Abilitare l'autenticazione Kerberos di Microsoft Entra per le identità ibride in File di Azure

Questo articolo è incentrato sull'abilitazione e la configurazione di Microsoft Entra ID (in precedenza Azure AD) per l'autenticazione delle identità utente ibride, che sono identità di Active Directory Domain Services locali sincronizzate con Microsoft Entra ID usando Microsoft Entra Connect o Microsoft Entra Connect cloud sync. Le identità solo cloud non sono attualmente supportate.

Questa configurazione consente agli utenti ibridi di accedere alle condivisioni file di Azure usando l'autenticazione Kerberos, usando Microsoft Entra ID per rilasciare i ticket Kerberos necessari per accedere alla condivisione file con il protocollo SMB. Ciò significa che gli utenti finali possono accedere alle condivisioni file di Azure tramite Internet senza richiedere connettività di rete non implementata ai controller di dominio da client aggiunti a Microsoft Entra ibrido e Microsoft Entra aggiunti. Tuttavia, la configurazione degli elenchi di controllo di accesso di Windows (ACL)/directory e autorizzazioni a livello di file per un utente o un gruppo richiede la connettività di rete non implementata al controller di dominio locale.

Per altre informazioni sulle opzioni e sulle considerazioni supportate, vedere Panoramica delle opzioni di autenticazione basate sull'identità di File di Azure per l'accesso SMB. Per altre informazioni, vedere questo approfondimento.

Importante

È possibile usare un solo metodo di Active Directory per l'autenticazione basata su identità con File di Azure. Se l'autenticazione Kerberos di Microsoft Entra per le identità ibride non soddisfa i requisiti, potrebbe essere possibile usare invece Servizio del dominio Active Directory (AD DS) locale o Microsoft Entra Domain Services. I passaggi di configurazione e gli scenari supportati sono diversi per ogni metodo.

Si applica a

Tipo di condivisione file	SMB	NFS
Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona
Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona
Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona

Prerequisiti

Prima di abilitare l'autenticazione Kerberos di Microsoft Entra su SMB per le condivisioni file di Azure, assicurarsi di aver completato i prerequisiti seguenti.

Prerequisiti minimi

I prerequisiti seguenti sono obbligatori. Senza questi, non è possibile eseguire l'autenticazione usando Microsoft Entra ID.

• L'account di archiviazione di Azure non può eseguire l'autenticazione con Microsoft Entra ID e un secondo metodo, ad esempio Servizi di dominio Active Directory o Microsoft Entra Domain Services. Se è già stato scelto un altro metodo ad per l'account di archiviazione, è necessario disabilitarlo prima di abilitare Microsoft Entra Kerberos.

• Questa funzionalità attualmente non supporta gli account utente creati e gestiti esclusivamente in Microsoft Entra ID. Gli account utente devono essere identità utente ibride, il che significa che saranno necessari anche Active Directory Domain Services e Microsoft Entra Connect o Microsoft Entra Connect cloud sync. È necessario creare questi account in Active Directory e sincronizzarli con Microsoft Entra ID. Per assegnare le autorizzazioni di Controllo degli accessi in base al ruolo di Azure (RBAC) per la condivisione file di Azure a un gruppo di utenti, è necessario creare il gruppo in Active Directory e sincronizzarlo con Microsoft Entra ID.

• Sono necessari il servizio di individuazione automatica proxy Web WinHTTP (WinHttpAutoProxySvc) e il servizio helper IP (iphlpsvc). Il relativo stato deve essere impostato su in esecuzione.

• È necessario disabilitare l'autenticazione a più fattori (MFA) nell'app Microsoft Entra che rappresenta l'account di archiviazione. Per istruzioni, vedere Disabilitare l'autenticazione a più fattori nell'account di archiviazione.

• Questa funzionalità attualmente non supporta l'accesso tra tenant per utenti B2B o utenti guest. Gli utenti di un tenant di Microsoft Entra diverso da quello configurato non potranno accedere alla condivisione file.

• Con Microsoft Entra Kerberos, la crittografia dei ticket Kerberos è sempre AES-256. È tuttavia possibile impostare la crittografia del canale SMB più adatta alle proprie esigenze.

Prerequisiti del sistema operativo e del dominio

Per il flusso di autenticazione Microsoft Kerberos standard sono necessari i prerequisiti seguenti, come descritto in questo articolo. Se alcuni o tutti i computer client non soddisfano questi requisiti, è comunque possibile abilitare l'autenticazione Kerberos di Microsoft, ma sarà anche necessario configurare un trust cloud per consentire a questi client di accedere alle condivisioni file.

