랩 - Azure Virtual Desktop 프로필 구현 및 관리(Microsoft Entra DS)

학생용 랩 매뉴얼

랩 종속성

Azure 구독
Azure 구독과 연결된 Microsoft Entra 테넌트의 전역 관리자 역할 및 Azure 구독의 소유자 또는 기여자 역할이 있는 Microsoft 계정 또는 Microsoft Entra 계정.
랩에서 프로비전한 Azure Virtual Deskktop 환경 Azure Virtual Desktop 소개(Microsoft Entra DS)

예상 소요 시간

30분

랩 시나리오

Microsoft Entra DS 환경에서 Azure Virtual Desktop 프로필 관리를 구현해야 합니다.

목표

이 랩을 완료하면 다음을 수행할 수 있습니다.

Microsoft Entra DS 환경에서 Azure Virtual Desktop용 프로필 컨테이너를 저장하도록 Azure Files 구성
Microsoft Entra DS 환경에서 Azure Virtual Desktop용 FSLogix 기반 프로필 구현

랩 파일

None

지침

연습 1: Azure Virtual Desktop용 FSLogix 기반 프로필 구현

이 연습의 주요 작업은 다음과 같습니다.

Azure Virtual Desktop 세션 호스트 VM에서 로컬 관리자 그룹 구성
Azure Virtual Desktop 세션 호스트 VM에서 FSLogix 기반 프로필 구성
Azure Virtual Desktop을 사용하여 FSLogix 기반 프로필 테스트
Azure 랩 리소스 삭제

작업 1: Azure Virtual Desktop 세션 호스트 VM에서 로컬 관리자 그룹 구성

랩 컴퓨터에서 웹 브라우저를 시작하여 Azure Portal로 이동하고 이 랩에서 사용할 구독에서 Owner 역할을 가진 사용자 계정의 자격 증명을 제공하여 로그인합니다.
Azure Portal에서, 검색 텍스트 상자의 오른쪽에 있는 도구 모음 아이콘을 직접 선택하여 Cloud Shell 창을 엽니다.
Bash와 PowerShell 중에서 선택하라는 메시지가 표시되면 PowerShell을 선택합니다.

참고: Cloud Shell을 처음 시작했는데 탑재된 스토리지 없음이라는 메시지가 표시되면 이 랩에서 사용하는 구독을 선택하고 스토리지 만들기를 선택합니다.
Cloud Shell 창의 PowerShell 세션에서 다음 명령을 실행하여 이 랩에서 사용할 Azure Virtual Desktop 세션 호스트 Azure VM을 시작합니다.
```
Get-AzVM -ResourceGroup 'az140-21a-RG' | Start-AzVM
```
참고: Azure VM이 실행될 때까지 기다렸다가 다음 단계를 진행합니다.
Cloud Shell 창의 PowerShell 세션에서 다음을 실행하여 세션 호스트에서 PowerShell 원격을 사용하도록 설정합니다.
```
Get-AzVM -ResourceGroup 'az140-21a-RG' | Enable-AzVMPSRemoting
```
Cloud Shell 닫기
랩 컴퓨터에 표시된 Azure Portal에서 가상 머신을 검색하여 선택하고 가상 머신 블레이드에서 az140-cl-vm11a 항목을 선택합니다. 그러면 az140-cl-vm11a 블레이드가 열립니다.
az140-cl-vm11a 블레이드에서 연결을 선택하고 드롭다운 메뉴에서 베스천을 선택합니다. az140-cl-vm11a | 연결 블레이드의 베스천 탭에서 베스천 사용을 선택합니다.

메시지가 표시되면 다음 자격 증명을 제공하고 연결을 선택합니다.

설정	값
사용자 이름	aadadmin1@adatum.com
암호	이전에 구성된 암호

az140-cl-vm11a에 연결된 Bastion 세션 내의 시작 메뉴에서 Windows 관리 도구 폴더로 이동하여 해당 폴더를 확장하고 Active Directory 사용자 및 컴퓨터를 선택합니다.
Active Directory 사용자 및 컴퓨터 콘솔에서 도메인 노드를 마우스 오른쪽 단추로 클릭하고 새로 만들기 > 조직 구성 단위를 선택합니다. 그런 다음 새 개체 - 조직 구성 단위 대화 상자의 이름 텍스트 상자에 ADDC 사용자를 입력하고 확인을 선택합니다.

Active Directory 사용자 및 컴퓨터 콘솔에서 ADDC 사용자를 마우스 오른쪽 단추로 클릭하고 새로 만들기 > 그룹을 선택합니다. 그런 다음 새 개체 - 그룹 대화 상자에서 다음 설정을 지정하고 OK을 선택합니다.

설정	값
그룹 이름	로컬 관리자
그룹 이름(Windows 2000 이전 버전)	로컬 관리자
Group scope	Global
그룹 형식	보안

Active Directory 사용자 및 컴퓨터 콘솔에 로컬 관리자 그룹의 속성을 표시하고 구성원 탭으로 전환하여 추가를 선택합니다. 그런 다음, 사용자, 연락처, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 선택할 개체 이름 입력에 aadadmin1;wvdaadmin1을 입력하고 확인을 선택합니다.
az140-cl-vm11a에 연결된 Bastion 세션 내의 시작 메뉴에서 Windows 관리 도구 폴더로 이동하여 해당 폴더를 확장하고 그룹 정책 관리를 선택합니다.
그룹 정책 관리 콘솔에서 AADDC 컴퓨터 OU로 이동하여 AADDC 컴퓨터 GPO 아이콘을 마우스 오른쪽 단추로 클릭한 후 편집을 선택합니다.
그룹 정책 관리 편집기 콘솔에서 컴퓨터 구성, 정책, Windows 설정, 보안 설정을 확장하고 제한된 그룹을 마우스 오른쪽 단추로 클릭한 후에 그룹 추가를 선택합니다.
그룹 추가 대화 상자의 그룹 텍스트 상자에서 찾아보기를 선택합니다. 그런 다음 그룹 선택 대화 상자의 선택할 개체 이름을 입력하십시오. 에 Local Admins를 입력하고 확인을 선택합니다.
그룹 추가 대화 상자로 돌아와서 확인을 선택합니다.
ADATUM\Local Admins 속성 대화 상자의 레이블이 그룹이 가입된 그룹인 섹션에서 추가를 선택합니다. 그런 다음 그룹 구성원 대화 상자에 관리자를 입력하고 확인, 확인을 차례로 선택하여 변경을 완료합니다.

참고: 레이블이 이 그룹은 다음의 멤버입니다라는 섹션을 사용해야 합니다.
az140-cl-vm11a Azure VM에 연결된 Bastion 세션 내에서 PowerShell ISE를 관리자 권한으로 시작합니다. 그런 후에 다음 명령을 실행하여 Azure Virtual Desktop 호스트를 다시 시작해 그룹 정책 처리를 트리거합니다.
```
$servers = 'az140-21-p1-0','az140-21-p1-1'
Restart-Computer -ComputerName $servers -Force -Wait
```
스크립트가 완료될 때까지 기다립니다. 이 작업은 3분 정도 걸립니다.

작업 2: Azure Virtual Desktop 세션 호스트 VM에서 FSLogix 기반 프로필 구성

az140-cl-vm11a에 연결된 Bastion 세션 내에서 az140-21-p1-0으로 연결하는 원격 데스크톱 세션을 시작하고 메시지가 표시되면 ADATUM\wvdaadmin1 사용자 이름과 이 사용자 계정을 만들 때 설정한 암호로 로그인합니다.

참고: RDP 연결에 연결할 수 없는 경우 Azure Portal을 사용하여 베스천을 사용하여 VM에 연결합니다.
az140-21-p1-0에 연결된 원격 데스크톱 세션 내에서 Microsoft Edge를 시작하고 FSLogix 다운로드 페이지로 이동합니다. 그런 다음, 압축된 FSLogix 설치 이진 파일을 다운로드하여 C:\Source 폴더에 압축을 풉니다. 그 후에 x64\Release 하위 폴더로 이동한 다음, FSLogixAppsSetup.exe를 사용하여 기본 설정으로 Microsoft FSLogix Apps를 설치합니다.

