FSLogix est une excellente solution pour assurer la gestion des profils de vos utilisateurs. TrĂšs souvent utilisĂ© dans diffĂ©rents types d’environnement VDI, FSLogix s’adapte trĂšs bien et trĂšs facilement Ă Azure Virtual Desktop. Mais la configuration de FSLogix a besoin d’ĂȘtre manipulĂ©e avec prĂ©caution pour ne pas devenir un cauchemar pour vos utilisateurs et par ricochet sur vous.
Un prĂ©cĂ©dent article sur ce blog parle dĂ©jĂ de la mise en place de la solution FSLogix au sein d’un environnement Azure Virtual Desktop, dont voici le lien.
La solution FSLogix en quelques mots & vidéos :
Azure Virtual Desktop recommande les conteneurs de profil FSLogix. FSLogix est société acquise par Microsoft en novembre 2018. Elle propose une solution de conteneurisation des profils utilisateurs en itinérance, utilisable dans une large gamme de scénarios sous format VHD ou VHDX. Avec FSLogix, vous allez pouvoir réaliser les actions suivantes pour vos utilisateurs :
- Centralisation des profils utilisateurs Azure Virtual Desktop
- Dissociation possible entre les conteneurs Office365 avec les conteneurs profils utilisateurs
- Gestion des applications visibles ou non via la fonction AppMasking
- ContrĂŽle des versions JAVA
- Customisation de lâinstallation via de nombreuses rĂšgles ou via GPO
- Sans les conteneurs de profil FSLogix, OneDrive Entreprise nâest pas pris en charge dans les environnements RDSH ou VDI non persistants
Un grand merci Ă Dean Cefola de l’Azure Academy pour cette playlist YouTube trĂšs complĂšte autour de FSLogix :
Il est important de comprendre que la configuration FSLogix dĂ©pendra de beaucoup de paramĂštres, et qu’il est difficile d’en Ă©tablir une adaptĂ©e Ă tous les cas d’usages.
Durant l’Ă©criture de cet article, j’ai retrouvĂ© un grand nombre de documentations utiles Ă une meilleure comprĂ©hension de FSLogix, dont certaines proviennent Microsoft Learn :
- Implémenter et gérer FSLogix
- Exemples de configuration FSLogix
- Conteneurs de profil FSLogix et fichiers Azure
- Notes de publication de FSLogix
- Installer FSLogix
- ProblĂšmes connus FSLogix
Mais aussi d’autres sources non-Microsoft :
- FSLogix Best Practices for Azure Virtual Desktop Environment
- 10 FSLogix Profile Containers Best Practices
- Best Practices For Synchronizing FSLogix And VDI Profiles
Ce nouvel article a donc pour but de partager avec vous une problĂ©matique FSLogix possible ainsi qu’une mĂ©thode de rĂ©solution :
- Etape 0 â Contexte
- Etape I â Premier test d’un l’utilisateur impactĂ©
- Etape II â CrĂ©ation d’une premiĂšre VM image AVD
- Etape III â Identification de la cause
- Etape IV â CrĂ©ation d’une seconde VM image AVD
- Etape V â CrĂ©ation dâune nouvelle hĂŽte AVD
- Etape VI â Second test dâun lâutilisateur impactĂ©
Pour des questions de confidentialitĂ©, l’environnement prĂ©sent ci-dessous est une copie approchante de l’environnement rĂ©el du client concernĂ©.
Etape 0 â Contexte :
Je suis intervenu sur un environnement Azure Virtual Desktop sur lequel les utilisateurs se plaignaient d’ĂȘtre constamment obligĂ©s de se rĂ©authentifier Ă leurs outils Microsoft 365 Ă chaque ouverture :
Cela concernait les outils de productivitĂ©s (Word, Excel, PowerPoint), mais Ă©galement les outils de collaborations (Outlook, OneDrive, Teams). La gĂȘne pour les utilisateurs Ă©tait donc Ă©vidente.
Voici une description des ressources Azure déjà en place :
- Domain managé Entra Domain Services
- Environnement AVD avec 2 hĂŽtes
- Stockage des profiles FSLogix sur un Azure File Share + sauvegarde
- Gestion des images via une Azure compute gallery
- AccĂšs RDP via Azure Bastion
Voici le groupe de ressources Azure contenant le domaine managé Microsoft :
Voici le groupe de ressources Azure contenant l’environnement AVD et le compte de stockage utilisĂ© pour les profils FSLogix :
Voici le groupe de ressources Azure contenant l’image Windows 11 stockĂ©e dans une Azure compute gallery :
Voici une vue de l’environnement Azure Virtual Desktop :
Voici une vue des groupes Entra ID en relation avec Azure Virtual Desktop :
Voici une vue du compte stockage contenant le partage de fichiers dédié aux profils FSLogix :
Voici le paramétrage indiquant que le compte de stockage est joint au domaine managé Microsoft et les droits RBAC de base pour le partage :
Concernant la partie administration d’AVD, je retrouve bien des droits d’administration RBAC plus Ă©levĂ©s et dĂ©diĂ©s Ă la configuration des droits NTFS :
La sauvegarde concernant la partie FSLogix est Ă©galement bien en place :
Sur ce mĂȘme compte de stockage dĂ©diĂ© Ă FSLogix, l’accĂšs rĂ©seau Internet est bien coupĂ© :
En lieu et place, un point d’accĂšs privĂ© pour connecter le compte de stockage au rĂ©seau virtuel AVD :
En me connectant avec un compte administrateur sur l’environnement AVD, j’ai pu vĂ©rifier que les droits NTFS appliquĂ©s au partage de fichiers FSLogix Ă©taient bien cohĂ©rent :
Enfin les rĂšgles de registres implĂ©mentĂ©s directement sur la VM AVD et donc sur l’image reprennent les recommandations de base de Microsoft, disponible juste ici :
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\FSLogix\Profiles
L’environnement semble bon, et le problĂšme semble Ă priori en relation avec les tokens.
L’Ă©tape suivante est alors la reproduction sur problĂšme rencontrĂ© par les utilisateurs d’Azure Virtual Desktop.
Etape I â Premier test d’un l’utilisateur impactĂ© :
Pour cela, j’utilise le client Remote Desktop sur Windows afin d’ouvrir une session AVD sur un utilisateur impactĂ© :
Je renseigne les identifiants :
La session Windows 11 s’ouvre bien et indique un chargement du profil via la solution FSLogix :
Le dossier du profil est bien présent sur le partage de fichier Azure comme indiqué dans la configuration registre Windows :
J’ouvre une premiĂšre fois l’outil Power Point :
Je m’identifie dans l’application avec un compte Microsoft 365 correctement licenciĂ© :
L’authentification d’Office 365 fonctionne bien et sans erreur :
Je ferme et rĂ©ouvre la session Azure Virtual Desktop avec ce mĂȘme utilisateur :
Je réouvre PowerPoint et je constate le besoin de réauthentification systématique, comme dans toutes les autres applications Microsoft 365 :
Par le bais de l’explorateur Windows, je me rends dans le dossier suivant pour ouvrir l’application frxtray :
- C:\Program Files\FSLogix\Apps\
- frxtray.exe
J’affiche les diffĂ©rents journaux d’Ă©vĂšnements Ă la recherche d’erreurs potentielles, sans succĂšs :
Afin de poursuivre mon investigation, je dĂ©cide d’appliquer la stratĂ©gie suivante :
- CrĂ©ation d’une nouvelle machine virtuelle AVD depuis la derniĂšre image
- Mise Ă jour de l’OS Windows 11
- Mise Ă jour des applications Office 365
- Mise Ă jour de FSLogix
Pour cela, je commence par créer cette nouvelle machine virtuelle Azure.
Etape II â CrĂ©ation d’une premiĂšre VM image AVD :
Je créé une nouvelle machine virtuelle en prenant soin de sélectionner la derniÚre image AVD en Windows 11 personnalisée et stockée dans la galerie :
Une fois crĂ©Ă©e, je m’y connecte en utilisant le service Azure Bastion :
Je lance toutes les mises Ă jour Windows 11 disponibles :
Pour effectuer les mises Ă jour d’Office365, je rĂ©active la rĂšgle de registre suivante :
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration
- UpdatesEnabled
- True
- UpdatesEnabled
J’ouvre un programme Office 365 et lance la recherche des mises Ă jour :
J’attends le message suivant signifiant la bonne installation des mises Ă jour Office 365 :
Je retourne dans le registre Windows pour remettre la valeur suivante :
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration
- UpdatesEnabled
- False
- UpdatesEnabled
Dans la liste des applications installĂ©es, je vĂ©rifie et dĂ©sinstalle si besoin l’ancienne version de FSLogix :
Je redémarre la machine et retourne sur le site officiel de Microsoft pour y télécharger la derniÚre version de FSLogix :
J’en profite pour parcourir les notes des derniĂšres versions de FSLogix :
Et la suite se passe de commentaire đ€Ł.
Etape III â Identification de la cause :
J’en profite pour parcourir les bogues connus de FSLogix :
Et je tombe sur celui-ci đ :
Microsoft propose également une résolution juste ici :
Je décide donc de rajouter cette clef de registre sur mon image AVD à jour :
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\FSLogix\Profiles
- RoamIdentity
- 1
- RoamIdentity
La correction est maintenant appliquée sur ma machine virtuelle image. Je décide donc de créer une nouvelle image contenant les mises à jour Windows 11, Office 365 et FSLogix, mais également la correction apportée par la clef de registre.
Etape IV â CrĂ©ation d’une seconde VM image AVD :
Sur la machine virtuelle image, je lance la commande Sysprep suivante selon la documentation Microsoft :
Sysprep /generalize /oobe /mode:vm /shutdown
Sysprep s’exĂ©cute et m’invite Ă patienter quelques minutes :
La session de bureau Ă distance ouverte via Azure Bastion se ferme quand la machine virtuelle commence sa phase d’extinction :
Quelques secondes plus tard, le portail Azure affiche bien la machine virtuelle image comme Ă©tant arrĂȘtĂ©e, je dĂ©cide donc de l’arrĂȘter complĂštement :
Une fois entiÚrement désallouée, je lance la capture :
Je créé une nouvelle version dans la galerie utilisée précédemment, et attends environ 20 minutes que le traitement se termine :
L’environnement Azure Virtual Desktop est maintenant prĂȘt pour recevoir une nouvelle machine virtuelle Ă partir de cette image.
Etape V â CrĂ©ation d’une nouvelle hĂŽte AVD :
Je retourne sur la page de mon pool d’hĂŽte AVD afin d’y ajouter une nouvelle VM comme ceci :
Je reprends la mĂȘme taille de VM qu’utilisĂ©e prĂ©cĂ©demment tout en choisissant la derniĂšre version de mon image, puis lance la crĂ©ation des ressources Azure :
Environ 10 minutes plus tard, une nouvelle hĂŽte apparaĂźt dans mon environnement Azure Virtual Desktop. Enfin j’active le mode Drain sur les autres machines virtuelles encore sous ancienne version d’image AVD :
Il ne me reste plus maintenant qu’Ă retester avec le compte d’un utilisateur impactĂ© pour constater un changement aprĂšs plusieurs rĂ©ouvertures d’une session AVD.
Etape VI â Second test dâun lâutilisateur impactĂ© :
Jâutilise Ă nouveau le client Remote Desktop sur Windows afin dâouvrir une session AVD sur un utilisateur de test :
AprĂšs plusieurs connexions / dĂ©connexions, l’authentification 365 persiste bien dans les diffĂ©rentes applications 365. Pour en ĂȘtre sĂ»r, plusieurs tests sont effectuĂ©s dans les applications Word, Excel, PowerPoint, Outlook, OneDrive, Teams. đđȘ
Conclusion
Dans mon cas le problĂšme a Ă©tĂ© rĂ©solu car plusieurs informations ont Ă©tĂ© partagĂ©es sur des forums IT et sur la documentation Microsoft. Cela n’est pas toujours le cas et peut engendrer une certaine frustration quand aucune solution n’est trouvĂ©e.
NĂ©anmoins, je souhaitais partager avec vous au travers de cet article une approche assez classique dans la rĂ©solution de souci liĂ©e Ă des produits IT en gĂ©nĂ©ral (chose que l’on ne fait pas toujours, moi le premier)
- Lire les documentations officielles đ
- Ne pas touchez aux environnements de productions
- Mettez Ă jour les OS (Windows 11)
- Mettez Ă jour les applications (Office 365)
- Mettez à jour les intermédiaires (FSLogix)
- Appliquez les méthodes correctives préconisées par les éditeurs
