启用数据安全性
用户配置文件是用户或管理员为代表系统状态所做配置的集合。 各种系统组件都绑定到用户的配置文件上。 这些组件包括应用程序、注册表项和其他自定义条目。
Windows 10 提供多种类型的用户配置文件。 下表介绍了四种传统类型的 Windows 配置文件。
| 配置文件类型 | 描述 |
|---|---|
| 本地用户配置文件 | 本地用户配置文件存储在设备的磁盘上。 如果使用不同的设备,设备之间的自定义项不会同步。 |
| 漫游用户配置文件 | 漫游用户配置文件是本地用户配置文件的副本,存储在共享文件夹中。 当用户退出登录时,在本地对漫游配置文件所做的任何更改都会同步到文件服务器的服务器消息块 (SMB) 共享文件夹上。如果用户登录到不同的设备,当漫游配置文件下载到新的系统时,自定义项将跟随用户。 但是,无法漫游 Windows 和应用程序的所有设置。 为灵活性支付性能和维护损失。 FSLogix 配置文件容器的加入,解决了传统漫游配置文件的不足。 下一节介绍 FSLogix 配置文件容器。 |
| 强制性配置文件 | 强制性配置文件是指管理员预先配置的漫游用户配置文件,用于指定用户的设置。 通过强制用户配置文件,用户可以修改自己的桌面,但当用户退出登录时,更改将不会保存。当用户下次登录时,将下载管理员创建的强制用户配置文件。 强制性配置文件通常用于展台环境中。 |
| 临时配置文件 | 当用户的漫游配置文件加载出现问题时,会创建一个故障安全配置文件。 退出登录时将放弃它。 |
FSLogix 配置文件容器
在 Azure 虚拟桌面环境中,建议使用 FSLogix 配置文件容器存储整个用户配置文件。 配置文件容器不是传统的配置文件管理解决方案,而是针对非持久性环境的完全远程配置文件解决方案。
配置文件容器将整个用户资料重定向到远程位置。 配置文件容器配置定义了配置文件的重定向方式和位置。 配置文件容器与 Azure 虚拟桌面一使用时,可存储在 Azure 存储帐户中。
登录到 Azure 虚拟桌面时,用户配置文件的容器(虚拟硬盘)动态附加到分配给用户的虚拟机。 FSLogix 采用了先进的筛选器驱动技术,可以让用户配置文件在系统中立即可用,完全像本地用户配置文件一样。
FSLogix 解决了非持久性配置文件的关键问题。 总而言之,FSLogix 使本地配置文件像漫游配置文件一样,并提供以下主要优势:
- 性能改进。 FSLogix 配置文件容器提供了高性能,并解决了历史性阻塞的缓存 Exchange 模式。
- 支持 Microsoft OneDrive for Business,包括文件点播。 此前,这种支持并不包含在非持久化的虚拟化环境中。
- SMB 文件夹。 FSLogix 提供了扩展用户配置文件,以便通过使用 Azure NetApp Files 服务来配置企业级 SMB 卷。 Azure NetApp 文件支持 SMB 2.1 和 SMB 3.1。
使用 Azure 文件的 FSLogix 配置文件容器
Azure 文件存储通过将本地 Active Directory 域服务 (AD DS) 与 Microsoft Entra 域服务配合使用,支持基于 SMB 标识的身份验证。 Azure 文件存储应用 Kerberos 协议,以便通过本地 AD DS 或 Microsoft Entra 域服务进行身份验证。 为 Azure 文件共享启用基于身份的访问,允许使用 Azure 文件共享替换现有的预置文件服务器,同时保留现有的目录服务。
文件共享托管于 Azure 虚拟桌面主机池的虚拟网络中的 Azure 虚拟机中。 作为文件共享的虚拟机加入到虚拟网络上的 Active Directory域中。 虚拟机加入域后,它可以作为主机池的 FSLogix 配置文件容器共享。
我们强烈建议使用 Azure 文件存储而不是文件共享。
使用 Azure 磁盘加密保护 Azure 虚拟桌面数据
Azure 虚拟桌面在 Azure NetApp 文件中使用的所有文件都通过联邦信息处理标准出版物 (FIPS PUBS) 140-2 标准进行加密。 Azure NetApp 文件服务管理所有密钥,并为每个卷生成唯一的 XTS-AES-256 数据加密密钥。
Azure 虚拟桌面使用加密密钥加密和保护所有批量密钥。 这些加密密钥从未以未加密的格式提供或报告。 当删除一个卷时,也会立即删除其按键。
注意
通过 Azure 专用 HSM 支持客户管理的密钥 (自带密钥)。 检查你地区的可用性。