Genel Bakış - Azure dosya paylaşımları için SMB üzerinden Domain Services kimlik doğrulaması şirket içi Active Directory

Makale
03/04/2024

Azure Dosyalar, aşağıdaki yöntemlerle Kerberos kimlik doğrulama protokolunu kullanarak Sunucu İleti Bloğu (SMB) üzerinden Windows dosya paylaşımları için kimlik tabanlı kimlik doğrulamasını destekler:

Şirket içi Active Directory Etki Alanı Hizmetleri (AD DS)
Microsoft Entra Domain Services
Karma kullanıcı kimlikleri için Microsoft Entra Kerberos

Kimlik doğrulaması için doğru AD kaynağını seçmek için Nasıl çalışır? bölümünü gözden geçirmenizi kesinlikle öneririz. Seçtiğiniz etki alanı hizmetine bağlı olarak kurulum farklıdır. Bu makale, Azure dosya paylaşımlarıyla kimlik doğrulaması için şirket içi AD DS'yi etkinleştirmeye ve yapılandırmaya odaklanır.

Azure Dosyalar yeniyseniz planlama kılavuzumuzu okumanızı öneririz.

Şunlara uygulanır

Dosya paylaşımı türü	SMB	NFS
Standart dosya paylaşımları (GPv2), LRS/ZRS
Standart dosya paylaşımları (GPv2), GRS/GZRS
Premium dosya paylaşımları (filestorage), LRS/ZRS

Desteklenen senaryolar ve kısıtlamalar

Şirket içi AD DS kimlik doğrulaması Azure Dosyalar için kullanılan AD DS kimlikleri Microsoft Entra Kimliği ile eşitlenmeli veya varsayılan paylaşım düzeyi izni kullanılmalıdır. Parola karması eşitleme isteğe bağlıdır.
Azure Dosya Eşitleme tarafından yönetilen Azure dosya paylaşımlarını destekler.
AES 256 şifrelemesi (önerilir) ve RC4-HMAC ile AD ile Kerberos kimlik doğrulamayı destekler. AES 128 Kerberos şifrelemesi henüz desteklenmiyor.
Çoklu oturum açma deneyimini destekler.
Yalnızca Windows 8/Windows Server 2012 veya daha yeni işletim sistemi sürümlerini çalıştıran Windows istemcilerinde veya Azure üzerinde çalışan Linux VM'lerinde (Ubuntu 18.04+ veya eşdeğer bir RHEL veya SLES VM) desteklenir.
Yalnızca depolama hesabının kayıtlı olduğu AD ormanında desteklenir. Aynı ormandaki farklı etki alanlarına ait kullanıcılar, uygun izinlere sahip oldukları sürece dosya paylaşımına ve temel dizinlere/dosyalara erişebilmelidir.
Varsayılan olarak Azure dosya paylaşımlarına yalnızca tek bir ormandan AD DS kimlik bilgileriyle erişebilirsiniz. Azure dosya paylaşımınıza farklı bir ormandan erişmeniz gerekirse uygun orman güvenini yapılandırdığınızdan emin olun. Ayrıntılar için bkz. Birden çok Active Directory ormanıyla Azure Dosyalar kullanma.
Azure RBAC kullanarak bilgisayar hesaplarına (makine hesapları) paylaşım düzeyi izin atamayı desteklemez. Bilgisayar hesaplarının paylaşıma erişmesine izin vermek için varsayılan bir paylaşım düzeyi izni kullanabilir veya bunun yerine bir hizmet oturum açma hesabı kullanmayı düşünebilirsiniz.
Ağ Dosya Sistemi (NFS) dosya paylaşımlarında kimlik doğrulamayı desteklemez.

SMB üzerinden Azure dosya paylaşımları için AD DS'yi etkinleştirdiğinizde, AD DS'ye katılmış makineleriniz mevcut AD DS kimlik bilgilerinizi kullanarak Azure dosya paylaşımlarını bağlayabilir. Bu özellik, şirket içi makinelerde veya Azure'da bir sanal makinede (VM) barındırılan bir AD DS ortamıyla etkinleştirilebilir.

Videolar

Bazı yaygın kullanım örnekleri için kimlik tabanlı kimlik doğrulamasını ayarlamanıza yardımcı olmak için aşağıdaki senaryolar için adım adım kılavuzlu iki video yayımladık. Azure Active Directory'nin artık Microsoft Entra Id olduğunu unutmayın. Daha fazla bilgi için bkz . Azure AD için yeni ad.

Şirket içi dosya sunucularını Azure Dosyalar ile değiştirme (dosyalar için özel bağlantı kurulumu ve AD kimlik doğrulaması dahil)	Azure Sanal Masaüstü için profil kapsayıcısı olarak Azure Dosyalar kullanma (AD kimlik doğrulaması ve FSLogix yapılandırması kurulumu dahil)

Önkoşullar

Azure dosya paylaşımları için AD DS kimlik doğrulamasını etkinleştirmeden önce aşağıdaki önkoşulları tamamladığınızdan emin olun:

AD DS ortamınızı seçin veya oluşturun ve şirket içi Microsoft Entra Bağlan Sync uygulamasını veya Microsoft Entra Bağlan bulut eşitlemesini kullanarak Microsoft Entra Yönetici Center'dan yüklenebilen basit bir aracı olan Microsoft Entra Id ile eşitleyin.

Özelliği yeni veya mevcut bir şirket içi AD DS ortamında etkinleştirebilirsiniz. Erişim için kullanılan kimlikler Microsoft Entra Id ile eşitlenmeli veya varsayılan paylaşım düzeyi izni kullanılmalıdır. Microsoft Entra kiracısı ve eriştiğiniz dosya paylaşımı aynı abonelikle ilişkilendirilmelidir.
Şirket içi makine veya Azure VM'sini şirket içi AD DS'ye etki alanına ekleme. Etki alanına katılma hakkında bilgi için bkz . Bilgisayara Etki Alanına Katılma.

Bir makine etki alanına katılmamışsa, makine şirket içi AD etki alanı denetleyicisine ağ bağlantısını engelleyemezse ve kullanıcı açık kimlik bilgileri sağlarsa, kimlik doğrulaması için AD DS'yi kullanmaya devam edebilirsiniz. Daha fazla bilgi için bkz . Etki alanına katılmamış bir VM'den veya farklı bir AD etki alanına katılmış bir VM'den dosya paylaşımını bağlama.
Bir Azure depolama hesabı seçin veya oluşturun. En iyi performans için, depolama hesabını paylaşıma erişmeyi planladığınız istemciyle aynı bölgeye dağıtmanızı öneririz. Ardından Azure dosya paylaşımını depolama hesabı anahtarınız ile bağlayın. Depolama hesabı anahtarıyla bağlanarak bağlantı doğrulanır.

Dosya paylaşımlarınızı içeren depolama hesabının kimlik tabanlı kimlik doğrulaması için yapılandırılmadığından emin olun. Depolama hesabında bir AD kaynağı zaten etkinleştirilmişse, şirket içi AD DS'yi etkinleştirmeden önce bu kaynağı devre dışı bırakmanız gerekir.

Azure Dosyalar bağlanırken sorunlarla karşılaşıyorsanız Windows'da Azure Dosyalar bağlama hataları için yayımladığımız sorun giderme aracına bakın.
Azure dosya paylaşımlarınızda AD DS kimlik doğrulamasını etkinleştirmeden ve yapılandırmadan önce ilgili ağ yapılandırmasını yapın. Daha fazla bilgi için bkz. ağ konusunda dikkat edilmesi gerekenler Azure Dosyalar.

Bölgesel kullanılabilirlik

AD DS ile Azure Dosyalar kimlik doğrulaması tüm Azure Genel, Çin ve Gov bölgelerinde kullanılabilir.

Genel bakış

Dosya paylaşımınızda ağ yapılandırmalarını etkinleştirmeyi planlıyorsanız, AD DS kimlik doğrulamasını etkinleştirmeden önce ağ konusunda dikkat edilmesi gerekenler makalesini okumanızı ve ilgili yapılandırmayı tamamlamanızı öneririz.

Azure dosya paylaşımlarınız için AD DS kimlik doğrulamasını etkinleştirmek, şirket içi AD DS kimlik bilgilerinizle Azure dosya paylaşımlarınızda kimlik doğrulaması yapmanıza olanak tanır. Ayrıca, ayrıntılı erişim denetimine izin vermek için izinlerinizi daha iyi yönetmenizi sağlar. Bunu yapmak için şirket içi Microsoft Entra Bağlan Sync uygulamasını veya Microsoft Entra Yönetici Center'dan yüklenebilen basit bir aracı olan Microsoft Entra Bağlan cloud sync'i kullanarak şirket içi AD DS'den Microsoft Entra Id'ye kimliklerin eşitlenmesi gerekir. Windows ACL'lerini kullanarak dosya/dizin düzeyi erişimi yönetirken Microsoft Entra Id ile eşitlenen karma kimliklere paylaşım düzeyi izinler atarsınız.

AD DS kimlik doğrulaması için Azure Dosyalar ayarlamak için şu adımları izleyin:

Aşağıdaki diyagramda, Azure dosya paylaşımları için SMB üzerinden AD DS kimlik doğrulamasını etkinleştirmeye yönelik uçtan uca iş akışı gösterilmektedir.

Azure rol tabanlı erişim denetimi (Azure RBAC) modeli aracılığıyla paylaşım düzeyi dosya izinlerini zorunlu kılmak için Azure dosya paylaşımlarına erişmek için kullanılan kimliklerin Microsoft Entra Id ile eşitlenmesi gerekir. Alternatif olarak, varsayılan paylaşım düzeyi iznini kullanabilirsiniz. Mevcut dosya sunucularından taşınan dosyalarda/dizinlerde Windows stili DACL'ler korunur ve uygulanır. Bu, kurumsal AD DS ortamınızla sorunsuz tümleştirme sağlar. Şirket içi dosya sunucularını Azure dosya paylaşımlarıyla değiştirdiğinizde, mevcut kullanıcılar kullanımdaki kimlik bilgilerinde herhangi bir değişiklik yapmadan, geçerli istemcilerinden azure dosya paylaşımlarına çoklu oturum açma deneyimiyle erişebilir.

Sonraki adımlar

Başlamak için depolama hesabınız için AD DS kimlik doğrulamasını etkinleştirmeniz gerekir.