Aktivera Microsoft Entra Domain Services-autentisering för Azure Files
Azure Files stöder identitetsbaserad autentisering för Windows-filresurser via Server Message Block (SMB) med hjälp av Kerberos-autentiseringsprotokollet via följande metoder:
- Lokala Active Directory-domän Services (AD DS)
- Microsoft Entra Domain Services
- Microsoft Entra Kerberos för hybridanvändares identiteter
Den här artikeln fokuserar på att aktivera och konfigurera Microsoft Entra Domain Services (tidigare Azure Active Directory-domän Services) för identitetsbaserad autentisering med Azure-filresurser. I det här autentiseringsscenariot är Microsoft Entra-autentiseringsuppgifter och autentiseringsuppgifter för Microsoft Entra Domain Services desamma och kan användas omväxlande.
Vi rekommenderar starkt att du läser avsnittet Så här fungerar det för att välja rätt AD-källa för autentisering. Konfigurationen skiljer sig beroende på vilken AD-källa du väljer.
Om du inte har använt Azure Files tidigare rekommenderar vi att du läser vår planeringsguide innan du läser den här artikeln.
Kommentar
Azure Files stöder Kerberos-autentisering med Microsoft Entra Domain Services med RC4-HMAC och AES-256-kryptering. Vi rekommenderar att du använder AES-256.
Azure Files stöder autentisering för Microsoft Entra Domain Services med fullständig eller partiell synkronisering (begränsad) med Microsoft Entra-ID. För miljöer med begränsad synkronisering bör administratörer vara medvetna om att Azure Files endast respekterar Azure RBAC-rolltilldelningar som beviljats till huvudkonton som synkroniseras. Rolltilldelningar som beviljats identiteter som inte synkroniserats från Microsoft Entra-ID till Microsoft Entra Domain Services ignoreras av Azure Files-tjänsten.
Gäller för
| Typ av filresurs | SMB | NFS |
|---|---|---|
| Standardfilresurser (GPv2), LRS/ZRS |  |
 |
| Standardfilresurser (GPv2), GRS/GZRS | |
|
| Premiumfilresurser (FileStorage), LRS/ZRS | |
|
Förutsättningar
Innan du aktiverar Microsoft Entra Domain Services via SMB för Azure-filresurser kontrollerar du att du har slutfört följande krav:
Välj eller skapa en Microsoft Entra-klientorganisation.
Du kan använda en ny eller befintlig klientorganisation. Klientorganisationen och filresursen som du vill komma åt måste vara associerade med samma prenumeration.
Om du vill skapa en ny Microsoft Entra-klientorganisation kan du lägga till en Microsoft Entra-klientorganisation och en Microsoft Entra-prenumeration. Om du har en befintlig Microsoft Entra-klient men vill skapa en ny klientorganisation för användning med Azure-filresurser läser du Skapa en Microsoft Entra-klientorganisation.
Aktivera Microsoft Entra Domain Services i Microsoft Entra-klientorganisationen.
För att stödja autentisering med Microsoft Entra-autentiseringsuppgifter måste du aktivera Microsoft Entra Domain Services för din Microsoft Entra-klientorganisation. Om du inte är administratör för Microsoft Entra-klientorganisationen kontaktar du administratören och följer den stegvisa vägledningen för att aktivera Microsoft Entra Domain Services med hjälp av Azure-portalen.
Det tar vanligtvis cirka 15 minuter innan distributionen av Microsoft Entra Domain Services slutförs. Kontrollera att hälsostatusen för Microsoft Entra Domain Services visar Körning med synkronisering av lösenordshash aktiverat innan du fortsätter till nästa steg.
Domänansluta en virtuell Azure-dator med Microsoft Entra Domain Services.
För att få åtkomst till en Azure-filresurs med hjälp av Microsoft Entra-autentiseringsuppgifter från en virtuell dator måste den virtuella datorn vara domänansluten till Microsoft Entra Domain Services. För mer information om hur du domänansluter en virtuell dator, se Ansluta en virtuell Windows Server-dator till en hanterad domän. Microsoft Entra Domain Services-autentisering via SMB med Azure-filresurser stöds endast på virtuella Azure-datorer som körs på os-versioner ovanför Windows 7 eller Windows Server 2008 R2.
