Microsoft Entra'ya katılmış Windows sanal makinelerinden SMB birimlerine erişme

  • Makale

Karma bulutunuzda kimlik bilgilerinin kimliğini doğrulamak için Karma Kimlik Doğrulama Yönetimi modülüyle Microsoft Entra Id kullanabilirsiniz. Bu çözüm, Microsoft Entra Id'nin hem bulut hem de şirket içi kimlik doğrulaması için güvenilir kaynak olmasını sağlayarak Azure NetApp Files'a bağlanan istemcilerin şirket içi AD etki alanına katılma gereksinimini aşmasını sağlar.

Not

Karma kullanıcı kimliklerinin kimliğini doğrulamak için Microsoft Entra Kimliğinin kullanılması, Microsoft Entra kullanıcılarının Azure NetApp Files SMB paylaşımlarına erişmesine olanak tanır. Bu, son kullanıcılarınızın Microsoft Entra karmasına katılmış ve Microsoft Entra'ya katılmış VM'lerden etki alanı denetleyicilerine görüş hattı gerektirmeden Azure NetApp Files SMB paylaşımlarına erişebileceği anlamına gelir. Yalnızca bulut kimlikleri şu anda desteklenmiyor. Daha fazla bilgi için bkz. Active Directory Etki Alanı Hizmetleri site tasarımı ve planlamasıyla ilgili yönergeleri anlama.

Diagram of SMB volume joined to Microsoft Entra ID.

Gereksinimler ve dikkat edilmesi gerekenler

  • Azure NetApp Files NFS birimleri ve çift protokollü (NFSv4.1 ve SMB) birimler desteklenmez.

  • NTFS güvenlik stiline sahip NFSv3 ve SMB çift protokollü birimler desteklenir.

  • AD DS kullanıcılarınızı Microsoft Entra Kimliği ile eşitlemek için Microsoft Entra Bağlan yükleyip yapılandırmış olmanız gerekir. Daha fazla bilgi için bkz. Hızlı ayarları kullanarak Microsoft Entra Bağlan kullanmaya başlama.

    Karma kimliklerin Microsoft Entra kullanıcıları ile eşitlendiğini doğrulayın. Azure portalında Microsoft Entra Id altında Kullanıcılar'a gidin. AD DS'den kullanıcı hesaplarının listelendiğini ve Şirket içi eşitlemenin etkinleştirildiği özelliğinin "evet" olarak gösterildiğini görmeniz gerekir.

    Not

    Microsoft Entra Bağlan ilk yapılandırmasından sonra, yeni bir AD DS kullanıcısı eklediğinizde, yeni kullanıcıyı Microsoft Entra Id ile eşitlemek için Yönetici istrator PowerShell'de komutunu çalıştırmanız Start-ADSyncSyncCycle veya zamanlanmış eşitlemenin gerçekleşmesini beklemeniz gerekir.

  • Azure NetApp Files için bir SMB birimi oluşturmuş olmanız gerekir.

  • Microsoft Entra oturum açma özelliğinin etkinleştirildiği bir Windows sanal makineniz (VM) olmalıdır. Daha fazla bilgi için bkz . Microsoft Entra Id kullanarak Azure'da bir Windows VM'de oturum açma. VM'de hangi hesapların oturum açabileceğini belirlemek için VM için rol atamalarını yapılandırmayı unutmayın.

  • İstemci VM'nin tam etki alanı adı (FQDN) aracılığıyla Azure NetApp Files birimlerinize erişebilmesi için DNS'nin düzgün yapılandırılması gerekir.

Adımlar

Yapılandırma işlemi sizi beş işlemden geçirir:

  • CIFS SPN'yi bilgisayar hesabına ekleme
  • Yeni bir Microsoft Entra uygulaması kaydetme
  • CIFS parolasını AD DS'den Microsoft Entra uygulama kaydıyla eşitleme
  • Microsoft Entra'ya katılmış VM'yi Kerberos kimlik doğrulamasını kullanacak şekilde yapılandırma
  • Azure NetApp Files SMB birimlerini bağlama

CIFS SPN'yi bilgisayar hesabına ekleme

  1. AD DS etki alanı denetleyicinizden Active Directory Kullanıcıları ve Bilgisayarları açın.
  2. Görünüm menüsünün altında Gelişmiş Özellikler'i seçin.
  3. Bilgisayarlar'ın altında, Azure NetApp Files biriminin bir parçası olarak oluşturulan bilgisayar hesabına sağ tıklayın ve Özellikler'i seçin.
  4. Öznitelik Düzenleyicisi'nin altında öğesini bulun servicePrincipalName. Çok değerli dize düzenleyicisinde CIFS/FQDN biçimini kullanarak CIFS SPN değerini ekleyin.

