Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Предстоящее изменение в Windows Server, включенное в обновление за апрель 2026 г., заключается в том, что по умолчанию тип шифрования Kerberos изменяется с RC4 на AES-SHA1.
Общие папки, в которых размещаются контейнеры FSLogix, которые не обновляются до AES-SHA1 могут иметь проблемы с доступом после применения этого изменения. Чтобы избежать сбоев, выполните обновление до AES-SHA1 перед установкой обновления.
Клиенты, которые уже обновились до AES-SHA1, не затронуты.
Дополнительные сведения см. в блоге FSLogix: Требуемое действие: ужесточение Windows Kerberos (RC4) может повлиять на профили FSLogix в хранилище SMB.
В этой статье вы узнаете, как создать и настроить общую папку файлов Azure для проверки подлинности Microsoft Entra Kerberos. Эта конфигурация позволяет хранить профили FSLogix для доступа к разным пользователям на основе конфигурации:
- Путем гибридных удостоверений пользователей из Microsoft Entra, присоединенных или гибридных узлов сеансов Microsoft Entra, не требуя сетевой линии видимости контроллерам домена. Эта функция поддерживается в облаке Azure, Azure для государственных организаций США и Azure под управлением 21Vianet.
- С использованием удостоверений, работающих только в облаке, или внешних удостоверений. Эта функция поддерживается только в облаке Azure.
Microsoft Entra Kerberos позволяет Microsoft Entra ID выдавать необходимые билеты Kerberos для доступа к файловому ресурсу с помощью отраслевого стандарта SMB.
Предпосылки
Перед развертыванием этого решения убедитесь, что среда соответствует требованиям к настройке файлов Azure с проверкой подлинности Microsoft Entra Kerberos.
При использовании для профилей FSLogix в виртуальном рабочем столе Azure узлы сеансов не должны иметь сетевой линии видимости контроллера домена (DC). Однако для настройки разрешений в общей папке Файлы Azure требуется система с доступом по сети к контроллеру домена.
Перед развертыванием этого решения убедитесь, что ваша среда соответствует требованиям для настройки Файлы Azure с аутентификацией Microsoft Entra Kerberos для облачных или внешних идентификаторов.
Настройте учетную запись хранения Azure и файловое хранилище
Чтобы сохранить профили FSLogix в общей папке Azure, выполните следующие действия.
Создайте учетную запись хранения Azure , если у вас еще нет учетной записи хранения.
Замечание
Ваша учетная запись хранения Azure не может пройти проверку подлинности с помощью идентификатора Microsoft Entra и второго метода, например доменных служб Active Directory (AD DS) или доменных служб Microsoft Entra. Можно использовать только один метод проверки подлинности.
Если вы еще не сделали этого, создайте общий ресурс Файлы Azure в вашей учетной записи хранения, чтобы сохранить профили FSLogix.
Включите проверку подлинности Microsoft Entra Kerberos в файлах Azure , чтобы включить доступ к виртуальным машинам, присоединенным к Microsoft Entra. Сюда входят следующие действия.
- Включите аутентификацию Kerberos Microsoft Entra для учетной записи хранения данных. Это позволит создать регистрацию приложения Entra ID для учетной записи хранения и предоставить разрешения на уровне каталога и файлов группам, управляемым с помощью Entra ID.
- Назначьте разрешения на уровне общего доступа. Вы можете назначать пользователям разрешения на уровне общего доступа, либо настроив разрешения по умолчанию на уровне общего доступа на странице источника удостоверений, либо создав роли Azure Role-based access control (RBAC).
- Настройте разрешения хранилища для контейнеров профилей. Просмотрите рекомендуемый список разрешений для профилей FSLogix, который позволяет пользователям создавать и использовать свои профили, а администраторам — управлять общим ресурсом.
Настройте регистрацию приложения Entra ID для учетной записи хранения, чтобы пользователи могли правильно получать билеты для назначенных групп Entra ID.
- Предоставьте согласие администратора для нового субъекта-службы. Это предоставляет пользователям разрешение запрашивать токены Entra ID для учетной записи хранения.
- Отключите многофакторную проверку подлинности в учетной записи хранения. Это гарантирует, что пользователь сможет получить токен Entra ID и билеты Kerberos, причем это происходит в фоновом режиме во время входа пользователя в систему, поскольку отсутствует пользовательский интерфейс для выполнения дополнительной аутентификации.
Чтобы сохранить профили FSLogix в общей папке Azure, выполните следующие действия.
Создайте учетную запись хранения Azure , если у вас еще нет учетной записи хранения.
Замечание
Ваша учетная запись хранения Azure не может пройти проверку подлинности с помощью идентификатора Microsoft Entra и второго метода, например доменных служб Active Directory (AD DS) или доменных служб Microsoft Entra. Можно использовать только один метод проверки подлинности.
Создайте общую папку Файлов Azure под учетной записью хранения для хранения профилей FSLogix, если вы еще не сделали этого, где вы сможете управлять разрешениями с помощью управления доступом .
Включите проверку подлинности Microsoft Entra Kerberos в файлах Azure , чтобы включить доступ к виртуальным машинам, присоединенным к Microsoft Entra. Сюда входят следующие действия.
- Включите аутентификацию Kerberos Microsoft Entra для учетной записи хранения данных. Это позволит создать регистрацию приложения Entra ID для учетной записи хранения и предоставить разрешения на уровне каталога и файлов группам, управляемым с помощью Entra ID.
- Назначьте разрешения на уровне общего доступа. Вы можете назначать пользователям разрешения на уровне общего доступа, либо настроив разрешения по умолчанию на уровне общего доступа на странице источника удостоверений, либо создав роли Azure Role-based access control (RBAC).
-
Настройте разрешения хранилища для контейнеров профилей. Просмотрите рекомендуемый список разрешений для профилей FSLogix, который позволяет пользователям создавать и использовать свои профили, а администраторам — управлять общим ресурсом. При настройке Entra Kerberos вы увидите вкладку "Управление доступом " для назначения разрешений, которая является рекомендуемой настройкой для пользователей только облака и внешних удостоверений.
Настройте регистрацию приложения Entra ID для учетной записи хранения, чтобы пользователи могли правильно получать билеты для назначенных групп Entra ID.
- Предоставьте согласие администратора для нового субъекта-службы. Это предоставляет пользователям разрешение запрашивать токены Entra ID для учетной записи хранения.
- Отключите многофакторную проверку подлинности в учетной записи хранения. Это гарантирует, что пользователь сможет получить токен Entra ID и билеты Kerberos, причем это происходит в фоновом режиме во время входа пользователя в систему, поскольку отсутствует пользовательский интерфейс для выполнения дополнительной аутентификации.
-
Добавьте тег манифеста приложения, чтобы включить поддержку облачных групп. Это гарантирует, что Entra будет включать только облачные группы Entra ID в билет Kerberos, а не только локальные группы. По завершении манифест приложения должен выглядеть следующим образом, с добавлением
kdc_enable_cloud_group_sidsв раздел tags манифеста приложения:
Настройка локального устройства Windows
Чтобы получить доступ к общим папкам Azure из виртуальной машины, присоединенной к Microsoft Entra для профилей FSLogix, необходимо настроить локальное устройство Windows, на которое загружаются профили FSLogix. Чтобы настроить устройство, выполните приведенные действия.
Включите функциональные возможности Microsoft Entra Kerberos с помощью одного из следующих методов.
- Настройте эту CSP политику Intune с каталогом параметров и примените её к узлу сеанса: Kerberos/CloudKerberosTicketRetrievalEnabled.
Замечание
Операционные системы клиента Windows с несколькими сеансами теперь поддерживают этот параметр, если он настроен в каталоге параметров, где теперь доступен этот параметр. Дополнительные сведения об использовании нескольких сеансов Виртуального рабочего стола Azure в Intune.
Включите эту групповую политику на устройстве. Путь будет одним из следующих вариантов в зависимости от используемой версии Windows:
Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logonAdministrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logonСоздайте на устройстве следующее значение реестра:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
При использовании учетной записи Microsoft Entra ID в решении для перемещаемых профилей, таких как FSLogix, ключи учетных данных в Диспетчере учетных данных должны принадлежать профилю, который в данный момент загружается. Это позволяет загружать профиль на разных виртуальных машинах, а не ограничиваться только одним. Чтобы включить этот параметр, создайте новое значение реестра, выполнив следующую команду:
reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1Замечание
Хозяева сеансов не нуждаются в сетевой видимости с контроллером домена.
При использовании учетной записи Microsoft Entra ID в решении для перемещаемых профилей, таких как FSLogix, ключи учетных данных в Диспетчере учетных данных должны принадлежать профилю, который в данный момент загружается. Это позволяет загружать профиль на разных виртуальных машинах, а не ограничиваться только одним. Чтобы включить этот параметр, создайте новое значение реестра, выполнив следующую команду:
reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
Настройка FSLogix на локальном устройстве Windows
В этом разделе показано, как настроить локальное устройство Windows с помощью FSLogix. Эти инструкции необходимо выполнять каждый раз, когда вы настраиваете устройство. Существует несколько вариантов, гарантирующих настройку ключей реестра на всех сеансовых хостах. Эти параметры можно задать на изображении или настроить групповую политику.
Чтобы настроить FSLogix, выполните приведенные действия.
При необходимости обновите или установите FSLogix на устройстве.
Замечание
Если вы настраиваете сеансовый хост, созданный с использованием службы Виртуальный рабочий стол Azure, FSLogix уже должен быть установлен.
Следуйте инструкциям в Настройке параметров реестра контейнеров профилей, чтобы задать значения реестра Enabled и VHDLocations. Задайте для параметра VHDLocations значение
\\<Storage-account-name>.file.core.windows.net\<file-share-name>.
Проверьте развертывание
После установки и настройки FSLogix можно протестировать развертывание, выполнив вход с помощью учетной записи пользователя, назначенной группе приложений в пуле узлов. Учетная запись пользователя, с которым вы входите, должна иметь разрешение на использование общей папки.
Если пользователь выполнил вход раньше, он будет иметь существующий локальный профиль, который служба будет использовать во время этого сеанса. Чтобы избежать создания локального профиля, создайте новую учетную запись пользователя для тестирования или используйте методы конфигурации, описанные в Руководство: Настройка контейнера профилей для перенаправления профилей пользователей для включения настройки DeleteLocalProfileWhenVHDShouldApply.
Наконец, проверьте профиль, созданный в файлах Azure после успешного входа пользователя:
Откройте портал Azure и войдите с помощью учетной записи администратора.
На боковой панели выберите учетные записи хранения.
Выберите учетную запись хранения, настроенную для пула узлов сеансов.
На боковой панели выберите общие папки.
Выберите общую папку, настроенную для хранения профилей.
Если все настроено правильно, вы увидите каталог с именем, отформатированным следующим образом:
<user SID>_<username>
Дальнейшие шаги
- Сведения об устранении неполадок FSLogix см. в этом руководстве по устранению неполадок.