Aktivieren der Azure Active Directory Domain Services-Authentifizierung über Azure Files

  • Artikel

Azure Files unterstützt die identitätsbasierte Authentifizierung für Windows-Dateifreigaben über Server Message Block (SMB) mithilfe des Kerberos-Authentifizierungsprotokolls mit den folgenden drei Methoden:

  • Lokale Active Directory Domain Services (AD DS)
  • Azure Active Directory Domain Services (Azure AD DS)
  • Azure Active Directory (Azure AD) Kerberos für hybride Benutzeridentitäten

In diesem Artikel wird das Aktivieren und Konfigurieren von Azure AD DS für die identitätsbasierte Authentifizierung mit Azure-Dateifreigaben erläutert. In diesem Authentifizierungsszenario sind Azure AD-Anmeldeinformationen und Azure AD DS-Anmeldeinformationen identisch und können gegeneinander ausgetauscht werden.

Es wird dringend empfohlen, den Abschnitt Funktionsweise zu lesen, damit Sie für die Authentifizierung die richtige AD-Quelle auswählen. Die Einrichtung unterscheidet sich je nach der von Ihnen gewählten AD-Quelle.

Wenn Sie mit Azure Files noch nicht vertraut sind, empfehlen wir, unser Planungshandbuch zu lesen, bevor Sie diesen Artikel lesen.

Hinweis

Azure Files unterstützt Kerberos-Authentifizierung mit Azure AD DS mit RC4-HMAC- und AES 256-Verschlüsselung. Wir empfehlen die Verwendung von AES-256.

Azure Files unterstützt die Authentifizierung für Azure AD DS mit vollständiger oder teilweiser (bereichsbezogener) Synchronisierung mit Azure AD. Für Umgebungen mit bereichsbezogener Synchronisierung sollten Administrator*innen beachten, dass Azure Files nur Azure RBAC-Rollenzuweisungen berücksichtigt, die Prinzipalen gewährt wurden, die synchronisiert werden. Der Azure Files-Dienst ignoriert Rollenzuweisungen, die Identitäten gewährt wurden, die nicht von Azure AD mit Azure AD DS synchronisiert werden.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Ja Nein
Standard-Dateifreigaben (GPv2), GRS/GZRS Ja Nein
Premium-Dateifreigaben (FileStorage), LRS/ZRS Ja Nein

Voraussetzungen

Bevor Sie Azure AD DS über SMB für Azure-Dateifreigaben aktivieren, müssen Sie die folgenden Voraussetzungen erfüllt haben:

  1. Wählen Sie einen Azure AD-Mandanten aus oder erstellen Sie einen.

    Sie können einen neuen oder einen bereits vorhandenen Mandanten verwenden. Der Mandant und die Dateifreigabe, auf die Sie zugreifen möchten, müssen dem gleichen Abonnement zugeordnet sein.

    Zum Erstellen eines neuen Azure AD-Mandanten können Sie einen Azure AD-Mandanten und ein Azure AD-Abonnement hinzufügen. Wenn Sie über einen vorhandenen Azure AD-Mandanten verfügen, aber einen neuen Mandanten für die Verwendung mit Azure-Dateifreigaben erstellen möchten, finden Sie weitere Informationen unter Erstellen eines Azure Active Directory-Mandanten.

  2. Aktivieren Sie Azure AD Domain Services auf dem Azure AD-Mandanten.

    Zur Unterstützung der Authentifizierung mit Azure AD-Anmeldeinformationen müssen Sie Azure AD DS für Ihren Azure AD-Mandanten aktivieren. Wenn Sie nicht der Administrator des Azure AD-Mandanten sind, wenden Sie sich an den Administrator und folgen Sie der schrittweisen Anleitung zum Aktivieren von Azure Active Directory Domain Services über das Azure-Portal.

    Es dauert in der Regel etwa 15 Minuten, bis eine Bereitstellung von Azure AD DS abgeschlossen ist. Vergewissern Sie sich, dass der Integritätsstatus von Azure AD DS bei aktivierter Kennworthashsynchronisierung Wird ausgeführt anzeigt, bevor Sie mit dem nächsten Schritt fortfahren.

  3. Domänenbeitritt einer Azure-VM mit Azure AD DS.

    Damit Sie mit Azure AD-Anmeldeinformationen von einem virtuellen Computer auf eine Azure-Dateifreigabe zugreifen können, muss Ihr virtueller Computer in Azure AD DS in eine Domäne eingebunden sein. Weitere Informationen zum Einbinden in die Domäne eines virtuellen Computers finden Sie unter Einbinden eines virtuellen Windows Server-Computers in eine verwaltete Domäne. Die Azure AD DS-Authentifizierung über SMB mit Azure-Dateifreigaben wird nur auf virtuellen Azure-Computern unterstützt, die auf Betriebssystemversionen über Windows 7 oder Windows Server 2008 R2 ausgeführt werden.

    Hinweis

    Nicht in die Domäne eingebundene virtuelle Computer können nur mithilfe der Azure AD DS-Authentifizierung auf Azure-Dateifreigaben zugreifen, wenn der virtuelle Computer über Sichtverbindung zu den Domänencontrollern für Azure AD DS verfügt. In der Regel erfordert dies entweder Site-to-Site- oder Point-to-Site-VPN.

  4. Wählen oder erstellen Sie eine Azure-Dateifreigabe.

    Wählen Sie eine neue oder vorhandene Dateifreigabe aus, die mit demselben Abonnement wie Ihr Azure AD-Mandant verbunden ist. Weitere Informationen zum Erstellen einer neuen Dateifreigabe finden Sie unter Erstellen einer Dateifreigabe in Azure Files. Für eine optimale Leistung wird empfohlen, dass sich Ihre Dateifreigabe in derselben Region befindet wie der virtuelle Computer, von dem aus Sie auf die Freigabe zugreifen möchten.

  5. Überprüfen Sie die Konnektivität von Azure Files, indem Sie Azure-Dateifreigaben mit Ihrem Speicherkontenschlüssel einbinden.

    Um sicherzustellen, dass Ihr virtueller Computer und die Dateifreigabe richtig konfiguriert sind, versuchen Sie, die Dateifreigabe mit Ihrem Speicherkontenschlüssel einzubinden. Weitere Informationen finden Sie unter Einbinden einer Azure-Dateifreigabe und Zugreifen auf die Freigabe unter Windows.

Regionale Verfügbarkeit

Die Azure Files-Authentifizierung bei Azure AD DS ist in allen öffentlichen Azure-Regionen, Azure Government-Regionen und chinesischen Regionen verfügbar.

Übersicht über den Workflow

Bevor Sie die Azure AD DS-Authentifizierung über SMB für Azure-Dateifreigaben aktivieren, vergewissern Sie sich, dass Ihre Azure AD- und Azure Storage-Umgebungen ordnungsgemäß konfiguriert wurden. Es wird empfohlen, dass Sie die Voraussetzungen durchgehen, um sicherzustellen, dass Sie alle erforderlichen Schritte ausgeführt haben.

Befolgen Sie diese Schritte, um Zugriff auf Azure Files-Ressourcen mit Azure AD-Anmeldeinformationen zu gewähren:

  1. Aktivieren Sie die Azure AD DS-Authentifizierung über SMB für Ihr Speicherkonto, um das Speicherkonto bei der zugehörigen Bereitstellung von Azure AD DS zu registrieren.
  2. Weisen Sie einer Azure AD-Identität (Benutzer, Gruppe oder Dienstprinzipal) Berechtigungen auf Freigabeebene zu.
  3. Stellen Sie mithilfe eines Speicherkontoschlüssels eine Verbindung mit Ihrer Azure-Dateifreigabe her, und konfigurieren Sie Windows-Zugriffssteuerungslisten (Access Control Lists, ACLs) für Verzeichnisse und Dateien.
  4. Stellen Sie eine Azure-Dateifreigabe von einem domänengebundenen virtuellen Computer bereit.

Das folgende Diagramm zeigt den vollständigen Workflow zur Aktivierung der Azure AD DS-Authentifizierung über SMB für Azure Files.

Diagramm mit Azure AD über SMB für Azure Files-Workflow

Aktivieren der Azure AD DS-Authentifizierung für Ihr Konto

Zur Aktivierung der Azure AD DS-Authentifizierung über SMB für Azure Files können Sie mit dem Azure-Portal, Azure PowerShell oder der Azure-Befehlszeilenschnittstelle eine Eigenschaft für Speicherkonten festlegen. Wenn Sie diese Eigenschaft festlegen, wird für das Speicherkonto bei der zugehörigen Bereitstellung von Azure AD DS implizit ein Domänenbeitritt durchgeführt. Die Azure AD DS-Authentifizierung über SMB ist dann für alle neuen und vorhandenen Dateifreigaben im Speicherkonto aktiviert.

Beachten Sie, dass Sie die Azure AD DS-Authentifizierung über SMB erst aktivieren können, nachdem Sie Azure AD DS in Ihrem Azure AD-Mandanten erfolgreich bereitgestellt haben. Weitere Informationen finden Sie unter Voraussetzungen.

Führen Sie die folgenden Schritte aus, um die Azure AD DS-Authentifizierung über SMB über das Azure-Portal zu aktivieren:

  1. Navigieren Sie im Azure-Portal zu Ihrem vorhandenen Speicherkonto, oder erstellen Sie ein Speicherkonto.

  2. Wählen Sie im Abschnitt Dateifreigaben die Option Active Directory: Nicht konfiguriert aus.

    Screenshot: Bereich „Dateifreigaben“ in Ihrem Speicherkonto, Active Directory ist hervorgehoben.

  3. Wählen Sie Azure Active Directory Domain Services aus, und aktivieren Sie dann das Feature über das entsprechende Kontrollkästchen.

  4. Wählen Sie Speichern aus.

    Screenshot des Active Directory-Bereichs, Azure Active Directory Domain Services ist aktiviert.

Standardmäßig wird für die Azure AD DS-Authentifizierung die Kerberos RC4-Verschlüsselung verwendet. Wir empfehlen, die Authentifizierung stattdessen für eine Verwendung der Kerberos AES-256-Verschlüsselung zu konfigurieren, indem Sie die folgenden Schritte ausführen.

Die Aktion erfordert die Ausführung eines Vorgangs in der Active Directory-Domäne, die von Azure AD DS verwaltet wird, um einen Domänencontroller zu erreichen, um eine Eigenschaftsänderung an das Domänenobjekt anzufordern. Die folgenden Cmdlets sind Windows Server Active Directory PowerShell-Cmdlets, nicht Azure PowerShell-Cmdlets. Daher müssen diese PowerShell-Befehle über einen Clientcomputer ausgeführt werden, der in die Azure AD DS-Domäne eingebunden ist.

Wichtig

Die Windows Server Active Directory-PowerShell-Cmdlets in diesem Abschnitt müssen in Windows PowerShell 5.1 auf einem Clientcomputer ausgeführt werden, der in die Azure AD DS-Domäne eingebunden ist. PowerShell 7.x und Azure Cloud Shell funktionieren in diesem Szenario nicht.

Melden Sie sich bei dem in die Domäne eingebundenen Clientcomputer als Azure AD DS-Benutzer mit den erforderlichen Berechtigungen an. (Mitglieder der Gruppe AAD DC-Administratoren verfügen in der Regel über die nötigen Berechtigungen.) Öffnen Sie eine normale PowerShell-Sitzung (ohne erhöhte Rechte), und führen Sie die folgenden Befehle aus:

# 1. Find the service account in your managed domain that represents the storage account.

$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter

if ($userObject -eq $null)
{
   Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}

# 2. Set the KerberosEncryptionType of the object

Set-ADUser $userObject -KerberosEncryptionType AES256

# 3. Validate that the object now has the expected (AES256) encryption type.

Get-ADUser $userObject -properties KerberosEncryptionType

Wichtig

Wenn Sie zuvor die RC4-Verschlüsselung verwendet und das Speicherkonto für die Verwendung von AES-256 aktualisiert haben, sollten Sie auf dem Client klist purge ausführen und dann die Dateifreigabe erneut einbinden, um neue Kerberos-Tickets mit AES-256 zu erhalten.

Zuweisen von Berechtigungen auf Freigabeebene

Für den Zugriff auf Azure Files-Ressourcen mit identitätsbasierter Authentifizierung muss eine Identität (Benutzer, Gruppe oder Dienstprinzipal) die erforderlichen Berechtigungen auf der Freigabeebene haben. Dieser Prozess ähnelt der Angabe von Windows-Freigabeberechtigungen, bei denen Sie die Art des Zugriffs eines bestimmten Benutzers auf eine Dateifreigabe angeben. Die Anleitung in diesem Abschnitt zeigt, wie Sie einer Identität Lese-, Schreib- oder Löschberechtigungen für eine Dateifreigabe zuweisen. Wir empfehlen dringend, Berechtigungen zuzuweisen, indem Sie Aktionen und Datenaktionen explizit deklarieren, statt das Platzhalterzeichen (*) zu verwenden.

Die meisten Benutzer*innen sollten bestimmten Azure AD-Benutzer*innen oder -Gruppen Berechtigungen auf Freigabeebene zuweisen und dann Windows-ACLs für eine präzise Zugriffssteuerung auf Verzeichnis- und Dateiebene konfigurieren. Alternativ können Sie jedoch eine Standardberechtigung auf Freigabeebene festlegen, um Mitwirkenden, Mitwirkenden mit erhöhten Rechten oder Leser*innen Zugriff auf alle authentifizierten Identitäten zuzuweisen.

Es gibt drei integrierte Azure-Rollen zum Zuweisen von Berechtigungen auf Freigabeebene für Benutzer*innen und Gruppen:

  • Speicherdateidaten-SMB-Freigabeleser ermöglicht den Lesezugriff auf Azure Storage-Dateifreigaben über SMB.
  • Speicherdateidaten-SMB-Freigabemitwirkender ermöglicht den Lese-, Schreib- und Löschzugriff auf Azure Storage-Dateifreigaben über SMB.
  • Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe gewährt über Windows-Zugriffssteuerungslisten die Berechtigungen für Lese-, Schreib-, Lösch- und Änderungsvorgänge für Azure-Dateifreigaben über SMB.

Wichtig

Die vollständige administrative Kontrolle über eine Dateifreigabe, einschließlich der Möglichkeit, den Besitz einer Rolle zu übernehmen, erfordert die Verwendung des Speicherkontenschlüssels. Die administrative Kontrolle wird mit Azure AD-Anmeldeinformationen nicht unterstützt.

Sie können das Azure-Portal, PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden, um die integrierten Rollen der Azure AD-Identität eines Benutzers zuzuweisen und damit Berechtigungen auf Freigabeebene zu erteilen. Beachten Sie, dass es eine Weile dauern kann, bis die Azure-Rollenzuweisung auf Freigabeebene wirksam wird. Im Allgemeinen wird empfohlen, Berechtigungen auf Freigabeebene für die Verwaltung des Zugriffs auf hoher Ebene für eine aus Benutzern und Identitäten bestehende AD-Gruppe zu verwenden und dann Windows-ACLs für eine differenzierte Zugriffssteuerung auf Verzeichnis-/Dateiebene zu nutzen.

Zuweisen einer Azure-Rolle zu einer Azure AD-Identität

Wichtig

Weisen Sie Berechtigungen zu, indem Sie Aktionen und Datenaktionen explizit deklarieren, anstatt ein Platzhalterzeichen (*) zu verwenden. Wenn eine benutzerdefinierte Rollendefinition für eine Datenaktion ein Platzhalterzeichen enthält, erhalten sämtliche dieser Rolle zugewiesenen Identitäten Zugriff auf alle möglichen Datenaktionen. Dies bedeutet, dass allen solchen Identitäten auch alle neuen Datenaktionen bewilligt werden, die der Plattform hinzugefügt wurden. Der zusätzliche Zugriff und die durch neue Aktionen oder Datenaktionen gewährten Berechtigungen sind möglicherweise ein unerwünschtes Verhalten für Kunden, die Platzhalter verwenden.

Um einer Azure AD-Identität eine Azure-Rolle zuzuweisen, führen Sie im Azure-Portal die folgenden Schritte aus:

  1. Navigieren Sie im Azure-Portal zu Ihrer Dateifreigabe, oder erstellen Sie eine Dateifreigabe.
  2. Wählen Sie Access Control (IAM) aus.
  3. Auswählen von Rollenzuweisung hinzufügen
  4. Wählen Sie auf dem Blatt Rollenzuweisung hinzufügen in der Liste Rolle die entsprechende integrierte Rolle aus (Speicherdateidaten-SMB-Freigabeleser, Speicherdateidaten-SMB-Freigabemitwirkender). Behalten Sie für Zugriff zuweisen zu die Standardeinstellung bei: Azure AD-Benutzer, -Gruppe oder -Dienstprinzipal. Wählen Sie die Azure AD-Zielidentität anhand des Namens oder der E-Mail-Adresse aus.
  5. Wählen Sie Überprüfen + zuweisen aus, um die Rollenzuweisung abzuschließen.

Konfigurieren von Windows-ACLs

Nachdem Sie mit RBAC Berechtigungen auf Freigabeebene zugewiesen haben, können Sie Windows-ACLs – auch als „NTFS-Berechtigungen“ bezeichnet – auf Stamm-, Verzeichnis- oder Dateiebene zuweisen. Stellen Sie sich Berechtigungen auf Freigabeebene als allgemeinen Gatekeeper vor, der bestimmt, ob ein Benutzer auf die Freigabe zugreifen kann. Windows-ACLs hingegen agieren auf einer detaillierteren Ebene, um zu bestimmen, welche Vorgänge der Benutzer auf Verzeichnis- oder Dateiebene durchführen kann.

Azure Files unterstützt den vollständigen Satz an grundlegenden und erweiterten Berechtigungen. Sie können Windows-ACLs für Verzeichnisse und Dateien in einer Azure-Dateifreigabe anzeigen und konfigurieren, indem Sie die Freigabe einbinden und dann den Windows-Datei-Explorer verwenden oder aber einen der Windows-Befehle icacls oder Set-ACL ausführen.

Die folgenden Berechtigungsgruppen werden im Stammverzeichnis einer Dateifreigabe unterstützt:

  • BUILTIN\Administrators:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

Weitere Informationen finden Sie unter Konfigurieren von Berechtigungen auf Verzeichnis- und Dateiebene über SMB.

Einbinden der Dateifreigabe mithilfe Ihres Speicherkontoschlüssels

Vor dem Konfigurieren von Windows-ACLs müssen Sie zunächst die Dateifreigabe unter Verwendung Ihres Speicherkontoschlüssels auf Ihrem in die Domäne eingebundenen virtuellen Computer einbinden. Melden Sie sich hierzu als Azure AD-Benutzer bei dem in die Domäne eingebundenen virtuellen Computer an, öffnen Sie eine Windows-Eingabeaufforderung, und führen Sie den folgenden Befehl aus. Ersetzen Sie <YourStorageAccountName>, <FileShareName> und <YourStorageAccountKey> durch Ihre eigenen Werte. Wenn „Z:“ bereits verwendet wird, ersetzen Sie es durch einen verfügbaren Laufwerkbuchstaben. Zum Ermitteln Ihres Speicherkontoschlüssels können Sie im Azure-Portal zu dem Speicherkonto navigieren und Sicherheit und Netzwerk>Zugriffsschlüssel auswählen oder das PowerShell-Cmdlet Get-AzStorageAccountKey verwenden.

Es ist wichtig, dass Sie in dieser Phase zum Einbinden der Freigabe nicht PowerShell, sondern den Windows-Befehl net use verwenden. Wenn Sie PowerShell zum Einbinden der Freigabe verwenden, ist die Freigabe im Datei-Explorer von Windows oder in „cmd.exe“ nicht sichtbar, und Sie können keine Windows-ACLs konfigurieren.

Hinweis

Möglicherweise sehen Sie, dass die ACL Vollzugriff bereits auf eine Rolle angewendet wird. Dies bietet in der Regel bereits die Möglichkeit, Berechtigungen zu erteilen. Weil Zugriffsüberprüfungen jedoch auf zwei Ebenen (der Freigabeebene und der Datei-/Verzeichnisebene) durchgeführt werden, sind die Möglichkeiten hierbei eingeschränkt. Nur Benutzer mit der Rolle Mitwirkender mit erhöhten SMB-Rechten, die eine neue Datei oder ein neues Verzeichnis erstellen, können Berechtigungen für diese neuen Dateien oder Verzeichnisse ohne Verwendung des Speicherkontoschlüssels zuweisen. Für alle anderen Zuweisungen von Datei-/Verzeichnisberechtigungen muss zuerst eine Verbindung mit der Freigabe mithilfe des Speicherkontoschlüssels hergestellt werden.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Konfigurieren von Windows-ACLs mit dem Windows-Datei-Explorer

Nachdem Sie Ihre Azure-Dateifreigabe eingebunden haben, müssen Sie die Windows-ACLs konfigurieren. Dazu können Sie entweder den Windows-Datei-Explorer oder „icacls“ verwenden.

Führen Sie die folgenden Schritte aus, um mithilfe des Windows-Datei-Explorers allen Verzeichnissen und Dateien unter der Dateifreigabe, einschließlich des Stammverzeichnisses, vollständige Berechtigungen zu erteilen.

  1. Öffnen Sie Windows-Explorer, klicken Sie mit der rechten Maustaste auf die Datei bzw. das Verzeichnis, und wählen Sie Eigenschaften aus.
  2. Wählen Sie die Registerkarte Sicherheit .
  3. Wählen Sie Bearbeiten zum Ändern der Berechtigungen aus.
  4. Sie können die Berechtigungen von bereits vorhandenen Benutzern ändern oder Hinzufügen auswählen, um neuen Benutzern Berechtigungen zu erteilen.
  5. Geben Sie im Eingabeaufforderungsfenster zum Hinzufügen neuer Benutzer im Feld Geben Sie die Namen der auszuwählenden Objekte ein den Namen des Zielbenutzers ein, dem Sie die Berechtigung gewähren möchten, und wählen Sie Namen überprüfen aus, um den vollständigen UPN-Namen des Zielbenutzers zu ermitteln.
  6. Klicken Sie auf OK.
  7. Wählen Sie auf der Registerkarte Sicherheit alle Berechtigungen aus, die Sie dem neuen Benutzer gewähren möchten.
  8. Wählen Sie Übernehmen.

Konfigurieren von Windows-ACLs mit „icacls“

Verwenden Sie den folgenden Windows-Befehl, um allen Verzeichnissen und Dateien unter der Dateifreigabe, einschließlich des Stammverzeichnisses, vollständige Berechtigungen zu erteilen. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen.

icacls <mounted-drive-letter>: /grant <user-email>:(f)

Weitere Informationen zur Verwendung von „icacls“ zum Festlegen von Windows-ACLs und zu den verschiedenen Arten von unterstützten Berechtigungen finden Sie in der Befehlszeilenreferenz für „icacls“.

Einbinden der Dateifreigabe über einen in die Domäne eingebundenen virtuellen Computer

Mit dem folgenden Prozess wird überprüft, ob Ihre Dateifreigabe und Ihre Zugriffsberechtigungen ordnungsgemäß eingerichtet wurden und Sie von einem in die Domäne eingebundenen virtuellen Computer aus Zugriff auf eine Azure-Dateifreigabe haben. Beachten Sie, dass es eine Weile dauern kann, bis die Azure-Rollenzuweisung auf Freigabeebene wirksam wird.

Melden Sie sich mit der Azure AD-Identität, der Sie Berechtigungen erteilt haben, bei dem in die Domäne eingebundenen virtuellen Computer an. Achten Sie darauf, dass Sie sich mit Azure AD-Anmeldeinformationen anmelden. Wenn das Laufwerk bereits mit dem Speicherkontoschlüssel eingebunden ist, müssen Sie die Verbindung mit dem Laufwerk trennen oder sich erneut anmelden.

Führen Sie das PowerShell-Skript unten aus, oder verwenden Sie das Azure-Portal, um die Azure-Dateifreigabe dauerhaft einzubinden und sie unter Windows dem Laufwerk „Z:“ zuzuordnen. Wenn „Z:“ bereits verwendet wird, ersetzen Sie es durch einen verfügbaren Laufwerkbuchstaben. Weil Sie authentifiziert wurden, müssen Sie den Speicherkontoschlüssel nicht angeben. Das Skript überprüft, ob auf dieses Speicherkonto über den TCP-Port 445 zugegriffen werden kann, der für SMB verwendet wird. Ersetzen Sie <storage-account-name> und <file-share-name> durch Ihre eigenen Werte. Weitere Informationen finden Sie unter Verwenden einer Azure-Dateifreigabe mit Windows.

Binden Sie Azure-Dateifreigaben immer mithilfe von „file.core.windows.net“ ein – selbst wenn Sie einen privaten Endpunkt für Ihre Freigabe einrichten. Die Verwendung von CNAME für die Einbindung von Dateifreigaben wird bei identitätsbasierter Authentifizierung nicht unterstützt.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Zum Einbinden der Dateifreigabe können Sie auch den net-use Befehl über eine Windows-Eingabeaufforderung verwenden. Ersetzen Sie <YourStorageAccountName> und <FileShareName> durch Ihre eigenen Werte.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Einbinden der Dateifreigabe über einen nicht in die Domäne eingebundenen virtuellen Computer

Nicht in die Domäne eingebundene virtuelle Computer können nur mithilfe der Azure AD DS-Authentifizierung auf Azure-Dateifreigaben zugreifen, wenn der virtuelle Computer über Sichtverbindung zu den Domänencontrollern für Azure AD DS verfügt, die sich in Azure befinden. Dies erfordert in der Regel die Einrichtung eines Site-to-Site- oder Point-to-Site-VPN, um diese Konnektivität zu ermöglichen. Der Benutzer, der auf die Dateifreigabe zugreift, muss über eine Identität und Anmeldeinformationen (eine von Azure AD mit Azure AD DS synchronisierte Azure AD-Identität) in der verwalteten Azure AD DS-Domäne verfügen.

Zum Einbinden einer Dateifreigabe von einem virtuellen Computer, der nicht in die Domäne eingebunden ist, muss der Benutzer einen der beiden folgenden Schritte ausführen:

  • Explizite Anmeldeinformationen wie z. B. DOMAINNAME\username bereitstellen, wobei DOMAINNAME die Azure AD DS-Domäne und username der Benutzername der Identität in Azure AD DS ist, oder
  • Die Notation username@domainFQDN verwenden, wobei domainFQDN der vollqualifizierte Domänenname ist.

Die Verwendung von einem dieser Ansätze ermöglicht es dem Client, sich mit dem Domänencontroller in der Azure AD DS-Domäne in Verbindung zu setzen, um Kerberos-Tickets anzufordern und zu empfangen.

Beispiel:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

oder

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Nächste Schritte

Wenn Sie weiteren Benutzer*innen Zugriff auf Ihre Dateifreigabe gewähren möchten, befolgen Sie die Anweisungen in Zuweisen von Berechtigungen auf Freigabeebene und Konfigurieren von Windows-ACLs.

Weitere Informationen zur identitätsbasierten Authentifizierung für Azure Files finden Sie in diesen Ressourcen: