Mengaktifkan autentikasi Microsoft Entra Domain Services di Azure Files
Azure Files mendukung autentikasi berbasis identitas untuk berbagi file Windows melalui Server Message Block (SMB) menggunakan protokol autentikasi Kerberos melalui metode berikut:
- Active Directory Domain Services (AD DS) lokal
- Microsoft Entra Domain Services
- Microsoft Entra Kerberos untuk identitas pengguna hibrid
Artikel ini berfokus pada mengaktifkan Microsoft Entra Domain Services (sebelumnya Azure Active Directory Domain Services) untuk autentikasi berbasis identitas dengan berbagi file Azure. Dalam skenario autentikasi ini, kredensial Microsoft Entra dan kredensial Microsoft Entra Domain Services sama dan dapat digunakan secara bergantian.
Kami sangat menyarankan Agar Anda meninjau bagian Cara kerjanya untuk memilih sumber AD yang tepat untuk akun penyimpanan Anda. Penyiapan berbeda tergantung pada sumber AD yang Anda pilih.
Jika Anda baru menggunakan Azure Files, sebaiknya baca panduan perencanaan kami sebelum membaca artikel ini.
Catatan
Azure Files mendukung autentikasi Kerberos dengan Microsoft Entra Domain Services dengan enkripsi RC4-HMAC dan AES-256. Kami sarankan agar Anda menggunakan AES-256.
Azure Files mendukung autentikasi untuk Microsoft Entra Domain Services dengan sinkronisasi penuh atau parsial (tercakup) dengan ID Microsoft Entra. Untuk lingkungan dengan sinkronisasi tercakup yang ada, administrator harus mengetahui bahwa Azure Files hanya menghormati penetapan peran Azure RBAC yang diberikan kepada prinsipal yang disinkronkan. Penetapan peran yang diberikan kepada identitas yang tidak disinkronkan dari ID Microsoft Entra ke Microsoft Entra Domain Services akan diabaikan oleh layanan Azure Files.
Berlaku untuk
| Jenis berbagi File | SMB | NFS |
|---|---|---|
| Berbagi file standar (GPv2), LRS/ZRS |  |
 |
| Berbagi file standar (GPv2), GRS/GZRS | |
|
| Berbagi file premium (FileStorage), LRS/ZRS | |
|
Prasyarat
Sebelum Mengaktifkan Microsoft Entra Domain Services melalui SMB untuk berbagi file Azure, pastikan Anda telah menyelesaikan prasyarat berikut:
Pilih atau buat penyewa Microsoft Entra.
Anda dapat menggunakan penyewa baru atau yang sudah ada. Penyewa dan berbagi file yang Anda ingin akses harus dikaitkan dengan langganan yang sama.
Untuk membuat penyewa Microsoft Entra baru, Anda dapat Menambahkan penyewa Microsoft Entra dan langganan Microsoft Entra. Jika Anda sudah memiliki penyewa Microsoft Entra tetapi ingin membuat penyewa baru untuk digunakan dengan berbagi file Azure, lihat Membuat penyewa Microsoft Entra.
Aktifkan Microsoft Entra Domain Services pada penyewa Microsoft Entra.
Untuk mendukung autentikasi dengan kredensial Microsoft Entra, Anda harus mengaktifkan Microsoft Entra Domain Services untuk penyewa Microsoft Entra Anda. Jika Anda bukan administrator penyewa Microsoft Entra, hubungi administrator dan ikuti panduan langkah demi langkah untuk Mengaktifkan Microsoft Entra Domain Services menggunakan portal Azure.
Biasanya diperlukan waktu sekitar 15 menit agar penyebaran Microsoft Entra Domain Services selesai. Verifikasi bahwa status kesehatan Microsoft Entra Domain Services menunjukkan Berjalan, dengan sinkronisasi hash kata sandi diaktifkan, sebelum melanjutkan ke langkah berikutnya.
Bergabung dengan domain Azure VM dengan Microsoft Entra Domain Services.
Untuk mengakses berbagi file Azure dengan menggunakan kredensial Microsoft Entra dari VM, VM Anda harus bergabung dengan domain ke Microsoft Entra Domain Services. Untuk informasi selengkapnya tentang cara bergabung dengan domain VM, lihat Bergabung dengan mesin virtual Windows Server ke domain terkelola. Autentikasi Microsoft Entra Domain Services melalui SMB dengan berbagi file Azure hanya didukung pada mesin virtual Azure yang berjalan pada versi OS di atas Windows 7 atau Windows Server 2008 R2.
Catatan
VM yang tidak bergabung dengan domain dapat mengakses berbagi file Azure menggunakan autentikasi Microsoft Entra Domain Services hanya jika VM memiliki konektivitas jaringan yang tidak tertandingi ke pengontrol domain untuk Microsoft Entra Domain Services. Biasanya ini memerlukan VPN situs-ke-situs atau titik-ke-situs.
