Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln fokuserar på att aktivera och konfigurera Microsoft Entra-ID (tidigare Azure AD) för att autentisera hybridanvändares identiteter, som är lokala AD DS-identiteter som synkroniseras med Microsoft Entra-ID med microsoft entra connect- eller Microsoft Entra Connect-molnsynkronisering. Molnbaserade identiteter stöds inte för närvarande.
Den här konfigurationen gör att hybridanvändare kan komma åt Azure-filresurser med Kerberos-autentisering med hjälp av Microsoft Entra-ID för att utfärda nödvändiga Kerberos-biljetter för att få åtkomst till filresursen med SMB-protokollet. Det innebär att dina slutanvändare kan komma åt Azure-filresurser via Internet utan att kräva obehindrad nätverksanslutning till domänkontrollanter från Microsoft Entra-hybridanslutna och Microsoft Entra-anslutna klienter. För att konfigurera Åtkomstkontrollistor för Windows (ACL)/katalog- och filnivåbehörigheter för en användare eller grupp krävs dock obehindrat nätverksanslutning till den lokala domänkontrollanten.
Mer information om alternativ och överväganden som stöds finns i Översikt över identitetsbaserade autentiseringsalternativ för Azure Files för SMB-åtkomst. Mer information finns i den här djupdykningen.
Viktigt!
Du kan bara aktivera en identitetskälla på ditt lagringskonto för identitetsbaserad autentisering med Azure Files. Om Microsoft Entra Kerberos-autentisering för hybrididentiteter inte passar dina krav kanske du kan använda lokal Active Directory Domain Service (AD DS) eller Microsoft Entra Domain Services i stället. Konfigurationsstegen och scenarierna som stöds är olika för varje metod.
Gäller för
| Hanteringsmodell | Faktureringsmodell | Medieklass | Redundans | Små och medelstora företag (SMB) | NFS (Network File System) |
|---|---|---|---|---|---|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | Lokalt (LRS) |
|
|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | Zon (ZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | Geo (GRS) |
|
|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Tillhandahållen v1 | SSD (hög kvalitet) | Lokalt (LRS) |
|
|
| Microsoft.Storage, lagringstjänster | Tillhandahållen v1 | SSD (hög kvalitet) | Zon (ZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | Lokalt (LRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | Zon (ZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | Geo (GRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | GeoZone (GZRS) |
|
|
Förutsättningar
Innan du aktiverar Microsoft Entra Kerberos-autentisering via SMB för Azure-filresurser kontrollerar du att du har slutfört följande krav.
Minimikrav
Följande krav är obligatoriska. Utan dessa kan du inte autentisera med hjälp av Microsoft Entra-ID.
Ditt Azure Storage-konto kan inte autentiseras med både Microsoft Entra-ID och en andra metod som AD DS eller Microsoft Entra Domain Services. Om du redan har valt en annan identitetskälla för ditt lagringskonto måste du inaktivera den innan du aktiverar Microsoft Entra Kerberos.
Den här funktionen stöder för närvarande inte användarkonton som du skapar och hanterar enbart i Microsoft Entra-ID. Användarkonton måste vara hybridanvändaridentiteter, vilket innebär att du också behöver AD DS och antingen Microsoft Entra Connect eller Microsoft Entra Connect-molnsynkronisering. Du måste skapa dessa konton i Active Directory och synkronisera dem med Microsoft Entra-ID. Om du vill tilldela Azure rollbaserad åtkomstkontroll (RBAC) behörigheter för Azure-filresursen till en användargrupp måste du skapa gruppen i Active Directory och synkronisera den med Microsoft Entra-ID.
WinHTTP Web Proxy Auto-Discovery Service (
WinHttpAutoProxySvc) krävs och måste vara i tillståndet "körs". Du kan också inaktivera automatisk identifiering av webbproxy (WPAD), men tjänsten bör fortfarande köras.IP-hjälptjänsten (
iphlpsvc) krävs och måste vara i tillståndet "körs".Du måste inaktivera multifaktorautentisering (MFA) i Microsoft Entra-appen som representerar lagringskontot. Anvisningar finns i Inaktivera multifaktorautentisering på lagringskontot.
Den här funktionen stöder för närvarande inte åtkomst mellan klientorganisationer för B2B-användare eller gästanvändare. Användare från en annan Microsoft Entra-klientorganisation än den som har konfigurerats kommer inte att kunna komma åt fildelningen.
Med Microsoft Entra Kerberos är Kerberos-biljettkryptering alltid AES-256. Men du kan ange den SMB-kanalkryptering som bäst passar dina behov.
Krav för operativsystem och domäner
Följande krav krävs för standardflödet för Microsoft Entra Kerberos-autentisering enligt beskrivningen i den här artikeln. Om vissa eller alla klientdatorer inte uppfyller dessa kan du fortfarande aktivera Microsoft Entra Kerberos-autentisering för SMB-filresurser, men du måste också konfigurera ett molnförtroende så att dessa klienter kan komma åt filresurser.
Om du använder Microsoft Entra Kerberos-autentisering krävs något av följande operativsystem:
- Windows 11 Enterprise/Pro– enskild eller flera sessioner.
- Windows 10 Enterprise/Pro single eller multi-session, versioner 2004 eller senare med de senaste kumulativa uppdateringarna installerade, särskilt KB5007253 - 2021-11 kumulativa uppdateringsförhandsversionen för Windows 10.
- Windows Server 2025 med de senaste kumulativa uppdateringarna installerade.
- Windows Server 2022 med de senaste kumulativa uppdateringarna installerade, särskilt KB5007254 - 2021-11 Förhandsgranskning av kumulativ uppdatering för Microsofts serveroperativsystem version 21H2.
Information om hur du skapar och konfigurerar en virtuell Windows-dator och loggar in med hjälp av Microsoft Entra ID-baserad autentisering finns i Logga in på en virtuell Windows-dator i Azure med hjälp av Microsoft Entra-ID.
Klienter måste vara anslutna till Microsoft Entra eller Microsoft Entra-hybridanslutna. De kan inte anslutas till Microsoft Entra Domain Services eller endast anslutas till AD.
Regional tillgänglighet
Den här funktionen stöds i molnen Azure Public, Azure US Gov och Azure China 21Vianet.
Aktivera Microsoft Entra Kerberos-autentisering för hybridanvändarkonton
Du kan aktivera Microsoft Entra Kerberos-autentisering på Azure Files för hybridanvändarkonton med hjälp av Azure Portal, PowerShell eller Azure CLI.
Följ dessa steg om du vill aktivera Microsoft Entra Kerberos-autentisering med hjälp av Azure Portal.
Logga in på Azure Portal och välj det lagringskonto som du vill aktivera Microsoft Entra Kerberos-autentisering för.
Under Datalagring väljer du Filresurser.
Bredvid Identitetsbaserad åtkomst väljer du konfigurationsstatus (till exempel Inte konfigurerad).
Under Microsoft Entra Kerberos väljer du Konfigurera.
Markera kryssrutan Microsoft Entra Kerberos .
Valfritt: Om du vill konfigurera behörigheter på katalog- och filnivå via Windows Utforskaren måste du ange domännamnet och domän-GUID:t för din lokala AD. Du kan hämta den här informationen från domänadministratören eller genom att köra följande Active Directory PowerShell-cmdlet från en lokal AD-ansluten klient:
Get-ADDomain. Domännamnet bör anges i utdata underDNSRootoch domänens GUID bör anges underObjectGUID. Om du föredrar att konfigurera katalog- och filnivåbehörigheter med icacls kan du hoppa över det här steget. Men om du vill använda icacls behöver klienten en obehindrad nätverksanslutning till den lokala AD:n.Välj Spara.
Varning
Om du tidigare har aktiverat Microsoft Entra Kerberos-autentisering via manuella begränsade förhandsversionssteg för att lagra FSLogix-profiler på Azure Files för Microsoft Entra-anslutna virtuella datorer kommer lösenordet för lagringskontots tjänsthuvudnamn att upphöra att gälla var sjätte månad. När lösenordet upphör att gälla kan användarna inte hämta Kerberos-biljetter till fildelningen. Information om hur du åtgärdar detta finns i "Fel – lösenordet för tjänstens huvudnamn har upphört att gälla i Microsoft Entra-ID" under Potentiella fel när du aktiverar Microsoft Entra Kerberos-autentisering för hybridanvändare.
Bevilja administratörssamtycke till den nya tjänsthuvudmannen
När du har aktiverat Microsoft Entra Kerberos-autentisering måste du uttryckligen bevilja administratörsmedgivande till det nya Microsoft Entra-programmet som är registrerat i din Microsoft Entra-klientorganisation. Tjänstens huvudnamn genereras automatiskt och används inte för auktorisering till filresursen, så gör inga ändringar i tjänstens huvudnamn förutom de som dokumenteras här. Om du gör det kan du få ett fel.
Du kan konfigurera API-behörigheterna från Azure Portal genom att följa dessa steg:
- Öppna Microsoft Entra ID.
- Välj Appregistreringar under Hantera på tjänstmenyn.
- Välj Alla program.
- Välj programmet med namnet som matchar [Lagringskonto]
<your-storage-account-name>.file.core.windows.net. - I tjänstmenyn går du till Hantera och väljer API-behörigheter.
- Välj Bevilja administratörsmedgivande för [Katalognamn] för att bevilja medgivande för de tre begärda API-behörigheterna (openid, profil och User.Read) för alla konton i katalogen.
- Välj Ja för att bekräfta.
Viktigt!
Om du ansluter till ett lagringskonto via en privat slutpunkt/privat länk med Microsoft Entra Kerberos-autentisering måste du också lägga till det privata länk-FQDN i lagringskontots Microsoft Entra-program. Anvisningar finns under avsnittet i vår felsökningsguide.
Inaktivera multifaktorautentisering på lagringskontot
Microsoft Entra Kerberos stöder inte användning av MFA för åtkomst till Azure-filresurser som konfigurerats med Microsoft Entra Kerberos. Du måste undanta Microsoft Entra-appen som representerar ditt lagringskonto från dina principer för villkorsstyrd MFA-åtkomst om de gäller för alla appar.
Lagringskontoappen bör ha samma namn som lagringskontot i listan över undantag för villkorlig åtkomst. När du söker efter lagringskontoappen i listan över undantag för villkorlig åtkomst söker du efter: [Lagringskonto] <your-storage-account-name>.file.core.windows.net
Kom ihåg att ersätta <your-storage-account-name> med rätt värde.
Viktigt!
Om du inte utesluter MFA-principer från lagringskontoappen kan du inte komma åt filresursen. Om du försöker mappa filresursen med net use kommer det att resultera i ett felmeddelande som säger "Systemfel 1327: Kontobegränsningar hindrar den här användaren från att logga in. Till exempel: tomma lösenord tillåts inte, inloggningstiderna är begränsade eller så har en principbegränsning tillämpats."
Information om hur du inaktiverar MFA finns i följande:
Tilldela behörigheter på delningsnivå
När du aktiverar identitetsbaserad åtkomst måste du för varje resurs tilldela vilka användare och grupper som har åtkomst till den specifika resursen. När en användare eller grupp har fått åtkomst till en resurs tar Windows ACL:er (även kallade NTFS-behörigheter) över för enskilda filer och kataloger. Detta ger detaljerad kontroll över behörigheter som liknar en SMB-resurs på en Windows-server.
Om du vill ange behörigheter på resursnivå följer du anvisningarna i Tilldela behörigheter på resursnivå till en identitet.
Konfigurera behörigheter på katalog- och filnivå
När behörigheter på resursnivå har införts kan du tilldela behörigheter på katalog-/filnivå till användaren eller gruppen. Detta kräver att du använder en enhet med obehindrat nätverksanslutning till en lokal AD.
Om du vill konfigurera katalog- och filnivåbehörigheter följer du anvisningarna i Konfigurera katalog- och filnivåbehörigheter över SMB.
Konfigurera klienterna för att hämta Kerberos-biljetter
Aktivera Microsoft Entra Kerberos-funktionerna på de klientdatorer som du vill montera/använda Azure-filresurser från. Du måste göra detta på varje klient som Azure Files ska användas på.
Använd någon av följande tre metoder:
Konfigurera den här Intune Policy CSP och tillämpa den på klienterna: Kerberos/CloudKerberosTicketRetrievalEnabled, inställd på 1
Kommentar
När du konfigurerar CloudKerberosTicketRetrievalEnabled via Intune använder du inställningskatalogen i stället för metoden OMA-URI.
Metoden OMA-URI fungerar inte på Azure Virtual Desktop (AVD) multi-session-enheter. AVD multi-session är ett vanligt distributionsscenario för Entra Kerberos med hybrididentiteter, inklusive konfigurationer som involverar Entra ID Join, FSLogix och Azure Files.
Ändringarna är inte omedelbara och kräver en principuppdatering eller en omstart för att börja gälla.
Viktigt!
