啟用資料安全性
使用者設定檔是組態的集合,這些組態是使用者或系統管理員為了代表系統狀態所做的。 各種系統元件繫結至使用者的設定檔。 這些元件包括應用程式、登錄項目及其他自訂項目。
Windows 10 提供數種類型的使用者設定檔。 下表描述四種傳統類型的 Windows 設定檔。
| 設定檔類型 | 描述 |
|---|---|
| 本機使用者設定檔 | 本機使用者設定檔儲存在裝置磁碟上。 如果使用不同的裝置,則自訂不會在裝置之間同步。 |
| 漫遊使用者設定檔 | 漫遊使用者設定檔是本機使用者設定檔的副本,儲存在共用資料夾上。 當使用者登出時,在本機對漫遊設定檔所做的任何變更,都會同步至檔案伺服器的伺服器訊息區 (SMB) 共用資料夾。如果使用者登入不同的裝置,則自訂會跟隨使用者,因為漫遊設定檔會下載到新系統。 不過,無法漫遊 Windows 和應用程式的所有設定。 基於彈性,會支付效能和維護損失。 新增 FSLogix 設定檔容器解決了傳統漫遊設定檔的缺點。 下一節描述 FSLogix 設定檔容器。 |
| 強制設定檔 | 強制設定檔是漫遊使用者設定檔,系統管理員已預先設定為指定使用者的設定。 使用強制使用者設定檔時,使用者可以修改其桌面,但是當使用者登出時不會儲存變更。下次使用者登入時,會下載系統管理員所建立的強制使用者設定檔。 強制設定檔通常用於 kiosk 環境。 |
| 暫時設定檔 | 若使用者的漫遊設定檔在載入時出現問題,即會建立失敗-安全設定檔。 登出時即會將其捨棄。 |
FSLogix 設定檔容器
在 Azure 虛擬桌面環境中,建議使用 FSLogix 設定檔容器來儲存整個使用者設定檔。 設定檔容器不是傳統的設定檔管理解決方案,而是非持續性環境的完整遠端設定檔解決方案。
設定檔容器會將整個使用者設定檔重新導向至遠端位置。 設定檔容器設定會定義重新導向設定檔的方法及位置。 當設定檔容器與 Azure 虛擬桌面搭配使用時,其可以儲存在 Azure 儲存體帳戶中。
當您登入 Azure 虛擬桌面時,使用者設定檔的容器 (虛擬硬碟) 會動態附加到指派給使用者的 VM。 FSLogix 會使用進階篩選驅動程式技術,以允許使用者設定檔可立即在系統中使用,與本機使用者設定檔完全相同。
FSLogix 解決了非持續性設定檔的重要問題。 簡言之,FSLogix 可讓本機設定檔像漫遊設定檔一樣行動,並提供下列主要優點:
- 效能提升。 FSLogix 設定檔容器提供高效能,並解決歷史封鎖的 Exchange 快取模式。
- 支援 Microsoft 商務用 OneDrive,包括檔案隨選。 先前,此支援未包含在非持續性虛擬化環境中。
- SMB 資料夾。 FSLogix 提供延伸使用者設定檔,以使用 Azure NetApp 檔案服務佈建企業級 SMB 磁碟區。 Azure NetApp 檔案支援 SMB 2.1 和 SMB 3.1。
FSLogix 設定檔容器與 Azure 檔案
Azure 檔案服務支援使用內部部署 Active Directory Domain Services (AD DS) 搭配 Microsoft Entra Domain Services 進行 SMB 身分識別型驗證。 Azure 檔案服務會套用 Kerberos 通訊協定,以向內部部署 AD DS 或 Microsoft Entra Domain Services 進行驗證。 啟用 Azure 檔案共用的身分識別型存取可讓您將現有的內部部署檔案伺服器取代為 Azure 檔案共用,同時維護現有的目錄服務。
檔案共用會託管於 Azure 虛擬機器中,而此 Azure 虛擬機器位於 Azure 虛擬桌面主機集區的虛擬網路中。 虛擬機器 (即檔案共用) 會加入至虛擬網路上的 Active Directory 網域。 在虛擬機器加入至網域之後,就可以做為主機集區的 FSLogix 設定檔容器共用。
我們強烈建議使用 Azure 檔案,而不是檔案共用。
使用 Azure 磁碟加密保護您的 Azure 虛擬桌面資料
Azure 虛擬桌面在 Azure NetApp 檔案中使用的所有檔案,都是透過聯邦資訊處理標準出版物 (FIPS PUBS) 140-2 標準加密。 Azure NetApp 檔案服務會管理所有金鑰,並針對每個磁碟區產生唯一的 XTS-AES-256 資料加密金鑰。
Azure 虛擬桌面會使用加密金鑰來加密及保護所有磁碟區金鑰。 這些加密金鑰永遠不會以未加密的格式提供或報告。 當刪除磁碟區時,也會立即刪除金鑰。
注意事項
可透過 Azure 專用 HSM 支援客戶管理的金鑰 (攜帶您自己的金鑰)。 檢查是否可在您的地區使用。