Skapa en profilcontainer med Azure Files och Microsoft Entra-ID

Innan du distribuerar den här lösningen kontrollerar du att din miljö uppfyller kraven för att konfigurera Azure Files med Microsoft Entra Kerberos-autentisering.

När de används för FSLogix-profiler i Azure Virtual Desktop behöver sessionsvärdarna inte ha nätverkslinje för domänkontrollanten (DC). Ett system med nätverkssynpunkt till domänkontrollanten krävs dock för att konfigurera behörigheterna för Azure Files-resursen.

Så här lagrar du dina FSLogix-profiler på en Azure-filresurs:

1. Skapa ett Azure Storage-konto om du inte redan har ett.

   Kommentar

   Ditt Azure Storage-konto kan inte autentiseras med både Microsoft Entra-ID och en andra metod som Active Directory-domän Services (AD DS) eller Microsoft Entra Domain Services. Du kan bara använda en autentiseringsmetod.

2. Skapa en Azure Files-resurs under ditt lagringskonto för att lagra dina FSLogix-profiler om du inte redan har gjort det.

3. Aktivera Microsoft Entra Kerberos-autentisering på Azure Files för att aktivera åtkomst från Microsoft Entra-anslutna virtuella datorer.

   • När du konfigurerar behörigheter på katalog- och filnivå granskar du den rekommenderade listan över behörigheter för FSLogix-profiler i Konfigurera lagringsbehörigheter för profilcontainrar.
   • Utan rätt behörigheter på katalognivå kan en användare ta bort användarprofilen eller komma åt personlig information för en annan användare. Det är viktigt att se till att användarna har rätt behörigheter för att förhindra att oavsiktlig borttagning sker.

För att få åtkomst till Azure-filresurser från en Microsoft Entra-ansluten virtuell dator för FSLogix-profiler måste du konfigurera sessionsvärdarna. Så här konfigurerar du sessionsvärdar:

1. Aktivera Microsoft Entra Kerberos-funktionen med någon av följande metoder.

   • Konfigurera den här CSP:n för Intune Policy och tillämpa den på sessionsvärden: Kerberos/CloudKerberosTicketRetrievalEnabled.

     Kommentar

     Windows klientoperativsystem med flera sessioner stöder inte csp-princip eftersom de endast stöder inställningskatalogen, så du måste använda någon av de andra metoderna. Läs mer i Använda Azure Virtual Desktop med flera sessioner med Intune.

   • Aktivera den här grupprincipen på sessionsvärdar. Sökvägen är något av följande, beroende på vilken version av Windows du använder på dina sessionsvärdar:

     • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
     • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
   • • Skapa följande registervärde på sessionsvärden: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

2. När du använder Microsoft Entra-ID med en roamingprofillösning som FSLogix måste autentiseringsnycklarna i Credential Manager tillhöra den profil som för närvarande läses in. På så sätt kan du läsa in din profil på många olika virtuella datorer i stället för att begränsas till bara en. Om du vill aktivera den här inställningen skapar du ett nytt registervärde genom att köra följande kommando:

   reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
   

Konfigurera FSLogix på sessionsvärden

I det här avsnittet visas hur du konfigurerar en virtuell dator med FSLogix. Du behöver följa de här anvisningarna varje gång du konfigurerar en sessionsvärd. Det finns flera tillgängliga alternativ som säkerställer att registernycklarna anges på alla sessionsvärdar. Du kan ange dessa alternativ i en avbildning eller konfigurera en grupprincip.

Så här konfigurerar du FSLogix:

1. Uppdatera eller installera FSLogix på sessionsvärden om det behövs.

   Kommentar

   Om sessionsvärden skapas med hjälp av Azure Virtual Desktop-tjänsten bör FSLogix redan vara förinstallerat.

2. Följ anvisningarna i Konfigurera registerinställningar för profilcontainer för att skapa registervärdena Aktiverad och VHDLocations . Ange värdet för VHDLocations till \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

När du har installerat och konfigurerat FSLogix kan du testa distributionen genom att logga in med ett användarkonto som har tilldelats till en programgrupp i värdpoolen. Användarkontot som du loggar in med måste ha behörighet att använda filresursen.

Om användaren har loggat in tidigare har de en befintlig lokal profil som tjänsten kommer att använda under den här sessionen. Om du vill undvika att skapa en lokal profil skapar du antingen ett nytt användarkonto som ska användas för tester eller använder konfigurationsmetoderna som beskrivs i Självstudie: Konfigurera profilcontainer för att omdirigera användarprofiler för att aktivera inställningen DeleteLocalProfileWhenVHDShouldApply .

Kontrollera slutligen profilen som skapades i Azure Files när användaren har loggat in:

1. Öppna Azure-portalen och logga in med ett administrativt konto.

2. I sidopanelen väljer du Lagringskonton.

3. Välj det lagringskonto som du konfigurerade för sessionsvärdpoolen.

4. I sidofältet väljer du Filresurser.

5. Välj den filresurs som du konfigurerade för att lagra profilerna.

6. Om allt är korrekt konfigurerat bör du se en katalog med ett namn som är formaterat så här: <user SID>_<username>.