Хранение контейнеров профилей FSLogix на Файлы Azure и идентификаторе Microsoft Entra

В этой статье вы узнаете, как создать и настроить общий ресурс Файлы Azure для проверки подлинности Microsoft Entra Kerberos. Эта конфигурация позволяет хранить профили FSLogix, к которым можно обращаться с помощью гибридных удостоверений пользователей из присоединенных к Microsoft Entra или гибридных узлов сеансов Microsoft Entra, не требуя подключения сети к контроллерам домена. Microsoft Entra Kerberos позволяет идентификатору Microsoft Entra выдавать необходимые билеты Kerberos для доступа к общей папке с помощью стандартного протокола SMB в отрасли.

Эта функция поддерживается в облаке Azure, Azure для государственных организаций США и Azure под управлением 21Vianet.

Необходимые компоненты

Перед развертыванием этого решения убедитесь, что среда соответствует требованиям для настройки Файлы Azure с проверкой подлинности Microsoft Entra Kerberos.

При использовании для профилей FSLogix в виртуальном рабочем столе Azure узлы сеансов не должны иметь сетевой линии видимости контроллера домена (DC). Однако для настройки разрешений на Файлы Azure общей папке требуется система с сетевым подключением к контроллеру домена.

Настройка учетной записи хранения Azure и общей папки

Чтобы сохранить профили FSLogix в общей папке Azure, выполните следующие действия.

1. Создайте учетную запись хранения Azure, если у вас ее нет.

   Примечание.

   Учетная запись служба хранилища Azure не может пройти проверку подлинности с помощью идентификатора Microsoft Entra и второго метода, например домен Active Directory Services (AD DS) или доменных служб Microsoft Entra. Можно использовать только один способ проверки подлинности.

2. Создайте хранилище файлов Azure под своей учетной записью хранения для хранения профилей FSLogix, если оно еще не было создано.

3. Включите проверку подлинности Microsoft Entra Kerberos на Файлы Azure, чтобы включить доступ к виртуальным машинам, присоединенным к Microsoft Entra.

   • При настройке разрешений на уровне каталога и файлов просмотрите рекомендуемый список разрешений для профилей FSLogix в разделе Настройка разрешений хранилища для контейнеров профилей.
   • Без соответствующих разрешений на уровне каталога пользователь может удалить профиль или получить доступ к персональным данным другого пользователя. Важно обеспечить наличие необходимых разрешений для предотвращения случайного удаления.

Настройка локального устройства Windows

Чтобы получить доступ к общим папкам Azure из виртуальной машины, присоединенной к Microsoft Entra для профилей FSLogix, необходимо настроить локальное устройство Windows, на которое загружаются профили FSLogix. Чтобы настроить устройство, выполните приведенные действия.

1. Включите функциональные возможности Microsoft Entra Kerberos с помощью одного из следующих методов.

   • Настройте этот CSP политики Intune и примените его к узлу сеанса: Kerberos/CloudKerberosTicketRetrievalEnabled.

   Примечание.

   Операционные системы windows с несколькими сеансами не поддерживают CSP политики, так как они поддерживают только каталог параметров, поэтому вам потребуется использовать один из других методов. Дополнительные сведения об использовании нескольких сеансов Виртуального рабочего стола Azure в Intune.

   • Включите эту групповую политику на устройстве. Путь будет одним из следующих вариантов в зависимости от используемой версии Windows:

   • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

   • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

   • Создайте на устройстве следующее значение реестра: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. При использовании идентификатора Microsoft Entra с решением для перемещаемого профиля, например FSLogix, ключи учетных данных в Диспетчере учетных данных должны принадлежать к профилю, который сейчас загружается. Это позволяет загружать профиль на разных виртуальных машинах, а не ограничиваться только одним. Чтобы включить этот параметр, создайте новое значение реестра, выполнив следующую команду:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

   Примечание.

   Контроллер домена не обязательно должен находиться в зоне сетевой видимости узлов сеансов.

Настройка FSLogix на локальном устройстве Windows

В этом разделе показано, как настроить локальное устройство Windows с помощью FSLogix. Эти инструкции необходимо выполнять каждый раз, когда вы настраиваете устройство. Обеспечить настройку разделов реестра на всех узлах сеансов можно несколькими способами. Возможно задать эти параметры в образе или настроить групповую политику.

Чтобы настроить FSLogix:

1. При необходимости обновите или установите FSLogix на устройстве.

   Примечание.

   Если вы настраиваете узел сеансов, созданный с помощью службы виртуального рабочего стола Azure, FSLogix уже должен быть предварительно установлен.

2. Чтобы создать значения реестра Enabled и VHDLocations, следуйте инструкциям в разделе Настройка параметров реестра контейнеров для профилей. Присвойте параметру VHDLocations значение \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Выполните тестирование развертывания

После установки и настройки FSLogix можно протестировать развертывание, войдя с помощью учетной записи пользователя, которой назначена группа приложений в пуле узлов. Учетная запись пользователя, с которой выполняется вход, должна иметь разрешение на использование общей папки.

Если пользователь выполнил вход ранее, служба будет использовать в течение этого сеанса уже имеющийся локальный профиль. Чтобы избежать процесса создания локального профиля, создайте новую учетную запись пользователя, которая будет использоваться для тестов, или используйте методы конфигурации, описанные в учебнике по настройке контейнера профиля для перенаправления профиля пользователя, чтобы включить параметр DeleteLocalProfileWhenVHDShouldApply.

Наконец, проверьте профиль, созданный в Файлах Azure после успешного входа пользователя:

1. Откройте портал Azure и войдите с помощью учетной записи администратора.

2. На боковой панели выберите Учетные записи хранения.

3. Выберите учетную запись хранения, настроенную для пула узлов сеансов.

4. На боковой панели выберите Общие папки.

5. Выберите общую папку, настроенную для хранения профилей.

6. Если все настроено правильно, вы увидите каталог с именем в следующем формате: <user SID>_<username>.

Следующие шаги

• Сведения об устранении неполадок FSLogix см. в этом руководстве по устранению неполадок.