Megosztás a következőn keresztül:

Áttekintés: Helyszíni Active Directory tartományi szolgáltatások hitelesítés SMB-n keresztül Azure-fájlmegosztásokhoz

  • Cikk

Az Azure Files a Következő módszerekkel támogatja a Windows-fájlmegosztások identitásalapú hitelesítését a Kiszolgálói üzenetblokk (SMB) használatával a Kerberos hitelesítési protokoll használatával:

  • Helyszíni Active Directory tartományi szolgáltatások (AD DS)
  • Microsoft Entra tartományi szolgáltatások
  • Microsoft Entra Kerberos hibrid felhasználói identitásokhoz

Határozottan javasoljuk, hogy tekintse át a Hogyan működik szakaszt a hitelesítéshez megfelelő AD-forrás kiválasztásához. A beállítás a választott tartományi szolgáltatástól függően eltérő. Ez a cikk a helyszíni AD DS engedélyezésével és konfigurálásával foglalkozik az Azure-fájlmegosztásokkal való hitelesítéshez.

Ha még nem ismerkedik az Azure Filesszal, javasoljuk, hogy olvassa el a tervezési útmutatót.

A következőre érvényes:

Fájlmegosztás típusa SMB NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS Igen Nem
Standard szintű fájlmegosztások (GPv2), GRS/GZRS Igen Nem
Prémium fájlmegosztások (FileStorage), LRS/ZRS Igen Nem

Támogatott forgatókönyvek és korlátozások

  • Az Azure Files helyszíni AD DS-hitelesítéséhez használt AD DS-identitásokat szinkronizálni kell a Microsoft Entra-azonosítóval, vagy egy alapértelmezett megosztási szintű engedélyt kell használni. A jelszókivonat-szinkronizálás nem kötelező.
  • Támogatja az Azure File Sync által felügyelt Azure-fájlmegosztásokat.
  • Támogatja a Kerberos-hitelesítést AD-vel AES 256 titkosítással (ajánlott) és RC4-HMAC használatával. Az AES 128 Kerberos-titkosítás még nem támogatott.
  • Támogatja az egyszeri bejelentkezést.
  • Csak Windows 8/Windows Server 2012 vagy újabb operációsrendszer-verziót vagy Linux rendszerű virtuális gépeket (Ubuntu 18.04+ vagy egyenértékű RHEL vagy SLES rendszerű virtuális gépet) futtató Windows-ügyfeleken támogatott.
  • Csak azon az AD-erdőn támogatott, amelybe a tárfiók regisztrálva van. Az ugyanazon erdő különböző tartományaihoz tartozó felhasználóknak mindaddig hozzá kell férniük a fájlmegosztáshoz és a mögöttes könyvtárakhoz/fájlokhoz, amíg rendelkeznek a megfelelő engedélyekkel.
  • Az Azure-fájlmegosztásokat alapértelmezés szerint csak egyetlen erdőből érheti el AD DS hitelesítő adatokkal. Ha egy másik erdőből kell hozzáférnie az Azure-fájlmegosztáshoz, győződjön meg arról, hogy a megfelelő erdőszintű megbízhatóság van konfigurálva. További részletekért lásd : Az Azure Files használata több Active Directory-erdővel.
  • Nem támogatja a megosztási szintű engedélyek hozzárendelését a számítógépfiókokhoz (gépfiókokhoz) az Azure RBAC használatával. Használhat alapértelmezett megosztási szintű engedélyt a számítógépfiókok számára a megosztáshoz való hozzáférés engedélyezéséhez, vagy fontolja meg a szolgáltatás bejelentkezési fiókjának használatát.
  • Nem támogatja a hálózati fájlrendszer (NFS) fájlmegosztások hitelesítését.

Ha SMB-n keresztül engedélyezi az AD DS-t az Azure-fájlmegosztásokhoz, az AD DS-hez csatlakoztatott gépek csatlakoztathatják az Azure-fájlmegosztásokat a meglévő AD DS-hitelesítő adataival. Ez a funkció egy helyszíni gépeken vagy egy Azure-beli virtuális gépen (VM) üzemeltetett AD DS-környezettel engedélyezhető.

Videók

Az identitásalapú hitelesítés beállításához néhány gyakori használati esethez két videót tettünk közzé, amelyek részletes útmutatást nyújtanak az alábbi forgatókönyvekhez. Vegye figyelembe, hogy az Azure Active Directory mostantól Microsoft Entra-azonosító. További információ: Az Azure AD új neve.

A helyszíni fájlkiszolgálók cseréje az Azure Filesra (beleértve a fájlok privát kapcsolatának beállítását és az AD-hitelesítést) Az Azure Files használata az Azure Virtual Desktop profiltárolójaként (beleértve az AD-hitelesítés és az FSLogix-konfiguráció beállítását)
Képernyőkép a helyszíni fájlkiszolgálók cseréjéről – kattintson a lejátszáshoz. Az Azure Files használata profiltároló videóként – kattintson a lejátszáshoz.

Előfeltételek

Mielőtt engedélyezi az AD DS-hitelesítést az Azure-fájlmegosztásokhoz, győződjön meg arról, hogy teljesítette az alábbi előfeltételeket:

  • Válassza ki vagy hozza létre az AD DS-környezetet, és szinkronizálja azt a Microsoft Entra-azonosítóval a helyszíni Microsoft Entra Csatlakozás Sync alkalmazással vagy a Microsoft Entra Csatlakozás felhőalapú szinkronizálással, amely egy egyszerűsített ügynök, amely a Microsoft Entra Rendszergazda Centerből telepíthető.

