Включение проверки подлинности Microsoft Entra Kerberos для гибридных удостоверений на Файлы Azure

Эта статья посвящена включению и настройке идентификатора Microsoft Entra (ранее Azure AD) для проверки подлинности удостоверений гибридных пользователей, которые являются локальными удостоверениями AD DS, синхронизированными с идентификатором Microsoft Entra. В настоящее время не поддерживаются только облачные удостоверения.

Эта конфигурация позволяет гибридным пользователям получать доступ к общим папкам Azure с помощью проверки подлинности Kerberos, используя идентификатор Microsoft Entra для выдачи необходимых билетов Kerberos для доступа к общей папке с протоколом S МБ. Это означает, что конечные пользователи могут получить доступ к общим папкам Azure через Интернет, не требуя неограниченного сетевого подключения к контроллерам домена из гибридных присоединений к Microsoft Entra и присоединенных клиентов Microsoft Entra. Однако настройка списков управления доступом Windows (ACL)/каталогов и разрешений на уровне файлов для пользователя или группы требует неуклюжих сетевых подключений к локальному контроллеру домена.

Дополнительные сведения о поддерживаемых параметрах и рекомендациях см. в разделе Файлы Azure "Обзор параметров проверки подлинности на основе удостоверений" для S МБ доступа. Дополнительные сведения см . в этом глубоком погружении.

Важно!

Для проверки подлинности на основе удостоверений можно использовать только один метод AD с Файлы Azure. Если проверка подлинности Microsoft Entra Kerberos для гибридных удостоверений не соответствует вашим требованиям, вы можете использовать вместо этого локальная служба Active Directory доменную службу (AD DS) или доменные службы Microsoft Entra. Шаги конфигурации и поддерживаемые сценарии отличаются для каждого метода.

Применяется к

Тип общей папки SMB NFS
Стандартные общие папки (GPv2), LRS/ZRS Yes No
Стандартные общие папки (GPv2), GRS/GZRS Yes No
Общие папки уровня "Премиум" (FileStorage), LRS/ZRS Yes No

Необходимые компоненты

Прежде чем включить проверку подлинности Microsoft Entra Kerberos по протоколу S МБ для общих папок Azure, убедитесь, что выполнены следующие предварительные требования.

Примечание.

Ваша учетная запись хранения Azure не может пройти проверку подлинности с помощью идентификатора Microsoft Entra и второго метода, например AD DS или доменных служб Microsoft Entra. Если вы уже выбрали другой метод AD для учетной записи хранения, перед включением Microsoft Entra Kerberos его необходимо отключить.

Функции Microsoft Entra Kerberos для гибридных удостоверений доступны только в следующих операционных системах:

Сведения о создании и настройке виртуальной машины Windows и входе с помощью проверки подлинности на основе идентификатора Microsoft Entra см. в статье "Вход в виртуальную машину Windows в Azure" с помощью идентификатора Microsoft Entra.

Клиенты должны быть присоединены к Microsoft Entra или гибридное присоединение к Microsoft Entra. Microsoft Entra Kerberos не поддерживается для клиентов, присоединенных к доменным службам Microsoft Entra или присоединенных только к AD.

Эта функция в настоящее время не поддерживает учетные записи пользователей, которые вы создаете и управляете исключительно в идентификаторе Microsoft Entra. Учетные записи пользователей должны быть гибридными удостоверениями пользователей, что означает, что вам также потребуется AD DS и Microsoft Entra Подключение или Microsoft Entra Подключение облачной синхронизации. Эти учетные записи необходимо создать в Active Directory и синхронизировать их с идентификатором Microsoft Entra. Чтобы назначить разрешения на основе ролей Azure контроль доступа (RBAC) для общей папки Azure группе пользователей, необходимо создать группу в Active Directory и синхронизировать ее с идентификатором Microsoft Entra.

Необходимо отключить многофакторную проверку подлинности (MFA) в приложении Microsoft Entra, представляющего учетную запись хранения.

При использовании Microsoft Entra Kerberos шифрование билетов Kerberos всегда является AES-256. Но вы можете задать шифрование каналов S МБ, которое лучше всего соответствует вашим потребностям.

Доступность по регионам

Эта функция поддерживается в общедоступных облаках Azure, Azure US Gov и Azure China 21Vianet.

Включение проверки подлинности Microsoft Entra Kerberos для гибридных учетных записей пользователей

Проверку подлинности Microsoft Entra Kerberos можно включить в Файлы Azure для гибридных учетных записей пользователей с помощью портал Azure, PowerShell или Azure CLI.

Чтобы включить проверку подлинности Microsoft Entra Kerberos с помощью портал Azure, выполните следующие действия.

  1. Войдите в портал Azure и выберите учетную запись хранения, для которой требуется включить проверку подлинности Microsoft Entra Kerberos.

  2. В разделе Хранилище данных выберите Общие папки.

  3. Рядом с Active Directory выберите статус конфигурации (например, Не настроено).

    Screenshot of the Azure portal showing file share settings for a storage account. Active Directory configuration settings are selected.

  4. В разделе Microsoft Entra Kerberos выберите "Настройка".

  5. Выберите папку Microsoft Entra Kerberos проверка box.

    Screenshot of the Azure portal showing Active Directory configuration settings for a storage account. Microsoft Entra Kerberos is selected.

  6. Необязательно. Если вы хотите настроить разрешения на уровне каталога и файлов через Windows проводник, необходимо указать доменное имя и GUID домена для локальной AD. Эти сведения можно получить от администратора домена или выполнив следующий командлет PowerShell Active Directory из локального клиента, присоединенного к AD: Get-ADDomain Доменное имя должно быть указано в выходных данных DNSRoot , а идентификатор GUID домена должен быть указан в разделе ObjectGUID. Если вы предпочитаете настраивать разрешения на уровне каталога и файлов с помощью icacls, этот шаг можно пропустить. Однако если вы хотите использовать icacls, клиенту потребуется неуклюжие сетевые подключения к локальной службе AD.

  7. Выберите Сохранить.

Предупреждение

Если вы ранее включили проверку подлинности Microsoft Entra Kerberos с помощью инструкций по ограниченной предварительной версии вручную для хранения профилей FSLogix на Файлы Azure для виртуальных машин, присоединенных к Microsoft Entra, пароль субъекта-службы учетной записи хранения истекает каждые шесть месяцев. После истечения срока действия пароля пользователи не смогут получить билеты Kerberos для доступа к общей папки. Чтобы устранить эту проблему, см. раздел "Ошибка — срок действия пароля субъекта-службы истек в идентификаторе Microsoft Entra ID" в разделе "Потенциальные ошибки при включении проверки подлинности Microsoft Entra Kerberos для гибридных пользователей".

После включения проверки подлинности Microsoft Entra Kerberos необходимо явно предоставить согласие администратора новому приложению Microsoft Entra, зарегистрированном в клиенте Microsoft Entra. Этот субъект-служба создается автоматически и не используется для авторизации в общей папке, поэтому не вносит никаких изменений в субъект-службу, отличный от указанных здесь. При этом может возникнуть ошибка.

Разрешения API можно настроить на портале Azure, выполнив следующие действия:

  1. Откройте Microsoft Entra ID.

  2. В области слева выберите Регистрации приложений.

  3. Выберите Все приложения.

    Screenshot of the Azure portal. Microsoft Entra ID is open. App registrations is selected in the left pane. All applications is highlighted in the right pane.

  4. Выберите приложение с именем, соответствующим [служба хранилища учетной записи] <your-storage-account-name>.file.core.windows.net.

  5. В области слева щелкните Разрешения API.

  6. Выберите "Предоставить согласие администратора" для [имени каталога] , чтобы предоставить согласие для трех запрошенных разрешений API (openid, profile и User.Read) для всех учетных записей в каталоге.

  7. Выберите Да для подтверждения.

Важно!

Если вы подключаетесь к учетной записи хранения через частную конечную точку или приватную ссылку с помощью проверки подлинности Microsoft Entra Kerberos, вам также потребуется добавить полное доменное имя приватного канала в приложение Microsoft Entra учетной записи хранения. Инструкции см. в руководстве по устранению неполадок.

Отключение многофакторной проверки подлинности в учетной записи хранения

Microsoft Entra Kerberos не поддерживает использование MFA для доступа к общим папкам Azure, настроенным с помощью Microsoft Entra Kerberos. Необходимо исключить приложение Microsoft Entra, представляющее учетную запись хранения из политик условного доступа MFA, если они применяются ко всем приложениям.

Приложение учетной записи хранения должно иметь то же имя, что и учетная запись хранения в списке исключений условного доступа. При поиске приложения учетной записи хранения в списке исключений условного доступа выполните поиск: [служба хранилища учетная запись] <your-storage-account-name>.file.core.windows.net

Не забудьте заменить <your-storage-account-name> правильным значением.

Важно!

Если вы не исключите политики MFA из приложения учетной записи хранения, вы не сможете получить доступ к общей папке. Попытка сопоставить общую папку с помощью net use приведет к ошибке с сообщением "Системная ошибка 1327: ограничения учетной записи препятствуют входу этого пользователя. Например: пустые пароли не допускаются, время входа ограничено или применяется ограничение политики".

Инструкции по отключению MFA см. в следующих статьях:

Назначение разрешений на уровне общего ресурса

При включении доступа на основе удостоверений можно указать, какие пользователи и группы имеют доступ к каждой конкретной общей папке. После того как пользователь будет разрешен в общую папку, списки управления доступом Windows (также называемые разрешенияМИ NTFS) на отдельные файлы и каталоги принимают на себя. Это позволяет четко контролировать разрешения, аналогичные общей папке SMB на сервере Windows.

Чтобы задать разрешения на уровне общего ресурса, следуйте инструкциям в статье Назначение разрешений на уровне общего ресурса для удостоверения.

Настройка разрешений на уровне каталога и файлов

После того как разрешения на уровне общего доступа будут установлены, вы можете назначить разрешения на уровне каталога или файла пользователю или группе. Для этого требуется использование устройства с неуклюжим сетевым подключением к локальному AD. Чтобы использовать Windows проводник, устройство также должно быть присоединено к домену.

Существует два варианта настройки разрешений на уровне каталога и файлов с проверкой подлинности Microsoft Entra Kerberos:

  • Windows проводник. Если выбрать этот параметр, клиент должен быть присоединен к локальной службе AD.
  • Служебная программа icacls: если вы выбрали этот параметр, клиент не должен быть присоединен к домену, но требует неуклюжих сетевых подключений к локальному AD.

Чтобы настроить разрешения на уровне каталога и файлов через Windows проводник, необходимо также указать доменное имя и GUID домена для локальной AD. Эти сведения можно получить от администратора домена или локального клиента, присоединенного к AD. Если вы предпочитаете настроить использование icacls, этот шаг не требуется.

Важно!

Списки управления доступом на уровне файлов и каталогов можно задать для удостоверений, которые не синхронизируются с идентификатором Microsoft Entra. Однако эти списки управления доступом не будут применяться, так как билет Kerberos, используемый для проверки подлинности или авторизации, не будет содержать эти не синхронизированные удостоверения. Чтобы применить набор списков управления доступом, удостоверения должны быть синхронизированы с идентификатором Microsoft Entra.

Совет

Если гибридные пользователи Microsoft Entra из двух разных лесов будут получать доступ к общей папке, рекомендуется использовать icacls для настройки разрешений на уровне каталога и файлов. Это связано с тем, что конфигурация ACL windows проводник требует, чтобы клиент был присоединен к домену Active Directory, к которому присоединена учетная запись хранения.

Чтобы настроить разрешения на уровне каталога и файлов, следуйте инструкциям в статье Настройка разрешений на уровне каталога и файлов по протоколу SMB.

Настройка клиентов для получения билетов Kerberos

Включите функциональные возможности Microsoft Entra Kerberos на клиентских компьютерах, из которого требуется подключить и использовать общие папки Azure. Это необходимо сделать на каждом клиенте, на котором будут использоваться Файлы Azure.

Используйте один из трех методов:

  • Настройте этот CSP политики Intune и примените его к клиентам: Kerberos/CloudKerberosTicketRetrievalEnabled, установите значение 1
  • Настройте эту групповую политику для клиентов в значение "Включено": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
  • Задайте для клиента следующее значение реестра, выполнив следующую команду из командной строки с повышенными привилегиями: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

Изменения не являются мгновенными и требуют обновления политики или перезагрузки для принятия в силу.

Важно!

После применения этого изменения клиенты не смогут подключаться к учетным записям хранения, настроенным для локальной интеграции AD DS без настройки сопоставлений областей Kerberos. Если вы хотите, чтобы клиенты могли подключаться к учетным записям хранения, настроенным для AD DS, а также учетным записям хранения, настроенным для Microsoft Entra Kerberos, выполните действия, описанные в разделе "Настройка сосуществования с учетными записями хранения с помощью локальных доменных служб AD DS".

Настройка сосуществования с учетными записями хранения с помощью локальных доменных служб Active Directory

Если вы хотите включить подключение клиентских компьютеров к учетным записям хранения, настроенным для AD DS, а также учетным записям хранения, настроенным для Microsoft Entra Kerberos, выполните следующие действия. Если вы используете только Microsoft Entra Kerberos, пропустите этот раздел.

Добавьте запись для каждой учетной записи хранения, которая использует локальную интеграцию AD DS. Используйте один из следующих трех методов для настройки сопоставлений областей Kerberos. Изменения не являются мгновенными и требуют обновления политики или перезагрузки, чтобы вступили в силу.

  • Настройте этот CSP политики Intune и примените его к клиентам: Kerberos/HostToRealm
  • Настройте эту групповую политику на клиентах: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings.
  • ksetup Выполните команду Windows на клиентах:ksetup /addhosttorealmmap <hostname> <REALMNAME>
    • Пример: ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL

Важно!

В Kerberos имена областей чувствительны к регистру и верхний регистр. Имя области Kerberos обычно совпадает с именем домена в буквах верхнего регистра.

Отмена настройки клиента для получения билетов Kerberos

Если вы больше не хотите использовать клиентский компьютер для проверки подлинности Microsoft Entra Kerberos, вы можете отключить функцию Microsoft Entra Kerberos на этом компьютере. Используйте один из следующих трех методов в зависимости от того, как вы включили функциональность:

  • Настройте этот CSP политики Intune и примените его к клиентам: Kerberos/CloudKerberosTicketRetrievalEnabled, установите значение 0
  • Настройте эту групповую политику для клиентов в значение "Отключено": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
  • Задайте для клиента следующее значение реестра, выполнив следующую команду из командной строки с повышенными привилегиями: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0

Изменения не являются мгновенными и требуют обновления политики или перезагрузки для принятия в силу.

Если вы выполнили действия, описанные в разделе "Настройка сосуществования с учетными записями хранения с помощью локальных доменных служб Active Directory", то при необходимости можно удалить все имена узлов в сопоставления областей Kerberos с клиентского компьютера. Используйте один из трех методов:

  • Настройте этот CSP политики Intune и примените его к клиентам: Kerberos/HostToRealm
  • Настройте эту групповую политику на клиентах: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings.
  • ksetup Выполните команду Windows на клиентах:ksetup /delhosttorealmmap <hostname> <realmname>
    • Пример: ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net contoso.local
    • Список текущих имен узлов можно просмотреть в сопоставлениях областей Kerberos, проверив раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealmреестра.

Изменения не являются мгновенными и требуют обновления политики или перезагрузки, чтобы вступили в силу.

Важно!

После применения этого изменения клиенты не смогут подключаться к учетным записям хранения, настроенным для проверки подлинности Microsoft Entra Kerberos. Однако они смогут подключаться к учетным записям хранения, настроенным в AD DS, без дополнительной настройки.

Отключение проверки подлинности Microsoft Entra в учетной записи хранения

Если вы хотите использовать другой метод проверки подлинности, вы можете отключить проверку подлинности Microsoft Entra в учетной записи хранения с помощью портал Azure, Azure PowerShell или Azure CLI.

Примечание.

Отключение этой функции означает, что в вашей учетной записи хранения не будет конфигурации Active Directory для общих папок, пока вы не включите другой источник Active Directory для возобновления использования вашей конфигурации Active Directory.

Чтобы отключить проверку подлинности Microsoft Entra Kerberos в учетной записи хранения с помощью портал Azure, выполните следующие действия.

  1. Войдите в портал Azure и выберите учетную запись хранения, для которой требуется отключить проверку подлинности Microsoft Entra Kerberos.
  2. В разделе Хранилище данных выберите Общие папки.
  3. Рядом с Active Directory выберите состояние конфигурации.
  4. В разделе Microsoft Entra Kerberos выберите "Настроить".
  5. Не проверка папку Microsoft Entra Kerberos проверка box.
  6. Выберите Сохранить.

Следующие шаги

Дополнительные сведения см. в следующих ресурсах: