從加入 Microsoft Entra 的 Windows 虛擬機存取 SMB 磁碟區
您可以使用 Microsoft Entra ID 搭配混合式驗證管理模組來驗證混合式雲端中的認證。 此解決方案可讓 Microsoft Entra ID 成為雲端和內部部署驗證的信任來源,規避連線到 Azure NetApp Files 的用戶端加入內部部署 AD 網域的需求。
注意
使用 Microsoft Entra 識別符來驗證 混合式使用者身分識別 ,可讓 Microsoft Entra 使用者存取 Azure NetApp Files SMB 共用。 這表示您的終端使用者可以存取 Azure NetApp Files SMB 共用,而不需要從已加入 Microsoft Entra 混合式和加入 Microsoft Entra 的 VM 取得域控制器的視線。 目前不支援僅限雲端身分識別。 如需詳細資訊,請參閱瞭解 Active Directory 網域服務 網站設計和規劃的指導方針。
需求和考慮
不支援 Azure NetApp Files NFS 磁碟區和雙重通訊協定 (NFSv4.1 和 SMB) 磁碟區。
支援具有NTFS安全性樣式的NFSv3和SMB雙重通訊協定磁碟區。
您必須已安裝並設定 Microsoft Entra 連線,才能將 AD DS 使用者與 Microsoft Entra 識別符同步處理。 如需詳細資訊,請參閱使用快速設定開始使用 Microsoft Entra 連線。
確認混合式身分識別已與 Microsoft Entra 使用者同步。 在 [Microsoft Entra 標識符] 底下的 [Azure 入口網站 中,流覽至 [使用者]。 您應該會看到 AD DS 中的使用者帳戶已列出,且已啟用內部部署同步處理的屬性會顯示 「是」。
注意
在 Microsoft Entra 連線 的初始設定之後,當您新增 AD DS 使用者時,您必須在 管理員 istrator PowerShell 中執行
Start-ADSyncSyncCycle命令,以將新使用者同步至 Microsoft Entra ID,或等候排程的同步處理發生。您必須已為 Azure NetApp Files 建立 SMB 磁碟區。
您必須已啟用 Microsoft Entra 登入的 Windows 虛擬機器 (VM)。 如需詳細資訊,請參閱 使用 Microsoft Entra ID 登入 Azure 中的 Windows VM。 請務必 設定 VM 的角色指派,以判斷哪些帳戶可以登入 VM。
DNS 必須正確設定,用戶端 VM 才能透過完整功能變數名稱 (FQDN) 存取您的 Azure NetApp Files 磁碟區。
步驟
設定程式會帶您完成五個程式:
- 將 CIFS SPN 新增至電腦帳戶
- 註冊新的 Microsoft Entra 應用程式
- 將 CIFS 密碼從 AD DS 同步至 Microsoft Entra 應用程式註冊
- 設定已加入 Microsoft Entra 的 VM 以使用 Kerberos 驗證
- 掛接 Azure NetApp Files SMB 磁碟區
將 CIFS SPN 新增至電腦帳戶
- 從您的 AD DS 域控制器開啟 Active Directory 使用者和電腦。
- 在 [ 檢視] 功能表下,選取 [ 進階功能]。
- 在 [ 計算機] 下,以滑鼠右鍵按兩下建立為 Azure NetApp Files 磁碟區一部分的電腦帳戶,然後選取 [ 屬性]。
- 在 [屬性編輯器] 底下 , 找出
servicePrincipalName。 在多重值字串編輯器中,使用 CIFS/FQDN 格式新增 CIFS SPN 值。
註冊新的 Microsoft Entra 應用程式
- 在 Azure 入口網站 中,流覽至 Microsoft Entra ID。 選取 [ 應用程式註冊]。
- 選取 + 新增註冊。
- 指派名稱。 在 [選取支持的帳戶類型] 下,選擇 [僅限此組織目錄中的帳戶](單一租使用者)。
- 選取註冊。
設定應用程式的許可權。 從您的應用程式註冊中,選取 [API 許可權],然後選取 [新增許可權]。
選取 [Microsoft Graph],然後選取 [委派的許可權]。 在 [選取許可權] 下,選取 [OpenId 許可權] 下的 [openid] 和 [配置檔]。
選取 [ 新增許可權]。
從 [API 許可權] 中,選取 [ 授與管理員同意...]。
從 [驗證] 的 [應用程式實例屬性鎖定] 底下,選取 [設定],然後取消選取標示為 [啟用屬性鎖定] 的複選框。
在 [ 概觀] 中,記下 稍後所需的應用程式 (用戶端) 識別碼。
將 CIFS 密碼從 AD DS 同步至 Microsoft Entra 應用程式註冊
從 AD DS 域控制器開啟 PowerShell。
安裝混合式驗證管理模組以同步處理密碼。
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force定義下列變數:
$servicePrincipalName:掛接 Azure NetApp Files 磁碟區的 SPN 詳細數據。 使用 CIFS/FQDN 格式。 例如:CIFS/NETBIOS-1234.CONTOSO.COM$targetApplicationID:Microsoft Entra 應用程式的應用程式(用戶端)標識碼。$domainCred:使用Get-Credential(應該是 AD DS 網域管理員)$cloudCred:useGet-Credential(應該是 Microsoft Entra Global 管理員 istrator)
$servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM $targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe $domainCred = Get-Credential $cloudCred = Get-Credential注意
此命令
Get-Credential會起始彈出視窗,您可以在其中輸入認證。將 CIFS 詳細資料匯入 Microsoft Entra 識別碼:
Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId
設定已加入 Microsoft Entra 的 VM 以使用 Kerberos 驗證
使用具有系統管理許可權的混合式認證登入已加入 Microsoft Entra 的 VM(例如: user@mydirectory.onmicrosoft.com)。
設定 VM:
- 流覽至 [編輯組策略>計算機設定> 管理員 原則範本>系統>Kerberos。
- 啟用 [允許在登入期間擷取 Microsoft Entra Kerberos 票證授與票證]。
- 啟用 [定義主機名到 Kerberos 領域對應]。 選取 [ 顯示 ],然後使用您的域名前面加上句號提供 [值 ] 和 [值 ]。 例如:
- 值名稱:KERBEROS.MICROSOFTONLINE.COM
- 值:.contoso.com
掛接 Azure NetApp Files SMB 磁碟區
使用從 AD DS 同步的混合式身分識別帳戶登入已加入 Microsoft Entra 的 VM。
使用 Azure 入口網站 中提供的資訊掛接 Azure NetApp Files SMB 磁碟區。 如需詳細資訊,請參閱 掛接 Windows VM 的 SMB 磁碟區。
確認掛接的磁碟區使用 Kerberos 驗證,而不是 NTLM 驗證。 開啟命令提示字元,發出
klist命令;觀察雲端 TGT (krbtgt) 和 CIFS 伺服器票證信息的輸出。
