Konfigurieren von FSLogix-Benutzerprofilen

  • 5 Minuten

Verwenden Sie FSLogix-Profile, um Ihren Azure Virtual Desktop-Benutzern ein optimales Benutzererlebnis zu bieten. FSLogix wurde für das Roaming von Profilen in Remote-Computerumgebungen, z. B. Azure Virtual Desktop ausgelegt. Benutzerprofile werden in benutzerbezogenen VHD- oder VHDX-Dateien gespeichert. Bei der Anmeldung wird dieser Profilcontainer dynamisch an die Computerumgebung angefügt. Das Benutzerprofil ist sofort verfügbar und wird im System exakt wie ein natives Benutzerprofil angezeigt.

Was ist FSLogix?

FSLogix ist eine Gruppe von Lösungen, die das lokale Benutzerprofil von einem einzelnen Windows Desktop entkoppelt und das Roaming zwischen mehreren Windows Computern ermöglicht.

Ein Benutzerprofil enthält Datenelemente zu einer Person, einschließlich Konfigurationsinformationen wie Desktopeinstellungen, persistenten Netzwerkverbindungen und Anwendungseinstellungen. Ein Remotebenutzer-Profil bietet eine Trennung von Benutzerdaten und Betriebssystem. Mit FSLogix-Lösungen haben Sie folgende Möglichkeiten:

  • Verwalten des Benutzerkontexts in gepoolten Desktopumgebungen
  • Minimieren der Anmeldezeiten für gepoolte Desktopumgebungen
  • Optimieren der Datei-E/A zwischen Sitzungshost und Remoteprofilspeicher

Erstellen eines FSLogix-Profils für Benutzer von Azure Virtual Desktop

Um FSLogix zum Trennen von Benutzerprofilen von den virtuellen Computern (VM) des Sitzungshosts zu verwenden, müssen wir Azure Storage konfigurieren und eine FSLogix-Profilfreigabe erstellen. Diese Schritte variieren je nach Speichertyp und davon, ob Sie Microsoft Entra Domain Services oder Active Directory Domain Services (AD DS) verwenden. In den folgenden Schritten wird beschrieben, wie Sie Azure Files mit Microsoft Entra Domain Services konfigurieren. Die Schritte für AD DS sind mit Ausnahme des Abschnitts "Aktivieren der Microsoft Entra-Authentifizierung" identisch. Die Unterschiede werden im betreffenden Abschnitt besprochen.

Erstellen des Speicherkontos

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie über das Suchfeld im Azure Portal nach Speicherkonten.
  3. Wählen Sie in der Befehlsleiste Speicherkonten die Option „Erstellen“ aus. Die Seite Erstellen eines Speicherkontos wird angezeigt.
  4. Wählen Sie unter Projektdetails das Abonnement aus und wählen Sie dann eine Ressourcengruppe aus oder erstellen Sie eine, die Ihre Speicherressourcen enthält.
  5. Geben Sie unter Instanzdetails einen eindeutigen Namen für Ihr Storage Konto ein.
  6. Wählen Sie dieselbe Region wie der AVD-Hostpool aus.
  7. Wählen Sie für die Leistung Premium aus.
  8. Wählen Sie für den Premium-Kontotyp „Dateifreigaben“ aus.
  9. Lassen Sie Redundanz auf lokal redundanten Speicher (Locally-Redundant Storage, LRS) festgelegt.
  10. Wählen Sie Überprüfen + Erstellen aus, um Ihre Eingaben zu überprüfen, und wählen Sie dann Erstellen aus.
  11. Warten Sie, bis die Bereitstellung abgeschlossen wurde. Dies kann eine Weile dauern.
  12. Wählen Sie Zu Ressource wechseln aus. Auf der Seite Speicherkonto werden Details zu Ihrem Speicherkonto angezeigt.

Aktivieren der Microsoft Entra-Authentifizierung

In den folgenden Schritten wird beschrieben, wie Sie die Authentifizierung für Azure-Dateifreigaben bei Microsoft Entra Domain Services aktivieren. Wenn Sie AD DS verwenden, müssen Sie Ihr Azure-Speicherkonto bei AD DS registrieren und dann die erforderlichen Domäneneigenschaften für das Speicherkonto festlegen. Verwenden Sie das AzFilesHybrid Azure PowerShell-Modul auf einem Gerät, das zur Domäne Ihres lokalen AD DS gehört. Das cmdlet Join-AzStorageAccountForAuth führt das Äquivalent eines Offlinedomänenbeitritts im Namen des Azure-Speicherkonto aus. Schrittweise Anleitungen zum Aktivieren der Authentifizierung bei lokalen AD DS finden Sie im Artikel zu verwandten Dokumenten am Ende dieses Moduls.

Aktivieren der Authentifizierung für Azure-Dateifreigaben mit Microsoft Entra Domain Services

  1. Scrollen Sie im Menü „Speicherkonto “ zu Datenspeicher, und wählen Sie dann Dateifreigaben aus.
  2. Suchen Sie oben auf der Seite nach Active Directory, und wählen Sie Nicht konfiguriert aus.
  3. Wählen Sie unter Microsoft Entra Domain Services die Option Einrichten aus.
  4. Wählen Sie Microsoft Entra Domain Services für diese Dateifreigabe aktivieren aus.
  5. Wählen Sie Speichern aus.
  6. Wählen Sie noch mal Speichern aus.

Zuweisen von Rollen für den Zugriff auf Speicherdaten

Zuweisen einer Rolle zu Microsoft Entra DC-Administratoren

Sie müssen der Gruppe "Microsoft Entra DC-Administratoren" und Ihren Azure Virtual Desktop-Benutzern Rollen zuweisen.

  1. Ermöglichen Sie es Administratoren, die NTFS-Berechtigungen durch Zuweisen einer Mitwirkendenrolle mit erhöhten Rechten für die Dateifreigabe zu ändern.
  2. Wählen Sie in dem von Ihnen erstellten Speicherkonto Zugriffssteuerung (IAM) aus.
  3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus.
  4. Wählen Sie für RolleSpeicherdateidaten-SMB-Freigabe mit erhöhten Rechten aus, und klicken Sie auf Weiter.
  5. Stellen Sie auf dem Blatt Mitglieder sicher, dass Zugriff zuweisen zu auf Benutzer, Gruppe oder Dienstprinzipal festgelegt ist.
  6. Klicken Sie auf Mitglieder auswählen.
  7. Klicken Sie auf AAD DC-Administratoren, und klicken Sie dann auf Auswählen.
  8. Wählen Sie Überprüfen + Zuweisen aus.
  9. Wählen Sie Überprüfen+ erneut zuweisen aus.

Zuweisen einer Rolle zu Azure Virtual Desktop-Benutzern

  1. Weisen Sie Benutzern eine Mitwirkendenrolle zu, damit sie über die Berechtigung zum Lesen und Schreiben von Dateidaten in der SMB-Dateifreigabe verfügen, in der die virtuellen Benutzerprofildatenträger gespeichert sind.
  2. Wählen Sie in dem von Ihnen erstellten Speicherkonto Zugriffssteuerung (IAM) aus.
  3. Wählen Sie Hinzufügen > Rollenzuweisung hinzufügen aus.
  4. Wählen Sie für RolleSpeicherdateidaten-SMB-Freigabemitwirkender aus, und klicken Sie auf Weiter.
  5. Stellen Sie auf dem Blatt Mitglieder sicher, dass Zugriff zuweisen zu auf Benutzer, Gruppe oder Dienstprinzipal festgelegt ist.
  6. Klicken Sie auf Mitglieder auswählen.
  7. Klicken Sie auf AAD DC-Administratoren, und klicken Sie dann auf Auswählen.
  8. Wählen Sie Überprüfen + Zuweisen aus.
  9. Wählen Sie Überprüfen+ erneut zuweisen aus.

Aktivieren von FSLogix

Fügen Sie jedem im Hostpool registrierten virtuellen Computer einen Registrierungsschlüssel hinzu. Sie benötigen den Zugriffsschlüssel für das Speicherkonto und den Dateifreigabepfad.

  1. Führen Sie im Startmenü den Befehl "regedit" als Administrator aus.

  2. Wechseln Sie zu Computer_LOCAL_MACHINE.

  3. Erstellen Sie einen Schlüssel für die VMs namens Profiles.

  4. Erstellen Sie einen Registrierungsschlüssel zum Speichern des zuvor erstellten SMB-Pfads. Fügen Sie unter Profilesdie folgenden Datentypeinträge hinzu:

    Typ Name Data/Value
    DWORD Enabled 1
    Multi-String Value VHDLocations Speicherort der Dateifreigabe von Azure-Dateien im SMB-Pfadformat

  5. Erstellen Sie einen Registrierungsschlüssel zum Aktivieren von FSLogix. Fügen Sie unter Profilesdie folgenden Datentypeinträge hinzu:

    Typ Name Data/Value
    DWORD Enabled 1

Konfigurieren von NTFS-Berechtigungen

Zugriffsschlüssel für Speicherkonto erhalten

Sie benötigen den Zugriffsschlüssel für das Speicherkonto und den Dateifreigabepfad, um NTFS-Berechtigungen zu konfigurieren.

  1. Wählen Sie in Ihrem Speicherkonto unter Sicherheit + Netzwerk die Zugriffstasten aus.

  2. Wählen Sie Schlüssel anzeigen aus.

  3. Kopieren Sie den Wert aus einem der Schlüsselfelder zur späteren Verwendung.

Den Dateifreigabepfad erhalten

  1. Scrollen Sie in Ihrem Speicherkonto in der linken Navigationsleiste nach unten zu Datenspeicher, und wählen Sie Dateifreigaben aus.
  2. Wählen Sie die von Ihnen erstellte Dateifreigabe aus.
  3. Wählen Sie unter Einstellungen die Option Eigenschaften aus.
  4. Kopieren Sie die URL.
  5. Konvertieren Sie die URL von einem HTTP-Pfad in einen SMB-Pfad, um sie später zu verwenden. Konvertiert z. B. https://myfslogixstorage.file.core.windows.net/profiles in \\myfslogixstorage.file.core.windows.net\profiles.

Anmelden bei einem Sitzungshost

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf einem der Sitzungshosts.

  2. Führen Sie die folgenden Befehle aus, bei denen Sie Platzhalterwerte durch den Pfad der SMB-Dateifreigabe, den Zugriffsschlüssel für das Speicherkonto und den Microsoft Entra-Benutzerprinzipalnamen (UPN) des Benutzers ersetzen. Der UPN würde etwa wie kaicarter@contoso.onmicrosoft.comfolgt aussehen: .

    net use Z: [SMB path used in VHDLocations in the registry] /u:Azure\[storage account name] [storage access key]
Icacls Z: /grant [user UPN]:(f)