Acessar volumes SMB de máquinas virtuais Windows ingressadas no Microsoft Entra

  • Artigo

Você pode usar o Microsoft Entra ID com o módulo de Gerenciamento de Autenticação Híbrida para autenticar credenciais em sua nuvem híbrida. Essa solução permite que o Microsoft Entra ID se torne a fonte confiável para autenticação na nuvem e local, contornando a necessidade de os clientes se conectarem aos Arquivos NetApp do Azure para ingressar no domínio do AD local.

Nota

O uso da ID do Microsoft Entra para autenticar identidades de usuário híbridas permite que os usuários do Microsoft Entra acessem compartilhamentos SMB do Azure NetApp Files. Isso significa que seus usuários finais podem acessar compartilhamentos SMB do Azure NetApp Files sem exigir uma linha de visão para controladores de domínio de VMs unidas híbridas do Microsoft Entra e do Microsoft Entra. Atualmente, não há suporte para identidades somente na nuvem. Para obter mais informações, consulte Compreender as diretrizes para design e planejamento de sites dos Serviços de Domínio Ative Directory.

Diagram of SMB volume joined to Microsoft Entra ID.

Requisitos e considerações

  • Os volumes NFS dos Arquivos NetApp do Azure e os volumes de protocolo duplo (NFSv4.1 e SMB) não são suportados.

  • São suportados volumes de protocolo duplo NFSv3 e SMB com estilo de segurança NTFS.

  • Você deve ter instalado e configurado o Microsoft Entra Connect para sincronizar seus usuários do AD DS com o Microsoft Entra ID. Para obter mais informações, consulte Introdução ao Microsoft Entra Connect usando configurações expressas.

    Verifique se as identidades híbridas estão sincronizadas com os usuários do Microsoft Entra. No portal do Azure, em Microsoft Entra ID, navegue até Usuários. Você verá que as contas de usuário do AD DS estão listadas e a propriedade, Sincronização local habilitada, mostra "sim".

    Nota

    Após a configuração inicial do Microsoft Entra Connect, ao adicionar um novo usuário do AD DS, você deve executar o comando no PowerShell do administrador para sincronizar o novo usuário com o Start-ADSyncSyncCycle ID do Microsoft Entra ou aguardar a sincronização agendada.

  • Você deve ter criado um volume SMB para Arquivos NetApp do Azure.

  • Você deve ter uma máquina virtual (VM) do Windows com o login do Microsoft Entra habilitado. Para obter mais informações, consulte Entrar em uma VM do Windows no Azure usando a ID do Microsoft Entra. Certifique-se de Configurar atribuições de função para a VM para determinar quais contas podem fazer logon na VM .

  • O DNS deve ser configurado corretamente para que a VM cliente possa acessar seus volumes de Arquivos NetApp do Azure por meio do FQDN (nome de domínio totalmente qualificado).

Passos

O processo de configuração leva você através de cinco processos:

  • Adicionar o SPN CIFS à conta do computador
  • Registar uma nova aplicação Microsoft Entra
  • Sincronizar a senha CIFS do AD DS com o registro do aplicativo Microsoft Entra
  • Configurar a VM ingressada do Microsoft Entra para usar a autenticação Kerberos
  • Montar os volumes SMB dos Arquivos NetApp do Azure

Adicionar o SPN CIFS à conta do computador

  1. No controlador de domínio do AD DS, abra Usuários e Computadores do Ative Directory.
  2. No menu Exibir, selecione Recursos avançados.
  3. Em Computadores, clique com o botão direito do rato na conta de computador criada como parte do volume Azure NetApp Files e, em seguida, selecione Propriedades.
  4. Em Editor de Atributos, localize servicePrincipalName. No editor de cadeia de caracteres com vários valores, adicione o valor do SPN CIFS usando o formato CIFS/FQDN.

Screenshot of multi-value string editor window.

Registar uma nova aplicação Microsoft Entra

  1. No portal do Azure, navegue até Microsoft Entra ID. Selecione Registros de aplicativos.
  2. Selecione + Novo registo.
  3. Atribua um Nome. Em selecione o Tipo de conta suportada, escolha Contas somente neste diretório organizacional (Locatário único).
  4. Selecione Registar.

Screenshot to register application.

  1. Configure as permissões para o aplicativo. Em Registros de aplicativos, selecione Permissões de API e Adicionar uma permissão.

  2. Selecione Microsoft Graph e, em seguida, Permissões delegadas. Em Selecionar Permissões, selecione openid e perfil em Permissões OpenId.

    Screenshot to register API permissions.

  3. Selecione Adicionar permissão.

  4. Em Permissões da API, selecione Conceder consentimento de administrador para....

    Screenshot to grant API permissions.

  5. Em Autenticação, em Bloqueio de propriedade da instância do aplicativo, selecione Configurar e desmarque a caixa de seleção Habilitar bloqueio de propriedade.

    Screenshot of app registrations.

  6. Em Visão geral, anote a ID do aplicativo (cliente), que é necessária posteriormente.

Sincronizar a senha CIFS do AD DS com o registro do aplicativo Microsoft Entra

  1. No controlador de domínio do AD DS, abra o PowerShell.

  2. Instale o módulo de Gerenciamento de Autenticação Híbrida para sincronizar senhas.

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. Defina as seguintes variáveis:

    • $servicePrincipalName: Os detalhes do SPN da montagem do volume de Arquivos NetApp do Azure. Use o formato CIFS/FQDN. Por exemplo: CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID: ID do aplicativo (cliente) do aplicativo Microsoft Entra.
    • $domainCred: use Get-Credential (deve ser um administrador de domínio do AD DS)
    • $cloudCred: use Get-Credential (deve ser um Administrador Global do Microsoft Entra)
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    Nota

    O Get-Credential comando iniciará uma janela pop-up onde você pode inserir credenciais.

  4. Importe os detalhes do CIFS para o Microsoft Entra ID:

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

Configurar a VM ingressada do Microsoft Entra para usar a autenticação Kerberos

  1. Faça logon na VM ingressada do Microsoft Entra usando credenciais híbridas com direitos administrativos (por exemplo: user@mydirectory.onmicrosoft.com).

  2. Configure a VM:

    1. Navegue até Editar política de>grupo, Configuração do Computador, Modelos Administrativos>,>Sistema>Kerberos.
    2. Habilite Permitir a recuperação do tíquete de concessão de tíquete Kerberos do Microsoft Entra durante o logon.
    3. Habilite Definir mapeamentos de realm de nome de host para Kerberos. Selecione Mostrar e, em seguida, forneça um Nome do valor e Valor usando seu nome de domínio precedido por um ponto. Por exemplo:
      • Nome do valor: KERBEROS.MICROSOFTONLINE.COM
      • Valor: .contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

Montar os volumes SMB dos Arquivos NetApp do Azure

  1. Faça logon na VM ingressada no Microsoft Entra usando uma conta de identidade híbrida sincronizada do AD DS.

  2. Monte o volume SMB do Azure NetApp Files usando as informações fornecidas no portal do Azure. Para obter mais informações, consulte Montar volumes SMB para VMs do Windows.

  3. Confirme se o volume montado está usando a autenticação Kerberos e não a autenticação NTLM. Abra um prompt de comando, emita o klist comando, observe a saída na nuvem TGT (krbtgt) e informações de ticket do servidor CIFS.

    Screenshot of CLI output.

Informações adicionais