    A funkciót egy új vagy meglévő helyszíni AD DS-környezetben engedélyezheti. A hozzáféréshez használt identitásokat szinkronizálni kell a Microsoft Entra-azonosítóval, vagy egy alapértelmezett megosztási szintű engedélyt kell használni. A Microsoft Entra-bérlőt és a fájlmegosztást, amelyhez hozzáfér, ugyanahhoz az előfizetéshez kell társítani.

  • Tartományi csatlakozás helyszíni géphez vagy Azure-beli virtuális géphez a helyszíni AD DS-hez. A tartományhoz való csatlakozásról további információt a Számítógép csatlakoztatása tartományhoz című témakörben talál.

    Ha egy gép nem csatlakozik tartományhoz, akkor is használhatja az AD DS-t a hitelesítéshez, ha a gép nem engedélyezett hálózati kapcsolattal rendelkezik a helyszíni AD-tartományvezérlőhöz, és a felhasználó explicit hitelesítő adatokat biztosít. További információ: A fájlmegosztás csatlakoztatása nem tartományhoz csatlakoztatott virtuális gépről vagy egy másik AD-tartományhoz csatlakoztatott virtuális gépről.

  • Válasszon vagy hozzon létre egy Azure Storage-fiókot. Az optimális teljesítmény érdekében javasoljuk, hogy a tárfiókot ugyanabban a régióban helyezze üzembe, amelyből a megosztás elérését tervezi. Ezután csatlakoztassa az Azure-fájlmegosztást a tárfiók kulcsával. A tárfiók kulccsal való csatlakoztatás ellenőrzi a kapcsolatot.

    Győződjön meg arról, hogy a fájlmegosztásokat tartalmazó tárfiók még nincs konfigurálva identitásalapú hitelesítésre. Ha egy AD-forrás már engedélyezve van a tárfiókban, a helyszíni AD DS engedélyezése előtt le kell tiltania.

    Ha problémákat tapasztal az Azure Fileshoz való csatlakozás során, tekintse meg az Azure Files csatlakoztatási hibáihoz a Windowson közzétett hibaelhárító eszközt.

  • Az AD DS-hitelesítés Azure-fájlmegosztásokon való engedélyezése és konfigurálása előtt végezze el a megfelelő hálózati konfigurációt. További információért tekintse meg az Azure Files hálózatkezelési szempontjait .

Régiónkénti rendelkezésre állás

Az Azure Files AD DS-vel való hitelesítése az Azure nyilvános, kínai és gov régióiban érhető el.

Áttekintés

Ha bármilyen hálózati konfigurációt szeretne engedélyezni a fájlmegosztáson, javasoljuk, hogy az AD DS-hitelesítés engedélyezése előtt olvassa el a hálózatkezelési szempontokat ismertető cikket, és fejezze be a kapcsolódó konfigurációt.

Az Azure-fájlmegosztások AD DS-hitelesítésének engedélyezése lehetővé teszi, hogy helyszíni AD DS-hitelesítő adataival hitelesítse az Azure-fájlmegosztásokat. Emellett lehetővé teszi az engedélyek hatékonyabb kezelését, hogy lehetővé tegye a részletes hozzáférés-vezérlést. Ehhez a helyszíni AD DS-ről a Microsoft Entra-azonosítóra kell szinkronizálnia az identitásokat a helyszíni Microsoft Entra Csatlakozás Sync alkalmazással vagy a Microsoft Entra Csatlakozás felhőalapú szinkronizálással, amely egy egyszerűsített ügynök, amely a Microsoft Entra Rendszergazda Centerből telepíthető. Megosztási szintű engedélyeket rendelhet a Microsoft Entra-azonosítóval szinkronizált hibrid identitásokhoz, miközben windowsos ACL-ekkel kezeli a fájl-/címtárszintű hozzáférést.

Kövesse az alábbi lépéseket az Azure Files AD DS-hitelesítéshez való beállításához:

  1. AD DS-hitelesítés engedélyezése a tárfiókon

  2. Megosztási szintű engedélyek hozzárendelése a cél AD-identitással szinkronizált Microsoft Entra-identitáshoz (felhasználó, csoport vagy szolgáltatásnév)

  3. Windows ACL-ek konfigurálása SMB-en keresztül könyvtárakhoz és fájlokhoz

  4. Azure-fájlmegosztás csatlakoztatása az AD DS-hez csatlakoztatott virtuális géphez

  5. A tárfiók identitásának jelszavának frissítése az AD DS-ben

Az alábbi ábra a végpontok közötti munkafolyamatot mutatja be az AD DS-hitelesítés SMB-n keresztüli engedélyezéséhez az Azure-fájlmegosztásokhoz.

Az Azure Files-munkafolyamat SMB-n keresztüli AD DS-hitelesítését bemutató ábra.

Az Azure-fájlmegosztásokhoz való hozzáféréshez használt identitásokat szinkronizálni kell a Microsoft Entra-azonosítóval, hogy az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) modellen keresztül kényszerítse ki a megosztási szintű fájlengedélyeket. Másik lehetőségként használhatja az alapértelmezett megosztási szintű engedélyt is. A meglévő fájlkiszolgálókról átvitt fájlok/könyvtárak Windows-stílusú DAC-jai megmaradnak és kényszerítve lesznek. Ez zökkenőmentes integrációt biztosít a vállalati AD DS-környezettel. A helyszíni fájlkiszolgálók Azure-fájlmegosztásokra való lecserélése során a meglévő felhasználók egyetlen bejelentkezési felületen férhetnek hozzá az Azure-fájlmegosztásokhoz jelenlegi ügyfeleikről anélkül, hogy módosítanák a használt hitelesítő adatokat.

Következő lépés

Első lépésként engedélyeznie kell az AD DS-hitelesítést a tárfiókhoz.