Habilitar a autenticação de Azure Active Directory Domain Services nos arquivos do AzureEnable Azure Active Directory Domain Services authentication on Azure Files

Arquivos   do Azure oferece suporte à autenticação baseada em identidade sobre o protocolo SMB por meio de dois tipos de serviços de domínio: Active Directory Domain Services local (AD DS) e Azure Active Directory Domain Services (Azure AD DS). É altamente recomendável que você examine a seção como funciona para selecionar o serviço de domínio certo para autenticação.Azure Files supports identity-based authentication over Server Message Block (SMB) through two types of Domain Services: on-premises Active Directory Domain Services (AD DS) and Azure Active Directory Domain Services (Azure AD DS).We strongly recommend you to review the How it works section to select the right domain service for authentication. A instalação é diferente dependendo do serviço de domínio que você escolher.The setup is different depends on the domain service you choose. Este artigo se concentra na habilitação e configuração da AD DS do Azure para autenticação com compartilhamentos de arquivos do Azure.This article focuses on enabling and configuring Azure AD DS for authentication with Azure file shares.

Se você for novo nos compartilhamentos de arquivos do Azure, é recomendável ler nosso Guia de planejamento antes de ler a série de artigos a seguir.If you are new to Azure file shares, we recommend reading our planning guide before reading the following series of articles.

Observação

Os arquivos do Azure dão suporte à autenticação Kerberos com o Azure AD DS somente com RC4-HMAC.Azure Files supports Kerberos authentication with Azure AD DS with RC4-HMAC only. A criptografia Kerberos AES ainda não tem suporte.AES Kerberos encryption is not yet supported. Os arquivos do Azure dão suporte à autenticação para o Azure AD DS com sincronização completa com o Azure AD.Azure Files supports authentication for Azure AD DS with full synchronization with Azure AD. Se você tiver habilitado a sincronização com escopo no Azure AD DS que apenas sincronizar um conjunto limitado de identidades do Azure AD, não haverá suporte para autenticação e autorização.If you have enabled scoped synchronization in Azure AD DS which only sync a limited set of identities from Azure AD, authentication and authorization is not supported.

Pré-requisitosPrerequisites

Antes de habilitar o Azure AD sobre SMB para compartilhamentos de arquivos do Azure, verifique se você concluiu os seguintes pré-requisitos:Before you enable Azure AD over SMB for Azure file shares, make sure you have completed the following prerequisites:

  1. Selecione ou crie um locatário do Azure AD.Select or create an Azure AD tenant.

    Você pode usar um inquilino novo ou existente para a autenticação do Azure AD em SMB.You can use a new or existing tenant for Azure AD authentication over SMB. O locatário e o compartilhamento de arquivos que você deseja acessar devem estar associados à mesma assinatura.The tenant and the file share that you want to access must be associated with the same subscription.

    Para criar um novo locatário do Azure AD, você pode adicionar um locatário do Azure AD e uma assinatura do Azure AD.To create a new Azure AD tenant, you can Add an Azure AD tenant and an Azure AD subscription. Se você tiver um locatário existente do Azure AD, mas quiser criar um novo locatário para uso com compartilhamentos de arquivos do Azure, consulte criar um locatário Azure Active Directory.If you have an existing Azure AD tenant but want to create a new tenant for use with Azure file shares, see Create an Azure Active Directory tenant.

  2. Ative os Serviços de Domínio do Azure AD no locatário do Azure AD.Enable Azure AD Domain Services on the Azure AD tenant.

    Para oferecer suporte à autenticação com credenciais do Azure AD, você deve habilitar os Serviços de Domínio do Azure AD para o seu locatário do Azure AD.To support authentication with Azure AD credentials, you must enable Azure AD Domain Services for your Azure AD tenant. Se você não for o administrador do locatário do Azure AD, entre em contato com o administrador e siga as orientações passo a passo para Habilitar os Serviços de Domínio do Active Directory do Azure usando o portal do Azure.If you aren't the administrator of the Azure AD tenant, contact the administrator and follow the step-by-step guidance to Enable Azure Active Directory Domain Services using the Azure portal.

    Normalmente, leva cerca de 15 minutos para que uma implantação de AD DS do Azure seja concluída.It typically takes about 15 minutes for an Azure AD DS deployment to complete. Verifique se o status de integridade do Azure AD DS mostra em execução, com a sincronização de hash de senha habilitada, antes de prosseguir para a próxima etapa.Verify that the health status of Azure AD DS shows Running, with password hash synchronization enabled, before proceeding to the next step.

  3. Ingressar no domínio de uma VM do Azure com o Azure AD DS.Domain-join an Azure VM with Azure AD DS.

    Para acessar um compartilhamento de arquivos usando as credenciais do Azure AD de uma VM, sua VM deve estar ingressada no domínio para o Azure AD DS.To access a file share by using Azure AD credentials from a VM, your VM must be domain-joined to Azure AD DS. Para obter mais informações sobre como ingressar no domínio de uma VM, consulte Ingressar uma máquina virtual do Windows Server em um domínio gerenciado.For more information about how to domain-join a VM, see Join a Windows Server virtual machine to a managed domain.

    Observação

    A autenticação do Azure AD DS sobre SMB com compartilhamentos de arquivos do Azure tem suporte apenas em VMs do Azure em execução nas versões do sistema operacional acima do Windows 7 ou do Windows Server 2008 R2.Azure AD DS authentication over SMB with Azure file shares is supported only on Azure VMs running on OS versions above Windows 7 or Windows Server 2008 R2.

  4. Selecione ou crie um compartilhamento de arquivos do Azure.Select or create an Azure file share.

    Selecione um compartilhamento de arquivos novo ou existente associado à mesma assinatura que o seu locatário do Azure AD.Select a new or existing file share that's associated with the same subscription as your Azure AD tenant. Para obter informações sobre como criar um novo compartilhamento de arquivos, consulte Criar um compartilhamento de arquivos no Azure Files.For information about creating a new file share, see Create a file share in Azure Files. Para obter um desempenho ideal, recomendamos que o compartilhamento de arquivos esteja na mesma região da VM da qual você planeja acessar o compartilhamento.For optimal performance, we recommend that your file share be in the same region as the VM from which you plan to access the share.

  5. Verifique a conectividade de arquivos do Azure montando compartilhamentos de arquivos do Azure usando a chave da sua conta de armazenamento.Verify Azure Files connectivity by mounting Azure file shares using your storage account key.

    Para verificar se sua VM e seu compartilhamento de arquivos estão configurados corretamente, tente montar o compartilhamento de arquivos usando sua chave de conta de armazenamento.To verify that your VM and file share are properly configured, try mounting the file share using your storage account key. Para obter mais informações, consulte Montar um compartilhamento de arquivos do Azure e acessar o compartilhamento no Windows.For more information, see Mount an Azure file share and access the share in Windows.

Disponibilidade regionalRegional availability

A autenticação de arquivos do Azure com o Azure AD DS está disponível em todas as regiões públicas, gov e China do Azure.Azure Files authentication with Azure AD DS is available in all Azure Public, Gov, and China regions.

Visão geral do fluxo de trabalhoOverview of the workflow

Antes de habilitar a autenticação do Azure AD DS sobre o SMB para compartilhamentos de arquivos do Azure, verifique se os ambientes do Azure AD e do armazenamento do Azure estão configurados corretamente.Before you enable Azure AD DS Authentication over SMB for Azure file shares, verify that your Azure AD and Azure Storage environments are properly configured. Recomendamos que você percorra os pré-requisitos para ter certeza de que concluiu todas as etapas necessárias.We recommend that you walk through the prerequisites to make sure you've completed all the required steps.

Em seguida, faça o seguinte para conceder acesso aos recursos de arquivos do Azure com as credenciais do Azure AD:Next, do the following things to grant access to Azure Files resources with Azure AD credentials:

  1. Habilite a autenticação de AD DS do Azure sobre SMB para sua conta de armazenamento para registrar a conta de armazenamento com a implantação de AD DS do Azure associada.Enable Azure AD DS authentication over SMB for your storage account to register the storage account with the associated Azure AD DS deployment.
  2. Atribuir permissões de acesso para um compartilhamento a uma identidade do Azure AD (um usuário, grupo ou responsável pelo serviço).Assign access permissions for a share to an Azure AD identity (a user, group, or service principal).
  3. Configurar permissões NTFS em SMB para diretórios e arquivos.Configure NTFS permissions over SMB for directories and files.
  4. Montar um compartilhamento de arquivos do Azure de uma VM associada ao domínio.Mount an Azure file share from a domain-joined VM.

O diagrama a seguir ilustra o fluxo de trabalho de ponta a ponta para habilitar a autenticação de AD DS do Azure sobre SMB para arquivos do Azure.The following diagram illustrates the end-to-end workflow for enabling Azure AD DS authentication over SMB for Azure Files.

Diagrama mostrando o fluxo de trabalho do Azure AD sobre SMB para arquivos do Azure

Habilitar a autenticação de AD DS do Azure para sua contaEnable Azure AD DS authentication for your account

Para habilitar a autenticação de AD DS do Azure sobre o SMB para arquivos do Azure, você pode definir uma propriedade em contas de armazenamento usando o portal do Azure, Azure PowerShell ou CLI do Azure.To enable Azure AD DS authentication over SMB for Azure Files, you can set a property on storage accounts by using the Azure portal, Azure PowerShell, or Azure CLI. Definir essa propriedade implicitamente "ingressa no domínio" é a conta de armazenamento com a implantação de AD DS do Azure associada.Setting this property implicitly "domain joins" the storage account with the associated Azure AD DS deployment. A autenticação do Azure AD DS sobre o SMB é então habilitada para todos os compartilhamentos de arquivos novos e existentes na conta de armazenamento.Azure AD DS authentication over SMB is then enabled for all new and existing file shares in the storage account.

Tenha em mente que você pode habilitar a autenticação AD DS do Azure somente por SMB depois de ter implantado com êxito o Azure AD DS em seu locatário do Azure AD.Keep in mind that you can enable Azure AD DS authentication over SMB only after you have successfully deployed Azure AD DS to your Azure AD tenant. Para obter mais informações, consulte os pré-requisitos.For more information, see the prerequisites.

Para habilitar a autenticação de AD DS do Azure sobre SMB com o portal do Azure, siga estas etapas:To enable Azure AD DS authentication over SMB with the Azure portal, follow these steps:

  1. Na portal do Azure, vá para sua conta de armazenamento existente ou crie uma conta de armazenamento.In the Azure portal, go to your existing storage account, or create a storage account.
  2. Na seção Configurações, selecione Configuração.In the Settings section, select Configuration.
  3. Em acesso baseado em identidade para compartilhamentos de arquivos , alterne a alternância para o serviço de domínio Azure Active Directory (AAD DS) para habilitado.Under Identity-based access for file shares switch the toggle for Azure Active Directory Domain Service (AAD DS) to Enabled.
  4. Selecione Salvar.Select Save.

A imagem a seguir mostra como habilitar a autenticação de AD DS do Azure sobre SMB para sua conta de armazenamento.The following image shows how to enable Azure AD DS authentication over SMB for your storage account.

Habilitar a autenticação de AD DS do Azure sobre SMB no portal do Azure

Atribuir permissões de acesso a uma identidadeAssign access permissions to an identity

Para acessar os recursos de arquivos do Azure com autenticação baseada em identidade, uma identidade (um usuário, grupo ou entidade de serviço) deve ter as permissões necessárias no nível de compartilhamento.To access Azure Files resources with identity based authentication, an identity (a user, group, or service principal) must have the necessary permissions at the share level. Esse processo é semelhante à especificação de permissões de compartilhamento do Windows, em que você especifica o tipo de acesso que um usuário específico tem a um compartilhamento de arquivos.This process is similar to specifying Windows share permissions, where you specify the type of access that a particular user has to a file share. As orientações nesta seção demonstram como atribuir ler, gravar ou excluir as permissões para um compartilhamento de arquivos para uma identidade.The guidance in this section demonstrates how to assign read, write, or delete permissions for a file share to an identity.

Introduzimos três funções internas do Azure para conceder permissões de nível de compartilhamento aos usuários:We have introduced three Azure built-in roles for granting share-level permissions to users:

  • O leitor de compartilhamento SMB de dados de arquivo de armazenamento permite acesso de leitura em compartilhamentos de arquivos de armazenamento do Azure via SMBStorage File Data SMB Share Reader allows read access in Azure Storage file shares over SMB.
  • O colaborador de compartilhamento SMB de dados de arquivo de armazenamento permite acesso de leitura, gravação e exclusão em compartilhamentos de arquivos de armazenamento do Azure via SMB.Storage File Data SMB Share Contributor allows read, write, and delete access in Azure Storage file shares over SMB.
  • O colaborador elevado de compartilhamento SMB de dados de arquivo de armazenamento permite a leitura, gravação, exclusão e modificação de permissões NTFS em compartilhamentos de arquivos de armazenamento do Azure via SMB.Storage File Data SMB Share Elevated Contributor allows read, write, delete and modify NTFS permissions in Azure Storage file shares over SMB.

Importante

O controle administrativo total de um compartilhamento de arquivos, incluindo a capacidade de apropriar-se de um arquivo, requer o uso da chave da conta de armazenamento.Full administrative control of a file share, including the ability to take ownership of a file, requires using the storage account key. O controle administrativo não é compatível com credenciais do Azure AD.Administrative control is not supported with Azure AD credentials.

Você pode usar o portal do Azure, o PowerShell ou o CLI do Azure para atribuir as funções internas à identidade do Azure AD de um usuário para conceder permissões de nível de compartilhamento.You can use the Azure portal, PowerShell, or Azure CLI to assign the built-in roles to the Azure AD identity of a user for granting share-level permissions. Lembre-se de que a atribuição de função do Azure no nível de compartilhamento pode levar algum tempo para estar em vigor.Be aware that the share level Azure role assignment can take some time to be in effect.

Observação

Lembre-se de sincronizar suas credenciais do AD DS com o AD do Azure se você planeja usar sua AD DS local para autenticação.Remember to sync your AD DS credentials to Azure AD if you plan to use your on-premises AD DS for authentication. A sincronização de hash de senha de AD DS para o Azure AD é opcional.Password hash sync from AD DS to Azure AD is optional. A permissão de nível de compartilhamento será concedida à identidade do Azure AD que é sincronizada a partir de seu AD DS local.Share level permission will be granted to the Azure AD identity that is synced from your on-premises AD DS.

A recomendação geral é usar a permissão de nível de compartilhamento para o gerenciamento de acesso de alto nível para um grupo do AD que representa um grupo de usuários e identidades e, em seguida, aproveitar as permissões de NTFS para o controle de acesso granular no nível de diretório/arquivo.The general recommendation is to use share level permission for high level access management to an AD group representing a group of users and identities, then leverage NTFS permissions for granular access control on directory/file level.

Atribuir uma função do Azure a uma identidade do ADAssign an Azure role to an AD identity

Para atribuir uma função do Azure a uma identidade do Azure AD, usando o portal do Azure, siga estas etapas:To assign an Azure role to an Azure AD identity, using the Azure portal, follow these steps:

  1. No portal do Azure, vá para o compartilhamento de arquivos ou crie um compartilhamento de arquivos.In the Azure portal, go to your file share, or Create a file share.
  2. Selecione Controle de Acesso (IAM) .Select Access Control (IAM).
  3. Selecione Adicionar uma atribuição de funçãoSelect Add a role assignment
  4. Na folha Adicionar atribuição de função , selecione a função interna apropriada (leitor de compartilhamento SMB de dados de arquivo de armazenamento, colaborador de compartilhamento SMB de dados de arquivo de armazenamento) na lista de funções .In the Add role assignment blade, select the appropriate built-in role (Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor) from the Role list. Deixe atribuir acesso à na configuração padrão: usuário, grupo ou entidade de serviço do Azure ad.Leave Assign access to at the default setting: Azure AD user, group, or service principal. Selecione a identidade do Azure AD de destino por nome ou endereço de email.Select the target Azure AD identity by name or email address.
  5. Selecione salvar para concluir a operação de atribuição de função.Select Save to complete the role assignment operation.

Configurar permissões NTFS em SMBConfigure NTFS permissions over SMB

Depois de atribuir permissões no nível de compartilhamento com o RBAC, você deve atribuir permissões de NTFS corretas no nível raiz, de diretório ou de arquivo.After you assign share-level permissions with RBAC, you must assign proper NTFS permissions at the root, directory, or file level. Considere as permissões de nível de compartilhamento como o gatekeeper de alto nível que determina se um usuário pode acessar o compartilhamento.Think of share-level permissions as the high-level gatekeeper that determines whether a user can access the share. Enquanto as permissões de NTFS atuam em um nível mais granular para determinar quais operações o usuário pode fazer no nível do diretório ou do arquivo.Whereas NTFS permissions act at a more granular level to determine what operations the user can do at the directory or file level.

Os arquivos do Azure dá suporte a todo o conjunto de permissões de NTFS básicos e avançados.Azure Files supports the full set of NTFS basic and advanced permissions. Você pode exibir e configurar as permissões NTFS em diretórios e arquivos em um compartilhamento de arquivos do Azure montando o compartilhamento e usando o explorador de arquivos do Windows ou executando o comando icacls do Windows ou Set-ACL .You can view and configure NTFS permissions on directories and files in an Azure file share by mounting the share and then using Windows File Explorer or running the Windows icacls or Set-ACL command.

Para configurar o NTFS com permissões de superusuário, você deve montar o compartilhamento usando sua chave de conta de armazenamento de sua VM ingressada no domínio.To configure NTFS with superuser permissions, you must mount the share by using your storage account key from your domain-joined VM. Siga as instruções na próxima seção para montar um compartilhamento de arquivos do Azure no prompt de comando e configurar as permissões NTFS adequadamente.Follow the instructions in the next section to mount an Azure file share from the command prompt and to configure NTFS permissions accordingly.

Conjuntos de permissões a seguir têm suporte para o diretório raiz de um compartilhamento de arquivos:The following sets of permissions are supported on the root directory of a file share:

  • BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Administrators:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • BUILTIN\Users:(Rx)BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(F)NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)CREATOR OWNER:(OI)(CI)(IO)(F)

Montar um compartilhamento de arquivos do Azure no prompt de comandoMount a file share from the command prompt

Usar o Windows net use comando para montar o compartilhamento de arquivos do Azure.Use the Windows net use command to mount the Azure file share. Lembre-se de substituir os valores de espaço reservado no exemplo a seguir pelos seus próprios valores.Remember to replace the placeholder values in the following example with your own values. Para obter mais informações sobre como montar compartilhamentos de arquivos, consulte usar um compartilhamento de arquivos do Azure com o Windows.For more information about mounting file shares, see Use an Azure file share with Windows.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
 net use <desired-drive letter>: \\<storage-account-name>.file.core.windows.net\<fileshare-name>
} 
else 
{
 Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Se você tiver problemas ao conectar-se aos arquivos do Azure, consulte a ferramenta de solução de problemas que publicamos para erros de montagem de arquivos do Azure no Windows.If you experience issues in connecting to Azure Files, please refer to the troubleshooting tool we published for Azure Files mounting errors on Windows. Também fornecemos orientações para contornar cenários quando a porta 445 é bloqueada.We also provide guidance to work around scenarios when port 445 is blocked.

Configurar permissões NTFS com o explorador de arquivos do WindowsConfigure NTFS permissions with Windows File Explorer

Use o explorador de arquivos do Windows para conceder permissão total a todos os diretórios e arquivos no compartilhamento de arquivos, incluindo o diretório raiz.Use Windows File Explorer to grant full permission to all directories and files under the file share, including the root directory.

  1. Abra o explorador de arquivos do Windows e clique com o botão direito do mouse no arquivo/diretório e selecione Propriedades.Open Windows File Explorer and right click on the file/directory and select Properties.
  2. Selecione a guia Segurança.Select the Security tab.
  3. Selecione Editar...Select Edit.. para alterar permissões.to change permissions.
  4. Você pode alterar as permissões de usuários existentes ou selecionar Adicionar... para conceder permissões a novos usuários.You can change the permissions of existing users or select Add... to grant permissions to new users.
  5. Na janela de prompt para adicionar novos usuários, insira o nome de usuário de destino ao qual você deseja conceder permissão na caixa Inserir os nomes de objeto a serem selecionados e selecione verificar nomes para localizar o nome UPN completo do usuário de destino.In the prompt window for adding new users, enter the target user name you want to grant permission to in the Enter the object names to select box, and select Check Names to find the full UPN name of the target user.
  6. Selecione OK.Select OK.
  7. Na guia segurança , selecione todas as permissões que você deseja conceder ao novo usuário.In the Security tab, select all permissions you want to grant your new user.
  8. Escolha Aplicar.Select Apply.

Configurar permissões NTFS com icaclsConfigure NTFS permissions with icacls

Use o seguinte comando do Windows para conceder permissões completas para todos os diretórios e arquivos no compartilhamento de arquivos, incluindo o diretório raiz.Use the following Windows command to grant full permissions to all directories and files under the file share, including the root directory. Lembre-se de substituir os valores de espaço reservado no exemplo pelos seus próprios valores.Remember to replace the placeholder values in the example with your own values.

icacls <mounted-drive-letter>: /grant <user-email>:(f)

Para obter mais informações sobre como usar o icacls para definir permissões NTFS e sobre os diferentes tipos de permissões com suporte, consulte a referência de linha de comando para icacls.For more information on how to use icacls to set NTFS permissions and on the different types of supported permissions, see the command-line reference for icacls.

Montar um compartilhamento de arquivos de uma VM ingressada no domínioMount a file share from a domain-joined VM

O processo a seguir verifica se as permissões de acesso e compartilhamento de arquivos foram configuradas corretamente e se você pode acessar um compartilhamento de arquivos do Azure de uma VM ingressada no domínio.The following process verifies that your file share and access permissions were set up correctly and that you can access an Azure File share from a domain-joined VM. Lembre-se de que a atribuição de função do Azure no nível de compartilhamento pode levar algum tempo para estar em vigor.Be aware that the share level Azure role assignment can take some time to be in effect.

Entre na VM usando a identidade do Azure AD à qual você concedeu permissões, conforme mostrado na imagem a seguir.Sign in to the VM by using the Azure AD identity to which you have granted permissions, as shown in the following image. Se você habilitou a autenticação de AD DS local para arquivos do Azure, use suas credenciais de AD DS.If you have enabled on-premises AD DS authentication for Azure Files, use your AD DS credentials. Para a autenticação de AD DS do Azure, entre com as credenciais do Azure AD.For Azure AD DS authentication, sign in with Azure AD credentials.

Captura de tela mostrando a tela de entrada do Azure AD para autenticação do usuário

Use o comando a seguir para montar o compartilhamento de arquivos do Azure.Use the following command to mount the Azure file share. Lembre-se de substituir os valores de espaço reservado por seus próprios valores.Remember to replace the placeholder values with your own values. Como você foi autenticado, não precisa fornecer a chave de conta de armazenamento, as credenciais de AD DS locais ou as credenciais de AD DS do Azure.Because you've been authenticated, you don't need to provide the storage account key, the on-premises AD DS credentials, or the Azure AD DS credentials. Há suporte para a experiência de logon único para autenticação com AD DS local ou AD DS do Azure.Single sign-on experience is supported for authentication with either on-premises AD DS or Azure AD DS. Se você tiver problemas para montar com credenciais de AD DS, consulte solucionar problemas de arquivos do Azure no Windows para obter diretrizes.If you run into issues mounting with AD DS credentials, refer to Troubleshoot Azure Files problems in Windows for guidance.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
 net use <desired-drive letter>: \\<storage-account-name>.file.core.windows.net\<fileshare-name>
} 
else 
{
 Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Agora você habilitou com êxito a autenticação do Azure AD DS sobre o SMB e atribuiu uma função personalizada que fornece acesso a um compartilhamento de arquivos do Azure com uma identidade do Azure AD.You have now successfully enabled Azure AD DS authentication over SMB and assigned a custom role that provides access to an Azure file share with an Azure AD identity. Para conceder a usuários adicionais acesso ao seu compartilhamento de arquivos, siga as instruções nas seções atribuir permissões de acesso para usar uma identidade e configurar permissões NTFS em relação ao SMB.To grant additional users access to your file share, follow the instructions in the Assign access permissions to use an identity and Configure NTFS permissions over SMB sections.

Próximas etapasNext steps

Para obter mais informações sobre os arquivos do Azure e como usar o Azure AD em SMB, consulte estes recursos:For more information about Azure Files and how to use Azure AD over SMB, see these resources: