Teilen über


Übersicht – lokale Active Directory Domain Services-Authentifizierung über SMB für Azure-Dateifreigaben

Azure Files unterstützt die identitätsbasierte Authentifizierung für Windows-Dateifreigaben über Server Message Block (SMB) mithilfe des Kerberos-Authentifizierungsprotokolls mit den folgenden Methoden:

  • Lokale Active Directory Domain Services (AD DS)
  • Microsoft Entra Domain Services
  • Microsoft Entra Kerberos für Hybridbenutzerentitäten

Es wird dringend empfohlen, den Abschnitt Funktionsweise zu lesen, damit Sie für die Authentifizierung die richtige AD-Quelle auswählen. Die Einrichtung unterscheidet sich je nach gewähltem Domänendienst. In diesem Artikel wird das Aktivieren und Konfigurieren von lokalen AD DS für die Authentifizierung mit Azure-Dateifreigaben erläutert.

Wenn Sie mit Azure Files noch nicht vertraut sind, empfehlen wir, unser Planungshandbuch zu lesen.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Ja Nein
Standard-Dateifreigaben (GPv2), GRS/GZRS Ja Nein
Premium-Dateifreigaben (FileStorage), LRS/ZRS Ja Nein

Unterstützte Szenarien und Einschränkungen

  • AD DS-Identitäten, die für die lokale AD DS-Authentifizierung in Azure Files verwendet werden, müssen mit Microsoft Entra ID synchronisiert sein oder eine Standardberechtigung auf Freigabeebene verwenden. Kennworthashsynchronisierung ist optional.
  • Unterstützt von Azure-Dateisynchronisierung verwaltete Azure-Dateifreigaben.
  • Unterstützt Kerberos-Authentifizierung mit AD mit AES 256-Verschlüsselung (empfohlen) und RC4-HMAC. AES 128-Kerberos-Verschlüsselung wird noch nicht unterstützt.
  • Unterstützt Einmaliges Anmelden.
  • Wird nur auf Windows-Clients, auf denen die Betriebssystemversionen Windows 8/ Windows Server 2012 oder höher ausgeführt werden, oder auf Linux-VMs (Ubuntu 18.04+ oder eine entsprechende RHEL- oder SLES-VM) unterstützt.
  • Wird nur für die AD-Gesamtstruktur unterstützt, in der das Speicherkonto registriert ist. Benutzer, die verschiedenen Domänen innerhalb derselben Gesamtstruktur angehören, sollten auf die Dateifreigabe und die zugrunde liegenden Verzeichnisse/Dateien zugreifen können, solange sie über die entsprechenden Berechtigungen verfügen.
  • Sie können auf Azure-Dateifreigaben standardmäßig nur mit den AD DS-Anmeldeinformationen einer einzelnen Gesamtstruktur zugreifen. Wenn Sie von einer anderen Gesamtstruktur aus auf Ihre Azure-Dateifreigabe zugreifen müssen, stellen Sie sicher, dass Sie die richtige Gesamtstrukturvertrauensstellung konfiguriert haben. Weitere Informationen finden Sie unter Verwenden von Azure Files mit mehreren Active Directory-Gesamtstrukturen.
  • Unterstützt nicht das Zuweisen von Berechtigungen auf Freigabeebene zu Computerkonten mithilfe von Azure RBAC. Sie können entweder eine Standardberechtigung auf Freigabeebene verwenden, um Computerkonten den Zugriff auf die Freigabe zu ermöglichen, oder stattdessen ein Dienstanmeldekonto verwenden.
  • Unterstützt keine Authentifizierung bei NFS-Dateifreigaben (Network File System).

Wenn Sie AD DS für Azure-Dateifreigaben über SMB aktivieren, können Ihre in AD DS eingebundenen Computer Azure-Dateifreigaben mithilfe Ihrer vorhandenen AD DS-Anmeldeinformationen bereitstellen. Diese Funktion kann für eine AD DS-Umgebung aktiviert werden, die entweder auf lokalen Computern oder auf einem virtuellen Computer (VM) in Azure gehostet wird.

Videos

Um Sie beim Einrichten der identitätsbasierten Authentifizierung für gängige Anwendungsfälle zu unterstützen, haben wir zwei Videos mit Schrittanleitungen für die folgenden Szenarien veröffentlicht. Beachten Sie, dass Azure Active Directory jetzt Microsoft Entra-ID ist. Weitere Informationen finden Sie unter Neuer Name für Azure AD.

Ersetzen lokaler Dateiserver durch Azure Files (einschließlich Einrichtung eines privaten Links für Dateien und AD-Authentifizierung) Verwenden von Azure Files als Profilcontainer für Azure Virtual Desktop (einschließlich Einrichtung der AD-Authentifizierung und FSLogix-Konfiguration)
Screencast des Videos zum Thema „Ersetzen von lokalen Dateiservern“ – Zum Wiedergeben klicken. Screencast des Videos zum Thema „Verwenden von Azure Files als Profilcontainer“ – Zum Wiedergeben klicken.

Voraussetzungen

Bevor Sie die AD DS-Authentifizierung für Azure-Dateifreigaben aktivieren, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:

Regionale Verfügbarkeit

Die Azure Files-Authentifizierung mit AD DS ist in allen öffentlichen Azure-Regionen, Azure, China und Gov-Regionen verfügbar.

Übersicht

Wenn Sie Netzwerkkonfigurationen für Ihre Dateifreigabe aktivieren möchten, lesen Sie den Artikel Netzwerküberlegungen, und nehmen Sie entsprechende Konfiguration vor, bevor Sie die AD DS-Authentifizierung aktivieren.

Wenn Sie die AD DS-Authentifizierung für Ihre Azure-Dateifreigaben aktivieren, können Sie sich mit Ihren lokalen AD DS-Anmeldeinformationen bei ihren Azure-Dateifreigaben authentifizieren. Außerdem ermöglicht es eine bessere Verwaltung der Berechtigungen, sodass Sie eine präzise Zugriffssteuerung erzielen. Dazu müssen Identitäten von der lokalen AD DS-Instanz mit Microsoft Entra ID synchronisiert werden, entweder mithilfe der lokalen Microsoft Entra Connect-Synchronisierungsanwendung oder der Microsoft Entra Connect-Cloudsynchronisierung, einem einfachen Agent, der über das Microsoft Entra Admin Center installiert werden kann. Sie weisen Hybrididentitäten, die mit Microsoft Entra ID synchronisiert werden, Berechtigungen auf Freigabeebene zu und verwalten den Zugriff auf Datei-/Verzeichnisebene mit Windows-Zugriffssteuerungslisten.

Führen Sie diese Schritte aus, um Azure Files für die AD DS-Authentifizierung einzurichten:

  1. Aktivieren von AD DS-Authentifizierung für Ihr Speicherkonto

  2. Zuweisen von Berechtigungen auf Freigabeebene zur Microsoft Entra-Identität (Benutzer*in, Gruppe oder Dienstprinzipal), die mit der AD-Zielidentität synchronisiert wird

  3. Konfigurieren von Windows ACLs über SMB für Verzeichnisse und Dateien

  4. Binden Sie eine Azure-Dateifreigabe für eine VM ein, die Mitglied Ihrer AD DS-Umgebung ist.

  5. Aktualisieren Sie das Kennwort für Ihre Speicherkontoidentität in AD DS.

Das folgende Diagramm zeigt den vollständigen Workflow zur Aktivierung der AD DS-Authentifizierung über SMB für Azure-Dateifreigaben.

Diagramm, das die AD DS-Authentifizierung über SMB für Azure Files-Workflow zeigt.

Die für den Zugriff auf Azure-Dateifreigaben verwendeten Identitäten müssen mit Microsoft Entra ID synchronisiert werden, um über das Modell für die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure-RBAC) Dateiberechtigungen auf Freigabeebene zu erzwingen. Alternativ können Sie eine Standardberechtigung auf Freigabeebene verwenden. DACLs im Windows-Stil für Dateien/Verzeichnisse, die von vorhandenen Dateiservern übertragen werden, werden beibehalten und erzwungen. Diese bietet Ihnen nahtlose Integration in die AD DS-Umgebung Ihres Unternehmens. Wenn Sie lokale Dateiserver durch Azure-Dateifreigaben ersetzen, können vorhandene Benutzer*innen ohne Änderungen an den verwendeten Anmeldeinformationen auf Azure-Dateifreigaben von ihren aktuellen SSO-Clients aus zugreifen.

Nächster Schritt

Um zu beginnen, müssen Sie die AD DS-Authentifizierung für Ihr Speicherkonto aktivieren.