Omówienie — lokalna usługa Active Directory uwierzytelnianie usług Domain Services za pośrednictwem protokołu SMB dla udziałów plików platformy Azure

  • Artykuł

Usługa Azure Files obsługuje uwierzytelnianie oparte na tożsamościach dla udziałów plików systemu Windows za pośrednictwem bloku komunikatów serwera (SMB) przy użyciu protokołu uwierzytelniania Kerberos przy użyciu następujących metod:

  • Lokalne usługi domena usługi Active Directory (AD DS)
  • Usługi domenowe Microsoft Entra
  • Microsoft Entra Kerberos dla tożsamości użytkowników hybrydowych

Zdecydowanie zalecamy przejrzenie sekcji Jak działa, aby wybrać odpowiednie źródło usługi AD na potrzeby uwierzytelniania. Konfiguracja różni się w zależności od wybranej usługi domeny. Ten artykuł koncentruje się na włączaniu i konfigurowaniu lokalnych usług AD DS na potrzeby uwierzytelniania przy użyciu udziałów plików platformy Azure.

Jeśli dopiero zaczynasz korzystać z usługi Azure Files, zalecamy przeczytanie naszego przewodnika planowania.

Dotyczy

Typ udziału plików SMB NFS
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS Tak Nie
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS Tak Nie
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS Tak Nie.

Obsługiwane scenariusze i ograniczenia

  • Tożsamości usług AD DS używane na potrzeby lokalnego uwierzytelniania usług AD DS usługi Azure Files muszą być synchronizowane z identyfikatorem Entra firmy Microsoft lub użyć domyślnego uprawnienia na poziomie udziału. Synchronizacja skrótów haseł jest opcjonalna.
  • Obsługuje udziały plików platformy Azure zarządzane przez usługę Azure File Sync.
  • Obsługuje uwierzytelnianie Kerberos za pomocą usługi AD z szyfrowaniem AES 256 (zalecane) i RC4-HMAC. Szyfrowanie AES 128 Kerberos nie jest jeszcze obsługiwane.
  • Obsługuje środowisko logowania jednokrotnego.
  • Obsługiwane tylko na klientach z systemem Windows z systemem operacyjnym w wersjach Windows 8/Windows Server 2012 lub nowszych lub maszyn wirtualnych z systemem Linux (Ubuntu 18.04 lub równoważnej maszyny wirtualnej RHEL lub SLES) działającej na platformie Azure.
  • Obsługiwane tylko w lesie usługi AD, do którego jest zarejestrowane konto magazynu. Użytkownicy należący do różnych domen w tym samym lesie powinni mieć dostęp do udziału plików i bazowych katalogów/plików, o ile mają odpowiednie uprawnienia.
  • Domyślnie dostęp do udziałów plików platformy Azure można uzyskać za pomocą poświadczeń AD DS z jednego lasu. Jeśli musisz uzyskać dostęp do udziału plików platformy Azure z innego lasu, upewnij się, że jest skonfigurowaną odpowiednią relację zaufania lasu. Aby uzyskać szczegółowe informacje, zobacz Używanie usługi Azure Files z wieloma lasami usługi Active Directory.
  • Nie obsługuje przypisywania uprawnień na poziomie udziału do kont komputerów (kont komputerów) przy użyciu kontroli dostępu opartej na rolach platformy Azure. Możesz użyć domyślnego uprawnienia na poziomie udziału, aby zezwolić kontam komputerów na dostęp do udziału lub zamiast tego rozważyć użycie konta logowania do usługi.
  • Nie obsługuje uwierzytelniania względem udziałów plików sieciowego systemu plików (NFS).

Po włączeniu usług AD DS dla udziałów plików platformy Azure za pośrednictwem protokołu SMB maszyny przyłączone do usług AD DS mogą instalować udziały plików platformy Azure przy użyciu istniejących poświadczeń usług AD DS. Tę funkcję można włączyć za pomocą środowiska usług AD DS hostowanego na maszynach lokalnych lub hostowanych na maszynie wirtualnej na platformie Azure.

Filmy wideo

Aby ułatwić skonfigurowanie uwierzytelniania opartego na tożsamościach dla niektórych typowych przypadków użycia, opublikowaliśmy dwa filmy wideo ze wskazówkami krok po kroku dotyczącymi następujących scenariuszy. Pamiętaj, że usługa Azure Active Directory jest teraz identyfikatorem Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Nowa nazwa usługi Azure AD.

Zastępowanie lokalnych serwerów plików usługą Azure Files (w tym instalatora w linku prywatnym dla plików i uwierzytelniania usługi AD) Używanie usługi Azure Files jako kontenera profilu dla usługi Azure Virtual Desktop (w tym konfiguracji uwierzytelniania usługi AD i konfiguracji fsLogix)
Zrzut ekranu przedstawiający zastępowanie lokalnych serwerów plików wideo — kliknij, aby odtworzyć. Zrzut ekranu przedstawiający film wideo Używanie usługi Azure Files jako kontenera profilu — kliknij, aby odtworzyć.

Wymagania wstępne

Przed włączeniem uwierzytelniania usług AD DS dla udziałów plików platformy Azure upewnij się, że zostały spełnione następujące wymagania wstępne:

  • Wybierz lub utwórz środowisko usług AD DS i zsynchronizuj je z identyfikatorem Firmy Microsoft Entra przy użyciu lokalnej aplikacji Microsoft Entra Połączenie Sync lub microsoft Entra Połączenie synchronizacji w chmurze, uproszczonego agenta, który można zainstalować z centrum microsoft Entra Administracja.

    Funkcję można włączyć w nowym lub istniejącym lokalnym środowisku usług AD DS. Tożsamości używane do uzyskiwania dostępu muszą być synchronizowane z identyfikatorem Entra firmy Microsoft lub używać domyślnego uprawnienia na poziomie udziału. Dzierżawa firmy Microsoft Entra i udział plików, do którego uzyskujesz dostęp, muszą być skojarzone z tą samą subskrypcją.

  • Przyłączanie domeny do maszyny lokalnej lub maszyny wirtualnej platformy Azure do lokalnych usług AD DS. Aby uzyskać informacje o sposobie dołączania do domeny, zobacz Dołączanie komputera do domeny.

    Jeśli maszyna nie jest przyłączona do domeny, nadal możesz użyć usług AD DS do uwierzytelniania, jeśli maszyna ma niezwiązaną łączność sieciową z lokalnym kontrolerem domeny usługi AD, a użytkownik podaje jawne poświadczenia. Aby uzyskać więcej informacji, zobacz Instalowanie udziału plików z maszyny wirtualnej nieprzyłączonych do domeny lub maszyny wirtualnej przyłączonej do innej domeny usługi AD.

  • Wybierz lub utwórz konto usługi Azure Storage. Aby uzyskać optymalną wydajność, zalecamy wdrożenie konta magazynu w tym samym regionie co klient, z którego planujesz uzyskać dostęp do udziału. Następnie zainstaluj udział plików platformy Azure przy użyciu klucza konta magazynu. Instalowanie przy użyciu klucza konta magazynu weryfikuje łączność.

    Upewnij się, że konto magazynu zawierające udziały plików nie jest jeszcze skonfigurowane do uwierzytelniania opartego na tożsamościach. Jeśli źródło usługi AD jest już włączone na koncie magazynu, należy je wyłączyć przed włączeniem lokalnych usług AD DS.

    Jeśli wystąpią problemy z nawiązywaniem połączenia z usługą Azure Files, zapoznaj się z narzędziem do rozwiązywania problemów opublikowanym pod kątem błędów instalowania usługi Azure Files w systemie Windows.

  • Przed włączeniem i skonfigurowaniem uwierzytelniania usług AD DS w udziałach plików platformy Azure wprowadź odpowiednią konfigurację sieci. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące sieci usługi Azure Files.

Dostępność w regionach

Uwierzytelnianie usługi Azure Files za pomocą usług AD DS jest dostępne we wszystkich regionach Azure Public, China i Gov.

Omówienie

Jeśli planujesz włączyć konfiguracje sieci w udziale plików, zalecamy zapoznanie się z artykułem dotyczącym zagadnień dotyczących sieci i ukończenie powiązanej konfiguracji przed włączeniem uwierzytelniania usług AD DS.

Włączenie uwierzytelniania usług AD DS dla udziałów plików platformy Azure umożliwia uwierzytelnianie w udziałach plików platformy Azure przy użyciu lokalnych poświadczeń usług AD DS. Ponadto umożliwia lepsze zarządzanie uprawnieniami w celu umożliwienia szczegółowej kontroli dostępu. W ten sposób wymagane jest synchronizowanie tożsamości z lokalnych usług AD DS do usługi Microsoft Entra ID przy użyciu lokalnej aplikacji Microsoft Entra Połączenie Sync lub microsoft Entra Połączenie synchronizacji w chmurze, uproszczonego agenta, który można zainstalować z centrum microsoft Entra Administracja Center. Uprawnienia na poziomie udziału są przypisywane do tożsamości hybrydowych synchronizowanych z identyfikatorem Entra firmy Microsoft podczas zarządzania dostępem na poziomie pliku/katalogu przy użyciu list ACL systemu Windows.

Wykonaj następujące kroki, aby skonfigurować usługę Azure Files na potrzeby uwierzytelniania w usługach AD DS:

  1. Włączanie uwierzytelniania usług AD DS na koncie magazynu

  2. Przypisywanie uprawnień na poziomie udziału do tożsamości usługi Microsoft Entra (użytkownika, grupy lub jednostki usługi) synchronizowanej z docelową tożsamością usługi AD

  3. Konfigurowanie list ACL systemu Windows za pośrednictwem protokołu SMB dla katalogów i plików

  4. Instalowanie udziału plików platformy Azure na maszynie wirtualnej przyłączonej do usług AD DS

  5. Aktualizowanie hasła tożsamości konta magazynu w usługach AD DS

Na poniższym diagramie przedstawiono pełny przepływ pracy umożliwiający włączenie uwierzytelniania usług AD DS za pośrednictwem protokołu SMB dla udziałów plików platformy Azure.

Diagram przedstawiający uwierzytelnianie usług AD DS za pośrednictwem protokołu SMB dla przepływu pracy usługi Azure Files.

Tożsamości używane do uzyskiwania dostępu do udziałów plików platformy Azure muszą być synchronizowane z identyfikatorem Entra firmy Microsoft, aby wymusić uprawnienia do plików na poziomie udziału za pomocą modelu kontroli dostępu na podstawie ról (RBAC) platformy Azure. Alternatywnie możesz użyć domyślnego uprawnienia na poziomie udziału. Listy DACLs w stylu systemu Windows na plikach/katalogach przenoszonych z istniejących serwerów plików zostaną zachowane i wymuszone. Zapewnia to bezproblemową integrację ze środowiskiem usług AD DS przedsiębiorstwa. Po zastąpieniu lokalnych serwerów plików udziałami plików platformy Azure istniejącymi użytkownikami mogą uzyskiwać dostęp do udziałów plików platformy Azure z bieżących klientów za pomocą środowiska logowania jednokrotnego bez konieczności zmiany używanych poświadczeń.

Następne kroki

Aby rozpocząć pracę, musisz włączyć uwierzytelnianie usług AD DS dla konta magazynu.