Ativar a autenticação Kerberos do Microsoft Entra para identidades híbridas nos Ficheiros do Azure
Este artigo se concentra em habilitar e configurar a ID do Microsoft Entra (anteriormente Azure AD) para autenticar identidades de usuário híbridas, que são identidades do AD DS local sincronizadas com a ID do Microsoft Entra. Atualmente, não há suporte para identidades somente na nuvem.
Essa configuração permite que usuários híbridos acessem compartilhamentos de arquivos do Azure usando a autenticação Kerberos, usando a ID do Microsoft Entra para emitir os tíquetes Kerberos necessários para acessar o compartilhamento de arquivos com o protocolo SMB. Isso significa que seus usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir conectividade de rede desimpedida com controladores de domínio de clientes Microsoft Entra híbridos ingressados e Microsoft Entra ingressados. No entanto, a configuração de listas de controle de acesso (ACLs)/diretório do Windows e permissões no nível de arquivo para um usuário ou grupo requer conectividade de rede desimpedida com o controlador de domínio local.
Para obter mais informações sobre opções e considerações com suporte, consulte Visão geral das opções de autenticação baseada em identidade dos Arquivos do Azure para acesso SMB. Para obter mais informações, consulte este mergulho profundo.
Importante
Você só pode usar um método do AD para autenticação baseada em identidade com Arquivos do Azure. Se a autenticação Kerberos do Microsoft Entra para identidades híbridas não atender às suas necessidades, você poderá usar o AD DS (Serviço de Domínio Ative Directory) local ou os Serviços de Domínio Microsoft Entra. As etapas de configuração e os cenários suportados são diferentes para cada método.
Aplica-se a
| Tipo de partilhas de ficheiros | SMB | NFS |
|---|---|---|
| Partilhas de ficheiros Standard (GPv2), LRS/ZRS |  |
 |
| Partilhas de ficheiros Standard (GPv2), GRS/GZRS | |
|
| Partilhas de ficheiros Premium (FileStorage), LRS/ZRS | |
|
Pré-requisitos
Antes de habilitar a autenticação Kerberos do Microsoft Entra sobre SMB para compartilhamentos de arquivos do Azure, verifique se você concluiu os seguintes pré-requisitos.
Nota
Sua conta de armazenamento do Azure não pode se autenticar com a ID do Microsoft Entra e um segundo método como o AD DS ou os Serviços de Domínio do Microsoft Entra. Se já tiver escolhido outro método AD para a sua conta de armazenamento, deve desativá-lo antes de ativar o Microsoft Entra Kerberos.
A funcionalidade Microsoft Entra Kerberos para identidades híbridas só está disponível nos seguintes sistemas operacionais:
- Windows 11 Enterprise/Pro de sessão única ou múltipla.
- Windows 10 Enterprise/Pro de sessão única ou múltipla, versões 2004 ou posteriores com as atualizações cumulativas mais recentes instaladas, especialmente o KB5007253 - 2021-11 Cumulative Update Preview para Windows 10.
- Windows Server, versão 2022 com as últimas atualizações cumulativas instaladas, especialmente o KB5007254 - 2021-11 Cumulative Update Preview para o sistema operacional de servidor Microsoft versão 21H2.
Para saber como criar e configurar uma VM do Windows e fazer logon usando a autenticação baseada em ID do Microsoft Entra, consulte Entrar em uma máquina virtual do Windows no Azure usando a ID do Microsoft Entra.
Os clientes devem ser associados ao Microsoft Entra ou híbridos do Microsoft Entra. O Microsoft Entra Kerberos não é suportado em clientes que aderiram aos Serviços de Domínio Microsoft Entra ou aderiram apenas ao AD.
Atualmente, esse recurso não oferece suporte a contas de usuário que você cria e gerencia somente no Microsoft Entra ID. As contas de usuário devem ser identidades de usuário híbridas, o que significa que você também precisará do AD DS e da sincronização na nuvem do Microsoft Entra Connect ou do Microsoft Entra Connect. Você deve criar essas contas no Ative Directory e sincronizá-las com o Microsoft Entra ID. Para atribuir permissões RBAC (Controle de Acesso Baseado em Função) do Azure para o compartilhamento de arquivos do Azure a um grupo de usuários, você deve criar o grupo no Ative Directory e sincronizá-lo com a ID do Microsoft Entra.
Atualmente, esse recurso não oferece suporte ao acesso entre locatários para usuários B2B ou convidados. Os usuários de um locatário do Entra diferente daquele configurado não poderão acessar o compartilhamento de arquivos.
Você deve desabilitar a autenticação multifator (MFA) no aplicativo Microsoft Entra que representa a conta de armazenamento.
Com o Microsoft Entra Kerberos, a criptografia de tíquete Kerberos é sempre AES-256. Mas você pode definir a criptografia de canal SMB que melhor atende às suas necessidades.
Disponibilidade regional
Esta funcionalidade é suportada nas nuvens Azure Public, Azure US Gov e Azure China 21Vianet.
Habilitar a autenticação Kerberos do Microsoft Entra para contas de usuário híbridas
Você pode habilitar a autenticação Kerberos do Microsoft Entra nos Arquivos do Azure para contas de usuário híbridas usando o portal do Azure, o PowerShell ou a CLI do Azure.
Para habilitar a autenticação do Microsoft Entra Kerberos usando o portal do Azure, siga estas etapas.
Entre no portal do Azure e selecione a conta de armazenamento para a qual deseja habilitar a autenticação Kerberos do Microsoft Entra.
Em Armazenamento de dados, selecione Compartilhamentos de arquivos.
Ao lado de Ative Directory, selecione o status da configuração (por exemplo, Não configurado).
Em Microsoft Entra Kerberos, selecione Configurar.
Marque a caixa de seleção Microsoft Entra Kerberos .
Opcional: Se desejar configurar permissões de diretório e nível de arquivo por meio do Explorador de Arquivos do Windows, especifique o nome de domínio e o GUID do domínio para seu AD local. Você pode obter essas informações do administrador do domínio ou executando o seguinte cmdlet do PowerShell do Ative Directory a partir de um cliente local associado ao AD:
Get-ADDomain. Seu nome de domínio deve ser listado na saída emDNSRoote seu GUID de domínio deve ser listado emObjectGUID. Se preferir configurar permissões de diretório e nível de arquivo usando icacls, ignore esta etapa. No entanto, se você quiser usar icacls, o cliente precisará de conectividade de rede desimpedida para o AD local.Selecione Guardar.
Aviso
Se você habilitou anteriormente a autenticação do Microsoft Entra Kerberos por meio de etapas manuais de visualização limitada para armazenar perfis FSLogix nos Arquivos do Azure para VMs ingressadas no Microsoft Entra, a senha da entidade de serviço da conta de armazenamento está definida para expirar a cada seis meses. Quando a senha expirar, os usuários não poderão obter tíquetes Kerberos para o compartilhamento de arquivos. Para atenuar isso, consulte "Erro - A senha da entidade de serviço expirou no ID do Microsoft Entra" em Possíveis erros ao habilitar a autenticação Kerberos do Microsoft Entra para usuários híbridos.
Conceder consentimento de administrador à nova entidade de serviço
Depois de habilitar a autenticação do Microsoft Entra Kerberos, você precisará conceder explicitamente o consentimento de administrador para o novo aplicativo Microsoft Entra registrado em seu locatário do Microsoft Entra. Essa entidade de serviço é gerada automaticamente e não é usada para autorização para o compartilhamento de arquivos, portanto, não faça nenhuma edição na entidade de serviço além das documentadas aqui. Se o fizer, poderá receber um erro.
Você pode configurar as permissões de API do portal do Azure seguindo estas etapas:
Abra o Microsoft Entra ID.
Selecione Registos de aplicações no painel esquerdo.
Selecione Todos os aplicativos.
Selecione o aplicativo com o nome correspondente a [Conta de armazenamento]
<your-storage-account-name>.file.core.windows.net.Selecione Permissões de API no painel esquerdo.
Selecione Conceder consentimento de administrador para [Nome do diretório] para conceder consentimento para as três permissões de API solicitadas (openid, profile e User.Read) para todas as contas no diretório.
Selecione Sim para confirmar.
Importante
Se você estiver se conectando a uma conta de armazenamento por meio de um ponto de extremidade privado/link privado usando a autenticação Kerberos do Microsoft Entra, também precisará adicionar o FQDN de link privado ao aplicativo Microsoft Entra da conta de armazenamento. Para obter instruções, consulte a entrada em nosso guia de solução de problemas.
Desativar a autenticação multifator na conta de armazenamento
O Microsoft Entra Kerberos não oferece suporte ao uso de MFA para acessar compartilhamentos de arquivos do Azure configurados com o Microsoft Entra Kerberos. Você deve excluir o aplicativo Microsoft Entra que representa sua conta de armazenamento de suas políticas de acesso condicional de MFA se elas se aplicarem a todos os aplicativos.
O aplicativo de conta de armazenamento deve ter o mesmo nome que a conta de armazenamento na lista de exclusão de acesso condicional. Ao procurar o aplicativo de conta de armazenamento na lista de exclusão de acesso condicional, pesquise: [Conta de armazenamento] <your-storage-account-name>.file.core.windows.net
Lembre-se de substituir <your-storage-account-name> pelo valor adequado.
Importante
Se você não excluir políticas de MFA do aplicativo de conta de armazenamento, não poderá acessar o compartilhamento de arquivos. Tentar mapear o compartilhamento de arquivos usando net use resultará em uma mensagem de erro que diz "Erro de sistema 1327: restrições de conta estão impedindo este usuário de entrar. Por exemplo: senhas em branco não são permitidas, os tempos de entrada são limitados ou uma restrição de política foi imposta."
Para obter orientações sobre a desativação da AMF, consulte o seguinte:
- Adicionar exclusões para entidades de serviço dos recursos do Azure
- Criar uma política de acesso condicional
Atribuir permissões ao nível da partilha
Ao habilitar o acesso baseado em identidade, você pode definir para cada compartilhamento quais usuários e grupos têm acesso a esse compartilhamento específico. Depois que um usuário tem permissão para entrar em um compartilhamento, as ACLs do Windows (também chamadas de permissões NTFS) em arquivos e diretórios individuais assumem o controle. Isso permite um controle refinado sobre permissões, semelhante a um compartilhamento SMB em um servidor Windows.
Para definir permissões de nível de compartilhamento, siga as instruções em Atribuir permissões de nível de compartilhamento a uma identidade.
Configurar permissões de diretório e nível de arquivo
Depois que as permissões de nível de compartilhamento estiverem em vigor, você poderá atribuir permissões de nível de diretório/arquivo ao usuário ou grupo. Isso requer o uso de um dispositivo com conectividade de rede desimpedida para um AD local. Para usar o Explorador de Arquivos do Windows, o dispositivo também precisa ser associado ao domínio.
Há duas opções para configurar permissões de diretório e nível de arquivo com a autenticação Kerberos do Microsoft Entra:
- Explorador de Arquivos do Windows: Se você escolher essa opção, o cliente deverá ingressar no domínio para o AD local.
- Utilitário icacls: Se você escolher essa opção, o cliente não precisará ingressar no domínio, mas precisará de conectividade de rede desimpedida com o AD local.
Para configurar permissões de diretório e nível de arquivo por meio do Explorador de Arquivos do Windows, você também precisa especificar o nome de domínio e o GUID do domínio para seu AD local. Você pode obter essas informações do administrador do seu domínio ou de um cliente local associado ao AD. Se você preferir configurar usando icacls, esta etapa não é necessária.
Importante
Você pode definir ACLs de nível de arquivo/diretório para identidades que não são sincronizadas com o ID do Microsoft Entra. No entanto, essas ACLs não serão aplicadas porque o tíquete Kerberos usado para autenticação/autorização não conterá essas identidades não sincronizadas. Para impor ACLs definidas, as identidades devem ser sincronizadas com o ID do Microsoft Entra.
Gorjeta
Se os usuários híbridos do Microsoft Entra de duas florestas diferentes estiverem acessando o compartilhamento, é melhor usar icacls para configurar permissões de diretório e nível de arquivo. Isso ocorre porque a configuração da ACL do Explorador de Arquivos do Windows exige que o cliente seja associado ao domínio do Ative Directory ao qual a conta de armazenamento está associada.
Para configurar permissões de diretório e nível de arquivo, siga as instruções em Configurar permissões de diretório e nível de arquivo sobre SMB.
Configurar os clientes para recuperar tíquetes Kerberos
Habilite a funcionalidade Kerberos do Microsoft Entra na(s) máquina(s) cliente(s) a partir da(s) qual(is) você deseja montar/usar compartilhamentos de arquivos do Azure. Você deve fazer isso em cada cliente no qual os Arquivos do Azure serão usados.
Use um dos três métodos a seguir:
- Configure este CSP de Política do Intune e aplique-o ao(s) cliente(s): Kerberos/CloudKerberosTicketRetrievalEnabled, definido como 1
- Configure esta política de grupo no(s) cliente(s) para "Habilitado":
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon - Defina o seguinte valor do Registro no(s) cliente(s) executando este comando a partir de um prompt de comando elevado:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
As alterações não são instantâneas e exigem uma atualização de política ou uma reinicialização para entrar em vigor.
Importante
Depois que essa alteração for aplicada, o(s) cliente(s) não poderá(ão) se conectar a contas de armazenamento configuradas para integração do AD DS local sem configurar mapeamentos de realm Kerberos. Se desejar que o(s) cliente(s) possa(m) se conectar a contas de armazenamento configuradas para AD DS, bem como contas de armazenamento configuradas para Microsoft Entra Kerberos, siga as etapas em Configurar coexistência com contas de armazenamento usando o AD DS local.
Configurar a coexistência com contas de armazenamento usando o AD DS local
Se você quiser habilitar máquinas cliente para se conectar a contas de armazenamento configuradas para AD DS, bem como contas de armazenamento configuradas para Microsoft Entra Kerberos, siga estas etapas. Se você estiver usando apenas o Microsoft Entra Kerberos, ignore esta seção.
Adicione uma entrada para cada conta de armazenamento que usa a integração do AD DS local. Use um dos três métodos a seguir para configurar mapeamentos de realm Kerberos. As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.
- Configure este CSP de Política do Intune e aplique-o ao(s) cliente(s): Kerberos/HostToRealm
- Configure esta política de grupo no(s) cliente(s):
Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings - Execute o comando do
ksetupWindows no(s) cliente(s):ksetup /addhosttorealmmap <hostname> <REALMNAME>- Por exemplo,
ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL
- Por exemplo,
Importante
Em Kerberos, os nomes de reino diferenciam maiúsculas de minúsculas e maiúsculas. O nome do território Kerberos é geralmente o mesmo que o nome de domínio, em letras maiúsculas.
Desfazer a configuração do cliente para recuperar tíquetes Kerberos
Se você não quiser mais usar uma máquina cliente para autenticação do Microsoft Entra Kerberos, poderá desabilitar a funcionalidade do Microsoft Entra Kerberos nessa máquina. Use um dos três métodos a seguir, dependendo de como você habilitou a funcionalidade:
- Configure este CSP de Política do Intune e aplique-o ao(s) cliente(s): Kerberos/CloudKerberosTicketRetrievalEnabled, definido como 0
- Configure esta política de grupo no(s) cliente(s) para "Desativado":
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon - Defina o seguinte valor do Registro no(s) cliente(s) executando este comando a partir de um prompt de comando elevado:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0
As alterações não são instantâneas e exigem uma atualização de política ou uma reinicialização para entrar em vigor.
Se você seguiu as etapas em Configurar coexistência com contas de armazenamento usando o AD DS local, pode, opcionalmente, remover todos os nomes de host para mapeamentos de realm Kerberos da máquina cliente. Use um dos três métodos a seguir:
- Configure este CSP de Política do Intune e aplique-o ao(s) cliente(s): Kerberos/HostToRealm
- Configure esta política de grupo no(s) cliente(s):
Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings - Execute o comando do
ksetupWindows no(s) cliente(s):ksetup /delhosttorealmmap <hostname> <realmname>- Por exemplo,
ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net contoso.local - Você pode exibir a lista de nomes de host atuais para mapeamentos de realm Kerberos inspecionando a chave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealmdo Registro .
- Por exemplo,
As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.
Importante
Depois que essa alteração for aplicada, o(s) cliente(s) não poderá(ão) se conectar a contas de armazenamento configuradas para autenticação Kerberos do Microsoft Entra. No entanto, eles poderão se conectar a contas de armazenamento configuradas para AD DS, sem qualquer configuração adicional.
Desativar a autenticação do Microsoft Entra na sua conta de armazenamento
Se quiser usar outro método de autenticação, você pode desabilitar a autenticação do Microsoft Entra em sua conta de armazenamento usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.
Nota
Desabilitar esse recurso significa que não haverá configuração do Ative Directory para compartilhamentos de arquivos em sua conta de armazenamento até que você habilite uma das outras fontes do Ative Directory para restabelecer sua configuração do Ative Directory.
Para desabilitar a autenticação Kerberos do Microsoft Entra em sua conta de armazenamento usando o portal do Azure, siga estas etapas.
- Entre no portal do Azure e selecione a conta de armazenamento para a qual deseja desabilitar a autenticação do Microsoft Entra Kerberos.
- Em Armazenamento de dados, selecione Compartilhamentos de arquivos.
- Ao lado de Ative Directory, selecione o status da configuração.
- Em Microsoft Entra Kerberos, selecione Configurar.
- Desmarque a caixa de seleção Microsoft Entra Kerberos .
- Selecione Guardar.
Próximos passos
Para obter mais informações, veja estes recursos: