Habilitación de la autenticación de Microsoft Entra Domain Services en Azure Files

  • Artículo

Azure Files admite la autenticación basada en identidades para recursos compartidos de archivos de Windows a través del Bloque de mensajes del servidor (SMB) con el protocolo de autenticación Kerberos mediante los métodos siguientes:

  • Active Directory Domain Services (AD DS) local
  • Servicios de dominio de Microsoft Entra
  • Microsoft Entra Kerberos para identidades de usuario híbrido

Este artículo se centra en habilitar y configurar Microsoft Entra Domain Services (anteriormente Azure Active Directory Domain Services) para la autenticación basada en identidades con recursos compartidos de archivos de Azure. En este escenario de autenticación, las credenciales de Microsoft Entra y las credenciales de Microsoft Entra Domain Services son las mismas y se pueden usar indistintamente.

Se recomienda encarecidamente consultar la sección Funcionamiento para seleccionar el origen de AD adecuado para la autenticación. La instalación difiere en función del origen de AD que se elija.

Si no está familiarizado con Azure Files, se recomienda que lea la guía de planeamiento antes de este artículo.

Nota:

Azure Files admite la autenticación de Kerberos con Microsoft Entra Domain Services mediante el cifrado RC4-HMAC y AES-256. Se recomienda usar AES-256.

Azure Files admite la autenticación de Microsoft Entra Domain Services con sincronización completa o parcial (con ámbito) con Microsoft Entra ID. En el caso de los entornos con sincronización con ámbito presente, los administradores deben tener en cuenta que Azure Files solo respeta las asignaciones de roles de RBAC de Azure que se conceden a las entidades de seguridad que están sincronizadas. El servicio Azure Files omitirá las asignaciones de roles concedidas a identidades que no se sincronicen de Microsoft Entra ID a Microsoft Entra Domain Services.

Se aplica a

Tipo de recurso compartido de archivos SMB NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS Yes No
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS Yes No
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS Yes No

Requisitos previos

Antes de habilitar Microsoft Entra Domain Services con SMB para los recursos compartidos de archivos de Azure, asegúrese de que ha completado los requisitos previos siguientes:

  1. Seleccionar o crear un inquilino de Microsoft Entra.

    Puede usar un inquilino nuevo o uno existente. El inquilino y el recurso compartido de archivos a los que desea acceder deben asociarse con la misma suscripción.

    Para crear un nuevo inquilino de Microsoft Entra, puede Agregar un inquilino de Microsoft Entra y una suscripción de Microsoft Entra. Si ya tiene un inquilino de Microsoft Entra, pero desea crear otro para usarlo con los recursos compartido de archivos de Azure, consulte Creación de un inquilino de Microsoft Entra.

  2. Habilitar Microsoft Entra Domain Services en el inquilino de Microsoft Entra.

    Para admitir la autenticación con credenciales de Microsoft Entra, debe habilitar Microsoft Entra Domain Services para su inquilino de Microsoft Entra. Si no es el administrador del inquilino de Microsoft Entra, póngase en contacto con el administrador y siga las instrucciones paso a paso para habilitar Microsoft Entra Domain Services mediante Azure Portal.

    Suele tardar unos 15 minutos en completarse una implementación de Microsoft Entra Domain Services. Confirme que el estado de mantenimiento de Microsoft Entra Domain Services muestra En ejecución, con la sincronización de hash de contraseña habilitada, antes de continuar con el paso siguiente.

  3. Unión a dominio de una máquina virtual de Azure con Microsoft Entra Domain Services.

    Para acceder a un recurso compartido de archivos de Azure mediante las credenciales de Microsoft Entra desde una VM, esta debe unirse a un dominio con Microsoft Entra Domain Services. Para más información sobre cómo unir a un dominio una máquina virtual, consulte Unión de una máquina virtual de Windows Server a un dominio administrado. La autenticación de Microsoft Entra Domain Services a través de SMB con recursos compartido de archivos de Azure solo se admite en máquinas virtuales de Azure que se ejecutan en versiones del sistema operativo posteriores a Windows 7 o Windows Server 2008 R2.

    Nota:

    Las VM no unidas a un dominio pueden acceder a los recursos compartidos de archivos de Azure mediante la autenticación de Microsoft Entra Domain Services solo si la VM tiene conectividad de red no impedida a los controladores de dominio para Microsoft Entra Domain Services. Normalmente, esto requiere una VPN de sitio a sitio o de punto a sitio.

  4. Seleccione o cree un recurso compartido de archivos.

    Seleccione un recurso compartido de archivos nuevo o existente que esté asociado con la misma suscripción que el inquilino de Microsoft Entra. Para información acerca de cómo crear un nuevo recurso compartido de archivos, consulte Creación de un recurso compartido de archivos en Azure Files. Para obtener un rendimiento óptimo, se recomienda que el recurso compartido de archivos esté en la misma región que la máquina virtual desde la que vaya a acceder al recurso compartido.

  5. Compruebe la conectividad de Azure Files; para ello, monte los recursos compartidos de archivos de Azure con la clave de su cuenta de almacenamiento.

    Para comprobar que el recurso compartido de archivos y de la máquina virtual están configurados correctamente, intente montar el recurso compartido de archivos con la clave de la cuenta de almacenamiento. Para más información, consulte Montaje de un recurso compartido de archivos de Azure y acceso al recurso compartido en Windows.

Disponibilidad regional

La autenticación de Azure Files con Microsoft Entra Domain Services está disponible en todas las regiones públicas, de Azure Government y de China.

Información general del flujo de trabajo

Antes de habilitar la autenticación de Microsoft Entra Domain Services a través de SMB para los recursos compartido de archivos de Files, compruebe que los entornos de Azure Storage y Microsoft Entra ID se han configurado correctamente. Se recomienda que revise los requisitos previos para asegurarse de que ha completado todos los pasos necesarios.

Siga estos pasos para conceder acceso a los recursos de Azure Files con las credenciales de Microsoft Entra:

  1. Habilite la autenticación de Microsoft Entra Domain Services a través de SMB para la cuenta de almacenamiento a fin de registrar dicha cuenta con la implementación de Microsoft Entra Domain Services asociada.
  2. Asigne permisos de nivel de recurso compartido a una identidad de Microsoft Entra (usuario, grupo o entidad de servicio).
  3. Conéctese al recurso compartido de archivos de Azure mediante una clave de cuenta de almacenamiento y configure listas de control de acceso (ACL) de Windows para los directorios y los archivos.
  4. Monte un recurso compartido de archivos de Azure desde una máquina virtual unida al dominio.

En el diagrama siguiente se ilustra el flujo de trabajo de un extremo a otro para habilitar la autenticación de Microsoft Entra Domain Services a través de SMB para Azure Files.

Diagram showing Microsoft Entra ID over SMB for Azure Files workflow

Habilitación de la autenticación de Microsoft Entra Domain Services para su cuenta

Para habilitar la autenticación de Microsoft Entra Domain Services a través de SMB para Azure Files, puede establecer una propiedad en las cuentas de almacenamiento mediante Azure Portal, Azure PowerShell o la CLI de Azure. Al establecer esta propiedad "une a un dominio" implícitamente la cuenta de almacenamiento con la implementación de Microsoft Entra Domain Services asociada. La autenticación de Microsoft Entra Domain Services a través de SMB se habilita entonces para todos los recursos compartidos de archivos nuevos y existentes de la cuenta de almacenamiento.

Tenga en cuenta que puede habilitar la autenticación de Microsoft Entra Domain Services a través de SMB solo después de haber implementado correctamente Microsoft Entra Domain Services en su inquilino de Microsoft Entra. Para más información, consulte la sección los requisitos previos.

Para habilitar la autenticación de Microsoft Entra Domain Services a través de SMB mediante Azure Portal, siga estos pasos:

  1. En Azure Portal, vaya a la cuenta de almacenamiento existente o cree una.

  2. En la sección Recursos compartidos, seleccione Active Directory: No configurado.

    Screenshot of the File shares pane in your storage account, Active directory is highlighted.

  3. Seleccione Microsoft Entra Domain Services y luego marque la casilla para habilitar la característica.

  4. Seleccione Guardar.

    Screenshot of the Active Directory pane, Microsoft Entra Domain Services is enabled.

De forma predeterminada, la autenticación de Microsoft Entra Domain Services usa el cifrado Kerberos RC4. Se recomienda configurarlo para usar, en su lugar, el cifrado AES-256 de Kerberos. Para ello, siga estas instrucciones.

La acción requiere ejecutar una operación en el dominio de Active Directory administrado por Microsoft Entra Domain Services para acceder a un controlador de dominio para solicitar un cambio de propiedad en el objeto de dominio. Los siguientes cmdlets son cmdlets de PowerShell de Windows Server Active Directory, no de Azure PowerShell. Por este motivo, estos comandos de PowerShell deben ejecutarse en una máquina cliente unida a un dominio de Microsoft Entra Domain Services.

Importante

Los cmdlets de PowerShell de Windows Server Active Directory de esta sección deben ejecutarse en Windows PowerShell 5.1 desde una máquina cliente unida a un dominio de Microsoft Entra Domain Services. PowerShell 7.x y Azure Cloud Shell no funcionarán en este escenario.

Inicie sesión en la máquina de cliente unida a un dominio como usuario de Microsoft Entra Domain Services con los permisos necesarios. Debe tener acceso de escritura al atributo msDS-SupportedEncryptionTypes del objeto de dominio. Por lo general, los miembros del grupo Administradores de controlador de dominio de AAD tendrán los permisos necesarios. Abra una sesión normal (sin privilegios elevados) de PowerShell y ejecute los comandos siguientes.

# 1. Find the service account in your managed domain that represents the storage account.

$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter

if ($userObject -eq $null)
{
   Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}

# 2. Set the KerberosEncryptionType of the object

Set-ADUser $userObject -KerberosEncryptionType AES256

# 3. Validate that the object now has the expected (AES256) encryption type.

Get-ADUser $userObject -properties KerberosEncryptionType

Importante

Si anteriormente usaba el cifrado RC4 y actualizaba la cuenta de almacenamiento para usar AES-256, debe ejecutar klist purge en el cliente y, a continuación, volver a montar el recurso compartido de archivos para obtener nuevos vales Kerberos con AES-256.

Asignación de permisos de nivel de recurso compartido

Para acceder a los recursos de Azure Files con la autenticación basada en identidades, una identidad (usuario, grupo o entidad de servicio) debe tener los permisos necesarios en el nivel de recurso compartido. Este proceso es similar a especificar los permisos de recurso compartido de Windows, donde se especifica el tipo de acceso que tiene un usuario determinado a un recurso compartido de archivos. Las instrucciones de esta sección muestran cómo asignar permisos de lectura, escritura o eliminación para un recurso compartido de archivos a una identidad. Se recomienda asignar permisos declarando acciones y acciones de datos explícitamente en lugar de usar el carácter comodín (*).

La mayoría de los usuarios deben asignar permisos de nivel de recurso compartido a usuarios o grupos específicos de Microsoft Entra y, después, configurar listas de control de acceso de Windows para el control de acceso pormenorizado en el nivel de directorio y archivo. Sin embargo, como alternativa, puede establecer un permiso de nivel de recurso compartido predeterminado para permitir el acceso de colaborador, colaborador con privilegios elevados o lector a todas las identidades autenticadas.

Hay cinco roles integrados de Azure para Azure Files, algunos de los cuales permiten conceder permisos de nivel de recurso compartido a usuarios y grupos:

  • El Lector de recursos compartidos de datos de archivos de almacenamiento permite el acceso de lectura en los recursos compartidos de archivos de Azure a través de SMB.
  • El rol Lector con privilegios de datos de archivos de almacenamiento permite el acceso de lectura en recursos compartidos de archivos de Azure a través de SMB reemplazando las ACL de Windows existentes.
  • El rol Colaborador de recursos compartidos de datos de archivos de almacenamiento permite el acceso de lectura, escritura y eliminación en los recursos compartidos de archivos de Azure a través de SMB.
  • El rol Colaborador con privilegios elevados de recursos compartidos de datos de archivos de almacenamiento permite el acceso de lectura, escritura, eliminación y modificación de ACL de Windows en los recursos compartidos de archivos de Azure mediante SMB.
  • El rol Colaborador con privilegios de datos de archivos de almacenamiento permite el acceso de lectura, escritura, eliminación y modificación de ACL de Windows en los recursos compartidos de archivos de Azure mediante SMB reemplazando las ACL de Windows existentes.

Importante

El control administrativo total de un recurso compartido de archivos, incluida la capacidad de tomar posición de un archivo, requiere usar la clave de la cuenta de almacenamiento. El control administrativo no se admite con las credenciales de Microsoft Entra.

Puede usar Azure Portal, PowerShell o la CLI de Azure para asignar los roles integrados a la identidad de Microsoft Entra de un usuario a fin de conceder permisos de nivel de recurso compartido. Tenga en cuenta que la asignación de roles de Azure de nivel de recurso compartido puede tardar un tiempo en estar en vigor. Se recomienda usar el permiso de nivel de recurso compartido para la administración del acceso de alto nivel para un grupo de AD que represente un grupo de usuarios e identidades y, después, aprovechar las listas de control de acceso de Windows para el control de acceso pormenorizado en el nivel de directorio o archivo.

Asignación de un rol de Azure a una identidad de Microsoft Entra

Importante

Asigne permisos al declarar explícitamente acciones y acciones de datos en lugar de usar un carácter comodín (*). Si la definición de rol personalizada de una acción de datos contiene un carácter comodín, se concede acceso a todas las identidades asignadas a ese rol para todas las posibles acciones de datos. Esto significa que a todas esas identidades también se les concederá cualquier nueva acción de datos agregada a la plataforma. El acceso adicional y los permisos concedidos mediante nuevas acciones o acciones de datos pueden ser comportamientos no deseados para los clientes que usan un carácter comodín.

Para asignar un rol de Azure a una identidad de Microsoft Entra mediante Azure Portal, siga estos pasos:

  1. En Azure Portal, vaya al recurso compartido de archivos o cree un recurso compartido de archivos.
  2. Seleccione Access Control (IAM) .
  3. Seleccione Agregar una asignación de roles.
  4. En la hoja Agregar asignación de roles, seleccione el rol integrado adecuado (por ejemplo, Lector o Colaborador de recursos compartidos de SMB de datos de archivos de almacenamiento) en la lista desplegable Rol. En Asignar acceso a, deje el valor predeterminado de Usuario, grupo o entidad de servicio de Microsoft Entra. Seleccione la identidad de Microsoft Entra de destino por nombre o dirección de correo electrónico.
  5. Seleccione Revisar y asignar para completar la asignación de roles.

Configuración de ACL de Windows

Después de asignar los permisos de los recursos compartidos con RBAC, puede asignar las ACL de Windows a las raíces, los directorios o los archivos. Considere los permisos de nivel de recurso compartido como el equipo selector de alto nivel que determina si un usuario puede acceder al recurso compartido, mientras que las listas de control de acceso de Windows actúan en un nivel más pormenorizado para determinar las operaciones que puede hacer un usuario en el nivel de directorio o archivo.

Azure Files admite el conjunto completo de permisos básicos y avanzados. Las listas de control de acceso de Windows se pueden ver y configurar en los directorios y los archivos de un recurso compartido de archivos de Azure; para ello, monte el recurso compartido y utilice el Explorador de archivos de Windows o ejecute el comando icacls o Set-ACL de Windows.

Se admiten los siguientes conjuntos de permisos en el directorio raíz de un recurso compartido de archivos:

  • BUILTIN\Administrators:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

Para más información, consulte Configuración de permisos de nivel de directorio y de archivo en SMB.

Montaje del recurso compartido de archivos mediante la clave de la cuenta de almacenamiento

Antes de configurar las ACL de Windows, primero debe montar el recurso compartido de archivos en la máquina virtual unida a un dominio mediante la clave de la cuenta de almacenamiento. Para ello, inicie sesión en la máquina virtual unida a un dominio como usuario de Microsoft Entra, abra un símbolo del sistema de Windows y ejecute el comando siguiente. Recuerde reemplazar <YourStorageAccountName>, <FileShareName> y <YourStorageAccountKey> por sus valores propios. Si Z ya está en uso, reemplácelo por una letra de unidad disponible. Para encontrar la clave de la cuenta de almacenamiento en Azure Portal, vaya a la cuenta de almacenamiento y seleccione Seguridad y redes>Claves de acceso, o bien puede usar el cmdlet Get-AzStorageAccountKey de PowerShell.

Es importante que use el comando net use de Windows para montar el recurso compartido en esta fase, no PowerShell. Si usa PowerShell para montar el recurso compartido, este no será visible para el Explorador de archivos de Windows o cmd.exe, y no podrá configurar las ACL de Windows.

Nota

Es posible que vea la ACL de control total ya aplicada a un rol. Normalmente, esto ya ofrece la posibilidad de asignar permisos. Sin embargo, dado que hay comprobaciones de acceso en dos niveles (el nivel de recurso compartido y el nivel de archivo o directorio), esto está restringido. Solo los usuarios que tienen el rol Colaborador con privilegios elevados de SMB y crean un archivo o directorio pueden asignar permisos en esos archivos o directorios nuevos sin utilizar la clave de cuenta de almacenamiento. El resto de la asignación de permisos de archivo o directorio requiere primero conectarse al recurso compartido con la clave de cuenta de almacenamiento.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Configuración de ACL de Windows con el Explorador de archivos de Windows

Una vez que monta el recurso compartido de archivos de Azure, debe configurar las ACL de Windows. Puede hacerlo en el Explorador de archivos de Windows o con icacls.

Siga estos pasos para utilizar el Explorador de archivos de Windows a fin de conceder permisos completos para todos los directorios y archivos en el recurso compartido de archivos, incluido el directorio raíz.

  1. Abra el Explorador de archivos de Windows y haga clic con el botón derecho en el archivo o directorio, y seleccione Propiedades.
  2. Seleccione la pestaña Seguridad .
  3. Seleccione Editar para cambiar los permisos.
  4. Puede cambiar los permisos de los usuarios existentes o seleccionar Agregar para conceder permisos a usuarios nuevos.
  5. En la ventana del símbolo del sistema para agregar nuevos usuarios, escriba el nombre de usuario de destino al que desea conceder el permiso en el cuadro Escriba los nombres de objeto que desea seleccionar y seleccione Comprobar nombres para buscar el nombre UPN completo del usuario de destino.
  6. Seleccione Aceptar.
  7. En la pestaña Seguridad, seleccione todos los permisos que desea conceder al nuevo usuario.
  8. Seleccione Aplicar.

Configuración de ACL de Windows con icacls

Utilice el siguiente comando de Windows para conceder permisos completos para todos los directorios y archivos en el recurso compartido de archivos, incluido el directorio raíz. No olvide reemplazar los valores del marcador de posición en el ejemplo por los suyos propios.

icacls <mounted-drive-letter>: /grant <user-email>:(f)

Para más información sobre cómo usar icacls para establecer listas de control de acceso de Windows, así como sobre los distintos tipos de permisos admitidos,consulte la referencia de línea de comandos de icacls.

Montaje del recurso compartido de archivos desde una VM unida al dominio

El proceso siguiente comprueba que tanto el recurso compartido de archivos como los permisos de acceso se han configurado correctamente y que puede acceder a un recurso compartido de archivos de Azure desde una máquina virtual unida a un dominio. Tenga en cuenta que la asignación de roles de Azure de nivel de recurso compartido puede tardar un tiempo en estar en vigor.

Inicie sesión en la máquina virtual unida al dominio con la identidad de Microsoft Entra a la que se concedieron permisos. Asegúrese de iniciar sesión con las credenciales de Microsoft Entra. Si la unidad ya está montada con la clave de la cuenta de almacenamiento, deberá desconectar la unidad o volver a iniciar sesión.

Ejecute el script de PowerShell siguiente o use Azure Portal para montar de manera persistente el recurso compartido de archivos de Azure y asignarlo a la unidad Z: en Windows. Si Z ya está en uso, reemplácelo por una letra de unidad disponible. Como se autenticó, no será necesario que proporcione la clave de cuenta de almacenamiento. El script comprobará si esta cuenta de almacenamiento es accesible a través del puerto TCP 445, que es el puerto que SMB usa. Recuerde reemplazar <storage-account-name> y <file-share-name> por sus valores propios. Para más información, consulte Uso de un recurso compartido de archivos de Azure con Windows.

A menos que use nombres de dominio personalizados, debe montar recursos compartidos de archivos de Azure mediante el sufijo file.core.windows.net, incluso aunque configure un punto de conexión privado para el recurso compartido.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

También puede usar el comando net-use desde una ventana del sistema de Windows para montar el recurso compartido de archivos. Recuerde reemplazar <YourStorageAccountName> y <FileShareName> por sus valores propios.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Montaje del recurso compartido de archivos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio de AD diferente

Las VM no unidas a un dominio o las VM que se han unido a un dominio diferente al de la cuenta de almacenamiento pueden acceder a los recursos compartidos de archivos de Azure mediante la autenticación de Microsoft Entra Domain Services solo si la VM tiene conectividad de red no impedida a los controladores de dominio para Microsoft Entra Domain Services, que están ubicados en Azure. Normalmente, esto requiere configurar una VPN de sitio a sitio o de punto a sitio. El usuario que accede al recurso compartido de archivos debe tener una identidad y credenciales (una identidad de Microsoft Entra sincronizada desde Microsoft Entra ID a Microsoft Entra Domain Services) en el dominio administrado de Microsoft Entra Domain Services.

Para montar un recurso compartido de archivos desde una máquina virtual no unida a un dominio, el usuario debe:

  • Proporcionar credenciales explícitas, como NOMBRE_DEL_DOMINIO\nombre_de_usuario, donde NOMBRE_DEL_DOMINIO es el dominio de Microsoft Entra Domain Services y el nombre de usuario es el de la identidad en Microsoft Entra Domain Services o
  • Use la notación username@domainFQDN, donde domainFQDN es el nombre de dominio completo.

El uso de uno de estos enfoques permitirá al cliente ponerse en contacto con el controlador de dominio en el dominio de Microsoft Entra Domain Services para solicitar y recibir vales de Kerberos.

Por ejemplo:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

or

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Pasos siguientes

Si desea conceder a otros usuarios acceso al recurso compartido de archivos, siga las instrucciones que aparecen en Asignación de permisos de nivel de recurso compartido y Configuración de ACL de Windows.

Para más información sobre la autenticación basada en identidad para Azure Files, consulte estos recursos: