編輯

共用方式為

使用 Azure 檔案儲存體和 Microsoft Entra ID 建立配置檔容器

  • 操作方式

在本文中,您將瞭解如何建立及設定 Microsoft Entra Kerberos 驗證的 Azure 檔案儲存體 共用。 此組態可讓您儲存 FSLogix 配置檔,這些配置檔可由已加入 Microsoft Entra 的混合式使用者身分識別或 Microsoft Entra 混合式加入會話主機存取,而不需要域控制器的網路視線。 Microsoft Entra Kerberos 可讓 Microsoft Entra ID 發出必要的 Kerberos 票證,以使用業界標準 SMB 通訊協定存取檔案共用。

Azure 雲端、適用於美國政府的 Azure 和由 21Vianet 運作的 Azure 支援此功能。

必要條件

部署此解決方案之前,請確認您的環境符合使用 Microsoft Entra Kerberos 驗證設定 Azure 檔案儲存體 的需求

在 Azure 虛擬桌面中用於 FSLogix 配置檔時,會話主機不需要有域控制器的網路視線(DC)。 不過,需要具有DC網路視線的系統,才能設定 Azure 檔案儲存體共用的許可權。

設定您的 Azure 記憶體帳戶和檔案共用

若要將 FSLogix 設定檔儲存在 Azure 檔案共享上:

  1. 如果您還沒有帳戶,請建立 Azure 儲存體 帳戶

    注意

    您的 Azure 儲存體 帳戶無法使用 Microsoft Entra 識別碼和第二種方法進行驗證,例如 Active Directory 網域服務 (AD DS) 或 Microsoft Entra Domain Services。 您只能使用一個驗證方法。

  2. 如果您尚未儲存 FSLogix 設定檔,請在您的記憶體帳戶下建立 Azure 檔案儲存體 共用

  3. 在 Azure 檔案儲存體 上啟用 Microsoft Entra Kerberos 驗證,以啟用來自已加入 Microsoft Entra 的 VM 的存取。

    • 設定目錄和檔案層級許可權時,請在設定配置檔容器的記憶體許可權,檢閱 FSLogix 設定檔的建議許可權清單。
    • 若沒有適當的目錄層級許可權,用戶可以刪除使用者配置檔或存取不同用戶的個人資訊。 請務必確定使用者具有適當的許可權,以防止意外刪除。

設定會話主機

若要從已加入 Microsoft Entra 的 VM 存取 FSLogix 設定檔的 Azure 檔案共用,您必須設定會話主機。 若要設定工作階段主機:

  1. 使用下列其中一種方法啟用 Microsoft Entra Kerberos 功能。

    • 設定此 Intune 原則 CSP 並將其套用至會話主機: Kerberos/CloudKerberosTicketRetrievalEnabled

      注意

      Windows 多會話用戶端操作系統不支持原則 CSP,因為它們只支援 設定目錄,因此您必須使用其中一個其他方法。 若要深入瞭解,請參閱 搭配 Intune 使用 Azure 虛擬桌面多會話。

    • 在工作階段主機上啟用此組策略。 路徑將會是下列其中一項,視您在會話主機上使用的 Windows 版本而定:

      • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
      • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
      • 在工作階段主機上建立下列登入值: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

  2. 當您搭配 FSLogix 等漫遊配置檔解決方案使用 Microsoft Entra ID 時,認證管理員中的認證金鑰必須屬於目前正在載入的設定檔。 這可讓您在許多不同的 VM 上載入設定檔,而不是只限製為一個。 若要啟用此設定,請執行下列命令來建立新的登錄值:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

注意

會話主機不需要域控制器的網路視線。

在會話主機上設定 FSLogix

本節將說明如何為 VM 設定 FSLogix。 每次設定工作階段主機時,您都必須依照這些指示操作。 有數個選項可用來確保會在所有工作階段主機上設定登錄機碼。 您可以在映像中設定這些選項,或設定群組原則。

若要設定 FSLogix:

  1. 視需要在您的會話主機上更新或安裝 FSLogix

    注意

    如果使用 Azure 虛擬桌面服務建立會話主機,則應該已經預安裝 FSLogix。

  2. 依照設定配置檔容器登錄設定中的指示來建立 EnabledVHDLocations 登錄值。 將 VHDLocations 的值設定為 \\<Storage-account-name>.file.core.windows.net\<file-share-name>

測試您的部署

安裝並設定 FSLogix 之後,您可以使用已指派給主機集區上應用程式群組的使用者帳戶登入來測試部署。 您用來登入的使用者帳戶必須具有使用檔案共享的許可權。

如果使用者先前已登入,他們將會有服務在此會話期間將使用的現有本機配置檔。 若要避免建立本機配置檔,請建立新的用戶帳戶以用於測試,或使用教學課程:設定配置檔容器以重新導向使用者配置檔,以啟用DeleteLocalProfileWhenVHDShouldApply 設定中所述的組態方法。

最後,在使用者成功登入之後,確認在 Azure 檔案儲存體 中建立的配置檔:

  1. 開啟 Azure 入口網站 並使用系統管理帳戶登入。

  2. 從提要欄位中,選取 [儲存體 帳戶]。

  3. 選取您為會話主機集區設定的記憶體帳戶。

  4. 從提要欄位中,選取 [ 檔案共享]。

  5. 選取您設定用來儲存設定檔的檔案共用。

  6. 如果一切都已正確設定,您應該會看到名稱格式如下的目錄: <user SID>_<username>

後續步驟

若要針對 FSLogix 進行疑難解答,請參閱此疑難解答指南