Поделиться через

Хранение контейнеров профилей FSLogix в файлах Azure с помощью идентификатора Microsoft Entra

Это важно

В настоящее время в предварительной версии доступна следующая функция:

  • Хранение контейнеров профилей FSLogix для облачных или внешних удостоверений.

Юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общедоступную версию, см . в дополнительных условиях использования для предварительных версий Microsoft Azure.

В этой статье вы узнаете, как создать и настроить общую папку файлов Azure для проверки подлинности Microsoft Entra Kerberos. Эта конфигурация позволяет хранить профили FSLogix для доступа к разным пользователям на основе конфигурации:

  • Путем гибридных удостоверений пользователей из Microsoft Entra, присоединенных или гибридных узлов сеансов Microsoft Entra, не требуя сетевой линии видимости контроллерам домена. Эта функция поддерживается в облаке Azure, Azure для государственных организаций США и Azure под управлением 21Vianet.
  • С использованием удостоверений, работающих только в облаке, или внешних удостоверений. Эта функция доступна в предварительной версии и доступна только в облаке Azure.

Microsoft Entra Kerberos позволяет Microsoft Entra ID выдавать необходимые билеты Kerberos для доступа к файловому ресурсу с помощью отраслевого стандарта SMB.

Предпосылки

Перед развертыванием этого решения убедитесь, что среда соответствует требованиям к настройке файлов Azure с проверкой подлинности Microsoft Entra Kerberos.

При использовании для профилей FSLogix в виртуальном рабочем столе Azure узлы сеансов не должны иметь сетевой линии видимости контроллера домена (DC). Однако для настройки разрешений в общей папке Azure Files требуется система с доступом по сети к контроллеру домена.

Перед развертыванием этого решения убедитесь, что ваша среда соответствует требованиям для настройки Azure Files с аутентификацией Microsoft Entra Kerberos для облачных или внешних идентификаторов.

Настройте учетную запись хранения Azure и файловое хранилище

Чтобы сохранить профили FSLogix в общей папке Azure, выполните следующие действия.

  1. Создайте учетную запись хранения Azure , если у вас еще нет учетной записи хранения.

    Замечание

    Ваша учетная запись хранения Azure не может пройти проверку подлинности с помощью идентификатора Microsoft Entra и второго метода, например доменных служб Active Directory (AD DS) или доменных служб Microsoft Entra. Можно использовать только один метод проверки подлинности.

  2. Если вы еще не сделали этого, создайте общий ресурс Azure Files в вашей учетной записи хранения, чтобы сохранить профили FSLogix.

  3. Включите проверку подлинности Microsoft Entra Kerberos в файлах Azure , чтобы включить доступ к виртуальным машинам, присоединенным к Microsoft Entra.

    • При настройке разрешений на уровне каталога и файлов просмотрите рекомендуемый список разрешений для профилей FSLogix в разделе "Настройка разрешений хранилища для контейнеров профилей".
    • Без соответствующих разрешений на уровне каталога пользователь может удалить профиль пользователя или получить доступ к персональным данным другого пользователя. Важно убедиться, что у пользователей есть соответствующие разрешения, чтобы предотвратить случайное удаление.

Чтобы сохранить профили FSLogix в общей папке Azure, выполните следующие действия.

  1. Создайте учетную запись хранения Azure , если у вас еще нет учетной записи хранения.

    Замечание

    Ваша учетная запись хранения Azure не может пройти проверку подлинности с помощью идентификатора Microsoft Entra и второго метода, например доменных служб Active Directory (AD DS) или доменных служб Microsoft Entra. Можно использовать только один метод проверки подлинности.

  2. Создайте общую папку Файлов Azure под учетной записью хранения для хранения профилей FSLogix, если вы еще не сделали этого, где вы сможете управлять разрешениями с помощью управления доступом .

  3. Включите проверку подлинности Microsoft Entra Kerberos в файлах Azure , чтобы включить доступ к виртуальным машинам, присоединенным к Microsoft Entra.

    • При настройке разрешений на уровне каталога и файлов просмотрите рекомендуемый список разрешений для профилей FSLogix в разделе "Настройка разрешений хранилища для контейнеров профилей".
    • Без соответствующих разрешений на уровне каталога пользователь может удалить профиль пользователя или получить доступ к персональным данным другого пользователя. Важно убедиться, что у пользователей есть соответствующие разрешения, чтобы предотвратить случайное удаление.
    • Убедитесь, что вы выполните шаги по регистрации приложения Entra, чтобы Kerberos-токены включали группы, полученные из Entra.

