Übersicht – lokale Active Directory Domain Services-Authentifizierung über SMB für Azure-Dateifreigaben

Azure Files unterstützt die identitätsbasierte Authentifizierung für Windows-Dateifreigaben über Server Message Block (SMB) mithilfe des Kerberos-Authentifizierungsprotokolls mit den folgenden drei Methoden:

  • Lokale Active Directory Domain Services (AD DS)
  • Azure Active Directory Domain Services (Azure AD DS)
  • Azure Active Directory (Azure AD) Kerberos für hybride Benutzeridentitäten

Es wird dringend empfohlen, den Abschnitt Funktionsweise zu lesen, damit Sie für die Authentifizierung die richtige AD-Quelle auswählen. Die Einrichtung unterscheidet sich je nach gewähltem Domänendienst. In diesem Artikel wird das Aktivieren und Konfigurieren von lokalen AD DS für die Authentifizierung mit Azure-Dateifreigaben erläutert.

Wenn Sie mit Azure Files noch nicht vertraut sind, empfehlen wir, unser Planungshandbuch zu lesen.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Ja Nein
Standard-Dateifreigaben (GPv2), GRS/GZRS Ja Nein
Premium-Dateifreigaben (FileStorage), LRS/ZRS Ja Nein

Unterstützte Szenarien und Einschränkungen

  • AD DS-Identitäten, die für die lokale AD DS-Authentifizierung in Azure Files verwendet werden, müssen mit Azure AD synchronisiert sein oder eine Standardberechtigung auf Freigabeebene verwenden. Kennworthashsynchronisierung ist optional.
  • Unterstützt von Azure-Dateisynchronisierung verwaltete Azure-Dateifreigaben.
  • Unterstützt Kerberos-Authentifizierung mit AD mit AES 256-Verschlüsselung (empfohlen) und RC4-HMAC. AES 128-Kerberos-Verschlüsselung wird noch nicht unterstützt.
  • Unterstützt Einmaliges Anmelden.
  • Nur für Clients mit Betriebssystemversionen Windows 8/Windows Server 2012 oder neuer unterstützt.
  • Wird nur für die AD-Gesamtstruktur unterstützt, in der das Speicherkonto registriert ist. Sie können auf Azure-Dateifreigaben standardmäßig nur mit den AD DS-Anmeldeinformationen einer einzelnen Gesamtstruktur zugreifen. Wenn Sie von einer anderen Gesamtstruktur aus auf Ihre Azure-Dateifreigabe zugreifen müssen, stellen Sie sicher, dass Sie die richtige Gesamtstrukturvertrauensstellung konfiguriert haben. Weitere Informationen finden Sie unter FAQ.
  • Unterstützt nicht das Zuweisen von Berechtigungen auf Freigabeebene zu Computerkonten mithilfe von Azure RBAC. Sie können entweder eine Standardberechtigung auf Freigabeebene verwenden, um Computerkonten den Zugriff auf die Freigabe zu ermöglichen, oder stattdessen ein Dienstanmeldekonto verwenden.
  • Unterstützt keine Authentifizierung bei NFS-Dateifreigaben (Network File System).
  • Unterstützt nicht die Verwendung von CNAME zum Bereitstellen von Dateifreigaben.

Wenn Sie AD DS für Azure-Dateifreigaben über SMB aktivieren, können Ihre in AD DS eingebundenen Computer Azure-Dateifreigaben mithilfe Ihrer vorhandenen AD DS-Anmeldeinformationen bereitstellen. Diese Funktion kann für eine AD DS-Umgebung aktiviert werden, die entweder auf lokalen Computern oder auf einem virtuellen Computer (VM) in Azure gehostet wird.

Videos

Um Sie beim Einrichten der identitätsbasierten Authentifizierung für gängige Anwendungsfälle zu unterstützen, haben wir zwei Videos mit Schrittanleitungen für die folgenden Szenarien veröffentlicht:

Ersetzen lokaler Dateiserver durch Azure Files (einschließlich Einrichtung eines privaten Links für Dateien und AD-Authentifizierung) Verwenden von Azure Files als Profilcontainer für Azure Virtual Desktop (einschließlich Einrichtung der AD-Authentifizierung und FSLogix-Konfiguration)
Screencast des Videos zum Thema „Ersetzen von lokalen Dateiservern“ – Zum Wiedergeben klicken. Screencast des Videos zum Thema „Verwenden von Azure Files als Profilcontainer“ – Zum Wiedergeben klicken.

Voraussetzungen

Bevor Sie die AD DS-Authentifizierung für Azure-Dateifreigaben aktivieren, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:

  • Wählen Sie Ihre AD DS-Umgebung aus, oder erstellen Sie sie, und synchronisieren Sie sie mit Azure AD. Hierzu können Sie entweder die lokale Azure AD Connect-Synchronisierung oder die Azure AD Connect-Cloudsynchronisierung verwenden – ein einfacher Agent, der über das Azure Active Directory Admin Center installiert werden kann.

    Sie können das Feature für eine neue oder eine vorhandene AD DS-Umgebung aktivieren. Für den Zugriff verwendete Identitäten müssen mit Azure AD synchronisiert werden oder eine Standardberechtigung auf Freigabeebene verwenden. Der Azure AD-Mandant und die Dateifreigabe, auf die Sie zugreifen möchten, müssen dem gleichen Abonnement zugeordnet sein.

  • Binden Sie einen lokalen Computer oder eine Azure-VM in eine lokale AD DS-Domäne ein. Weitere Informationen zum Domänenbeitritt finden Sie unter Hinzufügen eines Computers zu einer Domäne.

    Wenn ein Computer der Domäne nicht beigetreten ist, können Sie trotzdem AD DS für die Authentifizierung verwenden, wenn der Computer eine Sichtverbindung zum lokalen AD-Domänencontroller hat und der Benutzer seine Anmeldeinformationen explizit eingibt. Weitere Informationen finden Sie unter Einbinden der Dateifreigabe über einen nicht in die Domäne eingebundenen virtuellen Computer.

  • Wählen Sie ein Azure-Speicherkonto, oder erstellen Sie eines. Für optimale Leistung wird empfohlen, das Speicherkonto in derselben Region bereitzustellen wie der Client, von dem aus Sie auf die Freigabe zugreifen möchten. Binden Sie dann die Azure-Dateifreigabe mit dem Speicherkontoschlüssel ein. Durch die Einbindung mit dem Speicherkontoschlüssel wird die Konnektivität verifiziert.

    Stellen Sie sicher, dass das Speicherkonto mit den Dateifreigaben nicht bereits für die identitätsbasierte Authentifizierung konfiguriert ist. Wenn für das Speicherkonto bereits eine AD-Quelle aktiviert ist, müssen Sie diese deaktivieren, bevor Sie lokale AD DS aktivieren.

    Wenn beim Herstellen einer Verbindung mit Azure Files Probleme auftreten, können Sie das Problembehandlungstool verwenden, das für Azure Files-Einbindungsfehler unter Windows veröffentlicht wurde.

  • Nehmen Sie alle relevanten Netzwerkkonfigurationen vor der Aktivierung und Konfiguration der AD DS-Authentifizierung für Ihre Azure-Dateifreigaben vor. Weitere Informationen finden Sie unter Azure Files – Überlegungen zum Netzwerkbetrieb.

Regionale Verfügbarkeit

Die Azure Files-Authentifizierung mit AD DS ist in allen öffentlichen Azure-Regionen, Azure, China und Gov-Regionen verfügbar.

Übersicht

Wenn Sie Netzwerkkonfigurationen für Ihre Dateifreigabe aktivieren möchten, lesen Sie den Artikel Netzwerküberlegungen, und nehmen Sie entsprechende Konfiguration vor, bevor Sie die AD DS-Authentifizierung aktivieren.

Wenn Sie die AD DS-Authentifizierung für Ihre Azure-Dateifreigaben aktivieren, können Sie sich mit Ihren lokalen AD DS-Anmeldeinformationen bei ihren Azure-Dateifreigaben authentifizieren. Außerdem ermöglicht es eine bessere Verwaltung der Berechtigungen, sodass Sie eine präzise Zugriffssteuerung erzielen. Hierfür müssen Identitäten aus der lokalen AD DS-Instanz mit Azure AD synchronisiert werden – entweder mithilfe der lokalen Azure AD Connect-Synchronisierung oder mithilfe der Azure AD Connect-Cloudsynchronisierung (ein einfacher Agent, der über das Azure Active Directory Admin Center installiert werden kann). Sie weisen Hybrididentitäten, die mit Azure AD synchronisiert werden, Berechtigungen auf Freigabeebene zu und verwalten den Zugriff auf Datei-/Verzeichnisebene mit Windows-Zugriffssteuerungslisten.

Führen Sie diese Schritte aus, um Azure Files für die AD DS-Authentifizierung einzurichten:

  1. Aktivieren von AD DS-Authentifizierung für Ihr Speicherkonto

  2. Zuweisen von Berechtigungen auf Freigabeebene zur Azure AD-Identität (Benutzer, Gruppe oder Dienstprinzipal), die mit der AD-Zielidentität synchronisiert wird

  3. Konfigurieren von Windows ACLs über SMB für Verzeichnisse und Dateien

  4. Binden Sie eine Azure-Dateifreigabe für eine VM ein, die Mitglied Ihrer AD DS-Umgebung ist.

  5. Aktualisieren Sie das Kennwort für Ihre Speicherkontoidentität in AD DS.

Das folgende Diagramm zeigt den vollständigen Workflow zur Aktivierung der AD DS-Authentifizierung über SMB für Azure-Dateifreigaben.

Files AD-Workflowdiagramm

Die für den Zugriff auf Azure-Dateifreigaben verwendeten Identitäten müssen mit Azure AD synchronisiert werden, um über das Modell für die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure-RBAC) Dateiberechtigungen auf Freigabeebene zu erzwingen. Alternativ können Sie eine Standardberechtigung auf Freigabeebene verwenden. DACLs im Windows-Stil für Dateien/Verzeichnisse, die von vorhandenen Dateiservern übertragen werden, werden beibehalten und erzwungen. Diese bietet Ihnen nahtlose Integration in die AD DS-Umgebung Ihres Unternehmens. Wenn Sie lokale Dateiserver durch Azure-Dateifreigaben ersetzen, können vorhandene Benutzer*innen ohne Änderungen an den verwendeten Anmeldeinformationen auf Azure-Dateifreigaben von ihren aktuellen SSO-Clients aus zugreifen.

Nächste Schritte

Um zu beginnen, müssen Sie die AD DS-Authentifizierung für Ihr Speicherkonto aktivieren.