Pilih atau buat berbagi file Azure.
Pilih berbagi file baru atau yang sudah ada yang terkait dengan langganan yang sama dengan penyewa Microsoft Entra Anda. Untuk informasi tentang membuat berbagi file baru, lihat Buat berbagi file di Azure Files. Untuk performa optimal, kami menyarankan agar berbagi file Anda berada di wilayah yang sama dengan VM tempat Anda berencana untuk mengakses berbagi.
Verifikasi konektivitas Azure Files dengan memasang berbagi file Azure menggunakan kunci akun penyimpanan Anda.
Untuk memverifikasi bahwa VM dan berbagi file Anda dikonfigurasi dengan benar, coba pasang berbagi file menggunakan kunci akun penyimpanan Anda. Untuk informasi selengkapnya, lihat Pasang berbagi file Azure dan akses berbagi di Windows.
Ketersediaan regional
Autentikasi Azure Files dengan Microsoft Entra Domain Services tersedia di semua wilayah Azure Public, Gov, dan Tiongkok.
Gambaran umum alur kerja
Diagram berikut mengilustrasikan alur kerja end-to-end untuk mengaktifkan autentikasi Microsoft Entra Domain Services melalui SMB untuk Azure Files.
Mengaktifkan autentikasi Microsoft Entra Domain Services untuk akun Anda
Untuk mengaktifkan autentikasi Microsoft Entra Domain Services melalui SMB untuk Azure Files, Anda dapat mengatur properti pada akun penyimpanan dengan menggunakan portal Azure, Azure PowerShell, atau Azure CLI. Menetapkan properti ini secara implisit "domain joins" akun penyimpanan dengan penyebaran Layanan Domain Microsoft Entra terkait. Autentikasi Microsoft Entra Domain Services melalui SMB kemudian diaktifkan untuk semua berbagi file baru dan yang sudah ada di akun penyimpanan.
Perlu diingat bahwa Anda dapat mengaktifkan autentikasi Microsoft Entra Domain Services melalui SMB hanya setelah Anda berhasil menyebarkan Microsoft Entra Domain Services ke penyewa Microsoft Entra Anda. Untuk informasi selengkapnya, lihat prasyarat.
Untuk mengaktifkan autentikasi Microsoft Entra Domain Services melalui SMB dengan portal Azure, ikuti langkah-langkah berikut:
Di portal Microsoft Azure, buka akun penyimpanan Anda yang sudah ada, atau buat akun penyimpanan.
Pilih Penyimpanan data>Pembagian file.
Di bagian Pengaturan berbagi file, pilih Akses berbasis identitas: Tidak dikonfigurasi.
Di bawah Microsoft Entra Domain Services pilih Siapkan, lalu aktifkan fitur dengan mencentang kotak centang.
Pilih Simpan.
Disarankan: Gunakan enkripsi AES-256
Secara default, autentikasi Microsoft Entra Domain Services menggunakan enkripsi Kerberos RC4. Sebaiknya konfigurasikan agar menggunakan enkripsi Kerberos AES-256 dengan mengikuti petunjuk berikut.
Tindakan ini mengharuskan menjalankan operasi pada domain Direktori Aktif yang dikelola oleh Microsoft Entra Domain Services untuk menjangkau pengendali domain untuk meminta perubahan properti ke objek domain. Cmdlet di bawah ini adalah cmdlet PowerShell Active Directory lokal, bukan cmdlet Azure PowerShell. Karena itu, perintah PowerShell ini harus dijalankan dari komputer klien yang bergabung dengan domain ke domain Microsoft Entra Domain Services.
Penting
Cmdlet PowerShell Windows Server Active Directory di bagian ini harus dijalankan di Windows PowerShell 5.1 dari komputer klien yang bergabung dengan domain Microsoft Entra Domain Services. PowerShell 7.x dan Azure Cloud Shell tidak akan berfungsi dalam skenario ini.
Masuk ke komputer klien yang bergabung dengan domain sebagai pengguna Microsoft Entra Domain Services dengan izin yang diperlukan. Anda harus memiliki akses tulis ke msDS-SupportedEncryptionTypes atribut objek domain. Biasanya, anggota grup Administrator AAD DC akan memiliki izin yang diperlukan. Buka sesi PowerShell normal (tidak ditingkatkan) dan jalankan perintah berikut.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Penting
Jika sebelumnya Anda menggunakan enkripsi RC4 dan memperbarui akun penyimpanan untuk menggunakan AES-256, Anda harus berjalan klist purge pada klien dan kemudian melepas berbagi file untuk mendapatkan tiket Kerberos baru dengan AES-256.
Langkah selanjutnya
- Untuk memberi pengguna akses ke berbagi file Anda, ikuti instruksi di Menetapkan izin tingkat berbagi.