Azure Dosyalar üzerinde karma kimlikler için Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirme
Bu makale, Microsoft Entra Id ile eşitlenen şirket içi AD DS kimlikleri olan karma kullanıcı kimliklerinin kimliğini doğrulamak için Microsoft Entra Id'yi (eski adıYla Azure AD) etkinleştirmeye ve yapılandırmaya odaklanmaktadır. Yalnızca bulut kimlikleri şu anda desteklenmiyor.
Bu yapılandırma, karma kullanıcıların SMB protokolüyle dosya paylaşımına erişmek için gerekli Kerberos biletlerini vermek üzere Microsoft Entra Id kullanarak Kerberos kimlik doğrulamasını kullanarak Azure dosya paylaşımlarına erişmesine olanak tanır. Bu, son kullanıcılarınızın Microsoft Entra karmasına katılmış ve Microsoft Entra'ya katılmış istemcilerden etki alanı denetleyicilerine engellenmemiş ağ bağlantısı gerektirmeden İnternet üzerinden Azure dosya paylaşımlarına erişebileceği anlamına gelir. Ancak, bir kullanıcı veya grup için Windows erişim denetim listelerini (ACL)/dizin ve dosya düzeyi izinlerini yapılandırmak için şirket içi etki alanı denetleyicisine engellenmemiş ağ bağlantısı gerekir.
Desteklenen seçenekler ve dikkat edilmesi gerekenler hakkında daha fazla bilgi için bkz. SMB erişimi için Azure Dosyalar kimlik tabanlı kimlik doğrulama seçeneklerine genel bakış. Daha fazla bilgi için bu ayrıntılı bakışa bakın.
Önemli
Azure Dosyalar ile kimlik tabanlı kimlik doğrulaması için yalnızca bir AD yöntemi kullanabilirsiniz. Karma kimlikler için Microsoft Entra Kerberos kimlik doğrulaması gereksinimlerinize uymuyorsa, bunun yerine şirket içi Active Directory Etki Alanı Hizmeti (AD DS) veya Microsoft Entra Domain Services kullanabilirsiniz. Yapılandırma adımları ve desteklenen senaryolar her yöntem için farklıdır.
Şunlara uygulanır
| Dosya paylaşımı türü | SMB | NFS |
|---|---|---|
| Standart dosya paylaşımları (GPv2), LRS/ZRS |  |
 |
| Standart dosya paylaşımları (GPv2), GRS/GZRS | |
|
| Premium dosya paylaşımları (filestorage), LRS/ZRS | |
|
Önkoşullar
Azure dosya paylaşımları için SMB üzerinden Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirmeden önce aşağıdaki önkoşulları tamamladığınızdan emin olun.
Not
Azure depolama hesabınız hem Microsoft Entra Id hem de AD DS veya Microsoft Entra Domain Services gibi ikinci bir yöntemle kimlik doğrulaması yapamaz. Depolama hesabınız için zaten başka bir AD yöntemi seçtiyseniz, Microsoft Entra Kerberos'u etkinleştirmeden önce bunu devre dışı bırakmanız gerekir.
Karma kimlikler için Microsoft Entra Kerberos işlevselliği yalnızca aşağıdaki işletim sistemlerinde kullanılabilir:
- Windows 11 Enterprise/Pro tek veya çoklu oturum.
- Windows 10 Enterprise/Pro tek veya çok oturumlu, en son toplu güncelleştirmelerin yüklü olduğu 2004 veya sonraki sürümler, özellikle de Windows 10 için KB5007253 - 2021-11 Toplu Güncelleştirme Önizlemesi.
- Windows Server, en son toplu güncelleştirmelerin yüklü olduğu sürüm 2022, özellikle de Microsoft server işletim sistemi sürüm 21H2 için KB5007254 - 2021-11 Toplu Güncelleştirme Önizlemesi.
Windows VM oluşturma ve yapılandırmayı ve Microsoft Entra ID tabanlı kimlik doğrulamasını kullanarak oturum açmayı öğrenmek için bkz . Microsoft Entra Id kullanarak Azure'da bir Windows sanal makinesinde oturum açma.
İstemciler Microsoft Entra'ya katılmış veya Microsoft Entra karmaya katılmış olmalıdır. Microsoft Entra Kerberos, Microsoft Entra Domain Services'e katılmış veya yalnızca AD'ye katılmış istemcilerde desteklenmez.
Bu özellik şu anda yalnızca Microsoft Entra ID'de oluşturduğunuz ve yönettiğiniz kullanıcı hesaplarını desteklememektedir. Kullanıcı hesaplarının karma kullanıcı kimlikleri olması gerekir. Bu, AD DS ve Microsoft Entra Bağlan veya Microsoft Entra Bağlan bulut eşitlemesine de ihtiyacınız olacağı anlamına gelir. Bu hesapları Active Directory'de oluşturup Microsoft Entra Id ile eşitlemeniz gerekir. Azure dosya paylaşımı için Azure Rol Tabanlı Erişim Denetimi (RBAC) izinlerini bir kullanıcı grubuna atamak için, grubu Active Directory'de oluşturmanız ve Microsoft Entra Id ile eşitlemeniz gerekir.
Bu özellik şu anda B2B kullanıcıları veya konuk kullanıcılar için kiracılar arası erişimi desteklemez. Yapılandırılan kiracı dışındaki bir Entra kiracısından kullanıcılar dosya paylaşımına erişemez.
Depolama hesabını temsil eden Microsoft Entra uygulamasında çok faktörlü kimlik doğrulamasını (MFA) devre dışı bırakmanız gerekir.
Microsoft Entra Kerberos ile Kerberos anahtar şifrelemesi her zaman AES-256'dır. Ancak ihtiyaçlarınıza en uygun SMB kanalı şifrelemesini ayarlayabilirsiniz.
Bölgesel kullanılabilirlik
Bu özellik Azure Genel, Azure US Gov ve Azure China 21Vianet bulutlarında desteklenir.
Karma kullanıcı hesapları için Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirme
Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak karma kullanıcı hesapları için Azure Dosyalar Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirebilirsiniz.
Azure portalını kullanarak Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirmek için aşağıdaki adımları izleyin.
Azure portalında oturum açın ve Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirmek istediğiniz depolama hesabını seçin.
Veri depolama'nın altında Dosya paylaşımları'yı seçin.
Active Directory'nin yanında yapılandırma durumunu seçin (örneğin, Yapılandırılmadı).
Microsoft Entra Kerberos'un altında Ayarla'yı seçin.
Microsoft Entra Kerberos onay kutusunu seçin.
İsteğe bağlı: Windows Dosya Gezgini aracılığıyla dizin ve dosya düzeyi izinlerini yapılandırmak istiyorsanız, şirket içi AD'niz için etki alanı adını ve etki alanı GUID'sini belirtmeniz gerekir. Bu bilgileri etki alanı yöneticinizden veya şirket içi AD'ye katılmış bir istemciden aşağıdaki Active Directory PowerShell cmdlet'ini çalıştırarak alabilirsiniz:
Get-ADDomain. Etki alanı adınız altındakiDNSRootçıktıda ve etki alanı GUID'niz altındaObjectGUIDlistelenmelidir. icacl'leri kullanarak dizin ve dosya düzeyi izinlerini yapılandırmayı tercih ederseniz, bu adımı atlayabilirsiniz. Ancak, icacl'leri kullanmak istiyorsanız istemcinin şirket içi AD'ye engellenmemiş ağ bağlantısına ihtiyacı vardır.Kaydet'i seçin.
Uyarı
Microsoft Entra'ya katılmış VM'ler için FSLogix profillerini Azure Dosyalar depolamak için el ile sınırlı önizleme adımları aracılığıyla Microsoft Entra Kerberos kimlik doğrulamasını daha önce etkinleştirdiyseniz, depolama hesabının hizmet sorumlusunun parolası altı ayda bir sona erecek şekilde ayarlanır. Parolanın süresi dolduktan sonra kullanıcılar dosya paylaşımına Kerberos biletleri alamaz. Bunu azaltmak için karma kullanıcılar için Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken olası hatalar altında "Hata - Hizmet sorumlusu parolasının süresi Microsoft Entra Kimliği'nde doldu" bölümüne bakın.
Yeni hizmet sorumlusuna yönetici onayı verme
Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirdikten sonra, Microsoft Entra kiracınızda kayıtlı yeni Microsoft Entra uygulamasına açıkça yönetici onayı vermeniz gerekir. Bu hizmet sorumlusu otomatik olarak oluşturulur ve dosya paylaşımı yetkilendirmesi için kullanılmaz, bu nedenle hizmet sorumlusunda burada belgelenenler dışında herhangi bir düzenleme yapmayın. Bunu yaparsanız bir hata alabilirsiniz.
Aşağıdaki adımları izleyerek Azure portalından API izinlerini yapılandırabilirsiniz:
Microsoft Entra ID'yi açın.
Sol bölmedeki Uygulama kayıtları seçin.
Tüm Uygulamalar'ı seçin.
[Depolama Account]
<your-storage-account-name>.file.core.windows.net adlı uygulamayı seçin.Sol bölmede API izinleri'ni seçin.
Dizindeki tüm hesaplar için istenen üç API izni (openid, profil ve User.Read) için onay vermek üzere [Dizin Adı] için yönetici onayı ver'i seçin.
Onaylamak için Evet'i seçin.
Önemli
Microsoft Entra Kerberos kimlik doğrulamasını kullanarak özel uç nokta/özel bağlantı üzerinden depolama hesabına bağlanıyorsanız, depolama hesabının Microsoft Entra uygulamasına özel bağlantı FQDN'sini de eklemeniz gerekir. Yönergeler için sorun giderme kılavuzumuzdaki girişe bakın.
Depolama hesabında çok faktörlü kimlik doğrulamasını devre dışı bırakma
Microsoft Entra Kerberos, Microsoft Entra Kerberos ile yapılandırılmış Azure dosya paylaşımlarına erişmek için MFA'nın kullanılmasını desteklemez. Depolama hesabınızı temsil eden Microsoft Entra uygulamasını tüm uygulamalar için geçerliyse MFA koşullu erişim ilkelerinizin dışında tutmanız gerekir.
Depolama hesabı uygulaması, koşullu erişim dışlama listesindeki depolama hesabıyla aynı ada sahip olmalıdır. Koşullu erişim dışlama listesinde depolama hesabı uygulamasını ararken şunu arayın: [Depolama Hesabı] <your-storage-account-name>.file.core.windows.net
değerini uygun değerle değiştirmeyi <your-storage-account-name> unutmayın.
Önemli
MFA ilkelerini depolama hesabı uygulamasından dışlamıyorsanız dosya paylaşımına erişemezsiniz. kullanarak net use dosya paylaşımını eşlemeye çalışmak, "Sistem hatası 1327: Hesap kısıtlamaları bu kullanıcının oturum açmasını engelliyor. Örneğin: boş parolalara izin verilmiyor, oturum açma süreleri sınırlı veya ilke kısıtlaması uygulandı."
MFA'yı devre dışı bırakma yönergeleri için aşağıdakilere bakın:
Paylaşım düzeyinde izinler atama
Kimlik tabanlı erişimi etkinleştirdiğinizde, her paylaşım için hangi kullanıcıların ve grupların söz konusu paylaşıma erişimi olduğunu ayarlayabilirsiniz. Bir kullanıcının paylaşıma girmesine izin verildikten sonra, tek tek dosya ve dizinlerdeki Windows ACL'leri (NTFS izinleri olarak da adlandırılır) devralır. Bu, Windows sunucusundaki SMB paylaşımına benzer şekilde izinler üzerinde ayrıntılı denetime olanak tanır.
Paylaşım düzeyi izinleri ayarlamak için, Bir kimliğe paylaşım düzeyi izinleri atama başlığındaki yönergeleri izleyin.
Dizin ve dosya düzeyi izinlerini yapılandırma
Paylaşım düzeyi izinleri eklendikten sonra, kullanıcıya veya gruba dizin/dosya düzeyi izinleri atayabilirsiniz. Bunun için şirket içi AD'ye engelsiz ağ bağlantısı olan bir cihaz kullanılması gerekir. Windows Dosya Gezgini kullanmak için cihazın da etki alanına katılmış olması gerekir.
Microsoft Entra Kerberos kimlik doğrulaması ile dizin ve dosya düzeyi izinlerini yapılandırmak için iki seçenek vardır:
- Windows Dosya Gezgini: Bu seçeneği belirlerseniz istemcinin etki alanına şirket içi AD'ye katılmış olması gerekir.
- icacls yardımcı programı: Bu seçeneği belirlerseniz, istemcinin etki alanına katılması gerekmez, ancak şirket içi AD'ye engellenmemiş ağ bağlantısı gerekir.
Windows Dosya Gezgini aracılığıyla dizin ve dosya düzeyi izinlerini yapılandırmak için, şirket içi AD'niz için etki alanı adı ve etki alanı GUID'sini de belirtmeniz gerekir. Bu bilgileri etki alanı yöneticinizden veya şirket içi AD'ye katılmış bir istemciden alabilirsiniz. icacl'leri kullanarak yapılandırmayı tercih ederseniz, bu adım gerekli değildir.
Önemli
Microsoft Entra Id ile eşitlenmemiş kimlikler için dosya/dizin düzeyi ACL'ler ayarlayabilirsiniz. Ancak, kimlik doğrulaması/yetkilendirme için kullanılan Kerberos anahtarı bu eşitlenmemiş kimlikleri içermediğinden bu ACL'ler uygulanmaz. Ayarlanmış ACL'leri zorunlu kılmak için kimliklerin Microsoft Entra Id ile eşitlenmesi gerekir.
İpucu
Paylaşıma iki farklı ormandan Microsoft Entra karma katılmış kullanıcıları erişiyorsa, dizin ve dosya düzeyi izinlerini yapılandırmak için icacl'leri kullanmak en iyisidir. Bunun nedeni, Windows Dosya Gezgini ACL yapılandırmasının istemcinin depolama hesabının katıldığı Active Directory etki alanına katılmasını gerektirmesidir.
Dizin ve dosya düzeyi izinlerini yapılandırmak için SMB üzerinden dizin ve dosya düzeyi izinlerini yapılandırma başlığındaki yönergeleri izleyin.
İstemcileri Kerberos biletlerini alacak şekilde yapılandırma
Azure Dosya paylaşımlarını bağlamak/kullanmak istediğiniz istemci makinelerinde Microsoft Entra Kerberos işlevselliğini etkinleştirin. Bunu, Azure Dosyalar kullanılacağı her istemcide yapmanız gerekir.
Aşağıdaki üç yöntemden birini kullanın:
- Bu Intune İlkesi CSP'sini yapılandırın ve istemcilere uygulayın: Kerberos/CloudKerberosTicketRetrievalEnabled, 1 olarak ayarlandı
- İstemcilerde bu grup ilkesini "Etkin" olarak yapılandırın:
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon - Yükseltilmiş bir komut isteminden bu komutu çalıştırarak istemcilerde aşağıdaki kayıt defteri değerini ayarlayın:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
Değişiklikler anında yapılmaz ve etkili olması için bir ilke yenilemesi veya yeniden başlatma gerektirir.
Önemli
Bu değişiklik uygulandıktan sonra, istemciler Kerberos bölge eşlemelerini yapılandırmadan şirket içi AD DS tümleştirmesi için yapılandırılmış depolama hesaplarına bağlanamaz. İstemcilerin AD DS için yapılandırılmış depolama hesaplarına ve Microsoft Entra Kerberos için yapılandırılmış depolama hesaplarına bağlanabilmesini istiyorsanız, Şirket içi AD DS kullanarak depolama hesaplarıyla birlikte bulunmayı yapılandırma sayfasındaki adımları izleyin.
Şirket içi AD DS kullanarak depolama hesaplarıyla birlikte bulunmayı yapılandırma
İstemci makinelerinin AD DS için yapılandırılan depolama hesaplarına ve Microsoft Entra Kerberos için yapılandırılmış depolama hesaplarına bağlanmasını sağlamak istiyorsanız, aşağıdaki adımları izleyin. Yalnızca Microsoft Entra Kerberos kullanıyorsanız bu bölümü atlayın.
Şirket içi AD DS tümleştirmesi kullanan her depolama hesabı için bir giriş ekleyin. Kerberos bölge eşlemelerini yapılandırmak için aşağıdaki üç yöntemden birini kullanın. Değişiklikler anlık değildir ve etkili olması için bir ilke yenilemesi veya yeniden başlatma gerektirir.
- Bu Intune İlkesi CSP'sini yapılandırın ve istemcilere uygulayın: Kerberos/HostToRealm
- İstemcilerde bu grup ilkesini yapılandırın:
Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings - İstemcilerde
ksetupWindows komutunu çalıştırın:ksetup /addhosttorealmmap <hostname> <REALMNAME>- Örneğin
ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL
- Örneğin
Önemli
Kerberos'ta bölge adları büyük/küçük harfe duyarlı ve büyük harftir. Kerberos bölgenizin adı genellikle büyük harfle etki alanı adınız ile aynıdır.
Kerberos biletlerini almak için istemci yapılandırmasını geri alma
Artık Microsoft Entra Kerberos kimlik doğrulaması için bir istemci makinesi kullanmak istemiyorsanız, bu makinede Microsoft Entra Kerberos işlevini devre dışı bırakabilirsiniz. İşlevi nasıl etkinleştirdiğinize bağlı olarak aşağıdaki üç yöntemden birini kullanın:
- Bu Intune İlkesi CSP'sini yapılandırın ve istemcilere uygulayın: Kerberos/CloudKerberosTicketRetrievalEnabled, 0 olarak ayarlayın
- İstemcilerde bu grup ilkesini "Devre Dışı" olarak yapılandırın:
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon - Yükseltilmiş bir komut isteminden bu komutu çalıştırarak istemcilerde aşağıdaki kayıt defteri değerini ayarlayın:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0
Değişiklikler anında yapılmaz ve etkili olması için bir ilke yenilemesi veya yeniden başlatma gerektirir.
Şirket içi AD DS kullanarak depolama hesaplarıyla birlikte bulunmayı yapılandırma sayfasındaki adımları izlediyseniz, isteğe bağlı olarak istemci makineden Kerberos bölgesi eşlemelerine yönelik tüm konak adlarını kaldırabilirsiniz. Aşağıdaki üç yöntemden birini kullanın:
- Bu Intune İlkesi CSP'sini yapılandırın ve istemcilere uygulayın: Kerberos/HostToRealm
- İstemcilerde bu grup ilkesini yapılandırın:
Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings - İstemcilerde
ksetupWindows komutunu çalıştırın:ksetup /delhosttorealmmap <hostname> <realmname>- Örneğin
ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net contoso.local - Kayıt defteri anahtarını
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealminceleyerek Geçerli ana bilgisayar adının Kerberos bölgesi eşlemelerine listesini görüntüleyebilirsiniz.
- Örneğin
Değişiklikler anlık değildir ve etkili olması için bir ilke yenilemesi veya yeniden başlatma gerektirir.
Önemli
Bu değişiklik uygulandıktan sonra, istemciler Microsoft Entra Kerberos kimlik doğrulaması için yapılandırılmış depolama hesaplarına bağlanamaz. Ancak, ek yapılandırma olmadan AD DS'ye yapılandırılmış depolama hesaplarına bağlanabilirler.
Depolama hesabınızda Microsoft Entra kimlik doğrulamayı devre dışı bırakma
Başka bir kimlik doğrulama yöntemi kullanmak istiyorsanız Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanarak depolama hesabınızda Microsoft Entra kimlik doğrulamasını devre dışı bırakabilirsiniz.
Not
Bu özelliği devre dışı bırakmak, diğer Active Directory kaynaklarından birinin Active Directory yapılandırmanızı yeniden devreye almasını etkinleştirene kadar depolama hesabınızda dosya paylaşımları için Active Directory yapılandırması olmayacağı anlamına gelir.
Azure portalını kullanarak depolama hesabınızda Microsoft Entra Kerberos kimlik doğrulamasını devre dışı bırakmak için şu adımları izleyin.
- Azure portalında oturum açın ve Microsoft Entra Kerberos kimlik doğrulamasını devre dışı bırakmak istediğiniz depolama hesabını seçin.
- Veri depolama'nın altında Dosya paylaşımları'yı seçin.
- Active Directory'nin yanında yapılandırma durumunu seçin.
- Microsoft Entra Kerberos'un altında Yapılandır'ı seçin.
- Microsoft Entra Kerberos onay kutusunun işaretini kaldırın.
- Kaydet'i seçin.
Sonraki adımlar
Daha fazla bilgi edinmek için şu kaynaklara bakın: