Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ compartilhamentos de arquivos do Azure SMB
Os Arquivos do Azure dão suporte à autenticação baseada em identidade para compartilhamentos de arquivos do Windows em protocolo SMB usando o protocolo de autenticação Kerberos por meio dos seguintes métodos:
- Active Directory Domain Services (AD DS) local
- Serviços de Domínio do Microsoft Entra
- Kerberos do Microsoft Entra para identidades de usuário híbridas
É recomendável que você examine a seção Como funciona para selecionar origem do AD correta para autenticação. A configuração será diferente dependendo do serviço de domínio que você escolher. Este artigo se concentra na habilitação e configuração do AD DS local para autenticação com os compartilhamentos de arquivo do Azure.
Se você não estiver familiarizado com os Arquivos do Azure, recomendamos ler o guia de planejamento.
Cenários com suporte e restrições
- Para usar a autenticação baseada em identidade com arquivos do Azure, as permissões RBAC de nível de compartilhamento devem ser atribuídas. Você pode fazer isso de duas maneiras:
- Permissão de nível de compartilhamento padrão: Essa opção aplica o RBAC no nível de compartilhamento para todos os usuários autenticados. Com essa configuração, você não precisa sincronizar suas identidades locais do AD DS com a ID do Microsoft Entra.
- Permissões de nível de compartilhamento granulares: se você quiser atribuir o RBAC no nível de compartilhamento a usuários ou grupos específicos, as identidades correspondentes deverão ser sincronizadas do AD DS local para o Microsoft Entra ID usando o Microsoft Entra Connect ou o Microsoft Entra Cloud Sync. Os grupos criados somente na ID do Microsoft Entra não funcionarão, a menos que contenham contas de usuário sincronizadas. A sincronização de hash de senha não é necessária.
- Requisitos do sistema operacional cliente: Windows 8/Windows Server 2012 ou posterior ou VMs linux, como Ubuntu 18.04+ e distribuições rhel/SLES equivalentes.
- Você pode gerenciar compartilhamentos de arquivos do Azure com a Sincronização de Arquivos do Azure.
- A autenticação Kerberos está disponível com o Active Directory usando criptografia AES 256 (recomendada) e RC4-HMAC. A criptografia AES 128 do Kerberos ainda não tem suporte.
- Há suporte para SSO (logon único).
- Por padrão, o acesso é limitado à floresta do Active Directory em que a conta de armazenamento está registrada. Os usuários de qualquer domínio nessa floresta podem acessar o conteúdo do compartilhamento de arquivos, desde que tenham as permissões apropriadas. Para habilitar o acesso de florestas adicionais, você deve configurar uma relação de confiança de floresta. Para obter mais detalhes, confira o artigo Usar Arquivos do Azure com várias florestas do Active Directory.
- Atualmente, não há suporte para autenticação baseada em identidade para compartilhamentos de arquivos NFS.
Quando você habilita o AD DS para compartilhamentos de arquivos do Azure por SMB, os seus computadores que tiverem ingressado no AD DS podem montar compartilhamentos de arquivos do Azure usando suas credenciais do AD DS existentes. Você pode hospedar o ambiente do AD DS local ou em uma VM (máquina virtual) no Azure.
vídeos
Para ajudá-lo a configurar a autenticação baseada em identidade para casos de uso comuns, publicamos dois vídeos com diretrizes passo a passo para os cenários a seguir. Observe que o Azure Active Directory agora é Microsoft Entra ID. Para saber mais, confira Novo nome do Azure AD.
| Substituir servidores de arquivos locais por Arquivos do Azure (incluindo configuração em link privado para arquivos e autenticação do AD) | Use os Arquivos do Azure como o contêiner de perfil para a Área de Trabalho Virtual do Azure (incluindo a configuração na autenticação do AD e na configuração do FSLogix) |
|---|---|
|
|
Pré-requisitos
Antes de habilitar a autenticação do AD DS para compartilhamentos de arquivos do Azure, conclua os seguintes pré-requisitos:
Selecione ou crie seu ambiente do AD DS e sincronize-o com a ID do Microsoft Entra usando o aplicativo local Microsoft Entra Connect Sync ou a sincronização de nuvem do Microsoft Entra Connect, um agente leve que você pode instalar no Centro de Administração do Microsoft Entra.
