Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: ✔️ partilhas de ficheiros SMB Azure
O Ficheiros do Azure suporta autenticação baseada em identidade para partilhas de ficheiros do Windows através do Server Message Block (SMB), utilizando o protocolo de autenticação Kerberos através dos seguintes métodos:
- Serviços de Domínio Active Directory no local (AD DS)
- Microsoft Entra Domain Services
- Microsoft Entra Kerberos para identidades híbridas e exclusivamente na cloud (pré-visualização)
Este artigo foca-se na ativação de Microsoft Entra Domain Services (anteriormente Azure Active Directory Domain Services) para autenticação baseada em identidade com partilhas de ficheiros do Azure. Neste cenário de autenticação, as credenciais Microsoft Entra e Microsoft Entra Domain Services são as mesmas, podendo usá-las de forma intercambiável.
Revise os cenários de autenticação suportados para selecionar a fonte de identidade correta para a sua conta de armazenamento. A configuração varia dependendo da fonte de identidade que escolheres.
Caso seja novo no Ficheiros do Azure, leia o guia de planeamento antes de ler este artigo.
Nota
O Ficheiros do Azure suporta autenticação Kerberos com Microsoft Entra Domain Services com encriptação AES-256 (recomendado).
Ficheiros do Azure suporta autenticação para Microsoft Entra Domain Services com sincronização total ou limitada com o Microsoft Entra ID. Para ambientes com a sincronização alvo, o Ficheiros do Azure apenas honra as atribuições de funções Azure RBAC concedidas a principais que estão sincronizados. Atribuições de funções concedidas a identidades não sincronizadas do Microsoft Entra ID para o Microsoft Entra Domain Services são ignoradas pelo serviço Ficheiros do Azure.
Pré-requisitos
Antes de ativar o Microsoft Entra Domain Services sobre SMB para partilhas de ficheiros Azure, cumpra os seguintes pré-requisitos:
Selecione ou crie um inquilino Microsoft Entra.
Você pode usar um locatário novo ou existente. O inquilino e a partilha de ficheiros que deseja acessar devem estar associados à mesma assinatura.
Para criar um novo inquilino Microsoft Entra, veja Criar um novo inquilino em Microsoft Entra ID. Se tiver um inquilino Microsoft Entra existente mas quiser criar um novo inquilino para usar com Azure partilhas de ficheiros, veja Configurar um novo inquilino Microsoft Entra.
Ativar Serviços de Domínio Microsoft Entra no inquilino Microsoft Entra.
Para suportar a autenticação com credenciais Microsoft Entra, deve ativar os Microsoft Entra Domain Services para o seu locatário Microsoft Entra. Se não for o administrador do inquilino Microsoft Entra, contacte o administrador e siga as orientações passo a passo para Criar e configurar um domínio gerido Microsoft Entra Domain Services.
Normalmente, uma implementação do Microsoft Entra Domain Services demora cerca de 15 minutos a ser concluída. Verifique se o estado de saúde dos Serviços de Domínio Microsoft Entra mostra Em execução, com a sincronização de hash da palavra-passe ativada, antes de avançar para o próximo passo.
Adicionar uma máquina virtual ao domínio com Microsoft Entra Domain Services.
Para aceder a uma partilha de ficheiros Azure usando credenciais Entra de uma VM, a sua VM deve estar ligada ao domínio dos Serviços de Domínio Microsoft Entra. Para mais informações, veja Juntar uma máquina virtual Windows Server a um domínio gerido Microsoft Entra Serviços de Domínio. Microsoft Entra autenticação dos Serviços de Domínio sobre SMB com partilhas de ficheiros do Azure é suportada apenas em VMs Windows a executar versões do sistema operativo posteriores ao Windows 7 ou Windows Server 2008 R2, ou em VMs Linux a correr Ubuntu 18.04+ ou uma VM equivalente RHEL ou SLES.
Nota
VMs que não estão unidas a um domínio podem aceder às partilhas de ficheiros do Azure usando autenticação dos Serviços de Domínio Microsoft Entra apenas se a VM tiver conectividade de rede sem impedimentos aos controladores de domínio dos Serviços de Domínio Microsoft Entra. Normalmente, essa conectividade requer VPN site a site ou ponto a site.
Seleciona ou cria uma partilha de ficheiros SMB Azure.
Selecione uma partilha de ficheiros SMB Azure nova ou existente associada à mesma subscrição do seu inquilino Entra. Veja Criar uma partilha de ficheiros SMB Azure. Para um desempenho ótimo, a sua partilha de ficheiros deve estar na mesma região da VM a partir da qual planeia aceder à partilha.
Disponibilidade regional
Pode usar autenticação Ficheiros do Azure com Microsoft Entra Serviços de Domínio em todas as regiões Azure Pública, Governamental e China.
Visão geral do fluxo de trabalho
O diagrama seguinte mostra o fluxo de trabalho de ponta a ponta para ativar a autenticação do Microsoft Entra Domain Services via SMB para o Ficheiros do Azure.
Ative a autenticação dos Serviços de Domínio Microsoft Entra para a sua conta
Para ativar a autenticação Microsoft Entra Domain Services sobre SMB para Ficheiros do Azure, defina uma propriedade nas contas de armazenamento utilizando o portal Azure, Azure PowerShell ou CLI do Azure. Ao definir esta propriedade, implicitamente "junta domínio" a conta de armazenamento à implementação associada do Microsoft Entra Domain Services. Esta ação permite a autenticação dos Microsoft Entra Domain Services sobre SMB para todas as partilhas de ficheiros novas e existentes numa conta de armazenamento.
Só pode ativar a autenticação dos Serviços de Domínio Microsoft Entra sobre SMB depois de implementar com sucesso os Serviços de Domínio Microsoft Entra no seu tenant Microsoft Entra. Para mais informações, consulte os pré-requisitos.
- Portal
- PowerShell
- CLI do Azure
Para ativar a autenticação dos Serviços de Domínio Microsoft Entra sobre SMB utilizando o portal do Azure, siga estes passos:
No portal Azure, aceda à sua conta de armazenamento existente, ou criar uma conta de armazenamento.
Selecione Armazenamento de dados Partilhas de ficheiros.
Na seção Configurações de compartilhamento de arquivos, selecione Acesso baseado em identidade: não configurado.
Captura de ecrã do painel de partilhas de ficheiros na sua conta de armazenamento, o acesso baseado em identidade está realçado.
Em Microsoft Entra Serviços de Domínio, selecione Configurar e depois ative a funcionalidade selecionando a caixa de seleção.
Selecione Guardar.
Recomendado: Use a criptografia AES-256
Configure a sua conta de armazenamento para usar encriptação Kerberos AES-256 seguindo estas instruções.
Esta ação requer executar uma operação no domínio gerido pelos Microsoft Entra Domain Services para chegar a um controlador de domínio e solicitar uma alteração de propriedade no objeto de domínio. Os cmdlets na secção seguinte são cmdlets do Windows Server Active Directory PowerShell, e não cmdlets do Azure PowerShell. Por causa desta distinção, deve executar estes comandos PowerShell a partir de uma máquina cliente que está ligada ao domínio Microsoft Entra Domain Services.
Important
Os cmdlets PowerShell do Windows Server Active Directory nesta seção devem ser executados no Windows PowerShell 5.1 a partir de uma máquina cliente que esteja aderida ao domínio Microsoft Entra Domain Services. O PowerShell 7.x e o Azure Cloud Shell não funcionam neste cenário.
Inicie sessão na máquina cliente unida ao domínio como utilizador do Microsoft Entra Domain Services com as permissões necessárias. Você deve ter acesso de gravação ao atributo do objeto de domínio. Normalmente, os membros do grupo Administradores de DC do AAD têm as permissões necessárias. Abra uma sessão normal (não elevada) do PowerShell e execute os seguintes comandos.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= "<InsertStorageAccountNameHere>"
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Important
Se anteriormente usou encriptação RC4 e atualizou a conta de armazenamento para usar AES-256 (recomendado), execute no cliente e depois volte a montar a partilha de ficheiros para obter novos tickets Kerberos com AES-256.
Próximo passo
- Para conceder aos usuários acesso ao seu compartilhamento de arquivos, siga as instruções em Atribuir permissões de nível de compartilhamento.