Lagra FSLogix-profilcontainrar på Azure Files med hjälp av Microsoft Entra-ID i ett hybridscenario

I den här artikeln får du lära dig hur du skapar och konfigurerar en Azure Files-resurs för Microsoft Entra Kerberos-autentisering. Med den här konfigurationen kan du lagra FSLogix-profiler som kan nås av hybridanvändaridentiteter från Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutna sessionsvärdar, utan att kräva nätverkslinjesikt till domänkontrollanter. Med Microsoft Entra Kerberos kan Microsoft Entra-ID utfärda nödvändiga Kerberos-biljetter för att få åtkomst till filresursen med SMB-protokollet av branschstandard.

Den här funktionen stöds i Azure-molnet, Azure for US Government och Azure som drivs av 21Vianet.

Förutsättningar

Innan du distribuerar den här lösningen kontrollerar du att din miljö uppfyller kraven för att konfigurera Azure Files med Microsoft Entra Kerberos-autentisering.

När de används för FSLogix-profiler i Azure Virtual Desktop behöver sessionsvärdar inte ha nätverkssiktlinje till en domänkontrollant (DC). Ett system med nätverkssynpunkt till domänkontrollanten krävs dock för att konfigurera behörigheterna för Azure Files-resursen.

Konfigurera ditt Azure Storage-konto och din filandel

Så här lagrar du dina FSLogix-profiler på en Azure-filresurs:

1. Skapa ett Azure Storage-konto om du inte redan har ett.

   Anmärkning

   Ditt Azure Storage-konto kan inte autentiseras med både Microsoft Entra-ID och en andra metod som Active Directory Domain Services (AD DS) eller Microsoft Entra Domain Services. Du kan bara använda en autentiseringsmetod.

2. Skapa en Azure Files-resurs under ditt lagringskonto för att lagra dina FSLogix-profiler om du inte redan har gjort det.

3. Aktivera Microsoft Entra Kerberos-autentisering på Azure Files för att aktivera åtkomst från Microsoft Entra-anslutna virtuella datorer.

   • När du konfigurerar behörigheter på katalog- och filnivå granskar du den rekommenderade listan över behörigheter för FSLogix-profiler i Konfigurera lagringsbehörigheter för profilcontainrar.
   • Utan rätt behörigheter på katalognivå kan en användare ta bort användarprofilen eller komma åt personlig information för en annan användare. Det är viktigt att se till att användarna har rätt behörigheter för att förhindra att oavsiktlig borttagning sker.

Konfigurera din lokala Windows-enhet

För att få åtkomst till Azure-filresurser från en Microsoft Entra-ansluten virtuell dator för FSLogix-profiler måste du konfigurera den lokala Windows-enhet som dina FSLogix-profiler läses in på. Så här konfigurerar du enheten:

1. Aktivera Microsoft Entra Kerberos-funktionen med någon av följande metoder.

   • Konfigurera den här Intune-policy CSP med inställningskatalogen och tillämpa den på sessionvärd: Kerberos/CloudKerberosTicketRetrievalEnabled.

   Anmärkning

   Windows klientoperativsystem med flera sessioner stöder nu den här inställningen förutsatt att den är konfigurerad med Inställningskatalog, där inställningen nu är tillgänglig. Läs mer i Använda Azure Virtual Desktop med flera sessioner med Intune.

   • Aktivera den här gruppolicyn på enheten. Sökvägen är något av följande, beroende på vilken version av Windows du använder:

   • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

   • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

   • Skapa följande registervärde på enheten: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. När du använder Microsoft Entra-ID med en roamingprofillösning som FSLogix måste autentiseringsnycklarna i Credential Manager tillhöra den profil som för närvarande läses in. På så sätt kan du läsa in din profil på många olika virtuella datorer i stället för att begränsas till bara en. Om du vill aktivera den här inställningen skapar du ett nytt registervärde genom att köra följande kommando:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

   Anmärkning

   Sessionsvärdarna behöver inte ha nätverksuppsikt till domänkontrollanten.

Konfigurera FSLogix på din lokala Windows-enhet

Det här avsnittet visar hur du konfigurerar din lokala Windows-enhet med FSLogix. Du måste följa dessa instruktioner varje gång du konfigurerar en enhet. Det finns flera tillgängliga alternativ som säkerställer att registernycklarna är inställda på alla sessionsvärdar. Du kan ange de här alternativen i en bild eller konfigurera en grupprincip.

Så här konfigurerar du FSLogix:

1. Uppdatera eller installera FSLogix på enheten om det behövs.

   Anmärkning

   Om du konfigurerar en sessionsvärd som skapats med hjälp av Azure Virtual Desktop-tjänsten bör FSLogix redan vara förinstallerat.

2. Följ anvisningarna i Konfigurera registerinställningar för profilcontainer för att skapa registervärdena Aktiverad och VHDLocations . Ange värdet för VHDLocations till \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Testa driftsättningen

När du har installerat och konfigurerat FSLogix kan du testa distributionen genom att logga in med ett användarkonto som har tilldelats till en programgrupp i värdpoolen. Användarkontot som du loggar in med måste ha behörighet att använda fildelningen.

Om användaren har loggat in tidigare har de en befintlig lokal profil som tjänsten kommer att använda under den här sessionen. Om du vill undvika att skapa en lokal profil skapar du antingen ett nytt användarkonto som ska användas för tester eller använder konfigurationsmetoderna som beskrivs i Självstudie: Konfigurera profilcontainer för att omdirigera användarprofiler för att aktivera inställningen DeleteLocalProfileWhenVHDShouldApply .

Kontrollera slutligen profilen som skapades i Azure Files när användaren har loggat in:

1. Öppna Azure-portalen och logga in med ett administrativt konto.

2. I sidopanelen väljer du Lagringskonton.

3. Välj det lagringskonto som du konfigurerade för din sessionsvärdpool.

4. I sidofältet väljer du Fildelningar.

5. Välj den filresurs som du konfigurerade för att lagra profilerna.

6. Om allt är korrekt konfigurerat bör du se en katalog med ett namn som är formaterat så här: <user SID>_<username>.

Nästa steg

• Information om hur du felsöker FSLogix finns i den här felsökningsguiden.