Archiviare i contenitori dei profili FSLogix in File di Azure e servizi di Dominio di Active Directory o Servizi di dominio Microsoft Entra

Questo articolo illustra come configurare un contenitore di profili FSLogix con File di Azure quando le macchine virtuali dell'host di sessione vengono aggiunte a un dominio di Dominio di Active Directory Services (AD DS) o a un dominio gestito di Microsoft Entra Domain Services.

Prerequisiti

Per configurare un contenitore di profili, sono necessari gli elementi seguenti:

• Pool di host in cui gli host di sessione vengono aggiunti a un dominio di Active Directory Domain Services o a un dominio gestito di Microsoft Entra Domain Services e agli utenti vengono assegnati.
• Gruppo di sicurezza nel dominio che contiene gli utenti che useranno il contenitore del profilo. Se si usa Active Directory Domain Services, questo deve essere sincronizzato con Microsoft Entra ID.
• Autorizzazione per la sottoscrizione di Azure per creare un account di archiviazione e aggiungere assegnazioni di ruolo.
• Un account di dominio per aggiungere computer al dominio e aprire un prompt di PowerShell con privilegi elevati.
• ID sottoscrizione della sottoscrizione di Azure in cui si troverà l'account di archiviazione.
• Un computer aggiunto al dominio per l'installazione e l'esecuzione di moduli di PowerShell che aggiungeranno un account di archiviazione al dominio. Questo dispositivo deve eseguire una versione supportata di Windows. In alternativa, è possibile usare un host di sessione.

Importante

Se gli utenti hanno eseguito l'accesso in precedenza agli host di sessione da usare, i profili locali saranno stati creati per loro e devono essere eliminati prima da un amministratore per archiviare il profilo in un contenitore di profili.

Configurare un account di archiviazione per un contenitore di profili

Per configurare un account di archiviazione:

1. Creare un account Archiviazione di Azure se non ne è già disponibile uno.

   Suggerimento

   L'organizzazione potrebbe avere requisiti per modificare queste impostazioni predefinite:

   • La scelta di Premium dipende dai requisiti di IOPS e latenza. Per altre informazioni, vedere Opzioni di archiviazione dei contenitori.
   • Nella scheda Avanzate abilitare l'accesso alla chiave dell'account di archiviazione deve essere abilitato.
   • Per altre informazioni sulle opzioni di configurazione rimanenti, vedere Pianificare una distribuzione File di Azure.

2. Creare una condivisione File di Azure con l'account di archiviazione per archiviare i profili FSLogix, se non è già stato fatto.

Aggiungere l'account di archiviazione ad Active Directory

Per usare gli account Active Directory per le autorizzazioni di condivisione della condivisione file, è necessario abilitare Active Directory Domain Services o Microsoft Entra Domain Services come origine. Questo processo aggiunge l'account di archiviazione a un dominio, che lo rappresenta come account computer. Selezionare la scheda pertinente seguente per lo scenario e seguire la procedura.

Active Directory Domain Services

1. Accedere a un computer aggiunto al dominio di Active Directory Domain Services. In alternativa, accedere a uno degli host di sessione.

2. Scaricare ed estrarre la versione più recente di AzFilesHybrid dal repository GitHub degli esempi File di Azure. Prendere nota della cartella in cui estrarre i file.

3. Aprire un prompt di PowerShell con privilegi elevati e passare alla directory in cui sono stati estratti i file.

4. Eseguire il comando seguente per aggiungere il AzFilesHybrid modulo alla directory dei moduli di PowerShell dell'utente:

   .\CopyToPSPath.ps1
   

5. Importare il AzFilesHybrid modulo eseguendo il comando seguente:

   Import-Module -Name AzFilesHybrid
   

   Importante

   Questo modulo richiede PowerShell Gallery e Azure PowerShell. Potrebbe essere richiesto di installarli se non sono già installati o se richiedono l'aggiornamento. Se vengono richiesti, installarli, chiudere tutte le istanze di PowerShell. Riaprire un prompt di PowerShell con privilegi elevati e importare di nuovo il AzFilesHybrid modulo prima di continuare.

6. Accedere ad Azure eseguendo il comando seguente. È necessario usare un account con uno dei ruoli di controllo degli accessi in base al ruolo seguenti:

   • Proprietario dell'account di archiviazione
   • Proprietario
   • Collaboratore

   Connect-AzAccount
   

   Suggerimento

   Se l'account Azure ha accesso a più tenant e/o sottoscrizioni, è necessario selezionare la sottoscrizione corretta impostando il contesto. Per altre informazioni, vedere Oggetti contesto di Azure PowerShell

7. Aggiungere l'account di archiviazione al dominio eseguendo i comandi seguenti, sostituendo i valori per $subscriptionId, $resourceGroupNamee $storageAccountName con i valori. È anche possibile aggiungere il parametro -OrganizationalUnitDistinguishedName per specificare un'unità organizzativa in cui inserire l'account del computer.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Per verificare che l'account di archiviazione sia aggiunto al dominio, eseguire i comandi seguenti ed esaminare l'output, sostituendo i valori per $resourceGroupName e $storageAccountName con i valori:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Importante

Se il dominio applica la scadenza della password, è necessario aggiornare la password prima della scadenza per evitare errori di autenticazione durante l'accesso alle condivisioni file di Azure. Per altre informazioni, vedere Aggiornare la password dell'identità dell'account di archiviazione in Active Directory Domain Services per informazioni dettagliate.

Microsoft Entra Domain Services

1. Dal portale di Azure aprire l'account di archiviazione creato in precedenza.

2. Nella sezione Archiviazione dati selezionare Condivisioni file.

3. Nella sezione principale della pagina, accanto ad Active Directory, selezionare Non configurato.

4. Nella casella per Servizi di dominio Microsoft Entra selezionare Configura.

5. Selezionare la casella Abilita Microsoft Entra Domain Services per questa condivisione file e quindi selezionare Salva. Un'unità organizzativa denominata AzureFilesConfig verrà creata nella radice del dominio e verrà creato un account utente con lo stesso nome dell'account di archiviazione in tale unità organizzativa. Questo account verrà usato come account del servizio File di Azure.

Assegnare il ruolo controllo degli accessi in base al ruolo agli utenti

Gli utenti che devono archiviare i profili nella condivisione file devono disporre dell'autorizzazione per accedervi. A tale scopo, è necessario assegnare a ogni utente il ruolo Collaboratore condivisione SMB dati file di archiviazione.

Per assegnare agli utenti il ruolo:

1. Dal portale di Azure passare all'account di archiviazione e quindi alla condivisione file creata in precedenza.

2. Seleziona Controllo di accesso (IAM).

3. Selezionare + Aggiungi, quindi selezionare Aggiungi assegnazione di ruolo dal menu a discesa.

4. Selezionare il ruolo Collaboratore condivisione SMB dati file di archiviazione e selezionare Avanti.

5. Nella scheda Membri selezionare Utente, gruppo o entità servizio e quindi selezionare Seleziona membro. Nella barra di ricerca cercare e selezionare il gruppo di sicurezza che contiene gli utenti che useranno il contenitore del profilo.

6. Selezionare Rivedi e assegna per completare l'assegnazione.

Impostare le autorizzazioni NTFS

Sarà quindi necessario impostare le autorizzazioni NTFS per la cartella, che richiede di ottenere la chiave di accesso per l'account di archiviazione.

Per ottenere la chiave di accesso dell'account di archiviazione:

1. Nella portale di Azure cercare e selezionare Account di archiviazione nella barra di ricerca.

2. Nell'elenco degli account di archiviazione selezionare l'account abilitato Dominio di Active Directory Services o Microsoft Entra Domain Services come origine dell'identità e assegnato il ruolo controllo degli accessi in base al ruolo per nelle sezioni precedenti.

3. In Sicurezza e rete selezionare Chiavi di accesso, quindi visualizzare e copiare la chiave da key1.

Per impostare le autorizzazioni NTFS corrette nella cartella:

1. Accedere a un host di sessione che fa parte del pool di host.

2. Aprire un prompt di PowerShell con privilegi elevati ed eseguire il comando seguente per eseguire il mapping dell'account di archiviazione come unità nell'host di sessione. L'unità mappata non verrà visualizzata in Esplora file, ma può essere visualizzata con il net use comando . In questo modo è possibile impostare le autorizzazioni per la condivisione.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Sostituire <desired-drive-letter> con una lettera di unità di propria scelta , ad esempio y:.
   • Sostituire entrambe le istanze di con il nome dell'account di <storage-account-name> archiviazione specificato in precedenza.
   • Sostituire <share-name> con il nome della condivisione creata in precedenza.
   • Sostituire <storage-account-key> con la chiave dell'account di archiviazione da Azure.

