Nastavení kontejneru profilů FSLogix se službami Azure Files a službami Doména služby Active Directory nebo Microsoft Entra Domain Services

Tento článek vám ukáže, jak nastavit kontejner profilu FSLogix se službou Azure Files, když jsou virtuální počítače hostitele relace připojené k doméně služby Doména služby Active Directory Services (AD DS) nebo spravované doméně služby Microsoft Entra Domain Services.

Požadavky

Budete potřebovat následující:

• Fond hostitelů, ve kterém jsou hostitelé relací připojeni k doméně služby AD DS nebo spravované doméně služby Microsoft Entra Domain Services a uživatelům.
• Skupina zabezpečení ve vaší doméně, která obsahuje uživatele, kteří budou používat kontejner profilů. Pokud používáte službu AD DS, musí se synchronizovat s ID Microsoft Entra.
• Oprávnění k vašemu předplatnému Azure k vytvoření účtu úložiště a přidání přiřazení rolí
• Účet domény pro připojení počítačů k doméně a otevření výzvy PowerShellu se zvýšenými oprávněními
• ID předplatného vašeho předplatného Azure, ve kterém bude váš účet úložiště.
• Počítač připojený k vaší doméně pro instalaci a spouštění modulů PowerShellu, které připojí účet úložiště k vaší doméně. Toto zařízení bude muset používat podporovanou verzi Windows. Případně můžete použít hostitele relace.

Důležité

Pokud se uživatelé dříve přihlásili k hostitelům relací, které chcete použít, budou pro ně vytvořeny místní profily a musí je nejprve odstranit správce, aby byl jejich profil uložen v kontejneru profilů.

Nastavení účtu úložiště pro kontejner profilů

Nastavení účtu úložiště:

1. Přihlaste se k portálu Azure.

2. Na panelu hledání vyhledejte účty Úložiště.

3. Vyberte + Vytvořit.

4. Na kartě Základy na stránce Vytvořit účet úložiště zadejte následující informace:

   • Vytvořte novou skupinu prostředků nebo vyberte existující skupinu, do které chcete účet úložiště uložit.
   • Zadejte jedinečný název účtu úložiště. Tento název účtu úložiště musí mít délku 3 až 24 znaků.
   • V případě oblasti doporučujeme zvolit stejné umístění jako fond hostitelů Služby Azure Virtual Desktop.
   • V části Výkon vyberte minimální úroveň Standard .
   • Pokud vyberete výkon Premium, nastavte typ účtu Premium na Sdílené složky.
   • V případě redundance vyberte jako minimum místně redundantní úložiště (LRS).
   • Výchozí hodnoty na zbývajících kartách není nutné měnit.

   Tip

   Vaše organizace může mít požadavky na změnu těchto výchozích hodnot:

   • To, jestli byste měli vybrat Premium , závisí na požadavcích na vstupně-výstupní operace za sekundu a latenci. Další informace najdete v tématu Možnosti úložiště pro kontejnery profilů FSLogix ve službě Azure Virtual Desktop.
   • Na kartě Upřesnit musí být povolený přístup ke klíči účtu úložiště.
   • Další informace o zbývajících možnostech konfigurace najdete v tématu Plánování nasazení služby Azure Files.

5. Vyberte Zkontrolovat a vytvořit. Zkontrolujte parametry a hodnoty, které se použijí, a pak vyberte Vytvořit.

6. Po vytvoření účtu úložiště vyberte Přejít k prostředku.

7. V části Úložiště dat vyberte Sdílené složky.

8. Vyberte + Sdílená složka.

9. Zadejte název, například profily, a pak pro vrstvu vyberte Transakci optimalizovanou.

Připojení účtu úložiště ke službě Active Directory

Pokud chcete používat účty služby Active Directory pro oprávnění ke sdílené složce, musíte jako zdroj povolit službu AD DS nebo Microsoft Entra Domain Services. Tento proces připojí váš účet úložiště k doméně, která ho představuje jako účet počítače. Vyberte níže příslušnou kartu pro váš scénář a postupujte podle pokynů.

AD DS

1. Přihlaste se k počítači, který je připojený k vaší doméně SLUŽBY AD DS. Případně se přihlaste k jednomu z hostitelů relací.

2. Stáhněte a extrahujte nejnovější verzi AzFilesHybrid z úložiště Azure Files na GitHubu. Poznamenejte si složku, do které soubory extrahujete.

3. Otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a přejděte do adresáře, do kterého jste extrahovali soubory.

4. Spuštěním následujícího příkazu přidejte AzFilesHybrid modul do adresáře modulů PowerShellu uživatele:

   .\CopyToPSPath.ps1
   

5. Importujte AzFilesHybrid modul spuštěním následujícího příkazu:

   Import-Module -Name AzFilesHybrid
   

   Důležité

   Tento modul vyžaduje Galerie prostředí PowerShell a Azure PowerShell. Může se zobrazit výzva k instalaci, pokud ještě nejsou nainstalované nebo potřebují aktualizaci. Pokud se zobrazí výzva k jejich instalaci, zavřete všechny instance PowerShellu. Před pokračováním znovu otevřete výzvu PowerShellu se zvýšenými oprávněními a znovu naimportujte AzFilesHybrid modul.

6. Přihlaste se k Azure spuštěním následujícího příkazu. Budete muset použít účet, který má jednu z následujících rolí řízení přístupu na základě role (RBAC):

   • Vlastník účtu úložiště
   • Vlastník
   • Přispěvatel

   Connect-AzAccount
   

   Tip

   Pokud má váš účet Azure přístup k více tenantům nebo předplatným, budete muset vybrat správné předplatné nastavením kontextu. Další informace najdete v tématu Kontextové objekty Azure PowerShellu.

7. Připojte účet úložiště k vaší doméně spuštěním následujících příkazů, nahrazením hodnot a $subscriptionId$resourceGroupName$storageAccountName hodnotami. Můžete také přidat parametr -OrganizationalUnitDistinguishedName pro určení organizační jednotky (OU), do které se má účet počítače umístit.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Pokud chcete ověřit, že je účet úložiště připojený k vaší doméně, spusťte následující příkazy a zkontrolujte výstup a nahraďte hodnoty $resourceGroupName$storageAccountName hodnotami:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Důležité

Pokud vaše doména vynucuje vypršení platnosti hesla, musíte ho před vypršením platnosti aktualizovat, aby se zabránilo selhání ověřování při přístupu ke sdíleným složkám Azure. Další informace najdete v tématu Aktualizace hesla identity účtu úložiště ve službě AD DS .

Microsoft Entra Domain Services

1. Na webu Azure Portal otevřete účet úložiště, který jste vytvořili dříve.

2. V části Úložiště dat vyberte Sdílené složky.

3. V hlavní části stránky vedle služby Active Directory vyberte Nenakonfigurováno.

4. V poli služby Microsoft Entra Domain Services vyberte Nastavit.

5. Zaškrtněte políčko Povolit službu Microsoft Entra Domain Services pro tuto sdílenou složku a pak vyberte Uložit. V kořenovém adresáři vaší domény se vytvoří organizační jednotka s názvem AzureFilesConfig a v této organizační jednotce se vytvoří uživatelský účet s názvem stejný jako účet úložiště. Tento účet se použije jako účet služby Azure Files.

Přiřazení role RBAC uživatelům

Uživatelé, kteří potřebují ukládat profily ve sdílené složce, budou potřebovat oprávnění pro přístup k této sdílené složce. K tomu budete muset každému uživateli přiřadit roli Přispěvatel sdílené složky SMB dat souborů úložiště.

Přiřazení role uživatelům:

1. Na webu Azure Portal přejděte k účtu úložiště a pak přejděte ke sdílené složce, kterou jste vytvořili dříve.

2. Vyberte Řízení přístupu (IAM) .

3. V rozevírací nabídce vyberte + Přidat a pak vyberte Přidat přiřazení role.

4. Vyberte přispěvatel sdílené složky SMB s daty úložiště role a vyberte Další.

5. Na kartě Členové vyberte Uživatele, skupinu nebo instanční objekt a pak vyberte +Vybrat členy. Na panelu hledání vyhledejte a vyberte skupinu zabezpečení obsahující uživatele, kteří budou používat kontejner profilů.

6. Dokončete přiřazení výběrem možnosti Zkontrolovat a přiřadit.

Nastavení oprávnění NTFS

V dalším kroku budete muset pro složku nastavit oprávnění NTFS, což vyžaduje, abyste získali přístupový klíč pro účet úložiště.

Získání přístupového klíče účtu úložiště:

1. Na webu Azure Portal vyhledejte a vyberte účet úložiště na panelu hledání.

2. V seznamu účtů úložiště vyberte účet, který jste povolili Doména služby Active Directory Services nebo Microsoft Entra Domain Services jako zdroj identity a přiřadili roli RBAC pro v předchozích částech.

3. V části Zabezpečení a sítě vyberte Přístupové klíče a pak klíč zobrazte a zkopírujte z klíče 1.

Nastavení správných oprávnění NTFS ve složce:

1. Přihlaste se k hostiteli relace, který je součástí fondu hostitelů.

2. Otevřete výzvu PowerShellu se zvýšenými oprávněními a spuštěním následujícího příkazu namapujte účet úložiště jako jednotku na hostiteli relace. Namapovaná jednotka se v Průzkumník souborů nezobrazí, ale lze ji zobrazit pomocí net use příkazu. To znamená, že můžete nastavit oprávnění ke sdílené složce.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Nahraďte <desired-drive-letter> písmenem jednotky podle vašeho výběru (například y:).
   • Nahraďte obě instance <storage-account-name> názvem účtu úložiště, který jste zadali dříve.
   • Nahraďte <share-name> názvem sdílené složky, kterou jste vytvořili dříve.
   • Nahraďte <storage-account-key> klíčem účtu úložiště z Azure.

   Příklad:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Spuštěním následujících příkazů nastavte oprávnění ke sdílené složce, která uživatelům služby Azure Virtual Desktop umožňují vytvořit vlastní profil a zároveň blokovat přístup k profilům jiných uživatelů. Měli byste použít skupinu zabezpečení služby Active Directory, která obsahuje uživatele, které chcete použít kontejner profilů. V následujícíchpříkazch <mounted-drive-letter><DOMAIN\GroupName> Můžete také zadat hlavní název uživatele (UPN) uživatele.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Příklad:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Konfigurace hostitelů relací pro použití kontejneru profilů

Pokud chcete použít kontejner profilů, musíte se ujistit, že jsou na virtuálních počítačích hostitelů relací nainstalované aplikace FSLogix. Aplikace FSLogix jsou předinstalované ve windows 10 Enterprise s více relacemi a operačních systémech Windows 11 Enterprise s více relacemi, ale přesto byste měli postupovat podle následujících kroků, protože nemusí mít nainstalovanou nejnovější verzi. Pokud používáte vlastní image, můžete do image nainstalovat aplikace FSLogix.

Ke konfiguraci kontejneru profilů doporučujeme použít předvolby zásad skupiny k nastavení klíčů registru a hodnot ve velkém měřítku ve všech hostitelích relací. Můžete je také nastavit ve vlastní imagi.

Konfigurace kontejneru profilů na virtuálních počítačích hostitele relace:

1. Přihlaste se k virtuálnímu počítači použitému k vytvoření vlastní image nebo virtuálního počítače hostitele relace z fondu hostitelů.

2. Pokud potřebujete nainstalovat nebo aktualizovat aplikace FSLogix, stáhněte si nejnovější verzi FSLogix a nainstalujte ji spuštěním FSLogixAppsSetup.exe, a pak postupujte podle pokynů v průvodci instalací. Další podrobnosti o procesu instalace, včetně přizpůsobení a bezobslužné instalace, naleznete v tématu Stažení a instalace FSLogix.

3. Otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte následující příkazy a nahraďte \\<storage-account-name>.file.core.windows.net\<share-name> cestu UNC k účtu úložiště, který jste vytvořili dříve. Tyto příkazy umožňují kontejner profilů a nakonfigurují umístění sdílené složky.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Restartujte virtuální počítač použitý k vytvoření vlastní image nebo virtuálního počítače hostitele relace. Tyto kroky budete muset zopakovat pro všechny zbývající virtuální počítače hostitele relací.

Dokončili jste nastavení kontejneru profilů. Pokud instalujete kontejner profilů do vlastní image, budete muset dokončit vytvoření vlastní image. Další informace najdete v postupu v tématu Vytvoření vlastní image v Azure v části Pořízení konečného snímku dál.

Ověření vytvoření profilu

Po instalaci a konfiguraci kontejneru profilů můžete nasazení otestovat přihlášením pomocí uživatelského účtu, který má přiřazenou skupinu aplikací nebo plochu ve fondu hostitelů.

Pokud se uživatel přihlásil dříve, bude mít existující místní profil, který bude během této relace používat. Buď nejprve odstraňte místní profil, nebo vytvořte nový uživatelský účet, který se použije pro testy.

Uživatelé můžou zkontrolovat, jestli je kontejner profilů nastavený, pomocí následujícího postupu:

1. Přihlaste se k Azure Virtual Desktopu jako testovací uživatel.

2. Když se uživatel přihlásí, měla by se zpráva "Počkejte prosím na fsLogix Apps Services" zobrazit jako součást procesu přihlašování, a teprve pak se dostanete na plochu.

Správa istrators mohou zkontrolovat, že složka profilu byla vytvořena pomocí následujícího postupu:

1. Otevřete Azure Portal.

2. Otevřete účet úložiště, který jste vytvořili dříve.

3. Přejděte do úložiště dat ve svém účtu úložiště a pak vyberte Sdílené složky.

4. Otevřete sdílenou složku a ujistěte se, že je tam složka profilu uživatele, kterou jste vytvořili.

Další kroky

Podrobnější informace o konceptech souvisejících s kontejnerem profilu FSlogix pro službu Azure Files najdete v kontejneru profilu FSLogix pro Azure Files.