Microsoft Entra 조인 Windows 가상 머신에서 SMB 볼륨에 액세스

  • 아티클

하이브리드 인증 관리 모듈에서 Microsoft Entra ID를 사용하여 하이브리드 클라우드에서 자격 증명을 인증할 수 있습니다. 이 솔루션을 사용하면 Microsoft Entra ID가 클라우드 및 온-프레미스 인증 모두에 대한 신뢰할 수 있는 원본이 될 수 있으므로 Azure NetApp Files에 연결하는 클라이언트가 온-프레미스 AD 도메인에 가입할 필요가 없습니다.

참고 항목

하이브리드 사용자 ID를 인증하기 위해 Microsoft Entra ID를 사용하면 Microsoft Entra 사용자가 Azure NetApp Files SMB 공유에 액세스할 수 있습니다. 즉, 최종 사용자는 Microsoft Entra 하이브리드 조인 및 Microsoft Entra 조인 VM에서 도메인 컨트롤러에 대한 시야가 확보되지 않아도 Azure NetApp Files SMB 공유에 액세스할 수 있습니다. 클라우드 전용 ID는 현재 지원되지 않습니다. 자세한 내용은 Active Directory Domain Services 사이트 디자인 및 계획에 대한 지침 이해를 참조하세요.

Diagram of SMB volume joined to Microsoft Entra ID.

요구 사항 및 고려 사항

  • Azure NetApp Files NFS 볼륨 및 이중 프로토콜(NFSv4.1 및 SMB) 볼륨은 지원되지 않습니다.

  • NTFS 보안 스타일을 사용하는 NFSv3 및 SMB 이중 프로토콜 볼륨이 지원됩니다.

  • AD DS 사용자를 Microsoft Entra ID와 동기화하려면 Microsoft Entra Connect를 설치하고 구성해야 합니다. 자세한 내용은 기본 설정을 사용하여 Microsoft Entra Connect 시작을 참조하세요.

    하이브리드 ID가 Microsoft Entra 사용자와 동기화되었는지 확인합니다. Azure Portal의 Microsoft Entra ID 아래에서 사용자로 이동합니다. AD DS의 사용자 계정이 나열되고 온-프레미스 동기화 사용 속성이 "yes"로 표시되는 것을 확인할 수 있습니다.

    참고 항목

    Microsoft Entra Connect의 초기 구성 후에 새 AD DS 사용자를 추가할 때 관리자 PowerShell에서 Start-ADSyncSyncCycle 명령을 실행하여 새 사용자를 Microsoft Entra ID와 동기화하거나 예약된 동기화가 발생할 때까지 기다려야 합니다.

  • Azure NetApp Files에 대한 SMB 볼륨을 만들었어야 합니다.

  • Microsoft Entra 로그인을 사용하도록 설정된 Windows VM(가상 머신)이 있어야 합니다. 자세한 내용은 Microsoft Entra ID를 사용하여 Azure의 Windows VM에 로그인을 참조하세요. VM에 로그인할 수 있는 계정을 결정하려면 VM에 대한 역할 할당을 구성해야 합니다.

  • 클라이언트 VM이 FQDN(정규화된 도메인 이름)을 통해 Azure NetApp Files 볼륨에 액세스할 수 있도록 DNS를 올바르게 구성해야 합니다.

단계

구성 프로세스는 다음 5가지 프로세스를 안내합니다.

  • 컴퓨터 계정에 CIFS SPN 추가
  • 새 Microsoft Entra 애플리케이션 등록
  • AD DS의 CIFS 암호를 Microsoft Entra 애플리케이션 등록과 동기화
  • Kerberos 인증을 사용하도록 Microsoft Entra 조인 VM 구성
  • Azure NetApp Files SMB 볼륨 탑재

컴퓨터 계정에 CIFS SPN 추가

  1. AD DS 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.
  2. 보기 메뉴에서 고급 기능을 선택합니다.
  3. 컴퓨터에서 Azure NetApp Files 볼륨의 일부로 만든 컴퓨터 계정을 마우스 오른쪽 단추로 클릭한 다음, 속성을 선택합니다.
  4. 특성 편집기에서 servicePrincipalName을 찾습니다. 다중값 문자열 편집기에서 CIFS/FQDN 형식을 사용하여 CIFS SPN 값을 추가합니다.

Screenshot of multi-value string editor window.

새 Microsoft Entra 애플리케이션 등록

  1. Azure Portal에서 Microsoft Entra ID로 이동합니다. 앱 등록을 선택합니다.
  2. + 새 등록을 선택합니다.
  3. 이름을 할당합니다. 지원되는 계정 유형 선택에서 이 조직 디렉터리의 계정만(단일 테넌트)을 선택합니다.
  4. 등록을 선택합니다.

Screenshot to register application.

  1. 애플리케이션에 대한 권한을 구성합니다. 앱 등록에서 API 권한을 선택한 다음, 권한 추가를 선택합니다.

  2. Microsoft Graph를 선택한 다음, 위임된 권한을 선택합니다. 권한 선택OpenId 권한 아래에서 openid프로필을 선택합니다.

    Screenshot to register API permissions.

  3. 권한 추가를 선택합니다.

  4. API 권한에서 관리자 동의 허용...을 선택합니다.

    Screenshot to grant API permissions.

  5. 인증앱 인스턴스 속성 잠금 아래에서 구성을 선택한 다음, 속성 잠금 사용 레이블이 지정된 확인란의 선택을 취소합니다.

    Screenshot of app registrations.

  6. 개요에서 나중에 필요한 애플리케이션(클라이언트) ID를 기록해 둡니다.

AD DS의 CIFS 암호를 Microsoft Entra 애플리케이션 등록과 동기화

  1. AD DS 도메인 컨트롤러에서 PowerShell을 엽니다.

  2. 암호를 동기화하기 위한 하이브리드 인증 관리 모듈을 설치합니다.

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. 다음 변수를 정의합니다.

    • $servicePrincipalName: Azure NetApp Files 볼륨 탑재의 SPN 세부 정보입니다. CIFS/FQDN 형식을 사용합니다. 예: CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID: Microsoft Entra 애플리케이션의 애플리케이션(클라이언트) ID입니다.
    • $domainCred: Get-Credential(AD DS 도메인 관리자여야 함)을 사용합니다.
    • $cloudCred: Get-Credential(Microsoft Entra 전역 관리자여야 함)을 사용합니다.
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    참고 항목

    Get-Credential 명령은 자격 증명을 입력할 수 있는 팝업 창을 시작합니다.

  4. Microsoft Entra ID로 CIFS 세부 정보를 가져옵니다.

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

Kerberos 인증을 사용하도록 Microsoft Entra 조인 VM 구성

  1. 관리 권한이 있는 하이브리드 자격 증명을 사용하여 Microsoft Entra 조인 VM에 로그인합니다(예: user@mydirectory.onmicrosoft.com).

  2. VM 구성:

    1. 그룹 정책 편집>컴퓨터 구성>관리 템플릿>시스템>Kerberos로 이동합니다.
    2. 로그온하는 동안 Microsoft Entra Kerberos 허용 티켓 검색 허용을 사용하도록 설정합니다.
    3. 호스트 이름-Kerberos 영역 매핑 정의를 사용하도록 설정합니다. 표시를 선택한 다음, 도메인 이름과 마침표를 차례로 입력하여 사용하여 값 이름을 제공합니다. 예:
      • 값 이름: KERBEROS.MICROSOFTONLINE.COM
      • 값: .contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

Azure NetApp Files SMB 볼륨 탑재

  1. AD DS에서 동기화된 하이브리드 ID 계정을 사용하여 Microsoft Entra 조인 VM에 로그인합니다.

  2. Azure Portal에 제공된 정보를 사용하여 Azure NetApp Files SMB 볼륨을 탑재합니다. 자세한 내용은 Windows VM용 SMB 볼륨 탑재를 참조하세요.

  3. 탑재된 볼륨이 NTLM 인증이 아닌 Kerberos 인증을 사용하고 있는지 확인합니다. 명령 프롬프트를 열고 klist 명령을 실행합니다. 클라우드 TGT(krbtgt) 및 CIFS 서버 티켓 정보의 출력을 확인합니다.

    Screenshot of CLI output.

추가 정보