Compartilhar via


Armazenar contêineres de perfil FSLogix nos Arquivos do Azure e no Active Directory Domain Services ou no Microsoft Entra Domain Services

Este artigo mostra como configurar um contêiner de perfil FSLogix com Arquivos do Azure quando as VMs (máquinas virtuais) do host da sessão são ingressadas em um domínio do AD DS (Active Directory Domain Services) ou no domínio gerenciado do Microsoft Entra Domain Services.

Pré-requisitos

Para configurar um contêiner de perfil, você precisa do seguinte:

  • Um pool de host em que os hosts da sessão são ingressados em um domínio do AD DS ou no domínio gerenciado do Microsoft Entra Domain Services e os usuários são atribuídos.
  • Um grupo de segurança no seu domínio que contém os usuários que usarão o contêiner de perfil. Se você estiver usando o AD DS, isso deverá ser sincronizado com o Microsoft Entra ID.
  • Permissão na sua assinatura do Azure para criar uma conta de armazenamento e adicionar atribuições de função.
  • Uma conta de domínio para o ingresso de computadores no domínio e abertura de um prompt do PowerShell com privilégios elevados.
  • A ID da assinatura do Azure em que sua conta de armazenamento estará.
  • Um computador ingressado no seu domínio para instalar e executar módulos do PowerShell que ingressarão em uma conta de armazenamento no seu domínio. Este dispositivo precisa estar executando uma versão com suporte do Windows. Como alternativa, você pode usar um host da sessão.

Importante

Se os usuários tiverem entrado anteriormente nos hosts da sessão que você deseja usar, os perfis locais terão sido criados para eles e deverão ser excluídos primeiro por um administrador para que seu perfil seja armazenado em um contêiner de perfil.

Configurar uma conta de armazenamento para um contêiner de perfil

Para configurar uma conta de armazenamento:

  1. Se você ainda não tiver uma, crie uma conta de Armazenamento do Azure.

    Dica

    Sua organização pode ter requisitos para alterar esses padrões:

    • Se será preciso selecionar Premium depende dos seus requisitos de IOPS e latência. Para obter mais informações, consulte Opções de armazenamento de contêiner.
    • Na guia Avançado, a opção Habilitar o acesso à chave da conta de armazenamento deve ficar habilitada.
    • Para obter mais informações sobre as opções de configuração restantes, consulte Planejar uma implantação de Arquivos do Azure.
  2. Crie um compartilhamento de Arquivos do Azure em sua conta de armazenamento para armazenar seus perfis FSLogix, caso ainda não tenha feito isso.

Ingressar sua conta de armazenamento no Active Directory

Para usar contas do Active Directory para as permissões de compartilhamento de arquivos, é necessário habilitar o AD DS ou o Microsoft Entra Domain Services como origem. Esse processo une sua conta de armazenamento a um domínio, representando-a como conta de computador. Selecione abaixo a guia relevante para o seu cenário e siga as etapas.

  1. Entre em um computador ingressado no seu domínio do AD DS. Como alternativa, entre em um dos seus hosts de sessão.

  2. Baixe e extraia a versão mais recente do AzFilesHybrid do repositório GitHub de exemplos de Arquivos do Azure. Anote a pasta para a qual você extrai os arquivos.

  3. Abra um prompt do PowerShell com privilégios elevados e mude para o diretório em que você extraiu os arquivos.

  4. Execute o seguinte comando para adicionar o módulo AzFilesHybrid ao diretório de módulos do PowerShell do seu usuário:

    .\CopyToPSPath.ps1
    
  5. Importe o módulo do AzFilesHybrid executando o seguinte comando:

    Import-Module -Name AzFilesHybrid
    

    Importante

    Este módulo requer a Galeria do PowerShell e o Azure PowerShell. Você poderá ser solicitado a instalá-los se eles ainda não estiverem instalados ou precisarem de atualização. Se for solicitado, instale-os e feche todas as instâncias do PowerShell. Abra novamente um prompt do PowerShell com privilégios elevados e reimporte o módulo AzFilesHybrid antes de continuar.

  6. Entre no Azure executando o comando abaixo. Você precisará usar uma conta que tenha uma das seguintes funções de RBAC (controle de acesso baseado em função):

    • Proprietário da conta de armazenamento
    • Proprietário
    • Colaborador
    Connect-AzAccount
    

    Dica

    Se sua conta do Azure tiver acesso a vários locatários e/ou assinaturas, você precisará selecionar a assinatura correta definindo seu contexto. Para obter mais informações, confira Objetos de contexto do Azure PowerShell

  7. Ingresse a conta de armazenamento no seu domínio executando os comandos abaixo, substituindo os valores de $subscriptionId, $resourceGroupNamee $storageAccountName pelos seus. Você também pode adicionar o parâmetro -OrganizationalUnitDistinguishedName para especificar uma UO (Unidade Organizacional) na qual colocar a conta do computador.

    $subscriptionId = "subscription-id"
    $resourceGroupName = "resource-group-name"
    $storageAccountName = "storage-account-name"
    
    Join-AzStorageAccount `
        -ResourceGroupName $ResourceGroupName `
        -StorageAccountName $StorageAccountName `
        -DomainAccountType "ComputerAccount"
    
  8. Para verificar se a conta de armazenamento ingressou em seu domínio, execute os comandos abaixo e examine a saída, substituindo os valores de $resourceGroupName e $storageAccountName por seus valores:

    $resourceGroupName = "resource-group-name"
    $storageAccountName = "storage-account-name"
    
    (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
    

Importante

Se seu domínio impõe a expiração de senha, você deve atualizá-la antes que expire, para evitar falhas de autenticação no acesso a compartilhamentos de arquivos do Azure. Para obter mais informações, consulte Atualizar a senha da sua identidade de conta de armazenamento no AD DS.

Designe funções RBAC aos usuários

Os usuários que precisam armazenar perfis em seu compartilhamento de arquivos precisam de permissão para acessá-lo. Para fazer isso, você precisa atribuir a cada usuário a função de Colaborador de Compartilhamento SMB de Dados de Arquivo de Armazenamento.

Para atribuir a função aos usuários:

  1. No portal do Azure, acesse a conta de armazenamento e o compartilhamento de arquivos que você criou anteriormente.

  2. Selecione IAM (Controle de acesso) .

  3. Selecione + Adicionar e Adicionar atribuição de função no menu suspenso.

  4. Selecione a função Colaborador de Compartilhamento SMB de Dados do Arquivo de Armazenamento e Avançar.

  5. Na guia Membros, selecione Usuário, grupo ou entidade de serviço e, em seguida, selecione + Selecionar membros. Na barra de pesquisa, pesquise e selecione o grupo de segurança que contém os usuários que usarão o contêiner de perfil.

  6. Selecione Revisar + Atribuir para concluir a atribuição.

Definir permissões NTFS

Em seguida, você precisará definir permissões NTFS na pasta, o que exige que você obtenha a chave de acesso para sua conta de Armazenamento.

Para obter a chave de acesso à conta de Armazenamento:

  1. No portal do Azure, pesquise e selecione a conta de armazenamento na barra de pesquisa.

  2. Na lista de contas de armazenamento, selecione a conta para a qual você habilitou o Active Directory Domain Services ou o Microsoft Entra Domain Services como a fonte de identidade e atribuiu a função RBAC nas seções anteriores.

  3. Em Segurança + rede, selecione Chaves de acesso. Exiba e copie a chave vista em key1.

Para definir as permissões NTFS corretas na pasta:

  1. Entre em um host de sessão que seja parte do seu pool de host.

  2. Abra um prompt do PowerShell com privilégios elevados e execute o comando abaixo para mapear a conta de armazenamento como unidade no host da sessão. A unidade mapeada não será exibida no Explorador de Arquivos, mas pode ser exibida com o net use comando. Esse procedimento visa a permitir você defina permissões no compartilhamento.

    net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
    
    • Substitua <desired-drive-letter> por uma letra da unidade de sua escolha (por exemplo, y:).
    • Substitua ambas as instâncias de <storage-account-name> pelo nome da conta de armazenamento especificada anteriormente.
    • Substitua <share-name> pelo nome do compartilhamento criado anteriormente.
    • Substitua <storage-account-key> pela chave da conta de armazenamento do Azure.

    Por exemplo:

    net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
    
  3. Execute os comandos a seguir para definir permissões no compartilhamento, para que seus usuários da Área de Trabalho Virtual do Azure possam criar seu próprio perfil e bloquear o acesso a esse perfil por parte de outros usuários. Você deve usar um grupo de segurança do Active Directory que contenha os usuários que você deseja que usem o contêiner de perfil. Nos comandos abaixo, substitua <mounted-drive-letter> pela letra da unidade usada para mapear a unidade e <DOMAIN\GroupName> pelo domínio e o sAMAccountName do grupo ou usuário do Active Directory que exigirá acesso ao compartilhamento. Você também pode especificar o Nome UPN de um usuário.

    icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
    icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
    icacls <mounted-drive-letter>: /remove "Authenticated Users"
    icacls <mounted-drive-letter>: /remove "Builtin\Users"
    

    Por exemplo:

    icacls y: /grant "CONTOSO\AVDUsers:(M)"
    icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
    icacls y: /remove "Authenticated Users"
    icacls y: /remove "Builtin\Users"
    

Configurar seu dispositivo Windows local para usar contêineres de perfil

Para usar contêineres de perfil, você precisará verificar se o FSLogix Apps está instalado no seu dispositivo. Se você estiver configurando a Área de Trabalho Virtual do Azure, os Aplicativos FSLogix serão pré-instalados nos sistemas operacionais Windows 10 Enterprise de várias sessões e Windows 11 Enterprise de várias sessões, mas você ainda deverá seguir as etapas abaixo, pois talvez ele não tenha a versão mais recente instalada. Se você estiver usando uma imagem personalizada, poderá instalar os Aplicativos do FSLogix na sua imagem.

Para configurar contêineres de perfil, recomendamos que você use as Preferências de Política de Grupo para definir chaves e valores do Registro em escala em todos os hosts de sessão. Você também pode defini-los na sua imagem personalizada.

Para configurar seu dispositivo Windows local:

  1. Se você precisar instalar ou atualizar os Aplicativos do FSLogix, baixe a versão mais recente do FSLogix e instale-a executando FSLogixAppsSetup.exe e seguindo as instruções no assistente de instalação. Para obter mais detalhes sobre o processo de instalação, inclusive personalizações e instalação autônoma, consulte Baixar e instalar o FSLogix.

  2. Abra um prompt do PowerShell com privilégios elevados e execute os comandos a seguir, substituindo \\<storage-account-name>.file.core.windows.net\<share-name> pelo caminho UNC para sua conta de armazenamento criada anteriormente. Esses comandos habilitam o contêiner de perfil e configuram o local do compartilhamento.

    $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
    New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
    New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
    
  3. Reinicie seu dispositivo. Você precisará repetir essas etapas para todos os dispositivos restantes.

Agora você concluiu a configuração do contêiner do perfil. Se você estiver instalando o contêiner de perfil em sua imagem personalizada, precisará concluir a criação da imagem personalizada. Para obter mais informações, siga as etapas descritas em Criar uma imagem personalizada no Azure, da seção Fazer o instantâneo final em diante.

Validar criação de perfil

Depois de instalar e configurar o contêiner de perfil, você pode testar sua implantação entrando com uma conta de usuário que recebeu um grupo de aplicativos ou área de trabalho no pool de host.

Se o usuário já tiver entrado alguma vez, ele terá um perfil local existente que será usado durante essa sessão. Exclua primeiro o perfil local, ou crie uma nova conta de usuário a ser usada para testes.

Os usuários podem verificar se o contêiner de perfil está configurado seguindo as etapas abaixo:

  1. Entre na Área de Trabalho Virtual do Azure como o usuário de teste.

  2. Quando o usuário entrar, a mensagem "Aguarde os Serviços de Aplicativos do FSLogix" deverá aparecer como parte do processo de entrada, antes de chegar à área de trabalho.

Os administradores podem verificar se a pasta de perfil foi criada seguindo as etapas abaixo:

  1. Abra o portal do Azure.

  2. Abra a conta de armazenamento criada anteriormente.

  3. Acesse Armazenamento de dados em sua conta de armazenamento e, em seguida, selecione Compartilhamentos de arquivos.

  4. Abra o compartilhamento de arquivos e verifique se a pasta de perfil do usuário que você criou está lá.