Compartir vía


Almacenamiento de contenedores de perfiles de FSLogix en Azure Files y Servicios de dominio de Active Directory o Microsoft Entra Domain Services

En este artículo se muestra cómo configurar un contenedor de perfiles de FSLogix con Azure Files cuando las máquinas virtuales (VM) del host de sesión están unidas a un dominio de Servicios de dominio de Active Directory (AD DS) o a un dominio administrado de Microsoft Entra Domain Services.

Requisitos previos

Para configurar un contenedor de perfiles, necesita lo siguiente:

  • Un grupo de hosts en el que los hosts de sesión están unidos a un dominio de AD DS o a un dominio administrado de Microsoft Entra Domain Services y a los usuarios se les asigna.
  • Un grupo de seguridad en el dominio que contiene los usuarios que usarán el contenedor de perfiles. Si usa AD DS, debe sincronizarse con Microsoft Entra ID.
  • Permiso en la suscripción de Azure para crear una cuenta de almacenamiento y agregar asignaciones de roles.
  • Una cuenta de dominio para unir equipos al dominio y abrir un símbolo del sistema de PowerShell con privilegios elevados.
  • Identificador de suscripción de su suscripción de Azure donde estará la cuenta de almacenamiento.
  • Un equipo unido al dominio para instalar y ejecutar módulos de PowerShell que unirán una cuenta de almacenamiento al dominio. Este dispositivo debe ejecutar una versión compatible de Windows. De forma alternativa, puede usar un host de sesión.

Importante

Si los usuarios han iniciado sesión anteriormente en los hosts de sesión que quiere usar, los perfiles locales se crearán para ellos y los debe eliminar primero un administrador para que su perfil se almacene en un contenedor de perfiles.

Configuración de una cuenta de almacenamiento para un contenedor de perfiles

Para configurar una cuenta de almacenamiento:

  1. Si no la tiene, cree una cuenta de Azure Storage.

    Sugerencia

    Es posible que su organización tenga requisitos para cambiar estos valores predeterminados:

    • Si debe seleccionar Premium depende de los requisitos de IOPS y latencia. Para obtener más información, consulte Opciones de almacenamiento de contenedores.
    • En la pestaña Opciones avanzadas, Habilitar el acceso a la clave de la cuenta de almacenamiento debe estar habilitado.
    • Para más información sobre las opciones de configuración restantes, consulte Planeamiento de una implementación de Azure Files.
  2. Cree un recurso compartido de Azure Files en su cuenta de almacenamiento para almacenar los perfiles de FSLogix si aún no lo ha hecho.

Unión de la cuenta de almacenamiento a Active Directory

Para usar cuentas de Active Directory para los permisos de recurso compartido del recurso compartido de archivos, debe habilitar AD DS o Microsoft Entra Domain Services como origen. Este proceso une la cuenta de almacenamiento a un dominio, que lo representa como una cuenta de equipo. Seleccione la pestaña correspondiente a continuación para su escenario y siga los pasos.

  1. Inicie sesión en un equipo unido al dominio de AD DS. Como alternativa, inicie sesión en uno de los hosts de sesión.

  2. Descargue y extraiga la versión más reciente de AzFilesHybrid del repositorio de GitHub de ejemplos de Azure Files. Anote la carpeta en la que extrae los archivos.

  3. Abra un símbolo del sistema de PowerShell con privilegios elevados y cambie al directorio al que extrajo los archivos.

  4. Ejecute el siguiente comando para agregar el módulo AzFilesHybrid al directorio de módulos de PowerShell del usuario:

    .\CopyToPSPath.ps1
    
  5. Ejecute el siguiente comando para importar el módulo AzFilesHybrid:

    Import-Module -Name AzFilesHybrid
    

    Importante

    Para este módulo se necesita laGalería de PowerShell y Azure PowerShell. Es posible que se le pida que instale estos si aún no están instalados o si necesitan actualizarse. Si se le solicita, instálelos y cierre todas las instancias de PowerShell. Vuelva a abrir un símbolo del sistema de PowerShell con privilegios elevados e importe el módulo AzFilesHybrid de nuevo antes de continuar.

  6. Inicie sesión en Azure ejecutando el siguiente comando. Deberá usar una cuenta que tenga uno de los siguientes roles de control de acceso basado en rol (RBAC):

    • Propietario de la cuenta de almacenamiento
    • Propietario
    • Colaborador
    Connect-AzAccount
    

    Sugerencia

    Si su cuenta de Azure tiene acceso a varios inquilinos o suscripciones, deberá seleccionar la suscripción correcta estableciendo el contexto. Para más información, consulte Objetos de contexto de Azure PowerShell

  7. Una la cuenta de almacenamiento al dominio mediante la ejecución de los comandos siguientes, reemplazando los valores de $subscriptionId, $resourceGroupNamey $storageAccountName por sus valores. También puede agregar el parámetro -OrganizationalUnitDistinguishedName para especificar una unidad organizativa (OU) en la que colocar la cuenta de equipo.

    $subscriptionId = "subscription-id"
    $resourceGroupName = "resource-group-name"
    $storageAccountName = "storage-account-name"
    
    Join-AzStorageAccount `
        -ResourceGroupName $ResourceGroupName `
        -StorageAccountName $StorageAccountName `
        -DomainAccountType "ComputerAccount"
    
  8. Para comprobar que la cuenta de almacenamiento está unida al dominio, ejecute los comandos siguientes y revise la salida, reemplazando los valores de $resourceGroupName y $storageAccountName por los valores:

    $resourceGroupName = "resource-group-name"
    $storageAccountName = "storage-account-name"
    
    (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
    

Importante

Si la unidad organizativa impone la expiración de la contraseña, debe actualizar la contraseña antes de que expire para evitar errores de autenticación al acceder a recursos compartidos de archivos de Azure. Para más información y detalles, vea Actualización de la contraseña de la identidad de la cuenta de almacenamiento en AD DS.

Asignación de roles de RBAC a los usuarios

Los usuarios que necesitan almacenar perfiles en el recurso compartido de archivos necesitan permiso para acceder a él. Para ello, debe asignar a cada usuario el rol Colaborador de recurso compartido de SMB de datos de archivos de almacenamiento.

Para asignar a los usuarios el rol:

  1. En el Azure Portal, vaya a la cuenta de almacenamiento y, a continuación, al recurso compartido de archivos que creó anteriormente.

  2. Seleccione Access Control (IAM) .

  3. Seleccione +Agregar y, luego, elija Agregar asignación de roles en el menú desplegable.

  4. Seleccione el rol Colaborador de recursos compartidos de SMB de datos de archivos de Storage y seleccione Siguiente.

  5. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio y, luego, +Seleccionar miembros. En la barra de búsqueda, busque y seleccione el grupo de seguridad que contiene los usuarios que usarán el contenedor de perfiles.

  6. Seleccione Review + assign (Revisar y asignar) para finalizar la asignación.

Establecer permisos de NTFS

A continuación, deberá establecer permisos NTFS en la carpeta, lo que requiere que obtenga la clave de acceso de la cuenta de almacenamiento.

Para obtener la clave de acceso a la cuenta de almacenamiento:

  1. En Azure Portal, busque y seleccione cuenta de almacenamiento en la barra de búsqueda.

  2. En la lista de cuentas de almacenamiento, seleccione la cuenta en la que habilitó Active Directory Domain Services o Microsoft Entra Domain Services como origen de identidad y en la que asignó el rol RBAC en las secciones anteriores.

  3. En Seguridad y redes, seleccione Claves de acceso y, a continuación, muestre y copie la clave de key1.

Para establecer los permisos NTFS correctos en la carpeta:

  1. Inicie sesión en un host de sesión que forme parte del grupo de hosts.

  2. Abra un símbolo del sistema de PowerShell con privilegios elevados y ejecute el comando siguiente para asignar la cuenta de almacenamiento como una unidad en el host de sesión. La unidad asignada no se mostrará en Explorador de archivos, pero se puede ver con el net use comando . Esto es para que pueda establecer permisos en el recurso compartido.

    net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
    
    • Reemplace <desired-drive-letter> por una letra de unidad de su elección (por ejemplo, y:).
    • Reemplace ambas instancias de <storage-account-name> por el nombre de la cuenta de almacenamiento que especificó anteriormente.
    • Reemplace <share-name> por el nombre del recurso compartido que creó anteriormente.
    • Reemplace <storage-account-key> por la clave de la cuenta de almacenamiento de Azure.

    Por ejemplo:

    net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
    
  3. Ejecute los comandos siguientes para establecer permisos en el recurso compartido que permitan que los usuarios de Azure Virtual Desktop creen su propio perfil mientras bloquean el acceso a los perfiles de otros usuarios. Debe usar un grupo de seguridad de Active Directory que contenga los usuarios que desea usar el contenedor de perfiles. En los comandos siguientes, reemplace <mounted-drive-letter> por la letra de la unidad que ha usado para asignar la unidad, y <DOMAIN\GroupName> por el dominio y el sAMAccountName del grupo de Active Directory que requerirá acceso al recurso compartido. También puede especificar el nombre principal de usuario (UPN) de un usuario.

    icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
    icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
    icacls <mounted-drive-letter>: /remove "Authenticated Users"
    icacls <mounted-drive-letter>: /remove "Builtin\Users"
    

    Por ejemplo:

    icacls y: /grant "CONTOSO\AVDUsers:(M)"
    icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
    icacls y: /remove "Authenticated Users"
    icacls y: /remove "Builtin\Users"
    

Configuración del dispositivo Windows local para usar contenedores de perfiles

Para usar contenedores de perfiles, deberá asegurarse de que las aplicaciones FSLogix están instaladas en el dispositivo. Si va a configurar Azure Virtual Desktop, las aplicaciones FSLogix están preinstaladas en Windows 10 Enterprise multisesión y Windows 11 Empresas sistemas operativos de varias sesiones, pero debe seguir los pasos que se indican a continuación, ya que es posible que no tenga instalada la versión más reciente. Si usa una imagen personalizada, puede instalar FSLogix Apps en la imagen.

Para configurar contenedores de perfiles, se recomienda usar preferencias de directiva de grupo para establecer claves y valores del Registro a escala en todos los hosts de sesión. También puede establecerlos en la imagen personalizada.

Para configurar el dispositivo Windows local:

  1. Si necesita instalar o actualizar aplicaciones de FSLogix, descargue la versión más reciente de FSLogix, instálela ejecutando FSLogixAppsSetup.exe y siga las instrucciones del asistente para la instalación. Para obtener más información sobre el proceso de instalación, incluidas las personalizaciones y la instalación desatendida, consulte Descargar e instalar FSLogix.

  2. Abra un símbolo del sistema de PowerShell con privilegios elevados y ejecute los siguientes comandos, reemplazando \\<storage-account-name>.file.core.windows.net\<share-name> por la ruta de acceso UNC a la cuenta de almacenamiento que creó anteriormente. Estos comandos habilitan el contenedor de perfiles y configuran la ubicación del recurso compartido.

    $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
    New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
    New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
    
  3. Reinicia el dispositivo. Deberá repetir estos pasos para los dispositivos restantes.

Ya ha terminado la configuración del contenedor de perfiles. Si va a instalar el contenedor de perfiles en la imagen personalizada, deberá terminar de crear la imagen personalizada. Para más información, en adelante siga los pasos descritos en Creación de una imagen personalizada en Azure desde la sección Tomar la instantánea final.

Validación de la creación de perfiles

Una vez instalado y configurado el contenedor de perfiles, puede probar la implementación iniciando sesión con una cuenta de usuario asignada a un grupo de aplicaciones o un escritorio en el grupo de hosts.

Si el usuario ha iniciado sesión antes, tendrá un perfil local existente que utilizará en esta sesión. Elimine primero el perfil local o cree una nueva cuenta de usuario que se usará para las pruebas.

Los usuarios pueden comprobar que el contenedor de perfiles está configurado siguiendo estos pasos:

  1. Inicie sesión en Azure Virtual Desktop como usuario de prueba.

  2. Cuando el usuario inicie sesión, debería aparecer el mensaje "Espere a FSLogix Apps Services", como parte del proceso de inicio de sesión antes de llegar al escritorio.

Los administradores pueden comprobar que la carpeta de perfiles se ha creado siguiendo los pasos siguientes:

  1. Abra Azure Portal.

  2. Abra la cuenta de almacenamiento que ha creado anteriormente.

  3. Vaya a Almacenamiento de datos en la cuenta de almacenamiento y seleccione Recursos compartidos de archivos.

  4. Abra el recurso compartido de archivos y asegúrese de que la carpeta del perfil de usuario que ha creado está ahí.