Speichern von FSLogix-Profilcontainern in Azure Files mithilfe der Microsoft Entra-ID

Von Bedeutung

Eine bevorstehende Änderung in Windows, die im Windows Server-Update vom April 2026 enthalten ist, besteht darin, dass der standardmäßige Kerberos-Verschlüsselungstyp von RC4 auf AES-SHA1 geändert wird.

Dateifreigaben, die FSLogix-Container hosten und nicht auf AES-SHA1 aktualisiert wurden, haben möglicherweise Zugriffsprobleme, nachdem diese Änderung angewendet wurde. Um Unterbrechungen zu vermeiden, schließen Sie das Upgrade auf AES-SHA1 vor der Installation des Updates ab.

Kunden, die bereits auf AES-SHA1 aktualisiert haben, sind nicht betroffen.

Weitere Informationen finden Sie im FSLogix-Blog: Aktion erforderlich: Windows Kerberos-Härtung (RC4) kann sich auf FSLogix-Profile auf SMB-Speicher auswirken.

In diesem Artikel erfahren Sie, wie Sie eine Azure Files-Freigabe für die Microsoft Entra Kerberos-Authentifizierung erstellen und konfigurieren. Mit dieser Konfiguration können Sie FSLogix-Profile speichern, auf die verschiedene Benutzer zugreifen können, basierend auf der Konfiguration:

  • Durch hybride Benutzeridentitäten, die entweder mit Microsoft Entra verbunden sind oder Microsoft Entra-Hybridsitzungshosts verwenden, ohne eine Netzwerkverbindung zu Domänencontrollern zu benötigen. Dieses Feature wird in der Azure-Cloud, Azure für die US-Regierung und Azure, das von 21Vianet betrieben wird, unterstützt.
  • Durch reine Cloudidentitäten oder externe Identitäten. Dieses Feature wird nur in der Azure Cloud unterstützt.

Microsoft Entra Kerberos ermöglicht es Microsoft Entra-ID, die erforderlichen Kerberos-Tickets auszugeben, um auf die Dateifreigabe mit dem Branchenstandard-SMB-Protokoll zuzugreifen.

Voraussetzungen

Überprüfen Sie vor der Bereitstellung dieser Lösung, ob Ihre Umgebung die Anforderungen zum Konfigurieren von Azure Files mit der Microsoft Entra Kerberos-Authentifizierung erfüllt.

Bei der Verwendung von FSLogix-Profilen in Azure Virtual Desktop müssen die Sitzungshosts keine direkte Netzwerkverbindung zum Domänencontroller (DC) haben. Ein System mit Netzwerkleitung zum DC ist jedoch erforderlich, um die Berechtigungen für die Azure Files-Freigabe zu konfigurieren.

Stellen Sie vor der Bereitstellung dieser Lösung sicher, dass Ihre Umgebung die Anforderungen erfüllt , um Azure Files mit der Microsoft Entra Kerberos-Authentifizierung für reine Cloud- oder externe Identitäten zu konfigurieren.

Konfigurieren Ihres Azure-Speicherkontos und der Dateifreigabe

So speichern Sie Ihre FSLogix-Profile in einer Azure-Dateifreigabe:

  1. Erstellen Sie ein Azure Storage-Konto , wenn Sie noch kein Konto besitzen.

    Hinweis

    Ihr Azure Storage-Konto kann sich nicht sowohl mit der Microsoft Entra-ID als auch mit einer zweiten Methode wie Active Directory Domain Services (AD DS) oder Microsoft Entra Domain Services authentifizieren. Sie können nur eine Authentifizierungsmethode verwenden.

  2. Erstellen Sie eine Azure Files-Freigabe unter Ihrem Speicherkonto, um Ihre FSLogix-Profile zu speichern, sofern noch nicht geschehen.

  3. Aktivieren Sie die Microsoft Entra Kerberos-Authentifizierung in Azure Files , um den Zugriff von in Microsoft Entra eingebundenen VMs zu ermöglichen. Dies umfasst die folgenden Schritte:

    1. Enable Microsoft Entra Kerberos-Authentifizierung für das Speicherkonto. Dadurch wird die Entra ID App-Registrierung für das Speicherkonto erstellt und Ihnen die Bereitstellung von Berechtigungen auf Verzeichnis- und Dateiebene für Gruppen ermöglicht, die über Entra ID verwaltet werden.
    2. Weisen Sie Berechtigungen auf Freigabeebene zu. Sie können Ihren Benutzern Berechtigungen auf Freigabeebene entweder zuweisen, indem Sie auf der Seite für die Identitätsquelle Standardberechtigungen auf Freigabeebene konfigurieren, oder indem Sie Azure-Rollen für die rollenbasierte Zugriffssteuerung (RBAC) erstellen.
    3. Konfigurieren Sie die Speicherberechtigungen für Profilcontainer. Überprüfen Sie die empfohlene Liste der Berechtigungen für FSLogix Profile, damit Benutzer ihr eigenes Profil erstellen und verwenden können, während Administratoren die Freigabe verwalten können.

  4. Konfigurieren Sie die Entra ID App-Registrierung für das Speicherkonto, um sicherzustellen, dass Benutzer Tickets für ihre zugewiesenen Entra ID-Gruppen ordnungsgemäß erwerben können.

    1. Erteilen Sie dem neuen Dienstprinzipal die Administratorzustimmung. Dadurch werden die Berechtigungen für Benutzer erteilt, um Entra ID Token für das Speicherkonto anzufordern.
    2. Deaktivieren Sie die mehrstufige Authentifizierung für das Speicherkonto. Dadurch wird sichergestellt, dass der Benutzer das Entra ID Token und Kerberos-Tickets abrufen kann, während es während der Benutzeranmeldung im Hintergrund geschieht, da keine UX zum Ausführen einer schrittweisen Authentifizierung vorhanden ist.

So speichern Sie Ihre FSLogix-Profile in einer Azure-Dateifreigabe:

  1. Erstellen Sie ein Azure Storage-Konto , wenn Sie noch kein Konto besitzen.

    Hinweis

    Ihr Azure Storage-Konto kann sich nicht sowohl mit der Microsoft Entra-ID als auch mit einer zweiten Methode wie Active Directory Domain Services (AD DS) oder Microsoft Entra Domain Services authentifizieren. Sie können nur eine Authentifizierungsmethode verwenden.

  2. Erstellen Sie eine Azure Files-Freigabe unter Ihrem Speicherkonto, sofern noch nicht geschehen, um Ihre FSLogix-Profile zu speichern und Berechtigungen über eine Zugriffssteuerung verwalten zu können.

  3. Aktivieren Sie die Microsoft Entra Kerberos-Authentifizierung in Azure Files , um den Zugriff von in Microsoft Entra eingebundenen VMs zu ermöglichen. Dies umfasst die folgenden Schritte:

    1. Enable Microsoft Entra Kerberos-Authentifizierung für das Speicherkonto. Dadurch wird die Entra ID App-Registrierung für das Speicherkonto erstellt und Ihnen die Bereitstellung von Berechtigungen auf Verzeichnis- und Dateiebene für Gruppen ermöglicht, die über Entra ID verwaltet werden.
    2. Weisen Sie Berechtigungen auf Freigabeebene zu. Sie können Ihren Benutzern Berechtigungen auf Freigabeebene zuweisen, indem Sie auf der Seite „Identitätsquelle“ standardmäßige Berechtigungen auf Freigabeebene konfigurieren oder Azure-Rollen für die rollenbasierte Zugriffssteuerung (RBAC) erstellen.
    3. Konfigurieren Sie die Speicherberechtigungen für Profilcontainer. Überprüfen Sie die empfohlene Liste der Berechtigungen für FSLogix-Profile, damit Benutzer ihr eigenes Benutzerprofil erstellen und verwenden können und Administratoren gleichzeitig die Freigabe verwalten können. Wenn Entra Kerberos konfiguriert ist, wird eine Registerkarte " Zugriff verwalten " angezeigt, um Berechtigungen zuzuweisen. Dies ist die empfohlene Konfigurationsoption für reine Cloud- und externe Identitätsbenutzer. Screenshot, der eine Azure Dateifreigabe mit der Option Screenshot, der die Seite

  4. Konfigurieren Sie die Entra ID App-Registrierung für das Speicherkonto, um sicherzustellen, dass Benutzer Tickets für ihre zugewiesenen Entra ID-Gruppen ordnungsgemäß erwerben können.

    1. Erteilen Sie dem neuen Dienstprinzipal die Administratorzustimmung. Dadurch werden die Berechtigungen für Benutzer erteilt, um Entra ID Token für das Speicherkonto anzufordern.
    2. Deaktivieren Sie die mehrstufige Authentifizierung für das Speicherkonto. Dadurch wird sichergestellt, dass der Benutzer das Entra ID Token und Kerberos-Tickets abrufen kann, während es während der Benutzeranmeldung im Hintergrund geschieht, da keine UX zum Ausführen einer schrittweisen Authentifizierung vorhanden ist.
    3. Fügen Sie ein App-Manifesttag hinzu, um die Unterstützung für reine Cloudgruppen zu aktivieren. Dadurch wird sichergestellt, dass Entra nur cloudbasierte Entra ID Gruppen in das Kerberos-Ticket und nicht nur lokale Gruppen einschließt. Nach Abschluss sollte Ihr App-Manifest wie folgt aussehen, wobei kdc_enable_cloud_group_sids im Abschnitt tags des App-Manifests hinzugefügt wurde: Screenshots, die das Manifest einer App-Registrierung zeigen, wobei das Tag kdc_enable_cloud_group_sids dem Array „tags“ hinzugefügt wurde.

Konfigurieren Ihres lokalen Windows-Geräts

Um auf Azure-Dateifreigaben von einer in Microsoft Entra eingebundenen VM für FSLogix-Profile zuzugreifen, müssen Sie das lokale Windows-Gerät konfigurieren, auf das Ihre FSLogix-Profile geladen werden. So konfigurieren Sie Ihr Gerät:

  1. Aktivieren Sie die Microsoft Entra Kerberos-Funktionalität mit einer der folgenden Methoden.

    Hinweis

    Windows Multisitzungsclient-Betriebssysteme unterstützen diese Einstellung jetzt, sofern sie mit dem Einstellungskatalog konfiguriert ist, wo die Einstellung jetzt verfügbar ist. Erfahren Sie mehr über die Verwendung von Azure Virtual Desktop multi-session with Intune.

    • Aktivieren Sie diese Gruppenrichtlinie auf Ihrem Gerät. Der Pfad ist je nach verwendeter Windows-Version eine der folgenden:

    • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

    • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

    • Erstellen Sie den folgenden Registrierungswert auf Ihrem Gerät: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

  1. Wenn Sie Microsoft Entra ID mit einer Roamingprofillösung wie FSLogix verwenden, müssen die Anmeldeinformationsschlüssel im Anmeldeinformations-Manager zu dem Profil gehören, das derzeit geladen wird. Auf diese Weise können Sie Ihr Profil auf viele verschiedene virtuelle Computer laden, anstatt auf nur einen zu beschränken. Um diese Einstellung zu aktivieren, erstellen Sie einen neuen Registrierungswert, indem Sie den folgenden Befehl ausführen:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

    Hinweis

    Die Sitzungshosts benötigen keine direkte Netzwerkverbindung zum Domänencontroller.

  1. Wenn Sie Microsoft Entra ID mit einer Roamingprofillösung wie FSLogix verwenden, müssen die Anmeldeinformationsschlüssel im Anmeldeinformations-Manager zu dem Profil gehören, das derzeit geladen wird. Auf diese Weise können Sie Ihr Profil auf viele verschiedene virtuelle Computer laden, anstatt auf nur einen zu beschränken. Um diese Einstellung zu aktivieren, erstellen Sie einen neuen Registrierungswert, indem Sie den folgenden Befehl ausführen:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

Konfigurieren von FSLogix auf Ihrem lokalen Windows-Gerät

In diesem Abschnitt erfahren Sie, wie Sie Ihr lokales Windows-Gerät mit FSLogix konfigurieren. Sie müssen diese Anweisungen jedes Mal befolgen, wenn Sie ein Gerät konfigurieren. Es stehen mehrere Optionen zur Verfügung, mit denen sichergestellt wird, dass die Registrierungsschlüssel auf allen Sitzungshosts festgelegt sind. Sie können diese Optionen in einem Image festlegen oder eine Gruppenrichtlinie konfigurieren.

So konfigurieren Sie FSLogix:

  1. Aktualisieren oder installieren Sie FSLogix auf Ihrem Gerät, falls erforderlich.

    Hinweis

    Wenn Sie einen Sitzungshost konfigurieren, der mit dem Azure Virtual Desktop-Dienst erstellt wurde, sollte FSLogix bereits vorinstalliert sein.

  2. Befolgen Sie die Anweisungen unter "Konfigurieren von Registrierungseinstellungen für Profilcontainer ", um die Registrierungswerte "Enabled " und "VHDLocations " zu erstellen. Legen Sie den Wert von VHDLocations auf \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Testen Sie Ihre Bereitstellung

Nachdem Sie FSLogix installiert und konfiguriert haben, können Sie Ihre Bereitstellung testen, indem Sie sich mit einem Benutzerkonto anmelden, das einer Anwendungsgruppe im Hostpool zugewiesen wurde. Das Benutzerkonto, mit dem Sie sich anmelden, muss über die Berechtigung zum Verwenden der Dateifreigabe verfügen.

Wenn sich der Benutzer zuvor angemeldet hat, verfügt er über ein vorhandenes lokales Profil, das der Dienst während dieser Sitzung verwendet. Um das Erstellen eines lokalen Profils zu vermeiden, erstellen Sie entweder ein neues Benutzerkonto, das für Tests verwendet werden soll, oder verwenden Sie die in Lernprogramm beschriebenen Konfigurationsmethoden : Konfigurieren des Profilcontainers zum Umleiten von Benutzerprofilen, um die Einstellung "DeleteLocalProfileWhenVHDShouldApply " zu aktivieren.

Überprüfen Sie schließlich das profil, das in Azure Files erstellt wurde, nachdem sich der Benutzer erfolgreich angemeldet hat:

  1. Öffnen Sie das Azure-Portal, und melden Sie sich mit einem Administratorkonto an.

  2. Wählen Sie auf der Randleiste "Speicherkonten" aus.

  3. Wählen Sie das Speicherkonto aus, das Sie für Ihren Sitzungshostpool konfiguriert haben.

  4. Wählen Sie auf der Randleiste "Dateifreigaben" aus.

  5. Wählen Sie die Dateifreigabe aus, die Sie zum Speichern der Profile konfiguriert haben.

  6. Wenn alles ordnungsgemäß eingerichtet ist, sollte ein Verzeichnis mit einem Namen angezeigt werden, der wie folgt formatiert ist: <user SID>_<username>

Nächste Schritte

  • Last updated on