Speichern von FSLogix-Profilcontainern in Azure Files und Active Directory Domain Services oder Microsoft Entra Domain Services

In diesem Artikel erfahren Sie, wie Sie einen FSLogix-Profilcontainer mit Azure Files einrichten, wenn Ihre virtuellen Computer (VMs) des Sitzungshosts mit einer Active Directory Domain Services (AD DS)-Domäne oder einer verwalteten Microsoft Entra Domain Services-Domäne verbunden sind.

Voraussetzungen

Zum Konfigurieren eines Profilcontainers benötigen Sie Folgendes:

• Einen Hostpool, in dem die Sitzungshosts mit einer AD DS-Domäne oder einer von Microsoft Entra Domain Services verwalteten Domäne verknüpft sind und dem Benutzer zugewiesen sind.
• Eine Sicherheitsgruppe in Ihrer Domäne, welche die Benutzer enthält, die den Profilcontainer verwenden werden. Wenn Sie AD DS verwenden, muss diese mit Microsoft Entra ID synchronisiert werden.
• Berechtigung für Ihr Azure-Abonnement zum Erstellen eines Speicherkontos und Hinzufügen von Rollenzuweisungen.
• Ein Domänenkonto, um Computer mit der Domäne zu verknüpfen und eine PowerShell-Eingabeaufforderung mit erhöhten Rechten zu öffnen.
• Die Abonnement-ID Ihres Azure-Abonnements, in dem Sich Ihr Speicherkonto befindet.
• Ein Computer, der mit Ihrer Domäne verknüpft ist, um PowerShell-Module zu installieren und auszuführen, die mit einem Speicherkonto zu Ihrer Domäne verknüpft werden. Dieses Gerät muss eine unterstützte Version von Windows ausführen. Alternativ können Sie einen Sitzungshost verwenden.

Wichtig

Wenn sich Benutzer zuvor bei den Sitzungshosts angemeldet haben, die Sie verwenden möchten, wurden lokale Profile für sie erstellt, und diese müssen zuerst von einem Administrator gelöscht werden, damit ihr Profil in einem Profilcontainer gespeichert werden kann.

Einrichten eines Speicherkontos für einen Profilcontainer

So richten Sie ein Speicherkonto ein:

1. Erstellen Sie ein Azure-Speicherkonto, falls Sie noch keins besitzen.

   Tipp

   Möglicherweise hat Ihre Organisation Anforderungen, aufgrund derer diese Standardwerte geändert werden müssen:

   • Ob Sie Premium auswählen sollten, hängt von Ihren IOPS- und Latenzanforderungen ab. Weitere Informationen finden Sie unter Containerspeicheroptionen.
   • Auf der Registerkarte Erweitert muss Zugriff auf Speicherkontoschlüssel aktivieren aktiviert bleiben.
   • Weitere Informationen zu den verbleibenden Konfigurationsoptionen finden Sie unter Planen einer Azure Files-Bereitstellung.

2. Erstellen Sie eine Azure Files-Freigabe unter Ihrem Speicherkonto (sofern noch nicht geschehen), um Ihre FSLogix-Profile zu speichern.

Verknüpfen Ihres Speicherkontos mit Active Directory

Um Active Directory-Konten für die Freigabeberechtigungen Ihrer Dateifreigabe zu verwenden, müssen Sie AD DS oder Microsoft Entra Domain Services als Quelle aktivieren. Durch diesen Prozess wird Ihr Speicherkonto mit einer Domäne verknüpft, sodass diese als Computerkonto dargestellt ist. Wählen Sie die relevante Registerkarte unten für Ihr Szenario aus, und führen Sie die Schritte aus.

AD DS

1. Melden Sie sich bei einem Computer an, der mit Ihrer AD DS-Domäne verknüpft ist. Alternativ melden Sie sich bei einem Ihrer Sitzungshosts an.

2. Laden Sie die neueste Version von AzFilesHybrid aus den Beispielen für Azure Files-GitHub-Repository herunter und extrahieren Sie sie. Notieren Sie sich den Ordner, in den Sie die Dateien extrahieren.

3. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und wechseln Sie zu dem Verzeichnis, in dem Sie die Dateien extrahiert haben.

4. Führen Sie den folgenden Befehl aus, um das AzFilesHybrid-Modul zum PowerShell-Modulverzeichnis Ihres Benutzers hinzuzufügen:

   .\CopyToPSPath.ps1
   

5. Importieren Sie das AzFilesHybrid-Modul, indem Sie den folgenden Befehl ausführen:

   Import-Module -Name AzFilesHybrid
   

   Wichtig

   Dieses Modul erfordert den PowerShell-Katalog und Azure PowerShell. Möglicherweise werden Sie aufgefordert, diese zu installieren, wenn sie noch nicht installiert sind oder aktualisiert werden müssen. Wenn Sie dazu aufgefordert werden, installieren Sie sie, und schließen Sie dann alle Instanzen von PowerShell. Öffnen Sie erneut eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und importieren Sie das AzFilesHybrid-Modul erneut, bevor Sie fortfahren.

6. Melden Sie sich bei Azure an, indem Sie den nachfolgenden Befehl ausführen. Sie müssen ein Konto verwenden, das über eine der folgenden Rollen der rollenbasierten Zugriffssteuerung (RBAC) verfügt:

   • Speicherkontobesitzer
   • Besitzer
   • Mitwirkender

   Connect-AzAccount
   

   Tipp

   Wenn Ihr Azure-Konto Zugriff auf mehrere Mandanten und/oder Abonnements hat, müssen Sie das richtige Abonnement auswählen, indem Sie Ihren Kontext festlegen. Weitere Informationen finden Sie unter Azure PowerShell-Kontextobjekte.

7. Verknüpfen Sie das Speicherkonto mit Ihrer Domäne, indem Sie die folgenden Befehle ausführen und dabei die Werte für $subscriptionId, $resourceGroupName und $storageAccountName durch Ihre Werte ersetzen. Sie können auch den Parameter -OrganizationalUnitDistinguishedName hinzufügen, um eine Organisationseinheit (OE) anzugeben, in der das Computerkonto platziert werden soll.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Um zu überprüfen, ob das Speicherkonto mit Ihrer Domäne verknüpft ist, führen Sie die folgenden Befehle aus und überprüfen die Ausgabe, und ersetzen Sie die Werte für $resourceGroupName und $storageAccountName durch Ihre Werte:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Wichtig

Wenn Ihre Domäne den Ablauf von Kennwörtern erzwingt, müssen Sie das Kennwort aktualisieren, bevor es abläuft, um Authentifizierungsfehler beim Zugriff auf Azure-Dateifreigaben zu verhindern. Weitere Informationen finden Sie unter Aktualisieren des Kennworts für Ihre Speicherkontoidentität in AD DS.

Microsoft Entra Domain Services

1. Öffnen Sie im Azure-Portal das zuvor erstellte Speicherkonto.

2. Wählen Sie im Abschnitt Datenspeicher die Option Dateifreigaben aus.

3. Wählen Sie im Hauptabschnitt der Seite neben Active Directory die Option Nicht konfiguriert aus.

4. Wählen Sie im Feld fürMicrosoft Entra Domain Services Einrichten aus.

5. Aktivieren Sie das Kontrollkästchen, um Microsoft Entra Domain Services für diese Dateifreigabe zu aktivieren, und wählen Sie dann Speichern aus. Eine Organisationseinheit (OE) namens AzureFilesConfig wird im Stammverzeichnis Ihrer Domäne erstellt, und ein Benutzerkonto mit dem Namen des Speicherkontos wird in dieser OE erstellt. Dieses Konto wird als Azure Files-Dienstkonto verwendet.

Zuweisen von RBAC-Rollen an Benutzer

Benutzer, die Profile in Ihrer Dateifreigabe speichern müssen, benötigen die Berechtigung, um darauf zuzugreifen. Dazu müssen Sie jedem Benutzer die Rolle Speicherdateidaten-SMB-Freigabemitwirkender zuweisen.

So weisen Sie Benutzern die Rolle zu:

1. Navigieren Sie im Azure-Portal zum Speicherkonto und dann zu der zuvor erstellten Dateifreigabe.

2. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

3. Wählen Sie + Hinzufügen und dann aus dem Dropdownmenü Rollenzuweisung hinzufügen aus.

4. Wählen Sie die Rolle Mitwirkender für Speicherdateidaten-SMB-Freigabe und dann Weiter aus.

5. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal und dann die Option + Mitglieder auswählen aus. Suchen Sie in der Suchleiste nach der Sicherheitsgruppe, welche die Benutzer enthält, die den Profilcontainer verwenden werden, und wählen Sie diese aus.

6. Wählen Sie Überprüfen + Zuweisen aus, um die Zuweisung abzuschließen.

Festlegen von NTFS-Berechtigungen

Als Nächstes müssen Sie NTFS-Berechtigungen für den Ordner festlegen. Dazu müssen Sie den Zugriffsschlüssel für Ihr Speicherkonto abrufen.

So rufen Sie den Zugriffsschlüssel für das Speicherkonto ab:

1. Suchen Sie im Azure-Portal in der Suchleiste nach Speicherkonto und wählen Sie diese Option aus.

2. Wählen Sie in der Liste der Speicherkonten das Konto aus, für das Sie Active Directory Domain Services oder Microsoft Entra Domain Services als Identitätsquelle aktiviert und die RBAC-Rolle in den vorherigen Abschnitten zugewiesen haben.

3. Wählen Sie unter Sicherheit + Netzwerkbetrieb die Zugriffsschlüssel aus, und kopieren Sie den Schlüssel von Key1.

So legen Sie die richtigen NTFS-Berechtigungen für den Ordner fest:

1. Melden Sie sich bei einem Sitzungshost an, der Teil Ihres Hostpools ist.

2. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus, um das Speicherkonto als Laufwerk auf Ihrem Sitzungshost zuzuordnen. Das zugeordnete Laufwerk wird im Datei-Explorer nicht angezeigt, kann aber mit dem Befehl net use angezeigt werden. Auf diese Weise können Sie Berechtigungen für die Freigabe festlegen.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Ersetzen Sie <desired-drive-letter> durch einen Laufwerkbuchstaben Ihrer Wahl (z. B. y:).
   • Ersetzen Sie beide Instanzen von <storage-account-name> durch den Namen des Speicherkontos, das Sie zuvor angegeben haben.
   • Ersetzen Sie <share-name> durch den Namen der Freigabe, die Sie zuvor erstellt haben.
   • Ersetzen Sie <storage-account-key> durch den Speicherkontoschlüssel aus Azure.

   Beispiel:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Führen Sie die folgenden Befehle aus, um die Berechtigungen für die Freigabe festzulegen, die es Ihren Azure Virtual Desktop-Benutzern ermöglicht, ihre eigenen Profilcontainer zu erstellen, während sie den Zugriff auf die Profile anderer Benutzer verhindern. Sie sollten eine Active Directory-Sicherheitsgruppe verwenden, welche die Benutzer enthält, die den Profilcontainer verwenden sollen. Ersetzen Sie in den nachfolgenden Befehlen <mounted-drive-letter> durch den Buchstaben des Laufwerks, das Sie zum Zuordnen des Laufwerks verwendet haben, und <DOMAIN\GroupName> durch die Domäne und sAMAccountName der Active Directory-Gruppe, die Zugriff auf die Freigabe benötigt. Sie können auch den Benutzerprinzipalnamen (User Principal Name, UPN) eines Benutzers angeben.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Zum Beispiel:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Konfigurieren Ihres lokalen Windows-Geräts für die Verwendung von Profilcontainern

Um Profilcontainer verwenden zu können, müssen Sie sicherstellen, dass FSLogix-Apps auf Ihrem Gerät installiert sind. Wenn Sie Azure Virtual Desktop konfigurieren, werden FSLogix-Apps in den Betriebssystemen für Windows 10 Enterprise mit mehreren Sitzungen und Windows 11 Enterprise mit mehreren Sitzungen vorinstalliert, Sie sollten aber dennoch die folgenden Schritte ausführen, da möglicherweise nicht die aktuelle Version installiert ist. Wenn Sie ein benutzerdefiniertes Image verwenden, können Sie FSLogix Apps in Ihrem Image installieren.

Zum Konfigurieren von Profilcontainern empfehlen wir Ihnen die Verwendung der Gruppenrichtlinieneinstellungen zum Festlegen von Registrierungsschlüsseln und Werten im großen Stil für alle Ihre Sitzungshosts. Sie können diese auch in Ihrem benutzerdefinierten Image festlegen.

So konfigurieren Sie Ihr lokales Windows-Gerät:

1. Wenn Sie FSLogix Apps installieren oder aktualisieren müssen, laden Sie die neueste Version von FSLogix herunter, und installieren Sie sie, indem Sie FSLogixAppsSetup.exe ausführen, und befolgen Sie die Anweisungen im Setup-Assistenten. Weitere Informationen zum Installationsprozess, einschließlich Anpassungen und unbeaufsichtigter Installation, finden Sie unter Herunterladen und Installieren von FSLogix.

2. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie die folgenden Befehle aus, indem Sie \\<storage-account-name>.file.core.windows.net\<share-name> durch den UNC-Pfad zu Ihrem zuvor erstellten Speicherkonto ersetzen. Diese Befehle aktivieren den Profilcontainer und konfigurieren den Speicherort der Freigabe.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

3. Starten Sie das Gerät neu. Sie müssen diese Schritte für alle verbleibenden Geräte wiederholen.

Sie haben nun die Einrichtung Ihres Profilcontainers abgeschlossen. Wenn Sie den Profilcontainer in Ihrem benutzerdefinierten Image installieren, müssen Sie das Erstellen des benutzerdefinierten Images abschließen. Weitere Informationen erhalten Sie, wenn Sie die Schritte unter Erstellen eines benutzerdefinierten Images in Azure ab dem Abschnitt Erstellen der endgültigen Momentaufnahme ausführen.

Überprüfen der Profilerstellung

Nachdem Sie den Profilcontainer installiert und konfiguriert haben, können Sie Ihre Bereitstellung testen, indem Sie sich mit einem Benutzerkonto anmelden, dem eine Anwendungsgruppe oder ein Desktop im Hostpool zugewiesen wurde.

Wenn sich Benutzer*innen zuvor bereits angemeldet hatten, verfügen sie über ein vorhandenes lokales Profil, das während dieser Sitzung verwendet wird. Löschen Sie zuerst das lokale Profil, oder erstellen Sie ein neues Benutzerkonto, das für Tests verwendet werden soll.

Benutzer können überprüfen, ob der Profilcontainer eingerichtet ist, indem Sie die folgenden Schritte ausführen:

1. Melden Sie sich als Testbenutzer bei Azure Virtual Desktop an.

2. Wenn sich der Benutzer anmeldet, sollte im Rahmen des Anmeldevorgangs die Meldung „Bitte warten Sie auf die FSLogix Apps Services“ angezeigt werden, bevor Sie den Desktop erreichen.

Administratoren können überprüfen, ob der Profilordner erstellt wurde, indem sie die folgenden Schritte ausführen:

1. Öffnen Sie das Azure-Portal.

2. Öffnen Sie das zuvor erstellte Speicherkonto.

3. Wechseln Sie in Ihrem Speicherkonto zu Datenspeicher, und wählen Sie dann Dateifreigaben aus.

4. Öffnen Sie Ihre Dateifreigabe, und vergewissern Sie sich, dass sich der von Ihnen erstellte Benutzerprofilordner dort befindet.