Acceso a volúmenes SMB desde máquinas virtuales Windows unidas a Microsoft Entra

Puede usar Microsoft Entra ID con el módulo Administración de autenticación híbrida para autenticar las credenciales en la nube híbrida. Esta solución permite a Microsoft Entra ID convertirse en el origen de confianza para la autenticación local y en la nube, evitando la necesidad de que los clientes se conecten a Azure NetApp Files para unir el dominio de AD local.

Nota:

El uso de Microsoft Entra ID para autenticar identidades de usuario híbridas permite a los usuarios de Microsoft Entra acceder a recursos compartidos SMB de Azure NetApp Files. Esto significa que los usuarios finales pueden acceder a recursos compartidos de SMB de Azure NetApp Files sin necesidad de una línea de visión a los controladores de dominio de las máquinas virtuales unidas a Microsoft Entra híbridos y unidas a Microsoft Entra. Las identidades solo en la nube no se admiten actualmente. Para obtener más información, consulte Descripción de las directrices para el diseño de Active Directory Domain Services y planificación.

Requisitos y consideraciones

• No se admiten volúmenes NFS de Azure NetApp Files y volúmenes de protocolo dual (NFSv4.1 y SMB).

• Se admiten volúmenes de protocolo dual NFSv3 y SMB con estilo de seguridad NTFS.

• Debe haber instalado y configurado Microsoft Entra Conectar para sincronizar los usuarios de AD DS con el identificador de Microsoft Entra. Para obtener más información, consulte Introducción a Microsoft Entra Conectar mediante la configuración rápida.

  Compruebe que las identidades híbridas se sincronizan con los usuarios de Microsoft Entra. En Azure Portal, en Id. de Microsoft Entra, vaya a Usuarios. Debería ver que se muestran las cuentas de usuario de AD DS y la propiedad Sincronización local habilitada muestra "Sí".

  Nota:

  Después de la configuración inicial de Microsoft Entra Conectar, al agregar un nuevo usuario de AD DS, debe ejecutar el Start-ADSyncSyncCycle comando en el Administración istrator PowerShell para sincronizar el nuevo usuario con el identificador de Microsoft Entra o esperar a que se produzca la sincronización programada.

• Debe haber creado un volumen SMB para Azure NetApp Files.

• Debe tener una máquina virtual Windows con el inicio de sesión de Microsoft Entra habilitado. Para obtener más información, consulte Iniciar sesión en una máquina virtual Windows en Azure mediante el identificador de Microsoft Entra. Asegúrese de configurar las asignaciones de roles para la máquina virtual para determinar qué cuentas pueden iniciar sesión en la máquina virtual.

• DNS debe estar configurado correctamente para que la máquina virtual cliente pueda acceder a los volúmenes de Azure NetApp Files a través del nombre de dominio completo (FQDN).

Pasos

El proceso de configuración le lleva a través de cinco procesos:

• Adición del SPN cifS a la cuenta de equipo
• Registro de una nueva aplicación de Microsoft Entra
• Sincronización de la contraseña CIFS desde AD DS al registro de aplicaciones de Microsoft Entra
• Configuración de la máquina virtual unida a Microsoft Entra para usar la autenticación Kerberos
• Montaje de volúmenes SMB de Azure NetApp Files

Adición del SPN cifS a la cuenta de equipo

1. En el controlador de dominio de AD DS, abra Usuarios y equipos de Active Directory.
2. En el menú Ver , seleccione Características avanzadas.
3. En Equipos, haga clic con el botón derecho en la cuenta de equipo creada como parte del volumen de Azure NetApp Files y seleccione Propiedades.
4. En Editor de atributos, busque servicePrincipalName. En el editor de cadenas multivalor, agregue el valor de SPN CIFS mediante el formato CIFS/FQDN.

Registro de una nueva aplicación de Microsoft Entra

1. En Azure Portal, vaya a Microsoft Entra ID. Seleccione Registros de aplicaciones.
2. Seleccione + Nuevo registro.
3. Asigne un nombre. En seleccionar el tipo de cuenta compatible, elija Cuentas solo en este directorio organizativo (inquilino único).
4. Seleccione Registrar.

1. Configure los permisos de la aplicación. En registros de aplicaciones, seleccione Permisos de API y, después, Agregar un permiso.

2. Seleccione Microsoft Graph y, después, Permisos delegados. En Seleccionar permisos, seleccione openid y perfil en Permisos openId.

   

3. Seleccione Agregar permiso.

4. En Permisos de API, seleccione Conceder consentimiento del administrador para....

   

5. En Autenticación, en Bloqueo de propiedad de instancia de aplicación, seleccione Configurar y desactive la casilla con la etiqueta Habilitar bloqueo de propiedad.

   

6. En Información general, anote el identificador de aplicación (cliente), que es necesario más adelante.

Sincronización de la contraseña CIFS desde AD DS al registro de aplicaciones de Microsoft Entra

1. En el controlador de dominio de AD DS, abra PowerShell.

2. Instale el módulo Administración de autenticación híbrida para sincronizar contraseñas.

   Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force 
   

3. Defina las siguientes variables:

   • $servicePrincipalName: los detalles del SPN del montaje del volumen de Azure NetApp Files. Use el formato CIFS/FQDN. Por ejemplo: CIFS/NETBIOS-1234.CONTOSO.COM
   • $targetApplicationID: id. de aplicación (cliente) de la aplicación Microsoft Entra.
   • $domainCred: use Get-Credential (debe ser un administrador de dominio de AD DS)
   • $cloudCred: use Get-Credential (debe ser un Administración istrator global de Microsoft Entra)

   $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
   $targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
   $domainCred = Get-Credential
   $cloudCred = Get-Credential
   

   Nota:

   El Get-Credential comando iniciará una ventana emergente donde puede escribir las credenciales.

4. Importe los detalles de CIFS a Microsoft Entra ID:

   Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId 
   

Configuración de la máquina virtual unida a Microsoft Entra para usar la autenticación Kerberos

1. Inicie sesión en la máquina virtual unida a Microsoft Entra mediante credenciales híbridas con derechos administrativos (por ejemplo: user@mydirectory.onmicrosoft.com).

2. Configure la máquina virtual:

   1. Vaya a Editar directiva de grupo Configuración> del equipo>Administración Plantillasistrative Templates>System>Kerberos.
   2. Habilite Permitir recuperar el vale de concesión de vales de Kerberos de Microsoft Entra durante el inicio de sesión.
   3. Habilite Definir asignaciones de dominio de nombre de host a Kerberos. Seleccione Mostrar y, a continuación, proporcione un nombre de valor y un valor con el nombre de dominio precedido por un punto. Por ejemplo:
      • Nombre del valor: KERBEROS.MICROSOFTONLINE.COM
      • Valor: .contoso.com

   

Montaje de volúmenes SMB de Azure NetApp Files

1. Inicie sesión en la máquina virtual unida a Microsoft Entra mediante una cuenta de identidad híbrida sincronizada desde AD DS.

2. Monte el volumen SMB de Azure NetApp Files mediante la información proporcionada en Azure Portal. Para obtener más información, consulte Montaje de volúmenes SMB para máquinas virtuales Windows.

3. Confirme que el volumen montado usa la autenticación Kerberos y no la autenticación NTLM. Abra un símbolo del sistema, emita el klist comando; observe la salida en la nube TGT (krbtgt) y la información de vales del servidor CIFS.

   

Más información

• Descripción de las directrices de Servicios de dominio de Active Directory
• Creación y administración de conexiones de Active Directory
• Introducción a Microsoft Entra Conectar V2.0