Microsoft Entra Domeinservices-verificatie inschakelen op Azure Files

2025-04-10

Azure Files ondersteunt verificatie op basis van identiteiten voor Windows-bestandsshares via Server Message Block (SMB) met behulp van het Kerberos-verificatieprotocol via de volgende methoden:

On-premises Active Directory-domein Services (AD DS)
Microsoft Entra Domain Services.
Microsoft Entra Kerberos voor hybride gebruikersidentiteiten

Dit artikel is gericht op het inschakelen van Microsoft Entra Domain Services (voorheen Azure Active Directory-domein Services) voor verificatie op basis van identiteiten met Azure-bestandsshares. In dit verificatiescenario zijn de referenties van Microsoft Entra en Microsoft Entra Domain Services hetzelfde en kunnen ze door elkaar worden gebruikt.

We raden u ten zeerste aan de sectie Hoe het werkt te bekijken om de juiste AD-bron voor uw opslagaccount te selecteren. De installatie is afhankelijk van de AD-bron die u kiest.

Als u niet bekend bent met Azure Files, raden we u aan onze planningshandleiding te lezen voordat u dit artikel leest.

Notitie

Azure Files ondersteunt Kerberos-verificatie met Microsoft Entra Domain Services met RC4-HMAC en AES-256-versleuteling. U wordt aangeraden AES-256 te gebruiken.

Azure Files ondersteunt authenticatie voor Microsoft Entra Domain Services met volledige of gerichte (gedeeltelijke) synchronisatie met Microsoft Entra ID. Voor omgevingen waar synchronisatie aanwezig is, moeten beheerders zich ervan bewust zijn dat Azure Files alleen Azure RBAC-roltoewijzingen nakomt die verleend zijn aan principalen die gesynchroniseerd zijn. Roltoewijzingen die worden verleend aan identiteiten die niet vanuit Microsoft Entra-id met Microsoft Entra Domain Services worden gesynchroniseerd, worden genegeerd door de Azure Files-service.

Van toepassing op

Beheermodel	Betaalmodel	Medianiveau	Redundancy
Microsoft.Storage	Geconfigureerd v2	HDD (standaard)	Lokaal (LRS)
Microsoft.Storage	Geconfigureerd v2	HDD (standaard)	Zone (ZRS)
Microsoft.Storage	Geconfigureerd v2	HDD (standaard)	Aardrijkskunde (GRS)
Microsoft.Storage	Geconfigureerd v2	HDD (standaard)	GeoZone (GZRS)
Microsoft.Storage	Geconfigureerd v1	SSD (van hoge kwaliteit)	Lokaal (LRS)
Microsoft.Storage	Geconfigureerd v1	SSD (van hoge kwaliteit)	Zone (ZRS)
Microsoft.Storage	Betaal naar verbruik	HDD (standaard)	Lokaal (LRS)
Microsoft.Storage	Betaal naar verbruik	HDD (standaard)	Zone (ZRS)
Microsoft.Storage	Betaal naar verbruik	HDD (standaard)	Aardrijkskunde (GRS)
Microsoft.Storage	Betaal naar verbruik	HDD (standaard)	GeoZone (GZRS)

Prerequisites

Voordat u Microsoft Entra Domain Services inschakelt via SMB voor Azure-bestandsshares, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:

Selecteer of maak een Microsoft Entra-tenant.

U kunt een nieuwe of bestaande tenant gebruiken. De tenant en de bestandsshare waartoe u toegang wilt hebben, moeten zijn gekoppeld aan hetzelfde abonnement.

Als u een nieuwe Microsoft Entra-tenant wilt maken, kunt u een Microsoft Entra-tenant en een Microsoft Entra-abonnement toevoegen. Als u een bestaande Microsoft Entra-tenant hebt, maar een nieuwe tenant wilt maken voor gebruik met Azure-bestandsshares, raadpleeg dan Een Microsoft Entra-tenant maken.
Schakel Microsoft Entra Domain Services in op de tenant van Microsoft Entra.

Als u verificatie met Microsoft Entra-referenties wilt ondersteunen, moet u Microsoft Entra Domain Services inschakelen voor uw Microsoft Entra-tenant. Als u niet de beheerder van de Microsoft Entra-tenant bent, neemt u contact op met de beheerder en volgt u de stapsgewijze instructies voor het inschakelen van Microsoft Entra Domain Services met behulp van Azure Portal.

Het duurt doorgaans ongeveer 15 minuten voordat de implementatie van Microsoft Entra Domain Services is voltooid. Voordat u verdergaat met de volgende stap, controleer of de status van Microsoft Entra Domain Services uitgevoerd wordt en of wachtwoord-hashsynchronisatie is ingeschakeld.
Een virtuele machine toevoegen aan een domein met Microsoft Entra Domain Services.

Om toegang te krijgen tot Azure-bestandsshares met Microsoft Entra-referenties vanuit een VM, moet uw VM aangesloten zijn op Microsoft Entra Domain Services. Zie Een virtuele Windows Server-machine toevoegen aan een beheerd domein voor meer informatie over het toevoegen van een VM aan een domein. Microsoft Entra Domain Services-verificatie via SMB met Azure-bestandsshares wordt alleen ondersteund op Windows-VM's met besturingssysteemversies boven Windows 7 of Windows Server 2008 R2, of op Linux-VM's met Ubuntu 18.04+ of een equivalente RHEL- of SLES-VM.

Notitie

Vm's die geen lid zijn van een domein, kunnen alleen toegang krijgen tot Azure-bestandsshares met behulp van Microsoft Entra Domain Services-verificatie als de VM's onbelemmerde netwerkconnectiviteit hebben met de domeincontrollers voor Microsoft Entra Domain Services. Gewoonlijk is hiervoor site-naar-site- of punt-naar-site-VPN vereist.
Selecteer of maak een Azure-bestandsshare.

Selecteer een nieuwe of bestaande bestandsshare die is gekoppeld aan hetzelfde abonnement als uw Microsoft Entra-tenant. Zie Een bestandsshare maken in Azure Files voor meer informatie over het maken van een nieuwe bestandsshare. Voor optimale prestaties raden we u aan dat uw bestandsshare zich in dezelfde regio bevindt als de VIRTUELE machine van waaruit u van plan bent om toegang te krijgen tot de share.
Controleer de connectiviteit van Azure Files door Azure-bestandsshares te koppelen met behulp van uw opslagaccountsleutel.

Als u wilt controleren of uw VIRTUELE machine en bestandsshare juist zijn geconfigureerd, probeert u de bestandsshare te koppelen met behulp van de sleutel van uw opslagaccount. Zie Een Azure-bestandsshare koppelen en toegang krijgen tot de share in Windows voor meer informatie.

Regionale beschikbaarheid

Azure Files-verificatie met Microsoft Entra Domain Services is beschikbaar in alle regio's van Azure Public, Gov en China.

Overzicht van de werkstroom

In het volgende diagram ziet u de end-to-end-werkstroom voor het inschakelen van Microsoft Entra Domain Services-verificatie via SMB voor Azure Files.

Microsoft Entra Domain Services-verificatie inschakelen voor uw account

Als u Microsoft Entra Domain Services-verificatie via SMB wilt inschakelen voor Azure Files, kunt u een eigenschap instellen voor opslagaccounts met gebruikmaking van Azure Portal, Azure PowerShell of Azure CLI. Als u deze eigenschap inschakelt, wordt het opslagaccount impliciet toegevoegd aan het domein van de corresponderendeMicrosoft Entra Domain Services-implementatie. Microsoft Entra Domain Services-verificatie via SMB wordt vervolgens ingeschakeld voor alle nieuwe en bestaande bestandsshares in het opslagaccount.

Houd er rekening mee dat u Microsoft Entra Domain Services-verificatie via SMB alleen kunt inschakelen nadat u Microsoft Entra Domain Services hebt geïmplementeerd in uw Microsoft Entra-tenant. Zie de vereisten voor meer informatie.

Voer de volgende stappen uit om Microsoft Entra Domain Services-verificatie via SMB in te schakelen via Azure Portal:

Ga in Azure Portal naar uw bestaande opslagaccount of maak een opslagaccount.
Selecteer Bestandsshares voor gegevensopslag>.
Selecteer in de sectie Instellingen voor bestandsshare de optie Op identiteit gebaseerde toegang: Niet geconfigureerd.
Selecteer Onder Microsoft Entra Domain Services de optie Instellen en schakel vervolgens de functie in door het selectievakje in te schakelen.
Selecteer Opslaan.

Als u Microsoft Entra Domain Services-verificatie via SMB wilt inschakelen met Azure PowerShell, installeert u de nieuwste Az-module (2.4 of hoger) of de Az.Storage-module (1.5 of hoger). Zie Azure PowerShell installeren in Windows met PowerShellGet voor meer informatie over het installeren van PowerShell.

Als u een nieuw opslagaccount wilt maken, roept u New-AzStorageAccount aan en stelt u de parameter EnableAzureActiveDirectoryDomainServicesForFile in op true. In het volgende voorbeeld moet u de tijdelijke aanduidingen vervangen door uw eigen waarden. (Als u de vorige preview-module hebt gebruikt, is de parameter voor het inschakelen van de functieEnableAzureFilesAadIntegrationForSMB.)

# Create a new storage account
New-AzStorageAccount -ResourceGroupName "<resource-group-name>" `
    -Name "<storage-account-name>" `
    -Location "<azure-region>" `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -EnableAzureActiveDirectoryDomainServicesForFile $true

Gebruik de volgende opdracht om deze functie in te schakelen voor bestaande opslagaccounts:

# Update a storage account
Set-AzStorageAccount -ResourceGroupName "<resource-group-name>" `
    -Name "<storage-account-name>" `
    -EnableAzureActiveDirectoryDomainServicesForFile $true

Als u Microsoft Entra-verificatie via SMB met Azure CLI wilt inschakelen, installeert u de nieuwste CLI-versie (versie 2.0.70 of hoger). Zie De Azure CLI installeren voor meer informatie over het installeren van Azure CLI.

Als u een nieuw opslagaccount wilt maken, roept u az storage account create aan en stelt u het --enable-files-aadds argument in. In het volgende voorbeeld moet u de tijdelijke aanduidingen vervangen door uw eigen waarden. (Als u de vorige preview-module hebt gebruikt, is de parameter voor het inschakelen van functies file-aad.)

# Create a new storage account
az storage account create -n <storage-account-name> -g <resource-group-name> --enable-files-aadds

Gebruik de volgende opdracht om deze functie in te schakelen voor bestaande opslagaccounts:

# Update a new storage account
az storage account update -n <storage-account-name> -g <resource-group-name> --enable-files-aadds

Aanbevolen: AES-256-versleuteling gebruiken

Standaard maakt Microsoft Entra Domain Services-verificatie gebruik van Kerberos RC4-versleuteling. U wordt aangeraden deze te configureren voor het gebruik van Kerberos AES-256-versleuteling door deze instructies te volgen.

Voor de actie moet een bewerking worden uitgevoerd op het Active Directory-domein dat wordt beheerd door Microsoft Entra Domain Services om een domeincontroller te bereiken om een wijziging van de eigenschap aan te vragen voor het domeinobject. De onderstaande cmdlets zijn Windows Server Active Directory PowerShell-cmdlets, niet Azure PowerShell-cmdlets. Daarom moeten deze PowerShell-opdrachten worden uitgevoerd vanaf een clientcomputer die lid is van het Domein van Microsoft Entra Domain Services.

Belangrijk

De Windows Server Active Directory PowerShell-cmdlets in deze sectie moeten worden uitgevoerd in Windows PowerShell 5.1 vanaf een clientcomputer die lid is van een domein dat is toegevoegd aan het domein Microsoft Entra Domain Services. PowerShell 7.x en Azure Cloud Shell werken niet in dit scenario.

Meld u aan bij de clientcomputer die lid is van een domein als microsoft Entra Domain Services-gebruiker met de vereiste machtigingen. U moet schrijftoegang hebben tot het msDS-SupportedEncryptionTypes kenmerk van het domeinobject. Normaal gesproken hebben leden van de groep AAD DC-beheerders de benodigde machtigingen. Open een normale (niet-verhoogde) PowerShell-sessie en voer de volgende opdrachten uit.

# 1. Find the service account in your managed domain that represents the storage account.

$storageAccountName= "<InsertStorageAccountNameHere>"
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter

if ($userObject -eq $null)
{
   Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}

# 2. Set the KerberosEncryptionType of the object

Set-ADUser $userObject -KerberosEncryptionType AES256

# 3. Validate that the object now has the expected (AES256) encryption type.

Get-ADUser $userObject -properties KerberosEncryptionType

Belangrijk

Als u eerder RC4-versleuteling gebruikte en het opslagaccount bijwerkt om AES-256 te gebruiken, moet u klist purge op de client uitvoeren en vervolgens de bestandsdeling opnieuw koppelen om nieuwe Kerberos-tickets op te halen met AES-256.

Volgende stap

Als u gebruikers toegang wilt verlenen tot uw bestandsshare, volgt u de instructies in Machtigingen op shareniveau toewijzen.

Feedback

Is deze pagina nuttig?