A Microsoft Entra Kerberos-hitelesítés engedélyezése hibrid identitásokhoz az Azure Filesban

Ez a cikk a Microsoft Entra ID (korábbi nevén Azure AD) engedélyezésével és konfigurálásával foglalkozik a hibrid felhasználói identitások hitelesítéséhez, amelyek olyan helyszíni AD DS-identitások, amelyek a Microsoft Entra Connect vagy a Microsoft Entra Connect felhőszinkronizálásával szinkronizálódnak a Microsoft Entra ID-val. A csak felhőalapú identitások jelenleg nem támogatottak.

Ez a konfiguráció lehetővé teszi, hogy a hibrid felhasználók Kerberos-hitelesítéssel érhessék el az Azure-fájlmegosztásokat, a Microsoft Entra ID használatával pedig kiadhatják a szükséges Kerberos-jegyeket a fájlmegosztás SMB protokollal való eléréséhez. Ez azt jelenti, hogy a végfelhasználók anélkül férhetnek hozzá az Azure-fájlmegosztásokhoz az interneten keresztül, hogy a Hibrid Microsoft Entra és a Microsoft Entra csatlakoztatott ügyfelek tartományvezérlőihez nem lenne szükség akadálymentes hálózati kapcsolatra. A windowsos hozzáférés-vezérlési listák (ACL-ek)/címtárak és fájlszintű engedélyek felhasználóhoz vagy csoporthoz való konfigurálásához azonban akadálytalan hálózati kapcsolat szükséges a helyszíni tartományvezérlőhöz.

A támogatott lehetőségekről és szempontokról további információt az Azure Files identitásalapú hitelesítési lehetőségeinek áttekintésében talál az SMB-hozzáféréshez. További információkért tekintse meg ezt a részletes elemzést.

Fontos

Csak egy AD-módszert használhat identitásalapú hitelesítéshez az Azure Files használatával. Ha a hibrid identitások Microsoft Entra Kerberos-hitelesítése nem felel meg a követelményeknek, előfordulhat, hogy helyi Active Directory Tartományi szolgáltatást (AD DS) vagy Microsoft Entra Domain Servicest használhat helyette. A konfigurációs lépések és a támogatott forgatókönyvek különbözőek az egyes metódusok esetében.

Előfeltételek

Mielőtt engedélyezi a Microsoft Entra Kerberos-hitelesítést SMB-en keresztül az Azure-fájlmegosztásokhoz, győződjön meg arról, hogy teljesítette az alábbi előfeltételeket.

Minimális előfeltételek

A következő előfeltételek kötelezőek. E nélkül nem végezhet hitelesítést a Microsoft Entra-azonosítóval.

• Az Azure Storage-fiók nem hitelesíthető a Microsoft Entra-azonosítóval és egy második módszerrel, például az AD DS-vel vagy a Microsoft Entra Domain Services szolgáltatással. Ha már választott egy másik AD-metódust a tárfiókhoz, a Microsoft Entra Kerberos engedélyezése előtt le kell tiltania.

• Ez a funkció jelenleg nem támogatja a kizárólag a Microsoft Entra-azonosítóban létrehozott és kezelt felhasználói fiókokat. A felhasználói fiókoknak hibrid felhasználói identitásoknak kell lenniük, ami azt jelenti, hogy az AD DS-re és a Microsoft Entra Connectre vagy a Microsoft Entra Connect felhőszinkronizálásra is szüksége lesz. Ezeket a fiókokat az Active Directoryban kell létrehoznia, és szinkronizálnia kell őket a Microsoft Entra-azonosítóval. Ha azure-beli szerepköralapú hozzáférés-vezérlési (RBAC) engedélyeket szeretne hozzárendelni az Azure-fájlmegosztáshoz egy felhasználói csoporthoz, létre kell hoznia a csoportot az Active Directoryban, és szinkronizálnia kell azt a Microsoft Entra-azonosítóval.

