通过

在混合场景中使用 Microsoft Entra ID 将 FSLogix 配置文件容器存储在 Azure 文件共享上

本文介绍如何创建和配置用于 Microsoft Entra Kerberos 身份验证的 Azure 文件共享。 此配置允许存储 FSLogix 配置文件,这些配置文件可由已加入 Microsoft Entra 的混合用户标识访问,或者Microsoft Entra 混合加入会话主机,而无需对域控制器进行网络视线访问。 Microsoft Entra Kerberos 使 Microsoft Entra ID 能够颁发必要的 Kerberos 票证,以使用行业标准 SMB 协议访问文件共享。

Azure 云、适用于美国政府的 Azure 和世纪互联运营的 Azure 支持此功能。

先决条件

在部署此解决方案之前,请验证环境 是否满足 使用 Microsoft Entra Kerberos 身份验证配置 Azure 文件存储的要求。

在 Azure 虚拟桌面中用于 FSLogix 配置文件时,会话主机无需对域控制器(DC)具有网络视线。 但是,需要能够与 DC 建立网络连接的系统来配置 Azure Files 共享的权限。

配置 Azure 存储帐户和文件共享

若要将 FSLogix 配置文件存储在 Azure 文件共享上,请执行以下作:

  1. 如果还没有 Azure 存储帐户,请创建一个。

    注释

    Azure 存储帐户不能使用 Microsoft Entra ID 和第二种方法(例如 Active Directory 域服务(AD DS)或 Microsoft Entra 域服务进行身份验证。 只能使用一种身份验证方法。

  2. 创建存储帐户下的 Azure 文件共享,以存储 FSLogix 配置文件(如果尚未这样做)。

  3. 在 Azure 文件中启用 Microsoft Entra Kerberos 身份验证 ,以启用从已加入 Microsoft Entra 的 VM 进行访问。

    • 配置目录和文件级权限时,请在 配置配置文件容器的存储权限时查看 FSLogix 配置文件的建议权限列表。
    • 如果没有适当的目录级权限,用户可以删除用户配置文件或访问其他用户的个人信息。 请务必确保用户具有适当的权限,以防止意外删除。

配置本地 Windows 设备

若要从已加入 Microsoft Entra 联接的 VM(用于 FSLogix 配置文件)访问 Azure 文件共享,必须配置要加载到的 FSLogix 配置文件的本地 Windows 设备。 要配置您的设备:

  1. 使用以下方法之一启用 Microsoft Entra Kerberos 功能。

    注释

    Windows 多会话客户端作系统现在支持此设置,前提是它已配置了“设置目录”,其中该设置现已可用。 了解更多信息,请参阅 使用 Intune 的 Azure 虚拟桌面多会话

    • 在设备上启用此组策略。 路径将是以下路径之一,具体取决于所使用的 Windows 版本:

    • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

    • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

    • 在设备上创建以下注册表值: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

  2. 将 Microsoft Entra ID 用于漫游配置文件解决方案(如 FSLogix)时,凭据管理器中的凭据密钥必须属于当前正在加载的漫游配置文件。 这样,便可以在许多不同的 VM 上加载配置文件,而不是仅限于一个。 若要启用此设置,请运行以下命令创建新的注册表值:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

    注释

    会话主机不需要域控制器的网络视线。

在本地 Windows 设备上配置 FSLogix

本部分介绍如何使用 FSLogix 配置本地 Windows 设备。 每次配置设备时,都需要按照这些说明进行作。 有多个选项可用于确保在所有会话主机上设置注册表密钥。 可以在映像中设置这些选项或配置组策略。

配置 FSLogix:

  1. 根据需要在设备上更新或安装 FSLogix

    注释

    如果要配置使用 Azure 虚拟桌面服务创建的会话主机,FSLogix 应已预安装。

  2. 按照 “配置配置文件”容器注册表设置 中的说明创建 EnabledVHDLocations 注册表值。 将 VHDLocations 的值设置为 \\<Storage-account-name>.file.core.windows.net\<file-share-name>

测试部署

安装并配置 FSLogix 后,可以使用分配给主机池上的应用程序组的用户帐户登录来测试部署。 登录的用户帐户必须有权使用文件共享。

如果用户之前已登录,他们将具有服务在此会话期间将使用的现有本地配置文件。 若要避免创建本地配置文件,请创建新的用户帐户以用于测试,或使用教程中所述的配置方法 :配置配置文件容器以重定向用户配置文件 以启用 DeleteLocalProfileWhenVHDShouldApply 设置。

最后,在用户成功登录后验证在 Azure 文件中创建的配置文件:

  1. 打开 Azure 门户并使用管理帐户登录。

  2. 在边栏中,选择 “存储帐户”。

  3. 选择为会话主机池配置的存储帐户。

  4. 在边栏中,选择 “文件共享”。

  5. 选择您配置用于存储用户配置文件的文件共享。

  6. 如果一切设置正确,应会看到一个名称格式如下的目录: <user SID>_<username>

后续步骤