Visão geral: autenticação local do Active Directory Domain Services em SMB para compartilhamento de arquivos do Azure

Os Arquivos do Azure dão suporte à autenticação baseada em identidade para compartilhamentos de arquivos do Windows em protocolo SMB usando o protocolo de autenticação Kerberos por meio dos seguintes métodos:

• AD DS (Active Directory Domain Services) local
• Serviços de Domínio do Microsoft Entra
• Autenticação Kerberos do Microsoft Entra para identidades de usuário híbridas

É recomendável que você examine a seção Como funciona para selecionar origem do AD correta para autenticação. A configuração será diferente dependendo do serviço de domínio que você escolher. Este artigo se concentra na habilitação e configuração do AD DS local para autenticação com os compartilhamentos de arquivo do Azure.

Se você não está familiarizado com os Arquivos do Azure, recomendamos que você leia o nosso guia de planejamento.

Aplica-se a

Tipo de compartilhamento de arquivos	SMB	NFS
Compartilhamentos de arquivos padrão (GPv2), LRS/ZRS
Compartilhamentos de arquivos padrão (GPv2), GRS/GZRS
Compartilhamento de arquivos premium (FileStorage), LRS/ZRS

Cenários com suporte e restrições

• As identidades do AD DS usadas na autenticação do AD DS local nos Arquivos do Azure precisam estar sincronizadas com o Microsoft Entra ID ou usar uma permissão de nível de compartilhamento padrão. A sincronização de hash de senha é opcional.
• Oferece suporte ao compartilhamentos de arquivos do Azure gerenciados pela Sincronização de Arquivos do Azure.
• Suporta autenticação Kerberos com AD com criptografia AES 256 (recomendado) e RC4-HMAC. A criptografia AES 128 do Kerberos ainda não tem suporte.
• Oferece suporte à experiência de logon único.
• Há suporte apenas para clientes Windows que executam versões do sistema operacional Windows 8/Windows Server 2012 ou mais recentes ou VMs Linux (Ubuntu 18.04+ ou uma VM RHEL ou SLES equivalente).
• Há suporte apenas para a floresta do AD em que a conta de armazenamento está registrada. Usuários que pertencem a domínios diferentes dentro da mesma floresta devem ser capazes de acessar o compartilhamento de arquivos e diretórios/arquivos subjacentes, desde que tenham as permissões apropriadas.
• Por padrão, só é possível acessar compartilhamentos de arquivos do Azure com as credenciais do AD DS a partir de uma única floresta. Caso precise acessar o compartilhamento de arquivos do Azure de uma floresta diferente, confira se você tem a confiança de floresta adequada configurada. Para obter mais detalhes, confira o artigo Usar Arquivos do Azure com várias florestas do Active Directory.
• Não dá suporte à atribuição de permissões de nível de compartilhamento a contas de computador (contas de computador) usando o RBAC do Azure. Você pode usar uma permissão de nível de compartilhamento padrão para permitir que as contas de computador acessem o compartilhamento ou considere usar uma conta de logon de serviço.
• Não oferece suporte à autenticação em compartilhamentos de arquivo do tipo NFS (Sistema de Arquivos de Rede).

Quando você habilita o AD DS para compartilhamentos de arquivos do Azure por SMB, os seus computadores que tiverem ingressado no AD DS podem montar compartilhamentos de arquivos do Azure usando suas credenciais do AD DS existentes. Essa funcionalidade pode ser habilitada em um ambiente do AD DS hospedado em máquinas locais ou hospedadas em uma VM (máquina virtual) no Azure.

Vídeos

Para ajudar você a configurar a autenticação baseada em identidade para alguns casos de uso comuns, publicamos dois vídeos com orientações detalhadas para os cenários a seguir. Observe que o Azure Active Directory agora é Microsoft Entra ID. Para saber mais, confira Novo nome do Azure AD.

Substituir servidores de arquivos locais por Arquivos do Azure (incluindo a instalação no link privado para arquivos e para a autenticação do AD)	Usar os Arquivos do Azure como o contêiner de perfil para a Área de Trabalho Virtual do Azure (incluindo a configuração do FSLogix e autenticação do AD)

Pré-requisitos

Antes de habilitar a autenticação do AD DS em protocolo SMB para compartilhamentos de arquivo do Azure, verifique se que você atendeu aos seguintes pré-requisitos:

• Selecione ou crie seu ambiente do AD DS e sincronize-o com o Microsoft Entra ID usando o aplicativo de sincronização do Microsoft Entra Connect local ou a Sincronização na nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado no Centro de Administração do Microsoft Entra.

  Você pode habilitar essa funcionalidade em um ambiente do AD DS local novo ou preexistente. As identidades usadas para acesso precisam ser sincronizadas com o Microsoft Entra ID ou usar uma permissão padrão no nível de compartilhamento. O locatário do Microsoft Entra e o compartilhamento de arquivos que você estiver acessando devem estar associados à mesma assinatura.

• Ingressar no domínio de um computador local ou de uma VM do Azure para um AD DS local. Para informações sobre como ingressar no domínio, consulte Ingressar um computador em um domínio.

  Se um computador não estiver ingressado no domínio, você ainda poderá usar o AD DS para autenticação se o computador tiver linha de visão para o controlador de domínio do AD local e o usuário fornecer credenciais explícitas. Para obter mais informações, consulte Como montar o compartilhamento de arquivos de uma VM não ingressada no domínio ou de uma VM ingressada em um domínio diferente do AD.

• Selecionar ou criar uma conta de armazenamento do Azure. Para um desempenho ideal, recomendamos implantar a conta de armazenamento na mesma região do cliente a partir do qual você planeja acessar o compartilhamento. Em seguida, monte o compartilhamento de arquivos do Azure com a chave da sua conta de armazenamento. Ao montar com a chave da conta de armazenamento, é verificada a conectividade.

  Verifique se a conta de armazenamento que contém seus compartilhamentos de arquivos já não foi configurada para autenticação baseada em identidade. Se uma origem do AD já estiver habilitada na conta de armazenamento, você deverá desabilitá-la antes de habilitar o AD DS local.

  Se você tiver problemas ao conectar-se aos Arquivos do Azure, consulte a ferramenta de solução de problemas que publicamos para erros de montagem dos Arquivos do Azure no Windows.

• Faça qualquer configuração de rede relevante antes de habilitar e configurar a autenticação do AD DS para os seus compartilhamentos de arquivos do Azure. Consulte Considerações de rede dos Arquivos do Azure para informações detalhadas.

Disponibilidade regional

A autenticação dos Arquivos do Azure com o Azure AD DS está disponível em todas as regiões públicas do Azure, do Azure Gov e da China.

Visão geral

Se você planeja habilitar qualquer configuração de rede em seu compartilhamento de arquivos, recomendamos a leitura do artigo Considerações de rede e a conclusão da configuração relacionada antes de habilitar a autenticação do AD DS.

Habilitar a autenticação do AD DS para seus compartilhamentos de arquivos do Azure permite autenticar seus compartilhamentos de arquivos do Azure com as credenciais do AD DS locais. Além disso, você pode gerenciar melhor suas permissões para permitir o controle de acesso granular. Isso requer a sincronização de identidades do AD DS local com o Microsoft Entra ID usando o aplicativo de sincronização do Microsoft Entra Connect local ou aSincronização na nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado no Centro de Administração do Microsoft Entra. Você atribui permissões de nível de compartilhamento a identidades híbridas sincronizadas com o Microsoft Entra ID enquanto gerencia o acesso em nível de arquivo/diretório usando as ACLs do Windows.

Siga essas etapas para configurar os Arquivos do Azure para a autenticação do AD DS:

1. Habilitar a autenticação do AD DS na sua conta de armazenamento

2. Atribuir permissões de nível de compartilhamento à identidade do Microsoft Entra ID (um usuário, grupo ou entidade de serviço) que está em sincronia com a identidade do AD de destino

3. Configurar ACLs do Windows com o SMB para diretórios e arquivos

4. Montar um compartilhamento de arquivos do Azure em uma VM ingressada em seu AD DS

5. Atualizar a senha da identidade da conta de armazenamento no AD DS

O diagrama a seguir ilustra o fluxo de trabalho de ponta a ponta para habilitar a autenticação do AD DS por SMB para os compartilhamentos de arquivos do Azure.

As identidades usadas para acessar os compartilhamentos de arquivos do Azure devem ser sincronizadas com o Microsoft Entra ID para impor permissões de arquivo de nível de compartilhamento no modelo de Controle de acesso baseado em função do Azure (Azure RBAC). Como alternativa, você pode usar uma permissão de nível de compartilhamento padrão. AS DACLs no estilo Windows em arquivos/diretórios carregadas de servidores de arquivos existentes serão preservadas e impostas. Com isso, você tem integração perfeita com o seu ambiente corporativo do AD DS. Conforme você substitui servidores de arquivos locais por compartilhamentos de arquivos do Azure, os usuários existentes podem acessar os compartilhamentos de arquivos do Azure dos clientes atuais com uma experiência de logon único, sem nenhuma alteração nas credenciais em uso.

Próxima etapa

Para começar, você deve habilitar a autenticação do AD DS para sua conta de armazenamento.