Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Files поддерживает аутентификацию на основе идентификаций для общих папок Windows через Server Message Block (SMB) с использованием протокола Kerberos посредством следующих методов:
- Локальные доменные службы Active Directory (AD DS)
- Доменные службы Microsoft Entra
- Microsoft Entra Kerberos для гибридных идентичностей пользователей
Мы настоятельно рекомендуем ознакомиться с разделом Как это работает, чтобы выбрать подходящий источник AD для аутентификации. Настройки различаются в зависимости от выбранной доменной службы. В этой статье рассматривается включение и настройка локальных доменных служб AD DS для проверки подлинности с помощью файловых ресурсов Azure.
Если вы не знакомы с Azure Files, рекомендуем прочитать наше руководство по планированию.
Применяется к
| Модель управления | Модель выставления счетов | Уровень медиа | Избыточность | МСБ | NFS |
|---|---|---|---|---|---|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Джио (GRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Джио (GRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | GeoZone (GZRS) |
|
|
Поддерживаемые сценарии и ограничения
- Учетные данные AD DS, используемые для локальной проверки подлинности AD DS в Azure Files, должны быть синхронизированы с Microsoft Entra ID или использовать разрешение уровня общего доступа по умолчанию. Синхронизация хэша паролей не обязательна.
- Поддерживаются общие папки Azure, управляемые службой "Синхронизация файлов Azure".
- Поддерживается аутентификация Kerberos с помощью Active Directory с шифрованием AES 256 (рекомендуемый вариант) и RC4-HMAC. Шифрование Kerberos aES 128 еще не поддерживается.
- Поддерживается единый вход.
- Поддерживается только на клиентах Windows под управлением ОС версии Windows 8/Windows Server 2012 или более поздней версии или виртуальных машин Linux (Ubuntu 18.04+ или эквивалентной виртуальной машины RHEL или SLES).
- Поддерживается только для леса AD, в котором зарегистрирована учетная запись хранения. Пользователи, принадлежащие разным доменам в одном лесу, должны иметь доступ к общей папке и базовым каталогам и файлам, если у них есть соответствующие разрешения.
- Вы можете получить доступ к общим папкам Azure только с помощью учетных данных AD DS из одного леса по умолчанию. Если вам нужен доступ к общей папке Azure из другого дерева, убедитесь, что настроены соответствующие доверительные отношения между лесами. Дополнительные сведения см. в разделе «Использование Azure Files с несколькими лесами Active Directory».
- Не поддерживается назначение разрешений на уровне доступа к общим ресурсам для учетных записей компьютеров с помощью Azure RBAC. Вы можете использовать разрешение уровня общего доступа по умолчанию, чтобы разрешить учетным записям компьютеров доступ к общей папке или вместо этого использовать учетную запись входа в службу.
- Не поддерживает проверку подлинности для общих папок сетевой файловой системы (NFS).
При включении AD DS для общих папок Azure по протоколу SMB компьютеры, присоединенные к AD DS, могут подключать общие папки Azure с помощью ваших существующих учетных данных AD DS. Эту возможность можно включить с помощью среды AD DS, размещенной на локальных компьютерах или размещенных на виртуальной машине в Azure.
Видео
Чтобы настроить проверку подлинности на основе удостоверений для некоторых распространенных вариантов использования, мы опубликовали два видео с пошаговыми рекомендациями по следующим сценариям. Обратите внимание, что Azure Active Directory теперь является идентификатором Microsoft Entra. Дополнительные сведения см. в статье "Новое имя" для Azure AD.
| Замена локальных файловых серверов службой "Файлы Azure" (включая настройку приватного канала для файлов и аутентификации AD) | Использование службы "Файлы Azure" в качестве контейнера профилей для Виртуального рабочего стола Azure (включая настройку проверки подлинности AD и конфигурации FsLogix) |
|---|---|
|
|
Предварительные условия
Прежде чем включать проверку подлинности AD DS для общих папок Azure, выполните следующие предварительные требования:
Выберите или создайте среду AD DS и синхронизируйте ее с идентификатором Microsoft Entra ID с помощью локального приложения Синхронизации Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect, упрощенного агента, который можно установить из Центра администрирования Microsoft Entra.
Этот компонент можно включить в новой или существующей локальной среде AD DS. Удостоверения, используемые для доступа, должны быть синхронизированы с идентификатором Microsoft Entra или использовать разрешение уровня общего доступа по умолчанию. Клиент Microsoft Entra и файловый ресурс, к которым вы обращаетесь, должны быть связаны с той же подпиской.
Присоедините локальный компьютер или виртуальную машину Azure в домен локальной службы AD DS. Сведения о том, как выполнить присоединение к домену, см. в разделе Присоединение компьютера к домену.
Если компьютер не присоединен к домену, вы по-прежнему можете использовать AD DS для проверки подлинности, если у компьютера есть беспрепятственное сетевое подключение к локальному контроллеру домена AD и пользователь предоставляет явные учетные данные. Дополнительную информацию см. в разделе Подключение общей папки с виртуальной машины, не присоединенной к домену, или с виртуальной машины, присоединенной к другому домену AD.
Выберите или создайте учетную запись хранения Azure. Для оптимальной производительности рекомендуется создать учетную запись хранилища в том же регионе, что и клиент, с которого вы планируете получить доступ к общему ресурсу. Затем подключите общую папку Azure с помощью ключа вашей учетной записи хранения. При подключении с помощью ключа учетной записи хранения подключение проверяется.
Убедитесь, что учетная запись хранения, содержащая общие папки, еще не настроена для проверки подлинности на основе удостоверений. Если служба AD уже включена в учетной записи хранения, её необходимо отключить перед включением локальной службы AD DS.
Если при подключении к службе "Файлы Azure" возникают проблемы, обратитесь к средству устранения неполадок, опубликованному для ошибок подключения к службе "Файлы Azure" в Windows.
Выполните все необходимые настройки сети перед включением и настройкой проверки подлинности AD DS в общих папках Azure. Дополнительные сведения см. в разделе Рекомендации по работе с сетями в службе "Файлы Azure".
Доступность в регионах
Проверка подлинности Файлов Azure с помощью AD DS доступна во всех регионах Azure: общедоступном, китайском и для правительственных организаций.
Обзор
Если вы планируете включить какие-либо сетевые конфигурации в общей папке, рекомендуется прочитать статью о сетевых особенностях и выполнить соответствующую настройку перед включением проверки подлинности AD DS.
Включение проверки подлинности AD DS для общих папок Azure позволяет проходить проверку подлинности в общих папках Azure с вашими локальными учетными данными AD DS. Кроме того, это позволяет вам улучшить управление своими разрешениями, чтобы обеспечить детальный контроль доступа. Для этого требуется синхронизация удостоверений из локальной службы AD DS в идентификатор Microsoft Entra ID с помощью локального приложения Синхронизации Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect, упрощенного агента, который можно установить из Центра администрирования Microsoft Entra. Вы назначаете разрешения на уровне общего ресурса гибридным удостоверениям, синхронизированным с Microsoft Entra ID, при управлении доступом на уровне файлов и каталогов с помощью списков управления доступом Windows.
Выполните следующие действия, чтобы настроить Файлы Azure для проверки подлинности AD DS:
Включение проверки подлинности AD DS в учетной записи хранения
Настройка списков управления доступом Windows по протоколу SMB для каталогов и файлов
Подключите файловое хранилище Azure к виртуальной машине, присоединенной к AD DS
На следующей схеме показан комплексный рабочий процесс для включения проверки подлинности AD DS по протоколу SMB для общих папок Azure.
Удостоверения, используемые для доступа к общим папкам Azure, должны быть синхронизированы с идентификатором Microsoft Entra, чтобы применить разрешения файлов на уровне общего доступа с помощью модели управления доступом на основе ролей Azure (Azure RBAC). В качестве альтернативы можно использовать разрешение на уровне доступа по умолчанию. Списки DACL в стиле Windows для файлов и каталогов, перенесенные с существующих файловых серверов, будут сохранены и применены. Это обеспечивает беспроблемную интеграцию с вашей корпоративной средой AD DS. По мере замены локальных файловых серверов на общие папки Azure существующие пользователи могут получать доступ к общим папкам Azure со своих текущих клиентов с помощью единого входа без каких-либо изменений в используемых учетных данных.
Следующий шаг
Чтобы приступить к работе, необходимо включить проверку подлинности AD DS для учетной записи хранения.