Przechowywanie kontenerów profilów FSLogix w usługach Azure Files i usługach domena usługi Active Directory lub Microsoft Entra Domain Services

W tym artykule pokazano, jak skonfigurować kontener profilu FSLogix za pomocą usługi Azure Files, gdy maszyny wirtualne hosta sesji są przyłączone do domeny usług domena usługi Active Directory (AD DS) lub domeny zarządzanej usług Microsoft Entra Domain Services.

Wymagania wstępne

Do skonfigurowania kontenera profilu potrzebne są następujące elementy:

• Pula hostów, w której hosty sesji są przyłączone do domeny usług AD DS lub domeny zarządzanej usług Microsoft Entra Domain Services i są przypisywani użytkownicy.
• Grupa zabezpieczeń w domenie zawierająca użytkowników, którzy będą używać kontenera profilów. Jeśli używasz usług AD DS, należy zsynchronizować go z identyfikatorem Entra firmy Microsoft.
• Uprawnienie do subskrypcji platformy Azure w celu utworzenia konta magazynu i dodania przypisań ról.
• Konto domeny do przyłączania komputerów do domeny i otwieranie monitu programu PowerShell z podwyższonym poziomem uprawnień.
• Identyfikator subskrypcji platformy Azure, w której będzie używane konto magazynu.
• Komputer przyłączony do domeny na potrzeby instalowania i uruchamiania modułów programu PowerShell, które dołączą konto magazynu do domeny. Na tym urządzeniu musi być uruchomiona obsługiwana wersja systemu Windows. Alternatywnie możesz użyć hosta sesji.

Ważne

Jeśli użytkownicy wcześniej zalogowali się do hostów sesji, których chcesz użyć, profile lokalne zostały dla nich utworzone i muszą zostać usunięte najpierw przez administratora, aby ich profil był przechowywany w kontenerze profilu.

Konfigurowanie konta magazynu dla kontenera profilu

Aby skonfigurować konto magazynu:

1. Utwórz konto usługi Azure Storage, jeśli jeszcze go nie masz.

   Napiwek

   Organizacja może mieć wymagania dotyczące zmiany tych wartości domyślnych:

   • Niezależnie od tego, czy należy wybrać warstwę Premium , zależy od wymagań dotyczących liczby operacji we/wy na sekundę i opóźnień. Aby uzyskać więcej informacji, zobacz Opcje magazynu kontenerów.
   • Na karcie Zaawansowane należy pozostawić włączony włącz dostęp do klucza konta magazynu.
   • Aby uzyskać więcej informacji na temat pozostałych opcji konfiguracji, zobacz Planowanie wdrożenia usługi Azure Files.

2. Utwórz udział usługi Azure Files na koncie magazynu, aby przechowywać profile FSLogix, jeśli jeszcze tego nie zrobiono.

Dołączanie konta magazynu do usługi Active Directory

Aby używać kont usługi Active Directory dla uprawnień udziału plików, należy włączyć usługi AD DS lub Microsoft Entra Domain Services jako źródło. Ten proces łączy konto magazynu z domeną reprezentującą ją jako konto komputera. Wybierz odpowiednią kartę poniżej dla swojego scenariusza i wykonaj kroki.

AD DS

1. Zaloguj się do komputera przyłączonego do domeny usług AD DS. Alternatywnie zaloguj się do jednego z hostów sesji.

2. Pobierz i wyodrębnij najnowszą wersję narzędzia AzFilesHybrid z repozytorium GitHub przykładów usługi Azure Files. Zanotuj folder, do którego wyodrębnisz pliki.

3. Otwórz monit programu PowerShell z podwyższonym poziomem uprawnień i przejdź do katalogu, w którym wyodrębniono pliki.

4. Uruchom następujące polecenie, aby dodać AzFilesHybrid moduł do katalogu modułów programu PowerShell użytkownika:

   .\CopyToPSPath.ps1
   

5. Zaimportuj AzFilesHybrid moduł, uruchamiając następujące polecenie:

   Import-Module -Name AzFilesHybrid
   

   Ważne

   Ten moduł wymaga Galeria programu PowerShell i programu Azure PowerShell. Może pojawić się monit o zainstalowanie tych plików, jeśli nie zostały jeszcze zainstalowane lub wymagają aktualizacji. Jeśli zostanie wyświetlony monit o ich zainstalowanie, zamknij wszystkie wystąpienia programu PowerShell. Otwórz ponownie wiersz programu PowerShell z podwyższonym poziomem uprawnień i ponownie zaimportuj AzFilesHybrid moduł przed kontynuowaniem.

6. Zaloguj się na platformie Azure, uruchamiając poniższe polecenie. Musisz użyć konta, które ma jedną z następujących ról kontroli dostępu opartej na rolach (RBAC):

   • Właściciel konta magazynu
   • Właściciel
   • Współautor

   Connect-AzAccount
   

   Napiwek

   Jeśli twoje konto platformy Azure ma dostęp do wielu dzierżaw i/lub subskrypcji, musisz wybrać poprawną subskrypcję, ustawiając kontekst. Aby uzyskać więcej informacji, zobacz Obiekty kontekstowe programu Azure PowerShell

7. Dołącz konto magazynu do domeny, uruchamiając poniższe polecenia, zastępując wartości $subscriptionId, $resourceGroupNamei $storageAccountName wartościami. Można również dodać parametr -OrganizationalUnitDistinguishedName w celu określenia jednostki organizacyjnej, w której ma zostać utworzone konto komputera.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Aby sprawdzić, czy konto magazynu jest przyłączone do domeny, uruchom poniższe polecenia i przejrzyj dane wyjściowe, zastępując wartości i $resourceGroupName $storageAccountName wartościami:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Ważne

Jeśli domena wymusza wygaśnięcie hasła, musisz zaktualizować hasło przed wygaśnięciem, aby zapobiec niepowodzeniu uwierzytelniania podczas uzyskiwania dostępu do udziałów plików platformy Azure. Aby uzyskać więcej informacji, zobacz Aktualizowanie hasła tożsamości konta magazynu w usługach AD DS , aby uzyskać szczegółowe informacje.

Usługi domenowe Microsoft Entra

1. W witrynie Azure Portal otwórz utworzone wcześniej konto magazynu.

2. W sekcji Magazyn danych wybierz pozycję Udziały plików.

3. W głównej sekcji strony obok pozycji Active Directory wybierz pozycję Nieskonfigurowane.

4. W polu Microsoft Entra Domain Services wybierz pozycję Skonfiguruj.

5. Zaznacz pole wyboru Włącz usługi Microsoft Entra Domain Services dla tego udziału plików, a następnie wybierz pozycję Zapisz. Jednostka organizacyjna o nazwie AzureFilesConfig zostanie utworzona w katalogu głównym domeny, a konto użytkownika o nazwie tak samo jak konto magazynu zostanie utworzone w tej jednostce organizacyjnej. To konto będzie używane jako konto usługi Azure Files.

Przypisywanie roli RBAC do użytkowników

Użytkownicy, którzy muszą przechowywać profile w udziale plików, muszą mieć uprawnienia dostępu do niego. W tym celu należy przypisać każdemu użytkownikowi rolę Współautor udziału SMB danych plików magazynu.

Aby przypisać użytkownikom rolę:

1. W witrynie Azure Portal przejdź do konta magazynu, a następnie do utworzonego wcześniej udziału plików.

2. Wybierz pozycję Kontrola dostępu (IAM).

3. Wybierz pozycję + Dodaj, a następnie z menu rozwijanego wybierz pozycję Dodaj przypisanie roli.

4. Wybierz rolę Współautor udziału SMB danych pliku magazynu, a następnie wybierz pozycję Dalej.

5. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi, a następnie wybierz pozycję +Wybierz członków. Na pasku wyszukiwania wyszukaj i wybierz grupę zabezpieczeń zawierającą użytkowników, którzy będą używać kontenera profilu.

6. Wybierz pozycję Przejrzyj i przypisz, aby ukończyć przypisywanie.

Ustawianie uprawnień systemu plików NTFS

Następnie należy ustawić uprawnienia systemu plików NTFS w folderze, który wymaga uzyskania klucza dostępu dla konta magazynu.

Aby uzyskać klucz dostępu do konta magazynu:

1. W witrynie Azure Portal wyszukaj i wybierz konto magazynu na pasku wyszukiwania.

2. Z listy kont magazynu wybierz konto włączone domena usługi Active Directory Services lub Microsoft Entra Domain Services jako źródło tożsamości i przypisano rolę RBAC dla w poprzednich sekcjach.

3. W obszarze Zabezpieczenia i sieć wybierz pozycję Klucze dostępu, a następnie pokaż i skopiuj klucz z klucza key1.

Aby ustawić prawidłowe uprawnienia systemu plików NTFS w folderze:

1. Zaloguj się do hosta sesji, który jest częścią puli hostów.

2. Otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień i uruchom poniższe polecenie, aby zamapować konto magazynu jako dysk na hoście sesji. Zamapowany dysk nie będzie wyświetlany w Eksplorator plików, ale można go wyświetlić za net use pomocą polecenia . Dzięki temu możesz ustawić uprawnienia do udziału.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Zastąp <desired-drive-letter> wybraną literą dysku (na przykład y:).
   • Zastąp oba wystąpienia <storage-account-name> określonym wcześniej nazwą konta magazynu.
   • Zastąp <share-name> ciąg nazwą utworzonego wcześniej udziału.
   • Zastąp ciąg <storage-account-key> kluczem konta magazynu z platformy Azure.

