Laboratoire : Implémenter et gérer le stockage pour AVD (AD DS)

Manuel de labo de l’étudiant

Dépendances du labo

Un abonnement Azure que vous allez utiliser dans ce labo.
Un compte Microsoft ou Microsoft Entra avec le rôle Propriétaire ou Contributeur dans l’abonnement Azure que vous allez utiliser dans ce labo et avec le rôle Administrateur général dans le locataire Microsoft Entra associé à cet abonnement Azure.
Le labo terminé Préparer le déploiement d’Azure Virtual Desktop (AD DS)

Durée estimée

30 minutes

Scénario de labo

Vous devez implémenter et gérer le stockage pour un déploiement Azure Virtual Desktop dans un environnement AD DS.

Objectifs

À la fin de ce lab, vous serez en mesure de :

Configurer Azure Files en vue du stockage des conteneurs de profils pour Azure Virtual Desktop

Fichiers du labo

Aucun

Instructions

Exercice 1 : Configurer Azure Files en vue du stockage des conteneurs de profils pour Azure Virtual Desktop

Les principales tâches de cet exercice sont les suivantes

Créer un compte de stockage Azure
Créer un partage Azure Files
Activer l’authentification AD DS pour le compte de stockage Azure
Configurer les autorisations basées sur le RBAC pour Azure Files
Configurer les autorisations du système de fichiers Azure Files

Tâche 1 : Créer un compte de stockage Azure

À partir de votre ordinateur labo, démarrez un navigateur web, accédez au portail Azure, puis connectez-vous en fournissant des informations d’identification d’un compte d’utilisateur avec le rôle Propriétaire dans l’abonnement que vous utiliserez dans ce labo.
Dans le Portail Azure, recherchez et sélectionnez machines virtuelles et, dans le panneau Machines virtuelles, sélectionnez az140-dc-vm11.
Dans le panneau az140-dc-vm11, sélectionnez Se connecter, et dans le menu déroulant, sélectionnez Se connecter via Bastion.

Lorsque vous y êtes invité, fournissez les informations d’identification suivantes et sélectionnez Connecter :

Paramètre	Valeur
Nom d’utilisateur	Student@adatum.com
Mot de passe	Pa55w.rd1234

Dans la session Bastion pour az140-dc-vm11, démarrez Microsoft Edge et accédez au portail Azure. Si vous y êtes invité, connectez-vous à l’aide des informations d’identification Microsoft Entra du compte d’utilisateur avec le rôle Propriétaire dans l’abonnement utilisé dans ce labo.
Dans la session Bastion vers az140-dc-vm11, dans la fenêtre Microsoft Edge affichant le Portail Azure, recherchez et sélectionnez Comptes de stockage. Sélectionnez ensuite + Créer dans le panneau Comptes de stockage.

Sous l’onglet Options de base du volet Créer un compte de stockage, spécifiez les paramètres suivants (conservez les valeurs par défaut pour les autres) :

Paramètre	Valeur
Abonnement	le nom de l’abonnement Azure que vous utilisez dans ce labo
Resource group	Créez un nouveau groupe de ressources nommé az140-22-RG
Nom du compte de stockage	n’importe quel nom global unique d’une longueur comprise entre 3 et 15 caractères, composé de lettres minuscules et de chiffres, et commençant par une lettre
Région	le nom d’une région Azure hébergeant l’environnement de laboratoire Azure Virtual Desktop
Performances	Standard
Redondance	Stockage géo-redondant (GRS)
Permettre l’accès en lecture aux données en cas d’indisponibilité régionale	enabled

Remarque : Vérifiez que la longueur du nom du compte de stockage ne dépasse pas 15 caractères. Le nom va servir à créer un compte d’ordinateur dans le domaine Active Directory Domain Services (AD DS) intégré au locataire Microsoft Entra associé à l’abonnement Azure contenant le compte de stockage. Cela permet une authentification basée sur AD DS lors de l’accès aux partages de fichiers hébergés dans ce compte de stockage.

Sous l’onglet Informations de base du volet Créer un compte de stockage, sélectionnez Vérifier + créer, attendez la fin du processus de validation, puis sélectionnez Créer.

Remarque : attendez que le compte de stockage soit créé. Ce processus prend environ 2 minutes.

Tâche 2 : Créer un partage Azure Files

Dans la session Bastion vers az140-dc-vm11, dans la fenêtre Microsoft Edge affichant le Portail Azure, revenez au panneau Comptes de stockage et sélectionnez l’entrée représentant le compte de stockage nouvellement créé.
Dans le panneau compte de stockage, dans la section Stockage de données, sélectionnez Partages de fichiers, puis + Partage de fichiers.

Dans le volet Nouveau partage de fichiers, spécifiez les paramètres suivants et sélectionnez Suivant : Sauvegarde > (conservez les valeurs par défaut des autres paramètres) :

Paramètre	Valeur
Nom	az140-22-profiles
Niveau d’accès	Transaction optimisée

Dans le panneau Sauvegarde, décochez la case Activer la sauvegarde, sélectionnez Vérifier + créer, attendez que le processus de validation se termine, puis sélectionnez Créer.

Tâche 3 : Activer l’authentification AD DS pour le compte de stockage Azure

Dans la session Bastion pour az140-dc-vm11, ouvrez un autre onglet dans la fenêtre Microsoft Edge, accédez au référentiel GitHub d’exemples Azure Files, téléchargez [la version la plus récente du module PowerShell compressé AzFilesHybrid.zip et extrayez son contenu dans le dossier C :\Allfiles\Labs\02 (créez le dossier si nécessaire).
Dans la session Bastion vers az140-dc-vm11, démarrez Windows PowerShell ISE en tant qu’administrateur et, à partir du volet de script Administrateur : Windows PowerShell ISE, exécutez ce qui suit pour supprimer le flux de données alternatif Zone.Identifier, qui a pour valeur 3, indiquant qu’il a été téléchargé à partir d’Internet :
```
Get-ChildItem -Path C:\Allfiles\Labs\02 -File -Recurse | Unblock-File
```
Depuis la console Administrateur : Console Windows PowerShell ISE, exécutez la commande suivante pour désactiver Gestionnaire de compte Windows :
```
Update-AzConfig -EnableLoginByWam $false
```
Depuis la console Administrateur : Windows PowerShell ISE, exécutez la commande suivante pour vous connecter à votre abonnement Azure :
```
Connect-AzAccount
```
Lorsque vous y êtes invité, fournissez les informations d’identification du compte d’utilisateur Entra ID avec le rôle Propriétaire dans l’abonnement que vous utilisez dans ce labo.

Depuis la console Administrateur : Windows PowerShell ISE, exécutez ce qui suit pour définir les variables nécessaires pour exécuter le script suivant :

$subscriptionId = (Get-AzContext).Subscription.Id
$resourceGroupName = 'az140-22-RG'
$storageAccountName = (Get-AzStorageAccount -ResourceGroupName $resourceGroupName)[0].StorageAccountName

Depuis la console Administrateur : Windows PowerShell ISE, exécutez ce qui suit pour créer un objet d’ordinateur AD DS qui représente le compte de stockage Azure que vous avez créé précédemment dans cette tâche et utilisé pour implémenter son authentification AD DS :

Remarque : Si vous recevez une erreur lors de l’exécution de ce bloc de script, vérifiez que vous êtes dans le même répertoire que le script CopyToPSPath.ps1. Selon la façon dont les fichiers ont été extraits précédemment dans ce laboratoire, ils peuvent se trouver dans un sous-dossier nommé AzFilesHybrid. Dans le contexte PowerShell, remplacez les répertoires pour accéder au dossier à l’aide de cd AzFilesHybrid.
```
Set-Location -Path 'C:\Allfiles\Labs\02'
.\CopyToPSPath.ps1 
Import-Module -Name AzFilesHybrid
Join-AzStorageAccountForAuth `
   -ResourceGroupName $ResourceGroupName `
   -StorageAccountName $StorageAccountName `
   -DomainAccountType 'ComputerAccount' `
   -OrganizationalUnitDistinguishedName 'OU=WVDInfra,DC=adatum,DC=com'
```

Depuis la console Administrateur : Windows PowerShell ISE, exécutez ce qui suit pour vérifier que l’authentification AD DS est activée sur le compte de stockage Azure :

$storageaccount = Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName
$storageAccount.AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
$storageAccount.AzureFilesIdentityBasedAuth.DirectoryServiceOptions

Vérifiez que la sortie de la commande $storageAccount.AzureFilesIdentityBasedAuth.ActiveDirectoryProperties retourne AD, ce qui représente le service d’annuaire du compte de stockage, et que la sortie de la commande $storageAccount.AzureFilesIdentityBasedAuth.DirectoryServiceOptions, qui représente les informations de domaine d’annuaire, ressemble au format suivant (les valeurs de DomainGuid, DomainSidet AzureStorageSid seront différentes) :
```
DomainName        : adatum.com
NetBiosDomainName : adatum.com
ForestName        : adatum.com
DomainGuid        : 47c93969-9b12-4e01-ab81-1508cae3ddc8
DomainSid         : S-1-5-21-1102940778-2483248400-1820931179
AzureStorageSid   : S-1-5-21-1102940778-2483248400-1820931179-2109
```
Dans la session Bastion pour az140-dc-vm11, basculez vers la fenêtre Microsoft Edge affichant le portail Azure, dans le panneau affichant le compte de stockage, sélectionnez Partages de fichiers et vérifiez que le paramètre Accès basé sur l’identité est Configuré.

Remarque : Vous devrez peut-être actualiser la page du navigateur pour que la modification soit reflétée dans le portail Azure.

Tâche 4 : Configurer les autorisations basées sur le RBAC pour Azure Files

Dans la session Bastion pour az140-dc-vm11, dans la fenêtre Microsoft Edge affichant le Portail Azure, dans le panneau affichant les propriétés du compte de stockage créé précédemment dans cet exercice, dans le menu vertical de gauche, dans la section Stockage des données, sélectionnez Partages de fichiers.
Dans le panneau Partages de fichiers, dans la liste des partages, sélectionnez l’entrée az140-22-profiles.
Dans le panneau az140-22-profiles, dans le menu vertical de gauche, sélectionnez Access Control (IAM).
Dans le panneau Contrôle d’accès (IAM) du compte de stockage, sélectionnez + Ajouter et, dans le menu déroulant, sélectionnez Ajouter une attribution de rôle,

Dans le panneau Ajouter une attribution de rôle, sous l’onglet Rôle, spécifiez les paramètres suivants et sélectionnez Suivant :

Paramètre	Valeur
Rôle de fonction de travail	Contributeur de partage SMB de données de fichier de stockage

Dans le panneau Ajouter une attribution de rôle, sous l’onglet Membres, cliquez sur + Sélectionner des membres, spécifiez les paramètres suivants, puis cliquez sur Sélectionner.

Paramètre Valeur

Select az140-wvd-users
Dans le panneau Ajouter une attribution de rôle, sélectionnez Vérifier + attribuer, puis Vérifier + attribuer.
Dans le panneau Contrôle d’accès (IAM) du compte de stockage, sélectionnez + Ajouter et, dans le menu déroulant, sélectionnez Ajouter une attribution de rôle,

Paramètre	Valeur
Select	az140-wvd-users

Dans le panneau Ajouter une attribution de rôle, sous l’onglet Rôle, spécifiez les paramètres suivants et sélectionnez Suivant :

Paramètre	Valeur
Rôle de fonction de travail	Contributeur élevé de partage SMB de données de fichier de stockage

Dans le panneau Ajouter une attribution de rôle, sous l’onglet Membres, cliquez sur + Sélectionner des membres, spécifiez les paramètres suivants, puis cliquez sur Sélectionner.

Paramètre Valeur

Select az140-wvd-admins
Dans le panneau Ajouter une attribution de rôle, sélectionnez Vérifier + attribuer, puis Vérifier + attribuer.

Paramètre	Valeur
Select	az140-wvd-admins

Tâche 5 : Configurer les autorisations du système de fichiers Azure Files

Dans la session Bastion vers az140-dc-vm11, basculez vers la fenêtre Administrateur : Windows PowerShell ISE et, à partir du volet de script Administrateur : Windows PowerShell ISE, exécutez ce qui suit pour créer une variable référençant le nom et la clé du compte de stockage que vous avez créé précédemment dans cet exercice :
```
$resourceGroupName = 'az140-22-RG'
$storageAccount = (Get-AzStorageAccount -ResourceGroupName $resourceGroupName)[0]
$storageAccountName = $storageAccount.StorageAccountName
$storageAccountKey = (Get-AzStorageAccountKey -ResourceGroupName $resourceGroupName -Name $storageAccountName).Value[0]
```
Depuis la console Administrateur : Windows PowerShell ISE, exécutez ce qui suit pour créer un mappage de lecteur vers le partage de fichiers que vous avez créé précédemment dans cet exercice :
```
$fileShareName = 'az140-22-profiles'
net use Z: "\\$storageAccountName.file.core.windows.net\$fileShareName" /u:AZURE\$storageAccountName $storageAccountKey
```
Depuis la console Administrateur : Windows PowerShell ISE, exécutez la commande suivante pour afficher les autorisations actuelles du système de fichiers :
```
icacls Z:
```
Remarque : Par défaut, les Utilisateurs authentifiés\NT Authority et les Utilisateurs\BUILTIN disposent d’autorisations permettant aux utilisateurs de lire les conteneurs de profil d’autres utilisateurs. Vous allez les supprimer et ajouter des autorisations minimales requises à la place.

Depuis la console Administrateur : Windows PowerShell ISE, exécutez ce qui suit pour ajuster les autorisations du système de fichiers afin de respecter le principe des privilèges minimum :

$permissions = 'ADATUM\az140-wvd-admins'+':(F)'
cmd /c icacls Z: /grant $permissions
$permissions = 'ADATUM\az140-wvd-users'+':(M)'
cmd /c icacls Z: /grant $permissions
$permissions = 'Creator Owner'+':(OI)(CI)(IO)(M)'
cmd /c icacls Z: /grant $permissions
icacls Z: /remove 'Authenticated Users'
icacls Z: /remove 'Builtin\Users'

Remarque : Vous pouvez également définir des autorisations à l’aide de l’Explorateur de fichiers.