FSLogix-profielcontainers opslaan in Azure Files met behulp van Microsoft Entra-id in een hybride scenario

In dit artikel leert u hoe u een Azure Files-share maakt en configureert voor Microsoft Entra Kerberos-verificatie. Met deze configuratie kunt u FSLogix-profielen opslaan die toegankelijk zijn voor hybride gebruikersidentiteiten van sessiehosts die zijn gekoppeld aan Microsoft Entra of Microsoft Entra-hybriden, zonder dat een zichtlijn naar domeincontrollers noodzakelijk is. Met Microsoft Entra Kerberos kan Microsoft Entra ID de benodigde Kerberos-tickets uitgeven voor toegang tot de bestandsshare met het standaard SMB-protocol van de industriestandaard.

Deze functie wordt ondersteund in de Azure-cloud, Azure voor de Amerikaanse overheid en Azure beheerd door 21Vianet.

Vereiste voorwaarden

Voordat u deze oplossing implementeert, moet u controleren of uw omgeving voldoet aan de vereisten voor het configureren van Azure Files met Microsoft Entra Kerberos-verificatie.

Wanneer deze worden gebruikt voor FSLogix-profielen in Azure Virtual Desktop, hoeven de sessiehosts geen netwerkzichtlijn met de domeincontroller (DC) te hebben. Een systeem met netwerkzichtlijn naar de domeincontroller is echter vereist om de machtigingen voor de Azure Files-share te configureren.

Uw Azure-opslagaccount en -bestandsshare configureren

Uw FSLogix-profielen opslaan op een Azure-bestandsshare:

1. Maak een Azure Storage-account als u er nog geen hebt.

   Opmerking

   Uw Azure Storage-account kan niet worden geverifieerd met zowel Microsoft Entra-id als een tweede methode, zoals Active Directory Domain Services (AD DS) of Microsoft Entra Domain Services. U kunt slechts één verificatiemethode gebruiken.

2. Maak een Azure Files-share onder uw opslagaccount om uw FSLogix-profielen op te slaan als u dat nog niet hebt gedaan.

3. Schakel Microsoft Entra Kerberos-verificatie in op Azure Files om toegang vanuit aan Microsoft Entra gekoppelde VM's in te schakelen.

   • Raadpleeg de aanbevolen lijst met machtigingen voor FSLogix-profielen bij Het configureren van de opslagmachtigingen voor profielcontainers wanneer u de map- en bestandsmachtigingen configureert.
   • Zonder de juiste machtigingen op adreslijstniveau kan een gebruiker het gebruikersprofiel verwijderen of toegang krijgen tot de persoonlijke gegevens van een andere gebruiker. Het is belangrijk om ervoor te zorgen dat gebruikers over de juiste machtigingen beschikken om te voorkomen dat onbedoelde verwijdering plaatsvindt.

Uw lokale Windows-apparaat configureren

Als u toegang wilt krijgen tot Azure-bestandsshares vanaf een aan Microsoft Entra gekoppelde VM voor FSLogix-profielen, moet u het lokale Windows-apparaat configureren waarop uw FSLogix-profielen worden geladen. Uw apparaat configureren:

1. Schakel de Microsoft Entra Kerberos-functionaliteit in met behulp van een van de volgende methoden.

   • Configureer deze Intune Policy CSP met instellingencatalogus en pas deze toe op de sessiehost: Kerberos/CloudKerberosTicketRetrievalEnabled.

   Opmerking

   Windows-clientbesturingssystemen met meerdere sessies ondersteunen nu deze instelling, mits deze is geconfigureerd met instellingencatalogus, waar de instelling nu beschikbaar is. Meer informatie over het gebruik van azure Virtual Desktop voor meerdere sessies met Intune.

   • Schakel dit groepsbeleid in op uw apparaat. Het pad is een van de volgende, afhankelijk van de versie van Windows die u gebruikt:

   • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

   • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

   • Maak de volgende registerwaarde op uw apparaat: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Wanneer u Microsoft Entra ID gebruikt met een zwervende profieloplossing zoals FSLogix, moeten de referentiesleutels in Credential Manager deel uitmaken van het profiel dat momenteel wordt geladen. Hiermee kunt u uw profiel laden op veel verschillende VM's in plaats van slechts één te beperken. Als u deze instelling wilt inschakelen, maakt u een nieuwe registerwaarde door de volgende opdracht uit te voeren:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

   Opmerking

   Sessiehosts hebben geen zichtlijnverbinding met de domeincontroller nodig via het netwerk.

FSLogix configureren op uw lokale Windows-apparaat

In deze sectie wordt beschreven hoe u uw lokale Windows-apparaat configureert met FSLogix. U moet deze instructies volgen telkens wanneer u een apparaat configureert. Er zijn verschillende opties beschikbaar om ervoor te zorgen dat de registersleutels zijn ingesteld op alle sessiehosts. U kunt deze opties instellen in een afbeelding of een groepsbeleid configureren.

FSLogix configureren:

1. Werk FSLogix indien nodig bij of installeer deze op uw apparaat.

   Opmerking

   Als u een sessiehost configureert die is gemaakt met de Azure Virtual Desktop-service, moet FSLogix al vooraf zijn geïnstalleerd.

2. Volg de instructies in De registerinstellingen voor profielcontainers configureren om de registerwaarden Ingeschakeld en VHDLocations te maken. Stel de waarde van VHDLocations in op \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Uw implementatie testen

Nadat u FSLogix hebt geïnstalleerd en geconfigureerd, kunt u uw implementatie testen door u aan te melden met een gebruikersaccount dat is toegewezen aan een toepassingsgroep in de hostgroep. Het gebruikersaccount waarmee u zich aanmeldt, moet gemachtigd zijn om de bestandsshare te kunnen gebruiken.

Als de gebruiker zich eerder heeft aangemeld, heeft deze een bestaand lokaal profiel dat de service tijdens deze sessie gaat gebruiken. Om te voorkomen dat u een lokaal profiel maakt, maakt u een nieuw gebruikersaccount voor tests of gebruikt u de configuratiemethoden die worden beschreven in zelfstudie: Profielcontainer configureren om gebruikersprofielen om te leiden om de instelling DeleteLocalProfileWhenVHDShouldApply in te schakelen.

Controleer ten slotte het profiel dat is gemaakt in Azure Files nadat de gebruiker zich heeft aangemeld:

1. Open Azure Portal en meld u aan met een beheerdersaccount.

2. Selecteer Opslagaccounts in de zijbalk.

3. Selecteer het opslagaccount dat u hebt geconfigureerd voor uw sessiehostgroep.

4. Selecteer bestandsdeling in de zijbalk.

5. Selecteer de bestandsshare die u hebt geconfigureerd om de profielen op te slaan.

6. Als alles correct is ingesteld, ziet u een map met een naam die als volgt is opgemaakt: <user SID>_<username>

Volgende stappen

• Als u problemen met FSLogix wilt oplossen, raadpleegt u deze gids voor probleemoplossing.