Povolení ověřování Microsoft Entra Domain Services ve službě Azure Files
Azure Files podporuje ověřování na základě identity pro sdílené složky Windows přes protokol SMB (Server Message Block) pomocí ověřovacího protokolu Kerberos pomocí následujících metod:
- Místní Doména služby Active Directory Services (AD DS)
- Microsoft Entra Domain Services
- Microsoft Entra Kerberos pro hybridní identity uživatelů
Tento článek se zaměřuje na povolení služby Microsoft Entra Domain Services (dříve Azure Doména služby Active Directory Services) pro ověřování na základě identity pomocí sdílených složek Azure. V tomto scénáři ověřování jsou přihlašovací údaje Microsoft Entra a přihlašovací údaje služby Microsoft Entra Domain Services stejné a lze je zaměnitelně.
Důrazně doporučujeme, abyste si prostudovali část Jak funguje, abyste pro svůj účet úložiště vybrali správný zdroj AD. Nastavení se liší v závislosti na zvoleném zdroji AD.
Pokud se službou Azure Files teprve začínáte, doporučujeme si před přečtením tohoto článku přečíst průvodce plánováním.
Poznámka:
Služba Azure Files podporuje ověřování protokolem Kerberos se službou Microsoft Entra Domain Services s šifrováním RC4-HMAC a AES-256. Doporučujeme používat AES-256.
Azure Files podporuje ověřování pro službu Microsoft Entra Domain Services s úplnou nebo částečnou synchronizací (s vymezeným oborem) s ID Microsoft Entra. V prostředích s vymezenou synchronizací by správci měli vědět, že Služba Azure Files respektuje pouze přiřazení rolí Azure RBAC udělená objektům zabezpečení zabezpečení na základě role, které jsou synchronizované. Přiřazení rolí udělená identitám, která nejsou synchronizována z ID Microsoft Entra do služby Microsoft Entra Domain Services, budou službou Azure Files ignorována.
Platí pro
| Typ sdílené složky | SMB | NFS |
|---|---|---|
| Sdílené složky úrovně Standard (GPv2), LRS/ZRS |  |
 |
| Sdílené složky úrovně Standard (GPv2), GRS/GZRS | |
|
| Sdílené složky úrovně Premium (FileStorage), LRS/ZRS | |
|
Požadavky
Než povolíte službu Microsoft Entra Domain Services přes protokol SMB pro sdílené složky Azure, ujistěte se, že jste dokončili následující požadavky:
Vyberte nebo vytvořte tenanta Microsoft Entra.
Můžete použít nového nebo existujícího tenanta. Tenant a sdílená složka, ke které chcete získat přístup, musí být přidružené ke stejnému předplatnému.
Pokud chcete vytvořit nového tenanta Microsoft Entra, můžete přidat tenanta Microsoft Entra a předplatné Microsoft Entra. Pokud máte existujícího tenanta Microsoft Entra, ale chcete vytvořit nového tenanta pro použití se sdílenými složkami Azure, přečtěte si téma Vytvoření tenanta Microsoft Entra.
Povolte službu Microsoft Entra Domain Services v tenantovi Microsoft Entra.
Pokud chcete podporovat ověřování pomocí přihlašovacích údajů Microsoft Entra, musíte pro svého tenanta Microsoft Entra povolit službu Microsoft Entra Domain Services. Pokud nejste správcem tenanta Microsoft Entra, obraťte se na správce a podle podrobných pokynů povolte službu Microsoft Entra Domain Services pomocí webu Azure Portal.
Dokončení nasazení služby Microsoft Entra Domain Services obvykle trvá přibližně 15 minut. Než budete pokračovat k dalšímu kroku, ověřte, že stav služby Microsoft Entra Domain Services zobrazuje Spuštěno se zapnutou synchronizací hodnot hash hesel.
Připojení virtuálního počítače Azure k doméně pomocí služby Microsoft Entra Domain Services
Pokud chcete získat přístup ke sdílené složce Azure pomocí přihlašovacích údajů Microsoft Entra z virtuálního počítače, musí být váš virtuální počítač připojený k doméně ke službě Microsoft Entra Domain Services. Další informace o připojení virtuálního počítače k doméně najdete v tématu Připojení virtuálního počítače Windows Server ke spravované doméně. Ověřování Microsoft Entra Doménových služeb přes protokol SMB se sdílenými složkami Azure je podporováno jen na virtuálních počítačích Azure spuštěných v operačních systémech ve verzích vyšších než Windows 7 nebo Windows Server 2008 R2.
Poznámka:
Virtuální počítače, které nejsou připojené k doméně, můžou přistupovat ke sdíleným složkám Azure pomocí ověřování služby Microsoft Entra Domain Services pouze v případě, že virtuální počítač nemá síťové připojení k řadičům domény pro službu Microsoft Entra Domain Services. Obvykle je k tomu vyžadována VPN typu site-to-site nebo point-to-site.