Requisiti del sistema operativo:

• Windows 11 Enterprise/Pro singolo o multisessione.
• Windows 10 Enterprise/Pro singola o multisessione, versioni 2004 o successive con gli aggiornamenti cumulativi più recenti installati, in particolare KB5007253 - 2021-11 Anteprima dell'aggiornamento cumulativo per Windows 10.
• Windows Server, versione 2022 con gli aggiornamenti cumulativi più recenti installati, in particolare KB5007254 - 2021-11 Anteprima dell'aggiornamento cumulativo per il sistema operativo Microsoft Server versione 21H2.

Per informazioni su come creare e configurare una macchina virtuale Windows e accedere usando l'autenticazione basata su ID di Microsoft Entra, vedere Accedere a una macchina virtuale Windows in Azure usando Microsoft Entra ID.

I client devono essere aggiunti a Microsoft Entra o a Microsoft Entra ibrido. Non possono essere aggiunti a Microsoft Entra Domain Services o aggiunti solo ad AD.

Disponibilità a livello di area

Questa funzionalità è supportata nei cloud Azure Public, Azure US Gov e Azure China 21Vianet.

Abilitare l'autenticazione Kerberos di Microsoft Entra per gli account utente ibridi

È possibile abilitare l'autenticazione Kerberos di Microsoft Entra in File di Azure per gli account utente ibridi usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Portale

Per abilitare l'autenticazione Kerberos di Microsoft Entra tramite il portale di Azure, seguire questa procedura.

1. Accedere al portale di Azure e selezionare l'account di archiviazione per cui si desidera abilitare l'autenticazione Kerberos di Microsoft Entra.

2. In Archiviazione dati, selezionare Condivisioni file.

3. Accanto ad Active Directoryselezionare lo stato di configurazione, ad esempio Non configurato.

   

4. In Microsoft Entra Kerberosselezionare Configura.

5. Selezionare la casella di controllo Microsoft Entra Kerberos.

   

6. Facoltativo: se si desidera configurare le autorizzazioni a livello di directory e file tramite Esplora file di Windows, è necessario specificare il nome di dominio e il GUID di dominio per AD locale. È possibile ottenere queste informazioni dall'amministratore di dominio o eseguendo il cmdlet di PowerShell di Active Directory seguente da un client aggiunto a AD locale: Get-ADDomain. Il nome di dominio deve essere elencato nell'output DNSRoot in e il GUID del dominio deve essere elencato in ObjectGUID. Se si preferisce configurare le autorizzazioni a livello di directory e file usando icacls, è possibile ignorare questo passaggio. Tuttavia, se si desidera usare icacls, il client richiederà la connettività di rete non implementata a AD locale.

7. Seleziona Salva.

Azure PowerShell

Per abilitare Microsoft Entra Kerberos con Azure PowerShell, eseguire il comando seguente. Ricordare di sostituire i valori segnaposto, comprese le parentesi acute, con i valori personalizzati.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true

Facoltativo: se si desidera configurare le autorizzazioni a livello di directory e file tramite Esplora file di Windows, è necessario specificare anche il nome di dominio e il GUID di dominio per AD locale. Se si preferisce configurare le autorizzazioni a livello di directory e file usando icacls, è possibile ignorare questo passaggio. Tuttavia, se si desidera usare icacls, il client avrà bisogno di una linea di vista per l'ad locale.

È possibile ottenere queste informazioni dall'amministratore di dominio o eseguendo i seguenti cmdlet di PowerShell di Active Directory da un client aggiunto a AD locale:

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

Per specificare il nome di dominio e il GUID di dominio per AD locale, eseguire il comando di Azure PowerShell seguente. Ricordare di sostituire i valori segnaposto, comprese le parentesi acute, con i valori personalizzati.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true -ActiveDirectoryDomainName $domainName -ActiveDirectoryDomainGuid $domainGuid

Interfaccia della riga di comando di Azure

Per abilitare Microsoft Entra Kerberos tramite l'interfaccia della riga di comando di Azure, eseguire il comando seguente. Ricordare di sostituire i valori segnaposto, comprese le parentesi acute, con i valori personalizzati.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb true

Facoltativo: se si desidera configurare le autorizzazioni a livello di directory e file tramite Esplora file di Windows, è necessario specificare anche il nome di dominio e il GUID di dominio per AD locale. Se si preferisce configurare le autorizzazioni a livello di directory e file usando icacls, è possibile ignorare questo passaggio. Tuttavia, se si desidera usare icacls, il client avrà bisogno di una linea di vista per l'ad locale.

È possibile ottenere queste informazioni dall'amministratore di dominio o eseguendo i seguenti cmdlet di PowerShell di Active Directory da un client aggiunto a AD locale:

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

Per specificare il nome di dominio e il GUID di dominio per AD locale, eseguire il comando seguente. Ricordare di sostituire i valori segnaposto, comprese le parentesi acute, con i valori personalizzati.

az storage account update --name <storageAccountName> --resource-group <resourceGroupName> --enable-files-aadkerb true --domain-name <domainName> --domain-guid <domainGuid>

Avviso

Se l'autenticazione Kerberos di Microsoft Entra è stata abilitata in precedenza tramite passaggi di anteprima limitati manuali per archiviare i profili FSLogix in File di Azure per le macchine virtuali aggiunte a Microsoft Entra, la password per l'entità servizio dell'account di archiviazione è impostata per scadere ogni sei mesi. Una volta scaduta la password, gli utenti non potranno ottenere ticket Kerberos per la condivisione file. Per attenuare questo problema, vedere "Errore - Password dell'entità servizio scaduta in Microsoft Entra ID" in Potenziali errori durante l'abilitazione dell'autenticazione Kerberos di Microsoft Entra per gli utenti ibridi.

Concedere il consenso amministratore alla nuova entità servizio

Dopo aver abilitato l'autenticazione Kerberos di Microsoft Entra, è necessario concedere esplicitamente il consenso amministratore alla nuova applicazione Microsoft Entra registrata nel tenant di Microsoft Entra. Questa entità servizio viene generata automaticamente e non viene usata per l'autorizzazione per la condivisione file, quindi non apportare modifiche all'entità servizio differente da quelle documentate qui. In questo caso, è possibile che venga visualizzato un errore.

È possibile configurare le autorizzazioni API dal portale di Azure seguendo questa procedura:

1. Aprire ID Microsoft Entra.
2. Nel menu Servizio in Gestisci selezionare Registrazioni app.
3. Selezionare Tutte le applicazioni.
4. Selezionare l'applicazione con il nome corrispondente a [Account di archiviazione] <your-storage-account-name>.file.core.windows.net.
5. Nel menu del servizio, in Gestisci, selezionare Autorizzazioni API.
6. Selezionare Concedi consenso amministratore per [Nome directory] per concedere il consenso per le tre autorizzazioni API richieste (openid, profilo e User.Read) per tutti gli account nella directory.
7. Seleziona Sì per confermare.

Importante

Se ci si connette a un account di archiviazione tramite un endpoint privato o un collegamento privato usando l'autenticazione Kerberos di Microsoft Entra, sarà necessario aggiungere anche il nome di dominio completo del collegamento privato all'applicazione Microsoft Entra dell'account di archiviazione. Per istruzioni, vedere la voce nella guida alla risoluzione dei problemi.

Disabilitare l'autenticazione a più fattori nell'account di archiviazione

Microsoft Entra Kerberos non supporta l'uso di MFA per accedere alle condivisioni file di Azure configurate con Microsoft Entra Kerberos. Se si applicano a tutte le app, è necessario escludere l'app Microsoft Entra che rappresenta l'account di archiviazione dai criteri di accesso condizionale MFA.

L'app dell'account di archiviazione deve avere lo stesso nome dell'account di archiviazione nell'elenco di esclusione dell'accesso condizionale. Quando si cerca l'app dell'account di archiviazione nell'elenco di esclusione dell'accesso condizionale, cercare : [Account di archiviazione] <your-storage-account-name>.file.core.windows.net

Ricordarsi di sostituire <your-storage-account-name> con il valore appropriato.

Importante

Se non si escludono criteri di autenticazione a più fattori dall'app dell'account di archiviazione, non sarà possibile accedere alla condivisione file. Se si tenta di eseguire il mapping della condivisione file con net use verrà visualizzato un messaggio di errore che indica che l'errore di sistema 1327: le restrizioni dell'account impediscono all'utente di eseguire l'accesso. Ad esempio, le password vuote non sono consentite, i tempi di accesso sono limitati o è stata applicata una restrizione dei criteri."

Per materiale sussidiario sulla disabilitazione dell'autenticazione a più fattori, vedere quanto segue:

• Aggiungere esclusioni per le entità servizio delle risorse di Azure
• Creare criteri di accesso condizionale

Assegnare autorizzazioni a livello di condivisione

Quando si abilita l'accesso basato sull'identità, per ogni condivisione è necessario assegnare a quali utenti e gruppi è possibile accedere a tale condivisione specifica. Quando un utente o un gruppo è autorizzato ad accedere a una condivisione, gli ACL di Windows (detti anche autorizzazioni NTFS) su singoli file e directory assumono il controllo. In questo modo è possibile controllare con granularità fine sulle autorizzazioni, analogamente a una condivisione SMB in un server Windows.

Per impostare le autorizzazioni a livello di condivisione, seguire le istruzioni in Assegnare autorizzazioni a livello di condivisione a un'identità.

Configurare le autorizzazioni a livello di directory e file

Dopo aver impostato le autorizzazioni a livello di condivisione, è possibile assegnare autorizzazioni a livello di directory/file all'utente o al gruppo. Ciò richiede l'uso di un dispositivo con connettività di rete non implementata a un'istanza di AD locale.

Per configurare le autorizzazioni a livello di directory e file, seguire le istruzioni in Configurare le autorizzazioni a livello di directory e file su SMB.

Configurare i client per recuperare i ticket Kerberos

Abilitare la funzionalità Kerberos di Microsoft Entra nei computer client da cui si desidera montare/usare condivisioni file di Azure. È necessario eseguire questa operazione in ogni client in cui verranno usati File di Azure.

Usare uno dei tre metodi seguenti:

Intune

Configurare il CSP dei criteri di Intune e applicarlo al/i client: Kerberos/CloudKerberosTicketRetrievalEnabled, impostato su 1

Criteri di gruppo

Impostare questi criteri di gruppo nel/i client su "Abilitato": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

Chiave del Registro di sistema

Impostare il valore del Registro di sistema seguente nei client eseguendo questo comando da un prompt dei comandi con privilegi elevati:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

Le modifiche non sono istantanee e richiedono un aggiornamento dei criteri o un riavvio per rendere effettive le modifiche.

Importante

Dopo aver applicato questa modifica, i client non saranno in grado di connettersi agli account di archiviazione configurati per l'integrazione di Active Directory Domain Services locale senza configurare i mapping dell'area di autenticazione Kerberos. Se si desidera che i client possano connettersi agli account di archiviazione configurati per Servizi di dominio Active Directory e gli account di archiviazione configurati per Microsoft Entra Kerberos, seguire la procedura descritta in Configurare la coesistenza con gli account di archiviazione usando AD DS locale.

Configurare la coesistenza con gli account di archiviazione usando Active Directory Domain Services locale

Se si desidera abilitare i computer client per connettersi agli account di archiviazione configurati per Servizi di dominio Active Directory e gli account di archiviazione configurati per Microsoft Entra Kerberos, seguire questa procedura. Se si usa solo Microsoft Entra Kerberos, ignorare questa sezione.

Aggiungere una voce per ogni account di archiviazione che usa l'integrazione di Active Directory Domain Services locale. Usare uno dei tre metodi seguenti per configurare i mapping dell'area di autenticazione Kerberos. Le modifiche non sono istantanee e richiedono un aggiornamento dei criteri o un riavvio per rendere effettive.

Intune

Configurare il CSP dei criteri di Intune e applicarlo ai client: Kerberos/HostToRealm

Criteri di gruppo

Configurare questi criteri di gruppo nei client: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings

• Impostare il criterio su Enabled
• Fare quindi clic sul pulsante Show... per definire l'elenco dei mapping da nome host a area di autenticazione. Per ogni account di archiviazione configurato per Active Directory Domain Services, aggiungere una voce in cui:
  • Value è il nome host dell'account di archiviazione abilitato per AD DS, ad esempio <your storage account name>.file.core.windows.net
  • Value name è il nome dell'area di autenticazione di AD DS

Chiave del Registro di sistema

Eseguire il comando Windows ksetup seguente nei client:

ksetup /addhosttorealmmap <hostname> <REALMNAME>

Ad esempio, se l'area di autenticazione è CONTOSO.LOCAL, eseguire ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

Importante

In Kerberos i nomi dell'area di autenticazione fanno distinzione tra maiuscole e minuscole. Il nome dell'area di autenticazione Kerberos è in genere uguale al nome di dominio, in lettere maiuscole.

Annullare la configurazione client per recuperare i ticket Kerberos

Se non si desidera più usare un computer client per l'autenticazione Kerberos di Microsoft Entra, è possibile disabilitare la funzionalità Kerberos di Microsoft Entra in tale computer. Usare uno dei tre metodi seguenti, a seconda di come è stata abilitata la funzionalità:

Intune

Configurare il CSP dei criteri di Intune e applicarlo al/i client: Kerberos/CloudKerberosTicketRetrievalEnabled, impostato su 0

Criteri di gruppo

Impostare questi criteri di gruppo nel/i client su "Disabilitato": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

Chiave del Registro di sistema

Impostare il valore del Registro di sistema seguente nei client eseguendo questo comando da un prompt dei comandi con privilegi elevati:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0

Le modifiche non sono istantanee e richiedono un aggiornamento dei criteri o un riavvio per rendere effettive le modifiche.

Se sono stati eseguiti i passaggi descritti in Configurare la coesistenza con gli account di archiviazione usando AD DS locale, è possibile rimuovere facoltativamente tutti i mapping del nome host nei mapping dell'area di autenticazione Kerberos dal computer client. Usare uno dei tre metodi seguenti:

Intune

Configurare il CSP dei criteri di Intune e applicarlo ai client: Kerberos/HostToRealm

Criteri di gruppo

Configurare questi criteri di gruppo nei client: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings

Chiave del Registro di sistema

Eseguire il comando Windows ksetup seguente nei client:

ksetup /delhosttorealmmap <hostname> <realmname>

Ad esempio, se l'area di autenticazione è CONTOSO.LOCAL, eseguire ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

È possibile visualizzare l'elenco dei mapping del nome host corrente ai mapping dell'area di autenticazione Kerberos controllando la chiave del registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm.

Le modifiche non sono istantanee e richiedono un aggiornamento dei criteri o un riavvio per rendere effettive.

Importante

Dopo l'applicazione di questa modifica, i client non saranno in grado di connettersi agli account di archiviazione configurati per l'autenticazione Kerberos di Microsoft Entra. Tuttavia, saranno in grado di connettersi agli account di archiviazione configurati ad Active Directory Domain Services, senza alcuna configurazione aggiuntiva.

Disabilitare l'autenticazione di Microsoft Entra nell'account di archiviazione

Se si desidera usare un altro metodo di autenticazione, è possibile disabilitare l'autenticazione di Microsoft Entra nell'account di archiviazione usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Nota

Se si disabilita questa funzionalità, non sarà disponibile alcuna configurazione di Active Directory per le condivisioni file nell'account di archiviazione fino a quando non si attiva una delle altre origini di Active Directory per reintegrare la configurazione di Active Directory.

Portale

Per disabilitare l'autenticazione Kerberos di Microsoft Entra nell'account di archiviazione tramite il portale di Azure, seguire questa procedura.

1. Accedere al portale di Azure e selezionare l'account di archiviazione per cui si desidera disabilitare l'autenticazione Kerberos di Microsoft Entra.
2. In Archiviazione dati, selezionare Condivisioni file.
3. Accanto ad Active Directoryselezionare lo stato di configurazione.
4. In Microsoft Entra Kerberosselezionare Configura.
5. Deselezionare la casella di controllo Microsoft Entra Kerberos.
6. Seleziona Salva.

Azure PowerShell

Per disabilitare l'autenticazione Kerberos di Microsoft Entra nell'account di archiviazione usando Azure PowerShell, eseguire il comando seguente. Ricordare di sostituire i valori segnaposto, comprese le parentesi acute, con i valori personalizzati.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $false

Interfaccia della riga di comando di Azure

Per disabilitare l'autenticazione Kerberos di Microsoft Entra nell'account di archiviazione usando l'interfaccia della riga di comando di Azure, eseguire il comando seguente. Ricordare di sostituire i valori segnaposto, comprese le parentesi acute, con i valori personalizzati.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb false

Passaggi successivi

• Montare una condivisione file di Azure
• Potenziali errori durante l'abilitazione dell'autenticazione Kerberos di Microsoft Entra per gli utenti ibridi
• Creare un contenitore di profili con File di Azure e Microsoft Entra ID