Configurar perfis de usuário do FSLOGIX
Para fornecer a melhor experiência para seus usuários da Área de Trabalho Virtual do Azure, use perfis do FSLogix. O FSLogix foi projetado para usar perfis móveis em ambientes de computação remota, como a Área de Trabalho Virtual do Azure. Os perfis de usuário são armazenados em arquivos VHD ou VHDX por usuário. Na entrada, esse contêiner de perfil é anexado dinamicamente ao ambiente de computação. O perfil do usuário é disponível imediatamente e aparece no sistema exatamente como um perfil do usuário nativo.
O que é FSLogix?
FSLogix é um conjunto de soluções que dissocia o perfil de usuário local de uma única área de trabalho Windows e permite que ele percorra entre vários computadores Windows.
Um perfil do usuário contém elementos de dados sobre uma pessoa, incluindo informações de configuração, como configurações da área de trabalho, conexões de rede persistentes e configurações de aplicativos. Um perfil do usuário remoto fornece uma partição entre os dados do usuário e o sistema operacional. Com as soluções FSLogix, você pode:
- Manter o contexto do usuário em ambientes de área de trabalho em pool
- Minimizar tempos de login para ambientes de área de trabalho em pool
- Otimizar a E/S do arquivo entre o host de sessão e o armazenamento de perfil remoto
Criar perfil FSLogix para usuários da Área de Trabalho Virtual do Azure
Para usar FSLogix para separar perfis de usuário das máquinas virtuais do host de sessão (VM), será necessário configurar o Armazenamento do Microsoft Azure e criar um compartilhamento de perfil FSLogix. Estes passos variam consoante o tipo de armazenamento e se está a utilizar o Microsoft Entra Domain Services ou o Active Directory Domain Services (AD DS). Os passos seguintes abrangem como configurar os Ficheiros do Azure com o Microsoft Entra Domain Services. Os passos para o AD DS são os mesmos, exceto a secção "Ativar autenticação Microsoft Entra". As diferenças são destacadas nesta seção.
Criar a conta de armazenamento
- Entre no portal do Azure.
- Pesquise Contas de armazenamento usando a caixa de pesquisa do portal do Azure.
- Na barra de comandos Contas de Armazenamento, selecione Criar. A página Criar uma conta de armazenamento é exibida.
- Em Detalhes do projeto, selecione a Assinatura e, em seguida, selecione ou crie um Grupo de recursos para conter seus recursos de armazenamento.
- Em Detalhes de instância, insira um nome exclusivo para sua conta de Armazenamento.
- Selecione a mesma Região que o pool de host AVD.
- Para desempenho, selecione Premium.
- Para o tipo Conta Premium, selecione Compartilhamentos de arquivos.
- Deixe Redundância definida como Armazenamento localmente redundante (LRS).
- Selecione Analisar + criar para validar suas entradas e, em seguida, selecione Criar.
- Aguarde a conclusão da implantação. Isso pode levar um minuto.
- Selecione Acessar recursos. A página da Conta de armazenamento exibe detalhes sobre sua conta de armazenamento.
Ativar a autenticação do Microsoft Entra
Os passos seguintes abrangem como ativar a autenticação para partilhas de ficheiros do Azure com o Microsoft Entra Domain Services. Se você estiver usando o AD DS, precisará registrar sua conta de armazenamento do Azure com o AD DS e definir as propriedades de domínio necessárias na conta de armazenamento. Use o módulo AzFilesHybrid do PowerShell do Azure em um dispositivo associado ao seu AD DS no local. O Join-AzStorageAccountForAuth cmdlet executa o equivalente a uma junção de domínio offline em nome da conta de armazenamento do Azure. Para obter instruções passo a passo sobre como habilitar a autenticação com o AD DS no local, confira o artigo documentos relacionados no final deste módulo.
Ativar a autenticação para partilhas de ficheiros do Azure com o Microsoft Entra Domain Services
- No menu Conta de armazenamento, role até Armazenamento de Dados e selecione Compartilhamentos de arquivo.
- Na parte superior da página, procure o Active Directory e selecione Não configurado.
- Em Microsoft Entra Domain Services, selecione Configurar.
- Selecione Ativar o Microsoft Entra Domain Services para esta partilha de ficheiros.
- Selecione Salvar.
- Selecione Salvar novamente.
Atribuir funções para acessar dados de armazenamento
Atribuir a função aos Administradores do Microsoft Entra DC
Tem de atribuir funções ao grupo Administradores do Microsoft Entra DC e aos seus utilizadores do Azure Virtual Desktop.
- Conceder aos administradores a capacidade de modificar permissões de NTFS atribuindo uma função de colaborador elevado de compartilhamento de arquivos.
- Na conta de armazenamento que você criou, selecione Controle de acesso (IAM).
- Selecione Adicionar>Adicionar atribuição de função.
- Para Função, selecione Colaborador Elevado de Compartilhamento de Dados de Arquivo de Armazenamento SMB e clique em Próximo.
- Na folha Membros, verifique se Atribuir acesso ao está definido como Usuário, grupo ou entidade de serviço.
- Clique em Selecionar Membros.
- Clique em Administradores do AAD DC e clique em Selecionar.
- Selecione Revisar + atribuir.
- Selecione Revisar + atribuir novamente.
Atribuir função aos usuários da Área de Trabalho Virtual do Azure
- Atribuir uma função de colaborador aos usuários, para que eles tenham permissão para ler e gravar dados de arquivo em um compartilhamento SMB de arquivo onde os discos virtuais são armazenados.
- Na conta de armazenamento que você criou, selecione Controle de acesso (IAM).
- Selecione Adicionar > Atribuição de função.
- Para Função, selecione Colaborador de Compartilhamento de Armazenamento de Dados de Arquivo SMB clique em Próximo.
- Na folha Membros, verifique se Atribuir acesso ao está definido como Usuário, grupo ou entidade de serviço.
- Clique em Selecionar Membros.
- Clique em Administradores do AAD DC e clique em Selecionar.
- Selecione Revisar + atribuir.
- Selecione Revisar + atribuir novamente.
Habilitar FSLogix
Adicionar uma chave do registro para cada VM registrada no pool de host. Você precisará da chave de acesso da conta de armazenamento e o caminho do compartilhamento de arquivo.
No menu Iniciar, execute o RegEdit como um administrador.
Acesse Computer_LOCAL_MACHINE.
Crie uma chave para as VMs chamada Perfis.
Crie uma chave do registro para armazenar o caminho SMB criado anteriormente. Em Perfis, adicione as seguintes entradas de tipo de dados:
Tipo Nome Dados/Valor DWORD Habilitado 1 Valor de cadeia de caracteres múltipla VHDLocations Local de compartilhamento de arquivo de Arquivos do Azure, no formato de caminho SMB Crie uma chave do registro para Habilitar FSLogix. Em Perfis, adicione as seguintes entradas de tipo de dados:
Tipo Nome Dados/Valor DWORD Habilitado 1
Configurar Permissões NTFS
Obter a chave de acesso à conta de armazenamento
Você precisará da chave de acesso à conta de armazenamento e do caminho de compartilhamento de arquivos para configurar permissões NTFS.
Em sua conta de armazenamento, em Segurança + rede, selecione Teclas de acesso.
Selecione mostrar chaves.
Copie o valor de um dos campos da chave para usá-lo mais tarde.
Digite um caminho do compartilhamento de arquivo.
- Em sua conta de armazenamento, na navegação à esquerda, role para baixo até Armazenamento de dados e selecione Compartilhamentos de arquivos.
- Selecione o compartilhamento de arquivo que você criou.
- Em Configurações, selecione Propriedades.
- Copie a URL.
- Converta a URL de um caminho HTTP para um caminho SMB para usá-la posteriormente. Por exemplo,
https://myfslogixstorage.file.core.windows.net/profilesconverte em\\myfslogixstorage.file.core.windows.net\profiles.
Entrar em um host de sessão
Abra um prompt de comando elevado em um dos hosts de sessão.
Execute os seguintes comandos em que substitui os valores de marcador de posição pelo caminho de partilha de ficheiros SMB, a chave de acesso da conta de armazenamento e o Nome Principal de utilizador (UPN) do utilizador do Microsoft Entra. O UPN teria um aspeto semelhante kaicarter@contoso.onmicrosoft.coma .
net use Z: [SMB path used in VHDLocations in the registry] /u:Azure\[storage account name] [storage access key] Icacls Z: /grant [user UPN]:(f)