Configurar perfiles de usuario de FSLogix

  • 5 minutos

Para ofrecer la mejor experiencia a los usuarios de Azure Virtual Desktop, utilice perfiles de FSLogix. FSLogix está diseñado para trabajar con perfiles en entornos informáticos remotos, como Azure Virtual Desktop. Los perfiles de usuario se almacenan en archivos VHD o VHDX por usuario. Al iniciar sesión, el contenedor de perfiles se adjunta dinámicamente al entorno informático. El perfil de usuario está disponible inmediatamente y aparece en el sistema exactamente igual que un perfil de usuario nativo.

¿Qué es FSLogix?

FSLogix es un conjunto de soluciones que desacopla el perfil de usuario local de un solo escritorio de Windows y permite que pueda moverse entre varias máquinas Windows.

Un perfil de usuario contiene elementos de datos sobre una persona, incluida la información de configuración, como la configuración del escritorio, las conexiones de red persistentes y la configuración de la aplicación. Un perfil de usuario remoto proporciona una partición entre los datos de usuario y el sistema operativo. Con las soluciones de FSLogix puede:

  • Mantener el contexto de usuario en entornos de escritorio agrupados
  • Minimizar los tiempos de inicio de sesión para entornos de escritorio agrupados
  • Optimizar E/S de archivos entre el host de sesión y el almacén remoto de perfiles

Crear un perfil de FSLogix para usuarios de Azure Virtual Desktop

Para usar FSLogix y, así, separar los perfiles de usuario de las máquinas virtuales (VM) de host de sesión, se necesita configurar Azure Storage y crear un perfil de FSLogix. Estos pasos varían según el tipo de almacenamiento y si usa Microsoft Entra Domain Services o Active Directory Domain Services (AD DS). En los pasos siguientes se explica cómo configurar Azure Files con Microsoft Entra Domain Services. Los pasos para AD DS son los mismos, excepto para la sección "Habilitar autenticación de Microsoft Entra". Las diferencias se mencionan en esa sección.

Crear la cuenta de almacenamiento

  1. Inicie sesión en el portal de Azure.
  2. Busque Cuentas de almacenamiento mediante el cuadro de búsqueda del portal de Azure.
  3. En la barra de comandos Cuentas de almacenamiento, seleccione Crear. Aparece la página Crear una cuenta de almacenamiento.
  4. En Detalles del proyecto, seleccione Suscripción y, a continuación, seleccione o cree un Grupo de recursos que contenga los recursos de almacenamiento.
  5. En detalles de la instancia, escriba un nombre único para la cuenta de almacenamiento.
  6. Seleccione la misma región que el grupo de hosts de AVD.
  7. Para obtener rendimiento, seleccione Premium.
  8. Para el tipo de cuenta Premium, seleccione Recursos compartidos de archivos.
  9. Deje Redundancia establecida en almacenamiento con redundancia local (LRS).
  10. Seleccione Revisar + crear para validar las entradas y, a continuación, seleccione Crear.
  11. Espere a que se complete la implementación. Esto puede tardar unos minutos.
  12. Seleccione Ir a recursos. La página Cuenta de almacenamiento muestra detalles sobre la cuenta de almacenamiento.

Habilitación de la autenticación de Microsoft Entra

En los pasos siguientes se explica cómo habilitar la autenticación para recursos compartidos de archivos de Azure con Microsoft Entra Domain Services. Si está usando AD DS, debe registrar la cuenta de almacenamiento de Azure con AD DS y, a continuación, establecer las propiedades de dominio requeridas en la cuenta de almacenamiento. Use el módulo de Azure PowerShell AzFilesHybrid en un dispositivo unido a un dominio local de AD DS. El cmdlet Join-AzStorageAccountForAuth realiza el equivalente de una unión a un dominio sin conexión en nombre de la cuenta de almacenamiento de Azure. Para obtener instrucciones paso a paso para habilitar la autenticación con AD DS local, consulte el artículo de Docs relacionado, al final de este módulo.

Habilitación de la autenticación para recursos compartidos de archivos de Azure con Microsoft Entra Domain Services

  1. En el menú de Cuenta de almacenamiento, desplácese hasta Almacenamiento de datos y, a continuación, seleccione Recursos compartidos de archivos.
  2. En la parte superior de la página, busque Active Directory y seleccione No configurado.
  3. En Microsoft Entra Domain Services, seleccione Configurar.
  4. Seleccione Habilitar Microsoft Entra Domain Services para este recurso compartido de archivos.
  5. Haga clic en Guardar.
  6. Seleccione Guardar nuevamente.

Asignar roles para tener acceso a los datos de almacenamiento

Asignar rol a administradores de Controlador de dominio de Microsoft Entra

Debe asignar roles al grupo Administradores de controlador de dominio de Microsoft Entra y a los usuarios de Azure Virtual Desktop.

  1. Ofrezca a los administradores la posibilidad de modificar los permisos NTFS al asignarles un rol de colaborador con privilegios elevados al recurso compartido de archivos.
  2. En la cuenta de almacenamiento que creó, seleccione Control de acceso (IAM).
  3. Seleccione Agregar>Agregar una asignación de roles.
  4. Para el Rol, seleccione Colaborador con privilegios elevados de recursos compartidos de SMB para datos de archivos de almacenamiento y haga clic en siguiente.
  5. En la hoja Miembros, asegúrese de que Asignar acceso a está establecido en Usuario, grupo o entidad de servicio.
  6. Haga clic en Seleccionar miembros.
  7. Haga clic en administradores de controladores de dominio de AAD y en Seleccionar.
  8. Seleccione Revisar + asignar.
  9. Seleccione Revisar + Asignar nuevamente.

Asignar un rol a los usuarios de Azure Virtual Desktop

  1. Asigne a los usuarios un rol de colaborador para que tengan permiso de lectura y escritura en el recurso compartido de SMB en el que se almacenan los discos virtuales del perfil de usuario.
  2. En la cuenta de almacenamiento que creó, seleccione Control de acceso (IAM).
  3. Seleccione Agregar agregar > asignación de roles.
  4. Para el Rol, seleccione Colaborador de recursos compartidos de SMB para datos de archivo de almacenamiento y haga clic en Siguiente.
  5. En la hoja Miembros, asegúrese de que Asignar acceso a está establecido en Usuario, grupo o entidad de servicio.
  6. Haga clic en Seleccionar miembros.
  7. Haga clic en administradores de controladores de dominio de AAD y en Seleccionar.
  8. Seleccione Revisar + asignar.
  9. Seleccione Revisar + Asignar nuevamente.

Habilitar FSLogix

Agregue una clave de registro para cada máquina virtual registrada en el grupo de hosts. Necesitará la clave de acceso de la cuenta de almacenamiento y la ruta de acceso del recurso compartido de archivos.

  1. En el menú Inicio, ejecute RegEdit como administrador.

  2. Vaya a Computer_LOCAL_MACHINE.

  3. Cree una clave para las VMs llamadas Perfiles.

  4. Cree una clave del Registro para almacenar la ruta de acceso SMB que creó anteriormente. En Perfiles, agregue las siguientes entradas de tipo de datos:

    Tipo Nombre Data/Valor
    DWORD Habilitado 1
    Valor de cadena múltiple VHDLocations Ubicación del recurso compartido de Azure Files en formato de ruta SMB

  5. Crear una clave del Registro para habilitar FSLogix. En Perfiles, agregue las siguientes entradas de tipo de datos:

    Tipo Nombre Data/Valor
    DWORD Habilitado 1

Configurar permisos NTFS

Obtener la clave de acceso a la cuenta de almacenamiento

Necesitará la clave de acceso de la cuenta de almacenamiento y la ruta de acceso del recurso compartido de archivos para configurar los permisos NTFS.

  1. En la cuenta de almacenamiento, en Seguridad y redes, seleccione Claves de acceso.

  2. Seleccione mostrar las claves.

  3. Copie el valor de uno de los campos de clave para usarlo más adelante.

Obtener la ruta del recurso compartido de archivos

  1. En la cuenta de almacenamiento, en la barra de navegación izquierda, desplácese hacia abajo hasta Almacenamiento de datos y seleccione Recurso compartido de archivos.
  2. Seleccione el recurso compartido de archivos que creó.
  3. En Configuración, seleccione Propiedades.
  4. Copie la dirección URL.
  5. Convierta la dirección URL de una ruta de acceso HTTP a una ruta de acceso SMB para usarla más adelante. Por ejemplo, https://myfslogixstorage.file.core.windows.net/profiles se convierte en \\myfslogixstorage.file.core.windows.net\profiles.

Iniciar sesión en un host de sesión

  1. Abra un símbolo del sistema con privilegios elevados en uno de los hosts de sesión.

  2. Ejecute los siguientes comandos donde reemplace los valores de marcador de posición por la ruta de acceso del recurso compartido de archivos SMB, la clave de acceso de la cuenta de almacenamiento y el nombre principal de usuario (UPN) de Microsoft Entra del usuario. El UPN tendría un aspecto similar kaicarter@contoso.onmicrosoft.coma .

    net use Z: [SMB path used in VHDLocations in the registry] /u:Azure\[storage account name] [storage access key]
Icacls Z: /grant [user UPN]:(f)