Zugreifen auf SMB-Volumes von virtuellen Windows-Computern in Microsoft Entra

Sie können Microsoft Entra ID mit dem Modul für die Hybridauthentifizierungsverwaltung verwenden, um Anmeldeinformationen in Ihrer Hybridcloud zu authentifizieren. Mit dieser Lösung kann Microsoft Entra-ID zur vertrauenswürdigen Quelle für die Cloud- und lokale Authentifizierung werden, wodurch die Notwendigkeit umgangen wird, dass Clients eine Verbindung mit Azure NetApp-Dateien herstellen, um der lokalen AD-Anwendung beizutreten Standard.

Hinweis

Die Verwendung der Microsoft Entra-ID für die Authentifizierung hybrider Benutzeridentitäten ermöglicht Es Microsoft Entra-Benutzern, auf SMB-Freigaben von Azure NetApp Files zuzugreifen. Dies bedeutet, dass Ihre Endbenutzer auf SMB-Freigaben von Azure NetApp Files zugreifen können, ohne dass eine Sichtzeile erforderlich ist Standard Controller von Microsoft Entra hybrid eingebundene und in Microsoft Entra eingebundene VMs. Reine Cloudidentitäten werden zurzeit nicht unterstützt. Weitere Informationen finden Sie unter Grundlegendes zu Richtlinien für Active Directory Domain Services-Websitedesign und -planung.

Anforderungen und Überlegungen

• Azure NetApp Files NFS-Volumes und DUAL-Protocol-Volumes (NFSv4.1 und SMB) werden nicht unterstützt.

• NFSv3- und SMB-Dualprotokollvolumes mit NTFS-Sicherheitsstil werden unterstützt.

• Sie müssen Microsoft Entra Verbinden installiert und konfiguriert haben, um Ihre AD DS-Benutzer mit Microsoft Entra ID zu synchronisieren. Weitere Informationen finden Sie unter "Erste Schritte mit Microsoft Entra Verbinden mithilfe von Expresseinstellungen".

  Überprüfen Sie, ob die Hybrididentitäten mit Microsoft Entra-Benutzern synchronisiert werden. Navigieren Sie im Azure-Portal unter Der Microsoft Entra-ID zu "Benutzer". Sie sollten sehen, dass Benutzerkonten von AD DS aufgelistet sind und die Eigenschaft aktiviert ist, die lokale Synchronisierung aktiviert zeigt "Ja".

  Hinweis

  Nach der Erstkonfiguration von Microsoft Entra Verbinden müssen Sie beim Hinzufügen eines neuen AD DS-Benutzers den Start-ADSyncSyncCycle Befehl in der Administrator-PowerShell ausführen, um den neuen Benutzer mit der Microsoft Entra-ID zu synchronisieren, oder warten, bis die geplante Synchronisierung erfolgt.

• Sie müssen ein SMB-Volume für Azure NetApp Files erstellt haben.

• Sie müssen über einen virtuellen Windows-Computer (VM) verfügen, auf dem die Microsoft Entra-Anmeldung aktiviert ist. Weitere Informationen finden Sie unter Anmelden bei einer Windows-VM in Azure mithilfe der Microsoft Entra-ID. Stellen Sie sicher, dass Sie Rollenzuweisungen für den virtuellen Computer konfigurieren, um zu bestimmen, welche Konten sich bei der VM anmelden können.

• DNS muss ordnungsgemäß konfiguriert sein, damit der virtuelle Clientcomputer über den vollqualifizierten Do Standard namen (FQDN) auf Ihre Azure NetApp Files-Volumes zugreifen kann.

Schritte

Der Konfigurationsprozess führt Sie durch fünf Prozesse:

• Hinzufügen des CIFS SPN zum Computerkonto
• Registrieren einer neuen Microsoft Entra-Anwendung
• Synchronisieren des CIFS-Kennworts von AD DS mit der Registrierung der Microsoft Entra-Anwendung
• Konfigurieren der in Microsoft Entra eingebundenen VM für die Verwendung der Kerberos-Authentifizierung
• Bereitstellen der SMB-Volumes für Azure NetApp Files

Hinzufügen des CIFS SPN zum Computerkonto

1. Öffnen Sie von Ihrem AD DS Standard-Controller Active Directory-Benutzer und -Computer.
2. Wählen Sie im Menü "Ansicht" die Option "Erweiterte Features" aus.
3. Klicken Sie unter "Computer" mit der rechten Maustaste auf das Computerkonto, das als Teil des Azure NetApp Files-Volumes erstellt wurde, und wählen Sie dann "Eigenschaften" aus.
4. Suchen Sie servicePrincipalNameunter Attribut-Editor nach . Fügen Sie im Zeichenfolgen-Editor mit mehreren Werten den CIFS-SPN-Wert mithilfe des CIFS/FQDN-Formats hinzu.

