設定 FSLogix 使用者設定檔

  • 5 分鐘

若要為您的 Azure 虛擬桌面使用者提供最佳使用體驗,請使用 FSLogix 設定檔。 FSLogix 是專為在遠端電腦環境 (例如 Azure 虛擬桌面) 中漫遊設定檔而設計。 使用者設定檔儲存在個別使用者的 VHD 或 VHDX 檔案中。 在登入時,設定檔容器會動態地附加到計算環境。 使用者設定檔會立即可用,並與原生使用者設定檔完全相同。

何謂 FSLogix?

FSLogix 是一組解決方案,可將本機使用者設定檔與單一 Windows 桌面分離,並讓它在多部 Windows 機器間漫遊。

使用者設定檔包含個人相關的資料元素,包含設定資訊 (例如桌面設定、持續網路連線和應用程式設定)。 遠端使用者設定檔會在使用者資料和作業系統之間提供一個隔墻。 有了 FSLogix 解決方案,您可以:

  • 維護集區式桌面環境中的使用者內容
  • 最小化集區式桌面環境的登入次數
  • 最佳化工作階段主機與遠端設定檔存放區之間的檔案 IO

建立 Azure 虛擬桌面使用者的 FSLogix 設定檔

若要使用 FSLogix 將使用者設定檔與工作階段主機虛擬機器 (VM) 分開,我們必須要設定 Azure 儲存體並建立 FSLogix 設定檔共用。 這些步驟會根據記憶體類型,以及您是使用 Microsoft Entra Domain Services 或 Active Directory Domain Services (AD DS) 而有所不同。 下列步驟涵蓋如何使用 Microsoft Entra Domain Services 設定 Azure 檔案服務。 AD DS 的步驟相同,但「啟用 Microsoft Entra 驗證」一節除外。 其間差異會在該章節中強調。

建立儲存體帳戶

  1. 登入 Azure 入口網站
  2. 使用 Azure 入口網站搜尋方塊來搜尋儲存體帳戶
  3. 在 [儲存體帳戶] 命令列中,選取 [建立]。 建立儲存體帳戶頁面隨即出現。
  4. 專案詳細資料底下選取 訂閱,然後選取或建立 資源群組 以包含您的儲存體資源。
  5. [實例詳細資料] 下,輸入儲存體帳戶的唯一名稱。
  6. 選取與 AVD 主機集區相同的區域。
  7. 針對效能,請選取 [進階版]
  8. 若為進階版帳戶類型,請選取 [檔案共用]。
  9. [備援] 設定為 [本地備援儲存體 (LRS)]
  10. 選取 檢視 + 建立 以驗證您的輸入,然後選取 建立
  11. 等待部署完成。 這可能需要一點時間。
  12. 選取 [移至資源]儲存體帳戶 頁面會顯示有關儲存體帳戶的詳細資料。

啟用 Microsoft Entra 驗證

下列步驟涵蓋如何使用 Microsoft Entra Domain Services 啟用 Azure 檔案共享的驗證。 如果您是使用 AD DS,則必須使用 AD DS 註冊您的 Azure 儲存體帳戶,然後對儲存體帳戶設定必要的網域屬性。 在網域聯結至內部部署 AD DS 的裝置上,使用 AzFilesHybrid Azure PowerShell 模組。 Join-AzStorageAccountForAuth Cmdlet 代表 Azure 儲存體帳戶執行離線網域聯結的同等作用。 如需在內部部署 AD DS 啟用驗證的逐步指示,請參閱本單元結尾的相關文件一文。

使用 Microsoft Entra Domain Services 啟用 Azure 檔案共享的驗證

  1. 在 [儲存體帳戶] 功能表中,依序滾動至 [資料儲存體],然後選取 [檔案共用]
  2. 在頁面頂端尋找 [Active Directory],然後選取 [未設定]
  3. 在 [Microsoft Entra Domain Services] 底下,選 取 [設定]
  4. 取 [啟用此檔案共用的 Microsoft Entra Domain Services]
  5. 選取 [儲存]
  6. 再次選取 [儲存]

