Configurer un conteneur de profil FSLogix avec Azure Files et les services de domaine Active Directory ou les services de domaine Microsoft Entra

Cet article explique comment configurer un conteneur de profil FSLogix avec Azure Files quand vos machines virtuelles hôtes de session sont jointes à un domaine Active Directory Domain Services (AD DS) ou à un domaine managé Microsoft Entra Domain Services.

Prérequis

Vous aurez besoin des éléments suivants :

• Pool d’hôtes où les hôtes de session sont joints à un domaine AD DS ou à un domaine managé Microsoft Entra Domain Services, et où des utilisateurs sont attribués.
• Groupe de sécurité dans votre domaine, contenant les utilisateurs qui utiliseront le conteneur de profil. Si vous utilisez AD DS, celui-ci doit être synchronisé sur Microsoft Entra ID.
• Autorisation sur votre abonnement Azure pour créer un compte de stockage et ajouter des attributions de rôle.
• Compte de domaine pour joindre des ordinateurs au domaine et ouvrir une invite PowerShell avec élévation de privilèges.
• ID d’abonnement de votre abonnement Azure où résidera votre compte de stockage.
• Ordinateur joint à votre domaine pour l’installation et l’exécution de modules PowerShell qui joindront un compte de stockage à votre domaine. Cet appareil devra exécuter une Version prise en charge de Windows. Autrement, vous pouvez utiliser un hôte de session.

Important

Si des utilisateurs se sont connectés précédemment aux hôtes de session que vous souhaitez utiliser, des profils locaux auront été créés pour eux et un administrateur doit commencer par les supprimer pour que leur profil soit stocké dans un conteneur de profil.

Configurer un compte de stockage pour le conteneur de profil

Pour installer un compte de stockage :

1. Connectez-vous au portail Azure.

2. Recherchez Comptes de stockage dans la barre de recherche.

3. Sélectionnez + Créer.

4. Dans la page Créer un compte de stockage, sous l’onglet Informations de base, entrez les informations suivantes :

   • Sélectionnez un groupe de ressources ou créez-en un, dans lequel conserver le compte de stockage.
   • Entrez un nom unique pour votre compte de stockage. Le nom des ce compte de stockage doit compter entre 3 et 24 caractères.
   • Pour Région, nous vous recommandons de choisir le même emplacement que celui du pool d’hôtes Azure Virtual Desktop.
   • Pour Performances, sélectionnez au minimum Standard.
   • Si vous sélectionnez les performances Premium, définissez le Type de compte Premium sur Partages de fichiers.
   • Pour la Redondance, sélectionnez au minimum Stockage localement redondant (LRS).
   • Il n’est pas nécessaire de modifier les valeurs par défaut sous les onglets restants.

   Conseil

   Votre organisation exige peut-être la modification de ces valeurs par défaut :

   • Le choix de Premium dépend de vos exigences en matière d’IOPS et de latence. Pour plus d’informations, consultez Options de stockage des conteneurs de profils FSLogix dans Azure Virtual Desktop.
   • Sous l’onglet Avancé, vous devez laisser l’option Activer l’accès de clé de compte de stockage activée.
   • Pour plus d’informations sur les options de configuration restantes, consultez Planification d’un déploiement Azure Files.

5. Sélectionnez Revoir + créer. Passez en revue les paramètres et les valeurs qui seront utilisées, puis sélectionnez Créer.

6. Une fois le compte de stockage créé, sélectionnez Accéder à la ressource.

7. Dans la section Stockage des données, sélectionnez Partages de fichiers.

8. Sélectionner +Partage de fichiers.

9. Entrez un Nom, tel que Profils, puis sélectionnez Transaction optimisée pour le niveau.

Joindre votre compte de stockage à Active Directory

Pour utiliser des comptes Active Directory pour les autorisations de partage de votre partage de fichiers, vous devez activer AD DS ou Microsoft Entra Domain Services en tant que source. Ce processus joint votre compte de stockage à un domaine, représentant celui-ci comme un compte d’ordinateur. Sélectionnez l’onglet approprié ci-dessous pour votre scénario, puis suivez les étapes.

AD DS

1. Connectez-vous à un ordinateur joint à votre domaine AD DS. Vous pouvez également vous connecter à l’un de vos hôtes de session.

2. Téléchargez et extrayez la dernière version d’AzFilesHybrid à partir du dépôt GitHub d’échantillons Azure Files. Notez le dossier dans lequel vous extrayez les fichiers.

3. Ouvrez une invite PowerShell avec élévation de privilèges, puis basculez vers le répertoire dans lequel vous avez extrait les fichiers.

4. Exécutez la commande suivante pour ajouter le module AzFilesHybrid au répertoire des modules PowerShell de votre utilisateur :

   .\CopyToPSPath.ps1
   

5. Importez le module AzFilesHybrid en exécutant la commande suivante :

   Import-Module -Name AzFilesHybrid
   

   Important

   Ce module nécessite PowerShell Gallery et Azure PowerShell. Vous serez peut-être invité à les installer s’ils ne le sont pas encore ou s’ils nécessitent une mise à jour. Si vous y êtes invité, installez-les, puis fermez toutes les instances de PowerShell. Rouvrez une invite PowerShell avec élévation de privilèges et réimportez le module AzFilesHybrid avant de continuer.

6. Connectez-vous à Azure en exécutant la commande ci-dessous. Vous devez utiliser un compte auquel est attribué l’un des rôles de contrôle d’accès en fonction du rôle (RBAC) suivants :

   • Propriétaire du compte de stockage
   • Propriétaire
   • Contributeur

   Connect-AzAccount
   

   Conseil

   Si votre compte Azure a accès à plusieurs locataires et/ou abonnements, vous devez sélectionner l’abonnement approprié en définissant votre contexte. Pour plus d’informations, consultez Objets de contexte Azure PowerShell.

7. Joignez le compte de stockage à votre domaine en exécutant les commandes ci-dessous, en remplaçant les valeurs de $subscriptionId, $resourceGroupName et $storageAccountName par vos valeurs. Vous pouvez également ajouter le paramètre -OrganizationalUnitDistinguishedName pour spécifier une unité d’organisation (UO) dans laquelle placer le compte d’ordinateur.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Pour vérifier que le compte de stockage est joint votre domaine, exécutez les commandes ci-dessous et examinez la sortie, en remplaçant les valeurs de $resourceGroupName et $storageAccountName par vos valeurs :

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Important

Si votre domaine applique une expiration du mot de passe, vous devez mettre celui-ci à jour avant qu’il expire pour éviter les échecs d’authentification lors de l’accès aux partages de fichiers Azure. Pour plus d’informations, consultez Mettre à jour le mot de passe de l’identité de votre compte de stockage dans AD DS.

Microsoft Entra Domain Services

1. À partir du portail Azure, ouvrez le compte de stockage que vous avez créé précédemment.

2. Dans la section Stockage des données, sélectionnez Partages de fichiers.

3. Dans la section principale de la page, en regard d’Active Directory, sélectionnez Non configuré.

4. Dans la zone de Microsoft Entra Domain Services, sélectionnez Configurer.

5. Cochez la case Activer Microsoft Entra Domain Services pour ce partage de fichiers, puis sélectionnez Enregistrer. Une unité d’organisation nommée AzureFilesConfig est créée à la racine de votre domaine, et un compte d’utilisateur du même nom que celui du compte de stockage est créé dans cette unité d’organisation. Ce compte sera utilisé comme compte de service Azure Files.

Attribuer un rôle RBAC aux utilisateurs

Les utilisateurs devant stocker des profils dans votre partage de fichiers ont besoin d’une autorisation pour y accéder. À cette fin, vous devez attribuer à chaque utilisateur le rôle Contributeur de partage SMB de données de fichier de stockage.

Pour attribuer le rôle aux utilisateurs :

1. À partir du Portail Azure, accédez au compte de stockage, puis au partage de fichiers que vous avez créé précédemment.

2. Sélectionnez Contrôle d’accès (IAM) .

3. Sélectionnez + Ajouter, puis Ajouter une attribution de rôle dans le menu déroulant.

4. Sélectionnez le rôle Contributeur de partage SMB de données de fichier de stockage, puis Suivant.

5. Dans l’onglet Membres, sélectionnez Utilisateur, groupe ou principal de service, puis +Sélectionner des membres. Dans la barre de recherche, recherchez et sélectionnez le groupe de sécurité contenant les utilisateurs qui utiliseront le Conteneur de profil.

6. Sélectionnez Vérifier + attribuer pour terminer l’attribution.

Définir des autorisations NTFS

Ensuite, vous devez définir des autorisations NTFS sur le dossier, ce qui vous oblige à obtenir la clé d’accès de votre compte de stockage.

Pour obtenir la clé d’accès du compte de stockage :

1. Dans le portail Azure, dans la barre de recherche, recherchez et sélectionnez comptes de stockage.

2. Dans la liste des comptes de stockage, sélectionnez le compte pour lequel vous avez activé Active Directory Domain Services ou Microsoft Entra Domain Services en tant que source d’identité et attribué le rôle RBAC dans les sections précédentes.

3. Sous Sécurité + mise en réseau, sélectionnez Clés d’accès, puis affichez et copiez la clé à partir de key1.

Pour définir les autorisations NTFS appropriées sur le dossier :

1. Connectez-vous à un hôte de session qui fait partie de votre pool d’hôtes.

2. Ouvrez une invite PowerShell avec élévation de privilèges et exécutez la commande ci-dessous pour mapper le compte de stockage en tant que lecteur sur votre hôte de session. Le lecteur mappé ne s’affiche pas dans l’Explorateur de fichiers, mais peut être affiché avec la commande net use. C’est ainsi que vous pouvez définir des autorisations sur le partage.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Remplacez <desired-drive-letter> par la lettre de lecteur de votre choix (par exemple, y:).
   • Remplacez les deux instances de <storage-account-name> par le nom du compte de stockage que vous avez spécifié précédemment.
   • Remplacez <share-name> par le nom du partage que vous avez créé.
   • Remplacez <storage-account-key> par la clé de compte de stockage récupérée d’Azure.

   Par exemple :

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Exécutez les commandes suivantes pour définir des autorisations sur le partage, qui permettent à vos utilisateurs Azure Virtual Desktop de créer leur propre profil tout en bloquant l’accès aux profils d’autres utilisateurs. Vous devriez utiliser un groupe de sécurité Active Directory contenant les utilisateurs dont vous souhaitez qu’ils utilisent le conteneur de profil. Dans les commandes ci-dessous, remplacez <mounted-drive-letter> par la lettre du lecteur que vous avez utilisé pour mapper le lecteur et <DOMAIN\GroupName> par le domaine et LE samaccountName du groupe Active Directory qui devront accéder au partage. Vous pouvez également spécifier le nom d’utilisateur principal (UPN) d’un utilisateur.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Par exemple :

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Configurer des hôtes de session pour utiliser le Conteneur de profil

Pour utiliser le Conteneur de profil, vous devez vous assurer que FSLogix Apps est installé sur vos machines virtuelles hôtes de session. FSLogix Apps est préinstallé dans les systèmes d’exploitation multisessions Windows 10 Entreprise et Windows 11 Entreprise, mais vous devriez quand même suivre les étapes ci-dessous, car il se pourrait que la version installée ne soit pas la dernière. Si vous utilisez une image personnalisée, vous pouvez installer FSLogix Apps dans votre image.

Pour configurer le Conteneur de profil, nous vous recommandons d’utiliser les Préférences de stratégie de groupe pour définir des clés et des valeurs de Registre à grande échelle sur tous vos hôtes de session. Vous pouvez également les définir dans votre image personnalisée.

Pour configurer le Conteneur de profil sur vos machines virtuelles hôtes de session :

1. Connectez-vous à la machine virtuelle utilisée pour créer votre image personnalisée ou à une machine virtuelle hôte de session de votre pool d’hôtes.

2. Si vous devez installer ou mettre à jour FSLogix Apps, téléchargez la dernière version de FSLogix et installez-la en exécutant FSLogixAppsSetup.exe, puis suivez les instructions de l’Assistant Installation. Pour plus d’informations sur le processus d’installation, notamment les personnalisations et l’installation sans assistance, consultez Télécharger et installer FSLogix.

3. Ouvrez une invite PowerShell avec élévation de privilèges et exécutez les commandes suivantes en remplaçant \\<storage-account-name>.file.core.windows.net\<share-name> par le chemin d’accès UNC de votre compte de stockage que vous avez créé précédemment. Ces commandes activent le Conteneur de profil et configurent l’emplacement du partage.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Redémarrez la machine virtuelle utilisée pour créer votre image personnalisée ou une machine virtuelle hôte de session. Vous devrez répéter ces étapes pour toutes les machines virtuelles hôtes de session restantes.

Vous avez maintenant terminé la configuration du conteneur de profil. Si vous installez celui-ci dans votre image personnalisée, vous devrez achever de créer l’image personnalisée. Pour plus d’informations, suivez les étapes décrites dans Créer une image personnalisée dans Azure à partir de la section Prendre l’instantané final.

Valider la création du profil

Une fois que vous avez installé et configuré le Conteneur de profil, vous pouvez tester votre déploiement en vous connectant avec un compte d’utilisateur auquel a été affecté un groupe d’applications ou un ordinateur de bureau sur le pool d’hôtes.

Si l’utilisateur s’est connecté précédemment, il dispose d’un profil local qui sera utilisé lors de cette session. Commencez par supprimer le profil local, ou créez un compte d’utilisateur à utiliser pour les tests.

Les utilisateurs peuvent vérifier que le Conteneur de profil est configuré en suivant les étapes ci-dessous :

1. Connectez-vous à Azure Virtual Desktop en tant qu’utilisateur de test.

2. Quand l’utilisateur se connecte, le message « Please wait for the FSLogix Apps Services » devrait s’afficher dans le cadre du processus de connexion avant d’atteindre le bureau.

Des administrateurs peuvent vérifier que le dossier de profil créé en suivant les étapes ci-dessous :

1. Ouvrez le portail Azure.

2. Ouvrez le compte de stockage que vous avez créé précédemment.

3. Accédez à Stockage des données dans votre compte de stockage, puis sélectionnez Partages de fichiers.

4. Ouvrez votre partage de fichiers et assurez-vous que le dossier de profil utilisateur que vous avez créé y figure.

Étapes suivantes

Vous trouverez des informations plus détaillées sur les concepts liés au Conteneur de profil FSlogix pour Azure Files dans Conteneur de profil FSLogix pour Azure Files.