Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья посвящена включению и настройке идентификатора Microsoft Entra ID (ранее Azure AD) для проверки подлинности гибридных удостоверений пользователей, которые являются локальными удостоверениями AD DS, синхронизированными с идентификатором Microsoft Entra Connect, с помощью Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect. В настоящее время не поддерживаются только облачные удостоверения.
Эта конфигурация позволяет гибридным пользователям получать доступ к общим папкам Azure с помощью проверки подлинности Kerberos, используя идентификатор Microsoft Entra для выдачи необходимых билетов Kerberos для доступа к общей папке с протоколом SMB. Это означает, что конечные пользователи могут получить доступ к общим папкам Azure через Интернет без необходимости в неограниченном сетевом подключении к контроллерам домена для гибридно присоединенных и присоединенных клиентов Microsoft Entra. Однако настройка списков управления доступом Windows (ACL)/каталогов и разрешений на уровне файлов для пользователя или группы требует беспрепятственного сетевого подключения к локальному контроллеру домена.
Для получения дополнительных сведений о поддерживаемых параметрах и рекомендациях по использованию см. раздел «Общие сведения о параметрах проверки подлинности для доступа SMB на основе удостоверений в Azure Files». Дополнительную информацию см. в этом подробном анализе.
Внимание
Для проверки подлинности на основе идентификационных данных с помощью Azure Files можно использовать только один метод AD. Если проверка подлинности Microsoft Entra Kerberos для гибридных удостоверений не соответствует вашим требованиям, вы можете вместо этого использовать локальную службу доменов Active Directory (AD DS) или доменные службы Microsoft Entra. Шаги конфигурации и поддерживаемые сценарии отличаются для каждого метода.
Применяется к
| Модель управления | Модель выставления счетов | Уровень медиа | Избыточность | Малый и средний бизнес | NFS (Сетевая файловая система) |
|---|---|---|---|---|---|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Гео (GRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Гео (GRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | GeoZone (GZRS) |
|
|
Предварительные условия
Прежде чем включить проверку подлинности Microsoft Entra Kerberos по протоколу SMB для общих папок Azure, убедитесь, что выполнены следующие предварительные требования.
Минимальные предварительные требования
Ниже приведены обязательные условия. Без них невозможно пройти проверку подлинности с помощью идентификатора Microsoft Entra.
Ваша учетная запись хранения Azure не может пройти проверку подлинности с помощью идентификатора Microsoft Entra и второго метода, например AD DS или доменных служб Microsoft Entra. Если вы уже выбрали другой метод AD для учетной записи хранения, перед включением Microsoft Entra Kerberos его необходимо отключить.
Эта функция в настоящее время не поддерживает учетные записи пользователей, которые вы создаете и управляете исключительно в идентификаторе Microsoft Entra. Учетные записи пользователей должны быть гибридными идентификаторами пользователей, что означает, что вам также потребуются AD DS и либо Microsoft Entra Connect, либо облачная синхронизация Microsoft Entra Connect. Эти учетные записи необходимо создать в Active Directory и синхронизировать с Microsoft Entra ID. Чтобы назначить разрешения управления доступом на основе ролей Azure (Role-Based Access Control, RBAC) для общей папки Azure группе пользователей, необходимо создать группу в Active Directory и синхронизировать ее с Microsoft Entra ID.
Требуются служба автоматического обнаружения веб-прокси WinHTTP (
WinHttpAutoProxySvc) и служба IP Helper (iphlpsvc). Их состояние должно быть установлено на рабочее состояние.Необходимо отключить многофакторную проверку подлинности (MFA) в приложении Microsoft Entra, представляющего учетную запись хранения. Инструкции см. в разделе "Отключить многофакторную проверку подлинности" в учетной записи хранения.
Эта функция в настоящее время не поддерживает межтенантный доступ для пользователей B2B или гостевых пользователей. Пользователи из клиента Microsoft Entra, отличного от настроенного, не смогут получить доступ к общей папке.
В Microsoft Entra Kerberos шифрование билетов Kerberos всегда осуществляется с использованием AES-256. Но вы можете задать шифрование каналов SMB, которое лучше всего соответствует вашим потребностям.
Предварительные требования к операционной системе и домену
Следующие предварительные требования необходимы для стандартного потока проверки подлинности Microsoft Entra Kerberos, как описано в этой статье. Если некоторые или все клиентские компьютеры не соответствуют этим требованиям, вы по-прежнему можете включить проверку подлинности Microsoft Entra Kerberos для общих папок SMB, но вам также потребуется настроить облачное доверие , чтобы разрешить этим клиентам доступ к общим папкам.
Требования к операционной системе:
- Windows 11 Корпоративная/Профессиональная одно- или многосеансовая.
- Windows 10 Корпоративная/Pro однопользовательская или многопользовательская, версии 2004 или более поздней с установленными последними накопительными обновлениями, особенно KB5007253 — предварительная версия накопительного обновления 2021-11 для Windows 10.
- Windows Server версии 2022 с последними установленными накопительными пакетами обновления, особенно предварительной версией накопительного пакета обновления KB5007254-2021-11 для серверной операционной системы Microsoft версии 21H2.
Сведения о создании и настройке виртуальной машины Windows и входе с помощью проверки подлинности на основе идентификатора Microsoft Entra см. в статье "Вход в виртуальную машину Windows в Azure" с помощью идентификатора Microsoft Entra.
Клиенты должны быть присоединены к Microsoft Entra или гибридным образом присоединены к Microsoft Entra. Они не могут быть присоединены к доменным службам Microsoft Entra или присоединены только к AD.
Доступность в регионах
Эта функция поддерживается в общедоступных облаках Azure, Azure US Gov и Azure China 21Vianet.
Включение проверки подлинности Microsoft Entra Kerberos для гибридных учетных записей пользователей
Проверку подлинности Microsoft Entra Kerberos можно включить для Файлов Azure для гибридных учетных записей пользователей с помощью портала Azure, PowerShell или Azure CLI.
Чтобы включить проверку подлинности Microsoft Entra Kerberos с помощью портал Azure, выполните следующие действия.
Войдите в портал Azure и выберите учетную запись хранения, для которой требуется включить проверку подлинности Microsoft Entra Kerberos.
В разделе Хранилище данных выберите Общие папки.
Рядом с Active Directory выберите статус конфигурации (например, Не настроено).
В разделе Microsoft Entra Kerberos выберите Настроить.
Установите флажок Microsoft Entra Kerberos.
Необязательно: Если требуется настроить разрешения на уровне каталога и файлов через Проводник Windows, необходимо указать доменное имя и GUID домена для локальной AD. Эти сведения можно получить от администратора домена или выполнив следующий командлет PowerShell Active Directory из локального клиента, присоединенного к AD:
Get-ADDomainДоменное имя должно быть указано в выходных данныхDNSRoot, а идентификатор GUID домена должен быть указан в разделеObjectGUID. Если вы предпочитаете настраивать разрешения на уровне каталога и файлов с помощью icacls, этот шаг можно пропустить. Однако если вы хотите использовать icacls, клиенту потребуется беспрепятственное сетевое подключение к локальному AD.Выберите Сохранить.
Предупреждение
Если вы ранее включили аутентификацию Microsoft Entra Kerberos через ручные шаги ограниченного предварительного просмотра для хранения профилей FSLogix на Azure Files для виртуальных машин, присоединенных к Microsoft Entra, пароль сервисного принципала учетной записи хранения будет истекать каждые шесть месяцев. После истечения срока действия пароля пользователи не смогут получить билеты Kerberos для доступа к общей папке. Чтобы устранить эту проблему, см. раздел "Ошибка — срок действия пароля субъекта-службы истек в идентификаторе Microsoft Entra ID" в разделе "Потенциальные ошибки при включении проверки подлинности Microsoft Entra Kerberos для гибридных пользователей".
Предоставьте разрешение администратора новому служебному принципалу
После включения проверки подлинности Microsoft Entra Kerberos необходимо явно предоставить согласие администратора новому приложению Microsoft Entra, зарегистрированном в клиенте Microsoft Entra. Этот объект службы создается автоматически и не используется для предоставления доступа к общей папке, поэтому не вносите никаких изменений в объект службы, кроме указанных здесь. Если вы это сделаете, возникнет ошибка.
Разрешения API можно настроить на портале Azure, выполнив следующие действия:
- Откройте Microsoft Entra ID.
- В меню службы в разделе "Управление" выберите Регистрация приложений.
- Выберите Все приложения.
- Выберите приложение с именем, совпадающим с [Storage Account]
<your-storage-account-name>.file.core.windows.net. - В меню службы в разделе "Управление" выберите разрешения API.
- Выберите "Предоставить согласие администратора" для [имени каталога] , чтобы предоставить согласие для трех запрошенных разрешений API (openid, profile и User.Read) для всех учетных записей в каталоге.
- Выберите Да для подтверждения.
Внимание
Если вы подключаетесь к учетной записи хранения через частную конечную точку или частную ссылку с аутентификацией Kerberos от Microsoft Entra, вам также потребуется добавить полное доменное имя (FQDN) частной ссылки в приложение Microsoft Entra для учетной записи хранения. Инструкции см. в руководстве по устранению неполадок.
Отключение многофакторной проверки подлинности в учетной записи хранения
Microsoft Entra Kerberos не поддерживает использование MFA для доступа к общим папкам Azure, настроенным с помощью Microsoft Entra Kerberos. Необходимо исключить приложение Microsoft Entra, представляющее учетную запись хранения из политик условного доступа MFA, если они применяются ко всем приложениям.
Приложение учетной записи хранения должно иметь то же имя, что и учетная запись хранения в списке исключений условного доступа. Во время поиска приложения учетной записи для хранения в списке исключений условного доступа ищите: [Учетная запись для хранения] <your-storage-account-name>.file.core.windows.net
Не забудьте заменить <your-storage-account-name> правильным значением.
Внимание
Если вы не исключите политики MFA из приложения учетной записи хранения, вы не сможете получить доступ к общей папке. Попытка сопоставить общую папку с помощью net use приведет к сообщению об ошибке: "Системная ошибка 1327: ограничения учетной записи препятствуют входу этого пользователя. Например: пустые пароли не допускаются, время входа ограничено или применяется ограничение политики".
Инструкции по отключению MFA см. в следующих статьях:
Назначьте разрешения на уровне общего ресурса
При включении доступа на основе идентификации необходимо для каждого общего ресурса назначить, какие пользователи и группы должны иметь доступ к конкретной общей папке. После того как пользователю или группе предоставлен доступ к общему ресурсу, списки управления доступом Windows (также называемые разрешениями NTFS) начинают действовать на отдельных файлах и каталогах. Это позволяет четко контролировать разрешения, аналогичные общей папке SMB на сервере Windows.
Чтобы задать разрешения на уровне общего ресурса, следуйте инструкциям в разделе Назначение разрешений на уровне общего ресурса для удостоверения.
Настройка разрешений на уровне каталога и файлов
После того как разрешения на уровне общего доступа будут установлены, вы можете назначить разрешения на уровне каталога или файла пользователю или группе. Для этого требуется использование устройства с беспрепятственным сетевым подключением к локальному Active Directory.
Чтобы настроить разрешения на уровне каталога и файлов, следуйте инструкциям в статье Настройка разрешений на уровне каталога и файлов по протоколу SMB.
Настройка клиентов для получения билетов Kerberos
Включите функциональные возможности Microsoft Entra Kerberos на клиентских компьютерах, с которых требуется подключать и использовать общие папки Azure. Это необходимо сделать на каждом клиенте, на котором будут использоваться Файлы Azure.
Используйте один из трех методов:
Настройте этот CSP политики Intune, и примените его к клиентам: Kerberos/CloudKerberosTicketRetrievalEnabled, установив значение 1.
Изменения не являются мгновенными и требуют обновления политики или перезагрузки для принятия в силу.
Внимание
После применения этого изменения клиенты не смогут подключаться к учетным записям хранения, настроенным для локальной интеграции AD DS без настройки сопоставлений областей Kerberos. Если вы хотите, чтобы клиенты могли подключаться к учетным записям хранения, настроенным для AD DS, а также учетным записям хранения, настроенным для Microsoft Entra Kerberos, выполните действия, описанные в разделе "Настройка сосуществования с учетными записями хранения с помощью локальных доменных служб AD DS".
Настройка совместного использования с учетными записями хранения с помощью локальных доменных служб Active Directory (AD DS)
Если вы хотите включить подключение клиентских компьютеров к учетным записям хранения, настроенным для AD DS, а также учетным записям хранения, настроенным для Microsoft Entra Kerberos, выполните следующие действия. Если вы используете только Microsoft Entra Kerberos, пропустите этот раздел.
Добавьте запись для каждой учетной записи хранения, которая использует локальную интеграцию AD DS. Используйте один из следующих трех методов для настройки сопоставлений областей Kerberos. Изменения не являются мгновенными и требуют обновления политики или перезагрузки, чтобы вступили в силу.
Настройте этот CSP для политики Intune и примените его к клиентам: Kerberos/HostToRealm
Внимание
В Kerberos имена доменов чувствительны к регистру и должны быть написаны заглавными буквами. Имя области Kerberos обычно совпадает с именем домена в буквах верхнего регистра.
Отмена настройки клиента для получения билетов Kerberos
Если вы больше не хотите использовать клиентский компьютер для проверки подлинности Microsoft Entra Kerberos, вы можете отключить функцию Microsoft Entra Kerberos на этом компьютере. Используйте один из следующих трех методов в зависимости от того, как вы включили функциональность:
Настройте CSP политики Intune и примените его к клиентам: Kerberos/CloudKerberosTicketRetrievalEnabled, установите значение 0
Изменения не являются мгновенными и требуют обновления политики или перезагрузки для принятия в силу.
Если вы выполнили шаги, описанные в разделе "Настройка сосуществования с учетными записями хранения с помощью локальных доменных служб Active Directory", то при желании можно удалить все сопоставления имен узлов с областями Kerberos на клиентской машине. Используйте один из трех методов:
Настройте этот CSP для политики Intune и примените его к клиентам: Kerberos/HostToRealm
Изменения не являются мгновенными и требуют обновления политики или перезагрузки, чтобы вступили в силу.
Внимание
После применения этого изменения клиенты не смогут подключаться к учетным записям хранения, настроенным для проверки подлинности Microsoft Entra Kerberos. Однако они смогут подключаться к учетным записям хранения, настроенным в AD DS, без дополнительной настройки.
Отключите проверку подлинности Microsoft Entra в вашей учетной записи хранения
Если вы хотите использовать другой метод проверки подлинности, вы можете отключить проверку подлинности Microsoft Entra в учетной записи хранения с помощью портал Azure, Azure PowerShell или Azure CLI.
Примечание.
Отключение этой функции означает, что в вашей учетной записи хранения не будет конфигурации Active Directory для общих папок, пока вы не включите другой источник Active Directory для возобновления использования вашей конфигурации Active Directory.
Чтобы отключить проверку подлинности Microsoft Entra Kerberos в учетной записи хранения данных с помощью портала Azure, выполните следующие действия.
- Войдите в портал Azure и выберите учетную запись хранения, для которой требуется отключить проверку подлинности Microsoft Entra Kerberos.
- В разделе Хранилище данных выберите Общие папки.
- Рядом с Active Directory выберите состояние конфигурации.
- В разделе Microsoft Entra Kerberos выберите "Настроить".
- Снимите флажок Microsoft Entra Kerberos.
- Выберите Сохранить.
Отладка
При необходимости можно запустить Debug-AzStorageAccountAuth командлет, чтобы выполнить набор основных проверок конфигурации Microsoft Entra ID с пользователем Entra ID, вошедшим в систему. Проверки Microsoft Entra, которые входят в этот командлет, поддерживаются в версии AzFilesHybrid 0.3.0+. Этот командлет применим для проверки подлинности Microsoft Entra Kerberos и AD DS, но не работает с учетными записями хранения, использующими службы доменов Microsoft Entra. Дополнительные сведения о проверках, выполненных в этом командлете, см. в статье Не удается подключить файловые ресурсы Azure с помощью Microsoft Entra Kerberos.