Ativar a autenticação do Microsoft Entra Domain Services nos Ficheiros do Azure
Os Arquivos do Azure dão suporte à autenticação baseada em identidade para compartilhamentos de arquivos do Windows no SMB (Server Message Block) usando o protocolo de autenticação Kerberos por meio dos seguintes métodos:
- Serviços de Domínio Ative Directory (AD DS) locais
- Microsoft Entra Domain Services
- Microsoft Entra Kerberos para identidades de usuário híbridas
Este artigo se concentra em habilitar os Serviços de Domínio Microsoft Entra (anteriormente Serviços de Domínio Ative Directory do Azure) para autenticação baseada em identidade com compartilhamentos de arquivos do Azure. Nesse cenário de autenticação, as credenciais do Microsoft Entra e dos Serviços de Domínio do Microsoft Entra são as mesmas e podem ser usadas de forma intercambiável.
É altamente recomendável que você revise a seção Como funciona para selecionar a fonte de AD certa para sua conta de armazenamento. A configuração é diferente dependendo da fonte do AD escolhida.
Se você é novo no Azure Files, recomendamos ler nosso guia de planejamento antes de ler este artigo.
Nota
Os Arquivos do Azure dão suporte à autenticação Kerberos com os Serviços de Domínio Microsoft Entra com criptografia RC4-HMAC e AES-256. Recomendamos o uso de AES-256.
Os Arquivos do Azure dão suporte à autenticação para os Serviços de Domínio do Microsoft Entra com sincronização total ou parcial (com escopo) com a ID do Microsoft Entra. Para ambientes com sincronização de escopo presente, os administradores devem estar cientes de que os Arquivos do Azure honram apenas as atribuições de função do RBAC do Azure concedidas a entidades de segurança sincronizadas. As atribuições de função concedidas a identidades não sincronizadas da ID do Microsoft Entra para os Serviços de Domínio do Microsoft Entra serão ignoradas pelo serviço Arquivos do Azure.
Aplica-se a
| Tipo de partilhas de ficheiros | SMB | NFS |
|---|---|---|
| Partilhas de ficheiros Standard (GPv2), LRS/ZRS |  |
 |
| Partilhas de ficheiros Standard (GPv2), GRS/GZRS | |
|
| Partilhas de ficheiros Premium (FileStorage), LRS/ZRS | |
|
Pré-requisitos
Antes de habilitar os Serviços de Domínio do Microsoft Entra sobre SMB para compartilhamentos de arquivos do Azure, verifique se você concluiu os seguintes pré-requisitos:
Selecione ou crie um locatário do Microsoft Entra.
Você pode usar um locatário novo ou existente. O locatário e o compartilhamento de arquivos que você deseja acessar devem estar associados à mesma assinatura.
Para criar um novo locatário do Microsoft Entra, você pode Adicionar um locatário do Microsoft Entra e uma assinatura do Microsoft Entra. Se você tiver um locatário existente do Microsoft Entra, mas quiser criar um novo locatário para uso com compartilhamentos de arquivos do Azure, consulte Criar um locatário do Microsoft Entra.
Habilite os Serviços de Domínio do Microsoft Entra no locatário do Microsoft Entra.
Para dar suporte à autenticação com credenciais do Microsoft Entra, você deve habilitar os Serviços de Domínio Microsoft Entra para seu locatário do Microsoft Entra. Se você não for o administrador do locatário do Microsoft Entra, entre em contato com o administrador e siga as orientações passo a passo para Habilitar os Serviços de Domínio do Microsoft Entra usando o portal do Azure.
Normalmente, leva cerca de 15 minutos para que uma implantação dos Serviços de Domínio Microsoft Entra seja concluída. Verifique se o status de integridade dos Serviços de Domínio do Microsoft Entra mostra Em execução, com a sincronização de hash de senha habilitada, antes de prosseguir para a próxima etapa.
Junte-se a uma VM do Azure com os Serviços de Domínio Microsoft Entra.
Para acessar um compartilhamento de arquivos do Azure usando credenciais do Microsoft Entra de uma VM, sua VM deve estar associada ao domínio dos Serviços de Domínio Microsoft Entra. Para obter mais informações sobre como associar o domínio a uma VM, consulte Associar uma máquina virtual do Windows Server a um domínio gerido. A autenticação do Microsoft Entra Domain Services através de SMB com partilhas de ficheiros do Azure é suportada apenas em VMs do Azure a serem executadas em versões do SO superior ao Windows 7 ou Windows Server 2008 R2.
Nota
As VMs não associadas ao domínio podem acessar compartilhamentos de arquivos do Azure usando a autenticação dos Serviços de Domínio Microsoft Entra somente se a VM tiver conectividade de rede desimpedida com os controladores de domínio dos Serviços de Domínio Microsoft Entra. Normalmente, isto requer uma VPN site a site ou ponto a site.
Selecione ou crie um compartilhamento de arquivos do Azure.
Selecione um compartilhamento de arquivos novo ou existente associado à mesma assinatura do locatário do Microsoft Entra. Para obter informações sobre como criar um novo compartilhamento de arquivos, consulte Criar um compartilhamento de arquivos nos Arquivos do Azure. Para um desempenho ideal, recomendamos que o compartilhamento de arquivos esteja na mesma região da VM a partir da qual você planeja acessar o compartilhamento.
Verifique a conectividade dos Arquivos do Azure montando compartilhamentos de arquivos do Azure usando sua chave de conta de armazenamento.
Para verificar se a VM e o compartilhamento de arquivos estão configurados corretamente, tente montar o compartilhamento de arquivos usando a chave da conta de armazenamento. Para obter mais informações, consulte Montar um compartilhamento de arquivos do Azure e acessar o compartilhamento no Windows.
Disponibilidade regional
A autenticação de Arquivos do Azure com os Serviços de Domínio do Microsoft Entra está disponível em todas as regiões do Azure Público, Gov e China.
Visão geral do fluxo de trabalho
O diagrama a seguir ilustra o fluxo de trabalho de ponta a ponta para habilitar a autenticação dos Serviços de Domínio Microsoft Entra sobre SMB para Arquivos do Azure.
Ativar a autenticação do Microsoft Entra Domain Services para a sua conta
Para ativar a autenticação do Microsoft Entra Domain Services por SMB para Ficheiros do Azure, pode definir uma propriedade nas contas de armazenamento utilizando o portal do Azure, o Azure PowerShell ou a CLI do Azure. Definir esta propriedade implicitamente "associações do domínio" na conta de armazenamento com a implementação associada do Microsoft Entra Domain Services. A autenticação do Microsoft Entra Domain Services através de SMB é ativada para todas as partilhas de ficheiros novas e existentes na conta de armazenamento.
Lembre-se que pode ativar a autenticação do Microsoft Entra Domain Services através de SMB apenas depois de implementar com êxito o Microsoft Entra Domain Services no seu inquilino do Microsoft Entra. Para mais informações, consulte os pré-requisitos.
Para habilitar a autenticação dos Serviços de Domínio do Microsoft Entra no SMB com o portal do Azure, siga estas etapas:
No portal do Azure, vá para sua conta de armazenamento existente ou crie uma conta de armazenamento.
Selecione Armazenamento de dados >Partilhas de ficheiros.
Na seção Configurações de compartilhamento de arquivos, selecione Acesso baseado em identidade: não configurado.
Em Serviços de Domínio Microsoft Entra, selecione Configurar e habilite o recurso marcando a caixa de seleção.
Selecione Guardar.
Recomendado: Use a criptografia AES-256
Por predefinição, a autenticação do Microsoft Entra Domain Services utiliza encriptação RC4 do Kerberos. Em vez disso, recomendamos configurá-lo para usar a criptografia Kerberos AES-256, seguindo estas instruções.
A ação requer a execução de uma operação no domínio do Ative Directory gerenciado pelos Serviços de Domínio Microsoft Entra para alcançar um controlador de domínio para solicitar uma alteração de propriedade no objeto de domínio. Os cmdlets abaixo são cmdlets do Windows Server Ative Directory PowerShell, não cmdlets do Azure PowerShell. Por isso, esses comandos do PowerShell devem ser executados a partir de uma máquina cliente que ingressou no domínio dos Serviços de Domínio do Microsoft Entra.
Importante
Os cmdlets do PowerShell do Ative Directory do Windows Server nesta seção devem ser executados no Windows PowerShell 5.1 a partir de uma máquina cliente que ingressou no domínio dos Serviços de Domínio Microsoft Entra. O PowerShell 7.x e o Azure Cloud Shell não funcionarão neste cenário.
Faça logon na máquina cliente associada ao domínio como um usuário dos Serviços de Domínio Microsoft Entra com as permissões necessárias. Você deve ter acesso de gravação ao msDS-SupportedEncryptionTypes atributo do objeto de domínio. Normalmente, os membros do grupo Administradores de DC do AAD terão as permissões necessárias. Abra uma sessão normal (não elevada) do PowerShell e execute os seguintes comandos.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Importante
Se você estava usando anteriormente a criptografia RC4 e atualizar a conta de armazenamento para usar AES-256, você deve executar klist purge no cliente e, em seguida, remontar o compartilhamento de arquivos para obter novos tíquetes Kerberos com AES-256.
Próximo passo
- Para conceder aos usuários acesso ao seu compartilhamento de arquivos, siga as instruções em Atribuir permissões de nível de compartilhamento.