Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Files ondersteunt verificatie op basis van identiteiten voor Windows-bestandsshares via Server Message Block (SMB) met behulp van het Kerberos-verificatieprotocol via de volgende methoden:
- On-premises Active Directory-domeindiensten (AD DS)
- Microsoft Entra Domain Services.
- Microsoft Entra Kerberos voor hybride gebruikersidentiteiten
We raden u ten zeerste aan de sectie Hoe het werkt te bekijken om de juiste AD-bron voor verificatie te selecteren. De installatie verschilt, afhankelijk van de domeinservice die u kiest. Dit artikel is gericht op het inschakelen en configureren van on-premises AD DS voor verificatie met Azure-bestandsshares.
Als u niet bekend bent met Azure Files, raden we u aan onze planningshandleiding te lezen.
Van toepassing op
| Beheermodel | Betaalmodel | Medianiveau | Redundantie | Kleine en Middelgrote Ondernemingen (SMB) | Network File System (NFS) |
|---|---|---|---|---|---|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | Lokaal (LRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | Zone (ZRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | Aardrijkskunde (GRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | GeoZone (GZRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v1 | SSD (van hoge kwaliteit) | Lokaal (LRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v1 | SSD (van hoge kwaliteit) | Zone (ZRS) |
|
|
| Microsoft.Opslag | Betaal naar verbruik | HDD (standaard) | Lokaal (LRS) |
|
|
| Microsoft.Opslag | Betaal naar verbruik | HDD (standaard) | Zone (ZRS) |
|
|
| Microsoft.Opslag | Betaal naar verbruik | HDD (standaard) | Aardrijkskunde (GRS) |
|
|
| Microsoft.Opslag | Betaal naar verbruik | HDD (standaard) | GeoZone (GZRS) |
|
|
Ondersteunde scenario's en beperkingen
- Als u RBAC-machtigingen op shareniveau wilt toewijzen aan specifieke gebruikers of groepen, moeten on-premises AD DS-identiteiten worden gesynchroniseerd met Microsoft Entra ID met behulp van Entra Connect Sync. Als identiteiten niet worden gesynchroniseerd, moet u een standaardmachtiging op shareniveau gebruiken, die van toepassing is op alle geverifieerde gebruikers. Een groep die alleen in Microsoft Entra-id is gemaakt, werkt bijvoorbeeld niet als RBAC-machtigingen zijn geconfigureerd op shareniveau. Als de groep echter gebruikersaccounts bevat die zijn gesynchroniseerd vanaf on-premises, kunt u deze identiteiten gebruiken. Wachtwoord-hashsynchronisatie is niet vereist.
- Vereisten voor clientbesturingssystemen: Windows 8/ Windows Server 2012 of hoger, of Linux-VM's zoals Ubuntu 18.04+ en equivalente RHEL/SLES-distributies.
- Azure-bestandsshares kunnen worden beheerd met Azure File Sync.
- Kerberos-verificatie is beschikbaar voor Active Directory met behulp van AES 256-versleuteling (aanbevolen) en RC4-HMAC. AES 128 Kerberos-versleuteling wordt nog niet ondersteund.
- Eenmalige aanmelding (SSO) wordt ondersteund.
- Toegang is standaard beperkt tot het Active Directory-forest waarin het opslagaccount is geregistreerd. Gebruikers van elk domein in dat forest hebben toegang tot de inhoud van de bestandsshare, mits ze over de juiste machtigingen beschikken. Als u toegang wilt inschakelen vanuit extra forests, moet u een forest-trust configureren. Zie Azure Files gebruiken met meerdere Active Directory-forests voor meer informatie.
- Verificatie op basis van identiteit wordt momenteel niet ondersteund voor NFS-bestandsshares.
Wanneer u AD DS inschakelt voor Azure-bestandsshares via SMB, kunnen uw AD DS-gekoppelde machines Azure-bestandsshares koppelen met behulp van uw bestaande AD DS-referenties. De AD DS-omgeving kan on-premises of op een virtuele machine (VM) in Azure worden gehost.
Video's
Om u te helpen bij het instellen van verificatie op basis van identiteiten voor veelvoorkomende use cases, hebben we twee video's gepubliceerd met stapsgewijze richtlijnen voor de volgende scenario's. Houd er rekening mee dat Azure Active Directory nu Microsoft Entra ID is. Zie Nieuwe naam voor Azure AD voor meer informatie.
| On-premises bestandsservers vervangen door Azure Files (inclusief installatie op private link voor bestanden en AD-verificatie) | Azure Files gebruiken als de profielcontainer voor Azure Virtual Desktop (inclusief installatie op AD-verificatie en FSLogix-configuratie) |
|---|---|
|
|
Vereiste voorwaarden
Voordat u AD DS-verificatie inschakelt voor Azure-bestandsshares, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:
Selecteer of maak uw AD DS-omgeving en synchroniseer deze met Microsoft Entra ID met behulp van de on-premises Microsoft Entra Connect Sync-toepassing of Microsoft Entra Connect-cloudsynchronisatie, een lichtgewicht agent die kan worden geïnstalleerd vanuit het Microsoft Entra-beheercentrum.
U kunt de functie inschakelen in een nieuwe of bestaande on-premises AD DS-omgeving. Identiteiten die worden gebruikt voor toegang, moeten worden gesynchroniseerd met Microsoft Entra-id of een standaardmachtiging op shareniveau gebruiken. De Microsoft Entra-tenant en de bestandsshare waartoe u toegang hebt, moeten zijn gekoppeld aan hetzelfde abonnement.
Een on-premises machine of een Virtuele Azure-machine toevoegen aan een on-premises AD DS. Raadpleeg voor informatie over hoe je lid wordt van een domein, Een Computer Aan Een Domein Toevoegen.
Als een computer geen lid is van een domein, kunt u AD DS nog steeds gebruiken voor authenticatie als de computer onbelemmerde netwerkverbinding heeft met de on-premises AD-domeincontroller en de gebruiker expliciete inloggegevens opgeeft. Zie De bestandsshare koppelen vanaf een vm die niet aan een domein is toegevoegd of een VM die is gekoppeld aan een ander AD-domein voor meer informatie.
Selecteer of maak een Azure-opslagaccount. Voor optimale prestaties raden we u aan om het opslagaccount in dezelfde regio te implementeren als de client van waaruit u toegang wilt krijgen tot de share. Koppel vervolgens de Azure-bestandsshare aan uw opslagaccountsleutel om de connectiviteit te controleren.
Zorg ervoor dat het opslagaccount met uw bestandsshares nog niet is geconfigureerd voor verificatie op basis van identiteit. Als een AD-bron al is ingeschakeld in het opslagaccount, moet u deze uitschakelen voordat u on-premises AD DS inschakelt.
Als u problemen ondervindt bij het maken van verbinding met Azure Files, raadpleegt u het oplossen van koppelingsfouten in Azure Files in Windows.
Als u van plan bent om netwerkconfiguraties op uw bestandsshare in te schakelen, raden we u aan het artikel over netwerkoverwegingen te lezen en de gerelateerde configuratie te voltooien voordat u AD DS-verificatie inschakelt.
Regionale beschikbaarheid
Azure Files-verificatie met AD DS is beschikbaar in alle openbare Azure-, China- en Gov-regio's.
Overzicht
Als u AD DS-verificatie inschakelt voor uw Azure-bestandsshares, kunt u zich verifiëren bij uw Azure-bestandsshares met uw on-premises AD DS-referenties. Bovendien kunt u uw machtigingen beter beheren om gedetailleerd toegangsbeheer toe te staan. Hiervoor moeten identiteiten van on-premises AD DS worden gesynchroniseerd met Microsoft Entra ID met behulp van de on-premises Microsoft Entra Connect Sync-toepassing of Microsoft Entra Connect-cloudsynchronisatie, een lichtgewicht agent die kan worden geïnstalleerd vanuit het Microsoft Entra-beheercentrum. U wijst machtigingen op shareniveau toe aan hybride identiteiten die zijn gesynchroniseerd met Microsoft Entra-id tijdens het beheren van toegang op bestand-/directoryniveau met behulp van Windows ACL's.
Volg deze stappen om Azure Files in te stellen voor AD DS-verificatie:
In het volgende diagram ziet u de end-to-end werkstroom voor het inschakelen van AD DS-verificatie via SMB voor Azure-bestandsshares.
Identiteiten die worden gebruikt voor toegang tot Azure-bestandsshares, moeten worden gesynchroniseerd met Microsoft Entra ID om bestandsmachtigingen op shareniveau af te dwingen via het Azure RBAC-model (op rollen gebaseerd toegangsbeheer). U kunt ook een standaardmachtiging op shareniveau gebruiken. Windows-achtige DACL's op bestanden/mappen die worden overgedragen van bestaande bestandsservers worden bewaard en afgedwongen. Dit biedt naadloze integratie met uw AD DS-omgeving voor ondernemingen. Wanneer u on-premises bestandsservers vervangt door Azure-bestandsshares, kunnen bestaande gebruikers met hun huidige clients toegang krijgen tot Azure-bestandsshares met een ervaring van eenmalige aanmelding, zonder dat er veranderingen in de huidige inloggegevens nodig zijn.
Volgende stap
Om aan de slag te gaan, moet u AD DS-verificatie inschakelen voor uw opslagaccount.