Panoramica: Autenticazione dei servizi Dominio di Active Directory locale tramite SMB per condivisioni file di Azure
File di Azure supporta l'autenticazione basata su identità per le condivisioni file di Windows tramite SMB (Server Message Block) usando il protocollo di autenticazione Kerberos tramite i metodi seguenti:
- Istanza locale di Active Directory Domain Services
- Servizi di dominio Microsoft Entra
- Microsoft Entra Kerberos per le identità utente ibride
È consigliabile esaminare la sezione Funzionamento per selezionare l'origine di Active Directory appropriata per l'autenticazione. La configurazione è diversa a seconda del servizio di dominio scelto. Questo articolo è incentrato sull'abilitazione e la configurazione di Active Directory Domain Services locale per l'autenticazione con condivisioni file di Azure.
Se non si ha familiarità con File di Azure, è consigliabile leggere la guida alla pianificazione.
Si applica a
Tipo di condivisione file | SMB | NFS |
---|---|---|
Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona | ||
Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona | ||
Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona |
Scenari e restrizioni supportati
- Le identità di Active Directory Domain Services usate per File di Azure'autenticazione di Active Directory Domain Services locale devono essere sincronizzate con Microsoft Entra ID o usare un'autorizzazione predefinita a livello di condivisione. La sincronizzazione dell'hash delle password è facoltativa.
- Supporta le condivisioni file di Azure gestite da Sincronizzazione file di Azure.
- Supporta l'autenticazione Kerberos con ACTIVE Directory con crittografia AES 256 (scelta consigliata) e RC4-HMAC. La crittografia Kerberos AES 128 non è ancora supportata.
- Supporta l'esperienza Single Sign-On.
- Supportato solo nei client Windows che eseguono le versioni del sistema operativo Windows 8/Windows Server 2012 o versioni successive o nelle macchine virtuali Linux (Ubuntu 18.04 o versioni successive o RHEL o SLES equivalenti).
- Supportato solo per la foresta di Active Directory in cui è registrato l'account di archiviazione. Gli utenti appartenenti a domini diversi all'interno della stessa foresta devono essere in grado di accedere alla condivisione file e alle directory/file sottostanti purché dispongano delle autorizzazioni appropriate.
- Per impostazione predefinita, è possibile accedere solo alle condivisioni file di Azure con le credenziali di Active Directory Domain Services da una singola foresta. Se è necessario accedere alla condivisione file di Azure da una foresta diversa, assicurarsi di avere configurato il trust tra foreste appropriato. Per informazioni dettagliate, vedere Usare File di Azure con più foreste di Active Directory.
- Non supporta l'assegnazione di autorizzazioni a livello di condivisione agli account computer (account computer) usando il controllo degli accessi in base al ruolo di Azure. È possibile usare un'autorizzazione predefinita a livello di condivisione per consentire agli account computer di accedere alla condivisione oppure prendere in considerazione l'uso di un account di accesso al servizio.
- Non supporta l'autenticazione per le condivisioni file NFS (Network File System).
Quando si abilita Active Directory Domain Services per condivisioni file di Azure tramite SMB, i computer aggiunti ad Active Directory Domain Services possono montare condivisioni file di Azure usando le credenziali di Active Directory Domain Services esistenti. Questa funzionalità può essere abilitata con un ambiente di Active Directory Domain Services ospitato in computer locali o ospitato in una macchina virtuale (VM) in Azure.
Video
Per configurare l'autenticazione basata su identità per alcuni casi d'uso comuni, sono stati pubblicati due video con indicazioni dettagliate per gli scenari seguenti. Tenere presente che Azure Active Directory è ora Microsoft Entra ID. Per altre informazioni, vedere Nuovo nome per Azure AD.
Prerequisiti
Prima di abilitare l'autenticazione di Active Directory Domain Services per le condivisioni file di Azure, assicurarsi di aver completato i prerequisiti seguenti:
Selezionare o creare l'ambiente di Active Directory Domain Services e sincronizzarlo con Microsoft Entra ID usando l'applicazione locale Microsoft Entra Connect Sync o microsoft Entra Connect cloud sync, un agente leggero che può essere installato dall'interfaccia di amministrazione di Microsoft Entra.
È possibile abilitare la funzionalità in un ambiente di Active Directory Domain Services locale nuovo o esistente. Le identità usate per l'accesso devono essere sincronizzate con Microsoft Entra ID o usare un'autorizzazione predefinita a livello di condivisione. Il tenant di Microsoft Entra e la condivisione file a cui si accede devono essere associati alla stessa sottoscrizione.
Aggiungere un computer locale o una macchina virtuale di Azure ad Active Directory Domain Services locale. Per informazioni su come aggiungere un dominio, vedere Aggiungere un computer a un dominio.
Se un computer non è aggiunto a un dominio, è comunque possibile usare Active Directory Domain Services per l'autenticazione se il computer dispone di connettività di rete non implementata al controller di dominio AD locale e l'utente fornisce credenziali esplicite. Per altre informazioni, vedere Montare la condivisione file da una macchina virtuale non aggiunta a un dominio o da una macchina virtuale aggiunta a un dominio di Active Directory diverso.
Selezionare o creare un account di archiviazione di Azure. Per ottenere prestazioni ottimali, è consigliabile distribuire l'account di archiviazione nella stessa area del client da cui si prevede di accedere alla condivisione. Montare quindi la condivisione file di Azure con la chiave dell'account di archiviazione. Il montaggio con la chiave dell'account di archiviazione verifica la connettività.
Assicurarsi che l'account di archiviazione contenente le condivisioni file non sia già configurato per l'autenticazione basata su identità. Se un'origine di Active Directory è già abilitata nell'account di archiviazione, è necessario disabilitarla prima di abilitare Active Directory Domain Services locale.
Se si verificano problemi durante la connessione a File di Azure, vedere lo strumento di risoluzione dei problemi pubblicato per File di Azure errori di montaggio in Windows.
Eseguire qualsiasi configurazione di rete pertinente prima di abilitare e configurare l'autenticazione di Active Directory Domain Services nelle condivisioni file di Azure. Per altre informazioni, vedere File di Azure considerazioni sulla rete.
Disponibilità a livello di area
File di Azure'autenticazione con Active Directory Domain Services è disponibile in tutte le aree di Azure Public, China e Gov.
Panoramica
Se si prevede di abilitare le configurazioni di rete nella condivisione file, è consigliabile leggere l'articolo Considerazioni sulla rete e completare la configurazione correlata prima di abilitare l'autenticazione di Active Directory Domain Services.
L'abilitazione dell'autenticazione di Active Directory Domain Services per le condivisioni file di Azure consente di eseguire l'autenticazione nelle condivisioni file di Azure con le credenziali di Active Directory Domain Services locali. Consente inoltre di gestire meglio le autorizzazioni per consentire un controllo di accesso granulare. In questo modo è necessario sincronizzare le identità da Servizi di dominio Active Directory locali all'ID Di Microsoft Entra usando l'applicazione locale Microsoft Entra Connect Sync o la sincronizzazione cloud di Microsoft Entra Connect, un agente leggero che può essere installato dall'interfaccia di amministrazione di Microsoft Entra. Le autorizzazioni a livello di condivisione vengono assegnate alle identità ibride sincronizzate con Microsoft Entra ID durante la gestione dell'accesso a livello di file/directory tramite ACL di Windows.
Seguire questa procedura per configurare File di Azure per l'autenticazione di Active Directory Domain Services:
Abilitare l'autenticazione di Active Directory Domain Services nell'account di archiviazione
Configurare elenchi di controllo di accesso di Windows su SMB per directory e file
Il diagramma seguente illustra il flusso di lavoro end-to-end per abilitare l'autenticazione di Active Directory Domain Services tramite SMB per le condivisioni file di Azure.
Le identità usate per accedere alle condivisioni file di Azure devono essere sincronizzate con Microsoft Entra ID per applicare le autorizzazioni dei file a livello di condivisione tramite il modello di controllo degli accessi in base al ruolo di Azure . In alternativa, è possibile usare un'autorizzazione a livello di condivisione predefinita. Le licenze DACL in stile Windows nei file o nelle directory eseguite dai file server esistenti verranno mantenute e applicate. Ciò offre un'integrazione perfetta con l'ambiente di Active Directory Domain Services aziendale. Quando si sostituiscono file server locali con condivisioni file di Azure, gli utenti esistenti possono accedere alle condivisioni file di Azure dai client correnti con un'esperienza single sign-on, senza alcuna modifica alle credenziali in uso.
Passaggio successivo
Per iniziare, è necessario abilitare l'autenticazione di Active Directory Domain Services per l'account di archiviazione.