A Microsoft Entra Kerberos-hitelesítés engedélyezése hibrid identitásokhoz az Azure Filesban
Ez a cikk a Microsoft Entra ID (korábbi nevén Azure AD) engedélyezésével és konfigurálásával foglalkozik a hibrid felhasználói identitások hitelesítéséhez, amelyek a Microsoft Entra-azonosítóval szinkronizált helyszíni AD DS-identitások. A csak felhőalapú identitások jelenleg nem támogatottak.
Ez a konfiguráció lehetővé teszi, hogy a hibrid felhasználók Kerberos-hitelesítéssel érhessék el az Azure-fájlmegosztásokat, a Microsoft Entra ID használatával pedig kiadhatják a szükséges Kerberos-jegyeket a fájlmegosztás SMB protokollal való eléréséhez. Ez azt jelenti, hogy a végfelhasználók anélkül férhetnek hozzá az Azure-fájlmegosztásokhoz az interneten keresztül, hogy a Hibrid Microsoft Entra és a Microsoft Entra csatlakoztatott ügyfelek tartományvezérlőihez nem lenne szükség akadálymentes hálózati kapcsolatra. A windowsos hozzáférés-vezérlési listák (ACL-ek)/címtárak és fájlszintű engedélyek felhasználóhoz vagy csoporthoz való konfigurálásához azonban akadálytalan hálózati kapcsolat szükséges a helyszíni tartományvezérlőhöz.
A támogatott lehetőségekről és szempontokról további információt az Azure Files identitásalapú hitelesítési lehetőségeinek áttekintésében talál az SMB-hozzáféréshez. További információkért tekintse meg ezt a részletes elemzést.
Fontos
Csak egy AD-módszert használhat identitásalapú hitelesítéshez az Azure Files használatával. Ha a hibrid identitások Microsoft Entra Kerberos-hitelesítése nem felel meg a követelményeknek, előfordulhat, hogy helyi Active Directory Tartományi szolgáltatást (AD DS) vagy Microsoft Entra Domain Servicest használhat helyette. A konfigurációs lépések és a támogatott forgatókönyvek különbözőek az egyes metódusok esetében.
A következőre érvényes:
| Fájlmegosztás típusa | SMB | NFS |
|---|---|---|
| Standard szintű fájlmegosztások (GPv2), LRS/ZRS |  |
 |
| Standard szintű fájlmegosztások (GPv2), GRS/GZRS | |
|
| Prémium fájlmegosztások (FileStorage), LRS/ZRS | |
|
Előfeltételek
Mielőtt engedélyezi a Microsoft Entra Kerberos-hitelesítést SMB-en keresztül az Azure-fájlmegosztásokhoz, győződjön meg arról, hogy teljesítette az alábbi előfeltételeket.
Feljegyzés
Az Azure Storage-fiók nem hitelesíthető a Microsoft Entra-azonosítóval és egy második módszerrel, például az AD DS-vel vagy a Microsoft Entra Domain Services szolgáltatással. Ha már választott egy másik AD-metódust a tárfiókhoz, a Microsoft Entra Kerberos engedélyezése előtt le kell tiltania.
A Hibrid identitások Microsoft Entra Kerberos funkciója csak a következő operációs rendszereken érhető el:
- Windows 11 Nagyvállalati verzió/Pro egy- vagy több munkamenetből álló.
- Windows 10 Enterprise/Pro egy- vagy több munkamenetes, 2004-es vagy újabb verziók a legújabb kumulatív frissítésekkel, különösen a Windows 10 KB5007253 - 2021-11 kumulatív frissítési előnézetével.
- Windows Server, 2022-es verzió, a legújabb kumulatív frissítések telepítve, különösen a KB5007254 - 2021-11 kumulatív frissítés előzetes verziója a Microsoft Server operációs rendszer 21H2-es verziójához.
Ha tudni szeretné, hogyan hozhat létre és konfigurálhat Windows rendszerű virtuális gépeket, és hogyan jelentkezhet be a Microsoft Entra ID-alapú hitelesítéssel, olvassa el a Bejelentkezés Az Azure-beli Windows rendszerű virtuális gépekre a Microsoft Entra ID használatával történő bejelentkezést ismertető témakört.
Az ügyfeleknek Microsoft Entra-hoz vagy hibrid Microsoft Entra-hoz kell csatlakozniuk. A Microsoft Entra Kerberos nem támogatott a Microsoft Entra Domain Serviceshez csatlakozó vagy csak az AD-hez csatlakoztatott ügyfeleken.