• A WinHTTP webproxy automatikus felderítési szolgáltatás (WinHttpAutoProxySvc) és az IP-segítő szolgáltatás (iphlpsvc) szükséges. Az állapotuknak futnia kell.

• A tárfiókot képviselő Microsoft Entra alkalmazásban le kell tiltania a többtényezős hitelesítést (MFA). Útmutatásért lásd: Többtényezős hitelesítés letiltása a tárfiókon.

• Ez a funkció jelenleg nem támogatja a bérlők közötti hozzáférést a B2B-felhasználók és a vendégfelhasználók számára. A konfigurálttól eltérő Microsoft Entra-bérlő felhasználói nem férhetnek hozzá a fájlmegosztáshoz.

• A Microsoft Entra Kerberos használatával a Kerberos-jegytitkosítás mindig AES-256. Beállíthatja azonban az igényeinek leginkább megfelelő SMB-csatornatitkosítást.

Operációs rendszer és tartomány előfeltételei

Az alábbi előfeltételek szükségesek a Microsoft Kerberos standard hitelesítési folyamatához a jelen cikkben leírtak szerint. Ha néhány vagy az összes ügyfélgép nem felel meg ezeknek, akkor is engedélyezheti a Microsoft Kerberos-hitelesítést, de egy felhőbeli megbízhatósági kapcsolatot is konfigurálnia kell, hogy ezek az ügyfelek hozzáférhessenek a fájlmegosztásokhoz.

Az operációs rendszer követelményei:

• Windows 11 Nagyvállalati verzió/Pro egy- vagy több munkamenetből álló.
• Windows 10 Enterprise/Pro egy- vagy több munkamenetes, 2004-es vagy újabb verziók a legújabb kumulatív frissítésekkel, különösen a Windows 10 KB5007253 - 2021-11 kumulatív frissítési előnézetével.
• Windows Server, 2022-es verzió, a legújabb kumulatív frissítések telepítve, különösen a KB5007254 - 2021-11 kumulatív frissítés előzetes verziója a Microsoft Server operációs rendszer 21H2-es verziójához.

Ha tudni szeretné, hogyan hozhat létre és konfigurálhat Windows rendszerű virtuális gépeket, és hogyan jelentkezhet be a Microsoft Entra ID-alapú hitelesítéssel, olvassa el a Bejelentkezés Az Azure-beli Windows rendszerű virtuális gépekre a Microsoft Entra ID használatával történő bejelentkezést ismertető témakört.

Az ügyfeleknek Microsoft Entra-hoz vagy hibrid Microsoft Entra-hoz kell csatlakozniuk. Nem csatlakoztathatók a Microsoft Entra Domain Services szolgáltatáshoz, és nem csatlakoztathatók csak az AD-hez.

Regionális elérhetőség

Ez a funkció az Azure Public, az Azure US Gov és az Azure China 21Vianet felhőkben támogatott.

A Microsoft Entra Kerberos-hitelesítés engedélyezése hibrid felhasználói fiókokhoz

Az Azure Portal, a PowerShell vagy az Azure CLI használatával engedélyezheti a Microsoft Entra Kerberos-hitelesítést az Azure Filesban hibrid felhasználói fiókokhoz.

Portál

Ha engedélyezni szeretné a Microsoft Entra Kerberos-hitelesítést az Azure Portalon, kövesse az alábbi lépéseket.

1. Jelentkezzen be az Azure Portalra, és válassza ki azt a tárfiókot, amelyhez engedélyezni szeretné a Microsoft Entra Kerberos-hitelesítést.

2. Az Adattárolás területen válassza a Fájlmegosztások lehetőséget.

3. Az Active Directory mellett válassza ki a konfigurációs állapotot (például Nincs konfigurálva).

   

4. A Microsoft Entra Kerberos alatt válassza a Beállítás lehetőséget.

5. Jelölje be a Microsoft Entra Kerberos jelölőnégyzetet.

   

6. Nem kötelező: Ha címtár- és fájlszintű engedélyeket szeretne konfigurálni a Windows Fájlkezelő keresztül, meg kell adnia a helyszíni AD tartománynevét és tartomány GUID azonosítóját. Ezeket az információkat a tartományi rendszergazdától vagy a következő Active Directory PowerShell-parancsmag futtatásával szerezheti be egy helyszíni AD-hez csatlakoztatott ügyfélről: Get-ADDomain A tartománynévnek szerepelnie kell a kimenetben DNSRoot , a tartomány GUID azonosítójának pedig a következő helyen kell szerepelnie ObjectGUID. Ha címtár- és fájlszintű engedélyeket szeretne konfigurálni az icacls használatával, kihagyhatja ezt a lépést. Ha azonban icacls-eket szeretne használni, az ügyfélnek akadálytalan hálózati kapcsolatra lesz szüksége a helyszíni AD-hez.

7. Válassza a Mentés lehetőséget.

Azure PowerShell

A Microsoft Entra Kerberos Azure PowerShell-lel való engedélyezéséhez futtassa a következő parancsot. Ne felejtse el lecserélni a helyőrző értékeket, beleértve a szögletes zárójeleket is az értékekre.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true

Nem kötelező: Ha címtár- és fájlszintű engedélyeket szeretne konfigurálni a Windows Fájlkezelő keresztül, akkor meg kell adnia a tartománynevet és a tartomány GUID azonosítóját a helyszíni AD-hez. Ha címtár- és fájlszintű engedélyeket szeretne konfigurálni az icacls használatával, kihagyhatja ezt a lépést. Ha azonban icacls-eket szeretne használni, az ügyfélnek látnia kell a helyszíni AD-t.

Ezeket az információkat a tartományi rendszergazdától vagy a következő Active Directory PowerShell-parancsmagok futtatásával szerezheti be egy helyszíni AD-hez csatlakoztatott ügyfélről:

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

A helyszíni AD tartománynevének és tartomány GUID-jának megadásához futtassa a következő Azure PowerShell-parancsot. Ne felejtse el lecserélni a helyőrző értékeket, beleértve a szögletes zárójeleket is az értékekre.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true -ActiveDirectoryDomainName $domainName -ActiveDirectoryDomainGuid $domainGuid

Azure CLI

A Microsoft Entra Kerberos Azure CLI-vel való engedélyezéséhez futtassa a következő parancsot. Ne felejtse el lecserélni a helyőrző értékeket, beleértve a szögletes zárójeleket is az értékekre.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb true

Nem kötelező: Ha címtár- és fájlszintű engedélyeket szeretne konfigurálni a Windows Fájlkezelő keresztül, akkor meg kell adnia a tartománynevet és a tartomány GUID azonosítóját a helyszíni AD-hez. Ha címtár- és fájlszintű engedélyeket szeretne konfigurálni az icacls használatával, kihagyhatja ezt a lépést. Ha azonban icacls-eket szeretne használni, az ügyfélnek látnia kell a helyszíni AD-t.

Ezeket az információkat a tartományi rendszergazdától vagy a következő Active Directory PowerShell-parancsmagok futtatásával szerezheti be egy helyszíni AD-hez csatlakoztatott ügyfélről:

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

A helyszíni AD tartománynevének és tartomány GUID-jának megadásához futtassa a következő parancsot. Ne felejtse el lecserélni a helyőrző értékeket, beleértve a szögletes zárójeleket is az értékekre.

az storage account update --name <storageAccountName> --resource-group <resourceGroupName> --enable-files-aadkerb true --domain-name <domainName> --domain-guid <domainGuid>

Figyelmeztetés

Ha korábban engedélyezte a Microsoft Entra Kerberos-hitelesítést manuális, korlátozott előzetes verziójú lépésekkel az FSLogix-profilok Tárolásához az Azure Files for Microsoft Entra csatlakoztatott virtuális gépeken, a tárfiók szolgáltatásnévének jelszava hathavonta lejár. A jelszó lejárta után a felhasználók nem kapnak Kerberos-jegyeket a fájlmegosztáshoz. Ennek elkerülése érdekében tekintse meg a "Hiba – A szolgáltatásnév jelszava lejárt a Microsoft Entra-azonosítóban" című témakört, amely a Microsoft Entra Kerberos-hitelesítés hibrid felhasználók számára történő engedélyezésének lehetséges hibáit ismerteti.

Rendszergazdai hozzájárulás megadása az új szolgáltatásnévhez

A Microsoft Entra Kerberos-hitelesítés engedélyezése után explicit módon engedélyeznie kell a rendszergazdai hozzájárulást a Microsoft Entra-bérlőben regisztrált új Microsoft Entra-alkalmazáshoz. Ez a szolgáltatásnév automatikusan létrejön, és nem használható a fájlmegosztás engedélyezéséhez, ezért ne módosítsa a szolgáltatásnevet az itt dokumentáltakon kívül. Ha igen, hibaüzenet jelenhet meg.

Az API-engedélyeket az Azure Portalról az alábbi lépések végrehajtásával konfigurálhatja:

1. Nyissa meg a Microsoft Entra ID-t.
2. A szolgáltatás menü Kezelés területén válassza a Alkalmazásregisztrációk.
3. Válassza az Összes alkalmazás lehetőséget.
4. Válassza ki a [Storage Account] <your-storage-account-name>.file.core.windows.net nevű alkalmazást.
5. A szolgáltatásmenü Kezelés csoportjában válassza az API-engedélyeket.
6. Válassza a rendszergazdai hozzájárulás megadását a(z) [Címtárnév] számára a három kért API-engedély (openid, profile és User.Read) engedélyezéséhez a címtárban lévő összes fiókhoz.
7. Válassza az Igen lehetőséget a megerősítéshez.

Fontos

Ha privát végponton/privát kapcsolaton keresztül csatlakozik egy tárfiókhoz a Microsoft Entra Kerberos-hitelesítéssel, a privát kapcsolat teljes tartománynevét is hozzá kell adnia a tárfiók Microsoft Entra-alkalmazásához. Útmutatásért tekintse meg a hibaelhárítási útmutatóban található bejegyzést.

Többtényezős hitelesítés letiltása a tárfiókon

A Microsoft Entra Kerberos nem támogatja az MFA használatát a Microsoft Entra Kerberossal konfigurált Azure-fájlmegosztások eléréséhez. Ha az összes alkalmazásra vonatkoznak, ki kell zárnia a tárfiókot képviselő Microsoft Entra alkalmazást az MFA feltételes hozzáférési szabályzataiból.

A tárfiók alkalmazásnak ugyanazzal a névvel kell rendelkeznie, mint a feltételes hozzáférés kizárási listájában szereplő tárfióknak. Amikor a feltételes hozzáférés kizárási listájában keresi a tárfiók alkalmazást, keresse meg a következőt: [Tárfiók] <your-storage-account-name>.file.core.windows.net

Ne felejtse el lecserélni <your-storage-account-name> a megfelelő értékre.

Fontos

Ha nem zárja ki az MFA-szabályzatokat a tárfiók-alkalmazásból, nem fog tudni hozzáférni a fájlmegosztáshoz. A fájlmegosztás leképezése net use a következő hibaüzenetet fogja eredményezni: "1327-s rendszerhiba: A fiókkorlátozások megakadályozzák a felhasználó bejelentkezését. Például: az üres jelszavak nem engedélyezettek, a bejelentkezési idők korlátozottak, vagy szabályzatkorlátozást hajtottak végre."

Az MFA letiltásával kapcsolatos útmutatásért tekintse meg a következőket:

• Kizárások hozzáadása az Azure-erőforrások szolgáltatásneveihez
• Feltételes hozzáférési szabályzat létrehozása

Megosztásszintű engedélyek kiosztása

Az identitásalapú hozzáférés engedélyezésekor minden megosztáshoz beállíthatja, hogy mely felhasználók és csoportok férhetnek hozzá az adott megosztáshoz. Miután egy felhasználót beengedtek egy megosztásba, a Windows ACL-ek (más néven NTFS-engedélyek) átveszik az egyes fájlokra és könyvtárakra vonatkozó engedélyeket. Ez lehetővé teszi az engedélyek részletes vezérlését, hasonlóan a Windows-kiszolgálón lévő SMB-megosztásokhoz.

A megosztási szintű engedélyek beállításához kövesse a Megosztási szintű engedélyek hozzárendelése identitáshoz című témakör utasításait.

Címtár- és fájlszintű engedélyek konfigurálása

A megosztási szintű engedélyek megadása után címtár-/fájlszintű engedélyeket rendelhet a felhasználóhoz vagy csoporthoz. Ehhez olyan eszközt kell használnia, amely nem engedélyezett hálózati kapcsolatot létesít egy helyszíni AD-vel. A Windows Fájlkezelő használatához az eszköznek tartományhoz kell csatlakoznia.

A címtár- és fájlszintű engedélyek Microsoft Entra Kerberos-hitelesítéssel történő konfigurálására két lehetőség áll rendelkezésre:

• Windows Fájlkezelő: Ha ezt a lehetőséget választja, az ügyfélnek tartományhoz kell csatlakoznia a helyszíni AD-hez.
• icacls segédprogram: Ha ezt a lehetőséget választja, akkor az ügyfélnek nem kell tartományhoz csatlakoznia, hanem akadálymentes hálózati kapcsolatra van szüksége a helyszíni AD-hez.

A címtár- és fájlszintű engedélyek Windows Fájlkezelő keresztüli konfigurálásához meg kell adnia a tartománynevet és a tartomány GUID azonosítóját is a helyszíni AD-hez. Ezeket az információkat a tartományi rendszergazdától vagy egy helyszíni AD-hez csatlakoztatott ügyféltől szerezheti be. Ha inkább icacls használatával szeretne konfigurálni, ez a lépés nem szükséges.

Fontos

Beállíthatja a fájl-/könyvtárszintű ACL-eket olyan identitásokhoz, amelyek nincsenek szinkronizálva a Microsoft Entra-azonosítóval. Ezek az ACL-ek azonban nem lesznek kényszerítve, mert a hitelesítéshez/engedélyezéshez használt Kerberos-jegy nem fogja tartalmazni ezeket a nem szinkronizált identitásokat. A beállított ACL-ek kényszerítéséhez az identitásokat szinkronizálni kell a Microsoft Entra-azonosítóval.

Tipp.

Ha a Microsoft Entra hibrid csatlakozó felhasználói két különböző erdőből férnek hozzá a megosztáshoz, a címtár- és fájlszintű engedélyek konfigurálásához érdemes icacls-eket használni. Ennek az az oka, hogy a Windows Fájlkezelő ACL-konfiguráció megköveteli, hogy az ügyfél tartományhoz legyen csatlakoztatva ahhoz az Active Directory-tartományhoz, amelyhez a tárfiók csatlakozik.

A címtár- és fájlszintű engedélyek konfigurálásához kövesse a Címtár és fájlszintű engedélyek konfigurálása SMB-en keresztül című témakör utasításait.

Az ügyfelek konfigurálása Kerberos-jegyek lekérésére

Engedélyezze a Microsoft Entra Kerberos funkciót azon ügyfélszámítógépeken, amelyekről azure-fájlmegosztásokat szeretne csatlakoztatni vagy használni. Ezt minden olyan ügyfélen meg kell tennie, amelyen az Azure Filest használni fogja.

Használja az alábbi három módszer egyikét:

Intune

Konfigurálja ezt az Intune Policy CSP-t , és alkalmazza az ügyfél(ek)re: Kerberos/CloudKerberosTicketRetrievalEnabled, 1 értékre állítva

Csoportházirend

Konfigurálja ezt a csoportházirendet az ügyfél(ek)en az "Engedélyezve" értékre: Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

Beállításkulcs

Állítsa be a következő beállításjegyzék-értéket az ügyfél(ek)en a parancs rendszergazda jogú parancssorból való futtatásával:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

A módosítások nem azonnaliak, és életbe léptetéséhez szabályzatfrissítésre vagy újraindításra van szükség.

Fontos

A módosítás alkalmazása után az ügyfél(ek) nem fognak tudni csatlakozni a helyszíni AD DS-integrációhoz konfigurált tárfiókokhoz Kerberos-tartományleképezések konfigurálása nélkül. Ha azt szeretné, hogy az ügyfél(ek) csatlakozni tudjanak az AD DS-hez konfigurált tárfiókokhoz, valamint a Microsoft Entra Kerberoshoz konfigurált tárfiókokhoz, kövesse a helyszíni AD DS-t használó tárfiókokkal való párhuzamosság konfigurálása című témakörben leírt lépéseket.

Párhuzamosság konfigurálása tárfiókokkal a helyszíni AD DS használatával

Ha engedélyezni szeretné, hogy az ügyfélgépek csatlakozzanak az AD DS-hez konfigurált tárfiókokhoz, valamint a Microsoft Entra Kerberoshoz konfigurált tárfiókokhoz, kövesse az alábbi lépéseket. Ha csak a Microsoft Entra Kerberost használja, hagyja ki ezt a szakaszt.

Adjon hozzá egy bejegyzést minden olyan tárfiókhoz, amely helyszíni AD DS-integrációt használ. A Kerberos-tartományleképezések konfigurálásához használja az alábbi három módszer egyikét. A módosítások nem azonnaliak, és a szabályzat frissítését vagy újraindítását igénylik a hatályba lépéshez.

Intune

Konfigurálja ezt az Intune Policy CSP-t , és alkalmazza az ügyfél(ek)re: Kerberos/HostToRealm

Csoportházirend

Konfigurálja ezt a csoportházirendet az ügyfél(ek)en: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings

• A szabályzat beállítása a következőre: Enabled
• Ezután kattintson a gombra a Show... gazdagépek név-tartomány leképezéseinek listájának meghatározásához. Az AD DS-hez konfigurált minden egyes tárfiókhoz adjon hozzá egy bejegyzést, ahol:
  • Value az AD DS-kompatibilis tárfiók gazdagépneve, azaz <your storage account name>.file.core.windows.net
  • Value name az AD DS tartománynév

Beállításkulcs

Futtassa a következő ksetup Windows-parancsot az ügyfél(ek)en:

ksetup /addhosttorealmmap <hostname> <REALMNAME>

Ha például a tartománya, CONTOSO.LOCALfuttassa a ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

Fontos

A Kerberosban a tartománynevek megkülönböztetik a kis- és nagybetűket. A Kerberos-tartománynév általában megegyezik a tartomány nevével, nagybetűkkel.

Az ügyfélkonfiguráció visszavonása Kerberos-jegyek lekéréséhez

Ha már nem szeretne ügyfélszámítógépet használni a Microsoft Entra Kerberos-hitelesítéshez, letilthatja a Microsoft Entra Kerberos funkciót a számítógépen. A funkció engedélyezésétől függően használja az alábbi három módszer egyikét:

Intune

Konfigurálja ezt az Intune Policy CSP-t , és alkalmazza az ügyfél(ek)re: Kerberos/CloudKerberosTicketRetrievalEnabled, 0 értékre állítva

Csoportházirend

Konfigurálja ezt a csoportházirendet az ügyfél(ek)en a "Letiltva" értékre: Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

Beállításkulcs

Állítsa be a következő beállításjegyzék-értéket az ügyfél(ek)en a parancs rendszergazda jogú parancssorból való futtatásával:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0

A módosítások nem azonnaliak, és életbe léptetéséhez szabályzatfrissítésre vagy újraindításra van szükség.

Ha követte a helyszíni AD DS-t használó tárfiókokkal való párhuzamosság konfigurálása című témakörben leírt lépéseket, az összes gazdagépnevet eltávolíthatja a Kerberos-tartományleképezésekből az ügyfélszámítógépről. Használja az alábbi három módszer egyikét:

Intune

Konfigurálja ezt az Intune Policy CSP-t , és alkalmazza az ügyfél(ek)re: Kerberos/HostToRealm

Csoportházirend

Konfigurálja ezt a csoportházirendet az ügyfél(ek)en: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings

Beállításkulcs

Futtassa a következő ksetup Windows-parancsot az ügyfél(ek)en:

ksetup /delhosttorealmmap <hostname> <realmname>

Ha például a tartománya, CONTOSO.LOCALfuttassa a ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

A beállításkulcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealmvizsgálatával megtekintheti az aktuális gazdagépnév listáját a Kerberos-tartományleképezésekre.

A módosítások nem azonnaliak, és a szabályzat frissítését vagy újraindítását igénylik a hatályba lépéshez.

Fontos

A módosítás alkalmazása után az ügyfél(ek) nem fognak tudni csatlakozni a Microsoft Entra Kerberos-hitelesítéshez konfigurált tárfiókokhoz. További konfiguráció nélkül azonban csatlakozhatnak az AD DS-hez konfigurált tárfiókokhoz.

A Microsoft Entra-hitelesítés letiltása a tárfiókban

Ha másik hitelesítési módszert szeretne használni, letilthatja a Microsoft Entra-hitelesítést a tárfiókján az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával.

Feljegyzés

A funkció letiltása azt jelenti, hogy a tárfiókban nem lesz Active Directory-konfiguráció a fájlmegosztásokhoz, amíg nem engedélyezi a többi Active Directory-forrás egyikének az Active Directory-konfiguráció visszaállítását.

Portál

Ha le szeretné tiltani a Microsoft Entra Kerberos-hitelesítést a tárfiókján az Azure Portal használatával, kövesse az alábbi lépéseket.

1. Jelentkezzen be az Azure Portalra, és válassza ki azt a tárfiókot, amelyhez le szeretné tiltani a Microsoft Entra Kerberos-hitelesítést.
2. Az Adattárolás területen válassza a Fájlmegosztások lehetőséget.
3. Az Active Directory mellett válassza ki a konfiguráció állapotát.
4. A Microsoft Entra Kerberos alatt válassza a Konfigurálás lehetőséget.
5. Törölje a jelet a Microsoft Entra Kerberos jelölőnégyzetből.
6. Válassza a Mentés lehetőséget.

Azure PowerShell

Ha le szeretné tiltani a Microsoft Entra Kerberos-hitelesítést a tárfiókon az Azure PowerShell használatával, futtassa a következő parancsot. Ne felejtse el lecserélni a helyőrző értékeket, beleértve a szögletes zárójeleket is az értékekre.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $false

Azure CLI

Ha le szeretné tiltani a Microsoft Entra Kerberos-hitelesítést a tárfiókon az Azure CLI használatával, futtassa a következő parancsot. Ne felejtse el lecserélni a helyőrző értékeket, beleértve a szögletes zárójeleket is az értékekre.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb false

Következő lépések

További információkért tekintse meg az alábbi erőforrásokat:

• Lehetséges hibák a Microsoft Entra Kerberos-hitelesítés hibrid felhasználók számára történő engedélyezésekor
• Az Azure Files identitásalapú hitelesítési támogatásának áttekintése SMB-hozzáférés esetén
• Profiltároló létrehozása az Azure Files és a Microsoft Entra-azonosító használatával
• Gyakori kérdések