Abilitare l'autenticazione di Microsoft Entra Domain Services in File di Azure
File di Azure supporta l'autenticazione basata su identità per le condivisioni file di Windows tramite SMB (Server Message Block) usando il protocollo di autenticazione Kerberos tramite i metodi seguenti:
- Istanza locale di Active Directory Domain Services
- Servizi di dominio Microsoft Entra
- Microsoft Entra Kerberos per le identità utente ibride
Questo articolo è incentrato sull'abilitazione di Microsoft Entra Domain Services (in precedenza Azure Dominio di Active Directory Services) per l'autenticazione basata su identità con condivisioni file di Azure. In questo scenario di autenticazione, le credenziali di Microsoft Entra e le credenziali di Microsoft Entra Domain Services sono uguali e possono essere usate in modo intercambiabile.
È consigliabile esaminare la sezione Funzionamento per selezionare l'origine AD corretta per l'account di archiviazione. La configurazione è diversa a seconda dell'origine di ACTIVE Directory scelta.
Se non si ha familiarità con File di Azure, è consigliabile leggere la guida alla pianificazione prima di leggere questo articolo.
Nota
File di Azure supporta l'autenticazione Kerberos con Microsoft Entra Domain Services con la crittografia RC4-HMAC e AES-256. È consigliabile usare AES-256.
File di Azure supporta l'autenticazione per Microsoft Entra Domain Services con sincronizzazione completa o parziale (con ambito) con Microsoft Entra ID. Per gli ambienti con sincronizzazione con ambito presente, gli amministratori devono tenere presente che File di Azure rispetta solo le assegnazioni di ruolo di Controllo degli accessi in base al ruolo di Azure concesse alle entità sincronizzate. Le assegnazioni di ruolo concesse alle identità non sincronizzate da Microsoft Entra ID a Microsoft Entra Domain Services verranno ignorate dal servizio File di Azure.
Si applica a
| Tipo di condivisione file | SMB | NFS |
|---|---|---|
| Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona |  |
 |
| Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona | |
|
| Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona | |
|
Prerequisiti
Prima di abilitare Microsoft Entra Domain Services su SMB per le condivisioni file di Azure, assicurarsi di aver completato i prerequisiti seguenti:
Selezionare o creare un tenant di Microsoft Entra.
È possibile usare un tenant nuovo o esistente. Il tenant e la condivisione file a cui si vuole accedere devono essere associati alla stessa sottoscrizione.
Per creare un nuovo tenant di Microsoft Entra, è possibile aggiungere un tenant di Microsoft Entra e una sottoscrizione di Microsoft Entra. Se si ha un tenant Di Microsoft Entra esistente ma si vuole creare un nuovo tenant da usare con le condivisioni file di Azure, vedere Creare un tenant di Microsoft Entra.
Abilitare Microsoft Entra Domain Services nel tenant di Microsoft Entra.
Per supportare l'autenticazione con le credenziali di Microsoft Entra, è necessario abilitare Microsoft Entra Domain Services per il tenant di Microsoft Entra. Se non si è l'amministratore del tenant di Microsoft Entra, contattare l'amministratore e seguire le istruzioni dettagliate per abilitare Microsoft Entra Domain Services usando il portale di Azure.
Il completamento della distribuzione di Microsoft Entra Domain Services richiede in genere circa 15 minuti. Verificare che lo stato di integrità di Microsoft Entra Domain Services sia In esecuzione, con sincronizzazione dell'hash delle password abilitata, prima di procedere al passaggio successivo.
Aggiungere una macchina virtuale di Azure a una macchina virtuale di Azure con Microsoft Entra Domain Services.
Per accedere a una condivisione file di Azure usando le credenziali di Microsoft Entra da una macchina virtuale, la macchina virtuale deve essere aggiunta a un dominio a Microsoft Entra Domain Services. Per altre informazioni su come aggiungere una macchina virtuale a un dominio, vedere Aggiungere una macchina virtuale Windows Server a un dominio gestito. L'autenticazione di Microsoft Entra Domain Services su SMB con condivisioni file di Azure è supportata solo nelle macchine virtuali di Azure in esecuzione in versioni del sistema operativo successive a Windows 7 o Windows Server 2008 R2.
Nota
Le macchine virtuali non aggiunte a un dominio possono accedere alle condivisioni file di Azure usando l'autenticazione di Servizi di dominio Microsoft Entra solo se la macchina virtuale dispone di connettività di rete non implementata ai controller di dominio per Microsoft Entra Domain Services. In genere è necessaria una VPN da punto a sito o da sito a sito.
Selezionare o creare una condivisione file di Azure.
Selezionare una condivisione file nuova o esistente associata alla stessa sottoscrizione del tenant di Microsoft Entra. Per informazioni sulla creazione di una nuova condivisione file, vedere Creare una condivisione file in File di Azure. Per ottenere prestazioni ottimali, è consigliabile che la condivisione file si trovi nella stessa area della macchina virtuale da cui si prevede di accedere alla condivisione.
Verificare la connettività di File di Azure tramite il montaggio di condivisioni file di Azure usando la chiave dell'account di archiviazione.
Per verificare che la macchina virtuale e la condivisione file siano configurate correttamente, provare a montare la condivisione file usando la chiave dell'account di archiviazione. Per altre informazioni, vedere Montare una condivisione file di Azure e accedere alla condivisione in Windows.
Disponibilità a livello di area
File di Azure'autenticazione con Microsoft Entra Domain Services è disponibile in tutte le aree pubbliche, gov e cina di Azure.
Panoramica del flusso di lavoro
Il diagramma seguente illustra il flusso di lavoro end-to-end per abilitare l'autenticazione di Microsoft Entra Domain Services tramite SMB per File di Azure.
Abilitare l'autenticazione di Microsoft Entra Domain Services per l'account
Per abilitare l'autenticazione di Microsoft Entra Domain Services tramite SMB per File di Azure, è possibile impostare una proprietà per gli account di archiviazione usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure. Impostazione di questa proprietà in modo implicito "aggiunta al dominio" dell'account di archiviazione con la distribuzione di Microsoft Entra Domain Services associata. L'autenticazione di Microsoft Entra Domain Services tramite SMB viene quindi abilitata per tutte le condivisioni file nuove ed esistenti nell'account di archiviazione.
Tenere presente che è possibile abilitare l'autenticazione di Microsoft Entra Domain Services tramite SMB solo dopo aver distribuito correttamente Microsoft Entra Domain Services nel tenant di Microsoft Entra. Per altre informazioni, consulta i prerequisiti.
Per abilitare l'autenticazione di Microsoft Entra Domain Services tramite SMB con il portale di Azure, seguire questa procedura:
Nella portale di Azure passare all'account di archiviazione esistente o creare un account di archiviazione.
Selezionare Archiviazione dati>Condivisioni file.
Nella sezione Impostazioni condivisione file selezionare Accesso basato su identità: Non configurato.
In Servizi di dominio Microsoft Entra selezionare Configura, quindi abilitare la funzionalità selezionando la casella di controllo.
Seleziona Salva.
Consigliato: usare la crittografia AES-256
Per impostazione predefinita, l'autenticazione di Microsoft Entra Domain Services usa la crittografia Kerberos RC4. È consigliabile configurarlo per usare la crittografia Kerberos AES-256 seguendo queste istruzioni.
L'azione richiede l'esecuzione di un'operazione sul dominio di Active Directory gestito da Microsoft Entra Domain Services per raggiungere un controller di dominio per richiedere una modifica della proprietà all'oggetto dominio. I cmdlet seguenti sono i cmdlet di PowerShell di Windows Server Active Directory, non i cmdlet di Azure PowerShell. Per questo motivo, questi comandi di PowerShell devono essere eseguiti da un computer client aggiunto al dominio di Microsoft Entra Domain Services.
Importante
I cmdlet di PowerShell di Windows Server Active Directory in questa sezione devono essere eseguiti in Windows PowerShell 5.1 da un computer client aggiunto al dominio di Microsoft Entra Domain Services. PowerShell 7.x e Azure Cloud Shell non funzioneranno in questo scenario.
Accedere al computer client aggiunto a un dominio come utente di Microsoft Entra Domain Services con le autorizzazioni necessarie. È necessario disporre dell'accesso in scrittura all'attributo msDS-SupportedEncryptionTypes dell'oggetto dominio. In genere, i membri del gruppo AAD DC Administrators avranno le autorizzazioni necessarie. Aprire una normale sessione di PowerShell (senza privilegi elevati) ed eseguire i comandi riportati di seguito.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Importante
Se in precedenza si usava la crittografia RC4 e si aggiorna l'account di archiviazione per usare AES-256, è necessario eseguire klist purge sul client e quindi rimontare la condivisione file per ottenere nuovi ticket Kerberos con AES-256.
Passaggio successivo
- Per concedere agli utenti l'accesso alla condivisione file, seguire le istruzioni in Assegnare autorizzazioni a livello di condivisione.