الوصول إلى وحدات تخزين SMB من Microsoft Entra انضم إلى الأجهزة الظاهرية ل Windows

مقالة
10/24/2023

يمكنك استخدام معرف Microsoft Entra مع الوحدة النمطية إدارة المصادقة المختلطة لمصادقة بيانات الاعتماد في السحابة المختلطة. يمكن هذا الحل Microsoft Entra ID من أن يصبح المصدر الموثوق به لكل من المصادقة السحابية والمصادقة المحلية، ما يتحايل على حاجة العملاء المتصلين ب Azure NetApp Files للانضمام إلى مجال AD المحلي.

إشعار

يسمح استخدام معرف Microsoft Entra لمصادقة هويات المستخدمين المختلطين لمستخدمي Microsoft Entra بالوصول إلى مشاركات Azure NetApp Files SMB. وهذا يعني أنه يمكن للمستخدمين النهائيين الوصول إلى مشاركات Azure NetApp Files SMB دون الحاجة إلى خط رؤية لوحدات التحكم بالمجال من Microsoft Entra hybrid joined وMicrosoft Entra VMs المنضمة. الهويات السحابية فقط غير مدعومة حاليا. لمزيد من المعلومات، راجع فهم إرشادات تصميم الموقع وتخطيطه خدمات مجال Active Directory.

المتطلبات والاعتبارات

وحدات تخزين Azure NetApp Files NFS ووحدات تخزين البروتوكول المزدوج (NFSv4.1 وSMB) غير مدعومة.
يتم دعم وحدات تخزين البروتوكول المزدوج NFSv3 وSMB مع نمط أمان NTFS.
يجب أن تكون قد قمت بتثبيت وتكوين Microsoft Entra الاتصال لمزامنة مستخدمي AD DS مع معرف Microsoft Entra. لمزيد من المعلومات، راجع بدء استخدام Microsoft Entra الاتصال باستخدام الإعدادات السريعة.

تحقق من مزامنة الهويات المختلطة مع مستخدمي Microsoft Entra. في مدخل Microsoft Azure ضمن Microsoft Entra ID، انتقل إلى Users. يجب أن ترى أن حسابات المستخدمين من AD DS مدرجة وتظهر الخاصية تمكين المزامنة المحلية "نعم".

إشعار

بعد التكوين الأولي ل Microsoft Entra الاتصال، عند إضافة مستخدم AD DS جديد، يجب تشغيل Start-ADSyncSyncCycle الأمر في مسؤول istrator PowerShell لمزامنة المستخدم الجديد مع معرف Microsoft Entra أو انتظار حدوث المزامنة المجدولة.
يجب أن تكون قد أنشأت وحدة تخزين SMB لملفات Azure NetApp.
يجب أن يكون لديك جهاز ظاهري Windows (VM) مع تمكين تسجيل الدخول إلى Microsoft Entra. لمزيد من المعلومات، راجع تسجيل الدخول إلى جهاز ظاهري يعمل بنظام Windows في Azure باستخدام معرف Microsoft Entra. تأكد من تكوين تعيينات الأدوار للجهاز الظاهري لتحديد الحسابات التي يمكنها تسجيل الدخول إلى الجهاز الظاهري.
يجب تكوين DNS بشكل صحيح حتى يتمكن الجهاز الظاهري للعميل من الوصول إلى وحدات تخزين Azure NetApp Files عبر اسم المجال المؤهل بالكامل (FQDN).

الخطوات

تأخذك عملية التكوين خلال خمس عمليات:

إضافة CIFS SPN إلى حساب الكمبيوتر
تسجيل تطبيق Microsoft Entra جديد
مزامنة كلمة مرور CIFS من AD DS إلى تسجيل تطبيق Microsoft Entra
تكوين الجهاز الظاهري المنضم إلى Microsoft Entra لاستخدام مصادقة Kerberos
تحميل وحدات تخزين Azure NetApp Files SMB

إضافة CIFS SPN إلى حساب الكمبيوتر

من وحدة تحكم مجال AD DS، افتح Active Directory Users and Computers.
ضمن القائمة عرض ، حدد ميزات متقدمة.
ضمن أجهزة الكمبيوتر، انقر بزر الماوس الأيمن فوق حساب الكمبيوتر الذي تم إنشاؤه كجزء من وحدة تخزين Azure NetApp Files ثم حدد Properties.
ضمن محرر السمة، حدد موقع servicePrincipalName. في محرر السلسلة متعددة القيم، أضف قيمة CIFS SPN باستخدام تنسيق CIFS/FQDN.

تسجيل تطبيق Microsoft Entra جديد

في مدخل Microsoft Azure، انتقل إلى معرف Microsoft Entra. حدد تسجيلات التطبيق.
حدد + New registration.
تعيين اسم. ضمن حدد نوع الحساب المدعوم، اختر الحسابات في هذا الدليل التنظيمي فقط (مستأجر واحد) .
حدد تسجيل.

تكوين أذونات التطبيق. من App Registrations، حدد API Permissions ثم Add a permission.
حدد Microsoft Graph ثم الأذونات المفوضة. ضمن Select Permissions، حدد openid and profile ضمن OpenId permissions.
حدد إضافة إذن.
من أذونات واجهة برمجة التطبيقات، حدد منح موافقة المسؤول ل....
من Authentication، ضمن App instance property lock، حدد Configure ثم قم بإلغاء تحديد خانة الاختيار المسماة Enable property lock.
من نظرة عامة، دون معرف التطبيق (العميل)، وهو مطلوب لاحقا.

مزامنة كلمة مرور CIFS من AD DS إلى تسجيل تطبيق Microsoft Entra

من وحدة تحكم مجال AD DS، افتح PowerShell.
تثبيت وحدة إدارة المصادقة المختلطة لمزامنة كلمات المرور.
```
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force 
```
حدد المتغيرات التالية:
- $servicePrincipalName: تفاصيل SPN من تحميل وحدة تخزين Azure NetApp Files. استخدم تنسيق CIFS/FQDN. على سبيل المثال: CIFS/NETBIOS-1234.CONTOSO.COM
- $targetApplicationID: معرف التطبيق (العميل) لتطبيق Microsoft Entra.
- $domainCred: استخدام Get-Credential (يجب أن يكون مسؤول مجال AD DS)
- $cloudCred: استخدام Get-Credential (يجب أن يكون Microsoft Entra Global مسؤول istrator)
```
$servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential
```
إشعار

Get-Credential سيبدأ الأمر نافذة منبثقة حيث يمكنك إدخال بيانات الاعتماد.

استيراد تفاصيل CIFS إلى معرف Microsoft Entra:

Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

تكوين الجهاز الظاهري المنضم إلى Microsoft Entra لاستخدام مصادقة Kerberos

سجل الدخول إلى الجهاز الظاهري المنضم إلى Microsoft Entra باستخدام بيانات الاعتماد المختلطة ذات الحقوق الإدارية (على سبيل المثال: user@mydirectory.onmicrosoft.com).
تكوين الجهاز الظاهري:
1. انتقل إلى Edit group policy>Computer Configuration> مسؤول istrative Templates>System>Kerberos.
2. تمكين السماح باسترداد تذكرة منح تذكرة Microsoft Entra Kerberos أثناء تسجيل الدخول.
3. تمكين تعريف تعيينات نطاق اسم المضيف إلى Kerberos. حدد إظهار ثم قم بتوفير اسم قيمة وقيمةباستخدام اسم المجال مسبوقا بنقطة. على سبيل المثال:
  - اسم القيمة: KERBEROS.MICROSOFTONLINE.COM
  - القيمة: .contoso.com

تحميل وحدات تخزين Azure NetApp Files SMB

سجل الدخول إلى الجهاز الظاهري المنضم إلى Microsoft Entra باستخدام حساب هوية مختلط تمت مزامنته من AD DS.
قم بتحميل وحدة تخزين Azure NetApp Files SMB باستخدام المعلومات المتوفرة في مدخل Microsoft Azure. لمزيد من المعلومات، راجع تحميل وحدات تخزين SMB لأجهزة Windows الظاهرية.
تأكد من أن وحدة التخزين المثبتة تستخدم مصادقة Kerberos وليس مصادقة NTLM. افتح موجه الأوامر، وأصدر klist الأمر؛ ولاحظ الإخراج في معلومات تذكرة خادم TGT السحابي (krbtgt) وCSIFS.