Compartilhar via


Habilitar a autenticação Kerberos para Microsoft Entra para identidades híbridas nos Arquivos do Azure

Esse artigo se concentra em habilitar e configurar o Microsoft Entra ID (antigo Azure AD) para autenticação de identidades de usuário híbridas, que são identidades do AD DS locais que são sincronizadas com o Microsoft Entra ID usando o Microsoft Entra Connect ou sincronização na nuvem do Microsoft Entra Connect. Identidades somente na nuvem não são suportadas no momento.

Essa configuração permite que os usuários híbridos acessem os compartilhamentos de arquivo do Azure por meio da autenticação Kerberos, usando o Microsoft Entra ID para emitir os tíquetes Kerberos necessários a fim de acessar o compartilhamento de arquivo com o protocolo SMB. Isso significa que os usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir uma conectividade de rede sem impedimentos para controladores de domínio dos clientes ingressados e ingressados híbridos no Microsoft Entra. No entanto, a configuração das ACLs (listas de controle de acesso do Windows)/diretório e permissões no nível do arquivo para um usuário ou grupo precisa de uma conectividade de rede sem impedimentos para o controlador de domínio local.

Para saber mais sobre as opções e considerações compatíveis, confira Visão geral das opções de autenticação baseada em identidade dos Arquivos do Azure para acesso do SMB. Para obter mais informações, veja este artigo de aprofundamento.

Importante

Você só pode usar um método do AD para autenticação baseada em identidade com o Arquivos do Azure. Se a autenticação Kerberos para Microsoft Entra para identidades híbridas não atender aos seus requisitos, use o AD DS (Active Directory Domain Services) local ou o Microsoft Entra Domain Services. As etapas de configuração e os cenários compatíveis são diferentes para cada método.

Aplica-se a

Tipo de compartilhamento de arquivos SMB NFS
Compartilhamentos de arquivos padrão (GPv2), LRS/ZRS Sim Não
Compartilhamentos de arquivos padrão (GPv2), GRS/GZRS Sim Não
Compartilhamento de arquivos premium (FileStorage), LRS/ZRS Sim Não

Pré-requisitos

Antes de habilitar a autenticação Kerberos para Microsoft Entra por SMB para compartilhamentos de arquivo do Azure, verifique se você concluiu os pré-requisitos a seguir.

Pré-requisitos mínimos

Os seguintes pré-requisitos são obrigatórios. Sem eles, você não poderá autenticar usando o Microsoft Entra ID.

  • Sua conta de armazenamento do Azure não pode se autenticar com o Microsoft Entra ID e um segundo método, como o AD DS ou o Microsoft Entra Domain Services. Se você já tiver escolhido outro método do AD para sua conta de armazenamento, deverá desabilitá-lo antes de habilitar o Kerberos para Microsoft Entra.

  • No momento, esse recurso não dá suporte a contas de usuário que você cria e gerencia apenas no Microsoft Entra ID. As contas de usuário devem ser identidades de usuário híbridas, o que significa que você também precisará do AD DS e da sincronização na nuvem do Microsoft Entra Connect ou do Microsoft Entra Connect. Você deve criar essas contas no Active Directory e sincronizá-las ao Microsoft Entra ID. Para atribuir permissões de RBAC (Controle de Acesso do Azure Role-Based) para o compartilhamento de arquivos do Azure a um grupo de usuários, você deve criar o grupo no Active Directory e sincronizá-lo ao Microsoft Entra ID.

  • O serviço WinHTTP Web Proxy Auto-Discovery (WinHttpAutoProxySvc) e o serviço IP Helper (iphlpsvc) são necessários. O estado deles deve ser definido como em execução.

  • Você deve desabilitar a autenticação multifator (MFA) no aplicativo do Microsoft Entra que representa a conta de armazenamento. Para obter instruções, veja Desabilitar autenticação multifator na conta de armazenamento.

  • Atualmente, este recurso não dá suporte ao acesso entre locatários para usuários B2B ou usuários convidados. Usuários de um locatário do Microsoft Entra diferente daquele configurado não poderão acessar o compartilhamento de arquivos.

  • Com o Kerberos para Microsoft Entra, a criptografia do tíquete Kerberos é sempre AES-256. Mas você pode definir a criptografia de canal SMB que melhor atenda às suas necessidades.

Pré-requisitos do sistema operacional e do domínio

Os seguintes pré-requisitos são necessários para o fluxo de autenticação padrão do Microsoft Kerberos, conforme descrito neste artigo. Se algumas ou todas as suas máquinas clientes não atenderem a esses requisitos, você ainda poderá habilitar a autenticação Microsoft Kerberos, mas também precisará configurar uma confiança na nuvem para permitir que esses clientes acessem compartilhamentos de arquivos.

Requisitos do sistema operacional:

Para saber como criar e configurar uma VM do Windows e fazer logon usando a autenticação baseada no Microsoft Entra ID, confira Fazer logon em uma máquina virtual do Windows no Azure usando o Microsoft Entra ID.

Os clientes devem ser ingressados ou ingressados híbridos no Microsoft Entra. Eles não podem ser associados ao Microsoft Entra Domain Services ou associados somente ao AD.

Disponibilidade regional

Esse recurso tem suporte nas nuvens Azure Public, Azure US Gov e Azure China 21Vianet.

Habilitar a autenticação Kerberos para Microsoft Entra para contas de usuário híbridas

Você pode habilitar a autenticação Kerberos para Microsoft Entra nos Arquivos do Azure para contas de usuário híbridas usando o portal do Azure, o PowerShell ou a CLI do Azure.

Para habilitar a autenticação Kerberos para Microsoft Entra usando o portal do Azure, siga estas etapas.

  1. Entre no portal do Azure e selecione a conta de armazenamento para a qual você deseja habilitar a autenticação Kerberos para Microsoft Entra.

  2. Em Armazenamento de dados, selecione Compartilhamentos de arquivos.

  3. Ao lado do Active Directory, selecione o status de configuração (por exemplo, Não configurado).

    Captura de tela do portal do Azure mostrando as configurações de compartilhamento de arquivos para uma conta de armazenamento. As definições de configuração do Active Directory estão selecionadas.

  4. Em Kerberos para Microsoft Entra, selecione Configurar.

  5. Marque a caixa de seleção Kerberos para Microsoft Entra.

    Captura de tela do portal do Azure mostrando as configurações do Active Directory para uma conta de armazenamento. O Kerberos do Microsoft Entra está selecionado.

  6. Opcional: se você quiser configurar permissões de diretório e de nível de arquivo por meio do Explorador de Arquivos do Windows, especifique o nome de domínio e o GUID de domínio para o AD local. Você pode obter essas informações com o administrador de domínio ou executando os seguintes cmdlets do PowerShell do Active Directory de um cliente ingressado no AD local: Get-ADDomain. O nome de domínio deve ser listado na saída em DNSRoot e o GUID do domínio deve ser listado em ObjectGUID. Se você preferir configurar permissões de diretório e de nível de arquivo usando icacls, ignore esta etapa. No entanto, se você quiser usar icacls, o cliente precisará de uma conectividade de rede sem impedimentos para o AD local.

  7. Selecione Salvar.

Aviso

Se você já habilitou a autenticação do Kerberos para Microsoft Entra por meio das etapas manuais limitadas anteriores para armazenar perfis FSLogix nos Arquivos do Azure para VMs ingressadas no Microsoft Entra, a senha da entidade de serviço da conta de armazenamento será definida para expirar a cada seis meses. Depois que a senha expirar, os usuários não poderão obter os tíquetes do Kerberos para o compartilhamento de arquivo. Para mitigar esse comportamento, confira "Erro – A senha da entidade de serviço expirou no Microsoft Entra ID" em Possíveis erros ao habilitar a autenticação Kerberos para Microsoft Entra para usuários híbridos.

Depois de habilitar a autenticação Kerberos para Microsoft Entra, você precisará dar o consentimento do administrador explicitamente ao novo aplicativo do Microsoft Entra registrado em seu locatário do Microsoft Entra. Essa entidade de serviço é gerada automaticamente e não é usada para autorização para o compartilhamento de arquivos, portanto, não faça nenhuma edição para a entidade de serviço diferente daquelas documentadas aqui. Se você fizer isso, poderá receber um erro.

Você pode configurar as permissões de API do portal do Azure seguindo estas etapas:

  1. Abra o Microsoft Entra ID.
  2. No o menu de serviço, em Gerenciar, selecione a opção Registros de aplicativo.
  3. Selecionar Todos os Aplicativos.
  4. Selecione o aplicativo com o nome correspondente a [conta de armazenamento] <your-storage-account-name>.file.core.windows.net.
  5. No menu de serviço, em Gerenciar, selecione Permissões da API.
  6. Selecione Conceder consentimento do administrador para [Nome do Diretório] para conceder consentimento para as três permissões de API solicitadas (openid, profile e User.Read) para todas as contas no diretório.
  7. Clique em Sim para confirmar.

Importante

Se você estiver se conectando a uma conta de armazenamento por meio de um ponto de extremidade privado/link privado usando a autenticação Kerberos para Microsoft Entra, também precisará adicionar o FQDN de link privado ao aplicativo do Microsoft Entra da conta de armazenamento. Para obter instruções, consulte a entrada em nosso guia de solução de problemas.

Desabilitar a autenticação multifator na conta de armazenamento

O Kerberos para Microsoft Entra não dá suporte ao uso de MFA para acessar compartilhamentos de arquivos do Azure configurados com Kerberos para Microsoft Entra. Você deve excluir o aplicativo do Microsoft Entra que representa sua conta de armazenamento de suas políticas de acesso condicional da MFA se elas se aplicarem a todos os aplicativos.

O aplicativo de conta de armazenamento deve ter o mesmo nome que a conta de armazenamento na lista de exclusão de acesso condicional. Ao pesquisar o aplicativo da conta de armazenamento na lista de exclusão de acesso condicional, pesquise: [conta de armazenamento] <your-storage-account-name>.file.core.windows.net

Lembre-se de substituir <your-storage-account-name> pelo valor adequado.

Importante

Se você não excluir as políticas de MFA do aplicativo de conta de armazenamento, não será possível acessar o compartilhamento de arquivo. Tentar mapear o compartilhamento de arquivos usando o net use resultará em uma mensagem de erro que diz "Erro do sistema 1327: as restrições de conta estão impedindo esse usuário de entrar. Por exemplo: senhas em branco não são permitidas, os horários de entrada são limitados ou uma restrição de política foi imposta."

Para obter diretrizes sobre como desabilitar a MFA, confira o seguinte:

Atribuir permissões de níveis de compartilhamento

Ao habilitar o acesso baseado em identidade, você pode definir para cada compartilhamento quais usuários e grupos têm acesso a esse compartilhamento específico. Depois que um usuário ou grupo é permitido em um compartilhamento, as ACLs do Windows (também chamadas de permissões NTFS) em arquivos e diretórios individuais assumem o controle. Isso permite o controle refinado sobre permissões, semelhante a um compartilhamento SMB em um Windows Server.

Para definir permissões de nível de compartilhamento, siga as instruções em Atribuir permissões de nível de compartilhamento a uma identidade.

Configurar permissões de diretório e de nível de arquivo

Depois que as permissões de nível de compartilhamento estiverem em vigor, atribua permissões de nível de diretório/arquivo ao usuário ou grupo. Isso requer o uso de um dispositivo com uma conectividade de rede sem impedimentos para um AD local.

Para configurar permissões de diretório e de nível de arquivo, siga as instruções em Configurar permissões de diretório e de nível de arquivo por SMB.

Configurar os clientes para recuperar tíquetes do Kerberos

Habilite a funcionalidade Kerberos para Microsoft Entra nos computadores cliente nos quais você deseja montar/usar compartilhamentos de Arquivos do Azure. Faça isso em cada cliente em que os Arquivos do Azure serão usados.

Use um dos seguintes métodos:

Configure o CSP de política do Intune e aplique-o aos clientes: Kerberos/CloudKerberosTicketRetrievalEnabled, configurada para 1

As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Importante

Depois que essa alteração for aplicada, o(s) cliente(s) não poderá(ão) se conectar às contas de armazenamento configuradas para integração local com o AD DS sem configurar os mapeamentos de realm do Kerberos. Se você quiser que o(s) cliente(s) possa(m) se conectar às contas de armazenamento configuradas para o AD DS, bem como às contas de armazenamento configuradas para o Kerberos para Microsoft Entra, siga as etapas em Configurar a coexistência com contas de armazenamento usando o AD DS local.

Configurar a coexistência com contas de armazenamento usando o AD DS local

Se você deseja permitir que computadores cliente se conectem a contas de armazenamento configuradas para o AD DS, bem como contas de armazenamento configuradas para o Kerberos para Microsoft Entra, siga estas etapas. Se você estiver usando apenas o Kerberos para Microsoft Entra, ignore esta seção.

Adicione uma entrada para cada conta de armazenamento que usa a integração local com o AD DS. Use um dos três métodos a seguir para configurar os mapeamentos de realm Kerberos. As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Configure esta política CSP do Intune e aplique-a ao(s) cliente(s): Kerberos/HostToRealm

Importante

No Kerberos, os nomes de realm diferenciam maiúsculas e minúsculas. O nome do realm Kerberos geralmente é o mesmo que o nome de domínio, em letras maiúsculas.

Desfazer a configuração do cliente para recuperar tíquetes Kerberos

Se você não quiser mais usar um computador cliente para autenticação Kerberos para Microsoft Entra, poderá desabilitar a funcionalidade do Kerberos para Microsoft Entra nesse computador. Use um dos três métodos a seguir, dependendo de como você habilitou a funcionalidade:

Configure o CSP de política do Intune e aplique-o aos clientes: Kerberos/CloudKerberosTicketRetrievalEnabled, configurada para 0

As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Se você seguiu as etapas em Configurar a coexistência com contas de armazenamento usando o AD DS local, opcionalmente, poderá remover todo o nome do host para mapeamentos de realm Kerberos do computador cliente. Use um dos seguintes métodos:

Configure esta política CSP do Intune e aplique-a ao(s) cliente(s): Kerberos/HostToRealm

As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Importante

Depois que essa alteração for aplicada, o(s) cliente(s) não poderá(ão) se conectar às contas de armazenamento configuradas para autenticação Kerberos para Microsoft Entra. No entanto, eles poderão se conectar a contas de armazenamento configuradas para o AD DS, sem nenhuma configuração adicional.

Desabilitar a autenticação do Microsoft Entra em sua conta de armazenamento

Se você quiser usar outro método de autenticação, é possível desabilitar a autenticação do Microsoft Entra na conta de armazenamento usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Observação

Desabilitar esse recurso significa que não haverá nenhuma configuração do Active Directory para compartilhamentos de arquivos na conta de armazenamento até que você habilite uma das outras fontes do Active Directory para restabelecer a configuração do Active Directory.

Para desabilitar a autenticação Kerberos para Microsoft Entra em sua conta de armazenamento usando o portal do Azure, siga estas etapas.

  1. Entre no portal do Azure e selecione a conta de armazenamento para a qual você deseja desabilitar a autenticação Kerberos para Microsoft Entra.
  2. Em Armazenamento de dados, selecione Compartilhamentos de arquivos.
  3. Próximo ao Active Directory, selecione o status da configuração.
  4. Em Kerberos para Microsoft Entra, selecione Configurar.
  5. Desmarque a caixa de seleção Kerberos para Microsoft Entra.
  6. Selecione Salvar.

Próximas etapas