Przechowywanie kontenerów profilów FSLogix w usługach Azure Files i Microsoft Entra ID
W tym artykule dowiesz się, jak utworzyć i skonfigurować udział usługi Azure Files dla uwierzytelniania Protokołu Kerberos firmy Microsoft. Ta konfiguracja umożliwia przechowywanie profilów FSLogix, do których można uzyskiwać dostęp za pomocą tożsamości użytkowników hybrydowych z przyłączonej do firmy Microsoft lub hostów sesji dołączonych hybrydowo do firmy Microsoft Entra bez konieczności korzystania z sieci na kontrolerach domeny. Firma Microsoft Entra Kerberos umożliwia usłudze Microsoft Entra ID wystawianie niezbędnych biletów Protokołu Kerberos w celu uzyskania dostępu do udziału plików przy użyciu standardowego protokołu SMB w branży.
Ta funkcja jest obsługiwana w chmurze platformy Azure, na platformie Azure dla instytucji rządowych USA i na platformie Azure obsługiwanej przez firmę 21Vianet.
Wymagania wstępne
Przed wdrożeniem tego rozwiązania sprawdź, czy środowisko spełnia wymagania dotyczące konfigurowania usługi Azure Files przy użyciu uwierzytelniania Kerberos firmy Microsoft.
W przypadku korzystania z profilów FSLogix w usłudze Azure Virtual Desktop hosty sesji nie muszą mieć dostępu do kontrolera domeny (DC, Network Line-of-sight). Jednak do skonfigurowania uprawnień w udziale usługi Azure Files wymagany jest system z połączeniem sieciowym z kontrolerem domeny.
Konfigurowanie konta usługi Azure Storage i udziału plików
Aby przechowywać profile FSLogix w udziale plików platformy Azure:
Utwórz konto usługi Azure Storage, jeśli jeszcze go nie masz.
Uwaga
Konto usługi Azure Storage nie może uwierzytelniać się zarówno przy użyciu identyfikatora Entra firmy Microsoft, jak i drugiej metody, takiej jak domena usługi Active Directory Services (AD DS) lub Microsoft Entra Domain Services. Można użyć tylko jednej metody uwierzytelniania.
Utwórz udział usługi Azure Files na koncie magazynu, aby przechowywać profile FSLogix, jeśli jeszcze tego nie zrobiono.
Włącz uwierzytelnianie Protokołu Kerberos firmy Microsoft w usłudze Azure Files , aby włączyć dostęp z maszyn wirtualnych dołączonych do firmy Microsoft Entra.
- Podczas konfigurowania uprawnień na poziomie katalogu i pliku zapoznaj się z zalecaną listą uprawnień dla profilów FSLogix w temacie Konfigurowanie uprawnień magazynu dla kontenerów profilów.
- Bez odpowiednich uprawnień na poziomie katalogu użytkownik może usunąć profil użytkownika lub uzyskać dostęp do danych osobowych innego użytkownika. Należy upewnić się, że użytkownicy mają odpowiednie uprawnienia, aby zapobiec przypadkowemu usunięciu.
Konfigurowanie lokalnego urządzenia z systemem Windows
Aby uzyskać dostęp do udziałów plików platformy Azure z maszyny wirtualnej dołączonej do firmy Microsoft dla profilów FSLogix, należy skonfigurować lokalne urządzenie z systemem Windows, na którym są ładowane profile FSLogix. Aby skonfigurować urządzenie:
Włącz funkcję Protokołu Kerberos firmy Microsoft entra przy użyciu jednej z następujących metod.
- Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do hosta sesji: Kerberos/CloudKerberosTicketRetrievalEnabled.
Uwaga
Wielosesyjne systemy operacyjne klienta systemu Windows nie obsługują dostawcy usługi konfiguracji zasad, ponieważ obsługują tylko wykaz ustawień, dlatego należy użyć jednej z innych metod. Dowiedz się więcej na temat korzystania z wielu sesji usługi Azure Virtual Desktop z usługą Intune.
Włącz te zasady grupy na urządzeniu. Ścieżka będzie jedną z następujących czynności, w zależności od używanej wersji systemu Windows:
Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
Utwórz następującą wartość rejestru na urządzeniu:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
Jeśli używasz identyfikatora Entra firmy Microsoft z rozwiązaniem profilu mobilnego, takim jak FSLogix, klucze poświadczeń w Menedżerze poświadczeń muszą należeć do profilu, który jest aktualnie ładowany. Dzięki temu można załadować profil na wielu różnych maszynach wirtualnych zamiast ograniczać się tylko do jednego. Aby włączyć to ustawienie, utwórz nową wartość rejestru, uruchamiając następujące polecenie:
reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
Uwaga
Hosty sesji nie potrzebują widoku sieciowego do kontrolera domeny.
Konfigurowanie programu FSLogix na lokalnym urządzeniu z systemem Windows
W tej sekcji przedstawiono sposób konfigurowania lokalnego urządzenia z systemem Windows przy użyciu programu FSLogix. Należy postępować zgodnie z tymi instrukcjami za każdym razem, gdy skonfigurujesz urządzenie. Dostępnych jest kilka opcji, które zapewniają skonfigurowanie kluczy rejestru na wszystkich hostach sesji. Możesz określić te opcje w obrazie lub skonfigurować zasady grupy.
Aby skonfigurować plik FSLogix:
W razie potrzeby zaktualizuj lub zainstaluj oprogramowanie FSLogix na urządzeniu.
Uwaga
Jeśli konfigurujesz hosta sesji utworzonego przy użyciu usługi Azure Virtual Desktop, program FSLogix powinien być już wstępnie zainstalowany.
Postępuj zgodnie z instrukcjami w temacie Konfigurowanie ustawień rejestru kontenerów profilów , aby utworzyć wartości rejestru Enabled i VHDLocations . Ustaw wartość VHDLocations na
\\<Storage-account-name>.file.core.windows.net\<file-share-name>
.
Testowanie wdrożenia
Po zainstalowaniu i skonfigurowaniu programu FSLogix możesz przetestować wdrożenie, logując się przy użyciu konta użytkownika przypisanego do grupy aplikacji w puli hostów. Konto użytkownika, za pomocą którego się logujesz, musi mieć uprawnienia do korzystania z udziału plików.
Jeśli użytkownik zalogował się wcześniej, będzie miał istniejący profil lokalny, który będzie używany przez usługę podczas tej sesji. Aby uniknąć tworzenia profilu lokalnego, utwórz nowe konto użytkownika do użycia na potrzeby testów lub użyj metod konfiguracji opisanych w artykule Samouczek: konfigurowanie kontenera profilu w celu przekierowania profilów użytkowników w celu włączenia ustawienia DeleteLocalProfileWhenVHDShouldApply .
Na koniec sprawdź profil utworzony w usłudze Azure Files po pomyślnym zalogowaniu użytkownika:
Otwórz witrynę Azure Portal i zaloguj się przy użyciu konta administracyjnego.
Na pasku bocznym wybierz pozycję Konta magazynu.
Wybierz konto magazynu skonfigurowane dla puli hostów sesji.
Na pasku bocznym wybierz pozycję Udziały plików.
Wybierz udział plików skonfigurowany do przechowywania profilów.
Jeśli wszystko jest skonfigurowane poprawnie, powinien zostać wyświetlony katalog o nazwie sformatowanej w następujący sposób:
<user SID>_<username>
.
Następne kroki
- Aby rozwiązać problemy z programem FSLogix, zobacz ten przewodnik rozwiązywania problemów.