Azure Files と Microsoft Entra ID を使用してプロファイル コンテナーを作成する

この記事では、Microsoft Entra Kerberos 認証用の Azure Files 共有を作成して構成する方法について説明します。 この構成を使うことで、ドメイン コントローラーへのネットワーク通信経路がなくても、ハイブリッド ユーザー ID が Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みセッション ホストからアクセスできる FSLogix プロファイルを格納できます。 Microsoft Entra Kerberos を使うと、Microsoft Entra ID で業界標準の SMB プロトコルでファイル共有にアクセスするために必要な Kerberos チケットを発行できます。

この機能は、Azure クラウド、米国政府向け Azure、21Vianet によって運営される Azure でサポートされています。

前提条件

このソリューションをデプロイする前に、お使いの環境が Microsoft Entra Kerberos 認証で Azure Files を構成するための要件を満たしていることを確認します。

Azure Virtual Desktop の FSLogix プロファイルに使用する場合、セッション ホストにはドメイン コントローラー (DC) へのネットワーク通信経路は必要はありません。 ただし、Azure Files 共有に対するアクセス許可を構成するには、DC へのネットワーク通信経路を備えたシステムが必要です。

Azure ストレージ アカウントとファイル共有を構成する

FSLogix プロファイルを Azure ファイル共有に保存するには:

  1. Azure ストレージ アカウントをまだお持ちでない場合は作成します。

    Note

    Azure Storage アカウントでは、Microsoft Entra ID、および Active Directory Domain Services (AD DS) や Microsoft Entra Domain Services などの 2 番目の方法の両方で認証することはできません。 使用できる認証方法は 1 つのみです。

  2. FSLogix プロファイルを格納するために、ご利用のストレージ アカウントで Azure Files 共有を作成します (まだお持ちでない場合)。

  3. Azure Files で Microsoft Entra Kerberos 認証を有効にして、Microsoft Entra 参加済み VM からのアクセスを有効にします。

    • ディレクトリとファイル レベルのアクセス許可を構成する場合は、プロファイル コンテナー用のストレージのアクセス許可の構成に関するページで、FSLogix プロファイルの推奨されるアクセス許可の一覧を確認します。
    • 適切なディレクトリ レベルのアクセス許可が適用されていない場合、ユーザーはユーザー プロファイルを削除したり、別のユーザーの個人情報にアクセスしたりできます。 誤って削除されないように、ユーザーが適切なアクセス許可を持っていることを確認することが重要です。

セッション ホストを構成する

FSLogix プロファイルの Microsoft Entra 参加済み VM から Azure ファイル共有にアクセスするには、セッション ホストを構成する必要があります。 セッション ホストを構成するには:

  1. 次のいずれかの方法を使用して、Microsoft Entra Kerberos 機能を有効にします。

    • この Intune ポリシー CSP を構成し、それをセッション ホストに適用します (Kerberos/CloudKerberosTicketRetrievalEnabled)。

      Note

      Windows マルチセッション クライアント オペレーティング システムは、設定カタログのみをサポートし、ポリシー CSP はサポートしていないため、他のいずれかの方法を使用する必要があります。 詳細については、Intune での Azure Virtual Desktop マルチセッションの使用に関する記事を参照してください。

    • セッション ホストでこのグループ ポリシーを有効にします。 パスは、セッション ホストで使用する Windows のバージョンに応じて、次のいずれかになります。

      • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
      • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
      • セッション ホストに次のレジストリ値を作成します。reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
  2. FSLogix のようなローミング プロファイル ソリューションで Microsoft Entra ID を使用する場合は、資格情報マネージャーの資格情報キーが、現在読み込み中のプロファイルに属している必要があります。 これにより、1 つのみに制限されるのではなく、さまざまな VM にプロファイルを読み込めるようになります。 この設定を有効にするには、次のコマンドを実行して、新しいレジストリ値を作成します。

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
    

Note

セッション ホストには、ドメイン コントローラーへのネットワーク通信は必要ありません。

セッション ホストで FSLogix を構成する

このセクションでは、VM に FSLogix を構成する方法を説明します。 ここに挙げた手順は、セッション ホストを構成するたびに必要になります。 すべてのセッション ホストでレジストリ キーが設定されるようにするために、いくつかのオプションが用意されています。 イメージ内でそれらのオプションを設定するか、グループ ポリシーを構成することができます。

FSLogix を構成するには:

  1. 必要に応じて、セッション ホストで FSLogix を更新またはインストールします。

    Note

    セッション ホストが Azure Virtual Desktop サービスを使用して作成される場合、FSLogix がプレインストールされている必要があります。

  2. プロファイル コンテナー レジストリ設定を構成する」の手順に従って、Enabled および VHDLocations レジストリ値を作成します。 VHDLocations の値を \\<Storage-account-name>.file.core.windows.net\<file-share-name> に設定します。

デプロイのテスト

FSLogix をインストールして構成したら、ホスト プール上のアプリケーション グループに割り当てられているユーザー アカウントでサインインすることによって、デプロイをテストできます。 サインインに使うユーザー アカウントには、ファイル共有を使用するためのアクセス許可が必要です。

ユーザーが以前にサインインしたことがある場合は、このセッション中にサービスで使用される既存のローカル プロファイルがあります。 ローカル プロファイルを作成しないようにするには、テストに使用する新しいユーザー アカウントを作成するか、「チュートリアル: ユーザー プロファイルをリダイレクトするプロファイル コンテナーを構成する」で説明されている構成方法を使用して、DeleteLocalProfileWhenVHDShouldApply 設定を有効にします。

最後に、ユーザーが正常にサインインした後に、Azure Filesで作成されたプロファイルを確認します。

  1. Azure portal を開き、管理アカウントでサインインします。

  2. サイドバーで [ストレージ アカウント] を選択します。

  3. セッション ホスト プール用に構成したストレージ アカウントを選択します。

  4. サイドバーから、[ファイル共有] を選択します。

  5. プロファイルを格納するように構成したファイル共有を選択します。

  6. すべてが正しく設定されている場合は、<user SID>_<username> のような形式の名前を含むディレクトリが表示されるはずです。

次のステップ