概觀 - 為 Azure 檔案共用啟用透過 SMB 的內部部署 Active Directory Domain Services 驗證
Azure 檔案儲存體支援透過下列三種方法,使用 Kerberos 驗證通訊協定透過伺服器訊息區 (SMB),針對 Windows 檔案共用進行以身分識別為基礎的驗證:
- 內部部署 Active Directory Domain Services (AD DS)
- Microsoft Entra 網域服務
- 適用於混合式使用者身分識別的 Microsoft Entra Kerberos
強烈建議您複習運作方式一節,以選取正確的 AD 來源進行驗證。 根據您選擇的網域服務而定,設定會有所不同。 本文著重於啟用和設定內部部署 AD DS 以使用 Azure 檔案共用進行驗證。
如果您不熟悉 Azure 檔案儲存體,建議您閱讀我們的計劃指南。
適用於
| 檔案共用類型 | SMB | NFS |
|---|---|---|
| 標準檔案共用 (GPv2)、LRS/ZRS |  |
 |
| 標準檔案共用 (GPv2)、GRS/GZRS | |
|
| 進階檔案共用 (FileStorage)、LRS/ZRS | |
|
支援的案例和限制
- 用於 Azure 檔案儲存體內部部署 AD DS 驗證的 AD DS 身分識別必須同步至 Microsoft Entra ID 或使用預設共用層級權限。 密碼雜湊同步處理是選擇性的。
- 支援受 Azure 檔案同步管理的 Azure 檔案共用。
- 支援使用具有 AES 256 加密 (建議) 和 RC4-HMAC 的 AD 進行 Kerberos 驗證。 目前尚不支援 AES 128 Kerberos 加密。
- 支援單一登入體驗。
- 只有在執行 Windows 8/Windows Server 2012 或更新版本的 Windows 用戶端,或 Linux VM (Ubuntu 18.04+ 或對等的 RHEL 或 SLES VM) 在 Azure 上執行時才支援。
- 僅針對儲存體帳戶註冊所在的 AD 樹系提供支援。 屬於相同樹系內不同網域的使用者,只要擁有適當的權限,就能夠存取檔案共用和基礎目錄/檔案。
- 依預設,您只能使用來自單一樹系的 AD DS 認證來存取 Azure 檔案共用。 如果您需要從不同的樹系存取 Azure 檔案共用,請確定您已設定適當的樹系信任。 如需詳細資訊,請參閱搭配多個 Active Directory 樹系使用 Azure 檔案儲存體。
- 不支援使用 Azure RBAC 將共用層級權限指派給電腦帳戶 (電腦帳戶)。 您可以使用預設共用層級權限來允許電腦帳戶存取共用,或改為使用服務登入帳戶。
- 不支援針對網路檔案系統 (NFS) 檔案共用進行驗證。
當您透過 SMB 啟用 Azure 檔案共用的 AD DS 時,您加入 AD DS 的機器可以使用現有的 AD DS 認證來裝載 Azure 檔案共用。 這項功能可透過裝載於內部部署機器或裝載於 Azure 中虛擬機器 (VM) 的 AD DS 環境來啟用。
影片
為了協助您為一些常見的使用案例設定身分識別型驗證,我們已針對下列案例發佈兩個影片,並逐步指引。 請注意,Azure Active Directory 現在是 Microsoft Entra ID。 如需詳細資訊,請參閱 Azure AD 的新名稱。
| 使用 Azure 檔案儲存體來取代內部部署檔案伺服器 (包括檔案和 AD 驗證的私人連結設定) | 使用 Azure 檔案儲存體作為 Azure 虛擬桌面的設定檔容器 (包括 AD 驗證和 FSLogix 組態上的設定) |
|---|---|
 |
 |
必要條件
針對 Azure 檔案共用啟用 AD DS 驗證之前,請確定您已完成下列必要條件:
選取或建立 AD DS 環境,並使用內部部署 Microsoft Entra Connect Sync 應用程式或 Microsoft Entra Connect 雲端同步 (可從 Microsoft Entra Admin Center 安裝的輕量型代理程式),將其同步至 Microsoft Entra ID。
您可以在新的或現有的內部部署 AD DS 環境中啟用此功能。 用於存取的身分識別必須同步至 Microsoft Entra ID ,或使用預設的共用層級權限。 Microsoft Entra 租用戶和您想要存取的檔案共用必須與相同的訂用帳戶建立關聯。
將內部部署機器或 Azure VM 網域加入內部部署 AD DS。 如需關於如何加入網域的詳細資訊,請參閱將電腦加入網域。
如果電腦未加入網域,則在電腦可順暢連線至內部部署 AD 網域控制站且使用者提供明確的認證時,您仍然可以使用 AD DS 進行驗證。 如需詳細資訊,請參閱從未加入網域的 VM 或已加入不同 AD 網域的 VM 掛接檔案共用。
選取或建立 Azure 儲存體帳戶。 為了達到最佳效能,我們建議您將儲存體帳戶部署在您打算用來存取共用的用戶端所在相同區域中。 然後,使用您的儲存體帳戶金鑰來裝載 Azure 檔案共用。 使用儲存體帳戶金鑰來裝載時會驗證連線能力。
請確定尚未針對身分識別型驗證設定包含您檔案共用的儲存體帳戶。 如果儲存體帳戶上已啟用 AD 來源,您必須先停用它,才能啟用內部部署 AD DS。
如果您在連線至 Azure 檔案儲存體時遇到問題,請參閱我們針對 Windows 上 Azure 檔案儲存體裝載錯誤所發佈的疑難排解工具。
在啟用和設定 Azure 檔案共用的 AD DS 驗證之前,請先進行任何相關的網路設定。 如需詳細資訊,請參閱 Azure 檔案儲存體網路功能考量。
區域可用性
使用 AD DS 的 Azure 檔案儲存體驗證可在所有 Azure 公用、中國和政府區域中使用。
概觀
如果您打算在檔案共用上啟用任何網路設定,建議您先閱讀網路考量一文,並完成相關的設定,然後再啟用 AD DS 驗證。
為您的 Azure 檔案共用啟用 AD DS 驗證後,可讓您使用內部部署 AD DS 認證向 Azure 檔案共用進行驗證。 此外,此功能可讓您更妥善地管理您的權限,以允許細微的存取控制。 這樣做需要使用內部部署 Microsoft Entra Connect Sync 應用程式或 Microsoft Entra Connect 雲端同步 (可從 Microsoft Entra 系統管理中心安裝的輕量型代理程式),將身分識別從內部部署 AD DS 同步至 Microsoft Entra ID。 您會將共用層級權限指派給同步至 Microsoft Entra ID 的混合式身分識別,同時使用 Windows ACL 管理檔案/目錄層級存取。
請遵循下列步驟來設定 Azure 檔案儲存體以進行 AD DS 驗證:
下圖說明針對 Azure 檔案共用啟用「透過 SMB 進行 AD DS 驗證」的端對端工作流程。
用來存取 Azure 檔案共用的身分識別必須同步至 Microsoft Entra ID,才能透過 Azure 角色型存取控制 (Azure RBAC) 模型,來強制執行共用層級的檔案權限。 或者,您可以使用預設的共用層級權限。 從現有檔案伺服器移轉的檔案/目錄上 Windows 樣式 DACL 將會保留並強制執行。 這提供與您企業 AD DS 環境的順暢整合。 當您以 Azure 檔案共用取代內部內部部署檔案伺服器時,現有的使用者就可以透過單一登入體驗,從其目前的用戶端存取 Azure 檔案共用,而不需要變更使用中的認證。
下一步
若要開始使用,您必須為儲存體帳戶啟用 AD DS 驗證。