Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ compartilhamentos de arquivos do Azure SMB
Os Arquivos do Azure dão suporte à autenticação baseada em identidade para compartilhamentos de arquivos do Windows em protocolo SMB usando o protocolo de autenticação Kerberos por meio dos seguintes métodos:
- Active Directory Domain Services (AD DS) local
- Serviços de Domínio do Microsoft Entra
- Kerberos do Microsoft Entra para identidades de usuário híbridas
Este artigo se concentra em habilitar o Microsoft Entra Domain Services (antigo Azure Active Directory Domain Services) para autenticação baseada em identidade com compartilhamentos de arquivos do Azure. Nesse cenário de autenticação, as credenciais do Microsoft Entra e as credenciais do Microsoft Entra Domain Services são as mesmas e você pode usá-las de forma intercambiável.
Recomendamos que você examine a seção Como funciona para selecionar a fonte de identidade certa para sua conta de armazenamento. A configuração é diferente dependendo da fonte de identidade escolhida.
Se você não está familiarizado com os Arquivos do Azure, é recomendável que você leia o nosso guia de planejamento antes de ler este artigo.
Observação
Os Arquivos do Azure dão suporte à autenticação Kerberos com o Microsoft Entra Domain Services com criptografia AES-256 (recomendado).
Os Arquivos do Azure dão suporte à autenticação para o Microsoft Entra Domain Services com sincronização completa ou parcial (com escopo) no Microsoft Entra ID. Em ambientes com a sincronização com escopo, os administradores devem estar cientes de que os Arquivos do Azure respeitam apenas as atribuições de função RBAC do Azure concedidas a entidades de segurança sincronizadas. As atribuições de função concedidas a identidades que não estão sincronizadas do Microsoft Entra ID para o Microsoft Entra Domain Services são ignoradas pelo serviço Azure Files.
Pré-requisitos
Antes de habilitar o Microsoft Entra Domain Services em SMB para compartilhamentos de arquivos do Azure, conclua os seguintes pré-requisitos:
Selecionar ou criar um locatário do Microsoft Entra.
Você pode usar um novo locatário ou um existente. O locatário e o compartilhamento de arquivos que você deseja acessar devem estar associados à mesma assinatura.
Para criar um locatário do Microsoft Entra, você pode Adicionar um locatário do Microsoft Entra e uma assinatura do Microsoft Entra. Se você já tem um locatário do Microsoft Entra, mas quer criar um locatário para usar com os compartilhamentos de arquivos do Azure, consulte Criar um locatário do Microsoft Entra.
Habilitar o Microsoft Entra Domain Services no locatário do Microsoft Entra.
Para dar suporte à autenticação com as credenciais do Microsoft Entra, você deve habilitar o Microsoft Entra Domain Services para seu locatário do Microsoft Entra. Se você não for o administrador do locatário do Microsoft Entra, entre em contato com o administrador e siga as orientações passo a passo para Habilitar o Microsoft Entra Domain Services usando o portal do Azure.
Normalmente leva cerca de 15 minutos para uma implantação do Microsoft Entra Domain Services concluir. Verifique se o status da integridade do Microsoft Entra Domain Services mostra Em execução, com a sincronização de hash de senha habilitada, antes de prosseguir para a próxima etapa.
Associe uma VM ao Microsoft Entra Domain Services.
Para acessar um compartilhamento de arquivo do Azure usando as credenciais do Microsoft Entra de uma VM, ela deve estar conectada ao domínio do Microsoft Entra Domain Services. Para obter mais informações sobre como ingressar no domínio de uma VM, consulte Ingressar uma máquina virtual do Windows Server em um domínio gerenciado. A autenticação do Microsoft Entra Domain Services em SMB com compartilhamentos de arquivos do Azure só tem suporte em VMs do Windows que executam versões do sistema operacional acima do Windows 7 ou do Windows Server 2008 R2 ou em VMs do Linux que executam o Ubuntu 18.04+ ou uma VM RHEL ou SLES equivalente.
Observação
As VMs não ingressadas no domínio podem acessar os compartilhamentos de arquivos do Azure usando a autenticação do Microsoft Entra Domain Services somente se a VM tiver conectividade de rede desimpedida com os controladores de domínio para o Microsoft Entra Domain Services. Normalmente, essa conectividade requer VPN site a site ou ponto a site.
Selecione ou crie um compartilhamento de arquivos SMB do Azure.
Selecione um compartilhamento de arquivo do SMB do Azure novo ou existente associado à mesma assinatura do seu locatário do Microsoft Entra. Consulte Criar um compartilhamento de arquivos SMB do Azure. Para um desempenho ideal, recomendamos que o compartilhamento de arquivo esteja na mesma região da VM da qual você planeja acessar o compartilhamento.
Disponibilidade regional
Você pode usar a autenticação de Arquivos do Azure com o Microsoft Entra Domain Services em todas as regiões do Azure Public, Gov e China.
Visão geral do fluxo de trabalho
O diagrama a seguir mostra o fluxo de trabalho de ponta a ponta para habilitar a autenticação do Microsoft Entra Domain Services em SMB para Arquivos do Azure.
Habilitar a autenticação do Microsoft Entra Domain Services para sua conta
Para habilitar a autenticação do Microsoft Entra Domain Services via SMB para os Arquivos do Azure, defina uma propriedade nas contas de armazenamento usando o portal do Azure, o Azure PowerShell ou a CLI do Azure. Definir essa propriedade de forma implícita "conecta ao domínio" a conta de armazenamento à implantação do Microsoft Entra Domain Services associado. A autenticação do Microsoft Entra Domain Services no protocolo SMB é habilitada para todos os compartilhamentos de arquivo novos e existentes na conta de armazenamento.
Você pode habilitar a autenticação do Microsoft Entra Domain Services no SMB somente depois de implantar com êxito o Microsoft Entra Domain Services em seu locatário do Microsoft Entra. Para obter mais informações, confira os pré-requisitos.
Para habilitar a autenticação do Microsoft Entra Domain Services no protocolo SMB usando o portal do Azure, siga essas etapas:
No portal do Azure, acesse sua conta de armazenamento existente ou crie uma conta de armazenamento.
Selecione Armazenamento de dados>Compartilhamentos de dados.
Na seção Configurações do compartilhamento de arquivo, selecione Acesso baseado em identidade: Não configurado.
Em Microsoft Entra Domain Services, selecione Configurar e habilite o recurso selecionando a caixa de seleção.
Clique em Salvar.
Recomendado: usar a criptografia AES-256
Recomendamos configurar sua conta de armazenamento para usar a criptografia Kerberos AES-256 seguindo estas instruções.
Essa ação requer a execução de uma operação no domínio gerenciado pelo Microsoft Entra Domain Services para alcançar um controlador de domínio e solicitar uma alteração de propriedade para o objeto de domínio. Os cmdlets abaixo são do PowerShell do Windows Server Active Directory, e não do Azure PowerShell. Devido a essa distinção, você deve executar esses comandos do PowerShell a partir de um computador cliente vinculado ao domínio dos serviços de domínio Microsoft Entra.
Importante
Os cmdlets do PowerShell do Windows Server Active Directory nessa seção devem ser executados no Windows PowerShell 5.1 de um computador cliente conectado ao domínio do Microsoft Entra Domain Services. O PowerShell 7.x e o Azure Cloud Shell não funcionarão nesse cenário.
Entre no cliente associado ao domínio como um usuário dos Serviços de Domínio do Microsoft Entra com as permissões necessárias. Você deve ter acesso de gravação ao atributo msDS-SupportedEncryptionTypes do objeto do domínio. Normalmente, os membros do grupo administradores do AAD DC têm as permissões necessárias. Abra uma sessão normal (não elevada) do PowerShell e execute os comandos a seguir.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= "<InsertStorageAccountNameHere>"
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Importante
Se você já estava usando a criptografia RC4 e atualizou a conta de armazenamento para usar o AES-256 (recomendado), execute klist purge no cliente e, em seguida, desmonte o compartilhamento de arquivos para obter novos tíquetes Kerberos com o AES-256.
Próxima etapa
- Para conceder aos usuários acesso ao compartilhamento de arquivos, siga as instruções em Atribuir permissões de nível de compartilhamento.