Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Files stöder identitetsbaserad autentisering för Windows-filresurser via Server Message Block (SMB) med hjälp av Kerberos-autentiseringsprotokollet via följande metoder:
- Lokala Active Directory-domänstjänster (AD DS)
- Microsoft Entra domäntjänster
- Microsoft Entra Kerberos för hybridanvändaridentiteter
Vi rekommenderar starkt att du läser avsnittet Så här fungerar det för att välja rätt AD-källa för autentisering. Konfigurationen skiljer sig beroende på vilken domäntjänst du väljer. Den här artikeln fokuserar på att aktivera och konfigurera lokal AD DS för autentisering med Azure-filresurser.
Om du inte har använt Azure Files tidigare rekommenderar vi att du läser vår planeringsguide.
Gäller för
| Hanteringsmodell | Faktureringsmodell | Medieklass | Redundans | Små och medelstora företag (SMB) | NFS (Network File System) |
|---|---|---|---|---|---|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | Lokalt (LRS) |
|
|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | Zon (ZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | Geo (GRS) |
|
|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Tillhandahållen v1 | SSD (hög kvalitet) | Lokalt (LRS) |
|
|
| Microsoft.Storage, lagringstjänster | Tillhandahållen v1 | SSD (hög kvalitet) | Zon (ZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | Lokalt (LRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | Zon (ZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | Geo (GRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | GeoZone (GZRS) |
|
|
Scenarier och begränsningar som stöds
- Om du vill använda identitetsbaserad autentisering med Azure Files måste RBAC-behörigheter på resursnivå tilldelas. Du kan göra detta på två sätt:
- Standardbehörighet på resursnivå: Det här alternativet tillämpar RBAC på resursnivå för alla autentiserade användare. Med den här konfigurationen behöver du inte synkronisera dina lokala AD DS-identiteter med Microsoft Entra-ID.
- Detaljerade behörigheter på resursnivå: Om du vill tilldela RBAC på resursnivå till specifika användare eller grupper måste motsvarande identiteter synkroniseras från din lokala AD DS till Microsoft Entra-ID med hjälp av Microsoft Entra Connect eller Microsoft Entra Cloud Sync. Grupper som skapats endast i Microsoft Entra-ID fungerar inte om de inte innehåller synkroniserade användarkonton. Synkronisering av lösenordshash krävs inte.
- Krav för klientoperativsystem: Windows 8/Windows Server 2012 eller senare, eller virtuella Linux-datorer som Ubuntu 18.04+ och motsvarande RHEL/SLES-distributioner.
- Azure-fildelningar kan hanteras med Azure File Sync.
- Kerberos-autentisering är tillgängligt med Active Directory med AES 256-kryptering (rekommenderas) och RC4-HMAC. AES 128 Kerberos-kryptering stöds ännu inte.
- Enkel inloggning (SSO) stöds.
- Som standard begränsas åtkomsten till Den Active Directory-skog där lagringskontot är registrerat. Användare från alla domäner i skogen kan komma åt filresursinnehållet, förutsatt att de har rätt behörigheter. Om du vill aktivera åtkomst från ytterligare skogar måste du konfigurera ett skogsförtroende. Mer information finns i Använda Azure Files med flera Active Directory-skogar.
- Identitetsbaserad autentisering stöds för närvarande inte för NFS-filresurser.
När du aktiverar AD DS för Azure-filresurser via SMB kan dina AD DS-anslutna datorer montera Azure-filresurser med dina befintliga AD DS-autentiseringsuppgifter. AD DS-miljön kan finnas lokalt eller på en virtuell dator (VM) i Azure.
Videoklipp
För att hjälpa dig att konfigurera identitetsbaserad autentisering för vanliga användningsfall publicerade vi två videor med stegvis vägledning för följande scenarier. Observera att Azure Active Directory nu är Microsoft Entra-ID. Mer information finns i Nytt namn för Azure AD.
| Ersätt lokala filservrar med Azure Files (inklusive installation på privat länk för filer och AD-autentisering) | Använda Azure Files som profilcontainer för Azure Virtual Desktop (inklusive konfiguration av AD-autentisering och FSLogix-konfiguration) |
|---|---|
| Screencast av videon om att ersätta lokala filservrar – klicka för att spela. |
|
Förutsättningar
Innan du aktiverar AD DS-autentisering för Azure-filresurser kontrollerar du att du har slutfört följande krav:
Välj eller skapa din AD DS-miljö och synkronisera den med Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect Sync-programmet eller Microsoft Entra Connect Cloud Sync, en lättviktsagent som kan installeras från Administrationscenter för Microsoft Entra.
Du kan aktivera funktionen i en ny eller befintlig lokal AD DS-miljö. Identiteter som används för åtkomst måste synkroniseras med Microsoft Entra-ID eller använda en standardbehörighet på resursnivå. Microsoft Entra-klienten och fildelningen som du får tillgång till måste vara associerade med samma prenumeration.
Domänanslut en lokal dator eller en virtuell Azure-dator till lokal AD DS. Information om hur du ansluter till domän finns i Ansluta en dator till en domän.
Om en dator inte är domänansluten kan du fortfarande använda AD DS för autentisering om datorn har obehindrat nätverksanslutning till den lokala AD-domänkontrollanten och användaren tillhandahåller explicita autentiseringsuppgifter. Mer information finns i Montera filresursen från en icke-domänansluten virtuell dator eller en virtuell dator som är ansluten till en annan AD-domän.
Välj eller skapa ett Azure Storage-konto. För optimala prestanda rekommenderar vi att du distribuerar lagringskontot i samma region som klienten som du planerar att komma åt resursen från. Montera sedan Azure-filresursen med lagringskontonyckeln för att verifiera anslutningen.
Kontrollera att lagringskontot som innehåller dina filresurser inte redan har konfigurerats för identitetsbaserad autentisering. Om en AD-källa redan är aktiverad på lagringskontot måste du inaktivera den innan du aktiverar lokal AD DS.
Om du har problem med att ansluta till Azure Files, hänvisa till felsökning av anslutningsfel för Azure Files på Windows.
Om du planerar att aktivera nätverkskonfigurationer på filresursen rekommenderar vi att du läser artikeln om nätverksöverväganden och slutför den relaterade konfigurationen innan du aktiverar AD DS-autentisering.
Regional tillgänglighet
Azure Files-autentisering med AD DS är tillgängligt i alla Azure Public-, Kina- och Gov-regioner.
Översikt
Genom att aktivera AD DS-autentisering för dina Azure-filresurser kan du autentisera till dina Azure-filresurser med dina lokala AD DS-autentiseringsuppgifter. Dessutom kan du bättre hantera dina behörigheter för att tillåta detaljerad åtkomstkontroll. För att göra detta krävs synkronisering av identiteter från lokal AD DS till Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect Sync-programmet eller Microsoft Entra Connect-molnsynkronisering, en lättviktsagent som kan installeras från Administrationscenter för Microsoft Entra. Du tilldelar behörigheter på resursnivå till hybrididentiteter som synkroniserats med Microsoft Entra-ID när du hanterar fil-/katalognivååtkomst med hjälp av Windows-ACL:er.
Följ dessa steg för att konfigurera Azure Files för AD DS-autentisering:
Följande diagram illustrerar arbetsflödet från slutpunkt till slutpunkt för aktivering av AD DS-autentisering via SMB för Azure-filresurser.
Identiteter som används för att komma åt Azure-filresurser måste synkroniseras med Microsoft Entra-ID för att framtvinga filbehörigheter på resursnivå via azure-modellen för rollbaserad åtkomstkontroll (Azure RBAC). Du kan också använda en standardbehörighet på delningsnivå. Windows-format DACL:er på filer/kataloger som överförs från befintliga filservrar kommer att behållas och upprätthållas. Detta ger sömlös integrering med din AD DS-företagsmiljö. När du ersätter lokala filservrar med Azure-filresurser kan befintliga användare komma åt Azure-filresurser från sina nuvarande klienter med en enkel inloggningsupplevelse, utan att ändra de autentiseringsuppgifter som används.
Gå vidare
För att komma igång måste du aktivera AD DS-autentisering för ditt lagringskonto.