Настройка локального устройства Windows

Чтобы получить доступ к общим папкам Azure из виртуальной машины, присоединенной к Microsoft Entra для профилей FSLogix, необходимо настроить локальное устройство Windows, на которое загружаются профили FSLogix. Чтобы настроить устройство, выполните приведенные действия.

  1. Включите функциональные возможности Microsoft Entra Kerberos с помощью одного из следующих методов.

    • Настройте эту CSP политику Intune с каталогом параметров и примените её к узлу сеанса: Kerberos/CloudKerberosTicketRetrievalEnabled.

    Замечание

    Операционные системы клиента Windows с несколькими сеансами теперь поддерживают этот параметр, если он настроен в каталоге параметров, где теперь доступен этот параметр. Дополнительные сведения об использовании нескольких сеансов Виртуального рабочего стола Azure в Intune.

    • Включите эту групповую политику на устройстве. Путь будет одним из следующих вариантов в зависимости от используемой версии Windows:

    • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

    • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

    • Создайте на устройстве следующее значение реестра: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

  1. При использовании учетной записи Microsoft Entra ID в решении для перемещаемых профилей, таких как FSLogix, ключи учетных данных в Диспетчере учетных данных должны принадлежать профилю, который в данный момент загружается. Это позволяет загружать профиль на разных виртуальных машинах, а не ограничиваться только одним. Чтобы включить этот параметр, создайте новое значение реестра, выполнив следующую команду:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

    Замечание

    Хозяева сеансов не нуждаются в сетевой видимости с контроллером домена.

  1. При использовании учетной записи Microsoft Entra ID в решении для перемещаемых профилей, таких как FSLogix, ключи учетных данных в Диспетчере учетных данных должны принадлежать профилю, который в данный момент загружается. Это позволяет загружать профиль на разных виртуальных машинах, а не ограничиваться только одним. Чтобы включить этот параметр, создайте новое значение реестра, выполнив следующую команду:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

Настройка FSLogix на локальном устройстве Windows

В этом разделе показано, как настроить локальное устройство Windows с помощью FSLogix. Эти инструкции необходимо выполнять каждый раз, когда вы настраиваете устройство. Существует несколько вариантов, гарантирующих настройку ключей реестра на всех сеансовых хостах. Эти параметры можно задать на изображении или настроить групповую политику.

Чтобы настроить FSLogix, выполните приведенные действия.

  1. При необходимости обновите или установите FSLogix на устройстве.

    Замечание

    Если вы настраиваете сеансовый хост, созданный с использованием службы Azure Virtual Desktop, FSLogix уже должен быть установлен.

  2. Следуйте инструкциям в Настройке параметров реестра контейнеров профилей, чтобы задать значения реестра Enabled и VHDLocations. Задайте для параметра VHDLocations значение \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Выполните тестирование развертывания

После установки и настройки FSLogix можно протестировать развертывание, выполнив вход с помощью учетной записи пользователя, назначенной группе приложений в пуле узлов. Учетная запись пользователя, с которым вы входите, должна иметь разрешение на использование общей папки.

Если пользователь выполнил вход раньше, он будет иметь существующий локальный профиль, который служба будет использовать во время этого сеанса. Чтобы избежать создания локального профиля, создайте новую учетную запись пользователя для тестирования или используйте методы конфигурации, описанные в Руководство: Настройка контейнера профилей для перенаправления профилей пользователей для включения настройки DeleteLocalProfileWhenVHDShouldApply.

Наконец, проверьте профиль, созданный в файлах Azure после успешного входа пользователя:

  1. Откройте портал Azure и войдите с помощью учетной записи администратора.

  2. На боковой панели выберите учетные записи хранения.

  3. Выберите учетную запись хранения, настроенную для пула узлов сеансов.

  4. На боковой панели выберите общие папки.

  5. Выберите общую папку, настроенную для хранения профилей.

  6. Если все настроено правильно, вы увидите каталог с именем, отформатированным следующим образом: <user SID>_<username>

Дальнейшие шаги

  • Last updated on