Povolení ověřování Microsoft Entra Kerberos pro hybridní identity ve službě Azure Files

  • Článek

Tento článek se zaměřuje na povolení a konfiguraci MICROSOFT Entra ID (dříve Azure AD) pro ověřování hybridních identit uživatelů, což jsou místní identity SLUŽBY AD DS, které se synchronizují s Microsoft Entra ID. Cloudové identity se v současné době nepodporují.

Tato konfigurace umožňuje hybridnímuživatelům službám Azure přistupovat ke sdíleným složkám Azure pomocí ověřování protokolem Kerberos pomocí protokolu Kerberos. To znamená, že koncoví uživatelé mají přístup ke sdíleným složkám Azure přes internet, aniž by museli bez omezení síťového připojení k řadičům domény z hybridního připojení Microsoft Entra a klientů připojených k Microsoft Entra. Konfigurace seznamů řízení přístupu systému Windows (ACL) nebo adresářů a oprávnění na úrovni souborů pro uživatele nebo skupinu však vyžaduje jednomped síťové připojení k místnímu řadiči domény.

Další informace o podporovaných možnostech a důležitých informacích najdete v tématu Přehled možností ověřování založeného na identitě služby Azure Files pro přístup k protokolu SMB. Další informace najdete v tomto podrobném článku.

Důležité

Pro ověřování na základě identity se službou Azure Files můžete použít pouze jednu metodu AD. Pokud ověřování microsoft Entra Kerberos pro hybridní identity nevyhovuje vašim požadavkům, můžete místo toho použít službu místní Active Directory Domain Service (AD DS) nebo Microsoft Entra Domain Services. Kroky konfigurace a podporované scénáře se pro každou metodu liší.

Platí pro

Typ sdílené složky SMB NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS Yes No
Sdílené složky úrovně Standard (GPv2), GRS/GZRS Yes No
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS Yes No

Požadavky

Než povolíte ověřování Microsoft Entra Kerberos přes protokol SMB pro sdílené složky Azure, ujistěte se, že jste dokončili následující požadavky.

Poznámka:

Váš účet úložiště Azure se nemůže ověřit pomocí ID Microsoft Entra a druhé metody, jako je AD DS nebo Microsoft Entra Domain Services. Pokud jste už pro svůj účet úložiště zvolili jinou metodu AD, musíte ji před povolením protokolu Microsoft Entra Kerberos zakázat.

Funkce protokolu Microsoft Entra Kerberos pro hybridní identity je k dispozici pouze v následujících operačních systémech:

Informace o vytvoření a konfiguraci virtuálního počítače s Windows a přihlášení pomocí ověřování založeného na ID Microsoftu najdete v tématu Přihlášení k virtuálnímu počítači s Windows v Azure pomocí ID Microsoft Entra.

Klienti musí být připojení k microsoftu Entra nebo hybridní připojení Microsoft Entra. Protokol Microsoft Entra Kerberos není podporován u klientů připojených k Microsoft Entra Domain Services nebo připojených pouze k AD.

Tato funkce v současné době nepodporuje uživatelské účty, které vytváříte a spravujete výhradně v Microsoft Entra ID. Uživatelské účty musí být hybridní identity uživatelů, což znamená, že budete potřebovat službu AD DS a microsoft Entra Připojení nebo Microsoft Entra Připojení cloudovou synchronizaci. Tyto účty musíte vytvořit ve službě Active Directory a synchronizovat je s ID Microsoft Entra. Pokud chcete přiřadit oprávnění řízení přístupu na základě role (RBAC) pro sdílenou složku Azure ke skupině uživatelů, musíte skupinu vytvořit ve službě Active Directory a synchronizovat ji s ID Microsoft Entra.

Tato funkce v současné době nepodporuje přístup mezi tenanty pro uživatele B2B nebo uživatele typu host. Uživatelé z jiného tenanta Entra než z nakonfigurovaného tenanta nebudou mít přístup ke sdílené složce.

V aplikaci Microsoft Entra představující účet úložiště musíte zakázat vícefaktorové ověřování (MFA).

S protokolem Microsoft Entra Kerberos je šifrování lístku Kerberos vždy AES-256. Můžete ale nastavit šifrování kanálu SMB, které nejlépe vyhovuje vašim potřebám.

Regionální dostupnost

Tato funkce je podporovaná v cloudech Azure Public, Azure US Gov a Azure China 21Vianet.

Povolení ověřování microsoft Entra Kerberos pro hybridní uživatelské účty

Ověřování Microsoft Entra Kerberos ve službě Azure Files můžete povolit pro hybridní uživatelské účty pomocí webu Azure Portal, PowerShellu nebo Azure CLI.

Pokud chcete povolit ověřování Microsoft Entra Kerberos pomocí webu Azure Portal, postupujte takto.

  1. Přihlaste se k webu Azure Portal a vyberte účet úložiště, pro který chcete povolit ověřování microsoft Entra Kerberos.

  2. V části Úložiště dat vyberte Sdílené složky.

  3. Vedle služby Active Directory vyberte stav konfigurace (například Nenakonfigurováno).

    Snímek obrazovky webu Azure Portal zobrazující nastavení sdílené složky pro účet úložiště Jsou vybrána nastavení konfigurace služby Active Directory.

  4. V části Microsoft Entra Kerberos vyberte Nastavit.

  5. Zaškrtněte políčko Microsoft Entra Kerberos .

    Snímek obrazovky webu Azure Portal zobrazující nastavení konfigurace služby Active Directory pro účet úložiště Je vybrána možnost Microsoft Entra Kerberos.

  6. Volitelné: Pokud chcete nakonfigurovat oprávnění na úrovni adresáře a souboru prostřednictvím windows Průzkumník souborů, musíte zadat název domény a identifikátor GUID domény pro místní službu AD. Tyto informace můžete získat od správce domény nebo spuštěním následující rutiny Prostředí Active Directory PowerShell z místního klienta připojeného k AD: Get-ADDomain Název vaší domény by měl být uvedený ve výstupu DNSRoot pod položkou a váš identifikátor GUID domény by měl být uvedený v části ObjectGUID. Pokud byste raději pomocí seznamu icacls nakonfigurovali oprávnění adresáře a souboru, můžete tento krok přeskočit. Pokud ale chcete použít icacls, klient bude potřebovat nešimnuté síťové připojení k místní službě AD.

  7. Zvolte Uložit.

Upozorňující

Pokud jste dříve povolili ověřování protokolem Microsoft Entra Kerberos prostřednictvím ručních kroků ve verzi Preview pro ukládání profilů FSLogix na virtuálních počítačích připojených k Microsoft Entra, heslo instančního objektu účtu úložiště vyprší každých šest měsíců. Po vypršení platnosti hesla uživatelé nebudou moct získat lístky Kerberos do sdílené složky. Pokud chcete tento problém zmírnit, přečtěte si téma Chyba – Platnost hesla instančního objektu vypršela v Microsoft Entra ID v části Potenciální chyby při povolování ověřování protokolem Kerberos Microsoft Entra pro hybridní uživatele.

Po povolení ověřování Microsoft Entra Kerberos budete muset explicitně udělit souhlas správce s novou aplikací Microsoft Entra zaregistrovanou ve vašem tenantovi Microsoft Entra. Tento instanční objekt se automaticky vygeneruje a nepoužívá se k autorizaci sdílené složky, takže neprodávejte žádné úpravy instančního objektu, který je zde zdokumentovaný. Pokud to uděláte, může se zobrazit chyba.

Oprávnění rozhraní API můžete nakonfigurovat na webu Azure Portal pomocí následujícího postupu:

  1. Otevřete Microsoft Entra ID.

  2. V levém podokně vyberte Registrace aplikací.

  3. Vyberte Všechny aplikace.

    Snímek obrazovky webu Azure Portal Id Microsoft Entra je otevřené. Registrace aplikací je vybrán v levém podokně. V pravém podokně jsou zvýrazněné všechny aplikace.

  4. Vyberte aplikaci s odpovídajícím názvem [Účet úložiště] <your-storage-account-name>.file.core.windows.net.

  5. V levém podokně vyberte oprávnění rozhraní API.

  6. Výběrem možnosti Udělit souhlas správce pro [Název adresáře] udělte souhlas pro tři požadovaná oprávnění rozhraní API (openid, profile a User.Read) pro všechny účty v adresáři.

  7. Potvrďte výběrem možnosti Ano.

Důležité

Pokud se připojujete k účtu úložiště prostřednictvím privátního koncového bodu nebo privátního propojení pomocí ověřování Microsoft Entra Kerberos, budete také muset přidat plně kvalifikovaný název domény privátního propojení do aplikace Microsoft Entra účtu úložiště. Pokyny najdete v našem průvodci odstraňováním potíží.

Zakázání vícefaktorového ověřování v účtu úložiště

Protokol Microsoft Entra Kerberos nepodporuje přístup ke sdíleným složkám Azure nakonfigurovaným protokolem Microsoft Entra Kerberos pomocí vícefaktorového ověřování. Pokud se vztahují na všechny aplikace, musíte vyloučit aplikaci Microsoft Entra představující váš účet úložiště ze zásad podmíněného přístupu vícefaktorového ověřování.

Aplikace účtu úložiště by měla mít stejný název jako účet úložiště v seznamu vyloučení podmíněného přístupu. Při hledání aplikace účtu úložiště v seznamu vyloučení podmíněného přístupu vyhledejte: [Účet úložiště] <your-storage-account-name>.file.core.windows.net

Nezapomeňte nahradit <your-storage-account-name> správnou hodnotou.

Důležité

Pokud zásady vícefaktorového ověřování z aplikace účtu úložiště nevyloučíte, nebudete mít přístup ke sdílené složce. Při pokusu o mapování sdílené složky pomocí net use se zobrazí chybová zpráva "Systémová chyba 1327: Omezení účtu brání tomuto uživateli v přihlášení. Například: Prázdná hesla nejsou povolená, časy přihlášení jsou omezené nebo se vynutí omezení zásad.

Pokyny k zakázání vícefaktorového ověřování najdete v následujících tématech:

Přiřazení oprávnění na úrovni sdílené složky

Když povolíte přístup založený na identitě, můžete nastavit pro každou sdílenou složku, ke které mají uživatelé a skupiny přístup k dané konkrétní sdílené složce. Jakmile se uživatel povolí do sdílené složky, převezmou seznamy ACL systému Windows (označované také jako oprávnění NTFS) u jednotlivých souborů a adresářů. To umožňuje jemně odstupňovanou kontrolu nad oprávněními, podobně jako sdílená složka SMB na windows serveru.

Pokud chcete nastavit oprávnění na úrovni sdílené složky, postupujte podle pokynů v části Přiřazení oprávnění na úrovni sdílené složky identitě.

Konfigurace oprávnění na úrovni adresáře a souboru

Jakmile jsou oprávnění na úrovni sdílené složky nastavená, můžete uživateli nebo skupině přiřadit oprávnění na úrovni adresáře nebo souboru. To vyžaduje použití zařízení s nempedovaným síťovým připojením k místní službě AD. Pokud chcete používat Windows Průzkumník souborů, musí být zařízení připojené také k doméně.

Existují dvě možnosti konfigurace oprávnění na úrovni adresáře a souborů pomocí ověřování Microsoft Entra Kerberos:

  • Windows Průzkumník souborů: Pokud zvolíte tuto možnost, musí být klient připojený k místní službě AD připojené k doméně.
  • Nástroj icacls: Pokud zvolíte tuto možnost, klient nemusí být připojený k doméně, ale potřebuje nevýšené síťové připojení k místní službě AD.

Pokud chcete nakonfigurovat oprávnění na úrovni adresáře a souborů prostřednictvím windows Průzkumník souborů, musíte také zadat název domény a identifikátor GUID domény pro místní službu AD. Tyto informace můžete získat od správce domény nebo od místního klienta připojeného k AD. Pokud dáváte přednost konfiguraci pomocí seznamu icacls, tento krok se nevyžaduje.

Důležité

Pro identity, které se nesynchronizují s ID Microsoft Entra, můžete nastavit seznamy ACL na úrovni souboru nebo adresáře. Tyto seznamy ACL se ale nebudou vynucovat, protože lístek Kerberos použitý pro ověřování nebo autorizaci nebude obsahovat tyto nesynchronované identity. Aby bylo možné vynutit nastavení seznamů ACL, musí se identity synchronizovat s ID Microsoft Entra.

Tip

Pokud budou uživatelé hybridního připojení Microsoft Entra ze dvou různých doménových struktur přistupovat ke sdílené složce, je nejlepší použít seznam icacls ke konfiguraci oprávnění na úrovni adresáře a souborů. Důvodem je to, že konfigurace seznamu ACL systému Windows Průzkumník souborů vyžaduje, aby byl klient připojený k doméně služby Active Directory, ke které je účet úložiště připojený.

Pokud chcete nakonfigurovat oprávnění na úrovni adresáře a souborů, postupujte podle pokynů v tématu Konfigurace oprávnění adresáře a souborů přes protokol SMB.

Konfigurace klientů pro načtení lístků Kerberos

Povolte funkci protokolu Microsoft Entra Kerberos na klientských počítačích, ze které chcete připojit nebo použít sdílené složky Azure. Musíte to udělat u každého klienta, na kterém se budou používat soubory Azure.

Použijte jednu z následujících tří metod:

  • Nakonfigurujte tohoto poskytovatele CSP zásad Intune a použijte ho pro klienty: Kerberos/CloudKerberosTicketRetrievalEnabled, nastaveno na hodnotu 1.
  • Nakonfigurujte tuto zásadu skupiny na klientech na Povoleno: Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
  • Nastavte následující hodnotu registru na klientech spuštěním tohoto příkazu z příkazového řádku se zvýšenými oprávněními: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

Změny nejsou okamžité a aby se projevila aktualizace zásad nebo restartování.

Důležité

Po použití této změny se klienti nebudou moct připojit k účtům úložiště nakonfigurovaným pro místní integraci služby AD DS bez konfigurace mapování sfér protokolu Kerberos. Pokud chcete, aby se klienti mohli připojit k účtům úložiště nakonfigurovaným pro SLUŽBU AD DS i účtům úložiště nakonfigurovaným pro Microsoft Entra Kerberos, postupujte podle kroků v tématu Konfigurace koexistence s účty úložiště pomocí místní služby AD DS.

Konfigurace koexistence s účty úložiště pomocí místní služby AD DS

Pokud chcete klientským počítačům povolit připojení k účtům úložiště nakonfigurovaným pro službu AD DS a účtům úložiště nakonfigurovaným pro Protokol Microsoft Entra Kerberos, postupujte podle těchto kroků. Pokud používáte pouze Microsoft Entra Kerberos, přeskočte tuto část.

Přidejte položku pro každý účet úložiště, který používá místní integraci služby AD DS. Ke konfiguraci mapování sfér Protokolu Kerberos použijte jednu z následujících tří metod. Změny nejsou okamžité a aby se projevila aktualizace zásad nebo restartování.

  • Nakonfigurujte tohoto poskytovatele CSP zásad Intune a použijte ho pro klienty: Kerberos/HostToRealm.
  • Nakonfigurujte tuto zásadu skupiny na klientech: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings
  • ksetup Na klientech spusťte příkaz Windows:ksetup /addhosttorealmmap <hostname> <REALMNAME>
    • Například ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

Důležité

V protokolu Kerberos se v názvech sfér rozlišují malá a velká písmena. Název sféry Kerberos je obvykle stejný jako název vaší domény, a to velkými písmeny.

Vrácení konfigurace klienta za účelem načtení lístků Kerberos

Pokud už nechcete používat klientský počítač pro ověřování Microsoft Entra Kerberos, můžete na daném počítači zakázat funkce protokolu Microsoft Entra Kerberos. V závislosti na tom, jak jste funkci povolili, použijte jednu z následujících tří metod:

  • Nakonfigurujte tohoto poskytovatele CSP zásad Intune a použijte ho pro klienty: Kerberos/CloudKerberosTicketRetrievalEnabled, nastaveno na hodnotu 0.
  • Nakonfigurujte tuto zásadu skupiny na klientech na Zakázáno: Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
  • Nastavte následující hodnotu registru na klientech spuštěním tohoto příkazu z příkazového řádku se zvýšenými oprávněními: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0

Změny nejsou okamžité a aby se projevila aktualizace zásad nebo restartování.

Pokud jste postupovali podle kroků v konfiguraci koexistence s účty úložiště pomocí místní služby AD DS, můžete z klientského počítače volitelně odebrat všechny názvy hostitelů na mapování sfér Kerberos. Použijte jednu z následujících tří metod:

  • Nakonfigurujte tohoto poskytovatele CSP zásad Intune a použijte ho pro klienty: Kerberos/HostToRealm.
  • Nakonfigurujte tuto zásadu skupiny na klientech: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings
  • ksetup Na klientech spusťte příkaz Windows:ksetup /delhosttorealmmap <hostname> <realmname>
    • Například ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net contoso.local
    • Seznam aktuálních názvů hostitelů na mapování sfér Kerberos můžete zobrazit kontrolou klíče HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealmregistru .

Změny nejsou okamžité a aby se projevila aktualizace zásad nebo restartování.

Důležité

Po použití této změny se klienti nebudou moct připojit k účtům úložiště nakonfigurovaným pro ověřování Microsoft Entra Kerberos. Budou se ale moct připojit k účtům úložiště nakonfigurovaným pro službu AD DS bez jakékoli další konfigurace.

Zakázání ověřování Microsoft Entra ve vašem účtu úložiště

Pokud chcete použít jinou metodu ověřování, můžete ve svém účtu úložiště zakázat ověřování Microsoft Entra pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI.

Poznámka:

Zakázání této funkce znamená, že pro sdílené složky ve vašem účtu úložiště nebude existovat žádná konfigurace služby Active Directory, dokud neumožníte některému z ostatních zdrojů služby Active Directory obnovit konfiguraci služby Active Directory.

Pokud chcete ve svém účtu úložiště zakázat ověřování Microsoft Entra Kerberos pomocí webu Azure Portal, postupujte takto.

  1. Přihlaste se k webu Azure Portal a vyberte účet úložiště, pro který chcete zakázat ověřování Microsoft Entra Kerberos.
  2. V části Úložiště dat vyberte Sdílené složky.
  3. Vedle služby Active Directory vyberte stav konfigurace.
  4. V části Microsoft Entra Kerberos vyberte Konfigurovat.
  5. Zrušte zaškrtnutí políčka Microsoft Entra Kerberos.
  6. Zvolte Uložit.

Další kroky

Další informace najdete v těchto zdrojích: