Włączanie uwierzytelniania Microsoft Entra Kerberos dla tożsamości hybrydowych w usłudze Azure Files
Ten artykuł koncentruje się na włączaniu i konfigurowaniu identyfikatora Entra firmy Microsoft (dawniej Azure AD) na potrzeby uwierzytelniania tożsamości użytkowników hybrydowych, które są lokalnymi tożsamościami usług AD DS synchronizowanych z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect lub synchronizacji z chmurą Microsoft Entra Connect. Tożsamości tylko w chmurze nie są obecnie obsługiwane.
Ta konfiguracja umożliwia użytkownikom hybrydowym dostęp do udziałów plików platformy Azure przy użyciu uwierzytelniania Kerberos przy użyciu identyfikatora Entra firmy Microsoft w celu wystawienia niezbędnych biletów Protokołu Kerberos w celu uzyskania dostępu do udziału plików przy użyciu protokołu SMB. Oznacza to, że użytkownicy końcowi mogą uzyskiwać dostęp do udziałów plików platformy Azure za pośrednictwem Internetu bez konieczności łączności sieciowej z kontrolerami domeny z urządzeń dołączonych hybrydowych firmy Microsoft Entra i klientów dołączonych do firmy Microsoft Entra. Jednak skonfigurowanie list kontroli dostępu systemu Windows (ACL)/katalogu i uprawnień na poziomie plików dla użytkownika lub grupy wymaga niezmpedowanej łączności sieciowej z lokalnym kontrolerem domeny.
Aby uzyskać więcej informacji na temat obsługiwanych opcji i zagadnień, zobacz Omówienie opcji uwierzytelniania opartego na tożsamościach usługi Azure Files na potrzeby dostępu do protokołu SMB. Aby uzyskać więcej informacji, zobacz to szczegółowe omówienie.
Ważne
Do uwierzytelniania opartego na tożsamościach w usłudze Azure Files można użyć tylko jednej metody usługi AD. Jeśli uwierzytelnianie Kerberos firmy Microsoft dla tożsamości hybrydowych nie spełnia Twoich wymagań, możesz zamiast tego użyć usługi lokalna usługa Active Directory Domain Service (AD DS) lub microsoft Entra Domain Services. Kroki konfiguracji i obsługiwane scenariusze są różne dla każdej metody.
Dotyczy
Typ udziału plików | SMB | NFS |
---|---|---|
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS | ||
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS | ||
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS |
Wymagania wstępne
Przed włączeniem uwierzytelniania Protokołu Kerberos firmy Microsoft za pośrednictwem protokołu SMB dla udziałów plików platformy Azure upewnij się, że zostały spełnione następujące wymagania wstępne.
Minimalne wymagania wstępne
Następujące wymagania wstępne są obowiązkowe. Bez nich nie można uwierzytelnić się przy użyciu identyfikatora Entra firmy Microsoft.
Konto usługi Azure Storage nie może uwierzytelniać się zarówno przy użyciu identyfikatora Entra firmy Microsoft, jak i drugiej metody, takiej jak USŁUGI AD DS lub Microsoft Entra Domain Services. Jeśli wybrano już inną metodę usługi AD dla konta magazynu, musisz ją wyłączyć przed włączeniem protokołu Kerberos firmy Microsoft.
Ta funkcja nie obsługuje obecnie kont użytkowników tworzonych i zarządzanych wyłącznie w usłudze Microsoft Entra ID. Konta użytkowników muszą być tożsamościami użytkowników hybrydowych, co oznacza, że potrzebujesz również usług AD DS i microsoft Entra Connect lub microsoft Entra Connect w chmurze. Należy utworzyć te konta w usłudze Active Directory i zsynchronizować je z identyfikatorem Entra firmy Microsoft. Aby przypisać uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure dla udziału plików platformy Azure do grupy użytkowników, należy utworzyć grupę w usłudze Active Directory i zsynchronizować ją z identyfikatorem Entra firmy Microsoft.
