Włączanie uwierzytelniania Microsoft Entra Kerberos dla tożsamości hybrydowych w usłudze Azure Files

  • Artykuł

Ten artykuł koncentruje się na włączaniu i konfigurowaniu identyfikatora entra firmy Microsoft (dawniej Azure AD) na potrzeby uwierzytelniania tożsamości użytkowników hybrydowych, które są lokalnymi tożsamościami usług AD DS synchronizowanych z identyfikatorem Entra firmy Microsoft. Tożsamości tylko w chmurze nie są obecnie obsługiwane.

Ta konfiguracja umożliwia użytkownikom hybrydowym dostęp do udziałów plików platformy Azure przy użyciu uwierzytelniania Kerberos przy użyciu identyfikatora Entra firmy Microsoft w celu wystawienia niezbędnych biletów Protokołu Kerberos w celu uzyskania dostępu do udziału plików przy użyciu protokołu SMB. Oznacza to, że użytkownicy końcowi mogą uzyskiwać dostęp do udziałów plików platformy Azure za pośrednictwem Internetu bez konieczności łączności sieciowej z kontrolerami domeny z urządzeń dołączonych hybrydowych firmy Microsoft Entra i klientów dołączonych do firmy Microsoft Entra. Jednak skonfigurowanie list kontroli dostępu systemu Windows (ACL)/katalogu i uprawnień na poziomie plików dla użytkownika lub grupy wymaga niezmpedowanej łączności sieciowej z lokalnym kontrolerem domeny.

Aby uzyskać więcej informacji na temat obsługiwanych opcji i zagadnień, zobacz Omówienie opcji uwierzytelniania opartego na tożsamościach usługi Azure Files na potrzeby dostępu do protokołu SMB. Aby uzyskać więcej informacji, zobacz to szczegółowe omówienie.

Ważne

Do uwierzytelniania opartego na tożsamościach w usłudze Azure Files można użyć tylko jednej metody usługi AD. Jeśli uwierzytelnianie Kerberos firmy Microsoft dla tożsamości hybrydowych nie spełnia Twoich wymagań, możesz zamiast tego użyć usługi lokalna usługa Active Directory Domain Service (AD DS) lub microsoft Entra Domain Services. Kroki konfiguracji i obsługiwane scenariusze są różne dla każdej metody.

Dotyczy

Typ udziału plików SMB NFS
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS Tak Nie
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS Tak Nie
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS Tak Nie

Wymagania wstępne

Przed włączeniem uwierzytelniania Protokołu Kerberos firmy Microsoft za pośrednictwem protokołu SMB dla udziałów plików platformy Azure upewnij się, że zostały spełnione następujące wymagania wstępne.

Uwaga

Konto usługi Azure Storage nie może uwierzytelniać się zarówno przy użyciu identyfikatora Entra firmy Microsoft, jak i drugiej metody, takiej jak USŁUGI AD DS lub Microsoft Entra Domain Services. Jeśli wybrano już inną metodę usługi AD dla konta magazynu, musisz ją wyłączyć przed włączeniem protokołu Kerberos firmy Microsoft.

Funkcja Protokołu Kerberos firmy Microsoft dla tożsamości hybrydowych jest dostępna tylko w następujących systemach operacyjnych:

Aby dowiedzieć się, jak utworzyć i skonfigurować maszynę wirtualną z systemem Windows oraz zalogować się przy użyciu uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft, zobacz Logowanie się do maszyny wirtualnej z systemem Windows na platformie Azure przy użyciu identyfikatora Entra firmy Microsoft.

Klienci muszą być przyłączeni do firmy Microsoft Entra lub przyłączeni hybrydowi firmy Microsoft Entra. Protokół Kerberos firmy Microsoft entra nie jest obsługiwany na klientach dołączonych do usług Microsoft Entra Domain Services ani dołączonych tylko do usługi AD.

Ta funkcja nie obsługuje obecnie kont użytkowników tworzonych i zarządzanych wyłącznie w usłudze Microsoft Entra ID. Konta użytkowników muszą być tożsamościami użytkowników hybrydowych, co oznacza, że potrzebujesz również usług AD DS i microsoft Entra Połączenie lub Microsoft Entra Połączenie synchronizacji w chmurze. Należy utworzyć te konta w usłudze Active Directory i zsynchronizować je z identyfikatorem Entra firmy Microsoft. Aby przypisać uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure dla udziału plików platformy Azure do grupy użytkowników, należy utworzyć grupę w usłudze Active Directory i zsynchronizować ją z identyfikatorem Entra firmy Microsoft.

Ta funkcja nie obsługuje obecnie dostępu między dzierżawami dla użytkowników B2B ani użytkowników-gości. Użytkownicy z dzierżawy entra innej niż skonfigurowana nie będą mogli uzyskać dostępu do udziału plików.

Należy wyłączyć uwierzytelnianie wieloskładnikowe (MFA) w aplikacji Microsoft Entra reprezentującej konto magazynu.

W przypadku protokołu Kerberos firmy Microsoft szyfrowanie biletu Kerberos jest zawsze AES-256. Można jednak ustawić szyfrowanie kanału SMB, które najlepiej odpowiada Twoim potrzebom.

Dostępność w regionach

Ta funkcja jest obsługiwana w chmurach Azure Public, Azure US Gov i Azure China 21Vianet.

Włączanie uwierzytelniania Protokołu Kerberos firmy Microsoft dla kont użytkowników hybrydowych

Możesz włączyć uwierzytelnianie Kerberos firmy Microsoft w usłudze Azure Files dla kont użytkowników hybrydowych przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby włączyć uwierzytelnianie kerberos firmy Microsoft w usłudze Microsoft Entra przy użyciu witryny Azure Portal, wykonaj następujące kroki.

  1. Zaloguj się do witryny Azure Portal i wybierz konto magazynu, dla którego chcesz włączyć uwierzytelnianie Kerberos firmy Microsoft.

  2. W obszarze Magazyn danych wybierz pozycję Udziały plików.

  3. Obok pozycji Active Directory wybierz stan konfiguracji (na przykład Nieskonfigurowane).

    Zrzut ekranu witryny Azure Portal przedstawiający ustawienia udziału plików dla konta magazynu. Wybrano ustawienia konfiguracji usługi Active Directory.

  4. W obszarze Microsoft Entra Kerberos wybierz pozycję Skonfiguruj.

  5. Zaznacz pole wyboru Microsoft Entra Kerberos.

    Zrzut ekranu witryny Azure Portal przedstawiający ustawienia konfiguracji usługi Active Directory dla konta magazynu. Wybrano pozycję Microsoft Entra Kerberos.

  6. Opcjonalnie: Jeśli chcesz skonfigurować uprawnienia na poziomie katalogu i pliku za pośrednictwem Eksplorator plików systemu Windows, musisz określić nazwę domeny i identyfikator GUID domeny dla lokalnej usługi AD. Te informacje można uzyskać od administratora domeny lub uruchamiając następujące polecenie cmdlet programu PowerShell usługi Active Directory z lokalnego klienta przyłączonego do usługi AD: Get-ADDomain. Nazwa domeny powinna być wyświetlana w danych wyjściowych w obszarze DNSRoot , a identyfikator GUID domeny powinien być wymieniony w obszarze ObjectGUID. Jeśli wolisz skonfigurować uprawnienia na poziomie katalogu i pliku przy użyciu list icacls, możesz pominąć ten krok. Jeśli jednak chcesz użyć list icacls, klient będzie potrzebować niezmpedowanej łączności sieciowej z lokalną usługą AD.

  7. Wybierz pozycję Zapisz.

Ostrzeżenie

Jeśli wcześniej włączono uwierzytelnianie protokołu Kerberos firmy Microsoft entra za pomocą ręcznej ograniczonej wersji zapoznawczej w celu przechowywania profilów FSLogix na maszynach wirtualnych dołączonych do usługi Microsoft Entra, hasło dla jednostki usługi konta magazynu jest ustawione na wygaśnięcie co sześć miesięcy. Po wygaśnięciu hasła użytkownicy nie będą mogli pobierać biletów Protokołu Kerberos do udziału plików. Aby rozwiązać ten problem, zobacz "Błąd — hasło jednostki usługi wygasło w identyfikatorze Entra firmy Microsoft" w obszarze Potencjalne błędy podczas włączania uwierzytelniania Kerberos firmy Microsoft dla użytkowników hybrydowych.

