Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✔️ recursos compartidos de archivos SMB
Azure Files admite la autenticación basada en identidades para los recursos compartidos de archivos de Windows a través de SMB utilizando el protocolo de autenticación Kerberos mediante los siguientes métodos:
- Active Directory Domain Services local
- Servicios de dominio de Microsoft Entra
- Microsoft Entra Kerberos para identidades híbridas y exclusivamente en la nube
En este artículo se explica cómo habilitar Microsoft Entra Domain Services (anteriormente Azure Active Directory Domain Services) para la autenticación basada en identidades con recursos compartidos de archivos de Azure. En este escenario de autenticación, las credenciales de Microsoft Entra y Microsoft Entra Domain Services son las mismas, y puede utilizarlas de manera intercambiable.
Revise los escenarios de autenticación admitidos para seleccionar el origen de identidad adecuado para la cuenta de almacenamiento. La configuración es diferente en función del origen de identidad que elija.
Si no está familiarizado con Azure Files, lea la guía de planificación antes de leer este artículo.
Nota:
Azure Files admite la autenticación Kerberos con Microsoft Entra Domain Services con cifrado AES-256 (recomendado).
Azure Files admite la autenticación para Microsoft Entra Domain Services con sincronización completa o parcial (limitada) con Microsoft Entra ID. Para entornos con sincronización con ámbito, Azure Files solo respeta las asignaciones de roles de Azure RBAC que se conceden a las entidades que están sincronizadas. El servicio Azure Files omite las asignaciones de roles concedidas a identidades no sincronizadas de Microsoft Entra ID a Microsoft Entra Domain Services.
Requisitos previos
Antes de habilitar Microsoft Entra Domain Services mediante SMB para comparticiones de archivos de Azure, complete los siguientes requisitos previos.
Seleccione o cree un inquilino de Microsoft Entra.
Puede usar un inquilino existente o crear un nuevo inquilino en microsoft Entra ID. El inquilino y el recurso compartido de archivos a los que desea acceder deben asociarse con la misma suscripción.
Enable Microsoft Entra Domain Services en el Microsoft Entra tenant.
Para admitir la autenticación con credenciales de Microsoft Entra, debe habilitar Microsoft Entra Domain Services para el inquilino de Microsoft Entra. Si no es el administrador del inquilino de Microsoft Entra, póngase en contacto con el administrador y siga las instrucciones paso a paso para Crear y configurar un dominio administrado de Microsoft Entra Domain Services.
Normalmente, una implementación de Domain Services de Microsoft Entra tarda unos 15 minutos en completarse. Compruebe que el estado de mantenimiento de Microsoft Entra Domain Services muestra Running, con la sincronización de hash de contraseña habilitada, antes de continuar con el paso siguiente.
Nota:
Recuerde comprobar el estado de Entra Domain Services después de la implementación y resolver las alertas críticas o de advertencia en el panel de mantenimiento Compruebe el estado de un dominio administrado Microsoft Entra Domain Services.
Unión de una máquina virtual a un dominio con Microsoft Entra Domain Services.
Para acceder a un recurso compartido de archivos de Azure mediante credenciales de Entra desde una máquina virtual, la máquina virtual debe estar unida a un dominio para Microsoft Entra Domain Services. Para obtener más información, consulte Unir una máquina virtual de Windows Server a un dominio gestionado por Microsoft Entra Domain Services. la autenticación de Microsoft Entra Domain Services sobre SMB con recursos compartidos de archivos de Azure solo se admite en máquinas virtuales de Windows que ejecutan versiones del sistema operativo posteriores a Windows 7 o Windows Server 2008 R2, o en máquinas virtuales de Linux que ejecutan Ubuntu 18.04+ o una máquina virtual de RHEL o SLES equivalente.
Nota:
Las máquinas virtuales no unidas a un dominio pueden acceder a recursos compartidos de archivos de Azure mediante la autenticación de Microsoft Entra Domain Services solo si la MV tiene conectividad de red sin impedimentos a los controladores de dominio para Microsoft Entra Domain Services. Normalmente, esta conectividad requiere VPN de sitio a sitio o de punto a sitio.
Seleccione o cree un recurso compartido de archivos SMB de Azure.
Seleccione un recurso compartido de archivos nuevo o existente de Azure de SMB que esté asociado a la misma suscripción que el inquilino de Entra. Consulte Crear un recurso compartido de archivos Azure SMB. Para obtener un rendimiento óptimo, el recurso compartido de archivos debe estar en la misma región que la máquina virtual desde la que planea acceder al recurso compartido.
Disponibilidad regional
Puede usar la autenticación de Azure Files con Microsoft Entra Domain Services en todas las regiones Públicas de Azure, Gobierno y China.
Información general del flujo de trabajo
En el diagrama siguiente se muestra el flujo de trabajo de un extremo a otro para habilitar la autenticación de Microsoft Entra Domain Services a través de SMB para Azure Files.
Habilitación de la autenticación de Microsoft Entra Domain Services para la cuenta
Para habilitar la autenticación de Microsoft Entra Domain Services para todos los recursos compartidos de archivos nuevos y existentes en la cuenta de almacenamiento, establezca una propiedad en la cuenta de almacenamiento mediante Azure Portal, Azure PowerShell o la CLI de Azure. Al establecer esta propiedad, implícitamente "une a un dominio" la cuenta de almacenamiento con la implementación de Microsoft Entra Domain Services asociada.
Puede habilitar la autenticación de Microsoft Entra Domain Services a través de SMB solo después de haber implementado correctamente Microsoft Entra Domain Services en su inquilino de Microsoft Entra. Para más información, consulte la sección los requisitos previos.
Para habilitar la autenticación de Microsoft Entra Domain Services a través de SMB mediante el portal de Azure, siga estos pasos:
En el portal de Azure, vaya a la cuenta de almacenamiento existente o cree una cuenta de almacenamiento.
En el menú servicio, en Almacenamiento de datos, seleccione Recursos compartidos de archivos clásicos.
En la sección Configuración del recurso compartido de archivos, seleccione Acceso basado en identidad: no configurado.
En Microsoft Entra Domain Services, seleccione Set up y, después, habilite la característica activando la casilla.
Haga clic en Guardar.
Recomendado: uso del cifrado AES-256
Configure la cuenta de almacenamiento para usar el cifrado AES-256 de Kerberos siguiendo estas instrucciones.
Esta acción requiere ejecutar una operación en el dominio administrado por Microsoft Entra Domain Services para llegar a un controlador de dominio y solicitar un cambio de propiedad en el objeto de dominio. Los cmdlets de la sección siguiente son cmdlets de PowerShell de Windows Server Active Directory, no cmdlets de Azure PowerShell.
Importante
Los cmdlets de Windows Server Active Directory PowerShell de esta sección deben ejecutarse en Windows PowerShell 5.1 desde un equipo cliente unido al dominio de Microsoft Entra Domain Services. PowerShell 7.x y Azure Cloud Shell no funcionarán en este escenario.
Inicie sesión en la máquina cliente unida a un dominio como un usuario de Domain Services Microsoft Entra con los permisos necesarios. Debe tener acceso de escritura al atributo msDS-SupportedEncryptionTypes del objeto de dominio. Normalmente, los miembros del grupo Administradores de controlador de dominio de AAD tienen los permisos necesarios. Abra una sesión normal (sin privilegios elevados) de PowerShell y ejecute los comandos siguientes.
# 1. Find the service account in your managed domain that represents the storage account.
$storageAccountName= "<InsertStorageAccountNameHere>"
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
if ($userObject -eq $null)
{
Write-Error "Cannot find AD object for storage account:$storageAccountName" -ErrorAction Stop
}
# 2. Set the KerberosEncryptionType of the object
Set-ADUser $userObject -KerberosEncryptionType AES256
# 3. Validate that the object now has the expected (AES256) encryption type.
Get-ADUser $userObject -properties KerberosEncryptionType
Importante
Si usó anteriormente el cifrado RC4 y actualizó la cuenta de almacenamiento para usar AES-256 (recomendado), ejecute klist purge en el cliente y vuelva a montar el recurso compartido de archivos para obtener nuevos tiquetes Kerberos con AES-256.
Paso siguiente
- Para conceder a los usuarios acceso al recurso compartido de archivos, debe asignar permisos de nivel de recurso compartido.