A Área de Trabalho Virtual do Windows é um serviço de virtualização de aplicativos e área de trabalho executado na nuvem.
O AVD nos permiti configurar uma implantação do Windows 10 de várias sessões, virtualizar aplicativos do Microsoft 365, fornece área de trabalho virtuais do Windows 7 com atualizações de segurança estendida e virtualizar aplicativos.
Objetivo
O objetivo principal desse documento é descrever os procedimentos realizados, no processo de implantação do Windows virtual desktop, desde a configuração do ambiente on-premises aos recursos no Microsoft Azure.
Utilizando o AVD podemos ter um ambiente de desktop no Azure, dentro dos demais serviços que necessitam ser configurados na plataforma, segue abaixo um breve descritivo de alguns serviços que devem ser criados.
Segue abaixo um resumo das atividades que foram executadas neste serviço:
- Criar uma conta de Domain Admin;
- Criar a estrutura de OUs no Active Directory;
- Criar os devidos grupos no Active Directory;
- Preencher o atributo e-mail das contas dos usuários que serão sincronizados para o Azure Active Directory;
- Instalar e configurar o Azure AD Connect;
- Criar um Storage Account;
- Criar o Azure File Share;
- Criar o Azure Private Link;
- Configurar a zona de pesquisa direta no DNS;
- Adicionar o registro A do private link a zona DNS;
- Mapear o File Share no servidor com o endereço do Private link;
- Restringir o acesso ao storage account no Azure;
- Instalar o módulo AzFilesHybrid;
- Executar o script para ingressar o storage account ao domínio;
- Configurar as permissões NTFs no compartilhamento de arquivos;
- Criar a estrutura de pastas no compartilhamento para o FSLogix;
- Configurar as permissões de segurança nas pastas do compartilhamento;
- Configurar as GPOs do FSLogix;
- Configurar o Windows Virtual Desktop;
Benefícios
O Azure Virtual Desktop é a solução de VDI em Azure, permite provisionar ambientes complexos rapidamente e com segurança, utilizando de maneira eficiente recursos do Azure, reduzindo custos e esforço de gerenciamento.
Toda o provisionamento, configuração e gerenciamento é feito pelo Manager for AVD.
Graças aos recursos de infraestrutura básica do Azure, bem como o serviço do AVD em PaaS, a solução fica muito mais simples de ser implementada.
O Azure permite ambientes de nuvens híbridas, estendendo capacidades da nuvem pública ao ambiente on-premises.
O A Virtual Desktop tem como diferencial permitir o uso do Windows 10 multisession.
As aplicações Windows rodam no mesmo ambiente para qual foram criadas, reduzindo necessidade de ajustes e retrabalho nas imagens.
Permite também o armazenamento de sessões dos usuários em ambientes de pool através do recurso fslogix.
Alguns recursos do Azure são utilizados intensamente, como o Azure AD, máquinas virtuais e imagens, file share, entre outros.
O próprio serviço PaaS do AVD, sem custo, substitui um ambiente complexo de servidores para a camada de controle do Desktop Virtual.
Criar conta de administrador de domínio
Por padrão, o Azure AD Connect não sincroniza a conta de administrador de domínio. Esta conta do sistema possui o atributo isCriticalSystemObject definido como true, evitando que seja sincronizada.
01 – No Server Manager, selecione Tools no canto superior direito selecione Active Directory Users and Computers.
02 – Em Active Directory Users and Computers, clique com o botão direito do mouse na OU Users e selecione New à User
03 – Conclua o assistente de novo usuário.
04 – Em Active Directory Users and Computers, clique com o botão direito do mouse no novo objeto de conta de usuário e selecione Add to a group.
05 – Na janela de diálogo Select Groups, digite Domain Admins, clique em Check Names e selecione OK.
Observação: Essa conta será usada durante o processo de criação do pool de hosts para unir os hosts ao domínio. Conceder permissões de administrador de domínio simplificará o processo. No entanto, qualquer conta do Active Directory que tenha as seguintes permissões será suficiente.
Configurando o Azure AD Connect
A sincronização de hash de senha é um dos métodos de login usados para realizar a identidade híbrida. O Azure AD Connect sincroniza um hash da senha de um usuário de uma instância local do Active Directory para uma instância do Azure AD baseada em nuvem.
O método de logon dos usuários será o Password Hash Synchronization, que permiti sincronizar um hash da senha do AD on-premises de um usuário com o Azure AD.
Configure os seguintes itens no firewall entre seus servidores e o Azure AD.
Número da porta | Como é usado |
80 | Faz o download das listas de revogação de certificado (CRLs) enquanto valida o certificado TLS / SSL. |
443 | Lida com todas as comunicações de saída com o serviço. |
8080 (opcional) | Os agentes relatam seu status a cada 10 minutos pela porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no portal do Azure AD. |
06 – A OU que será sincronizada com o AD Connect é a POCWVD/Users
07 – É importante que todas as contas de usuários que estão na OU Users que será sincronizado com o AD Connect tenham o campo e-mail preenchido, porque vamos sincronizar esse atributo para o Azure Active Directory.
08 – Já escrevi um artigo mostrando como configurar o AD connect, nesse tutorial não mostraremos essas etapas, para consultar a instalação do AD Connect acesse o link.
Como Instalar e Configurar o Azure AD Connect utilizando uma instancia do SQL SERVER
09 – Abaixo podemos observar os usuários que foram sincronizados para o Azure Active Directory.
Criar um compartilhamento de arquivos do Azure para FSLogix
O serviço de área de trabalho virtual do Windows recomenda contêineres de perfil FSLogix como uma solução de perfil de usuário. O FSLogix é projetado para usar perfis móveis em ambientes de computação remota, como área de trabalho virtual do Windows. Ele armazena um perfil de usuário completo em um único contêiner.
Vamos criar um compartilhamento de arquivo do Azure e habilitar o acesso SMB por meio da autenticação do Active Directory.
Azure File Share é um serviço de plataforma (PaaS) e é uma das soluções recomendadas para hospedar contêineres FSLogix para usuários AVD.
Criar um storage account
10 – Já escrevi um artigo mostrando como criar um storage account, clique no link abaixo para acessar.
Como criar um Storage Account no Azure utilizando o Portal e PowerShell
Criar o Azure File Share
Para usar um compartilhamento de Arquivos do Azure fora da região na qual o Azure está hospedado, por exemplo, localmente ou em uma região diferente do Azure, o sistema operacional deverá dar suporte a SMB 3.0.
11 – Na parte superior da página do Portal do Azure, pesquise por storage accounts.
12 – Seleciona a conta de armazenamento que você criou.
13 – Após selecionar o storage account, em Data storage selecione File shares.
-14 – Na tela File shares, clique em + File share.
15 – Insira um Nome para o novo compartilhamento de arquivo, insira uma cota em gigabits, selecione o Tier e selecione e clique em Create.
Nota: A cota de compartilhamento de arquivos suporta no máximo 5 TB
16 – Como podemos observar o file share foi criado.
Configurar o Azure Private Link
O Azure Private Link lhe permite acessar os serviços de PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e serviços de parceiros/de propriedade de clientes hospedados no Azure em um ponto de extremidade privado em sua rede virtual.
O tráfego entre sua rede virtual e o serviço viaja a rede de backbone da Microsoft. Expor seu serviço à Internet pública não é mais necessário.
17 – Selecione o storage account, em Security + networking clique em Networking.
18 – Na tela Networking, clique em Private endpoint connections e clique em + Private endpoint.
19 – Para a opção Basics, selecione a assinatura, grupo de recursos, nome e região, em seguida clique em Next: Resource.
20 – Para a opção Resource, em Target sub-resource selecione file e clique em Next: Configuration.
21 – Para a opção Configuration, selecione a virtual network e subnet, para a opção Configuration name vamos utilizar o nome padrão sugerido file.core.windows.net, em seguida clique em Review + create.
22 – Na tela Review + create verfique se todas as informações estão corretas e clique em Create.
23 – Como podemos observar o Private link foi criado.
24 – Quando configuramos o private link é criada uma network interface, é atribuído o endereço IP privado da subnet que associamos ao private link, a partir dai podemos utilizar esse endereço IP privado que foi atribuído para conectar no storage account.
Verificando a resolução de nomes para o storage account
25 – Selecione o storage account stopocwvd, em Settings clique em Endpoint, em File service copie a URL.
O Nslookup (Name System Look Up ou Look Up do Sistema de Nomes) é um instrumento que permite interrogar um servidor de nomes a fim de obter as informações relativas a um domínio ou a um hóspede e, assim, diagnosticar eventuais problemas de configuração do DNS.
Com o comando nslookup você poderá conferir para qual IP um domínio está efetivamente apontado.
26 – Em um servidor que está no domínio, abra um prompt de comandos e digite o comando nslookup e a url que copiamos do file service, em seguida pressione Enter.
nslookup stopocwvd.file.core.windows.net
Como podemos observar a resolução está sendo feita para o endereço IP Publico do file service, percebam que temos um Aliases para a zona dns privada do private link.
Configurar Forward Lookup Zones
Precisamos modificar nossas solicitações de DNS para usar o Private Link. O mesmo se aplica ao tráfego local, mas o desafio é dificultado por uma consideração importante: seu servidor DNS on-premises não reside no Azure! (Bem neste tenat, mas vamos ignorar isso. Devido a isso, ele não pode consultar o endereço 192.168.0.5; isso só existe no Azure e só pode ser consultado por recursos que residem em um host do Azure.
Portanto, precisamos modificar nossa configuração de DNS on-premises para encaminhar apenas algumas solicitações (para os serviços PaaS para os quais estamos usando o Link privado) para algo que resida em nossa virtual network do Azure. Felizmente podemos configurar uma zona dns no servidor on-premises para resolver o endereço IP do private link.
Observações: Para que exista a comunicação com o Azure e seu ambiente on-premises é necessário uma VPN.
Quando criamos o private link é criado no azure uma zona dns privada com o nome privatelink.file.core.windows.net.
27 – No portal, pesquise por Private DNS zones.
28 – Aqui podemos observar a zona criada pelo private link e o registro A que foi criado para o private link.
29 – No servidor dns, no server manager, clique em Tools –> DNS.
30 – Na tela DNS Manager, clique com o botão direito em Forward Lookup Zones e selecione New Zone.
31 – Na tela Welcome, clique em Next.
32 – Na tela Zone Type, selecione Primary zone e clique em Next.
33 – Na tela Ative Directory Zone Replication Scope, marque To all DNS servers running on domain controllers in this domain: pocwvd.com.br, e clique em Next.
34 – Na tela Zone name, vamos adicionar o seguinte dns file.core.windows.net para a resolução do endereço IP do private link e clique em Next.
35 – Na tela Dynamic Update, selecione Allow Only secure dynamic updates (recommended for Active Directory) e clique em Next.
36 – Na tela Completing the New Zone Wizard, clique em Finish.
37 – No DNS Manager, selecione a zona file.core.windows.net, clique em New Host (A or AAA).
38 – Em Name, digite um nome do registro A do privite link (stopocwvd), em seguida digite o endereço IP do registro que foi criado no Private DNS zones no Azure, clique em Add Host.
39 – Como podemos observar o registro A foi adicionado ao DNS.
Verificando a resolução de nomes para o storage account
33 – Em um servidor que está no domínio, abra um prompt de comandos e digite o comando nslookup stopocwvd.file.core.windows.net em seguida pressione Enter.
Como podemos observar a resolução está sendo feita para o endereço IP Privado.
Restringindo o acesso ao storage account
34 – Selecione o storage account, em Networking, clique em Selected networks e + Add existing virtual network, adicione a vnet onde o wvd será configurado e a vnet que tem comunicação com o AD on-premises.
35 – Como podemos observar as redes virtuais foram adicionadas.
36 – Deixe selecionado a opção Allow trusted Microsoft services to access this storage account.
Mapear o File Share
Como criamos o Conditional Forward quando executarmos o script do file share no servidor, o compartilhamento será pelo IP privado do private link e não será utilizado IP Publico.
37 – No portal do Azure pesquise por storage accounts e selecione o storageaccount stopocwvd.
38 – Após selecionar o storage account, clique em File shares e selecione o file share que deseja mapear.
39 – Após selecionar o file share, clique em Connect, na tela Connect selecione a versão do sistema operacional que deseja executar o script, selecione Storage account key e copie o script.
40 – Execute o PowerShell ISE como administrador e colo o script do file share.
Observação: Remova o parâmetro -Persist
Observe que o script está sendo executado usando o endereço IP privado do private link.
41 – Como podemos observar o script foi executado e o compartilhamento já está disponível para ser usado.
Habilitar a autenticação do Active Directory para o Storage Account
Para adicionar o storage account ao domínio é necessário que o servidor que vamos fazer a instalação do módulo AzFilesHybrid seja membro do domínio, é necessário que o servidor tenha acesso a internet, porque vamos precisar baixar os módulos do PowerShell e também precisamos logar no portal do Azure no PowerShell para ingressar o storage account no domínio.
As etapas desta tarefa precisam ser concluídas em um computador associado ao domínio. O módulo AzFilesHybrid usa o módulo AD PowerShell, portanto, é preferível executar a partir de um servidor.
Instalar o módulo Azure Az PowerShell.
42 – Execute o PowerShell como administrador e cole o seguinte comando:
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
Aguarde o download dos módulo ser finalizado.
Para mais informações acesse a documentação da Microsoft.
https://docs.microsoft.com/pt-br/powershell/azure/install-az-ps?view=azps-6.0.0
Observação: Após instalar o módulo pode ser necessário reiniciar o servidor, caso os comandos não sejam reconhecidos.
43 – De um computador associado ao domínio, baixe e descompacte o módulo AzFilesHybrid
Link para download: https://github.com/Azure-Samples/azure-files- samples/releases
44 – Após a conclusão do download, navegue até o local do arquivo no File Explorer, e extrai o arquivo para a pasta Documents\AzFilesHybrid
45 – Execute o PowerShell como administrador, configure a política de execução do PowerShell irrestrita para o usuário atual.
Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
46 – Navegue até a pasta onde o AzFilesHybrid foi descompactado. C:\Users\adm.jadson\Documents\AzFilesHybrid
47 – No site da Microsoft tem o script disponível para ingressar o storage account no domínio, vamos copiar esse script e colocar dentro da pasta do AzFilesHybrid.
C:\Users\adm.jadson\Documents\AzFilesHybrid
Link download do script:
https://docs.microsoft.com/en-us/azure/storage/files/storage-files-identity-ad-ds- enable
48 – Dentro da pasta AzFilesHybrid crie um arquivo chamado ps e cole o conteúdo do script que está disponível no site da Microsoft.
49- Abra o PowerShell como Administrator e execute no script o seguinte comando .\CopyToPSPath.ps1
Para Executar o script é necessário está no diretório C:\Users\adm.jadson\Documents\AzFilesHybrid.
50 – Importe o módulo AzFilesHybrid. Import-Module -Name AzFilesHybrid.
O módulo foi importado com sucesso, apesar de ter retornado algumas mensagens de erro.
51 – Execute o comando Connect-AzAccount para fazer login no Azure.
52 – Crie as seguintes variáveis do PowerShell substituindo a id da sua assinatura, o nome do grupo de recursos que o storage account foi criado, e nome do storage account.
$SubscriptionId = “\<subscription-id\>\”
$ResourceGroupName = “\<resource-group-name\>\”
$StorageAccountName = “\<storage-account-name\>\”
53 – Selecione a assinatura de destino para a sessão atual.
Obs: Você pode executar Get-AzSubscription para pesquisar os nomes de assinaturas disponíveis.
54 – Execute o comando Join-azStorageAccountForAuth.
- Para a opção DomainAccountType selecione ComputerAccount
- Para a opção -OrganizationalUnitDistinguishedName, copie o caminho da OU onde a conta de computador do storage account será armazenado.
- Para a opção EncryptionType selecione AES256
54.1 – Abra Active Directory Users and Computers, clique em View e selecione a opção Advanced Features.
54.2 – Selecione a OU que deseja armazenar a conta de computador, clique com botão direito do mouse, vá até Atribute Editor selecione String Attribute Editor, clique em View, copie esse valor, vamos precisar para o script.
54.3 – Após preencher todos os valores o script ficou da seguinte forma, agra podemos executa-lo.
Para o script ser executado com sucesso é necessário está no local onde o módulo foi baixado.
C:\Users\adm.jadson\Documents\AzFilesHybrid
OBS: Caso apresente erro ao executar o script, feche o PowerShell e execute todas as linhas do script novamente.
54.4 – Quando o script for concluído, você receberá a confirmação de que está conectado à conta de armazenamento.
54.5 Você pode executar o cmdlet Debug-AzStorageAccountAuth para conduzir um conjunto de verificações básicas em sua configuração AD com o usuário AD
55 – Confirme se o objeto foi criado com êxito em Active Directory Users and Computer na OU que foi especificada no script.
56 – Você também pode confirmar a ativação com seu domínio navegando até o portal do Azure, indo para a storage accont e selecionando Settings → Configuration. Consulte o Azure Active Directory Domain Services (AD DS) e observe que está Enabled.
Agora você habilitou com êxito a autenticação AD por SMB e atribuiu uma função personalizada que fornece acesso a um compartilhamento de arquivo do Azure com uma identidade AD.
Configure as permissões de compartilhamento
Existem três funções internas do Azure para conceder permissões de nível de compartilhamento a usuários e/ou grupos:
Storage File Data SMB Share Reader: permite acesso de leitura em compartilhamentos de arquivo de armazenamento do Azure por SMB.
Storage File Data SMB Share Contributor: permite ler, gravar e excluir acesso em compartilhamentos de arquivo de armazenamento do Azure por SMB.
Storage File Data SMB Share Elevated Contributor: permite ler, gravar, excluir e modificar permissões de NTFS em compartilhamentos de arquivo de armazenamento do Azure sobre SMB.
Para acessar os recursos do file share com autenticação baseada em identidade, uma identidade (um usuário, grupo ou entidade de serviço) deve ter as permissões necessárias no nível de compartilhamento. Este processo é semelhante à especificação de permissões de compartilhamento do Windows, em que você especifica o tipo de acesso que um determinado usuário tem a um compartilhamento de arquivo. A orientação nesta tarefa demonstra como atribuir permissões de leitura, gravação ou exclusão para um compartilhamento de arquivo a uma identidade.
Para simplificar a administração, crie 4 novos grupos de segurança no Active Directory para gerenciar as permissões de compartilhamento.
57 – Em um computador associado a um domínio, abra Active Directory Users and
58 – Crie os seguintes grupos de segurança do Active Directory na UO (POCVWVD) que está sincronizada com o Azure AD:
AZF FSLogix Contributor
AZF FSLogix Elevated Contributor
AZF FSLogix Reader
WVD Users
59 – Adicione a conta administrativa WVD que você criou anteriormente ao grupo AZF FSLogix Elevated Contributor. Esta conta terá permissões para modificar as permissões de compartilhamento de arquivos.
60 – Digite AZF FSLogix Elevated Contributor e selecione Check Names, em seguida clique em Ok.
61 – Após ingressar o usuário no grupo clique em OK.
62 – Adicione o grupo WVD Users ao grupo AZF FSLogix Contributor acessando a OU POCWVD/Users, selecione o grupo clique com o botão direito e Add to a group.
63 – Após ingressar o grupo WVD User ao grupo AZF FSLogix ContributorApós clique em OK.
64 – Adicione as contas de usuários que utilizaram o WVD ao grupo WVD Users, selecione POCVWD/Users selecione os usuários e clique com o botão direito para adicioná-los ao grupo. Esses usuários terão acesso para usar perfis FSLogix.
65 – Após adicionar os usuário ao o grupo WVD Users ao grupo clique em OK.
66 – Aguarde a sincronização dos novos grupos para o Azure AD ou force uma sincronização Delta com o comando Start-ADSyncSyncCycle -PolicyType Delta. Esses grupos podem ser verificados acessando Azure Active Directory, Groups e procurando os nomes na lista.
Com os novos grupos de segurança disponíveis no Azure AD, use as etapas a seguir para atribuí-los à sua conta de armazenamento no portal do Azure. Isso permitirá gerenciar permissões de compartilhamento usando grupos de segurança AD.
67 – No portal do Azure, pesquise por storage accounts.
68 – Na tela Storage Accounts, selecione a conta de armazenamento que você criou.
69 – Na tela do storage account stopocwvd, em Data storage selecione File shares.
70 – Selecione o File share wvdfiles.
71 – Selecione Access Control (IAM) e clique em +Add e selecione Add role assignment.
72 – No menu desdobrável Add role assignment, preencha as seguintes opções e selecione Save.
• Role: Storage File Data SMB Share Contributor
• Assign access to: User, group, or service principal
• Select: AZF FSLogix Contributor
73 – No menu desdobrável Add role assignment, preencha as seguintes opções e selecione Save.
• Role: Storage File Data SMB Share Elevated Contributor
• Assign access to: User, group, or service principal
• Select: AZF FSLogix Elevated Contributor
74 – No menu desdobrável Add role assignment, preencha as seguintes opções e selecione Save.
• Role: Storage File Data SMB Share Reader
• Assign access to: User, group, or service principal •
Select: AZF FSLogix Reader
75 – Em Access Control (IAM), clicando em Roles assignments podemos ver todas as roles atribuídas.
Configure as permissões NTFS para o compartilhamento de arquivos
Depois de atribuir permissões de nível de compartilhamento com o RBAC do Azure, você deve atribuir permissões NTFS adequadas no nível de raiz, diretório ou arquivo. Enquanto as permissões NTFS atuam em um nível mais granular para determinar quais operações o usuário pode fazer no nível do diretório ou do arquivo.
Os Arquivos do Azure oferecem suporte ao conjunto completo de permissões NTFS básicas e avançadas. Você pode exibir e configurar permissões NTFS em diretórios e arquivos em um compartilhamento de arquivo do Azure montando o compartilhamento e usando o Windows File Explorer ou executando o comando Windows iCACLS ou Set-ACL.
A primeira vez que configurar a permissão NTFS, faça-o usando permissões de superusuário. Isso é feito montando o compartilhamento de arquivos usando sua chave de conta de armazenamento.
76 – Para concluir esta tarefa, você precisará desativar a transferência segura na conta de armazenamento. Isso pode ser acessado em Configuration no storage account e selecionando Disabled em Secure Transfer required. Selecione Save para salvar as alterações.
77 – Abra o File Explorer no servidor onde o file share foi mapeado, clique com o botão direito na unidade e selecione properties.
78 – Na janela de propriedades, selecione a guia Security e selecione Advanced.
79 – Na tela Advanced Security Settingd, selecione Add e adicione cada um dos grupos de segurança que você criou com as permissões apropriadas.
AZF FSLogix Contributor; AZF FSLogix Elevated Contributor; AZF FSLogix Reader; WVD Users
80 – Clique em Select a principal, na caixa Select User, Computer, Service Account, or Group adicione o grupo AZF FSLogix Contributor e atribua a permissão Modify.
81 – Em type deixe selecione Allow e para Applies to selecione This folder, subfolders and files, em Basic permissions selecione Modify e clique em OK.
82 – Na tela Advanced Security Settingd, selecione Add, clique em Select a principal, na caixa Select User, Computer, Service Account, or Group adicione o grupo AZF FSLogix Elevated Contributor e atribua a permissão Full control.
83 – Em type deixe selecione Allow e para Applies to selecione This folder, subfolders and files, em Basic permissions selecione Full control e clique em OK.
84 – Na tela Advanced Security Settingd, selecione Add, clique em Select a principal, na caixa Select User, Computer, Service Account, or Group adicione o grupo AZF FSLogix Reader e atribua a permissão Read & execute.
85 – Em type deixe selecione Allow e para Applies to selecione This folder, subfolders and files, em Basic permissions selecione selecione a permissão Read & execute e clique em OK.
86 -Na tela Advanced Security Settingd, selecione Add, clique em Select a principal, na caixa Select User, Computer, Service Account, or Group adicione o grupo WVD Users e atribua a permissão Modify.
87 – Em type deixe selecione Allow e para Applies to selecione This folder, subfolders and files, em Basic permissions selecione selecione a permissão Modify e clique em OK.
88 – Como podemos observar na imagem abaixo todos os usuários foram adicionado, clique em Ok par salvar.
89 – Tela Windows Security clique em Yes.
90 – Na tela wvdfiles properties clique em OK.
Configure as permissões NTFS para os contêineres
Com as permissões NTFS aplicadas ao compartilhamento de arquivos raiz, agora você pode criar a estrutura de pastas FSLogix e as permissões NTFS recomendadas. Há muitas maneiras de criar permissões de armazenamento seguras e funcionais para uso com contêineres de perfil e contêiner de escritório. Abaixo está uma opção de configuração que fornece funcionalidade para novos usuários e não exige que os usuários tenham permissões administrativas.
Nesta tarefa, criaremos diretórios para cada um dos tipos de perfil FSLogix e atribuiremos as permissões recomendadas.
91 – Navegue até a unidade de rede wvdfiles no File Explore.
92 – Crie três novos diretórios de pasta no compartilhamento raiz.
- Profiles
- ODFC
- MSIX
93 – Clique com o botão direito do mouse no diretório Profiles e selecione Properties.
94 – Na janela de Profiles Properties, selecione a guia Security e selecione Advanced.
95 – Selecione Desable inheritance e selecione Remove all inherited permissions from this object.
96 – Na tela Advanced Security Settings for Profiles clique me Add.
