Partilhar via


Armazenar contêineres de perfil FSLogix nos Arquivos do Azure e na ID do Microsoft Entra

Neste artigo, você aprenderá a criar e configurar um compartilhamento de Arquivos do Azure para autenticação Kerberos do Microsoft Entra. Essa configuração permite armazenar perfis FSLogix que podem ser acessados por identidades de usuário híbrida de hosts de sessão ingressados no Microsoft Entra ou no Microsoft Entra Híbrido sem a necessidade de linha de visão de rede para controladores de domínio. O Kerberos do Microsoft Entra usa o Microsoft Entra ID para emitir os tíquetes Kerberos necessários para acessar o compartilhamento de arquivos com o protocolo SMB padrão do setor.

Esse recurso tem suporte na nuvem do Azure, no Azure for US Government e no Azure operado pela 21Vianet.

Pré-requisitos

Antes de implantar essa solução, verifique se o seu ambiente atende aos requisitos para configurar os Arquivos do Azure com autenticação Kerberos do Microsoft Entra.

Quando usados para perfis FSLogix na Área de Trabalho Virtual do Azure, os hosts da sessão não precisam ter linha de visão de rede para o controlador de domínio (DC). No entanto, um sistema com linha de visão de rede para o controlador de domínio é necessário para configurar as permissões no compartilhamento de Arquivos do Azure.

Configurar a conta de armazenamento do Azure e o compartilhamento de arquivo

Para armazenar seus perfis de FSLogix em um compartilhamento de arquivos do Azure:

  1. Se você ainda não tiver uma, crie uma conta de Armazenamento do Azure.

    Observação

    Sua conta de armazenamento do Azure não pode se autenticar com o Microsoft Entra ID e um segundo método, como o Active Directory Domain Services (AD DS) ou o Microsoft Entra Domain Services. Você só pode usar um método de autenticação.

  2. Crie um compartilhamento de Arquivos do Azure em sua conta de armazenamento para armazenar seus perfis FSLogix, caso ainda não tenha feito isso.

  3. Habilite a autenticação Kerberos do Microsoft Entra nos Arquivos do Azure para habilitar o acesso de VMs ingressadas no Microsoft Entra.

    • Ao configurar o diretório e as permissões no nível do arquivo, examine a lista recomendada de permissões para perfis do FSLogix em Configurar as permissões de armazenamento para contêineres de perfil.
    • Sem permissões de nível de diretório adequadas em funcionamento, um usuário pode excluir o perfil do usuário ou acessar as informações pessoais de um usuário diferente. É importante garantir que os usuários tenham permissões adequadas para impedir que a exclusão acidental ocorra.

Configurar seu dispositivo Windows local

Para acessar compartilhamentos de arquivos do Azure de uma VM ingressada no Microsoft Entra para perfis FSLogix, você deve configurar o dispositivo Windows local em que seus perfis FSLogix estão sendo carregados. Para configurar seu dispositivo:

  1. Habilite a funcionalidade Kerberos do Microsoft Entra usando um dos métodos a seguir.

    Observação

    Os sistemas operacionais cliente de várias sessões do Windows não são compatíveis com CSP de Política, pois só são compatíveis com catálogo de configurações, portanto, você precisará usar um dos outros métodos. Saiba mais em Como usar a multissessão da Área de Trabalho Virtual do Azure com o Intune.

    • Habilite essa política de grupo em seu dispositivo. O caminho será um dos seguintes, dependendo da versão do Windows que você usa:

    • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

    • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

    • Crie o seguinte valor do Registro em seu dispositivo: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

  2. Quando você usa o Microsoft Entra com uma solução de perfil de roaming como FSLogix, as chaves de credencial no Gerenciador de Credenciais devem pertencer ao perfil que está sendo carregado no momento. Isso permite que você carregue seu perfil em muitas VMs diferentes, em vez de se limitar a apenas uma. Para habilitar essa configuração, crie um novo valor de Registro executando o seguinte comando:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
    

    Observação

    Os hosts de sessão não precisam de linha de visão de rede para o controlador de domínio.

Configurar o FSLogix em seu dispositivo Windows local

Esta seção mostra como configurar seu dispositivo Windows local com o FSLogix. Você precisará seguir estas instruções sempre que configurar um dispositivo. Há várias opções disponíveis que garantem que as chaves do registro sejam definidas em todos os hosts de sessão. Você pode definir essas opções em uma imagem ou configurar uma política de grupo.

Para configurar o FSLogix:

  1. Atualize ou instale o FSLogix em seu dispositivo, se necessário.

    Observação

    Se você estiver configurando um host de sessão criado usando o serviço de Área de Trabalho Virtual do Azure, o FSLogix já deverá estar pré-instalado.

  2. Siga as instruções em definir configurações de registro de contêiner de perfil para criar os valores de registro habilitado e VHDLocations. De definir o valor de VHDLocations como \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Testar a implantação

Depois de instalar e configurar o FSLogix, teste a implantação acessando uma conta de usuário que foi atribuída a um grupo de aplicativos no pool de host. A conta de usuário com a sua assinatura deve ter permissão para usar o compartilhamento de arquivos.

Se o usuário tiver feito login antes, ele terá um perfil local existente que o serviço usará durante esta sessão. Para não ter que criar um perfil local, crie uma nova conta de usuário para testes ou use os métodos de configuração descritos em Tutorial: configurar contêiner de perfil para redirecionar perfis de usuário para ativar a configuração DeleteLocalProfileWhenVHDShouldApply.

Por fim, verifique o perfil criado nos Arquivos do Azure depois que o usuário tiver se conectado com êxito:

  1. Abra o portal do Azure e entre com uma conta administrativa.

  2. Na barra lateral, selecione Contas de armazenamento.

  3. Selecione a conta de armazenamento configurada para o pool de host da sessão.

  4. Na barra lateral, selecione compartilhamentos de arquivos.

  5. Selecione o compartilhamento de arquivos configurado para armazenar os perfis.

  6. Se tudo estiver configurado corretamente, será exibido um diretório com um nome que é formatado da seguinte maneira: <user SID>_<username>.

Próximas etapas