När den här ändringen har tillämpats kan inte klienterna ansluta till lagringskonton som har konfigurerats för lokal AD DS-integrering utan att konfigurera Kerberos-sfärmappningar. Om du vill att klienterna ska kunna ansluta till lagringskonton som konfigurerats för AD DS samt lagringskonton som konfigurerats för Microsoft Entra Kerberos följer du stegen i Konfigurera samexistens med lagringskonton med hjälp av lokal AD DS.
Konfigurera samexistens med lagringskonton med lokal AD DS
Följ dessa steg om du vill göra det möjligt för klientdatorer att ansluta till lagringskonton som har konfigurerats för AD DS samt lagringskonton som konfigurerats för Microsoft Entra Kerberos. Om du bara använder Microsoft Entra Kerberos hoppar du över det här avsnittet.
Lägg till en post för varje lagringskonto som använder lokal AD DS-integrering. Använd någon av följande tre metoder för att konfigurera Kerberos-sfärmappningar. Ändringarna är inte omedelbara och kräver en principuppdatering eller en omstart för att börja gälla.
Konfigurera denna Intune Policy CSP och tillämpa den på klienterna: Kerberos/HostToRealm
Viktigt!
I Kerberos är domännamn skiftlägeskänsliga och skrivs med versaler. Ditt Kerberos-domännamn är vanligtvis samma som ditt domännamn, i stora bokstäver.
Ångra klientkonfigurationen för att hämta Kerberos-biljetter
Om du inte längre vill använda en klientdator för Microsoft Entra Kerberos-autentisering kan du inaktivera Microsoft Entra Kerberos-funktionerna på den datorn. Använd någon av följande tre metoder, beroende på hur du har aktiverat funktionen:
Konfigurera den här Intune CSP-policy och tillämpa den på klienterna: Kerberos/CloudKerberosTicketRetrievalEnabled, inställd på 0
Ändringarna är inte omedelbara och kräver en principuppdatering eller en omstart för att börja gälla.
Om du följde stegen i Konfigurera samexistens med lagringskonton med lokal AD DS kan du ta bort alla värdnamn till Kerberos-sfärmappningar från klientdatorn. Använd någon av följande tre metoder:
Konfigurera denna Intune Policy CSP och tillämpa den på klienterna: Kerberos/HostToRealm
Ändringarna är inte omedelbara och kräver en principuppdatering eller en omstart för att börja gälla.
Viktigt!
När den här ändringen har tillämpats kan inte klienterna ansluta till lagringskonton som har konfigurerats för Microsoft Entra Kerberos-autentisering. De kommer dock att kunna ansluta till lagringskonton som konfigurerats till AD DS, utan någon ytterligare konfiguration.
Inaktivera Microsoft Entra-autentisering på ditt lagringskonto
Om du vill använda en annan autentiseringsmetod kan du inaktivera Microsoft Entra-autentisering på ditt lagringskonto med hjälp av Azure Portal, Azure PowerShell eller Azure CLI.
Kommentar
Om du inaktiverar den här funktionen innebär det att det inte finns någon Active Directory-konfiguration för filresurser i ditt lagringskonto förrän du aktiverar någon av de andra Active Directory-källorna för att återställa Active Directory-konfigurationen.
Följ dessa steg om du vill inaktivera Microsoft Entra Kerberos-autentisering på ditt lagringskonto med hjälp av Azure Portal.
- Logga in på Azure Portal och välj det lagringskonto som du vill inaktivera Microsoft Entra Kerberos-autentisering för.
- Under Datalagring väljer du Filresurser.
- Bredvid Identitetsbaserad åtkomst väljer du konfigurationsstatus.
- Under Microsoft Entra Kerberos väljer du Konfigurera.
- Avmarkera kryssrutan Microsoft Entra Kerberos .
- Välj Spara.
Felsökning
Om det behövs kan du köra cmdleten Debug-AzStorageAccountAuth för att utföra en uppsättning grundläggande kontroller av din Microsoft Entra-ID-konfiguration med den inloggade Entra-ID-användaren. Microsoft Entra-kontroller som ingår i den här cmdleten stöds på AzFilesHybrid v0.3.0+-versionen. Den här cmdleten gäller för Microsoft Entra Kerberos- och AD DS-autentisering men fungerar inte för Microsoft Entra Domain Services-aktiverade lagringskonton. Mer information om de kontroller som utförs i den här cmdleten finns i Det går inte att montera Azure-filresurser med Microsoft Entra Kerberos.