Você pode habilitar essa funcionalidade em um ambiente do AD DS local novo ou preexistente. As identidades usadas para acesso precisam ser sincronizadas com o Microsoft Entra ID ou usar uma permissão padrão no nível de compartilhamento. O locatário do Microsoft Entra e o compartilhamento de arquivos que você estiver acessando devem estar associados à mesma assinatura.
Ingressar no domínio de um computador local ou de uma VM do Azure para um AD DS local. Para obter informações sobre como ingressar em um domínio, consulte Adicionar um computador a um domínio.
Se um computador não estiver ingressado no domínio, você ainda poderá usar o AD DS para autenticação se o computador tiver linha de visão para o controlador de domínio do AD local e o usuário fornecer credenciais explícitas. Para obter mais informações, consulte Como montar o compartilhamento de arquivos de uma VM não ingressada no domínio ou de uma VM ingressada em um domínio diferente do AD.
Selecionar ou criar uma conta de armazenamento do Azure. Para um desempenho ideal, recomendamos implantar a conta de armazenamento na mesma região do cliente a partir do qual você planeja acessar o compartilhamento.
Verifique se a conta de armazenamento que contém seus compartilhamentos de arquivos já não foi configurada para autenticação baseada em identidade. Se uma origem do AD já estiver habilitada na conta de armazenamento, você deverá desabilitá-la antes de habilitar o AD DS local.
Se você tiver problemas ao se conectar aos Arquivos do Azure, confira solucionar problemas de erros de montagem dos Arquivos do Azure no Windows.
Se você planeja habilitar qualquer configuração de rede em seu compartilhamento de arquivos, recomendamos a leitura do artigo Considerações de rede e a conclusão da configuração relacionada antes de habilitar a autenticação do AD DS.
Disponibilidade regional
Você pode usar a autenticação de Arquivos do Azure com o AD DS em todas as regiões do Azure Public, China e Gov.
Visão geral
Ao habilitar a autenticação do AD DS para seus compartilhamentos de arquivos do Azure, você pode usar suas credenciais do AD DS local para autenticar em seus compartilhamentos de arquivos do Azure. Você também pode gerenciar suas permissões para permitir o controle de acesso granular. Para configurar a autenticação, sincronize identidades do AD DS local para a ID do Microsoft Entra usando o aplicativo local Microsoft Entra Connect Sync ou a sincronização de nuvem do Microsoft Entra Connect, um agente leve que você pode instalar no Microsoft Entra Admin Center. Atribua permissões de nível de compartilhamento a identidades híbridas sincronizadas com a ID do Microsoft Entra e gerencie o acesso em nível de arquivo e diretório usando ACLs do Windows.
Siga essas etapas para configurar os Arquivos do Azure para a autenticação do AD DS:
Habilitar a autenticação do AD DS na sua conta de armazenamento
Configurar ACLs do Windows com o SMB para diretórios e arquivos
Montar um compartilhamento de arquivos do Azure em uma VM ingressada em seu AD DS
Atualizar a senha da identidade da conta de armazenamento no AD DS
O diagrama a seguir ilustra o fluxo de trabalho de ponta a ponta para habilitar a autenticação do AD DS por SMB para os compartilhamentos de arquivos do Azure.
Para aplicar permissões de arquivos no nível de compartilhamento por meio do modelo de controle de acesso baseado em função (RBAC do Azure), as identidades usadas para acessar os compartilhamentos de arquivos do Azure devem ser sincronizadas com o Microsoft Entra ID. Como alternativa, você pode usar uma permissão de nível de compartilhamento padrão. AS DACLs no estilo Windows em arquivos e diretórios carregadas de servidores de arquivos existentes são preservadas e impostas. Essa configuração oferece integração perfeita com seu ambiente do AD DS empresarial. Conforme você substitui servidores de arquivos locais por compartilhamentos de arquivos do Azure, os usuários existentes podem acessar os compartilhamentos de arquivos do Azure dos clientes atuais com uma experiência de logon único, sem nenhuma alteração nas credenciais em uso.
Próxima etapa
Para começar, habilite a autenticação do AD DS para sua conta de armazenamento.