Accedere ai volumi SMB da macchine virtuali Windows aggiunte a Microsoft Entra

È possibile usare Microsoft Entra ID con il modulo Hybrid Authentication Management per autenticare le credenziali nel cloud ibrido. Questa soluzione consente a Microsoft Entra ID di diventare l'origine attendibile sia per l'autenticazione cloud che per l'autenticazione locale, eludendo la necessità per i client che si connettono ad Azure NetApp Files di aggiungere il dominio AD locale.

Nota

L'uso dell'ID Microsoft Entra per l'autenticazione delle identità utente ibride consente agli utenti di Microsoft Entra di accedere alle condivisioni SMB di Azure NetApp Files. Ciò significa che gli utenti finali possono accedere alle condivisioni SMB di Azure NetApp Files senza richiedere una linea di vista ai controller di dominio da macchine virtuali aggiunte a Microsoft Entra ibride e microsoft Entra. Le identità solo cloud non sono attualmente supportate. Per altre informazioni, vedere Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services.

Problemi e considerazioni

• I volumi NFS di Azure NetApp Files e i volumi dual-protocol (NFSv4.1 e SMB) non sono supportati.

• Sono supportati i volumi a doppio protocollo NFSv3 e SMB con stile di sicurezza NTFS.

• È necessario aver installato e configurato Microsoft Entra Connessione per sincronizzare gli utenti di Active Directory Domain Services con Microsoft Entra ID. Per altre informazioni, vedere Introduzione a Microsoft Entra Connessione tramite le impostazioni rapide.

  Verificare che le identità ibride siano sincronizzate con gli utenti di Microsoft Entra. Nella portale di Azure in Microsoft Entra ID passare a Utenti. Si noterà che gli account utente di Active Directory Domain Services sono elencati e la proprietà Sincronizzazione locale abilitata mostra "sì".

  Nota

  Dopo la configurazione iniziale di Microsoft Entra Connessione, quando si aggiunge un nuovo utente di Active Directory Domain Services, è necessario eseguire il Start-ADSyncSyncCycle comando in PowerShell Amministrazione istrator per sincronizzare il nuovo utente con Microsoft Entra ID o attendere che si verifichi la sincronizzazione pianificata.

• È necessario aver creato un volume SMB per Azure NetApp Files.

• È necessario disporre di una macchina virtuale Windows con l'account di accesso Microsoft Entra abilitato. Per altre informazioni, vedere Accedere a una macchina virtuale Windows in Azure usando Microsoft Entra ID. Assicurarsi di configurare le assegnazioni di ruolo per la macchina virtuale per determinare quali account possono accedere alla macchina virtuale.

• Il DNS deve essere configurato correttamente in modo che la macchina virtuale client possa accedere ai volumi di Azure NetApp Files tramite il nome di dominio completo (FQDN).

Passaggi

Il processo di configurazione richiede cinque processi:

• Aggiungere il nome SPN CIFS all'account computer
• Registrare una nuova applicazione Microsoft Entra
• Sincronizzare la password CIFS da Active Directory Domain Services alla registrazione dell'applicazione Microsoft Entra
• Configurare la macchina virtuale aggiunta a Microsoft Entra per l'uso dell'autenticazione Kerberos
• Montare i volumi SMB di Azure NetApp Files

Aggiungere il nome SPN CIFS all'account computer

1. Dal controller di dominio di Active Directory Domain Services aprire Utenti e computer di Active Directory.
2. Nel menu Visualizza selezionare Funzionalità avanzate.
3. In Computer fare clic con il pulsante destro del mouse sull'account computer creato come parte del volume azure NetApp Files e quindi scegliere Proprietà.
4. In Editor attributi individuare servicePrincipalName. Nell'editor di stringhe multivalore aggiungere il valore SPN CIFS usando il formato CIFS/FQDN.

Registrare una nuova applicazione Microsoft Entra

1. Nella portale di Azure passare a Microsoft Entra ID. Selezionare Registrazioni per l'app.
2. Seleziona + Nuova registrazione.
3. Assegnare un nome. In Selezionare il tipo di account supportato scegliere Account solo in questa directory organizzativa (tenant singolo).
4. Selezionare Registra.

1. Configurare le autorizzazioni per l'applicazione. Nelle registrazioni dell'app selezionare Autorizzazioni API e quindi Aggiungi un'autorizzazione.

2. Selezionare Microsoft Graph e quindi Autorizzazioni delegate. In Seleziona autorizzazioni selezionare openid e profilo in Autorizzazioni OpenId.

   

3. Seleziona Aggiungi autorizzazione.

4. In Autorizzazioni API selezionare Concedi consenso amministratore per....

   

5. In Autenticazione, in Blocco proprietà dell'istanza dell'app selezionare Configura e quindi deselezionare la casella di controllo Abilita blocco proprietà.

   

6. In Panoramica prendere nota dell'ID applicazione (client) necessario in un secondo momento.

Sincronizzare la password CIFS da Active Directory Domain Services alla registrazione dell'applicazione Microsoft Entra

1. Dal controller di dominio di Active Directory Domain Services aprire PowerShell.

2. Installare il modulo Hybrid Authentication Management per la sincronizzazione delle password.

   Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force 
   

3. Definire le variabili seguenti:

   • $servicePrincipalName: dettagli del nome SPN dal montaggio del volume di Azure NetApp Files. Usare il formato CIFS/FQDN. Ad esempio: CIFS/NETBIOS-1234.CONTOSO.COM
   • $targetApplicationID: ID applicazione (client) dell'applicazione Microsoft Entra.
   • $domainCred: usare Get-Credential (deve essere un amministratore di dominio di Active Directory Domain Services)
   • $cloudCred: use Get-Credential (deve essere un microsoft Entra Global Amministrazione istrator)

   $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
   $targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
   $domainCred = Get-Credential
   $cloudCred = Get-Credential
   

   Nota

   Il Get-Credential comando avvierà una finestra popup in cui è possibile immettere le credenziali.

4. Importare i dettagli CIFS in Microsoft Entra ID:

   Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId 
   

Configurare la macchina virtuale aggiunta a Microsoft Entra per l'uso dell'autenticazione Kerberos

1. Accedere alla macchina virtuale aggiunta a Microsoft Entra usando credenziali ibride con diritti amministrativi (ad esempio: user@mydirectory.onmicrosoft.com).

2. Configurare la macchina virtuale:

   1. Passare a Modifica configurazione> computer criteri di gruppo>Amministrazione Modelli>amministrativi Kerberos di sistema.>
   2. Abilitare Consenti il recupero del ticket kerberos di Microsoft Entra durante l'accesso.
   3. Abilitare Definisci mapping dell'area di autenticazione da nome host a Kerberos. Selezionare Mostra quindi specificare un nome valore e un valore usando il nome di dominio preceduto da un punto. Ad esempio:
      • Nome valore: KERBEROS.MICROSOFTONLINE.COM
      • Valore: .contoso.com

   

Montare i volumi SMB di Azure NetApp Files

1. Accedere alla macchina virtuale aggiunta a Microsoft Entra usando un account di identità ibrido sincronizzato da Servizi di dominio Active Directory.

2. Montare il volume SMB di Azure NetApp Files usando le informazioni fornite nella portale di Azure. Per altre informazioni, vedere Montare volumi SMB per macchine virtuali Windows.

3. Verificare che il volume montato usi l'autenticazione Kerberos e non l'autenticazione NTLM. Aprire un prompt dei comandi, eseguire il klist comando. Osservare l'output nel cloud TGT (krbtgt) e le informazioni sul ticket del server CIFS.

   

Ulteriori informazioni

• Informazioni sulle linee guida per i servizi di Dominio di Active Directory
• Creare e gestire connessioni di Active Directory
• Introduzione a Microsoft Entra Connessione V2.0