Visão geral - autenticação local dos Serviços de Domínio Ative Directory sobre SMB para compartilhamentos de arquivos do Azure

  • Artigo

Os Arquivos do Azure dão suporte à autenticação baseada em identidade para compartilhamentos de arquivos do Windows no SMB (Server Message Block) usando o protocolo de autenticação Kerberos por meio dos seguintes métodos:

  • Serviços de Domínio Ative Directory (AD DS) locais
  • Microsoft Entra Domain Services
  • Microsoft Entra Kerberos para identidades de usuário híbridas

É altamente recomendável que você revise a seção Como funciona para selecionar a fonte do AD correta para autenticação. A configuração é diferente dependendo do serviço de domínio escolhido. Este artigo se concentra em habilitar e configurar o AD DS local para autenticação com compartilhamentos de arquivos do Azure.

Se você é novo no Azure Files, recomendamos a leitura de nosso guia de planejamento.

Aplica-se a

Tipo de partilhas de ficheiros SMB NFS
Partilhas de ficheiros Standard (GPv2), LRS/ZRS Yes No
Partilhas de ficheiros Standard (GPv2), GRS/GZRS Yes No
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS Yes No

Cenários e restrições suportados

  • As identidades do AD DS usadas para a autenticação do AD DS local dos Arquivos do Azure devem ser sincronizadas com a ID do Microsoft Entra ou usar uma permissão padrão de nível de compartilhamento. A sincronização de hash de senha é opcional.
  • Suporta partilhas de ficheiros do Azure geridas pela Sincronização de Ficheiros do Azure.
  • Suporta autenticação Kerberos com AD com encriptação AES 256 (recomendado) e RC4-HMAC. A criptografia Kerberos AES 128 ainda não é suportada.
  • Suporta experiência de logon único.
  • Com suporte apenas em clientes Windows que executam versões do sistema operacional Windows 8/Windows Server 2012 ou mais recentes, ou VMs Linux (Ubuntu 18.04+ ou uma VM RHEL ou SLES equivalente) em execução no Azure.
  • Suporte apenas contra a floresta AD na qual a conta de armazenamento está registrada. Os usuários pertencentes a domínios diferentes dentro da mesma floresta devem ser capazes de acessar o compartilhamento de arquivos e diretórios/arquivos subjacentes, desde que tenham as permissões apropriadas.
  • Por predefinição, só pode aceder às partilhas de ficheiros do Azure com as credenciais do AD DS a partir de uma única floresta. Se precisar de aceder à partilha de ficheiros do Azure a partir de uma floresta diferente, confirme que tem a confiança correta configurada para a floresta. Para obter detalhes, consulte Usar arquivos do Azure com várias florestas do Ative Directory.
  • Não dá suporte à atribuição de permissões de nível de compartilhamento a contas de computador (contas de máquina) usando o Azure RBAC. Você pode usar uma permissão padrão de nível de compartilhamento para permitir que contas de computador acessem o compartilhamento ou considerar o uso de uma conta de logon de serviço.
  • Não suporta autenticação em compartilhamentos de arquivos NFS (Network File System).

Quando você habilita o AD DS para compartilhamentos de arquivos do Azure no SMB, suas máquinas associadas ao AD DS podem montar compartilhamentos de arquivos do Azure usando suas credenciais existentes do AD DS. Esse recurso pode ser habilitado com um ambiente AD DS hospedado em máquinas locais ou hospedado em uma máquina virtual (VM) no Azure.

Vídeos

Para ajudá-lo a configurar a autenticação baseada em identidade para alguns casos de uso comuns, publicamos dois vídeos com orientações passo a passo para os cenários a seguir. Observe que o Azure Ative Directory agora é o Microsoft Entra ID. Para obter mais informações, consulte Novo nome para o Azure AD.

Substituindo servidores de arquivos locais por Arquivos do Azure (incluindo configuração em link privado para arquivos e autenticação do AD) Usando os Arquivos do Azure como o contêiner de perfil para a Área de Trabalho Virtual do Azure (incluindo a configuração na autenticação do AD e a configuração do FSLogix)
Screencast do vídeo substituindo servidores de arquivos locais - clique para reproduzir. Screencast do vídeo Usando arquivos do Azure como o contêiner de perfil - clique para reproduzir.

Pré-requisitos

Antes de habilitar a autenticação do AD DS para compartilhamentos de arquivos do Azure, verifique se você concluiu os seguintes pré-requisitos:

  • Selecione ou crie seu ambiente AD DS e sincronize-o com a ID do Microsoft Entra usando o aplicativo local Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado a partir do Centro de Administração do Microsoft Entra.

    Você pode habilitar o recurso em um ambiente AD DS local novo ou existente. As identidades usadas para acesso devem ser sincronizadas com o Microsoft Entra ID ou usar uma permissão padrão de nível de compartilhamento. O locatário do Microsoft Entra e o compartilhamento de arquivos que você está acessando devem estar associados à mesma assinatura.

  • Junte uma máquina local ou uma VM do Azure ao AD DS local. Para obter informações sobre como ingressar em um domínio, consulte Ingressar um computador em um domínio.

    Se uma máquina não estiver associada a um domínio, você ainda poderá usar o AD DS para autenticação se a máquina tiver conectividade de rede desimpedida com o controlador de domínio do AD local e o usuário fornecer credenciais explícitas. Para obter mais informações, consulte Montar o compartilhamento de arquivos de uma VM não associada ao domínio ou de uma VM associada a um domínio do AD diferente.

  • Selecione ou crie uma conta de armazenamento do Azure. Para um desempenho ideal, recomendamos que você implante a conta de armazenamento na mesma região do cliente a partir do qual planeja acessar o compartilhamento. Em seguida, monte o compartilhamento de arquivos do Azure com sua chave de conta de armazenamento. A montagem com a chave da conta de armazenamento verifica a conectividade.

    Verifique se a conta de armazenamento que contém seus compartilhamentos de arquivos ainda não está configurada para autenticação baseada em identidade. Se uma fonte do AD já estiver habilitada na conta de armazenamento, você deverá desativá-la antes de habilitar o AD DS local.

    Se você tiver problemas na conexão com os Arquivos do Azure, consulte a ferramenta de solução de problemas que publicamos para erros de montagem dos Arquivos do Azure no Windows.

  • Faça qualquer configuração de rede relevante antes de habilitar e configurar a autenticação do AD DS para seus compartilhamentos de arquivos do Azure. Consulte Considerações de rede dos Arquivos do Azure para obter mais informações.

Disponibilidade regional

A autenticação de Arquivos do Azure com AD DS está disponível em todas as regiões Público do Azure, China e Gov.

Descrição geral

Se você planeja habilitar quaisquer configurações de rede em seu compartilhamento de arquivos, recomendamos que leia o artigo de considerações de rede e conclua a configuração relacionada antes de habilitar a autenticação do AD DS.

Habilitar a autenticação do AD DS para seus compartilhamentos de arquivos do Azure permite que você se autentique em seus compartilhamentos de arquivos do Azure com suas credenciais do AD DS local. Além disso, ele permite que você gerencie melhor suas permissões para permitir um controle de acesso granular. Para fazer isso, é necessário sincronizar identidades do AD DS local para a ID do Microsoft Entra usando o aplicativo Microsoft Entra Connect Sync local ou a sincronização na nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado a partir do Centro de Administração do Microsoft Entra. Você atribui permissões de nível de compartilhamento a identidades híbridas sincronizadas com o ID do Microsoft Entra ao gerenciar o acesso no nível de arquivo/diretório usando ACLs do Windows.

Siga estas etapas para configurar os Arquivos do Azure para autenticação do AD DS:

  1. Habilitar a autenticação do AD DS em sua conta de armazenamento

  2. Atribuir permissões de nível de compartilhamento à identidade do Microsoft Entra (um usuário, grupo ou entidade de serviço) que está sincronizada com a identidade do AD de destino

  3. Configurar ACLs do Windows sobre SMB para diretórios e arquivos

  4. Monte um compartilhamento de arquivos do Azure em uma VM associada ao seu AD DS

  5. Atualizar a palavra-passe da identidade da sua conta de armazenamento no AD DS

O diagrama a seguir ilustra o fluxo de trabalho de ponta a ponta para habilitar a autenticação do AD DS no SMB para compartilhamentos de arquivos do Azure.

Diagrama mostrando a autenticação do AD DS no SMB para fluxo de trabalho dos Arquivos do Azure.

As identidades usadas para acessar compartilhamentos de arquivos do Azure devem ser sincronizadas com a ID do Microsoft Entra para impor permissões de arquivo no nível de compartilhamento por meio do modelo de controle de acesso baseado em função do Azure (Azure RBAC). Como alternativa, você pode usar uma permissão padrão de nível de compartilhamento. DACLs no estilo do Windows em arquivos/diretórios transferidos de servidores de arquivos existentes serão preservadas e aplicadas. Isso oferece integração perfeita com seu ambiente AD DS corporativo. À medida que você substitui servidores de arquivos locais por compartilhamentos de arquivos do Azure, os usuários existentes podem acessar compartilhamentos de arquivos do Azure de seus clientes atuais com uma experiência de logon único, sem qualquer alteração nas credenciais em uso.

Próximos passos

Para começar, você deve habilitar a autenticação do AD DS para sua conta de armazenamento.