تمكين مصادقة Microsoft Entra Kerberos للهويات المختلطة على ملفات Azure

مقالة
04/24/2024

تركز هذه المقالة على تمكين وتكوين معرف Microsoft Entra (المعروف سابقا ب Azure AD) لمصادقة هويات المستخدمين المختلطين، وهي هويات AD DS محلية تتم مزامنتها مع معرف Microsoft Entra. الهويات السحابية فقط غير مدعومة حاليا.

يسمح هذا التكوين للمستخدمين المختلطين بالوصول إلى مشاركات ملفات Azure باستخدام مصادقة Kerberos، باستخدام معرف Microsoft Entra لإصدار تذاكر Kerberos الضرورية للوصول إلى مشاركة الملف مع بروتوكول SMB. وهذا يعني أنه يمكن للمستخدمين النهائيين الوصول إلى مشاركات ملفات Azure عبر الإنترنت دون الحاجة إلى اتصال شبكة دون عوائق بوحدات التحكم بالمجال من Microsoft Entra hybrid joined وعملاء Microsoft Entra المنضمين. ومع ذلك، يتطلب تكوين قوائم التحكم في الوصول إلى Windows (ACLs)/الدليل والأذونات على مستوى الملف لمستخدم أو مجموعة اتصال شبكة دون عوائق بوحدة تحكم المجال المحلية.

لمزيد من المعلومات حول الخيارات والاعتبارات المدعومة، راجع نظرة عامة على خيارات المصادقة المستندة إلى هوية Azure Files للوصول إلى SMB. لمزيد من المعلومات، راجع هذا الغوص العميق.

هام

يمكنك استخدام أسلوب AD واحد فقط للمصادقة المستندة إلى الهوية مع ملفات Azure. إذا كانت مصادقة Microsoft Entra Kerberos للهويات المختلطة لا تناسب متطلباتك، فقد تتمكن من استخدام Active Directory محلي Domain Service (AD DS) أو Microsoft Entra Domain Services بدلا من ذلك. تختلف خطوات التكوين والسيناريوهات المدعومة لكل أسلوب.

ينطبق على

نوع مشاركة الملف	SMB	NFS
مشاركات الملفات القياسية (GPv2)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)
مشاركات الملفات القياسية (GPv2)، حساب تخزين مكرر جغرافي (GRS) أو حساب تخزين مكرر للمنطقة الجغرافية (GZRS)
مشاركات الملفات المدفوعة (FileStorage)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)

المتطلبات الأساسية

قبل تمكين مصادقة Microsoft Entra Kerberos عبر SMB لمشاركات ملفات Azure، تأكد من إكمال المتطلبات الأساسية التالية.

إشعار

لا يمكن مصادقة حساب تخزين Azure الخاص بك مع كل من معرف Microsoft Entra وطريقة ثانية مثل AD DS أو Microsoft Entra Domain Services. إذا اخترت بالفعل أسلوب AD آخر لحساب التخزين الخاص بك، يجب تعطيله قبل تمكين Microsoft Entra Kerberos.

تتوفر وظيفة Microsoft Entra Kerberos للهويات المختلطة فقط على أنظمة التشغيل التالية:

جلسة عمل واحدة أو متعددة ل Windows 11 Enterprise/Pro.
إصدارات Windows 10 Enterprise/Pro الفردية أو متعددة الجلسات، إصدارات 2004 أو أحدث مع آخر التحديثات التراكمية المثبتة، خاصة كيلوبايت 5007253 - 2021-11 معاينة التحديث التراكمي لنظام التشغيل Windows 10.
Windows Server، الإصدار 2022 مع تثبيت آخر التحديثات التراكمية، خاصة KB5007254 - 2021-11 معاينة التحديث التراكمي لإصدار نظام تشغيل خادم Microsoft 21H2.

لمعرفة كيفية إنشاء جهاز ظاهري يعمل بنظام Windows وتكوينه وتسجيل الدخول باستخدام المصادقة المستندة إلى معرف Microsoft Entra، راجع تسجيل الدخول إلى جهاز ظاهري يعمل بنظام Windows في Azure باستخدام معرف Microsoft Entra.

يجب أن يكون العملاء منضمين إلى Microsoft Entra أو منضما إلى Microsoft Entra المختلط. لا يتم دعم Microsoft Entra Kerberos على العملاء الذين انضموا إلى Microsoft Entra Domain Services أو انضموا إلى AD فقط.

لا تدعم هذه الميزة حاليا حسابات المستخدمين التي تقوم بإنشائها وإدارتها فقط في Microsoft Entra ID. يجب أن تكون حسابات المستخدمين هويات مستخدم مختلطة، ما يعني أنك ستحتاج أيضا إلى AD DS وإما Microsoft Entra الاتصال أو Microsoft Entra الاتصال مزامنة السحابة. يجب إنشاء هذه الحسابات في Active Directory ومزامنتها مع معرف Microsoft Entra. لتعيين أذونات Azure Role-Based Access Control (RBAC) لمشاركة ملف Azure إلى مجموعة مستخدمين، يجب إنشاء المجموعة في Active Directory ومزامنتها مع معرف Microsoft Entra.

لا تدعم هذه الميزة حاليا الوصول عبر المستأجرين لمستخدمي B2B أو المستخدمين الضيوف. لن يتمكن المستخدمون من مستأجر Entra بخلاف المستأجر الذي تم تكوينه من الوصول إلى مشاركة الملف.

يجب تعطيل المصادقة متعددة العوامل (MFA) على تطبيق Microsoft Entra الذي يمثل حساب التخزين.

باستخدام Microsoft Entra Kerberos، يكون تشفير تذكرة Kerberos دائما AES-256. ولكن يمكنك تعيين تشفير قناة SMB الذي يناسب احتياجاتك على أفضل نحو.

التوفر الإقليمي

يتم دعم هذه الميزة في سحابات Azure Public وAzure US Gov وAzure China 21Vianet.

تمكين مصادقة Microsoft Entra Kerberos لحسابات المستخدمين المختلطين

يمكنك تمكين مصادقة Microsoft Entra Kerberos على ملفات Azure لحسابات المستخدمين المختلطين باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.

لتمكين مصادقة Microsoft Entra Kerberos باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية.

سجل الدخول إلى مدخل Microsoft Azure وحدد حساب التخزين الذي تريد تمكين مصادقة Microsoft Entra Kerberos له.
ضمن Data storage، حدد File shares.
بجوار Active Directory، حدد حالة التكوين (على سبيل المثال، غير مكوّن).
ضمن Microsoft Entra Kerberos، حدد Set up.
حدد خانة الاختيار Microsoft Entra Kerberos .
اختياري: إذا كنت تريد تكوين أذونات على مستوى الدليل والملف من خلال Windows مستكشف الملفات، فيجب عليك تحديد اسم المجال والمعرف الفريد العمومي للمجال ل AD المحلي. يمكنك الحصول على هذه المعلومات من مسؤول المجال الخاص بك أو عن طريق تشغيل Active Directory PowerShell cmdlet التالي من عميل محلي منضم إلى AD: Get-ADDomain. يجب إدراج اسم المجال الخاص بك في الإخراج ضمن DNSRoot ويجب إدراج GUID للمجال ضمن ObjectGUID. إذا كنت تفضل تكوين أذونات على مستوى الدليل والملفات باستخدام icacls، يمكنك تخطي هذه الخطوة. ومع ذلك، إذا كنت ترغب في استخدام icacls، سيحتاج العميل إلى اتصال شبكة دون عوائق إلى AD المحلي.
حدد حفظ.

لتمكين Microsoft Entra Kerberos باستخدام Azure PowerShell، قم بتشغيل الأمر التالي. تذكر استبدال قيم العنصر النائب، بما في ذلك الأقواس، بقيمك.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true

اختياري: إذا كنت تريد تكوين أذونات على مستوى الدليل والملف من خلال Windows مستكشف الملفات، فأنت بحاجة أيضا إلى تحديد اسم المجال والمعرف الفريد العمومي للمجال ل AD المحلي. إذا كنت تفضل تكوين أذونات على مستوى الدليل والملفات باستخدام icacls، يمكنك تخطي هذه الخطوة. ومع ذلك، إذا كنت ترغب في استخدام icacls، فسيحتاج العميل إلى خط الرؤية إلى AD المحلي.

يمكنك الحصول على هذه المعلومات من مسؤول المجال الخاص بك أو عن طريق تشغيل أوامر Cmdlets التالية ل Active Directory PowerShell من عميل محلي منضم إلى AD:

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

لتحديد اسم المجال والمعرف الفريد العمومي للمجال ل AD المحلي، قم بتشغيل أمر Azure PowerShell التالي. تذكر استبدال قيم العنصر النائب، بما في ذلك الأقواس، بقيمك.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true -ActiveDirectoryDomainName $domainName -ActiveDirectoryDomainGuid $domainGuid

لتمكين Microsoft Entra Kerberos باستخدام Azure CLI، قم بتشغيل الأمر التالي. تذكر استبدال قيم العنصر النائب، بما في ذلك الأقواس، بقيمك.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb true

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

لتحديد اسم المجال والمعرف الفريد العمومي للمجال ل AD المحلي، قم بتشغيل الأمر التالي. تذكر استبدال قيم العنصر النائب، بما في ذلك الأقواس، بقيمك.

az storage account update --name <storageAccountName> --resource-group <resourceGroupName> --enable-files-aadkerb true --domain-name <domainName> --domain-guid <domainGuid>

تحذير

إذا قمت مسبقا بتمكين مصادقة Microsoft Entra Kerberos من خلال خطوات المعاينة اليدوية المحدودة لتخزين ملفات تعريف FSLogix على ملفات Azure للأجهزة الظاهرية المنضمة إلى Microsoft Entra، يتم تعيين كلمة المرور الخاصة بكيان خدمة حساب التخزين لتنتهي صلاحيتها كل ستة أشهر. بمجرد انتهاء صلاحية كلمة المرور، لن يتمكن المستخدمون من الحصول على تذاكر Kerberos لمشاركة الملف. للتخفيف من ذلك، راجع "خطأ - انتهت صلاحية كلمة مرور كيان الخدمة في معرف Microsoft Entra" ضمن الأخطاء المحتملة عند تمكين مصادقة Microsoft Entra Kerberos للمستخدمين المختلطين.

بعد تمكين مصادقة Microsoft Entra Kerberos، ستحتاج إلى منح موافقة المسؤول بشكل صريح على تطبيق Microsoft Entra الجديد المسجل في مستأجر Microsoft Entra. يتم إنشاء كيان الخدمة هذا تلقائيا ولا يتم استخدامه للتخويل لمشاركة الملف، لذلك لا تقم بإجراء أي تعديلات على كيان الخدمة بخلاف تلك الموثقة هنا. إذا قمت بذلك، فقد تحصل على خطأ.

يمكنك تكوين أذونات واجهة برمجة التطبيقات من مدخل Azure باتباع الخطوات التالية:

افتح معرف Microsoft Entra.
حدد تسجيلات التطبيق في الجزء الأيمن.
حدد كل التطبيقات.
حدد التطبيق الذي يحتوي على الاسم المطابق [حساب التخزين] <your-storage-account-name>.file.core.windows.net.
حدد أذونات واجهة برمجة التطبيقات في الجزء الأيمن.
حدد منح موافقة المسؤول ل [اسم الدليل] لمنح الموافقة على أذونات واجهة برمجة التطبيقات الثلاثة المطلوبة (openid وملف التعريف وUser.Read) لجميع الحسابات في الدليل.
حدد نعم للتأكيد.

هام

إذا كنت تتصل بحساب تخزين عبر نقطة نهاية خاصة/ ارتباط خاص باستخدام مصادقة Microsoft Entra Kerberos، فستحتاج أيضا إلى إضافة الارتباط الخاص FQDN إلى تطبيق Microsoft Entra لحساب التخزين. للحصول على الإرشادات، راجع الإدخال في دليل استكشاف الأخطاء وإصلاحها.

تعطيل المصادقة متعددة العوامل على حساب التخزين

لا يدعم Microsoft Entra Kerberos استخدام المصادقة متعددة العوامل للوصول إلى مشاركات ملفات Azure التي تم تكوينها باستخدام Microsoft Entra Kerberos. يجب استبعاد تطبيق Microsoft Entra الذي يمثل حساب التخزين الخاص بك من نهج الوصول المشروط للمصادقة متعددة العوامل إذا كانت تنطبق على جميع التطبيقات.

يجب أن يكون لتطبيق حساب التخزين نفس اسم حساب التخزين في قائمة استبعاد الوصول المشروط. عند البحث عن تطبيق حساب التخزين في قائمة استبعاد الوصول المشروط، ابحث عن: [حساب التخزين] <your-storage-account-name>.file.core.windows.net

تذكر استبدال <your-storage-account-name> بالقيمة المناسبة.

هام

إذا لم تستثني نُهج المصادقة متعددة العوامل من تطبيق حساب التخزين، فلن تتمكن من الوصول إلى مشاركة ملف. ستؤدي محاولة تعيين مشاركة الملف باستخدام net use إلى ظهور رسالة خطأ تقول "خطأ النظام 1327: تمنع قيود الحساب هذا المستخدم من تسجيل الدخول. على سبيل المثال: لا يسمح بكلمات مرور فارغة أو أوقات تسجيل الدخول محدودة أو تم فرض قيود على النهج."

للحصول على إرشادات حول تعطيل المصادقة متعددة العوامل، راجع ما يلي:

عند تمكين الوصول المستند إلى الهوية، يمكنك تعيين لكل مشاركة المستخدمين والمجموعات التي تتمتع بالوصول إلى هذه المشاركة المعينة. بمجرد السماح للمستخدم بالمشاركة، تتولى قوائم التحكم في الوصول في Windows (تسمى أيضا أذونات NTFS) على الملفات والدلائل الفردية. يسمح هذا بالتحكم الدقيق في الأذونات، على غرار مشاركة SMB على خادم Windows.

لتعيين أذونات مستوى المشاركة، اتبع الإرشادات الواردة في تعيين أذونات على مستوى المشاركة إلى هوية.

تكوين أذونات على مستوى الدليل والملف

بمجرد وجود أذونات على مستوى المشاركة، يمكنك تعيين أذونات على مستوى الدليل/الملف للمستخدم أو المجموعة. يتطلب ذلك استخدام جهاز مع اتصال شبكة دون عوائق ب AD محلي. لاستخدام Windows مستكشف الملفات، يجب أيضا أن يكون الجهاز منضما إلى المجال.

هناك خياران لتكوين الأذونات على مستوى الدليل والملفات باستخدام مصادقة Microsoft Entra Kerberos:

Windows مستكشف الملفات: إذا اخترت هذا الخيار، فيجب أن يكون العميل منضما إلى مجال AD المحلي.
الأداة المساعدة icacls: إذا اخترت هذا الخيار، فلن يحتاج العميل إلى الانضمام إلى المجال، ولكنه يحتاج إلى اتصال شبكة دون عوائق إلى AD المحلي.

لتكوين الأذونات على مستوى الدليل والملف من خلال Windows مستكشف الملفات، تحتاج أيضا إلى تحديد اسم المجال والمعرف الفريد العمومي للمجال ل AD المحلي. يمكنك الحصول على هذه المعلومات من مسؤول المجال أو من عميل محلي منضم إلى AD. إذا كنت تفضل التكوين باستخدام icacls، فهذه الخطوة غير مطلوبة.

هام

يمكنك تعيين قوائم ACL على مستوى الملفات/الدليل للهويات التي لم تتم مزامنتها مع معرف Microsoft Entra. ومع ذلك، لن يتم فرض قوائم التحكم في الوصول هذه لأن تذكرة Kerberos المستخدمة للمصادقة/التخويل لن تحتوي على هذه الهويات غير المتزامنة. لفرض تعيين قوائم التحكم بالوصول، يجب مزامنة الهويات مع معرف Microsoft Entra.

تلميح

إذا كان المستخدمون المختلطون المنضمون إلى Microsoft Entra من غابتين مختلفتين سيصلون إلى المشاركة، فمن الأفضل استخدام icacls لتكوين الأذونات على مستوى الدليل والملفات. وذلك لأن تكوين Windows مستكشف الملفات ACL يتطلب من العميل أن يكون المجال مرتبطا بمجال Active Directory الذي تم ربط حساب التخزين به.

لتكوين أذونات على مستوى الدليل والملف، اتبع الإرشادات الواردة في تكوين الأذونات على مستوى الدليل والملف عبر SMB.

تكوين العملاء لاسترداد بطاقات Kerberos

قم بتمكين وظيفة Microsoft Entra Kerberos على جهاز (أجهزة) العميل التي تريد تحميل/استخدام مشاركات Azure File منها. يجب القيام بذلك على كل عميل سيتم استخدام ملفات Azure عليه.

استخدم أحد الأساليب التالية:

تكوين نهج Intune CSP هذا وتطبيقه على العميل (العملاء): Kerberos/CloudKerberosTicketRetrievalEnabled، تعيين إلى 1
تكوين نهج المجموعة هذا على العميل (العملاء) إلى "Enabled": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
قم بتعيين قيمة التسجيل التالية على العميل (العملاء) عن طريق تشغيل هذا الأمر من موجه أوامر غير مقيد: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

التغييرات ليست فورية، وتتطلب تحديثا للنهج أو إعادة تمهيد لتدخل حيز التنفيذ.

هام

بمجرد تطبيق هذا التغيير، لن يتمكن العميل (العملاء) من الاتصال بحسابات التخزين التي تم تكوينها لتكامل AD DS المحلي دون تكوين تعيينات نطاق Kerberos. إذا كنت تريد أن يتمكن العميل (العملاء) من الاتصال بحسابات التخزين التي تم تكوينها ل AD DS بالإضافة إلى حسابات التخزين التي تم تكوينها ل Microsoft Entra Kerberos، فاتبع الخطوات الواردة في تكوين التعايش مع حسابات التخزين باستخدام AD DS المحلي.

تكوين التعايش مع حسابات التخزين باستخدام AD DS المحلي

إذا كنت ترغب في تمكين أجهزة العميل من الاتصال بحسابات التخزين التي تم تكوينها ل AD DS بالإضافة إلى حسابات التخزين التي تم تكوينها ل Microsoft Entra Kerberos، فاتبع الخطوات التالية. إذا كنت تستخدم Microsoft Entra Kerberos فقط، فتخط هذا القسم.

إضافة إدخال لكل حساب تخزين يستخدم تكامل AD DS المحلي. استخدم إحدى الطرق الثلاث التالية لتكوين تعيينات نطاق Kerberos. التغييرات ليست فورية، وتتطلب تحديثا للنهج أو إعادة تشغيل لكي تسري.

قم بتكوين نهج Intune CSP هذا وتطبيقه على العميل (العملاء): Kerberos/HostToRealm
تكوين نهج المجموعة هذا على العميل (العملاء): Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings
ksetup تشغيل أمر Windows على العميل (العملاء):ksetup /addhosttorealmmap <hostname> <REALMNAME>
- على سبيل المثال، ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

هام

في Kerberos، تكون أسماء النطاقات حساسة لحالة الأحرف وأحرف كبيرة. عادة ما يكون اسم نطاق Kerberos هو نفسه اسم المجال الخاص بك، بأحرف كبيرة.

التراجع عن تكوين العميل لاسترداد تذاكر Kerberos

إذا لم تعد ترغب في استخدام جهاز عميل لمصادقة Microsoft Entra Kerberos، يمكنك تعطيل وظيفة Microsoft Entra Kerberos على هذا الجهاز. استخدم إحدى الطرق الثلاث التالية، اعتمادا على كيفية تمكين الوظيفة:

تكوين نهج Intune CSP هذا وتطبيقه على العميل (العملاء): Kerberos/CloudKerberosTicketRetrievalEnabled، تعيين إلى 0
تكوين نهج المجموعة هذا على العميل (العملاء) إلى "معطل": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
قم بتعيين قيمة التسجيل التالية على العميل (العملاء) عن طريق تشغيل هذا الأمر من موجه أوامر غير مقيد: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0

التغييرات ليست فورية، وتتطلب تحديثا للنهج أو إعادة تمهيد لتدخل حيز التنفيذ.

إذا اتبعت الخطوات الواردة في تكوين التعايش مع حسابات التخزين باستخدام AD DS المحلي، يمكنك اختياريا إزالة كل اسم المضيف إلى تعيينات نطاق Kerberos من جهاز العميل. استخدم أحد الأساليب التالية:

قم بتكوين نهج Intune CSP هذا وتطبيقه على العميل (العملاء): Kerberos/HostToRealm
تكوين نهج المجموعة هذا على العميل (العملاء): Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings
ksetup تشغيل أمر Windows على العميل (العملاء):ksetup /delhosttorealmmap <hostname> <realmname>
- على سبيل المثال، ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net contoso.local
- يمكنك عرض قائمة اسم المضيف الحالي لتعيينات نطاق Kerberos عن طريق فحص مفتاح HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealmالتسجيل .

التغييرات ليست فورية، وتتطلب تحديثا للنهج أو إعادة تشغيل لكي تسري.

هام

بمجرد تطبيق هذا التغيير، لن يتمكن العميل (العملاء) من الاتصال بحسابات التخزين التي تم تكوينها لمصادقة Microsoft Entra Kerberos. ومع ذلك، سيتمكنون من الاتصال بحسابات التخزين التي تم تكوينها إلى AD DS، دون أي تكوين إضافي.

تعطيل مصادقة Microsoft Entra على حساب التخزين الخاص بك

إذا كنت ترغب في استخدام أسلوب مصادقة آخر، يمكنك تعطيل مصادقة Microsoft Entra على حساب التخزين الخاص بك باستخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI.

إشعار

يعني تعطيل هذه الميزة أنه لن يكون هناك تكوين Active Directory لمشاركات الملفات في حساب التخزين الخاص بك حتى تقوم بتمكين أحد مصادر Active Directory الأخرى لإعادة تكوين Active Directory الخاص بك.

لتعطيل مصادقة Microsoft Entra Kerberos على حساب التخزين الخاص بك باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية.

سجل الدخول إلى مدخل Microsoft Azure وحدد حساب التخزين الذي تريد تعطيل مصادقة Microsoft Entra Kerberos له.
ضمن Data storage، حدد File shares.
بجوار Active Directory، حدد حالة التكوين.
ضمن Microsoft Entra Kerberos، حدد Configure.
قم بإلغاء تحديد خانة الاختيار Microsoft Entra Kerberos .
حدد حفظ.

لتعطيل مصادقة Microsoft Entra Kerberos على حساب التخزين الخاص بك باستخدام Azure PowerShell، قم بتشغيل الأمر التالي. تذكر استبدال قيم العنصر النائب، بما في ذلك الأقواس، بقيمك.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $false

لتعطيل مصادقة Microsoft Entra Kerberos على حساب التخزين الخاص بك باستخدام Azure CLI، قم بتشغيل الأمر التالي. تذكر استبدال قيم العنصر النائب، بما في ذلك الأقواس، بقيمك.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb false

الخطوات التالية

لمزيد من المعلومات، راجع هذه الموارد: