Configurare i profili utente FSLogix

  • 5 minuti

Per offrire la migliore esperienza possibile agli utenti di Desktop virtuale Azure, usa i profili FSLogix. FSLogix è progettato per trasferire profili in ambienti remoti di calcolo, come Desktop virtuale Azure. I profili utente sono memorizzati in file VHD o VHDX per utente. Al momento dell'accesso, questo contenitore di profili è collegato dinamicamente all'ambiente di calcolo. Il profilo utente è immediatamente disponibile e compare nel sistema esattamente come un profilo utente nativo.

Che cos’è FSLogix?

FSLogix è un insieme di soluzioni che disaccoppia il profilo utente locale da un singolo desktop di Windows e gli permette di vagare tra più macchine Windows.

Un profilo utente contiene dati relativi a un individuo, incluse le informazioni sulla configurazione come le impostazioni del desktop, le connessioni di rete permanenti e le impostazioni delle applicazioni. Un profilo utente remoto fornisce una partizione tra dati utenti e sistemi operativi. Con le soluzioni FSLogix è possibile:

  • Mantenere il contesto dell'utente negli ambienti desktop in comune
  • Ridurre al minimo i tempi di accesso per gli ambienti desktop in comune
  • Ottimizzare l'IO dei file tra l'host di sessione e il negozio di profili remoto

Creare il profilo FSLogix per gli utenti di Desktop virtuale Azure

Per utilizzare FSLogix per separare i profili utente dalle macchine virtuali (VM) host della sessione, dovremo configurare Azure Storage e creare una condivisione del profilo FSLogix. Questi passaggi variano a seconda del tipo di archiviazione e dell'uso di Microsoft Entra Domain Services o Active Directory Domain Services (AD DS). La procedura seguente illustra come configurare File di Azure con Microsoft Entra Domain Services. I passaggi per Servizi di dominio Active Directory sono gli stessi, ad eccezione della sezione "Abilita autenticazione Microsoft Entra". Le differenze sono state elencate in quella sezione.

Crea l'account di archiviazione

  1. Accedere al portale di Azure.
  2. Cerca Account di archiviazionecon la casella di ricerca del portale di Azure.
  3. Nella barra dei comandi degli account di archiviazione, seleziona Crea. Verrà visualizzata la pagina Crea account di archiviazione.
  4. In Dettagli progetto, selezionare Abbonamento, quindi selezionare o creare un Gruppo di risorse per contenere le risorse di archiviazione.
  5. In Dettagli istanza immettere un nome univoco per l'account Archiviazione locale.
  6. Selezionare la stessa area geografica del pool di host AVD.
  7. Per le prestazioni, selezionare Premium.
  8. Per il tipo di account Premium selezionare Condivisioni file.
  9. Lasciare Ridondanza impostata su Archiviazione con ridondanza locale (LRS).
  10. Selezionare Rivedi e crea per convalidare gli input e quindi selezionare Crea.
  11. Attendi il completamento della distribuzione. L'operazione potrebbe richiedere un minuto.
  12. Scegli Vai alla risorsa. Nella pagina dell'Account di archiviazione vengono visualizzati i dettagli relativi all'account di archiviazione.

Abilitare l'autenticazione Microsoft Entra

La procedura seguente illustra come abilitare l'autenticazione per le condivisioni file di Azure con Microsoft Entra Domain Services. Se stai usando AD DS, devi registrare il tuo account di archiviazione Azure con AD DS, e poi impostare le proprietà di dominio richieste sull'account di archiviazione. Usa il modulo di AzFilesHybrid Azure PowerShell in un dispositivo con dominio aggiunto a AD DS in locale. Il cmdlet Join-AzStorageAccountForAuth esegue l'equivalente di un'adesione offline al dominio per conto dell'account di storage Azure. Per le istruzioni dettagliate per abilitare l'autenticazione con AD DS in locale, vedi l'articolo relativo ai documenti al termine di questo modulo.

Abilitare l'autenticazione per le condivisioni file di Azure con Microsoft Entra Domain Services

  1. Nel menu Archiviazione account, scorrere fino a Archiviazione e quindi selezionare Condivisioni file.
  2. Nella parte superiore della pagina cercare Active Directory e selezionare Non configurato.
  3. In Microsoft Entra Domain Services selezionare Configura.
  4. Selezionare Abilita Microsoft Entra Domain Services per questa condivisione file.
  5. Selezionare Salva.
  6. Selezionare di nuovo Salva.

Assegnare ruoli per accedere ai dati di archiviazione

Assegnare un ruolo agli amministratori del controller di dominio di Microsoft Entra

È necessario assegnare ruoli al gruppo amministratori del controller di dominio Microsoft Entra e agli utenti di Desktop virtuale Azure.

  1. Assegna agli amministratori la possibilità di modificare le autorizzazioni NTFS assegnando un ruolo di collaboratore con privilegi elevati per la condivisione file.
  2. Nell'account di archiviazione creato, seleziona Controllo di accesso (IAM).
  3. Seleziona Aggiungi>Aggiungi assegnazione di ruolo.
  4. Per Ruolo, selezionare Collaboratore con privilegi elevati per la condivisione SMB di dati per file di archiviazione e fare clic su Successivo.
  5. Nel pannello Membri verificare che l'opzione Assegna accesso a sia impostata su Utente, gruppo o entità servizio.
  6. Fare clic su Seleziona membri.
  7. Fare clic su Amministratori del controller di dominio AAD e fare clic su Seleziona.
  8. Selezionare Verifica e assegna.
  9. Seleziona Rivedi e assegna di nuovo.

Assegnare un ruolo agli utenti di Desktop virtuale di Azure

  1. Assegna agli utenti un ruolo di collaboratore in modo che abbiano l'autorizzazione per leggere e scrivere dati di file nella condivisione di file SMB in cui sono archiviati i dischi virtuali del profilo utente.
  2. Nell'account di archiviazione creato, seleziona Controllo di accesso (IAM).
  3. Selezionare Aggiungi aggiungi > assegnazione di ruolo.
  4. In Ruolo, seleziona Collaboratore con privilegi elevati per la condivisione SMB di dati per file di archiviazione e fare click su Avanti.
  5. Nel pannello Membri verificare che l'opzione Assegna accesso a sia impostata su Utente, gruppo o entità servizio.
  6. Fare clic su Seleziona membri.
  7. Fare clic su Amministratori del controller di dominio AAD e fare clic su Seleziona.
  8. Selezionare Verifica e assegna.
  9. Seleziona Rivedi e assegna di nuovo.

Abilitare FSLogix

Aggiungi una chiave del registro di sistema a ciascuna macchina virtuale registrata nel pool di host. Avrai bisogno della chiave di accesso all'account di archiviazione e del percorso della condivisione dei file.

  1. Nel menu Start esegui RegEdit come amministratore.

  2. Vai a Computer_LOCAL_MACHINE.

  3. Crea una chiave per le VM chiamata Profili.

  4. Creare una chiave del Registro di sistema per archiviare il percorso SMB creato in precedenza. In Profili, aggiungi le seguenti voci di tipi di dati:

    Tipo Nome Data/valore
    DWORD Abilitato 1
    Valore stringa multipla VHDLocations Percorso condivisione file dai file di Azure nel formato percorso SMB

  5. Creare una chiave del Registro di sistema per abilitare FSLogix. In Profili, aggiungi le seguenti voci di tipi di dati:

    Tipo Nome Data/valore
    DWORD Abilitato 1

Configurare le autorizzazioni NTFS

Ottieni la chiave di accesso dell'account di archiviazione

Per configurare le autorizzazioni NTFS, sono necessari la chiave di accesso dell'account di archiviazione e il percorso della condivisione file.

  1. Nell'account di archiviazione, in Sicurezza e rete, selezionare Chiavi di accesso.

  2. Selezionare Mostra tasti.

  3. Copia il valore di uno dei campi chiave per usarlo in un secondo momento.

Ottenere un percorso di condivisione file

  1. Nel riquadro di spostamento sinistro dell'account di archiviazione scorrere verso il basso fino a Archiviazione dati e selezionare Condivisioni file.
  2. Seleziona la condivisione file che hai creato.
  3. In Impostazioni, seleziona Proprietà.
  4. Copia l'URL.
  5. Convertire l'URL da un percorso HTTP a un percorso SMB per usarlo in seguito. Ad esempio, https://myfslogixstorage.file.core.windows.net/profiles converte in \\myfslogixstorage.file.core.windows.net\profiles.

Accedere a un host di sessione

  1. Aprire un prompt dei comandi elevato su uno degli host di sessione.

  2. Eseguire i comandi seguenti in cui si sostituiscono i valori segnaposto con il percorso di condivisione file SMB, la chiave di accesso dell'account di archiviazione e il nome dell'entità utente (UPN) Microsoft Entra dell'utente. L'UPN avrà un aspetto simile kaicarter@contoso.onmicrosoft.coma .

    net use Z: [SMB path used in VHDLocations in the registry] /u:Azure\[storage account name] [storage access key]
Icacls Z: /grant [user UPN]:(f)