Ativar a autenticação Microsoft Entra Kerberos para identidades híbridas e somente na nuvem (versão de avaliação) nos Azure Files

Aplica-se a: ✔️ partilhas de ficheiros SMB

Este artigo explica como ativar e configurar o Microsoft Entra ID (anteriormente Azure AD) para autenticar identidades híbridas ou apenas na cloud (pré-visualização).

• As identidades híbridas são identidades Active Directory Domain Services on-premises (AD DS) que são sincronizadas com Microsoft Entra ID usando Microsoft Entra Connect Sync ou Microsoft Entra Cloud Sync.

• As identidades exclusivas da cloud são criadas e geridas apenas no Microsoft Entra ID.

Quando ativa a autenticação Microsoft Entra Kerberos, os utilizadores podem aceder a partilhas de ficheiros do Azure utilizando a autenticação Kerberos. O Microsoft Entra ID emite os bilhetes Kerberos necessários para aceder à partilha de ficheiros utilizando o protocolo SMB. Para utilizadores exclusivamente na cloud, este método de autenticação implica que as partilhas de ficheiros do Azure já não necessitam de controlador de domínio para autenticação ou autorização (versão preliminar). No entanto, para identidades híbridas, configurar listas de controlo de acesso Windows (ACLs) e permissões ao nível de diretórios e ficheiros para um utilizador ou grupo requer conectividade de rede livre ao controlador de domínio local.

Para mais informações, consulte Visão geral das opções de autenticação baseadas em identidade Azure Files para acesso SMB e this deep dive.

Importante

Só pode ativar uma fonte de identidade na sua conta de armazenamento para autenticação baseada em identidade com o Azure Files. Se a autenticação Kerberos do Microsoft Entra não se adequar aos seus requisitos, poderá usar on-premises Active Directory Domain Service (AD DS) ou Microsoft Entra Domain Services em vez disso. As etapas de configuração e os cenários suportados são diferentes para cada método.

Pré-requisitos

Antes de ativar a autenticação Microsoft Entra Kerberos sobre SMB para partilhas de ficheiros Azure, certifique-se de que cumpre os seguintes pré-requisitos.

Pré-requisitos mínimos

Precisa dos seguintes pré-requisitos mínimos. Sem estes pré-requisitos, não pode autenticar-se usando o Microsoft Entra ID.

• A sua conta de armazenamento Azure não consegue autenticar-se tanto com o Entra ID como com um segundo método como AD DS ou Microsoft Entra Domain Services. Se já escolheu outra fonte de identidade para a sua conta de armazenamento, deve desativá-la antes de ativar o Microsoft Entra Kerberos.

• Se quiseres autenticar identidades híbridas, também precisas do AD DS e do Microsoft Entra Connect Sync ou Microsoft Entra Cloud Sync. Deve criar estas contas no Active Directory e sincronizá-las com o Entra ID. Para atribuir permissões Azure Role-Based Access Control (RBAC) para a partilha de ficheiros Azure a um grupo de utilizadores, deve criar o grupo no Active Directory e sincronizá-lo com o Entra ID. Este requisito não se aplica a identidades apenas na cloud.

• O WinHTTP Web Proxy Auto-Discovery Service (WinHttpAutoProxySvc) é necessário, e deve estar em estado de execução. Por razões de segurança, pode opcionalmente desativar a Descoberta Automática de Proxies Web (WPAD) através das chaves do registo. No entanto, não deve desativar o serviço WinHttpAutoProxySvc inteiro, pois ele é responsável por várias outras funcionalidades, incluindo solicitações de Proxy do Centro de Distribuição de Chaves Kerberos (KDC Proxy).

• O serviço IP Helper (iphlpsvc) é obrigatório e deve estar em estado de execução.

• Deve desativar a autenticação multifator (MFA) na aplicação Entra que representa a conta de armazenamento. Para obter instruções, consulte Desativar a autenticação multifator na conta de armazenamento.

• Esta funcionalidade atualmente não suporta acesso entre inquilinos para utilizadores B2B ou convidados. Utilizadores de um tenant Entra diferente do configurado não poderão aceder à partilha de ficheiros.

• Com o Microsoft Entra Kerberos, a encriptação dos bilhetes do Kerberos é sempre AES-256. Mas você pode definir a criptografia de canal SMB que melhor atende às suas necessidades.

• O suporte do Azure Files SMB para identidades externas está atualmente limitado a cenários FSLogix a correr no Azure Virtual Desktop. Este suporte aplica-se a utilizadores externos convidados para um tenant Microsoft Entra ID na cloud pública, com exceção de utilizadores cross-cloud (aqueles convidados para o tenant pelo Azure Government ou Azure operado pela 21Vianet). Cenários de cloud governamentais não são suportados. Cenários que não envolvem o Azure Virtual Desktop não são suportados para utilizadores convidados de empresa para empresa ou de outros locatários do Entra.

Importante

O suporte a identidades exclusivas da cloud (pré-visualização) só está disponível utilizando uma permissão padrão de nível de partilha.

Pré-requisitos do sistema operacional e do domínio

O fluxo padrão de autenticação Microsoft Entra Kerberos descrito neste artigo exige os seguintes pré-requisitos. Se algumas ou todas as suas máquinas clientes não cumprirem estes pré-requisitos, pode ainda ativar a autenticação Microsoft Entra Kerberos para partilhas de ficheiros SMB, mas precisa de configurar um cloud trust para permitir que estes clientes acedam a partilhas de ficheiros.

Para usar a autenticação Entra Kerberos para identidades apenas na cloud (pré-visualização), utilize um dos seguintes sistemas operativos:

• Windows 11 Enterprise/Pro em sessão única ou múltipla.
• Windows Server 2025 com as atualizações cumulativas mais recentes instaladas.

Para usar a autenticação Entra Kerberos para identidades híbridas, utilize um dos seguintes sistemas operativos:

• Windows 11 Enterprise/Pro em sessão única ou múltipla.
• Windows 10 Enterprise/Pro single ou multi-session, versões 2004 ou posteriores com as atualizações cumulativas mais recentes instaladas, especialmente a Pré-visualização da Atualização Cumulativa KB5007253 2021-11 para Windows 10.
• Windows Server 2025 com as atualizações cumulativas mais recentes instaladas.
• Windows Server 2022 com as atualizações cumulativas mais recentes instaladas, especialmente o KB5007254 - 2021-11 Cumulative Update Preview para o sistema operativo Microsoft Server versão 21H2.

Para informações sobre como criar e configurar uma VM Windows e iniciar sessão usando autenticação baseada em Entra ID, consulte Iniciar sessão numa Windows máquina virtual em Azure usando Microsoft Entra ID e Azure Role Based Access Control.

Os clientes devem ser aderidos ao Microsoft Entra ou Microsoft Entra híbridos aderidos. Não podem ser ligados ao Microsoft Entra Domain Services nem apenas ao AD.

Disponibilidade regional

O suporte para identidades híbridas está disponível no Azure Público, Azure Governo dos EUA e Azure China 21Vianet clouds.

O suporte para identidades exclusivamente na cloud (pré-visualização) está disponível apenas nas clouds públicas Azure e limita-se ao uso de uma permissão predefinida a nível de partilha para todas as identidades autenticadas.

Ativar a autenticação Kerberos do Microsoft Entra

Pode ativar a autenticação Microsoft Entra Kerberos no Azure Files usando o portal Azure, PowerShell ou Azure CLI.

Portal

Para ativar a autenticação Microsoft Entra Kerberos utilizando o portal Azure, siga estes passos.

1. Inicie sessão no portal Azure e selecione a conta de armazenamento para a qual quer ativar a autenticação Microsoft Entra Kerberos.

