Abilitare la protezione dei dati
Un profilo utente è una raccolta di configurazioni che l'utente o l'amministratore ha creato per rappresentare lo stato di un sistema. I vari componenti di sistema vengono associati al profilo di un utente. Questi componenti includono applicazioni, voci del Registro di sistema e altre voci personalizzate.
Windows 10 offre diversi tipi di profili utente. La tabella seguente descrive i quattro tipi tradizionali di profili Windows.
| Tipo profilo | Descrizione |
|---|---|
| Profilo utente locale | Un profilo utente locale viene archiviato nel disco del dispositivo. Se si usa un dispositivo diverso, la personalizzazione non viene sincronizzata tra i dispositivi. |
| Profilo utente mobile | Un profilo utente mobile è una copia del profilo utente locale, archiviata in una cartella condivisa. Le modifiche apportate localmente a un profilo mobile vengono sincronizzate con la cartella condivisa SMB (Server Message Block) del file server quando l'utente esce dal servizio. Se l'utente accede a un dispositivo diverso, le personalizzazioni seguono l'utente quando il profilo mobile viene scaricato nel nuovo sistema. Non è tuttavia possibile collegare in roaming tutte le impostazioni per Windows e le applicazioni. Per la flessibilità viene pagata una penalità per prestazioni e manutenzione. L'aggiunta di contenitori di profili FSLogix ha risolto le carenze dei profili mobili tradizionali. La sezione successiva descrive i contenitori di profili FSLogix. |
| Profilo obbligatorio | Un profilo obbligatorio è un profilo utente mobile preconfigurato da un amministratore per specificare le impostazioni per gli utenti. Con i profili utente obbligatori, un utente può modificare il desktop, ma le modifiche non vengono salvate quando l'utente esce dal servizio. All'accesso successivo, viene scaricato il profilo utente obbligatorio creato dall'amministratore. I profili obbligatori vengono in genere usati in un ambiente chiosco. |
| Profilo temporaneo | Un profilo in modalità provvisoria viene creato quando il profilo mobile di un utente presenta problemi di caricamento. Viene ignorato alla disconnessione. |
Contenitori di profili FSLogix
In un ambiente Desktop virtuale Azure sono consigliati contenitori di profili FSLogix per archiviare l'intero profilo utente. I contenitori dei profili non sono una soluzione tradizionale di gestione dei profili, ma una soluzione completa per i profili remoti per ambienti non permanenti.
I contenitori di profili reindirizzano l'intero profilo utente a una posizione remota. La configurazione del contenitore di profili definisce come e dove viene reindirizzato il profilo. Quando si usa un contenitore di profili con Desktop virtuale Azure, questo può essere archiviato in un account di archiviazione di Azure.
Quando si accede a Desktop virtuale Azure, un contenitore (disco rigido virtuale) di un profilo utente viene collegato dinamicamente alla VM assegnata all'utente. FSLogix usa una tecnologia avanzata di driver filtro per consentire al profilo utente di essere immediatamente disponibile nel sistema, esattamente come per un profilo utente locale.
FSLogix risolve i problemi principali relativi ai profili non permanenti. In breve, FSLogix consente ai profili locali di agire come profili mobili e offre i vantaggi principali seguenti:
- Miglioramenti alle prestazioni. I contenitori di profili FSLogix offrono prestazioni elevate e indirizzi bloccati in modalità cache.
- Supporto per Microsoft OneDrive for Business, inclusi file su richiesta. In precedenza, questo supporto non era incluso in ambienti virtualizzati non permanenti.
- Cartelle SMB. FSLogix consente di estendere i profili utente per il provisioning di volumi SMB di livello aziendale usando il servizio Azure NetApp Files. Azure NetApp Files supporta SMB 2.1 e SMB 3.1.
Contenitori di profili FSLogix con File di Azure
File di Azure supporta l'autenticazione basata su identità SMB usando Active Directory Domain Services (AD DS) locale con Microsoft Entra Domain Services. File di Azure applica i protocolli Kerberos per l'autenticazione con Active Directory Domain Services locale o Microsoft Entra Domain Services. L'abilitazione dell'accesso basato sulle identità per le condivisioni file di Azure consente di sostituire i file server locali esistenti con le condivisioni file di Azure mantenendo al contempo il servizio directory esistente.
Le condivisioni file sono ospitate in una macchina virtuale di Azure che si trova nella rete virtuale del pool di host di Desktop virtuale Azure. La macchina virtuale che rappresenta la condivisione file fa parte del dominio di Active Directory nella rete virtuale. Una volta aggiunta al dominio, la macchina virtuale può fungere da condivisione del contenitore di profili FSLogix per un pool di host.
È consigliabile usare File di Azure invece di condivisioni file.
Proteggere i dati di Desktop virtuale Azure usando Crittografia dischi di Azure
Tutti i file che Desktop virtuale Azure usa in Azure NetApp Files vengono crittografati tramite lo standard FIPS PUBS (Federal Information Processing Standards Publications) 140-2. Il servizio Azure NetApp Files gestisce tutte le chiavi e genera una chiave univoca di crittografia dei dati XTS-AES-256 per ogni volume.
Desktop virtuale Azure usa una chiave di crittografia per crittografare e proteggere tutti i codici multilicenza. Queste chiavi di crittografia non sono mai disponibili né segnalate in un formato non crittografato. Le chiavi vengono anche eliminate immediatamente quando viene eliminato un volume.
Nota
È disponibile il supporto per le chiavi gestite dal cliente (Bring Your Own Key) tramite HSM dedicato di Azure. Verificare la disponibilità nella propria area geografica.