Habilitar la autenticación Kerberos de Microsoft Entra para Azure Files en macOS con SSO de la plataforma (versión preliminar)

Se aplica a: ✔️ recursos compartidos de archivos SMB

En este artículo se explica cómo configurar la autenticación Kerberos de Microsoft Entra para Azure Files en dispositivos con macOS mediante macOS Platform Single Sign-On (PSSO) (versión preliminar). Al usar esta configuración, los dispositivos macOS unidos a Microsoft Entra pueden acceder sin problemas a los recursos compartidos de archivos SMB de Azure mediante tickets de concesión de tickets (TGT) de Kerberos basados en la nube, sin pedir credenciales a los usuarios.

MacOS Platform SSO integra dispositivos Mac con Microsoft Entra ID y permite a los usuarios iniciar sesión con sus credenciales de Microsoft Entra ID mediante una clave enlazada a hardware, una tarjeta inteligente o una contraseña de Microsoft Entra ID. Además del token de actualización principal (PRT) del SSO de la plataforma, Microsoft Entra ID emite un TGT de Kerberos en la nube, que se comparte con la pila nativa de Kerberos de macOS mediante la asignación de TGT en PSSO. Los TGT de Kerberos locales también se pueden obtener cuando el cliente está configurado (por ejemplo, a través de Intune) para consultar controladores de dominio locales. Esta configuración permite el inicio de sesión único sin problemas en Azure Files sin solicitar a los usuarios credenciales interactivas.

Para obtener más información sobre la autenticación Kerberos de Microsoft Entra para Azure Files, consulte Descripción general de las opciones de autenticación basadas en identidad de Azure Files para el acceso SMB.

Prerequisites

Antes de configurar el acceso a Azure Files en macOS con SSO de la plataforma, complete los siguientes requisitos previos.

Requisitos del dispositivo macOS

  • macOS Tahoe 26.5 o posterior con las actualizaciones más recientes instaladas.
  • Microsoft Intune Portal de empresa versión 5.2408.0 o posterior instalada en el dispositivo.
  • El dispositivo macOS debe inscribirse en una solución de administración de dispositivos móviles (MDM).
  • macOS Platform SSO ya debe estar configurado e implementado en los dispositivos. Si no configuró el inicio de sesión único de la plataforma, consulte la documentación del inicio de sesión único de la plataforma para obtener información general o la guía de implementación de Intune para obtener instrucciones paso a paso antes de continuar.

requisitos de Azure Files

Permisos y requisitos de herramientas

Para ejecutar el script de actualización de registro de aplicaciones descrito en este artículo, necesita lo siguiente:

  • PowerShell 5.1 o PowerShell 7.x.
  • El módulo de PowerShell Microsoft.Graph.Applications. Si no tiene instalado este módulo, ejecute Install-Module Microsoft.Graph.Applications -Scope CurrentUser.
  • El rol de Microsoft Entra Administrador de aplicaciones o Administrador global, con permiso de la API Microsoft Graph Application.ReadWrite.All.

Actualización del identificador de registro de la aplicación URI

Este paso solo es necesario si ya tiene recursos compartidos de archivos en la cuenta de almacenamiento. No se aplica a los recursos compartidos de archivos recién creados. Si no hay recursos compartidos de archivos existentes en la cuenta de almacenamiento, puede omitir este paso.

Para que los clientes de macOS puedan acceder a los recursos compartidos de archivos de Azure existentes mediante Microsoft Entra Kerberos con SSO de plataforma, es necesario actualizar el identificador URI CIFS a minúsculas cifs, o se producirá un error al montar el recurso compartido de archivos.

Al habilitar una cuenta de almacenamiento para Microsoft Entra autenticación Kerberos, el sistema registra automáticamente una aplicación de Microsoft Entra con identificadores URI que incluyen un CIFS/<storageaccount>.file.core.windows.net prefijo. macOS requiere que el prefijo cifs esté en minúsculas al montar un recurso compartido SMB mediante Kerberos. Si algún identificador URI contiene el prefijo en mayúsculas CIFS , los clientes macOS no pueden autenticarse ni montar el recurso compartido.

Para actualizar el identificador URI, use el script de PowerShell proporcionado en el repositorio de ejemplos de Azure Files. El script actualiza los URI de identificador en los registros de aplicaciones de CIFS/<storageaccount>.file.core.windows.net a cifs/<storageaccount>.file.core.windows.net. Admite actualizaciones masivas y de aplicación única a través de un archivo CSV y crea un registro de auditoría de todos los cambios.

Tip

Ejecute el script con el -WhatIf parámetro primero para obtener una vista previa de los cambios sin aplicarlos.

Actualización de un registro de aplicación único

Reemplace por <app-registration-id> el identificador de registro de la aplicación para la cuenta de almacenamiento. Para encontrar este identificador, vaya a Microsoft Entra ID>Registros de aplicaciones>Todas las aplicaciones y busque el nombre de la cuenta de almacenamiento.

.\updateappmanifestazurefiles.ps1 -AppId "<app-registration-id>"

Para generar un registro de auditoría, especifique el -OutputFile parámetro :

.\updateappmanifestazurefiles.ps1 -AppId "<app-registration-id>" -OutputFile "C:\audit\output.csv"

Actualización de varios registros de aplicaciones

Cree un archivo CSV con un AppId encabezado de columna que contenga los identificadores de registro de aplicaciones para cada cuenta de almacenamiento que quiera actualizar. Por ejemplo:

AppId
12345678-1234-1234-1234-123456789012
87654321-4321-4321-4321-210987654321

A continuación, ejecute el script con el -CsvFilePath parámetro :

$timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
$outputFile = "C:\audit\production_update_$timestamp.csv"
.\updateappmanifestazurefiles.ps1 -CsvFilePath "C:\apps.csv" -OutputFile $outputFile

Note

El script procesa las aplicaciones en lotes de 50, con un retraso de 100 ms entre aplicaciones y un retraso de 2 segundos entre lotes. Funciona con hasta 20 000 aplicaciones. Para ejecuciones grandes, pruebe primero con un subconjunto pequeño y revise el registro de auditoría antes de ejecutarse a escala.

Comprobación de la actualización

Después de ejecutar el script, compruebe que el identificador URI se actualizó correctamente.

  1. En el portal de Azure, abra Microsoft Entra ID.
  2. En Administrar, seleccione Registros de aplicaciones>Todas las aplicaciones.
  3. Busque el nombre de la cuenta de almacenamiento y seleccione la aplicación coincidente.
  4. En Administrar, seleccione Manifiesto.
  5. Confirme que el identificador URI ahora se muestra cifs/<storageaccount>.file.core.windows.net en minúsculas.

Configuración de perfiles de MDM de SSO de Kerberos en macOS

Para habilitar SSO de Kerberos para Azure Files en macOS, implemente un perfil MDM de SSO de Kerberos que apunte macOS al dominio de Kerberos en la nube de Microsoft Entra ID. Si los usuarios también necesitan acceder a los recursos de Active Directory local a través de Kerberos, implemente un perfil independiente para el dominio de AD local.

Note

Si tiene previsto usar tanto Microsoft Entra ID Cloud Kerberos como dominios de Active Directory locales, implemente el perfil de Active Directory local antes que el perfil de Microsoft Entra ID Cloud Kerberos.

Configuración del perfil de Kerberos de Microsoft Entra ID Cloud

Utilice la siguiente configuración para configurar el perfil MDM de Cloud Kerberos de Microsoft Entra ID. Sustituya todos los valores de marcador de posición por los valores correctos para su inquilino.

Clave de configuración Valor recomendado Note
preferredKDCs kkdcp://login.microsoftonline.com/<tenantId>/kerberos Reemplace <tenantId> por su identificador de cliente de Microsoft Entra. Puede encontrar este valor en la página Información general del Centro de administración Microsoft Entra.
PayloadOrganization Nombre de tu organización
Hosts .windows.net y windows.net
Realm KERBEROS.MICROSOFTONLINE.COM Debe estar en mayúsculas. 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>usePlatformSSOTGT</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>preferredKDCs</key>
                <array>
                    <string>kkdcp://login.microsoftonline.com/<tenantId>/kerberos</string>
                </array>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>windows.net</string>
                <string>.windows.net</string>
            </array>
            <key>Realm</key>
            <string>KERBEROS.MICROSOFTONLINE.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for Microsoft Entra ID Cloud Kerberos</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.extensiblesso.00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for Microsoft Entra ID Cloud Kerberos</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Guarde esta configuración mediante un editor de texto con la .mobileconfig extensión de archivo (por ejemplo, cloud-kerberos.mobileconfig) después de actualizar los valores de su entorno.

Note

Cuando configura la clave usePlatformSSOTGT en true, la extensión Kerberos usa el TGT de SSO de la plataforma con el mismo dominio. Cuando establece la clave performKerberosOnly en true, la extensión no realiza comprobaciones de expiración de contraseñas, comprobaciones de cambios externos de contraseña ni recupera el directorio principal del usuario. Configure ambas claves en los perfiles de SSO de Kerberos que implemente.

Configuración del perfil de On-premises Active Directory Kerberos (opcional)

Si los usuarios también necesitan el inicio de sesión único de Kerberos para los recursos de Active Directory locales, configure un perfil de MDM independiente para el ámbito de AD local. Reemplace todas las referencias a contoso.com y Contoso por los valores correctos para su entorno.

Clave de configuración Valor recomendado Note
Hosts .contoso.com y contoso.com Sustituya esto por el nombre de dominio o de bosque local. Mantenga el carácter anterior . antes del nombre de dominio.
Realm CONTOSO.COM Sustituya esto por el nombre de su dominio local. Debe estar en mayúsculas.
PayloadOrganization Nombre de tu organización 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>allowPasswordChange</key>
                <true/>
                <key>allowPlatformSSOAuthFallback</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>pwReqComplexity</key>
                <true/>
                <key>syncLocalPassword</key>
                <false/>
                <key>usePlatformSSOTGT</key>
                <true/>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>.contoso.com</string>
                <string>contoso.com</string>
            </array>
            <key>Realm</key>
            <string>CONTOSO.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for On-Premises</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.extensiblesso.1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for On-Premises</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Guarde esta configuración mediante un editor de texto con la .mobileconfig extensión de archivo (por ejemplo, on-prem-kerberos.mobileconfig) después de actualizar los valores de su entorno.

Implementación de los perfiles mediante Microsoft Intune

Si usa Intune como solución MDM, siga estos pasos para implementar cada perfil. Repita los pasos de cada .mobileconfig archivo que necesite implementar.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Selecciona Dispositivos>Configuración>Crear>Nueva directiva.
  3. Introduzca las siguientes propiedades:
    • Plataforma: seleccione macOS.
    • Tipo de perfil: seleccione Plantillas.
  4. Elige la plantilla Personalizada y selecciona Crear.
  5. En Aspectos básicos, escriba un nombre descriptivo para la directiva, como macOS: Azure Files SSO de Kerberos en la nube y una descripción opcional. Seleccione Siguiente.
  6. Escribe un nombre en el cuadro Nombre del perfil de configuración personalizado.
  7. En Canal de implementación, seleccione Canal de dispositivo.
  8. Seleccione el icono de carpeta y cargue el .mobileconfig archivo que guardó y personalizaba anteriormente.
  9. Seleccione Siguiente.
  10. En Etiquetas de ámbito, asigne las etiquetas de ámbito aplicables y, a continuación, seleccione Siguiente.
  11. En Asignaciones, seleccione los usuarios o grupos de usuarios que reciben el perfil. Las directivas de SSO de la plataforma se basan en el usuario; no asigne la directiva a los dispositivos.
  12. Seleccione Siguiente, revise la configuración y, a continuación, seleccione Crear.

La configuración se aplica la próxima vez que cada dispositivo compruebe si hay actualizaciones de configuración.

Asignación de permisos de nivel de recurso compartido

Para cada recurso compartido de archivos de Azure, asigne permisos en el nivel de recurso compartido a los usuarios o grupos que necesitan acceso. Una vez establecidos los permisos de nivel de recurso compartido, las ACL de Windows en archivos y directorios individuales controlan el acceso detallado.

Para establecer permisos de nivel de recurso compartido, siga las instrucciones de Asignación de permisos de nivel de recurso compartido a una identidad.

Montaje del recurso compartido de archivos Azure en macOS

Después de implementar los perfiles de SSO de Kerberos y actualizar el registro de la aplicación, los usuarios de macOS pueden montar el recurso compartido de archivos de Azure desde Finder.

  1. Abra Finder.

  2. En el menú Ir , seleccione Conectar al servidor o presione Comando+K.

  3. En el campo Dirección del servidor , escriba la dirección URL de SMB del recurso compartido de archivos. Convierta la ruta de acceso UNC de Windows en una URL SMB reemplazando \\ por smb:// y cada \ por /. Por ejemplo:

    smb://<storageaccountname>.file.core.windows.net/<sharename>

  4. Seleccione Conectar.

Si la configuración es correcta, el recurso compartido se monta sin solicitar al usuario las credenciales.

Prueba y comprobación

Después de completar la configuración, compruebe que se emiten tickets de Kerberos y que el acceso al recurso compartido de archivos funciona según lo previsto.

Verificar la emisión de tickets de Kerberos

En el cliente macOS, abra Terminal y ejecute el siguiente comando:

app-sso platform -s

Confirme que la salida incluye un vale de Kerberos para el dominio Kerberos en la nube de Microsoft Entra ID, indicado por un valor ticketKeyPath de tgt_cloud. Si también ha implementado el perfil de Kerberos de AD local, debe haber también un segundo vale con ticketKeyPath establecido en tgt_ad.

Compruebe que el puerto 445 está abierto:

nc -vz exampleaccount.file.core.windows.net 445

Comprobación del acceso al recurso compartido de archivos

Intente montar el recurso compartido de archivos Azure desde Finder mediante los pasos de la sección anterior. El recurso compartido debe montarse sin solicitar credenciales interactivas. Si aparece un símbolo del sistema de credenciales, consulte la sección de solución de problemas.

Troubleshoot

Se solicita a los usuarios que introduzcan sus credenciales al montar el recurso compartido de archivos.

Si se solicita a los usuarios que escriban credenciales al conectarse al recurso compartido de archivos Azure, compruebe las condiciones siguientes:

  • El URI del identificador de registro de la aplicación se actualiza de CIFS/ a cifs/ (minúsculas). Consulte Actualización del identificador de registro de la aplicación URI y Comprobación de la actualización.
  • El dispositivo macOS tiene un TGT de Kerberos en la nube válido, confirmado mediante la ejecución app-sso platform -s en Terminal.
  • Los perfiles de MDM de SSO de Kerberos se aplican al dispositivo.
  • El consentimiento del administrador se concede al registro de la aplicación Azure Files en Microsoft Entra ID.
  • El usuario tiene permisos de nivel del recurso compartido en el recurso compartido de archivos de Azure.
  • MFA está deshabilitado para la aplicación Microsoft Entra que representa la cuenta de almacenamiento.

Errores de script

Error Resolution
Ni AppId ni CsvFilePath se especifican Especifique exactamente uno de estos parámetros.
Archivo CSV no válido Asegúrese de que el archivo existe, tiene codificación UTF-8, tiene un AppId encabezado de columna y no contiene entradas duplicadas.
Errores de Microsoft Graph API Compruebe que tiene el permiso Application.ReadWrite.All y el rol Administrador de aplicaciones o Administrador global .
Identificador de registro de aplicación no válido Confirme que el identificador de registro de la aplicación existe en el inquilino y que es accesible. Borre las credenciales almacenadas en caché mediante Disconnect-MgGraph y vuelva a autenticarse si es necesario.

Problemas conocidos

Menú extra de la extensión de Kerberos SSO

Al implementar compatibilidad de SSO de Kerberos utilizando SSO de la plataforma, la barra de menús adicional de la extensión SSO de Kerberos de macOS aparece en la barra de menús. Los usuarios no necesitan interactuar con la barra de menús adicional para que funcione SSO de Kerberos. La funcionalidad de SSO funciona correctamente incluso si la barra de menús indica "No iniciado sesión". Puede indicar a los usuarios que omitan la barra de menús adicional.

Contenido relacionado

  • Last updated on