Доступ к томам S МБ из виртуальных машин Windows, присоединенных к Microsoft Entra

  • Статья

Идентификатор Microsoft Entra можно использовать с модулем управления гибридной проверкой подлинности для проверки подлинности учетных данных в гибридном облаке. Это решение позволяет Идентификатору Microsoft Entra стать доверенным источником для облачной и локальной проверки подлинности, обходя необходимость подключения клиентов к Azure NetApp Files для присоединения к локальному домену AD.

Примечание.

Использование идентификатора Microsoft Entra для проверки подлинности удостоверений гибридных пользователей позволяет пользователям Microsoft Entra получать доступ к общим папкам Azure NetApp Files S МБ. Это означает, что конечные пользователи могут получить доступ к общим папкам Azure NetApp Files S МБ без необходимости получать доступ к контроллерам домена из гибридного соединения Microsoft Entra и виртуальных машин, присоединенных к Microsoft Entra. В настоящее время не поддерживаются только облачные удостоверения. Дополнительные сведения см. в руководстве по проектированию и планированию сайтов служб домен Active Directory.

Diagram of SMB volume joined to Microsoft Entra ID.

Требования и рекомендации

  • Тома NFS Azure NetApp Files и тома NFS (NFSv4.1 и S МБ) не поддерживаются.

  • Поддерживаются тома NFSv3 и S МБ тома с двумя протоколами с стилем безопасности NTFS.

  • Необходимо установить и настроить Microsoft Entra Подключение для синхронизации пользователей AD DS с идентификатором Microsoft Entra. Дополнительные сведения см. в статье "Начало работы с Microsoft Entra Подключение с помощью экспресс-параметров".

    Убедитесь, что гибридные удостоверения синхронизируются с пользователями Microsoft Entra. В портал Azure в разделе идентификатора Microsoft Entra перейдите к разделу "Пользователи". Вы должны увидеть, что учетные записи пользователей из AD DS перечислены, а свойство в локальной синхронизации с поддержкой "да".

    Примечание.

    После начальной настройки Microsoft Entra Подключение при добавлении нового пользователя AD DS необходимо выполнить Start-ADSyncSyncCycle команду в PowerShell Администратор istrator, чтобы синхронизировать нового пользователя с идентификатором Microsoft Entra или ждать запланированной синхронизации.

  • Необходимо создать том S МБ для Azure NetApp Files.

  • У вас должна быть виртуальная машина Windows с включенным именем входа Microsoft Entra. Дополнительные сведения см. в статье "Вход на виртуальную машину Windows в Azure" с помощью идентификатора Microsoft Entra. Не забудьте настроить назначения ролей для виртуальной машины , чтобы определить, какие учетные записи могут войти в виртуальную машину.

  • DNS необходимо правильно настроить, чтобы клиентская виртуальная машина может получить доступ к томам Azure NetApp Files с помощью полного доменного имени (FQDN).

Шаги

Процесс конфигурации выполняется через пять процессов:

  • Добавление имени субъекта-службы CIFS в учетную запись компьютера
  • Регистрация нового приложения Microsoft Entra
  • Синхронизация пароля CIFS из AD DS с регистрацией приложения Microsoft Entra
  • Настройка виртуальной машины, присоединенной к Microsoft Entra, для использования проверки подлинности Kerberos
  • Подключение томов Azure NetApp Files S МБ

Добавление имени субъекта-службы CIFS в учетную запись компьютера

  1. На контроллере домена AD DS откройте Пользователи и компьютеры Active Directory.
  2. В меню "Вид" выберите "Дополнительные функции".
  3. В разделе "Компьютеры" щелкните правой кнопкой мыши учетную запись компьютера, созданную в томе Azure NetApp Files, а затем выберите "Свойства".
  4. В разделе "Редактор атрибутов" найдите servicePrincipalName. В редакторе строк с несколькими значениями добавьте значение имени субъекта-службы CIFS с помощью формата CIFS/FQDN.

Screenshot of multi-value string editor window.

Регистрация нового приложения Microsoft Entra

  1. В портал Azure перейдите к идентификатору Microsoft Entra. Выберите Регистрация приложений.
  2. Выберите + Создать регистрацию.
  3. Назначьте имя. В разделе "Поддерживаемый тип учетной записи" выберите "Учетные записи" только в этом каталоге организации (только один клиент).
  4. Выберите Зарегистрировать.

Screenshot to register application.

  1. Настройте разрешения для приложения. В разделе "Регистрация приложений" выберите "Разрешения API" и "Добавить разрешение".

  2. Выберите Microsoft Graph , а затем делегированные разрешения. В разделе "Выбор разрешений" выберите openid и профиль в разделе "Разрешения OpenId".

    Screenshot to register API permissions.

  3. Выберите Добавить разрешение.

  4. В разделе "Разрешения API" выберите "Предоставить согласие администратора для...".

    Screenshot to grant API permissions.

  5. В разделе "Проверка подлинности" в разделе "Блокировка свойства экземпляра приложения" выберите "Настроить", а затем отключите флажок проверка box с меткой "Включить блокировку свойств".

    Screenshot of app registrations.

  6. В разделе "Обзор" запишите идентификатор приложения (клиента), который требуется позже.

Синхронизация пароля CIFS из AD DS с регистрацией приложения Microsoft Entra

  1. На контроллере домена AD DS откройте PowerShell.

  2. Установите модуль управления гибридной проверкой подлинности для синхронизации паролей.

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. Определите следующие переменные.

    • $servicePrincipalName: сведения о spN при подключении тома Azure NetApp Files. Используйте формат CIFS/FQDN. Например: CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID: идентификатор приложения (клиента) приложения Microsoft Entra.
    • $domainCred: использование Get-Credential (должно быть администратором домена AD DS)
    • $cloudCred: использование Get-Credential (должно быть глобальным Администратор istrator Microsoft Entra)
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    Примечание.

    Команда Get-Credential инициирует всплывающее окно, в котором можно ввести учетные данные.

  4. Импортируйте сведения CIFS в идентификатор Microsoft Entra:

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

Настройка виртуальной машины, присоединенной к Microsoft Entra, для использования проверки подлинности Kerberos

  1. Войдите на виртуальную машину, присоединенную к Microsoft Entra, с помощью гибридных учетных данных с правами администратора (например: user@mydirectory.onmicrosoft.com).

  2. Настройте виртуальную машину:

    1. Перейдите к разделу "Изменить конфигурацию> компьютера групповой политики>Администратор истративные шаблоны>System>Kerberos.
    2. Включите разрешение получения билета на предоставление билета Microsoft Entra Kerberos во время входа.
    3. Включите сопоставления областей "Определение имени узла с Kerberos". Выберите " Показать ", а затем укажите имя значения и значение , используя имя домена, предшествовающее периоду. Например:
      • Имя значения: KERBEROS.MICROSOFTONLINE.COM
      • Значение: .contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

Подключение томов Azure NetApp Files S МБ

  1. Войдите на виртуальную машину, присоединенную к Microsoft Entra, с помощью учетной записи гибридного удостоверения, синхронизированной с AD DS.

  2. Подключите том Azure NetApp Files S МБ с помощью сведений, предоставленных в портал Azure. Дополнительные сведения см. в разделе "Подключение S МБ томов для виртуальных машин Windows".

  3. Убедитесь, что подключенный том использует проверку подлинности Kerberos, а не проверку подлинности NTLM. Откройте командную строку, выполните klist команду; просмотрите выходные данные в облачной TGT (krbtgt) и сведения о запросе сервера CIFS.

    Screenshot of CLI output.

Дополнительные сведения