Создание контейнера профиля с Файлы Azure и идентификатором Microsoft Entra

В этой статье вы узнаете, как создать и настроить общий ресурс Файлы Azure для проверки подлинности Microsoft Entra Kerberos. Эта конфигурация позволяет хранить профили FSLogix, к которым можно обращаться с помощью гибридных удостоверений пользователей из присоединенных к Microsoft Entra или гибридных узлов сеансов Microsoft Entra, не требуя подключения сети к контроллерам домена. Microsoft Entra Kerberos позволяет идентификатору Microsoft Entra выдавать необходимые билеты Kerberos для доступа к общей папке с помощью стандартного протокола S МБ.

Эта функция поддерживается в облаке Azure, Azure для государственных организаций США и Azure под управлением 21Vianet.

Необходимые компоненты

Перед развертыванием этого решения убедитесь, что среда соответствует требованиям для настройки Файлы Azure с проверкой подлинности Microsoft Entra Kerberos.

При использовании для профилей FSLogix в виртуальном рабочем столе Azure узлы сеансов не должны иметь сетевой линии видимости контроллера домена (DC). Однако для настройки разрешений на Файлы Azure общей папке требуется система с сетевым подключением к контроллеру домена.

Настройка учетной записи хранения Azure и общей папки

Чтобы сохранить профили FSLogix в общей папке Azure, выполните следующие действия.

  1. Создайте учетную запись хранения Azure, если у вас ее нет.

    Примечание.

    Учетная запись служба хранилища Azure не может пройти проверку подлинности с помощью идентификатора Microsoft Entra и второго метода, например домен Active Directory Services (AD DS) или доменных служб Microsoft Entra. Можно использовать только один способ проверки подлинности.

  2. Создайте хранилище файлов Azure под своей учетной записью хранения для хранения профилей FSLogix, если оно еще не было создано.

  3. Включите проверку подлинности Microsoft Entra Kerberos на Файлы Azure, чтобы включить доступ к виртуальным машинам, присоединенным к Microsoft Entra.

    • При настройке разрешений на уровне каталога и файлов просмотрите рекомендуемый список разрешений для профилей FSLogix в разделе Настройка разрешений хранилища для контейнеров профилей.
    • Без соответствующих разрешений на уровне каталога пользователь может удалить профиль или получить доступ к персональным данным другого пользователя. Важно обеспечить наличие необходимых разрешений для предотвращения случайного удаления.

Настройка узлов сеансов

Чтобы получить доступ к общим папкам Azure из виртуальной машины, присоединенной к Microsoft Entra для профилей FSLogix, необходимо настроить узлы сеансов. Чтобы настроить узлы сеансов:

  1. Включите функциональные возможности Microsoft Entra Kerberos с помощью одного из следующих методов.

    • Настройте этот CSP политики Intune и примените его к узлу сеанса: Kerberos/CloudKerberosTicketRetrievalEnabled.

      Примечание.

      Операционные системы windows с несколькими сеансами не поддерживают CSP политики, так как они поддерживают только каталог параметров, поэтому вам потребуется использовать один из других методов. Дополнительные сведения об использовании нескольких сеансов Виртуального рабочего стола Azure в Intune.

    • Включите эту групповую политику на узлах сеансов. Путь будет одним из следующих вариантов в зависимости от версии Windows, используемой на узлах сеансов:

      • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
      • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
      • Создайте следующее значение реестра на узле сеанса: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
  2. При использовании идентификатора Microsoft Entra с решением для перемещаемого профиля, например FSLogix, ключи учетных данных в Диспетчере учетных данных должны принадлежать к профилю, который сейчас загружается. Это позволит загрузить профиль на нескольких разных виртуальных машинах, а не на одну. Чтобы включить этот параметр, создайте новое значение реестра, выполнив следующую команду:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
    

Примечание.

Контроллер домена не обязательно должен находиться в зоне сетевой видимости узлов сеансов.

Настройка FSLogix на узле сеансов

В этом разделе показано, как настроить виртуальную машину с использованием FSLogix. Эти инструкции необходимо выполнять при каждой настройке узла сеансов. Обеспечить настройку разделов реестра на всех узлах сеансов можно несколькими способами. Возможно задать эти параметры в образе или настроить групповую политику.

Чтобы настроить FSLogix:

  1. При необходимости Обновите или установите FSLogix на узле сеансов.

    Примечание.

    Если узел сеанса создается с помощью службы Виртуального рабочего стола Azure, FSLogix уже должен быть предварительно установлен.

  2. Чтобы создать значения реестра Enabled и VHDLocations, следуйте инструкциям в разделе Настройка параметров реестра контейнеров для профилей. Присвойте параметру VHDLocations значение \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Тестирование развертывания

После установки и настройки FSLogix можно протестировать развертывание, войдя с помощью учетной записи пользователя, которой назначена группа приложений в пуле узлов. Учетная запись пользователя, с которой выполняется вход, должна иметь разрешение на использование общей папки.

Если пользователь выполнил вход ранее, служба будет использовать в течение этого сеанса уже имеющийся локальный профиль. Чтобы избежать процесса создания локального профиля, создайте новую учетную запись пользователя, которая будет использоваться для тестов, или используйте методы конфигурации, описанные в учебнике по настройке контейнера профиля для перенаправления профиля пользователя, чтобы включить параметр DeleteLocalProfileWhenVHDShouldApply.

Наконец, проверьте профиль, созданный в Файлах Azure после успешного входа пользователя:

  1. Откройте портал Azure и войдите с помощью учетной записи администратора.

  2. На боковой панели выберите Учетные записи хранения.

  3. Выберите учетную запись хранения, настроенную для пула узлов сеансов.

  4. На боковой панели выберите Общие папки.

  5. Выберите общую папку, настроенную для хранения профилей.

  6. Если все настроено правильно, вы увидите каталог с именем в следующем формате: <user SID>_<username>.

Следующий шаг