تمكين مصادقة خدمات مجال Microsoft Azure Active Directory على Azure Files
Azure Files تدعم المصادقة المستندة إلى الهوية عبر بروتوكول Server Message Block (SMB) من خلال نوعين من خدمات المجال: خدمات مجال Active Directory المحلي (AD DS) وخدمات مجال Azure Active Directory (Microsoft Azure Active Directory DS). نوصيك بشدة بمراجعة قسم كيفية العمل لتحديد خدمة المجال المناسبة للمصادقة. يختلف الإعداد حسب خدمة المجال التي تختارها. تركز هذه المقالة على تمكين وتكوين Microsoft Azure Active Directory DS للمصادقة مع مشاركات Azure Files.
إذا كنت مستخدماً جديداً لمشاركات Azure Files، نوصي بقراءة دليل التخطيط قبل قراءة سلسلة المقالات التالية.
ملاحظة
تدعم Azure Files مصادقة Kerberos مع Microsoft Azure Active Directory DS بتشفير RC4-HMAC وAES-256. نوصي باستخدام AES-256.
تدعم Azure Files المصادقة لـ Microsoft Azure Active Directory DS بمزامنة كاملة مع Microsoft Azure Active Directory. إذا قمت بتمكين المزامنة محددة النطاق في Microsoft Azure Active Directory DS والتي تقوم فقط بمزامنة مجموعة محدودة من الهويات من Microsoft Azure Active Directory، فإن المصادقة والتخويل غير مدعومين.
ينطبق على
| نوع مشاركة الملف | SMB | NFS |
|---|---|---|
| مشاركات الملفات القياسية (GPv2)، LRS/ZRS |  |
 |
| مشاركات الملفات القياسية (GPv2)، GRS/GZRS | |
|
| مشاركات الملفات المتميزة (FileStorage)، LRS/ZRS | |
|
المتطلبات الأساسية
قبل تمكين Microsoft Azure Active Directory عبر SMB لمشاركات Azure Files، تأكد من إكمال المتطلبات الأساسية التالية:
حدد أو أنشئ مستأجر Microsoft Azure Active Directory.
يمكنك استخدام مستأجر جديد أو موجود لمصادقة Microsoft Azure Active Directory عبر SMB. يجب أن يكون المستأجر ومشاركة الملف التي تريد الوصول إليها مقترنة بنفس الاشتراك.
لإنشاء مستأجر Azure AD جديد، يمكنك إضافة مستأجر Microsoft Azure Active Directory واشتراك Microsoft Azure Active Directory. إذا كان لديك مستأجر Microsoft Azure Active Directory موجود ولكنك تريد إنشاء مستأجر جديد لاستخدامه مع مشاركات Azure Files، فراجع إنشاء مستأجر Azure Active Directory.
تمكين خدمات مجال Microsoft Azure Active Directory على مستأجر Microsoft Azure Active Directory.
لدعم المصادقة باستخدام بيانات اعتماد Azure AD، يجب عليك تمكين خدمات مجال Microsoft Azure Active Directory لمستأجر Microsoft Azure Active Directory الخاص بك. إذا لم تكن المسؤول عن مستأجر Microsoft Azure Active Directory، فاتصل بالمسؤول واتبع الإرشادات خطوة بخطوة من أجل تمكين خدمات مجال Azure Active Directory باستخدام مدخل Microsoft Azure.
عادةً ما يستغرق اكتمال توزيع Microsoft Azure Active Directory DS حوالي 15 دقيقة. تحقق من أن الحالة الصحية لـ Microsoft Azure Active Directory DS تُظهر قيد التشغيل، مع تمكين مزامنة تجزئة كلمة المرور، قبل المتابعة إلى الخطوة التالية.
مجال - الانضمام إلى Azure VM مع Microsoft Azure Active Directory DS.
للوصول إلى مشاركة ملف باستخدام بيانات اعتماد Microsoft Azure Active Directory من جهاز ظاهري، يجب أن يكون الجهاز الظاهري الخاص بك مرتبطاً بالمجال إلى Microsoft Azure Active Directory DS. لمزيد من المعلومات حول كيفية الانضمام إلى المجال الظاهري، راجع الانضمام إلى جهاز ظاهري Windows Server إلى مجال مدار.
ملاحظة
مصادقة Microsoft Azure Active Directory DS عبر SMB مع مشاركات Azure Files مدعومة فقط على Azure VMs التي تعمل على إصدارات نظام تشغيل أعلى من Windows 7 أو Windows Server 2008 R2.
حدد أو أنشئ مشاركة ملف Azure.
حدد مشاركة ملف جديدة أو حالية مقترنة بنفس الاشتراك مثل مستأجر Microsoft Azure Active Directory الخاص بك. للحصول على معلومات حول إنشاء مشاركة ملف جديد، راجع إنشاء مشاركة ملف في Azure Files. للحصول على الأداء الأمثل، نوصي بأن تكون مشاركة الملفات الخاصة بك في نفس المنطقة مثل الجهاز الظاهري الذي تخطط للوصول إلى المشاركة منه.
تحقق من اتصال Azure Files عن طريق تحميل مشاركات Azure Files باستخدام مفتاح حساب التخزين.
للتحقق من تكوين VM ومشاركة الملفات بشكل صحيح، حاول تحميل مشاركة الملف باستخدام مفتاح حساب التخزين الخاص بك. لمزيد من المعلومات، راجع تحميل مشاركة ملف Azure والوصول إلى المشاركة في Windows.
التوفر الإقليمي
تتوفر مصادقة Azure Files باستخدام Microsoft Azure Active Directory DS في جميع مناطق Azure العامة والحكومية الصينية.
نظرة عامة على سير العمل
قبل تمكين مصادقة Microsoft Azure Active Directory DS عبر SMB لمشاركة Azure Files، تحقق من تكوين بيئات Microsoft Azure Active Directory وAzure Storage بشكل صحيح. نوصي باستعراض المتطلبات الأساسية للتأكد من إكمال جميع الخطوات المطلوبة.
بعد ذلك، قم بالأشياء التالية لمنح الوصول إلى موارد Azure Files باستخدام بيانات اعتماد Microsoft Azure Active Directory:
- قم بتمكين مصادقة Microsoft Azure Active Directory DS عبر SMB لحساب التخزين الخاص بك لتسجيل حساب التخزين مع توزيع Microsoft Azure Active Directory DS المرتبط.
- قم بتعيين أذونات الوصول لمشاركة إلى هوية Microsoft Azure Active Directory (مستخدم أو مجموعة أو مدير خدمة).
- تكوين أذونات NTFS عبر SMB للأدلة والملفات.
- تحميل مشاركة ملف Azure من جهاز ظاهري مرتبط بالمجال.
يوضح الرسم التخطيطي التالي سير العمل الشامل لتمكين مصادقة Microsoft Azure Active Directory DS عبر SMB لـ Azure Files.
موصى به: استخدم تشفير AES-256
بشكل افتراضي، تستخدم مصادقة Microsoft Azure Active Directory DS تشفير Kerberos RC4. نوصي بتكوينه لاستخدام تشفير Kerberos AES-256 بدلاً من ذلك باتباع الخطوات التالية:
بصفتك مستخدم Microsoft Azure Active Directory DS لديه الأذونات المطلوبة (عادة، سيكون لدى أعضاء مجموعة مسؤولي DC AAD (دليل Azure النشط) الأذونات اللازمة)، افتح غلاف سحابة Azure.
قم بتنفيذ الأوامر التالية:
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
قم بتمكين مصادقة Microsoft Azure Active Directory DS لحسابك
لتمكين مصادقة Microsoft Azure Active Directory DS عبر SMB لـ Azure Files، يمكنك تعيين خاصية على حسابات التخزين باستخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI. تعيين هذه الخاصية ضمنياً "المجال ينضم" إلى حساب التخزين مع توزيع Microsoft Azure Active Directory DS المرتبط. يتم بعد ذلك تمكين مصادقة Microsoft Azure Active Directory DS عبر SMB لجميع مشاركات الملفات الجديدة والحالية في حساب التخزين.
ضع في اعتبارك أنه لا يمكنك تمكين مصادقة Azure AD DS عبر SMB إلا بعد أن تقوم بنشر Microsoft Azure Active Directory DS بنجاح إلى مستأجر Microsoft Azure Active Directory الخاص بك. لمزيد من المعلومات، راجع المتطلبات الأساسية.
لتمكين مصادقة Microsoft Azure Active Directory DS عبر SMB باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية:
في مدخل Microsoft Azure، انتقل إلى حساب التخزين الحالي، أو أنشئ حساب تخزين.
في قسم مشاركات الملفات، حدد Active directory: Not Configured.
حدد Azure Active Directory Domain Services ثم بدّل زر التبديل إلى ممكّن.
اختر Save.
تعيين أذونات الوصول إلى هوية
للوصول إلى موارد Azure Files باستخدام المصادقة المستندة إلى الهوية، يجب أن يكون لدى الهوية (مستخدم أو مجموعة أو كيان الخدمة) الأذونات اللازمة على مستوى المشاركة. تشبه هذه العملية تحديد أذونات مشاركة Windows، حيث تحدد نوع الوصول الذي يمتلكه مستخدم معين إلى مشاركة ملف. يوضح التوجيه في هذا القسم كيفية تعيين أذونات القراءة أو الكتابة أو الحذف لمشاركة ملف إلى هوية.
لقد قدمنا ثلاثة أدوار مضمنة في Azure لمنح أذونات على مستوى المشاركة للمستخدمين:
- يسمح قارئ مشاركة SMB لبيانات الملفات بالوصول للقراءة في مشاركات ملفات تخزين Azure عبر SMB.
- يسمح قارئ مشاركة SMB لبيانات الملفات بالقراءة والكتابة والحذف في مشاركات ملفات تخزين Azure عبر SMB.
- تسمح بيانات التخزين SMB مشاركة بقراءة أذونات NTFS وكتابتها وحذفها وتعديلها في مشاركات Azure Files Storage عبر SMB.
هام
يتطلب التحكم الإداري الكامل لمشاركة الملف، بما في ذلك القدرة على الحصول على ملكية ملف، استخدام مفتاح حساب التخزين. التحكم الإداري غير مدعوم ببيانات اعتماد Microsoft Azure Active Directory.
يمكنك استخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI لتعيين الأدوار المضمنة لهوية Microsoft Azure Active Directory للمستخدم لمنح أذونات على مستوى المشاركة. اعلم أن تعيين دور Azure على مستوى المشاركة قد يستغرق بعض الوقت ليكون ساري المفعول.
ملاحظة
تذكر أن تزامن بيانات اعتماد AD DS مع Microsoft Azure Active Directory إذا كنت تخطط لاستخدام AD DS الداخلي للمصادقة. تعد مزامنة تجزئة كلمة المرور من AD DS إلى Microsoft Azure Active Directory اختيارية. سيتم منح إذن مستوى المشاركة لهوية Microsoft Azure Active Directory التي تتم مزامنتها من AD DS الداخلي.
التوصية العامة هي استخدام إذن مستوى المشاركة لإدارة الوصول عالي المستوى إلى مجموعة AD تمثل مجموعة من المستخدمين والهويات، ثم الاستفادة من أذونات NTFS للتحكم في الوصول الدقيق على مستوى الدليل/الملف.
تعيين دور Azure لهوية AD
لتعيين دور Azure لهوية Microsoft Azure Active Directory، باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية:
- في مدخل Microsoft Azure، انتقل إلى مشاركة الملف، أو إنشاء مشاركة ملف.
- حدد Access Control (IAM).
- حدد إضافة تعيين دور
- في النص الأصلي إضافة تعيين دور، حدد الدور المضمن المناسب (قارئ مشاركة SMB لبيانات ملف التخزين، مساهم مشاركة SMB لبيانات ملف التخزين) من قائمة الدور. اترك تعيين الوصول إلى في الإعداد الافتراضي: مستخدم Microsoft Azure Active Directory أو المجموعة أو مدير الخدمة. حدد هوية Microsoft Azure Active Directory المستهدفة بالاسم أو عنوان البريد الإلكتروني.
- حدد Save لإكمال عملية تعيين الدور.
تكوين أذونات NTFS عبر SMB
بعد تعيين أذونات على مستوى المشاركة مع RBAC، يجب تعيين أذونات NTFS المناسبة على مستوى الجذر أو الدليل أو الملف. فكر في الأذونات على مستوى المشاركة باعتبارها حارس البوابة عالي المستوى الذي يحدد ما إذا كان يمكن للمستخدم الوصول إلى المشاركة. بينما تعمل أذونات NTFS على مستوى أكثر دقة لتحديد العمليات التي يمكن للمستخدم القيام بها على مستوى الدليل أو الملف.
تدعم Azure Files المجموعة الكاملة من أذونات NTFS الأساسية والمتقدمة. يمكنك عرض أذونات NTFS وتكوينها على الدلائل والملفات في مشاركة ملف Azure عن طريق تحميل المشاركة ثم استخدام مستكشف ملفات Windows أو تشغيل الأمر Windows icacls أو Set-ACL.
لتكوين NTFS باستخدام أذونات المستخدم المتميز، يجب تحميل المشاركة باستخدام مفتاح حساب التخزين الخاص بك من الجهاز الظاهري المرتبط بالمجال. متابعة الإرشادات الواردة في القسم التالي لتحميل مشاركة ملف Azure من موجه الأوامر وتكوين أذونات NTFS وفقاً لذلك.
يتم دعم مجموعات الأذونات التالية في الدليل الجذر لمشاركة ملف:
- BUILTIN\Administrators:(OI)(CI)(F)
- NT AUTHORITY\SYSTEM:(OI)(CI)(F)
- BUILTIN\Users:(RX)
- BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
- NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
- NT AUTHORITY\SYSTEM:(F)
- CREATOR OWNER:(OI)(CI)(IO)(F)
تحميل ملف مشترك من موجه الأوامر
استخدم الأمر Windows net use لتحميل مشاركة ملف Azure. تذكر استبدال قيم العناصر النائبة في المثال التالي بقيمك الخاصة. لمزيد من المعلومات حول تحميل مشاركات الملفات، راجع استخدام مشاركة ملف Azure مع Windows.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
net use <desired-drive letter>: \\<storage-account-name>.file.core.windows.net\<fileshare-name>
}
else
{
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
إذا كنت تواجه مشكلات في الاتصال بملفات Azure، فالرجاء الرجوع إلى أداة استكشاف الأخطاء وإصلاحها التي نشرناها لأخطاء تحميل Azure Files على Windows.
تكوين أذونات NTFS باستخدام مستكشف ملفات Windows
استخدم مستكشف ملفات Windows لمنح الإذن الكامل لجميع الدلائل والملفات الموجودة ضمن مشاركة الملفات، بما في ذلك الدليل الجذر.
- افتح مستكشف ملفات Windows وانقر بزر الماوس الأيمن على الملف/الدليل وحدد Properties.
- حدد علامة التبويب Security.
- حدد Edit.. لتغيير الأذونات.
- يمكنك تغيير أذونات المستخدمين الحاليين أو تحديد Add... لمنح أذونات للمستخدمين الجدد.
- في نافذة المطالبة لإضافة مستخدمين جدد، أدخل اسم المستخدم المستهدف الذي تريد منح الإذن له في المربع أدخل أسماء الكائنات المراد تحديدها، وحدد Check Names للعثور على الاسم الكامل اسم UPN للمستخدم المستهدف.
- حدد "OK".
- في علامة التبويب Security، حدد جميع الأذونات التي تريد منحها للمستخدم الجديد.
- اختر تطبيق.
تكوين أذونات NTFS مع icacls
استخدم أمر Windows التالي لمنح أذونات كاملة لجميع الدلائل والملفات الموجودة ضمن مشاركة الملف، بما في ذلك الدليل الجذر. تذكر استبدال قيم العناصر النائبة في المثال بقيمك الخاصة.
icacls <mounted-drive-letter>: /grant <user-email>:(f)
لمزيد من المعلومات حول كيفية استخدام icacls لتعيين أذونات NTFS وعن الأنواع المختلفة للأذونات المدعومة، راجع مرجع سطر الأوامر لـ icacls.
قم بتحميل ملف مشترك من جهاز ظاهري مرتبط بالمجال
تتحقق العملية التالية من إعداد مشاركة الملف وأذونات الوصول بشكل صحيح وأنه يمكنك الوصول إلى مشاركة ملف Azure من جهاز ظاهري متصل بالمجال. اعلم أن تعيين دور Azure على مستوى المشاركة قد يستغرق بعض الوقت ليكون ساري المفعول.
سجّل الدخول إلى الجهاز الظاهري باستخدام هوية Microsoft Azure Active Directory التي منحتها الأذونات، كما هو موضح في الصورة التالية. إذا قمت بتمكين مصادقة AD DS المحلية لـ Azure Files، فاستخدم بيانات اعتماد AD DS. بالنسبة لمصادقة Microsoft Azure Active Directory DS، قم بتسجيل الدخول باستخدام بيانات اعتماد Microsoft Azure Active Directory.
استخدم الأمر التالي لتحميل مشاركة ملف Azure. تذكر أن تستبدل قيم العنصر النائب بقيمك الخاصة. نظراً لأنه تمت مصادقتك، فلن تحتاج إلى توفير مفتاح حساب التخزين أو بيانات اعتماد AD DS المحلية أو بيانات اعتماد Microsoft Azure Active Directory DS. يتم دعم تجربة تسجيل الدخول الأحادي للمصادقة مع AD DS المحلي أو Microsoft Azure Active Directory DS. إذا واجهت مشكلات في تحميل بيانات اعتماد AD DS، فراجع استكشاف مشكلات Azure Files وإصلاحها في Windows للحصول على إرشادات.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
net use <desired-drive letter>: \\<storage-account-name>.file.core.windows.net\<fileshare-name>
}
else
{
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
لقد نجحت الآن في تمكين مصادقة Microsoft Azure Active Directory DS عبر SMB وتعيين دور مخصص يوفر الوصول إلى مشاركة ملف Azure بهوية Microsoft Azure Active Directory. لمنح مستخدمين إضافيين حق الوصول إلى مشاركة الملف الخاص بك، اتبع الإرشادات الموجودة في تعيين أذونات الوصول لاستخدام هوية وتكوين أذونات NTFS عبر أقسام SMB.
الخطوات التالية
لمزيد من المعلومات حول Azure Files وكيفية استخدام Microsoft Azure Active Directory عبر SMB، راجع هذه الموارد: