Criar um recipiente de perfil com ficheiros Azure e DS ADCreate a profile container with Azure Files and AD DS

Neste artigo, você vai aprender como criar uma partilha de ficheiros Azure autenticada por um controlador de domínio num pool de anfitriões virtual do Windows Virtual.In this article, you'll learn how to create an Azure file share authenticated by a domain controller on an existing Windows Virtual Desktop host pool. Pode utilizar esta partilha de ficheiros para armazenar perfis de armazenamento.You can use this file share to store storage profiles.

Este processo utiliza serviços de domínio de diretório ativo (DS AD), que é um serviço de diretório on-prem.This process uses Active Directory Domain Services (AD DS), which is an on-prem directory service. Se estiver à procura de informações sobre como criar um recipiente de perfil FSLogix com DS AD Azure, consulte Criar um recipiente de perfil FSLogix com ficheiros Azure.If you're looking for information about how to create an FSLogix profile container with Azure AD DS, see Create an FSLogix profile container with Azure Files.

Pré-requisitosPrerequisites

Antes de começar, certifique-se de que o seu controlador de domínio está sincronizado com o Azure e que é resolúvel a partir da rede virtual Azure (VNET) a que os anfitriões da sessão estão ligados.Before you get started, make sure your domain controller is synchronized to Azure and resolvable from the Azure virtual network (VNET) your session hosts are connected to.

Criar uma conta de armazenamentoSet up a storage account

Primeiro, terá de criar uma conta de armazenamento do Azure Files.First, you'll need to set up an Azure Files storage account.

Para criar uma conta de armazenamento:To set up a storage account:

  1. Inicie sessão no portal do Azure.Sign in to the Azure portal.

  2. Procure uma conta de armazenamento na barra de pesquisa.Search for storage account in the search bar.

  3. Selecione +Adicionar .Select +Add .

  4. Introduza as seguintes informações na página de conta de armazenamento Criar:Enter the following information into the Create storage account page:

    • Criar um novo grupo de recursos.Create a new resource group.
    • Introduza um nome único para a conta de armazenamento.Enter a unique name for your storage account.
    • Para localização , recomendamos que escolha o mesmo local que a piscina de anfitriões virtual do Windows Desktop.For Location , we recommend you choose the same location as the Windows Virtual Desktop host pool.
    • Em Desempenho , selecione Standard .For Performance , select Standard . (Dependendo dos seus requisitos de IOPS.(Depending on your IOPS requirements. Para obter mais informações, consulte as opções de Armazenamento para recipientes de perfil FSLogix no Windows Virtual Desktop.)For more information, see Storage options for FSLogix profile containers in Windows Virtual Desktop.)
    • Para o tipo de conta , selecione StorageV2 ou FileStorage (só disponível se o nível de desempenho for Premium).For Account type , select StorageV2 or FileStorage (only available if Performance tier is Premium).
    • Para replicação, selecione armazenamento localmente redundante (LRS) .For Replication , select Locally-redundant storage (LRS) .
  5. Quando terminar, selecione 'Rever + criar' e, em seguida, selecione Criar .When you're done, select Review + create , then select Create .

Se necessitar de instruções de configuração mais detalhadas, consulte a disponibilidade regional.If you need more detailed configuration instructions, see Regional availability.

Criar uma partilha de ficheiros do AzureCreate an Azure file share

Em seguida, terá de criar uma partilha de ficheiros Azure.Next, you'll need to create an Azure file share.

Para criar uma partilha de ficheiros:To create a file share:

  1. Selecione Ir para recurso .Select Go to resource .

  2. Na página Descrição geral, selecione Partilhas de ficheiros .On the Overview page, select File shares .

  3. Selecione +Ações de arquivo, crie uma nova partilha de ficheiros com perfil nomeado , em seguida, introduza uma quota apropriada ou deixe o campo em branco sem quota.Select +File shares , create a new file share named profiles , then either enter an appropriate quota or leave the field blank for no quota.

  4. Selecione Criar .Select Create .

Ativar a autenticação do Diretório AtivoEnable Active Directory authentication

Em seguida, você precisará ativar a autenticação do Ative Directory (AD).Next, you'll need to enable Active Directory (AD) authentication. Para ativar esta política, terá de seguir as instruções desta secção numa máquina que já se juntou ao domínio.To enable this policy, you'll need to follow this section's instructions on a machine that's already domain-joined. Para ativar a autenticação, siga estas instruções sobre o VM que executa o controlador de domínio:To enable authentication, follow these instructions on the VM running the domain controller:

  1. Protocolo remoto de ambiente de trabalho no VM de domínio.Remote Desktop Protocol into the domain-joined VM.

  2. Siga as instruções em Ativar a autenticação AD DS para as suas ações de ficheiroS Azure para instalar o módulo AzFilesHybrid e ativar a autenticação.Follow the instructions in Enable AD DS authentication for your Azure file shares to install the AzFilesHybrid module and enable authentication.

  3. Abra o portal Azure, abra a sua conta de armazenamento, selecione Configuração e confirme que o Ative Directory (AD) está definido como Ativado .Open the Azure portal, open your storage account, select Configuration , then confirm Active Directory (AD) is set to Enabled .

    Uma imagem da página de Configuração com diretório ativo Azure (AD) ativada.A screenshot of the Configuration page with Azure Active Directory (AD) enabled.

Atribuir permissões Azure RBAC a utilizadores de desktop virtual do WindowsAssign Azure RBAC permissions to Windows Virtual Desktop users

Todos os utilizadores que necessitem de ter perfis FSLogix armazenados na conta de armazenamento devem ser atribuídos à função de Contribuinte de Partilha SMB de Ficheiros de Armazenamento.All users that need to have FSLogix profiles stored on the storage account must be assigned the Storage File Data SMB Share Contributor role.

Os utilizadores que se inscrevam nos anfitriões de sessão do Windows Virtual Desktop precisam de permissões de acesso para aceder à partilha de ficheiros.Users signing in to the Windows Virtual Desktop session hosts need access permissions to access your file share. A concessão de acesso a uma partilha de Ficheiros do Azure envolve configurar permissões tanto ao nível das partilhas como ao nível do NTFS, semelhante a uma partilha tradicional do Windows.Granting access to an Azure File share involves configuring permissions both at the share level as well as on the NTFS level, similar to a traditional Windows share.

Para configurar permissões de nível de partilha, atribua a cada utilizador uma função com as permissões de acesso adequadas.To configure share level permissions, assign each user a role with the appropriate access permissions. As permissões podem ser atribuídas a utilizadores individuais ou a um grupo AZure AD.Permissions can be assigned to either individual users or an Azure AD group. Para saber mais, consulte Atribuir permissões de acesso a uma identidade.To learn more, see Assign access permissions to an identity.

Nota

As contas ou grupos a que atribui permissões deverão ter sido criados no domínio e sincronizados com o Azure Active Directory.The accounts or groups you assign permissions to should have been created in the domain and synchronized with Azure AD. As contas criadas no Azure Active Directory não funcionarão.Accounts created in Azure AD won't work.

Para atribuir permissões de controlo de acesso baseado em funções Azure (Azure RBAC):To assign Azure role-based access control (Azure RBAC) permissions:

  1. Abra o portal do Azure.Open the Azure portal.

  2. Abra a conta de armazenamento que criou na Configuração de uma conta de armazenamento.Open the storage account you created in Set up a storage account.

  3. Selecione as ações do Ficheiro e, em seguida, selecione o nome da partilha de ficheiros que pretende utilizar.Select File shares , then select the name of the file share you plan to use.

  4. Selecione Controlo de Acesso (IAM) .Select Access Control (IAM) .

  5. Selecione Adicionar uma atribuição de função .Select Add a role assignment .

  6. No separador de atribuição de funções Adicionar, selecione Storage File Data SMB Share Elevated Contributor para a conta de administrador.In the Add role assignment tab, select Storage File Data SMB Share Elevated Contributor for the administrator account.

    Para atribuir permissões aos utilizadores para os perfis FSLogix, siga estas mesmas instruções.To assign users permissions for their FSLogix profiles, follow these same instructions. No entanto, quando chegar ao passo 5, selecione Storage File Data SMB Share Contributor.However, when you get to step 5, select Storage File Data SMB Share Contributor instead.

  7. Selecione Guardar .Select Save .

Atribuir permissões aos utilizadores na partilha de ficheiros AzureAssign users permissions on the Azure file share

Uma vez que tenha atribuído permissões Azure RBAC aos seus utilizadores, em seguida terá de configurar as permissões NTFS.Once you've assigned Azure RBAC permissions to your users, next you'll need to configure the NTFS permissions.

Precisa de saber duas coisas do portal Azure para começar:You'll need to know two things from the Azure portal to get started:

  • O caminho da UNC.The UNC path.
  • A chave da conta de armazenamento.The storage account key.

Pegue o caminho da UNCGet the UNC path

Eis como obter o caminho da UNC:Here's how to get the UNC path:

  1. Abra o portal do Azure.Open the Azure portal.

  2. Abra a conta de armazenamento que criou na Configuração de uma conta de armazenamento.Open the storage account you created in Set up a storage account.

  3. Selecione Definições e, em seguida, selecione Propriedades .Select Settings , then select Properties .

  4. Copie o Endpoint URI do Serviço de Ficheiros Primários para o editor de texto à sua escolha.Copy the Primary File Service Endpoint URI to the text editor of your choice.

  5. Depois de copiar o URI, faça as seguintes coisas para mudá-lo para o UNC:After copying the URI, do the following things to change it into the UNC:

    • Remover https:// e substituir por \\Remove https:// and replace with \\

    • Substitua o corte dianteiro / por um corte traseiro \ .Replace the forward slash / with a back slash \.

    • Adicione o nome da partilha de ficheiros que criou na Criar uma partilha de ficheiros Azure até ao final do UNC.Add the name of the file share you created in Create an Azure file share to the end of the UNC.

      Por exemplo: \\customdomain.file.core.windows.net\<fileshare-name>For example: \\customdomain.file.core.windows.net\<fileshare-name>

Obter a chave da conta de armazenamentoGet the storage account key

Para obter a chave da conta de armazenamento:To get the storage account key:

  1. Abra o portal do Azure.Open the Azure portal.

  2. Abra a conta de armazenamento que criou na Configuração de uma conta de armazenamento.Open the storage account you created in Set up a storage account.

  3. No separador conta 'Armazenamento', selecione as teclas de acesso .On the Storage account tab, select Access keys .

  4. Copie a chave1 ou a chave2 para um ficheiro na sua máquina local.Copy key1 or key2 to a file on your local machine.

Configure permissões NTFSConfigure NTFS permissions

Para configurar as suas permissões NTFS:To configure your NTFS permissions:

  1. Abra um pedido de comando num VM ligado ao domínio.Open a command prompt on a domain-joined VM.

  2. Executar o seguinte comando para montar a partilha de ficheiros Azure e atribuir-lhe uma letra de unidade:Run the following command to mount the Azure file share and assign it a drive letter:

    net use <desired-drive-letter>: <UNC-path> <SA-key> /user:Azure\<SA-name>
    
  3. Executar o seguinte comando para rever as permissões de acesso à partilha de ficheiros Azure:Run the following command to review the access permissions to the Azure file share:

    icacls <mounted-drive-letter>:
    

    <mounted-drive-letter>Substitua-a pela letra da unidade a que mapeou.Replace <mounted-drive-letter> with the letter of the drive you mapped to.

    Tanto a Autoridade NT\Utilizadores autenticados como OS Utilizadores BUILTIN\Os utilizadores têm determinadas permissões por padrão.Both NT Authority\Authenticated Users and BUILTIN\Users have certain permissions by default. Estas permissões por defeito permitem que estes utilizadores leiam os recipientes de perfil de outros utilizadores.These default permissions let these users read other users' profile containers. No entanto, as permissões descritas nas permissões de armazenamento Configure para utilização com contentores de perfil e contentores de escritório não permitem que os utilizadores leiam os recipientes de perfil uns dos outros.However, the permissions described in Configure storage permissions for use with Profile Containers and Office Containers don't let users read each others' profile containers.

  4. Executar os seguintes comandos para permitir que os utilizadores do Windows Virtual Desktop criem o seu próprio recipiente de perfil enquanto bloqueiam o acesso aos seus contentores de perfil de outros utilizadores.Run the following commands to allow your Windows Virtual Desktop users to create their own profile container while blocking access to their profile containers from other users.

    icacls <mounted-drive-letter>: /grant <user-email>:(M)
    icacls <mounted-drive-letter>: /grant "Creator Owner":(OI)(CI)(IO)(M)
    icacls <mounted-drive-letter>: /remove "Authenticated Users"
    icacls <mounted-drive-letter>: /remove "Builtin\Users"
    
    • Substitua <> de letra montada com a letra da unidade que usou para mapear a unidade.Replace with the letter of the drive you used to map the drive.
    • Substitua <> de e-mail de utilizador pela UPN do grupo de utilizador ou Ative Directory que contenha os utilizadores que exigirão o acesso à partilha.Replace with the UPN of the user or Active Directory group that contains the users that will require access to the share.

    Por exemplo:For example:

    icacls <mounted-drive-letter>: /grant john.doe@contoso.com:(M)
    icacls <mounted-drive-letter>: /grant "Creator Owner":(OI)(CI)(IO)(M)
    icacls <mounted-drive-letter>: /remove "Authenticated Users"
    icacls <mounted-drive-letter>: /remove "Builtin\Users"
    

Configure fSLogix em VMs anfitrião de sessãoConfigure FSLogix on session host VMs

Esta secção vai mostrar-lhe como configurar uma VM com o FSLogix.This section will show you how to configure a VM with FSLogix. Terá de seguir estas instruções sempre que configurar um anfitrião da sessão.You'll need to follow these instructions every time you configure a session host. Antes de começar a configurar, siga as instruções no Download e instale o FSLogix.Before you start configuring, follow the instructions in Download and install FSLogix. Existem várias opções disponíveis que garantem que as chaves do registo estão definidas em todos os anfitriões da sessão.There are several options available that ensure the registry keys are set on all session hosts. Pode definir estas opções numa imagem ou configurar uma política de grupo.You can set these options in an image or configure a group policy.

Para configurar o FSLogix na VM do anfitrião da sessão:To configure FSLogix on your session host VM:

  1. RDP para o anfitrião da sessão VM da piscina de anfitriões virtual do Windows Desktop.RDP to the session host VM of the Windows Virtual Desktop host pool.

  2. Descarregue e instale o FSLogix.Download and install FSLogix.

  3. Siga as instruções em Configurar as definições do registo do contentor de perfil:Follow the instructions in Configure profile container registry settings:

    • Navegue para o Software > HKEY_LOCAL_MACHINE > SOFTWARE > FSLogix de HKEY_LOCAL_MACHINE de Computador .Navigate to Computer > HKEY_LOCAL_MACHINE > SOFTWARE > FSLogix .

    • Crie uma chave de perfis.Create a Profiles key.

    • Criar Ativado, DWORD com um valor de 1.Create Enabled, DWORD with a value of 1.

    • Criar VHDLocations, MULTI_SZ .Create VHDLocations, MULTI_SZ .

    • Desloque o valor das VHDLocations para o caminho unc gerado no caminho do UNC.Set the value of VHDLocations to the UNC path you generated in Get the UNC path.

  4. Reinicie a VM.Restart the VM.

TestarTesting

Uma vez instalado e configurado FSLogix, pode testar a sua implementação insacientando-se com uma conta de utilizador que foi atribuída a um grupo de aplicações ou um ambiente de trabalho na piscina de anfitrião.Once you've installed and configured FSLogix, you can test your deployment by signing in with a user account that's been assigned an app group or desktop on the host pool. Certifique-se de que a conta de utilizador com a qual insinou tem permissão na partilha de ficheiros.Make sure the user account you sign in with has permission on the file share.

Se o utilizador já se ter inscrito antes, terá um perfil local existente que será utilizado durante esta sessão.If the user has signed in before, they'll have an existing local profile that will be used during this session. Para evitar a criação de um perfil local, crie uma nova conta de utilizador para utilizar para testes ou utilize os métodos de configuração descritos no Tutorial: Contentor de perfil de configuração para redirecionar os perfis do utilizador.To avoid creating a local profile, either create a new user account to use for tests or use the configuration methods described in Tutorial: Configure Profile Container to redirect User Profiles.

Para verificar as suas permissões na sua sessão:To check your permissions on your session:

  1. Inicie uma sessão no Windows Virtual Desktop.Start a session on Windows Virtual Desktop.

  2. Abra o portal do Azure.Open the Azure portal.

  3. Abra a conta de armazenamento que criou na Configuração de uma conta de armazenamento.Open the storage account you created in Set up a storage account.

  4. Selecione Criar uma partilha na página de partilha de ficheiros Create azure.Select Create a share on the Create an Azure file share page.

  5. Certifique-se de que existe agora uma pasta que contenha o perfil do utilizador nos seus ficheiros.Make sure a folder containing the user profile now exists in your files.

Para testes adicionais, siga as instruções em Certificar-se de que o seu perfil funciona.For additional testing, follow the instructions in Make sure your profile works.

Passos seguintesNext steps

Para resolver problemas, consulte este guia de resolução de problemas.To troubleshoot FSLogix, see this troubleshooting guide.