Översikt: Lokal Active Directory-domän Services-autentisering via SMB för Azure-filresurser

Azure Files stöder identitetsbaserad autentisering för Windows-filresurser via Server Message Block (SMB) med hjälp av Kerberos-autentiseringsprotokollet via följande metoder:

• Lokala Active Directory-domän Services (AD DS)
• Microsoft Entra Domain Services
• Microsoft Entra Kerberos för hybridanvändares identiteter

Vi rekommenderar starkt att du läser avsnittet Så här fungerar det för att välja rätt AD-källa för autentisering. Konfigurationen skiljer sig beroende på vilken domäntjänst du väljer. Den här artikeln fokuserar på att aktivera och konfigurera lokal AD DS för autentisering med Azure-filresurser.

Om du inte har använt Azure Files tidigare rekommenderar vi att du läser vår planeringsguide.

Gäller för

Typ av filresurs	SMB	NFS
Standardfilresurser (GPv2), LRS/ZRS
Standardfilresurser (GPv2), GRS/GZRS
Premiumfilresurser (FileStorage), LRS/ZRS

Scenarier och begränsningar som stöds

• AD DS-identiteter som används för lokal AD DS-autentisering i Azure Files måste synkroniseras med Microsoft Entra-ID eller använda en standardbehörighet på resursnivå. Synkronisering av lösenordshash är valfritt.
• Stöder Azure-filresurser som hanteras av Azure File Sync.
• Stöder Kerberos-autentisering med AD med AES 256-kryptering (rekommenderas) och RC4-HMAC. AES 128 Kerberos-kryptering stöds ännu inte.
• Stöder enkel inloggning.
• Stöds endast på Windows-klienter som kör OS-versionerna Windows 8/Windows Server 2012 eller senare, eller virtuella Linux-datorer (Ubuntu 18.04+ eller motsvarande virtuella RHEL- eller SLES-datorer).
• Stöds endast mot DEN AD-skog som lagringskontot är registrerat på. Användare som tillhör olika domäner i samma skog bör kunna komma åt filresursen och underliggande kataloger/filer så länge de har rätt behörigheter.
• Du kan som standard bara få åtkomst till Azure-filresurser med AD DS-autentiseringsuppgifter från en enskild skog. Om du behöver få åtkomst till Azure-filresursen från en annan skog måste du se till att ha rätt skogsförtroende konfigurerat. Mer information finns i Använda Azure Files med flera Active Directory-skogar.
• Stöder inte tilldelning av behörigheter på resursnivå till datorkonton (datorkonton) med hjälp av Azure RBAC. Du kan antingen använda en standardbehörighet på resursnivå för att tillåta datorkonton att komma åt resursen eller överväga att använda ett konto för tjänstinloggning i stället.
• Stöder inte autentisering mot NFS-filresurser (Network File System).

När du aktiverar AD DS för Azure-filresurser via SMB kan dina AD DS-anslutna datorer montera Azure-filresurser med dina befintliga AD DS-autentiseringsuppgifter. Den här funktionen kan aktiveras med en AD DS-miljö som finns på lokala datorer eller på en virtuell dator (VM) i Azure.

Videoklipp

För att hjälpa dig att konfigurera identitetsbaserad autentisering för några vanliga användningsfall publicerade vi två videor med stegvis vägledning för följande scenarier. Observera att Azure Active Directory nu är Microsoft Entra-ID. Mer information finns i Nytt namn för Azure AD.

Ersätta lokala filservrar med Azure Files (inklusive installation på privat länk för filer och AD-autentisering)	Använda Azure Files som profilcontainer för Azure Virtual Desktop (inklusive konfiguration av AD-autentisering och FSLogix-konfiguration)

Förutsättningar

Innan du aktiverar AD DS-autentisering för Azure-filresurser kontrollerar du att du har slutfört följande krav:

• Välj eller skapa din AD DS-miljö och synkronisera den med Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect Sync-programmet eller Microsoft Entra Connect Cloud Sync, en lättviktsagent som kan installeras från Administrationscenter för Microsoft Entra.

  Du kan aktivera funktionen i en ny eller befintlig lokal AD DS-miljö. Identiteter som används för åtkomst måste synkroniseras med Microsoft Entra-ID eller använda en standardbehörighet på resursnivå. Microsoft Entra-klientorganisationen och filresursen som du kommer åt måste vara associerade med samma prenumeration.

• Domänanslut en lokal dator eller en virtuell Azure-dator till lokal AD DS. Information om hur du ansluter till domän finns i Ansluta en dator till en domän.

  Om en dator inte är domänansluten kan du fortfarande använda AD DS för autentisering om datorn har obehindrat nätverksanslutning till den lokala AD-domänkontrollanten och användaren tillhandahåller explicita autentiseringsuppgifter. Mer information finns i Montera filresursen från en icke-domänansluten virtuell dator eller en virtuell dator som är ansluten till en annan AD-domän.

• Välj eller skapa ett Azure Storage-konto. För optimala prestanda rekommenderar vi att du distribuerar lagringskontot i samma region som klienten som du planerar att komma åt resursen från. Montera sedan Azure-filresursen med din lagringskontonyckel. Montering med lagringskontonyckeln verifierar anslutningen.

  Kontrollera att lagringskontot som innehåller dina filresurser inte redan har konfigurerats för identitetsbaserad autentisering. Om en AD-källa redan är aktiverad på lagringskontot måste du inaktivera den innan du aktiverar lokal AD DS.

  Om du har problem med att ansluta till Azure Files kan du läsa felsökningsverktyget som vi publicerade för Azure Files-monteringsfel i Windows.

• Utför alla relevanta nätverkskonfigurationer innan du aktiverar och konfigurerar AD DS-autentisering för dina Azure-filresurser. Mer information finns i Nätverksöverväganden för Azure Files.

Regional tillgänglighet

Azure Files-autentisering med AD DS är tillgängligt i alla Azure Public-, Kina- och Gov-regioner.

Översikt

Om du planerar att aktivera nätverkskonfigurationer på filresursen rekommenderar vi att du läser artikeln om nätverksöverväganden och slutför den relaterade konfigurationen innan du aktiverar AD DS-autentisering.

Genom att aktivera AD DS-autentisering för dina Azure-filresurser kan du autentisera till dina Azure-filresurser med dina lokala AD DS-autentiseringsuppgifter. Dessutom kan du bättre hantera dina behörigheter för att tillåta detaljerad åtkomstkontroll. Detta kräver att du synkroniserar identiteter från lokal AD DS till Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect Sync-programmet eller Microsoft Entra Connect-molnsynkronisering, en lättviktsagent som kan installeras från Administrationscenter för Microsoft Entra. Du tilldelar behörigheter på resursnivå till hybrididentiteter som synkroniserats med Microsoft Entra-ID när du hanterar fil-/katalognivååtkomst med hjälp av Windows-ACL:er.

Följ dessa steg för att konfigurera Azure Files för AD DS-autentisering:

1. Aktivera AD DS-autentisering på ditt lagringskonto

2. Tilldela behörigheter på resursnivå till Microsoft Entra-identiteten (en användare, grupp eller tjänstens huvudnamn) som är synkroniserad med ad-målidentiteten

3. Konfigurera Windows-ACL:er via SMB för kataloger och filer

4. Montera en Azure-filresurs på en virtuell dator som är ansluten till din AD DS

5. Uppdatera lösenordet för din lagringskontoidentitet i AD DS

Följande diagram illustrerar arbetsflödet från slutpunkt till slutpunkt för aktivering av AD DS-autentisering via SMB för Azure-filresurser.

Identiteter som används för att komma åt Azure-filresurser måste synkroniseras med Microsoft Entra-ID för att framtvinga filbehörigheter på resursnivå via azure-modellen för rollbaserad åtkomstkontroll (Azure RBAC). Du kan också använda en standardbehörighet på resursnivå. DACL:er i Windows-format på filer/kataloger som överförs från befintliga filservrar bevaras och framtvingas. Detta ger sömlös integrering med din AD DS-företagsmiljö. När du ersätter lokala filservrar med Azure-filresurser kan befintliga användare komma åt Azure-filresurser från sina nuvarande klienter med en enkel inloggningsupplevelse, utan att ändra de autentiseringsuppgifter som används.

Gå vidare

För att komma igång måste du aktivera AD DS-autentisering för ditt lagringskonto.