Introducción: autenticación de Active Directory Domain Services local en SMB para recursos compartidos de archivos de Azure

Azure Files admite la autenticación basada en identidades para recursos compartidos de archivos de Windows a través del Bloque de mensajes del servidor (SMB) con el protocolo de autenticación Kerberos mediante los métodos siguientes:

• Active Directory Domain Services (AD DS) local
• Servicios de dominio de Microsoft Entra
• Microsoft Entra Kerberos para identidades de usuario híbrido

Se recomienda encarecidamente consultar la sección Funcionamiento para seleccionar el origen de AD adecuado para la autenticación. La instalación es diferente en función del servicio de dominio que se elija. Este artículo se centra en la habilitación y configuración de Azure AD DS local para la autenticación con recursos compartidos de archivos de Azure.

Si no está familiarizado con Azure Files, se recomienda que lea la guía de planeamiento.

Se aplica a

Tipo de recurso compartido de archivos	SMB	NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS

Escenarios y restricciones admitidos

• Las identidades de AD DS que se usen para la autenticación de AD DS local de Azure Files deben sincronizarse con Microsoft Entra ID o usar un permiso de nivel de recurso compartido predeterminado. La sincronización de hash de contraseña es opcional.
• Admite recursos compartidos de archivos de Azure administrados por Azure File Sync.
• Admite la autenticación Kerberos con AD y con cifrado AES 256 (recomendado) y RC4-HMAC. Todavía no se admite el cifrado de Kerberos con AES 128.
• Admite la experiencia de inicio de sesión único.
• Solo se admite en clientes Windows que ejecutan versiones del sistema operativo Windows 8/Windows Server 2012 o posteriores, o máquinas virtuales Linux (Ubuntu 18.04+ o una máquina virtual RHEL o SLES equivalente) que se ejecutan en Azure.
• Solo se admite en el bosque de AD en el que está registrada la cuenta de almacenamiento. Los usuarios que pertenecen a dominios diferentes dentro del mismo bosque deben poder acceder al recurso compartido de archivos y a los directorios o archivos subyacentes, siempre y cuando tengan los permisos adecuados.
• De forma predeterminada, solo se puede acceder a los recursos compartidos de archivos de Azure con las credenciales de AD DS desde un solo bosque. Si necesita acceso al recurso compartido de archivos de Azure desde otro bosque, asegúrese de tener configurada la confianza de bosque adecuada. Para ver más detalles, consulte Uso de Azure Files con varios bosques de Active Directory.
• No se admite la asignación de permisos de nivel de recurso compartido a cuentas de equipo (cuentas de máquina) con RBAC de Azure. Puede usar un permiso de nivel de recurso compartido predeterminado para permitir que las cuentas de equipo accedan al recurso compartido o considerar la posibilidad de usar una cuenta de inicio de sesión del servicio en su lugar.
• No admite la autenticación en recursos compartidos de archivos de Network File System (NFS).

Al habilitar AD DS para recursos compartidos de archivos de Azure en SMB, las máquinas unidas a AD DS pueden montar recursos compartidos de archivos de Azure con sus credenciales de AD DS existentes. Esta funcionalidad se puede habilitar con un entorno de AD DS hospedado en máquinas del entorno local o en una máquina virtual (VM) en Azure.

Vídeos

Para ayudarle a configurar la autenticación basada en identidades para algunos casos de uso comunes, publicamos dos vídeos con instrucciones paso a paso para los escenarios siguientes. Tenga en cuenta que Azure Active Directory es ahora Microsoft Entra ID. Para más información, consulte Nuevo nombre para Azure AD.

Reemplazo de servidores de archivos locales por Azure Files (incluida la configuración en un vínculo privado para la autenticación de archivos y AD)	Uso de Azure Files como contenedor de perfiles para Azure Virtual Desktop (incluida la configuración de la autenticación de AD y la configuración de FSLogix)

Requisitos previos

Antes de habilitar la autenticación de AD DS para los recursos compartidos de archivos de Azure, asegúrese de que cumple los siguientes requisitos previos:

• Seleccione o cree su entorno de AD DS y sincronícelo con Microsoft Entra ID mediante la aplicación de sincronización de Microsoft Entra Connect local o Microsoft Entra Connect Cloud Sync, un agente ligero que se puede instalar desde el Centro de Administración de Microsoft Entra.

  La característica se puede habilitar en un entorno de AD DS nuevo o existente. Las identidades que se usen para el acceso deben sincronizarse con Microsoft Entra ID o usar un permiso de nivel de recurso compartido predeterminado. El inquilino de Microsoft Entra y el recurso compartido de archivos al que accede debe estar asociado con la misma suscripción.

• Unir una máquina local o una máquina virtual de Azure por dominio a un AD DS local. Para información acerca de cómo unirse a un dominio, consulte Unión de un equipo a un dominio.

  Si una máquina no está unida a un dominio, todavía puede usar AD DS para la autenticación si la máquina tiene conectividad de red con el controlador de dominio de AD local y el usuario proporciona credenciales explícitas. Para más información, consulte Montaje del recurso compartido de archivos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio de AD diferente.

• Seleccione o cree una cuenta de almacenamiento de Azure. Para conseguir un rendimiento óptimo, se recomienda implementar la cuenta de almacenamiento en la misma región que el cliente desde el que vaya a acceder al recurso compartido. A continuación, monte el recurso compartido de archivos de Azure con la clave de la cuenta de almacenamiento. Al montar con la clave de la cuenta de almacenamiento, se comprueba la conectividad.

  Asegúrese de que la cuenta de almacenamiento que contiene los recursos compartidos de archivos no esté aún configurada para la autenticación basada en la identidad. Si ya hay un origen de AD habilitado en la cuenta de almacenamiento, debe deshabilitarlo antes de habilitar AD DS local.

  Si tiene problemas para conectarse a Azure Files, vea la herramienta de solución de problemas publicada para solucionar los errores de montaje de Azure Files en Windows.

• Realice una configuración de red relevante antes de habilitar y configurar la autenticación de AD DS en los recursos compartidos de archivos de Azure. Consulte Consideraciones de redes para Azure Files para obtener más información.

Disponibilidad regional

La autenticación de Azure Files con AD DS está disponible en todas las regiones públicas, en China y en las de Azure Government.

Información general

Si planea habilitar configuraciones de red en el recurso compartido de archivos, se recomienda que lea el artículo sobre consideraciones de redes y que complete la configuración relacionada antes de habilitar la autenticación de AD DS.

Habilitar la autenticación de AD DS para los recursos compartidos de archivos de Azure le permite autenticarse en los recursos compartidos de archivos de Azure con las credenciales de AD DS local. Además, le permite administrar mejor los permisos para permitir el control de acceso granular. Hacer esto requiere la sincronización de identidades de AD DS local con Microsoft Entra ID mediante la aplicación de sincronización de Microsoft Entra local o Microsoft Entra Connect Cloud Sync, un agente ligero que se puede instalar desde el Centro de Administración de Microsoft Entra. Debe asignar permisos de nivel de recurso compartido a identidades híbridas sincronizadas con Microsoft Entra ID al administrar el acceso de nivel de archivo o directorio mediante listas ACL de Windows.

Siga estos pasos para configurar Azure Files para la autenticación de AD DS:

1. Habilitación de la autenticación con AD DS en la cuenta de almacenamiento

2. Asignación de permisos de nivel de recurso compartido a la identidad de Microsoft Entra (usuario, grupo o entidad de servicio) que está sincronizada con la identidad de AD de destino

3. Configuración de ACL de Windows en SMB para directorios y archivos

4. Monte un recurso compartido de archivos de Azure en una VM unida a su AD DS.

5. Actualice la contraseña de la identidad de la cuenta de almacenamiento en AD DS.

En el diagrama siguiente se ilustra el flujo de trabajo completo para habilitar la autenticación de Azure AD DS a través de SMB para Azure Files.

Las identidades que se usan para acceder a los recursos compartidos de archivos de Azure se deben sincronizar con Microsoft Entra ID para aplicar los permisos de archivo de nivel de recurso compartido mediante el modelo de control de acceso basado en roles de Azure (RBAC de Azure). También puede usar un permiso de nivel de recurso compartido predeterminado. Se conservarán y aplicarán las DACL tipo Windows en archivos o directorios transferidos desde servidores de archivos existentes. Esto ofrece una perfecta integración con el entorno de AD DS de la empresa. A medida que reemplaza los servidores de archivos locales por recursos compartidos de archivos de Azure, los usuarios existentes pueden acceder a estos desde sus clientes actuales con una experiencia de inicio de sesión único, sin ningún cambio en las credenciales en uso.

Pasos siguientes

Para empezar, debe habilitar la autenticación de AD DS para la cuenta de almacenamiento.