Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Files unterstützt die identitätsbasierte Authentifizierung für Windows-Dateifreigaben über Server Message Block (SMB) mithilfe des Kerberos-Authentifizierungsprotokolls mit den folgenden Methoden:
- Lokale Active Directory Domain Services (AD DS)
- Microsoft Entra Domain Services
- Microsoft Entra Kerberos für Hybridbenutzerentitäten
Es wird dringend empfohlen, den Abschnitt Funktionsweise zu lesen, damit Sie für die Authentifizierung die richtige AD-Quelle auswählen. Die Einrichtung unterscheidet sich je nach gewähltem Domänendienst. In diesem Artikel wird das Aktivieren und Konfigurieren von lokalen AD DS für die Authentifizierung mit Azure-Dateifreigaben erläutert.
Wenn Sie mit Azure Files noch nicht vertraut sind, empfehlen wir, unser Planungshandbuch zu lesen.
Gilt für:
| Verwaltungsmodell | Abrechnungsmodell | Medienebene | Redundanz | KMU | NFS (falls abgekürzt von Network File System gemeint) |
|---|---|---|---|---|---|
| Microsoft.Storage | Bereitgestellt v2 | HDD (Standard) | Lokal (LRS) |
|
|
| Microsoft.Storage | Bereitgestellt v2 | HDD (Standard) | Zone (ZRS) |
|
|
| Microsoft.Storage | Bereitgestellt v2 | HDD (Standard) | Geo (GRS) |
|
|
| Microsoft.Storage | Bereitgestellt v2 | HDD (Standard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Bereitgestellt v1 | SSD (Premium) | Lokal (LRS) |
|
|
| Microsoft.Storage | Bereitgestellt v1 | SSD (Premium) | Zone (ZRS) |
|
|
| Microsoft.Storage | Nutzungsbasierte Bezahlung | HDD (Standard) | Lokal (LRS) |
|
|
| Microsoft.Storage | Nutzungsbasierte Bezahlung | HDD (Standard) | Zone (ZRS) |
|
|
| Microsoft.Storage | Nutzungsbasierte Bezahlung | HDD (Standard) | Geo (GRS) |
|
|
| Microsoft.Storage | Nutzungsbasierte Bezahlung | HDD (Standard) | GeoZone (GZRS) |
|
|
Unterstützte Szenarien und Einschränkungen
- Um bestimmten Benutzern oder Gruppen RBAC-Berechtigungen auf Freigabeebene zuzuweisen, müssen lokale AD DS-Identitäten mit Microsoft Entra ID mithilfe von Entra Connect Sync synchronisiert werden. Wenn Identitäten nicht synchronisiert werden, müssen Sie eine Standardberechtigung auf Freigabeebene verwenden, die für alle authentifizierten Benutzer gilt. Beispielsweise funktioniert eine Gruppe, die nur in Microsoft Entra ID erstellt wurde, nicht, wenn RBAC-Berechtigungen auf Freigabeebene konfiguriert sind. Wenn die Gruppe jedoch Benutzerkonten enthält, die von der lokalen Umgebung synchronisiert werden, können Sie diese Identitäten verwenden. Die Passworthash-Synchronisierung ist nicht erforderlich.
- Clientbetriebssystemanforderungen: Windows 8/ Windows Server 2012 oder höher oder Linux-VMs wie Ubuntu 18.04+ und entsprechende RHEL/SLES-Distributionen.
- Azure-Dateifreigaben können mit Azure File Sync verwaltet werden.
- Kerberos-Authentifizierung ist mit Active Directory mit AES 256-Verschlüsselung (empfohlen) und RC4-HMAC verfügbar. AES 128-Kerberos-Verschlüsselung wird noch nicht unterstützt.
- Einmaliges Anmelden (Single Sign-On, SSO) wird unterstützt.
- Standardmäßig ist der Zugriff auf die Active Directory-Gesamtstruktur beschränkt, in der das Speicherkonto registriert ist. Benutzende aus einer beliebigen Domäne in dieser Gesamtstruktur können auf die Dateifreigabeinhalte zugreifen, sofern sie über die entsprechenden Berechtigungen verfügen. Um den Zugriff von zusätzlichen Gesamtstrukturen zu aktivieren, müssen Sie eine Gesamtstrukturvertrauensstellung konfigurieren. Weitere Informationen finden Sie unter Verwenden von Azure Files mit mehreren Active Directory-Gesamtstrukturen.
- Die identitätsbasierte Authentifizierung wird derzeit für NFS-Dateifreigaben nicht unterstützt.
Wenn Sie AD DS für Azure-Dateifreigaben über SMB aktivieren, können Ihre in AD DS eingebundenen Computer Azure-Dateifreigaben mithilfe Ihrer vorhandenen AD DS-Anmeldeinformationen bereitstellen. Die AD DS-Umgebung kann entweder lokal oder auf einem virtuellen Computer (VM) in Azure gehostet werden.
Videoaufnahmen
Um Ihnen bei der Einrichtung der identitätsbasierten Authentifizierung für häufige Anwendungsfälle zu helfen, haben wir zwei Videos mit schrittweisen Anleitungen für die folgenden Szenarien veröffentlicht. Beachten Sie, dass Azure Active Directory jetzt Microsoft Entra-ID ist. Weitere Informationen finden Sie unter Neuer Name für Azure AD.
| Ersetzen von lokalen Dateiservern durch Azure Files (einschließlich Setup auf privatem Link für Dateien und AD-Authentifizierung) | Verwenden von Azure Files als Profilcontainer für Azure Virtual Desktop (einschließlich Setup für AD-Authentifizierung und FSLogix-Konfiguration) |
|---|---|
|
|
Voraussetzungen
Bevor Sie die AD DS-Authentifizierung für Azure-Dateifreigaben aktivieren, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:
Wählen oder erstellen Sie Ihre AD DS-Umgebung, und synchronisieren Sie sie mit Microsoft Entra ID. Verwenden Sie dazu entweder die lokale Microsoft Entra Connect-Synchronisierungsanwendung oder die Microsoft Entra Connect-Cloudsynchronisierung, einen einfachen Agent, der über das Microsoft Entra Admin Center installiert werden kann.
Sie können das Feature für eine neue oder eine vorhandene AD DS-Umgebung aktivieren. Für den Zugriff verwendete Identitäten müssen mit Microsoft Entra ID synchronisiert werden oder eine Standardberechtigung auf Freigabeebene verwenden. Der Microsoft Entra-Mandant und die Dateifreigabe, auf die Sie zugreifen möchten, müssen dem gleichen Abonnement zugeordnet sein.
Binden Sie einen lokalen Computer oder eine Azure-VM in eine lokale AD DS-Domäne ein. Weitere Informationen zum Domänenbeitritt finden Sie unter Hinzufügen eines Computers zu einer Domäne.
Wenn ein Computer der Domäne nicht beigetreten ist, können Sie trotzdem AD DS für die Authentifizierung verwenden, wenn der Computer eine uneingeschränkte Netzwerkverbindung mit dem lokalen AD-Domänencontroller hat und der Benutzer oder die Benutzerin die Anmeldeinformationen explizit eingibt. Weitere Informationen finden Sie unter Einbinden der Dateifreigabe über einen nicht in die Domäne eingebundenen virtuellen Computer oder einem virtuellen Computer, der einer anderen AD-Domäne hinzugefügt ist.
Wählen Sie ein Azure-Speicherkonto, oder erstellen Sie eines. Für optimale Leistung wird empfohlen, das Speicherkonto in derselben Region bereitzustellen wie der Client, von dem aus Sie auf die Freigabe zugreifen möchten. Stellen Sie dann die Azure-Dateifreigabe mit Ihrem Speicherkontoschlüssel bereit, um die Konnektivität zu überprüfen.
Stellen Sie sicher, dass das Speicherkonto mit den Dateifreigaben nicht bereits für die identitätsbasierte Authentifizierung konfiguriert ist. Wenn für das Speicherkonto bereits eine AD-Quelle aktiviert ist, müssen Sie diese deaktivieren, bevor Sie lokale AD DS aktivieren.
Wenn beim Herstellen einer Verbindung mit Azure Files Probleme auftreten, lesen Sie Problembehandlung von Azure Files-Einbindungsfehler unter Windows.
Wenn Sie Netzwerkkonfigurationen für Ihre Dateifreigabe aktivieren möchten, lesen Sie den Artikel Netzwerküberlegungen, und nehmen Sie entsprechende Konfiguration vor, bevor Sie die AD DS-Authentifizierung aktivieren.
Regionale Verfügbarkeit
Die Azure Files-Authentifizierung mit AD DS ist in allen öffentlichen Azure-Regionen, Azure, China und Gov-Regionen verfügbar.
Übersicht
Wenn Sie die AD DS-Authentifizierung für Ihre Azure-Dateifreigaben aktivieren, können Sie sich mit Ihren lokalen AD DS-Anmeldeinformationen bei ihren Azure-Dateifreigaben authentifizieren. Außerdem ermöglicht es eine bessere Verwaltung der Berechtigungen, sodass Sie eine präzise Zugriffssteuerung erzielen. Dazu müssen Identitäten von lokalem AD DS mit Microsoft Entra-ID mithilfe der lokalen Microsoft Entra Connect-Synchronisierungsanwendung oder der Microsoft Entra Connect-Cloudsynchronisierung synchronisiert werden, einem einfachen Agent, der über das Microsoft Entra Admin Center installiert werden kann. Sie weisen Hybrididentitäten, die mit Microsoft Entra ID synchronisiert werden, Berechtigungen auf Freigabeebene zu und verwalten den Zugriff auf Datei-/Verzeichnisebene mit Windows-Zugriffssteuerungslisten.
Führen Sie diese Schritte aus, um Azure Files für die AD DS-Authentifizierung einzurichten:
Aktivieren von AD DS-Authentifizierung für Ihr Speicherkonto
Konfigurieren von Windows ACLs über SMB für Verzeichnisse und Dateien
Binden Sie eine Azure-Dateifreigabe für eine VM ein, die Mitglied Ihrer AD DS-Umgebung ist.
Aktualisieren Sie das Kennwort für Ihre Speicherkontoidentität in AD DS.
Das folgende Diagramm zeigt den vollständigen Workflow zur Aktivierung der AD DS-Authentifizierung über SMB für Azure-Dateifreigaben.
Die für den Zugriff auf Azure-Dateifreigaben verwendeten Identitäten müssen mit Microsoft Entra ID synchronisiert werden, um über das Modell für die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure-RBAC) Dateiberechtigungen auf Freigabeebene zu erzwingen. Alternativ können Sie eine Standardberechtigung auf Freigabeebene verwenden. DACLs im Windows-Stil für Dateien/Verzeichnisse, die von vorhandenen Dateiservern übertragen werden, werden beibehalten und erzwungen. Diese bietet Ihnen nahtlose Integration in die AD DS-Umgebung Ihres Unternehmens. Wenn Sie lokale Dateiserver durch Azure-Dateifreigaben ersetzen, können vorhandene Benutzer*innen ohne Änderungen an den verwendeten Anmeldeinformationen auf Azure-Dateifreigaben von ihren aktuellen SSO-Clients aus zugreifen.
Nächster Schritt
Um zu beginnen, müssen Sie die AD DS-Authentifizierung für Ihr Speicherkonto aktivieren.