Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Область применения: ✔️ файловые хранилища SMB Azure
Файлы Azure поддерживают аутентификацию на основе удостоверений для файловых ресурсов Windows через блок сообщений сервера (SMB) с использованием протокола аутентификации Kerberos следующими методами:
- Локальные доменные службы Active Directory (AD DS)
- Доменные службы Microsoft Entra
- Microsoft Entra Kerberos для гибридных идентичностей пользователей
В этой статье рассматривается настройка доменных служб Microsoft Entra (ранее доменных служб Azure Active Directory) для аутентификации на основе удостоверений с помощью файловых ресурсов Azure. В этом сценарии проверки подлинности учетные данные Microsoft Entra и учетные данные доменных служб Microsoft Entra одинаковы, и их можно использовать взаимозаменяемо.
Настоятельно рекомендуется ознакомиться с разделом "Как он работает", чтобы выбрать правильный источник AD для учетной записи хранения. Настройка отличается в зависимости от выбранного источника AD.
Если вы не знакомы с Azure Files, мы рекомендуем прочитать наше руководство по планированию, перед чтением этой статьи.
Примечание.
Служба Azure Files поддерживает проверку подлинности Kerberos с помощью доменных служб Microsoft Entra с шифрованием RC4-HMAC и AES-256. Мы рекомендуем использовать AES-256.
Файлы Azure поддерживают проверку подлинности для доменных служб Microsoft Entra с полной или частичной (ограниченной) синхронизацией с Microsoft Entra ID. Для сред с ограниченной синхронизацией администраторы должны знать, что файлы Azure учитывают только назначения ролей RBAC Azure, предоставленные субъектам, которые синхронизированы. Назначения ролей, предоставленные идентификаторам, которые не синхронизированы из Microsoft Entra ID в Microsoft Entra Domain Services, игнорируются службой Azure Files.
Предварительные требования
Прежде чем включить доменные службы Microsoft Entra через SMB для общих папок Azure, убедитесь, что выполнены следующие предварительные требования:
Выберите или создайте клиент Microsoft Entra.
Вы можете использовать нового или существующего тенанта. Клиент и файловый ресурс, к которому вы хотите получить доступ, должны быть связаны с одной и той же подпиской.
Чтобы создать новый клиент Microsoft Entra, можно добавить клиента Entra и подписку Entra. Если у вас есть существующий клиент Microsoft Entra, но вы хотите создать новый клиент для использования с общими папками Azure, см. статью "Создание клиента Microsoft Entra".
Включите доменные службы Microsoft Entra в клиенте Microsoft Entra.
Чтобы обеспечить проверку подлинности с помощью учетных данных Microsoft Entra, необходимо включить доменные службы Microsoft Entra для клиента Microsoft Entra. Если вы не администратор клиента Microsoft Entra, обратитесь к администратору и выполните пошаговые инструкции по включению доменных служб Microsoft Entra с помощью портал Azure.
Обычно развертывание доменных служб Microsoft Entra занимает около 15 минут. Убедитесь, что состояние работоспособности доменных служб Microsoft Entra показывает запущено с включенной синхронизацией хэша паролей, прежде чем перейти к следующему шагу.
Присоединение к домену виртуальной машины с помощью доменных служб Microsoft Entra.
Чтобы получить доступ к общей папке Azure с помощью учетных данных Microsoft Entra из виртуальной машины, виртуальная машина должна быть присоединена к доменным службам Microsoft Entra. Дополнительные сведения см. в статье Присоединение виртуальной машины Windows Server к управляемому домену. Проверка подлинности доменных служб Microsoft Entra по протоколу SMB с общими папками Azure поддерживается только на виртуальных машинах Windows под управлением Windows 7 или Windows Server 2008 R2 или на виртуальных машинах Linux под управлением Ubuntu 18.04+ или эквивалентной виртуальной машины RHEL или SLES.
Примечание.
Не присоединенные к домену виртуальные машины могут получить доступ к общим папкам Azure с помощью проверки подлинности доменных служб Microsoft Entra, только если виртуальная машина имеет бесперебойное сетевое подключение к контроллерам домена для доменных служб Microsoft Entra. Обычно для этого подключения требуется VPN типа "сеть — сеть" или "точка — сеть".
Выберите или создайте общую папку SMB Azure.
Выберите новую или существующую общую папку Azure SMB, связанную с той же подпиской, что и клиент Microsoft Entra. См. статью "Создание общей папки SMB Azure". Для обеспечения оптимальной производительности рекомендуется, чтобы файловый ресурс находился в том же регионе, что и виртуальная машина, с которой вы планируете получать доступ к ресурсу.
Доступность в регионах
Аутентификацию в Azure Files можно использовать с доменными службами Microsoft Entra во всех регионах Azure: общедоступных, правительственных и китайских.
Обзор рабочего процесса
На следующей схеме показан комплексный рабочий процесс для включения проверки подлинности доменных служб Microsoft Entra через SMB для файлов Azure.
Включите проверку подлинности доменных служб Microsoft Entra для вашей учетной записи
Чтобы включить проверку подлинности доменных служб Microsoft Entra по протоколу SMB для службы "Файлы Azure", вы можете задать свойство в учетных записях хранения с помощью портала Azure, Azure PowerShell или Azure CLI. Установка этого свойства неявно "присоединяет" учетную запись хранения к связанной среде доменных служб Microsoft Entra. Затем включается проверка подлинности доменных служб Microsoft Entra по протоколу SMB для всех новых и существующих общих папок в учетной записи хранения.
Проверку подлинности доменных служб Microsoft Entra можно включить через SMB только после успешного развертывания доменных служб Microsoft Entra в клиенте Microsoft Entra. Дополнительные сведения см. в разделе Необходимые условия.
Чтобы включить проверку подлинности доменных служб Microsoft Entra через SMB с помощью портала Azure, выполните следующие действия.
На портале Azure перейдите к существующей учетной записи хранения или создайте ее.
Выберите элементы Хранение данных>Общие папки.
В разделе параметров общей папки выберите доступ на основе удостоверений: не настроен.
В разделе Доменные службы Microsoft Entra выберите "Настроить", а затем включите эту функцию, установив флажок.
Выберите Сохранить.
Рекомендуется: использование шифрования AES-256
По умолчанию проверка подлинности доменных служб Microsoft Entra использует шифрование Kerberos RC4. Рекомендуем вместо этого настроить использование шифрования Kerberos AES-256, выполнив следующие инструкции:
Для этого действия требуется выполнить операцию в домене Active Directory, управляемом доменными службами Microsoft Entra, чтобы получить доступ к контроллеру домена и запросить изменение свойства для объекта домена. Приведенные ниже командлеты являются командлетами Windows Server Active Directory PowerShell, а не командлетами Azure PowerShell. Из-за этого различия необходимо выполнить эти команды PowerShell с клиентского компьютера, присоединенного к домену доменных служб Microsoft Entra.
Внимание
Командлеты PowerShell Windows Server Active Directory в этом разделе должны выполняться в Windows PowerShell 5.1 с клиентского компьютера, присоединенного к домену доменных служб Microsoft Entra. PowerShell 7.x и Azure Cloud Shell не подходят для этого сценария.
Войдите на клиентский компьютер, присоединенный к домену, в качестве пользователя доменных служб Microsoft Entra с необходимыми разрешениями. У вас должен быть доступ на запись к msDS-SupportedEncryptionTypes атрибуту объекта домена. Как правило, члены группы администраторов контроллера домена AAD имеют необходимые разрешения. Откройте стандартный сеанс PowerShell без повышенных прав и выполните следующие команды.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= "<InsertStorageAccountNameHere>"
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Внимание
Если вы ранее использовали шифрование RC4 и обновили учетную запись хранения для использования AES-256, запустите klist purge на клиенте и повторно подключите общую папку, чтобы получить новые билеты Kerberos с AES-256.
Следующий шаг
- Чтобы предоставить пользователям доступ к общей папке, следуйте инструкциям в разделе "Назначение разрешений на уровне общего ресурса".