指派角色以存取儲存體資料

將角色指派給 Microsoft Entra DC 系統管理員

您必須將角色指派給 Microsoft Entra DC 系統管理員群組和 Azure 虛擬桌面使用者。

  1. 讓系統管理員能夠為檔案共用指派提高的參與者角色,以修改 NTFS 權限。
  2. 在您建立的儲存體帳戶中,選取 存取控制 (IAM)
  3. 選取 新增>[新增角色指派]。
  4. 針對 [角色],選取 [儲存體檔案資料 SMB 共用提高的參與者],然後按 [下一步]
  5. [成員] 刀鋒視窗上,確定 [指派存取權] 設定為 [使用者、群組或服務主體]
  6. 按一下 [選取成員]
  7. 按一下 [AAD DC 管理員],然後按一下 [選取]
  8. 選取 [檢閱和指派]
  9. 選取 [檢閱 + 再次指派]

將角色指派給 Azure 虛擬桌面使用者

  1. 將參與者角色指派給使用者,讓他們有權讀取和寫入 SMB 檔案共用中的檔案資料 (儲存使用者設定檔虛擬磁碟的所在)。
  2. 在您建立的儲存體帳戶中,選取 存取控制 (IAM)
  3. 取 [新增 > 角色指派]
  4. 針對 [角色],選取 [儲存體檔案資料 SMB 共用的參與者],然後按 [下一步]
  5. [成員] 刀鋒視窗上,確定 [指派存取權] 設定為 [使用者、群組或服務主體]
  6. 按一下 [選取成員]
  7. 按一下 [AAD DC 管理員],然後按一下 [選取]
  8. 選取 [檢閱和指派]
  9. 選取 [檢閱 + 再次指派]

啟用 FSLogix

將登錄機碼新增至每個註冊到主機集區的 VM。 您需要儲存體帳戶存取金鑰和檔案共用路徑。

  1. 從 [開始] 功能表中,以系統管理員身分執行 RegEdit。

  2. 移至 [Computer_LOCAL_MACHINE]

  3. 為稱為 Profiles 的 VM 建立機碼。

  4. 建立登錄機碼,以儲存您先前建立的 SMB 路徑。 在 Profiles 底下,新增以下資料類型項目:

    類型 姓名 資料/值
    DWORD 啟用 1
    多重字串值 VHDLocations 來自 Azure 檔案的檔案共用位置 (SMB 路徑格式)

  5. 建立登錄機碼以啟用 FSLogix。 在 Profiles 底下,新增以下資料類型項目:

    類型 姓名 資料/值
    DWORD 啟用 1

設定 NTFS 權限

取得儲存體帳戶存取金鑰

您需要儲存體帳戶存取金鑰和檔案共用路徑,才能設定 NTFS 權限。

  1. 在您的儲存體帳戶中,選取 [安全性 + 網路] 下的 [存取金鑰]

  2. 選取 [顯示金鑰]

  3. 複製其中一個機碼欄位的值,以便日後使用。

取得檔案共用路徑

  1. 在您的儲存體帳戶中,在左側導覽中向下捲動至 [資料儲存體],然後選取 [檔案共用]
  2. 選取您所建立的檔案共用。
  3. [設定] 底下,選取 [屬性]
  4. 複製 URL。
  5. 將 URL 從 HTTP 路徑轉換為 SMB 路徑,以便日後使用。 例如,將 https://myfslogixstorage.file.core.windows.net/profiles 轉換為 \\myfslogixstorage.file.core.windows.net\profiles

登入工作階段主機

  1. 在其中一個工作階段主機上開啟提升權限命令提示字元。

  2. 執行下列命令,將佔位元值取代為SMB檔案共享路徑、記憶體帳戶存取金鑰,以及使用者的 Microsoft Entra 用戶主體名稱 (UPN) 。 UPN 看起來會像 。kaicarter@contoso.onmicrosoft.com

    net use Z: [SMB path used in VHDLocations in the registry] /u:Azure\[storage account name] [storage access key]
Icacls Z: /grant [user UPN]:(f)