Toegang tot SMB-volumes vanaf virtuele Windows-machines die zijn toegevoegd aan Microsoft Entra

  • Artikel

U kunt Microsoft Entra ID gebruiken met de module Hybride verificatiebeheer om referenties in uw hybride cloud te verifiëren. Met deze oplossing kan Microsoft Entra ID de vertrouwde bron worden voor zowel cloud- als on-premises verificatie, waardoor clients die verbinding maken met Azure NetApp Files, moeten worden om lid te worden van het on-premises AD-domein.

Notitie

Met behulp van Microsoft Entra ID voor het verifiëren van hybride gebruikersidentiteiten kunnen Microsoft Entra-gebruikers toegang krijgen tot Azure NetApp Files SMB-shares. Dit betekent dat uw eindgebruikers toegang hebben tot Azure NetApp Files SMB-shares zonder dat hiervoor een line-of-sight-verbinding met domeincontrollers van Microsoft Entra hybrid en aan Microsoft Entra gekoppelde VM's is vereist. Identiteiten in de cloud worden momenteel niet ondersteund. Zie Richtlijnen voor Active Directory-domein Services-siteontwerp en -planning voor meer informatie.

Diagram of SMB volume joined to Microsoft Entra ID.

Vereisten en overwegingen

  • Azure NetApp Files NFS-volumes en NFSv4.1- en SMB-volumes (dual-protocol) worden niet ondersteund.

  • NFSv3- en SMB-volumes met twee protocollen met NTFS-beveiligingsstijl worden ondersteund.

  • U moet Microsoft Entra Verbinding maken hebben geïnstalleerd en geconfigureerd om uw AD DS-gebruikers te synchroniseren met Microsoft Entra-id. Zie Aan de slag met Microsoft Entra Verbinding maken met behulp van express-instellingen voor meer informatie.

    Controleer of de hybride identiteiten zijn gesynchroniseerd met Microsoft Entra-gebruikers. Navigeer in Azure Portal onder Microsoft Entra-id naar Gebruikers. U ziet dat gebruikersaccounts van AD DS worden weergegeven en de eigenschap On-premises synchronisatie is ingeschakeld, geeft 'Ja' weer .

    Notitie

    Na de eerste configuratie van Microsoft Entra Verbinding maken, moet u, wanneer u een nieuwe AD DS-gebruiker toevoegt, de Start-ADSyncSyncCycle opdracht uitvoeren in de Beheer istrator PowerShell om de nieuwe gebruiker te synchroniseren met Microsoft Entra ID of te wachten tot de geplande synchronisatie plaatsvindt.

  • U moet een SMB-volume voor Azure NetApp Files hebben gemaakt.

  • U moet een virtuele Windows-machine (VM) hebben waarvoor aanmelding bij Microsoft Entra is ingeschakeld. Zie Aanmelden bij een Virtuele Windows-machine in Azure met behulp van Microsoft Entra-id voor meer informatie. Zorg ervoor dat u roltoewijzingen voor de VIRTUELE machine configureert om te bepalen welke accounts zich kunnen aanmelden bij de VIRTUELE machine.

  • DNS moet correct zijn geconfigureerd, zodat de client-VM toegang heeft tot uw Azure NetApp Files-volumes via de FQDN (Fully Qualified Domain Name).

Stappen

Het configuratieproces leidt u door vijf processen:

  • De CIFS SPN toevoegen aan het computeraccount
  • Een nieuwe Microsoft Entra-toepassing registreren
  • CIFS-wachtwoord van AD DS synchroniseren met de registratie van de Microsoft Entra-toepassing
  • De aan Microsoft Entra gekoppelde VM configureren voor het gebruik van Kerberos-verificatie
  • De Azure NetApp Files SMB-volumes koppelen

De CIFS SPN toevoegen aan het computeraccount

  1. Open Active Directory vanaf uw AD DS-domeincontroller.
  2. Selecteer Geavanceerde functies in het menu Beeld.
  3. Klik onder Computers met de rechtermuisknop op het computeraccount dat is gemaakt als onderdeel van het Azure NetApp Files-volume en selecteer Eigenschappen.
  4. Zoek servicePrincipalNameonder Kenmerkeditor naar . Voeg in de tekenreekseditor met meerdere waarden de CIFS SPN-waarde toe met behulp van de CIFS-/FQDN-indeling.

Screenshot of multi-value string editor window.

Een nieuwe Microsoft Entra-toepassing registreren

  1. Navigeer in Azure Portal naar Microsoft Entra-id. Selecteer App-registraties.
  2. Selecteer + Nieuwe registratie.
  3. Wijs een naam toe. Kies onder Het type Ondersteund account alleen Accounts in deze organisatiemap (één tenant).
  4. Selecteer Registreren.

Screenshot to register application.

  1. Configureer de machtigingen voor de toepassing. Selecteer API-machtigingen in uw app-registraties en voeg vervolgens een machtiging toe.

  2. Selecteer Microsoft Graph en vervolgens Gedelegeerde machtigingen. Selecteer onder Machtigingen selecteren openid en profiel onder OpenId-machtigingen.

    Screenshot to register API permissions.

  3. Selecteer Machtigingen toevoegen.

  4. Selecteer in API-machtigingen de optie Beheerderstoestemming verlenen voor....

    Screenshot to grant API permissions.

  5. Selecteer vanuit Verificatie onder Eigenschapsvergrendeling van het app-exemplaar de optie Configureren en schakel vervolgens het selectievakje in met het label Eigenschapsvergrendeling inschakelen.

    Screenshot of app registrations.

  6. Noteer in overzicht de toepassings-id (client), die later vereist is.

CIFS-wachtwoord van AD DS synchroniseren met de registratie van de Microsoft Entra-toepassing

  1. Open PowerShell vanaf uw AD DS-domeincontroller.

  2. Installeer de module Hybride verificatiebeheer voor het synchroniseren van wachtwoorden.

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. Definieer de volgende variabelen:

    • $servicePrincipalName: De SPN-gegevens van het koppelen van het Azure NetApp Files-volume. Gebruik de CIFS-/FQDN-indeling. Bijvoorbeeld: CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID: Toepassings-id (client) van de Microsoft Entra-toepassing.
    • $domainCred: gebruik Get-Credential (moet een AD DS-domeinbeheerder zijn)
    • $cloudCred: gebruik Get-Credential (moet een Microsoft Entra Global Beheer istrator zijn)
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    Notitie

    Met de Get-Credential opdracht wordt een pop-upvenster gestart waarin u referenties kunt invoeren.

  4. Importeer de CIFS-gegevens in Microsoft Entra-id:

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

De aan Microsoft Entra gekoppelde VM configureren voor het gebruik van Kerberos-verificatie

  1. Meld u aan bij de aan Microsoft Entra gekoppelde VM met behulp van hybride referenties met beheerdersrechten (bijvoorbeeld: user@mydirectory.onmicrosoft.com).

  2. Configureer de VM:

    1. Navigeer naar Computerconfiguratie> voor groepsbeleid>bewerken Beheer istratieve sjablonen>systeem>Kerberos.
    2. Schakel Toestaan het ophalen van het Microsoft Entra Kerberos Ticket Granting Ticket in tijdens het aanmelden.
    3. Enable Define host name-to-Kerberos realm mappings. Selecteer Weergeven en geef vervolgens een waardenaam en waarde op met behulp van uw domeinnaam die wordt voorafgegaan door een punt. Bijvoorbeeld:
      • Waardenaam: KERBEROS.MICROSOFTONLINE.COM
      • Waarde: .contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

De Azure NetApp Files SMB-volumes koppelen

  1. Meld u aan bij de aan Microsoft Entra gekoppelde VM met behulp van een hybride identiteitsaccount dat is gesynchroniseerd vanuit AD DS.

  2. Koppel het SMB-volume van Azure NetApp Files aan de hand van de informatie in Azure Portal. Zie SMB-volumes koppelen voor Windows-VM's voor meer informatie.

  3. Controleer of het gekoppelde volume Kerberos-verificatie gebruikt en niet NTLM-verificatie. Open een opdrachtprompt, geef de opdracht uit klist . Bekijk de uitvoer in de cloud-TGT (krbtgt) en CIFS-serverticketgegevens.

    Screenshot of CLI output.

Meer informatie