Udostępnij za pośrednictwem


Włączanie uwierzytelniania Microsoft Entra Domain Services dla usługi Azure Files

Usługa Azure Files obsługuje uwierzytelnianie oparte na tożsamościach dla udziałów plików systemu Windows za pośrednictwem bloku komunikatów serwera (SMB) przy użyciu protokołu uwierzytelniania Kerberos przy użyciu następujących metod:

  • Lokalne usługi domena usługi Active Directory (AD DS)
  • Usługi domenowe Microsoft Entra
  • Microsoft Entra Kerberos dla tożsamości użytkowników hybrydowych

Ten artykuł koncentruje się na włączaniu usług Microsoft Entra Domain Services (dawniej Azure domena usługi Active Directory Services) na potrzeby uwierzytelniania opartego na tożsamościach przy użyciu udziałów plików platformy Azure. W tym scenariuszu uwierzytelniania poświadczenia firmy Microsoft Entra i poświadczenia usług Microsoft Entra Domain Services są takie same i mogą być używane zamiennie.

Zdecydowanie zalecamy przejrzenie sekcji Jak działa, aby wybrać odpowiednie źródło usługi AD dla konta magazynu. Konfiguracja różni się w zależności od wybranego źródła usługi AD.

Jeśli dopiero zaczynasz korzystać z usługi Azure Files, zalecamy przeczytanie naszego przewodnika planowania przed przeczytaniem tego artykułu.

Uwaga

Usługa Azure Files obsługuje uwierzytelnianie Kerberos za pomocą usług Microsoft Entra Domain Services z szyfrowaniem RC4-HMAC i AES-256. Zalecamy używanie protokołu AES-256.

Usługa Azure Files obsługuje uwierzytelnianie dla usług Microsoft Entra Domain Services z pełną lub częściową (zakresową) synchronizacją z identyfikatorem Entra firmy Microsoft. W przypadku środowisk z synchronizacją o określonym zakresie administratorzy powinni pamiętać, że usługa Azure Files uwzględnia tylko przypisania ról RBAC platformy Azure przyznane podmiotom zabezpieczeń, które są synchronizowane. Przypisania ról przyznane tożsamościom, które nie są synchronizowane z identyfikatora Entra firmy Microsoft do usług Microsoft Entra Domain Services, zostaną zignorowane przez usługę Azure Files.

Dotyczy

Typ udziału plików SMB NFS
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS Tak Nie
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS Tak Nie
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS Tak Nie

Wymagania wstępne

Przed włączeniem usług Microsoft Entra Domain Services za pośrednictwem protokołu SMB dla udziałów plików platformy Azure upewnij się, że zostały spełnione następujące wymagania wstępne:

  1. Wybierz lub utwórz dzierżawę firmy Microsoft Entra.

    Możesz użyć nowej lub istniejącej dzierżawy. Dzierżawa i udział plików, do którego chcesz uzyskać dostęp, muszą być skojarzone z tą samą subskrypcją.

    Aby utworzyć nową dzierżawę firmy Microsoft Entra, możesz dodać dzierżawę firmy Microsoft Entra i subskrypcję firmy Microsoft Entra. Jeśli masz istniejącą dzierżawę firmy Microsoft Entra, ale chcesz utworzyć nową dzierżawę do użytku z udziałami plików platformy Azure, zobacz Tworzenie dzierżawy usługi Microsoft Entra.

  2. Włącz usługi Microsoft Entra Domain Services w dzierżawie firmy Microsoft Entra.

    Aby obsługiwać uwierzytelnianie przy użyciu poświadczeń firmy Microsoft Entra, należy włączyć usługi Microsoft Entra Domain Services dla dzierżawy firmy Microsoft Entra. Jeśli nie jesteś administratorem dzierżawy microsoft Entra, skontaktuj się z administratorem i postępuj zgodnie ze wskazówkami krok po kroku, aby włączyć usługi Microsoft Entra Domain Services przy użyciu witryny Azure Portal.

    Ukończenie wdrożenia usług Microsoft Entra Domain Services trwa zwykle około 15 minut. Przed przejściem do następnego kroku sprawdź, czy stan kondycji usług Microsoft Entra Domain Services ma wartość Uruchomiona z włączoną synchronizacją skrótów haseł.

  3. Przyłącz do domeny maszynę wirtualną platformy Azure za pomocą usług Microsoft Entra Domain Services.

    Aby uzyskać dostęp do udziału plików platformy Azure przy użyciu poświadczeń firmy Microsoft Entra z maszyny wirtualnej, maszyna wirtualna musi być przyłączona do usługi Microsoft Entra Domain Services. Aby uzyskać więcej informacji na temat dołączania maszyny wirtualnej do domeny, zobacz Dołączanie maszyny wirtualnej z systemem Windows Server do domeny zarządzanej. Uwierzytelnianie usług Microsoft Entra Domain Services za pośrednictwem protokołu SMB z udziałami plików platformy Azure jest obsługiwane tylko na maszynach wirtualnych platformy Azure działających w wersjach systemu operacyjnego powyżej systemu Windows 7 lub Windows Server 2008 R2.

    Uwaga

    Maszyny wirtualne nieprzyłączonych do domeny mogą uzyskiwać dostęp do udziałów plików platformy Azure przy użyciu uwierzytelniania usług Microsoft Entra Domain Services tylko wtedy, gdy maszyna wirtualna ma niezwiązaną łączność sieciową z kontrolerami domeny dla usług Microsoft Entra Domain Services. Zwykle wymaga to sieci VPN typu lokacja-lokacja lub typu punkt-lokacja.

  4. Wybierz lub utwórz udział plików platformy Azure.

    Wybierz nowy lub istniejący udział plików skojarzony z tą samą subskrypcją co dzierżawa firmy Microsoft Entra. Aby uzyskać informacje na temat tworzenia nowego udziału plików, zobacz Tworzenie udziału plików w usłudze Azure Files. Aby uzyskać optymalną wydajność, zalecamy, aby udział plików był w tym samym regionie co maszyna wirtualna, z której planujesz uzyskać dostęp do udziału.

  5. Zweryfikuj łączność usługi Azure Files, instalowania udziałów plików platformy Azure przy użyciu klucza konta magazynu.

    Aby sprawdzić, czy maszyna wirtualna i udział plików są prawidłowo skonfigurowane, spróbuj zamontować udział plików przy użyciu klucza konta magazynu. Aby uzyskać więcej informacji, zobacz Instalowanie udziału plików platformy Azure i uzyskiwanie dostępu do udziału w systemie Windows.

Dostępność w regionach

Uwierzytelnianie usługi Azure Files za pomocą usług Microsoft Entra Domain Services jest dostępne we wszystkich regionach Azure Public, Gov i China.

Omówienie przepływu pracy

Na poniższym diagramie przedstawiono pełny przepływ pracy umożliwiający włączenie uwierzytelniania usług Microsoft Entra Domain Services za pośrednictwem protokołu SMB dla usługi Azure Files.

Diagram przedstawiający identyfikator Entra firmy Microsoft za pośrednictwem protokołu SMB dla przepływu pracy usługi Azure Files.

Włączanie uwierzytelniania usług Microsoft Entra Domain Services dla konta

Aby włączyć uwierzytelnianie usług Microsoft Entra Domain Services za pośrednictwem protokołu SMB dla usługi Azure Files, możesz ustawić właściwość na kontach magazynu przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. Ustawienie tej właściwości niejawnie „przyłącza do domeny” konto magazynu ze skojarzonym wdrożeniem usług Microsoft Entra Domain Services. Uwierzytelnianie usług Microsoft Entra Domain Services za pośrednictwem protokołu SMB jest następnie włączone dla wszystkich nowych i istniejących udziałów plików na koncie magazynu.

Pamiętaj, że możesz włączyć uwierzytelnianie usług Microsoft Entra Domain Services za pośrednictwem protokołu SMB dopiero po pomyślnym wdrożeniu usług Microsoft Entra Domain Services w dzierżawie firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz wymagania wstępne.

Aby włączyć uwierzytelnianie usług Microsoft Entra Domain Services za pośrednictwem protokołu SMB w witrynie Azure Portal, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do istniejącego konta magazynu lub utwórz konto magazynu.

  2. Wybierz pozycję Magazyn danych>Udziały plików.

  3. W sekcji Ustawienia udziału plików wybierz pozycję Dostęp oparty na tożsamości: Nieskonfigurowane.

    Zrzut ekranu przedstawiający okienko udziałów plików na koncie magazynu z wyróżnionym dostępem opartym na tożsamościach.

  4. W obszarze Microsoft Entra Domain Services wybierz pozycję Skonfiguruj, a następnie włącz tę funkcję, zaznaczając pole wyboru.

  5. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający okienko konfiguracji dostępu opartego na tożsamościach, usługa Microsoft Entra Domain Services jest włączona jako źródło.

Domyślnie uwierzytelnianie usługi Microsoft Entra Domain Services używa szyfrowania Kerberos RC4. Zalecamy skonfigurowanie go do używania szyfrowania Kerberos AES-256, postępując zgodnie z tymi instrukcjami.

Akcja wymaga uruchomienia operacji w domenie usługi Active Directory zarządzanej przez usługi Microsoft Entra Domain Services, aby uzyskać dostęp do kontrolera domeny w celu żądania zmiany właściwości w obiekcie domeny. Poniższe polecenia cmdlet to polecenia cmdlet programu PowerShell dla systemu Windows Server, a nie polecenia cmdlet programu Azure PowerShell. W związku z tym te polecenia programu PowerShell muszą być uruchamiane z komputera klienckiego przyłączonego do domeny usług Microsoft Entra Domain Services.

Ważne

Polecenia cmdlet programu PowerShell systemu Windows Server Active Directory w tej sekcji muszą być uruchamiane w programie Windows PowerShell 5.1 z komputera klienckiego przyłączonego do domeny usług Microsoft Entra Domain Services. Program PowerShell 7.x i usługa Azure Cloud Shell nie będą działać w tym scenariuszu.

Zaloguj się do komputera klienckiego przyłączonego do domeny jako użytkownik usługi Microsoft Entra Domain Services z wymaganymi uprawnieniami. Musisz mieć dostęp do zapisu do msDS-SupportedEncryptionTypes atrybutu obiektu domeny. Zazwyczaj członkowie grupy Administratorzy kontrolera domeny usługi AAD będą mieli niezbędne uprawnienia. Otwórz normalną sesję programu PowerShell (bez podwyższonych uprawnień) i wykonaj następujące polecenia.

# 1. Find the service account in your managed domain that represents the storage account.

$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter

if ($userObject -eq $null)
{
   Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}

# 2. Set the KerberosEncryptionType of the object

Set-ADUser $userObject -KerberosEncryptionType AES256

# 3. Validate that the object now has the expected (AES256) encryption type.

Get-ADUser $userObject -properties KerberosEncryptionType

Ważne

Jeśli wcześniej używano szyfrowania RC4 i zaktualizować konto magazynu do używania protokołu AES-256, należy uruchomić klist purge go na kliencie, a następnie ponownie zainstalować udział plików, aby uzyskać nowe bilety Protokołu Kerberos za pomocą protokołu AES-256.

Następny krok