Aktivieren der Datensicherheit
Ein Benutzerprofil ist eine Sammlung von Konfigurationen, die der Benutzer oder Administrator zur Darstellung des Status eines Systems vorgenommen hat. Verschiedene Systemkomponenten sind an das Profil eines Benutzers gebunden. Zu diesen Komponenten gehören Anwendungen, Registrierungseinträge und andere angepasste Einträge.
Windows 10 bietet verschiedene Arten von Benutzerprofilen. In der folgenden Tabelle werden die vier herkömmlichen Arten von Windows-Profilen beschrieben.
| Profiltyp | Beschreibung |
|---|---|
| Lokales Benutzerprofil | Ein lokales Benutzerprofil wird auf der Festplatte des Geräts gespeichert. Wenn ein anderes Gerät verwendet wird, wird die Anpassung nicht zwischen Geräten synchronisiert. |
| Roamingprofil eines Benutzers | Ein Roamingprofil eines Benutzers ist eine in einem freigegebenen Ordner gespeicherte Kopie des lokalen Benutzerprofils. Alle lokal an einem Roamingprofil vorgenommenen Änderungen werden mit dem freigegebenen SMB-Ordner (Server Message Block, Servernachrichtenblock) des Dateiservers synchronisiert, wenn sich der Benutzer abmeldet. Wenn sich der Benutzer bei einem anderen Gerät anmeldet, folgen die Anpassungen dem Benutzer, sobald das Roamingprofil in das neue System heruntergeladen wird. Es ist jedoch nicht möglich, alle Einstellungen für Windows und Anwendungen durch Roaming zu übernehmen. Für die Flexibilität wird eine Leistungs- und Wartungsstrafe gezahlt. Durch das Hinzufügen von FSLogix-Profilcontainern wurden die Probleme herkömmlicher Roamingprofile behoben. Im nächsten Abschnitt werden die FSLogix-Profilcontainer beschrieben. |
| Obligatorisches Profil | Ein obligatorisches Profil ist ein Roamingprofil eines Benutzers, das ein Administrator vorkonfiguriert hat, um Einstellungen für Benutzer festzulegen. Bei obligatorischen Benutzerprofilen kann ein Benutzer seinen Desktop ändern, die Änderungen werden jedoch nicht gespeichert, wenn sich der Benutzer abmeldet. Wenn sich der Benutzer das nächste Mal anmeldet, wird das obligatorische Benutzerprofil heruntergeladen, das der Administrator erstellt hat. Obligatorische Profile werden in der Regel in einer Kioskumgebung verwendet. |
| Temporäres Profil | Ein abgesichertes Profil wird erstellt, wenn das Roamingprofil eines Benutzers nicht geladen werden kann. Es wird beim Abmelden wieder verworfen. |
FSLogix-Profilcontainer
In einer Azure Virtual Desktop-Umgebung empfehlen wir FSLogix-Profilcontainer zum Speichern des gesamten Benutzerprofils. Profilcontainer sind keine herkömmliche Profilverwaltungslösung, sondern eine vollständige Remoteprofillösung für nicht beständige Umgebungen.
Profilcontainer leiten das gesamte Benutzerprofil an einen Remotespeicherort um. Die Profilcontainerkonfiguration definiert, wie und wohin das Profil umgeleitet wird. Wenn ein Profilcontainer mit Azure Virtual Desktop verwendet wird, kann er in einem Azure Storage-Konto gespeichert werden.
Wenn Sie sich bei Azure Virtual Desktop anmelden, wird dynamisch ein Container (virtuelle Festplatte) eines Benutzerprofils an den virtuellen Computer angefügt, dem ein Benutzer zugewiesen ist. FSLogix verwendet eine erweiterte Filtertreibertechnologie, um das Benutzerprofil genau wie ein lokales Benutzerprofil im System sofort verfügbar zu machen.
FSLogix behebt wichtige Probleme mit nicht beständigen Profilen. Kurz zusammengefasst verhalten sich lokale Profile durch FSLogix wie Roamingprofile, was die folgenden wichtigen Vorteile bietet:
- Leistungsverbesserungen. FSLogix-Profilcontainer bieten hohe Leistung und verhindern das ehemalige Blockieren des Exchange-Cache-Modus.
- Unterstützung für Microsoft OneDrive for Business, einschließlich Dateien bei Bedarf. Zuvor war diese Unterstützung in nicht beständigen virtualisierten Umgebungen nicht enthalten.
- SMB-Ordner. FSLogix ermöglicht die Erweiterung von Benutzerprofilen zur Bereitstellung von SMB-Volumes auf Unternehmensniveau mithilfe des Azure NetApp Files-Diensts. Azure NetApp Files unterstützt SMB 2.1 und SMB 3.1.
FSLogix-Profilcontainer mit Azure Files
Azure Files unterstützt die identitätsbasierte SMB-Authentifizierung mithilfe lokaler Active Directory Domain Services (AD DS) mit Microsoft Entra Domain Services. Azure Files wendet Kerberos-Protokolle für die Authentifizierung mit lokalem AD DS oder Microsoft Entra Domain Services an. Durch das Aktivieren des identitätsbasierten Zugriffs für Ihre Azure-Dateifreigaben können Sie vorhandene lokale Dateiserver durch Azure-Dateifreigaben ersetzen, während Ihr vorhandener Verzeichnisdienst beibehalten wird.
Die Dateifreigaben werden auf einem virtuellen Azure-Computer gehostet, der sich im virtuellen Netzwerk Ihres Azure Virtual Desktop-Hostpools befindet. Der virtuelle Computer, bei dem es sich um die Dateifreigabe handelt, wird mit der Domäne von Active Directory im virtuellen Netzwerk verbunden. Nachdem der virtuelle Computer der Domäne beigetreten ist, kann er als FSLogix-Profilcontainerfreigabe für einen Hostpool fungieren.
Es wird dringend empfohlen, Azure Files anstelle von Dateifreigaben zu verwenden.
Sichern Ihrer Azure Virtual Desktop-Daten mithilfe von Azure Disk Encryption
Alle Dateien, die von Azure Virtual Desktop in Azure NetApp Files verwendet werden, werden mit dem Standard Federal Information Processing Standards Publications (FIPS PUBS) 140-2 verschlüsselt. Der Azure NetApp Files-Dienst verwaltet alle Schlüssel und generiert einen eindeutigen XTS-AES-256-Datenverschlüsselungsschlüssel für jedes Volume.
Azure Virtual Desktop verwendet einen Verschlüsselungsschlüssel zum Verschlüsseln und Schützen aller Volumeschlüssel. Diese Verschlüsselungsschlüssel sind niemals in einem unverschlüsselten Format verfügbar oder in Berichten enthalten. Die Schlüssel werden auch sofort gelöscht, wenn ein Volume gelöscht wird.
Hinweis
Unterstützung für vom Kunden verwaltete Schlüssel (Bring Your Own Key) über Azure Dedicated HSM ist verfügbar. Überprüfen Sie die Verfügbarkeit in Ihrer Region.