Sdílet prostřednictvím

Přístup ke svazkům SMB z virtuálních počítačů s Windows připojených k Microsoft Entra

  • Článek

K ověření přihlašovacích údajů v hybridním cloudu můžete použít ID Microsoft Entra s modulem Správa hybridního ověřování. Toto řešení umožňuje microsoftu Entra ID stát se důvěryhodným zdrojem pro cloudové i místní ověřování a obejít potřebu klientů připojujících se ke službě Azure NetApp Files pro připojení k místní doméně AD.

Poznámka:

Použití ID Microsoft Entra pro ověřování identit hybridních uživatelů umožňuje uživatelům Microsoft Entra přístup ke sdíleným složkám SMB služby Azure NetApp Files. To znamená, že koncoví uživatelé mají přístup ke sdíleným složkám SMB služby Azure NetApp Files, aniž by museli mít přehled o řadičích domény z hybridního připojení Microsoft Entra a virtuálních počítačů připojených k Microsoft Entra. Cloudové identity se v současné době nepodporují. Další informace najdete v tématu Vysvětlení pokynů pro návrh a plánování webu Doména služby Active Directory Services.

Diagram of SMB volume joined to Microsoft Entra ID.

Požadavky a důležité informace

  • Svazky NFS služby Azure NetApp Files a svazky NFSv4.1 a SMB se nepodporují.

  • Podporují se svazky NFSv3 a SMB se dvěma protokoly se stylem zabezpečení NTFS.

  • Musíte mít nainstalovaný a nakonfigurovaný Microsoft Entra Připojení k synchronizaci uživatelů služby AD DS s Microsoft Entra ID. Další informace naleznete v tématu Začínáme s Microsoft Entra Připojení pomocí expresního nastavení.

    Ověřte, že se hybridní identity synchronizují s uživateli Microsoft Entra. Na webu Azure Portal v části Microsoft Entra ID přejděte na Uživatelé. Měli byste vidět, že jsou uvedené uživatelské účty ze služby AD DS a vlastnost, povolená místní synchronizace zobrazuje ano.

    Poznámka:

    Po počáteční konfiguraci Microsoft Entra Připojení, když přidáte nového uživatele služby AD DS, musíte spustit Start-ADSyncSyncCycle příkaz v Správa istrator PowerShellu, aby se nový uživatel synchronizoval s Microsoft Entra ID nebo počkejte na naplánovanou synchronizaci.

  • Musíte mít vytvořený svazek SMB pro Azure NetApp Files.

  • Musíte mít virtuální počítač s Windows s povoleným přihlášením Microsoft Entra. Další informace naleznete v tématu Přihlášení k virtuálnímu počítači s Windows v Azure pomocí Microsoft Entra ID. Nezapomeňte nakonfigurovat přiřazení rolí pro virtuální počítač a určit, které účty se můžou k virtuálnímu počítači přihlásit.

  • Dns musí být správně nakonfigurovaný, aby klientský virtuální počítač měl přístup ke svazkům Azure NetApp Files přes plně kvalifikovaný název domény (FQDN).

Kroky

Proces konfigurace vás provede pěti procesy:

  • Přidání hlavního názvu služby CIFS do účtu počítače
  • Registrace nové aplikace Microsoft Entra
  • Synchronizace hesla CIFS ze služby AD DS do registrace aplikace Microsoft Entra
  • Konfigurace virtuálního počítače připojeného k Microsoft Entra pro použití ověřování protokolem Kerberos
  • Připojení svazků SMB služby Azure NetApp Files

Přidání hlavního názvu služby CIFS do účtu počítače

  1. Na řadiči domény služby AD DS otevřete Uživatelé a počítače služby Active Directory.
  2. V nabídce Zobrazit vyberte Rozšířené funkce.
  3. V části Počítače klikněte pravým tlačítkem myši na účet počítače vytvořený jako součást svazku Azure NetApp Files a pak vyberte Vlastnosti.
  4. V části Editor atributů vyhledejte servicePrincipalName. V editoru řetězců s více hodnotami přidejte hodnotu SPN CIFS pomocí formátu CIFS/FQDN.

Screenshot of multi-value string editor window.

Registrace nové aplikace Microsoft Entra

  1. Na webu Azure Portal přejděte na MICROSOFT Entra ID. Vyberte Registrace aplikací.
  2. Vyberte + Nová registrace.
  3. Přiřaďte název. V části Vyberte typ podporovaného účtu, zvolte Účty pouze v tomto organizačním adresáři (jeden tenant).
  4. Vyberte Zaregistrovat.

Screenshot to register application.

  1. Nakonfigurujte oprávnění pro aplikaci. V registraci aplikací vyberte Oprávnění rozhraní API a pak přidejte oprávnění.

  2. Vyberte Microsoft Graph a pak delegovaná oprávnění. V části Vybrat oprávnění vyberte openid a profil v části Oprávnění OpenId.

    Screenshot to register API permissions.

  3. Vyberte Přidat oprávnění.

  4. V části Oprávnění rozhraní API vyberte Udělit souhlas správce pro....

    Screenshot to grant API permissions.

  5. V části Ověřování v části Zámek vlastností instance aplikace vyberte Konfigurovat a zrušte zaškrtnutí políčka Povolit zámek vlastnosti.

    Screenshot of app registrations.

  6. V přehledu si poznamenejte ID aplikace (klienta), které se vyžaduje později.

Synchronizace hesla CIFS ze služby AD DS do registrace aplikace Microsoft Entra

  1. V řadiči domény služby AD DS otevřete PowerShell.

  2. Nainstalujte modul Hybrid Authentication Management pro synchronizaci hesel.

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. Definujte následující proměnné:

    • $servicePrincipalName: Podrobnosti hlavního názvu služby (SPN) z připojení svazku Azure NetApp Files. Použijte formát CIFS/FQDN. Příklad: CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID: ID aplikace (klienta) aplikace Microsoft Entra.
    • $domainCred: použití Get-Credential (mělo by to být správce domény služby AD DS)
    • $cloudCred: použití Get-Credential (mělo by to být globální Správa istrator Microsoft Entra)
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    Poznámka:

    Příkaz Get-Credential zahájí automaticky otevírané okno, kde můžete zadat přihlašovací údaje.

  4. Import podrobností CIFS do Microsoft Entra ID:

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

Konfigurace virtuálního počítače připojeného k Microsoft Entra pro použití ověřování protokolem Kerberos

  1. Přihlaste se k virtuálnímu počítači připojenému k Microsoft Entra pomocí hybridních přihlašovacích údajů s právy správce (například: user@mydirectory.onmicrosoft.com).

  2. Konfigurace virtuálního počítače:

    1. Přejděte do části Upravit konfiguraci> počítače zásad>skupiny Správa istrativní šablony>systému>Kerberos.
    2. Povolit načtení lístku Microsoft Entra Kerberos Udělení lístku při přihlášení.
    3. Povolte mapování názvů hostitelů na sféru Kerberos. Vyberte Zobrazit a zadejte název hodnoty a hodnotu s použitím názvu domény, kterému předchází tečka. Příklad:
      • Název hodnoty: KERBEROS.MICROSOFTONLINE.COM
      • Hodnota: .contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

Připojení svazků SMB služby Azure NetApp Files

  1. Přihlaste se k virtuálnímu počítači připojenému k Microsoft Entra pomocí účtu hybridní identity synchronizovaného ze služby AD DS.

  2. Připojte svazek SMB služby Azure NetApp Files pomocí informací uvedených na webu Azure Portal. Další informace najdete v tématu Připojení svazků SMB pro virtuální počítače s Windows.

  3. Ověřte, že připojený svazek používá ověřování Kerberos, a ne ověřování NTLM. Otevřete příkazový řádek, spusťte klist příkaz; sledujte výstup v cloudu TGT (krbtgt) a informace o lístku serveru CIFS.

    Screenshot of CLI output.

Další informace