Обзор: локальная проверка подлинности доменных служб Active Directory с помощью SMB для общих папок Azure

Файлы Azure поддерживает проверку подлинности на основе удостоверений для общих папок Windows через блок сообщений сервера (S МБ) с помощью протокола проверки подлинности Kerberos с помощью следующих методов:

• Локальные доменные службы Active Directory (AD DS)
• Доменные службы Microsoft Entra
• Microsoft Entra Kerberos для гибридных удостоверений пользователей

Настоятельно рекомендуется ознакомиться с разделом о принципах работы, чтобы выбрать подходящий источник домена приложения для проверки подлинности. Настройки различаются в зависимости от выбранной доменной службы. В этой статье рассматривается включение и настройка локальных доменных служб AD DS для проверки подлинности с помощью общих папок Azure.

Если вы не знакомы с Файлы Azure, рекомендуем ознакомиться с нашим руководством по планированию.

Применяется к

Тип общей папки	SMB	NFS
Стандартные общие папки (GPv2), LRS/ZRS
Стандартные общие папки (GPv2), GRS/GZRS
Общие папки уровня "Премиум" (FileStorage), LRS/ZRS

Поддерживаемые сценарии и ограничения

• Удостоверения AD DS, используемые для Файлы Azure локальной проверки подлинности AD DS, должны быть синхронизированы с идентификатором Microsoft Entra или использовать разрешение уровня общего доступа по умолчанию. Синхронизация хэша паролей не обязательна.
• Поддерживаются общие папки Azure, управляемые службой "Синхронизация файлов Azure".
• Поддерживается проверка подлинности Kerberos с помощью AD с шифрованием и AES 256 (рекомендуемый вариант) и RC4-HMAC. Шифрование Kerberos aES 128 еще не поддерживается.
• Поддерживается единый вход.
• Поддерживается только на клиентах Windows под управлением ОС версии Windows 8/Windows Server 2012 или более поздней версии или виртуальных машин Linux (Ubuntu 18.04+ или эквивалентной виртуальной машины RHEL или SLES) в Azure.
• Поддерживается только для леса AD, в котором зарегистрирована учетная запись хранения. Пользователи, принадлежащие разным доменам в одном лесу, должны иметь доступ к общей папке и базовым каталогам и файлам, если у них есть соответствующие разрешения.
• Вы можете получить доступ к общим папкам Azure только с помощью учетных данных AD DS из одного леса по умолчанию. Если вам нужен доступ к общей папке Azure из другого леса, необходимо настроить соответствующее доверие леса (подробнее см. в разделе «Вопросы и ответы»). Дополнительные сведения см. в разделе "Использование Файлы Azure с несколькими лесами Active Directory".
• Не поддерживает назначение разрешений на уровне общего ресурса учетным записям компьютеров (учетным записям компьютеров) с помощью Azure RBAC. Вы можете использовать разрешение уровня общего доступа по умолчанию, чтобы разрешить учетным записям компьютеров доступ к общей папке или вместо этого использовать учетную запись входа в службу.
• Не поддерживает проверку подлинности для общих папок сетевой файловой системы (NFS).

При включении AD DS для общих папок Azure по протоколу SMB компьютеры, присоединенные к AD DS, могут подключать общие папки Azure с помощью ваших существующих учетных данных AD DS. Эту возможность можно включить с помощью среды AD DS, размещенной на локальных компьютерах или размещенных на виртуальной машине в Azure.

Видео

Чтобы настроить проверку подлинности на основе удостоверений для некоторых распространенных вариантов использования, мы опубликовали два видео с пошаговыми рекомендациями по следующим сценариям. Обратите внимание, что Azure Active Directory теперь является идентификатором Microsoft Entra. Дополнительные сведения см. в статье "Новое имя" для Azure AD.

Замена локальных файловых серверов службой "Файлы Azure" (включая настройку приватного канала для файлов и аутентификации AD)	Использование службы "Файлы Azure" в качестве контейнера профилей для Виртуального рабочего стола Azure (включая настройку проверки подлинности AD и конфигурации FsLogix)

Необходимые компоненты

Прежде чем включать проверку подлинности AD DS для общих папок Azure, выполните следующие предварительные требования:

• Выберите или создайте среду AD DS и синхронизируйте ее с идентификатором Microsoft Entra с помощью локального приложения Microsoft Entra Подключение Sync или Microsoft Entra Подключение облачной синхронизации, упрощенного агента, который можно установить из Центра microsoft Entra Администратор.

  Этот компонент можно включить в новой или существующей локальной среде AD DS. Удостоверения, используемые для доступа, должны быть синхронизированы с идентификатором Microsoft Entra или использовать разрешение уровня общего доступа по умолчанию. Клиент Microsoft Entra и файловый ресурс, к которым вы обращаетесь, должны быть связаны с той же подпиской.

• Присоедините локальный компьютер или виртуальную машину Azure к домену локальных AD DS. Сведения о том, как выполнить присоединение к домену, см. в разделе Присоединение компьютера к домену.

  Если компьютер не присоединен к домену, вы по-прежнему можете использовать AD DS для проверки подлинности, если компьютер не подключен к локальному контроллеру домена AD, а пользователь предоставляет явные учетные данные. Дополнительные сведения см. в разделе "Подключение общей папки" из виртуальной машины, не присоединенной к домену, или виртуальной машины, присоединенной к другому домену AD.

• Выберите или создайте учетную запись хранения Azure. Для оптимальной производительности рекомендуется развернуть учетную запись хранения в том же регионе, что и клиент, с которого вы планируете получить доступ к общей папке. Затем подключите общую папку Azure с помощью ключа вашей учетной записи хранения. При подключении с помощью ключа учетной записи хранения подключение проверяется.

  Убедитесь, что учетная запись хранения, содержащая общие папки, еще не настроена для проверки подлинности на основе удостоверений. Если источник AD уже включен в учетной записи хранения, его необходимо отключить перед включением локальных ad DS.

  Если при подключении к службе "Файлы Azure" возникают проблемы, обратитесь к средству устранения неполадок, опубликованному для ошибок подключения к службе "Файлы Azure" в Windows.

• Выполните все необходимые настройки сети перед включением и настройкой проверки подлинности AD DS в общих папках Azure. Дополнительные сведения см. в разделе Рекомендации по работе с сетями в службе "Файлы Azure".

Доступность в регионах

Проверка подлинности Файлов Azure с помощью AD DS доступна во всех регионах Azure: общедоступном, китайском и для правительственных организаций.

Обзор

Если вы планируете включить какие-либо сетевые конфигурации в общей папке, рекомендуется прочитать статью о сетевых особенностях и выполнить соответствующую настройку перед включением проверки подлинности AD DS.

Включение проверки подлинности AD DS для общих папок Azure позволяет проходить проверку подлинности в общих папках Azure с вашими локальными учетными данными AD DS. Кроме того, это позволяет вам улучшить управление своими разрешениями, чтобы обеспечить детальный контроль доступа. Для этого требуется синхронизация удостоверений из локальной службы AD DS в идентификатор Microsoft Entra с помощью локального приложения Microsoft Entra Подключение Sync или Microsoft Entra Подключение облачной синхронизации, упрощенного агента, который можно установить из Центра Администратор Майкрософт. Вы назначаете разрешения на уровне общего ресурса гибридным удостоверениям, синхронизированным с идентификатором Microsoft Entra, при управлении доступом на уровне файлов и каталогов с помощью списков управления доступом windows.

Выполните следующие действия, чтобы настроить Файлы Azure для проверки подлинности AD DS:

1. Включение проверки подлинности AD DS в учетной записи хранения

2. Назначение разрешений на уровне общего ресурса удостоверению Microsoft Entra (пользователю, группе или субъекту-службе), которое синхронизировано с целевым удостоверением AD.

3. Настройка списков управления доступом Windows по протоколу S МБ для каталогов и файлов

4. Подключение общей папки Azure к виртуальной машине, присоединенной к AD DS

5. Обновление пароля учетной записи хранения в AD DS

На следующей схеме показан комплексный рабочий процесс для включения проверки подлинности AD DS по протоколу S МБ для общих папок Azure.

Удостоверения, используемые для доступа к общим папкам Azure, должны быть синхронизированы с идентификатором Microsoft Entra, чтобы применить разрешения файлов на уровне общего доступа с помощью модели управления доступом на основе ролей Azure (Azure RBAC). Кроме того, можно использовать разрешение на уровне общей папки по умолчанию. Списки DACL в стиле Windows для файлов и каталогов, перенесенные с существующих файловых серверов, будут сохранены и применены. Это обеспечивает беспроблемную интеграцию с вашей корпоративной средой AD DS. По мере замены локальных файловых серверов на общие папки Azure существующие пользователи могут получать доступ к общим папкам Azure со своих текущих клиентов с помощью единого входа без каких-либо изменений в используемых учетных данных.

Следующие шаги

Чтобы приступить к работе, необходимо включить проверку подлинности AD DS для учетной записи хранения.