Stocker des conteneurs de profil FSLogix sur Azure Files et services de domaine Active Directory ou Microsoft Entra Domain Services

Cet article explique comment configurer un conteneur de profil FSLogix avec Azure Files lorsque vos machines virtuelles hôtes de session sont jointes à un domaine services de domaine Active Directory (AD DS) ou à un domaine managé Microsoft Entra Domain Services.

Prérequis

Pour configurer un conteneur de profil, vous avez besoin des éléments suivants :

• Pool d’hôtes où les hôtes de session sont joints à un domaine AD DS ou à un domaine managé Microsoft Entra Domain Services, et où des utilisateurs sont attribués.
• Un groupe de sécurité dans votre domaine qui contient les utilisateurs qui utiliseront le conteneur de profil. Si vous utilisez AD DS, celui-ci doit être synchronisé sur Microsoft Entra ID.
• Autorisation sur votre abonnement Azure pour créer un compte de stockage et ajouter des attributions de rôle.
• Compte de domaine pour joindre des ordinateurs au domaine et ouvrir une invite PowerShell avec élévation de privilèges.
• ID d’abonnement de votre abonnement Azure où résidera votre compte de stockage.
• Ordinateur joint à votre domaine pour l’installation et l’exécution de modules PowerShell qui joindront un compte de stockage à votre domaine. Cet appareil doit exécuter une version prise en charge de Windows. Autrement, vous pouvez utiliser un hôte de session.

Important

Si les utilisateurs se sont déjà connectés aux hôtes de session que vous souhaitez utiliser, les profils locaux ont été créés pour eux et doivent d’abord être supprimés par un administrateur pour que leur profil soit stocké dans un conteneur de profil.

Configurer un compte de stockage pour un conteneur de profil

Pour installer un compte de stockage :

1. Créez un compte de stockage Azure si vous n’en avez pas.

   Conseil

   Votre organisation exige peut-être la modification de ces valeurs par défaut :

   • Le choix de Premium dépend de vos exigences en matière d’IOPS et de latence. Pour plus d’informations, consultez les options de stockage de conteneurs.
   • Sous l’onglet Avancé, vous devez laisser l’option Activer l’accès de clé de compte de stockage activée.
   • Pour plus d’informations sur les autres options de configuration, consultez Planifier un déploiement Azure Files.

2. Créez un partage Azure Files sous votre compte de stockage pour stocker vos profils FSLogix si ce n’est déjà fait.

Joindre votre compte de stockage à Active Directory

Pour utiliser des comptes Active Directory pour les autorisations de partage de votre partage de fichiers, vous devez activer AD DS ou Microsoft Entra Domain Services en tant que source. Ce processus joint votre compte de stockage à un domaine, représentant celui-ci comme un compte d’ordinateur. Sélectionnez l’onglet approprié ci-dessous pour votre scénario, puis suivez les étapes.

AD DS

1. Connectez-vous à un ordinateur joint à votre domaine AD DS. Vous pouvez également vous connecter à l’un de vos hôtes de session.

2. Téléchargez et extrayez la dernière version d’AzFilesHybrid à partir du dépôt GitHub d’échantillons Azure Files. Notez le dossier dans lequel vous extrayez les fichiers.

3. Ouvrez une invite PowerShell avec élévation de privilèges, puis basculez vers le répertoire dans lequel vous avez extrait les fichiers.

4. Exécutez la commande suivante pour ajouter le module AzFilesHybrid au répertoire des modules PowerShell de votre utilisateur :

   .\CopyToPSPath.ps1
   

5. Importez le module AzFilesHybrid en exécutant la commande suivante :

   Import-Module -Name AzFilesHybrid
   

   Important

   Ce module nécessite PowerShell Gallery et Azure PowerShell. Vous serez peut-être invité à les installer s’ils ne le sont pas encore ou s’ils nécessitent une mise à jour. Si vous y êtes invité, installez-les, puis fermez toutes les instances de PowerShell. Rouvrez une invite PowerShell avec élévation de privilèges et réimportez le module AzFilesHybrid avant de continuer.

6. Connectez-vous à Azure en exécutant la commande ci-dessous. Vous devez utiliser un compte disposant de l’un des rôles de contrôle d’accès en fonction du rôle (RBAC) suivants :

   • Propriétaire du compte de stockage
   • Propriétaire
   • Contributeur

   Connect-AzAccount
   

   Conseil

   Si votre compte Azure a accès à plusieurs locataires et/ou abonnements, vous devez sélectionner l’abonnement approprié en définissant votre contexte. Pour plus d’informations, consultez Objets de contexte Azure PowerShell.

7. Joignez le compte de stockage à votre domaine en exécutant les commandes ci-dessous, en remplaçant les valeurs de $subscriptionId, $resourceGroupName et $storageAccountName par vos valeurs. Vous pouvez également ajouter le paramètre -OrganizationalUnitDistinguishedName pour spécifier une unité d’organisation (UO) dans laquelle placer le compte d’ordinateur.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Pour vérifier que le compte de stockage est joint à votre domaine, exécutez les commandes ci-dessous et passez en revue la sortie, en remplaçant les valeurs pour $resourceGroupName et $storageAccountName par vos valeurs :

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Important

Si votre domaine applique une expiration du mot de passe, vous devez mettre celui-ci à jour avant qu’il expire pour éviter les échecs d’authentification lors de l’accès aux partages de fichiers Azure. Pour plus d’informations, consultez Mettre à jour le mot de passe de l’identité de votre compte de stockage dans AD DS.

Microsoft Entra Domain Services

1. À partir du portail Azure, ouvrez le compte de stockage que vous avez créé précédemment.

2. Dans la section Stockage des données, sélectionnez Partages de fichiers.

3. Dans la section principale de la page, en regard d’Active Directory, sélectionnez Non configuré.

4. Dans la zone de Microsoft Entra Domain Services, sélectionnez Configurer.

5. Cochez la case Activer Microsoft Entra Domain Services pour ce partage de fichiers, puis sélectionnez Enregistrer. Une unité d’organisation nommée AzureFilesConfig est créée à la racine de votre domaine, et un compte d’utilisateur du même nom que celui du compte de stockage est créé dans cette unité d’organisation. Ce compte sera utilisé comme compte de service Azure Files.

Attribuer un rôle RBAC aux utilisateurs

Les utilisateurs qui ont besoin de stocker des profils dans votre partage de fichiers doivent être autorisés à y accéder. Pour ce faire, vous devez affecter à chaque utilisateur le rôle Contributeur de partage SMB de données de fichier de stockage.

Pour attribuer le rôle aux utilisateurs :

1. À partir du Portail Azure, accédez au compte de stockage, puis au partage de fichiers que vous avez créé précédemment.

2. Sélectionnez Contrôle d’accès (IAM) .

3. Sélectionnez + Ajouter, puis Ajouter une attribution de rôle dans le menu déroulant.

4. Sélectionnez le rôle Contributeur de partage SMB de données de fichier de stockage, puis Suivant.

5. Dans l’onglet Membres, sélectionnez Utilisateur, groupe ou principal de service, puis +Sélectionner des membres. Dans la barre de recherche, recherchez et sélectionnez le groupe de sécurité qui contient les utilisateurs qui utiliseront le conteneur de profil.

6. Sélectionnez Vérifier + attribuer pour terminer l’attribution.

Définir des autorisations NTFS

Ensuite, vous devez définir des autorisations NTFS sur le dossier, ce qui vous oblige à obtenir la clé d’accès de votre compte de stockage.

Pour obtenir la clé d’accès du compte de stockage :

1. Dans le portail Azure, dans la barre de recherche, recherchez et sélectionnez comptes de stockage.

2. Dans la liste des comptes de stockage, sélectionnez le compte pour lequel vous avez activé Active Directory Domain Services ou Microsoft Entra Domain Services en tant que source d’identité et attribué le rôle RBAC dans les sections précédentes.

3. Sous Sécurité + mise en réseau, sélectionnez Clés d’accès, puis affichez et copiez la clé à partir de key1.

Pour définir les autorisations NTFS appropriées sur le dossier :

1. Connectez-vous à un hôte de session qui fait partie de votre pool d’hôtes.

2. Ouvrez une invite PowerShell avec élévation de privilèges et exécutez la commande ci-dessous pour mapper le compte de stockage en tant que lecteur sur votre hôte de session. Le lecteur mappé ne s’affiche pas dans Explorateur de fichiers, mais peut être affiché avec la net use commande. C’est ainsi que vous pouvez définir des autorisations sur le partage.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Remplacez <desired-drive-letter> par la lettre de lecteur de votre choix (par exemple, y:).
   • Remplacez les deux instances de <storage-account-name> par le nom du compte de stockage que vous avez spécifié précédemment.
   • Remplacez <share-name> par le nom du partage que vous avez créé.
   • Remplacez <storage-account-key> par la clé de compte de stockage récupérée d’Azure.

   Par exemple :

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Exécutez les commandes suivantes pour définir des autorisations sur le partage, qui permettent à vos utilisateurs Azure Virtual Desktop de créer leur propre profil tout en bloquant l’accès aux profils d’autres utilisateurs. Vous devez utiliser un groupe de sécurité Active Directory qui contient les utilisateurs que vous souhaitez utiliser le conteneur de profil. Dans les commandes ci-dessous, remplacez <mounted-drive-letter> par la lettre du lecteur que vous avez utilisé pour mapper le lecteur et <DOMAIN\GroupName> par le domaine et LE samaccountName du groupe Active Directory qui devront accéder au partage. Vous pouvez également spécifier le nom d’utilisateur principal (UPN) d’un utilisateur.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Par exemple :

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Configurer votre appareil Windows local pour utiliser des conteneurs de profils

Pour utiliser des conteneurs de profil, vous devez vérifier que FSLogix Apps est installé sur votre appareil. Si vous configurez Azure Virtual Desktop, FSLogix Apps est préinstallé dans Windows 10 Entreprise système d’exploitation multisession et Windows 11 Entreprise systèmes d’exploitation multisession, mais vous devez toujours suivre les étapes ci-dessous, car la dernière version n’est peut-être pas installée. Si vous utilisez une image personnalisée, vous pouvez installer FSLogix Apps dans votre image.

Pour configurer des conteneurs de profils, nous vous recommandons d’utiliser les préférences de stratégie de groupe pour définir des clés et des valeurs de Registre à grande échelle sur tous vos hôtes de session. Vous pouvez également les définir dans votre image personnalisée.

Pour configurer votre appareil Windows local :

1. Si vous devez installer ou mettre à jour FSLogix Apps, téléchargez la dernière version de FSLogix et installez-la en exécutant FSLogixAppsSetup.exe, puis suivez les instructions de l’Assistant Installation. Pour plus d’informations sur le processus d’installation, notamment les personnalisations et l’installation sans assistance, consultez Télécharger et installer FSLogix.

2. Ouvrez une invite PowerShell avec élévation de privilèges et exécutez les commandes suivantes en remplaçant \\<storage-account-name>.file.core.windows.net\<share-name> par le chemin d’accès UNC de votre compte de stockage que vous avez créé précédemment. Ces commandes activent le conteneur de profil et configurent l’emplacement du partage.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

3. Redémarrez votre appareil. Vous devez répéter ces étapes pour tous les appareils restants.

Vous avez maintenant terminé la configuration de votre conteneur de profil. Si vous installez le conteneur de profil dans votre image personnalisée, vous devez terminer la création de l’image personnalisée. Pour plus d’informations, suivez les étapes décrites dans Créer une image personnalisée dans Azure à partir de la section Prendre l’instantané final.

Valider la création du profil

Une fois que vous avez installé et configuré le conteneur de profil, vous pouvez tester votre déploiement en vous connectant avec un compte d’utilisateur auquel un groupe d’applications ou un bureau a été attribué sur le pool d’hôtes.

Si l’utilisateur s’est connecté précédemment, il dispose d’un profil local qui sera utilisé lors de cette session. Commencez par supprimer le profil local, ou créez un compte d’utilisateur à utiliser pour les tests.

Les utilisateurs peuvent vérifier que le conteneur de profil est configuré en suivant les étapes ci-dessous :

1. Connectez-vous à Azure Virtual Desktop en tant qu’utilisateur de test.

2. Quand l’utilisateur se connecte, le message « Please wait for the FSLogix Apps Services » devrait s’afficher dans le cadre du processus de connexion avant d’atteindre le bureau.

Des administrateurs peuvent vérifier que le dossier de profil créé en suivant les étapes ci-dessous :

1. Ouvrez le portail Azure.

2. Ouvrez le compte de stockage que vous avez créé précédemment.

3. Accédez à Stockage des données dans votre compte de stockage, puis sélectionnez Partages de fichiers.

4. Ouvrez votre partage de fichiers et assurez-vous que le dossier de profil utilisateur que vous avez créé y figure.