   Ad esempio:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Eseguire i comandi seguenti per impostare le autorizzazioni per la condivisione che consentono agli utenti di Desktop virtuale Azure di creare il proprio profilo bloccando l'accesso ai profili di altri utenti. È consigliabile usare un gruppo di sicurezza di Active Directory che contiene gli utenti che si desidera usare il contenitore del profilo. Nei comandi seguenti sostituire <mounted-drive-letter> con la lettera dell'unità usata per eseguire il mapping dell'unità e <DOMAIN\GroupName> con il dominio e sAMAccountName del gruppo di Active Directory che richiederà l'accesso alla condivisione. È anche possibile specificare il nome dell'entità utente (UPN) di un utente.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Ad esempio:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Configurare il dispositivo Windows locale per l'uso dei contenitori del profilo

Per usare i contenitori del profilo, è necessario assicurarsi che FSLogix Apps sia installato nel dispositivo. Se si sta configurando Desktop virtuale Azure, FSLogix Apps è preinstallato nei sistemi operativi windows 10 Enterprise multisessione e Windows 11 Enterprise multisessione, ma è comunque necessario seguire la procedura seguente perché potrebbe non essere installata la versione più recente. Se si usa un'immagine personalizzata, è possibile installare le app FSLogix nell'immagine.

Per configurare i contenitori di profili, è consigliabile usare Preferenze di Criteri di gruppo per impostare le chiavi e i valori del Registro di sistema su larga scala in tutti gli host di sessione. È anche possibile impostarli nell'immagine personalizzata.

Per configurare il dispositivo Windows locale:

1. Se è necessario installare o aggiornare le app FSLogix, scaricare la versione più recente di FSLogix e installarla eseguendo FSLogixAppsSetup.exe, seguendo le istruzioni riportate nell'installazione guidata. Per altre informazioni sul processo di installazione, incluse le personalizzazioni e l'installazione automatica, vedere Scaricare e installare FSLogix.

2. Aprire un prompt di PowerShell con privilegi elevati ed eseguire i comandi seguenti, sostituendo \\<storage-account-name>.file.core.windows.net\<share-name> con il percorso UNC dell'account di archiviazione creato in precedenza. Questi comandi abilitano il contenitore del profilo e configurano il percorso della condivisione.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

3. Riavviare il dispositivo. Dovrai ripetere questi passaggi per tutti i dispositivi rimanenti.

La configurazione del contenitore del profilo è stata completata. Se si installa il contenitore del profilo nell'immagine personalizzata, è necessario completare la creazione dell'immagine personalizzata. Per altre informazioni, seguire la procedura descritta in Creare un'immagine personalizzata in Azure dalla sezione Creare lo snapshot finale in poi.

Convalidare la creazione del profilo

Dopo aver installato e configurato il contenitore del profilo, è possibile testare la distribuzione accedendo con un account utente a cui è stato assegnato un gruppo di applicazioni o un desktop nel pool di host.

Se l'utente ha eseguito l'accesso in precedenza, avrà un profilo locale esistente che userà durante questa sessione. Eliminare prima il profilo locale o creare un nuovo account utente da usare per i test.

Gli utenti possono verificare che il contenitore del profilo sia configurato seguendo questa procedura:

1. Accedere a Desktop virtuale Azure come utente di test.

2. Quando l'utente esegue l'accesso, viene visualizzato il messaggio "Attendere i servizi app FSLogix" come parte del processo di accesso, prima di raggiungere il desktop.

Gli amministratori possono controllare che la cartella del profilo sia stata creata seguendo questa procedura:

1. Apri il portale di Azure.

2. Aprire l'account di archiviazione creato in precedenza.

3. Passare ad Archiviazione dati nell'account di archiviazione e quindi selezionare Condivisioni file.

4. Aprire la condivisione file e assicurarsi che la cartella del profilo utente creata sia presente.