Microsoft Entra Domeinservices-verificatie inschakelen op Azure Files
Azure Files ondersteunt verificatie op basis van identiteiten voor Windows-bestandsshares via Server Message Block (SMB) met behulp van het Kerberos-verificatieprotocol via de volgende methoden:
- On-premises Active Directory-domein Services (AD DS)
- Microsoft Entra Domain Services.
- Microsoft Entra Kerberos voor hybride gebruikersidentiteiten
Dit artikel is gericht op het inschakelen en configureren van Microsoft Entra Domain Services (voorheen Azure Active Directory-domein Services) voor verificatie op basis van identiteiten met Azure-bestandsshares. In dit verificatiescenario zijn de referenties van Microsoft Entra en Microsoft Entra Domain Services hetzelfde en kunnen ze door elkaar worden gebruikt.
We raden u ten zeerste aan de sectie Hoe het werkt te bekijken om de juiste AD-bron voor verificatie te selecteren. De installatie is afhankelijk van de AD-bron die u kiest.
Als u niet bekend bent met Azure Files, raden we u aan onze planningshandleiding te lezen voordat u dit artikel leest.
Notitie
Azure Files ondersteunt Kerberos-verificatie met Microsoft Entra Domain Services met RC4-HMAC en AES-256-versleuteling. U wordt aangeraden AES-256 te gebruiken.
Azure Files ondersteunt verificatie voor Microsoft Entra Domain Services met volledige of gedeeltelijke (scoped) synchronisatie met Microsoft Entra ID. Voor omgevingen met een synchronisatiebereik moeten beheerders zich ervan bewust zijn dat Azure Files alleen azure RBAC-roltoewijzingen nakomt die worden verleend aan principals die worden gesynchroniseerd. Roltoewijzingen die worden verleend aan identiteiten die niet vanuit Microsoft Entra-id met Microsoft Entra Domain Services worden gesynchroniseerd, worden genegeerd door de Azure Files-service.
Van toepassing op
| Bestands sharetype | SMB | NFS |
|---|---|---|
| Standaardbestandsshares (GPv2), LRS/ZRS |  |
 |
| Standaardbestandsshares (GPv2), GRS/GZRS | |
|
| Premium bestandsshares (FileStorage), LRS/ZRS | |
|
Vereisten
Voordat u Microsoft Entra Domain Services inschakelt via SMB voor Azure-bestandsshares, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:
Selecteer of maak een Microsoft Entra-tenant.
U kunt een nieuwe of bestaande tenant gebruiken. De tenant en de bestandsshare waartoe u toegang wilt hebben, moeten zijn gekoppeld aan hetzelfde abonnement.
Als u een nieuwe Microsoft Entra-tenant wilt maken, kunt u een Microsoft Entra-tenant en een Microsoft Entra-abonnement toevoegen. Als u een bestaande Microsoft Entra-tenant hebt, maar een nieuwe tenant wilt maken voor gebruik met Azure-bestandsshares, raadpleegt u Een Microsoft Entra-tenant maken.
Schakel Microsoft Entra Domain Services in op de Microsoft Entra-tenant.
Als u verificatie met Microsoft Entra-referenties wilt ondersteunen, moet u Microsoft Entra Domain Services inschakelen voor uw Microsoft Entra-tenant. Als u niet de beheerder van de Microsoft Entra-tenant bent, neemt u contact op met de beheerder en volgt u de stapsgewijze instructies voor het inschakelen van Microsoft Entra Domain Services met behulp van Azure Portal.
Het duurt doorgaans ongeveer 15 minuten voordat de implementatie van Microsoft Entra Domain Services is voltooid. Controleer of in de status van Microsoft Entra Domain Services Wordt uitgevoerd, met wachtwoord-hashsynchronisatie ingeschakeld, wordt weergegeven voordat u verdergaat met de volgende stap.
Een azure-VM toevoegen aan een domein met Microsoft Entra Domain Services.
Als u toegang wilt krijgen tot een Azure-bestandsshare met behulp van Microsoft Entra-referenties van een virtuele machine, moet uw VM lid zijn van een domein aan Microsoft Entra Domain Services. Zie Een virtuele Windows Server-machine toevoegen aan een beheerd domein voor meer informatie over het toevoegen van een VM aan een domein. Microsoft Entra Domain Services-verificatie via SMB met Azure-bestandsshares wordt alleen ondersteund op Azure-VM's die worden uitgevoerd op OS-versies hoger dan Windows 7 of Windows Server 2008 R2.
Notitie
Vm's die geen lid zijn van een domein, hebben alleen toegang tot Azure-bestandsshares met behulp van Microsoft Entra Domain Services-verificatie als de VIRTUELE machine geen netwerkconnectiviteit heeft met de domeincontrollers voor Microsoft Entra Domain Services. Normaal gesproken is hiervoor site-naar-site- of punt-naar-site-VPN vereist.
Selecteer of maak een Azure-bestandsshare.
Selecteer een nieuwe of bestaande bestandsshare die is gekoppeld aan hetzelfde abonnement als uw Microsoft Entra-tenant. Zie Een bestandsshare maken in Azure Files voor meer informatie over het maken van een nieuwe bestandsshare. Voor optimale prestaties raden we u aan dat uw bestandsshare zich in dezelfde regio bevindt als de VIRTUELE machine van waaruit u van plan bent om toegang te krijgen tot de share.
Controleer de connectiviteit van Azure Files door Azure-bestandsshares te koppelen met behulp van uw opslagaccountsleutel.
Als u wilt controleren of uw VIRTUELE machine en bestandsshare juist zijn geconfigureerd, probeert u de bestandsshare te koppelen met behulp van de sleutel van uw opslagaccount. Zie Een Azure-bestandsshare koppelen en toegang krijgen tot de share in Windows voor meer informatie.
Regionale beschikbaarheid
Azure Files-verificatie met Microsoft Entra Domain Services is beschikbaar in alle regio's van Azure Public, Gov en China.
Overzicht van de werkstroom
Voordat u Microsoft Entra Domain Services-verificatie inschakelt via SMB voor Azure-bestandsshares, controleert u of uw Microsoft Entra-id en Azure Storage-omgevingen correct zijn geconfigureerd. We raden u aan de vereisten door te nemen om ervoor te zorgen dat u alle vereiste stappen hebt voltooid.
Volg deze stappen om toegang te verlenen tot Azure Files-resources met Microsoft Entra-referenties:
- Schakel Microsoft Entra Domain Services-verificatie via SMB in voor uw opslagaccount om het opslagaccount te registreren bij de bijbehorende Implementatie van Microsoft Entra Domain Services.
- Wijs machtigingen op shareniveau toe aan een Microsoft Entra-identiteit (een gebruiker, groep of service-principal).
- Verbinding maken naar uw Azure-bestandsshare met behulp van een opslagaccountsleutel en configureer toegangsbeheerlijsten (ACL's) voor Windows voor mappen en bestanden.
- Koppel een Azure-bestandsshare vanaf een aan een domein gekoppelde VM.
In het volgende diagram ziet u de end-to-end-werkstroom voor het inschakelen van Microsoft Entra Domain Services-verificatie via SMB voor Azure Files.
Microsoft Entra Domain Services-verificatie inschakelen voor uw account
Als u Microsoft Entra Domain Services-verificatie via SMB wilt inschakelen voor Azure Files, kunt u een eigenschap instellen voor opslagaccounts met gebruikmaking van Azure Portal, Azure PowerShell of Azure CLI. Als u deze eigenschap inschakelt, wordt het opslagaccount impliciet toegevoegd aan het domein van de corresponderendeMicrosoft Entra Domain Services-implementatie. Microsoft Entra Domain Services-verificatie via SMB wordt vervolgens ingeschakeld voor alle nieuwe en bestaande bestandsshares in het opslagaccount.
Houd er rekening mee dat u Microsoft Entra Domain Services-verificatie via SMB alleen kunt inschakelen nadat u Microsoft Entra Domain Services hebt geïmplementeerd in uw Microsoft Entra-tenant. Zie de vereisten voor meer informatie.
Voer de volgende stappen uit om Microsoft Entra Domain Services-verificatie via SMB in te schakelen via Azure Portal:
Ga in Azure Portal naar uw bestaande opslagaccount of maak een opslagaccount.
Selecteer Bestandsshares voor gegevensopslag>.
Selecteer in de sectie Instellingen voor bestandsshare de optie Op identiteit gebaseerde toegang: Niet geconfigureerd.
Selecteer Onder Microsoft Entra Domain Services de optie Instellen en schakel vervolgens de functie in door het selectievakje in te schakelen.
Selecteer Opslaan.
Aanbevolen: AES-256-versleuteling gebruiken
Standaard maakt Microsoft Entra Domain Services-verificatie gebruik van Kerberos RC4-versleuteling. U wordt aangeraden deze te configureren voor het gebruik van Kerberos AES-256-versleuteling door deze instructies te volgen.
Voor de actie moet een bewerking worden uitgevoerd op het Active Directory-domein dat wordt beheerd door Microsoft Entra Domain Services om een domeincontroller te bereiken om een wijziging van de eigenschap aan te vragen voor het domeinobject. De onderstaande cmdlets zijn Windows Server Active Directory PowerShell-cmdlets, niet Azure PowerShell-cmdlets. Daarom moeten deze PowerShell-opdrachten worden uitgevoerd vanaf een clientcomputer die lid is van het Domein van Microsoft Entra Domain Services.
Belangrijk
De Windows Server Active Directory PowerShell-cmdlets in deze sectie moeten worden uitgevoerd in Windows PowerShell 5.1 vanaf een clientcomputer die lid is van een domein dat is toegevoegd aan het domein Microsoft Entra Domain Services. PowerShell 7.x en Azure Cloud Shell werken niet in dit scenario.
Meld u aan bij de clientcomputer die lid is van het domein als microsoft Entra Domain Services-gebruiker met de vereiste machtigingen. U moet schrijftoegang hebben tot het msDS-SupportedEncryptionTypes kenmerk van het domeinobject. Normaal gesproken hebben leden van de groep AAD DC Beheer istrators de benodigde machtigingen. Open een normale (niet-verhoogde) PowerShell-sessie en voer de volgende opdrachten uit.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Belangrijk
Als u eerder RC4-versleuteling gebruikt en het opslagaccount bijwerkt om AES-256 te gebruiken, moet klist purge u deze uitvoeren op de client en vervolgens de bestandsshare opnieuw koppelen om nieuwe Kerberos-tickets op te halen met AES-256.
Machtigingen op deelniveau toewijzen
Als u toegang wilt krijgen tot Azure Files-resources met verificatie op basis van identiteit, moet een identiteit (een gebruiker, groep of service-principal) beschikken over de benodigde machtigingen op shareniveau. Dit proces is vergelijkbaar met het instellen van machtigingen voor Windows-shares, waarbij u het type toegang opgeeft dat een bepaalde gebruiker heeft tot een bestandsshare. De aanwijzingen in deze sectie geven aan hoe u lees-, schrijf- of verwijdermachtigingen voor een bestandsshare toewijst aan een identiteit. We raden sterk aan machtigingen toe te wijzen door acties en gegevensacties expliciet te declareren in plaats van het jokerteken (*) te gebruiken.
De meeste gebruikers kunnen het beste machtigingen op shareniveau toewijzen aan specifieke Microsoft Entra-gebruikers of -groepen en vervolgens Windows ACL's configureren voor gedetailleerd toegangsbeheer op map- en bestandsniveau. U kunt echter ook een standaardmachtiging op shareniveau instellen om inzender, inzender met verhoogde bevoegdheden of lezer toegang te verlenen tot alle geverifieerde identiteiten.
Er zijn vijf ingebouwde Azure-rollen voor Azure Files, waarvan sommige het verlenen van machtigingen op shareniveau aan gebruikers en groepen toestaan:
- Inzender met bevoegdheid voor opslagbestandsgegevens biedt lezen, schrijven, verwijderen en wijzigen van Windows ACL's in Azure-bestandsshares via SMB door bestaande Windows ACL's op te heffen.
- Lezer met bevoegdheid voor opslagbestandsgegevens biedt leestoegang in Azure-bestandsshares via SMB door bestaande Windows ACL's te overschrijven.
- Inzender voor SMB-sharegegevens voor opslagbestand staat lees-, schrijf- en verwijdertoegang toe in Azure-bestandsshares via SMB.
- Opslagbestandsgegevens op een SMB-share inzenden met verhoogde bevoegdheden biedt lees-, schrijf- en verwijdertoegang tot en rechten voor het wijzigen van Windows ACL's in Azure Storage-bestandsshares via SMB.
- Opslagbestandsgegevens SMB Share Reader biedt leestoegang in Azure-bestandsshares via SMB.
Belangrijk
Voor volledig beheer van een bestandsshare, inclusief de mogelijkheid om eigenaar te worden van een bestand, moet u de sleutel van het opslagaccount gebruiken. Beheer istratieve controle wordt niet ondersteund met Microsoft Entra-referenties.
U kunt Azure Portal, PowerShell of Azure CLI gebruiken om de ingebouwde rollen toe te wijzen aan de Microsoft Entra-identiteit van een gebruiker voor het verlenen van machtigingen op shareniveau. Houd er rekening mee dat het enige tijd kan duren voordat de Azure-roltoewijzing op shareniveau van kracht wordt. U wordt aangeraden machtigingen op shareniveau te gebruiken voor toegangsbeheer op hoog niveau voor een AD-groep die een groep gebruikers en identiteiten vertegenwoordigt, en vervolgens Windows ACL's te gebruiken voor gedetailleerd toegangsbeheer op map-/bestandsniveau.
Een Azure-rol toewijzen aan een Microsoft Entra-identiteit
Belangrijk
Wijs machtigingen toe door expliciet acties en gegevensacties te declareren in plaats van een jokerteken (*) te gebruiken. Als een aangepaste roldefinitie voor een gegevensactie een jokerteken bevat, wordt aan alle identiteiten die aan die rol zijn toegewezen toegang verleend voor alle mogelijke gegevensacties. Dit betekent dat aan alle dergelijke identiteiten ook toegang wordt verleend voor nieuwe gegevensacties die aan het platform worden toegevoegd. De aanvullende toegang en machtigingen die worden verleend door nieuwe acties of gegevensacties bij klanten die jokertekens gebruiken, kunnen ongewenst zijn.
Voer de volgende stappen uit om een Azure-rol toe te wijzen aan een Microsoft Entra-identiteit met behulp van Azure Portal:
- Ga in Azure Portal naar uw bestandsshare of maak een bestandsshare.
- Selecteer Access Control (IAM).
- Selecteer Een roltoewijzing toevoegen
- Selecteer op de blade Roltoewijzing toevoegen de juiste ingebouwde rol (bijvoorbeeld SMB Share Reader voor opslagbestand of Inzender voor SMB-sharegegevens van opslagbestand) in de lijst Met rollen . Laat Toegang toewijzen op de standaardinstelling staan: Microsoft Entra-gebruiker, -groep of -service-principal. Selecteer de microsoft Entra-doelidentiteit op naam of e-mailadres.
- Selecteer Beoordelen en toewijzen om de roltoewijzing te voltooien.
Windows ACL's configureren
Nadat u machtigingen op shareniveau met RBAC hebt toegewezen, kunt u Windows ACL's toewijzen op het niveau van de hoofdmap, map of bestand. U kunt machtigingen op shareniveau beschouwen als de gatekeeper op hoog niveau die bepaalt of een gebruiker toegang heeft tot de share, terwijl Windows ACL's op een meer gedetailleerd niveau bepalen welke bewerkingen de gebruiker op map- of bestandsniveau kan uitvoeren.
Azure Files ondersteunt de volledige reeks basis- en geavanceerde machtigingen. U kunt Windows ACL's weergeven en configureren in mappen en bestanden in een Azure-bestandsshare door de share te koppelen en vervolgens Windows Bestandenverkenner te gebruiken of de Windows-opdracht icacls of Set-ACL uit te voeren.
