この記事では、Microsoft Entra Kerberos 認証用に Azure Files 共有を作成して構成する方法について説明します。 この構成では、ドメイン コントローラーへのネットワーク接続を必要とせずに、Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みセッション ホストからハイブリッド ユーザー ID によってアクセスできる FSLogix プロファイルを格納できます。 Microsoft Entra Kerberos を使用すると、Microsoft Entra ID は、業界標準の SMB プロトコルを使用してファイル共有にアクセスするために必要な Kerberos チケットを発行できます。
この機能は、Azure クラウド、Azure for US Government、および 21Vianet が運用する Azure でサポートされています。
[前提条件]
このソリューションをデプロイする前に、環境が Microsoft Entra Kerberos 認証を使用して Azure Files を構成するための 要件を満たしていることを 確認します。
Azure Virtual Desktop の FSLogix プロファイルに使用する場合、セッション ホストはドメイン コントローラー (DC) へのネットワークの通信経路を持つ必要はありません。 ただし、Azure Files 共有に対するアクセス許可を構成するには、DC へのネットワーク接続を備えたシステムが必要です。
Azure ストレージ アカウントとファイル共有を構成する
FSLogix プロファイルを Azure ファイル共有に格納するには:
Azure Storage アカウント がまだない場合は作成します。
注
Azure Storage アカウントは、Microsoft Entra ID と Active Directory Domain Services (AD DS) や Microsoft Entra Domain Services などの 2 つ目の方法の両方で認証することはできません。 使用できる認証方法は 1 つだけです。
ストレージ アカウントの下に Azure Files 共有を作成し、FSLogix プロファイルをまだ保存していない場合は保存します。
Azure Files で Microsoft Entra Kerberos 認証を有効 にして、Microsoft Entra 参加済み VM からのアクセスを有効にします。
- ディレクトリとファイル レベルのアクセス許可を構成する場合は、「プロファイル コンテナーのストレージアクセス許可を構成する」で、FSLogix プロファイル の推奨されるアクセス許可の一覧を確認します。
- 適切なディレクトリ レベルのアクセス許可がない場合、ユーザーはユーザー プロファイルを削除したり、別のユーザーの個人情報にアクセスしたりできます。 誤って削除されないように、ユーザーが適切なアクセス許可を持っていることを確認することが重要です。
ローカル Windows デバイスを構成する
FSLogix プロファイル用の Microsoft Entra 参加済み VM から Azure ファイル共有にアクセスするには、FSLogix プロファイルが読み込まれるローカル Windows デバイスを構成する必要があります。 デバイスを構成するには:
次のいずれかの方法を使用して、Microsoft Entra Kerberos 機能を有効にします。
- 設定カタログを使用してこの Intune ポリシー CSP を構成し、セッション ホスト Kerberos/CloudKerberosTicketRetrievalEnabled に適用します。
注
Windows マルチセッション クライアント オペレーティング システムでは、設定カタログを使用して構成されている場合に、この設定がサポートされるようになりました。この設定を使用できるようになりました。 詳細については、 Intune での Azure Virtual Desktop マルチセッションの使用に関するページを参照してください。
デバイスでこのグループ ポリシーを有効にします。 使用する Windows のバージョンに応じて、パスは次のいずれかになります。
Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logonAdministrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logonデバイスに次のレジストリ値を作成します。
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
FSLogix などのローミング プロファイル ソリューションで Microsoft Entra ID を使用する場合、Credential Manager の資格情報キーは、現在読み込んでいるプロファイルに属している必要があります。 これにより、1 つだけに制限されるのではなく、さまざまな VM にプロファイルを読み込むことができます。 この設定を有効にするには、次のコマンドを実行して新しいレジストリ値を作成します。
reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1注
セッション ホストは、ドメイン コントローラーへのネットワークの見通し線を必要としません。
ローカル Windows デバイスで FSLogix を構成する
このセクションでは、FSLogix を使用してローカル Windows デバイスを構成する方法について説明します。 デバイスを構成するたびに、次の手順に従う必要があります。 すべてのセッション ホストでレジストリ キーが設定されていることを確認するために、いくつかのオプションを使用できます。 これらのオプションは、イメージで設定することも、グループ ポリシーを構成することもできます。
FSLogix を構成するには:
必要に応じて、FSLogix をデバイスに更新またはインストールします。
注
Azure Virtual Desktop サービスを使用して作成されたセッション ホストを構成している場合は、FSLogix が既にプレインストールされている必要があります。
「プロファイル コンテナー レジストリ設定の構成」の手順に従って、Enabled レジストリ値と VHDLocations レジストリ値を作成します。 VHDLocations の値を
\\<Storage-account-name>.file.core.windows.net\<file-share-name>に設定します。
デプロイのテスト
FSLogix をインストールして構成したら、ホスト プール上のアプリケーション グループに割り当てられているユーザー アカウントでサインインすることで、デプロイをテストできます。 サインインに使用するユーザー アカウントには、ファイル共有を使用するためのアクセス許可が必要です。
ユーザーが以前にサインインしたことがある場合は、サービスがこのセッション中に使用する既存のローカル プロファイルが存在します。 ローカル プロファイルを作成しないようにするには、テストに使用する新しいユーザー アカウントを作成するか、「チュートリアル: DeleteLocalProfileWhenVHDShouldApply 設定を有効にするためにユーザー プロファイルをリダイレクトするようにプロファイル コンテナーを構成する」で説明されている構成方法を使用します。
最後に、ユーザーが正常にサインインした後、Azure Files で作成されたプロファイルを確認します。
Azure portal を開き、管理者アカウントでサインインします。
サイドバーから[ ストレージ アカウント]を選択します。
セッション ホスト プール用に構成したストレージ アカウントを選択します。
サイドバーから[ ファイル共有]を選択します。
プロファイルを格納するように構成したファイル共有を選択します。
すべてが正しく設定されている場合は、次のような形式の名前を持つディレクトリが表示されます:
<user SID>_<username>。
次のステップ
- FSLogix のトラブルシューティングを行うには、この トラブルシューティング ガイドを参照してください。