Bearbeiten

Erstellen eines Profilcontainers mit Azure Files und Microsoft Entra ID

  • Vorgehensweise

In diesem Artikel erfahren Sie, wie Sie eine Azure Files-Freigabe für die Microsoft Entra Kerberos-Authentifizierung erstellen und konfigurieren. Mit dieser Konfiguration können Sie FSLogix-Profile speichern, auf die hybride Benutzeridentitäten von in Microsoft Entra oder in Microsoft Entra Hybrid eingebundenen Sitzungshosts zugreifen können, ohne dass eine Netzwerksichtverbindung mit Domänencontrollern erforderlich ist. Microsoft Entra Kerberos ermöglicht es Microsoft Entra ID, die erforderlichen Kerberos-Tickets für den Zugriff auf die Dateifreigabe mit dem branchenüblichen SMB-Protokoll auszustellen.

Dieses Feature wird in der Azure-Cloud, in US Government-Clouds in Azure und in Azure von 21Vianet unterstützt.

Voraussetzungen

Überprüfen Sie vor der Bereitstellung dieser Lösung, ob Ihre Umgebung die Anforderungen zum Konfigurieren von Azure Files mit Microsoft Entra Kerberos-Authentifizierung erfüllt.

Bei Verwendung für FSLogix-Profile in Azure Virtual Desktop müssen die Sitzungshosts keine Netzwerksichtverbindung mit dem Domänencontroller (DC) haben. Ein System mit Netzwerksichtverbindung mit dem DC ist jedoch erforderlich, um die Berechtigungen für die Azure Files-Freigabe zu konfigurieren.

Konfigurieren des Azure-Speicherkontos und der Dateifreigabe

So speichern Sie Ihre FSLogix-Profile in einer Azure-Dateifreigabe

  1. Erstellen Sie ein Azure-Speicherkonto, falls Sie noch keins besitzen.

    Hinweis

    Ihr Azure-Speicherkonto kann sich nicht sowohl mit Microsoft Entra ID als auch mit einer zweiten Methode wie etwa Active Directory Domain Services (AD DS) oder Microsoft Entra Domain Services authentifizieren. Sie können nur eine Authentifizierungsmethode verwenden.

  2. Erstellen Sie eine Azure Files-Freigabe unter Ihrem Speicherkonto (sofern noch nicht geschehen), um Ihre FSLogix-Profile zu speichern.

  3. Aktivieren Sie die Microsoft Entra Kerberos-Authentifizierung für Azure Files, um den Zugriff von VMs zu ermöglichen, die in Microsoft Entra eingebunden sind.

    • Überprüfen Sie beim Konfigurieren der Berechtigungen auf Verzeichnis- und Dateiebene die empfohlene Liste der Berechtigungen für FSLogix-Profile unter Konfigurieren der Speicherberechtigungen für Profilcontainer.
    • Ohne geeignete Berechtigungen auf Verzeichnisebene kann ein Benutzer das Benutzerprofil löschen oder auf die personenbezogenen Informationen eines anderen Benutzers zugreifen. Es muss unbedingt sichergestellt werden, dass Benutzer über die richtigen Berechtigungen verfügen, um ein versehentliches Löschen zu verhindern.

Konfigurieren der Sitzungshosts

Sie müssen die Sitzungshosts konfigurieren, um von einer in Microsoft Entra eingebundenen VM für FSLogix-Profile auf Azure-Dateifreigaben zugreifen zu können. So konfigurieren Sie Sitzungshosts:

  1. Aktivieren Sie die Microsoft Entra Kerberos-Funktionalität über eine der folgenden Methoden.

    • Konfigurieren Sie diesen Richtlinien-CSP von Intune, und wenden Sie ihn auf den Sitzungshost an: Kerberos/CloudKerberosTicketRetrievalEnabled.

      Hinweis

      Windows Multisession-Clientbetriebssysteme unterstützen keinen Richtlinien-CSP, sondern nur den Einstellungskatalog. Daher müssen Sie eine der anderen Methoden verwenden. Erfahren Sie mehr unter Verwenden von Azure Virtual Desktop-Multisession mit Intune.

    • Aktivieren Sie diese Gruppenrichtlinie auf Sitzungshosts. Der Pfad entspricht einer der folgenden Angaben, je nachdem, welche Windows-Version Sie auf Ihren Sitzungshosts verwenden:

      • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
      • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
      • Erstellen Sie den folgenden Registrierungswert auf dem Sitzungshost: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1.

  2. Wenn Sie Microsoft Entra ID mit einer Lösung für servergespeicherte Profile (wie z. B. FSLogix) verwenden, müssen die Anmeldeinformationsschlüssel in der Anmeldeinformationsverwaltung zu dem Profil gehören, das gerade geladen wird. Dadurch können Sie Ihr Profil auf vielen verschiedenen VMs laden, sodass Sie nicht auf eine einzelne VM beschränkt sind. Um diese Einstellung zu aktivieren, erstellen Sie einen neuen Registrierungswert, indem Sie den folgenden Befehl ausführen:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

Hinweis

Die Sitzungshosts benötigen keine Sichtverbindung zum Domänencontroller.

Konfigurieren von FSLogix auf dem Sitzungshost

In diesem Abschnitt erfahren Sie, wie Sie eine VM mit FSLogix konfigurieren. Sie müssen diese Anweisungen jedes Mal befolgen, wenn Sie einen Sitzungshost konfigurieren. Es stehen mehrere Optionen zur Verfügung, die sicherstellen, dass die Registrierungsschlüssel auf allen Sitzungshosts festgelegt sind. Sie können diese Optionen in einem Image festlegen oder eine Gruppenrichtlinie konfigurieren.

So konfigurieren Sie FSLogix:

  1. Aktualisieren oder installieren Sie FSLogix ggf. auf Ihrem Sitzungshost.

    Hinweis

    Wenn der Sitzungshost mit dem Azure Virtual Desktop-Dienst erstellt wird, sollte FSLogix bereits vorinstalliert sein.

  2. Befolgen Sie die Anweisungen im Artikel zum Konfigurieren von Registrierungseinstellungen für Profilcontainer, um die Registrierungswerte Enabled und VHDLocations zu erstellen. Legen Sie den Wert von VHDLocations auf \\<Storage-account-name>.file.core.windows.net\<file-share-name> fest.

Testen der Bereitstellung

Nachdem Sie FSLogix installiert und konfiguriert haben, können Sie die Bereitstellung testen, indem Sie sich mit einem Benutzerkonto anmelden, das einer Anwendungsgruppe im Hostpool zugewiesen wurde. Das Benutzerkonto, mit dem Sie sich anmelden, muss über die Berechtigung zum Verwenden der Dateifreigabe verfügen.

Wenn sich der Benutzer zuvor angemeldet hatte, verfügt er über ein vorhandenes lokales Profil, das der Dienst während dieser Sitzung verwendet. Um das Erstellen eines lokalen Profils zu vermeiden, erstellen Sie entweder ein neues Benutzerkonto, das für Tests verwendet werden soll, oder verwenden Sie die Konfigurationsmethoden, die im Tutorial: Konfigurieren des Profilcontainers zum Umleiten von Benutzerprofilen beschrieben werden, um die Einstellung DeleteLocalProfileWhenVHDShouldApply zu aktivieren.

Überprüfen Sie schließlich das in Azure Files erstellte Profil, nachdem sich der Benutzer erfolgreich angemeldet hat:

  1. Öffnen Sie das Azure-Portal, und melden Sie sich mit einem Administratorkonto an.

  2. Wählen Sie auf der Randleiste Speicherkonten aus.

  3. Wählen Sie das Speicherkonto aus, das Sie für Ihren Sitzungshostpool konfiguriert haben.

  4. Wählen Sie auf der Randleiste Dateifreigaben aus.

  5. Wählen Sie die Dateifreigabe aus, die Sie zum Speichern der Profile konfiguriert haben.

  6. Wenn alles ordnungsgemäß eingerichtet ist, sollten Sie ein Verzeichnis mit einem Namen sehen, der wie folgt formatiert ist: <user SID>_<username>.

Nächster Schritt

Informationen zum Behandeln von Problemen mit FSLogix finden Sie im Leitfaden zur Problembehandlung.