De volgende sets machtigingen worden ondersteund voor de hoofdmap van een bestandsshare:
- BUILTIN\Administrators:(OI)(CI)(F)
- NT AUTHORITY\SYSTEM:(OI)(CI)(F)
- BUILTIN\Users:(RX)
- BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
- NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
- NT AUTHORITY\SYSTEM:(F)
- CREATOR OWNER:(OI)(CI)(IO)(F)
Zie Machtigingen op map- en bestandsniveau configureren via SMB voor meer informatie.
De bestandsshare koppelen met behulp van uw opslagaccountsleutel
Voordat u Windows ACL's configureert, moet u de bestandsshare eerst koppelen aan uw VM in het domein met behulp van uw opslagaccountsleutel. Hiervoor meldt u zich als Microsoft Entra-gebruiker aan bij de VM in het domein, opent u een Windows-opdrachtprompt en voert u de volgende opdracht uit. Vergeet niet om uw eigen waarden te vervangen <YourStorageAccountName>, <FileShareName>en <YourStorageAccountKey> door uw eigen waarden. Als Z: al in gebruik is, vervangt u deze door een beschikbare stationsletter. U vindt de sleutel van uw opslagaccount in Azure Portal door naar het opslagaccount te gaan en Beveiligings- en netwerktoegangssleutels> te selecteren, of u kunt de Get-AzStorageAccountKey PowerShell-cmdlet gebruiken.
Het is belangrijk dat u de net use Windows-opdracht gebruikt om de share in deze fase te koppelen en niet PowerShell. Als u PowerShell gebruikt om de share te koppelen, is de share niet zichtbaar voor Windows Bestandenverkenner of cmd.exe en kunt u geen Windows ACL's configureren.
Notitie
Mogelijk ziet u dat de ACL voor volledig beheer al is toegepast op een rol. Dit biedt doorgaans al de mogelijkheid om machtigingen toe te wijzen. Omdat er echter toegangscontroles zijn op twee niveaus (op shareniveau en op het niveau van het bestand/de map), is dit aan beperkingen onderhevig. Alleen gebruikers met de rol SMB-inzender met verhoogde bevoegdheden en die een nieuw bestand of een nieuwe map maken, kunnen machtigingen toewijzen voor deze nieuwe bestanden of mappen zonder de sleutel van het opslagaccount te gebruiken. Voor alle overige toewijzingen van bestands-/mapmachtigingen moet eerst verbinding worden gemaakt met de share met behulp van de opslagaccountsleutel.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Windows ACL's configureren met Windows Bestandenverkenner
Nadat u de Azure-bestandsshare hebt gekoppeld, moet u de Windows ACL's configureren. U kunt dit doen met Windows Bestandenverkenner of icacls.
Volg deze stappen om Windows Bestandenverkenner te gebruiken om volledige machtigingen te verlenen aan alle mappen en bestanden onder de bestandsshare, inclusief de hoofdmap.
- Open Windows Bestandenverkenner en klik met de rechtermuisknop op het bestand/de map en selecteer Eigenschappen.
- Selecteer het tabblad Beveiliging.
- Selecteer Bewerken om machtigingen te wijzigen.
- U kunt de machtigingen van bestaande gebruikers wijzigen of Toevoegen selecteren om machtigingen te verlenen aan nieuwe gebruikers.
- Voer in het promptvenster voor het toevoegen van nieuwe gebruikers de doelgebruikersnaam in waarvoor u toestemming wilt verlenen in het vak De objectnamen invoeren om het selectievakje in te schakelen en selecteer Namen controleren om de volledige UPN-naam van de doelgebruiker te vinden.
- Selecteer OK.
- Selecteer op het tabblad Beveiliging alle machtigingen die u aan uw nieuwe gebruiker wilt verlenen.
- Selecteer Toepassen.
Windows ACL's configureren met icacls
Gebruik de volgende Windows-opdracht om volledige machtigingen te verlenen aan alle mappen en bestanden onder de bestandsshare, inclusief de hoofdmap. Vergeet niet om de waarden van de tijdelijke aanduidingen in het voorbeeld te vervangen door uw eigen waarden.
icacls <mounted-drive-letter>: /grant <user-email>:(f)
Zie de opdrachtregelverwijzing voor icacls voor icacls voor meer informatie over het instellen van Windows ACL's en de verschillende typen ondersteunde machtigingen.
De bestandsshare koppelen vanaf een aan een domein gekoppelde VM
Met het volgende proces wordt gecontroleerd of uw bestandsshare- en toegangsmachtigingen juist zijn ingesteld en of u toegang hebt tot een Azure-bestandsshare vanaf een vm die lid is van een domein. Houd er rekening mee dat het enige tijd kan duren voordat de Azure-roltoewijzing op shareniveau van kracht wordt.
Meld u aan bij de vm die lid is van het domein met behulp van de Microsoft Entra-identiteit waaraan u machtigingen hebt verleend. Zorg ervoor dat u zich aanmeldt met Microsoft Entra-referenties. Als het station al is gekoppeld aan de sleutel van het opslagaccount, moet u het station loskoppelen of u opnieuw aanmelden.
Voer het Onderstaande PowerShell-script uit of gebruik Azure Portal om de Azure-bestandsshare permanent te koppelen en toe te wijzen aan station Z: in Windows. Als Z: al in gebruik is, vervangt u deze door een beschikbare stationsletter. Omdat u bent geverifieerd, hoeft u de sleutel van het opslagaccount niet op te geven. Het script controleert of dit opslagaccount toegankelijk is via TCP-poort 445. Dit is de poort die SMB gebruikt. Vergeet niet om uw eigen waarden te vervangen en <file-share-name> te vervangen<storage-account-name>. Zie Een Azure-bestandsshare gebruiken met Windows voor meer informatie.
Tenzij u aangepaste domeinnamen gebruikt, moet u Azure-bestandsshares koppelen met behulp van het achtervoegselfile.core.windows.net, zelfs als u een privé-eindpunt voor uw share instelt.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
U kunt de net-use opdracht ook gebruiken vanuit een Windows-prompt om de bestandsshare te koppelen. Vergeet niet om uw eigen waarden te vervangen en <FileShareName> te vervangen<YourStorageAccountName>.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Koppel de bestandsshare vanaf een niet-domein-gekoppelde VM of een VM die is gekoppeld aan een ander AD-domein
Niet-aan een domein gekoppelde VM's of VM's die zijn gekoppeld aan een ander domein dan het opslagaccount, hebben alleen toegang tot Azure-bestandsshares met behulp van Microsoft Entra Domain Services-verificatie als de VIRTUELE machine geen netwerkconnectiviteit heeft met de domeincontrollers voor Microsoft Entra Domain Services, die zich in Azure bevinden. Hiervoor moet u meestal een site-naar-site- of punt-naar-site-VPN instellen. De gebruiker die toegang heeft tot de bestandsshare moet een identiteit hebben (een Microsoft Entra-identiteit die is gesynchroniseerd van Microsoft Entra ID naar Microsoft Entra Domain Services) in het beheerde domein van Microsoft Entra Domain Services en moet expliciete referenties (gebruikersnaam en wachtwoord) opgeven.
Als u een bestandsshare wilt koppelen vanaf een vm die niet lid is van een domein, moet de gebruiker het volgende doen:
- Geef referenties op, zoals DOMAINNAME\username , waarbij DOMAINNAME het Domein van Microsoft Entra Domain Services is en gebruikersnaam de gebruikersnaam van de identiteit is in Microsoft Entra Domain Services of
- Gebruik de notatie username@domainFQDN, waarbij domeinFQDN de volledig gekwalificeerde domeinnaam is.
Met een van deze methoden kan de client contact opnemen met de domeincontroller in het Domein van Microsoft Entra Domain Services om Kerberos-tickets aan te vragen en te ontvangen.
Voorbeeld:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
or
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Volgende stappen
Als u extra gebruikers toegang wilt verlenen tot uw bestandsshare, volgt u de instructies in Machtigingen op shareniveau toewijzen en Windows ACL's configureren.
Zie deze resources voor meer informatie over verificatie op basis van identiteiten voor Azure Files:
- Overview of Azure Files identity-based authentication support for SMB access (Overzicht van ondersteuning voor verificatie op basis van identiteiten van Azure Files voor SMB-toegang)
- Veelgestelde vragen