Registrieren einer neuen Microsoft Entra-Anwendung

1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID. Klicken Sie auf App-Registrierungen.
2. Wählen Sie + Neue Registrierung aus.
3. Weisen Sie einen Namen zu. Wählen Sie unter "Unterstützter Kontotyp" nur "Konten" in diesem Organisationsverzeichnis (nur einzelner Mandant) aus.
4. Wählen Sie Registrieren aus.

1. Konfigurieren Sie die Berechtigungen für die Anwendung. Wählen Sie in Ihren App-Registrierungen API-Berechtigungen aus, und fügen Sie dann eine Berechtigung hinzu.

2. Wählen Sie Microsoft Graph und dann delegierte Berechtigungen aus. Wählen Sie unter "Berechtigungen auswählen" die Option "openid " und "profil " unter "OpenId"-Berechtigungen aus.

   

3. Wählen Sie Berechtigung hinzufügen.

4. Wählen Sie unter "API-Berechtigungen" die Option "Administratorzustimmung für... erteilen" aus.

   

5. Wählen Sie unter der Eigenschaftssperre der App-Instanz die Option "Konfigurieren" aus, und deaktivieren Sie dann das Kontrollkästchen "Eigenschaftensperre aktivieren".

   

6. Notieren Sie sich aus der Übersicht die Anwendungs-ID (Client-ID), die später erforderlich ist.

Synchronisieren des CIFS-Kennworts von AD DS mit der Registrierung der Microsoft Entra-Anwendung

1. Öffnen Sie von Ihrem AD DS Standard-Controller PowerShell.

2. Installieren Sie das Modul für die Hybridauthentifizierungsverwaltung zum Synchronisieren von Kennwörtern.

   Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force 
   

3. Definieren Sie die folgenden Variablen:

   • $servicePrincipalName: Die SPN-Details aus der Bereitstellung des Azure NetApp Files-Volumes. Verwenden Sie das CIFS/FQDN-Format. Beispiel: CIFS/NETBIOS-1234.CONTOSO.COM
   • $targetApplicationID: Anwendungs-ID (Client-ID) der Microsoft Entra-Anwendung.
   • $domainCred: Verwenden Get-Credential (sollte ein AD DS-Vorgang sein Standard Administrator)
   • $cloudCred: Verwenden Get-Credential (sollte ein globaler Microsoft Entra-Administrator sein)

   $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
   $targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
   $domainCred = Get-Credential
   $cloudCred = Get-Credential
   

   Hinweis

   Der Get-Credential Befehl initiiert ein Popupfenster, in dem Sie Anmeldeinformationen eingeben können.

4. Importieren Sie die CIFS-Details in die Microsoft Entra-ID:

   Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId 
   

Konfigurieren der in Microsoft Entra eingebundenen VM für die Verwendung der Kerberos-Authentifizierung

1. Melden Sie sich bei der microsoft Entra-VM mit Hybridanmeldeinformationen mit Administratorrechten an (z. B.: user@mydirectory.onmicrosoft.com).

2. Konfigurieren Sie die VM:

   1. Navigieren Sie zu "Gruppenrichtlinien-Computerkonfiguration>>administrative Vorlagen>system>Kerberos" bearbeiten.
   2. Aktivieren Sie das Abrufen des Microsoft Entra Kerberos-Ticketgewährungstickets während der Anmeldung zulassen.
   3. Aktivieren Sie "Definieren von Hostnamen-zu-Kerberos-Bereichszuordnungen". Wählen Sie "Anzeigen" aus, und geben Sie dann einen Wert und einen Wert an Standard dem ein Punkt vorangestellt ist. Beispiel:
      • Wertname: KERBEROS.MICROSOFTONLINE.COM
      • Wert: .contoso.com

   

Bereitstellen der SMB-Volumes für Azure NetApp Files

1. Melden Sie sich mit einem hybriden Identitätskonto, das von AD DS synchronisiert wurde, bei der Microsoft Entra-VM an.

2. Stellen Sie das SMB-Volume von Azure NetApp Files mithilfe der informationen im Azure-Portal bereit. Weitere Informationen finden Sie unter Bereitstellen von SMB-Volumes für Windows-VMs.

3. Vergewissern Sie sich, dass das bereitgestellte Volume die Kerberos-Authentifizierung verwendet und keine NTLM-Authentifizierung. Öffnen Sie eine Eingabeaufforderung, geben Sie den klist Befehl aus; beobachten Sie die Ausgabe in der Cloud TGT (krbtgt) und CIFS-Serverticketinformationen.

   

Weitere Informationen

• Grundlegendes zu Richtlinien für Active Directory-Domäne Services
• Erstellen und Verwalten von Active Directory-Verbindungen
• Einführung in Microsoft Entra Verbinden V2.0