데이터 보안 사용
사용자 프로필은 시스템 상태를 나타내기 위해 사용자 또는 관리자가 만든 구성 컬렉션입니다. 다양한 시스템 구성 요소는 사용자의 프로필에 바인딩됩니다. 이러한 구성 요소에는 응용 프로그램, 레지스트리 항목 및 기타 사용자 지정된 항목이 포함됩니다.
Windows 10에서는 다양한 유형의 사용자 프로필을 제공합니다. 다음 표에서는 4가지 기존 Windows 프로필 유형에 대해 설명합니다.
| 프로필 유형 | 설명 |
|---|---|
| 로컬 사용자 프로필 | 로컬 사용자 프로필이 장치의 디스크에 저장됩니다. 다른 장치를 사용하는 경우 사용자 지정이 장치 간에 동기화되지 않습니다. |
| 사용자 프로필 로밍 | 로밍 사용자 프로필은 공유 폴더에 저장된 로컬 사용자 프로필의 복사본입니다. 로밍 프로필에 대한 로컬에서 변경한 내용은 사용자가 로그인할 때 파일 서버 SMB(Server Message Block) 공유 폴더에 동기화됩니다. 사용자가 다른 장치에 로그인하면 로밍 프로필이 새 시스템에 다운로드되는 후 사용자 지정이 사용자를 따르게 됩니다. 그러나 Windows 및 응용 프로그램에 대한 모든 설정을 로밍할 수 없습니다. 유연성에 대한 성능 및 유지 관리 페널티가 지급됩니다. FSLogix 프로필 컨테이너가 추가되어 기존 로밍 프로필의 부족한 문제가 해결되었습니다. 다음 섹션에서는 FSLogix 프로필 컨테이너에 대해 설명합니다. |
| 필수 프로필 | 필수 프로필은 관리자가 사용자에 대한 설정을 지정하도록 미리 구성한 로밍 사용자 프로필입니다. 필수 사용자 프로필을 사용하여 사용자는 데스크톱을 수정할 수 있지만 사용자가 로그아웃할 때 변경 사항이 저장되지 않습니다. 다음에 사용자가 로그인할 때 관리자가 생성한 필수 사용자 프로필이 다운로드됩니다. 필수 프로필은 일반적으로 키오스크 환경에서 사용됩니다. |
| 임시 프로필 | 장애 방지 프로필은 사용자의 로밍 프로필을 로드하는 데 문제가 있을 때 생성됩니다. 이 프로필은 로그아웃 시 폐기됩니다. |
FSLogix 프로필 컨테이너
Azure Virtual Desktop 환경에서는 전체 사용자 프로필을 저장하는 데 FSLogix 프로필 컨테이너를 사용하는 것이 좋습니다. 프로필 컨테이너는 기존의 프로필 관리 솔루션은 아니지만, 영구적이지 않은 환경을 위한 완전한 원격 프로필 솔루션입니다.
프로필 컨테이너는 전체 사용자 프로필을 원격 위치로 리디렉션합니다. 프로필 컨테이너 구성은 프로필을 리디렉션하는 방법과 위치를 정의합니다. Azure Virtual Desktop에서 프로필 컨테이너를 사용하는 경우 Azure Storage 계정에 저장할 수 있습니다.
Azure Virtual Desktop에 로그인하면 사용자 프로필의 컨테이너(가상 하드 디스크)가 사용자가 할당된 VM에 동적으로 연결됩니다. FSLogix는 고급 필터 드라이버 기술을 사용하여 로컬 사용자 프로필과 마찬가지로 시스템에서 사용자 프로필을 즉시 사용할 수 있도록 합니다.
FSLogix는 비영구 프로필의 주요 문제를 해결합니다. 요약하면, FSLogix는 로컬 프로필이 로밍 프로필과 같은 역할을 할 수 있도록 하며 다음과 같은 주요 이점을 제공합니다.
- 성능 향상. FSLogix 프로필 컨테이너는 고성능과 차단된 캐시된 Exchange 모드를 제공합니다.
- 온 디맨드 파일을 포함한 비즈니스용 Microsoft OneDrive. 이전에는 이 지원이 비영구 가상화 환경에 포함되지 않았습니다.
- SMB 폴더. FSLogix는 Azure NetApp Files 서비스를 사용하여 엔터프라이즈급 SMB 볼륨을 프로비저닝하도록 사용자 프로필을 확장할 수 있도록 지원합니다. Azure NetApp Files는 SMB 2.1 및 SMB 3.1을 지원합니다.
Azure Files가 있는 FSLogix 프로필 컨테이너
Azure Files Microsoft Entra Domain Services 온-프레미스 Active Directory Domain Services(AD DS)를 사용하여 SMB ID 기반 인증을 지원합니다. Azure Files 온-프레미스 AD DS 또는 Microsoft Entra Domain Services 인증하기 위한 Kerberos 프로토콜을 적용합니다. Azure 파일 공유에 대한 ID 기반 액세스를 사용하면 기존 디렉터리 서비스를 유지하면서 기존 사내 파일 서버를 Azure 파일 공유로 바꿀 수 있습니다.
파일 공유는 Azure Virtual Desktop 호스트 풀의 가상 네트워크에 있는 Azure 가상 시스템에서 호스팅됩니다. 파일 공유인 가상 시스템은 가상 네트워크의 Active Directory 도메인에 가입되어 있습니다. 가상 시스템이 도메인에 가입된 후에는 호스트 풀의 FSLogix 프로필 컨테이너 공유로 작동할 수 있습니다.
파일 공유 대신 Azure Files를 사용하는 것이 좋습니다.
Azure Disk Encryption을 사용하여 Azure Virtual Desktop 데이터 보호
Azure NetApp Files에서 Azure Virtual Desktop이 사용하는 모든 파일은 FIPS PUBS(연방 정보 처리 표준 간행물) 140-2 표준을 통해 암호화됩니다. Azure NetApp Files 서비스는 모든 키를 관리하고 각 볼륨에 대해 고유한 XTS-AES-256 데이터 암호화 키를 생성합니다.
Azure Virtual Desktop은 암호화 키를 사용하여 모든 볼륨 키를 암호화하고 보호합니다. 이러한 암호화 키는 암호화되지 않은 형식으로 보고되거나 사용할 수 없습니다. 볼륨 삭제 시 키도 즉시 삭제됩니다.
참고
Azure Dedicated HSM을 통해 고객 관리 키(자체 키 가져오기)를 지원합니다. 해당 지역의 가용성을 확인합니다.