Mengakses volume SMB dari komputer virtual Windows yang bergabung dengan Microsoft Entra

  • Artikel

Anda dapat menggunakan ID Microsoft Entra dengan modul Manajemen Autentikasi Hibrid untuk mengautentikasi kredensial di cloud hibrid Anda. Solusi ini memungkinkan MICROSOFT Entra ID menjadi sumber tepercaya untuk autentikasi cloud dan lokal, menghindari kebutuhan klien yang terhubung ke Azure NetApp Files untuk bergabung dengan domain AD lokal.

Catatan

Menggunakan MICROSOFT Entra ID untuk mengautentikasi identitas pengguna hibrid memungkinkan pengguna Microsoft Entra mengakses berbagi SMB Azure NetApp Files. Ini berarti pengguna akhir Anda dapat mengakses berbagi Azure NetApp Files SMB tanpa memerlukan garis pandang ke pengontrol domain dari microsoft Entra hybrid joined dan VM yang bergabung dengan Microsoft Entra. Identitas khusus cloud saat ini tidak didukung. Untuk informasi selengkapnya, lihat Memahami panduan untuk desain dan perencanaan situs Active Directory Domain Services.

Diagram of SMB volume joined to Microsoft Entra ID.

Persyaratan dan pertimbangan

  • Volume NFS Azure NetApp Files dan volume protokol ganda (NFSv4.1 dan SMB) tidak didukung.

  • Volume protokol ganda NFSv3 dan SMB dengan gaya keamanan NTFS didukung.

  • Anda harus telah menginstal dan mengonfigurasi Microsoft Entra Koneksi untuk menyinkronkan pengguna AD DS Anda dengan ID Microsoft Entra. Untuk informasi selengkapnya, lihat Mulai menggunakan Microsoft Entra Koneksi dengan menggunakan pengaturan ekspres.

    Verifikasi identitas hibrid disinkronkan dengan pengguna Microsoft Entra. Di portal Azure di bawah ID Microsoft Entra, navigasikan ke Pengguna. Anda akan melihat bahwa akun pengguna dari AD DS tercantum dan properti , Sinkronisasi lokal diaktifkan menunjukkan "ya".

    Catatan

    Setelah konfigurasi awal Microsoft Entra Koneksi, saat menambahkan pengguna AD DS baru, Anda harus menjalankan Start-ADSyncSyncCycle perintah di Administrator PowerShell untuk menyinkronkan pengguna baru ke ID Microsoft Entra atau menunggu sinkronisasi terjadwal terjadi.

  • Anda harus telah membuat volume SMB untuk Azure NetApp Files.

  • Anda harus mengaktifkan komputer virtual Windows (VM) dengan login Microsoft Entra. Untuk informasi selengkapnya, lihat Masuk ke VM Windows di Azure dengan menggunakan ID Microsoft Entra. Pastikan untuk Mengonfigurasi penetapan peran untuk VM guna menentukan akun mana yang dapat masuk ke VM.

  • DNS harus dikonfigurasi dengan benar sehingga VM klien dapat mengakses volume Azure NetApp Files Anda melalui nama domain yang sepenuhnya memenuhi syarat (FQDN).

Langkah-langkah

Proses konfigurasi membawa Anda melalui lima proses:

  • Menambahkan CIFS SPN ke akun komputer
  • Mendaftarkan aplikasi Microsoft Entra baru
  • Menyinkronkan kata sandi CIFS dari AD DS ke pendaftaran aplikasi Microsoft Entra
  • Mengonfigurasi VM gabungan Microsoft Entra untuk menggunakan autentikasi Kerberos
  • Memasang volume Azure NetApp Files SMB

Menambahkan CIFS SPN ke akun komputer

  1. Dari pengontrol domain AD DS Anda, buka Pengguna direktori aktif dan Komputer.
  2. Di bawah menu Tampilan , pilih Fitur Tingkat Lanjut.
  3. Di bawah Komputer, klik kanan pada akun komputer yang dibuat sebagai bagian dari volume Azure NetApp Files lalu pilih Properti.
  4. Di bawah Editor Atribut, temukan servicePrincipalName. Di editor string Multinilai, tambahkan nilai CIFS SPN menggunakan format CIFS/FQDN.

Screenshot of multi-value string editor window.

Mendaftarkan aplikasi Microsoft Entra baru

  1. Di portal Azure, navigasikan ke ID Microsoft Entra. Pilih Pendaftaran Aplikasi.
  2. Pilih + Pendaftaran baru.
  3. Tetapkan Nama. Di bawah pilih Jenis akun yang didukung, pilih Akun di direktori organisasi ini saja (Penyewa tunggal).
  4. Pilih Daftarkan.

Screenshot to register application.

  1. Konfigurasikan izin untuk aplikasi. Dari Pendaftaran Aplikasi Anda, pilih Izin API lalu Tambahkan izin.

  2. Pilih Microsoft Graph lalu Izin yang Didelegasikan. Di bawah Pilih Izin, pilih openid dan profil di bawah izin OpenId.

    Screenshot to register API permissions.

  3. Pilih Tambahkan izin.

  4. Dari Izin API, pilih Berikan persetujuan admin untuk....

    Screenshot to grant API permissions.

  5. Dari Autentikasi, di bawah Kunci properti instans aplikasi, pilih Konfigurasikan lalu batal pilih kotak centang berlabel Aktifkan kunci properti.

    Screenshot of app registrations.

  6. Dari Gambaran Umum, catat ID Aplikasi (klien), yang diperlukan nanti.

Menyinkronkan kata sandi CIFS dari AD DS ke pendaftaran aplikasi Microsoft Entra

  1. Dari pengontrol domain AD DS Anda, buka PowerShell.

  2. Instal modul Manajemen Autentikasi Hibrid untuk menyinkronkan kata sandi.

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. Tentukan variabel berikut:

    • $servicePrincipalName: Detail SPN dari pemasangan volume Azure NetApp Files. Gunakan format CIFS/FQDN. Misalnya: CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID: ID aplikasi (klien) aplikasi Microsoft Entra.
    • $domainCred: gunakan Get-Credential (harus menjadi administrator domain AD DS)
    • $cloudCred: gunakan Get-Credential (harus menjadi Administrator Global Microsoft Entra)
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    Catatan

    Perintah Get-Credential akan memulai Jendela pop-up tempat Anda dapat memasukkan kredensial.

  4. Impor detail CIFS ke ID Microsoft Entra:

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

Mengonfigurasi VM gabungan Microsoft Entra untuk menggunakan autentikasi Kerberos

  1. Masuk ke VM gabungan Microsoft Entra menggunakan kredensial hibrid dengan hak administratif (misalnya: user@mydirectory.onmicrosoft.com).

  2. Konfigurasikan mesin virtual:

    1. Navigasi ke Edit kebijakan>grup Templat>Administratif Konfigurasi>Komputer Sistem>Kerberos.
    2. Aktifkan Izinkan pengambilan Tiket Microsoft Entra Kerberos Yang Memberikan Tiket selama masuk.
    3. Aktifkan Tentukan pemetaan realm Nama host-ke-Kerberos. Pilih Perlihatkan lalu berikan Nama nilai dan Nilai menggunakan nama domain Anda yang didahului oleh titik. Misalnya:
      • Nama nilai: KERBEROS.MICROSOFTONLINE.COM
      • Nilai: .contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

Memasang volume Azure NetApp Files SMB

  1. Masuk ke VM gabungan Microsoft Entra menggunakan akun identitas hibrid yang disinkronkan dari AD DS.

  2. Pasang volume Azure NetApp Files SMB menggunakan info yang disediakan di portal Azure. Untuk informasi selengkapnya, lihat Memasang volume SMB untuk VM Windows.

  3. Konfirmasikan volume yang dipasang menggunakan autentikasi Kerberos dan bukan autentikasi NTLM. Buka perintah, keluarkan klist perintah; amati output di informasi tiket server TGT cloud (krbtgt) dan CIFS.

    Screenshot of CLI output.

Informasi lebih lanjut