Povolení ověřování Kerberos Microsoft Entra pro hybridní a cloudové identity (náhled) ve službě Azure Files

Platí pro: ✔️ Sdílené soubory Azure SMB

Tento článek se zaměřuje na povolení a konfiguraci ID Microsoft Entra (dříve Azure AD) pro ověřování hybridních nebo cloudových identit (Preview).

• Hybridní identity jsou místní identity služby Active Directory Domain Services (AD DS), které se synchronizují s ID Microsoft Entra pomocí cloudové synchronizace Microsoft Entra Connect nebo Microsoft Entra Connect.

• Identity pouze v cloudu se vytvářejí a spravují jenom v Microsoft Entra ID.

Povolení ověřování Microsoft Entra Kerberos umožňuje uživatelům přistupovat ke sdíleným složkám Azure pomocí ověřování Kerberos. Microsoft Entra ID vydává potřebné povolení protokolu Kerberos pro přístup k souborové sdílené složce pomocí protokolu SMB. Pro uživatele jen v cloudu to znamená, že sdílené složky Azure už k autorizaci nebo ověřování nepotřebují řadič domény (Preview). V případě hybridních identit ale konfigurace seznamů řízení přístupu (ACL) Systému Windows a oprávnění na úrovni adresáře nebo souboru pro uživatele nebo skupinu vyžaduje nekomponované síťové připojení k místnímu řadiči domény.

Další informace najdete v tématu Přehled možností ověřování založeného na identitě služby Azure Files pro přístup k protokolu SMB a v tomto podrobném přehledu.

Důležité

Ve svém účtu úložiště můžete povolit pouze jeden zdroj identity pro ověřování na základě identity pomocí služby Azure Files. Pokud ověřování Microsoft Entra Kerberos nevyhovuje vašim požadavkům, můžete místo toho používat místní službu Active Directory Domain Service (AD DS) nebo Službu Microsoft Entra Domain Services . Kroky konfigurace a podporované scénáře se pro každou metodu liší.

Požadavky

Než povolíte ověřování Microsoft Entra Kerberos přes protokol SMB pro sdílené složky Azure, ujistěte se, že jste dokončili následující požadavky.

Minimální požadavky

Následující požadavky jsou povinné. Bez nich se nemůžete ověřit pomocí ID Microsoft Entra.

• Váš účet úložiště Azure se nemůže ověřit pomocí ID Microsoft Entra a druhé metody, jako je AD DS nebo Microsoft Entra Domain Services. Pokud jste už pro svůj účet úložiště zvolili jiný zdroj identity, musíte ho před povolením Microsoft Entra Kerberos zakázat.

• Pokud chcete ověřovat hybridní identity, budete také potřebovat službu AD DS a cloudovou synchronizaci Microsoft Entra Connect nebo Microsoft Entra Connect. Tyto účty musíte vytvořit ve službě Active Directory a synchronizovat je s ID Microsoft Entra. Pokud chcete přiřadit oprávnění řízení přístupu na základě role (RBAC) pro sdílenou složku Azure ke skupině uživatelů, musíte skupinu vytvořit ve službě Active Directory a synchronizovat ji s ID Microsoft Entra. Nevztahuje se to na cloudové identity.

• Vyžaduje se služba automatického zjišťování webového proxy serveru WinHTTP (WinHttpAutoProxySvc) a musí být ve stavu Spuštěno. Volitelně můžete zakázat automatické zjišťování webového proxy serveru (WPAD), ale služba by měla být pořád spuštěná.

• Vyžaduje se pomocná služba ip adres (iphlpsvc) a musí být ve stavu Spuštěno.

• V aplikaci Microsoft Entra představující účet úložiště musíte zakázat vícefaktorové ověřování (MFA). Pokyny najdete v tématu Zakázání vícefaktorového ověřování v účtu úložiště.

• Tato funkce v současné době nepodporuje přístup mezi tenanty pro uživatele B2B nebo uživatele typu host. Uživatelé z jiného tenanta Microsoft Entra než z nakonfigurovaného tenanta nebudou mít přístup ke sdílené složce.

• S protokolem Microsoft Entra Kerberos je šifrování vstupenky Kerberos vždy AES-256. Můžete ale nastavit šifrování kanálu SMB, které nejlépe vyhovuje vašim potřebám.

• Podpora protokolu SMB služby Azure Files pro externí identity je v současné době omezená na scénáře FSLogix spuštěné ve službě Azure Virtual Desktop (AVD). To platí pro externí uživatele pozvané do tenanta Microsoft Entra ID ve veřejném cloudu s výjimkou uživatelů mezi cloudy (pozvaných do tenanta ze služby Azure Government nebo Azure provozovaného společností 21Vianet). Scénáře cloudu pro státní správu se nepodporují. Ne-AVD scénáře nejsou podporovány pro hostující uživatele nebo B2B uživatele z jiných tenantů Microsoft Entra.

Důležité

Podpora cloudových identit (Preview) je dostupná pouze s použitím výchozího oprávnění na úrovni sdílení.

Požadavky na operační systém a doménu

Pro standardní ověřovací tok protokolu Microsoft Entra Kerberos, jak je popsáno v tomto článku, jsou vyžadovány následující požadavky. Pokud některé nebo všechny klientské počítače tyto požadavky nesplňují, můžete stále povolit ověřování pomocí protokolu Microsoft Entra Kerberos pro sdílené složky SMB, ale budete také muset nakonfigurovat důvěryhodnost v cloudu, aby tito klienti měli přístup ke sdíleným souborům.

Použití ověřování Microsoft Entra Kerberos pro cloudové identity (Preview) vyžaduje jeden z následujících operačních systémů:

• Windows 11 Enterprise/Pro – jednosesionní nebo vícesionní
• Windows Server 2025 s nainstalovanými nejnovějšími kumulativními aktualizacemi.

Použití ověřování Microsoft Entra Kerberos pro hybridní identity vyžaduje jeden z následujících operačních systémů:

• Windows 11 Enterprise/Pro – jednosesionní nebo vícesionní
• Windows 10 Enterprise/Pro s jednou nebo více relacemi, verze 2004 nebo novější s nainstalovanými nejnovějšími kumulativními aktualizacemi, zejména KB5007253 – 2021–11 Kumulativní aktualizace Preview pro Windows 10.
• Windows Server 2025 s nainstalovanými nejnovějšími kumulativními aktualizacemi.
• Windows Server 2022 má nainstalovány nejnovější kumulativní aktualizace, zejména KB5007254 - 2021-11 Kumulativní aktualizace Preview pro serverový operační systém Microsoft verze 21H2.

Informace o vytvoření a konfiguraci virtuálního počítače s Windows a přihlášení pomocí ověřování založeného na ID Microsoftu najdete v tématu Přihlášení k virtuálnímu počítači s Windows v Azure pomocí ID Microsoft Entra.

Klienti musí být připojeni k Microsoft Entra nebo Microsoft Entra v hybridním režimu. Nemůžou být připojeni k Microsoft Entra Domain Services ani výhradně k Active Directory.

Regionální dostupnost

Podpora hybridních identit je dostupná v cloudech Azure Public, Azure US Gov a Azure China 21Vianet.

Podpora výhradně cloudových identit (Preview) je dostupná jenom ve veřejných cloudech Azure a je omezená na použití výchozího oprávnění na úrovni sdílené složky pro všechny ověřené identity.

Povolení ověřování protokolem Kerberos microsoft Entra

Ověřování Microsoft Entra Kerberos ve službě Azure Files můžete povolit pomocí webu Azure Portal, PowerShellu nebo Azure CLI.

Portál

Pokud chcete povolit ověřování Microsoft Entra Kerberos pomocí webu Azure Portal, postupujte takto.

1. Přihlaste se do portálu Azure a vyberte účet úložiště, pro který chcete povolit ověřování Microsoft Entra Kerberos.

2. V části Úložiště dat vyberte Sdílené složky.

3. Vedle přístupu na základě identity vyberte stav konfigurace (například Nenakonfigurováno).

   

4. V části Microsoft Entra Kerberos vyberte Nastavit.

5. Zaškrtněte políčko Microsoft Entra Kerberos .

   

6. Volitelný: Pokud ověřujete hybridní identity a chcete nakonfigurovat oprávnění adresáře a souborů prostřednictvím Průzkumníka souborů Systému Windows, musíte zadat název domény a identifikátor GUID domény pro místní službu AD. Tyto informace můžete získat od správce domény nebo spuštěním následující rutiny Prostředí Active Directory PowerShell z lokálního klienta připojeného k AD: Get-ADDomain Název vaší domény by měl být uvedený ve výstupu DNSRoot pod položkou a váš identifikátor GUID domény by měl být uvedený v části ObjectGUID. Pokud byste raději pomocí icacls nakonfigurovali oprávnění na úrovni adresáře a souboru, můžete tento krok přeskočit. Pokud ale chcete použít icacls, klient bude potřebovat nešimnuté síťové připojení k místní službě AD. Konfigurace oprávnění na úrovni adresáře a souborů pomocí Průzkumníka souborů Windows se v současné době nepodporuje pro cloudové identity (Preview).

7. Zvolte Uložit.

Azure PowerShell

Pokud chcete povolit Microsoft Entra Kerberos pomocí Azure PowerShellu, spusťte následující příkaz. Nezapomeňte nahradit zástupné hodnoty, včetně závorek, vašimi hodnotami.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true

Volitelný: Pokud ověřujete hybridní identity a chcete nakonfigurovat oprávnění adresáře a souboru prostřednictvím Průzkumníka souborů Systému Windows, musíte také zadat název domény a identifikátor GUID domény pro místní službu AD. Pokud byste raději pomocí icacls nakonfigurovali oprávnění na úrovni adresáře a souboru, můžete tento krok přeskočit. Pokud ale chcete použít icacls, klient bude potřebovat nešimnuté síťové připojení k místní službě AD. Konfigurace oprávnění na úrovni adresáře a souborů pomocí Průzkumníka souborů Windows se v současné době nepodporuje pro cloudové identity (Preview).

Tyto informace můžete získat od správce domény nebo spuštěním následujících rutin Prostředí Active Directory PowerShell z místního klienta připojeného k AD:

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

Pokud chcete zadat název domény a identifikátor GUID domény pro místní službu AD, spusťte následující příkaz Azure PowerShellu. Nezapomeňte nahradit zástupné hodnoty, včetně závorek, vašimi hodnotami.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true -ActiveDirectoryDomainName $domainName -ActiveDirectoryDomainGuid $domainGuid

Azure CLI

Pokud chcete povolit Microsoft Entra Kerberos pomocí Azure CLI, spusťte následující příkaz. Nezapomeňte nahradit zástupné hodnoty, včetně závorek, vašimi hodnotami.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb true

Volitelný: Pokud ověřujete hybridní identity a chcete nakonfigurovat oprávnění adresáře a souboru prostřednictvím Průzkumníka souborů Systému Windows, musíte také zadat název domény a identifikátor GUID domény pro místní službu AD. Pokud byste raději pomocí icacls nakonfigurovali oprávnění na úrovni adresáře a souboru, můžete tento krok přeskočit. Pokud ale chcete použít icacls, klient bude potřebovat nešimnuté síťové připojení k místní službě AD. Konfigurace oprávnění na úrovni adresáře a souborů pomocí Průzkumníka souborů Windows se v současné době nepodporuje pro cloudové identity (Preview).

Tyto informace můžete získat od správce domény nebo spuštěním následujících rutin Prostředí Active Directory PowerShell z místního klienta připojeného k AD:

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

Pokud chcete zadat název domény a identifikátor GUID domény pro místní službu AD, spusťte následující příkaz. Nezapomeňte nahradit zástupné hodnoty, včetně závorek, vašimi hodnotami.

az storage account update --name <storageAccountName> --resource-group <resourceGroupName> --enable-files-aadkerb true --domain-name <domainName> --domain-guid <domainGuid>

Varování

Pokud jste dříve povolili ověřování protokolem Microsoft Entra Kerberos prostřednictvím kroků omezeného náhledu k ukládání profilů FSLogix na Azure Files pro virtuální počítače připojené k Microsoft Entra, heslo k služebnímu účtu úložiště je nastaveno k expiraci každých šest měsíců. Po vypršení platnosti hesla uživatelé nebudou moct získat Kerberos ticket ke sdíleným souborům. Pokud chcete tento problém zmírnit, přečtěte si téma "Chyba – Platnost hesla instančního objektu vypršela v Microsoft Entra ID" v části Potenciální chyby při povolování ověřování protokolem Kerberos Microsoft Entra.

Udělte správci souhlas pro nového služebního principalu

Po povolení ověřování Microsoft Entra Kerberos budete muset explicitně udělit souhlas správce s novou aplikací Microsoft Entra zaregistrovanou ve vašem tenantovi Microsoft Entra. Tento instanční objekt se vytvoří automaticky a nepoužívá se k autorizaci sdílené složky, takže nedělejte žádné úpravy instančního objektu jiných než těch, které jsou zde zdokumentovány. Pokud to uděláte, může se zobrazit chyba.

Oprávnění rozhraní API můžete nakonfigurovat na webu Azure Portal pomocí následujícího postupu:

1. Otevřete Microsoft Entra ID.
2. V nabídce služby v části Spravovat vyberte Registrace aplikací.
3. Vyberte Všechny aplikace.
4. Vyberte aplikaci s odpovídajícím názvem [Účet úložiště] <your-storage-account-name>.file.core.windows.net.
5. V nabídce služby v části Spravovat vyberte oprávnění rozhraní API.
6. Výběrem možnosti Udělit souhlas správce pro [Název adresáře] udělte souhlas pro tři požadovaná oprávnění rozhraní API (openid, profile a User.Read) pro všechny účty v adresáři.
7. Potvrďte výběrem možnosti Ano.

Pokud se připojujete k účtu úložiště prostřednictvím privátního koncového bodu nebo privátního odkazu pomocí ověřování Microsoft Entra Kerberos, budete také muset přidat plně kvalifikovaný název domény privátního odkazu do aplikace Microsoft Entra propojené s účtem úložiště. Pokyny najdete v našem průvodci odstraňováním potíží.

Povolení podpory skupin jen pro cloud (povinné pro výhradně cloudové identity)

Lístky Kerberos můžou obsahovat maximálně 1 010 identifikátorů zabezpečení (SID) pro skupiny. Teď, když Microsoft Entra Kerberos podporuje identity jen pro Entra (Preview), lístky musí obsahovat identifikátory SID místních skupin i identifikátory SID cloudových skupin. Pokud kombinované identifikátory SID skupin překročí 1 010, Kerberos lístek nelze vydat.

Pokud k ověřování cloudových identit používáte protokol Microsoft Entra Kerberos, budete muset aktualizovat značky v souboru manifestu aplikace nebo se ověření nezdaří.

Podle těchto pokynů aktualizujte značku v manifestu aplikace.

Zakázání vícefaktorového ověřování v účtu úložiště

Protokol Microsoft Entra Kerberos nepodporuje používání vícefaktorového ověřování pro přístup ke sdíleným složkám Azure nakonfigurovaným s protokolem Microsoft Entra Kerberos. Pokud se vztahují na všechny aplikace, musíte vyloučit aplikaci Microsoft Entra představující váš účet úložiště ze zásad podmíněného přístupu vícefaktorového ověřování.

Aplikace účtu úložiště by měla mít stejný název jako účet úložiště v seznamu vyloučení podmíněného přístupu. Při hledání aplikace účtu úložiště v seznamu vyloučení podmíněného přístupu vyhledejte: [Účet úložiště] <your-storage-account-name>.file.core.windows.net

Nezapomeňte nahradit <your-storage-account-name> správnou hodnotou.

Důležité

Pokud zásady vícefaktorového ověřování z aplikace účtu úložiště nevyloučíte, nebudete mít přístup ke sdílené složce. Při pokusu o mapování sdílené složky pomocí net use se zobrazí chybová zpráva "Systémová chyba 1327: Omezení účtu brání tomuto uživateli v přihlášení. Například: Prázdná hesla nejsou dovolena, časy přihlášení jsou omezené nebo bylo vynuceno omezení zásad.

Pro pokyny k zakázání MFA se podívejte na následující:

• Přidání vyloučení pro služební principály prostředků Azure
• Vytvoření zásad podmíněného přístupu

Přiřazení oprávnění na úrovni sdílené složky

Když povolíte přístup založený na identitě, musíte pro každou sdílenou složku přiřadit, kteří uživatelé a skupiny mají k této konkrétní sdílené složce přístup. Jakmile má uživatel nebo skupina povolený přístup ke sdílené složce, převezmou oprávnění NTFS, známá také jako seznamy ACL systému Windows, u jednotlivých souborů a adresářů. To umožňuje jemně odstupňovanou kontrolu nad oprávněními, podobně jako sdílená složka SMB na windows serveru.

Pokud chcete nastavit oprávnění na úrovni sdílené složky, postupujte podle pokynů v části Přiřazení oprávnění na úrovni sdílené složky identitě. Cloudové identity lze přiřadit pouze výchozí oprávnění na úrovni sdílení, které platí pro všechny ověřené identity.

Konfigurace oprávnění na úrovni adresáře a souboru

Jakmile jsou oprávnění na úrovni sdílené složky zavedena, můžete uživateli nebo skupině přiřadit Windows ACL (oprávnění na úrovni adresáře/souboru). U hybridních identit to vyžaduje použití zařízení s nempedovaným síťovým připojením k místní službě AD.

Pokud chcete nakonfigurovat oprávnění na úrovni adresáře a souborů, postupujte podle pokynů v tématu Konfigurace oprávnění adresáře a souborů přes protokol SMB.

Nakonfigurujte klienty pro získání ticketů Kerberos

Povolte funkci protokolu Microsoft Entra Kerberos na klientských počítačích, ze které chcete připojit nebo použít sdílené složky Azure. Musíte to udělat u každého klienta, na kterém se budou používat soubory Azure.

Použijte jednu z následujících tří metod:

Intune

Nakonfigurujte CSP zásad Intune a použijte jej pro klienty: Kerberos/CloudKerberosTicketRetrievalEnabled, nastaveno na hodnotu 1.

Poznámka:

Při konfiguraci CloudKerberosTicketRetrievalEnabled přes Intune místo metody OMA-URI použijte katalog nastavení .
Metoda OMA-URI nefunguje na zařízeních Azure Virtual Desktop (AVD) s více relacemi. Multi-session AVD je běžný scénář nasazení pro Entra Kerberos s hybridními identitami, včetně konfigurací zahrnujících připojení k Entra ID, FSLogix a Azure Files.

Zásady skupiny

Nakonfigurujte tuto zásadu skupiny na klientech na Povoleno: Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

Ve starších verzích Windows se toto nastavení bude volat: Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon

Toto nastavení umožňuje klientovi během přihlášení uživatele načíst cloudový Kerberos Ticket Granting Ticket (TGT).

Klíč registru

Nastavte následující hodnotu registru na klientech spuštěním tohoto příkazu z příkazového řádku se zvýšenými oprávněními:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

Změny nejsou okamžité a pro jejich projevení je třeba aktualizovat zásady nebo restartovat systém.

Důležité

Po použití této změny se klienti nebudou moct připojit k účtům úložiště nakonfigurovaným pro místní integraci služby AD DS bez konfigurace mapování sfér protokolu Kerberos. Pokud chcete, aby se klienti mohli připojit k účtům úložiště nakonfigurovaným pro SLUŽBU AD DS i účtům úložiště nakonfigurovaným pro Microsoft Entra Kerberos, postupujte podle kroků v tématu Konfigurace koexistence s účty úložiště pomocí místní služby AD DS.

Konfigurace koexistence s účty úložiště pomocí místní služby AD DS

Pokud chcete klientským počítačům povolit připojení k účtům úložiště nakonfigurovaným pro službu AD DS a účtům úložiště nakonfigurovaným pro Protokol Microsoft Entra Kerberos, postupujte podle těchto kroků. Pokud používáte pouze Microsoft Entra Kerberos, přeskočte tuto část.

Přidejte položku pro každý účet úložiště, který používá místní integraci služby AD DS. Ke konfiguraci mapování sfér Protokolu Kerberos použijte jednu z následujících tří metod. Změny nejsou okamžité a pro jejich projevení je třeba aktualizovat zásady nebo restartovat systém.

Intune

Nakonfigurujte tohoto poskytovatele zásad Intune CSP a použijte ho na klienty: Kerberos/HostToRealm.

Zásady skupiny

Nakonfigurujte tuto zásadu skupiny na klientech: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings

• Nastavte zásady na Enabled
• Poté klikněte na tlačítko Show... a definujte seznam mapování názvů hostitelů na sféru. Pro každý účet úložiště nakonfigurovaný pro službu AD DS přidejte položku, kde:
  • Value je název hostitele účtu úložiště s povolenou službou AD DS, tj. <your storage account name>.file.core.windows.net
  • Value name je název domény služby AD DS.

Klíč registru

Na klientech spusťte následující ksetup příkaz Windows:

ksetup /addhosttorealmmap <hostname> <REALMNAME>

Pokud je například vaše sféra CONTOSO.LOCAL, spusťte příkaz ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

Důležité

U Kerberosu jsou názvy oblastí citlivé na velikost písmen a musí být psány velkými písmeny. Název sféry Kerberos je obvykle stejný jako název vaší domény, a to velkými písmeny.

Vrátit konfiguraci klienta ke získání lístků Kerberos

Pokud už nechcete používat klientský počítač pro ověřování Microsoft Entra Kerberos, můžete na daném počítači zakázat funkce protokolu Microsoft Entra Kerberos. V závislosti na tom, jak jste funkci povolili, použijte jednu z následujících tří metod:

Intune

Nakonfigurujte tuto zásadu CSP zásad Intune a použijte ji pro klienty: Kerberos/CloudKerberosTicketRetrievalEnabled, nastavte na hodnotu 0.

Zásady skupiny

Nakonfigurujte tuto zásadu skupiny na klientovi/klientech na Zakázáno: Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

Klíč registru

Nastavte následující hodnotu registru na klientech spuštěním tohoto příkazu z příkazového řádku se zvýšenými oprávněními:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0

Změny nejsou okamžité a pro jejich projevení je třeba aktualizovat zásady nebo restartovat systém.

Pokud jste postupovali podle kroků v Konfigurace koexistence s účty úložiště pomocí místní služby AD DS, můžete případně z klientského počítače odebrat všechna mapování názvů hostitelů na domény Kerberos. Použijte jednu z následujících tří metod:

Intune

Nakonfigurujte tohoto poskytovatele zásad Intune CSP a použijte ho na klienty: Kerberos/HostToRealm.

Zásady skupiny

Nakonfigurujte tuto zásadu skupiny na klientech: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings

Klíč registru

Na klientech spusťte následující ksetup příkaz Windows:

ksetup /delhosttorealmmap <hostname> <realmname>

Pokud je například vaše sféra CONTOSO.LOCAL, spusťte příkaz ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

Seznam aktuálních názvů hostitelů na mapování sfér Kerberos můžete zobrazit kontrolou klíče HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealmregistru .

Změny nejsou okamžité a pro jejich projevení je třeba aktualizovat zásady nebo restartovat systém.

Důležité

Po použití této změny se klienti nebudou moct připojit k účtům úložiště nakonfigurovaným pro ověřování Microsoft Entra Kerberos. Budou se ale moct připojit k účtům úložiště nakonfigurovaným pro službu AD DS bez jakékoli další konfigurace.

Zakázání ověřování Microsoft Entra na účtu úložiště

Pokud chcete použít jinou metodu ověřování, můžete ve svém účtu úložiště zakázat ověřování Microsoft Entra pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI.

Poznámka:

Zakázání této funkce znamená, že pro sdílené složky ve vašem účtu úložiště nebude existovat přístup založený na identitě, dokud nepovolíte a nenakonfigurujete jeden z dalších zdrojů identit.

Portál

Pokud chcete ve svém účtu úložiště zakázat ověřování Microsoft Entra Kerberos pomocí webu Azure Portal, postupujte takto.

1. Přihlaste se k webu Azure Portal a vyberte účet úložiště, pro který chcete zakázat ověřování Microsoft Entra Kerberos.
2. V části Úložiště dat vyberte Sdílené složky.
3. Vedle přístupu na základě identity vyberte stav konfigurace.
4. V části Microsoft Entra Kerberos vyberte Konfigurovat.
5. Zrušte zaškrtnutí políčka Microsoft Entra Kerberos.
6. Zvolte Uložit.

Azure PowerShell

Pokud chcete ve svém účtu úložiště zakázat ověřování Microsoft Entra Kerberos pomocí Azure PowerShellu, spusťte následující příkaz. Nezapomeňte nahradit zástupné hodnoty, včetně závorek, vašimi hodnotami.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $false

Azure CLI

Pokud chcete ve svém účtu úložiště zakázat ověřování Microsoft Entra Kerberos pomocí Azure CLI, spusťte následující příkaz. Nezapomeňte nahradit zástupné hodnoty, včetně závorek, vašimi hodnotami.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb false

Ladění

V případě potřeby můžete spuštěním rutiny Debug-AzStorageAccountAuth provést sadu základních kontrol konfigurace ID Microsoft Entra s přihlášeným uživatelem Entra ID. Kontroly Microsoft Entra, které jsou součástí této rutiny, jsou podporovány ve verzi AzFilesHybrid v0.3.0+ . Tato rutina se vztahuje na ověřování pomocí Microsoft Entra Kerberos a AD DS, ale nefunguje pro účty úložiště, kde je povolena služba Microsoft Entra Domain Services. Další informace o kontrolách provedených v této rutině najdete v tématu Nelze připojit sdílené složky Azure pomocí Microsoft Entra Kerberos.

Další kroky

• Připojit sdílenou složku Azure
• Potenciální chyby při povolování ověřování protokolem Kerberos Microsoft Entra
• Vytvoření kontejneru profilu se službou Azure Files a ID Microsoft Entra