔的建立
安裝並設定「設定檔容器」之後,您可以透過登入來使用在主機集區上已指派應用程式群組,或桌面的使用者帳戶,以測試部署。
如果使用者之前已登入,便已有一個本機設定檔,此工作階段期間會使用這個現有的設定檔。 請先刪除本機設定檔,或建立新的使用者帳戶,以用來測試。
使用者可以依照下列步驟來檢查「設定檔容器」是否已設定完成:
以測試使用者身分登入 Azure 虛擬桌面。
使用者登入時,登入過程中應該會顯示「請等候 FSLogix 應用程式服務」的訊息應該,然後再進到桌面。
系統管理員可以依照下列步驟來檢查設定檔資料夾是否已建立:
開啟 Azure 入口網站。
選取您先前建立的儲存體帳戶。
前往儲存體帳戶中的 [資料儲存體],然後選取 [檔案共用]。
開啟檔案共用,確定您建立的使用者設定檔資料夾位於該處。
下一步
您可以在 Azure 虛擬桌面與 FSLogix 設定檔容器的使用者配置檔管理中 ,找到與 FSlogix 配置檔容器相關的概念詳細資訊。