Stocker des conteneurs de profil FSLogix sur Azure Files et Microsoft Entra ID

Dans cet article, vous apprendrez à créer et à configurer un partage Azure Files pour l’authentification Kerberos de Microsoft Entra. Cette configuration vous permet de stocker des profils FSLogix accessibles par des identités utilisateur hybrides à partir d’hôtes de la session joints à Microsoft Entra ou joints à Microsoft Entra de manière hybride sans nécessiter de ligne de vue réseau pour les contrôleurs de domaine. Microsoft Entra Kerberos permet à Microsoft Entra ID d’émettre les tickets Kerberos nécessaires pour accéder au partage de fichiers avec le protocole SMB standard.

Cette fonctionnalité est prise en charge dans le cloud Azure, Azure for US Government et Azure géré par 21Vianet.

Prérequis

Avant de déployer cette solution, vérifiez que votre environnement répond aux exigences pour configurer Azure Files avec l’authentification Microsoft Entra Kerberos.

Lorsqu’ils sont utilisés pour les profils FSLogix dans Azure Virtual Desktop, les hôtes de session n’ont pas besoin d’avoir une ligne de vue réseau sur le contrôleur de domaine (DC). Toutefois, un système avec une ligne de vue réseau vers le contrôleur de domaine est nécessaire pour configurer les autorisations sur le partage Azure Files.

Configurer vos compte de stockage et partage de fichiers Azure

Pour stocker vos profils FSLogix sur un partage de fichiers Azure :

1. Créez un compte de stockage Azure si vous n’en avez pas.

   Remarque

   Votre compte de stockage Azure ne peut pas s’authentifier avec Microsoft Entra ID et une deuxième méthode comme Active Directory Domain Services (AD DS) ou Microsoft Entra Domain Services. Vous ne pouvez utiliser qu’une seule méthode d’authentification.

2. Créez un partage Azure Files sous votre compte de stockage pour stocker vos profils FSLogix si ce n’est déjà fait.

3. Activez l’authentification Microsoft Entra Kerberos sur Azure Files pour activer l’accès à partir de machines virtuelles jointes à Microsoft Entra.

   • Lors de la configuration des autorisations aux niveaux des répertoires et des fichiers, consultez la liste recommandée d’autorisations pour les profils FSLogix dans Configurer les autorisations de stockage pour les conteneurs de profil.
   • À défaut d’autorisations appropriées au niveau des répertoires, un utilisateur peut supprimer le profil utilisateur ou accéder aux informations personnelles d’un autre utilisateur. Il est important de s’assurer que les utilisateurs disposent d’autorisations appropriées pour éviter toute suppression accidentelle.

Configurer votre appareil Windows local

Pour accéder aux partages de fichiers Azure à partir d’une machine virtuelle jointe Microsoft Entra pour les profils FSLogix, vous devez configurer l’appareil Windows local sur lequel vos profils FSLogix sont chargés. Pour configurer votre appareil :

1. Activez la fonctionnalité Microsoft Entra Kerberos à l’aide de l’une des méthodes suivantes.

   • Configurez la stratégie de CSP Intune suivante, et appliquez-la à l’hôte de la session : Kerberos/CloudKerberosTicketRetrievalEnabled.

   Notes

   Les systèmes d’exploitation client Windows multisession ne prennent pas en charge la stratégie CSP, car ils prennent uniquement en charge le catalogue de paramètres. Vous devez donc utiliser l’une des autres méthodes. Découvrez-en plus dans Utilisation d’Azure Virtual Desktop multisession avec Intune.

   • Activez cette stratégie de groupe sur votre appareil. Le chemin d’accès sera l’un des éléments suivants, en fonction de la version de Windows que vous utilisez :

   • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

   • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

   • Créez la valeur de Registre suivante sur votre appareil : reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Lorsque vous utilisez Microsoft Entra ID avec une solution de profil itinérant telle que FSLogix, les clés d’informations d’identification dans le gestionnaire d’informations d’identification doivent appartenir au profil en cours de chargement. Cela vous permet de charger votre profil sur de nombreuses machines virtuelles différentes au lieu d’être limité à un seul. Pour activer ce paramètre, créez une nouvelle valeur de registre en exécutant la commande suivante :

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

   Notes

   Les hôtes de session n’ont pas besoin de ligne de vue réseau sur le contrôleur de domaine.

Configurer FSLogix sur votre appareil Windows local

Cette section vous montre comment configurer votre appareil Windows local avec FSLogix. Vous devez suivre ces instructions chaque fois que vous configurez un appareil. Plusieurs options sont disponibles pour s’assurer que les clés de Registre sont définies sur tous les hôtes de session. Vous pouvez définir ces options dans une image ou configurer une stratégie de groupe.

Pour configurer FSLogix :

1. Mettez à jour ou installez FSLogix sur votre appareil, si nécessaire.

   Remarque

   Si vous configurez un hôte de session créé à l’aide du service Azure Virtual Desktop, FSLogix doit déjà être préinstallé.

2. Suivez les instructions fournies dans Configurer les paramètres du registre de conteneurs de profils pour créer les valeurs de registre Enabled et VHDLocations. Affectez à VHDLocations la valeur \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Tester votre déploiement

Une fois que vous avez installé et configuré FSLogix, vous pouvez tester votre déploiement en vous connectant avec un compte d’utilisateur attribué à un groupe d’applications sur le pool d’hôtes. Le compte d’utilisateur avec lequel vous vous connectez doit avoir l’autorisation d’utiliser le partage de fichiers.

Si l’utilisateur s’est connecté précédemment, il dispose d’un profil local que le service utilisera au cours de cette session. Pour éviter de créer un profil local, créez un compte d’utilisateur à utiliser pour les tests, ou utilisez les méthodes de configuration décrites dans Didacticiel : Configurer le conteneur de profil pour rediriger les profils utilisateurs afin d’activer le paramètre DeleteLocalProfileWhenVHDShouldApply.

Enfin, vérifiez le profil créé dans Azure Files une fois que l’utilisateur s’est correctement connecté :

1. Ouvrez le portail Azure et connectez-vous avec un compte d’administrateur.

2. Dans la barre latérale, sélectionnez Comptes de stockage.

3. Sélectionnez le compte de stockage que vous avez configuré pour votre pool d’hôte de session.

4. Dans la barre latérale, sélectionnez Partages de fichiers.

5. Sélectionnez le partage de fichiers que vous avez configuré pour stocker les profils.

6. Si tout est correctement configuré, vous devriez voir un répertoire dont le nom présente le format suivant : <user SID>_<username>.

Étapes suivantes

• Pour résoudre les problèmes liés à FSLogix, consultez ce guide de dépannage.