Kommentar
Icke-domänanslutna virtuella datorer kan endast komma åt Azure-filresurser med Microsoft Entra Domain Services-autentisering om den virtuella datorn har obehindrat nätverksanslutning till domänkontrollanterna för Microsoft Entra Domain Services. Detta kräver vanligtvis antingen plats-till-plats- eller punkt-till-plats-VPN.
Välj eller skapa en Azure-filresurs.
Välj en ny eller befintlig filresurs som är associerad med samma prenumeration som din Microsoft Entra-klientorganisation. Information om hur du skapar en ny filresurs finns i Skapa en filresurs i Azure Files. För optimala prestanda rekommenderar vi att filresursen finns i samma region som den virtuella dator som du planerar att komma åt resursen från.
Verifiera Azure Files-anslutningen genom att montera Azure-filresurser med hjälp av lagringskontonyckeln.
Om du vill kontrollera att den virtuella datorn och filresursen är korrekt konfigurerade kan du prova att montera filresursen med hjälp av lagringskontonyckeln. Mer information finns i Montera en Azure-filresurs och få åtkomst till resursen i Windows.
Regional tillgänglighet
Azure Files-autentisering med Microsoft Entra Domain Services är tillgängligt i alla regioner i Azure Public, Gov och Kina.
Översikt över arbetsflödet
Innan du aktiverar Microsoft Entra Domain Services-autentisering via SMB för Azure-filresurser kontrollerar du att dina Microsoft Entra-ID- och Azure Storage-miljöer är korrekt konfigurerade. Vi rekommenderar att du går igenom förutsättningarna för att se till att du har slutfört alla nödvändiga steg.
Följ de här stegen för att bevilja åtkomst till Azure Files-resurser med Microsoft Entra-autentiseringsuppgifter:
- Aktivera Microsoft Entra Domain Services-autentisering via SMB för ditt lagringskonto för att registrera lagringskontot med den associerade Microsoft Entra Domain Services-distributionen.
- Tilldela behörigheter på resursnivå till en Microsoft Entra-identitet (en användare, grupp eller tjänstens huvudnamn).
- Anslut till din Azure-filresurs med hjälp av en lagringskontonyckel och konfigurera Windows åtkomstkontrollistor (ACL) för kataloger och filer.
- Montera en Azure-filresurs från en domänansluten virtuell dator.
Följande diagram illustrerar arbetsflödet från slutpunkt till slutpunkt för att aktivera Microsoft Entra Domain Services-autentisering via SMB för Azure Files.
Aktivera Microsoft Entra Domain Services-autentisering för ditt konto
Om du vill aktivera Microsoft Entra Domain Services-autentisering via SMB för Azure Files anger du en egenskap för lagringskonton med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI. Att ange denna egenskap kopplar implicit lagringskontot till den associerade Microsoft Entra Domain Services-distributionen. Microsoft Entra Domain Services-autentisering via SMB aktiveras sedan för alla nya och befintliga fildelningar i lagringskontot.
Tänk på att du bara kan aktivera autentisering för Microsoft Entra Domain Services över SMB efter att du framgångsrikt har distribuerat Microsoft Entra Domain Services till din Microsoft Entra-klientorganisation. För mer information, se Förutsättningar.
Följ dessa steg för att aktivera Microsoft Entra Domain Services-autentisering via SMB med Azure-portalen:
I Azure-portalen går du till ditt befintliga lagringskonto eller skapar ett lagringskonto.
Välj Datalagring>Filresurser.
I avsnittet Filresursinställningar väljer du Identitetsbaserad åtkomst: Inte konfigurerad.
Under Microsoft Entra Domain Services väljer du Konfigurera och aktiverar sedan funktionen genom att markera kryssrutan.
Välj Spara.
Rekommenderas: Använd AES-256-kryptering
Som standard använder Microsoft Entra Domain Services-autentisering Kerberos RC4-kryptering. Vi rekommenderar att du konfigurerar det så att det använder Kerberos AES-256-kryptering i stället genom att följa dessa instruktioner.
Åtgärden kräver att en åtgärd körs på Active Directory-domänen som hanteras av Microsoft Entra Domain Services för att nå en domänkontrollant för att begära en egenskapsändring av domänobjektet. Cmdletarna nedan är Windows Server Active Directory PowerShell-cmdletar, inte Azure PowerShell-cmdletar. Därför måste dessa PowerShell-kommandon köras från en klientdator som är domänansluten till Microsoft Entra Domain Services-domänen.
Viktigt!
Windows Server Active Directory PowerShell-cmdletar i det här avsnittet måste köras i Windows PowerShell 5.1 från en klientdator som är domänansluten till Domäntjänster för Microsoft Entra. PowerShell 7.x och Azure Cloud Shell fungerar inte i det här scenariot.
Logga in på den domänanslutna klientdatorn som en Microsoft Entra Domain Services-användare med nödvändiga behörigheter. Du måste ha skrivåtkomst till msDS-SupportedEncryptionTypes attributet för domänobjektet. Vanligtvis har medlemmar i gruppen AAD DC-administratörer nödvändiga behörigheter. Öppna en normal (icke-upphöjd) PowerShell-session och kör följande kommandon.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Viktigt!
Om du tidigare använde RC4-kryptering och uppdaterade lagringskontot för att använda AES-256 bör du köra klist purge på klienten och sedan montera om filresursen för att hämta nya Kerberos-biljetter med AES-256.
Tilldela behörigheter på resursnivå
För att komma åt Azure Files-resurser med identitetsbaserad autentisering måste en identitet (en användare, grupp eller tjänsteprincip) ha nödvändiga behörigheter på resursnivå. Denna process liknar den för att ange Behörigheter för Windows-resurser där du anger vilken typ av åtkomst en viss användare har till en filresurs. Vägledningen i detta avsnitt visar hur du tilldelar läs-, skriv- eller borttagningsbehörigheter för en filresurs till en identitet. Vi rekommenderar starkt att tilldela behörigheter genom att uttryckligen deklarera åtgärder och dataåtgärder istället för att använda jokertecknet (*).
De flesta användare bör tilldela behörigheter på resursnivå till specifika Microsoft Entra-användare eller -grupper och sedan konfigurera Windows-ACL:er för detaljerad åtkomstkontroll på katalog- och filnivå. Du kan även ange en standardbehörighet på resursnivå för att ge deltagare, upphöjd deltagare eller läsare åtkomst till alla autentiserade identiteter.
Det finns fem inbyggda Azure-roller för Azure Files, varav några tillåter beviljande av behörigheter på resursnivå till användare och grupper:
- Storage File Data Share Elevated Contributor tillåter läs-, skriv- raderings- och ändringsåtkomst för Windows-ACL:er i Azure-fildelningar via SMB genom att åsidosätta befintliga Windows-ACL:er.
- Storage File Data Privileged Reader tillåter läsåtkomst i Azure-fildelningar via SMB genom att åsidosätta befintliga Windows-ACL:er.
- Storage File Data SMB Share Contributor tillåter läs-, skriv- och borttagningsåtkomst i Azure-filresurser via SMB.
- Storage File Data SMB Share Elevated Contributor gör att du kan läsa, skriva, ta bort och ändra Windows-ACL:er i Azure-filresurser via SMB.
- Storage File Data SMB Share Reader tillåter läsåtkomst i Azure-filresurser via SMB.
Viktigt!
Fullständig administrativ kontroll över en filresurs, inklusive möjligheten att ta ägarskap för en fil, kräver att du använder lagringskontonyckeln. Administrativ kontroll stöds inte med Microsoft Entra-autentiseringsuppgifter.
Du kan använda Azure-portalen, PowerShell eller Azure CLI för att tilldela inbyggda roller till Microsoft Entras-identitet för en användare för att ge behörigheter på resursnivå. Tänk på att tilldelningen av Azure-rolltilldelningen på resursnivå kan ta lite tid att börja gälla. Vi rekommenderar att du använder behörighet på resursnivå för åtkomsthantering på hög nivå till en AD-grupp som representerar en grupp användare och identiteter och sedan använder Windows-ACL:er för detaljerad åtkomstkontroll på katalog-/filnivå.
Tilldela en Azure-roll till en Microsoft Entra-identitet
Viktigt!
Tilldela behörigheter genom att uttryckligen deklarera åtgärder och dataåtgärder i stället för att använda ett jokertecken (*). Om en anpassad rolldefinition för en dataåtgärd innehåller ett jokertecken ges alla identiteter som tilldelas den rollen åtkomst för alla möjliga dataåtgärder. Detta innebär att alla dessa identiteter även kommer att beviljas eventuella nya dataåtgärder som läggs till på plattformen. Den extra tillgång och de behörigheter som beviljas genom nya åtgärder eller dataåtgärder kan vara oönskat beteende för kunder som använder jokertecken.
Följ dessa steg för att tilldela en Azure-roll till en Microsoft Entra-identitet med hjälp av Azure-portalen:
- Gå till din filresurs i Azure-portalen eller Skapa en filresurs.
- Välj Access Control (IAM).
- Välj Lägg till en rolltilldelning
- På bladet Lägg till rolltilldelning väljer du lämplig inbyggd roll (till exempel Storage File Data SMB Share Reader eller Storage File Data SMB Share Contributor) i rolllistan. Lämna Tilldela åtkomst till som standardinställning: Microsoft Entra-användare, grupp eller tjänstens huvudnamn. Välj Microsoft Entra-målidentiteten efter namn eller e-postadress.
- Välj Granska + tilldela för att slutföra rolltilldelningen.
Konfigurera Windows-ACL:er
När du har tilldelat behörigheter på resursnivå med RBAC kan du tilldela Windows-ACL:er på rot-, katalog- eller filnivå. Tänk på behörigheter på resursnivå som gatekeeper på hög nivå som avgör om en användare kan komma åt resursen, medan Windows-ACL:er fungerar på en mer detaljerad nivå för att avgöra vilka åtgärder användaren kan göra på katalog- eller filnivå.
Azure Files stöder den fullständiga uppsättningen grundläggande och avancerade behörigheter. Du kan visa och konfigurera Windows-ACL:er på kataloger och filer i en Azure-filresurs genom att montera resursen och sedan använda Windows Utforskaren eller köra kommandot Windows icacls eller Set-ACL.
Följande uppsättningar med behörigheter stöds i rotkatalogen för en filresurs:
- BUILTIN\Administrators:(OI)(CI)(F)
- NT AUTHORITY\SYSTEM:(OI)(CI)(F)
- BUILTIN\Users:(RX)
- BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
- NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
- NT AUTHORITY\SYSTEM:(F)
- CREATOR OWNER:(OI)(CI)(IO)(F)
Mer information finns i Konfigurera katalog- och filnivåbehörigheter via SMB.
Montera filresursen med hjälp av lagringskontonyckeln
Innan du konfigurerar Windows-ACL:er måste du först montera filresursen på den domänanslutna virtuella datorn med hjälp av lagringskontonyckeln. För att göra detta, logga in på den domänanslutna virtuella datorn som en Microsoft Entra-användare, öppna en Windows kommandotolk och kör följande kommando. Kom ihåg att ersätta <YourStorageAccountName>, <FileShareName>och <YourStorageAccountKey> med dina egna värden. Om Z: redan används ersätter du det med en tillgänglig enhetsbeteckning. Du hittar din lagringskontonyckel i Azure-portalen genom att gå till lagringskontot och välja Åtkomstnycklar för säkerhet och nätverk>, eller så kan du använda PowerShell-cmdletenGet-AzStorageAccountKey.
Det är viktigt att du använder net use Windows-kommandot för att montera resursen i det här skedet och inte PowerShell. Om du använder PowerShell för att montera resursen visas inte resursen för Windows Utforskaren eller cmd.exe och du kommer inte att kunna konfigurera Windows-ACL:er.
Kommentar
Du kan se att ACL: en för fullständig kontroll redan har tillämpats på en roll. Detta ger vanligtvis redan möjlighet att tilldela behörigheter. Men eftersom det finns åtkomstkontroller på två nivåer (resursnivån och fil-/katalognivån) är detta begränsat. Endast användare som har rollen Förhöjd SMB-deltagare och skapar en ny fil eller katalog kan tilldela behörigheter för dessa nya filer eller kataloger utan att använda lagringskontonyckeln. Alla andra fil-/katalogbehörighetstilldelningar kräver att du ansluter till resursen med hjälp av lagringskontonyckeln först.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Konfigurera Windows-ACL:er med Windows Utforskaren
När du har monterat din Azure-filresurs måste du konfigurera Windows-ACL:er. Du kan göra detta med antingen Windows Utforskaren eller icacls.
Följ de här stegen för att använda Windows Utforskaren för att bevilja fullständig behörighet till alla kataloger och filer under filresursen, inklusive rotkatalogen.
- Öppna Windows Utforskaren och högerklicka på filen/katalogen och välj Egenskaper.
- Välj fliken Säkerhet.
- Välj Redigera för att ändra behörigheter.
- Du kan ändra behörigheter för befintliga användare eller välja Lägg till för att bevilja behörigheter till nya användare.
- I promptfönstret för att lägga till nya användare anger du det målanvändarnamn som du vill ge behörighet till i rutan Ange objektnamn att markera och väljer Kontrollera namn för att hitta det fullständiga UPN-namnet för målanvändaren.
- Välj OK.
- På fliken Säkerhet väljer du alla behörigheter som du vill bevilja den nya användaren.
- Välj Använd.
Konfigurera Windows-ACL:er med icacls
Använd följande Windows-kommando för att bevilja fullständiga behörigheter till alla kataloger och filer under fildelningen, inklusive rotkatalogen. Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden.
icacls <mounted-drive-letter>: /grant <user-email>:(f)
Mer information om hur du använder icacls för att ange Windows-ACL:er och de olika typerna av behörigheter som stöds finns i kommandoradsreferensen för icacls.
Montera filresursen från en domänansluten virtuell dator
Följande process verifierar att filresursen och åtkomstbehörigheterna har konfigurerats korrekt och att du kan komma åt en Azure-filresurs från en domänansluten virtuell dator. Tänk på att tilldelningen av Azure-rolltilldelningen på resursnivå kan ta lite tid att börja gälla.
Logga in på den domänanslutna virtuella datorn med den Microsoft Entra-identitet som du har beviljat behörigheter till. Se till att logga in med Microsoft Entra-autentiseringsuppgifter. Om enheten redan är monterad med lagringskontonyckeln måste du koppla från enheten eller logga in igen.
Kör PowerShell-skriptet nedan eller använd Azure-portalen för att beständigt montera Azure-filresursen och mappa den för att köra Z: i Windows. Om Z: redan används ersätter du det med en tillgänglig enhetsbeteckning. Eftersom du har autentiserats behöver du inte ange lagringskontonyckeln. Skriptet kontrollerar om det här lagringskontot är tillgängligt via TCP-port 445, vilket är den port som SMB använder. Kom ihåg att ersätta <storage-account-name> och <file-share-name> med dina egna värden. Mer information finns i Använda en Azure-filresurs med Windows.
Om du inte använder anpassade domännamn bör du montera Azure-filresurser med suffixet file.core.windows.net, även om du konfigurerar en privat slutpunkt för din resurs.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Du kan också använda net-use kommandot från en Windows-prompt för att montera filresursen. Kom ihåg att ersätta <YourStorageAccountName> och <FileShareName> med dina egna värden.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Montera filresursen från en icke-domänansluten virtuell dator eller en virtuell dator som är ansluten till en annan AD-domän
Icke-domänanslutna virtuella datorer eller virtuella datorer som är anslutna till en annan domän än lagringskontot kan endast komma åt Azure-filresurser med Microsoft Entra Domain Services-autentisering om den virtuella datorn har obehindrat nätverksanslutning till domänkontrollanterna för Microsoft Entra Domain Services, som finns i Azure. Detta kräver vanligtvis att du konfigurerar ett plats-till-plats- eller punkt-till-plats-VPN. Användaren som kommer åt filresursen måste ha en identitet (en Microsoft Entra-identitet som synkroniserats från Microsoft Entra-ID till Microsoft Entra Domain Services) i den hanterade domänen Microsoft Entra Domain Services och måste ange explicita autentiseringsuppgifter (användarnamn och lösenord).
Om du vill montera en filresurs från en icke-domänansluten virtuell dator måste användaren antingen:
- Ange autentiseringsuppgifter som DOMAINNAME\username där DOMAINNAME är domänen Microsoft Entra Domain Services och användarnamnet är identitetens användarnamn i Microsoft Entra Domain Services, eller
- Använd notationen username@domainFQDN, där domainFQDN är det fullständigt kvalificerade domännamnet.
Med någon av dessa metoder kan klienten kontakta domänkontrollanten i domänen Microsoft Entra Domain Services för att begära och ta emot Kerberos-biljetter.
Till exempel:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
eller
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Nästa steg
Om du vill ge ytterligare användare åtkomst till filresursen följer du anvisningarna i Tilldela behörigheter på resursnivå och Konfigurera Windows-ACL:er.
Mer information om identitetsbaserad autentisering för Azure Files finns i följande resurser: