Genel bakış: Azure dosya paylaşımları için SMB üzerinden şirket içi Active Directory Etki Alanı Hizmetleri kimlik doğrulaması
Azure Dosyalar, aşağıdaki yöntemlerle Kerberos kimlik doğrulama protokolunu kullanarak Sunucu İleti Bloğu (SMB) üzerinden Windows dosya paylaşımları için kimlik tabanlı kimlik doğrulamasını destekler:
- Şirket içi Active Directory Etki Alanı Hizmetleri (AD DS)
- Microsoft Entra Domain Services
- Karma kullanıcı kimlikleri için Microsoft Entra Kerberos
Kimlik doğrulaması için doğru AD kaynağını seçmek için Nasıl çalışır? bölümünü gözden geçirmenizi kesinlikle öneririz. Seçtiğiniz etki alanı hizmetine bağlı olarak kurulum farklıdır. Bu makale, Azure dosya paylaşımlarıyla kimlik doğrulaması için şirket içi AD DS'yi etkinleştirmeye ve yapılandırmaya odaklanır.
Azure Dosyalar yeniyseniz planlama kılavuzumuzu okumanızı öneririz.
Şunlara uygulanır
Dosya paylaşımı türü | SMB | NFS |
---|---|---|
Standart dosya paylaşımları (GPv2), LRS/ZRS | ||
Standart dosya paylaşımları (GPv2), GRS/GZRS | ||
Premium dosya paylaşımları (filestorage), LRS/ZRS |
Desteklenen senaryolar ve kısıtlamalar
- Şirket içi AD DS kimlik doğrulaması Azure Dosyalar için kullanılan AD DS kimlikleri Microsoft Entra Kimliği ile eşitlenmeli veya varsayılan paylaşım düzeyi izni kullanılmalıdır. Parola karması eşitleme isteğe bağlıdır.
- Azure Dosya Eşitleme tarafından yönetilen Azure dosya paylaşımlarını destekler.
- AES 256 şifrelemesi (önerilir) ve RC4-HMAC ile AD ile Kerberos kimlik doğrulamayı destekler. AES 128 Kerberos şifrelemesi henüz desteklenmiyor.
- Çoklu oturum açma deneyimini destekler.
- Yalnızca windows 8/Windows Server 2012 veya daha yeni veya Linux VM'leri (Ubuntu 18.04+ veya eşdeğer rhel veya SLES VM) çalıştıran Windows istemcilerinde desteklenir.
- Yalnızca depolama hesabının kayıtlı olduğu AD ormanında desteklenir. Aynı ormandaki farklı etki alanlarına ait kullanıcılar, uygun izinlere sahip oldukları sürece dosya paylaşımına ve temel dizinlere/dosyalara erişebilmelidir.
- Varsayılan olarak Azure dosya paylaşımlarına yalnızca tek bir ormandan AD DS kimlik bilgileriyle erişebilirsiniz. Azure dosya paylaşımınıza farklı bir ormandan erişmeniz gerekirse uygun orman güvenini yapılandırdığınızdan emin olun. Ayrıntılar için bkz. Birden çok Active Directory ormanıyla Azure Dosyalar kullanma.
- Azure RBAC kullanarak bilgisayar hesaplarına (makine hesapları) paylaşım düzeyi izin atamayı desteklemez. Bilgisayar hesaplarının paylaşıma erişmesine izin vermek için varsayılan bir paylaşım düzeyi izni kullanabilir veya bunun yerine bir hizmet oturum açma hesabı kullanmayı düşünebilirsiniz.
- Ağ Dosya Sistemi (NFS) dosya paylaşımlarında kimlik doğrulamayı desteklemez.
SMB üzerinden Azure dosya paylaşımları için AD DS'yi etkinleştirdiğinizde, AD DS'ye katılmış makineleriniz mevcut AD DS kimlik bilgilerinizi kullanarak Azure dosya paylaşımlarını bağlayabilir. Bu özellik, şirket içi makinelerde veya Azure'da bir sanal makinede (VM) barındırılan bir AD DS ortamıyla etkinleştirilebilir.
Videolar
Bazı yaygın kullanım örnekleri için kimlik tabanlı kimlik doğrulamasını ayarlamanıza yardımcı olmak için aşağıdaki senaryolar için adım adım kılavuzlu iki video yayımladık. Azure Active Directory'nin artık Microsoft Entra Id olduğunu unutmayın. Daha fazla bilgi için bkz . Azure AD için yeni ad.
Önkoşullar
Azure dosya paylaşımları için AD DS kimlik doğrulamasını etkinleştirmeden önce aşağıdaki önkoşulları tamamladığınızdan emin olun:
AD DS ortamınızı seçin veya oluşturun ve şirket içi Microsoft Entra Connect Sync uygulamasını veya Microsoft Entra Connect Yönetim Merkezi'nden yüklenebilen basit bir aracı olan Microsoft Entra Connect bulut eşitlemesini kullanarak Microsoft Entra Id ile eşitleyin.
Özelliği yeni veya mevcut bir şirket içi AD DS ortamında etkinleştirebilirsiniz. Erişim için kullanılan kimlikler Microsoft Entra Id ile eşitlenmeli veya varsayılan paylaşım düzeyi izni kullanılmalıdır. Microsoft Entra kiracısı ve eriştiğiniz dosya paylaşımı aynı abonelikle ilişkilendirilmelidir.
Şirket içi makine veya Azure VM'sini şirket içi AD DS'ye etki alanına ekleme. Etki alanına katılma hakkında bilgi için bkz . Bilgisayara Etki Alanına Katılma.
Bir makine etki alanına katılmamışsa, makine şirket içi AD etki alanı denetleyicisine ağ bağlantısını engelleyemezse ve kullanıcı açık kimlik bilgileri sağlarsa, kimlik doğrulaması için AD DS'yi kullanmaya devam edebilirsiniz. Daha fazla bilgi için bkz . Etki alanına katılmamış bir VM'den veya farklı bir AD etki alanına katılmış bir VM'den dosya paylaşımını bağlama.
Bir Azure depolama hesabı seçin veya oluşturun. En iyi performans için, depolama hesabını paylaşıma erişmeyi planladığınız istemciyle aynı bölgeye dağıtmanızı öneririz. Ardından Azure dosya paylaşımını depolama hesabı anahtarınız ile bağlayın. Depolama hesabı anahtarıyla bağlanarak bağlantı doğrulanır.
Dosya paylaşımlarınızı içeren depolama hesabının kimlik tabanlı kimlik doğrulaması için yapılandırılmadığından emin olun. Depolama hesabında bir AD kaynağı zaten etkinleştirilmişse, şirket içi AD DS'yi etkinleştirmeden önce bu kaynağı devre dışı bırakmanız gerekir.
Azure Dosyalar bağlanırken sorunlarla karşılaşıyorsanız Windows'da Azure Dosyalar bağlama hataları için yayımladığımız sorun giderme aracına bakın.
Azure dosya paylaşımlarınızda AD DS kimlik doğrulamasını etkinleştirmeden ve yapılandırmadan önce ilgili ağ yapılandırmasını yapın. Daha fazla bilgi için bkz. ağ konusunda dikkat edilmesi gerekenler Azure Dosyalar.
Bölgesel kullanılabilirlik
AD DS ile Azure Dosyalar kimlik doğrulaması tüm Azure Genel, Çin ve Gov bölgelerinde kullanılabilir.
Genel bakış
Dosya paylaşımınızda ağ yapılandırmalarını etkinleştirmeyi planlıyorsanız, AD DS kimlik doğrulamasını etkinleştirmeden önce ağ konusunda dikkat edilmesi gerekenler makalesini okumanızı ve ilgili yapılandırmayı tamamlamanızı öneririz.
Azure dosya paylaşımlarınız için AD DS kimlik doğrulamasını etkinleştirmek, şirket içi AD DS kimlik bilgilerinizle Azure dosya paylaşımlarınızda kimlik doğrulaması yapmanıza olanak tanır. Ayrıca, ayrıntılı erişim denetimine izin vermek için izinlerinizi daha iyi yönetmenizi sağlar. Bunu yapmak için şirket içi Microsoft Entra Connect Sync uygulamasını veya Microsoft Entra Yönetim Merkezi'nden yüklenebilen basit bir aracı olan Microsoft Entra Connect bulut eşitlemesini kullanarak kimliklerin şirket içi AD DS'den Microsoft Entra ID'ye eşitlenmesi gerekir. Windows ACL'lerini kullanarak dosya/dizin düzeyi erişimi yönetirken Microsoft Entra Id ile eşitlenen karma kimliklere paylaşım düzeyi izinler atarsınız.
AD DS kimlik doğrulaması için Azure Dosyalar ayarlamak için şu adımları izleyin:
Depolama hesabınızda AD DS kimlik doğrulamasını etkinleştirme
Dizinler ve dosyalar için SMB üzerinden Windows ACL'lerini yapılandırma
AZURE dosya paylaşımını AD DS'nize katılmış bir VM'ye bağlama
AD DS'de depolama hesabı kimliğinizin parolasını güncelleştirme
Aşağıdaki diyagramda, Azure dosya paylaşımları için SMB üzerinden AD DS kimlik doğrulamasını etkinleştirmeye yönelik uçtan uca iş akışı gösterilmektedir.
Azure rol tabanlı erişim denetimi (Azure RBAC) modeli aracılığıyla paylaşım düzeyi dosya izinlerini zorunlu kılmak için Azure dosya paylaşımlarına erişmek için kullanılan kimliklerin Microsoft Entra Id ile eşitlenmesi gerekir. Alternatif olarak, varsayılan paylaşım düzeyi iznini kullanabilirsiniz. Mevcut dosya sunucularından taşınan dosyalarda/dizinlerde Windows stili DACL'ler korunur ve uygulanır. Bu, kurumsal AD DS ortamınızla sorunsuz tümleştirme sağlar. Şirket içi dosya sunucularını Azure dosya paylaşımlarıyla değiştirdiğinizde, mevcut kullanıcılar kullanımdaki kimlik bilgilerinde herhangi bir değişiklik yapmadan, geçerli istemcilerinden azure dosya paylaşımlarına çoklu oturum açma deneyimiyle erişebilir.
Sonraki adım
Başlamak için depolama hesabınız için AD DS kimlik doğrulamasını etkinleştirmeniz gerekir.