Een profielcontainer maken met Azure Files en Microsoft Entra ID

Voordat u deze oplossing implementeert, moet u controleren of uw omgeving voldoet aan de vereisten voor het configureren van Azure Files met Microsoft Entra Kerberos-verificatie.

Wanneer deze worden gebruikt voor FSLogix-profielen in Azure Virtual Desktop, hoeven de sessiehosts geen netwerkregel-of-sight voor de domeincontroller (DC) te hebben. Een systeem met netwerklijn-of-sight voor de DC is echter vereist om de machtigingen voor de Azure Files-share te configureren.

Uw FSLogix-profielen opslaan op een Azure-bestandsshare:

1. Maak een Azure Storage-account als u er nog geen hebt.

   Notitie

   Uw Azure Storage-account kan niet worden geverifieerd met zowel Microsoft Entra-id als een tweede methode, zoals Active Directory-domein Services (AD DS) of Microsoft Entra Domain Services. U kunt slechts één verificatiemethode gebruiken.

2. Maak een Azure Files-share onder uw opslagaccount om uw FSLogix-profielen op te slaan als u dat nog niet hebt gedaan.

3. Schakel Microsoft Entra Kerberos-verificatie in op Azure Files om toegang vanuit aan Microsoft Entra gekoppelde VM's in te schakelen.

   • Raadpleeg de aanbevolen lijst met machtigingen voor FSLogix-profielen bij Het configureren van de opslagmachtigingen voor profielcontainers wanneer u de map- en bestandsmachtigingen configureert.
   • Zonder de juiste machtigingen op adreslijstniveau kan een gebruiker het gebruikersprofiel verwijderen of toegang krijgen tot de persoonlijke gegevens van een andere gebruiker. Het is belangrijk om ervoor te zorgen dat gebruikers over de juiste machtigingen beschikken om te voorkomen dat onbedoelde verwijdering plaatsvindt.

Als u toegang wilt krijgen tot Azure-bestandsshares vanaf een aan Microsoft Entra gekoppelde VM voor FSLogix-profielen, moet u de sessiehosts configureren. Sessiehosts configureren:

1. Schakel de Microsoft Entra Kerberos-functionaliteit in met behulp van een van de volgende methoden.

   • Configureer deze Intune Policy CSP en pas deze toe op de sessiehost: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Notitie

     Windows-besturingssystemen met meerdere sessies bieden geen ondersteuning voor beleids-CSP, omdat ze alleen de instellingencatalogus ondersteunen, dus u moet een van de andere methoden gebruiken. Meer informatie over het gebruik van azure Virtual Desktop voor meerdere sessies met Intune.

   • Schakel dit groepsbeleid in op sessiehosts. Het pad is een van de volgende, afhankelijk van de versie van Windows die u gebruikt op uw sessiehosts:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Maak de volgende registerwaarde op de sessiehost: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. Wanneer u Microsoft Entra ID gebruikt met een zwervende profieloplossing zoals FSLogix, moeten de referentiesleutels in Credential Manager deel uitmaken van het profiel dat momenteel wordt geladen. Hiermee kunt u uw profiel laden op veel verschillende VM's in plaats van slechts één te beperken. Als u deze instelling wilt inschakelen, maakt u een nieuwe registerwaarde door de volgende opdracht uit te voeren:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

FSLogix configureren op de sessiehost

In deze sectie wordt uitgelegd hoe u een virtuele machine configureert met FSLogix. U moet deze instructies volgen telkens wanneer u een sessiehost configureert. Er zijn verschillende opties beschikbaar om ervoor te zorgen dat de registersleutels zijn ingesteld op alle sessiehosts. U kunt deze opties instellen in een installatiekopie of een groepsbeleid configureren.

FSLogix configureren:

1. Werk FSLogix indien nodig bij of installeer deze op uw sessiehost.

   Notitie

   Als de sessiehost wordt gemaakt met behulp van de Azure Virtual Desktop-service, moet FSLogix al vooraf zijn geïnstalleerd.

2. Volg de instructies in De registerinstellingen voor profielcontainers configureren om de registerwaarden Ingeschakeld en VHDLocations te maken. Stel de waarde van VHDLocations in op \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Nadat u FSLogix hebt geïnstalleerd en geconfigureerd, kunt u uw implementatie testen door u aan te melden met een gebruikersaccount dat is toegewezen aan een toepassingsgroep in de hostgroep. Het gebruikersaccount waarmee u zich aanmeldt, moet gemachtigd zijn om de bestandsshare te kunnen gebruiken.

Als de gebruiker zich eerder heeft aangemeld, heeft deze een bestaand lokaal profiel dat de service tijdens deze sessie gaat gebruiken. Om te voorkomen dat u een lokaal profiel maakt, maakt u een nieuw gebruikersaccount voor tests of gebruikt u de configuratiemethoden die worden beschreven in zelfstudie: Profielcontainer configureren om gebruikersprofielen om te leiden om de instelling DeleteLocalProfileWhenVHDShouldApply in te schakelen.

Controleer ten slotte het profiel dat is gemaakt in Azure Files nadat de gebruiker zich heeft aangemeld:

1. Open Azure Portal en meld u aan met een beheerdersaccount.

2. Selecteer Opslagaccounts in de zijbalk.

3. Selecteer het opslagaccount dat u hebt geconfigureerd voor uw sessiehostgroep.

4. Selecteer bestandsshares in de zijbalk.

5. Selecteer de bestandsshare die u hebt geconfigureerd om de profielen op te slaan.

6. Als alles correct is ingesteld, ziet u een map met een naam die als volgt is opgemaakt: <user SID>_<username>