Configurar el contenedor de perfiles de FSLogix con Azure Files y Active Directory Domain Services o Microsoft Entra Domain Services

En este artículo se muestra cómo configurar el contenedor de perfiles de FSLogix con Azure Files cuando las máquinas virtuales (VM) del host de sesión están unidas a un dominio de Active Directory Domain Services (AD DS) o a un dominio administrado de Microsoft Entra Domain Services.

Requisitos previos

Necesitará lo siguiente:

• Un grupo de hosts en el que los hosts de sesión están unidos a un dominio de AD DS o a un dominio administrado de Microsoft Entra Domain Services y a los usuarios se les asigna.
• Un grupo de seguridad en el dominio que contiene los usuarios que usarán el contenedor de perfiles. Si usa AD DS, debe sincronizarse con Microsoft Entra ID.
• Permiso en la suscripción de Azure para crear una cuenta de almacenamiento y agregar asignaciones de roles.
• Una cuenta de dominio para unir equipos al dominio y abrir un símbolo del sistema de PowerShell con privilegios elevados.
• Identificador de suscripción de su suscripción de Azure donde estará la cuenta de almacenamiento.
• Un equipo unido al dominio para instalar y ejecutar módulos de PowerShell que unirán una cuenta de almacenamiento al dominio. Este dispositivo tendrá que ejecutar una versión compatible de Windows. De forma alternativa, puede usar un host de sesión.

Importante

Si los usuarios han iniciado sesión previamente en los hosts de sesión que desea usar, los perfiles locales se crearán para ellos y los debe eliminar primero un administrador para que su perfil se almacene en un contenedor de perfiles.

Configuración de una cuenta de almacenamiento para el contenedor de perfiles

Para configurar una cuenta de almacenamiento:

1. Inicie sesión en Azure Portal.

2. Busque cuentas de almacenamiento en la barra de búsqueda.

3. Seleccione + Create (+ Crear).

4. Escriba la siguiente información en la pestaña Aspectos básicos de la página Crear cuenta de almacenamiento:

   • Cree un nuevo grupo de recursos o seleccione uno existente en el que almacenar la cuenta de almacenamiento.
   • Escriba un nombre único para la cuenta de almacenamiento. El nombre de esta cuenta de almacenamiento debe tener entre 3 y 24 caracteres.
   • En Región, se recomienda elegir la misma ubicación que el grupo de hosts de Azure Virtual Desktop.
   • En Rendimiento, seleccione Estándar como mínimo.
   • Si selecciona Rendimiento Premium, establezca el tipo de cuenta Premium en Recursos compartidos de archivos.
   • En Redundancia, seleccione Almacenamiento con redundancia local (LRS) como mínimo.
   • No es necesario cambiar los valores predeterminados de las pestañas restantes.

   Sugerencia

   Es posible que su organización tenga requisitos para cambiar estos valores predeterminados:

   • Si debe seleccionar Premium depende de los requisitos de IOPS y latencia. Para más información, consulte Opciones de almacenamiento para los contenedores de perfiles de FSLogix de Azure Virtual Desktop.
   • En la pestaña Opciones avanzadas, Habilitar el acceso a la clave de la cuenta de almacenamiento debe estar habilitado.
   • Para obtener más información sobre las opciones de configuración restantes, consulte Planeamiento de una implementación de Azure Files.

5. Seleccione Revisar + crear. Revise los parámetros y los valores que se usarán y seleccione Crear.

6. Una vez que se haya creado la cuenta de almacenamiento, seleccione Ir al recurso.

7. En la sección Almacenamiento de datos, seleccione Recursos compartidos de archivos.

8. Seleccione + Recurso compartido de archivos.

9. Escriba un Nombre, como perfiles y, a continuación, en el nivel, seleccione Optimizado para transacciones.

Unión de la cuenta de almacenamiento a Active Directory

Para usar cuentas de Active Directory para los permisos de recurso compartido del recurso compartido de archivos, debe habilitar AD DS o Microsoft Entra Domain Services como origen. Este proceso une la cuenta de almacenamiento a un dominio, que lo representa como una cuenta de equipo. Seleccione la pestaña correspondiente a continuación para su escenario y siga los pasos.

AD DS

1. Inicie sesión en un equipo unido al dominio de AD DS. Como alternativa, inicie sesión en uno de los hosts de sesión.

2. Descargue y extraiga la versión más reciente de AzFilesHybrid del repositorio de GitHub de ejemplos de Azure Files. Anote la carpeta en la que extrae los archivos.

3. Abra un símbolo del sistema de PowerShell con privilegios elevados y cambie al directorio al que extrajo los archivos.

4. Ejecute el siguiente comando para agregar el módulo AzFilesHybrid al directorio de módulos de PowerShell del usuario:

   .\CopyToPSPath.ps1
   

5. Ejecute el siguiente comando para importar el módulo AzFilesHybrid:

   Import-Module -Name AzFilesHybrid
   

   Importante

   Para este módulo se necesita laGalería de PowerShell y Azure PowerShell. Es posible que se le pida que instale estos si aún no están instalados o si necesitan actualizarse. Si se le solicita, instálelos y cierre todas las instancias de PowerShell. Vuelva a abrir un símbolo del sistema de PowerShell con privilegios elevados e importe el módulo AzFilesHybrid de nuevo antes de continuar.

6. Inicie sesión en Azure ejecutando el siguiente comando. Deberá usar una cuenta que tenga uno de los siguientes roles de control de acceso basado en rol (RBAC):

   • Propietario de la cuenta de almacenamiento
   • Propietario
   • Colaborador

   Connect-AzAccount
   

   Sugerencia

   Si su cuenta de Azure tiene acceso a varios inquilinos o suscripciones, deberá seleccionar la suscripción correcta estableciendo el contexto. Para más información, consulte Objetos de contexto de Azure PowerShell

7. Una la cuenta de almacenamiento al dominio mediante la ejecución de los comandos siguientes, reemplazando los valores de $subscriptionId, $resourceGroupNamey $storageAccountName por sus valores. También puede agregar el parámetro -OrganizationalUnitDistinguishedName para especificar una unidad organizativa (OU) en la que colocar la cuenta de equipo.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Para comprobar que la cuenta de almacenamiento se ha unido al dominio, ejecute los comandos siguientes y revise la salida, reemplazando los valores de $resourceGroupName y $storageAccountName por los valores:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Importante

Si la unidad organizativa impone la expiración de la contraseña, debe actualizar la contraseña antes de que expire para evitar errores de autenticación al acceder a recursos compartidos de archivos de Azure. Para más información y detalles, vea Actualización de la contraseña de la identidad de la cuenta de almacenamiento en AD DS.

Servicios de dominio de Microsoft Entra

1. En el Azure Portal, abra la cuenta de almacenamiento que creó anteriormente.

2. En la sección Almacenamiento de datos, seleccione Recursos compartidos de archivos.

3. En la sección principal de la página, junto a Active Directory, seleccione No configurado.

4. En el cuadro de Microsoft Entra Domain Services, seleccione Configurar.

5. Marque la casilla para Habilitar Microsoft Entra Domain Services para este recurso compartido de archivosy, a continuación, seleccione Guardar. Se creará una unidad organizativa (UO) denominada AzureFilesConfig en la raíz del dominio y también se creará una cuenta de usuario con el mismo nombre que la cuenta de almacenamiento en esa misma unidad organizativa. Esta cuenta se usará como cuenta de servicio de Azure Files.

Asignación de roles de RBAC a los usuarios

Los usuarios que necesiten almacenar perfiles en el recurso compartido de archivos necesitarán permiso para acceder a él. Para ello, deberá asignar a cada usuario el rol Colaborador de recursos compartidos SMB de datos de archivos de almacenamiento.

Para asignar a los usuarios el rol:

1. En el Azure Portal, vaya a la cuenta de almacenamiento y, a continuación, al recurso compartido de archivos que creó anteriormente.

2. Seleccione Access Control (IAM) .

3. Seleccione +Agregar y, luego, elija Agregar asignación de roles en el menú desplegable.

4. Seleccione el rol Colaborador de recursos compartidos de SMB de datos de archivos de Storage y seleccione Siguiente.

5. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio y, luego, +Seleccionar miembros. En la barra de búsqueda, busque y seleccione el grupo de seguridad que contiene los usuarios que usarán el contenedor de perfiles.

6. Seleccione Review + assign (Revisar y asignar) para finalizar la asignación.

Establecer permisos de NTFS

A continuación, deberá establecer permisos NTFS en la carpeta, lo que requiere que obtenga la clave de acceso de la cuenta de almacenamiento.

Para obtener la clave de acceso a la cuenta de almacenamiento:

1. En Azure Portal, busque y seleccione cuenta de almacenamiento en la barra de búsqueda.

2. En la lista de cuentas de almacenamiento, seleccione la cuenta en la que habilitó Active Directory Domain Services o Microsoft Entra Domain Services como origen de identidad y en la que asignó el rol RBAC en las secciones anteriores.

3. En Seguridad y redes, seleccione Claves de acceso y, a continuación, muestre y copie la clave de key1.

Para establecer los permisos NTFS correctos en la carpeta:

1. Inicie sesión en un host de sesión que forme parte del grupo de hosts.

2. Abra un símbolo del sistema de PowerShell con privilegios elevados y ejecute el comando siguiente para asignar la cuenta de almacenamiento como una unidad en el host de sesión. La unidad asignada no se mostrará en Explorador de archivos, pero se puede ver con el comando net use. Esto es para que pueda establecer permisos en el recurso compartido.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Reemplace <desired-drive-letter> por una letra de unidad de su elección (por ejemplo, y:).
   • Reemplace ambas instancias de <storage-account-name> por el nombre de la cuenta de almacenamiento que especificó anteriormente.
   • Reemplace <share-name> por el nombre del recurso compartido que creó anteriormente.
   • Reemplace <storage-account-key> por la clave de la cuenta de almacenamiento de Azure.

   Por ejemplo:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Ejecute los comandos siguientes para establecer permisos en el recurso compartido que permitan que los usuarios de Azure Virtual Desktop creen su propio perfil mientras bloquean el acceso a los perfiles de otros usuarios. Debe usar un grupo de seguridad de Active Directory que contenga los usuarios que desea usar el contenedor de perfiles. En los comandos siguientes, reemplace <mounted-drive-letter> por la letra de la unidad que ha usado para asignar la unidad, y <DOMAIN\GroupName> por el dominio y el sAMAccountName del grupo de Active Directory que requerirá acceso al recurso compartido. También puede especificar el nombre principal de usuario (UPN) de un usuario.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Por ejemplo:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Configuración de hosts de sesión para usar el contenedor de perfiles

Para usar el contenedor de perfiles, deberá asegurarse de que las aplicaciones FSLogix estén instaladas en las máquinas virtuales del host de sesión. FSLogix Apps está preinstalado en los sistemas operativos Sesión múltiple de Windows 10 Enterprise y Sesión múltiple de Windows 11 Enterprise, pero debe seguir los pasos que se indican a continuación, ya que es posible que no tenga instalada la versión más reciente. Si usa una imagen personalizada, puede instalar FSLogix Apps en la imagen.

Para configurar el contenedor de perfiles, se recomienda usar Preferencias de directiva de grupo para establecer las claves y los valores del registro a escala en todos los hosts de sesión. También puede establecerlos en la imagen personalizada.

Para configurar el contenedor de perfiles en las máquinas virtuales del host de sesión:

1. Inicie sesión en la máquina virtual que se usa para crear la imagen personalizada o una máquina virtual host de sesión desde el grupo de hosts.

2. Si necesita instalar o actualizar aplicaciones de FSLogix, descargue la versión más reciente de FSLogix, instálela ejecutando FSLogixAppsSetup.exe y siga las instrucciones del asistente para la instalación. Para obtener más información sobre el proceso de instalación, incluidas las personalizaciones y la instalación desatendida, consulte Descargar e instalar FSLogix.

3. Abra un símbolo del sistema de PowerShell con privilegios elevados y ejecute los siguientes comandos, reemplazando \\<storage-account-name>.file.core.windows.net\<share-name> por la ruta de acceso UNC a la cuenta de almacenamiento que creó anteriormente. Estos comandos habilitan el contenedor de perfiles y configuran la ubicación del recurso compartido.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Reinicie la máquina virtual que se usa para crear la imagen personalizada o una máquina virtual host de sesión. Deberá repetir estos pasos para las máquinas virtuales del host de sesión restantes.

Ya ha terminado la configuración del contenedor de perfiles. Si va a instalar el contenedor de perfiles en la imagen personalizada, deberá terminar de crear la imagen personalizada. Para más información, en adelante siga los pasos descritos en Creación de una imagen personalizada en Azure desde la sección Tomar la instantánea final.

Validación de la creación de perfiles

Cuando hayas instalado y configurado el contenedor de perfiles, puedes probar la implementación iniciando sesión con una cuenta de usuario a la que se haya asignado un grupo de aplicaciones o un escritorio en el grupo host.

Si el usuario ha iniciado sesión antes, tendrá un perfil local existente que utilizará en esta sesión. Elimine primero el perfil local o cree una nueva cuenta de usuario que se usará para las pruebas.

Los usuarios pueden comprobar que el contenedor de perfiles está configurado siguiendo los pasos siguientes:

1. Inicie sesión en Azure Virtual Desktop como usuario de prueba.

2. Cuando el usuario inicie sesión, debería aparecer el mensaje "Espere a FSLogix Apps Services", como parte del proceso de inicio de sesión antes de llegar al escritorio.

Los administradores pueden comprobar que la carpeta de perfiles se ha creado siguiendo los pasos siguientes:

1. Abra Azure Portal.

2. Abra la cuenta de almacenamiento que ha creado anteriormente.

3. Vaya a Almacenamiento de datos en la cuenta de almacenamiento y seleccione Recursos compartidos de archivos.

4. Abra el recurso compartido de archivos y asegúrese de que la carpeta del perfil de usuario que ha creado está ahí.

Pasos siguientes

Puede encontrar información más detallada sobre los conceptos relacionados con el contenedor de perfiles de FSlogix para Azure Files en el Contenedor de perfiles de FSLogix para Azure Files.