Ez a funkció jelenleg nem támogatja a kizárólag a Microsoft Entra-azonosítóban létrehozott és kezelt felhasználói fiókokat. A felhasználói fiókoknak hibrid felhasználói identitásoknak kell lenniük, ami azt jelenti, hogy szüksége lesz az AD DS-re, valamint a Microsoft Entra Csatlakozás vagy a Microsoft Entra Csatlakozás felhőszinkronizálásra. Ezeket a fiókokat az Active Directoryban kell létrehoznia, és szinkronizálnia kell őket a Microsoft Entra-azonosítóval. Ha azure-beli szerepköralapú hozzáférés-vezérlési (RBAC) engedélyeket szeretne hozzárendelni az Azure-fájlmegosztáshoz egy felhasználói csoporthoz, létre kell hoznia a csoportot az Active Directoryban, és szinkronizálnia kell azt a Microsoft Entra-azonosítóval.
Ez a funkció jelenleg nem támogatja a bérlők közötti hozzáférést a B2B-felhasználók és a vendégfelhasználók számára. A konfigurálttól eltérő Entra-bérlő felhasználói nem férhetnek hozzá a fájlmegosztáshoz.
A tárfiókot képviselő Microsoft Entra alkalmazásban le kell tiltania a többtényezős hitelesítést (MFA).
A Microsoft Entra Kerberos használatával a Kerberos-jegytitkosítás mindig AES-256. Beállíthatja azonban az igényeinek leginkább megfelelő SMB-csatornatitkosítást.
Régiónkénti rendelkezésre állás
Ez a funkció az Azure Public, az Azure US Gov és az Azure China 21Vianet felhőkben támogatott.
A Microsoft Entra Kerberos-hitelesítés engedélyezése hibrid felhasználói fiókokhoz
Az Azure Portal, a PowerShell vagy az Azure CLI használatával engedélyezheti a Microsoft Entra Kerberos-hitelesítést az Azure Filesban hibrid felhasználói fiókokhoz.
Ha engedélyezni szeretné a Microsoft Entra Kerberos-hitelesítést az Azure Portalon, kövesse az alábbi lépéseket.
Jelentkezzen be az Azure Portalra, és válassza ki azt a tárfiókot, amelyhez engedélyezni szeretné a Microsoft Entra Kerberos-hitelesítést.
Az Adattárolás területen válassza a Fájlmegosztások lehetőséget.
Az Active Directory mellett válassza ki a konfigurációs állapotot (például Nincs konfigurálva).
A Microsoft Entra Kerberos alatt válassza a Beállítás lehetőséget.
Jelölje be a Microsoft Entra Kerberos jelölőnégyzetet.
Nem kötelező: Ha címtár- és fájlszintű engedélyeket szeretne konfigurálni a Windows Fájlkezelő keresztül, meg kell adnia a helyszíni AD tartománynevét és tartomány GUID azonosítóját. Ezeket az információkat a tartományi rendszergazdától vagy a következő Active Directory PowerShell-parancsmag futtatásával szerezheti be egy helyszíni AD-hez csatlakoztatott ügyfélről:
Get-ADDomainA tartománynévnek szerepelnie kell a kimenetbenDNSRoot, a tartomány GUID azonosítójának pedig a következő helyen kell szerepelnieObjectGUID. Ha címtár- és fájlszintű engedélyeket szeretne konfigurálni az icacls használatával, kihagyhatja ezt a lépést. Ha azonban icacls-eket szeretne használni, az ügyfélnek akadálytalan hálózati kapcsolatra lesz szüksége a helyszíni AD-hez.Válassza a Mentés lehetőséget.
Figyelmeztetés
Ha korábban engedélyezte a Microsoft Entra Kerberos-hitelesítést manuális, korlátozott előzetes verziójú lépésekkel az FSLogix-profilok Tárolásához az Azure Files for Microsoft Entra csatlakoztatott virtuális gépeken, a tárfiók szolgáltatásnévének jelszava hathavonta lejár. A jelszó lejárta után a felhasználók nem kapnak Kerberos-jegyeket a fájlmegosztáshoz. Ennek elkerülése érdekében tekintse meg a "Hiba – A szolgáltatásnév jelszava lejárt a Microsoft Entra-azonosítóban" című témakört, amely a Microsoft Entra Kerberos-hitelesítés hibrid felhasználók számára történő engedélyezésének lehetséges hibáit ismerteti.
Rendszergazdai hozzájárulás megadása az új szolgáltatásnévhez
A Microsoft Entra Kerberos-hitelesítés engedélyezése után explicit módon engedélyeznie kell a rendszergazdai hozzájárulást a Microsoft Entra-bérlőben regisztrált új Microsoft Entra-alkalmazáshoz. Ez a szolgáltatásnév automatikusan létrejön, és nem használható a fájlmegosztás engedélyezéséhez, ezért ne módosítsa a szolgáltatásnevet az itt dokumentáltakon kívül. Ha igen, hibaüzenet jelenhet meg.
Az API-engedélyeket az Azure Portalról az alábbi lépések végrehajtásával konfigurálhatja:
Nyissa meg a Microsoft Entra ID-t.
Válassza Alkalmazásregisztrációk a bal oldali panelen.
Válassza az Összes alkalmazás lehetőséget.
Válassza ki a [Storage Account]
<your-storage-account-name>.file.core.windows.net nevű alkalmazást.Válassza ki az API-engedélyeket a bal oldali panelen.
Válassza a rendszergazdai hozzájárulás megadását a(z) [Címtárnév] számára a három kért API-engedély (openid, profile és User.Read) engedélyezéséhez a címtárban lévő összes fiókhoz.
Válassza az Igen lehetőséget a megerősítéshez.
Fontos
Ha privát végponton/privát kapcsolaton keresztül csatlakozik egy tárfiókhoz a Microsoft Entra Kerberos-hitelesítéssel, a privát kapcsolat teljes tartománynevét is hozzá kell adnia a tárfiók Microsoft Entra-alkalmazásához. Útmutatásért tekintse meg a hibaelhárítási útmutatóban található bejegyzést.
Többtényezős hitelesítés letiltása a tárfiókon
A Microsoft Entra Kerberos nem támogatja az MFA használatát a Microsoft Entra Kerberossal konfigurált Azure-fájlmegosztások eléréséhez. Ha az összes alkalmazásra vonatkoznak, ki kell zárnia a tárfiókot képviselő Microsoft Entra alkalmazást az MFA feltételes hozzáférési szabályzataiból.
A tárfiók alkalmazásnak ugyanazzal a névvel kell rendelkeznie, mint a feltételes hozzáférés kizárási listájában szereplő tárfióknak. Amikor a feltételes hozzáférés kizárási listájában keresi a tárfiók alkalmazást, keresse meg a következőt: [Tárfiók] <your-storage-account-name>.file.core.windows.net
Ne felejtse el lecserélni <your-storage-account-name> a megfelelő értékre.
Fontos
Ha nem zárja ki az MFA-szabályzatokat a tárfiók-alkalmazásból, nem fog tudni hozzáférni a fájlmegosztáshoz. A fájlmegosztás leképezése net use a következő hibaüzenetet fogja eredményezni: "1327-s rendszerhiba: A fiókkorlátozások megakadályozzák a felhasználó bejelentkezését. Például: az üres jelszavak nem engedélyezettek, a bejelentkezési idők korlátozottak, vagy szabályzatkorlátozást hajtottak végre."
Az MFA letiltásával kapcsolatos útmutatásért tekintse meg a következőket:
- Kizárások hozzáadása az Azure-erőforrások szolgáltatásneveihez
- Feltételes hozzáférési szabályzat létrehozása
Megosztásszintű engedélyek kiosztása
Az identitásalapú hozzáférés engedélyezésekor minden megosztáshoz beállíthatja, hogy mely felhasználók és csoportok férhetnek hozzá az adott megosztáshoz. Miután egy felhasználót beengedtek egy megosztásba, a Windows ACL-ek (más néven NTFS-engedélyek) átveszik az egyes fájlokra és könyvtárakra vonatkozó engedélyeket. Ez lehetővé teszi az engedélyek részletes vezérlését, hasonlóan a Windows-kiszolgálón lévő SMB-megosztásokhoz.
A megosztási szintű engedélyek beállításához kövesse a Megosztási szintű engedélyek hozzárendelése identitáshoz című témakör utasításait.
Címtár- és fájlszintű engedélyek konfigurálása
A megosztási szintű engedélyek megadása után címtár-/fájlszintű engedélyeket rendelhet a felhasználóhoz vagy csoporthoz. Ehhez olyan eszközt kell használnia, amely nem engedélyezett hálózati kapcsolatot létesít egy helyszíni AD-vel. A Windows Fájlkezelő használatához az eszköznek tartományhoz kell csatlakoznia.
A címtár- és fájlszintű engedélyek Microsoft Entra Kerberos-hitelesítéssel történő konfigurálására két lehetőség áll rendelkezésre:
- Windows Fájlkezelő: Ha ezt a lehetőséget választja, az ügyfélnek tartományhoz kell csatlakoznia a helyszíni AD-hez.
- icacls segédprogram: Ha ezt a lehetőséget választja, akkor az ügyfélnek nem kell tartományhoz csatlakoznia, hanem akadálymentes hálózati kapcsolatra van szüksége a helyszíni AD-hez.
A címtár- és fájlszintű engedélyek Windows Fájlkezelő keresztüli konfigurálásához meg kell adnia a tartománynevet és a tartomány GUID azonosítóját is a helyszíni AD-hez. Ezeket az információkat a tartományi rendszergazdától vagy egy helyszíni AD-hez csatlakoztatott ügyféltől szerezheti be. Ha inkább icacls használatával szeretne konfigurálni, ez a lépés nem szükséges.
Fontos
Beállíthatja a fájl-/könyvtárszintű ACL-eket olyan identitásokhoz, amelyek nincsenek szinkronizálva a Microsoft Entra-azonosítóval. Ezek az ACL-ek azonban nem lesznek kényszerítve, mert a hitelesítéshez/engedélyezéshez használt Kerberos-jegy nem fogja tartalmazni ezeket a nem szinkronizált identitásokat. A beállított ACL-ek kényszerítéséhez az identitásokat szinkronizálni kell a Microsoft Entra-azonosítóval.
Tipp.
Ha a Microsoft Entra hibrid csatlakozó felhasználói két különböző erdőből férnek hozzá a megosztáshoz, a címtár- és fájlszintű engedélyek konfigurálásához érdemes icacls-eket használni. Ennek az az oka, hogy a Windows Fájlkezelő ACL-konfiguráció megköveteli, hogy az ügyfél tartományhoz legyen csatlakoztatva ahhoz az Active Directory-tartományhoz, amelyhez a tárfiók csatlakozik.
A címtár- és fájlszintű engedélyek konfigurálásához kövesse a Címtár és fájlszintű engedélyek konfigurálása SMB-en keresztül című témakör utasításait.
Az ügyfelek konfigurálása Kerberos-jegyek lekérésére
Engedélyezze a Microsoft Entra Kerberos funkciót azon ügyfélszámítógépeken, amelyekről azure-fájlmegosztásokat szeretne csatlakoztatni vagy használni. Ezt minden olyan ügyfélen meg kell tennie, amelyen az Azure Filest használni fogja.
Használja az alábbi három módszer egyikét:
- Konfigurálja ezt az Intune Policy CSP-t , és alkalmazza az ügyfél(ek)re: Kerberos/CloudKerberosTicketRetrievalEnabled, 1 értékre állítva
- Konfigurálja ezt a csoportházirendet az ügyfél(ek)en az "Engedélyezve" értékre:
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon - Állítsa be a következő beállításjegyzék-értéket az ügyfél(ek)en a parancs rendszergazda jogú parancssorból való futtatásával:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
A módosítások nem azonnaliak, és életbe léptetéséhez szabályzatfrissítésre vagy újraindításra van szükség.
Fontos
A módosítás alkalmazása után az ügyfél(ek) nem fognak tudni csatlakozni a helyszíni AD DS-integrációhoz konfigurált tárfiókokhoz Kerberos-tartományleképezések konfigurálása nélkül. Ha azt szeretné, hogy az ügyfél(ek) csatlakozni tudjanak az AD DS-hez konfigurált tárfiókokhoz, valamint a Microsoft Entra Kerberoshoz konfigurált tárfiókokhoz, kövesse a helyszíni AD DS-t használó tárfiókokkal való párhuzamosság konfigurálása című témakörben leírt lépéseket.
Párhuzamosság konfigurálása tárfiókokkal a helyszíni AD DS használatával
Ha engedélyezni szeretné, hogy az ügyfélgépek csatlakozzanak az AD DS-hez konfigurált tárfiókokhoz, valamint a Microsoft Entra Kerberoshoz konfigurált tárfiókokhoz, kövesse az alábbi lépéseket. Ha csak a Microsoft Entra Kerberost használja, hagyja ki ezt a szakaszt.
Adjon hozzá egy bejegyzést minden olyan tárfiókhoz, amely helyszíni AD DS-integrációt használ. A Kerberos-tartományleképezések konfigurálásához használja az alábbi három módszer egyikét. A módosítások nem azonnaliak, és a szabályzat frissítését vagy újraindítását igénylik a hatályba lépéshez.
- Konfigurálja ezt az Intune Policy CSP-t , és alkalmazza az ügyfél(ek)re: Kerberos/HostToRealm
- Konfigurálja ezt a csoportházirendet az ügyfél(ek)en:
Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings - Futtassa a
ksetupWindows parancsot az ügyfél(ek)en:ksetup /addhosttorealmmap <hostname> <REALMNAME>- Például:
ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL
- Például:
Fontos
A Kerberosban a tartománynevek megkülönböztetik a kis- és nagybetűket. A Kerberos-tartománynév általában megegyezik a tartomány nevével, nagybetűkkel.
Az ügyfélkonfiguráció visszavonása Kerberos-jegyek lekéréséhez
Ha már nem szeretne ügyfélszámítógépet használni a Microsoft Entra Kerberos-hitelesítéshez, letilthatja a Microsoft Entra Kerberos funkciót a számítógépen. A funkció engedélyezésétől függően használja az alábbi három módszer egyikét:
- Konfigurálja ezt az Intune Policy CSP-t , és alkalmazza az ügyfél(ek)re: Kerberos/CloudKerberosTicketRetrievalEnabled, 0 értékre állítva
- Konfigurálja ezt a csoportházirendet az ügyfél(ek)en a "Letiltva" értékre:
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon - Állítsa be a következő beállításjegyzék-értéket az ügyfél(ek)en a parancs rendszergazda jogú parancssorból való futtatásával:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0
A módosítások nem azonnaliak, és életbe léptetéséhez szabályzatfrissítésre vagy újraindításra van szükség.
Ha követte a helyszíni AD DS-t használó tárfiókokkal való párhuzamosság konfigurálása című témakörben leírt lépéseket, az összes gazdagépnevet eltávolíthatja a Kerberos-tartományleképezésekből az ügyfélszámítógépről. Használja az alábbi három módszer egyikét:
- Konfigurálja ezt az Intune Policy CSP-t , és alkalmazza az ügyfél(ek)re: Kerberos/HostToRealm
- Konfigurálja ezt a csoportházirendet az ügyfél(ek)en:
Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings - Futtassa a
ksetupWindows parancsot az ügyfél(ek)en:ksetup /delhosttorealmmap <hostname> <realmname>- Például:
ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net contoso.local - A beállításkulcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealmvizsgálatával megtekintheti az aktuális gazdagépnév listáját a Kerberos-tartományleképezésekre.
- Például:
A módosítások nem azonnaliak, és a szabályzat frissítését vagy újraindítását igénylik a hatályba lépéshez.
Fontos
A módosítás alkalmazása után az ügyfél(ek) nem fognak tudni csatlakozni a Microsoft Entra Kerberos-hitelesítéshez konfigurált tárfiókokhoz. További konfiguráció nélkül azonban csatlakozhatnak az AD DS-hez konfigurált tárfiókokhoz.
A Microsoft Entra-hitelesítés letiltása a tárfiókban
Ha másik hitelesítési módszert szeretne használni, letilthatja a Microsoft Entra-hitelesítést a tárfiókján az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával.
Feljegyzés
A funkció letiltása azt jelenti, hogy a tárfiókban nem lesz Active Directory-konfiguráció a fájlmegosztásokhoz, amíg nem engedélyezi a többi Active Directory-forrás egyikének az Active Directory-konfiguráció visszaállítását.
Ha le szeretné tiltani a Microsoft Entra Kerberos-hitelesítést a tárfiókján az Azure Portal használatával, kövesse az alábbi lépéseket.
- Jelentkezzen be az Azure Portalra, és válassza ki azt a tárfiókot, amelyhez le szeretné tiltani a Microsoft Entra Kerberos-hitelesítést.
- Az Adattárolás területen válassza a Fájlmegosztások lehetőséget.
- Az Active Directory mellett válassza ki a konfiguráció állapotát.
- A Microsoft Entra Kerberos alatt válassza a Konfigurálás lehetőséget.
- Törölje a jelet a Microsoft Entra Kerberos jelölőnégyzetből.
- Válassza a Mentés lehetőséget.
Következő lépések
További információkért tekintse meg az alábbi erőforrásokat:
- Lehetséges hibák a Microsoft Entra Kerberos-hitelesítés hibrid felhasználók számára történő engedélyezésekor
- Az Azure Files identitásalapú hitelesítési támogatásának áttekintése SMB-hozzáférés esetén
- Profiltároló létrehozása az Azure Files és a Microsoft Entra-azonosító használatával
- Gyakori kérdések