Po włączeniu uwierzytelniania Microsoft Entra Kerberos należy jawnie udzielić zgody administratora na nową aplikację Microsoft Entra zarejestrowaną w dzierżawie firmy Microsoft Entra. Ta jednostka usługi jest generowana automatycznie i nie jest używana do autoryzacji do udziału plików, więc nie należy wprowadzać żadnych zmian w jednostce usługi innej niż udokumentowane w tym miejscu. Jeśli to zrobisz, może zostać wyświetlony błąd.

Uprawnienia interfejsu API można skonfigurować w witrynie Azure Portal , wykonując następujące kroki:

  1. Otwórz Microsoft Entra ID.

  2. Wybierz Rejestracje aplikacji w okienku po lewej stronie.

  3. Wybierz pozycję Wszystkie aplikacje.

    Zrzut ekranu witryny Azure Portal. Identyfikator entra firmy Microsoft jest otwarty. Rejestracje aplikacji jest zaznaczona w okienku po lewej stronie. Wszystkie aplikacje są wyróżnione w okienku po prawej stronie.

  4. Wybierz aplikację z nazwą zgodną z ciągiem [Konto magazynu] <your-storage-account-name>.file.core.windows.net.

  5. Wybierz pozycję Uprawnienia interfejsu API w okienku po lewej stronie.

  6. Wybierz pozycję Udziel zgody administratora dla użytkownika [Nazwa katalogu], aby udzielić zgody dla trzech żądanych uprawnień interfejsu API (openid, profile i User.Read) dla wszystkich kont w katalogu.

  7. Wybierz Tak, aby potwierdzić.

Ważne

Jeśli łączysz się z kontem magazynu za pośrednictwem prywatnego punktu końcowego/łącza prywatnego przy użyciu uwierzytelniania Microsoft Entra Kerberos, musisz również dodać nazwę FQDN łącza prywatnego do aplikacji Microsoft Entra konta magazynu. Aby uzyskać instrukcje, zobacz wpis w naszym przewodniku rozwiązywania problemów.

Wyłączanie uwierzytelniania wieloskładnikowego na koncie magazynu

Protokół Kerberos firmy Microsoft nie obsługuje używania uwierzytelniania wieloskładnikowego do uzyskiwania dostępu do udziałów plików platformy Azure skonfigurowanych za pomocą protokołu Kerberos firmy Microsoft. Należy wykluczyć aplikację Microsoft Entra reprezentującą konto magazynu z zasad dostępu warunkowego uwierzytelniania wieloskładnikowego, jeśli mają zastosowanie do wszystkich aplikacji.

Aplikacja konta magazynu powinna mieć taką samą nazwę jak konto magazynu na liście wykluczeń dostępu warunkowego. Podczas wyszukiwania aplikacji konta magazynu na liście wykluczeń dostępu warunkowego wyszukaj: [Konto magazynu] <your-storage-account-name>.file.core.windows.net

Pamiętaj, aby zastąpić <your-storage-account-name> odpowiednią wartością.

Ważne

Jeśli nie wykluczysz zasad uwierzytelniania wieloskładnikowego z aplikacji konta magazynu, nie będzie można uzyskać dostępu do udziału plików. Próba mapowania udziału plików przy użyciu net use spowoduje wyświetlenie komunikatu o błędzie z komunikatem "Błąd systemu 1327: Ograniczenia konta uniemożliwiają temu użytkownikowi zalogowanie się. Na przykład: puste hasła nie są dozwolone, czasy logowania są ograniczone lub wymuszono ograniczenie zasad.

Aby uzyskać wskazówki dotyczące wyłączania uwierzytelniania wieloskładnikowego, zobacz następujące tematy:

Przypisywanie uprawnień na poziomie udziału

Po włączeniu dostępu opartego na tożsamościach można ustawić dla każdego udziału, który użytkownicy i grupy mają dostęp do tego określonego udziału. Gdy użytkownik jest dozwolony do udziału, listy ACL systemu Windows (nazywane również uprawnieniami NTFS) na poszczególnych plikach i katalogach przejmują. Umożliwia to szczegółową kontrolę nad uprawnieniami, podobnie jak udział SMB na serwerze z systemem Windows.

Aby ustawić uprawnienia na poziomie udziału, postępuj zgodnie z instrukcjami w temacie Przypisywanie uprawnień na poziomie udziału do tożsamości.

