Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
File di Azure supporta l'autenticazione basata su identità per le condivisioni file di Windows tramite SMB (Server Message Block) usando il protocollo di autenticazione Kerberos tramite i metodi seguenti:
- Istanza locale di Active Directory Domain Services
- Servizi di dominio Microsoft Entra
- Microsoft Entra Kerberos per le identità utente ibride
È consigliabile esaminare la sezione Funzionamento per selezionare l'origine di Active Directory appropriata per l'autenticazione. La configurazione è diversa a seconda del servizio di dominio scelto. Questo articolo è incentrato sull'abilitazione e la configurazione di Active Directory Domain Services locale per l'autenticazione con condivisioni file di Azure.
Se non si ha familiarità con File di Azure, è consigliabile leggere la guida alla pianificazione.
Si applica a
| Modello di gestione | Modello di fatturazione | Livello supporti | Ridondanza | Piccole e Medie Imprese (PMI) | NFS (Network File System) |
|---|---|---|---|---|---|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | Locale |
|
|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | Della zona |
|
|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | Geografica |
|
|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Con provisioning v1 | SSD (Premium) | Locale |
|
|
| Microsoft.Storage | Con provisioning v1 | SSD (Premium) | Della zona |
|
|
| Microsoft.Storage | Pagamento in base al consumo | HDD (standard) | Locale |
|
|
| Microsoft.Storage | Pagamento in base al consumo | HDD (standard) | Della zona |
|
|
| Microsoft.Storage | Pagamento in base al consumo | HDD (standard) | Geografica |
|
|
| Microsoft.Storage | Pagamento in base al consumo | HDD (standard) | GeoZone (GZRS) |
|
|
Scenari e restrizioni supportati
- Per assegnare autorizzazioni RBAC a livello di condivisione a utenti o gruppi specifici, le identità AD DS locali devono essere sincronizzate con Microsoft Entra ID usando Entra Connect Sync. Se le identità non sono sincronizzate, è necessario usare un'autorizzazione a livello di condivisione predefinita, che vale per tutti gli utenti autenticati. Ad esempio, un gruppo creato solo in Microsoft Entra ID non funzionerà se le autorizzazioni RBAC sono configurate a livello della condivisione. Tuttavia, se il gruppo contiene account utente sincronizzati dall'ambiente locale, è possibile usare tali identità. La sincronizzazione dell'hash delle password non è necessaria.
- Requisiti del sistema operativo client: Windows 8/ Windows Server 2012 o versioni successive o macchine virtuali Linux, ad esempio Ubuntu 18.04+ e distribuzioni RHEL/SLES equivalenti.
- Le condivisioni file di Azure possono essere gestite con Sincronizzazione file di Azure.
- L'autenticazione Kerberos è disponibile con Active Directory usando la crittografia AES 256 (scelta consigliata) e RC4-HMAC. La crittografia Kerberos AES 128 non è ancora supportata.
- L'accesso Single Sign-On (SSO) è supportato.
- Per impostazione predefinita, l'accesso è limitato alla foresta Active Directory in cui è registrato l'account di archiviazione. Gli utenti di qualsiasi dominio in tale foresta possono accedere al contenuto della condivisione file, purché dispongano delle autorizzazioni appropriate. Per abilitare l'accesso da foreste aggiuntive, è necessario configurare un trust forestale. Per informazioni dettagliate, vedere Usare File di Azure con più foreste di Active Directory.
- L'autenticazione basata su identità non è attualmente supportata per le condivisioni file NFS.
Quando si abilita Active Directory Domain Services per condivisioni file di Azure tramite SMB, i computer aggiunti ad Active Directory Domain Services possono montare condivisioni file di Azure usando le credenziali di Active Directory Domain Services esistenti. L'ambiente di Active Directory Domain Services può essere ospitato in locale o in una macchina virtuale (VM) in Azure.
Video
Per configurare l'autenticazione basata sull'identità per i casi d'uso comuni, sono stati pubblicati due video con indicazioni dettagliate per gli scenari seguenti. Tenere presente che Azure Active Directory è ora Microsoft Entra ID. Per altre informazioni, vedere Nuovo nome per Azure AD.
| Sostituire i file server locali con File di Azure (inclusa la configurazione sul collegamento privato per i file e l'autenticazione di AD) | Usare Azure Files come contenitore di profili per Azure Virtual Desktop (inclusa la configurazione dell'autenticazione su Active Directory e la configurazione di FSLogix) |
|---|---|
|
|
Prerequisiti
Prima di abilitare l'autenticazione di Active Directory Domain Services per le condivisioni file di Azure, assicurarsi di aver completato i prerequisiti seguenti:
Selezionare o creare l'ambiente di Active Directory Domain Services e sincronizzarlo con Microsoft Entra ID usando l'applicazione locale Microsoft Entra Connect Sync o microsoft Entra Connect cloud sync, un agente leggero che può essere installato dall'interfaccia di amministrazione di Microsoft Entra.
È possibile abilitare la funzionalità in un ambiente di Active Directory Domain Services locale nuovo o esistente. Le identità usate per l'accesso devono essere sincronizzate con Microsoft Entra ID o usare un'autorizzazione predefinita a livello di condivisione. Il tenant di Microsoft Entra e la condivisione file a cui si accede devono essere associati alla stessa sottoscrizione.
Aggiungere un computer locale o una macchina virtuale di Azure ad Active Directory Domain Services locale. Per informazioni su come aggiungere un dominio, vedere Aggiungere un computer a un dominio.
Se un computer non è aggiunto a un dominio, è comunque possibile usare Active Directory Domain Services per l'autenticazione se il computer dispone di connettività di rete non implementata al controller di dominio AD locale e l'utente fornisce credenziali esplicite. Per altre informazioni, vedere Montare la condivisione file da una macchina virtuale non aggiunta a un dominio o da una macchina virtuale aggiunta a un dominio di Active Directory diverso.
Selezionare o creare un account di archiviazione di Azure. Per ottenere prestazioni ottimali, è consigliabile distribuire l'account di archiviazione nella stessa area del client da cui si prevede di accedere alla condivisione. Montare quindi la condivisione file di Azure con la chiave dell'account di archiviazione per verificare la connettività.
Assicurarsi che l'account di archiviazione contenente le condivisioni file non sia già configurato per l'autenticazione basata su identità. Se un'origine di Active Directory è già abilitata nell'account di archiviazione, è necessario disabilitarla prima di abilitare Active Directory Domain Services locale.
Se si verificano problemi durante la connessione a File di Azure, vedere Risolvere gli errori di montaggio di File di Azure in Windows.
Se si prevede di abilitare le configurazioni di rete nella condivisione file, è consigliabile leggere l'articolo Considerazioni sulla rete e completare la configurazione correlata prima di abilitare l'autenticazione di Active Directory Domain Services.
Disponibilità a livello di area
L'autenticazione di Azure Files con Active Directory Domain Services è disponibile in tutte le aree pubbliche, cinesi e governative di Azure.
Panoramica
L'abilitazione dell'autenticazione di Active Directory Domain Services per le condivisioni file di Azure consente di eseguire l'autenticazione nelle condivisioni file di Azure con le credenziali di Active Directory Domain Services locali. Consente inoltre di gestire meglio le autorizzazioni per consentire un controllo di accesso granulare. Questa operazione richiede la sincronizzazione delle identità da Servizi di dominio Active Directory locali all'ID Microsoft Entra usando l'applicazione locale Microsoft Entra Connect Sync o la sincronizzazione cloud Microsoft Entra Connect, un agente leggero che può essere installato dall'interfaccia di amministrazione di Microsoft Entra. Le autorizzazioni a livello di condivisione vengono assegnate alle identità ibride sincronizzate con Microsoft Entra ID durante la gestione dell'accesso a livello di file/directory tramite ACL di Windows.
Seguire questa procedura per configurare File di Azure per l'autenticazione di Active Directory Domain Services:
Abilitare l'autenticazione di Active Directory Domain Services nell'account di archiviazione
Configurare elenchi di controllo di accesso di Windows su SMB per directory e file
Il diagramma seguente illustra il flusso di lavoro end-to-end per abilitare l'autenticazione di Active Directory Domain Services tramite SMB per le condivisioni file di Azure.
Le identità usate per accedere alle condivisioni file di Azure devono essere sincronizzate con Microsoft Entra ID per applicare le autorizzazioni dei file a livello di condivisione tramite il modello di controllo degli accessi in base al ruolo di Azure . In alternativa, è possibile usare un'autorizzazione a livello di condivisione predefinita. Le DACL in stile Windows nei file o directory caricate dai file server esistenti verranno mantenute e applicate. Ciò offre un'integrazione perfetta con l'ambiente di Active Directory Domain Services aziendale. Quando si sostituiscono file server locali con condivisioni file di Azure, gli utenti esistenti possono accedere alle condivisioni file di Azure dai client correnti con un'esperienza single sign-on, senza alcuna modifica alle credenziali in uso.
Passaggio successivo
Per iniziare, è necessario abilitare l'autenticazione di Active Directory Domain Services per l'account di archiviazione.