97 – Na tela Permissions Entry for Profiles, clique em Select a principal e adicione o grupo AZF FSLogix Elevated Contributor. Conceda Full control e marque Only apply these permissions to objects and/or containers within this container em seguida clique em OK.
98 – Na tela Advanced Security Settings for Profiles, clique em Add.
99 – Na tela Permissions Entry for Profiles, clique em Select a principal e adicione o CREATOR OWNER. Conceda Full control e marque Only apply these permissions to objects and/or containers within this container em seguida clique em OK.
100 – Na tela Advanced Security Settings for Profiles, clique em Add.
101 – Na tela Permissions Entry for Profiles, clique em Select a principal e adicione o grupo WVD Users. Clique em Show advanced permissions e conceda as seguintes permissões especiais para This folder, subfolders and files, selecione Only apply these permissions to objects and/or containers within this container em seguida clique em OK.
- Traverse folder / execute file
- List folder / read data
- Read attributes
- Create folders / append data
102 – Na tela Advanced Security settungs for Profiles, clique em OK.
103 – Na tela Profiles Properties, clique em OK.
Repita as etapas anteriores para os diretórios ODFC e MSIX.
Configurar as GPOs FSLogix
Antes de iniciar o processo de configuração das GPOs para o FSLogix é recomendado executar um backup das GPOs do domínio.
104 – Faça o download do pacote de instalação do FSLogix no link abaixo.
https://aka.ms/fslogix_download
105 – Extraia o arquivo FSLogix_Apps_2.9.7654.46150.zip, em seguida copie os arquivos fslogix.adml e fslogix.admx para C:\Windows\PolicyDefinitions.
- Copie o arquivo ADMX (fslogix.admx) para C:\Windows\ PolicyDefinitions
- Copie o arquivo ADML (fslogix.adml ) para C:\Windows\ PolicyDefinitions\en-US
106 – Abra o Group Policy Management (gpmc.msc), expanda Domains, em seguida expanda jadsonalves.com.br, clique com o botão direito na OU POCWVD e clique em Create a GPO in this domain, and Link it here.
107 – Na tela New GPO, selecione um nome e Clique em OK.
108 – Clique com o botão direito na GPO FSLogix e clique em Edit.
109 – Navegue até Computer Configuration → Policies → Administrative Templates e expanda FSLogix.
110 – Selecione Profile Containers, selecione Enabled.
Essa GPO controla se o recurso Perfis está ativo ou não.
111 – Selecione Profile Containers, selecione VHD location e clique em Enable.
Essa GPO direciona o local de armazenamento dos perfis dos usuários para o file share.
112 – Selecione o local onde os perfis dos usuários serão armazenados, vamos armazenar no file share na pasta Profiles.
113 – Em VHD location adicione o local do compartilhamento (Z:/Profiles) e clique em OK.
114 – Selecione a GPO Size in MBs, e defina o tamanho de 20 GB para o tamanho do perfil dos usuários.
115 – Selecione a GPO Profile Type, clique em Enabled e selecion Normal direct-access profile.
116 – Selecione a GPO Dynamic VHD(X) allocation, clique em Enabled e marque Dynamic VHD(X) allocation.
117 – Selecione a GPO Delete local profile when FSLogix Profile should apply, marque Enabled e Delete local profile when FSLogix Profile should apply.
118 – Em Profile Containers, clique em Container and Directory Naming, habilite a GPO Virtual disk Type e selecine VHDX.
119 -Em Profile Containers, clique em Container and Directory Naming, habilite a GPO Swap directory name components e marque Swap directory name components.
Configurar o Azure Virtual Desktop
120 – No portal do Azure pesquise porAzure virtual Desktop.
121 – Na tela de Overview do Azure Virtual Desktop, clique em Create a host pool.
Host pool são uma coleção de uma ou mais VMs (máquinas virtuais) idênticas dentro dos ambientes da Área de Trabalho Virtual do Windows. Cada host pool pode conter um grupo de aplicativo com o qual os usuários podem interagir como se eles estivessem em uma área de trabalho física.
122 – Na tela Create a host pool, selecione a assinatura, grupo de recursos, nome para o pool, localização, para a opção Host pool type selecione Pooled, para a opção Max session limit defina o número máximo de usuários que possuem sessões simultâneas em um host de sessão, em seguida clique em Next: Virtual Machines.
- Pooled é quando você tem vários usuários na mesma máquina virtual.
- Personal é quando os usuários se conectam um a um (um usuário por VM de desktop).
123 – Em Virtual Machines, para a opção Add virtual machines marque Yes, selecione o grupo de recursos, selecione um prefixo para o nome das VMs, selecione a região que as VMs serão provisionadas, não vamos utilizar Availability, para a opção Image selecione Windows 10 + Microsoft 365 Apps, selecione um tamanho para VM, para a opção Numer of VMs digite a quantidade de VMs que serão provisionadas, selecione o tipo do disco do SO, deixe habilitada a opção Enable with managed storage account.
Em Network and security group é necessário que já tinha sido criado a virtual network que o AVD irá utilizar, também é recomendado que já tenha sido feito a criação do grupo de recursos liberando as portas necessárias para as VMs.
Em Virtual network seleciona a vnet, caso tenha mais de uma subnet associada a essa vnet será necessário selecionar a subnet que deseja, para a opção Network security group, clique em Advanced e selecione o nsg já configurado, marque a opção Specify domain or unit, para a opção Domain to join digite o nome do domínio que deseja ingressar as VMs do AVD (jadsonalves.com.br), para a opção Organizational Unit path digite o caminho onde as contas de computador do AVD serão armazenadas OU=Computers,OU=POCWVD,DC=jadsonalves,DC=com,DC=br
Como descobrir o Organizational Unit path
Voltando para a configuração Network and security do AVD!
125 – Na tela Tags, em Name utilize environment e para Value digite AVD, em seguida clique em Next: Review + create.
126 – Na tela Review + create, verifique se todas as informações estão corretas e clique em create.
127 – Aguarde a finalização do Deployment.
128 – Como podemos observar o AVD foi provisionado.
129 – Navegue até o Resource group RG-POC-WVD e verifique todos os recursos que foram provisionado para o AVD.
130 – No Domain controller, na OU POWVD/Computer observe que temos a máquina virtual do AVD que ingressamos no dominio.
Atribuir os usuários ao AVD
Nessa etapa vamos adicionar os usuários que estão no grupo WVD Users que foi sincronizado do Active Directory on-premises para AVD, Esses usuários poderam utilizar os recursos do AVD.
131 – Abra o Azure Virtual Desktop, clique em Host pools e selecione o pool POOL-VMs.
132 – Após selecionar o POOL-VMs, clique em Application groups e selecione o POOl-VMs-GAG.
133 – Após selecionar o POOL-VMs-DAG, em Manage clique em Assignments.
134 – Na tela Assignments, clique em + Add e adicione o grupo WVD Users.
135 – Como podemos observar na imagem abaixo o grupo WVD Users foi adicionado.
Agora todos os usuários desse grupo poderão utilizar os recursos do AVD.
Habilitar MFA para os usuários do AVD
Para aumentar a segurança dos usuários que irão utilizar o AVD é necessário configurar o Azure Multi-Factor Authentication (MFA), lembrando que podemos configurar invidualmente o MFA para um usuário ou realizar a configuração para um determinado grupo de usuários usando Azure AD Conditional Access.
Para maiores informações de como configurar o MFA acesse o link abaixo onde demostro de forma clara.
Como utilizar o AVD
Você pode acessar os recursos do Azure Virtual Desktop em dispositivos com Windows 10, Windows 10 IoT Enterprise e Windows 7 usando o cliente de área de trabalho do Windows.
Existem duas formas de utilizars as máquinas virtuais do AVD.
Remote desktop, disponivel para downlaod no link abaixo.
https://docs.microsoft.com/pt-br/azure/virtual-desktop/connect-windows-7-10
Também podemos conectar nas máquinas do AVD através do cliente Web que permite acessão AVD em um navegador da web.
https://rdweb.wvd.microsoft.com/arm/webclient
136 – Após baixar o Remote Desktop, execute o instalador.
137 – Na tela Welcome, clique em Next.
138 – Na tela End-User License Agreement, marque I accept the terms in the License Agreement e clique em Next.
139 – Na tela Install scope, selecione Install for all user of this machine e clique em Install.
140 – Na tecla Completed, deixe marcado Launch Remote Desktop when setup exits e clique em Finish.
Utilizando o AVD
141 – No vídeo abaixo mostro a experiência do usuário ao utilizar os recursos do AVD com o aplicativo Remote Desktop.
142 – No vídeo abaixo mostro a experiência do usuário ao utilizar os recursos do AVD através do cliente Web.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.