Configurar o Contêiner de Perfil FSLogix com Arquivos do Azure e Serviços de Domínio Ative Directory ou Serviços de Domínio Microsoft Entra

Este artigo mostrará como configurar o Contêiner de Perfil FSLogix com Arquivos do Azure quando suas máquinas virtuais (VMs) de host de sessão forem associadas a um domínio dos Serviços de Domínio Ative Directory (AD DS) ou a um domínio gerenciado dos Serviços de Domínio Microsoft Entra.

Pré-requisitos

Você precisará do seguinte:

• Um pool de hosts onde os hosts de sessão são associados a um domínio gerenciado do AD DS ou dos Serviços de Domínio Microsoft Entra e os usuários são atribuídos.
• Um grupo de segurança em seu domínio que contém os usuários que usarão o Contêiner de Perfil. Se você estiver usando o AD DS, isso deverá ser sincronizado com a ID do Microsoft Entra.
• Permissão na sua subscrição do Azure para criar uma conta de armazenamento e adicionar atribuições de função.
• Uma conta de domínio para associar computadores ao domínio e abrir um prompt do PowerShell com privilégios elevados.
• A ID de assinatura da sua assinatura do Azure onde sua conta de armazenamento estará.
• Um computador que ingressou no seu domínio para instalar e executar módulos do PowerShell que associarão uma conta de armazenamento ao seu domínio. Este dispositivo terá de estar a executar uma versão suportada do Windows. Como alternativa, você pode usar um host de sessão.

Importante

Se os usuários tiverem entrado anteriormente nos hosts de sessão que você deseja usar, os perfis locais terão sido criados para eles e deverão ser excluídos primeiro por um administrador para que seu perfil seja armazenado em um contêiner de perfil.

Configurar uma conta de armazenamento para o Contêiner de Perfil

Para configurar uma conta de armazenamento:

1. Inicie sessão no portal do Azure.

2. Procure contas de armazenamento na barra de pesquisa.

3. Selecione + Criar.

4. Insira as seguintes informações na guia Noções básicas na página Criar conta de armazenamento:

   • Crie um novo grupo de recursos ou selecione um existente para armazenar a conta de armazenamento.
   • Introduza um nome exclusivo para a conta de armazenamento. Esse nome de conta de armazenamento precisa ter entre 3 e 24 caracteres.
   • Para Região, recomendamos que você escolha o mesmo local do pool de hosts da Área de Trabalho Virtual do Azure.
   • Em Desempenho, selecione Padrão como mínimo.
   • Se você selecionar Desempenho Premium, defina o tipo de conta Premium como Compartilhamentos de arquivos.
   • Em Redundância, selecione LRS (Locally-redundant storage, armazenamento com redundância local) como mínimo.
   • Os padrões nas guias restantes não precisam ser alterados.

   Gorjeta

   Sua organização pode ter requisitos para alterar esses padrões:

   • Se você deve selecionar Premium depende de seus requisitos de IOPS e latência. Para obter mais informações, consulte Opções de armazenamento para contêineres de perfil FSLogix na Área de Trabalho Virtual do Azure.
   • Na guia Avançado, Habilitar acesso à chave da conta de armazenamento deve ser deixado habilitado.
   • Para obter mais informações sobre as opções de configuração restantes, consulte Planejando uma implantação do Azure Files.

5. Selecione Rever + criar. Revise os parâmetros e os valores que serão usados e selecione Criar.

6. Depois que a conta de armazenamento tiver sido criada, selecione Ir para recurso.

7. Na seção Armazenamento de dados, selecione Compartilhamentos de arquivos.

8. Selecione + Partilha de ficheiros.

9. Insira um Nome, como perfis, e para a camada selecione Transação otimizada.

Associar a sua conta de armazenamento ao Ative Directory

Para usar contas do Ative Directory para as permissões de compartilhamento do compartilhamento de arquivos, você precisa habilitar o AD DS ou os Serviços de Domínio Microsoft Entra como origem. Este processo associa a sua conta de armazenamento a um domínio, representando-o como uma conta de computador. Selecione a guia relevante abaixo para o seu cenário e siga as etapas.

AD DS

1. Entre em um computador que ingressou no seu domínio do AD DS. Em alternativa, inicie sessão num dos anfitriões de sessão.

2. Baixe e extraia a versão mais recente do AzFilesHybrid do repositório GitHub de exemplos do Azure Files. Anote a pasta para a qual você extrai os arquivos.

3. Abra um prompt do PowerShell com privilégios elevados e mude para o diretório onde você extraiu os arquivos.

4. Execute o seguinte comando para adicionar o AzFilesHybrid módulo ao diretório de módulos do PowerShell do usuário:

   .\CopyToPSPath.ps1
   

5. Importe o AzFilesHybrid módulo executando o seguinte comando:

   Import-Module -Name AzFilesHybrid
   

   Importante

   Este módulo requer a Galeria do PowerShell e o Azure PowerShell. Você pode ser solicitado a instalá-los se eles ainda não estiverem instalados ou precisarem de atualização. Se você for solicitado, instale-os e feche todas as instâncias do PowerShell. Reabra um prompt do PowerShell com privilégios elevados e importe o AzFilesHybrid módulo novamente antes de continuar.

6. Entre no Azure executando o comando abaixo. Você precisará usar uma conta que tenha uma das seguintes funções RBAC (controle de acesso baseado em função):

   • Proprietário da conta de armazenamento
   • Proprietário
   • Contribuinte

   Connect-AzAccount
   

   Gorjeta

   Se a sua conta do Azure tiver acesso a vários inquilinos e/ou subscrições, terá de selecionar a subscrição correta definindo o seu contexto. Para obter mais informações, consulte Objetos de contexto do Azure PowerShell

7. Junte a conta de armazenamento ao seu domínio executando os comandos abaixo, substituindo os valores de $subscriptionId, $resourceGroupNamee $storageAccountName pelos seus valores. Você também pode adicionar o parâmetro -OrganizationalUnitDistinguishedName para especificar uma Unidade Organizacional (UO) na qual colocar a conta de computador.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Para verificar se a conta de armazenamento ingressou no seu domínio, execute os comandos abaixo e revise a saída, substituindo os valores para $resourceGroupName e $storageAccountName com seus valores:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Importante

Se o seu domínio impor a expiração da senha, você deverá atualizá-la antes que ela expire para evitar falhas de autenticação ao acessar compartilhamentos de arquivos do Azure. Para obter mais informações, consulte Atualizar a senha da identidade da sua conta de armazenamento no AD DS para obter detalhes.

Microsoft Entra Domain Services

1. No portal do Azure, abra a conta de armazenamento criada anteriormente.

2. Na seção Armazenamento de dados, selecione Compartilhamentos de arquivos.

3. Na seção principal da página, ao lado de Ative Directory, selecione Não configurado.

4. Na caixa Serviços de Domínio Microsoft Entra, selecione Configurar.

5. Marque a caixa para Habilitar os Serviços de Domínio do Microsoft Entra para este compartilhamento de arquivos e selecione Salvar. Uma Unidade Organizacional (UO) chamada AzureFilesConfig será criada na raiz do seu domínio e uma conta de usuário com o mesmo nome da conta de armazenamento será criada nessa UO. Essa conta será usada como a conta de serviço do Azure Files.

Atribuir função RBAC aos usuários

Os usuários que precisam armazenar perfis em seu compartilhamento de arquivos precisarão de permissão para acessá-lo. Para fazer isso, você precisará atribuir a cada usuário a função de Colaborador de Compartilhamento SMB de Dados de Arquivo de Armazenamento .

Para atribuir a função aos usuários:

1. No portal do Azure, navegue até a conta de armazenamento e, em seguida, até o compartilhamento de arquivos criado anteriormente.

2. Selecione Controlo de acesso (IAM) .

3. Selecione + Adicionar e, em seguida, selecione Adicionar atribuição de função no menu pendente.

4. Selecione a função Storage File Data SMB Share Contributor e selecione Next.

5. No separador Membros, selecione Utilizador, grupo ou entidade de serviço e, em seguida, selecione +Selecionar membros. Na barra de pesquisa, procure e selecione o grupo de segurança que contém os usuários que usarão o Contêiner de Perfil.

6. Selecione Rever + atribuir para concluir a atribuição.

Definir permissões NTFS

Em seguida, você precisará definir permissões NTFS na pasta, o que requer que você obtenha a chave de acesso para sua conta de armazenamento.

Para obter a chave de acesso da conta de armazenamento:

1. No portal do Azure, procure e selecione conta de armazenamento na barra de pesquisa.

2. Na lista de contas de armazenamento, selecione a conta que você habilitou os Serviços de Domínio Ative Directory ou os Serviços de Domínio Microsoft Entra como a fonte de identidade e atribuiu a função RBAC nas seções anteriores.

3. Em Segurança + rede, selecione Chaves de acesso e, em seguida, mostre e copie a chave da chave1.

Para definir as permissões NTFS corretas na pasta:

1. Inicie sessão num anfitrião de sessão que faça parte do seu grupo de anfitriões.

2. Abra um prompt do PowerShell com privilégios elevados e execute o comando abaixo para mapear a conta de armazenamento como uma unidade em seu host de sessão. A unidade mapeada não será exibida no Explorador de Arquivos, mas poderá ser visualizada com o net use comando. Isso é para que você possa definir permissões no compartilhamento.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Substitua <desired-drive-letter> por uma letra de unidade de sua escolha (por exemplo, y:).
   • Substitua ambas as instâncias de <storage-account-name> pelo nome da conta de armazenamento especificada anteriormente.
   • Substitua <share-name> pelo nome do compartilhamento criado anteriormente.
   • Substitua <storage-account-key> pela chave da conta de armazenamento do Azure.

   Por exemplo:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Execute os comandos a seguir para definir permissões no compartilhamento que permitem que os usuários da Área de Trabalho Virtual do Azure criem seu próprio perfil enquanto bloqueiam o acesso aos perfis de outros usuários. Você deve usar um grupo de segurança do Ative Directory que contenha os usuários que deseja usar o Contêiner de Perfil. Nos comandos abaixo, substitua <mounted-drive-letter> pela letra da unidade usada para mapear a unidade e <DOMAIN\GroupName> pelo domínio e sAMAccountName do grupo do Ative Directory que exigirá acesso ao compartilhamento. Você também pode especificar o nome principal do usuário (UPN) de um usuário.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Por exemplo:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Configurar hosts de sessão para usar o Contêiner de Perfil

Para usar o Contêiner de Perfil, você precisará certificar-se de que o FSLogix Apps esteja instalado em suas VMs de host de sessão. O FSLogix Apps está pré-instalado nos sistemas operacionais Windows 10 Enterprise multi-session e Windows 11 Enterprise multi-session, mas você ainda deve seguir as etapas abaixo, pois pode não ter a versão mais recente instalada. Se você estiver usando uma imagem personalizada, poderá instalar o FSLogix Apps em sua imagem.

Para configurar o Contêiner de Perfil, recomendamos que você use as Preferências de Política de Grupo para definir chaves e valores do Registro em escala em todos os hosts de sessão. Você também pode defini-los em sua imagem personalizada.

Para configurar o Contêiner de Perfil em suas VMs de host de sessão:

1. Entre na VM usada para criar sua imagem personalizada ou uma VM de host de sessão a partir do seu pool de hosts.

2. Se você precisar instalar ou atualizar o FSLogix Apps, baixe a versão mais recente do FSLogix e instale-o executando FSLogixAppsSetup.exee, em seguida, seguindo as instruções no assistente de configuração. Para obter mais detalhes sobre o processo de instalação, incluindo personalizações e instalação autônoma, consulte Baixar e instalar o FSLogix.

3. Abra um prompt do PowerShell com privilégios elevados e execute os seguintes comandos, substituindo \\<storage-account-name>.file.core.windows.net\<share-name> pelo caminho UNC para sua conta de armazenamento criada anteriormente. Esses comandos habilitam o Contêiner de Perfil e configuram o local do compartilhamento.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Reinicie a VM usada para criar sua imagem personalizada ou uma VM de host de sessão. Você precisará repetir essas etapas para todas as VMs de host de sessão restantes.

Agora você concluiu a configuração do Contêiner de perfil. Se você estiver instalando o Contêiner de Perfil em sua imagem personalizada, precisará concluir a criação da imagem personalizada. Para obter mais informações, siga as etapas em Criar uma imagem personalizada no Azure na seção Tirar o instantâneo final em diante.

Validar a criação de perfis

Depois de instalar e configurar o Contêiner de Perfil, você pode testar sua implantação entrando com uma conta de usuário à qual foi atribuído um grupo de aplicativos ou área de trabalho no pool de hosts.

Se o usuário tiver entrado antes, ele terá um perfil local existente que usará durante esta sessão. Exclua o perfil local primeiro ou crie uma nova conta de usuário para usar nos testes.

Os usuários podem verificar se o Contêiner de Perfil está configurado seguindo as etapas abaixo:

1. Entre na Área de Trabalho Virtual do Azure como o usuário de teste.

2. Quando o usuário faz login, a mensagem "Aguarde os Serviços de Aplicativos FSLogix" deve aparecer como parte do processo de login, antes de chegar à área de trabalho.

Os administradores podem verificar se a pasta de perfil foi criada seguindo as etapas abaixo:

1. Abra o portal do Azure.

2. Abra a conta de armazenamento criada anteriormente.

3. Aceda a Armazenamento de dados na sua conta de armazenamento e, em seguida, selecione Partilhas de ficheiros.

4. Abra o compartilhamento de arquivos e verifique se a pasta de perfil de usuário que você criou está lá.

Próximos passos

Você pode encontrar informações mais detalhadas sobre conceitos relacionados ao Contêiner de Perfil FSlogix para Arquivos do Azure no Contêiner de Perfil FSLogix para Arquivos do Azure.