Screenshot of multi-value string editor window.

Yeni bir Microsoft Entra uygulaması kaydetme

  1. Azure portalında Microsoft Entra Id'ye gidin. Uygulama Kayıtları'ı seçin.
  2. + Yeni kayıt'ı seçin.
  3. Ad atayın. Desteklenen hesap türünü seçin altında Yalnızca bu kuruluş dizinindeki hesaplar (Tek kiracı) seçeneğini belirleyin.
  4. Kaydet'i seçin.

Screenshot to register application.

  1. Uygulamanın izinlerini yapılandırın. Uygulama Kayıtlarınızdan API İzinleri'ne ve ardından İzin ekle'ye tıklayın.

  2. Microsoft Graph'ı ve ardından Temsilci İzinleri'yi seçin. İzinleri Seç'in altında OpenId izinleri'nin altında openid ve profil'i seçin.

    Screenshot to register API permissions.

  3. İzin ekle'yi seçin.

  4. API İzinleri'nden Yönetici onayı ver'i seçin.

    Screenshot to grant API permissions.

  5. Kimlik Doğrulaması'ndan, Uygulama örneği özellik kilidi'nin altında Yapılandır'ı seçin ve ardından Özellik kilidini etkinleştir etiketli onay kutusunun seçimini kaldırın.

    Screenshot of app registrations.

  6. Genel Bakış'ta, daha sonra gerekli olan Uygulama (istemci) kimliğini not edin.

CIFS parolasını AD DS'den Microsoft Entra uygulama kaydıyla eşitleme

  1. AD DS etki alanı denetleyicinizden PowerShell'i açın.

  2. Parolaları eşitlemek için Karma Kimlik Doğrulama Yönetimi modülünü yükleyin.

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. Aşağıdaki değişkenleri tanımlayın:

    • $servicePrincipalName: Azure NetApp Files birimini bağlama işleminin SPN ayrıntıları. CIFS/FQDN biçimini kullanın. Örneğin: CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID: Microsoft Entra uygulamasının uygulama (istemci) kimliği.
    • $domainCred: use Get-Credential (AD DS etki alanı yöneticisi olmalıdır)
    • $cloudCred: use Get-Credential (Microsoft Entra Global Yönetici istrator olmalıdır)
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    Not

    Komut, Get-Credential kimlik bilgilerini girebileceğiniz bir açılır pencere başlatır.

  4. CIFS ayrıntılarını Microsoft Entra Id'ye aktarın:

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

Microsoft Entra'ya katılmış VM'yi Kerberos kimlik doğrulamasını kullanacak şekilde yapılandırma

  1. Yönetim haklarına sahip karma kimlik bilgilerini kullanarak Microsoft Entra'ya katılmış VM'de oturum açın (örneğin: user@mydirectory.onmicrosoft.com).

  2. VM'yi yapılandırın:

    1. Grup ilkesini>düzenle Bilgisayar Yapılandırması> Yönetici istrative Templates>System>Kerberos'a gidin.
    2. Oturum açma sırasında Microsoft Entra Kerberos Anahtar Verme Anahtarının alınmasına izin ver'i etkinleştirin.
    3. Konak adı-Kerberos bölge eşlemelerini tanımla'yı etkinleştirin. Göster'i seçin ve ardından bir nokta ile önce etki alanı adınızı kullanarak bir Değer adı ve Değer belirtin. Örneğin:
      • Değer adı: KERBEROS.MICROSOFTONLINE.COM
      • Değer: .contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

Azure NetApp Files SMB birimlerini bağlama

  1. AD DS'den eşitlenmiş bir karma kimlik hesabı kullanarak Microsoft Entra'ya katılmış VM'de oturum açın.

  2. Azure portalında sağlanan bilgileri kullanarak Azure NetApp Files SMB birimini bağlayın. Daha fazla bilgi için bkz . Windows VM'leri için SMB birimlerini bağlama.

  3. Bağlı birimin NTLM kimlik doğrulaması değil Kerberos kimlik doğrulaması kullandığını onaylayın. Bir komut istemi açın, komutu gönderin klist ; bulut TGT (krbtgt) ve CIFS sunucusu bilet bilgilerindeki çıkışı gözlemleyin.

    Screenshot of CLI output.

Daha fazla bilgi