你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

从已加入 Microsoft Entra 的 Windows 虚拟机访问 SMB 卷

  • 项目

可以将 Microsoft Entra ID 与混合身份验证管理模块配合使用,对混合云中的凭据进行身份验证。 此解决方案使 Microsoft Entra ID 成为云和本地身份验证的受信任源,从而避开了连接到Azure NetApp 文档以加入本地 AD 域的客户端的需求。

注意

使用 Microsoft Entra ID 对混合用户标识进行身份验证,Microsoft Entra 用户访问Azure NetApp 文档 SMB 共享。 这意味着最终用户可以访问Azure NetApp 文档 SMB 共享,而无需从已加入 Microsoft Entra 混合联接的 VM 和 Microsoft Entra 加入的 VM 对域控制器进行视线访问。 目前不支持仅限云的标识。 有关详细信息,请参阅了解 Active Directory 域服务站点设计和规划指南

Diagram of SMB volume joined to Microsoft Entra ID.

要求和注意事项

  • 不支持Azure NetApp 文档 NFS 卷和双协议(NFSv4.1 和 SMB)卷。

  • 支持具有 NTFS 安全样式的 NFSv3 和 SMB 双协议卷。

  • 必须已安装并配置 Microsoft Entra 连接,才能将 AD DS 用户与 Microsoft Entra ID 同步。 有关详细信息,请参阅使用快速设置开始使用 Microsoft Entra 连接。

    验证混合标识是否已与 Microsoft Entra 用户同步。 在 Microsoft Entra ID 下的Azure 门户中,导航到“用户”。 应会看到 AD DS 中的用户帐户已列出,并且启用了本地同步的属性显示“是”。

    注意

    在 Microsoft Entra 连接的初始配置后,添加新的 AD DS 用户时,必须在 管理员istrator PowerShell 中运行Start-ADSyncSyncCycle该命令,将新用户同步到 Microsoft Entra ID 或等待计划的同步发生。

  • 必须已为 Azure NetApp 文档 创建 SMB 卷。

  • 必须启用 Microsoft Entra 登录的 Windows 虚拟机(VM)。 有关详细信息,请参阅 使用 Microsoft Entra ID 登录到 Azure 中的 Windows VM。 请务必 为 VM 配置角色分配,以确定哪些帐户可以登录到 VM。

  • 必须正确配置 DNS,以便客户端 VM 可以通过完全限定的域名(FQDN)访问Azure NetApp 文档卷。

步骤

配置过程将引导你完成五个过程:

  • 将 CIFS SPN 添加到计算机帐户
  • 注册新的 Microsoft Entra 应用程序
  • 将 CIFS 密码从 AD DS 同步到 Microsoft Entra 应用程序注册
  • 配置已加入 Microsoft Entra 的 VM 以使用 Kerberos 身份验证
  • 装载Azure NetApp 文档 SMB 卷

将 CIFS SPN 添加到计算机帐户

  1. 从 AD DS 域控制器打开Active Directory 用户和计算机
  2. “视图 ”菜单下,选择“ 高级功能”。
  3. 在“计算机”下,右键单击作为Azure NetApp 文档卷一部分创建的计算机帐户,然后选择“属性”。
  4. 在“属性编辑器”下 找到 servicePrincipalName。 在多值字符串编辑器中,使用 CIFS/FQDN 格式添加 CIFS SPN 值。

Screenshot of multi-value string editor window.

注册新的 Microsoft Entra 应用程序

  1. 在Azure 门户中,导航到 Microsoft Entra ID。 选择“应用注册”。
  2. 选择“+ 新建注册”。
  3. 分派名称。 在“支持的帐户类型”下,仅选择此组织目录中的“帐户”(单租户)。
  4. 选择“注册”。

Screenshot to register application.

  1. 配置应用程序的权限。 在应用注册中,选择“API 权限,然后添加权限

  2. 选择“Microsoft Graph”,然后选择“委派的权限”。 在“选择权限”下,选择 OpenId 权限下的 openid配置文件

    Screenshot to register API permissions.

  3. 选择添加权限

  4. API 权限中,选择“ 授予管理员同意...”

    Screenshot to grant API permissions.

  5. “身份验证”中,在“应用实例属性锁定”下,选择“配置”,然后取消选择标记为“启用”属性锁的检查框。

    Screenshot of app registrations.

  6. “概述”中,记 下稍后需要的应用程序(客户端)ID

将 CIFS 密码从 AD DS 同步到 Microsoft Entra 应用程序注册

  1. 从 AD DS 域控制器打开 PowerShell。

  2. 安装用于同步密码的 混合身份验证管理模块

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. 定义以下变量:

    • $servicePrincipalName:装载Azure NetApp 文档卷的 SPN 详细信息。 使用 CIFS/FQDN 格式。 例如:CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID:Microsoft Entra 应用程序的应用程序(客户端)ID。
    • $domainCred:使用 Get-Credential (应为 AD DS 域管理员)
    • $cloudCred:use Get-Credential (应为 Microsoft Entra Global 管理员istrator)
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    注意

    此命令 Get-Credential 将启动一个弹出窗口,可在其中输入凭据。

  4. 将 CIFS 详细信息导入 Microsoft Entra ID:

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

配置已加入 Microsoft Entra 的 VM 以使用 Kerberos 身份验证

  1. 使用具有管理权限的混合凭据登录到已加入 Microsoft Entra 的 VM(例如: user@mydirectory.onmicrosoft.com

  2. 配置 VM:

    1. 导航到“编辑组策略>计算机配置>管理员编辑模板>系统>Kerberos”。
    2. 启用 “允许在登录期间检索 Microsoft Entra Kerberos 票证授予票证”。
    3. 启用 “定义主机名到 Kerberos 领域映射”。 选择“显示,然后使用句点之前的域名提供值名称和。 例如:
      • 值名称:KERBEROS.MICROSOFTONLINE.COM
      • 值:.contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

装载Azure NetApp 文档 SMB 卷

  1. 使用从 AD DS 同步的混合标识帐户登录到已加入 Microsoft Entra 的 VM。

  2. 使用Azure 门户中提供的信息装载Azure NetApp 文档 SMB 卷。 有关详细信息,请参阅 Windows VM 的装载 SMB 卷。

  3. 确认装载的卷正在使用 Kerberos 身份验证,而不是 NTLM 身份验证。 打开命令提示符,发出 klist 命令;观察云 TGT (krbtgt) 和 CIFS 服务器票证信息中的输出。

    Screenshot of CLI output.

其他信息