Få åtkomst till SMB-volymer från Microsoft Entra-anslutna virtuella Windows-datorer

  • Artikel

Du kan använda Microsoft Entra-ID med modulen Hybrid Authentication Management för att autentisera autentiseringsuppgifter i ditt hybridmoln. Den här lösningen gör att Microsoft Entra-ID kan bli den betrodda källan för både molnbaserad och lokal autentisering, vilket kringgår behovet av att klienter som ansluter till Azure NetApp Files ansluter till den lokala AD-domänen.

Kommentar

Genom att använda Microsoft Entra-ID för att autentisera hybridanvändaridentiteter kan Microsoft Entra-användare komma åt Azure NetApp Files SMB-resurser. Det innebär att dina slutanvändare kan komma åt Azure NetApp Files SMB-resurser utan att behöva en siktlinje för domänkontrollanter från Microsoft Entra-hybridanslutna och Microsoft Entra-anslutna virtuella datorer. Molnbaserade identiteter stöds inte för närvarande. Mer information finns i Förstå riktlinjer för Active Directory-domän Services webbplatsdesign och planering.

Diagram of SMB volume joined to Microsoft Entra ID.

Krav och överväganden

  • Azure NetApp Files NFS-volymer och volymer med dubbla protokoll (NFSv4.1 och SMB) stöds inte.

  • NFSv3- och SMB-volymer med dubbla protokoll med NTFS-säkerhetsformat stöds.

  • Du måste ha installerat och konfigurerat Microsoft Entra Anslut för att synkronisera dina AD DS-användare med Microsoft Entra-ID. Mer information finns i Komma igång med Microsoft Entra Anslut med hjälp av expressinställningar.

    Kontrollera att hybrididentiteterna synkroniseras med Microsoft Entra-användare. Gå till Användare i Azure-portalen under Microsoft Entra-ID. Du bör se att användarkonton från AD DS visas och egenskapen Lokal synkronisering aktiverad visar "ja".

    Kommentar

    När du har konfigurerat Microsoft Entra Anslut måste du köra kommandot i Administratörs-PowerShell för att synkronisera den nya användaren med Microsoft Entra-ID eller vänta tills den schemalagda synkroniseringen ska ske när du har lagt Start-ADSyncSyncCycle till en ny AD DS-användare.

  • Du måste ha skapat en SMB-volym för Azure NetApp Files.

  • Du måste ha en virtuell Windows-dator (VM) med Microsoft Entra-inloggning aktiverat. Mer information finns i Logga in på en virtuell Windows-dator i Azure med hjälp av Microsoft Entra-ID. Se till att konfigurera rolltilldelningar för den virtuella datorn för att avgöra vilka konton som kan logga in på den virtuella datorn.

  • DNS måste vara korrekt konfigurerat så att den virtuella klientdatorn kan komma åt dina Azure NetApp Files-volymer via det fullständigt kvalificerade domännamnet (FQDN).

Steg

Konfigurationsprocessen tar dig igenom fem processer:

  • Lägg till CIFS SPN i datorkontot
  • Registrera ett nytt Microsoft Entra-program
  • Synkronisera CIFS-lösenord från AD DS till Microsoft Entra-programregistreringen
  • Konfigurera den Microsoft Entra-anslutna virtuella datorn så att den använder Kerberos-autentisering
  • Montera SMB-volymerna för Azure NetApp Files

Lägg till CIFS SPN i datorkontot

  1. Öppna Active Directory - användare och datorer från ad DS-domänkontrollanten.
  2. Under menyn Visa väljer du Avancerade funktioner.
  3. Under Datorer högerklickar du på det datorkonto som skapats som en del av Azure NetApp Files-volymen och väljer sedan Egenskaper.
  4. Under Attributredigeraren letar du upp servicePrincipalName. I strängredigeraren med flera värden lägger du till CIFS SPN-värdet med formatet CIFS/FQDN.

Screenshot of multi-value string editor window.

Registrera ett nytt Microsoft Entra-program

  1. Gå till Microsoft Entra-ID i Azure-portalen. Välj Appregistreringar.
  2. Välj + Ny registrering.
  3. Tilldela ett namn. Under Välj kontotyp som stöds väljer du Endast Konton i den här organisationskatalogen (enskild klientorganisation)..
  4. Välj Registrera.

Screenshot to register application.

  1. Konfigurera behörigheterna för programmet. Från dina appregistreringar väljer du API-behörigheter och sedan Lägg till en behörighet.

  2. Välj Microsoft Graph och sedan Delegerade behörigheter. Under Välj behörigheter väljer du openid och profil under OpenId-behörigheter.

    Screenshot to register API permissions.

  3. Välj Lägg till behörighet.

  4. Från API-behörigheter väljer du Bevilja administratörsmedgivande för....

    Screenshot to grant API permissions.

  5. Under Egenskapslås för Appinstans i Autentisering väljer du Konfigurera och avmarkerar sedan kryssrutan Aktivera egenskapslås.

    Screenshot of app registrations.

  6. Anteckna program-ID (klient-ID) från Översikt, vilket krävs senare.

Synkronisera CIFS-lösenord från AD DS till Microsoft Entra-programregistreringen

  1. Öppna PowerShell från ad DS-domänkontrollanten.

  2. Installera hybridautentiseringshanteringsmodulen för synkronisering av lösenord.

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. Definiera följande variabler:

    • $servicePrincipalName: SPN-informationen från monteringen av Azure NetApp Files-volymen. Använd CIFS/FQDN-formatet. Till exempel: CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID: Program-ID för Microsoft Entra-programmet.
    • $domainCred: använd Get-Credential (bör vara en AD DS-domänadministratör)
    • $cloudCred: använd Get-Credential (bör vara en global Microsoft Entra-administratör)
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    Kommentar

    Kommandot Get-Credential initierar ett popup-fönster där du kan ange autentiseringsuppgifter.

  4. Importera CIFS-informationen till Microsoft Entra-ID:

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

Konfigurera den Microsoft Entra-anslutna virtuella datorn så att den använder Kerberos-autentisering

  1. Logga in på den Microsoft Entra-anslutna virtuella datorn med hybridautentiseringsuppgifter med administrativa rättigheter (till exempel: user@mydirectory.onmicrosoft.com).

  2. Konfigurera den virtuella datorn:

    1. Gå till Redigera grupprincip>Datorkonfiguration>Administrativa mallar>System>Kerberos.
    2. Aktivera Tillåt hämtning av Microsoft Entra Kerberos-biljettbeviljande biljett under inloggningen.
    3. Aktivera Definiera värdnamn till Kerberos-sfärmappningar. Välj Visa och ange sedan ett Värdenamn och Värde med ditt domännamn föregås av en punkt. Till exempel:
      • Värdenamn: KERBEROS.MICROSOFTONLINE.COM
      • Värde: .contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

Montera SMB-volymerna för Azure NetApp Files

  1. Logga in på den Microsoft Entra-anslutna virtuella datorn med ett hybrididentitetskonto som synkroniserats från AD DS.

  2. Montera Azure NetApp Files SMB-volymen med hjälp av informationen i Azure-portalen. Mer information finns i Montera SMB-volymer för virtuella Windows-datorer.

  3. Bekräfta att den monterade volymen använder Kerberos-autentisering och inte NTLM-autentisering. Öppna en kommandotolk, utfärda klist kommandot. Observera utdata i moln-TGT (krbtgt) och CIFS-serverbiljettinformation.

    Screenshot of CLI output.

Mer information