Azure Files는 다음 방법을 통해 Kerberos 인증 프로토콜을 사용하여 SMB(서버 메시지 블록)를 통해 Windows 파일 공유에 대한 ID 기반 인증을 지원합니다.
- 온-프레미스 AD DS(Active Directory Domain Services)
- Microsoft Entra Domain Services
- 하이브리드 사용자 ID에 대한 Microsoft Entra Kerberos
작동 방법 섹션 을 검토하여 인증에 적합한 AD 원본을 선택하는 것이 좋습니다. 설정은 선택한 도메인 서비스에 따라 달라집니다. 이 문서에서는 Azure 파일 공유를 사용하여 인증하기 위해 온-프레미스 AD DS를 사용하도록 설정하고 구성하는 방법에 중점을 둡니다.
Azure Files를 접하는 경우 계획 가이드를 읽는 것이 좋습니다.
적용 대상
| 관리 모델 | 청구 모델 | 미디어 계층 | 중복성 | 중소기업 | 네트워크 파일 시스템 (NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v2 | HDD(표준) | 로컬(LRS) |
|
|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v2 | HDD(표준) | 영역(ZRS) |
|
|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v2 | HDD(표준) | 지역(GRS) |
|
|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v2 | HDD(표준) | GeoZone(GZRS) |
|
|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v1 | SSD(프리미엄) | 로컬(LRS) |
|
|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v1 | SSD(프리미엄) | 영역(ZRS) |
|
|
| Microsoft.Storage (마이크로소프트 저장소) | 종량제 | HDD(표준) | 로컬(LRS) |
|
|
| Microsoft.Storage (마이크로소프트 저장소) | 종량제 | HDD(표준) | 영역(ZRS) |
|
|
| Microsoft.Storage (마이크로소프트 저장소) | 종량제 | HDD(표준) | 지역(GRS) |
|
|
| Microsoft.Storage (마이크로소프트 저장소) | 종량제 | HDD(표준) | GeoZone(GZRS) |
|
|
지원되는 시나리오 및 제한 사항
- 특정 사용자 또는 그룹에 공유 수준 RBAC 권한을 할당하려면 엔트라 연결 동기화를 사용하여 온-프레미스 AD DS ID를 Microsoft Entra ID로 동기화해야 합니다. ID가 동기화되지 않은 경우 인증된 모든 사용자에게 적용되는 기본 공유 수준 권한을 사용해야 합니다. 예를 들어 RBAC 권한이 공유 수준에서 구성된 경우 Microsoft Entra ID에서만 만든 그룹은 작동하지 않습니다. 그러나 그룹에 온-프레미스에서 동기화된 사용자 계정이 포함된 경우 해당 ID를 사용할 수 있습니다. 암호 해시 동기화는 필요하지 않습니다.
- 클라이언트 OS 요구 사항: Windows 8/Windows Server 2012 이상 또는 Linux VM(예: Ubuntu 18.04 이상 및 해당 RHEL/SLES 배포)
- Azure 파일 공유는 Azure 파일 동기화를 사용하여 관리할 수 있습니다.
- Kerberos 인증은 AES 256 암호화 (권장) 및 RC4-HMAC를 사용하여 Active Directory에서 사용할 수 있습니다. AES 128 Kerberos 암호화는 아직 지원되지 않습니다.
- SSO(Single Sign-On)가 지원됩니다.
- 기본적으로 액세스는 스토리지 계정이 등록된 Active Directory 포리스트로 제한됩니다. 해당 포리스트에 있는 모든 도메인의 사용자는 적절한 권한이 있는 경우 파일 공유 콘텐츠에 액세스할 수 있습니다. 추가 포리스트에서 액세스를 사용하도록 설정하려면 포리스트 트러스트를 구성해야 합니다. 자세한 내용은 여러 Active Directory 포리스트에서 Azure Files 사용을 참조하세요.
- ID 기반 인증은 현재 NFS 파일 공유에 대해 지원되지 않습니다.
SMB를 통해 Azure 파일 공유에 대한 AD DS를 사용하도록 설정하면 AD DS에 가입된 컴퓨터에서 기존 AD DS 자격 증명을 사용하여 Azure 파일 공유를 탑재할 수 있습니다. AD DS 환경은 온-프레미스 또는 Azure의 VM(가상 머신)에서 호스트될 수 있습니다.
동영상
일반적인 사용 사례에 대한 ID 기반 인증을 설정하는 데 도움이 되도록 다음 시나리오에 대한 단계별 지침이 포함된 두 개의 비디오를 게시했습니다. Azure Active Directory는 이제 Microsoft Entra ID입니다. 자세한 내용은 Azure AD의 새 이름을 참조하세요.
| 온-프레미스 파일 서버를 Azure Files로 바꾸기(파일 및 AD 인증을 위한 프라이빗 링크 설정 포함) | Azure Virtual Desktop에 대한 프로필 컨테이너로 Azure Files 사용(AD 인증 및 FSLogix 구성 설정 포함) |
|---|---|
|
|
필수 구성 요소
Azure 파일 공유에 대해 AD DS 인증을 사용하도록 설정하기 전에 다음 사전 요구 사항을 완료했는지 확인합니다.
AD DS 환경을 선택하거나 만들고 온-프레미스 Microsoft Entra Connect 동기화 애플리케이션 또는 Microsoft Entra Connect 클라우드 동기화(Microsoft Entra Admin Center에서 설치할 수 있는 경량 에이전트)를 사용하여 Microsoft Entra ID에 동기화합니다.
신규 또는 기존 온-프레미스 AD DS 환경에서 이 기능을 사용하도록 설정할 수 있습니다. 액세스에 사용되는 ID는 Microsoft Entra ID에 동기화되거나 기본 공유 수준 권한을 사용해야 합니다. Microsoft Entra 테넌트와 액세스 중인 파일 공유는 동일한 구독에 연결되어 있어야 합니다.
온-프레미스 컴퓨터 또는 Azure VM을 온-프레미스 AD DS에 도메인 가입합니다. 도메인 가입 방법에 대한 자세한 내용은 도메인에 컴퓨터 조인을 참조하세요.
컴퓨터가 도메인에 가입되어 있지 않은 경우에도 컴퓨터가 온-프레미스 AD 도메인 컨트롤러에 대한 네트워크 연결을 방해하지 않고 사용자가 명시적 자격 증명을 제공하는 경우 인증에 AD DS를 계속 사용할 수 있습니다. 자세한 내용은 도메인에 가입되지 않은 VM 또는 다른 AD 도메인에 조인된 VM에서 파일 공유 탑재를 참조하세요.
Azure 스토리지 계정을 선택하거나 만듭니다. 성능을 최적화하려면 공유에 액세스하려는 클라이언트와 동일한 지역에 스토리지 계정을 배치하는 것이 좋습니다. 그런 다음 스토리지 계정 키로 Azure 파일 공유를 탑재하여 연결을 확인합니다.
파일 공유를 포함하는 스토리지 계정이 ID 기반 인증을 위해 아직 구성되지 않았는지 확인합니다. 스토리지 계정에서 AD 원본을 이미 사용하도록 설정한 경우 온-프레미스 AD DS를 사용하도록 설정하기 전에 이를 사용하지 않도록 설정해야 합니다.
Azure Files에 연결하는 데 문제가 발생하는 경우 Windows에서 Azure Files 탑재 오류 문제를 참조하세요.
파일 공유에서 네트워킹 구성을 사용하도록 설정하려는 경우 AD DS 인증을 사용하도록 설정하기 전에 네트워킹 고려 사항 문서를 읽고 관련 구성을 완료하는 것이 좋습니다.
국가별 가용성
AD DS를 사용한 Azure Files 인증은 모든 Azure 공용, 중국 및 Gov 지역에서 사용할 수 있습니다.
개요
Azure 파일 공유에 대해 AD DS 인증을 사용하도록 설정하면 온-프레미스 AD DS 자격 증명을 사용하여 Azure 파일 공유에 인증할 수 있습니다. 또한 세분화된 액세스 제어를 허용하도록 권한을 더 잘 관리할 수 있습니다. 이렇게 하려면 온-프레미스 Microsoft Entra Connect 동기화 애플리케이션 또는 Microsoft Entra Admin Center에서 설치할 수 있는 경량 에이전트인 Microsoft Entra Connect 클라우드 동기화를 사용하여 온-프레미스 AD DS에서 Microsoft Entra ID로 ID를 동기화해야 합니다. Windows ACL을 사용하여 파일/디렉터리 수준 액세스를 관리하면서 Microsoft Entra ID에 동기화된 하이브리드 ID에 공유 수준 권한을 할당합니다.
AD DS 인증을 위해 Azure Files를 설정하려면 다음 단계를 수행합니다.
다음 다이어그램에서는 Azure 파일 공유에 대해 SMB를 통해 AD DS 인증을 사용하도록 설정하는 엔드 투 엔드 워크플로를 보여 줍니다.
Azure RBAC(Azure 역할 기반 액세스 제어) 모델을 통해 공유 수준 파일 권한을 적용하려면 Azure 파일 공유에 액세스하는 데 사용되는 ID를 Microsoft Entra ID에 동기화해야 합니다. 또는 기본 공유 수준 권한을 사용할 수 있습니다. 기존 파일 서버에서 이월된 파일/디렉터리에 대한 Windows 스타일 DACL이 유지되고 적용됩니다. 이를 통해 엔터프라이즈 AD DS 환경과 원활한 통합이 가능합니다. 온-프레미스 파일 서버를 Azure 파일 공유로 교체하면 기존 사용자가 사용 중인 자격 증명을 변경하지 않고도 Single Sign-On 환경을 사용하여 현재 클라이언트에서 Azure 파일 공유에 액세스할 수 있습니다.
다음 단계
시작하려면 스토리지 계정에 대해 AD DS 인증을 사용하도록 설정해야 합니다.