Обзор: Проверка подлинности Active Directory Domain Services локальной установки по протоколу SMB для общих папок Azure

Область применения: ✔️ общие папки SMB

Azure Files поддерживает идентификационную аутентификацию для общих папок Windows по протоколу Server Message Block (SMB) с использованием протокола Kerberos и следующими методами:

Локально развернутые Active Directory Domain Services (AD DS)
доменные службы Microsoft Entra
Microsoft Entra Kerberos для гибридных и только облачных учетных записей (предварительная версия)

Чтобы выбрать правильный источник AD для проверки подлинности, ознакомьтесь с разделом "Как это работает". Настройки различаются в зависимости от выбранной доменной службы. В этой статье рассматривается включение и настройка локальных служб Active Directory для аутентификации с файловыми ресурсами Azure.

Если вы не знакомы с Azure Files, ознакомьтесь с руководством по планированию.

Поддерживаемые сценарии и ограничения

Чтобы использовать проверку подлинности на основе удостоверений с Azure Files, необходимо назначить разрешения RBAC на уровне общего ресурса. Это можно сделать двумя способами:
- Разрешение уровня общего доступа по умолчанию: Этот параметр применяет RBAC на уровне общего ресурса для всех прошедших проверку подлинности пользователей. В этой конфигурации не требуется синхронизировать локальные удостоверения AD DS с Microsoft Entra ID.
- Granular share-level permissions: Если вы хотите назначить RBAC на уровне общего доступа определенным пользователям или группам, необходимо синхронизировать соответствующие удостоверения из локальной службы AD DS с Entra ID с помощью Microsoft Entra Connect Sync или Microsoft Entra Cloud Sync. Группы, созданные только в Entra ID, не будут работать, если они не содержат синхронизированные учетные записи пользователей. Синхронизация хэша паролей не требуется.
Требования к клиентской ОС: Windows 8/ Windows Server 2012 или более поздней версии или виртуальные машины Linux, такие как Ubuntu 18.04+ и эквивалентные дистрибутивы RHEL/SLES.
Проверка подлинности Kerberos доступна с помощью Active Directory с помощью шифрования AES 256 (рекомендуется). Шифрование Kerberos aES 128 еще не поддерживается.
Поддерживается единый вход в систему (SSO).
По умолчанию доступ ограничен лесом Active Directory, где зарегистрирована учетная запись хранения. Пользователи из любого домена в этом лесу могут получить доступ к содержимому общей папки, если у них есть соответствующие разрешения. Чтобы включить доступ из дополнительных лесов, необходимо настроить доверие к лесу. Дополнительные сведения см. в разделе Использование Azure Files с несколькими лесами Active Directory.
Проверка подлинности на основе удостоверений в настоящее время не поддерживается для общих папок NFS.

При включении AD DS для файловых ресурсов Azure через SMB компьютеры, присоединенные к AD DS, могут подключать к файловым ресурсам Azure с помощью существующих учетных данных AD DS. Среду AD DS можно разместить локально или на виртуальной машине в Azure.

Видео

Чтобы настроить проверку подлинности на основе удостоверений для распространенных вариантов использования, мы опубликовали два видео с пошаговыми рекомендациями по следующим сценариям. Обратите внимание, что Azure Active Directory теперь Microsoft Entra ID. Дополнительные сведения см. в разделе New name for Azure AD.

Замените локальные файловые серверы на Azure Files (включая настройку Private Link для файлов и проверки подлинности Active Directory)	Используйте Azure Files в качестве контейнера профиля для Azure Virtual Desktop (включая настройку проверки подлинности AD и конфигурацию FSLogix)

Предварительные условия

Прежде чем включить проверку подлинности AD DS для общих папок Azure, выполните следующие предварительные требования:

Выберите или создайте вашу среду AD DS и синхронизируйте ее с Microsoft Entra ID с помощью локального приложения Microsoft Entra Connect Sync или Microsoft Entra Cloud Sync, упрощенного агента, который можно установить из центра администрирования Microsoft Entra.

Этот компонент можно включить в новой или существующей локальной среде AD DS. Удостоверения, используемые для доступа, должны быть синхронизированы с Microsoft Entra ID или использовать разрешение уровня общего доступа по умолчанию. Клиент Microsoft Entra, содержащий синхронизированные удостоверения, должен быть тем же клиентом, который управляет подпиской, содержащей учетную запись хранения и общую папку.
Присоединить к домену локальный компьютер или виртуальную машину Azure к локальным доменным службам AD DS. См. статью "Присоединение компьютера к домену".

Если компьютер не присоединен к домену, вы по-прежнему можете использовать AD DS для проверки подлинности, если у компьютера есть беспрепятственное сетевое подключение к локальному контроллеру домена AD и пользователь предоставляет явные учетные данные. Дополнительную информацию см. в разделе Подключение общей папки с виртуальной машины, не присоединенной к домену, или с виртуальной машины, присоединенной к другому домену AD.
Выберите или создайте учетную запись хранения Azure. Для оптимальной производительности разверните аккаунт хранения в том же регионе, что и клиент, из которого планируется получить доступ к общему ресурсу.

Убедитесь, что учетная запись хранения, содержащая общие папки, еще не настроена для проверки подлинности на основе удостоверений. Если другой источник удостоверений уже включен в учетной записи хранилища, необходимо отключить его перед включением локальных служб Active Directory Directory Services (AD DS) в качестве источника удостоверений.

Если возникают проблемы при подключении к Azure Files, ознакомьтесь с устранением ошибок монтирования Azure Files на Windows.
Если вы планируете включить любые сетевые конфигурации в общей папке, ознакомьтесь со статьей о сети и выполните соответствующую настройку перед включением проверки подлинности AD DS.

Доступность в регионах

Аутентификацию Azure Files с использованием AD DS можно применять во всех Azure Public, China и Gov регионах.

Принцип работы

При активации аутентификации AD DS для общих файловых ресурсов Azure вы можете использовать локальные учетные данные AD DS для аутентификации в ваших общих файловых ресурсах Azure. Вы также можете управлять своими разрешениями, чтобы разрешить детализированный контроль доступа. Чтобы настроить проверку подлинности, синхронизируйте удостоверения из локальной службы AD DS в Microsoft Entra ID с помощью локального приложения Microsoft Entra Connect Sync или Microsoft Entra Cloud sync, упрощенного агента, который можно установить из Microsoft Entra Центра администрирования. Назначение прав доступа на уровне общего ресурса гибридным идентификациям, синхронизированным с Microsoft Entra ID, и управление доступом к файлам и каталогам с помощью списков контроля доступа Windows.

Выполните следующие действия, чтобы настроить Azure Files для проверки подлинности AD DS:

На следующей схеме показан комплексный процесс для включения проверки подлинности AD DS с помощью SMB для файловых ресурсов Azure.

Чтобы применить разрешения на уровне общего доступа к файлам с помощью модели Azure управления доступом на основе ролей (Azure RBAC), удостоверения, используемые для доступа к файловым хранилищам Azure, должны быть синхронизированы с Microsoft Entra ID. В качестве альтернативы можно использовать разрешение на уровне доступа по умолчанию. DACLs в стиле Windows на файлы и каталоги, которые переносимые с существующих файловых серверов, сохраняются и применяются. Эта настройка обеспечивает простую интеграцию с корпоративной средой AD DS. При замене локальных файловых серверов на общие папки Azure существующие пользователи могут получать доступ к общим папкам Azure из текущих клиентов с помощью единого входа без каких-либо изменений в используемых учетных данных.

Следующий шаг

Чтобы приступить к работе, включите проверку подлинности AD DS для учетной записи хранения.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-11