共用方式為

在 Azure 檔案儲存體 和 Microsoft Entra 識別符上儲存 FSLogix 配置檔容器

  • 發行項

在本文中,您將了解如何建立及設定適用於 Microsoft Entra Kerberos 驗證的 Azure 檔案儲存體共用。 此組態可讓您儲存 FSLogix 設定檔,這些設定檔可以透過來自 Microsoft Entra 已加入或 Microsoft Entra 混合加入的工作階段主機的混合使用者身分進行存取,而無需到網域控制器的網路視線。 Microsoft Entra Kerberos 能讓 Microsoft Entra ID 發出必要的 Kerberos 票證,存取採用業界標準 SMB 通訊協定的檔案共用。

Azure 雲端、適用於美國政府的 Azure 和由 21Vianet 運作的 Azure 支援此功能。

必要條件

部署此解決方案之前,請確認您的環境 符合使用 Microsoft Entra Kerberos 驗證設定 Azure 檔案服務的需求

在 Azure 虛擬桌面中用於 FSLogix 設定檔時,工作階段主機不需要有網域控制器的網路視線 (DC)。 不過,需要具有 DC 網路視線的系統,才能設定 Azure 檔案儲存體共用的許可權。

設定您的 Azure 儲存體帳戶和檔案共用

若要將 FSLogix 設定檔儲存在 Azure 檔案共用上:

  1. 建立 Azure 儲存體帳戶 (如果您還沒有帳戶的話)。

    注意

    您的 Azure 儲存體帳戶無法同時使用 Microsoft Entra ID 和第二種方法 (例如 Active Directory Domain Services (AD DS) 或 Microsoft Entra Domain Services) 進行驗證。 您只能使用一個驗證方法。

  2. 請在儲存體帳戶下建立 Azure 檔案共用 (如果您尚未這麼做的話),以儲存 FSLogix 設定檔。

  3. 在 Azure 檔案儲存體上啟用 Microsoft Entra Kerberos 驗證,以啟用從已加入 Microsoft Entra 的 VM 進行存取。

    • 設定目錄和檔案層級權限時,請在設定設定檔容器的儲存體權限,檢閱 FSLogix 設定檔的建議權限清單。
    • 如果沒有就地適當的目錄層級權限,使用者可以刪除使用者設定檔或存取不同使用者的個人資訊。 請務必確定使用者具有適當的權限,避免發生意外刪除的情況。

設定本機 Windows 裝置

若要從 FSLogix 配置檔的已加入Microsoft VM 存取 Azure 檔案共用,您必須設定載入 FSLogix 設定檔的本機 Windows 裝置。 若要設定您的裝置:

  1. 使用下列其中一種方法啟用 Microsoft Entra Kerberos 功能。

    注意

    Windows 多工作階段用戶端作業系統不支援原則 CSP,因為其只支援設定目錄,因此您必須使用其他方法之一。 深入了解搭配使用 Azure 虛擬桌面多工作階段與 Intune

    • 在您的裝置上啟用此組策略。 根據您使用的 Windows 版本而定,路徑會是下列其中一個:

    • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

    • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

    • 在您的裝置上建立下列登入值: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

  2. 當您使用 Microsoft Entra ID 搭配如 FSLogix 的漫遊設定檔解決方案時,認證管理員中的認證金鑰必須屬於目前載入的設定檔。 這可讓您在許多不同的 VM 上載入設定檔,而不是只限製為一個。 若要啟用此設定,請執行下列命令,建立新的登錄值:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

    注意

    工作階段主機不需要透過網路看到網域控制站。

在本機 Windows 裝置上設定 FSLogix

本節說明如何使用 FSLogix 設定本機 Windows 裝置。 每次設定裝置時,都必須遵循這些指示。 有數個選項可用來確保會在所有工作階段主機上設定登錄機碼。 您可以在映像中設定這些選項,或設定群組原則。

若要設定 FSLogix:

  1. 視需要在您的裝置上更新或安裝 FSLogix

    注意

    如果您要設定使用 Azure 虛擬桌面服務建立的工作階段主機,FSLogix 應該已經預安裝。

  2. 請遵循設定設定檔容器登錄設定中的指示,建立 EnabledVHDLocations 登錄值。 將 VHDLocations 的值設定為 \\<Storage-account-name>.file.core.windows.net\<file-share-name>

測試您的部署

安裝並設定 FSLogix 之後,您可以使用在主機集區上指派給應用程式群組的使用者帳戶,登入以測試部署。 您用來登入的使用者帳戶必須具有使用檔案共用的權限。

如果使用者之前已登入,則使用者在本機已有設定檔,服務會在工作階段期間使用現有的本機設定檔。 若要避免建立本機設定檔,請建立新的使用者帳戶以用於測試,或使用教學課程:設定設定檔容器以重新導向使用者設定檔中描述的設定方法,啟用 DeleteLocalProfileWhenVHDShouldApply 設定。

最後,在使用者成功登入之後,確認在 Azure 檔案儲存體中建立的設定檔:

  1. 開啟 Azure 入口網站,使用系統管理帳戶登入。

  2. 從提要欄位中,選取 [儲存體帳戶]

  3. 選取您為工作階段主機集區設定的儲存體帳戶。

  4. 從提要欄位中,選取 [檔案共用]

  5. 選取您設定用來儲存設定檔的檔案共用。

  6. 如果一切都已正確設定,您應該會看到目錄,其名稱格式像這樣: <user SID>_<username>

下一步