Vyberte nebo vytvořte sdílenou složku Azure.
Vyberte novou nebo existující sdílenou složku, která je přidružená ke stejnému předplatnému jako váš tenant Microsoft Entra. Informace o vytvoření nové sdílené složky najdete v tématu Vytvoření sdílené složky ve službě Azure Files. Pro zajištění optimálního výkonu doporučujeme, aby vaše sdílená složka byla ve stejné oblasti jako virtuální počítač, ze kterého chcete získat přístup ke sdílené složce.
Ověřte připojení ke službě Soubory Azure připojením sdílených složek Azure pomocí klíče účtu úložiště.
Pokud chcete ověřit, že je váš virtuální počítač a sdílená složka správně nakonfigurované, zkuste sdílenou složku připojit pomocí klíče účtu úložiště. Další informace najdete v tématu Připojení sdílené složky Azure a přístup ke sdílené složce ve Windows.
Regionální dostupnost
Ověřování azure Files se službou Microsoft Entra Domain Services je dostupné ve všech oblastech Azure Public, Gov a China.
Přehled pracovního postupu
Následující diagram znázorňuje ucelený pracovní postup pro povolení ověřování služby Microsoft Entra Domain Services přes protokol SMB pro Azure Files.
Povolení ověřování Microsoft Entra Doménových služeb pro váš účet
Pokud chcete pro Azure Files povolit ověřování Microsoft Entra Doménových služeb přes protokol SMB, pomocí portálu Azure Portal, prostředí Azure PowerShell nebo příkazů Azure CLI můžete nastavit vlastnost účtů úložiště. Nastavením této vlastnosti je účet úložiště s přidruženým nasazením Microsoft Entra Doménových služeb implicitně „připojen k doméně“. Ověřování Microsoft Entra Doménových služeb přes protokol SMB se pak povolí pro všechny nové a existující sdílené složky v účtu úložiště.
Mějte na paměti, že ověřování Microsoft Entra Doménových služeb přes protokol SMB můžete povolit až po úspěšném nasazení Microsoft Entra Doménových služeb do vašeho klienta Microsoft Entra. Další informace najdete v předpokladech.
Pokud chcete povolit ověřování služby Microsoft Entra Domain Services přes protokol SMB pomocí webu Azure Portal, postupujte takto:
Na webu Azure Portal přejděte do stávajícího účtu úložiště nebo vytvořte účet úložiště.
Vyberte Úložiště dat>Sdílené složky souborů.
V části Nastavení sdílené složky vyberte přístup založený na identitě: Nenakonfigurováno.
V části Microsoft Entra Domain Services vyberte Nastavit a potom tuto funkci povolte zaškrtnutím políčka.
Zvolte Uložit.
Doporučeno: Použití šifrování AES-256
Ve výchozím nastavení používá ověřování Microsoft Entra Doménových služeb šifrování Kerberos RC4. Doporučujeme ho nakonfigurovat tak, aby místo toho používal šifrování Kerberos AES-256 podle těchto pokynů.
Akce vyžaduje spuštění operace v doméně služby Active Directory spravované službou Microsoft Entra Domain Services, aby se dostala k řadiči domény a požádala o změnu vlastnosti objektu domény. Níže uvedené rutiny jsou rutiny prostředí Windows Server Active Directory PowerShell, nikoli rutiny Azure PowerShellu. Z tohoto důvodu se tyto příkazy PowerShellu musí spouštět z klientského počítače, který je připojený k doméně služby Microsoft Entra Domain Services.
Důležité
Rutiny prostředí Windows Server Active Directory PowerShell v této části musí být spuštěny v prostředí Windows PowerShell 5.1 z klientského počítače, který je připojený k doméně služby Microsoft Entra Domain Services. PowerShell 7.x a Azure Cloud Shell v tomto scénáři nebudou fungovat.
Přihlaste se k klientskému počítači připojenému k doméně jako uživatel služby Microsoft Entra Domain Services s požadovanými oprávněními. Musíte mít přístup k zápisu msDS-SupportedEncryptionTypes k atributu objektu domény. Členové skupiny AAD DC Administrators mají obvykle potřebná oprávnění. Otevřete normální relaci PowerShellu (bez zvýšených oprávnění) a spusťte následující příkazy.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Důležité
Pokud jste dříve používali šifrování RC4 a aktualizovali účet úložiště tak, aby používal AES-256, měli byste spustit klist purge na klientovi a pak sdílenou složku znovu připojit, abyste získali nové lístky Kerberos s AES-256.
Další krok
- Pokud chcete uživatelům udělit přístup ke sdílené složce, postupujte podle pokynů v části Přiřazení oprávnění na úrovni sdílené složky.