在 Azure 檔案儲存體上啟用 Microsoft Entra Domain Services 驗證

適用於： ✔️ SMB Azure 檔案共用

Azure 檔案儲存體支援透過下列三種方法，使用 Kerberos 驗證通訊協定透過伺服器訊息區 (SMB)，針對 Windows 檔案共用進行以身分識別為基礎的驗證：

內部部署的 Active Directory Domain Services (AD DS)
Microsoft Entra 網域服務
適用於混合式使用者身分識別的 Microsoft Entra Kerberos

本文著重介紹如何啟用 Microsoft Entra Domain Services (先前稱為 Azure Active Directory Domain Services)，以使用 Azure 檔案共用進行身分識別型驗證。在此驗證案例中，Microsoft Entra 認證和 Microsoft Entra Domain Services 認證相同，您可以互換使用它們。

強烈建議您檢閱運作方式一節，以為您的儲存體帳戶選擇正確的 AD 來源。根據您選擇的 AD 來源而定，設定會有所不同。

如果您不熟悉 Azure 檔案儲存體，建議您在閱讀文章之前先閱讀我們的計劃指南。

附註

Azure 檔案儲存體支援以 RC4-HMAC 和 AES-256 加密的 Microsoft Entra Domain Services 進行 Kerberos 驗證。建議您使用 AES-256。

Azure 檔案儲存體支援向 Microsoft Entra Domain Services 進行驗證，同時與 Microsoft Entra ID 進行完整或部分 (部分範圍) 的同步。對於含有限範圍同步的環境，系統管理員應注意，Azure 檔案儲存體只會接受授予給已同步主體的 Azure RBAC 角色指派。授予給未從 Microsoft Entra ID 同步至 Microsoft Entra Domain Services 之身份識別的角色指派，會被 Azure 檔案儲存體服務忽略。

先決條件

在針對 Azure 檔案共用啟用 Microsoft Entra Domain Services over SMB 之前，請務必完成下列必要條件：

選取或建立 Microsoft Entra 租用戶。

您可以使用新的或現有的租用戶。租用戶和您想要存取的檔案共用必須與相同的訂用帳戶相關聯。

若要建立新的 Microsoft Entra 租用戶，您可以新增 Microsoft Entra 租用戶和 Microsoft Entra 訂用帳戶。如果您有現有的 Microsoft Entra 租用戶，但想要建立新的租用戶與 Azure 檔案共用搭配使用，請參閱建立 Microsoft Entra 租用戶。
在 Microsoft Entra 租用戶上啟用 Microsoft Entra Domain Services。

若要支援使用 Microsoft Entra 認證進行驗證，您必須為 Microsoft Entra 租用戶啟用 Microsoft Entra Domain Services。如果您不是 Microsoft Entra 租用戶的系統管理員，請連絡系統管理員，並遵循使用 Azure 入口網站啟用 Microsoft Entra Domain Services 的逐步指引。

通常需要大約 15 分鐘才能完成 Microsoft Entra Domain Services 部署。請先確認 Microsoft Entra Domain Services 的健全狀態顯示執行中，並已啟用密碼雜湊同步，才能繼續進行下一個步驟。
將 VM 加入 Microsoft Entra Domain Services 的網域。

若要使用 Microsoft Entra 認證從 VM 中存取 Azure 檔案共用，您的 VM 必須已通過網域加入 Microsoft Entra Domain Services。如需如何加入虛擬機器網域的詳細資訊，請參閱將 Windows Server 虛擬機器加入受控網域。只有在執行 Windows 7 或 Windows Server 2008 R2 以上 OS 版本的 Windows VM，或執行 Ubuntu 18.04+ 或對等 RHEL 或 SLES VM 的 Linux VM 上，才支援使用 Azure 檔案共用透過 SMB 進行 Microsoft Entra Domain Services 驗證。

附註

如果 VM 未加入網域，則僅當 VM 對 Microsoft Entra Domain Services 的網域控制站未受限制網路連線時，VM 才能只能使用 Microsoft Entra Domain Services 驗證來存取 Azure 檔案共用。通常，此連線需要站對站或點對站 VPN。
選取或建立 Azure SMB 檔案共用。

選取與您的 Microsoft Entra 租用戶相同訂用帳戶相關聯的全新或現有 SMB Azure 檔案共用。請參閱建立 SMB Azure 檔案共用。為了獲得最佳效能，建議您的檔案共用與計劃存取共用的地方位於相同區域。

區域可用性

您可以在所有 Azure 公有、政府和中國區域中使用 Microsoft Entra 網域服務進行 Azure 檔案驗證。

工作流程概觀

下圖顯示透過 SMB 針對 Azure 檔案儲存體啟用 Microsoft Entra 網域服務驗證的端對端工作流程。

為您的帳戶啟用 Microsoft Entra Domain Services 驗證

若要針對 Azure 檔案儲存體啟用透過 SMB 進行 Microsoft Entra Domain Services 驗證，請使用 Azure 入口網站、Azure PowerShell 或 Azure CLI 在儲存體帳戶上設定一個屬性。設定此屬性會隱含地將儲存體帳戶與相關聯的 Microsoft Entra Domain Services 部署進行「網域加入」。接著，會針對儲存體帳戶中所有新的和現有的檔案共用啟用「透過 SMB 進行 Microsoft Entra Domain Services 驗證」。

只有在成功將 Microsoft Entra Domain Services 部署至 Microsoft Entra 租用戶之後，您才能透過 SMB 啟用 Microsoft Entra Domain Services 驗證。如需詳細資訊，請參閱必要條件。

若要使用 Azure 入口網站來啟用透過 SMB 進行 Microsoft Entra Domain Services 驗證，請遵循下列步驟：

在 Azure 入口網站中，移至您現有的儲存體帳戶，或建立儲存體帳戶。
選取 [資料儲存體]>[檔案共用]。
在 [檔案共用設定] 區段中，選取 [身分識別型存取：未設定]。
在 [Microsoft Entra 網域服務] 底下，選取 [ 設定]，然後選取複選框來啟用此功能。
選取 [儲存]。

若要使用 Azure PowerShell 啟用透過 SMB 進行 Microsoft Entra Domain Services 驗證，請安裝最新的 Az 模組 (2.4 版或更新版本) 或 Az.Storage 模組 (1.5 版或更新版本)。如需如何安裝 PowerShell 的詳細資訊，請參閱使用 PowerShellGet 在 Windows 上安裝 Azure PowerShell。

若要建立新的儲存體帳戶，請呼叫 New-AzStorageAccount，然後將 EnableAzureActiveDirectoryDomainServicesForFile 參數設定為 true。在下列範例中，將佔位符替換為您自己的值。（如果您使用先前的預覽模組，則啟用此功能的參數是 EnableAzureFilesAadIntegrationForSMB。

# Create a new storage account
New-AzStorageAccount -ResourceGroupName "<resource-group-name>" `
    -Name "<storage-account-name>" `
    -Location "<azure-region>" `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -EnableAzureActiveDirectoryDomainServicesForFile $true

若要在現有的儲存體帳戶上啟用這項功能，請使用下列命令：

# Update a storage account
Set-AzStorageAccount -ResourceGroupName "<resource-group-name>" `
    -Name "<storage-account-name>" `
    -EnableAzureActiveDirectoryDomainServicesForFile $true

若要使用 Azure CLI 透過 SMB 啟用 Microsoft Entra 驗證，請安裝最新的 CLI 版本（2.0.70 版或更新版本）。如需安裝 Azure CLI 的詳細資訊，請參閱安裝 Azure CLI。

若要建立新的儲存體帳戶，請呼叫 az storage account create，然後設定 --enable-files-aadds 引數。在以下範例中，將佔位符值替換為您自己的值。 (如果您使用以前的預覽模組，啟用功能的參數是 file-aad。)

# Create a new storage account
az storage account create -n <storage-account-name> -g <resource-group-name> --enable-files-aadds

若要在現有的儲存體帳戶上啟用這項功能，請使用下列命令：

# Update a new storage account
az storage account update -n <storage-account-name> -g <resource-group-name> --enable-files-aadds

建議：使用 AES-256 加密

預設情況下，Microsoft Entra Domain Services 驗證會使用 Kerberos RC4 加密。建議您遵循下列指示，將其設定為改用 Kerberos AES-256 加密。

此動作需要在 Microsoft Entra Domain Services 所管理的 Active Directory 網域上執行作業，才能連線到網域控制站，並要求網域物件的屬性變更。下列 Cmdlet 是 Windows Server Active Directory PowerShell Cmdlet，不是 Azure PowerShell Cmdlet。由於此差異，您必須從已加入 Microsoft Entra Domain Services 網域的用戶端電腦執行這些 PowerShell 命令。

重要事項

本節中的 Windows Server Active Directory PowerShell Cmdlet 必須在 Windows PowerShell 5.1 中執行，且必須從已通過網域加入 Microsoft Entra Domain Services 網域的用戶端電腦執行。 PowerShell 7.x 和 Azure Cloud Shell 在此案例中無法運作。

以具有必要許可權的 Microsoft Entra Domain Services 使用者身分登入已加入網域的用戶端電腦。您必須具有網域物件 msDS-SupportedEncryptionTypes 屬性的寫入權限。一般而言， AAD DC 系統管理員 群組的成員具有必要的許可權。開啟一般 (非提升權限的) PowerShell 工作階段，然後執行下列命令。

# 1. Find the service account in your managed domain that represents the storage account.

$storageAccountName= "<InsertStorageAccountNameHere>"
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter

if ($userObject -eq $null)
{
   Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}

# 2. Set the KerberosEncryptionType of the object

Set-ADUser $userObject -KerberosEncryptionType AES256

# 3. Validate that the object now has the expected (AES256) encryption type.

Get-ADUser $userObject -properties KerberosEncryptionType

重要事項

如果您先前使用 RC4 加密，並將儲存體帳戶更新為使用 AES-256，請在用戶端上執行 klist purge ，然後重新掛接檔案共用，以取得具有 AES-256 的新 Kerberos 票證。

後續步驟

若要授與使用者存取您的檔案共用的權限，請遵循指派共用層級權限中的指示。

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-11-07