Lý thuyết cần nắm
Các giải pháp quản lý User Profile trong môi trường hybrid và cloud
7.1 So sánh các loại User Profile
| Loại Profile | Lưu trữ | Roaming? | Dùng khi nào |
|---|---|---|---|
| Local Profile | C:\Users\username (local disk) | ✗ Không | Workstation cố định, không shared |
| Roaming Profile | File server (\\server\profiles$\%username%) | ✓ AD DS only | On-premises, user dùng nhiều PC |
| Mandatory Profile | File server (read-only, ntuser.man) | ✓ Read-only | Kiosk, shared workstation không lưu changes |
| Enterprise State Roaming (ESR) | Entra ID / Azure (cloud) | ✓ Cloud-native | Entra Joined devices, hybrid workers |
| OneDrive Known Folder Move | OneDrive (cloud) | ✓ Cloud sync | Backup Desktop/Documents/Pictures lên cloud |
Cloud-first approach: Với Entra Joined devices, dùng ESR + OneDrive KFM thay vì Roaming Profile on-prem. ESR sync Windows settings/app settings; OneDrive KFM sync Files/Desktop/Documents.
7.2 Enterprise State Roaming (ESR) — Chi tiết
ESR là cloud-based roaming cho Windows settings và app settings — không phải file/folders. Dữ liệu được mã hóa và sync qua Entra ID.
Windows Settings
- Accessibility settings
- Language preferences
- Ease of Access
- Taskbar pinned apps
Edge Browser
- Favorites (bookmarks)
- Reading list
- Passwords (encrypted)
- Open tabs sync
KHÔNG sync
- Files và Documents
- Installed applications
- Printer settings
- BitLocker keys
7.3 Folder Redirection (On-prem)
Folder Redirection chuyển hướng các thư mục profile (Desktop, Documents, AppData) từ local disk sang file server. Áp dụng qua Group Policy (GPO) hoặc Intune Configuration Profile.
| Folder | Target (ví dụ) | Lợi ích |
|---|---|---|
| Desktop | \\fileserver\redirect$\%username%\Desktop | Data không mất khi máy hỏng |
| Documents | \\fileserver\redirect$\%username%\Documents | Backup tự động, accessible từ nhiều PC |
| AppData\Roaming | \\fileserver\redirect$\%username%\AppData | App settings roam (Outlook profile...) |
7.4 OneDrive Known Folder Move (KFM) — Giải pháp hiện đại
KFM tự động di chuyển Desktop, Documents, Pictures vào OneDrive. Áp dụng qua Intune Administrative Templates hoặc Group Policy (registry key).
KFM vs Folder Redirection: KFM sync lên cloud (OneDrive) — accessible từ browser và mobile. Folder Redirection chỉ sync trong mạng nội bộ qua SMB. Với Entra Joined devices → ưu tiên OneDrive KFM.
Thực hành
Bật ESR và cấu hình OneDrive Known Folder Move qua Intune
Lab 7.1 — Bật Enterprise State Roaming trong Entra
Yêu cầu: Entra ID P1 license trở lên + Windows 10/11 Entra Joined
- Mở Device Settings
Entra Admin Center → Identity → Devices → Device settings - Bật ESR
Enterprise State Roaming → Users may sync settings and app data across devices → All (hoặc Selected group) - Verify trên Windows 11
Settings → Accounts → Sync your settings → bật tất cả toggles - Kiểm tra sync status
Event Viewer → Applications and Services → Microsoft → Windows → SettingSync
Kết quả đầu ra
- Sync settings hiện "On" trong Windows Settings
- Khi đăng nhập máy khác (cùng Entra account) → settings tự động áp dụng
- Entra portal → User → Devices → ESR: Enabled
Lab 7.2 — OneDrive KFM qua Intune Administrative Template
- Tạo ADMX Profile
Intune → Devices → Configuration → + Create → Windows → Templates → Administrative Templates - Cấu hình KFM
OneDrive → Silently move Windows known folders to OneDrive → Enabled → Tenant ID: (dán Tenant ID của bạn) - Block opt-out
OneDrive → Prevent users from redirecting their Windows known folders to their PC → Enabled - Assign và verify
Assign cho group → sau 24 giờ, Desktop/Documents/Pictures user tự động move vào OneDrive
Lab 7.3 — Kiểm tra User Profile bằng PowerShell
# Xem user profiles trên local machine
Get-CimInstance -ClassName Win32_UserProfile | Select-Object LocalPath, LastUseTime, Loaded, Special | Format-Table -AutoSize
# Kiểm tra OneDrive sync status
Get-ItemProperty "HKCU:\Software\Microsoft\OneDrive" -Name "UserFolderMoveEnabled" -ErrorAction SilentlyContinue
# Kiểm tra ESR registry
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\SettingSync" -ErrorAction SilentlyContinue
Output mẫu
LocalPath LastUseTime Loaded --------- ----------- ------ C:\Users\nguyen.van.a 4/20/2026 9:30:00 AM True C:\Users\tran.thi.b 4/19/2026 5:00:00 PM False
Tình huống thực tế
Viettel — Hybrid Worker Profile Strategy
1.500 nhân viên hybrid (3 ngày office / 2 ngày WFH) · Windows 11 Enterprise
Thách thức: Nhân viên Viettel làm việc cả tại văn phòng và nhà. Họ cần Documents/Desktop/Outlook settings giống nhau dù đang dùng máy nào. IT cần backup data tự động và không phụ thuộc VPN.
Giải pháp triển khai
- ESR: sync Windows settings + Edge bookmarks
- OneDrive KFM: Desktop + Documents + Pictures
- Outlook profile: Exchange config qua Intune Email profile
- OneDrive delta sync: chỉ upload/download changes
Kết quả đạt được
- User login máy mới: Desktop/Documents đã sync sẵn
- Không cần VPN để sync files
- Data loss = 0 khi laptop hỏng (KFM backup)
- IT helpdesk giảm 60% ticket "lost data"
Lưu ý quan trọng: OneDrive KFM chỉ hoạt động với OneDrive for Business (M365 license). Dung lượng mặc định: 1TB/user. Viettel dùng M365 E3 nên mỗi user có 1TB OneDrive.