Azure Files에서 Microsoft Entra Domain Services 인증 사용
Azure Files는 다음 방법을 통해 Kerberos 인증 프로토콜을 사용하여 SMB(서버 메시지 블록)를 통한 Windows 파일 공유에 대한 ID 기반 인증을 지원합니다.
- 온-프레미스 AD DS(Active Directory Domain Services)
- Microsoft Entra Domain Services
- 하이브리드 사용자 ID용 Microsoft Entra Kerberos
이 문서에서는 Azure 파일 공유에 대한 ID 기반 인증을 위해 Microsoft Entra Domain Services(이전의 Azure Active Directory Domain Services)를 사용하도록 설정하고 구성하는 데 중점을 둡니다. 이 인증 시나리오에서 Microsoft Entra 자격 증명과 Microsoft Entra Domain Services 자격 증명은 동일하며 서로 바꿔 사용할 수 있습니다.
작동 방법 섹션을 검토하여 인증에 적합한 AD 소스를 선택하는 것이 좋습니다. 설정은 선택한 AD 원본에 따라 달라집니다.
Azure Files를 처음 사용하는 경우 이 문서를 읽기 전에 계획 가이드를 읽어 보는 것이 좋습니다.
참고 항목
Azure Files는 RC4-HMAC 및 AES-256 암호화를 사용하여 Microsoft Entra Domain Services에 대한 Kerberos 인증을 지원합니다. AES-256을 사용하는 것이 좋습니다.
Azure Files는 Microsoft Entra ID와 전체 또는 부분(범위가 지정된) 동기화된 Microsoft Entra Domain Services에 대한 인증을 지원합니다. 범위가 지정된 동기화가 있는 환경의 경우 관리자는 Azure Files가 동기화된 주체에게 부여된 Azure RBAC 역할 할당만 적용한다는 점에 유의해야 합니다. Microsoft Entra ID에서 Microsoft Entra Domain Services로 동기화되지 않은 ID에 부여된 역할 할당은 Azure Files 서비스에서 무시됩니다.
적용 대상
| 파일 공유 유형 | SMB | NFS |
|---|---|---|
| 표준 파일 공유(GPv2), LRS/ZRS |  |
 |
| 표준 파일 공유(GPv2), GRS/GZRS | |
|
| 프리미엄 파일 공유(FileStorage), LRS/ZRS | |
|
필수 조건
Azure 파일 공유에 대해 SMB를 통해 Microsoft Entra Domain Services를 사용하도록 설정하기 전에 다음 필수 구성 요소를 완료했는지 확인합니다.
Microsoft Entra 테넌트를 선택하거나 만듭니다.
새 테넌트나 기존 테넌트를 사용할 수 있습니다. 액세스하려는 파일 공유와 테넌트는 같은 구독과 연결되어 있어야 합니다.
새 Microsoft Entra 테넌트를 만들려면 Microsoft Entra 테넌트 및 Microsoft Entra 구독을 추가할 수 있습니다. 기존 Microsoft Entra 테넌트가 있지만 Azure 파일 공유에 사용할 새 테넌트를 만들려는 경우 Microsoft Entra 테넌트 만들기를 참조하세요.
Microsoft Entra 테넌트에서 Microsoft Entra Domain Services를 사용하도록 설정합니다.
Microsoft Entra 자격 증명을 사용한 인증을 지원하려면 Microsoft Entra 테넌트에 대해 Microsoft Entra Domain Services를 사용하도록 설정해야 합니다. Microsoft Entra 테넌트의 관리자가 아닌 경우 관리자에게 문의하고 단계별 참고 자료에 따라 Azure Portal을 사용하여 Microsoft Entra Domain Services를 사용하도록 설정합니다.
일반적으로 Microsoft Entra Domain Services 배포를 완료하는 데 약 15분이 걸립니다. 다음 단계로 진행하기 전에 Microsoft Entra Domain Services의 상태가 실행 중으로 표시되고 암호 해시 동기화가 사용하도록 설정되어 있는지 확인합니다.
Azure VM을 Microsoft Entra Domain Services와 도메인 가입합니다.
VM에서 Microsoft Entra 자격 증명을 사용하여 Azure 파일 공유에 액세스하려면 VM이 Microsoft Entra Domain Services에 도메인 가입되어 있어야 합니다. VM을 도메인 조인하는 방법에 대한 자세한 내용은 Windows Server 가상 머신을 관리되는 도메인에 조인을 참조하세요. Azure 파일 공유에 대한 SMB를 통한 Microsoft Entra Domain Services 인증은 Windows 7 또는 Windows Server 2008 R2 이상의 OS 버전에서 실행되는 Azure VMs에서만 지원됩니다.
참고 항목
도메인 가입되지 않은 VM은 Microsoft Entra Domain Services용 도메인 컨트롤러에 대한 방해받지 않는 네트워크 연결이 있는 경우에만 Microsoft Entra Domain Services 인증을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 일반적으로 사이트 대 사이트 또는 지점 및 사이트 간의 VPN이 필요합니다.
Azure 파일 공유를 선택하거나 만듭니다.
Microsoft Entra 테넌트와 동일한 구독과 연결된 새 파일 또는 기존 파일 공유를 선택합니다. 새 파일 공유를 만드는 방법에 대한 자세한 내용은 Azure Files에 파일 공유 만들기를 참조하세요. 성능을 최적화하려면 해당 공유에 액세스하려는 VM과 같은 지역에 파일 공유를 배치하는 것이 좋습니다.
스토리지 계정 키를 사용하여 Azure 파일 공유를 탑재해 Azure Files 연결을 확인합니다.
VM 및 파일 공유가 적절하게 구성되었는지 확인하려면 스토리지 계정 키를 사용하여 파일 공유를 탑재해 봅니다. 자세한 내용은 Azure 파일 공유를 탑재하고 Windows에서 공유에 액세스를 참조하세요.
국가별 가용성
Microsoft Entra Domain Services를 사용한 Azure Files 인증은 모든 Azure 퍼블릭, Gov 및 중국 지역에서 사용할 수 있습니다.
워크플로의 개요
Azure 파일 공유에 대해 SMB를 통한 Microsoft Entra Domain Services 인증을 사용하도록 설정하기 전에 Microsoft Entra ID 및 Azure Storage 환경이 제대로 구성되어 있는지 확인합니다. 필수 조건을 검토하여 필요한 모든 단계를 완료했는지 확인하는 것이 좋습니다.
다음 단계에 따라 Microsoft Entra 자격 증명을 사용하여 Azure Files 리소스에 대한 액세스 권한을 부여합니다.
- 스토리지 계정에 대해 SMB를 통한 Microsoft Entra Domain Services 인증을 사용하도록 설정하여 스토리지 계정을 연결된 Microsoft Entra Domain Services 배포에 등록합니다.
- Microsoft Entra ID(사용자, 그룹 또는 서비스 주체)에 공유 수준 권한을 할당합니다.
- 스토리지 계정 키를 사용하여 Azure 파일 공유에 연결하고 디렉터리 및 파일에 대한 Windows ACL(액세스 제어 목록)을 구성합니다.
- 도메인 조인 VM에서 Azure 파일 공유를 탑재합니다.
다음 다이어그램은 Azure Files에 대해 SMB를 통한 Microsoft Entra Domain Services 인증을 사용하도록 설정하는 엔드투엔드 워크플로를 보여줍니다.
계정에 대한 Microsoft Entra Domain Services 인증 사용 설정
Azure Files용 SMB를 통한 Microsoft Entra Domain Services 인증을 사용 설정하려면 Azure portal, Azure PowerShell 또는 Azure CLI를 사용해 스토리지 계정에서 속성을 설정할 수 있습니다. 이 속성을 암시적으로 설정하면 연결된 Microsoft Entra Domain Services 배포와 스토리지 계정이 암시적으로 "도메인 조인"됩니다. 그런 다음 SMB를 통한 Microsoft Entra Domain Services 인증은 스토리지 계정의 모든 신규 및 기존 파일 공유에 대해 사용하도록 설정됩니다.
Microsoft Entra Domain Services를 Microsoft Entra 테넌트에 성공적으로 배포한 후에만 SMB를 통해 Microsoft Entra Domain Services 인증을 사용하도록 설정할 수 있습니다. 자세한 내용은 필수 조건을 참조하세요.