Usługa automatycznego odnajdywania serwera proxy sieci Web WinHTTP (
WinHttpAutoProxySvc
) i usługa pomocnika IP (iphlpsvc
) są wymagane. Ich stan powinien być ustawiony na uruchomiony.Należy wyłączyć uwierzytelnianie wieloskładnikowe (MFA) w aplikacji Microsoft Entra reprezentującej konto magazynu. Aby uzyskać instrukcje, zobacz Wyłączanie uwierzytelniania wieloskładnikowego na koncie magazynu.
Ta funkcja nie obsługuje obecnie dostępu między dzierżawami dla użytkowników B2B ani użytkowników-gości. Użytkownicy z dzierżawy firmy Microsoft Entra innej niż skonfigurowana nie będą mogli uzyskać dostępu do udziału plików.
W przypadku protokołu Kerberos firmy Microsoft szyfrowanie biletu Kerberos jest zawsze AES-256. Można jednak ustawić szyfrowanie kanału SMB, które najlepiej odpowiada Twoim potrzebom.
Wymagania wstępne dotyczące systemu operacyjnego i domeny
Następujące wymagania wstępne są wymagane dla standardowego przepływu uwierzytelniania Protokołu Kerberos firmy Microsoft zgodnie z opisem w tym artykule. Jeśli niektóre lub wszystkie maszyny klienckie nie spełniają tych wymagań, nadal można włączyć uwierzytelnianie Protokołu Kerberos firmy Microsoft, ale należy również skonfigurować zaufanie w chmurze, aby umożliwić tym klientom dostęp do udziałów plików.
Wymagania dotyczące systemu operacyjnego:
- System Windows 11 Enterprise/Pro — pojedyncza lub wielosesjna sesja.
- System Windows 10 Enterprise/Pro z jedną lub wieloma sesjami w wersji 2004 lub nowszej z zainstalowanymi najnowszymi aktualizacjami zbiorczymi, zwłaszcza w wersji KB5007253 — 2021–11 Zbiorcza aktualizacja zapoznawcza dla systemu Windows 10.
- Windows Server w wersji 2022 z zainstalowanymi najnowszymi aktualizacjami zbiorczymi, zwłaszcza KB5007254 - 2021-11 Zbiorcza aktualizacja zapoznawcza dla systemu operacyjnego Microsoft Server w wersji 21H2.
Aby dowiedzieć się, jak utworzyć i skonfigurować maszynę wirtualną z systemem Windows oraz zalogować się przy użyciu uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft, zobacz Logowanie się do maszyny wirtualnej z systemem Windows na platformie Azure przy użyciu identyfikatora Entra firmy Microsoft.
Klienci muszą być przyłączeni do firmy Microsoft Entra lub przyłączeni hybrydowi firmy Microsoft Entra. Nie można ich dołączyć do usług Microsoft Entra Domain Services ani dołączyć tylko do usługi AD.
Dostępność w regionach
Ta funkcja jest obsługiwana w chmurach Azure Public, Azure US Gov i Azure China 21Vianet.
Włączanie uwierzytelniania Protokołu Kerberos firmy Microsoft dla kont użytkowników hybrydowych
Możesz włączyć uwierzytelnianie Kerberos firmy Microsoft w usłudze Azure Files dla kont użytkowników hybrydowych przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Aby włączyć uwierzytelnianie kerberos firmy Microsoft w usłudze Microsoft Entra przy użyciu witryny Azure Portal, wykonaj następujące kroki.
Zaloguj się do witryny Azure Portal i wybierz konto magazynu, dla którego chcesz włączyć uwierzytelnianie Kerberos firmy Microsoft.
W obszarze Magazyn danych wybierz pozycję Udziały plików.
Obok pozycji Active Directory wybierz stan konfiguracji (na przykład Nieskonfigurowane).
W obszarze Microsoft Entra Kerberos wybierz pozycję Skonfiguruj.
Zaznacz pole wyboru Microsoft Entra Kerberos.
Opcjonalnie: Jeśli chcesz skonfigurować uprawnienia na poziomie katalogu i pliku za pośrednictwem Eksplorator plików systemu Windows, musisz określić nazwę domeny i identyfikator GUID domeny dla lokalnej usługi AD. Te informacje można uzyskać od administratora domeny lub uruchamiając następujące polecenie cmdlet programu PowerShell usługi Active Directory z lokalnego klienta przyłączonego do usługi AD:
Get-ADDomain
. Nazwa domeny powinna być wyświetlana w danych wyjściowych w obszarzeDNSRoot
, a identyfikator GUID domeny powinien być wymieniony w obszarzeObjectGUID
. Jeśli wolisz skonfigurować uprawnienia na poziomie katalogu i pliku przy użyciu list icacls, możesz pominąć ten krok. Jeśli jednak chcesz użyć list icacls, klient będzie potrzebować niezmpedowanej łączności sieciowej z lokalną usługą AD.Wybierz pozycję Zapisz.
Ostrzeżenie
Jeśli wcześniej włączono uwierzytelnianie protokołu Kerberos firmy Microsoft entra za pomocą ręcznej ograniczonej wersji zapoznawczej w celu przechowywania profilów FSLogix na maszynach wirtualnych dołączonych do usługi Microsoft Entra, hasło dla jednostki usługi konta magazynu jest ustawione na wygaśnięcie co sześć miesięcy. Po wygaśnięciu hasła użytkownicy nie będą mogli pobierać biletów Protokołu Kerberos do udziału plików. Aby rozwiązać ten problem, zobacz "Błąd — hasło jednostki usługi wygasło w identyfikatorze Entra firmy Microsoft" w obszarze Potencjalne błędy podczas włączania uwierzytelniania Kerberos firmy Microsoft dla użytkowników hybrydowych.
Udzielanie zgody administratora dla nowej jednostki usługi
Po włączeniu uwierzytelniania Microsoft Entra Kerberos należy jawnie udzielić zgody administratora na nową aplikację Microsoft Entra zarejestrowaną w dzierżawie firmy Microsoft Entra. Ta jednostka usługi jest generowana automatycznie i nie jest używana do autoryzacji do udziału plików, więc nie należy wprowadzać żadnych zmian w jednostce usługi innej niż udokumentowane w tym miejscu. Jeśli to zrobisz, może zostać wyświetlony błąd.
Uprawnienia interfejsu API można skonfigurować w witrynie Azure Portal , wykonując następujące kroki:
- Otwórz Microsoft Entra ID.
- W menu usługi w obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji.
- Wybierz pozycję Wszystkie aplikacje.
- Wybierz aplikację z nazwą zgodną z ciągiem [Konto magazynu]
<your-storage-account-name>
.file.core.windows.net. - W menu usługi w obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
- Wybierz pozycję Udziel zgody administratora dla użytkownika [Nazwa katalogu], aby udzielić zgody dla trzech żądanych uprawnień interfejsu API (openid, profile i User.Read) dla wszystkich kont w katalogu.
- Wybierz Tak, aby potwierdzić.
Ważne
Jeśli łączysz się z kontem magazynu za pośrednictwem prywatnego punktu końcowego/łącza prywatnego przy użyciu uwierzytelniania Microsoft Entra Kerberos, musisz również dodać nazwę FQDN łącza prywatnego do aplikacji Microsoft Entra konta magazynu. Aby uzyskać instrukcje, zobacz wpis w naszym przewodniku rozwiązywania problemów.
Wyłączanie uwierzytelniania wieloskładnikowego na koncie magazynu
Protokół Kerberos firmy Microsoft nie obsługuje używania uwierzytelniania wieloskładnikowego do uzyskiwania dostępu do udziałów plików platformy Azure skonfigurowanych za pomocą protokołu Kerberos firmy Microsoft. Należy wykluczyć aplikację Microsoft Entra reprezentującą konto magazynu z zasad dostępu warunkowego uwierzytelniania wieloskładnikowego, jeśli mają zastosowanie do wszystkich aplikacji.
Aplikacja konta magazynu powinna mieć taką samą nazwę jak konto magazynu na liście wykluczeń dostępu warunkowego. Podczas wyszukiwania aplikacji konta magazynu na liście wykluczeń dostępu warunkowego wyszukaj: [Konto magazynu] <your-storage-account-name>
.file.core.windows.net
Pamiętaj, aby zastąpić <your-storage-account-name>
odpowiednią wartością.
Ważne
Jeśli nie wykluczysz zasad uwierzytelniania wieloskładnikowego z aplikacji konta magazynu, nie będzie można uzyskać dostępu do udziału plików. Próba mapowania udziału plików przy użyciu net use
spowoduje wyświetlenie komunikatu o błędzie z komunikatem "Błąd systemu 1327: Ograniczenia konta uniemożliwiają temu użytkownikowi zalogowanie się. Na przykład: puste hasła nie są dozwolone, czasy logowania są ograniczone lub wymuszono ograniczenie zasad.
Aby uzyskać wskazówki dotyczące wyłączania uwierzytelniania wieloskładnikowego, zobacz następujące tematy:
- Dodawanie wykluczeń dla jednostek usługi zasobów platformy Azure
- Tworzenie zasad dostępu warunkowego
Przypisywanie uprawnień na poziomie udziału
Po włączeniu dostępu opartego na tożsamościach dla każdego udziału należy przypisać użytkowników i grupy mają dostęp do tego określonego udziału. Gdy użytkownik lub grupa będzie mieć dostęp do udziału, listy ACL systemu Windows (nazywane również uprawnieniami NTFS) na poszczególnych plikach i katalogach przejmują. Umożliwia to szczegółową kontrolę nad uprawnieniami, podobnie jak udział SMB na serwerze z systemem Windows.
Aby ustawić uprawnienia na poziomie udziału, postępuj zgodnie z instrukcjami w temacie Przypisywanie uprawnień na poziomie udziału do tożsamości.
Konfigurowanie uprawnień na poziomie katalogu i pliku
Po wprowadzeniu uprawnień na poziomie udziału można przypisać uprawnienia na poziomie katalogu/pliku do użytkownika lub grupy. Wymaga to używania urządzenia z niezmpedowaną łącznością sieciową z lokalną usługą AD.
Aby skonfigurować uprawnienia na poziomie katalogu i pliku, postępuj zgodnie z instrukcjami w temacie Konfigurowanie uprawnień na poziomie katalogu i pliku za pośrednictwem protokołu SMB.
Konfigurowanie klientów w celu pobierania biletów protokołu Kerberos
Włącz funkcję Protokołu Kerberos firmy Microsoft na komputerach klienckich, z których chcesz zainstalować/używać udziałów plików platformy Azure. Należy to zrobić na każdym kliencie, na którym będzie używana usługa Azure Files.
Użyj jednej z następujących trzech metod:
Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do klientów: Kerberos/CloudKerberosTicketRetrievalEnabled, ustawioną na 1
Zmiany nie są natychmiastowe i wymagają odświeżenia zasad lub ponownego uruchomienia, aby zaczęły obowiązywać.
Ważne
Po zastosowaniu tej zmiany klienci nie będą mogli łączyć się z kontami magazynu skonfigurowanymi na potrzeby lokalnej integracji usług AD DS bez konfigurowania mapowań obszarów Protokołu Kerberos. Jeśli chcesz, aby klienci mogli łączyć się z kontami magazynu skonfigurowanymi dla usług AD DS, a także kontami magazynu skonfigurowanymi dla usługi Microsoft Entra Kerberos, wykonaj kroki opisane w temacie Konfigurowanie współistnienia z kontami magazynu przy użyciu lokalnych usług AD DS.
Konfigurowanie współistnienia z kontami magazynu przy użyciu lokalnych usług AD DS
Jeśli chcesz umożliwić maszynom klienckim łączenie się z kontami magazynu skonfigurowanymi dla usług AD DS, a także kontami magazynu skonfigurowanymi dla protokołu Kerberos firmy Microsoft, wykonaj następujące kroki. Jeśli używasz tylko protokołu Kerberos firmy Microsoft, pomiń tę sekcję.
Dodaj wpis dla każdego konta magazynu, które korzysta z lokalnej integracji usług AD DS. Użyj jednej z następujących trzech metod, aby skonfigurować mapowania obszaru Kerberos. Zmiany nie są natychmiastowe i wymagają odświeżenia zasad lub ponownego uruchomienia, aby zaczęły obowiązywać.
Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do klientów: Kerberos/HostToRealm
Ważne
W przypadku protokołu Kerberos nazwy obszaru są uwzględniane wielkości liter i wielkie litery. Nazwa obszaru Kerberos jest zwykle taka sama jak nazwa domeny, w wielkich literach.
Cofanie konfiguracji klienta w celu pobrania biletów Protokołu Kerberos
Jeśli nie chcesz już używać maszyny klienckiej do uwierzytelniania Microsoft Entra Kerberos, możesz wyłączyć funkcję Protokołu Kerberos firmy Microsoft na tym komputerze. Użyj jednej z następujących trzech metod, w zależności od sposobu włączenia funkcji:
Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do klientów: Kerberos/CloudKerberosTicketRetrievalEnabled, ustawioną na 0
Zmiany nie są natychmiastowe i wymagają odświeżenia zasad lub ponownego uruchomienia, aby zaczęły obowiązywać.
Jeśli wykonano kroki opisane w temacie Konfigurowanie współistnienia z kontami magazynu przy użyciu lokalnych usług AD DS, opcjonalnie możesz usunąć wszystkie nazwy hosta do mapowań obszarów Protokołu Kerberos z komputera klienckiego. Użyj jednej z następujących trzech metod:
Skonfiguruj ten dostawca CSP zasad usługi Intune i zastosuj go do klientów: Kerberos/HostToRealm
Zmiany nie są natychmiastowe i wymagają odświeżenia zasad lub ponownego uruchomienia, aby zaczęły obowiązywać.
Ważne
Po zastosowaniu tej zmiany klienci nie będą mogli łączyć się z kontami magazynu skonfigurowanymi na potrzeby uwierzytelniania Protokołu Kerberos firmy Microsoft. Jednak będą oni mogli łączyć się z kontami magazynu skonfigurowanymi w usługach AD DS bez dodatkowej konfiguracji.
Wyłączanie uwierzytelniania microsoft Entra na koncie magazynu
Jeśli chcesz użyć innej metody uwierzytelniania, możesz wyłączyć uwierzytelnianie microsoft Entra na koncie magazynu przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Uwaga
Wyłączenie tej funkcji oznacza, że nie będzie konfiguracji usługi Active Directory dla udziałów plików na koncie magazynu do momentu włączenia jednego z innych źródeł usługi Active Directory w celu przywrócenia konfiguracji usługi Active Directory.
Aby wyłączyć uwierzytelnianie Kerberos firmy Microsoft na koncie magazynu przy użyciu witryny Azure Portal, wykonaj następujące kroki.
- Zaloguj się do witryny Azure Portal i wybierz konto magazynu, dla którego chcesz wyłączyć uwierzytelnianie Kerberos firmy Microsoft.
- W obszarze Magazyn danych wybierz pozycję Udziały plików.
- Obok pozycji Active Directory wybierz stan konfiguracji.
- W obszarze Microsoft Entra Kerberos wybierz pozycję Konfiguruj.
- Usuń zaznaczenie pola wyboru Microsoft Entra Kerberos .
- Wybierz pozycję Zapisz.