Ativar a autenticação Kerberos do Microsoft Entra para identidades híbridas nos Ficheiros do Azure

  • Artigo

Este artigo se concentra em habilitar e configurar a ID do Microsoft Entra (anteriormente Azure AD) para autenticar identidades de usuário híbridas, que são identidades do AD DS local sincronizadas com a ID do Microsoft Entra usando a sincronização na nuvem do Microsoft Entra Connect ou do Microsoft Entra Connect. Atualmente, não há suporte para identidades somente na nuvem.

Essa configuração permite que usuários híbridos acessem compartilhamentos de arquivos do Azure usando a autenticação Kerberos, usando a ID do Microsoft Entra para emitir os tíquetes Kerberos necessários para acessar o compartilhamento de arquivos com o protocolo SMB. Isso significa que seus usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir conectividade de rede desimpedida com controladores de domínio de clientes Microsoft Entra híbridos ingressados e Microsoft Entra ingressados. No entanto, a configuração de listas de controle de acesso (ACLs)/diretório do Windows e permissões no nível de arquivo para um usuário ou grupo requer conectividade de rede desimpedida com o controlador de domínio local.

Para obter mais informações sobre opções e considerações com suporte, consulte Visão geral das opções de autenticação baseada em identidade dos Arquivos do Azure para acesso SMB. Para obter mais informações, consulte este mergulho profundo.

Importante

Você só pode usar um método do AD para autenticação baseada em identidade com Arquivos do Azure. Se a autenticação Kerberos do Microsoft Entra para identidades híbridas não atender às suas necessidades, você poderá usar o AD DS (Serviço de Domínio Ative Directory) local ou os Serviços de Domínio Microsoft Entra. As etapas de configuração e os cenários suportados são diferentes para cada método.

Aplica-se a

Tipo de partilhas de ficheiros SMB NFS
Partilhas de ficheiros Standard (GPv2), LRS/ZRS Yes No
Partilhas de ficheiros Standard (GPv2), GRS/GZRS Yes No
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS Yes No

Pré-requisitos

Antes de habilitar a autenticação Kerberos do Microsoft Entra sobre SMB para compartilhamentos de arquivos do Azure, verifique se você concluiu os seguintes pré-requisitos.

Pré-requisitos mínimos

Os seguintes pré-requisitos são obrigatórios. Sem eles, você não pode autenticar usando o Microsoft Entra ID.

  • Sua conta de armazenamento do Azure não pode se autenticar com a ID do Microsoft Entra e um segundo método como o AD DS ou os Serviços de Domínio do Microsoft Entra. Se já tiver escolhido outro método AD para a sua conta de armazenamento, deve desativá-lo antes de ativar o Microsoft Entra Kerberos.

  • Atualmente, esse recurso não oferece suporte a contas de usuário que você cria e gerencia somente no Microsoft Entra ID. As contas de usuário devem ser identidades de usuário híbridas, o que significa que você também precisará do AD DS e da sincronização na nuvem do Microsoft Entra Connect ou do Microsoft Entra Connect. Você deve criar essas contas no Ative Directory e sincronizá-las com o Microsoft Entra ID. Para atribuir permissões RBAC (Controle de Acesso Baseado em Função) do Azure para o compartilhamento de arquivos do Azure a um grupo de usuários, você deve criar o grupo no Ative Directory e sincronizá-lo com a ID do Microsoft Entra.

  • O WinHTTP Web Proxy Auto-Discovery Service (WinHttpAutoProxySvc) e o serviço IP Helper (iphlpsvc) são necessários. O seu estado deve ser definido como em execução.

  • Você deve desabilitar a autenticação multifator (MFA) no aplicativo Microsoft Entra que representa a conta de armazenamento. Para obter instruções, consulte Desativar a autenticação multifator na conta de armazenamento.

  • Atualmente, esse recurso não oferece suporte ao acesso entre locatários para usuários B2B ou convidados. Os usuários de um locatário do Microsoft Entra diferente daquele configurado não poderão acessar o compartilhamento de arquivos.

  • Com o Microsoft Entra Kerberos, a criptografia de tíquete Kerberos é sempre AES-256. Mas você pode definir a criptografia de canal SMB que melhor atende às suas necessidades.

Pré-requisitos do sistema operacional e do domínio

Os pré-requisitos a seguir são necessários para o fluxo de autenticação padrão do Microsoft Kerberos, conforme descrito neste artigo. Se algumas ou todas as suas máquinas cliente não atenderem a isso, você ainda poderá habilitar a autenticação Microsoft Kerberos, mas também precisará configurar uma relação de confiança na nuvem para permitir que esses clientes acessem compartilhamentos de arquivos.

Requisitos do sistema operacional:

Para saber como criar e configurar uma VM do Windows e fazer logon usando a autenticação baseada em ID do Microsoft Entra, consulte Entrar em uma máquina virtual do Windows no Azure usando a ID do Microsoft Entra.

Os clientes devem ser associados ao Microsoft Entra ou híbridos do Microsoft Entra. Eles não podem ser associados aos Serviços de Domínio Microsoft Entra ou somente ao AD.

Disponibilidade regional

Esta funcionalidade é suportada nas nuvens Azure Public, Azure US Gov e Azure China 21Vianet.

Habilitar a autenticação Kerberos do Microsoft Entra para contas de usuário híbridas

Você pode habilitar a autenticação Kerberos do Microsoft Entra nos Arquivos do Azure para contas de usuário híbridas usando o portal do Azure, o PowerShell ou a CLI do Azure.

Para habilitar a autenticação do Microsoft Entra Kerberos usando o portal do Azure, siga estas etapas.

  1. Entre no portal do Azure e selecione a conta de armazenamento para a qual deseja habilitar a autenticação Kerberos do Microsoft Entra.

  2. Em Armazenamento de dados, selecione Compartilhamentos de arquivos.

  3. Ao lado de Ative Directory, selecione o status da configuração (por exemplo, Não configurado).

    Captura de ecrã do portal do Azure a mostrar definições de partilha de ficheiros para uma conta de armazenamento. As definições de configuração do Ative Directory são selecionadas.

  4. Em Microsoft Entra Kerberos, selecione Configurar.

  5. Marque a caixa de seleção Microsoft Entra Kerberos .

    Captura de ecrã do portal do Azure a mostrar as definições de configuração do Ative Directory para uma conta de armazenamento. Microsoft Entra Kerberos está selecionado.

  6. Opcional: Se desejar configurar permissões de diretório e nível de arquivo por meio do Explorador de Arquivos do Windows, especifique o nome de domínio e o GUID do domínio para seu AD local. Você pode obter essas informações do administrador do domínio ou executando o seguinte cmdlet do PowerShell do Ative Directory a partir de um cliente local associado ao AD: Get-ADDomain. Seu nome de domínio deve ser listado na saída em DNSRoot e seu GUID de domínio deve ser listado em ObjectGUID. Se preferir configurar permissões de diretório e nível de arquivo usando icacls, ignore esta etapa. No entanto, se você quiser usar icacls, o cliente precisará de conectividade de rede desimpedida para o AD local.

  7. Selecione Guardar.

Aviso

Se você habilitou anteriormente a autenticação do Microsoft Entra Kerberos por meio de etapas manuais de visualização limitada para armazenar perfis FSLogix nos Arquivos do Azure para VMs ingressadas no Microsoft Entra, a senha da entidade de serviço da conta de armazenamento está definida para expirar a cada seis meses. Quando a senha expirar, os usuários não poderão obter tíquetes Kerberos para o compartilhamento de arquivos. Para atenuar isso, consulte "Erro - A senha da entidade de serviço expirou no ID do Microsoft Entra" em Possíveis erros ao habilitar a autenticação Kerberos do Microsoft Entra para usuários híbridos.

Depois de habilitar a autenticação do Microsoft Entra Kerberos, você precisará conceder explicitamente o consentimento de administrador para o novo aplicativo Microsoft Entra registrado em seu locatário do Microsoft Entra. Essa entidade de serviço é gerada automaticamente e não é usada para autorização para o compartilhamento de arquivos, portanto, não faça nenhuma edição na entidade de serviço além das documentadas aqui. Se o fizer, poderá receber um erro.

Você pode configurar as permissões de API do portal do Azure seguindo estas etapas:

  1. Abra o Microsoft Entra ID.
  2. No menu de serviço, em Gerir, selecione Registos de aplicações.
  3. Selecione Todos os aplicativos.
  4. Selecione o aplicativo com o nome correspondente a [Conta de armazenamento] <your-storage-account-name>.file.core.windows.net.
  5. No menu de serviço, em Gerenciar, selecione Permissões de API.
  6. Selecione Conceder consentimento de administrador para [Nome do diretório] para conceder consentimento para as três permissões de API solicitadas (openid, profile e User.Read) para todas as contas no diretório.
  7. Selecione Sim para confirmar.

Importante

Se você estiver se conectando a uma conta de armazenamento por meio de um ponto de extremidade privado/link privado usando a autenticação Kerberos do Microsoft Entra, também precisará adicionar o FQDN de link privado ao aplicativo Microsoft Entra da conta de armazenamento. Para obter instruções, consulte a entrada em nosso guia de solução de problemas.

Desativar a autenticação multifator na conta de armazenamento

O Microsoft Entra Kerberos não oferece suporte ao uso de MFA para acessar compartilhamentos de arquivos do Azure configurados com o Microsoft Entra Kerberos. Você deve excluir o aplicativo Microsoft Entra que representa sua conta de armazenamento de suas políticas de acesso condicional de MFA se elas se aplicarem a todos os aplicativos.

O aplicativo de conta de armazenamento deve ter o mesmo nome que a conta de armazenamento na lista de exclusão de acesso condicional. Ao procurar o aplicativo de conta de armazenamento na lista de exclusão de acesso condicional, pesquise: [Conta de armazenamento] <your-storage-account-name>.file.core.windows.net

Lembre-se de substituir <your-storage-account-name> pelo valor adequado.

Importante

Se você não excluir políticas de MFA do aplicativo de conta de armazenamento, não poderá acessar o compartilhamento de arquivos. Tentar mapear o compartilhamento de arquivos usando net use resultará em uma mensagem de erro que diz "Erro de sistema 1327: restrições de conta estão impedindo este usuário de entrar. Por exemplo: senhas em branco não são permitidas, os tempos de entrada são limitados ou uma restrição de política foi imposta."

Para obter orientações sobre a desativação da AMF, consulte o seguinte:

Atribuir permissões ao nível da partilha

Ao habilitar o acesso baseado em identidade, para cada compartilhamento você deve atribuir quais usuários e grupos têm acesso a esse compartilhamento específico. Quando um usuário ou grupo tem permissão de acesso a um compartilhamento, as ACLs do Windows (também chamadas de permissões NTFS) em arquivos e diretórios individuais assumem o controle. Isso permite um controle refinado sobre permissões, semelhante a um compartilhamento SMB em um servidor Windows.

Para definir permissões de nível de compartilhamento, siga as instruções em Atribuir permissões de nível de compartilhamento a uma identidade.

Configurar permissões de diretório e nível de arquivo

Depois que as permissões de nível de compartilhamento estiverem em vigor, você poderá atribuir permissões de nível de diretório/arquivo ao usuário ou grupo. Isso requer o uso de um dispositivo com conectividade de rede desimpedida para um AD local.

Para configurar permissões de diretório e nível de arquivo, siga as instruções em Configurar permissões de diretório e nível de arquivo sobre SMB.

Configurar os clientes para recuperar tíquetes Kerberos

Habilite a funcionalidade Kerberos do Microsoft Entra na(s) máquina(s) cliente(s) a partir da(s) qual(is) você deseja montar/usar compartilhamentos de arquivos do Azure. Você deve fazer isso em cada cliente no qual os Arquivos do Azure serão usados.

Use um dos três métodos a seguir:

Configure este CSP de Política do Intune e aplique-o ao(s) cliente(s): Kerberos/CloudKerberosTicketRetrievalEnabled, definido como 1

As alterações não são instantâneas e exigem uma atualização de política ou uma reinicialização para entrar em vigor.

Importante

Depois que essa alteração for aplicada, o(s) cliente(s) não poderá(ão) se conectar a contas de armazenamento configuradas para integração do AD DS local sem configurar mapeamentos de realm Kerberos. Se desejar que o(s) cliente(s) possa(m) se conectar a contas de armazenamento configuradas para AD DS, bem como contas de armazenamento configuradas para Microsoft Entra Kerberos, siga as etapas em Configurar coexistência com contas de armazenamento usando o AD DS local.

Configurar a coexistência com contas de armazenamento usando o AD DS local

Se você quiser habilitar máquinas cliente para se conectar a contas de armazenamento configuradas para AD DS, bem como contas de armazenamento configuradas para Microsoft Entra Kerberos, siga estas etapas. Se você estiver usando apenas o Microsoft Entra Kerberos, ignore esta seção.

Adicione uma entrada para cada conta de armazenamento que usa a integração do AD DS local. Use um dos três métodos a seguir para configurar mapeamentos de realm Kerberos. As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Configure este CSP de Política do Intune e aplique-o ao(s) cliente(s): Kerberos/HostToRealm

Importante

Em Kerberos, os nomes de reino diferenciam maiúsculas de minúsculas e maiúsculas. O nome do território Kerberos é geralmente o mesmo que o nome de domínio, em letras maiúsculas.

Desfazer a configuração do cliente para recuperar tíquetes Kerberos

Se você não quiser mais usar uma máquina cliente para autenticação do Microsoft Entra Kerberos, poderá desabilitar a funcionalidade do Microsoft Entra Kerberos nessa máquina. Use um dos três métodos a seguir, dependendo de como você habilitou a funcionalidade:

Configure este CSP de Política do Intune e aplique-o ao(s) cliente(s): Kerberos/CloudKerberosTicketRetrievalEnabled, definido como 0

As alterações não são instantâneas e exigem uma atualização de política ou uma reinicialização para entrar em vigor.

Se você seguiu as etapas em Configurar coexistência com contas de armazenamento usando o AD DS local, pode, opcionalmente, remover todos os nomes de host para mapeamentos de realm Kerberos da máquina cliente. Use um dos três métodos a seguir:

Configure este CSP de Política do Intune e aplique-o ao(s) cliente(s): Kerberos/HostToRealm

As alterações não são instantâneas e exigem uma atualização da política ou uma reinicialização para entrar em vigor.

Importante

Depois que essa alteração for aplicada, o(s) cliente(s) não poderá(ão) se conectar a contas de armazenamento configuradas para autenticação Kerberos do Microsoft Entra. No entanto, eles poderão se conectar a contas de armazenamento configuradas para AD DS, sem qualquer configuração adicional.

Desativar a autenticação do Microsoft Entra na sua conta de armazenamento

Se quiser usar outro método de autenticação, você pode desabilitar a autenticação do Microsoft Entra em sua conta de armazenamento usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Nota

Desabilitar esse recurso significa que não haverá configuração do Ative Directory para compartilhamentos de arquivos em sua conta de armazenamento até que você habilite uma das outras fontes do Ative Directory para restabelecer sua configuração do Ative Directory.

Para desabilitar a autenticação Kerberos do Microsoft Entra em sua conta de armazenamento usando o portal do Azure, siga estas etapas.

  1. Entre no portal do Azure e selecione a conta de armazenamento para a qual deseja desabilitar a autenticação do Microsoft Entra Kerberos.
  2. Em Armazenamento de dados, selecione Compartilhamentos de arquivos.
  3. Ao lado de Ative Directory, selecione o status da configuração.
  4. Em Microsoft Entra Kerberos, selecione Configurar.
  5. Desmarque a caixa de seleção Microsoft Entra Kerberos .
  6. Selecione Guardar.

Próximos passos