Хранение контейнеров профилей FSLogix в файлах Azure с помощью идентификатора Microsoft Entra в гибридном сценарии

В этой статье вы узнаете, как создать и настроить общую папку файлов Azure для проверки подлинности Microsoft Entra Kerberos. Эта конфигурация позволяет хранить профили FSLogix, к которым можно обращаться с помощью гибридных удостоверений пользователей из присоединенных к Microsoft Entra или гибридных узлов сеансов Microsoft Entra, не требуя подключения сети к контроллерам домена. Microsoft Entra Kerberos позволяет Microsoft Entra ID выдавать необходимые билеты Kerberos для доступа к файловому ресурсу с помощью отраслевого стандарта SMB.

Эта функция поддерживается в облаке Azure, Azure для государственных организаций США и Azure под управлением 21Vianet.

Предпосылки

Перед развертыванием этого решения убедитесь, что среда соответствует требованиям к настройке файлов Azure с проверкой подлинности Microsoft Entra Kerberos.

При использовании для профилей FSLogix в виртуальном рабочем столе Azure узлы сеансов не должны иметь сетевой линии видимости контроллера домена (DC). Однако для настройки разрешений в общей папке Azure Files требуется система с доступом по сети к контроллеру домена.

Настройте учетную запись хранения Azure и файловое хранилище

Чтобы сохранить профили FSLogix в общей папке Azure, выполните следующие действия.

1. Создайте учетную запись хранения Azure , если у вас еще нет учетной записи хранения.

   Замечание

   Ваша учетная запись хранения Azure не может пройти проверку подлинности с помощью идентификатора Microsoft Entra и второго метода, например доменных служб Active Directory (AD DS) или доменных служб Microsoft Entra. Можно использовать только один метод проверки подлинности.

2. Если вы еще не сделали этого, создайте общий ресурс Azure Files в вашей учетной записи хранения, чтобы сохранить профили FSLogix.

3. Включите проверку подлинности Microsoft Entra Kerberos в файлах Azure , чтобы включить доступ к виртуальным машинам, присоединенным к Microsoft Entra.

   • При настройке разрешений на уровне каталога и файлов просмотрите рекомендуемый список разрешений для профилей FSLogix в разделе "Настройка разрешений хранилища для контейнеров профилей".
   • Без соответствующих разрешений на уровне каталога пользователь может удалить профиль пользователя или получить доступ к персональным данным другого пользователя. Важно убедиться, что у пользователей есть соответствующие разрешения, чтобы предотвратить случайное удаление.

Настройка локального устройства Windows

Чтобы получить доступ к общим папкам Azure из виртуальной машины, присоединенной к Microsoft Entra для профилей FSLogix, необходимо настроить локальное устройство Windows, на которое загружаются профили FSLogix. Чтобы настроить устройство, выполните приведенные действия.

1. Включите функциональные возможности Microsoft Entra Kerberos с помощью одного из следующих методов.

   • Настройте эту CSP политику Intune с каталогом параметров и примените её к узлу сеанса: Kerberos/CloudKerberosTicketRetrievalEnabled.

   Замечание

   Операционные системы клиента Windows с несколькими сеансами теперь поддерживают этот параметр, если он настроен в каталоге параметров, где теперь доступен этот параметр. Дополнительные сведения об использовании нескольких сеансов Виртуального рабочего стола Azure в Intune.

   • Включите эту групповую политику на устройстве. Путь будет одним из следующих вариантов в зависимости от используемой версии Windows:

   • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

   • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

   • Создайте на устройстве следующее значение реестра: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. При использовании учетной записи Microsoft Entra ID в решении для перемещаемых профилей, таких как FSLogix, ключи учетных данных в Диспетчере учетных данных должны принадлежать профилю, который в данный момент загружается. Это позволяет загружать профиль на разных виртуальных машинах, а не ограничиваться только одним. Чтобы включить этот параметр, создайте новое значение реестра, выполнив следующую команду:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

   Замечание

   Хозяева сеансов не нуждаются в сетевой видимости с контроллером домена.

Настройка FSLogix на локальном устройстве Windows

В этом разделе показано, как настроить локальное устройство Windows с помощью FSLogix. Эти инструкции необходимо выполнять каждый раз, когда вы настраиваете устройство. Существует несколько вариантов, гарантирующих настройку ключей реестра на всех сеансовых хостах. Эти параметры можно задать на изображении или настроить групповую политику.

Чтобы настроить FSLogix, выполните приведенные действия.

1. При необходимости обновите или установите FSLogix на устройстве.

   Замечание

   Если вы настраиваете сеансовый хост, созданный с использованием службы Azure Virtual Desktop, FSLogix уже должен быть установлен.

2. Следуйте инструкциям в Настройке параметров реестра контейнеров профилей, чтобы задать значения реестра Enabled и VHDLocations. Задайте для параметра VHDLocations значение \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Выполните тестирование развертывания

После установки и настройки FSLogix можно протестировать развертывание, выполнив вход с помощью учетной записи пользователя, назначенной группе приложений в пуле узлов. Учетная запись пользователя, с которым вы входите, должна иметь разрешение на использование общей папки.

Если пользователь выполнил вход раньше, он будет иметь существующий локальный профиль, который служба будет использовать во время этого сеанса. Чтобы избежать создания локального профиля, создайте новую учетную запись пользователя для тестирования или используйте методы конфигурации, описанные в Руководство: Настройка контейнера профилей для перенаправления профилей пользователей для включения настройки DeleteLocalProfileWhenVHDShouldApply.

Наконец, проверьте профиль, созданный в файлах Azure после успешного входа пользователя:

1. Откройте портал Azure и войдите с помощью учетной записи администратора.

2. На боковой панели выберите учетные записи хранения.

3. Выберите учетную запись хранения, настроенную для пула узлов сеансов.

4. На боковой панели выберите общие папки.

5. Выберите общую папку, настроенную для хранения профилей.

6. Если все настроено правильно, вы увидите каталог с именем, отформатированным следующим образом: <user SID>_<username>

Дальнейшие шаги

• Сведения об устранении неполадок FSLogix см. в этом руководстве по устранению неполадок.