랩 - AVD용 스토리지 구현 및 관리(Microsoft Entra DS)

학생용 랩 매뉴얼

랩 종속성

  • Azure 구독
  • Azure 구독과 연결된 Microsoft Entra 테넌트의 전역 관리자 역할 및 Azure 구독의 소유자 또는 기여자 역할이 있는 Microsoft 계정 또는 Microsoft Entra 계정.
  • 완료된 랩 Azure Virtual Desktop(Microsoft Entra DS) 배포 준비

예상 소요 시간

30분

랩 시나리오

Microsoft Entra DS 환경에서 Azure Virtual Desktop 배포를 위한 스토리지를 구현하고 관리해야 합니다.

목표

이 랩을 완료하면 다음을 수행할 수 있습니다.

  • Microsoft Entra DS 환경에서 Azure Virtual Desktop용 프로필 컨테이너를 저장하도록 Azure Files 구성

랩 파일

  • None

지침

연습 1: Azure Virtual Desktop용 프로필 컨테이너를 저장하도록 Azure Files 구성

이 연습의 주요 작업은 다음과 같습니다.

  1. Azure Storage 계정 만들기
  2. Azure Files 공유 만들기
  3. Azure Storage 계정에 대해 Microsoft Entra DS 인증 사용
  4. Azure Files 공유 권한 구성
  5. Azure Files 디렉터리 및 파일 수준 권한 구성

작업 1: Azure Storage 계정 만들기

  1. 랩 컴퓨터에서 웹 브라우저를 시작하여 Azure Portal로 이동하고 이 랩에서 사용할 구독에서 Owner 역할을 가진 사용자 계정의 자격 증명을 제공하여 로그인합니다.
  2. 랩 컴퓨터의 Azure Portal에서 가상 머신을 검색하고 선택하고 가상 머신 블레이드에서 az140-cl-vm11a 항목을 선택합니다. 그러면 az140-cl-vm11a 블레이드가 열립니다.
  3. az140-cl-vm11a 블레이드에서 연결을 선택하고 드롭다운 메뉴에서 베스천을 선택합니다. az140-cl-vm11a | 연결 블레이드의 베스천 탭에서 베스천 사용을 선택합니다.

  4. 메시지가 표시되면 다음 자격 증명을 제공하고 연결을 선택합니다.

    설정
    사용자 이름 aadadmin1@adatum.com
    암호 이전에 정의한 암호

  5. az140-cl-vm11a Azure VM에 연결된 Bastion 세션 내에서 Microsoft Edge를 시작하고 Azure Portal로 이동합니다. 그런 다음, aadadmin1 사용자 계정의 사용자 계정 이름 및 이 계정을 만들 때 설정한 암호를 제공하여 로그인합니다.

    참고: aadadmin1 계정의 UPN(사용자 계정 이름) 특성을 확인하려면 Active Directory 사용자 및 컴퓨터 콘솔에서 계정의 속성 대화 상자를 검토하거나, 랩 컴퓨터로 돌아가 Azure Portal의 Microsoft Entra 테넌트 블레이드에서 계정 속성을 검토하면 됩니다.

  6. az140-cl-vm11a에 연결된 Bastion 세션 내의 Azure Portal이 표시된 Microsoft Edge 창에서 스토리지 계정을 검색하여 선택한 후 스토리지 계정 블레이드에서 + 만들기를 선택합니다.

  7. 스토리지 계정 만들기 블레이드의 기본 탭에서 다음 설정을 지정합니다(나머지는 기본값을 그대로 유지).

    설정
    구독 이 랩에서 사용 중인 Azure 구독의 이름
    Resource group 새 리소스 그룹 az140-22a-RG의 이름
    스토리지 계정 이름 3~15자 사이의 소문자와 숫자로 구성된 전역적으로 고유한 이름(문자로 시작해야 함)
    위치 Azure Virtual Desktop 랩 환경을 호스트하는 Azure 지역의 이름
    성능 Standard
    복제 LRS(로컬 중복 스토리지)

    참고: 스토리지 계정 이름 길이가 15자를 초과하지 않는지 확인합니다. 이 이름을 사용하여 Active Directory Domain Services(AD DS) 도메인에서 컴퓨터 계정을 만듭니다. 이 도메인은 스토리지 계정이 포함된 Azure 구독과 연결되어 있는 Microsoft Entra 테넌트와 통합됩니다. 따라서 이 스토리지 계정에서 호스트되는 파일 공유에 액세스할 때 AD DS 기반 인증을 사용할 수 있습니다.

  8. 스토리지 계정 만들기 블레이드의 기본 사항 탭에서 검토 + 만들기를 선택하고, 유효성 검사 프로세스가 완료될 때까지 기다린 다음, 만들기를 선택합니다.

    참고: 스토리지 계정이 만들어질 때까지 기다립니다. 이 작업은 약 2분 정도 걸립니다.

작업 2: Azure Files 공유 만들기

  1. az140-cl-vm11a에 연결된 Bastion 세션 내의 Azure Portal이 표시된 Microsoft Edge 창에서 스토리지 계정 블레이드로 다시 이동하여 새로 만든 스토리지 계정에 해당하는 항목을 선택합니다.
  2. 스토리지 계정 블레이드 왼쪽의 세로 메뉴에 있는 데이터 스토리지 섹션에서 파일 공유, + 파일 공유를 차례로 선택합니다.

  3. 새 파일 공유 블레이드에서 다음 설정을 지정하고 선택을 선택합니다(다른 설정은 모두 기본값으로 유지).

    설정
    속성 az140-22a-profiles

작업 3: Azure Storage 계정에 대해 Microsoft Entra DS 인증 사용

  1. az140-cl-vm11a에 연결된 Bastion 세션 내의 Microsoft Edge 창에 표시되어 있는 Azure Portal로 이동합니다. 그런 다음 이전 작업에서 만든 스토리지 계정 속성이 표시된 블레이드의 왼쪽 세로 메뉴에 있는 데이터 스토리지 섹션에서 파일 공유를 선택합니다.
  2. 파일 공유 설정 섹션에서 Active Directory 레이블 옆에 있는 구성되지 않음 링크를 선택합니다.
  3. Active Directory 원본 사용 섹션의 Azure Active Directory Domain Services에서 설정을 선택합니다.
  4. ID 기반 액세스 블레이드에서 사용 옵션을 선택하고 저장을 선택합니다.

작업 4: Azure Files RBAC 기반 권한 구성

  1. az140-cl-vm11a에 연결된 Bastion 세션 내의 Azure Portal이 Microsoft Edge 창으로 이동합니다. 그런 다음 이 연습 앞부분에서 만든 스토리지 계정 속성이 표시된 블레이드의 왼쪽 세로 메뉴에 있는 데이터 스토리지 섹션에서 파일 공유를 선택합니다. 그 후에 공유 목록에서 az140-22a-profiles 항목을 선택합니다.
  2. az140-22a-profiles 블레이드 왼쪽의 세로 메뉴에서 액세스 제어(IAM) 를 선택합니다.
  3. az140-22a-profiles | 액세스 제어(IAM) 블레이드에서 + 추가를 선택하고 드롭다운 메뉴에서 역할 할당 추가를 선택합니다.
  4. 역할 할당 추가 블레이드에서 스토리지 파일 데이터 SMB 공유 기여자를 선택하고 다음을 선택합니다.
  5. 구성원 블레이드에서 액세스 권한 할당을 선택한 다음, + 구성원 선택을 ​​클릭합니다.
  6. 구성원 선택 블레이드의 선택 텍스트 상자에 az140-wvd-ausers를 입력한 다음, 선택을 클릭합니다.
  7. 구성원 블레이드에서 검토 + 할당을 두 번 선택합니다.

  8. 위의 3~8단계를 반복하고 다음 설정을 지정합니다.

    설정
    역할 Storage 파일 데이터 SMB 공유 높은 권한 기여자
    선택 az140-wvd-aadmins

    참고: 여기서는 az140-wvd-aadmins 그룹 구성원인 aadadmin1 사용자 계정을 사용하여 파일 공유 권한을 구성합니다.

작업 5: Azure Files 디렉터리 및 파일 수준 권한 구성

  1. az140-cl-vm11a에 연결된 Bastion 세션 내에서 명령 프롬프트를 시작하고 명령 프롬프트 창에서 다음 명령을 실행하여 대상 공유에 드라이브를 매핑합니다(<storage-account-name> 자리 표시자는 스토리지 계정 이름으로 바꿔야 함).

    net use Z: \\<storage-account-name>.file.core.windows.net\az140-22a-profiles
  2. az140-cl-vm11a에 연결된 원격 데스크톱 세션 내에서 파일 탐색기를 열고 새로 매핑된 Z: 드라이브로 이동합니다. 그런 다음 해당 드라이브의 속성 대화 상자를 표시하고 보안 탭, 편집, 추가를 차례로 선택합니다. 그 후에 사용자, 컴퓨터, 서비스 계정 및 그룹 선택 대화 상자의 찾을 위치를 선택하세요. 텍스트 상자에 adatum.com 항목이 포함되어 있는지 확인하고 선택할 개체 이름 입력 텍스트 상자에 az140-wvd-ausers를 입력한 다음 확인을 클릭합니다.
  3. 매핑된 드라이브의 권한이 표시된 대화 상자의 보안 탭으로 돌아와 az140-wvd-ausers 항목이 선택되어 있는지 확인합니다. 그런 다음 허용 열에서 수정 체크박스를 선택하고 확인을 클릭하여 Windows 보안 텍스트 상자에 표시되는 메시지를 검토한 후 를 클릭합니다.
  4. 매핑된 드라이브의 권한이 표시된 대화 상자의 보안 탭으로 돌아와 편집, 추가를 차례로 선택합니다. 그 후에 사용자, 컴퓨터, 서비스 계정 및 그룹 선택 대화 상자에서 찾을 위치를 선택하세요. 텍스트 상자에 adatum.com 항목이 포함되어 있는지 확인하고, 선택할 개체 이름을 입력하십시오. 텍스트 상자에 az140-wvd-aadmins를 입력한 후에 확인을 클릭합니다.
  5. 매핑된 드라이브의 권한이 표시된 대화 상자의 보안 탭으로 돌아와 az140-wvd-aadmins 항목이 선택되어 있는지 확인합니다. 그런 다음 허용 열에서 모든 권한 체크박스를 선택하고 확인을 클릭합니다.
  6. 매핑된 드라이브의 권한이 표시된 대화 상자의 보안 탭에서 편집을 선택하고 그룹 및 사용자 이름 목록에서 인증된 사용자 항목을 선택한 후에 제거를 선택합니다.

  7. 편집 화면에 있는 동안 그룹 및 사용자 이름 목록에서 사용자 항목을 선택한 후에 제거를 선택합니다. 그런 다음, 확인을 클릭하고 다시 확인을 두 번 클릭하여 프로세스를 완료합니다.

    참고: icacls 명령줄 유틸리티를 사용하여 권한을 설정할 수도 있습니다.