Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: ✔️ SMB Azure-Dateifreigaben
Azure Files unterstützt die identitätsbasierte Authentifizierung für Windows-Dateifreigaben über Server Message Block (SMB) mithilfe des Kerberos-Authentifizierungsprotokolls mit den folgenden Methoden:
- Lokale Active Directory Domänendienste (AD DS)
- Microsoft Entra Domain Services
- Microsoft Entra Kerberos für Hybridbenutzeridentitäten
Dieser Artikel konzentriert sich auf das Aktivieren von Microsoft Entra Domain Services (ehemals Azure Active Directory Domain Services) für die identitätsbasierte Authentifizierung mit Azure-Dateifreigaben. In diesem Authentifizierungsszenario sind Microsoft Entra-Anmeldeinformationen und Microsoft Entra Domain Services-Anmeldeinformationen identisch, und Sie können sie austauschbar verwenden.
Es wird dringend empfohlen, den Abschnitt „Funktionsweise“ zu lesen, um die richtige AD-Quelle für Ihr Speicherkonto auswählen. Die Einrichtung unterscheidet sich je nach der von Ihnen gewählten AD-Quelle.
Wenn Sie mit Azure Files noch nicht vertraut sind, empfehlen wir, unser Planungshandbuch zu lesen, bevor Sie diesen Artikel lesen.
Hinweis
Azure Files unterstützt die Kerberos-Authentifizierung mit Microsoft Entra Domain Services mit RC4-HMAC- und AES 256-Verschlüsselung. Wir empfehlen die Verwendung von AES-256.
Azure Files unterstützt die Authentifizierung für Microsoft Entra Domain Services mit vollständiger oder teilweiser (bereichsbezogener) Synchronisierung mit Microsoft Entra ID. Für Umgebungen mit bereichsbezogener Synchronisierung sollten Administratoren beachten, dass Azure Files nur Azure RBAC-Rollenzuweisungen berücksichtigt, die den Prinzipalen gewährt werden, die synchronisiert werden. Rollenzuweisungen, die Identitäten betreffen, die nicht von Microsoft Entra ID mit Microsoft Entra Domain Services synchronisiert sind, werden vom Azure Files-Dienst ignoriert.
Voraussetzungen
Bevor Sie Microsoft Entra Domain Services über SMB für Azure-Dateifreigaben aktivieren, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
Wählen Sie einen Microsoft Entra-Mandanten aus, oder erstellen Sie einen.
Sie können einen neuen oder einen bereits vorhandenen Mandanten verwenden. Der Mandant und die Dateifreigabe, auf die Sie zugreifen möchten, müssen demselben Abonnement zugeordnet sein.
Sie können einen Mandanten und ein Abonnement von Microsoft Entra hinzufügen, um einen neuen Microsoft Entra-Mandanten zu erstellen. Wenn Sie über einen vorhandenen Microsoft Entra-Mandanten verfügen, jedoch einen neuen Mandanten für die Verwendung mit Azure-Dateifreigaben erstellen möchten, finden Sie weitere Informationen unter Erstellen eines Microsoft Entra-Mandanten.
Erstellen Sie eine Microsoft Entra Domain Services-Instanz im Microsoft Entra-Mandanten.
Sie müssen Microsoft Entra Domain Services für Ihren Microsoft Entra-Mandanten aktivieren, um die Authentifizierung mit Microsoft Entra-Anmeldeinformationen zu unterstützen. Wenn Sie nicht der oder die Administrator*in des Microsoft Entra-Mandanten sind, wenden Sie sich an den oder die Administrator*in und folgen dem schrittweisen Leitfaden zum Aktivieren von Microsoft Entra Domain Services mithilfe des Azure-Portals.
Die Bereitstellung von Microsoft Entra Domain Services dauert üblicherweise ungefähr 15 Minuten. Vergewissern Sie sich, dass der Integritätsstatus Ihrer Microsoft Entra Domain Services-Instanz bei aktivierter Kennwort-Hashsynchronisierung Wird ausgeführt anzeigt, bevor Sie mit dem nächsten Schritt fortfahren.
Binden Sie eine VM mit Microsoft Entra Domain Services in eine Domäne ein.
Damit Sie mit Microsoft Entra-Anmeldeinformationen von einer VM auf eine Azure-Dateifreigabe zugreifen können, muss Ihre VM in Microsoft Entra Domain Services in eine Domäne eingebunden sein. Weitere Informationen zum Einbinden in die Domäne eines virtuellen Computers finden Sie unter Einbinden eines virtuellen Windows Server-Computers in eine verwaltete Domäne. Die Microsoft Entra Domain Services-Authentifizierung über SMB mit Azure-Dateifreigaben wird nur auf Windows-VMs mit Betriebssystemversionen über Windows 7 oder Windows Server 2008 R2 oder auf Linux-VMs mit Ubuntu 18.04+ oder einer entsprechenden RHEL- oder SLES-VM unterstützt.
Hinweis
Nicht in die Domäne eingebundene VMs können nur auf Azure-Dateifreigaben zugreifen, wenn sie die Authentifizierung über Microsoft Entra Domain Services verwenden und die VM eine uneingeschränkte Netzwerkverbindung zu den Domänencontrollern von Microsoft Entra Domain Services hat. In der Regel erfordert diese Konnektivität entweder Standort-zu-Standort- oder Point-to-Site-VPN.
Wählen Sie eine SMB Azure-Dateifreigabe aus, oder erstellen Sie sie.
Wählen Sie eine neue oder vorhandene SMB-Azure-Dateifreigabe aus, die demselben Abonnement wie Ihr Microsoft Entra-Mandant zugeordnet ist. Siehe Erstellen einer SMB Azure-Dateifreigabe. Für eine optimale Leistung wird empfohlen, dass sich Ihre Dateifreigabe in derselben Region befindet wie der virtuelle Computer, von dem aus Sie auf die Freigabe zugreifen möchten.
Regionale Verfügbarkeit
Sie können die Azure Files-Authentifizierung mit Microsoft Entra Domain Services in allen Regionen Azure Public, Gov und China verwenden.
Übersicht über den Workflow
Das folgende Diagramm zeigt den End-to-End-Workflow zum Aktivieren der Microsoft Entra Domain Services-Authentifizierung über SMB für Azure Files.
Aktivieren Sie die Microsoft Entra Domain Services-Authentifizierung für Ihr Konto
Zur Aktivierung der Microsoft Entra Domain Services-Authentifizierung über SMB für Azure Files können Sie mit dem Azure-Portal, Azure PowerShell oder der Azure CLI eine Eigenschaft für Speicherkonten festlegen. Wenn Sie diese Eigenschaft festlegen, wird für das Speicherkonto bei der zugehörigen Bereitstellung von Microsoft Entra Domain Services implizit ein Domänenbeitritt durchgeführt. Die Microsoft Entra Domain Services-Authentifizierung über SMB wird dann für alle neuen und bestehenden Dateifreigaben im Speicherkonto aktiviert.
Sie können die Microsoft Entra Domain Services-Authentifizierung über SMB erst aktivieren, nachdem Sie Microsoft Entra Domain Services erfolgreich für Ihren Microsoft Entra-Mandanten bereitgestellt haben. Weitere Informationen finden Sie unter Voraussetzungen.
Führen Sie die folgenden Schritte aus, um die Microsoft Entra Domain Services-Authentifizierung über SMB mit dem Azure-Portal zu aktivieren:
Navigieren Sie im Azure-Portal zu Ihrem vorhandenen Speicherkonto, oder erstellen Sie ein Speicherkonto.
Wählen Sie Datenspeicher>Dateifreigaben aus.
Wählen Sie im Abschnitt Einstellungen für die DateifreigabeIdentitätsbasierter Zugriff: Nicht konfiguriert aus.
Wählen Sie unter "Microsoft Entra Domain Services" die Option "Einrichten" aus, und aktivieren Sie das Feature, indem Sie das Kontrollkästchen aktivieren.
Wählen Sie Speichern.
Empfohlen: Verwenden der AES-256-Verschlüsselung
Standardmäßig verwendet die Microsoft Entra Domain Services-Authentifizierung die Kerberos RC4-Verschlüsselung. Wir empfehlen, die Authentifizierung stattdessen für eine Verwendung der Kerberos AES-256-Verschlüsselung zu konfigurieren, indem Sie die folgenden Schritte ausführen.
Für diese Aktion muss ein Vorgang für die Active Directory-Domäne ausgeführt werden, die von Microsoft Entra Domain Services verwaltet wird, um einen Domänencontroller zu erreichen und eine Eigenschaftsänderung an das Domänenobjekt anzufordern. Die folgenden Cmdlets sind Windows Server Active Directory PowerShell-Cmdlets, nicht Azure PowerShell-Cmdlets. Aufgrund dieser Unterscheidung müssen Sie diese PowerShell-Befehle von einem Clientcomputer ausführen, der mit der Domäne von Microsoft Entra Domain Services verbunden ist.
Wichtig
Die PowerShell-Cmdlets von Windows Server Active Directory in diesem Abschnitt müssen in Windows PowerShell 5.1 auf einem Clientcomputer ausgeführt werden, der in die Microsoft Entra Domain Services-Domäne eingebunden ist. PowerShell 7.x und Azure Cloud Shell funktionieren in diesem Szenario nicht.
Melden Sie sich bei dem in die Domäne eingebundenen Clientcomputer als Microsoft Entra Domain Services-Benutzer mit den erforderlichen Berechtigungen an. Sie benötigen Schreibzugriff auf das msDS-SupportedEncryptionTypes-Attribut des Domänenobjekts. In der Regel verfügen Mitglieder der Gruppe "AAD DC-Administratoren " über die erforderlichen Berechtigungen. Öffnen Sie eine normale PowerShell-Sitzung (ohne erhöhte Rechte), und führen Sie die folgenden Befehle aus:
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= "<InsertStorageAccountNameHere>"
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Wichtig
Wenn Sie bisher die RC4-Verschlüsselung verwendet und das Speicherkonto für die Verwendung von AES-256 aktualisiert haben, führen Sie auf dem Client klist purge aus und stellen dann die Dateifreigabe erneut bereit, um neue Kerberos-Tickets mit AES-256 zu erhalten.
Nächster Schritt
- Um Benutzern Zugriff auf Ihre Dateifreigabe zu gewähren, befolgen Sie die Anweisungen unter Zuweisen von Berechtigungen auf Freigabeebene.