SMB-kötetek elérése a Microsoft Entra-hoz csatlakoztatott Windows rendszerű virtuális gépekről

A Hibrid hitelesítéskezelés modullal a Microsoft Entra ID használatával hitelesítheti a hitelesítő adatokat a hibrid felhőben. Ez a megoldás lehetővé teszi, hogy a Microsoft Entra ID megbízható forrás legyen mind a felhőbeli, mind a helyszíni hitelesítéshez, megkerülve annak szükségességét, hogy az Azure NetApp Fileshoz csatlakozó ügyfelek csatlakozzanak a helyszíni AD-tartományhoz.

Feljegyzés

A Microsoft Entra ID használata a hibrid felhasználói identitások hitelesítéséhez lehetővé teszi, hogy a Microsoft Entra-felhasználók hozzáférjenek az Azure NetApp Files SMB-megosztásokhoz. Ez azt jelenti, hogy a végfelhasználók anélkül férhetnek hozzá az Azure NetApp Files SMB-megosztásokhoz, hogy a Hibrid Microsoft Entra és a Microsoft Entra által csatlakoztatott virtuális gépek tartományvezérlőinek szemszögéből kellene elérhetővé tenni őket. A csak felhőalapú identitások jelenleg nem támogatottak. További információ: Útmutató Active Directory tartományi szolgáltatások webhelytervezéshez és -tervezéshez.

Követelmények és szempontok

• Az Azure NetApp Files NFS-kötetei és a kettős protokollú (NFSv4.1 és SMB) kötetek nem támogatottak.

• Az NFSv3 és az SMB kétprotokollos kötetek NTFS biztonsági stílussal támogatottak.

• Telepítenie és konfigurálnia kell a Microsoft Entra Csatlakozás az AD DS-felhasználók Microsoft Entra-azonosítóval való szinkronizálásához. További információ: A Microsoft Entra Csatlakozás használatának első lépései expressz beállításokkal.

  Ellenőrizze, hogy a hibrid identitások szinkronizálva vannak-e a Microsoft Entra-felhasználókkal. A Microsoft Entra-azonosító alatti Azure Portalon lépjen a Felhasználók elemre. Látnia kell, hogy az AD DS felhasználói fiókjai fel vannak sorolva, és a helyszíni szinkronizálás engedélyezve van az "igen" értékekkel.

  Feljegyzés

  A Microsoft Entra Csatlakozás kezdeti konfigurációja után, amikor új AD DS-felhasználót ad hozzá, a parancsot a Rendszergazda istrator PowerShellben kell futtatniaStart-ADSyncSyncCycle, hogy szinkronizálja az új felhasználót a Microsoft Entra-azonosítóval, vagy várja meg az ütemezett szinkronizálást.

• Létre kell hoznia egy SMB-kötetet az Azure NetApp Fileshoz.

• Windows rendszerű virtuális géppel (VM) kell rendelkeznie, amelyen engedélyezve van a Microsoft Entra bejelentkezés. További információ: Bejelentkezés Windows rendszerű virtuális gépre az Azure-ban a Microsoft Entra ID használatával. Mindenképpen konfigurálja a virtuális gép szerepkör-hozzárendeléseit annak meghatározásához, hogy mely fiókok jelentkezhetnek be a virtuális gépre.

• A DNS-t megfelelően kell konfigurálni, hogy az ügyfél virtuális gépe a teljes tartománynévvel (FQDN) férhessen hozzá az Azure NetApp Files-kötetekhez.

Lépések

A konfigurációs folyamat öt folyamaton megy keresztül:

• A CIFS SPN hozzáadása a számítógépfiókhoz
• Új Microsoft Entra-alkalmazás regisztrálása
• CIFS-jelszó szinkronizálása az AD DS-ből a Microsoft Entra alkalmazásregisztrációba
• A Microsoft Entra-hoz csatlakoztatott virtuális gép konfigurálása Kerberos-hitelesítés használatára
• Az Azure NetApp Files SMB-köteteinek csatlakoztatása

A CIFS SPN hozzáadása a számítógépfiókhoz

1. Az AD DS-tartományvezérlőn nyissa meg a Active Directory - felhasználók és számítógépek.
2. A Nézet menüben válassza a Speciális szolgáltatások lehetőséget.
3. A Számítógépek területen kattintson a jobb gombbal az Azure NetApp Files-kötet részeként létrehozott számítógépfiókra, majd válassza a Tulajdonságok lehetőséget.
4. Az Attribútumszerkesztő területen keresse meg a következőt servicePrincipalName: A többértékű sztringszerkesztőben adja hozzá a CIFS SPN-értéket CIFS/FQDN formátumban.

Új Microsoft Entra-alkalmazás regisztrálása

1. Az Azure Portalon keresse meg a Microsoft Entra-azonosítót. Válassza az Alkalmazásregisztrációk lehetőséget.
2. Válassza az + Új regisztráció lehetőséget.
3. Rendeljen hozzá egy nevet. A Támogatott fiók típusának kiválasztása alatt válassza a Csak ebben a szervezeti címtárban lévő Fiókok (Egybérlő) lehetőséget.
4. Válassza ki a pénztárgépet.

1. Konfigurálja az alkalmazás engedélyeit. Az alkalmazásregisztrációkban válassza az API-engedélyeket, majd adjon hozzá egy engedélyt.

2. Válassza a Microsoft Graphot , majd a delegált engedélyeket. Az Engedélyek kiválasztása területen válassza az openid és a profil lehetőséget az OpenId-engedélyek alatt.

   

3. Válassza az Engedély hozzáadása lehetőséget.

4. Az API-engedélyek között válassza a Rendszergazdai hozzájárulás megadása... lehetőséget.

   

5. A Hitelesítés területen az Alkalmazáspéldány tulajdonságzárolása területen válassza a Konfigurálás lehetőséget, majd törölje a jelölését a tulajdonságzárolás engedélyezése jelölőnégyzetből.

   

6. Az Áttekintésben jegyezze fel az alkalmazás (ügyfél) azonosítóját, amely később szükséges.

CIFS-jelszó szinkronizálása az AD DS-ből a Microsoft Entra alkalmazásregisztrációba

1. Az AD DS-tartományvezérlőn nyissa meg a PowerShellt.

2. Telepítse a Hibrid hitelesítés kezelése modult a jelszavak szinkronizálásához.

   Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force 
   

3. Adja meg a következő változókat:

   • $servicePrincipalName: Az SPN részletei az Azure NetApp Files-kötet csatlakoztatásáról. Használja a CIFS/FQDN formátumot. Például: CIFS/NETBIOS-1234.CONTOSO.COM
   • $targetApplicationID: A Microsoft Entra alkalmazás (ügyfél) azonosítója.
   • $domainCred: használat Get-Credential (AD DS tartományi rendszergazdának kell lennie)
   • $cloudCred: használat Get-Credential (Microsoft Entra Global Rendszergazda istratornak kell lennie)

   $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
   $targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
   $domainCred = Get-Credential
   $cloudCred = Get-Credential
   

   Feljegyzés

   A Get-Credential parancs elindít egy előugró ablakot, ahol megadhatja a hitelesítő adatokat.

4. Importálja a CIFS-adatokat a Microsoft Entra-azonosítóba:

   Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId 
   

A Microsoft Entra-hoz csatlakoztatott virtuális gép konfigurálása Kerberos-hitelesítés használatára

1. Jelentkezzen be a Microsoft Entra-hoz csatlakoztatott virtuális gépre rendszergazdai jogosultságokkal rendelkező hibrid hitelesítő adatokkal (például: user@mydirectory.onmicrosoft.com).

2. A virtuális gép konfigurálása:

   1. Keresse meg a Csoportházirend>szerkesztése számítógépkonfiguráció Rendszergazda szkonfigurációs> sablonok>Rendszer>Kerberos elemét.
   2. Engedélyezze a Microsoft Entra Kerberos-jegykiadó jegy beolvasásának engedélyezését a bejelentkezés során.
   3. Engedélyezze a gazdagépnév-Kerberos-tartományleképezések definiálása lehetőséget. Válassza a Megjelenítés lehetőséget, majd adjon meg egy értéknevet és egy értéket a tartománynévvel, amelyet egy pont előz meg. Például:
      • Érték neve: KERBEROS.MICROSOFTONLINE.COM
      • Érték: .contoso.com

   

Az Azure NetApp Files SMB-köteteinek csatlakoztatása

1. Jelentkezzen be a Microsoft Entra-hoz csatlakoztatott virtuális gépre az AD DS-ből szinkronizált hibrid identitásfiók használatával.

2. Csatlakoztassa az Azure NetApp Files SMB-kötetet az Azure Portalon megadott információk használatával. További információ: SMB-kötetek csatlakoztatása Windows rendszerű virtuális gépekhez.

3. Győződjön meg arról, hogy a csatlakoztatott kötet Kerberos-hitelesítést használ, és nem NTLM-hitelesítést. Nyisson meg egy parancssort, adja ki a klist parancsot; figyelje meg a kimenetet a felhőbeli TGT-ben (krbtgt) és a CIFS-kiszolgáló jegyadataiban.

   

További információk

• A Active Directory tartományi szolgáltatások irányelveinek ismertetése
• Active Directory-kapcsolatok létrehozása és kezelése
• A Microsoft Entra Csatlakozás 2.0-s verzió bemutatása