你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于: ✔️ SMB Azure 文件共享
本文重点介绍如何启用和配置Microsoft Entra ID(以前为 Azure AD),以便对 混合 标识或仅限云标识进行身份验证(预览版)。
混合身份标识是指在本地 Active Directory 域服务(AD DS)中存在,并通过 Microsoft Entra Connect 或 Microsoft Entra Connect 云同步 同步到 Microsoft Entra ID 的标识。
在 Microsoft Entra ID 中,仅云端标识被创建和管理。
启用 Microsoft Entra Kerberos 身份验证允许用户使用 Kerberos 身份验证访问 Azure 文件共享。 Microsoft Entra ID 颁发必要的 Kerberos 票证以使用 SMB 协议访问文件共享。 对于仅限云的用户,这意味着 Azure 文件共享不再需要域控制器进行授权或身份验证(预览版)。 但是,对于混合标识,为用户或组配置 Windows 访问控制列表(ACL)和目录/文件级权限需要与本地域控制器建立不受限制的网络连接。
有关详细信息,请参阅 Azure 文件 SMB 访问的基于标识的身份验证选项概述 和 详细分析。
重要
只能对存储帐户启用一个标识源,以便使用 Azure 文件进行基于标识的身份验证。 如果Microsoft Entra Kerberos 身份验证不符合要求,则可以改用 本地 Active Directory 域服务(AD DS) 或 Microsoft Entra 域服务 。 每个方法的配置步骤和支持的方案都不相同。
先决条件
在通过 SMB 为 Azure 文件共享启用 Microsoft Entra Kerberos 身份验证之前,请确保满足以下先决条件。
最低先决条件
必须具备以下先决条件。 如果缺少这些先决条件,你将无法使用 Microsoft Entra ID 进行身份验证。
Azure 存储帐户不能使用 Microsoft Entra ID 和第二种方法(如 AD DS 或 Microsoft Entra 域服务)进行身份验证。 如果已为存储帐户选择了另一个标识源,则必须在启用 Microsoft Entra Kerberos 之前将其禁用。
如果要对混合标识进行身份验证,还需要 AD DS,并 Microsoft Entra Connect 或 Microsoft Entra Connect 云同步。必须在 Active Directory 中创建这些帐户并将其同步到 Microsoft Entra ID。 若要将 Azure 文件共享的 Azure 基于角色的访问控制 (RBAC) 权限分配给用户组,必须在 Active Directory 中创建该组并将其同步到 Microsoft Entra ID。 这不适用于云专用标识。
WinHTTP Web 代理自动发现服务 (
WinHttpAutoProxySvc) 是必需的服务,并且一定要处于“正在运行”状态。 可以选择禁用 Web 代理自动发现 (WPAD),但前述服务仍应运行。IP 帮助程序服务 (
iphlpsvc) 是必需的服务,并且一定要处于“正在运行”状态。必须在表示存储帐户的 Microsoft Entra 应用上禁用多重身份验证 (MFA)。 有关说明,请参阅在存储帐户上禁用多重身份验证。
此功能目前不支持 B2B 用户或来宾用户的跨租户访问。 非配置的 Microsoft Entra 租户中的用户将无法访问文件共享。
使用 Microsoft Entra Kerberos 时,Kerberos 票证加密始终为 AES-256。 但是,可以设置最符合需求的 SMB 通道加密。
目前 Azure 文件存储对外部标识的 SMB 支持仅限于在 Azure 虚拟桌面(AVD)上运行的 FSLogix 方案。 这适用于受邀加入公有云中 Microsoft Entra ID 租户的外部用户,但不包括跨云用户(即从由 21Vianet 运营的 Azure 或 Azure 政府邀请加入租户的用户)。 不支持政府云方案。 企业到企业来宾用户或其他 Microsoft Entra 租户的用户不支持非 AVD 场景。
重要
仅限云标识支持(预览版)仅适用于 默认共享级权限。
操作系统和域先决条件
标准Microsoft Entra Kerberos 身份验证流需要满足以下先决条件,如本文所述。 如果部分或所有客户端计算机不符合这些要求,仍可以为 SMB 文件共享启用 Microsoft Entra Kerberos 身份验证,但还需要 配置云信任 ,以允许这些客户端访问文件共享。
对于仅限云的身份使用微软 Entra Kerberos 身份验证(预览版)需要以下操作系统之一:
- Windows 11 Enterprise/Pro 单会话或多会话。
- 安装了最新累积更新的 Windows Server 2025。
对混合标识使用 Microsoft Entra Kerberos 身份验证需要以下操作系统之一:
- Windows 11 Enterprise/Pro 单会话或多会话。
- 单会话或多会话的 Windows 10 Enterprise/Pro 版本 2004 或更高版本,已安装最新累积更新,尤其是 适用于 Windows 10 的 KB5007253 - 2021-11 累积更新预览。
- 安装了最新累积更新的 Windows Server 2025。
- 安装了最新累积更新的 Windows Server 2022,尤其是适用于 Microsoft 服务器操作系统 21H2 版本的 KB5007254 - 2021-11 累积更新预览版。
若要了解如何使用基于 Microsoft Entra ID 的身份验证创建和配置 Windows VM 并登录,请参阅使用 Microsoft Entra ID 登录到 Azure 中的 Windows 虚拟机。
客户端必须是已加入 Microsoft Entra 或已混合加入 Microsoft Entra的客户端。 它们既不能加入 Microsoft Entra 域服务,也不能仅加入 AD。
区域可用性
Azure 公共、Azure US Gov 和 Azure 中国世纪互联云中提供了对混合标识的支持。
仅支持仅限云的标识(预览版)仅在 Azure 公有云中提供,并且仅限于对所有经过身份验证的标识使用 默认共享级别权限 。
启用 Microsoft Entra Kerberos 身份验证
可以使用 Azure 门户、PowerShell 或 Azure CLI 在 Azure 文件存储上启用 Microsoft Entra Kerberos 身份验证。
若要使用 Azure 门户启用 Microsoft Entra Kerberos 身份验证,请执行以下步骤。
登录到 Azure 门户并选择要为其启用 Microsoft Entra Kerberos 身份验证的存储帐户。
在“数据存储”下,选择“文件共享”。
在 基于标识的访问旁边,选择配置状态(例如 未配置)。
在 Microsoft Entra Kerberos 下,选择 设置。
选中 Microsoft Entra Kerberos 复选框。
自选: 如果要通过 Windows 文件资源管理器验证混合标识并想要配置目录和文件级权限,则必须为本地 AD 指定域名和域 GUID。 可以从域管理员处获取此信息,也可以通过从已加入本地 AD 的客户端运行以下 Active Directory PowerShell cmdlet 来获取此信息:
Get-ADDomain。 你的域名应该被列在DNSRoot下的输出中,域 GUID 应该被列在ObjectGUID下。 如果想要使用 icacls 配置目录和文件级别权限,可以跳过此步骤。 但是,如果要使用 icacls,客户端将需要与本地 AD 进行畅通无阻的网络连接。 使用 Windows 文件资源管理器配置目录和文件级权限当前不支持仅限于云身份(预览版)。选择“保存”。
警告
如果之前通过手动有限预览步骤启用了 Microsoft Entra Kerberos 身份验证,以将 FSLogix 配置文件存储在已加入 Microsoft Entra 的 VM 的 Azure 文件存储上,则存储帐户服务主体的密码设置为每隔六个月过期。 密码过期后,用户将无法获取文件共享的 Kerberos 票证。 若要缓解此问题,请参阅 启用 Microsoft Entra Kerberos 身份验证时的潜在错误下的“错误 - 服务主体密码在 Microsoft Entra ID 中过期”。
向新服务主体授予管理员同意
启用 Microsoft Entra Kerberos 身份验证后,需要向 Microsoft Entra 租户中注册的新 Microsoft Entra 应用程序显式授予管理员权限。 此服务主体是自动生成的,不用于对文件共享授权,因此请不要对服务主体进行此处所述编辑以外的任何编辑。 如果这么做,可能会产生错误。
你可以按照以下步骤从 Azure 门户配置 API 权限:
- 打开 Microsoft Entra ID。
- 在服务菜单的“管理”下,选择“应用注册”。
- 选择“所有应用程序”。
- 选择名称与[存储帐户]
<your-storage-account-name>.file.core.windows.net匹配的应用程序。 - 在服务菜单的“管理”下,选择“API 权限”。
- 选择“向 [目录名称] 授予管理员同意”,以向目录中所有帐户请求的三项 API 权限(openid、profile 和 User.Read)授予同意。
- 请选择“是”以确认。
如果使用 Microsoft Entra Kerberos 身份验证通过专用终结点/专用链接连接到存储帐户,则还需要将专用链接 FQDN 添加到存储帐户的 Microsoft Entra 应用程序中。 有关说明,请参阅 故障排除指南。
启用仅限云组支持(对仅限云标识是强制性要求)
Kerberos 票证中包含的组安全标识符 (SID) 最多可达 1,010 个。 现在,Microsoft Entra Kerberos 支持仅限 Entra 的标识(预览版),票证必须同时包含本地组 SID 和云组 SID。 如果组合组 SID 超过 1,010,无法颁发 Kerberos 票证。
如果使用 Microsoft Entra Kerberos 对仅限云的标识进行身份验证,则需要更新应用程序清单文件中的标记,否则身份验证将失败。
按照 以下说明 更新应用程序清单中的标记。
在存储帐户上禁用多重身份验证
Microsoft Entra Kerberos 不支持使用 MFA 访问使用 Microsoft Entra Kerberos 配置的 Azure 文件共享。 如果 MFA 条件访问策略适用于所有应用,则必须将表示存储帐户的 Microsoft Entra 应用从策略中排除。
存储帐户应用应与条件访问排除列表中的存储帐户同名。 在条件访问排除列表中搜索存储帐户应用时,请搜索:[存储帐户] <your-storage-account-name>.file.core.windows.net
请记得将 <your-storage-account-name> 替换为正确的值。
重要
如果不从存储帐户应用中排除 MFA 策略,你将无法访问文件共享。 尝试使用 net use 映射文件共享,这将生成一条错误消息,该消息显示“系统错误 1327: 帐户限制阻止此用户登录。 例如:不允许使用空白密码、限制登录时间或已强制实施策略限制。”
有关如何禁用 MFA 的指南,请参阅以下文章:
分配共享级权限
当你启用基于标识的访问时,必需为每个共享分配有权访问特定共享的用户和组。 允许某个用户或组访问共享后,单个文件和目录的 Windows ACL(也称为 NTFS 权限)将开始管理访问权限。 这允许对权限进行精细控制,类似于 Windows 服务器上的 SMB 共享。
若要设置共享级别权限,请按照将共享级别权限分配给标识对象中的说明操作。 只能为仅限云的标识分配一个适用于所有经过身份验证的标识 的默认共享级别权限 。
配置目录和文件级别权限
设置共享级权限后,你可以将 Windows ACL(目录/文件级权限)分配给用户或组。 对于混合标识,这需要设备与本地 AD 建立畅通无阻的网络连接。
若要配置目录和文件级别权限,请按照通过 SMB 配置目录和文件级别权限中的说明操作。
配置客户端以检索 Kerberos 票证
在要从中装载/使用 Azure 文件共享的客户端计算机上启用 Microsoft Entra Kerberos 功能。 必须在将使用 Azure 文件存储的每个客户端上执行此操作。
请使用下列三种方法之一:
配置此 Intune 策略 CSP 并将其应用于客户端:Kerberos/CloudKerberosTicketRetrievalEnabled,设置为 1
注意
通过 Intune 配置 CloudKerberosTicketRetrievalEnabled 时,请使用 设置目录 而不是 OMA-URI 方法。
OMA-URI 方法不适用于Azure 虚拟桌面(AVD)多会话 设备。 AVD 多会话是 Entra Kerberos 与混合标识的常见部署方案,包括涉及 Entra ID 加入、FSLogix 和 Azure 文件存储的配置。
更改不是即时的,需要策略刷新或重新启动才能生效。
重要
应用此更改后,客户端将无法在未配置 Kerberos 领域映射的情况下连接到为本地 AD DS 集成配置的存储帐户。 如果希望客户端能够连接到为 AD DS 配置的存储帐户以及为 Microsoft Entra Kerberos 配置的存储帐户,请按照配置与使用本地 AD DS 的存储帐户的共存中的步骤进行操作。
使用本地 AD DS 配置与存储帐户的共存
如果要使客户端计算机能够连接到为 AD DS 配置的存储帐户,以及为 Microsoft Entra Kerberos 配置的存储帐户,请执行以下步骤。 如果要仅使用 Microsoft Entra Kerberos,请跳过此部分。
请为每个使用本地 AD DS 集成的存储帐户添加一个条目。 使用下面三种方法之一配置 Kerberos 领域映射。 更改不是即时的,需要策略刷新或重新启动才能生效。
配置此 Intune 策略 CSP 并将其应用到客户端:Kerberos/HostToRealm
重要
在 Kerberos 中,领域名称区分大小写,并且是大写的。 Kerberos 领域名称通常与域名相同,并使用大写字母表示。
撤消客户端配置以检索 Kerberos 票证
如果不想再使用客户端计算机进行 Microsoft Entra Kerberos 身份验证,则可以禁用该计算机上的 Microsoft Entra Kerberos 功能。 根据启用功能的方式,使用以下三种方法之一:
配置此 Intune 策略 CSP 并将其应用于客户端:Kerberos/CloudKerberosTicketRetrievalEnabled,设置为 0
更改不是即时的,需要策略刷新或重新启动才能生效。
如果遵循了使用本地 AD DS 配置与存储帐户的共存中的步骤,可根据需要从客户端计算机中移除所有主机名到 Kerberos 领域的映射。 请使用下列三种方法之一:
配置此 Intune 策略 CSP 并将其应用到客户端:Kerberos/HostToRealm
更改不是即时的,需要策略刷新或重新启动才能生效。
重要
应用此更改后,客户端将无法连接到为 Microsoft Entra Kerberos 身份验证配置的存储帐户。 但是,它们将能够连接到配置为 AD DS 的存储帐户,而无需任何其他配置。
在存储帐户上禁用 Microsoft Entra 身份验证
若要使用其他身份验证方法,可以使用 Azure 门户、Azure PowerShell 或 Azure CLI 在存储帐户上禁用 Microsoft Entra 身份验证。
注意
禁用此功能意味着在启用和配置其他一个标识源之前,存储帐户中没有文件共享的基于标识的访问权限。
若要使用 Azure 门户在存储帐户中禁用 Microsoft Entra Kerberos 身份验证,请执行以下步骤。
- 登录到 Azure 门户并选择要为其禁用 Microsoft Entra Kerberos 身份验证的存储帐户。
- 在“数据存储”下,选择“文件共享”。
- 在基于标识的访问旁边,查看配置状态。
- 在 Microsoft Entra Kerberos 下,选择“配置”。
- 取消选中 Microsoft Entra Kerberos 复选框。
- 选择“保存”。
调试
如果需要,可以运行 Debug-AzStorageAccountAuth cmdlet,使用已登录的 Entra ID 用户对 Microsoft Entra ID 配置执行一组基本检查。 此 cmdlet 附带的 Microsoft Entra 检查在 AzFilesHybrid v0.3.0+ 版本中受支持。 此 cmdlet 适用于 Microsoft Entra Kerberos 和 AD DS 身份验证,但不适用于已启用 Microsoft Entra 域服务的存储帐户。 有关此 cmdlet 中执行的检查的详细信息,请参阅无法使用 Microsoft Entra Kerberos 装载 Azure 文件共享。