Introducción: autenticación de Active Directory Domain Services local en SMB para recursos compartidos de archivos de Azure

Azure Files admite la autenticación basada en identidades para recursos compartidos de archivos de Windows a través del Bloque de mensajes del servidor (SMB) con el protocolo de autenticación Kerberos mediante los métodos siguientes:

  • Active Directory Domain Services (AD DS) local
  • Servicios de dominio de Microsoft Entra
  • Microsoft Entra Kerberos para identidades de usuario híbrido

Se recomienda encarecidamente consultar la sección Funcionamiento para seleccionar el origen de AD adecuado para la autenticación. La instalación es diferente en función del servicio de dominio que se elija. Este artículo se centra en la habilitación y configuración de Azure AD DS local para la autenticación con recursos compartidos de archivos de Azure.

Si no está familiarizado con Azure Files, se recomienda que lea la guía de planeamiento.

Se aplica a

Tipo de recurso compartido de archivos SMB NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS Sí No
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS Sí No
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS Sí No

Escenarios y restricciones admitidos

  • Las identidades de AD DS que se usen para la autenticación de AD DS local de Azure Files deben sincronizarse con Microsoft Entra ID o usar un permiso de nivel de recurso compartido predeterminado. La sincronización de hash de contraseña es opcional.
  • Admite recursos compartidos de archivos de Azure administrados por Azure File Sync.
  • Admite la autenticación Kerberos con AD y con cifrado AES 256 (recomendado) y RC4-HMAC. Todavía no se admite el cifrado de Kerberos con AES 128.
  • Admite la experiencia de inicio de sesión único.
  • Solo se admite en clientes Windows que ejecutan versiones del sistema operativo Windows 8/Windows Server 2012 o posteriores, o máquinas virtuales Linux (Ubuntu 18.04+ o una máquina virtual RHEL o SLES equivalente).
  • Solo se admite en el bosque de AD en el que está registrada la cuenta de almacenamiento. Los usuarios que pertenecen a dominios diferentes dentro del mismo bosque deben poder acceder al recurso compartido de archivos y a los directorios o archivos subyacentes, siempre y cuando tengan los permisos adecuados.
  • De forma predeterminada, solo se puede acceder a los recursos compartidos de archivos de Azure con las credenciales de AD DS desde un solo bosque. Si necesita acceso al recurso compartido de archivos de Azure desde otro bosque, asegúrese de tener configurada la confianza de bosque adecuada. Para ver más detalles, consulte Uso de Azure Files con varios bosques de Active Directory.
  • No se admite la asignación de permisos de nivel de recurso compartido a cuentas de equipo (cuentas de máquina) con RBAC de Azure. Puede usar un permiso de nivel de recurso compartido predeterminado para permitir que las cuentas de equipo accedan al recurso compartido o considerar la posibilidad de usar una cuenta de inicio de sesión del servicio en su lugar.
  • No admite la autenticación en recursos compartidos de archivos de Network File System (NFS).

Al habilitar AD DS para recursos compartidos de archivos de Azure en SMB, las máquinas unidas a AD DS pueden montar recursos compartidos de archivos de Azure con sus credenciales de AD DS existentes. Esta funcionalidad se puede habilitar con un entorno de AD DS hospedado en máquinas del entorno local o en una máquina virtual (VM) en Azure.

Vídeos

Para ayudarle a configurar la autenticación basada en identidades para algunos casos de uso comunes, publicamos dos vídeos con instrucciones paso a paso para los escenarios siguientes. Tenga en cuenta que Azure Active Directory es ahora Microsoft Entra ID. Para más información, consulte Nuevo nombre para Azure AD.

Reemplazo de servidores de archivos locales por Azure Files (incluida la configuración en un vínculo privado para la autenticación de archivos y AD) Uso de Azure Files como contenedor de perfiles para Azure Virtual Desktop (incluida la configuración de la autenticación de AD y la configuración de FSLogix)
Presentación en pantalla del vídeo sobre cómo reemplazar servidores de archivos locales: haga clic para reproducirlo. Presentación en pantalla del vídeo sobre cómo usar Azure Files como el contenedor de perfiles: haga clic para reproducirlo.

Requisitos previos

Antes de habilitar la autenticación de AD DS para los recursos compartidos de archivos de Azure, asegúrese de que cumple los siguientes requisitos previos:

Disponibilidad regional

La autenticación de Azure Files con AD DS está disponible en todas las regiones públicas, en China y en las de Azure Government.

Información general

Si planea habilitar configuraciones de red en el recurso compartido de archivos, se recomienda que lea el artículo sobre consideraciones de redes y que complete la configuración relacionada antes de habilitar la autenticación de AD DS.

Habilitar la autenticación de AD DS para los recursos compartidos de archivos de Azure le permite autenticarse en los recursos compartidos de archivos de Azure con las credenciales de AD DS local. Además, le permite administrar mejor los permisos para permitir el control de acceso granular. Hacer esto requiere la sincronización de identidades de AD DS local con Microsoft Entra ID mediante la aplicación de sincronización de Microsoft Entra local o Microsoft Entra Connect Cloud Sync, un agente ligero que se puede instalar desde el Centro de Administración de Microsoft Entra. Debe asignar permisos de nivel de recurso compartido a identidades híbridas sincronizadas con Microsoft Entra ID al administrar el acceso de nivel de archivo o directorio mediante listas ACL de Windows.

Siga estos pasos para configurar Azure Files para la autenticación de AD DS:

  1. Habilitación de la autenticación con AD DS en la cuenta de almacenamiento

  2. Asignación de permisos de nivel de recurso compartido a la identidad de Microsoft Entra (usuario, grupo o entidad de servicio) que está sincronizada con la identidad de AD de destino

  3. Configuración de ACL de Windows en SMB para directorios y archivos

  4. Monte un recurso compartido de archivos de Azure en una VM unida a su AD DS.

  5. Actualice la contraseña de la identidad de la cuenta de almacenamiento en AD DS.

En el diagrama siguiente se ilustra el flujo de trabajo completo para habilitar la autenticación de Azure AD DS a través de SMB para Azure Files.

Diagrama que muestra la autenticación de AD DS a través de SMB para el flujo de trabajo de Azure Files.

Las identidades que se usan para acceder a los recursos compartidos de archivos de Azure se deben sincronizar con Microsoft Entra ID para aplicar los permisos de archivo de nivel de recurso compartido mediante el modelo de control de acceso basado en roles de Azure (RBAC de Azure). También puede usar un permiso de nivel de recurso compartido predeterminado. Se conservarán y aplicarán las DACL tipo Windows en archivos o directorios transferidos desde servidores de archivos existentes. Esto ofrece una perfecta integración con el entorno de AD DS de la empresa. A medida que reemplaza los servidores de archivos locales por recursos compartidos de archivos de Azure, los usuarios existentes pueden acceder a estos desde sus clientes actuales con una experiencia de inicio de sesión único, sin ningún cambio en las credenciales en uso.

Paso siguiente

Para empezar, debe habilitar la autenticación de AD DS para la cuenta de almacenamiento.