   Na przykład:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Uruchom następujące polecenia, aby ustawić uprawnienia do udziału, które umożliwiają użytkownikom usługi Azure Virtual Desktop tworzenie własnego profilu przy jednoczesnym blokowaniu dostępu do profilów innych użytkowników. Należy użyć grupy zabezpieczeń usługi Active Directory zawierającej użytkowników, których chcesz użyć w kontenerze profilu. W poniższych poleceniach zastąp <mounted-drive-letter> literą dysku użytego do mapowania dysku oraz <DOMAIN\GroupName> domeną i sAMAccountName grupy usługi Active Directory, która będzie wymagać dostępu do udziału. Możesz również określić główną nazwę użytkownika (UPN) użytkownika.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Na przykład:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Konfigurowanie lokalnego urządzenia z systemem Windows do używania kontenerów profilów

Aby można było używać kontenerów profilów, upewnij się, że na urządzeniu zainstalowano aplikacje FSLogix. Jeśli konfigurujesz usługę Azure Virtual Desktop, aplikacje FSLogix są wstępnie zainstalowane w wielu sesjach systemu Windows 10 Enterprise i wielosesyjne systemy operacyjne Windows 11 Enterprise, ale nadal należy wykonać poniższe kroki, ponieważ może nie mieć zainstalowanej najnowszej wersji. Jeśli używasz obrazu niestandardowego, możesz zainstalować aplikacje FSLogix na obrazie.

Aby skonfigurować kontenery profilów, zalecamy użycie preferencji zasad grupy do ustawiania kluczy rejestru i wartości na dużą skalę na wszystkich hostach sesji. Można je również ustawić w obrazie niestandardowym.

Aby skonfigurować lokalne urządzenie z systemem Windows:

1. Jeśli musisz zainstalować lub zaktualizować aplikacje FSLogix, pobierz najnowszą wersję programu FSLogix i zainstaluj ją, uruchamiając FSLogixAppsSetup.exepolecenie , a następnie postępuj zgodnie z instrukcjami kreatora instalacji. Aby uzyskać więcej informacji na temat procesu instalacji, w tym dostosowań i instalacji nienadzorowanej, zobacz Pobieranie i instalowanie programu FSLogix.

2. Otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenia, zastępując \\<storage-account-name>.file.core.windows.net\<share-name> ciąg ścieżką UNC do utworzonego wcześniej konta magazynu. Te polecenia umożliwiają kontener profilu i konfigurują lokalizację udziału.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

3. Ponownie uruchom urządzenie. Te kroki należy powtórzyć dla pozostałych urządzeń.

Teraz zakończono konfigurowanie kontenera profilu. Jeśli instalujesz kontener profilu na obrazie niestandardowym, musisz zakończyć tworzenie obrazu niestandardowego. Aby uzyskać więcej informacji, wykonaj kroki opisane w sekcji Tworzenie obrazu niestandardowego na platformie Azure w sekcji Wykonaj ostateczną migawkę do wewnątrz.

Weryfikowanie tworzenia profilu

Po zainstalowaniu i skonfigurowaniu kontenera profilu możesz przetestować wdrożenie, logując się przy użyciu konta użytkownika, które zostało przypisane do grupy aplikacji lub pulpitu w puli hostów.

Jeśli użytkownik zalogował się wcześniej, będzie miał istniejący profil lokalny, który będzie używany podczas tej sesji. Najpierw usuń profil lokalny lub utwórz nowe konto użytkownika do użycia na potrzeby testów.

Użytkownicy mogą sprawdzić, czy kontener profilu został skonfigurowany, wykonując poniższe kroki:

1. Zaloguj się do usługi Azure Virtual Desktop jako użytkownik testowy.

2. Gdy użytkownik się zaloguje, przed dotarciem do pulpitu powinien zostać wyświetlony komunikat "Czekaj na usługi FSLogix Apps Services".

Administratorzy mogą sprawdzić, czy folder profilu został utworzony, wykonując poniższe kroki:

1. Otwórz witrynę Azure Portal.

2. Otwórz utworzone wcześniej konto magazynu.

3. Przejdź do pozycji Magazyn danych na koncie magazynu, a następnie wybierz pozycję Udziały plików.

4. Otwórz udział plików i upewnij się, że folder profilu użytkownika, który został utworzony, znajduje się w nim.