Azure Portal을 사용하여 SMB를 통해 Microsoft Entra Domain Services 인증을 사용하도록 설정하려면 다음 단계를 수행합니다.
Azure Portal에서 기존 스토리지 계정으로 이동하거나 스토리지 계정을 만듭니다.
데이터 스토리지>파일 공유를 차례로 선택합니다.
파일 공유 설정 섹션에서 ID 기반 액세스: 구성되지 않음을 선택합니다.
Microsoft Entra Do기본 서비스에서 설정을 선택한 다음, 검사 상자를 선택하여 기능을 사용하도록 설정합니다.
저장을 선택합니다.
권장: AES-256 암호화 사용
기본적으로 Microsoft Entra Domain Services 인증은 Kerberos RC4 암호화를 사용합니다. 이 지침을 대신하여 Kerberos AES-256 암호화를 사용하도록 구성하는 것이 좋습니다.
이 작업을 수행하려면 Microsoft Entra Domain Services에서 관리하는 Active Directory 도메인에서 작업을 실행하여 도메인 개체에 대한 속성 변경을 요청하는 도메인 컨트롤러에 도달해야 합니다. 아래 cmdlet은 Azure PowerShell cmdlet이 아니라 Windows Server Active Directory PowerShell cmdlet입니다. 이 때문에 이러한 PowerShell 명령은 Microsoft Entra Domain Services 도메인에 도메인 가입된 클라이언트 컴퓨터에서 실행해야 합니다.
Important
이 섹션의 Windows Server Active Directory PowerShell cmdlet은 Microsoft Entra Domain Services 도메인에 도메인 가입된 클라이언트 컴퓨터로부터 Windows PowerShell 5.1에서 실행해야 합니다. PowerShell 7.x 및 Azure Cloud Shell은 이 시나리오에서 작동하지 않습니다.
필요한 권한이 있는 Microsoft Entra Domain Services 사용자로 도메인 가입된 클라이언트 컴퓨터에 로그인합니다. 도메인 개체의 msDS-SupportedEncryptionTypes 특성에 대한 쓰기 권한이 있어야 합니다. 일반적으로 AAD DC 관리자 그룹의 구성원은 필요한 권한을 갖습니다. 일반(상승되지 않은) PowerShell 세션을 열고 다음 명령을 실행합니다.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Important
이전에 RC4 암호화를 사용하고 AES-256을 사용하도록 스토리지 계정을 업데이트한 경우 클라이언트에서 klist purge를 실행한 다음, 파일 공유를 다시 탑재하여 AES-256을 사용하여 새 Kerberos 티켓을 가져와야 합니다.
공유 수준 권한 할당
ID 기반 인증을 사용하여 Azure Files 리소스에 액세스하려는 경우 ID(사용자, 그룹 또는 서비스 주체)에 공유 수준에서 필요한 권한이 있어야 합니다. 이 프로세스는 특정 사용자가 파일 공유에 대해 갖는 액세스 유형을 지정하는 Windows 공유 권한 지정과 유사합니다. 이 섹션의 지침에서는 파일 공유에 대한 읽기, 쓰기 또는 삭제 권한을 ID에 할당하는 방법을 설명합니다. 와일드카드(*) 문자를 사용하는 대신 작업 및 데이터 작업을 명시적으로 선언하여 권한을 할당하는 것이 좋습니다.
대부분의 사용자는 특정 Microsoft Entra 사용자 또는 그룹에 공유 수준 권한을 할당한 다음 디렉터리 및 파일 수준에서 세분화된 액세스 제어를 위해 Windows ACL을 구성해야 합니다. 그러나 모든 인증된 ID에 대한 기여자, 상승된 기여자, 읽기 권한자 액세스를 허용하도록 기본 공유 수준 권한을 설정할 수 있습니다.
Azure Files에는 5개의 Azure 기본 제공 역할이 있으며, 그 중 일부는 사용자 및 그룹에 공유 수준 권한을 부여할 수 있습니다.
- 스토리지 파일 데이터 권한 기여자는 기존 Windows ACL을 재정의하여 SMB를 통해 Azure Files 공유에서 Windows ACL 읽기, 쓰기, 삭제, 수정을 허용합니다.
- 스토리지 파일 데이터 권한 있는 읽기 권한자는 기존 Windows ACL을 재정의하여 SMB를 통해 Azure Files 공유에서 읽기 액세스를 허용합니다.
- 스토리지 파일 데이터 SMB 공유 기여자는 SMB를 통해 Azure 파일 공유에 대한 읽기, 쓰기, 삭제 액세스를 허용합니다.
- 스토리지 파일 데이터 SMB 공유 상승된 기여자는 SMB를 통한 Azure 파일 공유에서 Windows ACL을 읽고, 쓰고, 삭제, 수정을 허용합니다.
- 스토리지 파일 데이터 SMB 공유 읽기 권한자는 SMB를 통해 Azure 파일 공유에 대한 읽기 권한을 허용합니다.
Important
파일 소유권을 가져오는 기능을 포함하여 파일 공유에 대한 모든 관리 권한을 사용하려면 스토리지 계정 키가 있어야 합니다. 관리 제어는 Microsoft Entra 자격 증명에서 지원되지 않습니다.
Azure Portal, PowerShell 또는 Azure CLI를 사용하여 공유 수준 권한을 부여하는 사용자의 Microsoft Entra ID에 기본 제공 역할을 할당할 수 있습니다. 공유 수준 Azure 역할 할당은 적용되는 데 어느 정도 시간이 걸릴 수 있습니다. 상위 수준의 액세스 관리를 위해 사용자 및 ID 그룹을 나타내는 AD 그룹에 대한 공유 수준 권한을 사용한 다음, 디렉터리/파일 수준에서 세분화된 액세스 제어를 위해 Windows ACL을 활용하는 것이 좋습니다.
Microsoft Entra ID에 Azure 역할 할당
Important
와일드카드(*) 문자를 사용하는 대신 작업 및 데이터 작업을 명시적으로 선언하여 권한을 할당합니다. 데이터 작업에 대한 사용자 지정 역할 정의에 와일드카드 문자가 포함된 경우 가능한 모든 데이터 작업에 대한 액세스 권한이 해당 역할에 할당된 모든 ID에 부여됩니다. 즉, 이러한 모든 ID에는 플랫폼에 추가된 새 데이터 작업도 부여됩니다. 새 작업 또는 데이터 작업을 통해 부여된 추가 액세스 및 권한은 와일드카드를 사용하는 고객에게 원치 않는 동작일 수 있습니다.
Azure Portal을 사용하여 Microsoft Entra ID에 Azure 역할을 할당하려면 다음 단계를 수행합니다.
- Azure Portal에서 파일 공유로 이동하거나 파일 공유를 만듭니다.
- 액세스 제어(IAM)를 선택합니다.
- 역할 할당 추가를 선택합니다.
- 역할 할당 추가 블레이드의 역할 목록에서 적절한 기본 제공 역할(예: 스토리지 파일 데이터 SMB 공유 읽기 권한자 또는 스토리지 파일 데이터 SMB 공유 기여자)을 선택합니다. 다음에 대한 액세스 할당을 기본 설정, 즉 Microsoft Entra 사용자, 그룹 또는 서비스 주체로 유지합니다. 이름 또는 이메일 주소로 대상 Microsoft Entra ID를 선택합니다.
- 검토 + 할당을 선택하여 역할 할당을 완료합니다.
Windows ACL 구성
RBAC를 사용하여 공유 수준 권한을 할당한 후 루트, 디렉터리 또는 파일 수준에서 Windows ACL을 할당할 수 있습니다. 공유 수준 권한은 사용자가 공유에 액세스할 수 있는지 여부를 결정하는 상위 수준 게이트키퍼로 간주하고 Windows ACL은 더 세분화된 수준에서 작동하여 디렉터리 또는 파일 수준에서 사용자가 수행할 수 있는 작업을 결정합니다.
Azure Files는 NTFS 기본 및 고급 권한의 전체 집합을 지원합니다. 공유를 탑재한 다음, Windows 파일 탐색기를 사용하거나 Windows icacls 또는 Set-ACL 명령을 실행하여 Azure 파일 공유의 디렉터리와 파일에 대한 Windows ACL을 확인하고 구성할 수 있습니다.
파일 공유의 루트 디렉터리에서 지원되는 권한 집합은 다음과 같습니다.
- BUILTIN\Administrators:(OI)(CI)(F)
- NT AUTHORITY\SYSTEM:(OI)(CI)(F)
- BUILTIN\Users:(RX)
- BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
- NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
- NT AUTHORITY\SYSTEM:(F)
- CREATOR OWNER:(OI)(CI)(IO)(F)
자세한 내용은 SMB를 통한 디렉터리 및 파일 수준 권한 구성을 참조하세요.
스토리지 계정 키를 사용하여 파일 공유 탑재
Windows ACL을 구성하기 전에 먼저 스토리지 계정 키를 사용하여 도메인 조인 VM에 파일 공유를 탑재해야 합니다. 이렇게 하려면 도메인에 조인된 VM에 Microsoft Entra 사용자로 로그인하고, Windows 명령 프롬프트를 연 뒤, 다음 명령을 실행합니다. <YourStorageAccountName>, <FileShareName>, <YourStorageAccountKey>를 사용자 고유의 값으로 바꾸어야 합니다. Z:가 이미 사용 중인 경우 사용 가능한 드라이브 문자로 대체합니다. 스토리지 계정으로 이동하고 보안 + 네트워킹>액세스 키를 선택하거나 Get-AzStorageAccountKeyPowerShell cmdlet을 사용하여 Azure Portal에서 스토리지 계정 키를 찾을 수 있습니다.
PowerShell이 아니라 net use Windows 명령을 사용하여 이 단계에서 공유를 탑재하는 것이 중요합니다. PowerShell을 사용하여 공유를 탑재하는 경우 공유가 Windows 파일 탐색기 또는 cmd.exe 표시되지 않으며 Windows ACL을 구성할 수 없습니다.
참고 항목
역할에 이미 적용된 모든 권한 ACL을 볼 수 있습니다. 이는 일반적으로 이미 사용 권한을 할당하는 기능을 제공합니다. 그러나 두 수준(공유 수준 및 파일 수준)에 액세스 검사가 있기 때문에 이 기능은 제한됩니다. SMB 상승된 기여자 역할이 있고 새 파일 또는 폴더를 만드는 사용자만 스토리지 계정 키를 사용하지 않고 해당 특정 새 파일 또는 디렉터리에 대한 사용 권한을 할당할 수 있습니다. 다른 모든 파일/디렉터리 권한 할당을 위해서는 먼저 스토리지 계정 키를 사용하여 공유를 탑재해야 합니다.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Windows 파일 탐색기를 사용하여 Windows ACL 구성
Azure 파일 공유를 탑재한 후에는 Windows ACL을 구성해야 합니다. Windows 파일 탐색기 또는 icacls 중 하나를 사용하여 이 작업을 수행할 수 있습니다.
루트 디렉터리를 비롯하여 파일 공유에 있는 모든 디렉터리와 파일에 대한 전체 권한을 부여하려면 Windows 파일 탐색기를 사용합니다.
- Windows 파일 탐색기를 열고 파일/디렉터리를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
- 보안 탭을 선택합니다.
- 편집을 선택하여 권한을 변경합니다.
- 기존 사용자의 권한을 변경하거나 추가.를 선택하여 새 사용자에게 권한을 부여할 수 있습니다.
- 새 사용자 추가 프롬프트 창에서 선택할 개체 이름 입력 상자에 권한을 부여하려는 대상 사용자 이름을 입력하고 이름 확인을 선택하여 대상 사용자의 전체 UPN 이름을 찾습니다.
- 확인을 선택합니다.
- 보안 탭에서 새 사용자에게 부여할 권한을 모두 선택합니다.
- 적용을 선택합니다.
icacls로 Windows ACL 구성
루트 디렉터리를 비롯하여 파일 공유에 있는 모든 디렉터리와 파일에 대한 전체 권한을 부여하려면 다음 Windows 명령을 사용합니다. 예제의 자리 표시자 값은 실제 값으로 바꾸세요.
icacls <mounted-drive-letter>: /grant <user-email>:(f)
icacls를 사용하여 Windows ACL을 설정하는 방법과 지원되는 여러 권한 유형에 대한 자세한 내용은 icacls용 명령줄 참조를 참조하세요.
도메인 조인 VM에서 파일 공유 탑재
다음 프로세스는 파일 공유 및 액세스 권한이 올바르게 설정되어 있는지 확인하고 도메인 조인 VM에서 Azure 파일 공유에 액세스할 수 있는지 확인합니다. 공유 수준 Azure 역할 할당은 적용되는 데 어느 정도 시간이 걸릴 수 있습니다.
방금 권한을 부여한 Microsoft Entra ID를 사용하여 도메인 가입된 VM에 로그인합니다. Microsoft Entra 자격 증명으로 로그인해야 합니다. 드라이브가 스토리지 계정 키와 함께 이미 탑재된 경우 드라이브 연결을 끊거나 다시 로그인해야 합니다.
아래에서 PowerShell 스크립트를 실행하거나 Azure Portal을 사용하여 Azure 파일 공유를 영구적으로 탑재하고 Windows의 Z: 드라이브에 매핑합니다. Z:가 이미 사용 중인 경우 사용 가능한 드라이브 문자로 대체합니다. 인증되었으므로 스토리지 계정 키를 제공할 필요가 없습니다. 스크립트는 SMB가 사용하는 포트인 TCP 포트 445를 통해 이 스토리지 계정에 액세스할 수 있는지 확인합니다. <storage-account-name> 및 <file-share-name>를 사용자 고유의 값으로 바꾸어야 합니다. 자세한 내용은 Windows에서 Azure 파일 공유 사용을 참조하세요.
사용자 지정 도메인 이름을 사용하지 않는 한 공유에 대한 프라이빗 엔드포인트를 설정한 경우에도 접미사 file.core.windows.net을 사용하여 Azure 파일 공유를 탑재해야 합니다.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Windows 프롬프트에서 net-use 명령을 사용하여 파일 공유를 탑재할 수도 있습니다. <YourStorageAccountName> 및 <FileShareName>를 사용자 고유의 값으로 바꾸어야 합니다.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
도메인 조인되지 않은 VM 또는 다른 AD 도메인 조인된 VM에서 파일 공유 탑재
도메인 가입되지 않은 VM 또는 스토리지 계정과 다른 도메인에 가입된 VM은 Azure에 있는 Microsoft Entra Domain Services의 도메인 컨트롤러에 대한 방해받지 않는 네트워크 연결이 있는 경우에만 Microsoft Entra Domain Services 인증을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 이를 위해서는 일반적으로 사이트 간 VPN 또는 지점 및 사이트 간 VPN을 설정해야 합니다. 파일 공유에 액세스하는 사용자는 Microsoft Entra Do기본 Services 관리 do기본 ID(Microsoft Entra ID에서 Microsoft Entra Do기본 Services로 동기화된 Microsoft Entra ID)가 있어야 하며 명시적 자격 증명(사용자 이름 및 암호)을 제공해야 합니다.
도메인 조인되지 않은 VM에서 파일 공유를 탑재하려면 사용자는 다음 중 하나를 수행해야 합니다.
- DOMAINNAME이 Microsoft Entra Do기본 서비스인 DOMAINNAME\username 과 같은 자격 증명을 제공하고기본 사용자 이름은 Microsoft Entra Do기본 Services에서 ID의 사용자 이름입니다.
- 표기법 username@domainFQDN을 사용합니다. 여기서 domainFQDN은 정규화된 도메인 이름입니다.
이러한 방법 중 하나를 사용하면 클라이언트가 Microsoft Entra Domain Services 도메인의 도메인 컨트롤러에 Kerberos 티켓을 요청하고 받을 수 있습니다.
예시:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
또는
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
다음 단계
추가 사용자에게 파일 공유에 대한 액세스 권한을 부여하려면 공유 수준 권한 할당 및 Windows ACL 구성의 지침을 따르세요.
Azure Files를 통한 ID 기반 인증에 대한 자세한 내용은 다음 리소스를 참조하세요.