نظرة عامة - مصادقة خدمات مجال Active Directory المحلية عبر SMB لمشاركات Azure Files
Azure Files تدعم المصادقة المستندة إلى الهوية عبر بروتوكول Server Message Block (SMB) من خلال نوعين من خدمات المجال: خدمات مجال Active Directory المحلي (AD DS) وخدمات مجال Azure Active Directory (Microsoft Azure Active Directory DS). نوصيك بشدة بمراجعة قسم كيفية العمل لتحديد خدمة المجال المناسبة للمصادقة. يختلف الإعداد حسب خدمة المجال التي تختارها. تركز هذه السلسلة من المقالات على تمكين وتكوين AD DS المحلي للمصادقة مع مشاركات Azure Files.
إذا كنت مستخدماً جديداً لمشاركات Azure Files، نوصي بقراءة دليل التخطيط قبل قراءة سلسلة المقالات التالية.
ينطبق على
| نوع مشاركة الملف | SMB | NFS |
|---|---|---|
| مشاركات الملفات القياسية (GPv2)، LRS/ZRS |  |
 |
| مشاركات الملفات القياسية (GPv2)، GRS/GZRS | |
|
| مشاركات الملفات المتميزة (FileStorage)، LRS/ZRS | |
|
السيناريوهات والقيود المدعومة
- يجب مزامنة هويات AD DS المستخدمة لـ Azure Files المحلية AD DS مصادقة مع Microsoft Azure Active Directory أو استخدام إذن افتراضي على مستوى المشاركة. مزامنة تجزئة كلمة المرور اختيارية.
- يدعم مشاركات ملف Azure المُدارة بواسطة Azure File Sync.
- يدعم مصادقة Kerberos مع AD مع تشفير AES 256 (موصى به) والتعليمة البرمجية لمصادقة الرسالة المستندة إلى التجزئة RC4. تشفير AES 128 Kerberos غير مدعوم حتى الآن.
- يدعم تجربة تسجيل الدخول الأحادي.
- مدعوم فقط على العملاء الذين يعملون على إصدارات نظام تشغيل أحدث من Windows 7 أو Windows Server 2008 R2.
- مدعوم فقط مقابل غابة تفرعات AD التي تم تسجيل حساب التخزين بها. يمكنك فقط الوصول إلى مشاركات Azure Files باستخدام بيانات اعتماد AD DS من غابة واحدة بشكل افتراضي. إذا كنت بحاجة إلى الوصول إلى مشاركة ملف Azure من غابة مختلفة، فتأكد من تكوين الثقة المناسبة للغابة، راجع الأسئلة المتداولة للحصول على التفاصيل.
- لا يدعم المصادقة على حسابات الكمبيوتر التي تم إنشاؤها في AD DS.
- لا يدعم المصادقة مقابل مشاركات الملفات لنظام ملفات الشبكة (NFS).
عند تمكين AD DS لمشاركات Azure Files عبر SMB، يمكن للأجهزة المرتبطة بـ AD DS تحميل مشاركات Azure Files باستخدام بيانات اعتماد AD DS الحالية. يمكن تمكين هذه الإمكانية من خلال بيئة AD DS مستضافة إما في أجهزة محمولة أو مستضافة في Azure.
ملفات الفيديو
لمساعدتك في إعداد مصادقة Azure Files AD لبعض حالات الاستخدام الشائعة، نشرنا مقطعي فيديو مع إرشادات خطوة بخطوة للسيناريوهات التالية:
| استبدال خوادم الملفات المحلية بـ Azure Files (بما فيها الإعداد على ارتباط خاص للملفات ومصادقة AD) | استخدام Azure Files كحاوية ملف تعريف لـ Azure Virtual Desktop (بما في ذلك الإعداد على مصادقة AD وتكوين FSLogix) |
|---|---|
 |
 |
المتطلبات الأساسية
قبل تمكين مصادقة AD DS لمشاركات Azure Files، تأكد من إكمال المتطلبات الأساسية التالية:
حدد أو أنشئ بيئة AD DS وزامنها مع Microsoft Azure Active Directory باستخدام Microsoft Azure Active Directory Connect.
يمكنك تمكين الميزة في بيئة AD DS محلية جديدة أو موجودة. يجب مزامنة الهويات المستخدمة للوصول مع Microsoft Azure Active Directory أو استخدام إذناً افتراضياً على مستوى المشاركة. يجب أن يقترن مستأجر Microsoft Azure Active Directory ومشاركة الملف التي تقوم بالوصول إليها بالاشتراك نفسه.
المجال - انضم إلى جهاز محلي أو Azure VM إلى AD DS المحلي. للحصول على معلومات حول كيفية الانضمام إلى المجال، راجع ضم كمبيوتر إلى مجال.
إذا لم يكن جهازك منضماً إلى مجال AD DS، فقد تظل قادراً على الاستفادة من بيانات اعتماد AD للمصادقة إذا كان جهازك لديه مجال رؤية لوحدة تحكم مجال AD.
حدد أو أنشئ حساب تخزين Azure. للحصول على الأداء الأمثل، نوصي بتوزيع حساب التخزين في نفس منطقة العميل الذي تخطط للوصول إلى المشاركة منه. بعد ذلك، حمّل مشاركة ملف Azure باستخدام مفتاح حساب التخزين الخاص بك. التثبيت باستخدام مفتاح حساب التخزين يتحقق من الاتصال.
تأكد من أن حساب التخزين الذي يحتوي على مشاركات الملفات لم يتم تكوينه بالفعل لمصادقة Microsoft Azure Active Directory DS. إذا تم تمكين مصادقة Microsoft Azure Active Directory DS لـ Azure Files على حساب التخزين، فيجب تعطيلها قبل التغيير لاستخدام AD DS المحلي. يشير هذا إلى أن قوائم التحكم في الوصول (ACL) الموجودة التي تم تكوينها في بيئة Microsoft Azure Active Directory DS ستحتاج إلى إعادة تكوينها لفرض الإذن المناسب.
إذا كنت تواجه مشكلات في الاتصال بـ Azure Files، فراجع أداة استكشاف الأخطاء وإصلاحها التي نشرناها لأخطاء تحميل Azure Files على Windows.
قم بإجراء أي تكوين شبكة ذي صلة قبل تمكين وتكوين مصادقة AD DS لمشاركات Azure Files. راجع اعتبارات شبكة Azure Files لمزيد من المعلومات.
التوفر الإقليمي
تتوفر مصادقة Azure Files باستخدام AD DS في جميع مناطق Azure العامة والصين والحكومة.
نظرة عامة
إذا كنت تخطط لتمكين أي تكوينات للشبكات في مشاركة الملف، نوصيك بقراءة مقالة اعتبارات الشبكة وإكمال التكوين ذي الصلة قبل تمكين مصادقة AD DS.
يسمح لك تمكين مصادقة AD DS لمشاركات Azure Files بالمصادقة على مشاركات Azure Files باستخدام بيانات اعتماد AD DS المحلية. علاوة على ذلك، يسمح لك بإدارة أذوناتك بشكل أفضل للسماح بالتحكم في الوصول الدقيق. يتطلب القيام بذلك مزامنة الهويات من AD DS المحلي إلى Microsoft Azure Active Directory مع اتصال AD. يمكنك التحكم في الوصول إلى مستوى المشاركة باستخدام الهويات التي تمت مزامنتها مع Microsoft Azure Active Directory أثناء إدارة الوصول إلى مستوى الملف/المشاركة باستخدام بيانات اعتماد AD DS المحلية.
بعد ذلك، اتبع الخطوات أدناه لإعداد Azure Files لمصادقة AD DS:
الجزء الثالث: تكوين قوائم التحكم في الوصول لنظام التشغيل Windows عبر SMB للأدلة والملفات
الجزء الرابع: تحميل مشاركة ملف Azure إلى جهاز ظاهري مرتبط بـ AD DS
يوضح الرسم التخطيطي التالي سير العمل الشامل لتمكين مصادقة Microsoft Azure Active Directory عبر SMB لمشاركات Azure Files.
يجب مزامنة الهويات المستخدمة للوصول إلى مشاركات Azure Files مع Microsoft Azure Active Directory لفرض أذونات ملف مستوى المشاركة من خلال نموذج التحكم في الوصول استناداً إلى الدور Azure (Azure RBAC). بدلاً من ذلك، يمكنك استخدام إذن افتراضي على مستوى المشاركة. قوائم التحكم بالوصول الاختيارية بنمط Windows على الملفات/الدلائل التي تم نقلها من خوادم الملفات الحالية سيتم الاحتفاظ بها وفرضها. يوفر هذا تكاملاً سلساً مع بيئة AD DS الخاصة بمؤسستك. أثناء استبدال خوادم الملفات المحلية بمشاركات Azure Files، يمكن للمستخدمين الحاليين الوصول إلى مشاركات Azure Files من عملائهم الحاليين من خلال تجربة تسجيل دخول واحدة، دون أي تغيير في بيانات الاعتماد المستخدمة.
الخطوات التالية
لتمكين مصادقة AD DS المحلية لمشاركة ملف Azure، تابع إلى المقالة التالية: