Ukládání kontejnerů profilů FSLogix ve službě Azure Files a ID Microsoft Entra

V tomto článku se dozvíte, jak vytvořit a nakonfigurovat sdílenou složku Azure Pro ověřování microsoft Entra Kerberos. Tato konfigurace umožňuje ukládat profily FSLogix, ke kterým můžou přistupovat hybridní identity uživatelů z hostitelů hybridních relací připojených k Microsoft Entra nebo Microsoft Entra, aniž by bylo nutné mít přístup k řadičům domény. Protokol Microsoft Entra Kerberos umožňuje službě Microsoft Entra ID vydat potřebné lístky Protokolu Kerberos pro přístup ke sdílené složce pomocí standardního standardního protokolu SMB.

Tato funkce je podporovaná v cloudu Azure, Azure for US Government a Azure provozovaném společností 21Vianet.

Požadavky

Před nasazením tohoto řešení ověřte, že vaše prostředí splňuje požadavky na konfiguraci služby Azure Files s ověřováním Microsoft Entra Kerberos.

Pokud se používají pro profily FSLogix ve službě Azure Virtual Desktop, hostitelé relací nemusí mít síťový dohled na řadič domény (DC). K konfiguraci oprávnění ke sdílené složce Azure Files se ale vyžaduje systém se sledováním síťové linky řadiče domény.

Konfigurace účtu úložiště Azure a sdílené složky

Uložení profilů FSLogix do sdílené složky Azure:

1. Pokud ho ještě nemáte, vytvořte účet Azure Storage.

   Poznámka:

   Váš účet Azure Storage se nemůže ověřit pomocí ID Microsoft Entra a druhé metody, jako je Doména služby Active Directory Services (AD DS) nebo Microsoft Entra Domain Services. Můžete použít pouze jednu metodu ověřování.

2. Pokud jste to ještě neudělali, vytvořte ve svém účtu úložiště sdílenou složku Azure Files a uložte profily FSLogix.

3. Povolte ověřování Microsoft Entra Kerberos ve službě Azure Files a povolte přístup k virtuálním počítačům připojeným k Microsoft Entra.

   • Při konfiguraci oprávnění na úrovni adresáře a souborů si projděte doporučený seznam oprávnění pro profily FSLogix na stránce Konfigurace oprávnění úložiště pro kontejnery profilů.
   • Bez správných oprávnění na úrovni adresáře může uživatel odstranit profil uživatele nebo získat přístup k osobním údajům jiného uživatele. Je důležité zajistit, aby uživatelé měli správná oprávnění, aby se zabránilo náhodnému odstranění.

Konfigurace místního zařízení s Windows

Pokud chcete získat přístup ke sdíleným složkám Azure z virtuálního počítače připojeného k Microsoft Entra pro profily FSLogix, musíte nakonfigurovat místní zařízení s Windows, do kterého se načítají profily FSLogix. Konfigurace zařízení:

1. Pomocí jedné z následujících metod povolte funkci protokolu Microsoft Entra Kerberos.

   • Nakonfigurujte tohoto poskytovatele CSP zásad Intune a použijte ho na hostitele relace: Kerberos/CloudKerberosTicketRetrievalEnabled.

   Poznámka:

   Klientské operační systémy Windows s více relacemi nepodporují poskytovatele CSP zásad, protože podporují pouze katalog nastavení, takže budete muset použít jednu z dalších metod. Další informace najdete v tématu Použití více relací služby Azure Virtual Desktop s Intune.

   • Povolte na svém zařízení tuto zásadu skupiny. Cesta bude jedna z následujících v závislosti na používané verzi Windows:

   • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

   • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

   • Na zařízení vytvořte následující hodnotu registru: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Pokud používáte Microsoft Entra ID s řešením cestovního profilu, jako je FSLogix, musí klíče přihlašovacích údajů ve Správci přihlašovacích údajů patřit do profilu, který se právě načítá. Díky tomu můžete svůj profil načíst na mnoha různých virtuálních počítačích, a nemusíte tak být omezeni jenom na jeden. Pokud chcete toto nastavení povolit, vytvořte novou hodnotu registru spuštěním následujícího příkazu:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

   Poznámka:

   Hostitelé relací nepotřebují síťový dohled na řadič domény.

Konfigurace FSLogix na místním zařízení s Windows

V této části se dozvíte, jak nakonfigurovat místní zařízení s Windows pomocí FSLogix. Při každé konfiguraci zařízení budete muset postupovat podle těchto pokynů. Je k dispozici několik možností, které zajistí nastavení klíčů registru na všech hostitelích relací. Tyto možnosti můžete nastavit v imagi nebo můžete nakonfigurovat zásady skupiny.

Konfigurace FSLogix:

1. V případě potřeby aktualizujte nebo nainstalujte FSLogix na zařízení.

   Poznámka:

   Pokud konfigurujete hostitele relace vytvořeného pomocí služby Azure Virtual Desktop, měla by být služba FSLogix už předinstalovaná.

2. Postupujte podle pokynů v části Konfigurace nastavení registru kontejneru profilu a vytvořte hodnoty registru Enabled a VHDLocations . Nastavte hodnotu VHDLocations na \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Otestování nasazení

Po instalaci a konfiguraci FSLogix můžete nasazení otestovat přihlášením pomocí uživatelského účtu, který je přiřazen ke skupině aplikací ve fondu hostitelů. Uživatelský účet, kterým se přihlašujete, musí mít oprávnění k používání sdílené složky.

Pokud se uživatel přihlásil dříve, bude mít existující místní profil, který bude služba používat během této relace. Pokud se chcete vyhnout vytváření místního profilu, vytvořte nový uživatelský účet, který se použije pro testy, nebo použijte metody konfigurace popsané v kurzu: Konfigurace kontejneru profilů pro přesměrování profilů uživatelů, aby bylo možné povolit nastavení DeleteLocalProfileWhenVHDShouldApply .

Nakonec ověřte profil vytvořený ve službě Azure Files po úspěšném přihlášení uživatele:

1. Otevřete Azure Portal a přihlaste se pomocí účtu pro správu.

2. Na bočním panelu vyberte Účty úložiště.

3. Vyberte účet úložiště, který jste nakonfigurovali pro fond hostitelů relací.

4. Na bočním panelu vyberte Sdílené složky.

5. Vyberte sdílenou složku, kterou jste nakonfigurovali pro uložení profilů.

6. Pokud je všechno správně nastavené, měli byste vidět adresář s názvem, který je formátovaný takto: <user SID>_<username>.

Další kroky

• Informace o řešení potíží s FSLogix najdete v tomto průvodci odstraňováním potíží.