Azure Files と Active Directory Domain Services または Microsoft Entra Domain Services に FSLogix プロファイル コンテナーを格納する
この記事では、セッション ホスト仮想マシン (VM) が Active Directory Domain Services (AD DS) ドメインまたは Microsoft Entra Domain Services マネージド ドメインに参加している場合に、Azure Files で FSLogix プロファイル コンテナーを設定する方法を示します。
前提条件
プロファイル コンテナーを構成するには、次のものが必要です。
- セッション ホストが AD DS ドメインまたは Microsoft Entra Domain Services マネージド ドメインに参加し、ユーザーが割り当てられているホスト プール。
- プロファイル コンテナーを使用するユーザーを含むドメイン内のセキュリティ グループ。 AD DS を使用している場合は、これを Microsoft Entra ID に同期する必要があります。
- ストレージ アカウントを作成し、ロールの割り当てを追加するための Azure サブスクリプションに対するアクセス許可。
- コンピューターをドメインに参加させ、管理者特権の PowerShell プロンプトを開くためのドメイン アカウント。
- ご自分のストレージ アカウントが含まれる Azure サブスクリプションのサブスクリプション ID。
- ストレージ アカウントをドメインに参加させる PowerShell モジュールをインストールして実行するための、ドメインに参加しているコンピューター。 このデバイスで、サポートされているバージョンの Windows が実行されている必要があります。 代わりに、セッション ホストを使用することもできます。
重要
使用するセッション ホストにユーザーが以前にサインインしている場合は、ローカル プロファイルが作成されており、プロファイル コンテナーに格納するには管理者が最初にプロファイルを削除する必要があります。
プロファイル コンテナーのストレージ アカウントを設定する
ストレージ アカウントを設定するには:
Azure ストレージ アカウントをまだお持ちでない場合は作成します。
ヒント
組織によっては、これらの既定値を変更する要件がある場合があります。
- Premium を選択するかどうかは、IOPS と待機時間の要件によって異なります。 詳細については、「コンテナー ストレージ オプション」を参照してください。
- [詳細] タブの [ストレージ アカウント キーへのアクセスを有効にする] は、有効のままにしておく必要があります。
- 残りの構成オプションの詳細については、Azure Files デプロイの計画に関するページを参照してください。
FSLogix プロファイルを格納するために、ご利用のストレージ アカウントで Azure Files 共有を作成します (まだお持ちでない場合)。
ストレージ アカウントを Active Directory に参加させる
ファイル共有の共有アクセス許可に Active Directory アカウントを使用するには、AD DS または Microsoft Entra Domain Services をソースとして有効にする必要があります。 このプロセスにより、ストレージ アカウントがドメインに参加し、コンピューター アカウントとして表されます。 シナリオの下にある関連タブを選択し、手順に従います。
AD DS ドメインに参加しているコンピューターにサインインします。 または、いずれかのセッション ホストにサインインします。
Azure Files サンプル GitHub リポジトリから最新バージョンの AzFilesHybrid をダウンロードして抽出します。 ファイルの抽出先のフォルダーをメモしておきます。
管理者特権の PowerShell プロンプトを開き、ファイルの抽出先のディレクトリに変更します。
次のコマンドを実行して、
AzFilesHybrid
モジュールをユーザーの PowerShell モジュール ディレクトリに追加します。.\CopyToPSPath.ps1
次のコマンドを実行して、
AzFilesHybrid
モジュールをインポートします。Import-Module -Name AzFilesHybrid
重要
このモジュールには、PowerShell ギャラリーと Azure PowerShell が必要です。 これらがまだインストールされていない場合、または更新が必要な場合は、インストールするように求められる場合があります。 求められたら、それらをインストールしてから、PowerShell のすべてのインスタンスを閉じます。 管理者特権の PowerShell プロンプトを再度開き、
AzFilesHybrid
モジュールをもう一度インポートしてから続行します。次のコマンドを実行して Azure にサインインします。 次のいずれかのロールベースのアクセス制御 (RBAC) ロールを持つアカウントを使用する必要があります。
- ストレージ アカウントの所有者
- 所有者
- Contributor
Connect-AzAccount
ヒント
Azure アカウントが複数のテナントやサブスクリプションにアクセスできる場合は、コンテキストを設定して適切なサブスクリプションを選ぶ必要があります。 詳しくは、「Azure PowerShell コンテキスト オブジェクト」をご覧ください
次のコマンドを実行して、ストレージ アカウントをドメインに参加させ、
$subscriptionId
、$resourceGroupName
、$storageAccountName
の値を実際の値に置き換えます。 パラメーター-OrganizationalUnitDistinguishedName
を追加して、コンピューター アカウントを配置する組織単位 (OU) を指定することもできます。$subscriptionId = "subscription-id" $resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" Join-AzStorageAccount ` -ResourceGroupName $ResourceGroupName ` -StorageAccountName $StorageAccountName ` -DomainAccountType "ComputerAccount"
ストレージ アカウントがドメインに参加していることを検証するには、次のコマンドを実行して出力を確認します。
$resourceGroupName
と$storageAccountName
の値は実際の値に置き換えます。$resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
重要
ドメインでパスワードの有効期限が適用されている場合は、有効期間が切れる前にパスワードを更新し、Azure ファイル共有にアクセスするときの認証エラーを防ぐ必要があります。 詳細については、「AD DS のストレージ アカウント ID のパスワードを更新する」を参照してください。
RBAC ロールをユーザーに割り当てる
ファイル共有にプロファイルを格納する必要があるユーザーには、アクセス許可が必要です。 これを行うには、各ユーザーに "記憶域ファイル データの SMB 共有の共同作成者" ロールを割り当てる必要があります。
ユーザーにロールを割り当てるには:
Azure portal からストレージ アカウントを参照してから、前に作成したファイル共有を参照します。
[アクセス制御 (IAM)] を選択します。
[+ 追加] を選び、ドロップダウン メニューから [ロールの割り当ての追加] を選びます。
[記憶域ファイル データの SMB 共有の共同作成者] を選び、[次へ] を選びます。
[メンバー] タブで、[ユーザー、グループ、またはサービス プリンシパル] を選んでから、[+ メンバーの選択] を選びます。 検索バーで、プロファイル コンテナーを使用するユーザーを含むセキュリティ グループを検索して選択します。
[レビューと割り当て] を選択して、割り当てを完了します。
NTFS アクセス許可を設定する
次に、フォルダーに NTFS アクセス許可を設定する必要があります。これには、ストレージ アカウントのアクセス キーを取得する必要があります。
ストレージ アカウントのアクセス キーを取得するには:
Azure portal の検索バーで、ストレージ アカウントを検索して選びます。
ストレージ アカウントの一覧から、ID ソースとして Active Directory Domain Services または Microsoft Entra Domain Services を有効にし、前のセクションで RBAC ロールを割り当てたアカウントを選択します。
[セキュリティとネットワーク] で、[アクセス キー] を選び、key1 からキーを表示してコピーします。
フォルダーに適切な NTFS アクセス許可を設定するには:
ホスト プールの一部であるセッション ホストにサインインします。
管理者特権の PowerShell プロンプトを開き、次のコマンドを実行して、ストレージ アカウントをセッション ホスト上のドライブとしてマップします。 マップ済みドライブはエクスプローラーには表示されませんが、
net use
コマンドを使用して表示できます。 これにより、共有に対するアクセス許可を設定できます。net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
<desired-drive-letter>
を、選択したドライブ文字 (y:
など) に置き換えます。<storage-account-name>
の両方のインスタンスを、以前に指定したストレージ アカウントの名前に置き換えます。<share-name>
を、以前に作成した共有の名前に置き換えます。<storage-account-key>
を、Azure からのストレージ アカウント キーに置き換えます。
次に例を示します。
net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
次のコマンドを実行して、他のユーザーのプロファイルへのアクセスをブロックしながら、Azure Virtual Desktop ユーザーが自身のプロファイルを作成できるように、共有にアクセス許可を設定します。 プロファイル コンテナーを使用するユーザーを含む Active Directory セキュリティ グループを使う必要があります。 次のコマンドで、
<mounted-drive-letter>
をドライブのマップに使用したドライブの文字に、<DOMAIN\GroupName>
を共有へのアクセスを必要とする Active Directory グループのドメインおよび sAMAccountName に置き換えます。 ユーザーのユーザー プリンシパル名 (UPN) を指定することもできます。icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)" icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls <mounted-drive-letter>: /remove "Authenticated Users" icacls <mounted-drive-letter>: /remove "Builtin\Users"
次に例を示します。
icacls y: /grant "CONTOSO\AVDUsers:(M)" icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls y: /remove "Authenticated Users" icacls y: /remove "Builtin\Users"
プロファイル コンテナーを使用するようにローカル Windows デバイスを構成する
プロファイル コンテナーを使用するには、FSLogix Apps がデバイスにインストールされていることを確認する必要があります。 Azure Virtual Desktop を構成している場合、FSLogix Apps は Windows 10 Enterprise マルチセッションおよび Windows 11 Enterprise マルチセッション オペレーティング システムにプレインストールされていますが、最新バージョンがインストールされていない可能性があるため、以下の手順に従う必要があります。 カスタム イメージを使用している場合は、イメージに FSLogix Apps をインストールできます。
プロファイル コンテナーを構成するには、グループ ポリシーの基本設定を使用して、すべてのセッション ホストにわたってレジストリ キーと値を大規模に設定することをお勧めします。 カスタム イメージでこれらを設定することもできます。
ローカル Windows デバイスを構成するには:
FSLogix Apps をインストールまたは更新する必要がある場合は、FSLogix の最新バージョンをダウンロードし、
FSLogixAppsSetup.exe
を実行してインストールし、セットアップ ウィザードの手順に従います。 カスタマイズや無人インストールなど、インストール プロセスの詳細については、「FSLogix をダウンロードしてインストールする」を参照してください。管理者特権の PowerShell プロンプトを開き、次のコマンドを実行し、
\\<storage-account-name>.file.core.windows.net\<share-name>
を前に作成したストレージ アカウントへの UNC パスに置き換えます。 これらのコマンドにより、プロファイル コンテナーが有効になり、共有の場所が構成されます。$regPath = "HKLM:\SOFTWARE\FSLogix\profiles" New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
デバイスを再起動します。 残りのデバイスに対してこれらの手順を繰り返す必要があります。
これで、プロファイル コンテナーの設定が完了しました。 カスタム イメージにプロファイル コンテナーをインストールする場合は、カスタム イメージの作成を完了する必要があります。 詳細については、Azure でカスタム イメージを作成するの「最終的なスナップショットを取得する」セクションの手順に従ってください。
プロファイルの作成を検証する
プロファイル コンテナーをインストールして構成したら、ホスト プールにアプリケーション グループまたはデスクトップが割り当てられているユーザー アカウントでサインインすることで、デプロイをテストできます。
ユーザーが以前にサインインしたことがある場合は、このセッションの間に使用する既存のローカル プロファイルがあります。 最初にローカル プロファイルを削除するか、テストに使用する新しいユーザー アカウントを作成します。
ユーザーは、次の手順に従って、プロファイル コンテナーが設定されていることを確認できます。
テスト ユーザーとして Azure Virtual Desktop にサインインします。
ユーザーがサインインすると、デスクトップに到達する前に、サインイン プロセスの一部として "FSLogix Apps Services を待機してください" というメッセージが表示されます。
管理者は、次の手順に従ってプロファイル フォルダーが作成されていることを確認できます。
Azure portal を開きます。
前に作成したストレージ アカウントを開きます。
ストレージ アカウントで [データ ストレージ] に移動し、[ファイル共有] を選びます。
ファイル共有を開き、作成したユーザー プロファイル フォルダーがそこにあることを確認します。