Konfigurowanie uprawnień na poziomie katalogu i pliku

Po wprowadzeniu uprawnień na poziomie udziału można przypisać uprawnienia na poziomie katalogu/pliku do użytkownika lub grupy. Wymaga to używania urządzenia z niezmpedowaną łącznością sieciową z lokalną usługą AD. Aby można było używać Eksplorator plików systemu Windows, urządzenie musi być również przyłączone do domeny.

Istnieją dwie opcje konfigurowania uprawnień na poziomie katalogu i plików przy użyciu uwierzytelniania Protokołu Kerberos firmy Microsoft:

  • Windows Eksplorator plików: jeśli wybierzesz tę opcję, klient musi zostać przyłączony do domeny w lokalnej usłudze AD.
  • Narzędzie icacls: jeśli wybierzesz tę opcję, klient nie musi być przyłączony do domeny, ale wymaga niezwiązanej łączności sieciowej z lokalną usługą AD.

Aby skonfigurować uprawnienia na poziomie katalogu i pliku za pośrednictwem Eksplorator plików systemu Windows, należy również określić nazwę domeny i identyfikator GUID domeny dla lokalnej usługi AD. Te informacje można uzyskać od administratora domeny lub lokalnego klienta przyłączonego do usługi AD. Jeśli wolisz skonfigurować przy użyciu list icacls, ten krok nie jest wymagany.

Ważne

Listy ACL na poziomie pliku/katalogu można ustawić dla tożsamości, które nie są synchronizowane z identyfikatorem Entra firmy Microsoft. Jednak te listy ACL nie zostaną wymuszone, ponieważ bilet Protokołu Kerberos używany do uwierzytelniania/autoryzacji nie będzie zawierać tych niezsynchronizowane tożsamości. Aby wymusić ustawienie list ACL, tożsamości muszą być synchronizowane z identyfikatorem Entra firmy Microsoft.

Napiwek

Jeśli użytkownicy dołączeni hybrydowo do firmy Microsoft z dwóch różnych lasów będą uzyskiwać dostęp do udziału, najlepiej użyć list icacls do skonfigurowania uprawnień na poziomie katalogu i pliku. Dzieje się tak, ponieważ konfiguracja listy ACL systemu Windows Eksplorator plików wymaga, aby klient był przyłączony do domeny usługi Active Directory, do którego jest przyłączone konto magazynu.

Aby skonfigurować uprawnienia na poziomie katalogu i pliku, postępuj zgodnie z instrukcjami w temacie Konfigurowanie uprawnień na poziomie katalogu i pliku za pośrednictwem protokołu SMB.

Konfigurowanie klientów w celu pobierania biletów protokołu Kerberos

Włącz funkcję Protokołu Kerberos firmy Microsoft na komputerach klienckich, z których chcesz zainstalować/używać udziałów plików platformy Azure. Należy to zrobić na każdym kliencie, na którym będzie używana usługa Azure Files.

Użyj jednej z następujących trzech metod:

  • Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do klientów: Kerberos/CloudKerberosTicketRetrievalEnabled, ustawioną na 1
  • Skonfiguruj te zasady grupy na klientach na wartość "Włączone": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
  • Ustaw następującą wartość rejestru na klientach, uruchamiając to polecenie w wierszu polecenia z podwyższonym poziomem uprawnień: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

Zmiany nie są natychmiastowe i wymagają odświeżenia zasad lub ponownego uruchomienia, aby zaczęły obowiązywać.

Ważne

Po zastosowaniu tej zmiany klienci nie będą mogli łączyć się z kontami magazynu skonfigurowanymi na potrzeby lokalnej integracji usług AD DS bez konfigurowania mapowań obszarów Protokołu Kerberos. Jeśli chcesz, aby klienci mogli łączyć się z kontami magazynu skonfigurowanymi dla usług AD DS, a także kontami magazynu skonfigurowanymi dla usługi Microsoft Entra Kerberos, wykonaj kroki opisane w temacie Konfigurowanie współistnienia z kontami magazynu przy użyciu lokalnych usług AD DS.

Konfigurowanie współistnienia z kontami magazynu przy użyciu lokalnych usług AD DS

Jeśli chcesz umożliwić maszynom klienckim łączenie się z kontami magazynu skonfigurowanymi dla usług AD DS, a także kontami magazynu skonfigurowanymi dla protokołu Kerberos firmy Microsoft, wykonaj następujące kroki. Jeśli używasz tylko protokołu Kerberos firmy Microsoft, pomiń tę sekcję.

Dodaj wpis dla każdego konta magazynu, które korzysta z lokalnej integracji usług AD DS. Użyj jednej z następujących trzech metod, aby skonfigurować mapowania obszaru Kerberos. Zmiany nie są natychmiastowe i wymagają odświeżenia zasad lub ponownego uruchomienia, aby zaczęły obowiązywać.

  • Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do klientów: Kerberos/HostToRealm
  • Skonfiguruj te zasady grupy na klientach: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings
  • Uruchom polecenie systemu ksetup Windows na klientach: ksetup /addhosttorealmmap <hostname> <REALMNAME>
    • Na przykład ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

Ważne

W przypadku protokołu Kerberos nazwy obszaru są uwzględniane wielkości liter i wielkie litery. Nazwa obszaru Kerberos jest zwykle taka sama jak nazwa domeny, w wielkich literach.

Cofanie konfiguracji klienta w celu pobrania biletów Protokołu Kerberos

Jeśli nie chcesz już używać maszyny klienckiej do uwierzytelniania Microsoft Entra Kerberos, możesz wyłączyć funkcję Protokołu Kerberos firmy Microsoft na tym komputerze. Użyj jednej z następujących trzech metod, w zależności od sposobu włączenia funkcji:

  • Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do klientów: Kerberos/CloudKerberosTicketRetrievalEnabled, ustawioną na 0
  • Skonfiguruj te zasady grupy na klientach na wartość "Wyłączone": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
  • Ustaw następującą wartość rejestru na klientach, uruchamiając to polecenie w wierszu polecenia z podwyższonym poziomem uprawnień: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0

Zmiany nie są natychmiastowe i wymagają odświeżenia zasad lub ponownego uruchomienia, aby zaczęły obowiązywać.

Jeśli wykonano kroki opisane w temacie Konfigurowanie współistnienia z kontami magazynu przy użyciu lokalnych usług AD DS, opcjonalnie możesz usunąć wszystkie nazwy hosta do mapowań obszarów Protokołu Kerberos z komputera klienckiego. Użyj jednej z następujących trzech metod:

  • Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do klientów: Kerberos/HostToRealm
  • Skonfiguruj te zasady grupy na klientach: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings
  • Uruchom polecenie systemu ksetup Windows na klientach: ksetup /delhosttorealmmap <hostname> <realmname>
    • Na przykład ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net contoso.local
    • Listę bieżących nazw hostów można wyświetlić w mapowaniach obszaru Protokołu Kerberos, sprawdzając klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealmrejestru .

Zmiany nie są natychmiastowe i wymagają odświeżenia zasad lub ponownego uruchomienia, aby zaczęły obowiązywać.

Ważne

Po zastosowaniu tej zmiany klienci nie będą mogli łączyć się z kontami magazynu skonfigurowanymi na potrzeby uwierzytelniania Protokołu Kerberos firmy Microsoft. Jednak będą oni mogli łączyć się z kontami magazynu skonfigurowanymi w usługach AD DS bez dodatkowej konfiguracji.

Wyłączanie uwierzytelniania microsoft Entra na koncie magazynu

Jeśli chcesz użyć innej metody uwierzytelniania, możesz wyłączyć uwierzytelnianie microsoft Entra na koncie magazynu przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Uwaga

Wyłączenie tej funkcji oznacza, że nie będzie konfiguracji usługi Active Directory dla udziałów plików na koncie magazynu do momentu włączenia jednego z innych źródeł usługi Active Directory w celu przywrócenia konfiguracji usługi Active Directory.

Aby wyłączyć uwierzytelnianie Kerberos firmy Microsoft na koncie magazynu przy użyciu witryny Azure Portal, wykonaj następujące kroki.

  1. Zaloguj się do witryny Azure Portal i wybierz konto magazynu, dla którego chcesz wyłączyć uwierzytelnianie Kerberos firmy Microsoft.
  2. W obszarze Magazyn danych wybierz pozycję Udziały plików.
  3. Obok pozycji Active Directory wybierz stan konfiguracji.
  4. W obszarze Microsoft Entra Kerberos wybierz pozycję Konfiguruj.
  5. Usuń zaznaczenie pola wyboru Microsoft Entra Kerberos .
  6. Wybierz pozycję Zapisz.

Następne kroki

Aby uzyskać więcej informacji zobacz te zasoby: