Microsoft Entra 조인 Windows 가상 머신에서 SMB 볼륨에 액세스
하이브리드 인증 관리 모듈에서 Microsoft Entra ID를 사용하여 하이브리드 클라우드에서 자격 증명을 인증할 수 있습니다. 이 솔루션을 사용하면 Microsoft Entra ID가 클라우드 및 온-프레미스 인증 모두에 대한 신뢰할 수 있는 원본이 될 수 있으므로 Azure NetApp Files에 연결하는 클라이언트가 온-프레미스 AD에 조인할 필요가 없습니다기본.
참고 항목
하이브리드 사용자 ID를 인증하기 위해 Microsoft Entra ID를 사용하면 Microsoft Entra 사용자가 Azure NetApp Files SMB 공유에 액세스할 수 있습니다. 즉, 최종 사용자는 Microsoft Entra 하이브리드 조인 및 Microsoft Entra 조인 VM에서 컨트롤러를 기본 시야를 요구하지 않고도 Azure NetApp Files SMB 공유에 액세스할 수 있습니다. 클라우드 전용 ID는 현재 지원되지 않습니다. 자세한 내용은 Active Directory 도메인 Services 사이트 디자인 및 계획에 대한 지침 이해를 참조하세요.
요구 사항 및 고려 사항
Azure NetApp Files NFS 볼륨 및 이중 프로토콜(NFSv4.1 및 SMB) 볼륨은 지원되지 않습니다.
NTFS 보안 스타일을 사용하는 NFSv3 및 SMB 이중 프로토콜 볼륨이 지원됩니다.
AD DS 사용자를 Microsoft Entra ID와 동기화하려면 Microsoft Entra 커넥트 설치하고 구성해야 합니다. 자세한 내용은 빠른 설정을 사용하여 Microsoft Entra 커넥트 시작하기를 참조하세요.
하이브리드 ID가 Microsoft Entra 사용자와 동기화되었는지 확인합니다. Azure Portal에서 Microsoft Entra ID 아래의 사용자로 이동합니다. AD DS의 사용자 계정이 나열되고 온-프레미스 동기화를 사용하도록 설정된 속성이 "예"로 표시됩니다.
참고 항목
Microsoft Entra 커넥트 초기 구성 후 새 AD DS 사용자를 추가할 때 관리istrator PowerShell에서 명령을 실행
Start-ADSyncSyncCycle하여 새 사용자를 Microsoft Entra ID와 동기화하거나 예약된 동기화가 발생할 때까지 기다려야 합니다.Azure NetApp Files에 대한 SMB 볼륨을 만들었어야 합니다.
Microsoft Entra 로그인을 사용하도록 설정된 Windows VM(가상 머신)이 있어야 합니다. 자세한 내용은 Microsoft Entra ID를 사용하여 Azure의 Windows VM에 로그인을 참조하세요. VM에 로그인할 수 있는 계정을 결정하려면 VM 에 대한 역할 할당을 구성해야 합니다.
클라이언트 VM이 FQDN(정규화된 do기본 이름)을 통해 Azure NetApp Files 볼륨에 액세스할 수 있도록 DNS를 올바르게 구성해야 합니다.
단계
구성 프로세스는 다음 5가지 프로세스를 안내합니다.
- 컴퓨터 계정에 CIFS SPN 추가
- 새 Microsoft Entra 애플리케이션 등록
- AD DS에서 Microsoft Entra 애플리케이션 등록으로 CIFS 암호 동기화
- Kerberos 인증을 사용하도록 Microsoft Entra 조인 VM 구성
- Azure NetApp Files SMB 볼륨 탑재
컴퓨터 계정에 CIFS SPN 추가
- AD DS에서 컨트롤러를 기본 Active Directory 사용자 및 컴퓨터 엽니다.
- 보기 메뉴에서 고급 기능을 선택합니다.
- 컴퓨터에서 Azure NetApp Files 볼륨의 일부로 만든 컴퓨터 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
- 특성 편집기에서 을 찾습니다
servicePrincipalName. 다중값 문자열 편집기에서 CIFS/FQDN 형식을 사용하여 CIFS SPN 값을 추가합니다.
새 Microsoft Entra 애플리케이션 등록
- Azure Portal에서 Microsoft Entra ID로 이동합니다. 앱 등록을 선택합니다.
- + 새 등록을 선택합니다.
- 이름을 할당합니다. 지원되는 계정 유형을 선택하고 이 조직 디렉터리에서만 계정을 선택합니다(단일 테넌트).
- 등록을 선택합니다.
애플리케이션에 대한 권한을 구성합니다. 앱 등록에서 API 사용 권한을 선택한 다음, 사용 권한을 추가합니다.
Microsoft Graph를 선택한 다음 위임된 권한을 선택합니다. 사용 권한 선택에서 OpenId 권한 아래에서 openid 및 프로필을 선택합니다.
권한 추가를 선택합니다.
API 사용 권한에서 관리자 동의 부여를 선택합니다.
인증의 앱 인스턴스 속성 잠금에서 구성을 선택한 다음 속성 잠금 사용 레이블이 지정된 검사box의 선택을 취소합니다.
개요에서 나중에 필요한 애플리케이션(클라이언트) ID를 기록해 둡니다.
AD DS에서 Microsoft Entra 애플리케이션 등록으로 CIFS 암호 동기화
AD DS에서 컨트롤러를 기본 PowerShell을 엽니다.
암호를 동기화하기 위한 하이브리드 인증 관리 모듈 을 설치합니다.
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force다음 변수를 정의합니다.
$servicePrincipalName: Azure NetApp Files 볼륨 탑재의 SPN 세부 정보입니다. CIFS/FQDN 형식을 사용합니다. 예:CIFS/NETBIOS-1234.CONTOSO.COM$targetApplicationID: Microsoft Entra 애플리케이션의 애플리케이션(클라이언트) ID입니다.$domainCred: useGet-Credential(AD DS가 수행해야 함기본 관리자여야 함)$cloudCred: useGet-Credential(Microsoft Entra Global 관리istrator여야 합니다.)
$servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM $targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe $domainCred = Get-Credential $cloudCred = Get-Credential참고 항목
이
Get-Credential명령은 자격 증명을 입력할 수 있는 팝업 창을 시작합니다.Microsoft Entra ID로 CIFS 세부 정보를 가져옵니다.
Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId
Kerberos 인증을 사용하도록 Microsoft Entra 조인 VM 구성
관리 권한이 있는 하이브리드 자격 증명을 사용하여 Microsoft Entra 조인 VM에 로그인합니다(예: user@mydirectory.onmicrosoft.com).
VM 구성:
- 편집 그룹 정책>컴퓨터 구성>관리이상 템플릿>시스템>Kerberos로 이동합니다.
- 로그온하는 동안 Microsoft Entra Kerberos 티켓 부여 티켓을 검색할 수 있도록 허용합니다.
- 호스트 이름-Kerberos 영역 매핑 정의 사용 표시를 선택한 다음 마침표 앞에 있는 do기본 이름을 사용하여 값 이름 및 값을 입력합니다. 예:
- 값 이름: KERBEROS.MICROSOFTONLINE.COM
- 값: .contoso.com
Azure NetApp Files SMB 볼륨 탑재
AD DS에서 동기화된 하이브리드 ID 계정을 사용하여 Microsoft Entra 조인 VM에 로그인합니다.
Azure Portal에 제공된 정보를 사용하여 Azure NetApp Files SMB 볼륨을 탑재합니다. 자세한 내용은 Windows VM용 SMB 볼륨 탑재를 참조 하세요.
탑재된 볼륨이 NTLM 인증이 아닌 Kerberos 인증을 사용하고 있는지 확인합니다. 명령 프롬프트를 열고 명령을 실행합니다
klist. 클라우드 TGT(krbtgt) 및 CIFS 서버 티켓 정보의 출력을 관찰합니다.
