這很重要
以下功能目前為預覽階段:
- 儲存 FSLogix 使用者設定檔容器,用於僅雲端身份或外部身份。
如需適用於 Beta 版、預覽版或尚未正式發行的 Azure 功能的法律條款,請參閱 Microsoft Azure 預覽版的補充使用規定。
在本文中,您將瞭解如何建立及配置適用於 Microsoft Entra Kerberos 驗證的 Azure 檔案共用。 此設定允許您根據設定儲存 FSLogix 設定檔,供不同使用者存取:
- 使用 Microsoft Entra 的混合使用者身份,或透過 Microsoft Entra 混合加入的會話主機,不需網路可見到網域控制站。 Azure 雲端、適用於美國政府的 Azure 和 21Vianet 營運的 Azure 支援此功能。
- 以僅雲端身份或外部身份為依據。 此功能目前為預覽版,僅在 Azure 雲端中提供。
Microsoft Entra Kerberos 可讓 Microsoft Entra ID 發出必要的 Kerberos 票證,以使用業界標準 SMB 通訊協定存取檔案共用。
先決條件
部署此解決方案之前,請確認您的環境符合使用 Microsoft Entra Kerberos 驗證設定 Azure 檔案儲存體 的需求 。
用於 Azure 虛擬桌面中的 FSLogix 配置檔時,會話主機不需要具有與網域控制器(DC)的網路可見性。 不過,需要具有 DC 網路視線的系統,才能設定 Azure 檔案儲存體共用的許可權。
在部署此解決方案前,請確認您的環境符合設定 Azure Files 與 Microsoft Entra Kerberos 認證 ( 僅限雲端或外部身份)的要求。
設定您的 Azure 儲存體帳戶和檔案共用
若要將 FSLogix 設定檔儲存在 Azure 檔案共用上:
如果您還沒有 Azure 儲存體帳戶,請建立帳戶。
備註
您的 Azure 儲存體帳戶無法同時使用 Microsoft Entra ID 和第二種方法進行驗證,例如 Active Directory 網域服務 (AD DS) 或 Microsoft Entra 網域服務。 您只能使用一種驗證方法。
在您的儲存體帳戶下,建立 Azure 檔案儲存體共用,以儲存您的 FSLogix 個人檔案,如果您尚未這麼做。
在 Azure 檔案儲存體上啟用 Microsoft Entra Kerberos 驗證 ,以啟用已加入 Microsoft Entra VM 的存取。
- 設定目錄和檔案層級許可權時,請檢閱 FSLogix 配置檔建議的許可權清單,請參閱 設定配置檔容器的儲存體許可權。
- 如果沒有適當的目錄層級權限,使用者可以刪除使用者設定檔或存取其他使用者的個人資訊。 確保使用者擁有適當的權限以防止意外刪除非常重要。
若要將 FSLogix 設定檔儲存在 Azure 檔案共用上:
如果您還沒有 Azure 儲存體帳戶,請建立帳戶。
備註
您的 Azure 儲存體帳戶無法同時使用 Microsoft Entra ID 和第二種方法進行驗證,例如 Active Directory 網域服務 (AD DS) 或 Microsoft Entra 網域服務。 您只能使用一種驗證方法。
如果你還沒建立 FSLogix 設定檔,可以在你的儲存帳號下建立 Azure 檔案共享,這樣你就能透過「管理存取控制」來管理權限。
在 Azure 檔案儲存體上啟用 Microsoft Entra Kerberos 驗證 ,以啟用已加入 Microsoft Entra VM 的存取。
- 設定目錄和檔案層級許可權時,請檢閱 FSLogix 配置檔建議的許可權清單,請參閱 設定配置檔容器的儲存體許可權。
- 如果沒有適當的目錄層級權限,使用者可以刪除使用者設定檔或存取其他使用者的個人資訊。 確保使用者擁有適當的權限以防止意外刪除非常重要。
- 請確保你遵循 Entra 應用程式在檔案共用中的註冊步驟,以便 Kerberos 票證能夠包含來自 Entra 的群組。
設定您的本機 Windows 裝置
若要從已加入 Microsoft Entra 的 VM 存取 Azure 檔案共享以使用 FSLogix 設定檔,您必須設定載入 FSLogix 設定檔的本機 Windows 裝置。 若要設定您的裝置:
使用下列其中一種方法啟用 Microsoft Entra Kerberos 功能。
- 使用設定目錄設定此 Intune 政策 CSP,並將它套用至會話主機:Kerberos/CloudKerberosTicketRetrievalEnabled。
備註
Windows 多重工作階段用戶端作業系統現在支援此設定,前提是它已在「設定集」中進行配置,在此設定集中現在可以使用該設定。 如需詳細資訊,請參閱 使用 Intune 搭配 Azure 虛擬桌面多重會話。
在您的裝置上啟用此群組原則。 路徑將是下列其中一項,視您使用的 Windows 版本而定:
Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logonAdministrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon在您的裝置上建立下列登錄值:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
當您將 Microsoft Entra ID 與 FSLogix 等漫遊配置檔解決方案搭配使用時,認證管理員中的認證金鑰必須屬於目前載入的配置檔。 這可讓您在許多不同的 VM 上載入設定檔,而不必僅限於一個。 若要啟用此設定,請執行下列命令來建立新的登錄值:
reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1備註
會話主機不需要與網域控制器有直接網路連接。
當您將 Microsoft Entra ID 與 FSLogix 等漫遊配置檔解決方案搭配使用時,認證管理員中的認證金鑰必須屬於目前載入的配置檔。 這可讓您在許多不同的 VM 上載入設定檔,而不必僅限於一個。 若要啟用此設定,請執行下列命令來建立新的登錄值:
reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
在本機 Windows 裝置上設定 FSLogix
本節說明如何使用 FSLogix 設定本機 Windows 裝置。 每次設定裝置時,您都需要遵循這些指示。 有數個選項可確保在所有會話主機上設定登錄機碼。 您可以在映像中設定這些選項,或設定群組原則。
若要設定 FSLogix:
如有需要,在您的裝置上更新或安裝 FSLogix。
備註
如果您要設定使用 Azure 虛擬桌面服務建立的工作階段主機,則應該已預先安裝 FSLogix。
請遵循 設定設定檔容器登錄設定 中的指示,建立 Enabled 和 VHDLocations 登錄值。 將 VHDLocations 的值設定為
\\<Storage-account-name>.file.core.windows.net\<file-share-name>。
測試您的部署
安裝並設定 FSLogix 之後,您可以使用指派給主機集區上應用程式群組的使用者帳戶登入,以測試部署。 您登入時使用的使用者帳戶必須具有使用檔案共用的權限。
如果使用者曾經登入過,服務將會在此工作階段使用他們現有的本機設定檔。 若要避免創建本機使用者設定檔,請建立一個新使用者帳戶以進行測試,或使用教學課程:設定配置檔容器以重新導向使用者配置檔中所描述的組態方法,以啟用DeleteLocalProfileWhenVHDShouldApply設定。
最後,在使用者成功登入之後,確認 Azure 檔案儲存體中所建立的設定檔:
開啟 Azure 入口網站,然後使用系統管理帳戶登入。
從側邊欄中,選取 [儲存體帳戶]。
選取您為工作階段主機集區設定的儲存體帳戶。
從側邊欄中,選取 檔案共用。
選取您配置用來儲存設定檔的檔案共享。
如果所有內容都設定正確,您應該會看到一個名稱格式為以下格式的目錄:
<user SID>_<username>。
後續步驟
- 若要針對 FSLogix 進行疑難排解,請參閱此 疑難排解指南。