Übersicht – lokale Active Directory Domain Services-Authentifizierung über SMB für Azure-Dateifreigaben

Azure Files unterstützt die identitätsbasierte Authentifizierung für Windows-Dateifreigaben über Server Message Block (SMB) mithilfe des Kerberos-Authentifizierungsprotokolls mit den folgenden Methoden:

• Lokale Active Directory Domain Services (AD DS)
• Microsoft Entra Domain Services
• Microsoft Entra Kerberos für Hybridbenutzerentitäten

Es wird dringend empfohlen, den Abschnitt Funktionsweise zu lesen, damit Sie für die Authentifizierung die richtige AD-Quelle auswählen. Die Einrichtung unterscheidet sich je nach gewähltem Domänendienst. In diesem Artikel wird das Aktivieren und Konfigurieren von lokalen AD DS für die Authentifizierung mit Azure-Dateifreigaben erläutert.

Wenn Sie mit Azure Files noch nicht vertraut sind, empfehlen wir, unser Planungshandbuch zu lesen.

Gilt für:

Dateifreigabetyp	SMB	NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS
Standard-Dateifreigaben (GPv2), GRS/GZRS
Premium-Dateifreigaben (FileStorage), LRS/ZRS

Unterstützte Szenarien und Einschränkungen

• AD DS-Identitäten, die für die lokale AD DS-Authentifizierung in Azure Files verwendet werden, müssen mit Microsoft Entra ID synchronisiert sein oder eine Standardberechtigung auf Freigabeebene verwenden. Kennworthashsynchronisierung ist optional.
• Unterstützt von Azure-Dateisynchronisierung verwaltete Azure-Dateifreigaben.
• Unterstützt Kerberos-Authentifizierung mit AD mit AES 256-Verschlüsselung (empfohlen) und RC4-HMAC. AES 128-Kerberos-Verschlüsselung wird noch nicht unterstützt.
• Unterstützt Einmaliges Anmelden.
• Wird nur auf Windows-Clients, auf denen die Betriebssystemversionen Windows 8/ Windows Server 2012 oder höher ausgeführt werden, oder auf Linux-VMs (Ubuntu 18.04+ oder eine entsprechende RHEL- oder SLES-VM) unterstützt.
• Wird nur für die AD-Gesamtstruktur unterstützt, in der das Speicherkonto registriert ist. Benutzer, die verschiedenen Domänen innerhalb derselben Gesamtstruktur angehören, sollten auf die Dateifreigabe und die zugrunde liegenden Verzeichnisse/Dateien zugreifen können, solange sie über die entsprechenden Berechtigungen verfügen.
• Sie können auf Azure-Dateifreigaben standardmäßig nur mit den AD DS-Anmeldeinformationen einer einzelnen Gesamtstruktur zugreifen. Wenn Sie von einer anderen Gesamtstruktur aus auf Ihre Azure-Dateifreigabe zugreifen müssen, stellen Sie sicher, dass Sie die richtige Gesamtstrukturvertrauensstellung konfiguriert haben. Weitere Informationen finden Sie unter Verwenden von Azure Files mit mehreren Active Directory-Gesamtstrukturen.
• Unterstützt nicht das Zuweisen von Berechtigungen auf Freigabeebene zu Computerkonten mithilfe von Azure RBAC. Sie können entweder eine Standardberechtigung auf Freigabeebene verwenden, um Computerkonten den Zugriff auf die Freigabe zu ermöglichen, oder stattdessen ein Dienstanmeldekonto verwenden.
• Unterstützt keine Authentifizierung bei NFS-Dateifreigaben (Network File System).

Wenn Sie AD DS für Azure-Dateifreigaben über SMB aktivieren, können Ihre in AD DS eingebundenen Computer Azure-Dateifreigaben mithilfe Ihrer vorhandenen AD DS-Anmeldeinformationen bereitstellen. Diese Funktion kann für eine AD DS-Umgebung aktiviert werden, die entweder auf lokalen Computern oder auf einem virtuellen Computer (VM) in Azure gehostet wird.

Videos

Um Sie beim Einrichten der identitätsbasierten Authentifizierung für gängige Anwendungsfälle zu unterstützen, haben wir zwei Videos mit Schrittanleitungen für die folgenden Szenarien veröffentlicht. Beachten Sie, dass Azure Active Directory jetzt Microsoft Entra-ID ist. Weitere Informationen finden Sie unter Neuer Name für Azure AD.

Ersetzen lokaler Dateiserver durch Azure Files (einschließlich Einrichtung eines privaten Links für Dateien und AD-Authentifizierung)	Verwenden von Azure Files als Profilcontainer für Azure Virtual Desktop (einschließlich Einrichtung der AD-Authentifizierung und FSLogix-Konfiguration)

Voraussetzungen

Bevor Sie die AD DS-Authentifizierung für Azure-Dateifreigaben aktivieren, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:

• Wählen oder erstellen Sie Ihre AD DS-Umgebung, und synchronisieren Sie sie mit Microsoft Entra ID. Verwenden Sie dazu entweder die lokale Microsoft Entra Connect-Synchronisierungsanwendung oder die Microsoft Entra Connect-Cloudsynchronisierung, einen einfachen Agent, der über das Microsoft Entra Admin Center installiert werden kann.

  Sie können das Feature für eine neue oder eine vorhandene AD DS-Umgebung aktivieren. Für den Zugriff verwendete Identitäten müssen mit Microsoft Entra ID synchronisiert werden oder eine Standardberechtigung auf Freigabeebene verwenden. Der Microsoft Entra-Mandant und die Dateifreigabe, auf die Sie zugreifen möchten, müssen dem gleichen Abonnement zugeordnet sein.

• Binden Sie einen lokalen Computer oder eine Azure-VM in eine lokale AD DS-Domäne ein. Weitere Informationen zum Domänenbeitritt finden Sie unter Hinzufügen eines Computers zu einer Domäne.

  Wenn ein Computer der Domäne nicht beigetreten ist, können Sie trotzdem AD DS für die Authentifizierung verwenden, wenn der Computer eine uneingeschränkte Netzwerkverbindung mit dem lokalen AD-Domänencontroller hat und der Benutzer oder die Benutzerin die Anmeldeinformationen explizit eingibt. Weitere Informationen finden Sie unter Einbinden der Dateifreigabe über einen nicht in die Domäne eingebundenen virtuellen Computer oder einem virtuellen Computer, der einer anderen AD-Domäne hinzugefügt ist.

• Wählen Sie ein Azure-Speicherkonto, oder erstellen Sie eines. Für optimale Leistung wird empfohlen, das Speicherkonto in derselben Region bereitzustellen wie der Client, von dem aus Sie auf die Freigabe zugreifen möchten. Binden Sie dann die Azure-Dateifreigabe mit dem Speicherkontoschlüssel ein. Durch die Einbindung mit dem Speicherkontoschlüssel wird die Konnektivität verifiziert.

  Stellen Sie sicher, dass das Speicherkonto mit den Dateifreigaben nicht bereits für die identitätsbasierte Authentifizierung konfiguriert ist. Wenn für das Speicherkonto bereits eine AD-Quelle aktiviert ist, müssen Sie diese deaktivieren, bevor Sie lokale AD DS aktivieren.

  Wenn beim Herstellen einer Verbindung mit Azure Files Probleme auftreten, können Sie das Problembehandlungstool verwenden, das für Azure Files-Einbindungsfehler unter Windows veröffentlicht wurde.

• Nehmen Sie alle relevanten Netzwerkkonfigurationen vor der Aktivierung und Konfiguration der AD DS-Authentifizierung für Ihre Azure-Dateifreigaben vor. Weitere Informationen finden Sie unter Azure Files – Überlegungen zum Netzwerkbetrieb.

Regionale Verfügbarkeit

Die Azure Files-Authentifizierung mit AD DS ist in allen öffentlichen Azure-Regionen, Azure, China und Gov-Regionen verfügbar.

Übersicht

Wenn Sie Netzwerkkonfigurationen für Ihre Dateifreigabe aktivieren möchten, lesen Sie den Artikel Netzwerküberlegungen, und nehmen Sie entsprechende Konfiguration vor, bevor Sie die AD DS-Authentifizierung aktivieren.

Wenn Sie die AD DS-Authentifizierung für Ihre Azure-Dateifreigaben aktivieren, können Sie sich mit Ihren lokalen AD DS-Anmeldeinformationen bei ihren Azure-Dateifreigaben authentifizieren. Außerdem ermöglicht es eine bessere Verwaltung der Berechtigungen, sodass Sie eine präzise Zugriffssteuerung erzielen. Dazu müssen Identitäten von der lokalen AD DS-Instanz mit Microsoft Entra ID synchronisiert werden, entweder mithilfe der lokalen Microsoft Entra Connect-Synchronisierungsanwendung oder der Microsoft Entra Connect-Cloudsynchronisierung, einem einfachen Agent, der über das Microsoft Entra Admin Center installiert werden kann. Sie weisen Hybrididentitäten, die mit Microsoft Entra ID synchronisiert werden, Berechtigungen auf Freigabeebene zu und verwalten den Zugriff auf Datei-/Verzeichnisebene mit Windows-Zugriffssteuerungslisten.

Führen Sie diese Schritte aus, um Azure Files für die AD DS-Authentifizierung einzurichten:

1. Aktivieren von AD DS-Authentifizierung für Ihr Speicherkonto

2. Zuweisen von Berechtigungen auf Freigabeebene zur Microsoft Entra-Identität (Benutzer*in, Gruppe oder Dienstprinzipal), die mit der AD-Zielidentität synchronisiert wird

3. Konfigurieren von Windows ACLs über SMB für Verzeichnisse und Dateien

4. Binden Sie eine Azure-Dateifreigabe für eine VM ein, die Mitglied Ihrer AD DS-Umgebung ist.

5. Aktualisieren Sie das Kennwort für Ihre Speicherkontoidentität in AD DS.

Das folgende Diagramm zeigt den vollständigen Workflow zur Aktivierung der AD DS-Authentifizierung über SMB für Azure-Dateifreigaben.

Die für den Zugriff auf Azure-Dateifreigaben verwendeten Identitäten müssen mit Microsoft Entra ID synchronisiert werden, um über das Modell für die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure-RBAC) Dateiberechtigungen auf Freigabeebene zu erzwingen. Alternativ können Sie eine Standardberechtigung auf Freigabeebene verwenden. DACLs im Windows-Stil für Dateien/Verzeichnisse, die von vorhandenen Dateiservern übertragen werden, werden beibehalten und erzwungen. Diese bietet Ihnen nahtlose Integration in die AD DS-Umgebung Ihres Unternehmens. Wenn Sie lokale Dateiserver durch Azure-Dateifreigaben ersetzen, können vorhandene Benutzer*innen ohne Änderungen an den verwendeten Anmeldeinformationen auf Azure-Dateifreigaben von ihren aktuellen SSO-Clients aus zugreifen.

Nächster Schritt

Um zu beginnen, müssen Sie die AD DS-Authentifizierung für Ihr Speicherkonto aktivieren.