참고: 이미지가 이미 포함되어 있는지 여부에 따라 FXLogic를 설치할 필요가 없을 수도 있습니다. FX Logix 설치는 재부팅이 필요합니다.
az140-21-p1-0에 연결된 원격 데스크톱 세션 내에서 Windows PowerShell ISE를 관리자 권한으로 시작합니다. 그런 다음 관리자: Windows PowerShell ISE 스크립트 창에서 다음 명령을 실행하여 PowerShellGet 모듈의 최신 버전을 설치합니다(설치를 확인하라는 메시지가 표시되면 예 선택).
```
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Install-Module -Name PowerShellGet -Force -SkipPublisherCheck
```
관리자: Windows PowerShell ISE 스크립트 창에서 다음 명령을 실행하여 Az PowerShell 모듈의 최신 버전을 설치합니다(설치를 확인하라는 메시지가 표시되면 모두 예 선택).
```
Install-Module -Name Az -AllowClobber -SkipPublisherCheck
```
관리자: Windows PowerShell ISE 콘솔에서 다음 명령을 실행하여 실행 정책을 수정합니다.
```
Set-ExecutionPolicy RemoteSigned -Force
```
관리자: Windows PowerShell ISE 콘솔에서 다음 명령을 실행하여 Azure 구독에 로그인합니다.
```
Connect-AzAccount
```
메시지가 표시되면 이 랩에서 사용 중인 구독의 소유자 역할이 있는 사용자 계정의 Microsoft Entra 자격 증명으로 로그인합니다.
관리자: Windows PowerShell ISE 스크립트 창에서 다음 명령을 실행하여 이 랩의 앞부분에서 구성한 Azure Storage 계정의 이름을 검색합니다.
```
$resourceGroupName = 'az140-22a-RG'
$storageAccountName = (Get-AzStorageAccount -ResourceGroupName $resourceGroupName)[0].StorageAccountName   
```

az140-21-p1-0에 연결된 원격 데스크톱 세션 내의 관리자: Windows PowerShell ISE 스크립트 창에서 다음 명령을 실행하여 프로필 레지스트리 설정을 구성합니다.

$profilesParentKey = 'HKLM:\SOFTWARE\FSLogix'
$profilesChildKey = 'Profiles'
$fileShareName = 'az140-22a-profiles'
New-Item -Path $profilesParentKey -Name $profilesChildKey –Force
New-ItemProperty -Path $profilesParentKey\$profilesChildKey -Name 'Enabled' -PropertyType DWord -Value 1
New-ItemProperty -Path $profilesParentKey\$profilesChildKey -Name 'VHDLocations' -PropertyType MultiString -Value "\\$storageAccountName.file.core.windows.net\$fileShareName"

참고 명령에서 오류가 발생하면 다음 단계를 계속하세요.

az140-21-p1-0에 연결된 원격 데스크톱 세션 내에서 시작을 마우스 오른쪽 단추로 클릭하고 오른쪽 클릭 메뉴에서 실행을 선택합니다. 그런 다음 실행 대화 상자의 열기 텍스트 상자에 다음 내용을 입력하고 확인을 클릭하여 로컬 사용자 및 그룹 창을 시작합니다.
```
lusrmgr.msc
```
로컬 사용자 및 그룹 콘솔에서 이름이 FSLogix 문자열로 시작되는 그룹 4개를 확인합니다.
- FSLogix ODFC Exclude List
- FSLogix ODFC Include List
- FSLogix Profile Exclude List
- FSLogix Profile Include List
로컬 사용자 및 그룹 콘솔에서 FSLogix 프로필 포함 목록 그룹 항목을 두 번 클릭하고 여기에 \Everyone 그룹이 포함되어 있는지 확인한 다음, 확인을 선택하여 그룹 속성 창을 닫습니다.
로컬 사용자 및 그룹 콘솔에서 FSLogix Profile Exclude List 그룹 항목을 두 번 클릭하여 기본적으로 아무 그룹 구성원도 포함되어 있지 않음을 확인하고 확인을 선택하여 그룹 **속성 **창을 닫습니다.

참고: 일관성 있는 사용자 환경을 제공하려면 모든 Azure Virtual Desktop 세션 호스트에서 FSLogix 구성 요소를 설치하고 구성해야 합니다. 랩 환경의 다른 세션 호스트에서는 무인 방식으로 이 작업을 수행합니다.

az140-21-p1-0에 연결된 원격 데스크톱 세션 내의 관리자: Windows PowerShell ISE 스크립트 창에서 다음 명령을 실행하여 az140-21-p1-1 세션 호스트에 FSLogix 구성 요소를 설치합니다.

$server = 'az140-21-p1-1' 
$localPath = 'C:\Source\x64'
$remotePath = "\\$server\C$\Source\x64\Release"
Copy-Item -Path $localPath\Release -Destination $remotePath -Filter '*.exe' -Force -Recurse
Invoke-Command -ComputerName $server -ScriptBlock {
   Start-Process -FilePath $using:localPath\Release\FSLogixAppsSetup.exe -ArgumentList '/quiet' -Wait
}

az140-21-p1-0에 연결된 원격 데스크톱 세션 내에서 Windows PowerShell ISE를 관리자 권한으로 시작합니다. 그런 다음 관리자: Windows PowerShell ISE 스크립트 창에서 다음 명령을 실행하여 az140-21-p1-1 세션 호스트에서 프로필 레지스트리 설정을 구성합니다.

$profilesParentKey = 'HKLM:\SOFTWARE\FSLogix'
$profilesChildKey = 'Profiles'
$fileShareName = 'az140-22a-profiles'
Invoke-Command -ComputerName $server -ScriptBlock {
   New-Item -Path $using:profilesParentKey -Name $using:profilesChildKey –Force
   New-ItemProperty -Path $using:profilesParentKey\$using:profilesChildKey -Name 'Enabled' -PropertyType DWord -Value 1
   New-ItemProperty -Path $using:profilesParentKey\$using:profilesChildKey -Name 'VHDLocations' -PropertyType MultiString -Value "\\$storageAccountName.file.core.windows.net\$using:fileShareName"
}

참고: FSLogix 기반 프로필 기능을 테스트하려면 이전 랩에서 사용한 Azure Virtual Desktop 세션 호스트에서 테스트용으로 사용할 ADATUM\wvdaadmin1 계정의 로컬에 캐시된 프로필을 제거해야 합니다.

az140-cl-vm11a에 연결된 Bastion 세션으로 전환하여 az140-cl-vm11a에 연결된 Bastion 세션 내에서 관리자: Windows PowerShell ISE 창으로 전환한 다음, 관리자: Windows PowerShell ISE 스크립트 창에서 다음 명령을 실행하여 ADATUM\aaduser1 계정의 로컬에 캐시된 프로필을 제거합니다.
```
$userName = 'aaduser1'
$servers = 'az140-21-p1-0','az140-21-p1-1'
Get-CimInstance -ComputerName $servers -Class Win32_UserProfile | Where-Object { $_.LocalPath.split('\')[-1] -eq $userName } | Remove-CimInstance
```

작업 3: Azure Virtual Desktop을 사용하여 FSLogix 기반 프로필 테스트

az140-cl-vm11a에 연결된 Bastion 세션 내에서 원격 데스크톱 클라이언트로 전환합니다.
az140-cl-vm11a에 연결된 Bastion 세션 내의 원격 데스크톱 클라이언트 창에 있는 애플리케이션 목록에서 Command Prompt를 두 번 클릭합니다. 그런 다음 메시지가 표시되면 암호를 입력하고 Command Prompt 창이 시작되는지 확인합니다.

참고: 처음에는 애플리케이션이 시작되려면 몇 분 정도 걸릴 수 있지만 그 이후부터는 애플리케이션이 훨씬 빠르게 시작됩니다.
명령 프롬프트 창 왼쪽 위의 명령 프롬프트 아이콘을 마우스 오른쪽 단추로 클릭하고 드롭다운 메뉴에서 속성을 선택합니다.
명령 프롬프트 속성 대화 상자에서 글꼴 탭을 선택하고 크기 및 글꼴 설정을 수정한 후에 확인을 선택합니다.
명령 프롬프트 창에 logoff를 입력하고 Enter 키를 눌러 원격 데스크톱 세션에서 로그아웃합니다.
az140-cl-vm11a에 연결된 Bastion 세션 내의 원격 데스크톱 클라이언트 창에 있는 애플리케이션 목록에서 SessionDesktop을 두 번 클릭하여 원격 데스크톱 세션이 시작되는지 확인합니다.
SessionDesktop **세션 내에서 **시작을 마우스 오른쪽 단추로 클릭하고 오른쪽 클릭 메뉴에서 실행을 선택합니다. 그런 다음 실행 대화 상자의 열기 텍스트 상자에 cmd를 입력하고 확인을 클릭하여 명령 프롬프트 창을 시작합니다.
명령 프롬프트 창 속성이 이 작업의 앞부분에서 설정한 것과 일치하는지 확인합니다.
SessionDesktop **세션 내에서 모든 창을 최소화하고 바탕 화면을 마우스 오른쪽 단추로 클릭한 후에 오른쪽 클릭 메뉴에서 **새로 만들기를 선택합니다. 그런 다음 계단식 메뉴에서 바로 가기를 선택합니다.
바로 가기 만들기 마법사에서 바로 가기를 만들 항목 페이지에 있는 항목 위치 입력 텍스트 상자에 메모장을 입력하고 다음을 선택합니다.
바로 가기 만들기 마법사에서 바로 가기의 이름을 지정 페이지에 있는 바로 가기에 사용할 이름 입력 텍스트 상자에 메모장을 입력하고 마침을 선택합니다.
SessionDesktop **세션 내에서 **시작을 마우스 오른쪽 단추로 클릭하고 오른쪽 클릭 메뉴에서 종료 또는 로그아웃을 선택합니다. 그런 다음 계단식 메뉴에서 로그아웃을 선택합니다.
az140-cl-vm11a에 연결된 Bastion 세션으로 돌아와 원격 데스크톱 클라이언트 창에 있는 애플리케이션 목록에서 SessionDesktop을 두 번 클릭하여 새 원격 데스크톱 세션을 시작합니다.
SessionDesktop 세션 내에서 메모장 바로 가기가 바탕 화면에 표시되는지 확인합니다.
SessionDesktop **세션 내에서 **시작을 마우스 오른쪽 단추로 클릭하고 오른쪽 클릭 메뉴에서 종료 또는 로그아웃을 선택합니다. 그런 다음 계단식 메뉴에서 로그아웃을 선택합니다.
az140-cl-vm11a에 연결된 Bastion 세션 내에서 Azure Portal이 표시된 Microsoft Edge 창으로 전환합니다.
Azure Portal이 표시된 Microsoft Edge 창에서 스토리지 계정 블레이드로 이동합니다. 그런 다음 이전 연습에서 만든 스토리지 계정에 해당하는 항목을 선택합니다.
스토리지 계정 블레이드의 파일 서비스 섹션에서 파일 공유를 선택하고 파일 공유 목록에서 az140-22a-profiles를 선택합니다.
az140-22a-profiles 블레이드에서 찾아보기를 선택하고 해당 콘텐츠에 이름이 ADATUM\aaduser1 계정의 SID(보안 식별자) 뒤에 _aaduser1 접미사로 구성된 폴더가 포함되어 있는지 확인합니다.
이전 단계에서 확인한 폴더를 선택하여 Profile_aaduser1.vhd 파일 하나가 포함되어 있음을 확인합니다.

연습 2: Azure 랩 리소스 삭제(선택 사항)

Azure Portal을 사용하여 Azure Active Directory Domain Services 관리형 도메인 삭제에 설명된 지침을 따라 Microsoft Entra DS 배포를 제거합니다.
Azure Resource Manager 리소스 그룹 및 리소스 삭제에 설명된 지침을 따라 이 과정의 Microsoft Entra DS 랩에서 프로비저닝한 모든 Azure 리소스 그룹을 제거합니다.