2. Em Armazenamento de dados, selecione Compartilhamentos de arquivos.

3. Ao lado de Acesso baseado em Identidade, selecione o estado de configuração, como Não configurado.

   

4. Em Microsoft Entra Kerberos, selecione Configurar.

5. Seleciona a caixa de seleção Microsoft Entra Kerberos.

   

6. Opcional: Se estiver a autenticar identidades híbridas e quiser configurar permissões ao nível de diretórios e ficheiros através Windows File Explorer, especifique o nome de domínio e o GUID de domínio para o seu AD local. Pode obter esta informação através do administrador do seu domínio ou executando o seguinte cmdlet PowerShell Active Directory a partir de um cliente AD-joined on-premiss: Get-ADDomain. O nome do seu domínio aparece na saída sob DNSRoot e o GUID do seu domínio aparece em ObjectGUID. Se preferires configurar permissões de diretório e de ficheiro usando icacls, podes saltar este passo. No entanto, se quiser usar icacls, o cliente precisa de conectividade de rede desimpedida ao AD local. Configuração de permissões a nível de diretórios e ficheiros utilizando o Explorador de Ficheiros do Windows não é atualmente suportada para identidades apenas na nuvem (pré-visualização).

7. Selecione Guardar.

Azure PowerShell

Para ativar o Microsoft Entra Kerberos usando o Azure PowerShell, execute o seguinte comando. Substitua valores provisórios, incluindo parênteses, pelos seus valores.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true

Opcional: Se estiver a autenticar identidades híbridas e quiser configurar permissões ao nível de diretórios e ficheiros através do File Explorer, também precisa de especificar o nome de domínio e o GUID de domínio para o seu AD local. Se preferires configurar permissões de diretório e de ficheiro usando icacls, podes saltar este passo. No entanto, se quiser usar icacls, o cliente precisa de conectividade de rede desimpedida ao AD local. Configurar permissões ao nível de diretórios e ficheiros usando o Explorador de Ficheiros não é atualmente suportado para identidades apenas na cloud (pré-visualização).

Pode obter esta informação através do administrador do seu domínio ou ao executar os seguintes cmdlets PowerShell do Active Directory a partir de um cliente integrado no AD e localizado no local:

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

Para especificar o nome de domínio e o GUID do domínio do seu AD local, execute o seguinte comando Azure PowerShell. Substitua valores provisórios, incluindo parênteses, pelos seus valores.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true -ActiveDirectoryDomainName $domainName -ActiveDirectoryDomainGuid $domainGuid

Azure CLI

Para ativar o Microsoft Entra Kerberos usando o Azure CLI, execute o seguinte comando. Substitua valores provisórios, incluindo parênteses, pelos seus valores.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb true

Opcional: Se estiver a autenticar identidades híbridas e quiser configurar permissões ao nível de diretórios e ficheiros através do File Explorer, também precisa de especificar o nome de domínio e o GUID de domínio para o seu AD local. Se preferires configurar permissões de diretório e de ficheiro usando icacls, podes saltar este passo. No entanto, se quiser usar icacls, o cliente precisa de conectividade de rede desimpedida ao AD local. Configurar permissões ao nível de diretórios e ficheiros usando o Explorador de Ficheiros não é atualmente suportado para identidades apenas na cloud (pré-visualização).

Pode obter esta informação através do administrador do seu domínio ou ao executar os seguintes cmdlets PowerShell do Active Directory a partir de um cliente integrado no AD e localizado no local:

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

Para especificar o nome de domínio e o GUID de domínio para o seu on-premises Active Directory, execute o seguinte comando. Substitua valores provisórios, incluindo parênteses, pelos seus valores.

az storage account update --name <storageAccountName> --resource-group <resourceGroupName> --enable-files-aadkerb true --domain-name <domainName> --domain-guid <domainGuid>

Aviso

Se anteriormente ativou a autenticação Microsoft Entra Kerberos através de passos manuais limitados de pré-visualização para armazenar perfis FSLogix no Azure Files para VMs unidas ao Entra, a palavra-passe do principal de serviço da conta de armazenamento expira a cada seis meses. Quando a palavra-passe expira, os utilizadores não conseguem obter tickets do Kerberos para a partilha de ficheiros. Para mitigar isso, consulte Erro - A senha do principal de serviço expirou no Microsoft Entra ID.

Conceder o consentimento de administrador ao novo principal de serviço

Após ativar a autenticação Microsoft Entra Kerberos, conceda consentimento de administrador à nova aplicação Entra registada no seu tenant Entra. Este principal de serviço é gerado automaticamente e não é usado para autorização ao partilha de ficheiros, por isso não faça quaisquer alterações ao principal de serviço para além das documentadas aqui. Se o fizer, poderá receber um erro.

Pode configurar as permissões da API a partir do portal Azure seguindo estes passos:

1. Abrir Microsoft Entra ID.
2. No menu de serviço, em Gerir, selecione App registrations.
3. Selecione Todos os aplicativos.
4. Selecione a aplicação com o nome correspondente a [Conta de Armazenamento] <your-storage-account-name>.file.core.windows.net.
5. No menu de serviço, em Gerenciar, selecione Permissões de API.
6. Selecione Conceder consentimento de administrador para [Nome do diretório] para conceder consentimento para as três permissões de API solicitadas (openid, profile e User.Read) para todas as contas no diretório.
7. Selecione Sim para confirmar.

Se estiver a ligar-se a uma conta de armazenamento através de um endpoint privado ou link privado utilizando a autenticação Microsoft Entra Kerberos, adicione o FQDN do link privado à aplicação Microsoft Entra da conta de armazenamento. Para instruções, consulte o guia de resolução de problemas.

Ativar o suporte de grupos apenas na cloud (obrigatório para identidades apenas na cloud)

Os tickets Kerberos podem incluir um máximo de 1.010 Identificadores de Segurança (SIDs) para grupos. Agora que o Microsoft Entra Kerberos suporta identidades apenas do Entra (versão de avaliação), os tickets devem incluir tanto SIDs de grupo locais como SIDs de grupo na nuvem. Se os SIDs de grupo combinados excederem 1.010, o ticket Kerberos não pode ser emitido.

Se estiver a usar o Microsoft Entra Kerberos para autenticar identidades apenas na cloud, atualize as etiquetas no ficheiro de manifesto da sua aplicação, caso contrário, a autenticação falhará.

Siga estas instruções para atualizar a etiqueta no manifesto da sua candidatura.

Desativar a autenticação multifator na conta de armazenamento

O Microsoft Entra Kerberos não suporta a utilização de MFA para aceder a partilhas de ficheiros do Azure configuradas com o Microsoft Entra Kerberos. Deve excluir a aplicação Microsoft Entra que representa a sua conta de armazenamento das suas políticas de acesso condicional MFA se estas se aplicarem a todas as aplicações.

O aplicativo de conta de armazenamento deve ter o mesmo nome que a conta de armazenamento na lista de exclusão de acesso condicional. Ao procurar o aplicativo de conta de armazenamento na lista de exclusão de acesso condicional, pesquise: [Conta de armazenamento] <your-storage-account-name>.file.core.windows.net

Substitua <your-storage-account-name> pelo valor correto.

Importante

Se não excluires as políticas de MFA da aplicação da conta de armazenamento, não podes aceder à partilha de ficheiros. Tentar mapear a partilha de ficheiros usando net use resulta numa mensagem de erro que diz "Erro do sistema 1327: Restrições da conta estão a impedir este utilizador de iniciar sessão. Por exemplo: senhas em branco não são permitidas, os tempos de entrada são limitados ou uma restrição de política foi imposta."

Para orientações sobre como desativar a MFA, consulte os seguintes artigos:

• Adicionar exclusões para as identidades de serviço dos recursos do Azure
• Criar uma política de acesso condicional

Atribuir permissões ao nível da partilha

Ao habilitar o acesso baseado em identidade, para cada compartilhamento você deve atribuir quais usuários e grupos têm acesso a esse compartilhamento específico. Uma vez que um utilizador ou grupo tem acesso a uma partilha, as ACLs do Windows (também chamadas permissões NTFS) em ficheiros e diretórios individuais assumem o controlo. Este sistema de permissões permite um controlo detalhado sobre as permissões, semelhante a uma partilha SMB num Windows Server.

Para definir permissões de nível de compartilhamento, siga as instruções em Atribuir permissões de nível de compartilhamento a uma identidade. As identidades apenas na nuvem só podem ser atribuídas a uma permissão predefinida de nível de partilha que se aplica a todas as identidades autenticadas.

Configurar permissões de diretório e nível de arquivo

Uma vez que as permissões a nível de partilha estejam em vigor, pode atribuir ACLs do Windows (permissões ao nível de diretório e ficheiro) ao utilizador ou grupo. Para identidades híbridas, esta atribuição requer o uso de um dispositivo com conectividade de rede sem impedimentos a um Active Directory.

Para configurar permissões de diretório e nível de arquivo, siga as instruções em Configurar permissões de diretório e nível de arquivo sobre SMB.

Configurar os clientes para recuperar bilhetes Kerberos

Ativa a funcionalidade Entra Kerberos nas máquinas clientes que queres usar para montar partilhas Azure Files. Deve ativar esta funcionalidade em todos os clientes que utilizam o Azure Files.

Use um dos três métodos a seguir:

Intune

Configure este CSP de Política do Intune e aplique-o ao(s) cliente(s): Kerberos/CloudKerberosTicketRetrievalEnabled, definido como 1

Nota

Ao configurar o CloudKerberosTicketRetrievalEnabled através do Intune, utilize o Catálogo de Definições em vez do método OMA-URI. O método OMA-URI não funciona em dispositivos Azure Virtual Desktop multisessão. Azure Virtual Desktop multisession é um cenário comum de implementação para Entra Kerberos com identidades híbridas, incluindo configurações envolvendo Entra ID Join, FSLogix e Azure Files.

Política de Grupo

Configure esta política de grupo nos clientes para "Ativada": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

Em versões mais antigas do Windows, esta definição aparece como: Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon

Esta configuração permite que o cliente recupere um Ticket Granting Ticket (TGT) Kerberos baseado na nuvem durante o logon do utilizador.

Chave de registo

Defina o seguinte valor de registo nos clientes executando este comando a partir de um prompt de comandos elevado:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Importante

Depois de aplicar esta alteração, os clientes não conseguem ligar-se a contas de armazenamento configuradas para integração on-premises com AD DS sem configurar mapeamentos de reino Kerberos. Se quiser que os clientes se liguem tanto a contas de armazenamento configuradas para AD DS como a contas de armazenamento configuradas para Microsoft Entra Kerberos, siga os passos em Configure coexistência com contas de armazenamento usando AD DS no local.

Configurar a coexistência com contas de armazenamento usando o AD DS local

Para permitir que as máquinas clientes se liguem a contas de armazenamento configuradas para AD DS, bem como a contas de armazenamento configuradas para Microsoft Entra Kerberos, siga estes passos. Se estiveres a usar apenas o Microsoft Entra Kerberos, salta esta secção.

Adicione uma entrada para cada conta de armazenamento que usa a integração do AD DS local. Use um dos três métodos seguintes para configurar mapeamentos de domínios Kerberos. As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Intune

Configure este CSP de Políticas Intune e aplique-o aos clientes: Kerberos/HostToRealm

Política de Grupo

Configure esta Política de Grupo nos clientes: Administrative Templates\System\Kerberos\Define host name-to-Kerberos realm mappings

• Defina a política para Enabled.
• Selecione o botão Show... para definir a lista de mapeamentos do nome do host para o domínio. Para cada conta de armazenamento configurada para AD DS, adicione uma entrada onde:
  • Value é o nome de host da conta de armazenamento AD DS, como <your storage account name>.file.core.windows.net
  • Value name é o nome do território do AD DS

Chave de registo

Execute o seguinte comando ksetup Windows nos clientes:

ksetup /addhosttorealmmap <hostname> <REALMNAME>

Por exemplo, se o seu território for CONTOSO.LOCAL, execute ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

Importante

Em Kerberos, os nomes dos reinos são sensíveis a maiúsculas e devem estar em maiúsculas. O nome do teu reino Kerberos é geralmente o mesmo que o teu nome de domínio, em letras maiúsculas.

Desfazer a configuração do cliente de forma a recuperar tíquetes Kerberos

Se já não quiser usar uma máquina cliente para autenticação Microsoft Entra Kerberos, pode desativar a funcionalidade Microsoft Entra Kerberos nessa máquina. Use um dos três métodos a seguir, dependendo de como você habilitou a funcionalidade:

Intune

Configure este CSP de Política Intune e aplique-o aos clientes: Kerberos/CloudKerberosTicketRetrievalEnabled, definido para 0

Política de Grupo

Defina esta Política de Grupo nos clientes para Desativado: Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

Chave de registo

Defina o seguinte valor de registo nos clientes executando este comando a partir de um prompt de comandos elevado:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0

As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Se seguiu todas as etapas em Configurar coexistência com contas de armazenamento usando AD DS no local, pode, opcionalmente, remover todos os mapeamentos de nomes de host para realms Kerberos da máquina cliente. Use um dos três métodos a seguir:

Intune

Configure este CSP de Políticas Intune e aplique-o aos clientes: Kerberos/HostToRealm

Política de Grupo

Configure esta Política de Grupo nos clientes: Administrative Templates\System\Kerberos\Define host name-to-Kerberos realm mappings

Chave de registo

Execute o seguinte comando ksetup Windows nos clientes:

ksetup /delhosttorealmmap <hostname> <realmname>

Por exemplo, se o teu reino for CONTOSO.LOCAL, executa ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL.

Você pode exibir a lista de nomes de anfitrião atuais para mapeamentos de domínio Kerberos inspecionando a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm do registro.

As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Importante

Depois de aplicar esta alteração, os clientes não conseguem ligar-se a contas de armazenamento configuradas para autenticação Microsoft Entra Kerberos. No entanto, podem ligar-se a contas de armazenamento configuradas para AD DS, sem qualquer configuração adicional.

Desative a autenticação Microsoft Entra na sua conta de armazenamento

Se quiser usar outro método de autenticação, pode desativar a autenticação Microsoft Entra na sua conta de armazenamento usando o portal Azure, Azure PowerShell ou Azure CLI.

Nota

Se desativares esta funcionalidade, não haverá acesso baseado em identidade para partilhas de ficheiros na tua conta de armazenamento até ativares e configurares uma das outras fontes de identidade.

Portal

Para desativar a autenticação Microsoft Entra Kerberos na sua conta de armazenamento utilizando o portal Azure, siga estes passos.

1. Inicia sessão no portal do Azure e seleciona a conta de armazenamento para a qual queres desativar a autenticação Microsoft Entra Kerberos.
2. Em Armazenamento de dados, selecione Compartilhamentos de arquivos.
3. Ao lado de Acesso baseado em identidade, selecione o status da configuração.
4. Em Microsoft Entra Kerberos, selecione Configure.
5. Desmarque a caixa de seleção Microsoft Entra Kerberos.
6. Selecione Guardar.

Azure PowerShell

Para desativar a autenticação Microsoft Entra Kerberos na sua conta de armazenamento usando o Azure PowerShell, execute o seguinte comando. Lembre-se de substituir os valores indicativos, incluindo colchetes, pelos seus próprios valores.

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $false

Azure CLI

Para desativar a autenticação Microsoft Entra Kerberos na sua conta de armazenamento usando o Azure CLI, execute o seguinte comando. Lembre-se de substituir os valores indicativos, incluindo colchetes, pelos seus próprios valores.

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb false

Depuração

Se necessário, execute o cmdlet Debug-AzStorageAccountAuth para realizar um conjunto de verificações básicas na sua configuração de Microsoft Entra ID com o utilizador do ID Entra logado. As verificações Entra que fazem parte deste cmdlet são suportadas no módulo PowerShell do AzFilesHybrid a partir da versão 0.3.0+. Este cmdlet funciona para autenticação Microsoft Entra Kerberos e AD DS, mas não funciona para contas de armazenamento habilitadas com Microsoft Entra Domain Services. Para mais informações sobre as verificações realizadas neste cmdlet, veja Não é possível montar Azure partilhas de ficheiros com Microsoft Entra Kerberos.

Próximos passos

• Monte uma partilha de ficheiros SMB Azure
• Possíveis erros ao ativar a autenticação Kerberos do Microsoft Entra
• Armazena contentores de perfil FSLogix em Azure Files usando Microsoft Entra ID