配置 FSLogix 用户配置文件

  • 5 分钟

要为 Azure 虚拟桌面用户提供最佳体验,请使用 FSLogix 配置文件。 FSLogix 设计用于在远程计算环境(如 Azure 虚拟桌面)中漫游配置文件。 用户配置文件存储在每个用户的 VHD 或 VHDX 文件中。 登录时,配置文件容器将动态附加到计算环境中。 用户配置文件将立即可用并显示在系统中,与本地用户配置文件完全相同。

什么是 FSLogix?

FSLogix 是一组解决方案,可将本地用户配置文件与单个 Windows 桌面分离,并使其能够在多台 Windows 计算机之间漫游。

用户配置文件中包含有关个人的数据元素,包括桌面设置、持久性网络连接和应用程序设置等配置信息。 远程用户配置文件在用户数据和操作系统之间提供分区。 借助 FSLogix 解决方案,你能够:

  • 在集合的桌面环境中维护用户的上下文
  • 尽量减少集合桌面环境的登录时间
  • 优化会话主机与远程配置文件存储之间的文件 IO

为 Azure 虚拟桌面 用户创建 FSLogix 配置文件

若要使用 FSLogix 将用户配置文件与会话主机虚拟机 (VM) 分开,我们需要配置 Azure 存储并创建 FSLogix 配置文件共享。 这些步骤因存储类型以及使用的是 Microsoft Entra 域服务还是 Active Directory 域服务 (AD DS) 而异。 以下步骤介绍如何使用 Microsoft Entra 域服务配置 Azure 文件存储。 除“启用 Microsoft Entra 身份验证”部分外,AD DS 的步骤相同。 该部分中说明了不同之处。

创建存储帐户

  1. 登录 Azure 门户
  2. 通过使用 Azure 门户搜索框搜索存储帐户
  3. 在“存储帐户”命令栏中,选择“创建”。 此时将显示“创建存储帐户”页面。
  4. 在“项目详细信息”下,选择“订阅”,然后选择或创建一个要包含存储资源的资源组
  5. 实例详细信息 下,输入存储帐户的唯一名称。
  6. 选择与 AVD 主机池相同的区域。
  7. 若要提高性能,请选择 高级
  8. 对于高级帐户类型,请选择“文件共享”。
  9. 冗余 设置为 本地冗余存储 (LRS)
  10. 选择“审阅 + 创建”以验证输入,然后选择“创建”。
  11. 等待部署完成。 这可能需要一会儿。
  12. 选择“转到资源”。 “存储帐户”页面显示有关存储帐户的详细信息。

启用 Microsoft Entra 身份验证

以下步骤介绍如何使用 Microsoft Entra 域服务为 Azure 文件共享启用身份验证。 如果使用 AD DS,则需要在 AD DS 中注册 Azure 存储帐户,然后在该存储帐户上设置所需的域属性。 在加入本地 AD DS 的域的设备上使用 AzFilesHybrid Azure PowerShell 模块。 Join-AzStorageAccountForAuth cmdlet 代表 Azure 存储帐户执行等效于脱机域加入的操作。 有关在本地使用 AD DS 启用身份验证的分步说明,请参阅本模块末尾的相关文档文章。

使用 Microsoft Entra 域服务为 Azure 文件共享启用身份验证

  1. 在“存储”帐户菜单中,滚动到 数据存储,然后选择 文件共享
  2. 在页面顶部,查找 Active Directory,然后选择 未配置
  3. 在“Microsoft Entra 域服务”下,选择“ 设置”。
  4. 选择 “为此文件共享启用 Microsoft Entra 域服务”。
  5. 选择“保存”。
  6. 再次选择 保存

分配角色以访问存储数据

将角色分配给 Microsoft Entra DC 管理员

需要将角色分配给 Microsoft Entra DC 管理员组和 Azure 虚拟桌面用户。

  1. 通过为文件共享分配更高级别的参与者角色,使管理员能够修改 NTFS 权限。
  2. 在创建的存储帐户中,选择“访问控制 (IAM)”。
  3. 选择“添加”>“添加角色分配”。
  4. 对于 角色,选择 存储文件数据 SMB 共享提升参与者,然后点击 下一步
  5. 成员 边栏选项卡上,确保将 访问权分配给 设置为 用户、组或服务主体
  6. 单击 选择成员
  7. 单击 AAD DC 管理员,然后单击“选择”
  8. 选择审阅 + 分配
  9. 选择 审阅 + 再分配

将角色分配给 Azure 虚拟桌面用户

  1. 向用户分配参与者角色,以便他们有权在存储用户配置文件虚拟磁盘的 SMB 文件共享中读取和写入文件数据。
  2. 在创建的存储帐户中,选择“访问控制 (IAM)”。
  3. 选择 “添加 > 添加角色分配”。
  4. 对于 角色,选择 存储文件数据 SMB 共享参与者,然后点击 下一步
  5. 成员 边栏选项卡上,确保将 访问权分配给 设置为 用户、组或服务主体
  6. 单击 选择成员
  7. 单击 AAD DC 管理员,然后单击“选择”
  8. 选择审阅 + 分配
  9. 选择 审阅 + 再分配

启用 FSLogix

向主机池的每个虚拟机添加一个注册表项。 你将需要存储帐户访问密钥和文件共享路径。

  1. 从开始菜单,以管理员身份运行 RegEdit。

  2. 转到 Computer_LOCAL_MACHINE

  3. 为 VM 创建一个名为“配置文件”的密钥。

  4. 创建注册表键以存储之前创建的 SMB 路径。 在“配置文件”下,添加以下数据类型条目:

    类型 名称 数据/值
    DWORD 已启用 1
    多字符串值 VHDLocations 来自 Azure 文件的文件共享位置 (采用 SMB 路径格式)

  5. 创建注册表键以启用 FSLogix。 在“配置文件”下,添加以下数据类型条目:

    类型 名称 数据/值
    DWORD 已启用 1

配置 NTFS 权限

获取存储帐户访问密钥

需要存储帐户访问密钥和文件共享路径才能配置 NTFS 权限。

  1. 在存储帐户的 安全 + 网络 下,选择 访问密钥

  2. 选择 显示键

  3. 从其中一个密钥字段复制值,以供以后使用。

获取文件共享路径

  1. 在存储帐户的左侧导航中,向下滚动到 数据储存,然后选择 文件共享
  2. 选择你创建的文件共享。
  3. 在“设置”下,选择“属性”。
  4. 复制 URL。
  5. 将 URL 从 HTTP 路径转换为 SMB 路径,以供以后使用。 例如,https://myfslogixstorage.file.core.windows.net/profiles 转换为 \\myfslogixstorage.file.core.windows.net\profiles

登录到会话主机

  1. 在其中一个会话主机上打开提升的命令提示符。

  2. 运行以下命令,在其中将占位符值替换为 SMB 文件共享路径、存储帐户访问密钥和用户的 Microsoft Entra 用户主体名称 (UPN) 。 UPN 类似于 kaicarter@contoso.onmicrosoft.com。

    net use Z: [SMB path used in VHDLocations in the registry] /u:Azure\[storage account name] [storage access key]
Icacls Z: /grant [user UPN]:(f)