Almacenamiento de contenedores de perfiles de FSLogix en Azure Files mediante el identificador de Microsoft Entra

Importante

Un próximo cambio en Windows, incluido en la actualización de abril de 2026 de Windows Server, el tipo de cifrado Kerberos predeterminado cambia de RC4 a AES-SHA1.

Los recursos compartidos de archivos que hospedan contenedores de FSLogix que no se actualizan a AES-SHA1 podrían tener problemas de acceso después de aplicar este cambio. Para evitar interrupciones, complete la actualización a AES-SHA1 antes de instalar la actualización.

Los clientes que ya se han actualizado a AES-SHA1 no se ven afectados.

Para obtener más información, consulte el blog de FSLogix: Acción requerida: El refuerzo de Windows Kerberos (RC4) puede afectar a los perfiles de FSLogix en el almacenamiento SMB.

En este artículo, aprenderá a crear y configurar una compartición de Azure Files para la autenticación Kerberos de Microsoft Entra. Esta configuración permite almacenar perfiles de FSLogix a los que acceden distintos usuarios, en función de la configuración:

  • Mediante identidades de usuario híbridas de hosts de sesión unidos o híbridos de Microsoft Entra sin necesidad de tener línea de visión a los controladores de dominio. Esta característica es compatible con la nube de Azure, Azure para la Administración Pública de EE. UU. y Azure operado por 21Vianet.
  • Por identidades solo en la nube o identidades externas. Esta característica solo se admite en la nube de Azure.

Microsoft Entra Kerberos permite a Microsoft Entra ID emitir los vales Kerberos necesarios para acceder a la compartición de archivos con el protocolo SMB estándar del sector.

Prerrequisitos

Antes de implementar esta solución, compruebe que el entorno cumple los requisitos para configurar Azure Files con la autenticación Kerberos de Microsoft Entra.

Cuando se utiliza para los perfiles de FSLogix en Azure Virtual Desktop, los hosts de sesión no necesitan una conexión de red directa con el controlador de dominio (DC). Sin embargo, se requiere un sistema con visibilidad de red directa al centro de datos para configurar los permisos en la compartición de Azure Files.

Antes de implementar esta solución, compruebe que el entorno cumple los requisitos para configurar Azure Files con la autenticación Kerberos de Microsoft Entra para identidades solo en la nube o externas.

Configuración de la cuenta de Azure Storage y el recurso compartido de archivos

Para almacenar los perfiles de FSLogix en un recurso compartido de archivos de Azure:

  1. Cree una cuenta de Azure Storage si aún no tiene una.

    Nota:

    La cuenta de Azure Storage no se puede autenticar con microsoft Entra ID y un segundo método como Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services. Solo puede usar un método de autenticación.

  2. Cree un recurso compartido de Azure Files en su cuenta de almacenamiento para almacenar sus perfiles de FSLogix si aún no lo ha hecho.

  3. Habilite la autenticación Kerberos de Microsoft Entra en Azure Files para habilitar el acceso desde máquinas virtuales unidas a Microsoft Entra. Esto incluye los siguientes pasos:

    1. Habilitar la autenticación Kerberos de Microsoft Entra para la cuenta de almacenamiento. Esto creará el registro de aplicación Entra ID para la cuenta de almacenamiento y le permitirá proporcionar permisos de directorio y de nivel de archivo a grupos administrados a través de Entra ID.
    2. Asignar permisos de uso compartido. Puede asignar permisos de nivel de recurso compartido a sus usuarios ya sea configurando permisos predeterminados de nivel de recurso compartido en la página del origen de identidades, o bien creando roles de control de acceso basado en roles de Azure (RBAC).
    3. Configure los permisos de almacenamiento para los contenedores de perfiles. Revise la lista recomendada de permisos para los perfiles de FSLogix para permitir a los usuarios crear y usar su propio perfil, al tiempo que permite a los administradores administrar el recurso compartido.

  4. Configure el registro de aplicaciones de Entra ID de la cuenta de almacenamiento para asegurarse de que los usuarios puedan obtener correctamente tickets para los grupos de Entra ID que tienen asignados.

    1. Otorgue el consentimiento de administrador a la nueva entidad de servicio. Esto concede los permisos para que los usuarios soliciten tokens de Entra ID para la cuenta de almacenamiento.
    2. Deshabilite la autenticación multifactor en la cuenta de almacenamiento. Esto garantiza que el usuario pueda obtener el token de Entra ID y los tickets de Kerberos de forma silenciosa durante el inicio de sesión, ya que no hay ninguna interfaz de usuario para realizar la autenticación reforzada.

Para almacenar los perfiles de FSLogix en un recurso compartido de archivos de Azure:

  1. Cree una cuenta de Azure Storage si aún no tiene una.

    Nota:

    La cuenta de Azure Storage no se puede autenticar con microsoft Entra ID y un segundo método como Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services. Solo puede usar un método de autenticación.

  2. Cree un recurso compartido de Azure Files en su cuenta de almacenamiento para almacenar los perfiles de FSLogix si aún no lo ha hecho, donde podrá administrar los permisos a través de un control Administrar acceso.

  3. Habilite la autenticación Kerberos de Microsoft Entra en Azure Files para habilitar el acceso desde máquinas virtuales unidas a Microsoft Entra. Esto incluye los siguientes pasos:

    1. Habilitar la autenticación Kerberos de Microsoft Entra para la cuenta de almacenamiento. Esto creará el registro de aplicación Entra ID para la cuenta de almacenamiento y le permitirá proporcionar permisos de directorio y de nivel de archivo a grupos administrados a través de Entra ID.
    2. Asignar permisos de uso compartido. Puede asignar permisos de nivel de recurso compartido a sus usuarios ya sea configurando permisos predeterminados de nivel de recurso compartido en la página del origen de identidades, o bien creando roles de control de acceso basado en roles de Azure (RBAC).
    3. Configure los permisos de almacenamiento para los contenedores de perfiles. Revise la lista recomendada de permisos para los perfiles de FSLogix para permitir a los usuarios crear y usar su propio perfil, al tiempo que permite a los administradores administrar el recurso compartido. Cuando Entra Kerberos esté configurado, verá una pestaña Administrar acceso para asignar permisos, que es la opción de configuración recomendada para los usuarios de identidades solo en la nube y externos. Captura de pantalla que muestra un recurso compartido de archivos de Azure con la opción de acción Administrar acceso disponible para seleccionar. Captura de pantalla que muestra la página Administrar acceso, que permite agregar permisos para usuarios o grupos de Entra, o identificadores de seguridad.

  4. Configure el registro de aplicaciones de Entra ID de la cuenta de almacenamiento para asegurarse de que los usuarios puedan obtener correctamente tickets para los grupos de Entra ID que tienen asignados.

    1. Otorgue el consentimiento de administrador a la nueva entidad de servicio. Esto concede los permisos para que los usuarios soliciten tokens de Entra ID para la cuenta de almacenamiento.
    2. Deshabilite la autenticación multifactor en la cuenta de almacenamiento. Esto garantiza que el usuario pueda obtener el token de Entra ID y los tickets de Kerberos de forma silenciosa durante el inicio de sesión, ya que no hay ninguna interfaz de usuario para realizar la autenticación reforzada.
    3. Agregue una etiqueta de manifiesto de aplicación para habilitar la compatibilidad con grupos solo en la nube. Esto garantiza que Entra incluirá grupos de Entra ID exclusivos de la nube en el tique de Kerberos, en lugar de incluir solo grupos del entorno local. Cuando haya finalizado, el manifiesto de la aplicación debe tener este aspecto con el kdc_enable_cloud_group_sids agregado en la parte de etiquetas del manifiesto de la aplicación: capturas de pantalla que muestran un manifiesto de un registro de aplicación, con la etiqueta kdc_enable_cloud_group_sids agregada a la matriz de etiquetas.

Configuración del dispositivo Windows local

Para acceder a los recursos compartidos de archivos de Azure desde una máquina virtual unida a Microsoft Entra para perfiles de FSLogix, debe configurar el dispositivo Windows local en el que se cargan los perfiles de FSLogix. Para configurar el dispositivo:

  1. Habilite la funcionalidad Kerberos de Microsoft Entra mediante uno de los métodos siguientes.

    Nota:

    Los sistemas operativos cliente de varias sesiones de Windows ahora admiten esta configuración siempre que se configure con el catálogo de configuración, donde la configuración ya está disponible. Obtenga más información en Uso de varias sesiones de Azure Virtual Desktop con Intune.

    • Habilite esta directiva de grupo en el dispositivo. La ruta de acceso será una de las siguientes, en función de la versión de Windows que use:

    • Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon

    • Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

    • Cree el siguiente valor del Registro en su dispositivo: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

  1. Cuando se usa microsoft Entra ID con una solución de perfil móvil como FSLogix, las claves de credenciales del Administrador de credenciales deben pertenecer al perfil que se está cargando actualmente. Esto le permite cargar el perfil en muchas máquinas virtuales diferentes en lugar de limitarse a solo una. Para habilitar esta configuración, cree un nuevo valor del Registro mediante la ejecución del comando siguiente:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

    Nota:

    Los hosts de sesión no necesitan tener visión directa con el controlador de dominio en la red.

  1. Cuando se usa microsoft Entra ID con una solución de perfil móvil como FSLogix, las claves de credenciales del Administrador de credenciales deben pertenecer al perfil que se está cargando actualmente. Esto le permite cargar el perfil en muchas máquinas virtuales diferentes en lugar de limitarse a solo una. Para habilitar esta configuración, cree un nuevo valor del Registro mediante la ejecución del comando siguiente:

    reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1

Configuración de FSLogix en el dispositivo Windows local

En esta sección se muestra cómo configurar el dispositivo Windows local con FSLogix. Deberá seguir estas instrucciones cada vez que configure un dispositivo. Hay varias opciones disponibles que garantizan que las claves del Registro estén establecidas en todos los hosts de sesión. Puede establecer estas opciones en una imagen o configurar una directiva de grupo.

Para configurar FSLogix:

  1. Actualice o instale FSLogix en el dispositivo, si es necesario.

    Nota:

    Si va a configurar un host de sesión creado mediante el servicio Azure Virtual Desktop, FSLogix ya debería estar preinstalado.

  2. Siga las instrucciones en Configurar la configuración del registro del contenedor de perfiles para crear los valores de registro Enabled y VHDLocations. Establezca el valor de VHDLocations en \\<Storage-account-name>.file.core.windows.net\<file-share-name>.

Prueba de la implementación

Una vez que haya instalado y configurado FSLogix, puede probar la implementación iniciando sesión con una cuenta de usuario asignada a un grupo de aplicaciones en el grupo de hosts. La cuenta de usuario con la que inicia sesión debe tener permiso para usar el recurso compartido de archivos.

Si el usuario ha iniciado sesión antes, tendrá un perfil local existente que usará el servicio durante esta sesión. Para evitar crear un perfil local, cree una nueva cuenta de usuario para usarla para pruebas o use los métodos de configuración descritos en Tutorial: Configuración del contenedor de perfiles para redirigir perfiles de usuario para habilitar la configuración DeleteLocalProfileWhenVHDShouldApply .

Por último, compruebe el perfil creado en Azure Files después de que el usuario haya iniciado sesión correctamente:

  1. Abra Azure Portal e inicie sesión con una cuenta administrativa.

  2. En la barra lateral, seleccione Cuentas de almacenamiento.

  3. Seleccione la cuenta de almacenamiento que configuró para el grupo de hosts de sesión.

  4. En la barra lateral, seleccione Recursos compartidos de archivos.

  5. Seleccione el recurso compartido de archivos que configuró para almacenar los perfiles.

  6. Si todo está configurado correctamente, debería ver un directorio con un nombre con el formato siguiente: <user SID>_<username>.

Pasos siguientes

  • Last updated on