導入ガイド:Citrix Profile Management およびCitrixユーザー個人設定レイヤー用のAzureファイルの展開

Azure Files は、クラウドで完全に管理されたファイル共有を提供し、サーバーメッセージブロック (SMB) プロトコルを使用してアクセスできます。Azure ファイル共有は、クラウドとオンプレミス、Windows、Linux、macOS で同時にマウントできます。

オンプレミスのActive Directory ドメインサービス認証に対するAzure ファイルのサポートにより、Citrixユーザーの個人用設定レイヤーとCitrix Profile ManagementでAzure ファイルを使用できます。Active Directory ドメインサービス認証の詳細については、「 Azure ファイル共有のための SMB を介したオンプレミスの Active Directory サービス認証」を参照してください。この記事では、Citrixユーザー個人用設定レイヤーとCitrix Profile Managementで使用するAzure ファイルをセットアップする方法について説明します。

要件

ユーザー個人設定レイヤーとProfileManagement要件に加えて、Azure Filesでは、オンプレミスのドメインコントローラーがAAzure Active Directory と同期されている必要があります。

概要

ユーザー個人用設定レイヤーまたはプロファイル管理を設定する前に、次の手順を使用して Azure ファイルをセットアップします。

  • 手順 1: Azure AD をオンプレミス AD と同期する
  • 手順 2: Azure ファイル共有を作成する
  • 手順 3: Azure ファイル AD DS 認証を有効にする
  • 手順 4: 共有レベルと NTFS アクセス許可を割り当てる

手順 1: Azure AD をオンプレミス AD と同期する

Azure ファイルを AD 認証で使用するには、Azure AD Connect を使用して、オンプレミスの AD を Azure AD と同期します

重要:

  • Azure AD テナントとユーザーパーソナライゼーションレイヤーまたはProfile Managementに使用されるファイル共有は、同じサブスクリプションに関連付けられている必要があります。
  • 使用するアカウントは、ドメインコントローラーで作成し、Azure AD と同期する必要があります。Azure AD から調達されたアカウントは適切ではありません。

同期が完了したら、ユーザーとグループが Azure AD にレプリケートされるまでしばらく時間を与えて、続行します。

手順 2: Azure ファイル共有を作成する

この手順では、ユーザーレイヤーとプロファイルを格納するための Azure ファイル共有を作成する方法について説明します。

現在、Azure ファイルには、スタンダードとプレミアムの 2 つの階層があります。パフォーマンス要件に応じて、適切な階層を選択します。Azure Files のパフォーマンスの詳細については、「 Azure Files のスケーラビリティとパフォーマンスの目標」を参照してください。

このドキュメントでは、Standard ストレージを例としてセットアップする方法について説明します。

  1. Azure ポータルを開きます。
  2. [ リソースの作成] をクリックします。
  3. ストレージアカウント (BLOB、ファイル、テーブル、キュー) を選択します。
  4. [ ストレージアカウントの作成 ] ページに次の情報を入力します。
    • [ リソースグループ] で、[ 新規作成] をクリックします。
    • [ ストレージアカウント] に、一意の名前を入力します。
    • [ 場所] では、Azure リソースの場所で仮想配信エージェント (VDA) と同じ場所を選択することをお勧めします。
    • [ パフォーマンス] で、[ 標準] を選択します。(選択肢の例)
    • [ アカウントの種類] で、[ StorageEv2] を選択します。
    • [ レプリケーション] で、[ ローカル冗長ストレージ (LRS)] を選択します。
  5. 完了したら、[ レビュー] + [作成] を選択し、[ 作成] を選択します。
  6. ストレージアカウントのプロビジョニングが完了したら、[ リソースに移動] を選択します。
  7. [ 概要 ] ページで、[ ファイル共有 ] タイルを選択します。
  8. [ +ファイル共有] を選択します。
    • 名前」( Uplfolder) を入力します。
    • 適切な Quota を入力するか、クォータなしの場合はフィールドを空白のままにします
  9. [作成] を選択します。

標準およびプレミアム Azure ファイルの設定の詳細については、次のドキュメントを参照してください。 [標準およびプレミアム](https://docs.microsoft.com/ja-jp/azure/storage/files/storage-how-to-create-premium-fileshare)

詳細については、「 Azure ファイル共有を作成する」を参照してください。

手順 3: Azure ファイル AD 認証を有効にする

Azure ファイル AD 認証を有効にするには、このセクションの手順を使用します。これらのコマンドは、既にドメインに参加しているすべてのマシンから実行する必要があります。このアクションは 1 回限りのタスクです。タスクが完了すると、プロセスの実行に使用された仮想マシンは、ソリューションには必要ありません。

  1. リモートデスクトッププロトコル (RDP) を使用して、 ドメインに参加している仮想マシンに接続します
  2. AZFilesHybrid モジュールをインストールして認証を有効にするには、「 Azure ファイル共有の AD DS 認証を有効にする」の手順に従います。

次の手順に進む前に、Azure ファイル AD 認証が次のように有効になっていることを確認します。

  1. Azure ポータルを開きます。
  2. Azure ファイルに関連付けられているストレージアカウントを開きます
  3. [ 設定] で [ 構成] を選択し、[Active Directory (AD)] が [ 有効] に設定されていることを確認します。

手順 4: 共有レベルと NTFS アクセス許可を割り当てる

ユーザー個人用設定レイヤーとプロファイルをユーザーとグループに割り当てる前に、Azure ファイル共有への適切なアクセスを構成します。

重要:

アクセス許可を割り当てるアカウントまたはグループは、ドメイン内に作成され、Azure AD と同期する必要があります。Azure AD で作成されたアカウントはサポートされていません。

ユーザーへの共有レベルのアクセス許可の割り当て

次のセクションでは、共有レベルのアクセス許可を設定する方法について説明します。

  1. Azure ポータルを開きます。
  2. 手順 2で作成したストレージアカウントを開きます
  3. [ アクセス制御 (IAM)] を選択します。
  4. [ 役割の割り当ての追加] を選択します。
  5. [ 役割の割り当ての追加 ] タブで、共有管理者アカウントの [ ストレージファイルデータ SMB 共有昇格した共同作成者 ] を選択します。
  6. 次に、ユーザー個人用設定レイヤーおよびプロファイルを割り当てられているユーザーまたはグループに対して、[ ストレージファイルデータ SMB 共有共同作成者 ] を選択します。
  7. [保存] を選択します。

アクセス許可が完全に有効になるまでに最大 30 分かかることがあります。次の手順に進む前に、時間をかけてください。

詳細については、「 ID に共有レベルの権限を割り当てる」を参照してください。

共有フォルダの NTFS アクセス許可を構成する

ファイル共有のアクセス許可を割り当てたら、NTFS アクセス許可を構成します。

ディレクトリおよびファイル・レベルのNTFS権限を構成するには、以下の手順に従ってください。

  1. Azure ポータルを開きます。
  2. 手順 3 で作成したストレージアカウントを開きます
  3. [ ファイル共有 ] タイルをクリックします。
  4. 作成した共有名 ( uplshareなど) をクリックします。
  5. [ プロパティ] をクリックします。
  6. URL リンクをコピーします。
  7. URL をコピーした後、 UNC 形式に変換します。
    • https://を削除します。
    • すべてのスラッシュ//をバックスラッシュ\\に置き換えます 。たとえば、
      https://uplshare.file.core.windows.net/uplfolder\\uplshare.file.core.windows.net\uplfolderになります。
  8. RDP を使用して、ドメインに参加している仮想マシンに接続します。
  9. コマンドプロンプトを開き、次のコマンドレットを実行して Azure ファイル共有をマウントし、ドライブ文字を割り当てます。 net use <drive-letter> UNC-path 。例: net use S:\ \\uplshare.file.core.windows.net\uplfolder
  10. 共有がマウントされたら、マウントされた共有に次のアクセス許可を設定します。
設定名 適用先
作成所有者 変更 サブフォルダーおよびファイルのみ
所有者の権利 変更 サブフォルダーおよびファイルのみ
ユーザーまたはグループ: フォルダーの作成/データの追加 ; フォルダーのスキャン/ファイルの実行 ; フォルダーの一覧化/データの読み取り ; 属性の読み取り 選択したフォルダーのみ
システム フルコントロール 選択したフォルダー、サブフォルダーおよびファイル
ドメイン管理者、および選択した管理者グループ フルコントロール 選択したフォルダー、サブフォルダーおよびファイル

ユーザーパーソナライゼーションレイヤーとプロファイルの設定

次に、ユーザーパーソナライゼーションレイヤーとプロファイルを構成できます。 ユーザー個人設定レイヤーの展開とProfileManagement クイックスタートガイドの指示に従ってくださいユーザー・レイヤー・リポジトリ・パスには、 手順4で説明したUNCパスを使用します

導入ガイド:Citrix Profile Management およびCitrixユーザー個人設定レイヤー用のAzureファイルの展開