Activer l’authentification Microsoft Entra Domain Services sur Azure Files

Azure Files prend en charge l’authentification basée sur l’identité via SMB (Server Message Block) pour les partages de fichiers Windows à l’aide du protocole d’authentification Kerberos à l’aide des méthodes suivantes :

  • Active Directory Domain Services (AD DS) en local
  • Microsoft Entra Domain Services
  • Microsoft Entra Kerberos pour les identités utilisateur hybrides

Cet article se concentre sur l’activation de Microsoft Entra Domain Services (anciennement Azure Active Directory Domain Services) pour l’authentification basée sur l’identité avec les partages de fichiers Azure. Dans ce scénario d’authentification, les informations d’identification Microsoft Entra et Microsoft Entra Domain Services sont identiques et peuvent être interchangeables.

Nous vous recommandons vivement de consulter la section Fonctionnement pour sélectionner la source AD appropriée pour votre compte de stockage. L’installation est différente selon la source AD que vous choisissez.

Si vous débutez avec les Fichiers Azure, nous vous recommandons de lire notre guide de planification avant de lire l’article suivant.

Remarque

Le service Azure Files prend en charge l’authentification Kerberos à l’aide de Microsoft Entra Domain Services avec les chiffrements RC4-HMAC et AES 256. Nous vous recommandons d’utiliser AES-256.

Azure Files prend en charge l’authentification pour Microsoft Entra Domain Services avec une synchronisation complète ou partielle à partir de Microsoft Entra ID. Pour les environnements avec une synchronisation délimitée, les administrateurs doivent comprendre qu’Azure Files respecte uniquement les attributions de rôles RBAC Azure accordées aux principaux qui sont synchronisés. Les attributions de rôles accordées aux identités non synchronisées entre Microsoft Entra ID et Microsoft Entra Domain Services sont ignorées par le service Azure Files.

S’applique à

Type de partage de fichiers SMB NFS
Partages de fichiers Standard (GPv2), LRS/ZRS Oui Non
Partages de fichiers Standard (GPv2), GRS/GZRS Oui Non
Partages de fichiers Premium (FileStorage), LRS/ZRS Oui Non

Prérequis

Avant d’activer Microsoft Entra Domain Services sur SMB pour des partages de fichiers Azure, vérifiez que les prérequis suivants sont satisfaits :

  1. Sélectionner ou créer un locataire Microsoft Entra.

    Vous pouvez utiliser un locataire nouveau ou existant. Le locataire et le partage de fichiers auquel vous voulez accéder doivent être associés au même abonnement.

    Pour créer un locataire Microsoft Entra, vous pouvez ajouter un locataire Microsoft Entra et un abonnement Microsoft Entra. Si vous avez déjà un locataire Microsoft Entra, mais que vous voulez en créer un pour l’utiliser avec des partages de fichiers Azure, voir Créer un locataire Microsoft Entra.

  2. Activer Microsoft Entra Domain Services sur le locataire Microsoft Entra.

    Pour prendre en charge l'authentification avec des informations d'identification Microsoft Entra, vous devez activer Microsoft Entra Domain Services pour votre locataire Microsoft Entra. Si vous n’êtes pas l’administrateur du locataire Microsoft Entra, contactez-le et suivez les instructions pas à pas pour Activer Microsoft Entra Domain Services à l’aide du portail Azure.

    Il faut généralement environ 15 minutes pour déployer Microsoft Entra Domain Services. Vérifiez que l’état d’intégrité de Microsoft Entra Domain Services est En cours d’exécution, avec la synchronisation de hachage de mot de passe activée, avant de passer à l’étape suivante.

  3. Joindre une machine virtuelle à Microsoft Entra Domain Services.

    Pour accéder à un partage de fichiers Azure à l’aide des informations d’identification Microsoft Entra à partir d’une machine virtuelle, cette machine virtuelle doit être jointe à Microsoft Entra Domain Services. Pour plus d’informations sur la jonction de domaine d’une machine virtuelle, consultez Joindre une machine virtuelle Windows Server à un domaine géré. L’authentification Microsoft Entra Domain Services sur SMB avec des partages de fichiers Azure est prise en charge uniquement sur des machines virtuelles Azure s’exécutant sur des versions de système d’exploitation postérieures à Windows 7 ou Windows Server 2008 R2.

    Remarque

    Les machines virtuelles non jointes à un domaine peuvent accéder aux partages de fichiers Azure à l’aide de l’authentification Microsoft Entra Domain Services uniquement si la machine virtuelle a une connectivité réseau non limitée aux contrôleurs de domaine pour Microsoft Entra Domain Services. Cela nécessite généralement un VPN de site à site ou de point à site.

  4. Sélectionner ou créer un partage de fichiers Azure.

    Sélectionnez un partage de fichiers nouveau ou existant associé au même abonnement que celui de votre locataire Microsoft Entra. Pour plus d’informations sur la création d’un partage de fichiers, consultez Créer un partage de fichiers dans Azure Files. Pour des performances optimales, nous recommandons que votre partage de fichiers soit dans la même région que celle de la machine virtuelle à partir de laquelle vous voulez accéder au partage.

  5. Vérifier la connectivité d’Azure Files en montant les partages de fichiers Azure à l’aide de votre clé de compte de stockage.

    Pour vérifier que votre machine virtuelle et le partage de fichiers sont configurés correctement, essayez de monter le partage de fichiers à l’aide de votre clé de compte de stockage. Pour plus d’informations, consultez Monter un partage de fichiers Azure et accéder au partage dans Windows.

Disponibilité régionale

L’authentification Azure Files avec Microsoft Entra Domain Services est disponible dans toutes les régions Azure publiques, Gov et Chine.

Vue d’ensemble du workflow

Le diagramme ci-dessous illustre le workflow de bout en bout pour l’activation de l’authentification Microsoft Entra Domain Services sur SMB pour Azure Files.

Diagramme montrant Microsoft Entra ID sur SMB pour le flux de travail Azure Files.

Activer l’authentification des services de domaine Microsoft Entra pour votre compte

Pour activer l’authentification Microsoft Entra Domain Services sur SMB pour Azure Files, vous pouvez définir une propriété sur les comptes de stockage à l’aide du Portail Azure, Azure PowerShell ou Azure CLI. En définissant cette propriété, le « domaine rejoint » implicitement le compte de stockage avec le déploiement Microsoft Entra Domain Services associé. L’authentification Microsoft Entra Domain Services sur SMB est alors activée pour tous les partages de fichiers nouveaux et existants dans le compte de stockage.

Gardez à l'esprit que vous ne pouvez activer l'authentification Microsoft Entra Domain Services via SMB qu'après avoir déployé avec succès Microsoft Entra Domain Services dans votre locataire Microsoft Entra. Pour plus d’informations, voir les Conditions préalables.

Pour activer l’authentification Microsoft Entra Domain Services sur SMB avec le portail Azure, procédez comme suit :

  1. Dans le Portail Azure, accédez à votre compte de stockage existant, ou créez un compte de stockage.

  2. Sélectionnez Stockage de données>Partage de fichiers.

  3. Dans la section Paramètres de partage de fichiers, sélectionnez Accès basé sur l’identité : Non configuré.

    Capture d’écran du volet de partages de fichiers dans votre compte de stockage avec l’accès basé sur l’identité mis en surbrillance.

  4. Sous Microsoft Entra Domain Services sélectionnez Configurer, puis activez la fonctionnalité en cochant la case.

  5. Sélectionnez Enregistrer.

    Capture d’écran du volet de configuration de l’accès basé sur l’identité où Microsoft Entra Domain Services est activé en tant que source.

Par défaut, l’authentification Microsoft Entra Domain Services utilise le chiffrement Kerberos RC4. Nous vous recommandons de la configurer de manière à utiliser plutôt le chiffrement Kerberos AES-256 en suivant ces instructions.

Cette action nécessite l’exécution d’une opération sur le domaine Active Directory géré par Microsoft Entra Domain Services pour atteindre un contrôleur de domaine afin de demander une modification de propriété à l’objet de domaine. Les applets de commande ci-dessous sont des applets de commande PowerShell Windows Server Active Directory, et non pas des applets de commande Azure PowerShell. En raison de cela, ces commandes PowerShell doivent être exécutées à partir d’une machine client jointe au domaine Microsoft Entra Domain Services.

Important

Les applets de commande PowerShell Windows Server Active Directory de cette section doivent être exécutées dans Windows PowerShell 5.1 à partir d’un ordinateur client joint au domaine Microsoft Entra Domain Services. PowerShell 7.x et Azure Cloud Shell ne fonctionneront pas dans ce scénario.

Connectez-vous à l’ordinateur client joint au domaine en tant qu’utilisateur Microsoft Entra Domain Services avec les autorisations nécessaires. Vous devez disposer d’un accès en écriture à msDS-SupportedEncryptionTypesl’attribut de l’objet de domaine. En règle générale, les membres du groupe Administrateurs du contrôleur de domaine AAD disposent des autorisations nécessaires. Ouvrez une session PowerShell normale (sans élévation de privilèges) et exécutez les commandes suivantes.

# 1. Find the service account in your managed domain that represents the storage account.

$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter

if ($userObject -eq $null)
{
   Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}

# 2. Set the KerberosEncryptionType of the object

Set-ADUser $userObject -KerberosEncryptionType AES256

# 3. Validate that the object now has the expected (AES256) encryption type.

Get-ADUser $userObject -properties KerberosEncryptionType

Important

Si vous avez précédemment utilisé le chiffrement RC4 et mettez à jour le compte de stockage pour utiliser AES-256, vous devez exécuter klist purge sur le client, puis remonter le partage de fichiers pour obtenir de nouveaux tickets Kerberos avec AES-256.

Étape suivante